o dia a dia da auditória de sistemas

Prévia do material em texto

O dia a dia da auditoria de sistemas 
 
As etapas básicas para a auditoria de sistemas envolvem: 
 
1 Preparar a análise de risco dos projetos/produtos passíveis de auditoria (os fatores 
ambientais são ponderados a fim de obtermos um escore final para priorização); 
 
2 Fazer revisões analíticas dos projetos/produtos da empresa para a verificação do 
escore de risco (não podemos fazer auditoria de todos os sistemas da empresa. 
Selecionamos os de maiores riscos e os priorizamos); 
 
3 Familiarizar-se com os produtos/serviços da área/sistema e assuntos correlatos (ter 
uma compreensão do ambiente e dos sistemas a serem auditados através de 
levantamento e documentação); 
 
 4 Estabelecer a estratégia geral da auditoria do sistema a ser auditado. (que 
ferramentas usaremos?); 
 
5 Estabelecer os objetivos da auditoria (controles internos e processo) e do produto 
(negócio); 
 
6 Preparar um documento com as principais preocupações da auditoria (item a item); 
 
7 Fazer uma avaliação preliminar dos controles internos. Nesta fase só considerar 
controles gerais 
 (o que buscaremos como controles internos, quais controles o sistema possui?); 
Controles Internos – são controles embutidos nos sistemas para garantir segurança 
ao sistema, não afetando a funcionalidade do mesmo. É a validação e avaliação do 
planejamento, da execução e do controle do projeto. Exemplo: dígito verificador, 
senha e contra-senha do aplicativo. 
 
8 Finalizar os procedimentos de planejamento (tempo estimado da auditoria em campo, 
quantos e quais auditores irão participar, recursos necessários, data provável da 
emissão do relatório final); 
 
9 Preparar um memorandum sobre a intenção da auditoria para o gerente da área de 
Sistemas, seu diretor e diretor da área para a qual o sistema dará suporte (este 
memorandum deve ser assinado pelo diretor da Auditoria); 
 
10 Realizar uma reunião inicial com os auditados, sua gerência e diretoria, informando a 
intenção da auditoria e pedindo que os mesmos colaborem com os auditores, 
fornecendo-lhes o que for solicitado (devem participar os auditores e a gerência 
maior da Auditoria na empresa); 
 
11 Elaboração de uma massa de testes (definição de escopo do teste, geração dos 
dados para teste, determinação dos resultados esperados); 
 
12 Aplicação da massa de testes (simulando em laboratório ou no campo, para 
aprovação da efetividade de processos e resultados); 
 
 
 
13 Análise das simulações empreendidas (caso haja alguma discrepância, avisar 
verbalmente ao auditado e a seguir, através de formulário próprio, emitir opinião 
quanto ao resultado dos testes ou do ambiente auditado, sugerindo 
recomendações e solicitando prazo de acerto das falhas encontradas); 
 
14 Ao término do trabalho de campo (testes), emitir relatório provisório contendo todas 
as falhas não solucionadas durante a auditoria (as páginas deste relatório devem 
ter um carimbo dizendo “RASCUNHO”, para que não haja equívoco em relação a 
ser o relatório final); 
 
 15 Discutir o relatório provisório com auditados e suas gerências (os auditados devem 
concordar com o conteúdo do relatório, por escrito ou, se discordarem, informar o 
motivo, também por escrito); 
 
16 Emitir e distribuir relatório final da auditoria incluindo a nota do relatório (a “nota” 
de um relatório de auditoria é dada pelas falhas encontradas no trabalho de 
campo e não acertadas até o momento em que o auditor começa a escrever o 
relatório da auditoria). Solicitar retorno com data de acerto das discrepâncias 
encontradas e, se for o caso, dizer se concorda ou não com as mesmas, por 
escrito. No caso de não concordar, justificar motivo; 
 
 17 Fazer follow-up das falhas a serem acertadas (acompanhar as datas de acerto das 
falhas informadas pelos auditados).