Auditoria em TI - PDF - Material 01
Auditoria em TI - PDF - Material 01
Auditoria em TI - PDF - Material 01
Programao?
Caractersticas do curso.
Contedo programtico.
Teoria (Reviso).
Exerccios.
Caractersticas do Curso.
Curso em Videoaulas.
Direito aos slides utilizados em todos os mdulos anotados e no anotados.
Material de apoio. (lista de exerccios)
Curso ao estilo Reta Final com 50% de Contedo e 50% de Exerccios Comentados.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Auditoria em Tecnologia da Informao: 1. Processo de Auditoria de TI. 2. Organizao da
funo de auditoria de TI. 3. Anlise de riscos. 4. Controles internos. 5. Objetivos de controle
internos gerais e aplicados TI. 6. Procedimentos de controle gerais e aplicados TI. 7.
Execuo de auditoria de TI. 8. Programas de auditoria. 9. Metodologia de auditoria. 10.
Deteco de fraudes. 11. Materialidade e risco de auditoria. 12. Tcnicas de avaliao de riscos.
13. Objetivos de auditoria. 14. Testes substantivo e de conformidade. 15. Evidncia. 16.
Entrevista e observao do desempenho de atividades. 17. Amostragem. 18. Tcnicas de
auditoria assistida por computador. 19. Avaliao dos pontos fortes e fracos da auditoria. 20.
Comunicao dos resultados de auditoria. 21. Aes gerenciais para a implementao das
recomendaes. 22. Documentao de auditoria. 23. Auditoria de Aquisies de Bens e Servios
de TI. 24. Aspectos relevantes da fase interna. 25. Projeto bsico e estudos preliminares. 26.
Indicao de marca e padronizao. 28. Dispensa e inexigibilidade. 28. Adjudicao por item,
por grupo e global. 29. Terceirizao de servios. 30. Aspectos relevantes da fase externa. 31.
Impugnaes e questionamentos. 32. Anlise de documentao. 33. Anlise de propostas
tcnicas. 34. Solicitao e anlise de amostras. 35. Recursos. 36. Aspectos relevantes da
elaborao de contratos. 37. Elementos obrigatrios. 38. Pagamento de servios esforo
versus produto. 39. Condies para recebimento e aceite. 40. Clusulas de nvel de servio
(SLA). 41. Penalidades e sanes administrativas. 42. Celebrao de termos aditivos. 43.
Aspectos relevantes da fiscalizao de contratos. 44. O papel do fiscalizador do contrato. 45. O
papel do preposto da contratada. 46. Acompanhamento da execuo contratual. 47. Registro e
notificao de irregularidades. 48. Aplicao de penalidades e sanes administrativas. 49.
Recebimento e aceite de bens e servios. 50. Atestao de faturas para liquidao. 51.
Legislao bsica: Lei n. 8.666/1993 e alteraes (licitaes e contratos). 52. Decreto
Municipal n. 54.785, de 23 de janeiro de 2014 (Institui a Poltica Municipal de Governana de
Tecnologia da Informao e Comunicao PMGTIC, no mbito da Administrao Pblica
Municipal). 53. Decreto Municipal n. 55.005, de 4 de abril de 2014 (Dispe sobre a aquisio
de bens e a contratao de servios de tecnologia da informao e comunicao no mbito da
Administrao Pblica Municipal).
- Auditoria de Aquisies de Bens e Servios de TI: Este contedo dever ser trabalhado com o
estudo das Contrataes de TI mesmo, IN-04, IN-02, Decreto 7174, Lei 8666, Lei 10520, claro,
que tudo j bizuradinho mesmo.
- Risco de Auditoria: Isso no disciplina de Gesto de Riscos, mas sim um dos tpicos no
muito trabalhados ainda nas provas que trata justamente do Risco de Auditoria x Relevncia.
- Auditoria de TI: Processo de Auditoria de TI: se no seu edital for publicado somente este item,
fique atento, pois o avaliador poder cobrar todo o contedo que diz respeito Auditoria de TI,
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
desde a parte de Risco de Auditoria at os tpicos abaixo listados, sem considerar a parte de
Auditoria de Aquisio de Bens e Servios de TI, pois esta parte da disciplina de Contrataes
de TI.
- Controles internos. Objetivos de controle internos gerais e aplicados TI. Este aquele
contedo que posso chamar de bsico dentro da Auditoria. onde devemos estudar a parte
conceitual da Auditoria como um todo e como tais conceitos acabam sendo trazido para dentro
da Auditoria de TI.
- Organizao da funo de auditoria de TI. Execuo de auditoria de TI. Programas de
auditoria. Metodologia de auditoria. Deteco de fraudes. Objetivos de auditoria. Testes
substantivo e de conformidade. Evidncia. Entrevista e observao do desempenho de
atividades. Amostragem. Procedimentos de controle gerais e aplicados TI.: Estes tpicos
esto distribudos como sendo a maioria das questes de Auditoria de TI, principalmente por
constar em sua boa parte do Cdigo de tica e dos Padres adotados em um processo de
Auditoria.
Encontramos todo este contedo nos itens: Cdigo e tica e Padres, Abordagens de Auditoria
de Sistemas de Informao em meus cursos de forma bem organizada e estruturada e
Procedimentos de Auditoria de Sistemas Aplicativos.
- Tcnicas de auditoria assistida por computador: Este contedo dever ser estudado com o uso
do que chamamos de Abordagens de Auditoria de Sistemas da Informao ou de Tecnologia da
Informao e tambm complementado pela parte de Abordagem Tcnica de Auditoria de TI,
onde temos inclusive a listagem das TAACs Tcnicas de Auditoria Assistidas por
Computadores.
- Avaliao dos pontos fortes e fracos da auditoria. Comunicao dos resultados de auditoria.
Aes gerenciais para a implementao das recomendaes. Documentao de auditoria:
Apesar de pensarmos que tal contedo um contedo genrico, interessante dar ateno a
ele sim.
Fontes de Estudo.
Histria e Origem da Auditoria e do Controle no Brasil e no Mundo.
Conceitos Aplicveis Auditoria de TI.
Cdigo de tica e Padres.
Abordagens de Auditoria de Sistemas da Informao.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Procedimentos de Auditoria de Sistemas Aplicativos.
Abordagem Tcnica da Auditoria de TI.
Auditoria de Aquisies de Bens e Servios de TI.
Fontes de Estudo.
Histria e Origem da Auditoria e do Controle no Brasil e no Mundo.
Conceitos Aplicveis Auditoria de TI.
Cdigo de tica e Padres.
Abordagens de Auditoria de Sistemas da Informao.
Procedimentos de Auditoria de Sistemas Aplicativos.
Abordagem Tcnica da Auditoria de TI.
Auditoria de Aquisies de Bens e Servios de TI.
Fontes de Estudo.
TCU:
o www.tcu.gov.br.
o Glossrio de Termos de Controle.
o Normas de Auditoria do TCU NATs.
CGU:
o www.cgu.gov.br.
o Manual de Auditoria IN SFC 01/2001.
Livros:
o Auditoria de Sistemas de Informao Joshua Imoniana 2 edio 2011.
o Auditoria e Controlo de Sistemas de Informao 2009.
o Princpios de Sistemas de Informao Star Reinolds - 2002.
o Implantando a Governana de TI da Estratgia Gesto de Processos 4 Edio.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
o
o
o
o
o
o
Site da ISACA:
o www.isaca.org/portuguese/pages/default.aspx.
o Cobit 5.
o Certificaes da ISACA.
o Normas de Auditoria e Garantia de Sistemas de Informao.
Site do COSO:
o www.coso.org.
o Principal modelo norteador da estruturao de sistemas de controles internos e de
gesto de risco.
www.planalto.gov.br
www.planejamento.gov.br
www.cespe.unb.br
www.fcc.org.br
www.cesgranrio.org.br
www.esaf.fazenda.gov.br
Caractersticas do Curso.
Fontes de Estudo.
Histria e Origem da Auditoria e do Controle no Brasil e no Mundo.
Conceitos Aplicveis Auditoria de TI.
Cdigo de tica e Padres.
Abordagens de Auditoria de Sistemas da Informao.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Procedimentos de Auditoria de Sistemas Aplicativos.
Abordagem Tcnica da Auditoria de TI.
Auditoria de Aquisies de Bens e Servios de TI.
Histria e Origem da Auditoria e do Controle no Brasil e no Mundo
Gr-Bretanha - Revoluo Industrial.
Era das Grandes Navegaes.
Surgimento do Capitalismo.
Necessidade do surgimento do Controle devido Teoria da Agncia:
Ocorre conflito quando o bem estar de uma parte, denominada principal,
depende das decises tomadas por outra responsvel pela gesto do patrimnio
do principal, denominada agente.
Surgimento das Sociedades Annimas.
Prestao de Contas no Servio Pblico.
Oriunda diretamente da Teoria da Agncia.
Existem alguns indcios histricos que na ndia, antes de Cristo j existiam normas
Administrativas de Auditoria Pblica.
No Brasil.
O Principal o Povo e a o Agente o Servidor Pblico.
Discusso sobre a criao do TCU durou quase um sculo.
Surgimento do TCU na CF de 1891, Art. 89.
Caractersticas do Curso.
Fontes de Estudo.
Histria e Origem da Auditoria e do Controle no Brasil e no Mundo.
Conceitos Aplicveis Auditoria de TI.
Cdigo de tica e Padres.
Abordagens de Auditoria de Sistemas da Informao.
Procedimentos de Auditoria de Sistemas Aplicativos.
Abordagem Tcnica da Auditoria de TI.
Auditoria de Aquisies de Bens e Servios de TI.
Conceitos Aplicveis Auditoria de TI Controle X Fiscalizao X Auditoria.
Controle:
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
A ao independente de um terceiro sobre uma relao de accountability, objetivando
expressar uma opinio ou emitir comentrios e sugestes sobre como essa relao est sendo
obedecida. [Canad, Escritrio do Auditor-Geral]
Conjunto de procedimentos e mtodos, cuja finalidade vigiar as funes e atitudes das
organizaes, possibilitando verificar se todas as operaes so realizadas conforme os
programas adotados e as diretrizes e princpios estabelecidos. [Carneiro]
(...)
Interno: Conjunto de procedimentos e mtodos, cuja finalidade vigiar as funes e atitudes
das organizaes, possibilitando verificar se todas as operaes so realizadas conforme os
programas adotados e as diretrizes e princpios estabelecidos. [TCU, Guia de Auditoria]
Externo: por excelncia, um controle poltico de legalidade contbil e financeira, destinado a
comprovar a probidade dos atos da administrao; a regularidade dos gastos pblicos e do
emprego de bens, valores e dinheiros; a fiel execuo do oramento. [Meirelles]
Controle est relacionado ao cumprimento de normas.
Fiscalizao:
Serve para que exista a concretude do Controle.
O Controle foi imaginado para funcionar e a fiscalizao serve para verificar se as
normas na administrao esto sendo seguidas.
Tcnica de controle que visa a comprovar se o objeto dos programas de governo existe,
corresponde s especificaes estabelecidas, atende s necessidades para as quais foi
definido e guarda coerncia com as condies e caractersticas pretendidas e se os
mecanismos de controle administrativos so eficientes. [CGU Manual de Auditoria IN
SFC 01/2001]
A Fiscalizao efetiva, d eficcia ao Controle.
Auditoria:
um exame independente e objetivo sobre uma situao em confronto com o critrio
ou padro preestabelecido, com finalidade de emitir uma opinio sobre o assunto.
Conjunto de tcnicas que visa avaliar a gesto pblica, pelos processos e resultados
gerenciais, e a aplicao de recursos pblicos por entidade de direito pblico e privado,
mediante a confrontao entre uma situao encontrada com um determinado critrio
tcnico, operacional ou legal. [CGU Manual de Auditoria IN SFC 01/2001]
uma operao de anlise e diagnstico da empresa, tendo em considerao todos os
aspectos da sua gesto, a fim de avaliar a coerncia, a racionalizao de processos e de
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
apreciar a validade e o rigor dos resultados. De modo geral, a auditoria intervm em
diversos domnios organizacionais, focalizando vrios alvos. [Carneiro]
A Auditoria o Conjunto de mtodos, procedimentos e mecanismos para se realizar
fiscalizaes.
Exerccios.
01. (FIOCRUZ Analista de Gesto em Sade Gesto de Tecnologia da Informao
2010 FGV)
A Auditoria pode ser considerada como um mecanismo de:
a) controle que deve ser usado em servios para o negcio.
b) controle de armazenamento de informao.
c) gerenciamento autoritrio da informao.
d) gesto de transmisso e armazenamento de informao.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
e) recuperao e conferncia de processos.
Exerccios.
03. (TRE-SP Analista Judicirio Anlise de Sistemas 2012 FCC)
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
[23] So objetivos da auditoria, EXCETO:
a) Assegurar a adequao do sistema de controles que est implantado e que est sendo utilizado.
b) Determinar se os recursos esto sendo utilizados em funo da anlise de custo e benefcio.
c) Gerenciar os riscos da organizao e tomar aes para solucionar os problemas porventura
identificados.
d) Checar se os ativos esto salvaguardados apropriadamente
e) Revisar a integridade, confiabilidade e eficincia do sistema de informao e dos relatrios
financeiros nele produzidos.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Exerccios.
05. (TRE-RS Analista Judicirio Analista de Sistemas 2010 FCC)
[60] Sobre auditoria no sistema de segurana da informao, considere:
I. Um critrio de auditoria pode ser uma norma ou um conjunto de polticas, procedimentos ou
requisitos.
II. O programa de auditoria precisa garantir a melhoria contnua e, para tanto, utilizar o ciclo PDCA.
III. A utilizao de uma metodologia de gesto de projetos associada etapa de implementao do
programa de auditorias gera resultados muito positivos.
IV. Os procedimentos de auditoria precisam ser definidos, mas no devem fazer parte da poltica de
segurana da informao.
Est correto o que consta em
I, II, III e IV.
a)
b)
I e III, somente.
c)
II e IV, somente.
I, II e III, somente.
d)
e)
II, III e IV, somente.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Controle Externo.
Surgimento no Brasil na Constituio Federal de 1891.
SEFTI:
Secretaria de Fiscalizao de Tecnologia da Informao.
Fiscalizao da TI na APF.
Coordena a realizao de fiscalizaes em Governana de TI, nos
sistemas informatizados da APF, nas iniciativas do Governo Eletrnico, na
gesto dos recursos de TI, em editais de licitao, em contratos e em
processos de aquisies diretas.
rgos de Fiscalizao, Controle e Auditoria na APF:
DSIC:
Departamento de Segurana da Informao e Comunicaes do Gabinete de
Segurana Institucional da Presidncia da Repblica.
Coordena toda a normatizao da Segurana da Informao e Comunicaes no
mbito da APF.
rgos de Fiscalizao, Controle e Auditoria na APF:
CGU:
Controladoria Geral da Unio.
Controle Interno.
rgo do Governo Federal responsvel por assistir direta e imediatamente o
Presidente da Repblica quanto aos assuntos que, no mbito do Poder Executivo
federal, sejam relativos defesa do patrimnio pblico e ao incremento da
transparncia da gesto, por meio das atividades de controle interno, auditoria
pblica, correio, preveno e combate corrupo e ouvidoria.
Tipos de Auditoria.
rgos de Fiscalizao, Controle e Auditoria na APF:
CGU:
Controladoria Geral da Unio.
Controle Interno.
rgo do Governo Federal responsvel por assistir direta e imediatamente o
Presidente da Repblica quanto aos assuntos que, no mbito do Poder Executivo
federal, sejam relativos defesa do patrimnio pblico e ao incremento da
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
transparncia da gesto, por meio das atividades de controle interno, auditoria
pblica, correio, preveno e combate corrupo e ouvidoria.
Exerccios.
07. (DATAPREV Analista de TI Auditor de Sistemas 2006 CESPE)
A figura acima, cujo ttulo Dois Grandes Mentirosos?, apresenta um cenrio para discusso acerca
dos conceitos, normas e tcnicas de auditoria. Acerca desse tema, julgue os itens a seguir.
[54] Os objetivos do controle externo, conforme definidos no mbito da legislao federal sobre
controle e auditoria, so idnticos aos da auditoria interna.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Objetivam examinar a legalidade e a legitimidade dos atos de gesto dos
responsveis sujeitos jurisdio do Tribunal, quanto aos aspectos contbil,
financeiro, oramentrio e patrimonial. Compem as auditorias de regularidade,
as auditorias de conformidade e as auditorias contbeis. [TCU - Norma de
Auditoria 2010]
Regularidade/Legalidade/Conformidade
irregularidades.
est
relacionada
busca
por
fraudes
ou
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
As que no integram o PGA do Tribunal e exigem autorizao plenria. [TCDF,
2008]
Testes de observncia So testes que objetivam confirmar se os sistemas de controle
estabelecidos pelo auditado esto funcionando adequadamente. [TCDF, 2008]
Testes substantivos Os testes substantivos visam obteno de evidncia quanto
suficincia, exatido e validade dos dados produzidos pelo sistema contbil da entidade,
dividindo-se em: testes de transaes e saldos, e procedimentos de reviso analtica. [TCDF,
2008]
Exerccios.
08. (TCE-GO Analista de Controle Externo Tecnologia da Informao 2009)
[96] Quando os procedimentos de controle so adequados e aplicados de forma apropriada e
consistente pela organizao, os testes de auditoria.
a) de conformidade e substantivos so desnecessrios.
b) de conformidade podem ser limitados.
c) de conformidade devem ser significativos.
d) substantivos podem ser limitados.
e) substantivos devem ser significativos.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Auditoria em ambiente de Tecnologia da Informao no muda a formao exigida para
a profisso de auditor, apenas percebe que as informaes at ento disponveis em
forma de papel so agora guardadas em forma eletrnica e que o enfoque de auditoria
teria que mudar para se assegurar de que essas informaes em forma eletrnica sejam
confiveis antes de emitir sua opinio. [Imoniana, 2011].
Calcada/apoiada em confiana e em controles internos, que visam confirmar se os
controles internos foram implementados e se existem; caso afirmativo, se so efetivos.
[Imoniana, 2011].
As atividades de auditoria de TI, alm de tentar utilizar os recursos de informtica para
auditar o prprio computador, tambm visam automatizar todos os processos de
auditoria. [Imoniana, 2011].
Objetivos da Auditoria de TI:
Melhorar a eficincia e reduzir os custos.
Melhorar a qualidade do trabalho de auditoria, reduzindo, assim, os nveis de risco de
auditoria.
Atender s expectativas dos clientes, que esperam de seus auditores o mesmo grau de
automatizao que utilizam em seu prprio negcio.
Preparar-se para a globalizao dos negcios, que vem exigindo uma globalizao dos
auditores.
Manter-se entre as maiores e mais reconhecidas pelo mercado.
Exerccios.
10. (TCE-SP Agente de Fiscalizao Financeira Sistemas, Gesto de Projetos e
Governana de TI 2015 VUNESP)
Considerando as definies apresentadas na literatura a respeito da auditoria de sistemas, correto
afirmar que a auditoria de sistemas de informao
a) pode ser feita por profissionais internos empresa proprietria dos sistemas
b) no abrange os sistemas de bancos de dados da empresa.
c) no pode ser feita por profissionais externos empresa proprietria dos sistemas
d) no se importa com o tipo de controles existentes nos sistemas de informao.
e) somente deve ser feita uma vez a cada dois anos.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
a) aos parmetros acordados de entrega de servios, pois a rea de TI deve estar estruturada
adequadamente para atender aos SLAs (Service Level Agreement) nos contratos;
b) ao processo de gerenciamento de mudanas, para garantir que, depois de um incidente
imprevisvel, os servios de TI possam ser restaurados dentro dos limites de tempo preestabelecidos;
c) ao planejamento oramentrio de TI, que dever acompanhar a execuo do planejamento
institucional, no podendo haver ajustes em decorrncia de variaes no suprimento oramentrio ou
de mudanas nas demandas;
d) terceirizao de servios de TI, que no pode ser utilizada em atividades-meio da instituio;
e) ao uso de tcnicas de auditoria assistidas por computador, pois essa deciso s pode ser tomada na
fase de planejamento e no no decorrer dos exames.
Caractersticas do Curso.
Fontes de Estudo.
Histria e Origem da Auditoria e do Controle no Brasil e no Mundo.
Conceitos Aplicveis Auditoria de TI.
Cdigo de tica e Padres.
Abordagens de Auditoria de Sistemas da Informao.
Procedimentos de Auditoria de Sistemas Aplicativos.
Abordagem Tcnica da Auditoria de TI.
Auditoria de Aquisies de Bens e Servios de TI.
Cdigo de tica e Padres.
Cdigo de tica:
Vai direcionar e pautar de forma tica as atividades de um Auditor de TI, fora claro, a
forma de se portar mediante a um auditado e do prprio auditado se portar durante um
processo de auditoria.
Comit de Padres da Associao de Controle e Auditoria de TI:
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Responsabilidade, autoridade e prestao de contas: a responsabilidade, a
autoridade e a prestao de contas sobre a funo de auditor de tecnologia da
informao devem ser apropriadamente documentadas numa carta proposta ou de
aderncia ao escopo.
Independncia profissional: em todas as questes relativas auditoria, o auditor de
tecnologia da informao deve ser independente, seja em atitude ou aparncia. No
relacionamento organizacional a funo de auditor de tecnologia da informao de ser
suficientemente independente da rea sob auditoria para permitir uma concluso
objetiva da auditoria.
Comit de Padres da Associao de Controle e Auditoria de TI:
tica profissional e padres: o auditor de TI deve aderir ao cdigo de tica
profissional da Associao de Controle e Auditoria de Tecnologia da Informao,
atentando para o cumprimento do zelo profissional. O devido zelo profissional e a
observncia dos padres profissionais de auditoria devem ser exercidos em todos os
aspectos do trabalho do auditor de Tecnologia da Informao.
Competncia: o auditor de tecnologia da informao, no uso de suas habilidades e
conhecimentos, deve ser competente tecnicamente, possuindo habilidades e
conhecimentos necessrios para a execuo do trabalho de auditor. O auditor de
tecnologia da informao ainda deve manter a competncia tcnica atravs de
constante aprimoramento profissional por via da educao continuada.
Planejamento: o auditor de tecnologia da informao deve planejar suas tarefas para
direcionar os objetivos da auditoria e seguir os padres profissionais de auditoria
aplicveis. Sua equipe deve ser supervisionada apropriadamente para assegurar que os
objetivos de auditoria sejam alcanados e os padres profissionais de auditoria
aplicveis sejam respeitados. Outrossim, durante o curso da auditoria, o auditor de
tecnologia da informao deve obter evidncia suficiente, confivel, relevante e
proveitosa para alcanar efetivamente objetivos da auditoria. Os pontos e concluses da
auditoria devem ser fundamentados por meio de anlise e interpretao apropriadas
desta evidncia.
Emisso de relatrio: o auditor de tecnologia da informao deve prover um relatrio,
em forma apropriada, para os destinatrios, por ocasio da concluso do trabalho de
auditoria. O relatrio de auditoria deve apresentar escopo, objetivos, perodo de
abrangncia, natureza e extenso do trabalho executado. Deve identificar a
organizao, os usurios desejveis e quaisquer restries sua circulao. Ainda, neste
relatrio, devem-se incluir as observaes, concluses, recomendaes e quaisquer
ressalvas ou conceitos que o auditor possua a respeito da auditoria.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Atividades de follow-up: o auditor de tecnologia da informao deve requisitar e
avaliar informaes apropriadas sobre pontos, concluses e recomendaes anteriores e
relevantes para determinar se aes apropriadas foram implementadas em tempo hbil.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
A no conformidade com essas normas pode resultar numa investigao da conduta do
detentor da CISA pelo Conselho de Administrao da ISACA ou pelo comit apropriado e,
finalmente, em ao disciplinar.
Profissionais de auditoria e garantia devem incluir uma declarao em seu trabalho, quando
apropriado, de que a contratao foi realizada de acordo com as normas de auditoria e garantia
de SI da ISACA ou outras normas profissionais aplicveis.
A estrutura ITAF para o profissional de auditoria e garantia de SI apresenta diversos nveis de
diretrizes:
Normas, divididas em trs categorias:
Normas gerais (srie 1000) - so os princpios norteadores sob os quais funciona a
profisso de auditoria e garantia de SI. As normas se aplicam realizao de todas as
tarefas, e lidam com a tica, a independncia, a objetividade e o devido cuidado, bem
como conhecimento, competncia e habilidade do profissional de auditoria e garantia de
SI. As declaraes de normas (em negrito) so obrigatrias.
Normas de desempenho (srie 1200) tratam da realizao da contratao, por
exemplo, planejamento e superviso, definio de escopo, risco e materialidade,
mobilizao de recursos, gesto de superviso e tarefa, evidncia de auditoria e
garantia, e o exerccio de julgamento profissional, bem como o devido cuidado.
Normas de relatrio (srie 1400) - abordam os tipos de relatrios, os meios de
comunicao e as informaes comunicadas
Diretrizes, em apoio s normas, e tambm divididas em trs categorias:
Diretrizes gerais (srie 2000)
Diretrizes de desempenho (srie 2200)
Diretrizes de relatrio (srie 2400)
Ferramentas e tcnicas, oferecendo orientao adicional para profissionais de auditoria e
garantia de SI, por exemplo, documentos, programas de auditoria/garantia de SI, a famlia de
produtos COBIT 5
http://www.isaca.org/Knowledge-Center/Standards/Documents/1005 std Portuguese 1113.pdf
Os profissionais de Auditoria e garantia de Sistemas de Informao devem:
Realizar contrataes com integridade e cuidado.
Demonstrar entendimento e competncia suficientes para alcanar os objetivos da
contratao.
Manter o Ceticismo Profissional ao longo de toda a contratao.
Manter a competncia profissional, mantendo-se informado e em conformidade com
desenvolvimentos em normas profissionais.
(...)
(...)
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Comunicar a membros da equipe suas funes e responsabilidades, e garantir a adeso
da equipe s normas apropriadas na conduo de contrataes.
Abordar todos os interesses encontrados em relao aplicao de normas durante a
realizao da contratao.
Manter comunicaes eficazes com partes interessadas ao longo de toda a contratao.
Tomar medidas razoveis para proteger informaes obtidas ou derivadas durante a
contratao contra a publicao ou divulgao inadvertida a terceiros no autorizados.
Conduzir todas as contrataes tendo em mente o conceito de garantia razovel. O nvel
de testes variar com o tipo de contratao.
Guia definidor de um nvel mnimo de desempenho aceitvel exigido para dar respostas s
responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA.
Declaraes:
Profissionais de auditoria e garantia de SI devero ter expectativas razoveis de que a
contratao pode ser concluda de acordo com as normas de auditoria e garantia de SI
e, quando necessrio, de acordo com outras normas adequadas profissionais ou do
setor, ou regulamentos aplicveis, e que resultem em uma opinio ou concluso
profissional.
(...)
(...)
Profissionais de auditoria e garantia de SI devero ter expectativas razoveis de que o
escopo da contratao permita a concluso sobre o assunto e aborde qualquer restrio.
Profissionais de auditoria e garantia de SI devero ter expectativas razoveis de que a
gerncia compreenda suas obrigaes e responsabilidades em relao ao fornecimento
de informaes apropriadas, relevantes e oportunas necessrias realizao da
contratao.
Profissionais de Auditoria e Garantia de Sistemas de Informao devem:
Realizar a contratao de auditoria ou garantia de SI somente se o trabalho puder ser
concludo com xito, de acordo com normas profissionais.
Realizar a contratao de auditoria ou garantia de SI somente se o assunto da
contratao puder ser avaliado em relao a critrios relevantes.
Revisar o escopo da contratao de auditoria ou garantia de SI para determinar que ele
esteja claramente documentado e permita tirar uma concluso sobre o assunto.
Identificar e abordar qualquer restrio colocada sobre a contratao a ser realizada,
incluindo o acesso a informaes apropriadas, relevantes e oportunas.
Considerar se o escopo suficiente para permitir que uma seja expressa sobre o
assunto. Podem ocorrer limitaes de escopo quando informaes necessrias para
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
concluir a contratao estiverem indisponveis, quando o perodo includo na contratao
de garantia do auditor de SI for insuficiente ou quando a gerncia tentar limitar o
escopo a reas selecionadas. Nesses casos, outros tipos de contrataes podem ser
considerados como suporte para declaraes financeiras auditadas, revises de
controles, conformidade com normas e prticas requeridas ou conformidade com os
acordos, licenas, legislao e regulamentos.
Exerccios.
13. (TCE-RJ Analista de Controle Externo Tecnologia da Informao 2012
FEMPERJ)
Ao final de um processo de auditoria, o relatrio final deve:
a) conter necessariamente a opinio do auditor sobre as no conformidades encontradas;
b) ser revisado por toda a equipe de auditores, para evitar inconsistncias;
c) relatar todas as falhas encontradas, no sendo recomendada a diviso nas sub-reas auditadas;
d) ser bem detalhado, no devendo conter uma sntese dos resultados obtidos, para evitar possveis
interpretaes errneas por parte da alta direo;
e) ser objetivo e estritamente tcnico, no cabendo pareceres da gerncia superior sobre os achados e
recomendaes dos auditores.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
18. (INMETRO Analista em Mtricas e Qualidade Cincias da Computao 2007
CESPE)
Julgue os prximos itens, relativos a conceitos de auditoria e controle de riscos em tecnologia da
informao (TI).
[114] O modelo COBIT prope, para fins de auditoria, que os processos de gesto de TI de uma
organizao sejam classificados em quatro domnios: planejamento e organizao do desenvolvimento
de software; aquisio e desenvolvimento de sistemas; entrega e suporte de servios de software; e
monitoramento de redes.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
A figura acima, cujo ttulo Dois Grandes Mentirosos?, apresenta um cenrio para discusso acerca
dos conceitos, normas e tcnicas de auditoria. Acerca desse tema, julgue os itens a seguir.
[49] No papel central do auditor prover auxlio ao auditado.
[50] No atitude adequada do auditado receber elogiosamente o auditor.
[51] A atitude do auditor perante o auditado deve ser imparcial, inflexvel, impessoal e independente.
Exerccios.
21. (DATAPREV Analista de TI Auditor de Sistemas 2006 CESPE)
A figura acima, cujo ttulo Dois Grandes Mentirosos?, apresenta um cenrio para discusso acerca
dos conceitos, normas e tcnicas de auditoria. Acerca desse tema, julgue os itens a seguir.
[52] Durante o relacionamento com o auditado, a subjetividade, a capacidade de argumentao e a
atitude crtica no so atributos desejveis de um auditor.
[53] A imediata suspenso da auditoria deve ser feita quando o auditado demonstra comportamento
negativo, como pnico por associao sindicncia, fornecimento, em manuscrito, de evidncias
objetivas que no estavam originalmente vinculadas aos documentos solicitados e adoo de postura
agressiva em relao aos mtodos de auditoria.
[55] Antes do preparo do relatrio final sobre a atividade de auditoria, o auditado sempre deve receber
uma verso preliminar do relatrio com vistas confirmao, esclarecimentos e mesmo retificaes, a
fim de se dirimirem todas as dvidas ou falhas que tenham ocorrido durante a auditoria.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
III. O auditor de Tecnologia da Informao deve requisitar e avaliar informaes
sobre pontos, concluses e recomendaes anteriores e relevantes para
determinar
apropriadas foram implementadas em tempo hbil.
IV. De acordo com o cdigo de tica profissional da Associao de Auditores de
Controles, seus
membros
devem
manter
privacidade
e confidencialidade das
obtidas no decurso de suas funes, exceto quando exigido legalmente.
apropriadas
se
aes
Sistemas e
informaes
Caractersticas do Curso.
Fontes de Estudo.
Histria e Origem da Auditoria e do Controle no Brasil e no Mundo.
Conceitos Aplicveis Auditoria de TI.
Cdigo de tica e Padres.
Abordagens de Auditoria de Sistemas da Informao.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Procedimentos de Auditoria de Sistemas Aplicativos.
Abordagem Tcnica da Auditoria de TI.
Auditoria de Aquisies de Bens e Servios de TI.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
o sistema pode ser enquadrado em limites de grande risco, quando houver uma
evoluo e os documentos-fonte sarem de seu controle.
As avaliaes de TI, seja ambiente de uso pequeno, significativo ou complexo, no
importa, se executar algum procedimento de auditoria que exclua as CPUs e suas
funes aritmtica e lgica.
Abordagem atravs do Computador:
Aumento da importncia da TI e do seu uso
Manuseio dos dados.
Aprovao e registro da transaes.
Motiva o Auditor a acompanhar o processamento atravs e dentro do
computador.
O Auditor d maior nfase em tcnicas especficas que fazem uso do computador para
testar a si prprio e as entradas de dados.
(...)
Vantagens
Capacita melhor o Auditor a respeito de habilidade profissional no que tange o
conhecimento de processamento eletrnico de dados.
Capacita o Auditor a verificar com maior frequncia as reas que necessitam de
reviso constante.
(...)
Desvantagens
Se a operao for efetuada incorretamente, pode levar a perdas incalculveis.
O uso da abordagem pode ser caro, principalmente no que diz respeito ao
treinamento de auditores, aquisio e manuteno dos pacotes de software.
Partindo do pressuposto de que os pacotes so completos, podem estar errados.
As tcnicas manuais podem ser necessrias como complementos para que a
abordagem funcione efetivamente.
H risco de que os pacotes possam estar contaminados pelo uso frequente na
auditoria organizacional.
Abordagem com o Computador:
Abordagem mais completa que as demais.
No negligencia qualidades do controle interno dos sistemas.
No produz registros incompletos.
Possibilita a uso de Tcnicas de Auditoria Assistida por Computador TAAC.
Possibilidade de desenvolver programas especficos para serem usados pelo Auditor.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
O Auditor comea a ganhar tempo sobre os passos aplicados com o uso de
pacote generalizado de Auditoria de TI.
(...)
Apresenta a possibilidade da abordagem ser realizada de forma completamente assistida
e com o alcance de alguns objetivos:
A utilizao das capacidades lgicas e aritmticas do computador para verificar
se os clculos das transaes econmica e financeiras ou aqueles que dizem
respeito s reponsabilidades so feitos corretamente.
A utilizao das capacidades de clculos estatsticos e de gerao de amostras
que facilitem confirmaes de saldos necessrias para aferir a integridade de
dados de contas a receber, estoques imobilizados, advogados, entre outros.
A utilizao de capacidades de edio e classificao do sistema
computadorizado, a fim de ordenar e selecionar os registros de contabilidade.
A utilizao das capacidades matemticas do computador para analisar e
fornecer listas de amostras de auditoria.
Caractersticas do Curso.
Fontes de Estudo.
Histria e Origem da Auditoria e do Controle no Brasil e no Mundo.
Conceitos Aplicveis Auditoria de TI.
Cdigo de tica e Padres.
Abordagens de Auditoria de Sistemas da Informao.
Procedimentos de Auditoria de Sistemas Aplicativos.
Abordagem Tcnica da Auditoria de TI.
Auditoria de Aquisies de Bens e Servios de TI.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Disponibilidade
Auditabilidade
Versatibilidade
Manutenibilidade
Exerccios.
24. (TRE-SP Analista Judicirio Anlise de Sistemas 2012 FCC)
[48] Os objetivos globais referentes auditoria de sistemas aplicativos NO incluem
a) integridade e privacidade
b) confidencialidade e disponibilidade.
c) acuidade e auditabilidade.
d) versatilidade e manutenibilidade.
e) irreversibilidade e retratabilidade.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Segregao das funes: As responsabilidades e ocupaes incompatveis devem
estar segregadas de maneira a minimizar as possibilidades de perpetuao de fraudes e
at de suprimir erro e irregularidade na operao normal.
Classificao de informao: A gerncia deve estabelecer um plano de classificao
de informao que melhor sirva s necessidades da organizao, em conformidade com
os princpios de contabilidade geralmente aceitos e tambm padres de auditoria
geralmente aceitos.
Tempestividade: A gerncia deve delinear procedimentos, monitorar os registros
corretos das transaes econmicas, financeiras e contbeis das empresas,
processando-as e comunicando os resultados s pessoas necessrias em tempo hbil.
Auditoriabilidade: Os procedimentos operacionais devem permitir a programao e
verificao peridica no que concerne preciso do processo de processamento de
dados e de gerao de relatrio, de acordo com as polticas.
Controle Independente: Os sistemas em funcionamento devem ter procedimentos
adequados para identificao e correes de erros no fluxo de processamento, inclusive
nos processos executados concomitantemente.
Monitoramento: A gerncia deve possuir acesso mster ao sistema e controle de uso
que lhe permita fazer o acompanhamento pari passu das transaes.
Implantao: A gerncia deve planejar a aquisio, o desenvolvimento, a manuteno
e a documentao de sistema, de forma a coincidir com as metas empresariais.
Contingncia: A gerncia deve implementar um plano adequado e procedimentos de
implantao para prevenir-se contra as falhas de controles que podem surgir durante
especificaes de sistema, desenho, programao, testes e documentao de sistemas e
nas fases ps-implementaes.
Custo-Efetivo: Investimentos em tecnologia da informao devem ser propriamente
planejados, a fim de coincidirem com o custo efetivo.
Controles Administrativos e Gerenciais:
So de responsabilidade da gerncia.
Incluem:
Separao convencional de funes ou responsabilidades (segregao de
funes).
Estabelecimento de objetivos e metas de segurana da informao.
Planos oramentrios.
Seleo de pessoal.
Designao de autoridades e treinamento de pessoal.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Desenvolvimento de implementao de medidas corretivas para os desvios de
polticas e padres estipulados para o processo de gerenciamento.
Privacidade:
Mostra um estado oculto e fora do alcance de algum grupo particular em um
ambiente de computao, programas, aplicativos, dados e/ou equipamentos e
informao pertencentes a pessoas restritas e certas funes.
Acaba gerando frequentes mudanas de regras de tempos em tempos.
Trata desde a proteo fsica at a preveno de incidentes fatais que podem
causar danos irreversveis em documentos e aplicaes da organizao.
Propriedades:
Sigilo: fornecer uma privacidade ou situao estritamente confidencial aos
dados. Um pequeno deslize nesta propriedade conduz a uma derrocada de
assuntos restritos.
Integridade: fornecer um requisito de informao completa, correta e vlida e
confiabilidade a dados autorizados, guardando-os das distribuies e
modificaes no usuais. Qualquer sistema que preencha tais requisitos estar
manifestando as propriedades de integridade.
Disponibilidade: tornar os dados disponveis a quem quer que esteja
autorizado a usar tais dados. Apesar de ser dada proteo total aos dados, os
requisitos para us-los no devem ser prejudiciais. No entanto, podero ser
extradas informaes com um mnimo esforo ou interferncia.
Contabilidade: registrar todas as transaes ocorridas nos sistemas, a fim de
permitir o relato correto do contedo dos dados alimentados no sistema e,
sobretudo, permitir, quando for necessrio, rastrear a verdade e reportar a viso
justa das informaes armazenadas.
Auditoriabilidade: em qualquer sistema de segurana os dados devem ser
auditados. Isso possibilita gerncia relatrios de acompanhamento, para que
se saiba se esto sendo efetivos os controles implementados. O sistema tambm
deve fornecer facilidade necessria para exames e averiguao de
responsabilidades.
Controles de preparao e captao de dados:
Realizado no inicio de cada atividade de processamento de dados.
Envolve o recebimento de documentos, a pr-numerao e preparao de input.
Documentos so convertidos em lote
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Precisaremos controlar estes arquivos de lote (chamados de batches) e neste
caso eles so controlados pelo uso dos totais de controle, garantindo assim que
os lotes pretendidos estejam completos.
Dados que entram errados em um sistema iro produzir fatalmente sadas erradas.
Recursos a serem utilizados no controle da entrada de dados.
Criao de documentos de leituras ticas.
Uso de documentos pr-numerados sequencialmente.
Autorizao prpria para inputs de dados.
Uso de Control Totals (CRT).
Uso de dgitos de checagem completa.
Controles embutidos nos prprios sistemas.
Controladores de linha e modem loop-back.
Backup de discagem automtica para garantir a continuidade das operaes.
Etiquetas de arquivos.
Controles de processamento:
Atuam no momento que os dados j esto no computador e precisam ser processados.
Trabalha com:
Checagens da sequncia dos arquivos mestres e arquivos de transaes.
Checagem dos campos dos arquivos para deteco de superposio de dados.
Limite lgico, testes de racionalidade e totais cruzados.
Controles de sada e de emisso de relatrios:
Os procedimentos de manuseio de output devem ser administrados, a fim de assegurar
que os relatrios solicitados sejam impressos ou transmitidos e que somente pessoas
autorizadas devem receb-los.
Controles de gravao e recuperao de dados:
Certifica a integridade de dados recebidos dentro da base de dados e qualquer indivduo
autorizado pode acess-lo com o mnimo esforo.
Necessidade da utilizao de senhas e cdigos de acessos como fatores primordiais.
25. (TRE-SP Analista Judicirio Anlise de Sistemas 2012 FCC)
[45] No tocante a auditoria de TI, principalmente aos fundamentos de controles internos, considere:
I. Os principais objetivos de um sistema geral de controle, entre outros, so salvaguardar o ativo de
uma organizao, manter a integridade, correo e confiabilidade dos registros contbeis.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
II. A gerncia por objetivos, procedimentos e tomada de decises deve manter um controle que a
capacite a uma superviso efetiva dentro do ambiente de tecnologia da informao.
III. As responsabilidades e ocupaes compatveis devem estar segregadas de maneira a minimizar as
possibilidades de perpetuao de fraudes e at de suprimir erro e irregularidade na operao normal.
Est correto o que consta em
a)
III, apenas.
b)
I e III, apenas.
c)
I e II, apenas.
d)
II e III, apenas.
e)
I, II e III.
Caractersticas do Curso.
Fontes de Estudo.
Histria e Origem da Auditoria e do Controle no Brasil e no Mundo.
Conceitos Aplicveis Auditoria de TI.
Cdigo de tica e Padres.
Abordagens de Auditoria de Sistemas da Informao.
Procedimentos de Auditoria de Sistemas Aplicativos.
Abordagem Tcnica da Auditoria de TI.
Auditoria de Aquisies de Bens e Servios de TI.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Chamadas de TAAC - Tcnicas de Auditoria Assistida por Computadores.
Possuem como principal objetivo auxiliar o auditor a auditar 100% a populao da rea ou
transao revisada.
Podem ser aplicadas em diferentes situaes:
Testes de controles gerais: como de configurao de um Sistema Operacional ou para
confirmao de verses aprovadas em um ambiente de produo.
Testes de detalhes de transaes: exemplos clssicos seriam o recalculo dos saldos ou a
gerao de juros sobre uma conta cliente
Analtico e substantivo: para identificao de inconsistncias ou flutuaes anormais nas
contas e grupos de contas contbeis.
Amostragem: para gerar amostras para alimentao dos programas de auditoria.
A aplicao de TAACs seguem os seguintes passos
Estabelecer os objetivos da aplicao de TAAC.
Determinar os dados a serem utilizados para as tcnicas, inclusive a forma de acesso.
Identificar os arquivos e bancos de dados a serem testados.
Entender as entidades de relacionamentos das tabelas de dados onde a base de dados
ser examinada.
Definir testes e procedimentos de testes, inclusive as transaes e contras e grupos de
contas afetadas.
Definir os relatrios esperados.
(...)
(...)
Programar junto aos clientes e sua rea de informtica cpias de arquivos ou bases de
dados que devem ser gerados com cut-off de data e tempo adequados.
Identificar o tcnico que ir processar a aplicao de TAAC.
Estimar os custos de TAAC.
Certificar que os processos de TAAC foram adequadamente executados e os papis de
trabalhos documentados.
Avaliar resultados.
Software Generalista de Auditoria de TI.
Srie de software em ambiente batch.
Suas funes so:
Extrao de dados de amostra.
Testes globais.
Gerao de dados estatsticos para anlise.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Sumarizao.
Composio de outro arquivo a partir de um arquivo mestre de dados.
Apontamento de duplicidade de registros ou sequncia incorreta.
Os principais softwares generalistas encontrados so:
ACL - Audit Command Language
Utilizado na extrao e anlise de dados.
Desenvolvido no Canad.
IDEA - Interactive Data Extration e Analysis
Utilizado na extrao e anlise de dados.
Desenvolvido no Canad.
Animation
Verso norte-americana do IDEA.
Galileo
Software integrado de gesto de auditoria.
Principais funes
Riscos de auditoria
Documentao
Emisso de relatrio
Pentana
Software de planejamento estratgico de auditoria
Principais recursos
Planejamento e monitoramento de recursos.
Controle de horas.
Registro de checklists e programas de auditoria.
Desenho e gerenciamento de plano de ao.
Softwares Especializados.
Desenvolvido especificamente para executar certas tarefas em um circunstncia prdefinida.
Pode ser desenvolvido pelo prprio Auditor.
Programas Utilitrios.
Utilizados pelos Auditores em atividades do dia a dia.
Podem ser encontrados at mesmo em SGBDs.
Abordagem est para um jogo assim como a Tcnica est para a regra do jogo.
Vantagens esperadas:
Produtividade.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Custo.
Qualidade assegurada.
Valor agregado.
Benefcios corporativos.
Benefcios para o auditor.
Dados de Teste.
Test Data ou Test Deck
Aplicado em ambientes de processamento batch.
Possui um conjunto de dados de entrada pr-formatados especialmente com o objetivo
de testar os controles programados e os controles de sistemas aplicativos.
Realiza diversas transaes para que se possa no final ter como comparar os resultados
obtidos com os predeterminados.
Trata-se de uma simulao de dados para que sejam realizados testes nos processos
computacionais.
Fases:
Selecionar o mdulo de sistema
Escolher o parmetro de controle
Elaborar a simulao dos dados de teste
Preparar os formulrios de controle
Transcrever os dados para o sistema
Criar as condies do teste
Processar os dados
Avaliar os resultados
Redigir o relatrio sobre o ponto de controle
Facilidade de teste integrado
Integrated Test Facility (ITF).
Executada somente em ambientes on-line e realtime, visto que faz uso das verses em
produo.
Faz uso de entidades fictcias no sistema.
Aps os resultados obtidos com a entidades fictcias, eles so confrontados com os
resultados esperados.
Simulao Paralela:
O programa aqui desenvolvido pelo prprio Auditor para fazer a execuo paralela.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
Trabalha com um programa especfico para atender a todas as lgicas necessrias para
um aplicativo devidamente testado de forma que seus resultados possam ser
comparados com dados de transaes executadas anteriormente
Lgica de Auditoria embutida nos sistemas:
Incluso direta nos sistemas em seu momento de desenvolvimento de lgicas de
auditoria.
Gera a emisso de relatrios peridicos.
Rastreamento e mapeamento
Trabalha com o desenvolvimento de uma trilha de auditoria (audit trail) para
acompanhar certos pontos da lgica do processamento de algumas transaes
Trilha de auditoria um meio
Seus apontamentos trabalham com dados estatsticos baseados em funes no
executadas, como
Tempo de mquinas utilizado
Funes executadas
Quantas vezes essas funes foram executadas
Anlise da lgica de programao
Comparao entre lgica de programao e os documentos dos sistemas aplicativos
Avalia se as instrues dadas ao computador so as mesmas j identificadas nos
respectivos documentos
Pode ser feita manualmente ou com o uso de software
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
[29] Em auditoria de sistemas, para verificar se os controles esto funcionando conforme prescrito,
consistentemente e continuamente, utiliza-se:
documentao dos requisitos de negcio.
a)
b)
documentao das evidncias.
c)
teste de conformidade.
d)
teste substantivo.
e)
identificao dos pontos de controle.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
e)
Processo.
Para trabalharmos com auditoria o processo geralmente aceito, trabalha com 4 fases:
Identificar e documentar.
Avaliar.
Testar a conformidade.
Testes de validao.
Trazendo isso para Tecnologia da Informao, veremos que os processos das TIC so ento
auditados atravs da realizao das seguintes tarefas:
Obter uma compreenso dos requisitos de negcio e dos riscos associados, bem como
das medidas de controlo relevantes;
Avaliar a adequao dos controlos identificados;
Avaliar a conformidade, realizando teste de verificao do funcionamento dos controlos
identificados de acordo com o descrito, de forma continuada e consistente;
Formalizao do riscos associados ao no cumprimento dos objectivos de controlo,
utilizando tcnicas analticas e/ou outras fontes alternativas de consultoria.
Exerccios.
31.(TCE-AP Analista de Controle Externo Controle Externo TI 2012 FCC)
Para assegurar que as medidas de controle estabelecidas estejam funcionando como prescrito de
maneira consistente e contnua e para concluir sobre a adequao do ambiente de controle, os passos
de auditoria so estabelecidos, em uma guia de auditoria, na etapa
a)
obtendo um entendimento.
b)
avaliando os controles.
c)
elaborando o relatrio.
avaliando a conformidade.
d)
e)
evidenciando o risco.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
c)
Os documentos resultantes da Auditoria de TI so apresentados apenas rea de TI, pois
mostra a direo a ser tomada e os investimentos prioritrios e necessrios apenas nessa rea.
Tem como resultado alguns documentos que geralmente contm informaes sobre os riscos
d)
encontrados e a avaliao desses riscos, os controles em conformidade ou no com normas, e
recomendaes de melhoria.
e)
Apesar do relatrio de auditoria funcionar como um mapa que mostra a direo a ser tomada
pela rea de TI, ele no serve como um guia para auxiliar a administrao no planejamento estratgico
e na priorizao de investimentos, pois apresenta informaes tcnicas de interesse exclusivo da rea
de TI.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
a)
Em um processo de auditoria de sistema, o auditor deve necessariamente ser um colaborador
da organizao auditada, preferencialmente, deve pertencer ao setor analisado na auditoria.
Achados de auditoria so fatos significativos observados pelo auditor durante a execuo da
b)
auditoria. Geralmente, so associados a falhas e irregularidades, porm podem tambm indicar pontos
fortes da instituio auditada. O achado deve ser relevante e baseado em fatos e evidncias
irrefutveis.
c)
A auditoria da segurana de informao tem como principal objetivo implantar a poltica de
segurana e o plano de continuidade de negcios (PCN) de uma organizao.
d)
O processo de auditoria est divido em trs fases: planejamento, execuo e relatrio. Na fase
de planejamento, todas as evidncias das falhas e irregularidades encontradas devem ser coletadas
para que durante a fase de execuo as devidas correes nos controles sejam realizadas.
e)
Devido falta de confiabilidade dos dados processados por computador, ferramentas
computacionais de apoio, tais como mapping, tracing e snapshot, no podem ser empregadas em
auditorias de segurana.
Risco de Auditoria.
Metodologia adotada pelos auditores de TI para saberem quais as ameaas puras ou provveis
em um ambiente de TI de um organizao, claramente so as ameaas que vo representar
eventos futuros no desejveis e incertos para a organizao e que geraro perdas, caso
ocorram.
Resoluo CFC n 981/2003 Conselho Federal de Contabilidade.
11.6.1.7 - O auditor independente deve considerar a possibilidade de distores de valores,
relativamente, no-relevantes que, ao serem acumulados, possam, no conjunto, produzir
distoro relevante nas demonstraes contbeis. Por exemplo, um erro na aplicao de um
procedimento de encerramento mensal pode ser um indicativo de uma distoro relevante
durante o exerccio social, caso tal erro se repita em cada um dos meses.
Indcios de erros repetitivos, mesmo no-relevantes, individualmente, podem indicar deficincia
nos controles internos, requerendo do auditor independente o aprofundamento dos exames.
11.6.1.9 - A relevncia definida, quantificada e documentada nos papis de trabalho que
evidenciam o planejamento deve ser considerada pelo auditor independente ao:
a) determinar a natureza, poca e extenso dos procedimentos de auditoria; e
b) avaliar o efeito de distores identificadas.
11.6.2 - Relacionamento entre a relevncia e os riscos de auditoria
11.6.2.1 - Ao definir seu plano de auditoria, o auditor independente deve levar em conta quais
fatores poderiam resultar em distores relevantes nas demonstraes contbeis sob exame. A
avaliao do auditor independente, quanto relevncia de rubricas especficas e classes de
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
transaes ou divulgaes necessrias, ajuda-o a decidir sobre assuntos de planejamento de
auditoria, como por exemplo:
a) quais itens a examinar;
b) onde aplicar, ou no, amostragem e procedimentos analticos.
Isso permite ao auditor independente selecionar procedimentos de auditoria que, combinados,
possam reduzir o risco de auditoria a um nvel aceitvel.
11.6.2.2 - Existe uma relao inversa entre o risco de auditoria e o nvel estabelecido de
relevncia, isto , quanto menor for o risco de auditoria, maior ser o valor estabelecido como
nvel de relevncia e vice-versa. O auditor independente toma essa relao inversa em conta ao
determinar a natureza, poca e extenso dos procedimentos de auditoria. Por exemplo, se na
execuo de procedimentos especficos de auditoria, o auditor independente determinar que o
nvel de risco maior que o previsto na fase de planejamento, o nvel de relevncia,
preliminarmente estabelecido, deve ser reduzido. O auditor independente deve atenuar tal
ocorrncia por:
a) reduzir o nvel de risco de controle, onde praticvel, e suportar tal reduo por meio de
ampliao dos testes de controles; ou
b) reduzir o risco de deteco via modificao da natureza, poca e extenso dos testes
substantivos planejados.
Exerccios.
36. (TCE-GO Analista de Controle Externo Tecnologia da Informao 2014)
[92] Para um Auditor que examinar os controles internos da rea de tecnologia da informao, NO
fator determinante do escopo da auditoria:
(A) a materialidade.
(B) a natureza de negcio da entidade.
(C) a inexistncia de riscos de auditoria.
(D) as exigncias legais e regulatrias.
(E) as caractersticas de organizao da entidade.
Auditoria de TI
Curso para CGM SP
Professor: Gabriel Pacheco
III. o auditor deve selecionar o item que ser examinado para diminuir o risco.
Est correto o que se afirma em
I, II e III.
a)
b)
I, apenas.
c)
I e II, apenas.
d)
I e III, apenas.
e)
II e III, apenas.
GABARITO
Dez/Und
0
1
2
3
A
VVF
C
A
VFV
D
V
C
D
B
D
B
B
E
F
D
C
B
F
V
C
F
D
E
F
C
F
A