material do segundo dia do curso de pós em auditoria de sistemas

1. Tecnologia da Informação
Parte 2

2. Auditoria de sistemas
Noções de Tecnologia da Informação
Gerencial. Noções de auditoria de
sistemas. Segurança de sistemas.
Análise de riscos em sistemas de
informação contábeis. Plano de
contingência. Técnicas de avaliação
de sistemas. Situações de
Vulnerabilidade: Virus, Fraudes,
Criptografia, Acesso não
autorizados, riscos de segurança em
geral.

3. Auditoria de sistemas Aula 2
Noções de Tecnologia da Informação
Gerencial. Noções de auditoria de
sistemas. Segurança de sistemas.
Análise de riscos em sistemas de
informação contábeis. Plano de
contingência. Técnicas de avaliação
de sistemas. Situações de
Vulnerabilidade: Vírus, Fraudes,
Criptografia, Acesso não
autorizados, riscos de segurança em
geral.

5. Auditoria
Auditoria = Audire = do latim “Saber
ouvir”
Critério – Conjunto de políticas,
procedimentos e requisitos
Evidências – Registros, fatos ou
outras informações pertinentes aos
critérios de auditoria
Auditor – Pessoa com a
competência para realizar uma
auditoria

6. Auditoria
Processo sistemático, documentado
e independente para obter
evidências de auditoria e avaliá-las
objetivamente para determinar a
extensão na qual os critérios de
auditoria são atendidos

7. Auditoria
Auditado – Pessoa ou organização
na qual passará pelo processo de
auditoria
Plano da Auditoria – Descrição das
atividades e arranjos para uma
auditoria
Escopo da auditoria – Abrangência
e limites de uma auditoria

8. Princípios de Auditoria
 Conduta ética: O fundamento do profissionalismo
(Confiança, integridade, descrição e confidencialidade são
essenciais para auditar)
 Apresentação Justa: a obrigação de reportar com
veracidade e exatidão. A conclusão de uma auditoria
reflete verdadeiramente e com precisão as atividades da
auditoria
 Devido cuidado profissional: Cuidado necessário
considerando a importância da atividade e a confiança
depositada
 Independência: Auditores devem ser independentes da
atividade a ser auditada e são livres de conflito de
interesse e tendência
 Abordagem baseada em evidência: Evidência de
Auditoria é Verificável

9. Caracteristicas da auditoria
Pode ser conduzida por um ou
mais auditores
O auditor identifica os critérios
de auditoria (processo, templates
e informações pertinentes)
Realiza uma preparação no
material
Cria ou seleciona um checklist
para que sirva de guia durante a
execução da auditoria
Identifica possíveis auditados
(Verificar com o líder da equipe)
Apresenta-se formalmente ao
auditados, descrevendo os
objetivos da auditoria

10. AUDITORIA DA TECNOLOGIA DA
INFORMAÇÃO
é uma auditoria operacional,
analisa a gestão de recursos,
com o foco nos aspectos de
eficiência, eficácia, economia
e efetividade.

11. Abrangência
abrangência desse tipo de auditoria
pode ser o ambiente de informática
como um todo ou a organização do
departamento de informática

12. Ambiente de informática
Ambiente de informática:
 Segurança dos outros
controles;
 Segurança física;
 Segurança lógica;
 Planejamento de
contingências;
 Operação do centro de
processamento de
dados.

13. Organização do departamento de
informática
Organização do departamento de informática:
 Aspectos administrativos da organização;
 Políticas, padrões, procedimentos, responsabilidades
organizacionais, gerência pessoal e planejamento de
capacidade;
 Banco de dados;
 Redes de comunicação e computadores;
 Controle sobre aplicativos:
 Desenvolvimento,
 Entradas, processamento e saídas.

14. Auditoria da tecnologia da
informação
É abrangente, engloba todos
os controles que podem
influenciar a segurança de
informação e o correto
funcionamento dos sistemas
de toda a organização:
•Controles organizacionais;
•De mudança;
•De operação de sistemas;
•Sobre Banco de Dados;
•Sobre microcomputadores;
•Sobre ambiente cliente-
servidor.

15. Auditoria da segurança de
informações
Determina a postura da organização
com relação à segurança. Avalia a
política de segurança e controles
relacionados com aspectos de
segurança institucional mais globais,
faz parte da auditoria da TI. Seu
escopo envolve:
•Avaliação da política de segurança;
•Controles de acesso lógico;
•Controles de acesso físicos;
•Controles ambientais;
•Planos de contingência e
continuidade de serviços.

16. Auditoria de aplicativos
Segurança e controle de aplicativos
específicos, incluindo aspectos
intrínsecos à área a que o aplicativo
atende:
•Controles sobre o desenvolvimento
de sistemas aplicativos;
•Controles de entradas,
processamento e saída de dados;
•Controle sobre conteúdo e
funcionamento do aplicativo, com
relação à área por ele atendida.

17. Equipe de Auditoria
Gerente deve ter:
Habilidade para recrutar ou formar profissionais com nível adequado de
capacitação técnica em auditoria e TI; determinar forma de atingir a capacitação
e os métodos de treinamento mais eficazes.
Conhecimentos técnicos:
Sistemas operacionais,
Software básico,
Banco de dados,
Processamento distribuído,
Software de controle de acesso,
Segurança de informações,
Plano e contingência, e de recuperação e
Metodologias de desenvolvimento de sistemas.

18. Equipe de Auditoria
Conhecimentos em auditoria:
Técnicas de auditoria,
Software de auditoria e extração de dados,
Outras capacidades relevantes:
Princípios Éticos,
Bom relacionamento,
Comunicação oral e escrita,
Senso crítico,
Conhecimento específico na área (finanças, pessoal, estoque...)

19. Composição da equipe
Opções para a formação da equipe:
•Consultoria externa
•Desenvolver a capacidade técnica
de TI nos auditores
•Desenvolver técnicas de auditagem
no pessoal de TI

20. Consultoria externa
Consultoria externa
Analise (custo, alta capacidade, independência, duração,
investimento pessoal, extensão do trabalho)
Consultores externos somente para tarefas específicas
(conhecimento especializado).
Pontos críticos: custos, contrato e controle sobre atividades.
Definição de objetivos precisos e pontos de controle.
Recomendável: bom relacionamento, transferência de
conhecimentos.
Ao término da auditoria: avaliação dos serviços (opiniões dos
consultores, dos membros da equipe e da gerencia da organização), com
o objetivo de evitar as mesmas falhas no futuro.

22. Metodologia
 Entrevistas
 Entrevistas de apresentação
 - Apresentação da equipe, cronograma das atividades, objetivos, áreas, período,
metodologias. Estrutura do relatório (resultado da auditoria).
 Entrevistas de coleta de dados
 - Coleta de dados sobrre os sistemas ou ambiente de informática. Nessa entrevista podem ser
identificados os pontos fortes e fracos de controle, falhas e possíveis irregularidades. O
entrevistado deve saber de antemão como serão usados esses dados e conhecer o relatórios a
certa da entrevista.
 Entrevistas de discussão de deficiências encontradas
 - Ao término das investigações são apresentadas as deficiências encontradas. Ao discuti-las
podem ser apresentadas justificativas para essas deficiências, podendo ser desconsiderada as
falhas ou relatadas as justificativas.
 Entrevista de encerramento
 - É apresentado o resumo dos resultados (pontos fortes, falhas mais relevantes, comentários,
recomendações).

23. Objetivos de controle e procedimentos de
auditoria
Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos
negativos a serem evitados, para atingirmos esses objetivos, são traduzidos em
procedimentos de auditoria.
 Os objetivos de controle podem ter vários enfoques e podem ser motivados por
diversas razões:
 Segurança – dados e sistemas importantes para a organização, onde a
confidencialidade, integridade e a disponibilidade são essenciais.
 Atendimento a solicitações externas – verificação de indícios de irregularidade
motivados por denúncia ou solicitação de órgão superior.
 Materialidade – alto valor econômico-financeiro dos sistemas computacionais.
 Altos custos de desenvolvimento – sistemas de alto custos envolvem altos riscos.
 Grau de envolvimento dos usuários – o não envolvimento dos usuários no
desenvolvimento de sistemas, acarreta sistemas que em geral não atendem
satisfatoriamente às suas necessidades.
 Terceirização – efeitos da terceirização no ambiente de informática.

24. Execução de uma auditoria
Os resultados da auditoria (achados e conclusões) devem
ser suportados pela correta interpretação e análise
dessas evidências.
 Evidência física – observações de atividades
desenvolvidas pelos funcionários e gerentes, sistemas em
funcionamento, local equipamentos, etc.
 Evidência documental – resultado da extração de dados,
registro de transações, listagens, etc.
 Evidência fornecida pelo auditado - transcrições de
entrevistas, cópias de documentos cedidos, fluxogramas,
políticas internas, e-mails trocados com a gerência,
justificativas, relatórios, etc.
 Evidência analítica - comparações, cálculos e
interpretações de documentos.

25. Execução de uma auditoria – Boas
práticas
O auditor deve utilizar •Estar bem preparado para realizar a
palavras de questionamentos auditoria
como: •Tentar prever o máximo de
 Como? (de que modo) situações possíveis
 O que? (o fato) •Evitar surpresas ao auditado
 Quando? (tempo) •Esclarecer todas as dúvidas sobre
uma não-conformidade
 Quem? (pessoas)
•Buscar objetividade e fatos
 Onde? (lugar) concretos (Evidências)
 Por que? (motivos)
 Mostre-me (Evidência)

26. Execução de uma auditoria – Boas
práticas
•Não atacar pessoas e sim
fatos concretos
•Motivar a identificação de
melhorias
•Persuadir, não impor
•O auditor não deve relacionar
pessoas à não-conformidades
ou deficiências
•Ser flexível quando
necessário
•Ser imparcial e objetivo para
obtenção dos fatos

27. Relatório Preliminar
Antes mesmo de iniciar os trabalhos
de campo, na fase do planejamento
da auditoria, são coletadas
informações preliminares sobre a
entidade, seus sistemas, os recursos
necessários, a composição da
equipe, metodologias, objetivos de
controle e procedimentos a serem
adotados. Uma estrutura de
relatório deve ser definida e todas
essas informações devem ser
transcritas para o relatório.

28. Relatório final
Estrutura
Dados da entidade auditada - nome, endereço, natureza jurídica, relação de responsáveis,
etc.
Síntese - um breve resumo do conteúdo. É útil para a alta direção obter uma visão geral e
rápida dos principais pontos da auditoria.
Dados da auditoria - objetivos, período de fiscalização, composição da equipe, metodologia
adotada, natureza da auditoria, e objeto (controles gerais, desenvolvimento de sistemas,
aplicativo específico, etc.).
Introdução - histórico da entidade, conclusões de auditorias anteriores, estrutura
hierárquica do departamento de informática, sua relação com outros departamentos,
descrição do ambiente computacional, evolução tecnológica, principais sistemas e
projetos.
Falhas detectadas - apresenta em detalhes, as falhas e irregularidades detectadas durante
a auditoria. Além das descrições, são apresentados comentários iniciais, justificativa do
auditado e o parecer final da equipe para cada falha (preferências e recomendações).
Conclusão - síntese dos pontos principais do relatório e as recomendações ou
determinações finais da equipe para a correção das falhas ou irregularidades encontradas.
Parecer da gerência superior - as gerências superiores podem dar seu parecer a respeito dos
achados e recomendações da equipe de auditores, concordando integralmente ou em
partes com os pontos de vista da auditoria, ou ainda discordando inteiramente.

29. Exercício
............