Baixe o app para aproveitar ainda mais
Prévia do material em texto
O dia a dia da auditoria de sistemas As etapas básicas para a auditoria de sistemas envolvem: 1 Preparar a análise de risco dos projetos/produtos passíveis de auditoria (os fatores ambientais são ponderados a fim de obtermos um escore final para priorização); 2 Fazer revisões analíticas dos projetos/produtos da empresa para a verificação do escore de risco (não podemos fazer auditoria de todos os sistemas da empresa. Selecionamos os de maiores riscos e os priorizamos); 3 Familiarizar-se com os produtos/serviços da área/sistema e assuntos correlatos (ter uma compreensão do ambiente e dos sistemas a serem auditados através de levantamento e documentação); 4 Estabelecer a estratégia geral da auditoria do sistema a ser auditado. (que ferramentas usaremos?); 5 Estabelecer os objetivos da auditoria (controles internos e processo) e do produto (negócio); 6 Preparar um documento com as principais preocupações da auditoria (item a item); 7 Fazer uma avaliação preliminar dos controles internos. Nesta fase só considerar controles gerais (o que buscaremos como controles internos, quais controles o sistema possui?); Controles Internos – são controles embutidos nos sistemas para garantir segurança ao sistema, não afetando a funcionalidade do mesmo. É a validação e avaliação do planejamento, da execução e do controle do projeto. Exemplo: dígito verificador, senha e contra-senha do aplicativo. 8 Finalizar os procedimentos de planejamento (tempo estimado da auditoria em campo, quantos e quais auditores irão participar, recursos necessários, data provável da emissão do relatório final); 9 Preparar um memorandum sobre a intenção da auditoria para o gerente da área de Sistemas, seu diretor e diretor da área para a qual o sistema dará suporte (este memorandum deve ser assinado pelo diretor da Auditoria); 10 Realizar uma reunião inicial com os auditados, sua gerência e diretoria, informando a intenção da auditoria e pedindo que os mesmos colaborem com os auditores, fornecendo-lhes o que for solicitado (devem participar os auditores e a gerência maior da Auditoria na empresa); 11 Elaboração de uma massa de testes (definição de escopo do teste, geração dos dados para teste, determinação dos resultados esperados); 12 Aplicação da massa de testes (simulando em laboratório ou no campo, para aprovação da efetividade de processos e resultados); 13 Análise das simulações empreendidas (caso haja alguma discrepância, avisar verbalmente ao auditado e a seguir, através de formulário próprio, emitir opinião quanto ao resultado dos testes ou do ambiente auditado, sugerindo recomendações e solicitando prazo de acerto das falhas encontradas); 14 Ao término do trabalho de campo (testes), emitir relatório provisório contendo todas as falhas não solucionadas durante a auditoria (as páginas deste relatório devem ter um carimbo dizendo “RASCUNHO”, para que não haja equívoco em relação a ser o relatório final); 15 Discutir o relatório provisório com auditados e suas gerências (os auditados devem concordar com o conteúdo do relatório, por escrito ou, se discordarem, informar o motivo, também por escrito); 16 Emitir e distribuir relatório final da auditoria incluindo a nota do relatório (a “nota” de um relatório de auditoria é dada pelas falhas encontradas no trabalho de campo e não acertadas até o momento em que o auditor começa a escrever o relatório da auditoria). Solicitar retorno com data de acerto das discrepâncias encontradas e, se for o caso, dizer se concorda ou não com as mesmas, por escrito. No caso de não concordar, justificar motivo; 17 Fazer follow-up das falhas a serem acertadas (acompanhar as datas de acerto das falhas informadas pelos auditados).
Compartilhar