Auditoria em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS

ESTADO DO RIO GRANDE DO SUL
TRIBUNAL DE CONTAS DO ESTADO

ESCOLA SUPERIOR DE GESTO E CONTROLE FRANCISCO JURUENA
Credenciamento MEC Portaria n 1965/06
CURSO DE ESPECIALIZAO EM GESTO PBLICA E

CONTROLE EXTERNO
Auditoria em TI:
Alternativas de Implementao no Processo de Auditoria do TCE-RS
Frederico Henrique Goldschmidt Neto
PORTO ALEGRE
2008
RESUMO
A utilizao de recursos de informtica tem facilitado de sobremaneira o desempenho das

instituies em suas reas de atuao. Dados antes armazenados em papel e procedimentos
realizados de forma manual hoje so todos feitos por computador. Como reflexo desta mudana,
o controle externo, que antes era exercido atravs da auditoria dos dados em papel tambm teve
que mudar. A informatizao crescente reclama especial ateno das organizaes, uma vez que a
utilizao da tecnologia da informao para manipulao e armazenamento de dados introduz
novos riscos e aumenta a fragilidade de algumas atividades. Assim, torna-se essencial a atuao
do controle externo em questes relacionadas segurana da tecnologia da informao e
qualidade dos sistemas informatizados das instituies. Neste trabalho sero abordados conceitos
relacionados com a rea de informtica e temas relevantes dentro do contexto de auditoria em
tecnologia da informao, estendendo o escopo de auditoria de sistemas informatizados.
Palavras-chave: Auditoria em TI; Gesto de Riscos; Metodologia de Auditoria.
ABSTRACT
The use of the computer resources has facilitated the performance of the institutions in
their areas of expertise. Before data stored on paper and manual procedures carried out today are
all done by computer. As a reflection of this change, the external control, which was previously
exercised by the audit data on paper also had to change. The growing computerization of
organizations demanding special attention, since the use of information technology for handling
and storage of data introduces new risks and increases the fragility of some activities. Thus, it is
essential to the performance of external control on security issues in information technology and
the quality of systems of institutions. This work will be addressed concepts related to the area of
IT and relevant issues within the context of auditing in information technology, extending the
scope of the audit systems.
Keywords: IT Auditing; Risk Management; Auditing Methodology.
ndice
Lista de Figuras ............................................................................................................................... 9
1 INTRODUO.......................................................................................................................... 10
1.1 Motivao ............................................................................................................................ 10
1.2 Objetivos.............................................................................................................................. 11
1.3 Organizao deste documento ............................................................................................. 11
2 TEMAS RELEVANTES RELACIONADOS AUDITORIA EM TI..................................... 13
2.1 Gesto de Riscos.................................................................................................................. 13
2.2 Auditoria de Compliance..................................................................................................... 14
2.3 Business Intelligence ........................................................................................................... 16
2.4 Malha Fina Receita Federal.............................................................................................. 17
2.5 Forense Computacional ....................................................................................................... 18
2.6 Auditoria de Softwares Aplicativos..................................................................................... 19
2.7 Minerao de Dados ............................................................................................................ 20
2.8 Controle Interno................................................................................................................... 21
2.8.1 Ambiente de Controle ....................................................................................................... 22
2.8.2 Avaliao e Gerenciamento dos Riscos............................................................................ 22
2.8.3 Atividade de Controle....................................................................................................... 23
2.8.4 Informao e Comunicao ............................................................................................. 23
2.8.5 Monitoramento ................................................................................................................. 24
2.9 Educao Distncia (EAD)............................................................................................... 25
3 AUDITORIA EM TI, NECESSIDADES E EXPERINCIAS.................................................. 27
3.1 Reunio realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidores envolvidos
com o SIAPC ............................................................................................................................. 27
3.2 Reunio realizada em 07/07/2006 entre o grupo de pesquisa em TI e servidores do SAM 29
3.3 Apresentao realizada em 28/08/2006 sobre Business Intelligence (BI)........................... 30
3.4 Reunio realizada em 22/09/2006 entre o grupo de pesquisa em TI e representante da
Mdulo ...................................................................................................................................... 31
3.5 Apresentao realizada em 02/10/2006 sobre Audit Control Language (ACL) ................. 31
3.6 Reunio realizada em 13/11/2006 entre o grupo de pesquisa em TI e representantes de
reas com aes no PET e PROMOEX na rea de auditoria em TI.......................................... 32
3.7 Proposta de aperfeioamento do sistema de auditorias da rea municipal no mbito do
TCE-RS ..................................................................................................................................... 33
3.8 Auditoria em TI em outros TCs........................................................................................... 34
3.8.1 Experincia do Tribunal de Contas do Estado de Pernambuco ...................................... 35
3.8.2 Experincia do Tribunal de Contas da Unio.................................................................. 39
3.8.3 Experincia do Tribunal de Contas do Estado do Paran............................................... 45
4 AUDITORIA EM TI PROPOSTAS DE IMPLEMENTAO NO TCE-RS ........................ 46
5 CONCLUSO............................................................................................................................ 50
6 BIBLIOGRAFIA ........................................................................................................................ 51
Lista de Figuras
Figura 1: Auditoria de Compliance ............................................................................................... 15
Figura 2: Business Intelligence...................................................................................................... 17
Figura 3: Forense Computacional ................................................................................................. 19
Figura 4: Minerao de Dados ...................................................................................................... 20
Figura 5: Educao Distncia no TCU ....................................................................................... 26
Figura 6: Exemplo de checklist utilizado no TCE-PE................................................................... 35
Figura 7: Escopo de atuao de TI no controle externo ................................................................ 38
Figura 8: Importncia do gerenciamento de risco nos TCEs......................................................... 38
Figura 9: Histrico de Auditoria em TI no TCU ........................................................................... 39
Figura 10: Estrutura organizacional da SEFTI .............................................................................. 40
Figura 11: Normas e padres utilizados pelo TCU ....................................................................... 41
Figura 12: Mtodo de auditoria em TI utilizado pelo TCU........................................................... 42
Figura 13: Exemplo de matriz de planejamento............................................................................ 43
Figura 14: Exemplo de matriz de procedimentos.......................................................................... 44
Figura 15: Exemplo de matriz de achados..................................................................................... 44
Figura 16: Portal de controle social (http://www.controlesocial.pr.gov.br/)................................. 45
10
1 INTRODUO
1.1 Motivao
No se deve partir do princpio de que os dados extrados de computadores so confiveis.

Embora ofeream vantagens para as organizaes, os sistemas informatizados podem tambm
apresentar grandes riscos. possvel que erros e fraudes no sejam detectados por causa da
enorme quantidade de dados controlados pelos sistemas, da possvel discrepncia entre o que est
armazenado e o que efetivamente apresentado em relatrios de sada, e da mnima necessidade
de interveno humana nos processos. 1
Quase que a totalidade dos rgos e entidades da Administrao Pblica faz uso macio
de sistemas informatizados para processamento e armazenamento de dados.
Este fato torna imprescindvel a preparao das entidades de fiscalizao para enfrentar o
desafio de auditar uma Administrao Pblica cada vez mais informatizada, visto que as equipes
de auditoria tero que usar como evidncia, dados provenientes de sistemas informatizados.
O cenrio apresentado relata com preciso o contexto das auditorias que esto sendo
realizadas pelas equipes de auditores do Tribunal de Contas do Estado do Rio Grande do Sul
(TCE-RS), que de certa forma carecem de conhecimento e metodologia para a realizao de
auditoria de sistemas informatizados, visto serem formadas por profissionais da rea de
economia, direito, contabilidade, administrao e engenharia.
Aliado a este fato, o elevado nmero de municpios a serem auditados, alm das auditorias
extraordinrias, faz com que o auditor dependa cada vez mais do uso dos sistemas informatizados
e dos dados que dele extrai, exigindo um ambiente confivel e seguro tanto no TCE-RS quanto
nos auditados.
11
1.2 Objetivos
Esta monografia tem como objetivo contextualizar o uso de auditoria em tecnologia da

informao (TI) no ambiente do TCE-RS, sugerindo alternativas para implantao deste
procedimento no processo de auditoria tradicional hoje adotado.
Para atingir este objetivo, sero abordados conceitos relacionados com a rea de TI e
temas relevantes dentro do contexto de auditoria em tecnologia da informao, estendendo o
escopo de auditoria de sistemas informatizados. Resultados de entrevistas e demonstraes de
fornecedores de ferramentas de suporte auditoria de TI, bem como experincias de outros
Tribunais de Contas tambm sero utilizados para o atingimento deste objetivo.
1.3 Organizao deste documento
Esta monografia est estruturada em cinco partes, conforme segue:
1 Introduo
2 Temas Relevantes Relacionados Auditoria em TI apresenta de forma breve

conceitos que serviro de base para o entendimento do que ser proposto na concluso
deste trabalho.
3 Auditoria em TI, necessidades e experincias aborda entrevistas realizadas com

reas diretamente relacionadas com o processo de auditoria tradicional realizada pelo
TCE-RS, bem como experincias em auditoria em TI de outros Tribunais de Contas
(TCs).
12
4 Auditoria em TI Propostas de implementao no TCE-RS relaciona os

conceitos abordados nos captulos 2 e 3, trazendo como resultado sugesto de forma
de implementao de auditoria em TI no processo de auditoria do TCE-RS.
5 - Concluso encerra o trabalho com as consideraes finais.
6 Bibliografia
13
2 TEMAS RELEVANTES RELACIONADOS AUDITORIA EM TI
A auditoria em ambiente de tecnologia da informao no muda a formao exigida para

a profisso de auditor, apenas percebe que as informaes at ento disponveis em forma de
papel so agora guardadas em forma eletrnica e que o enfoque de auditoria teria que mudar para
se assegurar de que essas informaes em forma eletrnica sejam confiveis antes de emitir sua
opinio.2
Para que as informaes sejam confiveis, o auditor passa a ter que se preocupar no s
com o sistema que gerou a informao, mas tambm com o ambiente onde este sistema est
inserido. Aspectos como a segurana do ambiente fsico, segurana do ambiente lgico, controle
de acessos, polticas de backup, planos de contingncia, gerenciamento de riscos e outros tantos
tambm devem ser levados em conta no processo de auditoria.
Para tornar claro este novo cenrio que deve ser considerado em um processo de auditoria
em TI, sero abordados de forma breve temas que com ele se relacionam.
2.1 Gesto de Riscos
Em geral definimos segurana como um estado no qual estamos livres de perigos e

incertezas. Dentro de uma organizao, esta segurana costuma se aplicar a tudo aquilo que
possui valor e, conseqentemente, demanda proteo. So os chamados ativos.
Como exemplo de ativos podemos ter as seguintes categorias:
1. Tangveis: Informaes impressas ou digitais, impressoras, mveis de escritrio;
2. Intangveis: Imagem de uma empresa, confiabilidade de um rgo estadual;
3. Lgicos: Dados armazenados em um servidor, sistema contbil;
14
4. Fsicos: Estao de trabalho, sistema de ar-condicionado;

5. Humanos: Empregados, prestadores de servio. 3
O objetivo da gesto de riscos gerenciar uma srie de atividades relacionadas forma
com a qual uma instituio lida com os riscos que seus ativos podem sofrer. Entre estas
atividades, podemos elencar: a identificao do ativo, o risco que este ativo est sujeito, o
impacto que a instituio sofrer caso o risco ocorra, o tratamento dos riscos e a comunicao da
ocorrncia do risco.
Importante ressaltar a existncia de duas normas da Associao Brasileira de Normas
Tcnicas (ABNT) que demonstram a preocupao com a segurana da informao, e que so
amplamente utilizadas na gesto de riscos, so elas:
1. ABNT NBR ISO/IEC 27001:2005 define os requisitos para um Sistema de Gesto
de Segurana da Informao (SGSI), sendo estes os requisitos verificados em um
processo de certificao de um SGSI. A NBR 27001 junto com a NBR 17799 formam
a base para a construo da srie de normas ISO 27000.
2. ABNT NBR ISO/IEC 17799:2005 - um cdigo de prtica de gesto de segurana da
informao. Ela se aplica segurana da informao em sentido amplo. Fornece os
melhores procedimentos, diretrizes e princpios gerais de implementao, manuteno
e gesto da segurana de dados em qualquer organizao, produzindo e utilizando
informao em qualquer formato.
2.2 Auditoria de Compliance
Visa obter evidncias a cerca de determinadas atividades da entidade, para verificar a

obedincia s regras ou regulamentos a elas aplicveis. Estas regras ou regulamentos podem ser
imposies da prpria entidade ou de terceiros. Na figura 1 podemos verificar fases de um
15
processo de auditoria de compliance em TI, onde em um primeiro momento, durante a auditoria,

so coletados dados atravs de logs do sistema, utilizando-se contas especiais para os executores
da auditoria, passando-se a seguir a verificar qual a padronizao ser adotada para a verificao
da compliance.
Aps a coleta dos dados e definio da padronizao as evidncias so coletadas nos
diversos repositrios de informao, gerando relatrios de conformidade e recomendaes para
correo de itens no atendidos.
Figura 1: Auditoria de Compliance
Como exemplo de compliance podemos citar:

1. Lei Sarbanes-Oxley: uma lei estadunidense assinada em 30 de julho de 2002 pelo
senador Paul Sarbanes e pelo deputado Michael Oxley. A lei Sarbanes-Oxley, ou
ainda SOX, busca garantir a criao de mecanismos de auditoria e segurana
confiveis nas empresas. Incluindo tambm regras para a criao de comits e
comisses encarregados de supervisionar suas atividades e operaes de modo a
16
mitigar riscos aos negcios, evitar a ocorrncia de fraudes ou ter meios de identificar
quando elas ocorrem, garantindo a transparncia na gesto das empresas.
2. ISO 9000: uma concentrao de normas que formam um modelo de gesto da
qualidade para organizaes que podem, se desejarem, certificar seus sistemas de
gesto atravs de organismos de certificao.
2.3 Business Intelligence
A Inteligncia Empresarial, ou Business Intelligence (BI), um termo do Gartner Group.

O conceito surgiu na dcada de 80 e descreve as habilidades das corporaes para acessar dados e
explorar as informaes (normalmente contidas em um banco de dados), analisando-as e
desenvolvendo percepes e entendimentos a seu respeito, o que as permite incrementar e tornar
a tomada de deciso mais pautada em informaes.
As organizaes tipicamente recolhem informaes com a finalidade de avaliar o
ambiente empresarial, complementando estas informaes com pesquisas de marketing,
industriais e de mercado, alm de anlises competitivas. Organizaes competitivas acumulam
"inteligncia" medida que ganham sustentao na sua vantagem competitiva, podendo
considerar tal inteligncia como o aspecto central para competir em alguns mercados.
Na figura 2, podemos verificar o processo de gerao de informao para ser utilizada em
um sistema de BI. Atravs da extrao de dados das bases corporativas, dados so transformados
e carregados em um grande banco de dados, de onde so feitas correlaes que sero
transformadas em relatrios de dados gerenciais, que serviro de subsdio em processos de
deciso.
17
Figura 2: Business Intelligence

Geralmente, os coletores de BI obtm as primeiras fontes de informao dentro das suas
empresas. Cada fonte ajuda quem tem que decidir a entender como o poder fazer da forma mais
correta possvel. As segundas fontes de informaes incluem as necessidades do consumidor,
processo de deciso do cliente, presses competitivas, condies industriais relevantes, aspectos
econmicos e tecnolgicos e tendncias culturais. Cada sistema de BI determina uma meta
especfica, tendo por base o objetivo organizacional ou a viso da empresa, existindo em ambos
objetivos, sejam eles de longo ou curto prazo.4
2.4 Malha Fina Receita Federal
A anlise fiscal da declarao de ajuste anual da pessoa fsica, popularmente conhecida

como "malha fina", a reviso de todas as declaraes, modelos completo e simplificado, de
forma eletrnica, no qual so efetuadas verificaes nos dados declarados pelo contribuinte, e
realizados os cruzamentos destas informaes com outros elementos disponveis nos sistemas da
Secretaria da Receita Federal (SRF).
18
Aps a entrega das declaraes, inicia-se a fase de processamento eletrnico das mesmas.
Nesta fase so realizadas seqncias de verificaes para identificar erros de preenchimento e
inconsistncia das informaes apresentadas que podem caracterizar infrao legislao
tributria.
A incidncia da declarao em parmetros de malha, em situaes especficas, interrompe
o processamento at a soluo dos problemas detectados, o que pode ser feito internamente pela
SRF ou, nos casos em que necessria a participao do contribuinte, mediante intimao para
apresentao de informaes e documentos.
A no apresentao das informaes e documentos solicitados, ou o no atendimento s
intimaes expedidas pelos Auditores-Fiscais da Receita Federal, implica na constituio do
crdito tributrio sobre as divergncias constatadas, mediante a emisso de auto de infrao.
2.5 Forense Computacional
A Forense Computacional foi criada com o objetivo de suprir as necessidades das

instituies legais no que se refere manipulao das novas formas de evidncias eletrnicas. Ela
a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em
formato eletrnico e armazenados em algum tipo de mdia computacional.5
A no obedincia de regras estabelecidas pela forense computacional pode por em risco
todo o processo de auditoria em TI, pois os dados e evidncias obtidos em campo podem vir a ser
anulados e no considerados para subsdio aos pareceres emitidos pelo auditor. Observa-se direto
relacionamento aos procedimentos hoje to difundidos em seriados de televiso sobre forense
criminal, onde a no observao dos procedimentos acarreta a liberao ou reduo de pena do
criminoso. Na figura 3 podemos verificar fases de um modelo de investigao computacional, no
qual so empregadas tcnicas de forense computacional.
19
Figura 3: Forense Computacional
2.6 Auditoria de Softwares Aplicativos
Softwares aplicativos so aqueles desenvolvidos para executar automatizao de

processos de uma empresa, a exemplo de uma folha de pagamento ou controle de estoque.
A auditoria de softwares aplicativos feita atravs de controles implementados nas trs
reas de operao deste software: entrada, processamento e sada. Sem um controle de aplicativo
apropriado o risco de que caractersticas de segurana sejam omitidas ou contornadas, seja de
forma intencional ou no, ou ainda que o processamento de dados seja feito de forma errnea ou
fraudulenta bastante grande.
O contorno destes controles e a no existncia de auditoria abre possibilidades para
fraudes e desvios, o que muitas vezes inviabiliza uma empresa ou coloca por terra a imagem e
confiabilidade de uma instituio.
20
2.7 Minerao de Dados
Minerao de dados (tambm conhecida pelo termo ingls data mining) o processo de
explorar grandes quantidades de dados procura de padres consistentes, como regras de
associao ou seqncias temporais, para detectar relacionamentos sistemticos entre variveis,
detectando assim novos subconjuntos de dados.
Esta tecnologia formada por um conjunto de ferramentas que atravs do uso de
algoritmos de aprendizagem ou baseados em redes neurais e estatstica, so capazes de explorar
um grande conjunto de dados, extraindo destes conhecimento na forma de hipteses e de regras.
Diariamente as empresas acumulam diversos dados nas suas bases de dados, inclusive com dados
e hbitos de seus clientes. Todos estes dados podem contribuir com a empresa, sugerindo
tendncias e particularidades pertinentes a ela e seu meio ambiente interno e externo, visando
uma rpida ao de seus gestores. Na figura 4 podemos verificar como funciona o processo de
minerao de dados.
Figura 4: Minerao de Dados
21
Com a gerao de informaes e conhecimentos teis para as empresas, os seus negcios

podem ser alavancados, tornando-se mais lucrativos. Os recursos da tecnologia da informao,
mais precisamente a capacidade do hardware e software disponveis, podem efetuar atividades
em horas, o que tradicionalmente as pessoas levariam meses. Efetivamente a minerao de dados
cumpre o papel de descoberta de conhecimentos. 6
2.8 Controle Interno
Controle Interno um processo, desenvolvido para garantir, com razovel certeza, que
sejam atingidos os objetivos da empresa, nas seguintes categorias:
Eficincia e efetividade operacional (objetivos de desempenho ou estratgia): esta

categoria est relacionada com os objetivos bsicos da entidade, inclusive com os
objetivos e metas de desempenho e rentabilidade, bem como da segurana e qualidade
dos ativos;
Confiana nos registros contbeis/financeiros (objetivos de informao): todas as

transaes devem ser registradas, todos os registros devem refletir transaes reais,
consignadas pelos valores e enquadramentos corretos;
Conformidade (objetivos de conformidade) com leis e normativos aplicveis

entidade e sua rea de atuao. 7
De acordo com a definio acima, o objetivo principal do controle interno auxiliar a

entidade atingir seus objetivos, sendo um elemento que compe o processo de gesto e que deve
ser responsabilidade de todos.
O processo Controle Interno constitudo de cinco elementos, que esto relacionados
entre si. So eles:
22
Ambiente de Controle;
Avaliao e Gerenciamento dos Riscos;
Atividade de Controle;
Informao e Comunicao;
Monitoramento.
2.8.1 Ambiente de Controle
O ambiente de controle define o tom de uma organizao. Ele a base para todos os
outros componentes internos de controle, proporcionando disciplina e estrutura. Fatores de
controle incluem o meio ambiente, integridade, valores ticos e competncia dos membros da
entidade.
A postura da alta administrao desempenha papel determinante neste componente. Ela
deve deixar claro para seus comandados quais so as polticas, procedimentos, cdigo de tica e
cdigo de conduta a serem adotados. Estas definies podem ser feitas de maneira formal ou
informal, o importante que sejam claras aos funcionrios da organizao.
2.8.2 Avaliao e Gerenciamento dos Riscos
O objetivo da gesto de riscos gerenciar uma srie de atividades relacionadas forma

pela qual uma instituio lida com os riscos que seus ativos podem sofrer. Entre estas atividades,
23
podemos elencar: a identificao do ativo, o risco que este ativo est sujeito, o impacto que a
instituio sofrer caso o risco ocorra, o tratamento dos riscos e a comunicao da ocorrncia do
risco.
2.8.3 Atividade de Controle
So aquelas atividades que, quando executadas a tempo e maneira adequados, permitem a

reduo ou administrao dos riscos. Podem ser de duas naturezas: atividades de preveno ou
de deteco.
2.8.4 Informao e Comunicao
A comunicao o fluxo de informaes dentro de uma organizao, entendendo que este

fluxo ocorre em todas as direes, dos nveis hierrquicos superiores aos nveis hierrquicos
inferiores, dos nveis inferiores aos superiores, e comunicao horizontal, entre nveis
hierrquicos equivalentes.
A comunicao essencial para o bom funcionamento dos controles. Informaes sobre
planos, ambiente de controle, riscos, atividades de controle e desempenho devem ser transmitidas
toda entidade. Por outro lado, as informaes recebidas, de maneira formal ou informal, de
fontes externas ou internas, devem ser identificadas, capturadas, verificadas quanto sua
confiabilidade e relevncia, processadas e comunicadas s pessoas que as necessitam,
tempestivamente e de maneira adequada.
O processo de comunicao pode ser formal ou informal. O processo formal acontece
atravs dos sistemas internos de comunicao, que podem variar desde complexos sistemas
24
computacionais a simples reunies de equipes de trabalho e so importantes para obteno das

informaes necessrias ao acompanhamento dos objetivos operacionais, de informao e de
conformidade. O processo informal, que ocorre em conversas e encontros com clientes,
fornecedores, autoridades e empregados importante para obteno das informaes necessrias
identificao de riscos e oportunidades.
2.8.5 Monitoramento
O monitoramento a avaliao dos controles internos ao longo do tempo. Ele o melhor

indicador para saber se os controles internos esto sendo efetivos ou no.
O monitoramento feito tanto atravs do acompanhamento contnuo das atividades
quanto por avaliaes pontuais, tais como auto-avaliao, revises eventuais e auditoria interna.
A funo do monitoramento verificar se os controles internos so adequados e efetivos.
Controles adequados so aqueles em que os cinco elementos do controle (ambiente, avaliao de
riscos, atividade de controle, informao e comunicao e monitoramento) esto presentes e
funcionando conforme planejado. Controles so eficientes quando a alta administrao tem uma
razovel certeza a cerca dos seguintes itens
Do grau de atingimento dos objetivos operacionais propostos;
De que as informaes fornecidas pelos relatrios e sistemas corporativos so

confiveis;
Leis, regulamentos e normas pertinentes esto sendo cumpridos.8
25
2.9 Educao Distncia (EAD)
Educao distncia o processo de ensino-aprendizagem, mediado por tecnologias,

onde professores e alunos esto separados espacial e/ou temporalmente.
ensino/aprendizagem onde professores e alunos no esto normalmente juntos,
fisicamente, mas podem estar conectados, interligados por tecnologias, principalmente as
telemticas, como a Internet. Mas tambm podem ser utilizados o correio, o rdio, a televiso, o
vdeo, o CD-ROM, o telefone, o fax e tecnologias semelhantes.
Hoje temos a educao presencial, semi-presencial (parte presencial/parte virtual ou
distncia) e educao distncia (ou virtual). A presencial a dos cursos regulares, em qualquer
nvel, onde professores e alunos se encontram sempre num local fsico, chamado sala de aula. o
ensino convencional. A semi-presencial acontece em parte na sala de aula e outra parte
distncia, atravs de tecnologias. A educao distncia pode ter ou no momentos presenciais,
mas acontece fundamentalmente com professores e alunos separados fisicamente no espao e ou
no tempo, mas podendo estar juntos atravs de tecnologias de comunicao.
A educao distncia pode ser feita nos mesmos nveis que o ensino regular. No ensino
fundamental, mdio, superior e na ps-graduao. mais adequado para a educao de adultos,
principalmente para aqueles que j tm experincia consolidada de aprendizagem individual e de
pesquisa, como acontece no ensino de ps-graduao e tambm no de graduao.
As tecnologias interativas, sobretudo, vm evidenciando, na educao distncia, o que
deveria ser o cerne de qualquer processo de educao: a interao e a interlocuo entre todos os
que esto envolvidos nesse processo.
Na medida em que avanam as tecnologias de comunicao virtual (que conectam pessoas
que esto distantes fisicamente como a Internet, telecomunicaes, videoconferncia, redes de
alta velocidade) o conceito de presencialidade tambm se altera. Poderemos ter professores
26
externos compartilhando determinadas aulas, um professor de fora "entrando" com sua imagem e
voz, na aula de outro professor. Haver assim, um intercmbio maior de saberes, possibilitando
que cada professor colabore, com seus conhecimentos especficos, no processo de construo do
conhecimento, muitas vezes distncia. 9
Na figura 5 podemos visualizar a interface de educao distancia utilizada pelo Tribunal
de Contas da Unio (TCU).
Figura 5: Educao Distncia no TCU
27
3 AUDITORIA EM TI, NECESSIDADES E EXPERINCIAS

Tendo como objetivo fundamentar a necessidade da auditoria em TI dentro do escopo de
atuao do TCE-RS, foram realizadas diversas reunies entre os integrantes do grupo de pesquisa
em auditoria de TI da Escola Superior de Gesto e Controle Francisco Juruena e servidores do
TCE envolvidos no processo de auditoria tradicional, bem como fornecedores de solues
relacionadas com auditoria em TI. O resultado destas reunies relatado neste captulo.
A proposta de aperfeioamento do sistema de auditoria da rea estadual, resultado de ao
corretiva encaminhada para atender o considervel nmero de auditorias especiais e
extraordinrias que esto sendo demandadas para os setores responsveis no TCE-RS, tambm
mencionada neste captulo, tendo em vista prever o uso intensivo de recursos de informtica, e
por conseqncia a necessidade de auditoria destes recursos.
Alm de definir o escopo de atuao da auditoria em TI no TCE-RS, buscou-se contato
com outras instituies que atuam na rea de controle externo para verificar se havia
implementao deste tipo de auditoria, bem como de que forma estava estruturada.
A troca de conhecimentos entre auditores destas instituies tambm proporcionou acesso
pesquisa realizada pelo Sr. Luiz Carlos de Oliveira, auditor do TCE-PE, na rea de Governana
de TI, das quais foram retirados dados relevantes para este trabalho.
3.1 Reunio realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidores

envolvidos com o SIAPC
O Sistema Informatizado para Auditoria e Prestao de Contas (SIAPC) um sistema que

recebe informaes contbeis e financeiras coletadas pelo Programa Autenticador de Dados
(PAD) nos entes jurisdicionados, possibilitando anlises de desempenho dos indicativos da Lei de
28
Responsabilidade Fiscal (LRF) e da Gesto Fiscal, gerao de vrios relatrios para auditoria
externa e acompanhamento das Prestaes de Contas.
O SIAPC a maior fonte de informaes sobre os entes auditados. Suas informaes so
a principal fonte de material para o preparo das auditorias em campo. Levando este fato em
considerao, o grupo de pesquisa sobre auditoria em TI reuniu-se com os integrantes da equipe
responsvel pelo acompanhamento e desenvolvimento de melhorias neste sistema para investigar
o que seria esperado de um processo de auditoria em TI no TCE-RS. A seguir os principais
elementos obtidos desta reunio:
Comprovar se o arquivo TXT gerado pelas auditadas corresponde realidade dos

sistemas informatizados ou se so alterados manualmente ou via sistema;
Possibilidade de confrontao de TXT recebido pelo TCE com TXT gerado na

auditada quando em processo de auditoria para verificao de validade;
Verificar como os sistemas informatizados das prefeituras geram os TXTs,

possibilidade de fornecimento de opes via programa para ajustes no TXT gerado;
Existncia nos sistemas da prefeitura de plano de contas diferente do padronizado.

Verificar programas de converso de planos de contas;
Confronto dos empenhos informados via TXT com empenhos existentes nos sistemas
informatizados das auditadas;
Verificar informaes divergentes nas remessas bimestrais (verificar fevereiro da

primeira remessa com fevereiro das demais remessa, por exemplo);
Auxlio no desenvolvimento de ferramentas para cruzamento de informaes hoje

existentes no banco de dados do TCE, cruzamento este que poderia servir de subsdio
para o processo de auditoria de campo;
29
Auxlio na parte tcnica no processo de troca/obteno de informaes com bancos

(BB e Banrisul).
3.2 Reunio realizada em 07/07/2006 entre o grupo de pesquisa em TI e servidores do SAM
O Servio de Auditoria Municipal (SAM), responsvel pela realizao e emisso de

relatrios de auditoria de rgos da esfera municipal do estado do RS. Levando em considerao
o volume de rgos que este servio audita, o grupo de pesquisa sobre auditoria em TI reuniu-se
com o Supervisor da SAM e servidores do Servio de Apoio e Suporte Operacional e Tcnico
(SASOT), para investigar o que seria esperado de um processo de auditoria em TI no TCE-RS. A
seguir os principais elementos obtidos desta reunio:
Auxlio na anlise de processos licitatrios de produtos de informtica

(software/hardware/servios);
Anlise de sistemas informatizados de prestadores de servios e auditadas, em busca

de trancas ou alternativas para burlar a auditoria do TCE;
Elaborao de roteiro bsico de auditoria em TI que torne possvel auditor que no

seja da rea avaliar dados na auditoria na rea de informtica, solicitando a presena
de auditor da rea em casos de necessidade;
Tomar cuidado no processo de criao de auditoria em TI para simplesmente no criar

mais um item a ser auditado. A auditoria dever estar bem focada e definida, sob pena
de cair em descrdito em virtude da grande carga de tarefas do auditor de campo;
Montar piloto para validao do processo de auditoria em TI a exemplo do acontecido

com relao auditoria operacional;
30
Auditoria de TI como auxlio para reduo de auditoria in-loco;
Verificar a legalidade do processo de auditoria em TI;
Auditoria em TI dividida em camadas:

o Cruzamento de informaes existentes nos bancos de dados do TCE;
o Roteiro bsico para auditoria em TI;
o Auditoria em TI por auditores da rea.
3.3 Apresentao realizada em 28/08/2006 sobre Business Intelligence (BI)
Em busca de ferramentas auxiliares no processo de auditoria em TI, o grupo de pesquisa

em TI reuniu-se com o Sr. Carlos Busch, gerente de solues da Processor, para avaliar a soluo
daquela empresa na rea de BI. Um breve resumo do que foi apresentado:
O Processor Business Intelligence uma soluo voltada para alavancar os investimentos
j feitos pela maioria das organizaes em sistemas legados, permitindo que os usurios faam
uma transio efetiva de acesso tradicional para um acesso informativo aos dados corporativos.
Recursos oferecidos:
Apoio tomada de deciso, obtido atravs do acesso preciso s informaes

relevantes do negcio;
Consolidao da informao, de forma a torn-la acessvel para os tomadores de

deciso do negcio;
31
Identificao de tendncias atravs do processo de anlise e contextualizao das

informaes, permitindo assim antecipar mudanas no mercado e at mesmo aes
dos concorrentes.
3.4 Reunio realizada em 22/09/2006 entre o grupo de pesquisa em TI e representante da

Mdulo
Aproveitando a visita do Sr. Rodrigo Agia, da empresa Mdulo Security, para

apresentao de palestra no Workshop de Informtica, o grupo de pesquisa sobre auditoria em TI
convidou-o para uma breve reunio para que compartilhasse sua experincia na rea de auditoria
em TI e gesto de segurana em TI.
A reunio foi proveitosa, no sentido da absoro do conhecimento de que a certificao
ISO 27001 poderia vir a trazer grandes avanos com relao gesto de segurana em TI no
TCE.
Com relao ao processo de auditoria em TI, o que foi possvel aproveitar com relao
aos conhecimentos do Sr. Rodrigo, foi possibilidade de foco especfico de auditoria nesta rea,
tanto interna como externamente. O uso das normas ISO 27001 e ISO 17799 serviria como
espinha dorsal para a implementao deste processo.
3.5 Apresentao realizada em 02/10/2006 sobre Audit Control Language (ACL)
Visando avaliar ferramentas para auxlio no processo de auditoria em TI, foi convidada a
empresa Tech Supply para que apresentasse a ferramenta ACL. A apresentao foi feita pelo Sr.
Valdomiro Dalberto Junior. Um breve resumo do que foi apresentado:
32
Ao fornecer uma combinao nica e poderosa de acesso aos dados, anlise e relatrios
integrados, a soluo ACL l e compara dados empresariais, quaisquer dados, bancos de dados
simples ou relacionais, planilhas eletrnicas, arquivos de relatrios, em computadores ou
servidores, permitindo que os dados de origem permaneam intactos para que se mantenha a sua
total qualidade e integridade.
Usada como um aplicativo autnomo de computador e/ou como o cliente com o software
de Edio do Servidor, a soluo ACL utiliza uma nica e consistente interface de cliente e
fornece acesso fcil e imediato aos dados. Por exemplo, com somente alguns cliques, possvel
passar da anlise de dados do servidor para informaes armazenadas em mainframes, para dados
de sistemas contbeis ou para computadores conectados em rede. Isso assegura um desempenho
otimizado e uma flexibilidade tima no acesso de novas fontes de dados.
Os comandos oferecem uma variedade completa de ferramentas de anlise, desde simples
classificaes at testes complexos, j estando pr-programados na ferramenta.
A ferramenta ACL utilizada pelas mais conhecidas empresas de auditoria independentes
em mais de 100 pases.
3.6 Reunio realizada em 13/11/2006 entre o grupo de pesquisa em TI e representantes de

reas com aes no PET e PROMOEX na rea de auditoria em TI.
Tendo como objetivo discutir o uso de auditoria em TI no TCE-RS, reuniram-se as reas

com aes no Planejamento Estratgico do TCE-RS (PET) e no Programa de Modernizao do
Sistema de Controle Externo dos Estados, Distrito Federal e Municpios Brasileiros
(PROMOEX) contemplando esta rea.
Inicialmente procurou-se identificar o conceito de auditoria em TI entre os integrantes da
reunio. Uma das vises que se obteve foi o uso da auditoria em TI na rea especfica de
33
auditoria de sistemas informatizados, visando identificar possveis fraudes atravs de erros nos
sistemas ou m f do auditado, ou ainda, na confrontao dos dados enviados para o TCE (via
sistema SIAPC) com dados obtidos diretamente nos sistemas dos auditados.
Outra viso surgida foi o uso da auditoria em TI com atuao especfica na parte de
verificao de procedimentos de segurana da informao (controles de acesso, backup,
segurana da rede de computadores, etc.) que poderia reverter para o TCE no aspecto da
qualidade e integridade das informaes fornecidas.
No transcorrer da reunio vrios aspectos foram discutidos, chegando-se concluso que
a auditoria em TI deve ser conduzida como um projeto multidisciplinar, agregando os vrios
setores da casa, pois a SINF detm o conhecimento das ferramentas e aspectos diretamente
relacionados com a informtica, mas carece do conhecimento do negcio, ou seja, como
confrontar informaes e obter indcios de falhas a serem apontadas.
Foi sugerido como escopo inicial de implantao de uma metodologia de auditoria em TI
um projeto piloto, envolvendo um rgo representativo da esfera estadual e outro da esfera
municipal.
Tambm se sugeriu a adoo de uma metodologia de avaliao de riscos, para identificar
os rgos passveis de auditoria na rea de TI.
3.7 Proposta de aperfeioamento do sistema de auditorias da rea municipal no mbito do

TCE-RS
Visando superar a capacidade de realizao de auditorias in loco em todos os municpios

do RS, levando em considerao as condies quantitativas do quadro de pessoal, tempo hbil
para avaliao das matrias das auditorias e um nvel adequado de qualidade, foi apresentada pela
34
Direo de Controle e Fiscalizao (DCF) do TCE-RS, em julho de 2008, uma proposta de

aperfeioamento do sistema de auditorias no mbito municipal.
Referida proposta faz uso de uma matriz de risco no mbito do Servio de Auditoria da
rea Administrativa e Social (SAAS) e Servio de Auditoria da rea de Economia, Finanas e
Infra-estrutura (SAEFI), capaz de introduzir, atravs de critrios baseados em aspectos de
materialidade, relevncia e criticidade, mecanismo de mensurao do grau de risco de ocorrncia
de irregularidades associado a cada jurisdicionado, podendo assim, de forma criteriosa,
identificar, a cada exerccio, os jurisdicionados que apresentam grau de risco mais elevado e os
de risco mais baixo.
Tambm levado em considerao que muitos dos jurisdicionados j esto submetidos,
alm do controle externo exercido pelo TCE, a controles efetuados pela Contadoria e Auditoria
Geral do Estado, Banco Central, Comisso de Valores Mobilirios e/ou Auditorias
Independentes, os quais configuram mecanismos de controle interno superiores aos existentes no
mbito municipal.
Para que seja possvel a implementao desta proposta, o uso de sistemas informatizados
do TCE-RS, bem como dados obtidos dos sistemas informatizados dos auditados sero utilizados
de forma intensiva para emisso do relatrio de auditoria.
3.8 Auditoria em TI em outros TCs
Atravs de levantamento feito via contatos com integrantes do grupo de TI do

PROMOEX, solicitando informaes a respeito de existncia de processo de auditoria em TI, foi
possvel verificar que esta prtica ainda no est consolidada. A exceo do TCU, TCE-PE e
TCE-PR, nenhum outro TC enviou resposta, ou possui em seu site documentao ou referncia
auditoria na rea de TI.
35
3.8.1 Experincia do Tribunal de Contas do Estado de Pernambuco

O Tribunal de Contas do Estado de Pernambuco (TCE-PE) possui rea responsvel pela
auditoria de TI. A Gerncia de Auditoria de Tecnologia da Informao (GATI), subordinada a
Coordenadoria de Tecnologia da Informao (CTI).
Segundo material enviado pelo TCE-PE (Anexo 1), em resposta a pesquisa realizada pelo
TCU em 2007, o GATI possui quatro pessoas alocadas na rea de auditoria em TI, atuando
especificamente nas reas de aquisio e contratao de bens e servios de TI (30 auditorias
como mdia anual), segurana, sistemas de TI e/ou auditoria de dados (duas auditorias como
mdia anual) e acompanhamento da execuo contratual de bens e servios de informtica (duas
auditorias como mdia anual).
A rea de atuao mais efetiva do GATI a de fiscalizao e controle preventivo de
licitaes, possuindo inclusive um roteiro especfico para esta rea.
Na parte de segurana em sistemas de informao, o TCE-PE possui checklists baseados
na norma ISO/IEC 17799 (Anexo 2), conforme figura 6.
Figura 6: Exemplo de checklist utilizado no TCE-PE
36
Atravs de contato via e-mail (Anexo 3) com o Sr. Eury Pacheco Motta Jnior, integrante
do GATI, solicitou-se que fossem respondidas questes a respeito da atuao do GATI para um
melhor entendimento do papel daquela gerncia no processo de auditoria tradicional.
Transcrevemos abaixo as perguntas e respostas:
Pergunta: Para que eu possa entender melhor o funcionamento do GATI e do prprio
processo de autoria, poderias me dar uma viso de como funciona a auditoria de TI dentro do
plano operativo de vocs?
Resposta: A partir deste ano comeamos a trabalhar da seguinte forma, elaboramos um
estudo para identificar as auditorias de TI de maior relevncia, o trabalho foi feito junto com a
CCE (Coordenadoria de Controle Externo) que a rea responsvel por toda a parte de controle
externo. Com base nas auditorias sugeridas pelo estudo priorizamos 3 para o ano de 2008 e outras
4 esto planejadas para 2009. O modelo que pretendemos alcanar prev ainda que as equipes de
auditoria tradicionais (auditores de contas pblicas) atuem sugerindo auditorias de TI a partir
das situaes (sistemas e ambientes) identificadas no trabalho de campo. Estas sugestes sero
priorizadas de acordo com a relevncia.
Pergunta: A auditoria de compliance (checklists) feita pelo GATI ou pelos auditores de
campo tradicionais (contadores, advogados)?
Resposta: As auditorias de TI so feitas pelos analistas de sistemas da GATI.
Dependendo do escopo da auditoria pode ser necessrio montar uma equipe multidisciplinar. Por
exemplo: uma auditoria de sistema de informao onde seja necessrio avaliar a aderncia das
regras de negcio do sistema s legislaes aplicveis. Neste caso seria indispensvel o
conhecimento da legislao aplicvel, se for muito especfica e complexa seria necessria a
participao de um auditor com conhecimento sobre a mesma.
Pergunta: A auditoria de compliance feita em todos os auditados ou por amostragem?
Resposta: Os trabalhos de auditoria so planejados em conjunto com a rea responsvel
pelo controle externo (CCE Coordenadoria de Controle Externo) sendo escolhidos os sistemas e
37
ambientes considerados mais relevantes (folha de pagamento do estado, bases de dados de

aposentados e pensionista do estado, sistema de distribuio de medicamentos, sistema de prego
eletrnico, etc.). Nossa equipe ainda pequena (a rea possui apenas 4 pessoas), ento a nossa
capacidade operativa no muito grande, e alm de auditorias, fazemos acompanhamento de
processos licitatrios e de contratos de TI.
Pergunta: As entrevistas so feitas pessoalmente ou as informaes so impostadas via
sistema?
Resposta: As entrevistas so sempre necessrias. Algumas vezes, quando o escopo da
auditoria envolve sistemas pode ser necessrio fazer testes no mesmo, remotamente ou in loco, a
depender do sistema. Algumas vezes recebemos informaes em formato eletrnico,
normalmente bases de dados, sempre enviadas em alguma mdia (CD ou DVD) pelo
jurisdicionado.
Pergunta: O no cumprimento de itens do checklist gera algum tipo de falha?
Resposta: As deficincias que encontramos muitas vezes esto relacionadas no
utilizao de boas prticas sugeridas por padres (referncias) como COBIT, ITIL, Normas ISO,
dentre outros, o que no implica em uma irregularidades do ponto de vista legal. Mas as
recomendaes apontadas pela equipe podem virar determinaes se assim entender o pleno do
TCE no julgamento.
Importante mencionar alguns resultados obtidos atravs de pesquisa sobre Governana de
TI realizada pelo Sr. Luiz Carlos de Oliveira, auditor do TCE-PE (Anexo 4), para sua dissertao
de mestrado. A pesquisa de campo contou com respostas de grande parte dos TCEs do Brasil
38
Figura 7: Escopo de atuao de TI no controle externo

Podemos constatar atravs de observao da figura 7, que a grande maioria das respostas
(57.1%) aponta para um uso mnimo da estrutura de TI no controle externo, no existindo setor
especfico para auditoria em TI nos TCEs. Dos poucos TCEs que realizam auditoria em TI, seja
sob demanda ou atravs de planejamento, somente 9.5% possui setor destinado para este fim
especfico.
Figura 8: Importncia do gerenciamento de risco nos TCEs

Outra estatstica interessante obtida na pesquisa realizada pelo Sr. Luiz Carlos de Oliveira,
vide figura 8, foi que os TCEs consideram importante o uso de gerenciamento de risco como
ferramenta para governana de TI (76,2%).
39
3.8.2 Experincia do Tribunal de Contas da Unio
O Tribunal de Contas da Unio (TCU) rgo de referncia na rea de controle externo,

atuando na rea de auditoria em TI desde 1994, quando realizou sua primeira auditoria
especificamente nesta rea. Na figura 9, retirada de apresentao (Anexo 5) feita pelo Sr. Andr
Luiz Furtado Pacheco, auditor de TI do TCU, no Congresso Nacional de Auditoria de Sistemas e
Segurana da Informao (CNASI) em 2007, podemos visualizar histrico do TCU na atuao
em auditoria em TI.
Figura 9: Histrico de Auditoria em TI no TCU

Preocupado com a crescente utilizao da Informtica pela administrao pblica e a falta
de fiscalizao adequada nesta rea, o TCU criou a Secretaria de Fiscalizao de TI (SEFTI) em
2006, conforme podemos ver atravs de trecho retirado da pgina do TCU sobre a histria da
SEFTI, a criao de rea especializada em auditoria de TI de suma importncia na execuo do
controle externo.
Dada a importncia estratgica da rea de Tecnologia da Informao - TI, a
expressiva materialidade tanto das aquisies relacionadas tecnologia da informao
quanto dos recursos geridos por meio de sistemas informatizados no Governo Federal, e
40
o uso cada vez mais crescente da tecnologia da informao para manipulao e

armazenamento de dados da Administrao Pblica Federal, introduzindo novos riscos e
aumentando a fragilidade de algumas atividades, o Tribunal de Contas da Unio conta
com a Secretaria de Fiscalizao de Tecnologia da Informao - Sefti, como unidade
especializada na rea.
Essa secretaria especializada, criada em agosto de 2006 para fiscalizar a gesto e
o uso de recursos de TI na Administrao Pblica Federal, conduz trabalhos especficos
em Fiscalizao de Tecnologia da Informao e serve de suporte s demais Secretarias
do Tribunal, atuando, sempre que solicitada, em uma estrutura matricial de fiscalizao.
Alm disso, elabora e dissemina metodologias, manuais e procedimentos para
planejamento e execuo de fiscalizaes de tecnologia da informao, visando maior
qualidade dos trabalhos de fiscalizao nessa rea.
Sua Diretoria de Auditoria de Tecnologia da Informao tem a atribuio
precpua de coordenao e realizao de fiscalizaes da governana de Tecnologia da
Informao, nos sistemas informatizados da Administrao Pblica, nas iniciativas de
governo eletrnico e na gesto dos recursos de tecnologia da informao, enquanto que a
Diretoria de Aquisies em Tecnologia da Informao tem a misso de coordenao e
realizao de fiscalizaes em editais de licitao, em contratos e em processos de
aquisies diretas, todos afetos tecnologia da informao.
Na figura 10 podemos verificar a estrutura organizacional da SEFTI.
Figura 10: Estrutura organizacional da SEFTI

Outro dado relevante retirado da apresentao realizada pelo Sr. Andr Luiz Pacheco
Furtado foram as principais normas e padres utilizados para auditoria em TI. Conforme
podemos verificar na figura 11.
41
Figura 11: Normas e padres utilizados pelo TCU

A auditoria em TI no TCU realizada atravs da atuao dos auditores em trs nveis:
Auditores Generalistas, Auditores da TI e Especialistas em TI. As auditorias seguem a seguinte
abordagem:
Auditoria de sistemas: Auditoria de conformidade e/ou operacional em sistemas

informatizados de uma organizao;
Auditoria de gesto de tecnologia da informao: Auditoria para avaliao da

gesto dos recursos de TI de uma organizao;
Auditoria de dados: Auditoria em bases de dados com a utilizao de ferramentas e

tcnicas de tratamento de dados;
Auditoria em aquisies de TI: Auditoria em processos de aquisio e

acompanhamento de contratos de TI;
Auditoria em poltica de governo na rea de TI: Auditoria em polticas ou

programas de governo na rea de TI, considerando sua eficcia, eficincia,
economicidade e efetividade.
42
O mtodo de auditoria de TI utilizado pelo TCU composto por fases (levantamento,

planejamento, execuo, elaborao do relatrio e monitoramento), utilizando-se de montagem
de matrizes de planejamento, procedimentos e achados, alm de tcnicas de auditoria de
conformidade e auditoria operacional. Este mtodo ilustrado na figura 12.
Figura 12: Mtodo de auditoria em TI utilizado pelo TCU

A matriz de planejamento o instrumento utilizado para se organizar as informaes
relevantes do planejamento de uma auditoria. Permite homogeneizar o entendimento da equipe e
demais envolvidos quanto ao objetivo do trabalho, passos a serem seguidos e estratgia
metodolgica a ser adotada, orientando os integrantes da equipe nas fases de execuo e de
elaborao do relatrio. O principal objetivo da matriz de planejamento enunciar de forma clara
e resumida o aspecto a ser enfocado pela auditoria, de acordo com o levantamento de auditoria
previamente realizado. Passos para a elaborao da matriz de planejamento:
Elaborar o objetivo da auditoria, aps o diagnstico da situao, e determinar a linha

de investigao, mediante a formulao das questes de auditoria;
43
Determinar, para cada questo de auditoria, possveis achados, ou seja, onde se deseja
chegar com a investigao;
Identificar as informaes requeridas e onde as obter;
Escolher as estratgias metodolgicas para responder as questes de auditoria;
Escolher os mtodos de coleta e anlise de dados que sero empregados;
Identificar fatores que possam representar obstculos (limitaes) ao trabalho.
Figura 13: Exemplo de matriz de planejamento.

Atravs da matriz de procedimentos ser detalhado passo a passo o processo de
fiscalizao na forma de itens a serem executados, contendo questes de auditoria,
procedimentos, objeto e achado. O principal objetivo da matriz de procedimentos e enunciar de
forma clara e resumida o objetivo da auditoria. Na figura 14 um exemplo de matriz de
procedimentos.
44
Figura 14: Exemplo de matriz de procedimentos.

A matriz de achados encaminhar o fechamento da auditoria. Atravs dela ser
evidenciada a situao encontrada, o achado, o critrio, a evidncia, a causa, o efeito e o
encaminhamento (recomendaes) com relao auditoria efetuada. O principal objetivo da
matriz de achados evidenciar os resultados da auditoria e as recomendaes para corrigir
eventuais irregularidades.
Figura 15: Exemplo de matriz de achados.
45
3.8.3 Experincia do Tribunal de Contas do Estado do Paran

Atravs de contato mantido com a Dra. Tatianna Cruz Bove, auditora, foi possvel saber
que existe atuao na rea de auditoria em TI no TCE-PR.
Apesar de acenar com a possibilidade de envio de material para este trabalho, este fato
no se concretizou, mas de qualquer forma importante o registro que o TCE-PR atua na rea de
auditoria em TI e pode vir a ser fonte de consulta para aumento de experincia na forma de
auditar esta rea.
Cabe mencionar importante iniciativa daquele Tribunal de Contas no sentido de tentar
tornar mais acessvel as informaes referentes aos resultados das auditorias atravs da criao de
um portal de controle social, conforme pode-se verificar na figura 16.
Figura 16: Portal de controle social (http://www.controlesocial.pr.gov.br/)
46
4 AUDITORIA EM TI PROPOSTAS DE IMPLEMENTAO NO TCE-RS

Percebe-se, atravs dos relatos obtidos em reunies realizadas com servidores do TCE
diretamente relacionados com o processo de auditoria tradicional, que a necessidade de
implementao de auditoria em TI no ambiente do TCE-RS uma necessidade premente.
Apesar do acesso obtido s informaes enviadas pelos entes auditados atravs do
programa SIAPC, resta desconfiana sobre como estes dados so gerados. Como o objeto final de
envio so arquivos texto, estes podem sofrer algum tipo de manipulao, seja atravs de
programas conversores de planos de contas ou outros programas de adequao, ou mesmo edio
manual destes arquivos.
Outra preocupao existente a de que a auditoria em TI seja mais um entre tantos itens
hoje trabalhados pelos auditores de campo. A auditoria em TI dever servir como auxlio para
reduo de auditoria in-loco. Um roteiro bsico para auditores que no so da rea de TI dever
ser elaborado para utilizao das equipes de auditoria tradicional.
Atravs do relato de experincias de outros Tribunais de Contas possvel verificar que a
auditoria em TI, devido a sua complexidade e amplo foco de abordagem exige a montagem de
estrutura prpria para este fim. Auditores formados na rea e com cursos de especializao e
atualizao precisam pensar o processo de auditoria, montando matrizes que auxiliaro neste
processo, a exemplo do que hoje acontece no TCU.
O atendimento a este item de suma importncia para o sucesso da auditoria em TI no
TCE-RS, pois no se pode esperar que os auditores das equipes de desenvolvimento e suporte
rede adicionem mais esta tarefa as que hoje j executam e consigam atender a todas as demandas
de forma satisfatria.
Partindo-se da premissa que os dados obtidos dos sistemas informatizados dos
jurisdicionados base fundamental para a realizao do processo de auditoria, e que o ambiente
informatizado existente nestes rgos deve ser confivel e controlado, podemos vislumbrar a
47
necessidade de um controle interno atuante e com conhecimentos necessrios para a garantia

destes quesitos.
Para que o controle interno dos auditados possa ter atuao efetiva, necessrio que
conhecimentos nesta rea sejam fornecidos, visando padronizar uma forma de atuao e de
controle. Neste aspecto a utilizao de estrutura de EAD por parte do TCE-RS para fornecer estes
conhecimentos essencial, pois a atuao de forma proativa e educativa refletir no processo de
controle externo, facilitado por um controle interno atuante.
O uso de tcnicas de gerenciamento de riscos, que esto diretamente relacionadas com a
rea de controle interno, tambm poderia ser matria a ser desenvolvida atravs do uso de EAD
contribuindo para garantir um ambiente confivel nos rgos auditados.
A partir de um controle interno atuante, com conhecimentos necessrios para a execuo
de seu servio, haveria um cenrio propcio para o uso de auditoria de compliance.
A utilizao das normas ABNT NBR ISSO/IEC 27001 e 17799, a exemplo dos checklists
do TCE-PE, alm de outros requisitos exigidos pelo TCE-RS atravs de legislao, serviriam
para a formao de quesitos de atendimento obrigatrio e passveis de auditoria, formando a base
para o checklist a ser aplicado.
A coleta das informaes dos quesitos a serem atendidos seria feita atravs de sistema
informatizado, a exemplo do que hoje feito via o sistema de Manifestao do Controle Interno
(MCI), e a coleta de evidncias seria feita in-loco no processo de auditoria tradicional. A emisso
de documento comprovando a aderncia ao compliance do TCE-RS seria uma das certificaes
a ser buscada pelo auditado e um primeiro nvel de auditoria em TI a ser realizado pelo TCE-RS,
no exigindo neste primeiro momento a atuao de auditores especialistas nesta rea.
A anlise de contratos e processos licitatrios na rea de TI seria uma outra rea onde
auditores de TI poderiam atuar, a exemplo do que hoje acontece no TCE-PE, que inclusive possui
manual criado exclusivamente para esta finalidade e do TCU, que tambm atua de forma efetiva
48
neste processo atravs de sua Diretoria de Fiscalizao de Aquisies em Tecnologia da

Informao (DEFTI).
Ferramentas de BI e data mining poderiam ser utilizadas para cruzamento de informaes
em cima dos dados fornecidos pelos auditados, seja atravs do SIAPC ou requisies, e acesso
base de dados de outras instituies, tais como Bancos e Junta Comercial, entre outras, para
montagem das matrizes de planejamento, procedimentos e achados de auditoria, levantando
indcios que seriam comprovados in-loco pelas equipes de auditoria em campo. Seria a
implementao da Malha Fina do TCE-RS.
A necessidade de atuao em auditorias que envolvam anlise de dados ou de sistemas
utilizados pelos auditados seria feita por auditores especialistas, que devido ao seu perfil tcnico
no fariam parte de equipes de auditoria tradicional e teriam seu trabalho requisitado quando
preciso. Estes auditores alm da formao tcnica em TI tambm deveriam possuir certificaes
na rea de auditoria e conhecimentos em forense computacional.
Poderamos resumir a auditoria em TI em fases, que poderiam ocorrer de forma
concomitante com o processo de auditoria tradicional. A metodologia a ser utilizada seria a de
criao de matrizes de planejamento, procedimentos e achados, utilizada pelo TCU. Estas fases
seriam:
1. Planejamento da Auditoria: Seriam utilizados dados obtidos atravs da Malha
Fina do TCE-RS, dados retirados do sistema MCI, denncias recebidas pela
ouvidoria e matriz de risco elaborada pelos setores de auditoria municipal para a
montagem das matrizes de planejamento e procedimentos;
2. Execuo: As evidncias relativas aos dados obtidos para o processo de auditoria
seriam verificadas durante o processo de auditoria in-loco, no necessariamente por
auditores especialistas em TI, que seriam solicitados se necessrio, e serviriam para a
montagem da matriz de achados.
49
3. Relatrio: Nesta fase os dados retirados da matriz de achados seriam relatados e as

recomendaes para sanar possveis falhas seriam efetuadas.
Alm destas fases, que ocorreriam dentro do plano operativo de auditoria, ainda haveria a
necessidade de atuao nas reas de aquisies em TI, analisando e acompanhando os contratos
que forem feitos nesta rea e tambm do atendimento de auditorias especficas e pontuais que
envolvam anlise de dados obtidos em sistemas dos auditados.
50
5 CONCLUSO
Neste trabalho foram abordados aspectos relevantes referentes auditoria em TI,
trazendo-se conceitos necessrios ao entendimento da proposta de implementao no processo de
auditoria do TCE-RS.
Resultados de entrevistas realizadas com auditores do TCE-RS e com fornecedores de
ferramentas passveis de utilizao em auditoria de TI foram relatadas, bem como experincias de
outros Tribunais que hoje j atuam nesta rea.
Em capitulo especfico, os conceitos abordados e os relatos de experincias e entrevistas
foram transformados em sugestes de como se implementar auditoria em TI no processo de
auditoria do TCE-RS.
Espera-se que as informaes aqui contidas auxiliem na implementao e implantao da
auditoria em TI nas aes j existentes no Planejamento Estratgico do TCE-RS e no
PROMOEX, servindo talvez como documento inicial para aprimoramento de uma soluo
institucional.
51
6 BIBLIOGRAFIA
1 BRASIL, Tribunal de Contas da Unio. Manual de Auditoria de Sistemas. Braslia: TCU,
Secretaria de Auditoria e Inspees, 1998.
2 IMONIANA, Joshua Onome. Auditoria de Sistemas de Informao. So Paulo: Atlas, 2005
3 RAMOS, Anderson (org.). Security Officer 1 - Guia Oficial para Formao de Gestores em
Segurana da Informao. Rio Grande do Sul: Zouk, 2006
4 WIKIPDIA. Business Intelligence. Disponvel em: <
http://pt.wikipedia.org/wiki/Business_intelligence >. Acesso em 6 abr. 2008
5 NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A. Recovering and
Examining Computer Forensic Evidence. Forense Science Communications. 2000
6 WIKIPDIA. Minerao de Dados. Disponvel em: <
http://pt.wikipedia.org/wiki/Data_mining>. Acesso em 7 abr. 2008
7 PORTELA, Alexandre. Controle Interno Nas Organizaes Pblicas. Disponvel em:
<http://www.artigos.com/artigos/sociais/administracao/controle-interno-nas-organizacoespublicas-2007/artigo/>. Acesso em 16 jul. 2008
8 COSO. Guidance on Monitoring Internal Control Systems. Volume III Application
Techniques. Disponvel em: <http://www.coso.org/documents/VolumeIIIApplicationTechniques.pdf>. Acesso em 14 set. 2008
9 MORAN, Jos Manuel. O que educao distncia. Disponvel em:
<http://www.eca.usp.br/prof/moran/dist.htm>. Acesso em 6 set. 2008
ANEXO 1
Tribunal de Contas da Unio
FORMULRIO
OBJETIVO DA PESQUISA
Levantar informaes para a Secretaria de Fiscalizao de Tecnologia da Informao Sefti.

ENTIDADE
Tribunal de Contas do Estado de Pernambuco
DATA
07/06/2007
RESPONSVEL (Favor indicar uma pessoa que possa esclarecer possveis dvidas sobre o assunto, indicando nome, funo,
telefone e correio eletrnico)
Regina Claudia de Alencar Ximenes Chefe da Gerncia de Auditoria de TI (81)3413-7878
regina@tce.pe.gov.br
Item 1) A entidade executa fiscalizaes de TI?

( x ) sim;
( ) no.
Se sim, informe quantos servidores se dedicam a essa atividade e quantas fiscalizaes de TI,
em mdia, so realizadas pela entidade por ano:
Quantidade de servidores alocados: 4
Mdia de fiscalizaes de TI / ano:
reas
Aquisio e contrao de bens e servios de TI
Segurana, Sistemas de TI e/ou auditoria de dados
Acompanhamento da execuo contratual de bens e
servios de TI
Mdia
Anual
30
2
2
Marque as reas de atuao em fiscalizao de TI da sua entidade:

( x ) aquisio e contratao de bens e servios de TI;
( ) governana de TI;
( x ) segurana da informao;
( x ) anlise e verificao de consistncia de dados;
( ) avaliao do desempenho de sistemas de TI (eficincia, eficcia e efetividade);
( x ) outras. Citar quais: avaliao de conformidade de sistemas; acompanhamento da
execuo contratual de bens e servios de TI.
Favor apontar os trabalhos de fiscalizao de TI mais relevantes e enviar cpias por meio
eletrnico dos relatrios ou extratos dos trabalhos executados pela entidade.
At a presente data, j foram realizadas cerca de 190 fiscalizaes, concernentes ao
controle preventivo das licitaes, envolvendo um montante da ordem de R$ 311.000.000,00
(trezentos e onze milhes de reais) com despesas referentes aquisio de bens e servios de
TI. Tambm j foi realizado o acompanhamento de 6 (seis) contratos de TI, vigentes em trs
rgos pblicos estaduais, que totalizam uma despesa da ordem de R$ 28.000.000,00 (vinte e
oito milhes reais) e foram realizadas 8 (oito) auditorias de sistemas, sendo 4 (quatro) em
sistemas de Folha de Pagamento (entre eles o SAD-RH -Folha de Pagamento do Estado), 3
(trs) em sistemas de compras eletrnicas (Prego Eletrnico), dentre estes os sistemas do

Banco Real e o do Banco do Brasil, utilizados pela Administrao Direta e Indireta do Estado,
respectivamente (http://www.redecompras.pe.gov.br/), e uma auditoria no sistema SIAGEM Sistema Integrado de Administrao de Materiais e Servios para Estados e Municpios. A
seguir destacamos os trabalhos mais recentes em cada rea.
Nome do trabalho
Descrio do trabalho com os resultados alcanados
Auditoria do Sistema de Auditoria de TI visando inspecionar as rotinas e os mecanismos de

Prego Eletrnico da
controle de execuo inerentes ao sistema Prego On-line (site
Pref. Ipojuca
www.pregaoonline.com.br) utilizado pela Prefeitura Municipal de
Ipojuca, em decorrncia de contrato firmado para este fim com a
empresa Amplo Comrcio e Servios Ltda., desenvolvedora e
mantenedora do referido sistema.
Auditoria de
Auditoria de acompanhamento da execuo de contratos de TI.
Acompanhamento de
Ref.: Contrato n. 038/2005, celebrado pelo Hospital Universitrio
Contratos - UPE
Oswaldo Cruz HOUC. Perodo auditado: 06/09/2006 a 29/09/2006.
Auditoria de
Auditoria de acompanhamento da execuo de contratos de TI.
Acompanhamento
Ref.: Contrato n. 006/2004 , da Agncia Estadual de Tecnologia da
Contratos - ATI
Informao ATI. Perodo auditado: 22/02/2007 a 19/03/2007.
Auditoria de
Acompanhamento
Edital de licitao da
Pref. Ipojuca
Auditoria de
Acompanhamento
Edital de licitao da
Secretaria de Sade
Anlise prvia do Edital de Concorrncia n 010/2006, que tem

como objeto a contratao da licena de uso, implantao,
estruturao das bases de dados, capacitao, manuteno e
prestao de garantia de um conjunto de sistemas aplicativos
contemplando a gesto oramentria e contbil, receitas municipais,
recursos humanos, patrimnio, almoxarifado, compras e licitaes,
frota, sade, educao, ouvidoria, banco de leis do municpio,
tramitao de processos, ao social, um sistema de emisso de
relatrios gerenciais para o Gabinete do Prefeito e o servio de
gerenciamento da infra-estrutura de processamento da Prefeitura
Municipal de Ipojuca/PE afeita ao conjunto de sistemas acima. O
prazo previsto para a contratao de 12 meses e o valor estimado
de R$ R$ 2.334.803,50.
Anlise prvia do processo licitatrio n. 068.2006.IV.CC.005.SES,
(Concorrncia n. 005/2006), do tipo tcnica e preo, promovido pela
Secretaria de Administrao e Reforma do Estado para a Secretaria
Estadual de Sade,que tem como objeto a contratao de empresa
especializada para o fornecimento de servios tcnicos
especializados em informtica e gesto. Valor estimado: R$
9.432.000,00.
Item 2)
A entidade possui unidade tcnica especializada para execuo de fiscalizaes de TI?

( x ) sim;
( ) no.
Se sim, favor informar o nome da unidade e os normativos que definem sua competncia legal,
encaminhando cpias desses documentos por meio eletrnico.
Gerncia de Auditoria de Tecnologia da Informao GATI, subordinada Coordenadoria de Tecnologia da
Informao - CTI
Competncias (constantes do Manual de Organizao pendente de aprovao pelo Pleno)
Cabe Gerncia de Auditoria de Tecnologia da Informao:
I-
IIIIIIVVVI-
planejar, em conjunto com a Coordenadoria de Controle Externo, coordenar e executar o

acompanhamento tcnico-financeiro da aplicao de recursos pblicos na rea de tecnologia da
informao por parte dos rgos jurisdicionados;
planejar, em conjunto com a Coordenadoria de Controle Externo, coordenar e executar auditoria de
ambientes e sistemas computacionais dos jurisdicionados;
planejar, em conjunto com a Coordenadoria de Tecnologia da Informao, coordenar e executar
auditoria de ambiente e sistemas computacionais internos;
analisar e emitir laudos tcnicos nos processos de matria de tecnologia da informao encaminhados
pelos Gabinetes de Conselheiros, rgos Especiais ou pela Coordenadoria de Controle Externo;,
desenvolver produtos e atividades com a finalidade de orientar os rgos fiscalizados pelo Tribunal
sobre a contratao e execuo de contratos de bens e servios de tecnologia da informao;
emitir parecer tcnico para subsidiar o processo interno de contratao de bens e servios de
informtica.
Atribuies:
Compete ao Gerente de Auditoria de Tecnologia da Informao:
I-
gerenciar as atividades e os recursos disponveis, de forma a atender as competncias da Gerncia e

outras compatveis com sua rea de atuao, observando o cumprimento da legislao especfica;
IIelaborar, com a participao dos servidores da Gerncia, o Plano Operativo Anual de sua unidade
organizacional, em conformidade com os Planos Estratgico e de Gesto, monitorando o
cumprimento das metas estabelecidas, propondo ajustes e avaliando resultados por meio de
indicadores de desempenho;
IIIdesenvolver e executar, junto sua equipe, projetos voltados ao aperfeioamento de procedimentos e
rotinas de sua rea de atuao;
IVassistir os processos de criao e implementao dos sistemas informatizados da Gerncia;
Videntificar necessidades e propor condies para um melhor desempenho e integrao da equipe,
com nfase no processo de capacitao dos servidores lotados na Gerncia;
VIrealizar as avaliaes de desempenho funcional de sua responsabilidade;
VIIsupervisionar a freqncia e a escala de frias dos servidores lotados na Gerncia;
supervisionar o controle dos materiais e bens patrimoniais sob sua responsabilidade
VIIIsupervisionar o controle dos materiais e bens patrimoniais sob sua responsabilidade;
IXelaborar e remeter ao Coordenador relatrios trimestrais e anual de atividades da Gerncia nos
prazos e modelo estabelecidos;
Xobservar o cumprimento dos provimentos da Corregedoria Geral e das recomendaes do Controle
Interno, referentes sua unidade organizacional.
Item 3) A entidade utiliza documentos para orientar as fiscalizaes de TI?

( x ) sim;
( ) no.
Se sim, favor marcar os tipos utilizados, citando os documentos e enviando cpias por meio
eletrnico, se possvel:
( x ) Coletnea de normas ou boas prticas aplicadas a fiscalizaes de TI; (COBIT, Normas
ISO 17799; ISO 15408 (PA em elaborao))
( ) Portflio de ferramentas automatizadas de assistncia a auditorias;
( x ) Procedimentos, manuais ou modelos de relatrio que norteiam as fiscalizaes de TI;
(Roteiro para auditoria de TI; Roteiro para auditoria de contratos; PA-Segurana Fsica e
Ambiental;PA-Segurana em sistemas;PA-Backup; PA-Vrus; PA-Licitao de TI- Geral; PALicitao de servios de desenvolvimento; PA-Prego ePA-Contrato.
( ) Modelo de controle de qualidade dos produtos de fiscalizao de TI;
( x ) Outros. Citar quais: at o momento, as auditorias de dados foram realizadas utilizando a
ferramenta MS-Access
Item 4) A instituio adota modelos de mapeamento e desenvolvimento de competncias para

profissionais que atuam em fiscalizaes de TI (plano de capacitao, cursos, treinamentos,
certificaes e outros)?
( x ) sim; ( ) no.
Se sim, favor informar quais, encaminhando cpias desses modelos por meio eletrnico.
Treinograma de Azoubel.
Item 5) A instituio tem interesse de atuar em futuras fiscalizaes de TI em conjunto com o

TCU?
( x ) sim;
( ) no.
Comentrios:
O TCE-PE j trabalhou em conjunto com o TCU na auditoria do sistema SIPIA e tem
interesse em realizar outras auditorias, no sentido de aprimorar o seu modelo de fiscalizao
de TI.
Auditorias de TI conjuntas em objetos para os quais haja ou tenha havido o repasse de
verbas federais atravs de convnios, por exemplo, seriam de interesse comum tanto para o
TCU como para o TCE-PE.
Se sim, favor apontar possveis trabalhos conjuntos de fiscalizao de TI, caso essas
informaes no sejam sigilosas:
Tema/rea
(governana,
Entidade
segurana
da auditada
informao etc.)
ser Perodo
provvel
Comentrios sobre o trabalho
Item 6) Favor utilizar este espao caso queira oferecer sugestes, opinies ou outras
informaes que considere relevantes.
Sugere-se que as respostas e os documentos recebidos pelo TCU, como resultado desta
pesquisa, sejam divulgados e disponibilizados para todas as entidades colaboradoras
(uma opo seria a disponibilizao de todo o material, para fins de download, no
prprio site do TCU). Importante, inclusive, que o prprio TCU tambm preencha o
formulrio e compartilhe suas informaes e o material de que dispe (Programas de
auditoria, manuais, plano de capacitao, etc.) com os demais TCEs e TCMs.
Sugere-se tambm a criao de uma lista de discusso ou frum do qual poderiam
participar servidores dos TCs que realizam auditorias de TI ou que tenham interesse no
assunto.
ANEXO 2
ANEXO 3

De:
Eury Pacheco Motta Jnior [eury@tce.pe.gov.br]
Enviado em: tera-feira, 2 de setembro de 2008 08:13

Para:
Cc:
Nelson Barreto C. B. de Menezes; Maria Teresa Silva de Moura
Assunto:
RES: [promoex] Metodologia/Documentao para Auditoria em TI/Sistemas
Prezado Frederico,
Desculpe a demora na resposta, o ritmo de trabalho aqui est bem acelerado. Caso seja necessrio mais
alguma informaes acho melhor voc ligar para mim, desta forma ter as respostas mais rapidamente.
Como vocs esto comeando, sugiro que vocs estudem e se planejem para que as pessoas que fazem
auditoria de TI tirem certificao CISA (Certified Information System Auditor), ns estamos iniciando os
estudos para isto. Exige muito estudo e conhecimento em TI para tirar esta certificao, boa parte da equipe
do TCU (que audita TI) possui.
Seguem abaixo as respostas s suas perguntas. Estou a disposio caso as respostas no sejam suficientes
para esclarecer os pontos levantados.
[]s Eury Motta,
Gerncia de Auditoria de TI (GATI)
3181-7855 ou 3181-7878.
Para que eu possa entender melhor o funcionamento do GATI e do prprio processo de autoria, poderias me
dar uma viso de como funciona a auditoria de TI dentro do plano operativo de vocs?
A partir deste ano comeamos a trabalhar da seguinte forma, elaboramos um estudo para identificar
as auditorias de TI de maior relevncia, o trabalho foi feito junto com a CCE (Coordenadoria de
Controle Externo) que a rea responsvel por toda a parte de controle externo. Com base nas
auditorias sugeridas pelo estudo priorizamos 3 para o ano de 2008 e outras 4 esto planejadas para
2009. O modelo que pretendemos alcanar prev ainda que as equipes de auditoria
tradicionais (auditores de contas pblicas) atuem sugerindo auditorias de TI a partir das situaes
(sistemas e ambientes) identificadas no trabalho de campo. Estas sugestes sero priorizadas de
acordo com a relevncia.
- A auditoria de compliance (checklists) feita pelo GATI ou pelos auditores de campo tradicionais
(contadores, advogados ..)?
As auditorias de TI so feitas pelos analistas de sistemas da GATI. Dependendo do escopo da

auditoria pode ser necessrio montar uma equipe multidisciplinar. Por exemplo: uma auditoria de
sistema de informao onde seja necessrio avaliar a aderncia das regras de negcio do sistema s
legislaes aplicveis. Neste caso seria indispensvel o conhecimento da legislao aplicvel, se for
muito especfica e complexa seria necessria a participao de um auditor com conhecimento sobre a
mesma.
- A auditoria de compliance feita em todos os auditados ou por amostragem?
Os trabalhos de auditoria so planejados em conjunto com a rea responsvel pelo controle externo
(CCE Coordenadoria de Controle Externo) sendo escolhidos os sistemas e ambientes considerados
mais relevantes (folha de pagamento do estado, bases de dados de aposentados e pensionista do
estado, sistema de distribuio de medicamentos, sistema de prego eletrnico, etc.). Nossa equipe
ainda pequena (a rea possui apenas 4 pessoas), ento a nossa capacidade operativa no muito
grande, e alm de auditorias, fazemos acompanhamento de processos licitatrios e de contratos de
TI.
29/10/2008
- As entrevistas so feitas pessoalmente ou as informaes so impostadas via sistema?
As entrevistas so sempre necessrias. Algumas vezes, quando o escopo da auditoria envolve

sistemas pode ser necessrio fazer testes no mesmo, remotamente ou in loco, a depender do sistema.
Algumas vezes recebemos informaes em formato eletrnico, normalmente bases de dados, sempre
enviadas em alguma mdia (CD ou DVD) pelo jurisdicionado.
- O no cumprimento de itens do checklist gera algum tipo de falha?
As deficincias que encontramos muitas vezes esto relacionadas a no utilizao de boas prticas
sugeridas por padres (referncias) como COBIT, ITIL, Normas ISO, dentre outros, o que no
implica em uma irregularidades do ponto de vista legal. Mas as recomendaes apontadas pela
equipe podem virar determinaes se assim entender o pleno do TCE no julgamento.
De: Regina Ximenes

Enviada em: quarta-feira, 13 de agosto de 2008 10:38
Para: Eury Pacheco Motta Jnior
Assunto: ENC: [promoex] Metodologia/Documentao para Auditoria em TI/Sistemas
De: Nelson Barreto C. B. de Menezes

Enviada em: segunda-feira, 28 de julho de 2008 09:47
Para: Regina Ximenes
Oi Regina,
Tu respondeste ao questionamento do pessoal do TCE-RS agora ele tem mais perguntas, voc poderia
responder e entrar em contato direto com ele?
Abraos,
Nelson Barreto C B de Menezes
Ncleo de Planejamento, Controle Interno e
Desenvolvimento Organizacional - NPC
Tribunal de Contas de Pernambuco
81-3181.7760
De: Frederico Henrique Goldschmidt Neto [mailto:fred@tce.rs.gov.br]

Enviada em: quarta-feira, 9 de julho de 2008 16:10
Para: Nelson Barreto C. B. de Menezes
Assunto: RES: [promoex] Metodologia/Documentao para Auditoria em TI/Sistemas
Ol Nelson,
Dei uma olhada na documentao que me enviaste e verifiquei que vocs possuem vrios checklists
baseados na 17799, alm do manual para anlise de contratos de TI.
Para que eu possa entender melhor o funcionamento do GATI e do prprio processo de autoria, poderias
me dar uma viso de como funciona a auditoria de TI dentro do plano operativo de vocs?
- A auditoria de compliance (checklists) feita pelo GATI ou pelos auditores de campo tradicionais
(contadores, advogados ..)?
- A auditoria de compliance feita em todos os auditados ou por amostragem?
- As entrevistas so feitas pessoalmente ou as informaes so impostadas via sistema?
- O no cumprimento de itens do checklist gera algum tipo de falha?
29/10/2008
Estas seriam algumas perguntas, mas se tivesses um tempo (ou a Regina Ximenes) para gastares
comigo poderias descrever de forma resumida como funciona o processo ai no TCE-PE?
Agradeo mais uma vez a boa vontade em atender este colega do Sul!
[]s
Auditor Pblico Externo - TCE/RS
Coordenador - DA-SINF-SRI
Fone: 51-32149832
-----Mensagem original----De: Nelson Barreto C. B. de Menezes [mailto:nelson@tce.pe.gov.br]
Para: Frederico Henrique Goldschmidt Neto
Cc: Programa de Modernizao do Controle Externo
Prezado Fred,
Envio a resposta do TCE-PE, ao mesmo tempo solicito, se possvel a consolidao dessa pesquisa
que voc est fazendo com todos os TCs.
Abraos,
Nelson Barreto C B de Menezes
Coordenador Geral Adjunto - Promoex
Tribunal de Contas de Pernambuco TCE/PE
Fone: 81-3181.7760 Fax: 81-3181.7697
nelson@tce.pe.gov.br
De: Regina Ximenes

Para: Maria Teresa Silva de Moura
Assunto: RES: [promoex] Metodologia/Documentao para Auditoria em TI/Sistemas
Teresa,
Em meados de 2007, o TCU realizou pesquisa junto aos TCs para levantamento de
informaes acerca da prtica/procedimentos de auditoria de TI. O formulrio de pesquisa
respondido pela nossa Gerncia de Auditoria de TI e todo o material solicitado foi
encaminhado para TCU, via e-mail. Acredito que o TCU deve dispor de muitas outras
informaes da situao da auditoria de TI nos demais Tribunais de Contas. Seria muito bom
que todo esse material fosse divulgado, para conhecimento de todos os interessados!
Em anexo, seguem as nossas respostas ao formulrio bem como os arquivos encaminhados.
_________________________________
Regina C. Alencar Ximenes
Analista de Sistemas - CTI/GATI

Tribunal de Contas de Pernambuco - TCE/PE
----- Original Message ----From: fred@tce.rs.gov.br

To: promoex@grupos.com.br
Sent: Tuesday, July 01, 2008 3:10 PM
Subject: [promoex] Metodologia/Documentao para Auditoria em TI/Sistemas
Prezados Colegas dos TCs,
Ns do TCE-RS estamos iniciando o processo de auditoria em TI/Sistemas.

J realizamos algumas auditorias pontuais, mas ainda carecemos de uma metodologia mais
aprofundada para evoluir nesta matria, a exemplo do que temos feito em auditoria operacional e
29/10/2008
ambiental.
Aproveitando uma das finalidades do PROMOEX, que o compartilhamento de recursos,
gostariamos de saber se algum TC j possui metodologia/manuais de auditoria em TI/Sistemas e se
haveria possibilidade de compartilhar este conhecimento.
Agradecemos antecipadamente!
[]s

Auditor Pblico Externo - TCE/RS
Coordenador - DA-SINF-SRI
Fone: 51-32149832
29/10/2008
ANEXO 4
Page: Importncia e Benefcios da Tecnologia da Informao (TI)
1. Do ponto de vista da estratgia corporativa do TCE, quo importante voc considera que a TI seja para que as metas dessa estratgia sejam
alcanadas?
Grau de importncia
Nenhuma
Pouca
importncia
importncia
0.0% (0)
0.0% (0)
No
tenho
Importante
certeza
0.0% (0)
9.5% (2)
Muito
importante
90.5% (19)
No sei
0.0% (0)
Rating
Response
Average
Count
4.90
21
answered question
21
Comente se achar necessrio
skipped question
2. Com que freqncia a TI includa na agenda das decises sobre o negcio do TCE?
s vezes.
Nunca
Depende do
Regularmente
Sempre
No sei
33.3% (7)
19.0% (4)
0.0% (0)
projeto
Freqncia
0.0% (0)
47.6% (10)
Rating
Response
Average
Count
2.71
21
answered question
21
skipped question
3. Com que freqncia a Tecnologia da Informao no TCE informa sobre oportunidades de negcio proporcionadas por novas tecnologias?
s vezes.
Nunca
Depende do
Regularmente
Sempre
No sei
66.7% (14)
14.3% (3)
0.0% (0)
projeto
Freqncia
4.8% (1)
14.3% (3)
Rating
Response
Average
Count
2.90
21
answered question
21
skipped question
4. Como voc descreve o alinhamento entre a estratgia de TI e a estratgia de negcio do TCE?
Grau de alinhamento
Muito
pobre
Pobre
Mdio
Bom
Muito bom
No sei
Rating
Average
Response
Count
0.0% (0)
28.6% (6)
38.1% (8)
14.3% (3)
19.0% (4)
0.0% (0)
3.24
21
answered question
21
skipped question
5. Qual o escopo de atuao da TI no controle externo?

Response
Response
Percent
Count
Atuao restrita ao apoio nas

atividades do controle externo. O
57.1%
TCE no dispe de um setor

destinado a auditoria de TI.
12
Alm do apoio nas atividades do

controle externo, O TCE realiza
23.8%
autitoria de TI sob demanda, porm

no dispe de um setor destinado a
auditoria de TI.
O TCE dispe de um setor destinado
a auditoria de TI, mas no existe um
9.5%
Plano de Auditoria de TI nos

jurisdicionados.
O TCE dispe de um setor destinado
auditoria de TI e existe um Plano
9.5%
de Auditoria de TI nos
jurisdicionados.
No sei
0.0%
Comente se achar necessrio.
answered question
21
skipped question
Page: Problemas de TI e solues potenciais
6. Qual o grau de severidade de problemas relativos a TI que voc enfrentou nos ltimos 12 meses?
Rating
Response
Average
Count
Sem grau de
No Houve
severidade
problema
19.0% (4)
42.9% (9)
19.0% (4)
4.8% (1)
2.70
21
9.5% (2)
57.1% (12)
14.3% (3)
19.0% (4)
0.0% (0)
2.43
21
Incidentes srios de operao da TI
14.3% (3)
23.8% (5)
23.8% (5)
38.1% (8)
0.0% (0)
2.86
21
Incidentes relativos a segurana e

privacidade (pessoas, intrusos, etc.)
9.5% (2)
14.3% (3)
19.0% (4)
57.1% (12)
0.0% (0)
3.24
21
33.3% (7)
14.3% (3)
38.1% (8)
14.3% (3)
0.0% (0)
2.33
21
Problemas de terceirizao
19.0% (4)
28.6% (6)
14.3% (3)
38.1% (8)
0.0% (0)
2.71
21
Insuficincia de pessoal
61.9% (13)
23.8% (5)
14.3% (3)
0.0% (0)
0.0% (0)
1.52
21
Medidas inadequadas para o Plano

de Recuperao de Desastres e para
23.8% (5)
19.0% (4)
23.8% (5)
33.3% (7)
0.0% (0)
2.67
21
Muito srio
Pouco srio
14.3% (3)
TI (soluo de incidentes e
problemas)
Alto custo da TI e/ou baixo retorno

de investimento
No sei
Problemas na entrega de servios de
Falta de conexo entre a estratgia

de TI e a estratgia do TCE
o Plano de Continuidade do Negcio

Pessoal com perfil inadequado
28.6% (6)
33.3% (7)
9.5% (2)
28.6% (6)
0.0% (0)
2.38
21
Problemas no arquivamento
eletrnico de informaes
14.3% (3)
33.3% (7)
4.8% (1)
47.6% (10)
0.0% (0)
2.86
21
28.6% (6)
28.6% (6)
14.3% (3)
28.6% (6)
0.0% (0)
2.43
21
4.8% (1)
23.8% (5)
28.6% (6)
42.9% (9)
0.0% (0)
3.10
21
10.0% (2)
25.0% (5)
55.0% (11)
10.0% (2)
0.0% (0)
2.65
20
0.0% (0)
0.0% (0)
0.0% (0)
85.7% (6)
14.3% (1)
4.00
Problemas com gerenciamento de

documentos, de contedo e com a
gesto do conhecimento
A TI no atende nem suporta os
requisitos do negcio do TCE
Falta de agilidade na soluo de
problemas
Outros (favor especificar)

21
answered question
skipped question
7. Voc pode informar as trs mtricas mais importantes que voc usa para avaliar o sucesso da organizao da TI? (Exemplos de mtricas:
Tempo de resposta a quedas dos sitemas; Disponipilidade dos sistemas; Tempo mdio de resposta a incidentes, outras mtricas sugeridas
pelo COBIT, etc.)
Response
Response
Percent
Count
1.
100.0%
19
2.
94.7%
18
3.
84.2%
16
answered question
19
skipped question
8. As prticas de governana de TI no TCE incluem algumas das prticas relacionadas abaixo?

No so prticas
Sim
No
da governana
No sei
de TI
Criar as estruturas organizacionais
corretas para direcionar e
Rating
Response
Average
Count
55.0% (11)
25.0% (5)
15.0% (3)
5.0% (1)
1.58
20
57.1% (12)
38.1% (8)
4.8% (1)
0.0% (0)
1.48
21
42.9% (9)
47.6% (10)
9.5% (2)
0.0% (0)
1.67
21
90.0% (18)
10.0% (2)
0.0% (0)
0.0% (0)
1.10
20
supervisionar os recursos de TI
A alta direo revisa os oramentos
e planejamentos de TI regularmente
Os departamentos do TCE
gerenciam o portflio de projetos de
TI apoiados pela Coordenadoria de
Tecnologia da Informao
Os requisitos de recursos de TI so
identificados com base nas
prioridades do negcio do TCE

Existe um comit para a estratgia
global de TI
23.8% (5)
71.4% (15)
4.8% (1)
0.0% (0)
1.81
21
4.8% (1)
90.5% (19)
4.8% (1)
0.0% (0)
2.00
21
19.0% (4)
76.2% (16)
4.8% (1)
0.0% (0)
1.86
21
14.3% (3)
85.7% (18)
0.0% (0)
0.0% (0)
1.86
21
answered question
21
Existe um procedimento padro para

determinar o valor (financeiro e no
financeiro) bem como os riscos para
investimentos em TI
O Diretor Geral informa
pessoalmente sobre os maiores
riscos relacionados a TI e cobra as
aes apropriadas
Existe scorecard para a TI,
conhecido por todo o TCE e
contempla criao de valor pela TI
skipped question
Page: Uso de Frameworks de Governana de TI
9. Voc j implementou, est implementando ou considerando a possibilidade de implementar melhores prticas de governana de TI?
No estou considerando a
Response
Response
Percent
Count
4.8%
implementao
Estou considerando a
57.1%
implementao
Estou implementando
38.1%
J implementei
0.0%
No sei
0.0%
12
answered question
21
skipped question
10. Se voc no est considerando a implementao de melhores prticas de governana de TI, por favor selecione os motivos
Response
Response
Percent
Count
No me parece que a governana de

TI seja a soluo para os meus
problemas relacionados a TI
No tenho problemas relacionados a
TI
0.0%
0.0%
Frameworks de governana de TI
0.0%
so muito difceis de implementar

Falta de informaes sobre solues
0.0%
Falta de especializao para
0.0%
executar
O TCE muito pequeno
0.0%
No uma prioridade no TCE
0.0%
No existe oramento previsto
0.0%
100.0%
No sei
0.0%
Comente se acha necessrio
answered question
skipped question
20
Rating
Response
Average
Count
11. Quais as solues/frameworks voc usa ou est considerando usar?

No estou
considerando
Estou
considerando
usar
usar
73.3% (11)
6.7% (1)
13.3% (2)
0.0% (0)
6.7% (1)
1.36
15
23.5% (4)
11.8% (2)
35.3% (6)
23.5% (4)
5.9% (1)
2.63
17
COBIT
5.9% (1)
11.8% (2)
64.7% (11)
11.8% (2)
5.9% (1)
2.88
17
ITIL/ISO 20000
6.3% (1)
6.3% (1)
62.5% (10)
18.8% (3)
6.3% (1)
3.00
16
IT Balanced Scorecard (BSC)
11.1% (2)
27.8% (5)
44.4% (8)
16.7% (3)
0.0% (0)
2.67
18
Software Engineering Institute

Maturity Model (CMM and CMMI)
13.3% (2)
20.0% (3)
40.0% (6)
20.0% (3)
6.7% (1)
2.71
15
PMI, PMBOK
0.0% (0)
22.2% (4)
50.0% (9)
22.2% (4)
5.6% (1)
3.00
18
Outras solues locais ( favor

especificar)
25.0% (2)
12.5% (1)
0.0% (0)
25.0% (2)
37.5% (3)
2.40
28.6% (2)
14.3% (1)
0.0% (0)
28.6% (2)
28.6% (2)
2.40
0.0% (0)
10.0% (1)
20.0% (2)
60.0% (6)
10.0% (1)
3.56
10
answered question
21
No conheo
ISO 38500
Normas do grupo ISO 27000 ou
padro equivalente para segurana
Outras solues internacionais (favor

especificar)
Framework desenvolvido
internamente
Estou
usando
No sei
skipped question
12. Qual o grau de medio do progresso/desempenho da sua governana de TI?
Grau de medio
Nenhum grau
Algum grau
Alto grau
No sei
25.0% (5)
60.0% (12)
5.0% (1)
10.0% (2)
Rating
Response
Average
Count
1.78
20
answered question
20
skipped question
13. Qual a importncia do gerenciamento de risco para o TCE?
Grau de importncia
Nenhuma
Pouca
importncia
importncia
4.8% (1)
9.5% (2)
No
tenho
Importante
certeza
9.5% (2)
42.9% (9)
Muito
importante
33.3% (7)
No sei
0.0% (0)
Rating
Response
Average
Count
21
3.90

21
answered question
skipped question
Page: Perfil Geral da TI
14. Quanto de valor voc acha que o TCE extrai da TI (ex. melhor relacionamentos com usurios e clientes, melhor gerenciamento de risco,
menor custo)?
Valor
Nenhum
Pouco
No tenho
Algum
Muito
valor
valor
certeza
valor
valor
0.0% (0)
0.0% (0)
0.0% (0)
47.4% (9)
52.6% (10)
No sei
Rating
Response
Average
Count
4.53
19
answered question
19
0.0% (0)
skipped question
15. Como voc descreve a filosofia d TI no TCE? Ela
Inovadora (a TI usada como uma

arma competitiva)
Funcional (Investe em tecnologias de
lderes de mercado)
Response
Response
Percent
Count
19.0%
38.1%
Conservadora (focada em
tecnologias maduras e provadas)
42.9%
No sei
0.0%
answered question
21
skipped question
16. Quem o patrocinador da governana de TI dentro do TCE?

Response
Response
Percent
Count
Presidente do TCE
14.3%
Diretor Geral
14.3%
Coordenador/Diretor de TI
57.1%
Coordenador/Diretor Administrativo
9.5%
Coordenador/Diretor do Controle
12
0.0%
Externo
Ningum
4.8%
0.0%
No sei
0.0%
answered question
21
skipped question
17. Como voc descreve o nvel de envolvimento da Diretoria Geral nas iniciativas de governana de TI?
Informada
Baixo
envolvimento
mas
pouco
envolvida
Grau de envolvimento
23.8% (5)
28.6% (6)
Participa
das
tomadas
de
deciso
33.3% (7)
Lidera as
tomadas
de
Totalmente
responsvel
No sei
Rating
Average
Response
Count
9.5% (2)
0.0% (0)
2.48
21
answered question
21
deciso
4.8% (1)
skipped question
Page: Perfil do respondente
18. Por favor, confirme qual o seu cargo e rea de responsabilidade

Response
Count
16
answered question
skipped question
16
19. Quantos funcionrios existem no TCE?

Response
Response
Percent
Count
Menos que 100
0.0%
101-500
19.0%
501-1.000
61.9%
Mais de 1.000
19.0%
No sei
0.0%
answered question
skipped question
13
21
ANEXO 5
Auditoria de Tecnologia da
Informao
Mtodo para auditar organizaes
de qualquer porte
Andr Luiz Furtado Pacheco, CISA
Secretaria de Fiscalizao de Tecnologia da Informao
Andr Luiz Furtado Pacheco, CISA

Graduado em Processamento de Dados pela Universidade

Catlica de Braslia;
Especializado em Controle Externo pela FGV;
Certified Information Systems Auditor CISA,
Auditor de TI, h mais de 14 anos, est lotado na Secretaria de
Fiscalizao de Tecnologia da Informao do TCU;
Realizou a superviso e a reviso do Manual de Auditoria de
Sistemas e da Cartilha de Boas Prticas de Segurana da Informao
do TCU;
Instrutor de Auditoria de TI nos cursos da Organizao LatinoAmericana e do Caribe das Entidades de Fiscalizao Superior
OLACEFS e do TCU;
Possui larga experincia nas reas de auditoria, instruo e TI.
Sumrio
1. Atuao do TCU
2. Definio de Auditoria de TI
3. Forma de Atuao dos Auditores
4. Principais Normas e Padres Utilizados
5. Mtodo de ATI do TCU
6. Exemplos de Utilizao do Mtodo
1.1 Papel do TCU

O Tribunal de Contas da Unio tem jurisdio
prpria e privativa, em todo o territrio nacional.
Julga as contas dos administradores e demais
responsveis por dinheiros, bens e valores
pblicos federais, bem como de qualquer
pessoa fsica ou jurdica, pblica ou privada,
que der causa a perda, extravio ou outra
irregularidade de que resulte prejuzo ao Errio.
1.2 Dados do TCU em 2006

Cerca de 3.000 rgos ou entidades da Administrao

Pblica Federal jurisdicionados;
Recebeu 1.546 prestao de contas anuais;
Adotou 116 medidas cautelares;
Apreciou 127.754 atos de registro de pessoal;
Aplicou sanes no valor de R$ 502,6 milhes;
Realizou 895 fiscalizaes;
Gerou benefcios no valor de R$ 2,7 bilhes;
Para cada R$ 1,00 gasto, o TCU proporcionou uma
economia de R$ 5,33.
1.3 Histrico da ATI no TCU

Curso de Introduo Auditoria de Sistemas (1992)

Elaborao da 1 verso do PA (1993)
Execuo da 1 Auditoria da TI (1994)
Especializao de Diviso Tcnica - DIPEA (1996)
Projeto de Desenvolvimento da Auditoria de TI - PDTI Manual de Auditoria de Sistemas e curso regular de ATI
(1997/1998)
Projeto de Auditoria da TI (2001)
Criao da Diretoria de Auditoria da TI - Dati/Adfis (2003)
Criao da Secretaria de Fiscalizao de TI - Sefti (2006)
1.4 Criao da Sefti

Resoluo n 193 (agosto 2006)

realizar fiscalizaes que requeiram conhecimento

especializado na rea de TI
realizar trabalhos de fiscalizao e de avaliao de
programas de governo na rea de TI
fiscalizar a gesto e o uso de recursos de TI pela APF
realizar pesquisas, desenvolver e disseminar mtodos
em ATI
elaborar e aplicar cursos e treinamentos
1.5 Papel da Sefti

Negcio: Controle externo da governana de

tecnologia da informao na Administrao Pblica
Federal.
Misso: Assegurar que a tecnologia da informao
agregue valor ao negcio da Administrao Pblica
Federal em beneficio da sociedade.
Viso: Ser unidade de excelncia no controle e no
aperfeioamento da governana de tecnologia da
informao.
2. Definio de Auditoria de TI
fiscalizao cujo objeto seja

algum recurso de TI de uma
organizao com o objetivo de
se verificar sua conformidade
legislao e s normas aplicadas
e/ou sua eficcia, eficincia,
economicidade e efetividade
3. Forma de Atuao dos

Auditores
3.1 Trs nveis:
Auditores Generalistas
Auditores da TI
Especialistas em TI
10
3.2 Abordagens
Auditoria de sistemas
Auditoria de gesto de TI
Auditoria de dados
Auditoria em aquisies de TI
Auditoria em poltica ou programa
de governo na rea de TI
11
Auditoria de Sistemas
auditoria de conformidade e/ou
operacional em sistemas
informatizados de uma
organizao
12
Auditoria de gesto de
tecnologia da informao
auditoria para avaliao da
gesto dos recursos de TI de
uma organizao
13
Auditoria de Dados
auditoria em bases de dados
com a utilizao de
ferramentas e tcnicas de
tratamento de dados
14
Auditoria em Aquisies de TI
auditoria em processos de
aquisio e acompanhamento de
contratos de TI
15
Auditoria em Poltica de
Governo na rea de TI
auditoria em polticas ou
programas de governo na
rea de TI, considerando
sua eficcia, eficincia,
economicidade e efetividade
16
4. Principais Normas e
Padres Utilizados
Constituio Federal
Legislao Brasileira
NBR ISO/IEC 17799:2005

Segurana da Informao
Cobit Control Objectives for

Information and related Technology
17
4.1 Constituio Federal

Direitos e Deveres Individuais e Coletivos (Art. 5)

Liberdade de expresso, de crenas

Direito de resposta
Intimidade, vida privada, honra e imagem
Sigilo correspondncia, comunicao de dados
Princpios da Administrao Pblica (Art. 37)

Legalidade, impessoalidade, moralidade,

publicidade e eficincia
18
4.2 Legislao Brasileira

Lei 8.112 de 1990 Regime Jurdico dos Servidores

Pblicos Civis da Unio
Lei 8.666 de 1993 Licitaes e Contratos da
Administrao Pblica Federal
Lei 9.100 de 1995 Crimes Eleitorais
Lei 9.609 de 1998 Proteo da propriedade intelectual
de software
Lei 9.983 de 2000 Crimes contra a Previdncia (altera
o Cdigo Penal)
Lei 10.520 de 2002 Institui a modalidade de licitao
Prego

19
Decreto-Lei 2.848 de 1940 Cdigo Penal

Decreto-Lei 3.688 de 1941 Lei das Contravenes
Penais
Lei 7.716 de 1989 Define Crimes Resultantes de
Preconceito de Raa e Cor
Lei 8.069 de 1990 Estatuto da Criana e do
Adolescente
20
Decreto 1.070 (1994) Regulamenta a

Contratao de Bens e Servios de Informtica
pela Administrao Federal
Decreto 3.505 (2000) PSI da Administrao
Pblica Federal
Decretos 4.553 (2002) e 5.301 (2004)
Segurana das Informaes e Documentos
Sigilosos da Administrao Pblica Federal
Decreto 5.450 (2005) Regulamenta o prego,
na forma eletrnica, para aquisio de bens e
servios comuns
21
4.3 Lacunas na Legislao

Brasileira

Acesso no autorizado aos sistemas

Interceptao no autorizada de informaes
Uso no autorizado de sistemas de
informtica
Alterao de dado ou programa de
computador
Difuso de vrus eletrnico
Quebra de privacidade de banco de dados
22
4.4 Projeto de Lei no Congresso

Nacional
PLS-76/2000 (que incorporou os projetos de lei
PLC-84/1999 e PLS-137/2000)
Dispe sobre crimes cometidos na rea de
informtica
Tipifica condutas realizadas mediante uso de rede de
computadores ou Internet, ou que sejam praticadas
contra sistemas de informatizados e similares
Aprovado na Cmara dos Deputados e na Comisso
de Educao do Senado Federal (junho de 2006)
Na Comisso de Constituio e Justia (abril de
2007)
23
4.5 NBR ISO/IEC 17799:2005

Origem : British Standard Institution (BSI)

BS-7799 1 verso : 1995
Padro mais completo para o gerenciamento
da segurana de informao
Aprovada em 2000 como padro internacional
pela ISO: ISO/IEC 17799
Em 2001 a ABNT decidiu adot-la como
norma brasileira (NBR ISO/IEC 17799)
A 2 verso foi lanada em 2005
Passar a ser a ISO/IEC 27002
24
4.6 Cobit
Cobit (Control Objectives for Information and
related Technology) um processo estruturado
com objetivo de possibilitar a governana em TI,
ou seja:

gerenciar e controlar as iniciativas de TI nas
organizaes;

garantir o retorno de investimentos;

garantir a adoo de melhorias nos processos
empresariais; e

minimizar riscos.
25
5. Mtodo de Auditoria de TI

Fases (Levantamento, Planejamento,

Execuo, Elaborao do Relatrio e
Monitoramento)
Matrizes (Planejamento, Procedimentos e
Achados)
Tcnicas de Auditoria de Conformidade
Tcnicas de Auditoria Operacional
26
PLANEJAMENTO DA AUDITORIA
Avaliao dos
Controles
Internos
Viso Geral
Elaborao
Matriz de
Planejamento
Elaborao
Matriz de
Procedimentos
EXECUO
Aplicao
dos
Procedimentos
Desenvolvimento
dos Achados
(Matriz de Achados)
Acumulao de
Evidncias
RELATRIO
Elaborao
Reviso
27
5.1 Matriz de Planejamento

Instrumento para se organizar as informaes

relevantes do planejamento de uma auditoria
homogeneizao do entendimento da equipe, e
demais envolvidos, quanto:

ao objetivo do trabalho;
aos passos a serem seguidos;
a estratgia metodolgica a ser adotada.
Orienta os integrantes da equipe nas fases de

execuo e de elaborao do relatrio
28
Objetivo: Enunciar de forma clara e resumida o aspecto a ser

enfocado pela auditoria, de acordo com o levantamento de
auditoria previamente realizado.
Questes de
Auditoria
Especificar
os termoschave e o
escopo da
questo.
Perodo de
abrangncia,
populao
alvo, rea
geogrfica.
Informaes
requeridas
Fontes de
Informao
Tcnicas
de
Auditoria
Identificar as
informaes
necessrias
para
responder a
questo de
auditoria.
Identificar as
fontes de
cada item de
informao.
Especificar
tcnicas
a serem
utilizadas
estratgias
metodolgicas
mtodos
p/obteno
de dados
mtodos
de anlise
de dados
Limitaes
Possveis
Achados
Especificar as
limitaes
relativas:
qualidade
das
informaes;
estratgia
metodolgica;
s condies
operacionais
de realizao
do trabalhos.
Esclarecer
precisamente
que
concluses ou
resultados
podem ser
alcanados a
partir da
estratgia
metodolgica
adotada.
29
Elaborao da
Matriz de Planejamento

elaborar o objetivo da auditoria, aps o diagnstico da situao, e

determinar a linha de investigao, mediante a formulao das questes
de auditoria
determinar, para cada questo de auditoria, possveis achados, ou seja,
onde se deseja chegar com a investigao
identificar as informaes requeridas e onde as obter
escolher as estratgicas metodolgicas para responder as questes de
auditoria
escolher os mtodos de coleta e anlise de dados que sero
empregados
Identificar fatores que possam representar obstculos (limitaes) ao
trabalho
30
5.2 Matriz de Procedimentos

detalhamento, passo a passo, da

fiscalizao na forma de itens de
verificao a serem executados,
contendo:
Questo de Auditoria
Procedimentos
Objeto
Achado
31
Matriz de Procedimentos
Objetivo: Enunciar de forma clara e resumida o objetivo da auditoria.
Questes de
Procedimentos
Auditoria
Correspondncia Descrio dos Itens
com a Questo de de verificao ou
check-list
Auditoria (Qn)
constante da
Matriz de
Planejamento
Q1
Objetos
Onde sero
efetuados os
procedimentos (ex:
Contrato XX/2005,
Programa XX-250,
etc)
Achados
Usar a notao A1,
A2,..., An (para
possibilitar a
correspondncia com
a matriz de achados)
ou quando no
houver achado
P11
P12
P1n
Q2
P21
P22
P2n
Qn
P31
P32
P3n
32
5.3 Matriz de Achados

Situao Encontrada
Achado
Critrio
Evidncia
Causa
Efeito
Encaminhamento (recomendao)
33
Matriz de Achados
Objetivo: Enunciar de forma clara e resumida o objetivo da auditoria
Achado
Situao
Critrio
Encontrada
Legislao,
Situao
Corresnorma,
pondncia existente,
identificada e jurisprudncia,
com o
documentada entendimento
Achado
doutrinrio
durante a
(An)
ou padro
constante fase de
da Matriz execuo da adotado
auditoria
de
Procedimentos
Evidncia
Informaes
obtidas
durante a
auditoria no
intuito de
documentar
os achados
e de
respaldar as
opinies e
concluses
da equipe
Causas
Efeitos
Encaminhamento
O que
ConsePropostas da
motivou a qncias equipe de
ocorrncia do
auditoria.
do achado achado Deve conter
identificao
do(s)
responsvel
(is)
A1
A2
An
34
6. Exemplos de
Utilizao do Mtodo
Auditoria de Sistemas Mdulo de Consignaes

do Siape Acrdo 1505/2007 - Plenrio
Auditoria de Gesto de TI MTE Acrdo
2023/2005 - Plenrio
Auditoria de Dados Benefcios da Previdncia
Acrdo 1921/2003 - Plenrio
Auditoria em Aquisies de TI Acrdo
2094/2004 - Plenrio
Auditoria em Poltica de Governo na rea de TI
e-Gov Acrdo 1386/2006 - Plenrio
35
6.1 Auditoria de Sistemas Siape

Acrdo 1505/2007-Plenrio
aperfeioe o sistema para que a autorizao do consignado

seja registrada no Siape antes da efetivao da
consignao, de acordo com o art. 45 da Lei 8.112/1990;
implemente rotina para que as aes dos servidores que
incluem, alteram ou excluem consignaes no Siape sejam
monitoradas mensalmente pelos respectivos responsveis e
sejam mantidos registros eletrnicos desses procedimentos,
disposio dos rgos de controle, conforme previsto no
Inciso 12.3 da Norma de Execuo n 1, do Dasis, aprovada
pela IN n 4, de 11.07.2006, da SRH/MP.
36
6.2 Auditoria de Gesto de TI

MTE Acrdo 2023/2005-Plenrio

estabelea institucionalmente as atribuies

relativas segurana da informao;
defina uma Poltica de Segurana da Informao;
defina uma Poltica de Controle de Acesso aos
ativos de informao;
crie critrios de classificao das informaes;
estabelea e divulgue uma metodologia para
desenvolvimento de sistemas
37
Auditoria de Gesto
de TI MTE (cont.)
crie mecanismos para que as polticas e normas se

tornem conhecidas;
informe seus usurios quanto necessidade de
bloquearem seus computadores durante as ausncias;
informe seus usurios quanto necessidade de
criarem senhas que satisfaam aos requisitos mnimos
definidos na Poltica de Controle de Acesso;
defina um Plano Estratgico para a rea de
Tecnologia da Informao TI;
38
Auditoria de Gesto
de TI MTE (cont.)
no interfira na gesto de recursos humanos de

empresas contratadas, abstendo-se de
participar da seleo de pessoal terceirizado;
inclua requisitos de segurana em contratos de
prestao de servios (PSI e SLA);
o acesso ao ambiente de produo seja feito de
forma controlada;
aprimore os controles de acesso fsico aos
computadores e equipamentos.
39
6.3 Auditoria de Dados

Benefcios da Previdncia
promova o batimento on-line de CPF com a

SRF em todas as operaes de concesso e
atualizao de benefcios, confrontando os
demais dados cadastrais
estude e defina a quantidade ideal mxima de
benefcios para um mesmo representante
legal, no sendo este representante de
entidade
40
Auditoria de Dados
Benefcios da
Previdncia
proceda a modificaes nos sistemas de benefcios

para:
inibir a vinculao de benefcios a representantes
legais que j tenham atingido a quantidade
mxima;
exigir homologao superior quando essa
quantidade tiver que ser comprovadamente
ultrapassada;
garantir o cadastramento efetivo de entidades e
respectivos representantes
41
Auditoria de Dados
Benefcios da
Previdncia
averige os casos relacionados a fim de verificar a

regularidade dos representantes e corrigir os dados
necessrios no sistema, promovendo, se for o caso,
a cessao e a cobrana de pagamentos indevidos,
alm da responsabilizao por atos praticados
indevidamente
inclua, no convnio com a Febraban, a
obrigatoriedade de encaminhamento ao INSS,
pelos bancos, das informaes cadastrais no
protegidas pelo sigilo bancrio e a situao da
conta (ativa, inativa etc), para que seja estabelecida
rotina peridica de confrontao com a base de
benefcios
42
Auditoria de Dados
Benefcios da
Previdncia
encaminhe sua Auditoria-Geral a relao dos

benefcios com titulares de conta bancria divergente
do recebedor do benefcio a fim de que sejam tomadas
as medidas pertinentes
estabelea procedimentos documentados para
pagamentos de benefcios por meio de depsitos em
conta bancria, exigindo comprovao, pelo
beneficirio, da titularidade da conta por ele informada,
a fim de dar o devido cumprimento ao art. 166, do
Decreto n 3.048/1999, com redao alterada pelo
Decreto n 4.729/2003
43
Auditoria de Dados
Benefcios da
Previdncia
averige os casos apontados no item 3.17.1, a fim

de identificar se houve emisso irregular de PAB,
promovendo, quando for o caso, a cobrana de
pagamentos indevidos, alm da responsabilizao
por atos praticados indevidamente
investigue as emisses de PAB sem quaisquer
informaes da sentena judicial, discriminadas
no CD anexo
44
Auditoria de Dados
Benefcios da
Previdncia
averige os casos listados relativos a benefcios cujo

CPF do titular pertence a servidores do INSS,
providenciando aes para ressarcimento ao Errio
das importncias indevidamente pagas e
responsabilizao dos servidores, quando for o caso
faa estudo para aprimoramento dos controles de
pagamentos de benefcios via carto magntico, com
vistas a aperfeioar o processo de identificao do
recebedor do benefcio na rede bancria. Nesse
estudo, considere as sugestes da Fora-Tarefa/RJ
45
6.4 Auditoria em Aquisies de

TI Acrdo 2094/2004-Plenrio
No tocante aquisio de bens e servios de
informtica pelos entes da administrao pblica
federal, firmar entendimento no seguinte sentido:
todas as aquisies devem ser realizadas em
harmonia com o planejamento estratgico da
instituio e com seu plano diretor de
informtica, quando houver, devendo o projeto
bsico guardar compatibilidade com essas duas
peas, situao que deve estar demonstrada
nos autos referentes s aquisies
46
as justificativas para a inexigibilidade de licitao devem

estar circunstancialmente motivadas, com a clara
demonstrao de ser a opo escolhida, em termos tcnicos
e econmicos, a mais vantajosa para a administrao
a inexigibilidade de licitao para a prestao de servios de
informtica somente admitida quando guardar relao com
os servios relacionados no art. 13 da Lei 8.666/1993 ou
quando se referir manuteno de sistema ou software em
que o prestador do servio detenha os direitos de
propriedade intelectual, situao esta que deve estar
devidamente comprovada nos termos do inciso I do art. 25
da referida norma legal
47
a licitao na modalidade prego admitida para

a aquisio de softwares desde que estes
possam ser nitidamente classificados como bem
comum, nos termos da definio contida no
pargrafo nico do art. 1 da Lei 10.520/2002
as aquisies do gnero em modalidades
diferentes de Prego devem ser obrigatoriamente
do tipo tcnica e preo, conforme determina o
4 do art. 45 da Lei n. 8.666/1993
48
6.5 Auditoria no e-Gov

Recomendar Casa Civil da Presidncia da

Repblica que:
institua portal nico de governo eletrnico, cujas
alteraes de contedo, relativas aos servios,
estejam sob a responsabilidade de uma nica
unidade governamental, rgo ou setor
defina, formalmente, os responsveis pelo
desenvolvimento, gerncia e manuteno do
portal indicado no item anterior
49
Auditoria no e-Gov
reveja o modelo institucional do Programa Governo

Eletrnico, especialmente no que diz respeito aos
seguintes aspectos:
periodicidade das reunies da(s) instncia(s) de
formulao da poltica que compe(m) o modelo
adotado
instncia(s) capaz(es) de emitir normas sobre o
tema governo eletrnico, com fora normativa para
os rgos da Administrao Pblica Federal
50
Auditoria no e-Gov
papel da Secom da Presidncia da Repblica na

formulao e implementao da poltica de governo
eletrnico, tendo em vista as atribuies da SLTI/MP
como Secretaria-Executiva do Comit Executivo do
Governo Eletrnico (CEGE) e rgo de gerncia do
programa oramentrio Governo Eletrnico (8002)
aps a definio do modelo institucional a ser
adotado, observe a necessidade de emitir,
formalmente, normas para a poltica de governo
eletrnico, sempre que haja necessidade de sua
observncia pelos rgos da APF
51
Contatos

e-mail: andrefp@tcu.gov.br
Secretaria de Fiscalizao de TI
SEFTI telefone: (61) 3316 7388
site TCU: http://www.tcu.gov.br
52

Auditoria em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS

Caricato da

Copyright:

Formati disponibili

ESTADO DO RIO GRANDE DO SUL

TRIBUNAL DE CONTAS DO ESTADO

CURSO DE ESPECIALIZAO EM GESTO PBLICA E

Frederico Henrique Goldschmidt Neto

A utilizao de recursos de informtica tem facilitado de sobremaneira o desempenho das

Palavras-chave: Auditoria em TI; Gesto de Riscos; Metodologia de Auditoria.

No se deve partir do princpio de que os dados extrados de computadores so confiveis.

Esta monografia tem como objetivo contextualizar o uso de auditoria em tecnologia da

1.3 Organizao deste documento

Esta monografia est estruturada em cinco partes, conforme segue:

2 Temas Relevantes Relacionados Auditoria em TI apresenta de forma breve

3 Auditoria em TI, necessidades e experincias aborda entrevistas realizadas com

4 Auditoria em TI Propostas de implementao no TCE-RS relaciona os

5 - Concluso encerra o trabalho com as consideraes finais.

2 TEMAS RELEVANTES RELACIONADOS AUDITORIA EM TI

A auditoria em ambiente de tecnologia da informao no muda a formao exigida para

2.1 Gesto de Riscos

Em geral definimos segurana como um estado no qual estamos livres de perigos e

4. Fsicos: Estao de trabalho, sistema de ar-condicionado;

2.2 Auditoria de Compliance

Visa obter evidncias a cerca de determinadas atividades da entidade, para verificar a

processo de auditoria de compliance em TI, onde em um primeiro momento, durante a auditoria,

Figura 1: Auditoria de Compliance

Como exemplo de compliance podemos citar:

2.3 Business Intelligence

A Inteligncia Empresarial, ou Business Intelligence (BI), um termo do Gartner Group.

Figura 2: Business Intelligence

2.4 Malha Fina Receita Federal

A anlise fiscal da declarao de ajuste anual da pessoa fsica, popularmente conhecida

2.5 Forense Computacional

A Forense Computacional foi criada com o objetivo de suprir as necessidades das

Figura 3: Forense Computacional

2.6 Auditoria de Softwares Aplicativos

Softwares aplicativos so aqueles desenvolvidos para executar automatizao de

2.7 Minerao de Dados

Figura 4: Minerao de Dados

Com a gerao de informaes e conhecimentos teis para as empresas, os seus negcios

2.8 Controle Interno

Eficincia e efetividade operacional (objetivos de desempenho ou estratgia): esta

Confiana nos registros contbeis/financeiros (objetivos de informao): todas as

Conformidade (objetivos de conformidade) com leis e normativos aplicveis

De acordo com a definio acima, o objetivo principal do controle interno auxiliar a

Avaliao e Gerenciamento dos Riscos;

2.8.1 Ambiente de Controle

2.8.2 Avaliao e Gerenciamento dos Riscos

O objetivo da gesto de riscos gerenciar uma srie de atividades relacionadas forma

2.8.3 Atividade de Controle

So aquelas atividades que, quando executadas a tempo e maneira adequados, permitem a

2.8.4 Informao e Comunicao

A comunicao o fluxo de informaes dentro de uma organizao, entendendo que este

computacionais a simples reunies de equipes de trabalho e so importantes para obteno das

O monitoramento a avaliao dos controles internos ao longo do tempo. Ele o melhor

Do grau de atingimento dos objetivos operacionais propostos;

De que as informaes fornecidas pelos relatrios e sistemas corporativos so

Leis, regulamentos e normas pertinentes esto sendo cumpridos.8

2.9 Educao Distncia (EAD)

Educao distncia o processo de ensino-aprendizagem, mediado por tecnologias,

Figura 5: Educao Distncia no TCU

3 AUDITORIA EM TI, NECESSIDADES E EXPERINCIAS

3.1 Reunio realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidores

O Sistema Informatizado para Auditoria e Prestao de Contas (SIAPC) um sistema que

Comprovar se o arquivo TXT gerado pelas auditadas corresponde realidade dos

Possibilidade de confrontao de TXT recebido pelo TCE com TXT gerado na