Autarquia Educacional do Vale do So Francisco AEVSF

Faculdade de Cincias Sociais e Aplicadas de Petrolina

FACAPE
Curso de Cincias da Computao

SEGURANA E AUDITORIA DE
SISTEMAS
Cynara Carvalho
cynaracarvalho@yahoo.com.br

Ementa:
Auditoria de sistemas, PED nas empresas; segurana, formao
de Departamentos de auditoria, levantamentos, procedimentos.
Contedo:
1- Conceitos e Organizao de Auditoria
2 Segurana nas informaes
3 Auditoria da Tecnologia da Informao
4 Segurana em Redes e Internet.
Bibliografia:
Dias, Cludia. Segurana e Auditoria da Tecnologia da Informao. 1
Edio, AXCEL BOOKS, 2000.
LYRA, Maurcio Rocha. Segurana e Auditoria em Sistemas de Informao.
Gil; Antonio de Loureiro. Auditoria de Computadores 5 Edio, Atlas 2000
Autor Annimo. Segurana Mxima, 2 Edio, Editora Campus, 2000
Tribunal de Contas da Unio, Manual de Auditoria de Sistemas, 1999.
SMOLA, Marcos. Gesto da Segurana da
Informao: uma viso executiva. Rio de Janeiro:
Campus, 2003.

Conceitos e Organizao de Auditoria

Auditoria: uma atividade que engloba o exame das operaes,
processos, sistemas e responsabilidades gerenciais de uma
determinada entidade, com o intuito de verificar sua conformidade
com certos objetivos e polticas institucionais, oramentos, regras,
normas ou padres.
Fases da Auditoria:
Planejamento
Execuo
Relatrio

Auditoria e Conceitos bsicos

1. CAMPO

1.1 Objeto. Pode ser uma entidade completa (instituio pblica ou

privada), uma parte selecionada ou uma funo dessa entidade.

1.2 Perodo. Pode ser de um ano, um ms ou perodo de uma gesto.

1.3 Natureza. Sero apresentados em seguida os tipos mais comuns,

classificados sob os aspectos: rgo fiscalizador, forma de abordagem
do tema e tipo ou rea envolvida.

Natureza da Auditoria
Quanto ao rgo Fiscalizador:
Auditoria Interna
Auditoria Externa
Auditoria Articulada
Quanto Forma de Abordagem do Tema:
Auditoria Horizontal Auditoria com tema especfico realizada
em vrias entidades ou servios paralelamente.
Auditoria Orientada Auditoria focada em uma atividade
especfica qualquer ou em atividade com fortes indcios de erros
ou fraudes.
Quanto ao Tipo ou rea Envolvida:
Auditoria de programas de governo
Auditoria de planejamento estratgico
Auditorias administrativa, contbil, financeira, legalidade
Auditoria operacional
Auditoria de TI

Auditoria e Conceitos bsicos

AMBITO
Constitui-se da amplitude e exausto dos processos de auditoria,
incluindo uma limitao racional dos trabalhos a serem
executados. Define ento at que ponto sero aprofundadas as
tarefas de auditoria e seu grau de abrangncia.

3. REA DE VERIFICAO
o conjunto formado por campo e mbito da auditoria. Delimita
de modo preciso os temas da auditoria, em funo da entidade a
ser fiscalizada e da natureza da auditoria.

Abrangncia de Auditoria
rea de Verificao

Campo

mbito

Sub 1

Objeto

Perodo

Sub 2

Sub 3

Naturez
a

Outros Termos importantes:

Controles
a fiscalizao exercida sobre as atividades de pessoas, rgos,
departamentos para que tais atividades, ou produtos, no se
desviem das normas preestabelecidas.
Tipos de Controle:
Controle Preventivo - Usados para prevenir erros, omisses ou atos
fraudulentos.
Controle Detectivos - Usados para detectar erros, omisses ou atos
fraudulentos e ainda relatar sua ocorrncia
Controles Corretivos - Usados para reduzir impactos ou corrigir erros
uma vez detectados.

Outros Termos importantes:

Objetivo de Controle
So metas de controle a serem alcanadas, ou efeitos negativos a
serem
evitados, para cada tipo de transao, atividade ou funo
fiscalizada.

Procedimentos

Formam um conjunto de verificaes necessrias formulao da

opinio do auditor. Em geral, so lista de pontos a serem verificados
durante a auditoria.

Achados de Auditoria
So fatos significativos observados pelo auditor durante a
execuo da auditoria. Podem ser falhas ou irregularidades ou
mesmo pontos fortes da instituio auditada.
9

Outros Termos importantes:

Papis de Trabalho
So registros que evidenciam atos e fatos observados pelo
auditor. Podem estar na forma de documentos, arquivos
informatizados, etc... Estes papis do suporte ao relatrio
final da auditoria, pois registram a metodologia adotada,
procedimentos, verificaes, fontes, etc..

Relatrio de Auditoria
Onde so feitas as recomendaes ou determinaes da
auditoria, para corrigir eventuais falhas detectadas, alm de
apontar responsveis, quando for o caso.

10

Auditoria da Tecnologia da Informao

um tipo de auditoria operacional, que analisa a gesto de
recursos, enfocando os aspectos de eficincia, eficcia,
economia e efetividade.
Pode abranger:
O ambiente de informtica como um todo.
A organizao do departamento de informtica
Controles sobre BDs
Redes
Diversos aplicativos
Sub-reas de auditoria em ambientes informatizados :
Auditoria da segurana de informaes
Auditoria da tecnologia da informao
Auditoria de aplicativos
11

Auditoria da segurana de informaes

Determina a postura da organizao com relao segurana das suas
informaes. Faz parte da auditoria de TI.

Escopo:
Avaliao da poltica de segurana
Controles de acesso lgico
Controles de acesso fsico
Controles ambientais
Planos de contingncias e continuidade dos servios

12

Auditoria da tecnologia da informao

Abrange todos os aspectos relacionados com a auditoria da segurana
das informaes alm de outros controles que podem influenciar a
segurana de informaes e o bom funcionamento dos sistemas da
organizao.

Controles:
Organizacionais
De mudanas
De operao dos sistemas
Sobre bancos de dados
Sobre microcomputadores
Sobre ambientes cliente-servidor
13

Auditoria de aplicativos

Voltada para a segurana e o controle de aplicativos especficos.

Controles:
Desenvolvimento de sistemas aplicativos
Entrada, processamento e sada de dados
Sobre contedo e funcionamento do aplicativo, com relao a rea
por ele atendida

14

Exerccios

1. Definir AUDITORIA.
2. Quais as principais FASES de uma Auditoria? Comente sobre cada uma.
3. Definir CONTROLE.
4. A Auditoria uma atividade de controle?
5. Como pode ser classificado os Controles? Fale sobre cada um.
6. O que so OBJETIVOS DE CONTROLE?
7. O que so PROCEDIMENTOS DE AUDITORIA? Exemplifique.
8. Falar da relao Objetivos de Controle X Procedimentos de Auditoria.
9. Citar os tipos mais comuns (NATUREZA) de Auditoria.
10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAO.
11. Quais as 3 grandes reas da Auditoria da Tecnologia da Informao?
Fale sobre cada uma delas.
12. Quais as sub-reas da Auditoria da Segurana da Informao?
13. Quais as sub-reas da Auditoria da Tecnologia da Informao?
14. Quais as sub-reas da Auditoria de Aplicativos?

Cludia Dias pgs 08 a 14

15

Equipe de Auditoria
Profissionais de alta capacidade tcnica, em constante
aperfeioamento, comprometidos com a organizao e com postura
adequada.
Conhecimentos necessrios:
Na rea que atua, com experincias prticas anteriores.
Bom nvel em sistemas computacionais para planejar, dirigir,
supervisionar e revisar o trabalho executado.
Quanto mais complexos os elementos do ambiente computacional
e o grau de profundidade esperado dos exames de auditoria, maior
a necessidade de especializao da equipe e/ou do auditor.
Algumas vezes torna-se necessrio contratao externa.
Normalmente os conhecimentos bsicos englobam sistemas
operacionais, software bsico, bancos de dados, redes LAN/WAN,
avanando at softwares de controle de acesso, planos de
contingncias e de recuperao e metodologias de desenvolvimento
de sistemas
16

Equipe de Auditoria
Composio da Equipe:

Contratao de consultoria externa

Desenvolver habilidades em informtica

nos auditores com formao bsica em
contabilidade e auditoria

Desenvolver habilidades em auditoria

funcionrios com formao em anlise de
sistemas, cincia da computao, etc...

17

Equipe de Auditoria
Contratao de consultoria externa
Recomendvel para sistemas de alta complexidade e
especializao.
Anlise minuciosa do custo-benefcio.
Extenso do trabalho dos consultores, utilizando externa somente
onde no houver disponibilidade na prpria equipe.
Em caso de contratao, os acertos financeiros e clusulas
contratuais devem ser o mais claros possveis. Deve-se optar por
empresas/pessoas j com experincia na atividade e checar seus
desempenhos em trabalhos anteriores.
A equipe externa deve se envolver desde o incio dos trabalhos.
Deve-se estabelecer etapas bem definidas e pontos de controle,
com superviso contnua de integrante da organizao contratante.

18

Equipe de Auditoria
Contratao de consultoria externa
Qual o tipo de consultoria mais adequada?
Deve ter recursos (humanos e tecnolgicos) adequados para
atingir os objetivos da auditoria dentro do prazo e com a qualidade
esperada.
Firmas ou organizaes podem dispor de mais recursos e
oferecer uma gama maior de servios ou profissionais para cada
tipo de atividade. No entanto isso no garante a qualidade dos seus
servios.
Profissionais autnomos podem atuar no planejamento
estratgico da auditoria ou nas verificaes de campo. Podem
complementar a equipe interna em todo a verificao ou em
determinadas fases do processo.
Tanto firmas como especialistas autnomos podem ser de grande
utilidade no planejamento da auditoria, na conduo de entrevistas
com o auditado, na avaliao de controles, na captao de dados
dos sistemas, na reviso dos resultados obtidos e nas19

Equipe de Auditoria
Contratao de consultoria externa

Analisando os Candidatos ao Servio de Consultoria Externa

Estudar bem as propostas, detalhando os custos do servios, os
recursos humanos oferecidos, suas habilidades tcnicas, plano de
trabalho, etc...
Seleo inicial dos possveis candidatos, identificando consultores
que j prestaram servios organizao e reconhecidos no mercado
por sua especializao e qualidade dos servios.
Definir os critrios para a anlise das propostas dos consultores. A
proposta tem que ser compatvel com os requisitos e prazos
estabelecidos. Os custos devem ser bem explicitados para que no
haja dvidas sobre sua composio.

20

Equipe de Auditoria
Contratao de consultoria externa

Relacionamento com os Consultores Externos

Para assegurar a qualidade do trabalho, o entrosamento da equipe
essencial, principalmente se membros no fizerem parte do corpo
funcional da organizao.
Nas auditorias com participao externa, necessrio que os
aspectos relevantes estejam sempre sob o controle do coordenador
da equipe, necessariamente um funcionrio da organizao.
Devem ser estipulados pontos de controle durante a execuo da
auditoria para que o coordenador avalie periodicamente o trabalho.
recomendvel a transferncia de conhecimentos entre os
consultores e os membros internos da equipe, visando a
capacitao dos mesmos para auditorias semelhantes no futuro.

21

Equipe de Auditoria
Contratao de consultoria externa

Avaliando o trabalho realizado

importante analisar os resultados, com a participao da equipe
interna, coordenador e gerncia da organizao contratante.
Discutir os pontos fortes e fracos, relatar as dificuldades .
Comparar resultados esperados com alcanados.
Oramento, Prazos, Nveis de qualidade : previsto X real
Cooperao entre equipe externa e interna, sugestes para futuras
auditorias.

22

Equipe de Auditoria
Composio da Equipe:
Desenvolver habilidades em informtica nos
auditores com formao bsica em contabilidade e
auditoria
A compreenso pode ser mais difcil. A linguagem tcnica e as
evolues constantes podem dificultar um aprendizado adequado.
As dificuldades decorrentes da falta de boa vontade dos profissionais
de informtica ou o uso excessivo de vocabulrio tcnico.
Um bom nvel de especializao s conseguido aps anos de de
formao e prticas.

23

Equipe de Auditoria
Composio da Equipe:
Desenvolver habilidades em auditoria funcionrios com
formao em anlise de sistemas, cincia da
computao, etc...
Pode produzir resultados mais satisfatrios e em menor tempo.
Normalmente as ferramentas de auditoria so computacionais.
O potencial do profissional de informtica que se deseja capacitar e
sua capacidade de adaptao devem ser avaliados criteriosamente.
A preparao tem que ser contnua, mesmo um profissional j
experiente deve-se manter em dia com os assuntos referentes a
auditoria de sistemas. Participaes em seminrios e cursos de
especializao indispensvel. Participao em fruns e consultas a
sites de referncia tambm so vlidos.
A equipe deve se preocupar em montar um Manual de Auditoria da
TI para a organizao, alm de manter um acervo com livros e revistas
especializadas para consultas a qualquer tempo.
24

Equipe de Auditoria
Treinamento

A computao est em constante evoluo tecnolgica;

O treinamento constante de auditores imprescindvel para que

estejam preparados para realizar auditorias com qualidade e com
grau de profundidade tcnica adequado;

Os sistemas atuais so muito complexos e exigem conhecimentos

que vo desde sistemas operacionais, planos de contingncias,
desenvolvimento de aplicativos, segurana de informaes que
trafegam pela internet etc.;

Devem ser traadas estratgias diferentes de treinamentos a

depender do nvel de conhecimento dos auditores.

25

Equipe de Auditoria
Treinamento

Devem ser estimulados a participar de:

. Seminrios
. Cursos de especializao
. Workshops
. Congressos
. Grupos de discusso
. Boletins
. Home pages de organizaes especializadas.

26

Equipe de Auditoria
Qualificao Profissional

Em alguns pases existem organizaes que promovem

certificaes de qualificao profissional de auditores de
sistemas:
ISACA (Information Systems Audit and Control Association
Certificado de Auditor de Sistemas de Informao (CISA)
British Computer Society Exame da Sociedade Britnica
de Informtica
Institute of Internal Auditors (IIA) Qualificao em
Auditoria Computacional

27

Equipe de Auditoria
Qualificao Profissional

O IIA e a ISACA, em especial, desempenham um papel

ativo no desenvolvimento de padres de auditoria e
controle de sistemas de informao.
Sob demanda, provem informaes sobre suas
publicaes, padres e qualificao.
A certificao de auditor de sistemas sempre
atualizada.
Algumas organizaes ao contratar servios de auditoria
exigem a apresentao de certificados atualizados.

28

Equipe de Auditoria
Manual de Auditoria Tecnologia da Informao
OBJETIVO:

Orientar o trabalho dos auditores

Difundir o conhecimento nessa rea
- O nvel de detalhamento desse material depender do tamanho
da equipe, do tempo disponvel para desenvolver essa
documentao e do grau de qualificao tcnica de seus
componentes.
- Caber chefia decidir se sero elaborados documentos
especficos ou se sero utilizadas publicaes de outras entidades
de fiscalizao e controle em TI.

29

Equipe de Auditoria
Biblioteca Tcnica

O grupo de auditores dever ter sua disposio uma biblioteca

tcnica para consulta. Com isso:
Os trabalhos sero orientados de acordo com padres existentes;
A equipe estar sempre atualizada;
Tero disposio publicaes tcnicas como fonte de pesquisa;
Deve manter nessa biblioteca todos os relatrios de auditorias em
TI;
Dever dispor ainda: legislao e normas, manuais de auditoria e
procedimentos, livros de informtica, revistas, manuais de
treinamentos, artigos de jornais relacionados etc.

30

Equipe de Auditoria
Organizao da Equipe Especializada

Uma nica pessoa no deter todos os conhecimentos necessrios

em TI para uma auditoria;
necessrio que uma equipe de auditoria seja formada por
auditores com diferentes especializaes;
Cabe gerncia desenvolver as especializaes que faltam,
atravs de treinamento adequado, e administrar o grupo como um
time coeso que se complementa;
Formada essa equipe, esta pode atuar em auditorias de tecnologia
da informao ou como suporte tcnico a outras equipes de
auditoria.

31

Equipe de Auditoria
Administrando Recursos Escassos

Auditores de sistemas so considerados recursos humanos

escassos, por isso suas atividades so definidas apenas nos
casos em que sua atuao realmente necessria;

Uma forma de amenizar essa escassez formando

auditores para atuar como suporte bsico de informtica
nas equipes de auditoria de carter genrico - AUDITOR
GENERALISTA;

Normalmente o auditor generalista executa atividades de

carter preliminar em ambientes de informtica ou
sistemas considerados pouco complexos para determinar a
estratgia de auditoria mais adequada.

32

Equipe de Auditoria
Administrando Recursos Escassos

necessrio que as atividades de cada auditor sejam bem definidas,

bem como o suporte tcnico dado pelos auditores especializados,
limites de atuao, relacionamentos entre eles, etc.;

Os planos de auditoria devem ser elaborados levando em conta os

recursos humanos disponveis. Devem ser elaborados planos de
preferncia anual;

A tendncia que no futuro todos os auditores tenham conhecimentos

necessrios para realizar auditorias de sistemas;

necessrio que a funo de auditoria se adapte aos novos ambientes

e necessidades do mercado.

Espera-se com o uso cada vez mais intenso do computador que haja
um aumento no mercado desse profissionais.

33

Equipe de Auditoria
Planejamento de Atividades
Em organizaes de auditoria geralmente as atividades so
planejadas em trs nveis, baseados em perodos de tempo
diferentes:
Plano Estratgico de Longo Prazo:
Normalmente para perodos de 3 a 5 anos;
Objetivos mais amplos, atinge toda a organizao e tem
que ser aprovado pela gerncia superior;
Define metas, forma de atuao, recursos necessrios,
necessidades de treinamento etc.
aconselhvel revisar a atualizar anualmente.

34

Equipe de Auditoria
Planejamento de Atividades

Em organizaes de auditoria geralmente as atividades so

planejadas em trs nveis, baseados em perodos de tempo
diferentes:

Plano Estratgico de Mdio Prazo:

Traduz o plano de longo prazo para um programa de
atividades para o ano que se inicia;
Em geral, procura atender as demandas das auditorias
genrica por auditorias mais especializadas;
Normalmente aprovada pela gerncia intermediria, define
os objetivos macros das auditorias a serem feitas em
seguida;
Deve ser flexvel para aceitar as alteraes necessrias.

35

Equipe de Auditoria
Planejamento de Atividades
Em organizaes de auditoria geralmente as atividades so
planejadas em trs nveis, baseados em perodos de tempo
diferentes:
Plano Estratgico Operacional:
Baseia em auditorias individualizadas
Contem detalhes exatos dos objetivos, reas a serem
auditadas, recursos necessrios, prazos, objetivos de
controle e procedimentos de auditoria a serem seguidos.
o plano especfico de uma determinada auditoria;
Ser tratado a seguir (planejamento e execuo).

36

Exerccios

1. Que habilidade deve ter um gerente de equipe de auditoria?

2. Que habilidade deve ter um Auditor de Tecnologia da Informao?
3. Que habilidade deve ter um Auditor de Tecnologia da Informao,
segundo o Padro Internacional de Auditoria?
4. Quais so as 3 opes possveis na formao de uma equipe de
auditoria?
5. Das 3 opes da questo anterior qual a que voc considera mais
vivel para a formao de uma equipe de Auditoria em Tecnologia
da Informao?
6. Quais so as 2 categorias de consultoria externa? Fale sobre cada
uma delas.
7. Quais os principais meios de qualificao/atualizao na rea de
tecnologia da informao? Fale sobre cada um deles.
8. Quais so os nveis de planejamento de atividades em auditoria
de tecnologia da informao? Fale sobre cada um deles.
Cludia Dias pgs 14 a 25

37

Planejamento e Execuo de Auditoria

A fase de planejamento identifica os instrumentos indispensveis
sua realizao. Estabelece, entre outras coisas:
Recursos necessrios
rea de verificao
Metodologias
Objetivos de controle
Procedimentos a serem adotados
Pesquisa de fontes de informao:
A maior quantidade possvel de informaes da entidade auditada e
seu ambiente de informtica deve ser levantada.
Estas informaes possibilitam uma noo da complexidade dos
sistemas e estabelecer os recursos e conhecimentos tcnicos
necessrios.
Tipos de informaes tcnicas: hardware, SO, sistemas de
segurana, aplicativos e os responsveis pelas reas.
38

Planejamento e Execuo de Auditoria

Definindo Campo, mbito e Sub-reas
O campo da auditoria composto por objeto, perodo e natureza.
Em auditorias de informtica, a natureza a prpria auditoria de TI.
O Objeto pode englobar um sistema computacional, uma ou mais
sees do dept de informtica ou toda a organizao em termos de
polticas de informtica.
O perodo depende do grau de profundidade das verificaes
(mbito) e das sub-reas.
Tendo definido o conjunto campo e mbito, fixada toda a rea de
verificao
Definindo os Recursos Necessrios
Recursos humanos
Recursos econmicos
Recursos tcnicos
39

Planejamento e Execuo de Auditoria

rea de Verificao DEPARTAMENTO DE
INFORMTICA
mbito
Avaliao da
eficcia dos
controles

Campo

Objeto
Segurana de
informaes

Sub 1
Controles
de Acesso
Fsico

Perodo
01/08 a
30/09/2002

Sub 2

Sub 3

Controles
de Acesso
Lgico

Backup

Naturez
a

Audit. TI

40

Metodologias
Entrevistas
Apresentar o plano de auditoria, coletar dados, identificar falhas e
apresentar os resultados do trabalho.
Entrevista de Apresentao
Entrevistas de Coleta de Dados
Entrevistas de discusso das deficincias encontradas
Entrevistas de encerramento

Uso de Ferramentas de Apoio (CAATs)

Tcnicas de anlise dados
Tcnicas para verificao de controles de sistemas
Outras ferramentas
41

Planejamento e Execuo de Auditoria

Metodologias

Tcnicas de anlise dados

Os dados do auditado pode ser coletados e analisados com o auxlio
de softwares de extrao de dados, de amostragem, de anlise de
logs e mdulos ou trilhas de auditoria embutidas nos prprios
sistemas aplicativos da entidade

Tcnicas para verificao de controles de sistemas

Permite testar a efetividade dos controles dos sistemas do auditado.
Pode-se analisar sua confiabilidade, e ainda determinar se esto
operando corretamente a ponto de garantir a fidedignidade dos dados.

Dentre as tcnicas mais utilizadas, pode-se citar:

- Massa de dados de teste, simulaes, software de comparao de
programas,
- mapeamento e rastreamento de processamento

42

Metodologias

Outras ferramentas

Existem ferramentas que no so necessariamente de

apoio auditoria, mas
auxilia o auditor durante a execuo da auditoria e na
elaborao do relatrio.
Se encontram nessa categoria: editores de textos, planilhas
eletrnicas, banco de dados e softwares para
apresentaes.

43

Objetivos de Controle e Procedimentos de Auditoria

Os objetivos de controle norteiam a auditoria em vrias

reas especializadas e organizacionais.

Para realizar uma avaliao da atuao de outros

profissionais, necessrio que o avaliador tenha um
modelo normativo, um conjunto de padres, de como a
atividade deveria estar sendo feita.

O modelo normativo traduzido em objetivos de controle a

serem avaliados pelo auditor em cada rea especfica.

44

Objetivos de Controle e Procedimentos de Auditoria

EXEMPLO:
Na rea de segurana, um dos objetivos de controle pode
ser o estabelecimento de regras para acesso aos recursos
computacionais.
Alguns procedimentos de auditoria relacionados ao objetivo
acima citado pode ser: verificar se h documento formal
que justifique a necessidade do usurio para acessar
determinados recursos computacionais;
ou verificar se existem procedimentos que definem os
recursos computacionais que podero ser acessados e os
tipos de transaes que podero ser executadas por cada
usurio autorizado.

45

Objetivos de Controle e Procedimentos de Auditoria

ENFOQUES E MOTIVAES:

Segurana dados e sistemas em que so essenciais a

confidencialidade, a integridade, a disponibilidade de
informaes;
Atendimento a solicitaes externas verificao de indcios
de irregularidades motivados pela imprensa, denuncia,
solicitao de rgos superiores;
Materialidade

valor
significativo
dos
sistemas
computacionais, transaes, em termos econmicofinanceiro;
Altos custos de desenvolvimento sistemas com altos
custos de desenvolvimento envolvem riscos mais altos para
a organizao.

46

Objetivos de Controle e Procedimentos de Auditoria

ENFOQUES E MOTIVAES:

Grau de envolvimento dos usurios - sistemas elaborados sem o

envolvimento dos usurios em geral no atendem satisfatoriamente
s suas necessidades;

A partir do momento em que foram definidas a rea de verificao e

as subreas a serem auditadas, a equipe seleciona os objetivos de
controle mais apropriados e, por fim, utiliza procedimentos de
auditoria para testar se os respectivos objetivos de controle esto
sendo seguidos pela entidade.

Normalmente as organizaes ligadas auditoria da tecnologia da

informao publicam manuais de orientao contendo objetivos de
controle e procedimentos de auditoria tpicos em um ambiente de
informtica.

47

Procedimentos de Auditoria
Execuo:
Na execuo, a equipe deve reunir evidncias confiveis, relevantes
e teis para os objetivos da auditoria.
Tipos:
Evidncia fsica
Evidncia documentria
Evidncia fornecida pelo auditado
Evidncia analtica
Todas essas evidncias devem estar organizadas nos papis de
trabalhos, para facilitar a elaborao do relatrio.

48

Relatrio
A forma como o auditor apresenta seus achados e concluses, com
comprovaes, incluindo recomendaes e, conforme o caso,
determinaes.
Deve ser claro, objetivo, sem uso exagerado de termos tcnicos.
Glossrio ao final, caso haja uso de termos e siglas.
Bem organizado.
Relatrios preliminares podem ser apresentados e discutidos com
a parte auditada e/ou com a autoridade contratante.
O relatrio final deve ser revisado por todos os membros da
equipe, para verificar sua consistncia, omisses como tambm
uma reviso gramatical.

49

Relatrio
Estrutura:
Dados da entidade auditada.
Sntese breve resumo do relatrio
Dados da auditoria objetivos, perodo, equipe, metodologia,
etc..
Introduo breve histrico, resumo de audit. Anteriores,
estrutura hierrquica dos dept auditados, etc...
Falhas detectadas Detalhamento das falhas e
irregularidades, com comentrios e justificativas e parecer da
equipe.
Concluso Resumo dos principais pontos e recomendaes
finais para correo das falhas e apontar pontos fortes.
Pareceres Quando necessrio, de instncias superiores.
50

Exerccios Propostos

1. Qual o objetivo do Planejamento de Auditoria?

2. Quais as informaes bsicas que devem estar contidas em um
Plano de Auditoria?
3. Quais as principais fontes de informaes para a elaborao de
um Plano de Auditoria?
4. Quais os recursos necessrios para uma auditoria? Fale sobre
cada um.
5. Quais as principais metodologias utilizadas em uma atividade de
auditoria. Fale sobre cada uma delas.
6. Em uma auditoria, a equipe deve reunir evidncias
suficientemente confiveis, relevantes e teis para a consecuo
dos objetivos da auditoria. Fale sobre cada uma dessas evidncias.
7. O que deve conter em um relatrio de auditoria?

Cludia Dias pgs 25 a 36

51