BACHARELADO EM SISTEMAS DE INFORMAO

DISCIPLINA: AUDITORIA DE SISTEMAS

UNIDADE 1 AUDITORIA DE SISTEMAS
Criada por Profa. Ai!" Di#i$ Mo%r&o
Adap'ada por Prof. H(io L")"* Co*'a +r.
Faceca
FACULDADE CENECISTA DE VARGINHA
AUDITORIA DE SISTEMAS
1. INTRODU,O

Co#!"i'o* -.*i!o*
Tecnologia da Informao: Hardware, Software e Teleprocessamento
Sistemas de Informao: Conjunto de recursos humanos, materiais, tecnolgicos e
financeiros combinados segundo uma sequncia lgica para transformar dados em
informaes!
Processo de Negcio: Conjunto de passos ou ati"idades relacionados que utili#am pessoas,
informaes ou outros recursos para agregar "alor aos clientes!Tem tempo, lugar, in$cio, fim,
entradas e sa$das e representam a liga%o entre a organi#a%o e seus clientes!
Auditoria de Sistemas: &alida%o e '"alia%o do controle interno de sistemas de informa%o!
Ponto de Controle: Situa%o do ambiente computacional considerada pelo auditor como
sendo de interesse para "alida%o e a"alia%o!
A%di'oria Co#!"i'o /"ra:
Processo de
Negcio
Sistema de
Informao
Tecnologia da
Informao
D
E
T
E
R
M
I
N
A
A
F
E
T
A
' auditoria ( uma ati"idade que engloba o e)ame das operaes, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com intuito de "erificar sua
conformidade com certos objeti"os e pol$ticas institucionais, oramentos, regras, normas ou
padres!
A%di'oria O-0"'i1o*:
*! 'ssessorar a 'dministra%o no desempenho de suas funes e responsabilidades, atra"(s do
e)ame da:
adequa%o e efic+cia dos controles,
integridade e confiabilidade das informaes e registros,
integridade e confiabilidade dos sistemas estabelecidos para assegurar a obser"-ncia
das pol$ticas, metas, planos, procedimentos, leis, normas e regulamentos e da sua
efeti"a utili#a%o,
eficincia, efic+cia e economicidade do desempenho e da utili#a%o dos recursos, dos
procedimentos e m(todos para sal"aguarda dos ati"os e a compro"a%o de sua
e)istncia, assim como a e)atid%o dos ati"os e passi"os, e
compatibilidade das operaes e programas com os objeti"os, planos e meios de
e)ecu%o estabelecidos
.! &erificar se as informaes arma#enadas em meio eletr/nico atendem aos requisitos de
confiana e segurana e se os controles internos foram implementados e se s%o efeti"os!
Cara!'"r2*'i!a* d" %)a -oa ")pr"*a d" a%di'oria:
0ma empresa de auditoria para ser confi+"el e competiti"a de"e:
1elhorar sua eficincia e redu#ir seus custos,
1elhorar a qualidade do trabalho de auditoria, redu#indo os riscos,
'tender 2s e)pectati"as dos clientes que esperam de seus auditores o mesmo grau de
automati#a%o que utili#am em seu prprio negcio,
3reparar4se para a globali#a%o dos negcios, que "em e)igindo uma globali#a%o dos
auditores,
1anter4se entre as maiores e mais reconhecidas do mercado!
Ter seus processos de auditoria automati#ados para permitir:
Treinamento de pessoal e supera%o de resistncia 2 tecnologia,
5ecis%o de quais tarefas de"em ser automati#adas primeiro,
'"alia%o, escolha e implanta%o de software e hardware,
6erenciamento de arqui"os eletr/nicos, dispositi"os de segurana e bac7up,
5isponibili#a%o de equipamentos para que sua equipe de auditores possa trabalhar
em rede,
8nstala%o e manuten%o de uma malha de comunica%o,
1aior transferncia de conhecimento entre os membros da equipe e entre equipes
diferentes,
8ndependncia das limitaes impostas por documentos de auditoria em papel,
9conomia de tempo em documenta%o ,
1elhor qualidade no trabalho,
:ibera%o de funcion+rios mais e)perientes para que se dediquem a +reas de maior
risco,
;orma%o de equipes "irtuais,
<apide# no flu)o de informa%o,
1aior satisfa%o profissional,
1aior respeito pelo auditado,
1aior produti"idade!
Co#'ro"* da a%di'oria:
= !o#'ro" ( a monitora%o, fiscali#a%o ou e)ame minucioso, que obedece a determinadas
e)pectati"as, normas, con"enes sobre as ati"idades de pessoas, rg%os, ou sobre produtos a fim
de n%o ha"er se des"iarem das normas pr(4estabelecidas!
Tipo* d" !o#'ro":
Controle pre"enti"o: pre"en%o de erros, omisses ou fraudes >pre"ine, e"ita, antes da
ocorrncia?!
Controle detecti"o: detec%o de erros, omisses ou fraudes!
Controle correti"o: usado para redu#ir impacto ou corrigir erros, uma "e# detectados
>planos de contingncia?!
Prod%'o* da a%di'oria:
=s a!3ado* d" a%di'oria s%o fatos significati"os obser"ados pelo auditor durante a e)ecu%o
da auditoria! 9sses fatos, n%o necessariamente, erros, falhas ou fraudes, podem ser pontos
fortes da institui%o, rg%o, fun%o ou produto de"em ser rele"antes e baseados em dados e
e"idncias incontest+"eis!
's r"!o)"#da45"* d" a%di'oria s%o feitas nos relatrios, s%o medidas correti"as poss$"eis, a
fim de corrigir deficincias detectadas durante a auditoria! 5ependendo da competncia ou
posi%o hier+rquica do rg%o de controle em rela%o 2 entidade auditada, as recomendaes
podem se transformar em determinaes a serem cumpridas
Na'%r"$a da A%di'oria:
1. 6%a#'o ao 'ipo
A%di'oria i#'"r#a: <eali#ada por rg%o interno da entidade, tem como objeti"o redu#ir
as probabilidades de fraudes, erros, pr+ticas ineficientes ou inefica#es! 5e"e ser
independente e prestar contas diretamente 2 dire%o da institui%o!
A%di'oria "7'"r#a: <eali#ada por institui%o e)terna e independente da entidade
fiscali#ada, com objeti"o de emitir parecer sobre gest%o de recursos, situa%o financeira, a
legalidade de suas operaes.
A%di'oria ar'i!%ada: Trabalho conjunto de auditorias internas e e)ternas, caracteri#a4se
pelo uso de recursos e comunicaes rec$procas dos resultados
8. 6%a#'o 9 :r"a "#1o1ida
A%di'oria d" pro;ra)a* do ;o1"r#o: 'companhamento, e)ame e a"alia%o da
e)ecu%o de programas e projetos go"ernamentais espec$ficos >efeti"idade das medidas
go"ernamentais?!
A%di'oria ad)i#i*'ra'i1a: 9ngloba o plano da organi#a%o, seus procedimentos e
documentos de suporte 2 tomada de decis%o.
A%di'oria !o#'.-i: 'uditoria tem objeti"o de garantir a corre%o das contas da
institui%o, conforme as de"idas autori#aes
A%di'oria fi#a#!"ira: =u auditoria das contas, an+lise das contas, da situa%o financeira,
da legalidade e regularidade das operaes e aspectos cont+beis financeiros,
orament+rios e patrimoniais, "erificando se todas as operaes foram corretamente
autori#adas, liquidadas, ordenadas, pagas e registradas!
A%di'oria op"ra!io#a: 'nalisa todos os n$"eis de gest%o, nas fases de programa%o,
e)ecu%o e super"is%o, sob o ponto de "ista da economia, eficincia e efic+cia
A a%di'oria " a S";%ra#4a d" *i*'")a*
S";%ra#4a d" *i*'")a*: @rea do conhecimento dedicada 2 prote%o de ati"os da informa%o
contra acessos n%o autori#ados, alteraes inde"idas ou sua indisponibilidade, que possam afetar
os processos de negcio da organi#a%o!
A a%di'oria d" *i*'")a* "*'. dir"'a)"#'" r"a!io#ada 9 *";%ra#4a por<%":
' auditoria de sistemas "isa garantir que as ati"idades da +rea de T!8! da organi#a%o
estejam de acordo com os padres internos estabelecidos e com os aspectos legais
"igentes,
0ma auditoria permite detectar falhas ou "ulnerabilidades nos sistemas de informa%o das
organi#aes, que firam estes padres ou aspectos,
' corre%o destas falhas ou "ulnerabilidades poder+ e"itar que a organi#a%o seja al"o de
ameaas que possam colocar em risco a continuidade do negcio!
A%di'oria d" *i*'")a* da i#for)a4&o: 'nalisa os sistemas de informa%o, o ambiente
computacional, a segurana de informaes, e o controle interno da entidade, identificando
deficincias e pontos fortes! A essencialmente operacional, conhecida como auditoria
inform+tica, computacional ou de sistemas
A a%di'oria #a* or;a#i$a45"*
I)por'=#!ia da a%di'oria d" *i*'")a*
'ltos in"estimentos das organi#aes em sistemas computadori#ados
Becessidade de garantir a segurana dos computadores e seus sistemas
6arantia do alcance da qualidade dos sistemas computadori#ados
'u)iliar a organi#a%o a a"aliar e "alidar o ciclo administrati"o
Difi!%dad"* "#!o#'rada* p"a A%di'oria d" Si*'")a* #a E)pr"*a
5efasagem tecnolgica
;alta de bons profissionais
;alta de cultura da empresa
Tecnologia "ariada e abrangente
N"!"**idad"* #a .r"a d" a%di'oria d" *i*'")a*
;ortalecimento das t(cnicas de auditoria de sistemas para atua%o em ambientes
computacionais comple)os
Cria%o de metodologias de auditoria de sistemas
9studo do custo C benef$cio
'mplia%o do campo de atua%o da auditoria de sistemas
A* A-orda;"#* da A%di'oria d" Si*'")a*
1. A-orda;") ao r"dor do !o)p%'ador:
B%o en"ol"e muita tecnologia da informa%o!
<equer que o auditor e)amine os n$"eis de anuncia associados a aplica%o de
controles organi#acionais, no que concerne a T!8!
3residncia
9)ecuti"a
'uditoria de
Sistemas
5iretoria
'dministrati"a
5iretoria
;inanceira
5iretoria de
&endas
5iretoria de
8nform+tica
&olta4se para a auditoria dos documentos4fonte com as funes de entrada e sa$da, que
se encontram em linguagem leg$"el para leigos em inform+tica,
3ouca ou nenhuma aten%o ( "oltada as funes de processamento,
B%o ( muito apropriada para ambientes comple)os, mas ( con"eniente para sistemas
pequenos, onde a maior parte das rotinas ( e)ecutada manualmente!
&antagens desta abordagem:
B%o e)ige conhecimento e)tenso de T!8,
Custos bai)os e diretos,
5es"antagens desta abordagem:
'uditoria torna4se incompleta e inconsistente "isto que n%o h+ conhecimento do
processo operacional,
'usncia de par-metros claros e padroni#ados,
' auditoria pode n%o ser eficiente caso haja e"olu%o e os documentos4fonte fiquem
desatuali#ados,
's decises tomadas baseadas em relatrios, sem analisar o processamento do sistema
podem ser destorcidas!
8. A-orda;") a'ra1(* do !o)p%'ador
'l(m de en"ol"er a confronta%o de documentos, alerta quanto ao manuseio dos
dados, apro"a%o e registro de transaes comerciais, mas n%o constri controles de
programas junto aos sistemas!
0tili#a a t(cnica de Test 5ata ou Test 5ec7, pois "erifica como os dados s%o
processados e os resultados intermedi+rios, atra"(s de simulaes!
&antagens desta abordagem:
Capacita melhor o auditor a respeito de habilidade profissional no que tange ao
conhecimento de processamento eletr/nico de dados,
Capacita o auditor a "erificar com maior frequncia as +reas que necessitam de
re"is%o constante!
5es"antagens desta abordagem:
3ode ser caro, de"ido a necessidade de treinamento de auditores, aquisi%o e
manuten%o de pacotes de software,
H+ risco de que os programas de teste estejam incorretos ou D"iciadosE!
8gnora as tarefas e)ecutadas manualmente!
>. A-orda;") !o) o !o)p%'ador
0tili#a o computador para "erificar se os c+lculos e transaes econ/micas e
financeiras s%o feitos corretamente,
0tili#a c+lculos estat$sticos e de gera%o de amostras que facilitam a confirma%o dos
dados e a aferi%o da integridade dos mesmos,
0tili#a capacidade de edi%o e classifica%o do sistema computadori#ado, a fim de
ordenar e selecionar registros,
8nclui a "erifica%o dos procedimentos computadori#ados e dos procedimentos
manuais!
N21"i* d" a'%a4&o da a%di'oria d" Si*'")a*
' 'uditoria de Sistemas de"e atuar em qualquer sistema de informa%o da empresa, quer no n$"el
estrat(gico, t+tico, ou operacional!
O #21" "*'ra'(;i!o representa a fi)a%o de pol$ticas e diretri#es para a organi#a%o, em
fun%o do relacionamento da empresa com o seu meio ambiente!
O #21" '.'i!o o% ;"r"#!ia analisa e a"alia a performance da gest%o empresarial em
termos de atingimento dos objeti"os intr$nseco a organi#a%o, bem como a forma de
aloca%o dos recursos necess+rios a opera%o da empresa.
O #21" op"ra!io#a ( representado pelas rotinas di+rias da empresa, necess+rias para
suas ati"idades operacionais
O A%di'or d" *i*'")a*
P"rfi do A%di'or d" Si*'")a*
Ser independente 2s +reas a serem auditadas
Ter forma%o em auditoria de computa%o, conhecendo o ambiente a ser auditado
Ter conhecimento das trs +reas de conhecimento: 'uditoria, Sistemas de 8nforma%o e
3rocessamento 9letr/nico de 5ados
Treinamento constante e forte embasamento cultural
Ter conhecimentos b+sicos de computa%o e de, no m$nimo, uma linguagem de
programa%o

Op"ra!io#a
T.'i!o o%
/"r"#!ia
E*'ra'(;i!o
Ter conhecimento do negcio da organi#a%o
'o auditar sistemas em opera%o conhecer:
5ocumenta%o de sistemas
;lu)ograma%o
0ma linguagem de programa%o
'o auditar sistemas em desen"ol"imento conhecer:
1etodologia de desen"ol"imento de sistemas
T(cnicas de prototipa%o
3lano 5iretor de 8nform+tica
'o auditar o Centro de 3rocessamento de 5ados conhecer:
'pura%o de centros de custo de computa%o
Bormas administrati"o4t(cnicas4operacionais
;unes e mec-nica operacional da +rea de computa%o
Contratos de software e hardware
Pap" do a%di'or d" *i*'")a*
&alidar o flu)o administrati"o >planejamento, e)ecu%o e controle?
5ar nfase nos processos computacionais
Compro"ar a efeti"idade dos sistemas computadori#ados
6arantir da segurana lgica e f$sica e da confidencialidade dos sistemas
A'%a4&o do a%di'or d" *i*'")a*
Compreens%o do ambiente
'n+lise do ambiente e determina%o das situaes mais sens$"eis
9labora%o de uma massa de testes
'plica%o da massa de testes
'n+lise das simulaes
9miss%o da opini%o quanto ao ambiente auditado
5ebate com os profissionais da +rea auditada para discuss%o das alternati"as
recomendadas
'companhamento da implanta%o da solu%o proposta
'uditoria da solu%o implantada
Bo"as auditorias no ambiente
Tr"i#a)"#'o do a%di'or d" *i*'")a*
Conceitua%o de 'uditoria de Sistemas
Controle 8nterno
1omentos de atua%o do 'uditor de Sistemas
3rodutos finais da 'uditoria de Sistemas
1ec-nica de implanta%o das recomendaes da auditoria
3ostura do auditado durante a atua%o da 'uditoria de Sistemas!
A%di'or I#'"r#o " A%di'or E7'"r#o:
AUDITOR INTERNO ( empregado da empresa auditada, possui menor grau de
independncia, e)ecuta auditoria cont+bil, operacional, de gest%o, de qualidade, de
processos, de produtos e outros!
=s principais objeti"os do auditor interno s%o:
4"erificar a e)istncia, a suficincia e a aplica%o dos controles internos, bem como
contribuir para o seu aprimoramento,
4"erificar se as normas internas est%o sendo seguidas,
4"erificar a necessidade de melhoramento das normas internas "igentes,
4a"aliar a necessidade de no"as normas internas,
Seu trabalho apresenta como caracter$stica um maior "olume de testes em fun%o da maior
disponibilidade de tempo na empresa para e)ecutar os ser"ios de auditoria!
AUDITOR E?TERNO n%o tem "$nculo empregat$cio com a empresa auditada, possui maior
grau de independncia, e)ecuta apenas auditoria cont+bil!
Seu trabalho tem como principal objeti"o emitir um parecer ou opini%o sobre o flu)o
administrati"o da empresa >processos de negcio?, no sentido de "erificar se este reflete
adequadamente a as regras definidas pela empresa e as normas legais!
Seu trabalho apresenta como caracter$stica um menor "olume de testes, j+ que o auditor
e)terno est+ interessado em erros que indi"idualmente ou cumulati"amente possam possam
alterar de maneira substancial as informaes dos processos da empresa!
Padr5"* " !@di;o d" ('i!a para a%di'oria d" *i*'")a d" i#for)a4&o
' auditoria de sistemas de informaes ( considerada uma parte da auditoria geral de uma
organi#a%o! 's normas de auditoria geralmente n%o tratam isoladamente a auditoria de
sistemas!
' auditoria de sistemas nunca foi "ista como uma profiss%o isolada mas sim um a"ano na
auditoria geral para acompanhar a tecnologia da informa%o nas organi#aes!
Padr5"* para a%di'oria d" Si*'")a*:
<esponsabilidade, autoridade e presta%o de contas
8ndependncia profissional
Atica profissional
Competncia
3lanejamento
9miss%o de relatrio
'ti"idades de follow4up
C@di;o d" ('i!a para a%di'oria d" Si*'")a*:
5e acordo com a 'ssocia%o dos 'uditores de Sistemas e Controles >8S'C' F 9stados 0nidos?,
o auditor de"e:
'poiar a implementa%o e encorajar o cumprimento dos padres sugeridos para controles
de S!8!
9)ercer suas funes com objeti"idade, diligncia e #elo profissional, de acordo com as
melhores pr+ticas
Ser"ir aos interesses da alta administra%o de forma legal e honesta, com alto padr%o de
conduta e cart+ter profissional
1anter pri"acidade e confidencialidade das informaes obtidas no decurso de suas
funes!
'tuar somente nas ati"idades para as quais esti"er capacitado!
8nformar as partes en"ol"idas sobre o andamento dos trabalhos
'u)iliar a alta administra%o na comprrens%o dos sistemas de informa%o, segurana de
controle!
E'apa* da a%di'oria
1 Pa#"0a)"#'o
Conhecer o ambiente a ser auditado
5eterminar os pontos de controle >processos cr$ticos?
5eterminar os objeti"os da auditoria
9stabelecimento de crit(rios para an+lise de risco
'n+lise de <isco
1 M%i'o Fra!o
8 Fra!o
> R";%ar
A For'"
B M%i'o for'"
Hierarqui#a%o dos pontos de controle
8 E7"!%4&o o* 'ra-a3o*
9scolher a equipe
3rogramar as ati"idades
9)ecutar o trabalho
'"aliar o trabalho da equipe
<e"isar os pap(is
> Do!%)"#'a4&o
5ocumentar os trabalhos e gerar os relatrios
A Co#!%*&o da a%di'oria
5iagnstico e situa%o atual que se encontram os pontos de controle, apontando as
fraque#as e as falhas de controle interno!
B Apr"*"#'a4&o do* r"*%'ado*
'presentar os resultados do trabalho de auditoria de forma clara e objeti"a para a alta
administra%o, juntamente com as recomendaes para corre%o de e"entuais
problemas!
C A!o)pa#3a)"#'o da a%di'oria
<e"isar os pontos elencados no relatrio de auditoria!
<eali#ar o acompanhamento dos pontos de controle com deficincia nas auditorias
anteriores!
8dentificar se os problemas foram resol"idos!
8dentificar as medidas adotadas para e"itar que os problemas "oltem a ocorrer!
'dequar as recomendaes 2 no"a realidade mercadolgica e tecnolgica
'"aliar o grau de comprometimento da administra%o com os par-metros de controle
interno determinados pela auditoria!
Prod%'o* ;"rado* p"a a%di'oria
<elatrio de fraque#as de controle interno
o Bome do ponto auditado
o 5escri%o sucinta do ponto de controle
o 3roblemas detectados
o 8mpacto
o <ecomendaes
Certificado de controle interno: Certificado que cont(m o grau de fraque#a dos pontos de
controle auditados!
<elatrio de redu%o de custos: 9stimati"a de redu%o de custos consequentes da
auditoria reali#ada
1anual de auditoria do ambiente auditado: 5ocumento contendo os pontos de controle do
ambiente a ser auditado e pre"is%o de recursos e pra#os para e)ecu%o dos trabalhos!
3astas contendo a documenta%o obtida pela 'uditoria de Sistemas : Todos os
documentos obtidos e gerados durante o trabalho de auditoria >relatrios, atas de reuni%o,
etc? de"er%o ser arqui"ados em uma pasta da auditoria
8. PONTO DE CONTROLE E CONTROLE
INTERNO
Po#'o d" !o#'ro": A a situa%o do ambiente computacional caracteri#ada como de interesse para
"alida%o e a"alia%o! 3ode ser:
F sistema
F mdulo de um sistema
F banco de dados
F tabela de um banco de dados >arqui"o?
F coluna de uma tabela >campo?
F linhas na tabela >registros?
A%di'oria do Po#'o d" !o#'ro":
G 8dentifica%o dentro do ambiente
G Caracteri#a%o em termos de recursos, processos e resultados
G 'n+lise de risco
F par-metros do controle interno
F fraque#as pass$"eis de ocorrer
Ci!o d" 1ida do po#'o d" !o#'ro":
Tcnica de
auditoria
x Risco
Aplicar a
tcnica de
auditoria
Analisar os
resultados
apurados
Apresentar
uma opinio
Ponto de
Controle
identificado
Fraquezas? Avaliar?
Ponto de
Auditoria
Incio
Fim
Auditoria

! !

Co#'ro" I#'"r#o: Conjunto de m(todos e medidas adotado numa empresa a fim de

sal"aguardar o ati"o, "erificar a e)atid%o e "eracidade dos registros computadori#ados, promo"er
a efeti"idade operacional dos sistemas de informa%o e promo"er o cumprimento das pol$ticas da
empresa!
Par=)"'ro* d" Co#'ro" I#'"r#o: S%o par-metros que se deseja a"aliar no sistema para
"erificar se os controles internos definidos pela empresa est%o sendo atendidos:
Fid"idad" da i#for)a4&o ") r"a4&o ao dado: "erifica se a informa%o produ#ida pelo
sistema ( compat$"el com o dado de entrada! 3or e)emplo, se um C3; ( arma#enado
como C3; e um C6C como C6C, se a data de nascimento est+ arma#enada no formato
desejado, etc!
S";%ra#4a f2*i!a: "erifica se o acesso ( protegido por dispositi"os de segurana f$sicos
como catracas, cartes magn(ticos, acesso restrito a ambiente computacional, etc!
S";%ra#4a @;i!a: "erifica se o acesso ( protegido por mecanismos de segurana lgicos,
como login e senha!
Co#fid"#!iaidad": "erifica se as informaes est%o sendo acessadas somente por
pessoas autori#adas!
O-"diD#!ia 9 ";i*a4&o ") 1i;or: "erifica se o sistema atende
Efi!iD#!ia: consiste em "erificar se o sistema fa# o que se prope a fa#er de forma
eficiente, ou seja, com agilidade, utili#ando as melhores ferramentas e com programas
en)utos!
Efi!.!ia: consiste em "erificar se o sistema fa# o que se prope a fa#er, ou seja, se atende
ao que o usu+rio pediu e ( amig+"el!
O-"diD#!ia 9* po2'i!a* " 9* r";ra* d" #";@!io da or;a#i$a4&o: "erifica se o sistema
atende 2s pol$ticas definidas pela organi#a%o e se as regras de negcio est%o bem
implementadas!
E7")po* d" i)p")"#'a4&o da 1"rifi!a4&o do* par=)"'ro* d" Co#'ro" I#'"r#o:
Para fid"idad" da i#for)a4&o ") r"a4&o ao dado:
'8C >'rqui"os de 8nformaes de Controle?,
'058T T<'8: >permite a monitora%o do processamento dos dados?,
'rqui"os de erros de processamentos n%o corrigidos
8nformaes do cdigo do arqui"o gra"adas no header
Para S";%ra#4a @;i!a:
3assword do arqui"o gra"ada no header
8nformaes do relatrio de cr$tica ou de consistncia dos dados alimentados no sistema
8nformaes de total gra"adas no trailler do arqui"o!
Para !o#fid"#!iaidad":
<otina de criptografia de informaes sigilosas!
E7")po do Po#'o d" Co#'ro" E Pro;ra)a d" A'%ai$a4&oF :
<otina operacional de atuali#a%o do cadastro
<otina de controle: inclus%o, e)clus%o, altera%o inde"ida do arqui"o de mo"imento
8nforma%o operacional: conteHdo do arqui"o mo"imento anterior 2 atuali#a%o
8nformaes de controle: conteHdo do arqui"o de erros!
>. TGCNICAS DE AUDITORIA
S%o as "ariadas metodologias utili#adas para a auditoria de sistemas! 's principais "antagens da
utili#a%o das t(cnicas de auditoria s%o:
Prod%'i1idad": 'juda na reduao do ciclo operacional da auditoria, focali#ando o
e)erc$cio de funes mais importantes! 9limina tarefas repetiti"as e e"ita o stress do
auditor,
C%*'o: redu# custos relacionados com a auditoria! 3ermite o acesso remoto poupando o
custo de "iagens! 3ermite a utili#a%o de softwares generalistas redu#indo o gasto com
desen"ol"imento,
6%aidad": o uso de softwares com padres de"idamente testados permite ao auditor
adequar seu trabalho aos padres internacionais geralmente aceitos, aumentando a
qualidade dos ser"ios prestados! 3ermite o teste de *IIJ dos dados, aumentando a
cobertura de riscos pela auditoria!
Haor a;r";ado: disponibili#a informaes para a tomada de decises, facilitando a
corre%o de des"ios e irregularidades em tempo h+bil!
B"#"f2!io* para a ")pr"*a d" a%di'oria: eficincia, efic+cia, otimi#a%o de recursos e
melhoria na imagem do auditor
B"#"f2!io* para o a%di'or: independncia do auditado, reno"a%o do foco da auditoria,
elimina%o de tarefas repetiti"as, otimi#a%o do tempo!
T(!#i!a* )ai* %'ii$ada*:
1. Pro;ra)a* d" !o)p%'ador
Correlaciona arqui"os, tabula e analisa o conteHdo dos mesmos!
3assos
- 'n+lise do flu)o do sistema
- 8dentifica%o do arqui"o a ser auditado
- 9ntre"ista com o analista C usu+rio
- 8dentifica%o do cdigo C laKout do arqui"o
- 9labora%o do programa para auditoria
- Cpia do arqui"o a ser auditado
- 'plica%o do programa de auditoria
- 'n+lise dos resultados
- 9miss%o de relatrios
- 5ocumenta%o
8. 6%"*'io#.rio* 9 di*'=#!ia
&erifica a adequa%o do ponto de controle aos par-metros de controle interno >segurana f$sica,
lgica, efic+cia, eficincia, etc?!
'nalisa:
- Segurana em redes de computadores
- Segurana do centro de computa%o
- 9ficincia no uso de recursos computacionais
- 9fic+cia de sistemas aplicati"os
3assos:
- 'n+lise do ponto de controle
- 9labora%o do question+rio
- Sele%o dos profissionais que ir%o responder o question+rio
- 9labora%o de instrues
- 5istribui%o C remessa dos formul+rios
- Controle do recebimento pelo usu+rio
- 'n+lise das respostas
- ;orma%o de opini%o quanto 2s respostas
- 9labora%o do relatrio de auditoria
>. Si)%a4&o d" dado* I'"*' d"!JK
9labora%o de massa de teste a ser submetida ao programa ou rotina
5e"e pre"er as seguintes situaes:
- Transaes com campos in"+lidos
- Transaes com "alores nos limites
- Transaes incompletas
- Transaes incompat$"eis
- Transaes em duplicidade
3assos:
- Compreens%o da lgica do programa
- Simula%o dos dados >pertinentes ao teste a ser reali#ado?
- 9labora%o dos formul+rios de controle
- Transcri%o dos dados para o computador
- 3repara%o do ambiente de teste
- 3rocessamento do teste
- '"alia%o dos resultados
- 9miss%o de opini%o sobre o teste
A. Hi*i'a i# o!o
Consiste na atua%o do pessoal de auditoria junto ao pessoal de sistemas e instalaes
3assos:
- 1arcar data e hora para "isita
- 'notar procedimentos e acontecimentos
- 'notar nomes das pessoas e data e hora das "isitas
- 'nalisar a documenta%o obtida
- 9mitir opini%o "ia relatrio
B. Map"a)"#'o "*'a'2*'i!o I)appi#;K
3ermite "erificar situaes como:
- <otinas n%o utili#adas
- Luantidade de "e#es que cada rotina foi utili#ada
- <otinas e)istentes em programas mas j+ desati"adas
- <otinas mais utili#adas
- <otinas fraudulentas ou irregulares
- <otinas de controle
C. Ra*'r"a)"#'o d" pro;ra)a*
3ossibilita seguir o caminho de uma transa%o durante o processamento do programa!
=bjeti"a identificar as inadequaes e ineficincia na lgica de um programa!
L. E#'r"1i*'a* #o a)-i"#'" !o)p%'a!io#a
<eali#a%o de reunies entre o auditor e o auditado
3assos
- 'nalisar o ponto de controle
- 3lanejar a reuni%o
- 9laborar o question+rio da entre"ista
- <eali#ar a reuni%o
- 9laborar ata da reuni%o
- 'nalisar a entre"ista
- 9mitir relatrio da auditoria
M. A#.i*" d" r"a'@rio* N '"a*
'nalisar relatrios e tela no que se refere a:
- B$"el de utili#a%o pelo usu+rio
- 9squema de distribui%o e nHmero de "ias
- 6rau de confidencialidade
- ;orma de utili#a%o de integra%o com outras telas C relatrios
- 3adroni#a%o dos laKouts
- 5istribui%o das informaes conforme laKout
3assos:
- <elacionar telas e relatrios por usu+rio
- =bter modelo ou cpia de todas as telas C relatrios
- 9laborar um chec74list para le"antamento
- 1arcar data e hora para obter opnies dos usu+rios
- <eali#ar entre"istas e anotar opinies
- 'nalisar as respostas
- 9mitir opini%o
3ermite detectar:
- <elatrios e telas n%o mais utili#ados
- :aKout inadequado
- 5istribui%o inde"ida de "ias
- Confidencialidade n%o respeitada!
O. Si)%a4&o para"a
9labora%o de um programa de computador para simular as funes da rotina sob auditoria
9nquanto o test dec7 simula dados a simula%o pararela simula a lgica do programa
3assos
- 8dentifica%o da rotina a ser auditada
- 9labora%o de programa com a mesma lgica
- 3repara%o do ambiente
- 'plica%o da rotina
- 9labora%o de relatrio
9sta t(cnica requer um grande conhecimento de computa%o
1P. A#.i*" d" o; N a!!o%#'i#;
&erifica o uso dos dispositi"os componentes de uma configura%o ou rede de computadores e do
software aplicati"o!
3ermite "erificar:
- 8neficincia do uso do computador
- Configura%o do computador >dispositi"os com folga ou sobrecarregados?
- 5etermina%o de erros de programa ou de opera%o
- 0so de programas fraudulentos ou utili#a%o inde"ida
- Tentati"as de acesso inde"idas!
3assos:
- 9nte"istar o pessoal de software b+sico e 3lanejamento e Controle da 3rodu%o para entender
o software C hardware e)istentes, laKout do log accounting, etc!
- 5ecidir par-metros para utili#a%o do logC accounting >tipos de "erifica%o a serem feitas,
per$odo de tempo para auditoria, data do teste, etc?!
- 'plicar o log C accounting
- 'nalisar os resultados
- 9mitir opini%o
9sta t(cnica requer um grande conhecimento de computa%o
11. A#.i*" do pro;ra)a fo#'"
Consiste na an+lise "isual do programa e na compara%o da "ers%o do objeto que est+ sendo
e)ecutado com o objeto resultante da Hltima "ers%o do programa fonte compilado!
3ermite "erificar!
- Se o programador cumpriu as normas de padroni#a%o do cdigo >tabelas de rotinas,
arqui"os, programas?!
- Lualidade de estrutura%o do programa fonte
9sta t(cnica requer um grande conhecimento de computa%o
18. S#ap*3o'
T(cnica que fornece uma listagem ou gra"a%o do conteHdo do programa >acumuladores, cha"es,
+reas de arma#enamento?, quando determinado registro est+ sendo processado >dump parcial de
memria?!
Becessita confec%o de um software espec$fico!
M! AUDITORIA DE SISTEMAS DE INFORMAO
A.1. AUDITORIA DE CONTROLES OR/ANIQACIONAIS E OPERACIONAIS
S%o os controles administrati"os instalados nos processos de flu)o das transaes dos sistemas de
informa%o, au)iliando4os na consecu%o dos objeti"os dos negcios! 'brange as
seguintes tarefas:
5elineamento das responsabilidades operacionais,
Coordena%o de oramento de capital de inform+tica,
5esen"ol"imento e implementa%o das pol$ticas globais de inform+tica,
8ntermedia%o com terceiros,
6erenciamento de suprimentos,
5esen"ol"imento de plano de capacita%o!
= objeti"o da auditoria de controles organi#acionais (:
&erificar as tarefas dos controles organi#acionais e operacionais
3romo"er a eficincia das operaes
&erificar se h+ segrega%o de responsabilidades
&erificar a implementa%o de normas administrati"as
&erificar pol$ticas salariais e planos de carreira
&erificar pol$ticas de treinamento de pessoal
&erificar pol$ticas de incenti"o >prmios e bonificaes?
A.8. AUDITORIA DE SISTEMAS EM OPERAO
0m sistema em opera%o ( um sistema que j+ est+ desen"ol"ido e sendo utili#ado pela empresa!
0m sistema em opera%o abrange:
Transforma%o de dados em informa%o
Capta%o e registro de dados
Con"ers%o de dados
Consistncia dos dados
'tuali#a%o de arqui"os
'rma#enamento e recupera%o de dados
'presenta%o das informaes
0tili#a%o das informaes
' auditoria de sistemas aplicati"os em opera%o consiste na identifica%o dos controles do
sistema e na a"alia%o dos riscos de confidencialidade, pri"acidade, acuidade, disponibilidade,
auditabilidade e manutenabilidade do sistema!
=s objeti"os da auditoria de sistemas aplicati"os em opera%o s%o:
I#'";ridad": as operaes processadas s%o confi+"eisN =s usu+rios de informaes
podem tomar decises baseadas nas informaes sem receioN
Co#fid"#!iaidad": as informaes est%o acess$"eis somente a pessoas autori#adasN
Pri1a!idad": as funes incompat$"eis nos sistemas s%o segregadas, ou seja, no processo
de autori#aes os usu+rios somente en)ergam as funes que necessitam "er para a
e)ecu%o de seu trabalhoN ' informa%o estrat(gica est+ protegidaN =s acessos f$sicos e
lgicos s%o confi+"eisN
A!%idad": as transaes processadas podem ser "alidadasN =s mdulos de consistncias
de dados de entrada podem ser utili#ados na "erifica%o dos dados fonteN
Di*po#i-iidad": o sistema est+ dispon$"el para atender 2s necessidades empresariaisN
A%di'a-iidad": os sistemas documentam logs operacionais que permitam trilhas de
auditoriaN
H"r*a'iidad": os sistemas s%o amig+"eisN 3ode4se facilmente adaptar os worflows
operacionais da empresa ao sistemaN = sistema utili#a recursos de janelas para
importa%o e e)porta%o de dadosN
Ma#%'"#a-iidad": as pol$ticas e procedimentos operacionais contemplam controles
quanto a testes, con"ers%o, implementa%o e documenta%o de sistemas no"os ou
modificadosN Luando da manuten%o de sistemas n%o h+ risco dos sistemas "irarem uma
colcha de retalhosN 's manutenes podem ser feitas com pouco esforo para analistas e
usu+riosN
A;%#* Po#'o* d" Co#'ro" a%di'ado*:
R"a'@rio* E)i'ido* p"o Si*'")a
3ar-metros a"aliados:
9fic+cia 4 &erifica o n$"el de satisfa%o dos usu+rios com:
Bature#a, corre%o e qualidade das informaes recebidas
3eriodicidade e intensidade das informaes recebidas
;orma de apresenta%o da informa%o >sint(tica C anal$tica? e distribui%o do
relatrio
Confidencialidade F sigilo das informaes contidas no relatrio, distribui%o e
destrui%o f$sica dos relatrios!
Segurana f$sica F falta de qualidade na distribui%o dos relatrios >rasgados, sujos,
faltando "ias, etc!!!?
A#.i*" d" Cada*'ro
3ar-metros a"aliados:
Segurana f$sica F &erifica cuidados com transporte, arma#enagem e manuseio de
dispositi"os que cont(m os cadastros, contra calor, poeira, magnetismo, queda, etc!
Segurana lgica F &erifica a e)istncia de pontos de controle tais como: somatrio de
campos de "alor, password, data de gra"a%o e e)pira%o do arqui"o, hash total,
quantidade de registros
9ficincia F ;orma de organi#a%o do arqui"o, campos ou registros e)istentes no
arqui"o e que n%o s%o utili#ados!
O%'ro* po#'o* d" !o#'ro": <otinas de 'tuali#a%o, 3rogramas de C+lculo, <otinas de
Oac7up, 5ocumenta%o do Sistema!
Do!%)"#'a4&o %'ii$ada:
= auditor necessitar+ de uma documenta%o do sistema e de"er+ elaborar, caso n%o e)ista,
um 5;5 >5iagrama de ;lu)o de 5ados?!
= 5;5:
=bedece ao esquema T=3 5=PB
5+ prioridade 2 representa%o de processos
3ermite a representa%o gr+fica at( o n$"el de detalhamento desejado!
=s pontos de controle podem ser definidos em qualquer um dos n$"eis, sendo mais
aconselh+"el coloc+4los no n$"el mais bai)o, para maior facilidade de entendimento!
A.>. AUDITORIA DE SISTEMAS EM DESENHOLHIMENTO
'brange as funes de aquisi%o, desen"ol"imento e manuten%o de sistemas e en"ol"e:
3lanejamento de sistemas de informaes
'quisi%o de aplicati"os
9specifica%o, programa%o, teste e implementa%o de no"os sistemas
1odifica%o de aplicati"os e)istentes
1anuten%o pre"enti"a de sistemas aplicati"os
5ocumenta%o e controle de "ers%o de programas em produ%o
O !i!o d" d"*"#1o1i)"#'o d" *i*'")a*:
8niciali#a%o do projeto
9studo de "iabilidade
'n+lise da situa%o atual
3rojeto lgico
3rojeto f$sico
5esen"ol"imento e testes
8mplanta%o
'dministra%o
1anuten%o
O* o-0"'i1o* da a%di'oria d" *i*'")a* ") d"*"#1o1i)"#'o *&o:
&erificar a real necessidade de desen"ol"imento do sistema,
&erificar se as especificaes est%o de acordo com as necessidades e definies dos
usu+rios,
&erificar se o processo de desen"ol"imento e testes n%o en"ol"e nenhum trauma para
os usu+rios,
&erificar se o desen"ol"imento interno ( mais indicado do que a aquisi%o de um
software
&erificar se o desen"ol"imento segue os padres dos sistemas e)istentes na empresa
&erificar se o desen"ol"imento contempla a integra%o com os sistemas e)istentes na
empresa,
&erificar se o projeto abrange treinamento para os usu+rios,
&erificar se a documenta%o est+ consistente e dispon$"el para os usu+rios!
Cara!'"r2*'i!a* da A%di'oria d" Si*'")a* ") d"*"#1o1i)"#'o:
9)ige fortes conhecimentos de an+lise de sistemas por parte do auditor!
A necess+rio que o auditor tenha atuado na auditoria de sistemas em opera%o antes
de atuar na auditoria de sistemas em desen"ol"imento!
O a%di'or d" *i*'")a* ") d"*"#1o1i)"#'o d"1" !o#3"!"r:
0ma metodologia de desen"ol"imento de sistemas computadori#ados, com suas
etapas, t(cnicas, formul+rios e conceitos bem como o papel dos profissionais da
+rea de sistemas
0ma metodologia de auditoria que delineie a conceitua%o e a forma de
participa%o do auditor na elabora%o do sistema em computador!
Par'i!ipa4&o da a%di'oria #o !i!o d" 1ida d" %) *i*'")a:
Ciclo de
5esen"ol"i
4mento
1udanas no
ambiente
empresarial
<elatrios de
'uditoria do
Sistema em
=pera%o
3lano 5iretor de
8nform+tica
Ciclo de
=pera%o
<elatrios de
'uditoria
<elatrios de
'uditoria
Profi**io#ai* <%" a'%a) #o !i!o d" d"*"#1o1i)"#'o:
:$der de 3rojeto
'nalista de Sistemas
3rogramador de Computador
:r"a* d" r"a!io#a)"#'o da "<%ip" d" d"*"#1o1i)"#'o:
'dministrador de dados
'nalista de Oancos de 5ados
'nalista de Software O+sico
'nalista de Teleprocessamento
'nalista de Segurana
'nalista de Lualidade
3rofissional do Centro de 8nformaes
Po#'o* a *"r") 1"rifi!ado* p"a a%di'oria d" d"*"#1o1i)"#'o d" *i*'")a*:
A<%i*i4&o " d"*"#1o1i)"#'o do *i*'")a
<equisitos para aquisi%o
9specificaes de requisitos
5ocumenta%o de requisitos
:aKouts de telas
:aKouts de <elatrios
9strutura lgica do sistema
9strutura f$sica do sistema
1odelo de dados
3rojeto de arqui"os f$sicos
5efini%o de programas
3rocedimentos de testes
A#.i*" da M"'odoo;ia d" D"*"#1o1i)"#'o d" Si*'")a*:
9ntendimento da metodologia atra"(s da documenta%o
8dentifica%o dos pontos de controle
9ncadeamento lgico de id(ias
=bjeti"os de cada etapa
T(cnicas de an+lise utili#adas
3rodutos gerados
<esponsabilidade pela e)ecu%o de cada etapa
5ocumenta%o e)igida nas etapas de desen"ol"imento
Lualidade de desen"ol"imento do sistema
'"alia%o da adequa%o dos equipamentos ao sistema
9miss%o de opini%o e debate com a equipe de computa%o
A#.i*" da do!%)"#'a4&o do d"*"#1o1i)"#'o d" *i*'")a*
9ntendimento das especificaes atra"(s da documenta%o
8dentifica%o dos pontos fracos da documenta%o no que se refere a:
=bjeti"os do sistema
'n+lise de custo C benef$cio
:e"antamento do sistema atual
'nteprojeto
3rojeto lgico
3rojeto f$sico
Testes isolados e integrados
3rograma%o
8mplanta%o
5ocumenta%o geral
A.A. AUDITORIA DE CONTROLES DE HARDRARE
=s controles de hardware se compem dos procedimentos de segurana f$sica sobre os
equipamentos instalados no ambiente de inform+tica! Controla o contato f$sico dos usu+rios com
os recursos computacionais e monitora o seu uso adequado! 9n"ol"e:
8n"ent+rio de hardware
3adroni#a%o de modelos de equipamentos
3re"en%o contra a instala%o de softwares piratas
8nstala%o de dispositi"os de segurana como e)tintores de incndio, sprin7ler, g+s
carb/nico, firewalls, etc!
1anter contratos de manuten%o pre"enti"a com os fornecedores de hardware!
8nstala%o de dispositi"os de segurana de acesso >catracas, cartes magn(ticos, etc?!
A a%di'oria d" !o#'ro"* d" 3ardSar" '") !o)o o-0"'i1o:
'"aliar o acesso f$sico ao ambiente de inform+tica
'"aliar o acionamento e desligamento de m+quinas
'"aliar o acesso f$sico a equipamentos de hardware e de transporte
'"aliar a locali#a%o e a infra4estrutura do C35
'"aliar o processo de bac7up
'"aliar a aquisi%o e disposi%o de equipamento
'"aliar os controles sobre o ambiente e informaes com rela%o a plataforma de
hardware e sistemas operacionais!
'"aliar os controles sobre os recursos instalados
'"aliar a integridade da transmiss%o de dados
'uditar transaes de compra, "enda, alugu(is, leasing, seguros e manuten%o de
equipamentos e compra, loca%o e manuten%o de software e seus contratos!
A.B. AUDITORIA DE CONTROLES DE ACESSO LT/ICO
' segurana de acesso pode ser lgica ou f$sica!
S";%ra#4a d" a!"**o @;i!o se refere a proteao dada contra acessos n%o autori#ados a dados ou
informaoes a usu+rios especificios, atra"(s de senhas e permisses estabelecidas para cada
usu+rio! 's permisses s%o pri"il(gios com direitos ou limites para uso de arqui"os, dados,
programas, sistemas ou bancos de dados! ' *";%ra#4a d" a!"**o f2*i!o se refere a mecanismos
que restrinjam o acesso f$sico aos recursos de computaao, como C30, unidades de fita ou disco,
terminais, arqui"os de bancos de dados, etc! 3ode ser implementada atra"(s do uso de
dispositi"os como catracas, cartes magn(ticos, etc!
' auditoria de controle de acesso lgico de"e "erificar:
Se a empresa possui uma pol$tica de segurana que defina a implementaao de normas de
segurana
Se h+ rotinas e procedimentos estabelecidos para atribui%o ou modifica%o do n$"el de
acesso
Se h+ um software para restringir o acesso aos usu+rios somente aos recursos necess+rios
a e)ecu%o do seu trabalho
Se h+ um controle de acesso a transaes
Se h+ um controle sobre a utili#a%o de softwares
Se h+ um controle sobre a utili#a%o de redes locais!
Se a empresa utili#a uma rotina de criptografia para dados confidenciais!
A.C. AUDITORIA DE OPERAO DO COMPUTADOR
' opera%o do computador compreende a fun%o de acionar os programas que ligam e desligam
os computadores >83: F 8nitial 3rogram :oader? e os scripts que e)ecutam os sistemas
aplicati"os! Compreende as seguintes ati"idades:
3lanejamento, controle e monitoramento de operaes
3lanejamento de capacidade
1onitora%o de sistemas e da rede
8niciali#a%o e desligamento do sistema
6ra"a%o >log?, rastreamento >trac7? de problemas e monitoramento do tempo de resposta
6erenciamento de mudanas estruturais e pessoais
6est%o das unidades, perif(ricos e equipamentos remotos
6erenciamento de bibliotecas
3rogramaao >scheduling? de processamento e acompanhamento das operaoes
'utoma%o da produ%o
Oac7up de sistemas, programas, dados e bancos de dados
6erenciamento de help des7
Coordenaao e programa%o de upgrades de equipamentos
6est%o de restartCreco"erK
O-0"'i1o* da a%di'oria d" op"ra4&o do !o)p%'ador:
6arantir que todos os passos desde a gera%o de dados, a lgica de processamento das tarefas
at( a gera%o de sa$das sejam obedecidos!
Confirmar o n$"el de confiabilidade da opera%o do sistema!
'ssegurar que os jobs sejam programados e e)ecutados adequadamente
'ssegurar que os relatrios e outros outputs sejam distribuidos em tempo e forma adequados
'ssegurar que os arqui"os de dados f$sicos >inclusi"e bac7ups? s%o adequadamente
protegidos!
&erificar se e)istem procedimentos para controle de processamentos, monitoramento,
entradas em batch, identifica%o e corre%o de problemas, restart e reco"erK, plano de
contingncia
A.L. AUDITORIA DO AMBIENTE DE MICROINFORM:TICA
' auditoria do ambiente de microinform+tica tem como objeti"o :
8dentificar in"ent+rio de micros, locali#a%o f$sica, usu+rios, configura%o, softwares, etc!
8dentificar a pol$tica do Centro de 8nforma%o da empresa
&erificar tempo, nature#a, segurana fisica, segurana lgica e confidencialidade no uso
dos microcomputadores dentro da empresa!
&erificar integra%o entre os micros
&erificar a documenta%o dos sistemas!
A%di'oria do C"#'ro d" i#for)a4&o
3roblem+tica de relacionamento usu+rios Q C35 :fila de espera para desen"ol"imento de
no"as aplicaes, alto custo de desen"ol"imento de pequenos projetos, custo de hardware
bai)o Q custo de software alto, etc!
=bjeti"o do Centro de informaes: acesso 2s informaes em tempo curto, pro"er
ferramentas ao usu+rio, redu#ir a carga de sistemas processados no mainframe, treinamento
de usu+rios, suporte ao desen"ol"imento de aplicati"os para microcomputadores, apoio 2
escolha de software para microcomputadores, orienta%o na utili#a%o dos micros na empresa!
O-0"'i1o da a%di'oria:
'n+lise das funes do C8
'"alia%o das ati"idades de treinamento
'"alia%o das ati"idades de controle de utili#a%o de hardware e software
'"alia%o da estrutura do C8
'n+lise de normas e procedimentos do C8 >bac7up, linguagens de programa%o, utili#a%o
de editores de te)to, planilhas, documenta%o de programas, contrata%o de hardware e
software, atendimento aos usu+rios?
A%di'oria do* )i!ro!o)p%'ador"* " *"%* %*%.rio*
9n"io de question+rios aos usu+rios para le"antamento de dados de seu micro >hardware,
software, interfaces, procedimentos de segurana, bac7up, etc?
<ecebimento de respostas para le"antamento de usu+rios que meream uma auditoria mais
detalhada para detalhamento!
A.M. AUDITORIA DO AMBIENTE DE TELEPROCESSAMENTO E
BANCOS DE DADOS
= Oanco de 5ados de"e conter as informaes a serem tratadas pelos sistemas aplicati"os da
organi#a%o, com os conceitos de unicidade do dado!
A*p"!'o* i)por'a#'"*:
9)istncia do administrador de dados
9)istncia de um dicion+rios de dados
9)istencia de um S6O5
9)istncia de um analista de banco de dados
9)istncia de controle de acesso ao O5!
Pro-")a* "#!o#'rado*:
:eitura e)tra%o de dados por entidade n%o autori#ada
'ltera%o dos dados ou procedimentos de programas
'di%o ou e)clus%o de dados estranhos aos arqui"os
0tili#a%o de equipamento ou software sem autori#a%o
Co#'ro"* a *"r") 1"rifi!ado* p"o a%di'or:
&erifica%o de password
&erifica%o da autori#a%o de acesso aos dados
Confirma%o da digita%o de dados antes da atuali#a%o do O5
&erifica%o da integridade do Oanco de 5ados
&erifica%o da Hltima transa%o processada "ersus a Hltima transa%o recuperada no O5,
quando da queda do sistema
&erifica%o de protocolos de arqui"os >header e trailler?
&erifica%o dos protocolos de linhas
&erifica%o da utili#a%o de terminais!
Pro!"di)"#'o* d" *";%ra#4a:
Cria%o da fun%o de administrador de dados >descri%o do O5, manuten%o do dicion+rio,
monitoramento da utili#a%o do O5, controle de acesso, etc?
Segurana f$sica dos terminais
5efinir normas para uso de passwords
A.O. AUDITORIA DO PLANO DE CONTIN/UNCIA E RECUPERAO DE
DESASTRES
= plano de contingncia e recupera%o de desastres cont(m as medidas operacionais
estabelecidas e documentadas para serem seguidas em caso de ocorrer alguma indisponibilidade
dos recursos de inform+tica, e"itando que o tempo em que os equipamentos fiquem parados
acarrete em perdas para o negcio da empresa!
A a%di'oria do pa#o d" !o#'i#;D#!ia " r"!%p"ra4&o d" d"*a*'r"* '") !o)o o-0"'i1o
1"rifi!ar *":
H+ planos desen"ol"idos que contemplem todas as necessidades de contingncia,
9stes planos s%o suficientemente abrangentes para cobrir os aspectos f$sicos, logicos, de
redes, de propriedades intelectuais, de pessoas, transacionais e outros,
' equipe de contingncia est+ preparada para estas e"entualidades
9stes planos s%o testados periodicamente
=s bac7ups est%o atuali#ados
=s bac7ups podem ser recuperados sem dificuldade
H+ relatrios que ajudem no acompanhamento dos procedimentos
B. TVCNICAS DE AUDITORIA DE SISTEMAS APLICADAS W PREHENO E
DETECO DE FRAUDES
Becessidade de controles automati#ados num ambiente em que o risco ( inerente ao
negcio
Crescente preocupa%o com controles internos e agilidade na comunica%o dos problemas
identificados
9)igncia de atendimento a requerimentos legais F Super"is%o Oanc+ria, :egislaes
locais
o 1aior confiabilidade das informaes e efeti"idade dos controles
o 8dentifica%o de transaes suspeitas em tempo h+bil
o '"alia%o independente
Irr";%aridad"* " a'o* i";ai* D"fi#i45"*:
9<<= 4 =misses ou declaraes err/neas n%o intencionais
8<<960:'<85'59S 4 Comportamento ou a%o intencional que constitui um crime ou
uma falta
'T=S 8:96'8S 4 Contr+rios 2 3rescri%o da :ei
;<'059S 4 0so de falhas para obter "antagem financeira ilegal ou injusta
R"*po#*a-iidad"* do a%di'or:
9star atento a fragilidades nos controles internos que podem facilitar irregularidades
'"aliar o risco de irregularidades, segundo os crit(rios principais:
o Confidencialidade
o 8ntegridade
o Totalidade
o 5isponibilidade
o Confiabilidade
Co)p%'"r A**i*'"d A%di' T"!3#i<%"* CAAT
DT(cnicas de 'uditoria 'ssistida por ComputadorE >C''T 4 computer assisted audit technics?!
9ssas t(cnicas s%o fundamentalmente de dois tipos:
' utili#a%o de programas de auditoria >audit software?, que, para certas ati"idades ou
operaes, "%o sendo disponibili#ados no mercado, para reali#ar testes de conformidade
ou testes substanciais com uma e)tens%o que n%o ( "i+"el por m(todos manuais,
= recurso de testes de dados >data tests? que se destinam a a"aliar a forma como
funcionam os controles internos do sistema informati#ado, atra"(s da resposta que o
sistema d+ 2 introdu%o de dados fict$cios ou com "+rios tipos de erros!
Trata4se, em suma, de uma +rea em constante e"olu%o e por onde passa o futuro da auditoria!
8nicialmente usado por 'uditores Cont+beis ou =peracionais no inicio na d(cada de RI com o
objeti"o de facilitar o acesso a dados dos sistemas, tipicamente no mainframe, com linguagem
acess$"el ao usu+rio comum, e"oluiu al(m dos softwares de an+lise de dados para ferramentas de
an+lise de segurana de sistemas operacionais, de redes e bancos de dados!
3orque usar C''TN
=peraes fraudulentas podem estar disfaradas em lanamentos aparentemente "+lidos
= erro pode n%o ser identificado dentro de um Hnico sistema
'lteraes podem estar sendo feitas sem a correta identifica%o de quem e quando
9m geral s%o necess+rios dados e informaes de fontes di"ersas, portanto, requer acesso
a bancos de dados ou formatos de arqui"os diferentes
;le)ibilidade F os modelos de an+lise de"em mudar assim como mudam os esquemas de
fraudes
M"'odoo;ia para i)p")"#'a4&o d" CAAT*
=bjeti"o: 5etec%o de ind$cios de fraudes
Luatro passos para cria%o do projeto de 'n+lise de dados:
3asso * F 5efini%o dos =bjeti"os e 'brangncia
3asso . F Cria%o do 3rojeto de 'n+lise
3asso S F Cria%o de Scripts para os Testes
3asso M F 'utomati#a%o
;erramenta utili#ada: software de an+lise de dados, espec$fico para auditoria!
1X. Pa**o: D"fi#i4&o do* o-0"'i1o* " a-ra#;D#!ia
8dentificar as +reas de <isco
o 9ntender o 'mbiente de negcio
Considerar ameaas internas e e)ternas
o 3riori#ar os processos de negcio a analisar
8dentificar sub4processos en"ol"idos
o 9ntender as regras de negcio
9ntender os padres e e)cees
5efinir os T<ed ;lagsU F ind$cios de fraudes
8dentificar as Oases de 5ados
o 8dentificar o propriet+rio dos dados
o =bter dicion+rio de dados e interrelacionamento
o Tipos de arqui"os, "olume de dados, hor+rios cr$ticos
o 5efinir como ser%o obtidos: acesso direto ou pr(4e)tra%o de dados
5efinir escopo e periodicidade dos dados e an+lises
5efinir tipos de sa$das e formas de apresenta%o
o Luem de"e ser informado e com qual periodicidade
o Lue relatrios de"em ser disponibili#ados
8X. Pa**o: Cria4&o do pro0"'o d" a#.i*"
4 Cria%o de e)presses de filtros F red4flags
G Campos de dados in"+lidos
G Compara%o de &alores
G Compara%o de dados com tabelas relacionadas
F 'n+lise de Tendncias
G Concentra%o por categorias:
F fornecedor, tipo de operacao, fai)as de "alores, apro"ador
G Compara%o dos dados reais com tendncias conhecidas
F Compara%o de "alores atuais com dados histricos
F Compara%o com padres e m(dias de mercado
F 0so de t(cnicas estat$sticas para an+lise de tendncias
F Simular testes para definir um projeto automati#ado
F =rgani#ar os arqui"os de dados fonte
F 3lanejar os resultados necess+rios
>X. Pa**o: Cria4&o d" S!rip'* para '"*'":
Cria%o de scripts ou programas
o 3artir das e)presses de crit(rios definidas na fase anterior
o 0sar o Tgra"ador de macro ou scriptsU
o 'justar o cdigo dos scripts e criar no"os programas
5esenho de telas para intera%o com o usu+rio
0tili#a%o de "ari+"eis para altera%o de crit(rios pelo usu+rio
9)ecu%o dos scripts sob solicita%o do usu+rio
AX. Pa**o: A%'o)a'i$a4&o do pro!"**o
F 'pro"eitar o projeto elaborado na fase anterior
G :aKout dos arqui"os
G Telas para e)ibies dos resultados
G 9)presses de C+lculos e Tratamento de Te)tos
G 9)presses de Crit(rios F ;iltros
F 5esen"ol"er
G 6era%o 'utom+tica de <elatrios de 9)cees
G 9n"io de mensagens com status dos testes e relatrios sumari#ados a pessoas cha"e
G 'cionamento de scripts de forma autom+tica
G 9)ecu%o programada >schedulagem) dos scripts
E7")po: Pro!"**o d" Co)pra* a'( o Pa;a)"#'o
S%-pro!"**o*:
F 'quisies e 'pro"a%o de Compras
F <ecebimento ou ;aturamento
F Contabilidade e Contas a 3agar
Pa**o 1:
G 'nalisadas pol$ticas e procedimentos e discutidos riscos e prioridades
F =bter informaes de an+lise de riscos do negcio
G 8dentificadas +reas cr$ticas e os sistemas en"ol"idos
G 8dentificados outros arqui"os rele"antes
F planilhas, pequenos sistemas definidos por usu+rios, e processos manuais
G 8dentificados os propriet+rios das informaes
G Soliticitado acesso aos dados
Y Ba*"* d" Dado* Id"#'ifi!ada*:
G Cadastros: fornecedores, funcion+rios e parceiros
G Tabelas de Criterios: limites de apro"a%o
G Tabelas de dados de transaes: compras, pagamentos, contabilidade
G Tabelas 9)ternas: Ta)as de Con"ers%o de 1oedas
P"riodi!idad" " A-ra#;D#!ia
G 5ados de todas as filiais da <egi%o Q
G 9)tra%o di+ria de dados de Transaes
G 'n+lise semanal, com en"io de relatrios de e)ce%o a gerncia da auditoria e a
+rea respons+"el
G 'bordagem pst-morten
F =bter dados dos Hltimos V meses, de todas as unidades
G 'bordagem on4line
F 9)trair dados diariamente
F 9)ecutar an+lise com periodicidade di+ria e semanal
5efini%o de como apresentar os resultados:
G 5e acordo com o Tred flagU :
F 9n"iar e4mail ao 5iretor QWX
F Solicitar esclarecimentos a +rea respons+"el ou gerar relatrio para a +rea de
in"estiga%o de fraudes
G <elatrios a ser disponibili#ados
F :ista de e)cees
F :ista de todas as operaes e indicati"os de e)cees
Pa**o 8 Cria4&o do Pro0"'o d" A#.i*"
Cria%o de e)presses, a partir das regras de negcio
G 9)presses para compara%o com limites
G 9)presses para identificar campos em branco ou com erros
G Contas Cont+beis com "alores quando de"eriam estar #eradas
G <egistros criados e apro"ados pelo mesmo usu+rio
G 3agamentos sem um registro correspondente em Compras
9ste passo en"ol"e:
G Compara%o de &alores com limites definidos
G Compara%o de dados entre tabelas relacionadas
G 'n+lise de Tendncias
F Concentra%o por categorias:
Y fornecedor, tipo de operacao, fai)as de "alores, apro"ador
F Compara%o dos dados reais com tendncias conhecidas
Y Compara%o de dados atuais com dados histricos
Y Compara%o com padres e m(dias de mercado
Y 0so de t(cnicas estat$sticas e compara%o com tendncias
E7'ra4&o d" dado* d" dif"r"#'"* fo#'"*
Co)para45"* "#'r" ar<%i1o* " *i*'")a* dif"r"#'"*
Cr%$a)"#'o d" i#for)a45"* " ra*'r"a)"#'o
I#di!ador d" "7!"45"* R"d Fa;*
Pa**o >: Cria4&o d" S!rip'* para '"*'"
5efini%o do script:
F Cria%o de uma Tabela ou 3lanilha com todas as transaes com um mesmo cliente, que somem
um total acima de determinado limite
F 9)emplo: considerar somente operaes abai)o de 0S5 *I,III, mas que somadas por cliente
seja maior do que um "alor determinado
= script gera automaticamente o resultado!
*Script Criado a partir do arquivo de histrico
SUMARIO_Acima_Limite: 181!"!!# !8:1":$%
OPEN Transacoes_Mes1
SUMMARIZE ON CodCliente SUBTOTAL Valor OTHER
ClientesNa!e ClientesLi!it "ataInicio I# Valor $
1%%%% TO &SUMARIO_POR_CLIENTE#IL& OPEN
SUMARIO_POR_CLIENTE
E'TRACT RECOR" I# Valor
Pa**o A: A%'o)a'i$a4&o do pro!"**o
C. CLASSIFICAO DOS
CONTROLES DE PROCESSAMENTO DE DADOS
5urante a fase de e)ecu%o da auditoria, e antes de se proceder ao teste de dados
>procedimento que, em Hltima inst-ncia, ir+ determinar a sua confiabilidade?, normalmente (
indicada a a"alia%o dos controles presentes no sistema de processamento desses dados!
Segundo princ$pios geralmente aceitos de auditoria, quanto menor a confiabilidade dos
controles gerais ou de aplicati"o >ou se esses n%o forem a"aliados?, maior a e)tens%o do teste
necess+rio para determinar a confiabilidade dos dados!
' abrangncia da a"alia%o dos controles depende do conhecimento pr("io sobre os dados e o
sistema! = quadro abai)o mostra como pode ser definida a e)tens%o da a"alia%o dos
controles a partir das informaes obtidas:
Co#3"!i)"#'o pr(1io *o-r" o
*i*'")a o% o* dado*
A)pi'%d" da a1aia4&o
do* !o#'ro"* do *i*'")a
's informaes s%o
insuficientes ou a"aliaes
anteriores detectaram erros
significati"os nos controles
do sistema ou nos prprios
dados!
9)tensi"a
' confiabilidade do sistema
ou dos dados j+ foi a"aliada
e considerada adequada em
trabalhos anteriores!
<edu#ida
I#d2!io* d" i#"fi!.!ia d" !o#'ro"* do *i*'")a
' documenta%o de um sistema bem controlado de"e ser completa e atuali#ada! ' ausncia dessa
documenta%o pode indicar que n%o e)istem controles, que eles n%o s%o compreendidos ou s%o
inadequadamente aplicados! =utros sinais que sugerem "ulnerabilidade de dados a erros podem
ser:
sistemas antigos, que e)igem muita manuten%o,
grande "olume de dados,
ati"idades de atuali#a%o muito freqZentes,
numerosos tipos de transa%o e de fontes de dados,
grande nHmero de elementos de dados codificados >por e)emplo, itens do estoque
representados por meio de cdigos num(ricos, em "e# do nome do bem, podem dificultar a
identifica%o at( mesmo de erros grosseiros?,
alta rotati"idade de pessoal >digitadores, operadores, programadores, analistas? e treinamento
inadequado ou em escala insuficiente,
estruturas de dados comple)as ou desorgani#adas,
falta de padres para o processamento de dados, especialmente quanto 2 segurana, acesso e
controle de mudana de programas!
9ntre"istas com funcion+rios com grande conhecimento da organi#a%o podem au)iliar a equipe
no entendimento dos controles do sistema!
Par"!"r da a%di'oria *o-r" a "fi!.!ia do* !o#'ro"* do *i*'")a
'ps a"aliar os controles do sistema, a equipe de"er+ dar um parecer sobre a sua efic+cia, isso (,
sua capacidade de pre"enir erros e detectar e corrigir aqueles que "enham a ocorrer!
5e acordo com os resultados da an+lise efetuada, a equipe de auditoria ir+ classific+4los em:
Co#'ro"* *@ido* 4 quando assumir4se que o sistema como um todo est+ capacitado a
pre"enir, detectar e corrigir qualquer erro significati"o nos dados,
Co#'ro"* ad"<%ado* 4 quando forem detectadas deficincias nos controles, mas de modo
geral esses demonstrarem ser suficientes para pre"enir os erros mais significati"os, e acusar
os que "enham a ocorrer, ou
Co#'ro"* fra!o*Ni#d"'"r)i#ado* 4 quando identificar4se a ausncia ou inefic+cia dos
controles de sistema, e, conseqZentemente, oportunidades de introdu%o de dados incorretos
no sistema!
L. FERRAMENTAS DE AUDITORIA
'u)iliam na e)tra%o, sorteio, sele%o de dados e transaes, atentando para discrep-ncias e
des"ios! 9stas ferramentas podem ser de trs tipos:
1.Sof'Sar" ;"#"rai*'a d" a%di'oria d" '"!#oo;ia da i#for)a4&o
9n"ol"e o uso de software aplicati"o em ambiente batch, que pode processar, al(m de
simula%o paralela, uma "ariedade de funes de auditoria e nos formatos que o auditor
desejar!
9)emplos
'C: >'udit Command :anguage? : ( um software de e)tra%o e an+lise de dados
desen"ol"ido no Canad+,
859' >8nteracti"a 5ata 9)traction [ 'nalKsis? software para e)tra%o e an+lise de dados
tamb(m desen"ol"ido no Canad+
'udimation: ( a "ers%o norte4americana do 859', da Caseware4859', que desen"ol"e
consultoria e d+ suporte para o produto
6alileo: software integrado de gest%o de auditoria! 8nclui gest%o de riscos de auditoria,
documenta%o e emiss%o de relatrios para auditoria interna,
3entana: software de planejamento estrat(gico da auditoria, sistema de planejamento e
monitoramento de recursos, controle de horas, registro de chec7lists e programas de
auditoria, inclusi"e de desenho e gerenciamento de plano de a%o!
&antagens:
3ode processar "+rios arqui"os ao mesmo tempo
3ode processar "+rios tipos de arqui"os com formatos diferentes, por e)emplo 9OC58C
ou 'SC88
3oderia tamb(m fa#er uma integra%o sistmica com "+rios tipos de softwares e
hardwares
<edu# a dependncia do auditor do especialista de inform+tica para desen"ol"er
aplicati"os espec$ficos para todos os auditores de sistemas de informa%o
5es"antagens:
Como o processamento das aplicaes en"ol"e gra"a%o de dados >arqui"os? em separado
para serem analisados, poucas aplicaes podem ser feitas em ambiente on4line
= software n%o consegue processar c+lculos comple)os, pois como se trata de um sistema
generalista, n%o aprofunda na lgica e na matem+tica muito comple)as
8.Sof'Sar"* E*p"!iai*'a* d" a%di'oria
Consiste em programa desen"ol"ido especificamente para certas tarefas em certas
circunst-ncias
&antagens:
3ode atender sistemas ou transaes n%o contempladas por softwares generalistas
= auditor, quando consegue desen"ol"er softwares espec$ficos numa +rea muito
comple)a, pode utili#ar isso como "antagem competiti"a
5es"antagens:
3ode ser muito caro, pois ter+ uso limitado e normalmente restrito a determinado cliente
'tuali#a%o pode ser complicada de"ido a falta de recursos que acompanhem as no"as
tecnologias!
>.Pro;ra)a* %'ii'.rio*
= auditor utili#a softwares utilit+rios para e)ecutar funes muito comuns de
processamento, como sortear arqui"o, sumari#ar, concatenar, gerar relatrios! 3ode ser
um 9QC9:, ou recursos de bancos de dados como o SL:, 5base., etc!
&antagem:
3ode ser utili#ado como alternati"a na ausncia de outros recuros
5es"antagem:
Sempre necessitar+ do au)$lio do funcion+rio da empresa auditada para operar a
ferramenta >no caso de ferramentas comple)as, como bancos de dados?!
E*!o3a do *of'Sar" d" A%di'oria d" Si*'")a*
= software de auditoria consiste de programas aplicati"os cujo objeti"o ( incrementar a qualidade
do trabalho do auditor e consequentemente dos sistemas sob auditoria, tornando o ser"io de
auditoria interati"o com os recursos! 0m software de auditoria pode ser desen"ol"ido ou
adquirido!
Pr(Yr"<%i*i'o*:
'o a"aliar ou desen"ol"er um software de auditoria, de"e4se le"ar em conta os seguintes aspectos
com rela%o 2 organi#a%o:
Cultura, miss%o, objeti"os e programas de trabalho
Caracter$sticas essenciais com rela%o 2 abrangncia dos ser"ios e produtos gerados e
oferecidos
8nteresses e necessidades de informa%o dos usu+rios
3lataforma tecnolgica e)istente na institui%o em termos de software e hardware, bem
como sua capacidade de amplia%o e atuali#a%o
<ecursos humanos dispon$"eis!
M"'odoo;ia d" *""4&o:
'n+lise de documentos que registram e)perincias semelhantes
'n+lise de cat+logos, prospectos, folders e documenta%o sobre os pacotes dispon$"eis no
mercado
Contato com os fabricantes dos pacotes
&isitas a usu+rios dos produtos para "erificar o grau de satisfa%o, bem como os
problemas detectados na implanta%o e manuten%o do sistema
Troca de informa%o com instituies semelhantes
'n+lise da idoneidade da institui%o detentora dos produtos
A*p"!'o* f%#!io#ai*
'poiar o planejamento da auditoria
'presentar relatrios de auditoria
9)trair diretamente dados do banco de dados
;acilitar o uso de procedimentos pr(4cadastrados
3ermitir a inser%o de documentos de auditoria
1anter controle sobre arqui"os gerados por outros programas
'rma#enar imagens relacionadas ao processo
0tili#ar listas para preenchimento de campos
3ermitir inser%o de coment+rios
3ermitir customi#a%o de normas e legisla%o
3ermitir o acesso on4line aos documentos
3ermitir trabalho off4line
'poiar auditoria em grupo e em lugares separados e distantes
9mitir relatrios estat$sticos a partir dos dados arma#enados no banco!
A*p"!'o* ;"r"#!iai*
'poiar o planejamento anual dos projetos de auditoria
'locar tempo de auditor
Customi#ar normas e legisla%o
3ermitir super"is%o on4line
A*p"!'o* r"a!io#ado* a '"!#oo;ia
8nterface windows
8ntegra%o com e4mail
'rquitetura ClienteCSer"idor
3esquisa por pala"ra ou conjunto de pala"ras
<eplica%o de banco de dados
Criptografia dos dados
Sistema de segurana de acesso
8mporta%o de arqui"os wordCe)cel
;acilidade de programa%o
'cesso a banco de dados "ia web
Capacidade de arma#enamento
<ecuperaao de bases de dados
'cesso simult-neo a "+rios usu+rios
A*p"!'o* d" *%por'"
'poio na implanta%o
Contrato de assistncia t(cnica para implanta%oCmanuten%o
5isponibili#a%o de cdigo fonte aberto
:ista de clientes de referncia
0pgrade sem custo
8mplementa%o de necessidades espec$ficas do auditor
M. /ESTO DA AUDITORIA E /ESTO DA INFORM:TICA
1. U*o do )i!ro!o)p%'ador #a a%di'oria i#'"r#a
1.1. A%di'oria ") Co)p%'ador
'n+lise de arqui"os
Confronto de arqui"os
9miss%o de chec74lists e question+rios
3repara%o de test dec7
'n+lise de log
Tabula%o de respostas e question+rios
1.8. A!o)pa#3a)"#'o d" pro0"'o* d" a%di'oria
Controle de horas
Controle de aloca%o de recursos
3lano de treinamento do auditor
5ocumenta%o automati#ada de relatrios de auditoria
1onitora%o do cadastro de pontos de controle
1onitora%o do cadastro de indicadores de qualidade
Treinamento de auditores internos
'cessar logs de outros micros em rede
Solicitar arqui"os atra"(s da rede!
8. A'i1idad"* do ;"*'or d" a%di'oria
planejamento e controle de trabalhos C projetos de auditoria
treinamento de auditores internos
administra%o da qualidade dos trabalhos de auditoria
elabora%o do plano diretor da auditoria
contato com e)ecuti"os e chefes das +reas auditadas
participa%o nas reunies de apresenta%o e discuss%o dos relatrios de auditoria
apresenta%o do plano diretor de auditoria para a alta administra%o
discuss%o do oramento da auditoria
8.1. Pa#o Dir"'or d" A%di'oria d" Si*'")a*
9stabelece indicadores de qualidade e m(tricas! 5e"e conter:
=bjeti"os
8ndicadores de qualidade da auditoria de sistemas
<ecursos necess+rios 2 auditoria
Treinamento para auditores
Custos
Cronograma de ati"idades
Suporte 2 auditoria operacional pela auditoria de sistemas
8.8. R"a'@rio a#%a d" a%di'oria d" *i*'")a*
<esume o controle e)ercido pelo gerente de auditoria sobre as ati"idade da auditoria de sistemas
e de"e conter:
5escri%o dos objeti"os propostos
5etalhamento das mudanas de objeti"o ocorridas
Caracteri#a%o dos indicadores de qualidade usados
Luadros de indicadores de qualidade e m(tricas
9stat$sticas quanto 2 e"olu%o das m(tricas alcanadas
Coment+rios quanto aos indicadores
Coment+rios quanto 2 atua%o da auditoria de sistemas >problemas enfrentados,
par-metros para a auditoria do pr)imo ano, etc?!
>. I#di!ador"* d" <%aidad" #a a%di'oria d" *i*'")a*
'tendem ao planejamento e controle da auditoria de sistemas
S%o criados com base na an+lise de pontos de controle
Ser"em de referncia para a organi#a%o da qualidade dos trabalhos de auditoria de
sistemas reali#ados
S%o estabelecidos pela alta administra%o
3ermitem a administra%o por e)ecu%o
'tendem aos par-metros de controle interno
3ermitem caracteri#ar:
3roduti"idade dos trabalhos da auditoria
9ficincia nos processos de auditagem >uso de t(cnicas otimi#adas?
9fic+cia dos resultados das auditorias de sistemas efetuadas >alcance dos objeti"os?
Segurana dos recursos tang$"eis alocados a processos e resultados!
9)emplo de 8ndicador de qualidade: quantidade m(dia de horas de auditoria aplicada por ponto
de controle:
6%a#'idad" d" 3ora* d" a%di'oria
Z [[[[[[[[[[[[[[[[[[[[[[[[[[
6%a#'idad" d" PC 1aidado*
Becess+ria a e)istncia de um software >Sistema de 'dministra%o de 3ontos de Controle? que
apure:
Tempo dispon$"el para reali#a%o da auditoria
'n+lise de risco e elei%o de pontos de controle
T(cnicas mais adequadas a serem aplicadas a cada ponto de controle
9"idncias de auditoria obtidas das "aliaes efetuadas
Bature#a das fraque#as de controle interno
Tipo de alternati"as de solu%o propostas para as fraque#as
<ela%o custo C benef$cio da auditoria interna
- &erificar qualidade da metodologia, seu uso e aplica%o
- 'presentar relatrio com recomendaes para melhoria da qualidade das metodologias e para
o cumprimento das etapas e procedimentos definidos pela alta administra%o!
O. AS TRANSFORMA\ES NA FUNO DA AUDITORIA
No1a* "7i;D#!ia* da* or;a#i$a45"*:
Continuidade =peracional
3esquisa e desen"ol"imento para alcance da ino"a%o tecnolgica
3ioneirismo >entrar no mercado no momento da ascens%o do negcio?
8dentifica%o da itensidade e potencial da concorrncia
:ucrati"idade de cada linha de negcioCprodutoCser"io
'juste da inform+tica e da 'uditoria de Sistemas
No1o pap" da a%di'oria: 'ssessoria, emiss%o de opinies e proposta de aes de otimi#a%o
Pap" da .r"a d" i#for).'i!a: Consultoria quanto 2 tecnologia de 395, buscando melhoria em
processos e resultados
/a#3o* #o #o1o "#fo<%" da a%di'oria d" *i*'")a*:
9nquadramento dos pontos de contole em focos mais precisos
<ealce em ati"idade de planejamento e controle, t(cnicas estat$sticas e linhas de negcio
9nfoque nos interesses dos e)ecuti"os e profissionais no produto final dos trabalhos de
auditagem
1aior argumenta%o e susten%o lgica nas propostas da auditoria!
No1o pap" da A%di'oria d" Si*'")a*: 'tuar em regime de parceria com auditores de outras
+reas e auditados, para defini%o de solues conjuntas agente de mudana
No1o p"rfi do a%di'or d" i#for).'i!a: 'uditor da qualidade da aplica%o da inform+tica 2s
linhas de negcioCprodutosCser"ios nos momentos de planejamentoCe)ecu%oCcontrole e nas
esferas operacionalCt+ticaCestrat(gica!
1P. O AMBIENTE FUTURO DA TECNOLO/IA DE INFORM:TICA
U*%.rio* propri"'.rio*: usu+rios que desen"ol"em e operam seus sistemas
R"d" 'o'a d" !o)p%'a4&o: 0so de micros port+teis e conectados em rede para transmiss%o,
recep%o e acesso a dados
Co#3"!i)"#'o !o)par'i3ado: 'plica%o da tecnologia de sistemas especialistas
No1a* f%#45"* !o)p%'a!io#ai*: <ealce no papel da consultoria da +rea de inform+tica para
di"ulga%o de no"as tecnologias e treinamento!
No1a* #"!"**idad"* #a .r"a d" i#for).'i!a:
Bo"as abordagens de treinamento para profissionais de inform+tica
Capacidade de negocia%o: argumenta%o lgica para negocia%o de solues
Crit(rios negociais: <acioc$o em termos de mercado, concorrncia, linhas de negcio,
no"os empreendimentos, etc!
9st$mulo 2 criati"idade : 5iscuss%o de aspectos comportamentais dos profissionais das
+reas de responsabilidade da empresa!
5esen"ol"imento de 7now4how de inform+tica para os usu+rios
1etodologia de desen"ol"imento de sistemas
Crit(rios para suporte t(cnico
3lanejamento e controle das ati"idades e tecnologias de inform+tica
No1o* pro-")a*:
Oai)o n$"el de forma%o dos usu+rios em 395
3rocesso de mudana nas +reas organi#acionais acelerado pelo usuo total da inform+tica pelos
usu+rios
'umento da responsabilidade para e)ecuti"os e profissionais pela disponibili#a%o direta da
inform+tica para os usu+rios
No1a* f%#45"* do* profi**io#ai* d" i#for).'i!a
A#ai*'a d" <%aidad" ") i#for).'i!a: respons+"el pelo planejamento, controle e
operacionali#a%o de sistemas C aes C indicadores de qualidade!
A#ai*'a d" S";%ra#4a ") i#for).'i!a: respons+"el pela segurana f$sica, lgica e
ambiental da inform+tica
E#;"#3"iro do !o#3"!i)"#'o: respons+"el por disseminar o conhecimento empresarial em
todos os pontos da organi#a%o!
Prioridad"* da .r"a d" i#for).'i!a:
<ecrutamento e sele%o de profissionais com "i"ncia em microinform+tica, Oancos de
5ados e redes de computadores
6enerali#a%o do uso da inform+tica em funes prim+rias da organi#a%o: e4mail,
agendas, planilhas eletr/nicas, etc!
Treinamento dos usu+rios em qualidade em 395, controles lgicos e plataformas
computacionais!
11. NOHA AUDITORIA DE SISTEMAS ? NOHO AMBIENTE DE INFORM:TICA
1aior nfase em t(cnicas de auditoria como montagem de cen+rios alternati"os ou futuros
com o uso de sistemas especialistas e aplica%o de question+rios 2 dist-ncia para acelerar o
processo de auditagem
1aior interesse em +reas para auditoria como centros de pesquisas e +reas de no"os
produtos C tecnologias e pesquisas em ambientes e)ternos para le"ar no"as id(ias para dentro
da organi#a%o!
'uto auditoria pelas +reas empresariais
5i"ersifica%o no produto final da auditoria
'tua%o da auditoria com as no"as funes da +rea de inform+tica >'nalista de Segurana,
'nalista de Lualidade, 'nalista do Conhecimento?
'"alia%o dos indicadores de qualidade!
BIBLIO/RAFIA:
6il, 'nt/nio de :oureiro! 'uditoria de Computadores, .III, 'tlas, \
a
! 9di%o
8moniana, ]oshua =nome! 'uditoria de Sistemas de 8nforma%o, .II\, 'tlas, *
a
! 9di%o
=#ores, Carmen! T(cnicas de 'uditoria de Sistemas aplicadas a detec%o e pre"en%o a fraudes!
3alestra apresentada no 8 C:'S8 F Congresso :atino 'mericano [ Q&8 CB'S8 4 Congresso
Bacional de 'uditoria de Sistemas, Segurana da 8nforma%o e 6o"ernana!, S%o 3aulo, .IIR