You are on page 1of 29

Prof. Evelacio R.

Kaufmann
Auditoria e Segurança
de Sistemas
A atividade de auditoria

“O maior risco é crer que não há
riscos”. (Caruso & Steffen)

A Atividade de Auditoria de

Prof. Evelacio R. Kaufmann
Sistemas

PONTOS TEMÁTICOS

- Conceito e organização de auditoria;
- Planejamento, execução e documentação
gerada em auditoria de sistemas;
- Equipe de auditoria – conhecimentos e
competências;
- Programação da auditoria baseada na
avaliação de riscos.

normas ou padrões. processos. orçamentos. Evelacio R. regras.Conceito e organização de Prof. com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais. Organização da auditoria Presidência Executiva Auditoria de Sistemas Diretoria Diretoria Diretoria de Diretoria de Administrativa Financeira Vendas Informática 3 . Kaufmann auditoria Auditoria: é uma atividade que engloba o exame das operações. sistemas e responsabilidades gerenciais de uma determinada entidade.

. metodologias e procedimentos na área de auditoria em ambientes informatizados são alguns dos obstáculos mais comuns à realização de auditorias da TI. As mudanças tecnológicas constantes e a carência de normas. surgiu a necessidade de auditar não só a massa de dados dos sistemas.. 4 . Kaufmann Conceito e organização de auditoria Continuação. Com a evolução. Evelacio R. existia a auditoria de sistemas que avaliava dados financeiros e contábeis. Prof. Razões Antigamente. mas também o próprio ambiente de informática. para garantir a fidedignidade dos dados manipulados por sistemas de computação.

– Educação de executivos para a transformação da auditoria. – Falta de bons profissionais em auditoria. do ambiente externo. a exemplo da carência no ambiente computacional: necessidade de adaptação dos profissionais de auditoria contábil-financeira. dos acionistas. 5 –Complexidade do ambiente computacional. Problema da auditoria de Sistemas – Defasagem tecnológica da A. confiabilidade. validar a qualidade dos dados e da informação e dos sistemas que a geram e mantêm.S. do povo para: • Opinar. Kaufmann Continuação. em termos de segurança. . Contexto da Auditoria de Sistemas  Auditoria de SI é instrumento da direção. conformidade e eficiência. avaliar.. em relação ao ambiente computacional da organização.Conceito e organização de auditoria Prof. Absorção crescente da tecnologia por auditores contábeis ou operacionais. Evelacio R..  Interna e Externa.

p.Conceito e organização de auditoria Prof. 20) . conceituação e técnicas de três áreas distintas de conhecimento: Auditoria. Processamento eletrônico de Dados. Sistemas de informação. Áreas Distintas da Auditoria de Sistemas A área de Auditoria de Sistemas (computadores) compreende terminologia.. Evelacio R. 2000. Kaufmann Continuação.. Auditoria Processamento Sistema Eletrônico de de Dados Informação 6 Fonte: (GIL.

Kaufmann Conceito e organização de auditoria Continuação... Abrangência de Auditoria •Campo •Âmbito Área de Verificação •Natureza da Auditoria e •Área de Verificação (entidade completa. Prof. ou uma função) Âmbito Campo (amplitude. Evelacio R. aprofundamento e grau de abrangência) Objeto Período Natureza Sub 1 Sub 2 Sub 3 7 . uma parte.

. Conceito e organização de auditoria Continuação. âmbito e sub-áreas. Objeto Segurança de Informações da Empresa Campo Período De dd/mm/aaaa a dd/mm/aaaa Natureza Auditoria da TI Área de Verificação Âmbito Avaliação da eficácia dos controles Sub 1 Controles de acesso físico Sub 1 Controles de acesso lógico Sub 1 Backup . Exemplo • A Figura mostra um exemplo envolvendo os conceitos campo..

– Controles Corretivos – reduzir impactos ou corrigir erros detectados. omissões ou atos fraudulentos. – Controle Detectivos – detectar erros. 9 . Evelacio R. órgãos. omissões e atos fraudulentos. ou produtos. Kaufmann Conceito e organização de auditoria Continuação. departamentos para que tais atividades.. Tipos de Controle – Controle Preventivo – prevenir erros. não se desviem das normas preestabelecidas. Prof. Termos Importantes Controles: É a fiscalização exercida sobre as atividades de pessoas..

10 . um achado de auditoria geralmente está associado a eventos imprevisíveis. Kaufmann Conceito e organização de auditoria Termos Importantes Continuação. Evelacio R. (pontos fracos ou fortes).. Conforme sugere o nome.. Objetivos de Controle: São metas de controle a serem alcançadas. Prof. ou efeitos negativos a serem evitados. para cada atividade de auditoria. Achados de Auditoria: Fatos significativos observados pelo auditor durante a execução da auditoria. Procedimentos de Auditoria: Lista de pontos a serem verificados durante a auditoria e que correspondem aos aspectos quantitativos e qualitativos da avaliação.

dão suporte ao relatório de auditoria. para conduzir falhas ou deficiências detectadas durante a auditoria. listas e procedimentos. Esses documentos. 11 . Evelacio R. são feitas as recomendações.. Prof. Essas recomendações são medidas corretivas possíveis. Recomendações de Auditoria: Na fase de relatório.. sugeridas pelo auditor. que podem ser planilhas. Papéis de Trabalho: Registro de todas as informações relacionadas ao trabalho de auditoria executado. Kaufmann Conceito e organização de auditoria Termos Importantes Continuação.

Prof. área envolvida. Kaufmann Natureza da Auditoria Os tipos mais comuns de auditoria. são qualificados de acordo com os seguintes aspectos: orgão fiscalizador. forma de abordagem. O objetivo é reduzir as probabilidades de fraudes. Orgão fiscalizador: Auditoria Interna: realizada por departamento interno responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade. práticas ineficientes ou ineficazes. 12 . dentre outros. Evelacio R. Auditoria Externa: realizada por instituição externa e independente da entidade fiscalizada. erros. com o objetivo de emitir pareceres sobre a gestão de recursos da entidade. Auditoria Articulada: Trabalho conjunto com as internas e externas.

Kaufmann Natureza da Auditoria Continuação.. Prof. Área Envolvida: Auditorias de Programa de Governo Auditoria do Planejamento Estratégico Auditoria Administrativa Auditoria Contábil Auditoria Financeira Auditoria de Legalidade Auditoria Operacional Auditoria Integrada Auditoria da Tecnologia da Informação 13 . Forma de Abordagem: Auditoria Horizontal: com tema específico realizada em várias entidades paralelamente. Auditoria Orientada: focada em uma atividade específica com fortes indícios de erros ou fraudes. Evelacio R..

Tipo de auditoria. Auditoria Integrada – inclui. simultaneamente. o ambiente computacional. por meio da qual os auditores analisam os sistemas de computação. execução e supervisão. sob o ponto de vista da economia. essencialmente operacional. de Eficiência. a financeira e a operacional. de Gestão ou de Resultados – incide em todos os níveis de gestão. Evelacio R. a segurança de informações e o controle interno da entidade fiscalizada. identificando seus pontos fortes e/ou deficiências. eficiência e eficácia. 14 . Conhecida também como auditoria de sistemas. Kaufmann Informação Auditoria Operacional ou. nas fases de programação. Auditoria da Tecnologia da Prof.

✔Controles de acesso lógico. Além de todos os aspectos relacionados com a auditoria de segurança de informações. ✔Controles de acesso físico. ✔ Sobre ambientes cliente/servidor. ✔Plano de contingências e continuidade de serviços. ✔ Sobre banco de dados. Kaufmann Informação Continuação.. ✔Controles ambientais. tais como: ✔ Organizacionais.. 15 . Auditoria da Tecnologia da Prof. ✔ De mudanças. O escopo da auditoria de TI envolve ainda: ✔Avaliação da política de segurança. ✔ De operação dos sistemas. Evelacio R. a auditoria de TI abrange ainda outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização. ✔ Sobre microcomputadores.

✔ Analista de Qualidade.O Futuro da Auditoria da Prof. 16 . através de suporte intrínseco dos sistemas. ➔Análise de custo/benefício da auditoria. ✔ Analista de conformidade (compliance officer) ➔Auditoria de segurança e qualidade. ➔Maior automação do processo de auditoria. ➔Gestão e qualidade da auditoria. Kaufmann Tecnologia da Informação ➔Novas funções no ambiente: ✔ Analista de Segurança (security officer). Evelacio R.

3) Quanto a natureza da auditoria. Prof. Evelacio R. quais são os principais aspectos em que ela é quantificada? Problemáticas da Auditoria de Sistemas 4) Discuta a problemática da auditoria de sistemas. quais suas principais características e impactos para as organizações? Quais os principais problemas que a auditoria de Sistemas pode/deve identificar? 17 . Kaufmann EXERCÍCIOS Contexto e Razões da Auditoria 1)Em que consiste a auditoria de sistemas? 2) Quais as diretrizes que justificam a existência da auditoria de sistemas? Discuta o papel desta área de atividade perante a coletividade (entidades públicas e privadas).

. Está tudo sob controle!” (Caruso & Steffen). Evelacio R. Prof. Kaufmann FASES DA AUDITORIA • Planejamento • Execução • Relatório “Pode ficar sossegado.

✔Os objetivos de controle. Planejamento . Kaufmann Fases da Auditoria Continuação..(Pré-Auditoria) A fase de planejamento da auditoria identifica os instrumentos indispensáveis à sua realização. ✔As metodologias. Prof. Evelacio R.. ✔Os procedimentos a serem adotados e ✔Um trabalho de pesquisa de fontes de informação sobre o objeto a ser auditado. 19 . O planejamento deve estabelecer: ✔Os recursos necessários para a execução da auditoria. ✔A área de verificação.

em visitas à entidade. Âmbito e Sub-áreas: No caso de auditorias de informática. ✔ Metodologias: Várias metodologias podem ser utilizadas em uma auditoria da TI: Simples observação. SI.(Pré-Auditoria) Continuação. dentre outros). relatórios de auditoria interna. documentos ou páginas da entidade na Internet e. quase sempre com enfoque operacional (exame dos aspectos econômicos. Entrevistas com seus funcionários e dirigentes e. bases de dados. Recursos Econômicos. então. período e natureza) é fixada. Prof. a equipe deve reunir a maior quantidade possível de informações sobre a entidade auditada e seu ambiente de informática (hardware. ✔ Definindo os Recursos: Recursos Humanos. a natureza é auditoria da TI. Evelacio R. 20 . SO. a área de verificação que pode ser dividida em sub-áreas. RecursosTécnicos ✔ Definindo Campo. •As principais fontes de informação sobre a entidade auditada são: relatórios de auditoria anteriores... ✔ Pesquisa de Fontes de Informação: Na fase de planejamento da auditoria. ✔ Objetivos de Controle e Procedimentos de Auditoria: A partir de padrões ou normas (como as atividades devem ser feitas) são definidos os objetivos de controle a serem avaliados pelo auditor. Tendo definido o campo (objeto. Kaufmann Fases da Auditoria Planejamento . Uso de técnicas ou ferramentas de apoio. Esses objetivos de controle são detalhados em procedimentos de auditoria. de eficiência e eficácia).

Segurança (informações. Evelacio R. .).Grau de envolvimento dos usuários (necessidades atendidas..Altos custos de desenvolvimento (riscos. 21 ...).).Atendimento a solicitações externas (denúncia..... Kaufmann Fases da Auditoria Continuação.. Planejamento . Exemplo: ✔Na área de segurança.Outsourcing (efeito da terceirização.(Pré-Auditoria) Objetivos de Controle e Procedimentos de Auditoria: Os objetivos de controle podem ter vários enfoques e podem ser motivados por diversas razões: . Prof..). . um dos objetivos de controle pode ser: "estabelecimento de regras de acesso aos recursos computacionais" ✔ Um procedimento relacionado a esse objetivo pode ser: "verificar se existem procedimentos que definam os recursos computacionais que podem ser acessados". . ...)..

Tipos: ✔Evidência física ✔Evidência documentária ✔Evidência fornecida pelo auditado ✔Evidência analítica Todas essas evidências devem estar organizadas nos papéis de trabalhos. Prof. 22 .. Execução Na execução. a equipe deve reunir evidências confiáveis. relevantes e úteis para os objetivos da auditoria.. Evelacio R. Kaufmann Fases da Auditoria Continuação. para facilitar a elaboração do relatório.

Relatório A forma como o auditor apresenta seus achados e conclusões. Prof.. determinações. para verificar sua consistência. sem uso exagerado de termos técnicos. ✔ O relatório final deve ser revisado por todos os membros da equipe. caso haja uso de termos e siglas.. ✔ Deve ser claro. incluindo recomendações e. Evelacio R. omissões como também uma revisão gramatical. ✔ Bem organizado. objetivo. conforme o caso. ✔ Relatórios preliminares podem ser apresentados e discutidos com a parte auditada e/ou com a autoridade contratante. 23 . ✔ Glossário ao final. com comprovações. Kaufmann Fases da Auditoria Continuação.

. equipe.. ✔Conclusão – Resumo dos principais pontos e recomendações finais para correção das falhas e apontar pontos fortes.. metodologia. ✔Pareceres – Quando necessário. Relatório .Estrutura: ✔Dados da entidade auditada.. ✔Síntese – breve resumo do relatório ✔Dados da auditoria – objetivos. resumo de audit. de instâncias superiores 24 . Anteriores.. Evelacio R. etc. ✔Introdução – breve histórico. período. Kaufmann Fases da Auditoria Continuação. ✔Falhas detectadas – Detalhamento das falhas e irregularidades. etc. com comentários e justificativas e parecer da equipe. Prof. estrutura hierárquica dos deptº auditados.

experiência anterior. Prof. se possível. Kaufmann Equipe da Auditoria O gerente da equipe de auditoria deve ter habilidade suficiente para recrutar ou formar profissionais com nível adequado de capacitação técnica para a auditoria de ambiente informatizado. supervisionar e revisar o trabalho executado. Segundo o padrão internacional de auditoria. Conhecimentos Necessários Todos os membros da equipe devem ter conhecimento na área e. dirigir. 25 . o auditor deve ter conhecimento suficiente de sistemas computacionais para planejar. Evelacio R.

Kaufmann Equipe da Auditoria Conhecimentos Necessários (Continuação.) 26 .) Tipos de conhecimentos necessários para auditoria da TI: ✔Sistemas Operacionais.. ✔Outros (ambiente.. ✔Processamento Distribuído. ✔Metodologias de Desenvolvimento de Software... ✔Software de Controle de Acesso e Segurança de Informações. Prof. ✔Processos de Desenvolvimento de Software. ✔Banco de Dados. ✔Plano de Contingências e de Recuperação. Evelacio R.

27 .Opções ➢ Contratar consultoria externa. Evelacio R. como: ✔ Bom relacionamento. Prof. em auditoria.. ➢ Desenvolver a capacidade técnica em informática de auditores em contabilidade e auditoria e ➢ Desenvolver tecnicamente. Kaufmann Equipe da Auditoria Conhecimentos Necessários (Continuação. ✔ Capacidade de comunicação oral e escrita. funcionários com formação em informática.. como os demais.) O auditor da TI. ✔ Senso crítico e ✔ Conhecimentos específicos na área relacionada ao sistema a ser auditado. devem obedecer aos princípios éticos de auditoria e possuir outras habilidades. Composição da Equipe .

Kaufmann .EXERCÍCIOS Prof. Evelacio R.

➢O que um planejamento de auditoria deve estabelecer? ➢A partir de que são estabelecidos os objetivos de controle? ➢Como esses objetivos de controle são detalhados? Dê exemplos. Prof. Kaufmann EXERCÍCIOS Equipe de Auditoria ➢Quais as opções para se compor uma equipe de auditoria de TI? ➢Quais as habilidades necessárias a um auditor de TI? Planejamento da Auditoria ➢Relacione e comente brevemente as fases da auditoria. Evelacio R. 29 .