COMPILADO Auditoria de Sistemas COMPLETO AULAS RESUMOS REVISAO PROVAS AV1 AV2 AV3 SIMULADOS SaibaMais EXTRAS Graduacao Administracao Gestao Tecnologia da Informacao

Prévia do material em texto

GTI / ADS / SI – ANDRE MOURA 
Rio de Janeiro, 09 de Agosto de 2011
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
❑ O que é Auditoria de Sistemas
❑ A Carreira do Auditor de Sistemas
❑ A Auditoria de Sistemas nas Organizações
❑ Padrões e Código de Ética para Auditoria de Sistemas
❑ Código de Ética profissional segundo o ISACA
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
❑ O que é Auditoria de Sistemas
❑ A Carreira do Auditor de Sistemas
❑ A Auditoria de Sistemas nas Organizações
❑ Padrões e Código de Ética para Auditoria de Sistemas
❑ Código de Ética profissional segundo o ISACA
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
O QUE É AUDITORIA DE SISTEMAS
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
AUDITORIA DE SISTEMAS
Processos Sistemas
Respons. 
gerenciais
VERIFICAR
a segurança da informação, recursos, serviços e acesso2
a conformidade com os objetivos da empresa, políticas 
administrativas, orçamentos, regras, normas ou padrões1
Operações
Engloba o exame de:
O QUE É AUDITORIA DE SISTEMAS
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
PLANEJAMENTO EXECUÇÃO CONTROLE
Funções administrativas, segundo GIL (1989) 
Determinação 
de padrões com 
informações 
que exprimem 
uma 
expectativa de 
comportamento 
futuro
Caracterização 
de medidas
com 
informações 
relacionadas 
aos registros 
das operações 
ocorridas
Acompanha-
mento de 
desvios através 
da 
confrontação
das medidas
com os padrões
O QUE É AUDITORIA DE SISTEMAS
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
O QUE É AUDITORIA DE SISTEMAS
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
O QUE É AUDITORIA DE SISTEMAS
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
O QUE É AUDITORIA DE SISTEMAS
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
PLANEJAMENTO EXECUÇÃO CONTROLE
O Auditor de Sistemas atua como um verificador do trabalho 
realizado, atuando segundo as ações de VALIDAÇÃO e 
AVALIAÇÃO do ciclo administrativo.
O QUE É AUDITORIA DE SISTEMAS
1
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
PLANEJAMENTO EXECUÇÃO CONTROLE
O Auditor de Sistemas atua como um verificador do trabalho 
realizado, atuando segundo as ações de VALIDAÇÃO e 
AVALIAÇÃO do ciclo administrativo.
VALIDAÇÃO Exprime a ideia de teste
AVALIAÇÃO
Exprime a ideia de julgamento 
e emissão de opinião. 
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
❑ O que é Auditoria de Sistemas
❑ A Carreira do Auditor de Sistemas
❑ A Auditoria de Sistemas nas Organizações
❑ Padrões e Código de Ética para Auditoria de Sistemas
❑ Código de Ética profissional segundo o ISACA
1
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
A Carreira de Auditor de Sistemas
1
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Perfil do Auditor
▪ Conhecimento teórico e prático em SI
▪ Visão abrangente da empresa 
▪ Vestir-se adequadamente
▪ Comportamento condizente com quem 
tem autoridade no assunto
▪ Nada de extravagâncias
▪ Nada de gírias
▪ Não aceitar presentes
A Carreira de Auditor de Sistemas
1
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Qualificação profissional
Algumas organizações certificadoras:
▪ ISACA - Certified Information Systems 
Auditor (CISA)
▪ British Computer Society - Exame da 
Sociedade Britânica de Informática
▪ Institute of Internal Auditors (IIA) -
Qualificação em Auditoria 
Computacional
A Carreira de Auditor de Sistemas
1
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Equipe de auditoria
Auditoria interna
✓Colaboradores da empresa
✓Equipe é treinada conforme objetivos 
de segurança da empresa
✓Metodologia adquirida / desenvolvida
Auditoria externa
✓Contratação de empresa de auditoria
✓Condução da auditoria sob demanda
✓Cuidado para não perder o controle
A Carreira de Auditor de Sistemas
1
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do 
auditor de sistemas
Experiência em informática2
Pouca ou nenhuma experiência informática1
A Carreira de Auditor de Sistemas
1
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do 
auditor de sistemas
Pouca ou nenhuma experiência informática1
▪ Conceitos de tecnologia da informação
▪Fundamentos de arquitetura de sistemas, Input/Output, 
processamento lógico, unidade de memória principal e 
auxiliar, visando auditoria
▪Rede de computadores, teleprocessamentos, internet, 
intranet e extranet, com configurações pertinentes
▪Programação de computação, incluindo os conceitos de 
flowchart e Diagrama de Fluxo de Dados
A Carreira de Auditor de Sistemas
1
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do 
auditor de sistemas
Pouca ou nenhuma experiência informática1
▪Tabelas de decisão e sua aplicação nas principais 
linguagens de programação
▪ Introdução aos controles gerais de computadores 
(operação, aquisição, desenvolvimento e manutenção 
de sistemas, controles de acesso, hardware, controles 
organizacionais e suporte técnico)
▪Estudo de caso que exemplifique cada situação (jogo de 
negócios) é desejável
A Carreira de Auditor de Sistemas
1
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do 
auditor de sistemas
Experiência em informática2
▪Revisão dos controles gerais (operações, aquisição, 
desenvolvimento e manutenção, controles de acesso, 
hardware, controles organizacionais e suporte técnico)
▪Auditoria de sistemas aplicativos, princípios e práticas 
de auditoria com ênfase nos controles gerenciais e 
organizacionais, monitoramento e emissão de relatórios
A Carreira de Auditor de Sistemas
1
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do 
auditor de sistemas
Experiência em informática2
▪Gerenciamento de riscos, privacidade, desenvolvimento e 
implementação de políticas e estratégias de seg. inf.
▪Avaliação dos sistemas online com relação ao proc. em 
tempo real, controles de recall e identificação de 
programas, verificação das autenticações e autorizações 
de acessos e registros (contabilização) das transações. 
Também inclui correção, detecção e manutenção de 
diários (journaling) das operações
A Carreira de Auditor de Sistemas
2
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do 
auditor de sistemas
Experiência em informática2
▪Transmissão de dados, proteção de informações, 
segurança associada ao uso dos sistemas, 
teleprocessamentos, redes internet, intranet e extranet
▪Controles de operações, processamento interativo em 
atividades de negócios e e-commerce
▪ Iniciação de trilha de auditoria em ambiente de TI e 
propriedade intelectual, abordagens aos métodos 
existentes e supervisões necessárias
A Carreira de Auditor de Sistemas
2
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do 
auditor de sistemas
Experiência em informática2
▪Controles de acesso à biblioteca de dados ou programas, 
armazenamento e recuperação dos mesmos a partir de 
bases hierárquicas, relacionais ou Data Warehouse, 
plano de contingência (de back-up, emergência e 
recuperação) de desastres
▪Sw de auditoria; distinguindo-se os sws generalistas dos 
específicos, como apoio dos especialistas em TI para 
desenvolver sws que atentem metodologias próprias.
A Carreira de Auditor de Sistemas
2
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Biblioteca técnica
▪Ter uma biblioteca técnica para consulta
▪ Informações pertinentes ao processamento de 
dados etambém sobre auditorias prévias
Facilitadores para orientação dos trabalhos dos 
auditores de acordo com padrões conhecidos na 
empresa e a manutenção do conhecimento 
técnico em relação às novas tecnologias 
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
❑ O que é Auditoria de Sistemas
❑ A Carreira do Auditor de Sistemas
❑ A Auditoria de Sistemas nas Organizações
❑ Padrões e Código de Ética para Auditoria de Sistemas
❑ Código de Ética profissional segundo o ISACA
2
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
2
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Considerando que um auditor de sistemas necessita de 
autonomia para verificar o trabalho realizado e apontar as 
distorções encontradas, seu posicionamento no organograma 
da empresa deve ser logo abaixo da direção executiva da 
empresa. 
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
2
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
2
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem através do computador2
Abordagem ao redor do computador1
Abordagem com o computador3
2
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem ao redor do computador1
▪ Muito usada no passado
▪ O auditor analisava os documentos fonte com suas 
respectivas entradas e saídas (legíveis por leigos em 
informática) 
▪ Pouca ou nenhuma atenção é prestada às funções de 
processamento (Não exige muito conhecimento de TI)
▪ Utilização de rotinas manuais
2
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem ao redor do computador1
▪Pouco envolvimento com os registros gerados pelo
computador (informática era utilizada para tarefas
menores, tais como controle de estoque)
▪ Custos mais baixos (riscos mais altos)
2
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem através do computador2
▪ Capacita o auditor a verificar com maior freqüência as 
áreas que necessitam de verificação constante
▪ Faz aprovação dos registros armazenados
▪ Simula todas as transações possíveis, através do uso
do test data (ferramenta para auditoria)
3
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem através do computador2
▪ Esta abordagem não deixa evidências documentais
através dos controles dos programas (o auditor precisa 
acompanhar o processamento através e dentro do 
computador)
▪ Uma realização incorreta pode potencializar risco
3
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador3
▪Possibilita a maior perfeição possível, fazendo uma
compilação dos processos automatizados e manuais
▪Utilização das capacidades lógicas e aritméticas do
computador para verificar se os cálculos das transações
econômicas e financeiras ou aqueles que dizem respeito
às responsabilidades, como por exemplo, o cálculo das
depreciações, taxas e impostos são feitos corretamente
3
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador3
▪Utilização da capacidade de cálculos estatísticos e de 
geração de amostras que facilitem confirmação de 
saldos necessários para aferir a integridade de dados de 
contas a receber, estoques imobilizados, fornecedores, 
etc.
3
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador3
▪ Utilização da capacidade de edição e classificação do 
sistema computadorizado, a fim de ordenar e selecionar 
os registros de interesse. Por exemplo: através de 
varredura da base de dados do sistema de estoque, um 
auditor pode ser capaz de apontar com precisão os 
itens de movimento mais vagaroso, obsoletos e isolá-
los dos itens de movimento rápido, para facilitar análise 
mais complexa e substantiva
3
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador3
▪ Utilização das capacidades matemáticas do 
computador para analisar e fornecer listas de amostras 
de auditoria. Pode também incluir a confirmação dos 
resultados de auditoria executada manualmente, como 
cálculos globais
3
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador3
▪Utilização de Técnicas de Auditoria Assistida por 
Computador (TAAC) ou CAAT (Computer Assisted Audit 
Techniques)
▪ Desenvolvimento de programas específicos para 
serem usados pelo auditor quando tiverem necessidade 
de evidenciar uma opinião sobre algum processo
Facilidades do uso desta abordagem
3
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador3
▪ Ganhar tempo sobre os passos aplicados com o uso 
de pacotes generalizado de auditoria de tecnologia de 
informação
Facilidades do uso desta abordagem
3
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abrangência da auditoria de TI
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Ambiente de informática como um todo
Organização do departamento de informática
Controles
Segurança da informação, recursos, serviços e acesso, 
procedimentos de contingência e operação 
Aspectos administrativos da organização, tais como políticas, 
padrões e procedimentos, responsabilidades 
organizacionais, gerencia de pessoal e planejamento de 
capacidade
Banco de dados, redes de comunicação para alta 
(mainframe) ou baixa plataforma (micro-computadores) e 
controles sobre os aplicativos.
3
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Auditoria de 
Segurança da 
Informação
Auditoria de 
Aplicativos
Auditoria de 
Tecnologia da 
Informação
Cada empresa define como classificará sua 
auditoria. Não há uma regra fixa. 
3
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Auditoria de 
Segurança da 
Informação
✓ Avaliação da conformidade com as políticas de segurança
✓ Controles de acesso sobre confidencialidade, integridade, 
disponibilidade, consistência e confiabilidade 
✓ Controles ambientais
✓ Plano de contingência e continuidade de serviços
4
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Auditoria de 
Segurança da 
Informação
▪ Confidencialidade Controle de acesso (físico e lógico) 
▪ Integridade Gravação e atualização autorizadas (“dono”) 
▪ Disponibilidade Sistema disponível quando necessário 
▪ Consistência Sistema funciona conforme requisitos
▪ Confiabilidade Sistema atuará conforme o esperado 
4
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
✓ Organizacionais
✓ De mudanças
✓ De operações de sistemas
✓ Sobre banco de dados
✓ Sobre computadores (alta e/ou baixa plataforma)
✓ Sobre ambientes cliente-servidor
Auditoria de 
Tecnologia da 
Informação
4
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
✓Controles sobre o desenvolvimento de sistemas aplicativos
✓ Controle de entrada, processamento e saída de dados
✓ Controles sobre conteúdo e funcionamento do aplicativo 
em relação à área por ele atendida 
Auditoria de 
Aplicativos
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
❑ O que é Auditoria de Sistemas
❑ A Carreira de Auditor de Sistemas
❑ A Auditoria de Sistemas nas Organizações
❑ Padrões e Código de Ética para Auditoria de Sistemas
❑ Código de Ética profissional segundo o ISACA
4
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
4
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Padrões e Código e Ética para 
Auditoria de Sistemas de Informação
Conforme padrões emitidos pelo 
Comitê de Padrões da 
Associação de Controle de 
Tecnologia de Informação dos 
Estados Unidos
4
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Padrões e Código e Ética para 
Auditoria de Sistemas de Informação
1. Responsabilidade, autoridade e 
prestação de contas
2. Independência profissional
3. Ética profissional e padrões
4
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Padrões e Código e Ética para 
Auditoria de Sistemas de Informação
4. Competência
5. Planejamento
6. Emissão do relatório
7. Atividades de follow-up
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
❑ O que é Auditoria de Sistemas
❑ A Carreira de Auditor de Sistemas
❑ A Auditoria de Sistemas nas Organizações
❑ Padrões e Código de Ética para Auditoria de Sistemas
❑ Código de Ética profissional segundo o ISACA
4
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
4
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
segundo o ISACA
Conforme padrões emitidos pelo 
Information Systems Audit and 
Control Association (ISACA)
4
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
segundo o ISACA
Apoiar a implementação de padrões sugeridos para 
procedimentos e controles dos sistemas de 
informações e encorajar o seu cumprimento.
1
5
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
segundo o ISACA
Exercer suas funções com objetividade, diligência e 
zelo profissional de acordo com os padrões 
profissionais e melhores praticas.
2
5
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
segundo o ISACA
Servir aos interesses dos stakeholders (toda e 
qualquer pessoa que esteja de uma forma ou de outra 
ligada ao objeto da auditoria) de forma legal e honesta, 
atentando para a manutenção de alto padrão de 
conduta e caráter profissional, e não encorajar atos de 
descrédito à profissão.
3
5
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
segundo o ISACA
Manter privacidade e confidencialidade das 
informações obtidas no decurso de suas funções, 
exceto quando exigido legalmente. Tais informações 
não devem ser utilizadas em vantagem própria ou 
entregues a pessoas desautorizadas.
4
5
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
segundo o ISACA
Manter competência nas respectivas especialidades e 
assegurar que nos seus exercícios somente atua nas 
atividades em que tem razoável habilidade para 
competir profissionalmente.
5
5
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
segundo o ISACA
Informar as partes envolvidas sobre os resultados de 
seus trabalhos, expondo todos os fatos significativos 
que estiverem ao seu alcance.
6
5
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
segundo o ISACA
Apoiar a conscientização profissional dos stakeholders
para auxiliar sua compreensão dos sistemas de 
informação, segurança e controle.
7
GTI / ADS / SI – ANDRE MOURA 
Rio de Janeiro, 09 de Agosto de 2011
F I M
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
GTI / ADS / SI – ANDRE MOURA 
PLANOS DE CONTINGÊNCIA – GERENCIAR 
MUDANÇAS OU SURPRESAS?
PLANOS DE CONTINGÊNCIA - GERENCIAR 
MUDANÇAS OU SURPRESAS?
❑ O que é Plano de Contingência 
❑ Risco, ameaça e outros conceitos
❑ Componentes de um Plano de Contingência (PC)
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
PLANOS DE CONTINGÊNCIA - GERENCIAR 
MUDANÇAS OU SURPRESAS?
❑ O que é Plano de Contingência
❑ Risco, ameaça e outros conceitos
❑ Componentes de um Plano de Contingência (PC)
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
O QUE É PLANO DE CONTINGÊNCIA
E agora?
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
O QUE É PLANO DE CONTINGÊNCIA
E agora?
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
O QUE É PLANO DE CONTINGÊNCIA
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
E agora?
O QUE É PLANO DE CONTINGÊNCIA
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
Suponha que a empresa hipotética 
www.infvendasonline.com.br
▪ venda exclusivamente pela internet
▪ fature R$ 30.000.000,00 mensais 
▪ tenha ficado “fora do ar” (site 
indisponível) durante 24h
E agora? 
PREJUÍZO DE R$ 1.000.000,00
http://www.infvendasonline.com.br/
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
O QUE É PLANO DE CONTINGÊNCIA
Contingência
Que pode ser ou não ser; que 
pode ocorrer ou não ocorrer
Uma sequência de ações a 
serem seguidas em 
situações de emergência, 
previstas ou não, para 
assegurar a continuidade do 
serviço
Plano de 
Contingência
O QUE É PLANO DE CONTINGÊNCIA
Um plano de contingência é necessário para:
Normalmente as catástrofes tem baixa freqüência de 
ocorrência, altos riscos de incerteza mas, se ocorrem, 
suas conseqüências podem ser devastadoras. 
1
2
3
4
Reduzir a possibilidade de danos 
Aperfeiçoar a habilidade em sobreviver à 
descontinuidade de rotinas
Reduzir a descontinuidade de rotinas
Reduzir custos de recuperação
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
O QUE É PLANO DE CONTINGÊNCIA
Responsáveis pela continuidade da 
operação de suas áreas
ENVOLVIMENTO DAS ÁREAS DE NEGÓCIO
1
2
3
4
Desenvolvem seus planos, para todas as 
funções e níveis 
Cada área deve incluir os planos das áreas 
interdependentes 
Coordenação das atividades 
1
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
PLANOS DE CONTINGÊNCIA - GERENCIAR 
MUDANÇAS OU SURPRESAS?
❑ O que é Plano de Contingência
❑ Risco, ameaça e outros conceitos
❑ Componentes de um Plano de Contingência (PC)
1
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCO, AMEAÇA E OUTROS CONCEITOS
1
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
AMEAÇA RECURSO
VULNERA-
BILIDADE
ATAQUE IMPACTO RISCO
PROBABI-
LIDADE
1
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
AMEAÇA
Evento ou atitude indesejável 
(roubo, incêndio, vírus, ...) que 
potencialmente remove, desabilita, 
danifica ou destrói um recurso. 
1
2
Acidental (falhas de hardware)
Deliberada
Passiva: não altera a 
informação 
Ativa: altera a informação 
RISCO, AMEAÇA E OUTROS CONCEITOS
1
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RECURSO
Componente de um sistema 
computacional, podendo ser físico, 
software, hardware, informação e 
também humano. 
RISCO, AMEAÇA E OUTROS CONCEITOS
RISCOS, AMEAÇAS E OUTROS CONCEITOS
1
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
VULNERA-
BILIDADE
Fraqueza ou deficiência que pode 
ser explorada por uma ameaça. 
Está associada à probabilidade de 
ocorrência da ameaça.
1
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
ATAQUE Ameaça concretizada.
RISCO, AMEAÇA E OUTROS CONCEITOS
1
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
PROBABI-
LIDADE
Chance de umaameaça atacar com 
sucesso o sistema computacional.
RISCO, AMEAÇA E OUTROS CONCEITOS
1
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
IMPACTO
É o resultado da concretização de 
uma ameaça. 
1
2
Direto: Envolve perdas financeiras
Indireto: Não envolve (diretamente) perdas 
financeiras
RISCO, AMEAÇA E OUTROS CONCEITOS
1
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCO
Medida da exposição a qual o 
sistema está sujeito. 
AMEAÇA
VULNERA-
BILIDADE
IMPACTO
RISCO, AMEAÇA E OUTROS CONCEITOS
2
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
>> >
><
sujeitos
permitem
perdas
causam
protegem
limitados
Ativos
RISCO
Vulnerabilidades
AmeaçasImpactos
Medidas de 
segurança
Confidencialidade 
Integridade 
Disponibilidade
Fonte: adaptação
RISCOS, AMEAÇAS E OUTROS CONCEITOS
A elaboração, implementação e teste de um 
plano de contingência não é um trabalho 
barato. Muitas vezes temos que desenvolver 
programas ou processos específicos para 
atender a uma situação de emergência. Por 
esta razão, não fazemos o plano de 
contingência da totalidade das funções 
do objeto do plano de contingência.
2
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
RISCOS, AMEAÇAS E OUTROS CONCEITOS
Partes 
críticas
PLANO DE CONTINGÊNCIA
2
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
2
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
PLANO DE CONTINGÊNCIA
SISTEMA
Identificar 
funções 
críticas
ÁREA DE TI
Identificar 
sistemas 
críticos
DEPARTAMENTO
Identificar 
áreas 
críticas
2
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
PLANO DE CONTINGÊNCIA
ANALISANDO IMPACTO E 
CALCULANDO RISCOS
Riscos 
envolvidos
Prioridade Escore
probabilidade 
X impacto)
Brainstorming Escolha
2
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
ESCALA CLASSIFICAÇÃO DO IMPACTO
0 Impacto irrelevante
1
Efeito pouco significativo, sem afetar a maioria dos 
processos de negócio da empresa
2
Sistemas não disponíveis por um determinado 
período de tempo, podendo causar perda de 
credibilidade junto aos clientes e pequenas perdas 
financeiras
3
Perdas financeiras de maior vulto e perda de 
clientes para a concorrência
4
Efeitos desastrosos, porém sem comprometer a 
sobrevivência da empresa
5
Efeitos desastrosos, comprometendo a 
sobrevivência da empresa
2
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
ESCALA CLASSIFICAÇÃO DA PROBABILIDADE
0 Ameaça completamente improvável de ocorrer
1
Probabilidade de a ameaça ocorrer menos de
uma vez por ano
2
Probabilidade de a ameaça ocorrer pelo menos
de uma vez por ano
3
Probabilidade de a ameaça ocorrer pelo menos
uma vez por mês
4
Probabilidade de a ameaça ocorrer pelo menos
uma vez por semana
5 Probabilidade de a ameaça ocorrer diariamente
2
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
MATRIZ DE RISCO (exemplo)
AMEAÇAS
IMPACTO
(0-5)
PROBABILI-
DADE (0-5)
ESCORE 
DE RISCO
Incêndio 5 1 5
Falta de luz 4 3 12
Queda do servidor 3 3 9
Falha de 
equipamento
2 4 8
Ataque de virus 3 5 15
Greve de transporte 2 1 2
Funcionário passar 
mal
1 1 1
2
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
RISCOS, AMEAÇAS E OUTROS CONCEITOS
ANALISANDO IMPACTO E 
CALCULANDO RISCOS
Ambiente 
vulnerável
Risco 
calculado
Estratégia
Eliminar o risco
Reduzir o risco a um nível aceitável
Limitar o dano, reduzindo o impacto
Compensar o dano, por meio de seguros
1
2
3
4
PLANOS DE CONTINGÊNCIA - GERENCIAR 
MUDANÇAS OU SURPRESAS?
❑ O que é Plano de Contingência
❑ Risco, ameaça e outros conceitos
❑ Componentes de um Plano de Contingência (PC)
2
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
3
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO 
DE CONTINGÊNCIA
PLANO DE EMERGÊNCIA
PLANO DE BACKUP
PLANO DE RECUPERAÇÃO
1
2
3
3
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA 1
Formado pelas respostas de risco (ações a serem 
seguidas na eventualidade de uma ameaça ocorrer) e 
tentativas de evitar danos causados por desastres 
mantendo, dentro do possível, a capacidade de 
funcionamento da empresa/sistema.
3
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA 1
✓Prever as possibilidades de desastres (naturais ou 
provocados)
✓Prover meios necessários para detectar 
antecipadamente e eliminar/frear o dano
✓Prover segurança física: fogo, fumaça,água, intrusos
✓Prover respostas de risco para ameaças 
identificadas como de alto escore na matriz de risco
Principais objetivos:
3
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA 1
✓Prover respostas de risco para ameaças 
identificadas como de alto escore na matriz de risco
Principais objetivos:
Deve conter o nome de quem as executará (e não a 
função), bem como o telefone onde estas pessoas 
podem ser encontradas nas 24 horas do dia. 
Ações a serem seguidas, como em um checklist, na 
eventualidade da ocorrência de uma ameaça. 
✓Prover respostas de risco (EXEMPLO: INCÊNDIO)
3
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA 1
Principais objetivos:
➢Quem decide que o local deve ser evacuado
➢Quando evacuá-lo
➢Quais os meios de proteção para pessoas e recursos
➢Meios de combater o incêndio (extintor de incêndio 
diferente para cada caso)
➢Quem chama os bombeiros, quem desliga a eletricidade
➢Acordo recíprocos com terceiros
➢Local alternativo para trabalhar até a recuperação do 
ambiente de Tecnologia da Informação
✓Prover respostas de risco (EXEMPLO: INCÊNDIO)
3
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE EMERGÊNCIA 1
Principais objetivos:
Participação dos integrantes da Comissão Interna de 
Prevenção de Acidentes (CIPA)
O plano de emergência, após testado e aprovado, 
será utilizado na eventual ocorrência de uma ameaça.
O plano de emergência deverá seguir um calendário 
de teste para que possa se manter atualizado.
3
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP 2
Seu objetivo é providenciar os recursos necessários 
para uma eventual utilização do plano de emergência. 
3
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP 2
➢Backup de arquivos
➢Atualização da biblioteca externa
➢Acordos com terceiros através de acordos de 
reciprocidade
➢Processamento alternativo através de 
processamento manual
➢Processamento dos sistemas através de hot site
➢Continuidade dos serviços com a manutenção de 
múltiplas facilidades de produção em locais distintos
Provê:
3
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP 2
➢Atualização da biblioteca externa
Provê:
Um lugar afastado do local principal de trabalho onde são 
guardados todos os recursos que possam ser necessários 
para a operação do negócio em caso de emergência. 
3
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP 2
➢Acordos com terceiros através de acordos de 
reciprocidade
Provê:
São acordos feitos entre duas empresas que 
possuam o mesmo tipo de equipamento ou área de 
trabalho equivalente. Quando uma das empresas não 
puder usar o seu equipamento, usará o do “parceiro”, 
em turnos de trabalho diferentes.
4
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTESDE UM PC
PLANO DE BACKUP 2
➢Processamento alternativo através de 
processamento manual
Provê:
Para que possamos passar de uma situação normal 
de operação do negócio para um processamento 
manual podem ser necessárias rotinas especiais bem 
como o desenho e confecção de formulários (de 
cadastro, depósitos, etc...), assim como programas 
especiais para processar tais formulários. 
4
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP 2
➢Processamento dos sistemas através de hot site
Provê:
São instalações de TI, configuradas pelo cliente, que 
ficam inoperantes até o momento em que o cliente 
precisar delas. O cliente paga mensalidades para ter 
este serviço disponibilizado na hora em que precisar. 
4
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP 2
➢Continuidade dos serviços com a manutenção de 
múltiplas facilidades de produção em locais distintos
Provê:
É habitual que tenhamos um nó de uma rede 
preparado para funcionar como servidor da mesma, 
em situações especiais. 
4
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE BACKUP 2
1. Interrupções que causarão maiores perdas
2. Tempo máximo possível para indisponibilidade
3. Recursos e ambientes alternativos disponíveis
4. Treinamento da equipe 
5. Teste do Plano (calendário)
6. Avaliação dos resultados 
7. Atualização do Plano
8. Divulgação (parcial sempre que possível)
Atenção especial:
4
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE RECUPERAÇÃO 3
São as atividades e recursos necessários para 
se passar da situação de emergência para a 
situação normal.
4
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02
COMPONENTES DE UM PC
PLANO DE RECUPERAÇÃO 3
Ambiente 
Situação 
Normal
Ambiente 
Situação de 
Emergência
Interrupção
Plano de recuperação
GTI / ADS / SI – ANDRE MOURA 
PLANOS DE CONTINGÊNCIA – GERENCIAR 
MUDANÇAS OU SURPRESAS?
F I M
GTI – ANDRE MOURA 
REALIZANDO UMA AUDITORIA
REALIZANDO UMA AUDITORIA
❑ O dia a dia da auditoria de sistemas
❑ Fases de uma auditoria de sistemas
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
❑ O dia a dia da auditoria de sistemas
❑ Fases de uma auditoria de sistemas
3
REALIZANDO UMA AUDITORIA
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Preparar a análise de risco dos 
projetos/produtos passíveis de auditoria.
4
O DIA A DIA DA AUDITORIA DE SISTEMAS
Os fatores ambientais são ponderados a fim de 
obtermos um escore final para priorização.
1
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Preparar a análise de risco dos 
projetos/produtos passíveis de auditoria.
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
O DIA A DIA DA AUDITORIA DE SISTEMAS
Os fatores ambientais são ponderados para se 
obter um escore final para priorização.
1
Fazer revisões analíticas dos projetos/produtos 
da empresa para verificação do escore de risco.
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
O DIA A DIA DA AUDITORIA DE SISTEMAS
Não podemos fazer auditoria de todos os 
sistemas da empresa. Selecionamos os de 
maiores riscos e os priorizamos.
2
Familiarizar-se com os produtos/serviços da 
área/sistema e assuntos correlatos.
7
O DIA A DIA DA AUDITORIA DE SISTEMAS
Ter uma compreensão do ambiente e sistemas a 
serem auditados através de levantamento e 
documentação.
3
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Estabelecer a estratégia geral da auditoria do 
sistema a ser auditado.
8
O DIA A DIA DA AUDITORIA DE SISTEMAS
Que ferramentas de auditoria serão usadas?
4
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Estabelecer os objetivos da auditoria (controles 
internos e processo) e de produto (negócio).
9
O DIA A DIA DA AUDITORIA DE SISTEMAS
O que será verificado?
5
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Preparar um documento com as principais 
preocupações da auditoria.
1
0
O DIA A DIA DA AUDITORIA DE SISTEMAS
Itens que mais preocupam.
6
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Fazer uma avaliação preliminar dos controles 
internos. Nesta fase só considerar controles 
gerais. (O que buscaremos como controles 
internos, quais controles o sistema possui?)
1
1
O DIA A DIA DA AUDITORIA DE SISTEMAS
Exemplo: dígito verificador, senha e segregação
7
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Finalizar os procedimentos de planejamento.
1
2
O DIA A DIA DA AUDITORIA DE SISTEMAS
Tempo estimado da auditoria em campo, quantos e 
quais auditores irão participar, recursos 
necessários, data provável da emissão do relatório 
final.
8
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Preparar um memorando sobre a intenção da 
auditoria para o gerente da área de sistemas, 
seu diretor e diretor da área para a qual o 
sistema dará suporte.
1
3
O DIA A DIA DA AUDITORIA DE SISTEMAS
Este memorando deve ser assinado pelo diretor da 
Auditoria.
9
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Realizar reunião inicial com os auditados, sua 
gerência e diretoria, informando sobre a 
intenção da auditoria e pedindo que os mesmos 
colaborem com os auditores, fornecendo-lhes o 
que for solicitado.
1
4
O DIA A DIA DA AUDITORIA DE SISTEMAS
Devem participar os auditores e a gerência maior 
da Auditoria na empresa.
10
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Elaboração de uma massa de testes.
1
5
O DIA A DIA DA AUDITORIA DE SISTEMAS
Definição de escopo do teste, geração dos dados 
para teste, determinação dos resultados esperados.
11
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Aplicação da massa de testes.
1
6
O DIA A DIA DA AUDITORIA DE SISTEMAS
Simulando em laboratório ou no campo, para 
aprovação da efetividade de processos e 
resultados.
12
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Análise das simulações empreendidas.
1
7
O DIA A DIA DA AUDITORIA DE SISTEMAS
Caso haja alguma discrepância, avisar verbalmente ao 
auditado e a seguir, através de formulário próprio, emitir 
opinião quanto ao resultado dos testes ou do ambiente 
auditado, sugerindo recomendações e solicitando prazo de 
acerto das falhas encontradas.
13
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Ao término do trabalho de campo (testes), emitir 
relatório provisório contendo todas as falhas 
não solucionadas durante a auditoria.
1
8
O DIA A DIA DA AUDITORIA DE SISTEMAS
As páginas deste relatório devem ter um carimbo dizendo 
“RASCUNHO” para que não haja equívoco em relação a ser 
o relatório final.
14
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Discutir o relatório provisório com os auditados 
e suas gerências.
1
9
O DIA A DIA DA AUDITORIA DE SISTEMAS
Os auditados devem concordar com o conteúdo do 
relatório, por escrito ou, se discordarem, informar o motivo, 
também por escrito.
15
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Emitir e distribuir relatório final da auditoria 
incluindo a nota do relatório.
2
0
O DIA A DIA DA AUDITORIA DE SISTEMAS
A “nota” de um relatório contém as falhas encontradas e não 
acertadas. Estabelecer data para os acertos. 
16
Concordar ou não por escrito e, se for o caso, justificar por 
escrito a discordância.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Fazer follow-up das falhas a serem acertadas.
2
1
O DIA A DIA DA AUDITORIA DE SISTEMAS
acompanhar as datas de acerto das falhas 
informadas pelos auditados.
17
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
❑ O dia a dia da auditoria de sistemas
❑ Fases de uma auditoria de sistemas
2
2
REALIZANDOUMA AUDITORIA
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
2
3
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento Execução
Emissão 
divulgação
relatórios 
Follow-up
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
2
4
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento
1 Auditoria do data center
2
Auditoria de sistemas, 
segundo escore de risco
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
2
5
FASES DE UMA AUDITORIA DE SISTEMAS
2 Auditoria de sistemas, segundo escore de risco
ITEM PESO NOTA (0-10) TOTAL
Custo do sistema 15
Valor diário das 
transações 
15
Volume diário das 
transações 
10
Visibilidade do cliente 10
Impacto 10
Extensão do sistema 5
Capacitação da equipe 5M
é
to
d
o
 d
a
 p
o
n
d
e
ra
ç
ã
o
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
2
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
FASES DE UMA AUDITORIA DE SISTEMAS
2 Exemplo: escore de risco do sistema A: 
ITEM PESO NOTA (0-10) TOTAL
Custo do sistema 15 5 75
Valor diário das 
transações 
15 10 150
Volume diário das 
transações 
10 9 90
Visibilidade do cliente 10 10 100
Impacto 10 10 100
Extensão do sistema 5 8 40
Capacitação da equipe 5 8 40M
é
to
d
o
 d
a
 p
o
n
d
e
ra
ç
ã
o
595
2
7
FASES DE UMA AUDITORIA DE SISTEMAS
2 Exemplo: escore de risco do sistema A: 
ITEM PESO NOTA (0-10) TOTAL
M
é
to
d
o
 d
a
 p
o
n
d
e
ra
ç
ã
o
595
ESCORE DE RISCO PRIORIDADE
Até 200 BAIXA
201 a 300 MÉDIA
301 a 500 ALTA
501 e maior MUITO ALTA
> 500
INDICADO PARA AUDITORIA
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Exemplos
2
8
FASES DE UMA AUDITORIA DE SISTEMAS
RECAPITULANDO O PLANEJAMENTO
1 2 Escolher sistema (s)
Obter conhecimento 
inerente
3
Decidir sobre controles 
internos, processos e 
controles de negócio
4 5
2 Auditoria de sistemas, segundo escore de risco
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
2
9
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C01 - Integridade de 
Dados/Processos/Da
dos e Processos
▪ Acuidade dos dados
▪ Completude dos dados
▪ Autorização de dados
▪ Confidencialidade dados
▪ Controles de 
arquivos/tabelas de dados
▪ Controle de mudança de 
sistema/programa
C02 - Segurança do Sistema
▪Segurança de acesso ao 
sistema
▪Segurança do banco de 
dados
▪Encriptação de dados
▪ Assinatura digital
▪ Segurança da rede
▪ Segurança física
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
3
0
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C03 - Legibilidade 
operacional
▪ Restart/recovery
▪ Backup
▪ Plano de contingência
▪ Treinamento
▪ Documentação
▪ Considerações de 
desempenho/capacitação
C04 - Conformidade
▪ Legal
▪ Políticas empresariais
▪ Padrões e normas 
empresariais
▪ Decretos e emissões de 
agencias regulatórias
▪ Contratual
▪ Seguro
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
3
1
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C05 - Guarda de registros 
(rastreamento)
▪ Trilha gerencial/de evento
▪ Retenção de 
dados/arquivos
▪ Trilha de auditoria 
C06 - Guarda de ativos
▪ Custódia
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
3
2
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C07 - Programas de 
sistemas
▪ Monitoramento de 
teleprocessamento
▪ Sistemas Operacionais
▪ Utilitários
C08 - Organização / 
Administração
▪ Segregação de funções
(para evitar conflito de 
interesses. Por exemplo, 
quem testa é alguém 
diferente de quem 
codifica um programa)
▪ Organização do projeto
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
3
3
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C09 - Processo de 
desenvolvimento . . .
▪ Definição do projeto
▪ Analise de requisitos
▪ Controle de projeto
▪ Participação do usuário
▪ Requisição de proposta
▪ Seleção de fornecedores
▪ Desenho do sistema
C09 - Processo de 
desenvolvimento 
▪ Programação / código
▪ Teste de unidade e/ou 
sistema
▪ Conversão
▪ Treinamento
▪ Teste de aceitação
▪ Execução do projeto piloto 
ou paralelo
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
3
4
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C10 - CPD / Data center
▪ Segurança física
▪ Segurança no geral
▪ Procedimentos bibliotecas
▪ Suprimento sensível
▪ Controle de mudança de 
sistema/programa
▪ Bibliotecas externas
▪ Hot-sites, instal. externas
C11 - Contrato de serviços 
de sistemas / ordens 
de serviço
C12 - Procedimentos e 
padrões (se a 
empresa tiver)
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
3
5
FASES DE UMA AUDITORIA DE SISTEMAS
Processos 
P.nn – Processos . . .
▪ P.01 - Plano do Negócio
▪ P.02 - Aprovação do
Projeto
▪ P.03 - Definição / 
viabilidade
▪ P.04 - Plano de
implementação
▪ P.05 - Analise detalhada /
desenho do sistema
P.nn – Processos 
▪ P.06 - Requisição de 
aprovação
▪ P.07 - Seleção de 
parcerias/fornecedores
▪ P.08 - Desenho do sistema
▪ P.09 - Plano de teste de 
desenvolvimento
▪ P.10 - Plano de 
conversão/instalação
(se existem e no padrão da empresa)
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
3
6
FASES DE UMA AUDITORIA DE SISTEMAS
P.nn - Processos . . .
▪ P.11 - Plano de teste
▪ P.12 - Programação/teste
▪ P.13 - Teste de aceitação
▪ P.14 - Manual do usuário
P.nn - Processos
▪ P.15 - Manual de operação
▪ P.16 - Relatório de
aceitação de teste
▪ P.17 - Conversão
▪ P.18 - Aceite do usuário 
Processos (se existem e no padrão da empresa)
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
3
7
FASES DE UMA AUDITORIA DE SISTEMAS
Controles de negócio
Exemplo: Cartão de crédito
▪ Cartão clonado
▪ Cartão extraviado
▪ Extrato de pagamento 
extraviado
▪ Cliente tentar comprar acima 
de seu limite de crédito
(controles específicos para cada projeto)
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
3
8
FASES DE UMA AUDITORIA DE SISTEMAS
AUDITORIA PROJETO
Cronograma
Orçamento
Toda auditoria deve ser tratada como projeto
Tempo gasto por ponto 
de controle + relatório
Baseado nas 
atividades 
identificadas
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Comunicar com 
recomendação 
de acerto
3
9
FASES DE UMA AUDITORIA DE SISTEMAS
Toda auditoria deve ser tratada como projeto
Teste do ponto de controle 
Ponto de auditoria
Fraqueza?
Sim
Próximo 
ponto de 
controle
Não
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
0
FASES DE UMA AUDITORIA DE SISTEMAS
Tendo terminado o planejamento 
da auditoria, o auditor deverá 
informar à área auditada o sistema 
que foi eleito para auditoria.
Planejamento Execução
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
1
FASES DE UMA AUDITORIA DE SISTEMAS
Deve ser realizada uma reunião inicial entre a Auditoria e 
pessoas chaves da área de Sistemas e da área usuária.
A Auditoria informará que o sistema foi selecionado.
Informará também o que será investigado na auditoria (as 
preocupações da auditoria, que são traduzidas nos controles 
internos, processos e controles de negócio), tempo estimado 
do trabalho e a provável data de emissão do relatório final.
A Auditoria pedirá a colaboração das áreas de Sistemas e 
usuária para que solicitem a seus funcionários que colaborem 
com os auditores, fornecendo-lhes o que for pedido.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
2
FASES DE UMA AUDITORIA DE SISTEMAS
Começa então o trabalho de campo, onde os auditores irão 
verificar a existência dos controles internos, processos e 
controles de negócios.
Este trabalho deve ser todo documentado, pois será a 
evidência do trabalho da auditoria.
Ao identificar uma fraqueza, informar verbalmente o fato 
e solicitar acerto formalizandouma data prevista 
Nunca, sob qualquer hipótese, o auditor dará a solução 
para acerto da fraqueza.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
3
FASES DE UMA AUDITORIA DE SISTEMAS
O auditor emite documento com comunicado de falha, 
mostrando os riscos que ela poderá trazer ao sistema, 
negócio e empresa e recomenda acerto da mesma.
Solicita, neste documento, que o auditado diga se concorda 
ou não com a falha encontrada e, em caso afirmativo, que 
informe a data de acerto prevista. Caso o auditado discorde, 
ele deverá informar por escrito e justificar sua discordância.
O auditor recebe a resposta com a data prevista para acerto 
da falha e a arquiva (por data de solução da falha) e segue 
seu trabalho de campo.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
4
FASES DE UMA AUDITORIA DE SISTEMAS
Na data prevista de acerto de uma falha o auditor deverá 
verificar pessoalmente, com evidências, que a mesma foi 
acertada. Em caso positivo, faz uma anotação que a falha foi 
consertada. Em caso negativo, emite outra comunicação de 
falha e segue no procedimento.
Ao término do trabalho de campo, quando todos os controles 
internos, processos e controles de negócios forem 
verificados, o auditor prepara-se para a emissão do relatório.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
5
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento Execução
Emissão 
divulgação
relatórios 
O relatório de auditoria será emitido baseado no 
trabalho de campo realizado. A “nota” do relatório 
será dada conforme as comunicações de falhas 
emitidas e não resolvidas até o momento de sua 
emissão.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
6
FASES DE UMA AUDITORIA DE SISTEMAS
O rascunho do relatório, sem a “nota”, é discutido com 
os auditados antes da sua emissão oficial, esclarecendo 
os pontos abordados e evitando surpresas. Somente 
após esta reunião é que a Auditoria publica o relatório, 
endereçado ao diretor da área de Sistemas, com cópia 
para a direção da área usuária do sistema. Quem assina 
o relatório de auditoria é o auditor responsável e o 
diretor da Auditoria, devido a importância que um 
relatório de auditoria representa.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
7
FASES DE UMA AUDITORIA DE SISTEMAS
A apresentação do 
relatório deve ser 
impecável, com papel 
de ótima qualidade, 
capa e sem erros de 
Português.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
8
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento Execução
Emissão 
divulgação
relatórios 
Follow-up
A Auditoria deve acompanhar a solução das falhas 
quer durante o trabalho de campo, quer após a 
emissão do relatório.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
4
9
FASES DE UMA AUDITORIA DE SISTEMAS
A verificação do acerto deve ser feita 
pessoalmente, incluindo testes para verificar se 
os acertos foram eficientes. Todo o 
acompanhamento deve ser documentado e 
servirá de subsídio para auditorias futuras do 
mesmo sistema ou do data center.
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
5
0
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento Execução
Emissão 
divulgação
relatórios 
Follow-up
Acompanhamento
Trabalho de campo (existência dos controles 
internos, processos e controles de negócio)
Relatório emitido (trabalho de campo)
Escolher 
sistema
Decidir controles internos, processos e controles de negócio
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
GTI – ANDRE MOURA 
F I M
REALIZANDO UMA AUDITORIA
GTI – ANDRE MOURA 
FERRAMENTAS E ALGUMAS 
TÉCNICAS DE AUDITORIA
FERRAMENTAS E ALGUMAS 
TÉCNICAS DE AUDITORIA
❑ Ferramentas de auditoria
❑ Algumas técnicas de auditoria
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
FERRAMENTAS DE AUDITORIA
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
Auditoria de Sistemas
Sistemas em 
desenvolvimento
Sistemas em 
operação
Atenção focada no 
planejamento dos controles 
internos, processos e 
controles de negócios a 
serem implementados nos 
sistemas.
Verifica a existência
dos pontos de 
controle e processos 
planejados e executa 
os respectivos testes.
FERRAMENTAS DE AUDITORIA
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
2
3
Softwares 
generalistas 
Softwares 
especializados
Softwares 
utilitários
Classificação:
Sistemas em 
operação
Verifica a existência
dos pontos de 
controle e processos 
planejados e executa 
os respectivos testes.
FERRAMENTAS DE AUDITORIA
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
Conjunto de programas em ambiente batch (ambiente 
batch: processamento off-line do sistema, ou seja, o 
oposto do processamento real time, quando a base de 
dados é atualizada na hora em que a transação online 
é inserida no sistema), que pode processar várias 
funções de auditoria e simulação paralela no formato 
desejado. Normalmente são sistemas comprados 
prontos que carecem de personalização conforme 
necessidade dos auditores.
FERRAMENTAS DE AUDITORIA
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
. . . que pode processar várias funções de auditoria e 
simulação paralela ...
Como funções podemos citar a extração de 
dados de amostra, testes, geração de dados 
estatísticos para análise, sumarização, 
gravação de arquivos auxiliares, detecção de 
duplicidades, sequencia incorreta, totais 
inválidos entre outras.
FERRAMENTAS DE AUDITORIA
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
Exemplos: 
ACL (Audit Command language): é um software para 
extração e análise de dados.
www.acl.com
FERRAMENTAS DE AUDITORIA
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
Exemplos: . . . 
IDEA (Interactive Data Extraction & Analysis): software
para extração e análise de dados.
www.caseware.com/products/idea
FERRAMENTAS DE AUDITORIA
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
Exemplos: . . . 
Audimation: é a versão norte-americana do IDEA, da 
Caseware-IDEA, fornecendo consultoria e suporte. 
www.audimation.com/index.cfm
FERRAMENTAS DE AUDITORIA
1
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
Exemplos: . . . 
Galileo: é um software integrado de gestão de 
auditoria. Inclui gestão de risco de auditoria, 
documentação e emissão de relatórios para auditoria 
interna.
Pentana: software de planejamento estratégico de 
auditoria, sistema de planejamento e monitoramento de 
recursos, controle de horas registro de checklists e 
programas de auditoria.
FERRAMENTAS DE AUDITORIA
1
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
Exemplos: . . . 
SE Audit (Gestão de Auditorias): software que 
realiza o gerenciamento de todas as etapas do processo 
de auditoria, desde o planejamento e aprovação, até o 
monitoramento, seja ela interna de fornecedores , e/ ou 
de organismos certificadores.
www.softexpert.com.br
FERRAMENTAS DE AUDITORIA
1
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
Exemplos: . . . 
Snort: Ferramenta NIDS (Network Intrusion Detection
System), "open-source" bastante popular por sua 
flexibilidade nas configurações de regras e constante 
atualização frente às novas ferramentas de invasão. 
www.snort.org
FERRAMENTAS DE AUDITORIA
1
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
Exemplos: . . . 
Nessus: Ferramenta de auditoria muito usada para 
detectar e corrigir vulnerabilidades nos PCs da rede local. 
Ele realiza uma varredura de portas, detectando servidores 
ativose simulando invasões para detectar vulnerabilidades. 
http://www.nessus.org/products/nessus
FERRAMENTAS DE AUDITORIA
1
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
Exemplos: . . . 
Nmap (Network Mapper): Ferramenta de código 
aberto para exploração de rede e auditoria de 
segurança. Ela foi desenhada para escanear
rapidamente redes amplas, embora também funcione 
muito bem contra hosts individuais. insecure.org/nmap
CobiT – (Guia) para gestão de tecnologia da 
informação recomendado pelo ISACF (Information
Systems Audit and Control Foundation). www.isaca.org
FERRAMENTAS DE AUDITORIA
1
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
VANTAGENS
✓O software pode processar vários arquivos ao mesmo 
tempo;
✓Pode processar vários tipos de arquivos, com 
formatos distintos;
✓Pode fazer integração sistêmica com vários tipos de 
softwares e hardwares;
✓O auditor não precisa ser especialista em informática 
para desenvolver aplicativos para testar seus dados.
FERRAMENTAS DE AUDITORIA
1
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
1
Softwares 
generalistas 
DESVANTAGENS
✓As aplicações não podem ser feitas online já que 
gravam diversos arquivos para serem analisados em 
separado;
✓Não provê cálculos específicos para sistemas 
específicos (como cartão de crédito, por exemplo).
FERRAMENTAS DE AUDITORIA
1
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
São programas desenvolvidos pelos auditores (ou sob 
sua encomenda) a fim de testar particularidades de 
sistemas auditados que possuem características 
incomuns como por exemplo, sistema de leasing, 
crédito imobiliário, câmbio, dentre outros. 
2
Softwares 
especializados
FERRAMENTAS DE AUDITORIA
1
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
✓ Inclusão de testes de controles internos 
específicos tais como dígito verificador, controle de 
lote, personalizando o que se quer testar.
2
Softwares 
especializados
VANTAGENS
FERRAMENTAS DE AUDITORIA
1
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
✓Inclusão de hash total
➢hash total : campos de controle colocados nos header 
ou trailler labels a fim de assegurar a integridade dos 
dados. Pode ser um algoritmo sem sentido funcional, 
como por exemplo, somar dia e mês de nascimento dos 
clientes atualizados na base de dados.
2
Softwares 
especializados
VANTAGENS . . .
FERRAMENTAS DE AUDITORIA
2
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
✓header label: registro de controle. É o primeiro registro 
do arquivo, contendo dados de controle tais como nome 
do arquivo, data de movimento, número de registros 
gravados, número de registros lidos, número de 
registros com erro, versão do arquivo, etc.
✓trailler label: registro de controle. É o último registro do 
arquivo e também contém campos de controle.
2
Softwares 
especializados
VANTAGENS . . .
FERRAMENTAS DE AUDITORIA
2
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
2
Softwares 
especializados
VANTAGENS . . .
HEADER
Nm
Arq
Dt
Mov
Versão
Arq
Qt Reg Lidos
DADOS Nm End Tel R Tel C Tel T Dt Nasc
DADOS Nm End Tel R Tel C Tel T Dt Nasc
DADOS Nm End Tel R Tel C Tel T Dt Nasc
TRAILLER
Nm
Arq
Dt
Mov
Qt Reg
Grav
Lidos + Gravados
FERRAMENTAS DE AUDITORIA
2
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
2
Softwares 
especializados
DESVANTAGENS
✓Necessita que o auditor esteja familiarizado com o 
desenvolvimento de tecnologia da informação
✓Há custos de desenvolvimento de programas.
FERRAMENTAS DE AUDITORIA
2
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
3
Softwares 
utilitários
São programas utilitários para funções básicas de 
processamento como somar determinados campos de um 
arquivo, classificar um arquivo, listar determinados campos 
de registros de um arquivo.
Normalmente os sistemas operacionais ou os bancos de 
dados possuem um certo número desses programas que 
não são específicos de auditoria, podendo (e sendo) 
utilizados para debug e testes de sistemas.
FERRAMENTAS DE AUDITORIA
2
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
3
Softwares 
utilitários
✓São fáceis de serem aprendidos;
✓São fáceis de serem utilizados.
VANTAGENS
FERRAMENTAS DE AUDITORIA
2
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
3
Softwares 
utilitários
✓Executam apenas funções padrões.
DESVANTAGENS
FERRAMENTAS E ALGUMAS 
TÉCNICAS DE AUDITORIA
❑ Ferramentas de auditoria
❑ Algumas técnicas de auditoria
2
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
2
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
Nem todas as auditorias de sistemas requerem 
as mesmas técnicas. Tudo dependerá do 
escopo da auditoria (o conjunto de controles 
internos, processos e controles de negócios) do 
sistema a ser auditado.
2
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
Questionários para 
auditoria 
Visita in loco
Entrevista
2
3
4
2
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
São programas especializados, correlacionando dados e 
arquivos, tabulando e imprimindo seus conteúdos. 
Podem usar arquivos seqüenciais, indexados, banco de 
dados, tanto para alta (mainframe) como para baixa 
plataforma (micro computadores). 
3
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
FUNÇÕES 
TABULAÇÃO DE CAMPOS 
▪somatório de datas de vencimento de títulos 
gerando hash total que deverá ser confrontado 
com o campo correspondente no header ou 
trailler label.
▪somatório de campos quantitativos para efeito de 
confrontação ou acompanhamento de 
acumulados, inclusive controle de lote.
3
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
CONTAGEM DE CAMPOS/REGISTROS
▪Apuração de totais por tipo de registro ou campo.
FUNÇÕES . . .
3
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
ANÁLISE CONTEÚDO DE CAMPOS/REGISTROS
▪Verificação da existência de campos ou registros 
em um arquivo
▪Correlação entre campos de um arquivo para 
verificação da coerência e validade desses campos.
▪Cruzamento horizontal entre campos em um 
registro com vistas à integridade do registro.
FUNÇÕES . . .
3
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
CORRELAÇÃO DE ARQUIVOS
▪Confronto de campos entre registros com vistas à 
garantia de ambos os arquivos.
FUNÇÕES . . .
3
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
ESTATÍSTICAS DOS CAMPOS DOS ARQUIVOS
▪Apuração de média, desvio-padrão, moda e/ou 
outras medidas estatísticas em um universo de 
registros e/ou campos de um arquivo para 
efetuarmos análises do comportamento desse 
universo.
FUNÇÕES . . .
3
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
a) Verificar se cada campo de cada registro está 
preenchido. Caso contrário, listar, exibir o campo 
em tela ou gravar em arquivo de saída.
ANÁLISES
3
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
b) Listar código do item e código da localização física 
dos itens para efeito de verificação física, segundo os 
critérios:✓ Não movimento há mais de um ano;
✓Quantidade em estoque menor que ponto de 
ressuprimento;
✓Quantidade em estoque zero ou negativa;
✓Valor total do item em estoque duas vezes maior 
que valor médio do item em estoque.
ANÁLISES . . .
3
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
c) Enquadramento do item segundo tabela de 
números aleatórios.
d) Somar data da última movimentação de cada 
item em estoque e verificar se o total cruza com o 
total correspondente gravado no registro trailler.
ANÁLISES . . .
3
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
e) Multiplicar, a cada registro de item, o campo 
quantidade em estoque pelo campo valor unitário 
do item e verificar se é igual ao campo valor total 
do item em estoque (este é um exemplo de 
controle cruzado).
Controle cruzado: chegar ao mesmo resultado 
por mais de um meio).
ANÁLISES . . .
3
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
1
Programa de computador 
para auditoria
O AUDITOR PODE TESTAR UM SISTEMA DE 
DUAS MANEIRAS:
1 - Constrói os programas e roda com massa de 
dados real.
2 - Prepara a massa de dados e roda com 
programas de produção.
4
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Para cada ponto de controle deverá existir um questionário 
contendo perguntas relevantes ao ponto de controle e 
espaço para o auditor assinalar se o sistema satisfaz ou 
não aquele ponto de controle, além de local para que 
possam ser escritas observações e referências sobre 
papéis de trabalho. Para os quesitos que obtiverem 
resposta negativa o auditor deverá agir no sentido de 
solicitar acertos.
4
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s
SEGURANÇA DE REDE DE COMPUTADORES
✓Segurança física dos equipamentos 
computacionais;
✓Segurança lógica e confidencialidade dos 
programas e informações que trafegam nos 
canais de comunicação.
4
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s . . .
SEGURANÇA DO CENTRO DE COMPUTAÇÃO
✓Controle de acesso físico e lógico às 
instalações de processamento de dados;
✓Segurança ambiental no tocante à 
infraestrutura de combate a incêndio, 
inundações, contra atentado e sabotagens, 
situações de greve, etc.
4
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s . . .
EFICIÊNCIA NO USO DE RECURSOS 
COMPUTACIONAIS
✓Tempo médio de resposta em terminal;
✓Tempo de uso dos equipamentos a cada dia;
✓Quantidade existente de rotinas catalogadas.
4
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIAX
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s . . .
EFICÁCIA DE SISTEMAS APLICATIVOS
✓Quantidade de informações geradas pelo 
computador e consumidas pelos usuários;
✓Prazo de atendimento de novos sistemas aos 
usuários;
✓Tempo médio de solução dos problemas dos 
usuários da rede de computação, provida pelo 
help-desk.
4
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s . . .
A técnica de questionário é, 
normalmente, aplicada de forma 
casada a outras técnicas de 
auditoria como entrevistas e 
visita in loco. 
4
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s . . .
EXEMPLO: Data Center
Questão
Sim;
Não;
N/A
Comen-
tários
Referência 
Documentação 
Auditoria
1. A estrutura interna do 
Centro de 
Computação é 
adequada?
4
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s . . .
EXEMPLO: Data Center
Questão
Sim;
Não;
N/A
Comen-
tários
Referência 
Documentação 
Auditoria
2. Os contratos de 
hardware e software 
são aprovados pelo 
Departamento 
jurídico?
4
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s . . .
EXEMPLO: Data Center
Questão
Sim;
Não;
N/A
Comen-
tários
Referência 
Documentação 
Auditoria
3. Existe orçamento 
definido formalmente?
4
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s . . .
EXEMPLO: Data Center
Questão
Sim;
Não;
N/A
Comen-
tários
Referência 
Documentação 
Auditoria
4. Existe um sistema 
formal de apuração de 
custos?
5
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Questionários para 
auditoria 
2
Pontos de 
controle para 
CPD’s . . .
EXEMPLO: Data Center
Questão
Sim;
Não;
N/A
Comen-
tários
Referência 
Documentação 
Auditoria
5. Existe planejamento 
e capacidade?
5
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Visita in loco3
É a presença do auditor na área do auditado (ou do CPD) 
para verificação dos pontos de controle.
Normalmente esta ferramenta é utilizada em conjunto com 
outras ferramentas tais como entrevistas e questionários. A 
visita do auditor é marcada formalmente e é importante 
para que os pontos nebulosos sejam esclarecidos.
5
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIAX
NAS VISITAS
➢Obter dados seja por observação, por teste, por 
documentação ou informação solicitada. 
➢Anotar as informações obtidas para posterior 
documentação em seus papéis de trabalho. 
➢Caso seja encontrada uma fraqueza(não 
conformidade), o auditor informará verbalmente ao 
auditado na hora, e, posteriormente, por escrito.
Visita in loco3
5
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIAX
NAS VISITAS . . .
CPD (Data Center)
➢Presença do auditor para:
✓ Constatação física da existência de ativos 
computacionais da empresa, bem como seu 
estado de conservação;
✓ Eficiência dos procedimentos de uso, incluindo 
segurança física; 
Visita in loco3
5
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIAX
NAS VISITAS . . .
CPD (Data Center) . . . Verificar também . . . 
✓Inventário de arquivos magnéticos (discos, fitas, 
CD´s) armazenados na fitoteca, com respectivos 
períodos de retenção;
✓Inventário de suprimentos (fitas de impressora, 
cartuchos de impressora, formulários contínuos, 
formulários pré-impressos, etiquetas gomadas, etc);
Visita in loco3
5
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIAX
NAS VISITAS . . .
CPD (Data Center) . . . Verificar também . . . 
✓Utilização dos computadores com o objetivo de 
verificação de controle de acesso, uso de Ordem 
de Serviço, arquivos magnéticos, schedule de 
produção, distribuição de relatórios);
✓Acompanhamento das rotinas de back-up e 
atualização da biblioteca externa.
Visita in loco3
5
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
Visa obter evidências do trabalho do auditor para que ele 
possa opinar sobre o sistema que está auditando. 
➢Podem ser pessoais, por telefone ou vídeo conferência. 
➢Deve-sefazer um roteiro prévio do que se pretende 
abordar na mesma, preferencialmente classificado por 
ponto de controle. 
➢Esse roteiro servirá como guia para o auditor.
5
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TIPOS DE ENTREVISTA DE CAMPO:
1. Estruturada: aquela que utiliza formulários na 
coleta de dados;
2. Não-estruturada: aquela que não utiliza 
formulários na coleta de dados.
5
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
➢Seguir seqüência lógica, orientada pelo fluxo de 
eventos do processo. 
➢Perguntar às pessoas o que elas fazem, quais 
informações recebem e passam adiante. 
ORIENTAÇÕES
5
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
➢Sempre que possível, utilizar perguntas abertas 
(aquelas em que o entrevistado fala livremente), 
que exigem que o auditado dê informações 
voluntariamente, como: 
✓Quais as suas responsabilidades com relação a 
requisições? – ou – O quê acontece com este 
formulário depois de preenchido?
ORIENTAÇÕES . . .
6
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
➢Saber escolher as perguntas e administrar bem o 
tempo.
➢Não ultrapassar o limite de uma hora e meia.
➢Evitar perguntas sobre áreas irrelevantes.
➢Cruzar as informações para confirmar que as 
evidências ligam-se completamente, de acordo com 
o procedimento e o fluxo dos processos.
ORIENTAÇÕES . . .
6
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
1. O plano para a entrevista é um guia a ser utilizado 
pela equipe de auditoria de modo flexível. 
2. As perguntas e a linha de questionamento devem 
ser elaboradas de forma a extrair o máximo de 
informação relevante no tempo disponível, 
devendo ser ajustadas, ao longo da entrevista, em 
função das respostas e das reações não-
verbais(fisionomia) do entrevistado. 
ORIENTAÇÕES DO TCU
6
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
3. O clima de cordialidade e cooperação deve ser
mantido e a entrevista deve ser conduzida como 
uma conversação, não como um interrogatório.
4. evitar o monopólio da palavra, ouvindo o 
entrevistado com atenção e evitando interrompê-
lo, a menos que isso seja necessário e possa ser 
feito de maneira educada. 
ORIENTAÇÕES DO TCU. . .
6
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
5. Manter-se atento aos objetivos da entrevista, 
evitando distrair-se ou concentrar-se em outras 
perguntas, bem como coibindo qualquer desvio do 
assunto em discussão por parte do entrevistado.
6. Caso esse desvio ocorra, avaliar a relevância das 
novas informações, decidindo se convém 
prosseguir ou retornar ao assunto original.
ORIENTAÇÕES DO TCU. . .
6
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
7. Não se apressar em tecer comentários com o 
objetivo de evitar o silêncio. 
▪ Algumas vezes, o período de silêncio pode 
ser usado para encorajar o auditado a 
complementar a sua idéia inicial. 
ORIENTAÇÕES DO TCU. . .
6
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
8. Demonstrar tranqüilidade e domínio mínimo do 
assunto tratado, devendo-se evitar perguntas 
complexas, demonstrações de excesso de 
conhecimento ou atitudes de superioridade, de 
maneira a não inibir o entrevistado.
ORIENTAÇÕES DO TCU. . .
6
6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
9. Deve-se permanecer atentos à compreensão que 
o entrevistado teve de cada pergunta feita, 
inquirindo-o, quando necessário, sobre qualquer 
dúvida que tenha surgido, com o objetivo de 
esclarecer o significado e a importância da 
questão a ser respondida.
ORIENTAÇÕES DO TCU. . .
6
7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
10.Deve-se mostrar interesse pela opinião do 
entrevistado, sem demonstrar, entretanto, 
qualquer rejeição ou apoio às suas 
manifestações, permanecendo, assim, neutros em 
relação às respostas do entrevistado.
ORIENTAÇÕES DO TCU. . .
6
8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
11.Deve-se observar com atenção se as respostas 
refletem a experiência, o conhecimento e as 
idéias do entrevistado, devendo ser capaz de 
distinguir fatos de opiniões. 
ORIENTAÇÕES DO TCU. . .
6
9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
12.Para obter a confirmação de determinada 
resposta, pode-se valer de perguntas do tipo: 
“Então, o que o(a) Sr.(ª) está dizendo é ...“.
13.Também convém atentar para as generalizações 
sem garantias e para os jargões técnicos usados 
para confundir os membros da equipe.
ORIENTAÇÕES DO TCU. . .
7
0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
14.Algumas declarações podem ser inconsistentes 
com os dados já obtidos no trabalho de auditoria 
ou mesmo com os conhecimentos dos membros 
da equipe sobre o assunto tratado, assim como 
outros fatos alegados podem ser apenas 
suposições. 
ORIENTAÇÕES DO TCU. . .
7
1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
15.Muitas vezes, a linguagem corporal e a entonação 
de voz podem revelar insegurança e ambigüidade 
no comportamento do entrevistado, indicando 
respostas evasivas ou não fidedignas.
ORIENTAÇÕES DO TCU. . .
7
2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
16.As declarações e opiniões do entrevistado devem 
ser conferidas. Caso uma resposta não tenha sido 
expressa de maneira clara e compreensível, 
deve-se solicitar ao entrevistado que explique a 
resposta dada e que ofereça exemplos, se for o 
caso.
ORIENTAÇÕES DO TCU. . .
7
3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
17. Informar previamente ao entrevistado que suas 
respostas serão anotadas de forma precisa.
▪ Recomenda-se que um membro da equipe de 
auditoria seja encarregado de anotar as 
respostas do entrevistado, o que permitirá que 
os demais membros da equipe se concentrem 
no desenvolvimento da entrevista.
ORIENTAÇÕES DO TCU. . .
7
4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
18.Quanto a anotação das respostas:
✓Não escrever tudo que é dito;
✓Não escrever ininterruptamente;
✓Algumas vezes, deve-se evitar fazer 
anotações, especialmente quando o 
entrevistado foi encorajado a falar livremente;
ORIENTAÇÕES DO TCU. . .
7
5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04
ALGUMAS TÉCNICAS DE AUDITORIA
Entrevista4
TÉCNICAS DE ENTREVISTAS
18.Quanto a anotação das respostas:
✓ Anotar pontos-chave e palavras soltas;
✓ Usar notação gráfica;
✓ Certificar-se que as anotações são legíveis;
✓ Usar idéias-chave.
ORIENTAÇÕES DO TCU. . .
GTI – ANDRE MOURA 
F I M
FERRAMENTAS E ALGUMAS 
TÉCNICAS DE AUDITORIA
GTI – ANDRE MOURA 
MAIS TÉCNICAS DE AUDITORIA
MAIS TÉCNICAS DE AUDITORIA
❑ Mais técnicas de auditoria