Auditoria De Sistemas - Aulas

Prévia do material em texto

Auditoria De Sistemas
Aula 1
Auditoria De Sistemas De Informação
Abordagem Inicial
Nesta aula, você irá: 
1. Saber o que é Auditoria de Sistemas;
2. Conhecer o papel e o perfil do auditor de sistemas;
3. Identificar os tipos de auditorias da Tecnologia da 
Informação (TI);
4. Entender o comportamento e a ética de um auditor.
A filosofia de Auditoria em tecnologia de informações 
está ca|cada em segurança e em controles internos. 
Seu objetivo maior é verificar se os controles internos 
foram imp|ementados e, se existirem, se são efetivos.
Desta forma, podemos dizer que a Auditoria de 
Sistemas é uma atividade que engloba o exame das 
operações, processos, sistemas e responsabilidades 
gerenciais de uma determinada empresa, com o 
objetivo de garantir:
• A segurança de informações, recursos, serviços e 
acesso
• A conformidade com objetivos da empresa, potíticas 
administrativas, orçamentos, regras, normas ou 
padrões
Os recursos podem ser:
Humanos
Pessoas
Tecnológicos
Software, hardware, equipamentos eletrônicos, etc.
Financeiros/Materiais
Móveis, salas, suprimentos, etc.
No contexto de sistemas de informações, Antonio Gil 
enumera as funções clássica de uma organização em:
Planejamento
Determinação via sistemas de informações 
computadorizados de padrões => Informações que 
exprimem uma expectativa de comportamento 
futuro (planejar o sistema, obter aprovação dos 
planos por parte do cliente).
Execução
Caracterização via sistemas de informações 
computadorizados de medidas => Informações que 
são registros de operações ocorridas (execução do 
trabalho feito. Se sistemas em desenvolvimento, 
trata-se da confecção do sistema conforme planos 
aprovados pelo cliente. Se sistemas em operação, 
a execução operacional do mesmo conforme 
schedule de produção).
Controle
Acompanhamento via sistemas de informações 
computadorizados de desvios ocorridos no 
trabalho realizado quando comparado com o 
planejado. =» Informações obtidas do confronto de 
medidas (comparação entre o trabalho realizado 
versus o que foi planejado. Em caso de 
discrepância, solicitação de ações corretivas por 
parte dos responsáveis).
Posicionamento da Auditoria de Sistemas nas 
organizações
Considerando que um auditor de sistemas necessita 
de autonomia para verificar o trabalho realizado e 
apontar distorções encontradas no que tange à 
segurança de informações, recursos, serviços e 
acesso, além de conformidade com os objetivos da 
empresa,   políticas administrativas, orçamentos, 
regras, normas ou padrões, não só na área de 
Sistemas mas também nas áreas do cliente, seu 
posicionamento no organograma da empresa  deve ser 
logo abaixo da direção executiva da empresa. Como 
exemplo, mostramos o seguinte organograma:
Perfil do auditor de Sistemas
• O auditor de Sistemas deve ter conhecimento teórico 
e prático em Sistemas de Informação. Deve também 
ter visão abrangente da empresa, pois irá verificar se 
os sistemas que estará auditando suportam 
adequadamente os usuários do mesmo.   Com isto 
não afirmo que o auditor de Sistemas deva conhecer 
tudo da empresa, mas o suficiente para saber o que 
perguntar a quem, quando no exercício de sua 
função, ou seja, consultar especialistas quando o 
assunto fugir de seu domínio tal como assuntos 
legais.
• Seu comportamento deve ser condizente com quem 
tem autoridade no assunto.
• E o auditor de Sistemas a tem, entretanto, não 
precisa apregoar isto a ninguém, as pessoas sabem 
do poder de um auditor!!! (as vulnerabilidades 
encontradas em um sistema, se não corrigidas a 
tempo, poderão retirar o sistema de operação 
gerando demissões dos responsáveis). 
• Da mesma forma que o comportamento adequado, 
deve ser sua maneira de vestir. Nada de 
extravagâncias. O auditor não precisa chamar 
atenção com roupas de um colorido berrante, barba 
por fazer ou bijuterias parecendo árvore de natal. 
Seu domínio no assunto impressionará mais que 
qualquer adorno fora de contexto. E, principalmente, 
nada de gírias. Observe que elas não cairiam bem na 
figura de alguém em tão alto posto no organograma 
da empresa.
• Recomendação!!!
➡Nada de Agradinhos.
➡Lembro-me que quando comecei a trabalhar na 
auditoria do banco, meu chefe disse que eu não 
poderia aceitar presentes, almoços ou jantares 
dos auditados. Com certeza, isso poderia 
sugerir um agrado para eu não mencionar 
alguma vulnerabilidade encontrada nos 
sistemas.
Equipe De Auditoria
Há dois grandes meios de se ter uma equipe de 
auditoria:
Interna: 
• Na auditoria interna, quando os auditores são 
colaboradores da empresa, a equipe é treinada 
conforme objetivos de segurança da empresa. Uma 
metodologia de auditoria deve ser adquirida ou 
desenvolvida em casa. Não é um trabalho trivial, mas 
há recompensas quando a auditoria evita impactos 
desastrosos (como, por exemplo, perda financeira ou 
quebra de imagem da empresa) que poderiam ser 
causados por sistemas ou procedimentos   com 
fa l h a s d e se g u ra n ça , t a i s co mo f r a u d e , 
contabilização indevida de dados contábeis, 
indisponibilidade de sistemas, acessos (lógico e/ou 
físico) indevidos e por aí afora.
 
• O recrutamento e o treinamento de pessoal neste 
caso podem ser um desafio!
Externa: 
• Na auditoria externa, a empresa contrata uma firma 
de consultores para procederem à auditoria de 
alguma área ou sistema específico. Os métodos de 
condução da auditoria são pertinentes à empresa 
contratada. Neste caso, há a possibilidade de se 
perder o controle sobre trabalhos realizados.
Cabe ressaltar que independente do tipo de auditoria, 
interna ou externa, seu custo significa despesa, urna 
vez que não haverá geração de renda do trabalho 
realizado.
Programa De Desenvolvimento De Carreira De Auditor 
De Tecnologia Da Informação
O treinamento de auditor de tecnologia da informação 
é dividido em duas partes:
O treinamento da categoria que tem pouca ou 
nenhuma experiência em tecnologia da informação 
deve incluir:
• Conceitos de tecnologia da informação;
• Fundamentos de arquitetura de sistemas, Input/
Output, processamento lógico, unidade de memória 
principal e auxiliar, visando auditoria;
• Rede de computadores, teleprocessamentos, 
internet, intranet e extranet, com configurações 
pertinentes,
• Programação de computação, incluindo os conceitos 
de flowchart e Diagrama de Fluxo de Dados;
• Tabelas de decisão e sua aplicação nas principais 
linguagens de programação. Observe-se que o 
auditor devera aprender somente os i tens 
necessários para atividades do dia a dia;
• Introdução aos controles gerais de computadores 
(operação , aqu is ição , desenvo lv imento e 
manutenção de sistemas; controles de acesso, 
hardware, controles organizacionais e suporte 
técnico);
• Estudo de caso que exemplifique cada situação (jogo 
de negócios) é desejável.
O treinamento para aqueles que possuem experiência 
em tecnologia da informação deve incluir:
• Revisão dos controles gerais (operações, aquisição, 
desenvolvimento e manutenção, controles de 
acesso, hardware, controles organizacionais e 
suporte técnico).   Auditoria de sistemas aplicativos, 
princípios e práticas de auditoria com ênfase nos 
c o n t r o l e s g e r e n c i a i s e o r g a n i z a c i o n a i s , 
monitoramento e emissão de relatórios;
• G e r e n c i a m e n t o d e r i s c o s , p r i v a c i d a d e , 
desenvolvimento e implementação de políticas e 
estratégias de segurança da informação;
• Avaliação dos sistemas on line com relação ao 
processamento em tempo real, controles de recall e 
identificação de programas, verificação das 
autenticações e autorizações de acessos e registros 
(contabilização) das transações. Também inclui 
correção, detecção e manutenção de diários 
(journaling) das operações;
• Transmissãode dados, proteção de informações, 
segurança associada ao uso dos sistemas, 
teleprocessamentos, redes internet, intranet e 
extranet;
• Controles de operações, processamento interativo 
em atividades de negócios e e-commerce;
• Iniciação de trilha de auditoria em ambiente de 
tecnologia da informação e propriedade intelectual, 
abordagens aos métodos existentes e supervisões 
necessárias;
• Controles de acesso à biblioteca de dados ou 
programas, armazenamento e recuperação dos 
mesmos a partir de bases hierárquicas, relacionais 
ou Data Warehouse, plano de contingência (de 
backup, emergência e recuperação) de desastres;
• Software de auditoria, distinguindo-se os softwares 
generalistas dos específicos, como apoio dos 
especialistas em tecnologia da informação para 
desenvo lver so f twares que a ten tem para 
metodologias próprias.
Biblioteca Técnica
O grupo de auditores de sistemas de uma empresa 
deve ter à sua disposição uma biblioteca técnica para 
consulta. 
Não apenas sobre informações pertinentes ao 
processamento de dados, mas também sobre produtos 
da empresa para os quais houve uma auditoria prévia. 
Desta forma, será possível a orientação dos trabalhos 
dos auditores de acordo com padrões conhecidos na 
empresa e a manutenção do conhecimento técnico em 
relação às novas tecnologias.
Também devem ser arquivados todos os relatórios de 
auditorias prévias, com os respectivos papéis de 
trabalho, pois os mesmos servirão de fonte de consulta 
em auditorias futuras sobre o mesmo assunto.
Auditoria Da Tecnologia Da Informação
A auditoria convencional sempre foi conhecida por sua 
responsabilidade nos testes de confiabilidade dos 
registros, de acordo com os documentos-fonte (os 
documentos que geram as transações econômicas, 
financeiras e contábeis) disponíveis através de 
quaisquer dados intermediários que possam existir e 
para os quais são produzidos relatórios para a tomada 
de decisões gerenciais. 
Porém, devido à evolução da tecnologia da 
informação, que interfere nas tecnologias gerenciais, 
geração a geração, é necessário guardar as 
informações para que estejam disponíveis para a 
auditoria, quando solicitadas. Sabe-se que devido à 
complexidade dos ambientes e expansão dos negócios 
que atingiram implementações em ambientes de 
internet, intranet e extranet, há grandes problemas 
quanto à vulnerabilidade de computadores e casos de 
fraude.
 
D e p e n d e n d o d a s o fi s t i c a ç ã o d o s i s t e m a 
computadorizados, podemos ter três tipos de 
abordagens  de auditoria de sistemas.
• Abordagem ao redor do computador
➡Muito usada no passado, resume-se no exame dos 
níveis de anuência associados à aplicação dos 
controles organizacionais, no que concerne à 
tecnologia de informação.
➡ Isto significa a auditoria de documentos-fonte com 
as funções de entrada subjacentes e dominando as 
funções de saída, que se encontram em formatos de 
linguagem legível para leigos em Informática. 
➡Pouca ou nenhuma atenção é prestada às funções 
de processamento. O sistema de processamento 
eletrônico de dados nesta época foi usado para 
tarefas menores, tais como obtenção de níveis de 
estoque e sugestões para realimentação, quando 
fossem reais. 
➡As operações simples como isolamento de estoque 
com pouca movimentação e estoques obsoletos 
também eram executadas petos computadores, 
gerando relatórios impressos.
• Abordagem através do computador
➡Esta abordagem envolve mais do que a mera 
confrontação de documentos-fonte com resultados 
esperados, simulando todas as transações 
possíveis, através do uso do test data (ferramenta 
para auditoria, que veremos em aulas futuras). 
➡No entanto, este método alerta quando há o 
manuseio de dados, aprovação e registro de 
transações comerciais, sem deixar evidências 
documentais razoáveis através de controles de 
programas construídos junto aos sistemas. 
➡Por esta razão, o auditor precisa acompanhai o 
processamento através e dentro do computador.
• Abordagem com o computador
➡A primeira abordagem (ao redor do computador) não 
é eficiente devido ao fato de que negligencia 
algumas das qualidades dos controles internos dos 
sistemas e propícia falta de disponibilidade de testes 
substantivos convincentes que visam ajudar na 
conclusão sobre os sistemas. 
➡A segunda abordagem (através do computador), 
preferida em relação à primeira, pode também 
produzir registros incompletos. 
➡Ao invés de efetuar uma verificação de equilíbrio 
com as ferramentas, ela tende a negligenciar os 
procedimentos manuais, deixando incompleta a 
maioria das tarefas normalmente efetuadas 
manualmente. 
➡Corno consequência, as firmas de auditoria e os 
pesquisadores da área contábil propuseram um 
meio de auditar as tecnologias de informação com a 
maior perfeição possível, utilizando a abordagem 
com o computador completamente assistida. 
➡Veja o documento do saiba mais para ver quais 
objetivos são alcançados dessa forma.
Padrões e Código de Ética para a Auditoria de Sistemas 
de Informação
Conforme padrões emitidos pelo Comitê de Padrões 
da Associação de Controle de tecnologia de 
Informação dos estados Unidos, os padrões são:
Responsabilidade, autoridade e prestação de contas 
➡A responsabilidade, a autoridade e a prestação de 
contas sobre a função de auditor de tecnologia de 
i n f o r m a ç ã o d e v e m s e r a p r o p r i a d a m e n t e 
documentadas em uma carta proposta ou de 
aderência ao escopo.
Independência profissional
➡Em todas as questões relativas à auditoria, o auditor 
de tecnologia da informação deve ser independente, 
seja em atitude ou aparência. 
➡No relacionamento organizacional, a função de 
auditor de tecnologia da informação deve ser 
suficientemente independente da área sob auditoria 
para permitir uma conclusão objetiva da auditoria.
Ética profissional e padrões
➡O auditor de tecnologia da informação deve aderir 
ao código de ética da Associação de Controle e 
Auditoria de Tecnologia da Informação, atentando 
para o cumprimento do zelo profissional. 
➡O devido zelo profissional e a observância dos 
padrões profissionais de auditoria devem ser 
exercidos em todos os aspectos do trabalho do 
auditor de tecnologia da informação.
Competência
➡O auditor de tecnologia da informação, no uso de 
suas habilidades e conhecimentos, deve ser 
competente tecnicamente, possuindo habilidades e 
conhecimentos necessários para a execução do 
trabalho do auditor. 
➡O auditor de tecnologia da informação ainda deve 
manter a competência técnica através de constante 
aprimoramento profissional por via educação 
continuada.
Planejamento
➡O auditor de tecnologia da informação deve planejar 
suas tarefas para direcionar os objetivos da auditoria 
e seguir os padrões profissionais de auditoria 
aplicáreis. Sua equipe deve ser supervisionada 
apropriadamente para assegurar que os objetivos de 
auditor ia sejam alcançados e os padrões 
profissionais de auditoria aplicáreis sejam 
respeitados.
➡Outrossim, durante o curso da auditoria, o auditor de 
tecnologia da informação deve obter evidências 
suficientes do trabalho realizado, sendo estas 
evidências confiáveis, relevantes e proveitosas para 
alcançar efetivamente os objetivos da auditoria. 
➡Os pontos e as conclusões da auditoria devem ser 
fundamentados por meio de análise e interpretação 
apropriadas destas evidências.
Emissão do relatório
➡O auditor de tecnologia da informação deve prover 
um relatório, em forma apropriada, para os 
destinatários, por ocasião da conclusão do trabalho 
de auditoria. 
➡O relatório deve apresentar escopo, objetivos, 
período de abrangência, natureza e extensão do 
trabalho executado. 
➡Deve identificar a organização, os usuários 
desejáveis e quaisquer restrições à sua circulação.➡Ainda, neste relatório, devem-se incluir as 
observações, conclusões, recomendações e 
quaisquer ressalvas ou conceitos que o auditor 
possua a respeito da auditoria.
➡O auditor não altera nada no objeto de auditoria 
(sistema, área auditada, CPD). Apenas constata 
vulnerabilidade e fraquezas, informa oficialmente e 
recomenda ações de acerto, mas NUNCA soluções. 
➡Estas são de responsabilidade dos auditados.
Atividades de follow-up
➡O auditor de tecnologia da informação deve 
requisitar e avaliar informações apropriadas sobre o 
ponto, as conclusões e as recomendações 
anteriores e relevantes para determinar se ações 
apropriadas foram implementadas em tempo hábil, 
conforme informado petos auditados.
Código De Ética Profissional (ISACA)
A Associação de Auditores de Sistemas e Controles 
(ISACA, USA), estabeleceu o código de ética 
profissional para guiar seus membros na condução de 
suas atividades profissionais. De acordo com o 
disposto no Código, os membros da ISACA devem:
1. Apoiar a implementação de padrões sugeridos para 
procedimentos e controles dos sistemas de 
informações e encorajar o seu cumprimento. 
2. Exercer suas funções com objetividade e zelo 
profissional de acordo com os padrões profissionais 
e melhores práticas. 
3. Servir aos interesses dos stakeholders de forma 
legal e honesta, com alto padrão de conduta e 
caráter profissional, e não encorajar atos de 
descrédito à profissão. 
4. Manter privacidade e confidencialidade das 
informações obtidas, exceto quando exigido 
legalmente. Tais informações não devem ser 
utilizadas em vantagem própria ou entregues a 
pessoas desautorizadas. 
5. Manter competência na sua especialidade e 
assegurar que somente atua nas atividades em 
que tem razoável habilidade. 
6. Informar os stakeholders sobre os resultados de 
seus trabalhos, expondo os fatos significativos. 
7. Apoiar a conscientização profissional dos 
stakehoiders para auxiliar a sua compreensão dos 
sistemas de informação, segurança e controle.
 
Nesta aula, você: - - - 
• Conheceu o que é Auditoria de Sistemas;
• Distinguiu o papel e o perfil do auditor de sistemas;
• Identificou tipos de auditorias da Tecnologia da 
Informação (TI);
• Entendeu o comportamento e a ética de um auditor 
de sistemas.
AUDITORIA DE SISTEMAS
CCT0181_EX_A1
1a Questão (Ref.: 201102392172)
Uma das funções clássicas de uma organização, 
segundo Antonio Gil, é o controle. Ao identificar que o 
cronograma deverá estourar, ou seja, não será 
cumprido, o responsável deverá executar:
alterações de cronograma
ações corretivas
respostas de risco
replanejamento
retrabalho
2a Questão (Ref.: 201102392124)
Assegurar que os dados encontram-se iguais a quando 
foram gravados é um dos objetivos da segurança e 
este objetivo é conhecido por:
confiabilidade
credibilidade
confidencialidade
consistência
integridade
3a Questão (Ref.: 201102544287)
Considerando que um auditor de sistemas necessita 
de autonomia para verificar o trabalho realizado e 
apontar distorções encontradas no que tange à 
segurança de informações, recursos, serviços e 
acesso, além de conformidade com os objetivos da 
empresa, políticas administrativas, orçamentos, 
regras, normas ou padrões, não só na área de 
Sistemas mas também nas áreas do cliente, seu 
posicionamento no organograma da empresa deve ser 
logo abaixo:
Presidência Executiva
Diretoria Financeira
Diretoria de Informática
Diretoria Administrativa
Diretoria Executiva
4a Questão (Ref.: 201102392188)
A Auditoria necessita estar em alta posição no 
organograma da empresa, logo abaixo da direção 
executiva. Marque a opção que responde de forma 
verdadeira a afirmativa:
os auditores não tem horário fixo para exercer suas 
atividades
ela diz para os gerentes como consertar as falhas 
encontradas
os salários dos auditores são compatíveis com os 
dos diretores
esta posição demonstra o status e o poder que a 
Auditoria possui
ela necessita de autonomia para executar suas 
atividades
5a Questão (Ref.: 201102392122)
Utilizar a capacidade de cálculos estatísticos e de 
geração de amostras que facilitem confirmação de 
saldos necessários para aferir a integridade de dados 
de um sistema de controle de estoque pode ser 
conseguida através da técnica:
abordagem interna ao computador
abordagem através do computador
abordagem externa ao computador
abordagem ao redor do computador
abordagem com o computador
6a Questão (Ref.: 201102392180)
Quando a empresa contrata uma firma de Auditoria 
para fazer uma auditoria no sistema Folha de 
Pagamento, estamos falando de auditoria externa. 
Neste caso:
o controle sobre trabalhos realizados é mais seguro
a equipe será treinada conforme objetivos de 
segurança da empresa
o treinamento dos auditores é responsabilidade da 
área de recursos humanos
o custo é distribuído pelos auditados
a metodologia utilizada é da empresa de auditoria 
externa
Auditoria De Sistemas 1
Aula 1 1
Auditoria De Sistemas De Informação 1
Abordagem Inicial 1
Posicionamento da Auditoria de Sistemas nas organizações 3
Perfil do auditor de Sistemas 4
Equipe De Auditoria 5
Interna: 5
Externa: 6
Programa De Desenvolvimento De Carreira De Auditor De 
Tecnologia Da Informação 6
Biblioteca Técnica 9
Auditoria Da Tecnologia Da Informação 9
Padrões e Código de Ética para a Auditoria de Sistemas de 
Informação 12
Responsabilidade, autoridade e prestação de contas 12
Independência profissional 12
Ética profissional e padrões 13
Competência 13
Planejamento 13
Emissão do relatório 14
Atividades de follow-up 15
Código De Ética Profissional (ISACA) 15
CCT0181_EX_A1 16
______________________________________
Aula 2
Planos De Contingência
Gerenciar Mudanças Ou Surpresas?
Nesta aula, você irá: 
1. Conhecer o que é um plano de contingência;
2. Identificar ameaças e desenvolver suas respostas 
de risco;
3. Desenvolver uma matriz de risco;
4. Tomar ciência de processos/sistemas críticos de 
uma área/empresa.
Gerenciando Mudanças
Para quem observou a tragédia ocorrida em 11 de 
setembro de 2001 em Nova York, foi possível perceber 
que, poucos minutos após a explosão do segundo 
edifício, o trânsito na ilha estava liberado apenas para 
ambulâncias e o corpo de bombeiros. 
 
Vocês pararam para pensar como eles conseguiram se 
organizar tão rapidamente? 
Posso jurar que havia um plano de contingência da 
prefeitura da cidade de Nova York para a evacuação 
das ruas, permitindo apenas o trânsito de ambulâncias 
e do corpo de bombeiros. 
Bastou que fosse decretado estado de emergência 
para trânsito nas ruas, que todas as pessoas 
envolvidas na organização para deixar as ruas livres 
atuassem como havia sido previamente planejado (só 
complementando o exemplo, na construção das duas 
torres gêmeas foi pensada a hipótese de choque 
aéreo, considerando um impacto com tanque cheio do 
maior avião existente na época).
Isto é um plano de contingência: uma sequência de 
ações a serem seguidas em situações de emergência, 
previstas ou não, para assegurar a continuidade do 
serviço.
 
Estas ações são definidas antes que os riscos 
ocorram. Na tranquilidade, podemos imaginar as 
consequências e o que será necessário fazer para 
restabelecermos a ordem. Teremos calma e tempo 
para contactarmos fornecedores, treinarmos pessoas a 
evacuarem locais e definirmos locais alternativos para 
trabalharmos na eventualidade de não podermos 
acessar nossos escritórios. 
 
Normalmente, as catástrofes têm baixa frequência de 
ocorrência, altos riscos de incerteza, mas, se ocorrem, 
suas consequências podem ser devastadoras. 
Um plano de contingência é necessário para:
➡Reduzir a suscetibilidade a danos (identificando 
previamente os riscos que poderão ocorrer em 
nossos sistemas/negócios, podemos dificultarsua 
ocorrência de modo a minimizar seus impactos.
Entretanto, não podemos impedi-los);
➡Aperfeiçoar a habi l idade em sobreviver à 
descontinuidade de rotinas (estando preparados 
para a eventualidade da ocorrência de uma ameaça, 
saberemos como agir, caso ela ocorra. Em situações 
de emergência, trabalhamos apenas com os 
sistemas ou processos críticos, ou seja, aqueles 
sem os quais a empresa não sobrevive);
➡Reduzir a descontinuidade de rotinas (tendo 
alternativas para sobreviver em situações precárias 
de trabalho, realizando os trabalhos críticos);
➡Reduzir custos de recuperação (pensando antes no 
que poderá acontecer, tomamos medidas que 
envolvam melhor custo benefício para sobreviver em 
situações de emergência).
Áreas De Negócios
Responsáveis peta continuidade da operação de suas 
áreas (mesmo na eventualidade de o acordo de nível 
de serviço não ser cumprido);
Desenvolvem seus planos, para todas as funções e 
níveis (junto com o pessoal de Sistemas, quando for 
pertinente);
Cada área deve incluir os planos das áreas 
interdependentes (cada área possui o plano de 
contingência das áreas com quem possui interface. 
Atentar ao fato que os planos devem ser distintos);
Coordenação das atividades (alguém deve gerenciar a 
confecção dos planos de contingência da empresa a 
fim de se evitar situações não gerenciáveis por 
incompatibilidade de estratégia e múltiplas requisições 
de mesmos recursos).
Riscos E Ameaças
Vamos ver algumas definições, conforme Claudia Dias 
em aSegurança e Auditoria da Tecnologia da 
Informação", cap. 2:
Ameaça
• Evento ou atitude indesejável (roubo, incêndio, vírus, 
fraude,...) que potencialmente remove, desabilita ou 
destrói um recurso. É quando algo ou alguém viola a 
confidencialidade, integridade, disponibilidade, etc.
• As ameaças podem ser acidentais (falha de 
hardware, desastres naturais, etc.) ou deliberadas 
(roubo, fraude, invasão, etc.).
• As ameaças deliberadas podem ser passivas (não 
alteram a informação) ou ativas (alteram a 
informação).
Exemplos de ameaças:
➡ vazamento de informação (voluntár ia ou 
involuntária),
➡ violação de integridade (há alteração dos dados, 
comprometendo a consistência dos dados), 
➡ indisponibilidade de serviços de informática 
(usuário não consegue acessar o sistema como 
quando acontece troca de senha por invasão de 
hacker. Neste caso também há violação de 
integridade!), 
➡ mascaramento (uma pessoa se passa por outra),
➡ ameaças programadas (códigos que se alojam no 
sistema com intuito de comprometer sua 
segurança como no caso de vírus),
➡ sequestro, roubo, incêndio, deslizamento, 
inundação.
Recurso
• Um componente físico, hardware, software, 
informação. Pode ser humano também.
Vulnerabilidade
• Fraqueza que pode ser explorada por uma ameaça. 
Está associada à probabilidade de ocorrência 
(chance de).
Ataque
• Ameaça concretizada.
Impacto
• Resultado de um ataque. Pode ser direto (envolve 
perdas financeiras) ou indireto (não envolve 
diretamente perdas financeiras, mas situações como 
descumprimento da lei, perda de reputação e 
credibilidade, conflito com acionistas e clientes, etc).
Risco
• Medida da exposição a qual o sistema está sujeito. 
Envolve: ameaças, vulnerabilidades impactos.
Sistemas / Áreas/Funções Críticas
Quando pretendemos fazer um plano de contingência, 
devemos identificar as funções (se estivermos fazendo 
o plano de contingência de um sistema), os sistemas 
(se estivermos fazendo um plano de contingência para 
o CPD) ou as áreas (se estivermos trabalhando com 
um departamento) críticas, como já vimos na aula de 
hoje. 
A elaboração, implementação e teste de um plano de 
contingência não é um trabalho barato. Muitas vezes 
temos que desenvolver programas ou processos 
específicos para atender a uma situação de 
emergência. 
Por esta razão, não fazemos o plano de contingência 
da totalidade das funções do objeto do plano de 
contingência.
Se estivermos fazendo um plano para um determinado 
sistema como, por exemplo, o Sistema de Contas 
Correntes de uma agência bancária, o qual tem que 
identificar o que é crítico no sistema ou nâo, 
pensamos: na hipótese de o servidor cair, o que NÀO 
pode deixar de ser feito? 
Os depósitos poderão ser feitos manualmente: o caixa 
recebe o depósito e manualmente o registra, 
fornecendo um recibo ao cliente. 
Quando o sistema voltar a funcionar, algum funcionário 
entrará com os depósitos no sistema. 
Já o saque não pode ser feito, pois o caixa não saberá 
com exatidão o saldo do cliente. Então, temos que 
fazer uma contingência para a função saque.
Matriz De Risco
➡Ao se pensar em fazer um plano de contingência, 
devemos, inicialmente, levantar os riscos envolvidos. 
➡Esse trabalho deverá ser feito por uma equipe 
composta de pessoas relacionadas ao objeto da 
contingência (sistema, área, CPD). 
➡U m a b o a f e r r a m e n t a p a r a i s s o é o 
BRAINSTORMING. (Brainstorming ou tempestade 
de ideias é uma reunião onde as pessoas opinam, 
sem muito pensar e usando a criatividade, para 
achar a solução para algum problema).
➡Cabe aqui a observação de que o risco não é um 
erro! 
➡Devemos partir do pressuposto que os sistemas e 
processos da empresa funcionam adequadamente. 
➡Uma transação processada para um cliente diferente 
do que o que deveria ser é erro de sistema e não um 
risco. Já uma queda de luz é um risco. 
➡Costumo diferenciar os dois perguntando: depende 
de mim ou do meu pessoal? Se sim, é erro, senão, é 
risco.
➡Temos ameaças que possuem uma mínima chance 
de ocorrência (terremoto no Rio de Janeiro). 
Entretanto, se ela ocorrer, seu efeito é desastroso. 
Temos também as ameaças que ocorrem 
frequentemente, porém, com baixo impacto para a 
empresa (worms).
➡Para que possamos identificar os riscos para os 
quais iremos desenvolver o plano de contingência, 
devemos priorizá-los. 
➡Para isso usamos uma matriz de risco onde são 
considerados o impacto que ela poderá causar na 
empresa e a probabilidade de ocorrência de uma 
ameaça, caso ocorra.
➡O método mais usual de se obter essa matriz é 
através de ponderação.
➡Damos pesos aos critérios (probabilidade e impacto) 
e observamos o comportamento de cada risco em 
relação aos critérios. No final, conseguimos o escore 
de risco que decidirá para quais riscos iremos fazer 
o plano de contingência.
➡Não há regra fixa para definir os pesos e usarei o 
que está no livro da Claudia Dias, “Segurança e 
Auditoria da Tecnologia da Informação", cap. 2:
Impacto
Normalmente os impactos são analisados sob dois 
aspectos: curto e longo prazo, em função do tempo em 
que o impacto, causado por uma ameaça, permanece 
afetando os negócios da empresa. 
Podemos classificá-los em uma escala de 0 a 5, por 
exemplo:
0.Impacto irrelevante
1.Efeito pouco significativo, sem afetar a maioria 
dos processos de negócio da empresa.
2.Sistemas não disponíveis por um determinado 
período de tempo, podendo causar perda de 
credibilidade junto aos clientes e pequenas 
perdas financeiras.
3.Perdas financeiras de maior vulto e perda de 
clientes para a concorrência.
4.Efeitos desastrosos, porém sem comprometer 
a sobrevivência da empresa.
5.Efeitos desastrosos, comprometendo a 
sobrevivência da empresa. 
Probabilidade De Ocorrência De Uma Ameaça 
De forma análoga, os pesos das probabilidades de 
ocorrência de uma ameaça podem ser distribuídos em 
escala de 0 a 5 conforme:
0 Ameaça completamente improvável de ocorrer.
1 Probabilidade de a ameaça ocorrer menos de 
uma vez por ano.
2 Probabilidade de a ameaça ocorrer pelo menos 
uma vez por ano.
3 Probabilidade de a ameaça ocorrer pelo menos 
uma vez por mês.
4 Probabilidade de a ameaça ocorrer pelo menos 
uma vez por semana.
5 Probabilidade de a ameaça ocorrerdiariamente.
Pelo exemplo observamos que a pior ameaça é o 
ataque de vírus, seguida de falta de luz. 
Supondo que estabelecemos o escore mínimo para 
desenvolvimento de respostas de risco em 10, só 
serão desenvolvidas ações de contingência para as 
ameaças falta de luz e ataque de vírus.
Para todos os riscos faremos os controles que tentem:
Eliminar o risco
Reduzir o risco a um nível aceitável
Limitar o dano, reduzindo o impacto
Compensar o dano por meio de seguros
Atenção
Ameaças que envolvem risco de vida devem ser 
consideradas de alto escore, independente da 
probabilidade de ocorrência da mesma.
Planos De Contingência
Um plano de contingência subdivide-se em três planos, 
a saber:
Plano de Emergência
Formado pelas respostas de risco (ações a 
serem seguidas na eventualidade de uma 
ameaça ocorrer) e tentativas de evitar danos 
causados por desastres mantendo, dentro do 
possível, a capacidade de funcionamento da 
empresa/sistema.
Principais objetivos:
• Prever as possibilidades de desastres 
(naturais ou provocados)
• Prover meios necessários para detectar 
antecipadamente e eliminar/frear o dano
• Prover segurança física: fogo, fumaça,água, 
intrusos
• Prover respostas de risco para ameaças 
identificadas como de alto escore na matriz 
de risco
• Prover respostas de risco para ameaças 
identificadas como de alto escore na matriz 
de risco
• Ações a serem seguidas (checklist), na 
eventualidade da ocorrência de uma 
ameaça. 
• Manter de stand by o pessoal envolvido.
EXEMPLO: INCÊNDIO
A. Quem decide e quando o local a ser 
evacuado
B. Quais as proteções para pessoas e recursos
C. Extintor de incêndio diferente para cada 
caso
D. Quem chama os bombeiros, quem desliga a 
eletricidade
E. Local alternativo para trabalhar até a 
recuperação da TI
F. Participação dos integrantes da Comissão 
Interna de Prevenção de Acidentes (CIPA)
G. O plano de emergência, após testado e 
aprovado, será utilizado na eventual 
ocorrência de uma ameaça.
H. O plano de emergência deverá seguir um 
calendário de teste para que possa se 
manter atualizado.
Plano de Backup
Cuja função é prover recursos de continuidade 
(para serviços críticos).
• O objetivo é providenciar os recursos 
necessários para uma eventual utilização do 
plano de emergência. 
• Provê:
Backup de arquivos
Processamento alternativo
Continuidade dos serviços com a 
manutenção de múltiplas facilidades de 
produção em locais distintos
Atualização da biblioteca externa
Um lugar afastado do local principal 
de trabalho onde são guardados 
todos os recursos que possam ser 
necessários para a operação do 
negócio em caso de emergência. 
Acordos com terceiros através de 
acordos de reciprocidade
São acordos feitos entre duas empresas 
que possuam o mesmo t ipo de 
equipamento ou área de trabalho 
equivalente. Quando uma das empresas 
não puder usar o seu equipamento, 
usará o do “parceiro”, em turnos de 
trabalho diferentes.
Atenção especial:
1. Interrupções que causarão 
maiores perdas
2. Tempo máximo possível para 
indisponibilidade
3. R e c u r s o s e a m b i e n t e s 
alternativos disponíveis
4. Treinamento da equipe 
5. Teste do Plano (calendário)
6. Avaliação dos resultados 
7. Atualização do Plano
8. Divulgação (parcial sempre que 
possível) 
Plano de Recuperação
Provê a capacidade de restauração permanente 
das atividades da área de negócio/CPD.
São as atividades e recursos necessários para 
se passar da situação de emergência para a 
situação normal.
A elaboração, implementação e teste de um plano de 
contingência não é um trabalho barato. 
Temos que desenvolver programas ou processos 
específicos para atender a uma situação de 
emergência. 
Por esta razão, a recomendação é não fazer o plano 
de contingência da totalidade das funções.
Nesta aula, você: 
• Conheceu o que é um plano de contingência;
• Tornou-se apto a identificar ameaças e a desenvolver 
suas respostas de risco;
• Aprendeu como desenvolver uma matriz de risco;
• Tomou ciência de processos/sistemas críticos de 
uma área/empresa.
AUDITORIA DE SISTEMAS
CCT0181_EX_A2
1a Questão (Ref.: 201102398014)
Analise as seguintes afirmações relacionadas a 
Auditoria de Sistemas.
I. A gerência da empresa deve estabelecer critérios 
para a criação, processamento e disseminação de 
informações de dados, por meio de autorização e 
registro de responsabilidade.
II. A gerência deve implementar um plano adequado, 
bem como procedimentos de implantação para 
prevenir-se contra falhas de controle que podem 
surgir durante especificações de sistemas, 
desenho, programação, testes e documentação de 
sistemas.
III. A gerência deve ter acesso restrito de "somente 
leitura" ao sistema, ficando o controle sob a 
responsabilidade dos colaboradores auditados.
IV. Para um bom andamento e independência das 
auditorias, nenhum investimento em treinamentos 
em tecnologia da informação deve ser realizado ou 
planejado para a equipe de auditores do quadro de 
colaboradores da organização.
 
Indique a opção que contenha todas as afirmações 
verdadeiras.
I e III
II e IV
III e IV
II e III
I e II
2a Questão (Ref.: 201102392234)
Não fazemos planos de contingencia para todos os 
serviços ou sistemas da organização, mas apenas 
para os sistemas críticos que são aqueles:
sujeitos a aprovação da crítica do cliente
essenciais para manter a continuidade do serviço
que não devem ser descontinuados por terem 
caducado
definidos pelo usuário como sendo os mais 
complexos
prioritários para serem refeitos
3a Questão (Ref.: 201102392398)
As empresas devem fazer auditoria em seus sistemas 
mas não em todos, devido a seu custo. Para tanto, os 
sistemas são avaliados quanto ao risco que 
representam para a empresa e são auditados 
prioritariamente os sistemas de maior escore de risco. 
São fatores que influenciam o escore de risco de um 
sistema:
visibilidade do cliente, volume médio diário de 
transações processadas e idade do sistema
custo do sistema, número de requisitos funcionais e 
visibilidade do cliente
volume médio diário de transações processadas, 
valor diário das transações em reais e impacto em 
outros sistemas
custo do sistema, nível de documentação existente e 
complexidade dos cálculos
capacidade dos profissionais da equipe de 
desenvolvimento, idade do sistema e número de 
requisitos funcionais
4a Questão (Ref.: 201102573899)
Identifique nas sentenças abaixo o que são erros (E) e 
o que são riscos (R).
I. Falha no dispositivo de gravação de disco
II. Falta de suprimento para impressão de contra-
cheques
III. Totalização no relatório de estoque incorreto
IV. Queda de energia eletrica
R,E,R,E
E,R,E,R
R,E,E,R
E,R,R,E
R,R,E,E
5a Questão (Ref.: 201102573922)
Assinale a opção verdadeira:
Respostas de risco são
atividades que devem ser evitadas para não gerar 
riscos
ações a serem seguidas na eventualidade da 
ocorrência de uma ameaça
relatórios que enviamos aos auditados ao 
detectarmos uma falha no sistema auditado
ações tomadas pelos auditados para corrigir falhas 
detectadas pelos auditores
ações que devemos executar caso o auditado não 
corrija as falhas a tempo de emitirmos o relatório final 
de auditoria
6a Questão (Ref.: 201102909437)
plano de contingência é formado por 3 compontes: a) 
Plano de emergência b) plano de backup c) plano de 
Recuperação. As descrições a seguir: 1).Seu objetivo é 
providenciar os recursos necessários para uma 
eventual utilização do plano de emergência. 2). 
Formado pelas respostas de risco (ações a serem 
seguidas na eventualidade de uma ameaça ocorrer) e 
tentativas de evitar danos causados por desastres 
mantendo, dentro do possível, a capacidade de 
funcionamento da empresa/sistema. 3). São as 
atividades e recursosnecessários para se passar da 
situação de emergência para a situação normal. 
Correspondem, respectivamente a:
1c. 2b, 3a
1c, 2a, 3b
1a, 2b, 3c
1b,2a,3c
1b, 2c, 3a
______________________________________ 21
Aula 2 21
Planos De Contingência 21
Gerenciar Mudanças Ou Surpresas? 21
Gerenciando Mudanças 21
Áreas De Negócios 23
Riscos E Ameaças 24
Ameaça 24
Recurso 25
Vulnerabilidade 25
Impacto 25
Risco 26
Sistemas / Áreas/Funções Críticas 26
Matriz De Risco 27
Impacto 28
Probabilidade De Ocorrência De Uma Ameaça 29
Planos De Contingência 31
CCT0181_EX_A2 35
_______________________________________
Aula 3
Realizando Uma Auditoria
Nesta aula, você irá: 
1. Conhecer as fases de uma auditoria;
2. Saber como planejar uma auditoria;
3. Aprender como conduzir a execução de uma 
auditoria;
4. Saber como comunicar as falhas encontradas para 
os auditados;
5. E n t e n d e r a i m p o r t â n c i a d o f o l l o w - u p 
(acompanhamento).
Realizando Auditoria 
❑ O dia a dia da auditoria de sistemas.
❑ Fases de uma auditoria de sistemas. 
 
A auditoria é uma atividade que engloba o exame das 
operações, processos, sistemas e responsabilidades 
gerenciais de uma determinada entidade, com intuito 
de verificar sua conformidade com certos objetivos, 
regras, normas ou padrões. Pode ser dividida em três 
fases: planejamento, execução e relatório. 
Planejamento
Tendo ou não uma equipe de auditores internos, as 
empresas devem fazer auditorias periódicas no seu 
data center ou CPD, mas não fazem auditoria de todos 
os seus sistemas. É necessário escolher quais os 
sistemas que são passíveis de serem auditados e, 
normalmente, a escolha é pelo seu escore de risco.
Para o cálculo do risco de um sistema podemos 
considerar os seguintes itens:
1. Custo do sistema;
2. Valor diário das transações em real, a ser 
processado ou gerenciado pelo sistema durante 
um dia médio; 
3. Volume diário de transações processadas em 
média, por dia;
4. Visibilidade do cliente (é o número ou importância 
dos clientes afetados pelo sistema, entendendo-se 
como importância o retorno que o cliente oferece e/
ou o número de usuários finais do sistema);
5. Impacto em outros sistemas (interfaces);
6. Extensão do sistema (é o número de unidades 
operacionais que o sistema servirá);
7. Capacitação dos profissionais de desenvolvimento 
e usuários.
Excetuando-se o último item, quanto maior for o valor 
de cada item, maior o risco.
Para medir o risco de cada sistema podemos usar o 
método da ponderação. 
Para tanto, definimos pesos para os itens. 
Verificamos a situação de cada sistema em relação a 
esses itens, atribuindo uma nota (de O a 10) para cada 
item. 
Multiplicamos o peso pela nota e somamos essas 
multiplicações. 
Temos o escore de risco do sistema.
A empresa determina que serão auditados os sistemas 
de escore considerado alto (para isso deverá 
determinar faixas de escore).
Poderíamos, por exemplo, ter um formulário como o 
abaixo, para a pontuação do risco:
Se o escore de risco for maior que 500, o sistema está 
indicado para auditoria.
Uma vez tendo um sistema sido escolhido para ser 
auditado, o auditor necessita ter conhecimento sobre a 
área, o produto e o ambiente para o qual o sistema 
dará suporte operacional. 
Conhecendo o ambiente computacional e do negócio, 
o auditor terá noção da complexidade do sistema e 
poderá estabelecer recursos e conhecimentos técnicos 
necessários para a equipe de auditores. 
Este conhecimento pode ser adquirido através de 
cursos, manuais, visitas técnicas ou qualquer outro 
meio que permita ao auditor entender sobre a área, o 
produto e o ambiente ao qual pertence o sistema que 
irá auditar.
Após esta fase de iniciação, o passo seguinte é decidir 
quais controles internos, quais processos e controles 
de negócio devem estar presentes no sistema, em 
forma sistêmica ou manual, bem como quais 
ferramentas de auditoria serão utilizadas e quais 
recursos serão necessários.
Controles Internos 
Podem ser considerados controles internos: 
C01 – Integridade de Dados /Processos/Dados e 
Processos 
• Acuidade dos dados
• Completude dos dados
• Prontidão dos dados
• Autorização de dados
• Confidencialidade dos dados
• Detecção-Correção de erros de telecomunicações 
Controle de mudança de sistema/programa 
Controles de arquivos/tabelas de dados 
Reconciliação 
• Comparação de dados no sistema Reporte / 
comunicação Renovações 
C02 – Segurança do Sistema 
• Segurança de acesso ao sistema 
• Segurança da rede
• Segurança das telecomunicações 
• Segurança do banco de dados 
• Segurança física 
• Encriptação de dados
• Assinatura digital
• Controles de bibliotecas de sistemas/aplicações
• Controle de bibliotecas de produção, de 
desenvolvimento e teste 
• Supervisão de rede 
C03 – Legibilidade operacional 
• Restart/recovery 
• Backup
• Plano de contingência 
• Procedimentos dos usuários 
• Instruções operacionais 
• Treinamento 
• Documentação
• Considerações de desempenho/capacitação 
C04 – Conformidade Legal
• Políticas empresariais
• Padrões e normas empresariais
• Decretos e emissões de agencias regulatórias 
Contratual
• Seguro 
C05 – Guarda de registros (rastreamento) 
• Trilha gerencial/de evento
• Retenção de dados/arquivos
• Trilha de auditoria (trilha de auditoria: conjunto de 
rotinas e arquivos de controle que permitem a 
reconstrução de dados ou procedimentos) 
C06 – Guarda de ativos 
• Custódia 
C07 – Programas de sistemas 
• Monitoramento de teleprocessamento 
• Sistemas Operacionais
• Sistema de gerenciamento de banco de dados 
• Utilitários, etc 
C08 – Organização / Administração 
• Segregação de funções (para evitar conflito de 
interesses. São pessoas distintas dando 
continuidade a um procedimento. Por exemplo, 
quem testa é alguém diferente de quem codifica 
um programa) 
• Organização do projeto 
C09 – Processo de desenvolvimento 
• Definição do projeto 
• Análise de requisitos 
• Controle de projeto 
• Participação do usuário
• Requisição de proposta 
• Seleção de vendedores 
• Desenho do sistema 
• Programação/ código
• Teste de unidade e/ou sistema 
• Conversão 
• Treinamento
• Teste de aceitação
• Execução do projeto piloto ou paralelo 
C10 – CPD / Data center 
• Segurança física
• Segurança no geral
• Procedimentos das bibliotecas
• Suprimento sensível
• Controle de mudança de sistema/programa 
• Bibliotecas externas
• Hot-sites, instalações externas 
C11 – Contrato de serviços de sistemas/ ordens de 
serviço 
C12 – Procedimentos e padrões (se a empresa tiver) 
Processos 
Identificar se os processos existem e se estão 
coerentes com os padrões da empresa. 
P.01 - Plano do Negócio
P.02 - Aprovação do Projeto
P.03 - Definição / viabilidade
P.04 - Plano de implementação
P.05 - Analise detalhada - desenho do sistema 
P.06 - Requisição de aprovação
P.07 - Seleção de parcerias/fornecedores 
P.08 - Desenho do sistema
P.09 - Plano de teste de desenvolvimento
P.10 - Plano de conversão/instalação 
P.11 - Plano de teste
P.12 - Programação/teste
P.13 - Teste de aceitação 
P.14 - Manual do usuário
P.15 - Manual de operação
P.16 - Relatório de aceitação de teste 
P.17 - Conversão
P.18 - Aceite do usuário 
Controles de negócio
São controles específicos para cada projeto, conforme 
o produto para o qual o sistema dará suporte 
operacional. Por exempto se estivermos auditando um 
sistema de administração de cartão de crédito, o 
sistema deverá estar preparado com processamento e 
rotinas manuais para:
• Cartão clonado
• Cartão extraviado
• Extrato de pagamento extraviado
• Cliente tentar comprar acima de seu limite de crédito, 
etc.
Toda auditoria deve ser tratada como um projeto e, 
para tanto, deverá ter um cronograma e um orçamento.
Ocronograma é baseado na estimativa de tempo que 
será gasto em cada ponto de controle a ser trabalhado, 
atém da confecção e emissão do relatório da auditoria. 
Um auditor trabalha em mais de um ponto de controle 
por dia, mas isto não significa que o terminará em um 
dia! A sugestão é que englobe pontos de controle de 
mesma pertinência para serem verificados ao mesmo 
tempo.
Além das atividades pertinentes à auditoria em si:
• contatos, 
• revisão de documentação, 
• documentação, 
• preparação de fluxos de sistemas, 
• testes, 
• execução de walkthroughs (representação gráfica de 
todo o ambiente computacional sob auditoria), 
• planejamento, 
• análise de risco, 
• avaliação de ponto de controle, 
• confecção de observações, 
• viagem de projeto, 
• familiarização com o projeto), 
devemos considerar atividades não específicas de 
auditoria (viagens, treinamento de auditoria, ausência, 
atividades administrativas, interface com auditoria 
externa, reuniões outras que não as do projeto) para 
efeito de determinação dos prazos.
O orçamento é baseado nas atividades identificadas 
para a condução da auditoria em questão.
Execução
Tendo terminado o planejamento da auditoria, o auditor 
deverá informar à área auditada que o sistema foi 
eleito para auditoria.
Deve ser realizada uma reunião inicial entre a Auditoria 
e as pessoas chaves da área de Sistemas e da área 
usuária, onde a Auditoria informará que o sistema foi 
selecionado para auditoria. 
Informará também o que será investigado na auditoria 
(as preocupações da auditoria, que são traduzidas nos 
controles internos, processos e controles de negócio), 
o tempo estimado do trabalho, a provável data de 
emissão do relatório fina. 
A Auditoria pedirá a colaboração das áreas de 
Sistemas e usuária para que solicitem aos seus 
funcionários que colaborem com os auditores, 
fornecendo-lhes o que for pedido.
Começa então o trabalho de campo, onde os auditores 
irão verificar a existência dos controles internos, 
processos e controles de negócios. 
Serão feitos testes, as documentações serão 
analisadas, entrevistas serão realizadas com o pessoal 
das áreas envolvidas.
Este trabalho deve ser todo documentado, pois 
será a evidência do trabalho da auditoria!
Todo o trabalho da auditoria é registrado em papeis de 
trabalho, que são arquivados por auditoria, ou seja, por 
projeto de auditoria. 
Os contatos telefônicos ou pessoais, as observações 
visuais, as reuniões, as visitas técnicas, os testes, as 
solicitações, enfim, todo o movimento do trabalho de 
campo deve se registrado em formulários apropriados
para cada situação e codificado conforme o caso.
Exemplo: 
Criar um formulário para anotar os contatos realizados 
com os auditados, onde serão registrados o sistema, a 
data, hora de início e término, local, tipo de contato 
(telefone, reunião, observação, etc), assunto, pessoas 
envolvidas e o assunto falado. 
O conteúdo registrado pode ser pequeno ou grande, 
dependendo do que for abordado.
Desta forma, o auditor poderá rastrear todo e qualquer 
assunto discutido durante a auditoria. 
A cada formulário, dar um número precedido de uma 
identificação que corresponda ao papel de trabalho, a 
nota de contato.
Esta nota de contato fica arquivada na Auditoria e não 
é distribuída a ninguém. Se o evento for uma reunião, 
onde ficarão registrados os assuntos discutidos, então
preparamos outro papel de trabalho, uma ata de 
reunião. Esta sim é distribuída aos presentes na 
reunião e a quem mais o assunto possa interessar.
Ao identificar uma fraqueza, o auditor deverá informar 
imediatamente ao auditado, verbalmente, sobre o fato. 
Discutirá com ele e solicitará que a acerte. Nesta 
pequena conversa, ficarão esclarecidas dúvidas sobre 
a pertinência da fraqueza. 
Nunca, sob qualquer hipótese, o auditor dará a solução 
para o acerto da fraqueza! 
Isto é competência da área de Sistemas! 
O auditor apenas identifica a fraqueza e a informa,
recomendando solução.
Após o informe verbal, o auditor emite um comunicado 
de falha, com os riscos que ela poderá trazer ao 
sistema, ao negócio e à empresa e recomenda o 
acerto da mesma.
Solicita, neste formulário, que o auditado diga se 
concorda ou não com a falha encontrada e, em caso 
afirmativo, que informe a data de acerto prevista. 
Caso o auditado discorde, ele deverá informar por 
escrito e justificar sua discordância.
O auditor recebe a resposta com a data prevista para 
acerto da falha e a arquiva (por
data de solução da falha) e segue seu trabalho de 
campo.
Na data prevista de acerto de uma falha, o auditor 
deverá verificar pessoalmente, com evidências, que a 
mesma foi acertada. 
Em caso positivo, faz uma anotação que a falha foi 
consertada. Em caso negat ivo, emite outra 
comunicação de falha e segue no procedimento.
Ao término do trabalho de campo, quando todos os 
controles internos, processos e controles de negócios 
foram verificados, o auditor se prepara para a emissão 
do relatório.
Emissão E Divulgação De Relatórios
O relatório de auditoria será emitido baseado no 
trabalho de campo realizado. 
A "nota" do relatório será dada conforme as 
comunicações de falhas emitidas e não resolvidas até 
o momento da emissão do relatório.
O rascunho do relatório, sem a nota, é discutido com 
os auditados antes da sua emissão oficial. O objetivo é 
esclarecer que todos os pontos abordados no relatório 
foram trabalhados com os auditados e não há 
nenhuma surpresa no relatório. 
Somente após esta reunião é que a Auditoria emite o 
relatório, endereçado ao diretor da área de Sistemas, 
com cópia para a direção da área usuária do sistema. 
Quem assina o relatório de auditoria é o auditor 
responsável e o diretor da Auditoria, devido à 
importância que um relatório de auditoria representa.
A apresentação do relatório deve ser impecável! Papel 
de ótima qualidade, capa e sem erros de Português!
Teremos uma aula específica sobre este assunto mais 
para o final do curso.
Follow-up
Já vimos nesta aula que o acompanhamento das 
falhas encontradas em uma auditoria é importante para 
assegurarmos que os sistemas são seguros. Claro que 
o auditado pode não consertá-la. Mas isto terá um 
preço que a direção da empresa cobrará!
A Auditoria deve acompanhar a solução das falhas 
quer durante o trabalho de campo, quer após a 
emissão do relatório. 
A verificação do acerto deve ser feita pessoalmente, 
incluindo testes para verificar se os acertos foram 
eficientes. 
Todo o acompanhamento deve ser documentado e 
servirá de subsídio para auditorias futuras do mesmo 
sistema ou do CPD, se for o caso.
Nesta aula, você: 
• Conheceu as fases de uma auditoria: planejamento, 
execução, emissão e divulgação de relatórios e 
follow-up dos acertos das falhas encontradas na 
auditoria;
• Aprendeu a planejar uma auditoria;
• Aprendeu como conduzir a execução de uma 
auditoria;
• Aprendeu como comunicar as falhas encontradas 
para os auditados;
• E n t e n d e u a i m p o r t â n c i a d o f o l l o w - u p 
(acompanhamento) dos acertos das falhas 
encontradas na auditoria.
AUDITORIA DE SISTEMAS
CCT0181_EX_A3
1a Questão (Ref.: 201102392261)
Encriptação de dados, assinatura digital e supervisão 
de redes seriam controles internos da categoria:
integridade de dados
conformidade
legibilidade operacional
segurança do sistema
processo de desenvolvimento
2a Questão (Ref.: 201102531468)
Ao fazermos a analise de risco de um sistema para 
determinar seu escore de risco e, desta forma, prioriza-
lo para ser auditado, devemos considerar:
O número de periféricos necessários, a linguagem de 
desenvolvimento e o local físico do CPD
a linguagem de desenvolvimento, o custo de 
treinamento dos desenvolvedores e o número de 
interface com outrossistemas
O custo do sistema, o local físico do CPD e o número 
de arquivos do sistema
seu volume médio diário de transações, seu custo de 
desenvolvimento e o impacto em outros sistemas
O número de arquivos do sistema, o nivel tecnico dos 
operadores do sistema e seu volume médio diário de 
transações
3a Questão (Ref.: 201102392259)
Autorização, confidencialidade e acuidade de dados 
seriam controles internos da categoria:
segurança do sistema
processo de desenvolvimento
guarda de ativos
conformidade
integridade de dados
4a Questão (Ref.: 201102901854)
Situação do ambiente computacional considerada pelo 
auditor como sendo de interesse para validação e 
avaliação é conhecido como:
ponto de auditoria
documentação
ponto de integração
ponto de partida
ponto de controle
5a Questão (Ref.: 201102544995)
Marque a alternativa que preencha corretamente as 
lacunas:
A ________________ diz o que deve ser feito. Por 
esta razão não devemos acrescentar detalhes de 
implementação nela. Isto fica por conta dos 
________________, que representam o como ela será 
implementada.
classificação da informação / programas
política de segurança / procedimentos
política de segurança / acionistas majoritários
estrutura organizacional / grau de maturidade
política de segurança / programas
6a Questão (Ref.: 201102392387)
Você esta auditando um Sistema de Folha de 
Pagamento e fará uma reunião inicial entre a Auditoria 
e as pessoas chaves da área de Sistemas, da área de 
Recursos Humanos e da área de Contabilidade a fim 
de informar que o sistema foi selecionado para ser 
auditado. Esta reunião é feita na fase do trabalho de 
auditoria chamada de:
planejamento
controle
4execução
levantamento
priorização de sistemas a serem auditados
 
_______________________________________ 40
Aula 3 40
Realizando Uma Auditoria 40
Realizando Auditoria 40
Planejamento 41
Controles Internos 44
C01 – Integridade de Dados /Processos/Dados e Processos 44
C02 – Segurança do Sistema 44
C03 – Legibilidade operacional 44
C04 – Conformidade Legal 45
C05 – Guarda de registros (rastreamento) 45
C06 – Guarda de ativos 45
C07 – Programas de sistemas 45
C08 – Organização / Administração 45
C09 – Processo de desenvolvimento 46
C10 – CPD / Data center 46
C11 – Contrato de serviços de sistemas/ ordens de serviço 47
C12 – Procedimentos e padrões (se a empresa tiver) 47
Processos 47
Controles de negócio 48
Execução 49
Emissão E Divulgação De Relatórios 53
Follow-up 54
CCT0181_EX_A3 55
_______________________________________
Aula 4
Ferramentas E Algumas Técnicas De Auditoria 
Nesta aula, você será capaz de: 
1. Conhecer algumas ferramentas de auditoria;
2. Aprender o que são hash total, header e trailler 
label;
3. Aprender como preparar programas especializados 
para auditoria;
4. Ser apresentado a algumas técnicas de auditoria 
(questionários, visita in loco e entrevistas).
Fases de uma Auditoria de Sistemas
Podemos realizar uma auditoria de sistemas em 
sistemas em desenvolvimento ou em operação.
Quando estamos em auditorias de sistemas em 
desenvolvimento, nossa atenção é focada no que foi 
planejado em termos de controles internos, processos 
e controles de negócios a serem implementados nos 
sistemas. 
Já para sistemas em operação, além de vermos se tais 
pontos de controle foram implementados, devemos 
testá-los. Saber quantos registros serão testados é 
algo a ser definido, considerando-se os pontos de 
controle. 
 
Para tanto, o auditor pode contar com três tipos de 
programas de auditoria de tecnologia de informação:
 
1. Softwares generalistas; 
2. Softwares especializados; 
3. Softwares utilitários.
 
Softwares Generalistas
São constituídos de um conjunto de programas em 
ambiente batch (ambiente batch: processamento offline 
do sistema, ou seja, o oposto do processamento real 
time, quando a base de dados é atualizada na hora em 
que a transação online é inserida no sistema.), que 
pode processar várias funções de auditoria e 
simulação paralela (técnica que veremos na próxima 
aula), no formato desejado.
Normalmente são sistemas comprados prontos, que 
carecem de personalização conforme necessidade dos 
auditores.
Como funções, podemos citar extração de dados de 
amostra, testes, geração de dados estatísticos para 
análise, sumarização, gravação de arquivos auxiliares, 
detecção de duplicidade, sequência incorreta, totais 
inválidos entre outras. 
VANTAGENS
• O software pode processar vários arquivos ao 
mesmo tempo;
• Pode processar vários tipos de arquivos, com 
formatos distintos;
• Pode fazer integração sistêmica com vários tipos de 
softwares e hardwares; O auditor não precisa ser 
especialista em informática para desenvolver 
aplicativos para testar seus dados.
DESVANTAGENS
• As aplicações não podem ser feitas online já que 
gravam diversos arquivos para serem analisados em 
separado;
• Não provê cálculos específicos para sistemas 
específicos (como cartão de crédito, por exemplo).
Podemos citar como softwares generalistas: 
a) ACL (Audit Command language):
É um software para extração e análise de dados 
desenvolvido no Canadá (www.acl.com); 
b) IDEA (Interactive Data Extraction & Analysis): 
Software para extração e análise de dados 
também desenvolvido no Canadá; 
c) Audimation: 
é a versão norte-americana do IDEA, da 
Caseware-IDEA (www.audimation.com); 
d) Galileo: 
É um software integrado de gestão de auditoria. 
Inclui gestão de risco de auditoria, documentação 
e emissão de relatórios para auditoria interna; 
e) Pentana: 
Software de planejamento estratégico de auditoria, 
sistema de planejamento e monitoramento de 
recursos, controle de horas, registro de checklists 
e programas de auditoria.
f) SE Audit (Gestão de Auditorias):
Software que realiza o gerenciamento de todas as 
etapas do processo de auditoria, desde o 
planejamento e aprovação, até o monitoramento, 
seja ela interna de fornecedores, e/ ou de 
organismos certificadores. 
O SE Audit é um sistema 100% web, multiusuário 
e multidepartamental, que incorpora ferramentas 
de: organização, classificação e pesquisa 
(www.softexpert.com.br); 
g) Snort: 
É uma ferramenta NIDS (Network Intrusion 
Detection System), "open-source" bastante popular 
por sua flexibilidade nas configurações de regras e 
constante atualização frente às novas ferramentas 
de invasão. 
Outro ponto forte desta ferramenta é o fato de ser 
leve, pequena, fazer escaneamento do micro e 
verificar anomalias dentro de toda a rede à qual 
seu computador pertence. 
A utilização do Snort é indicada para monitorar 
redes TCP/IP pequenas, onde pode detectar uma 
grande variedade do tráfego suspeito, assim como 
ataques externos, e então fornece argumento para 
as decisões dos administradores. 
Os módulos que compõe o Snort são ferramentas 
poderosas, capazes de produzir uma grande 
quantidade de informação sobre os ataques 
monitorados (www.snort.com.br/default.asp); 
h) Nessus: 
É uma ferramenta de auditoria muito usada para 
detectar e corrigir vulnerabilidades nos PCs da 
rede local. 
Ele realiza uma varredura de portas, detectando 
servidores ativos e simulando invasões para 
detectar vulnerabilidades. 
Foi um aplicativo open-source, hoje continua 
sendo de uso gratuito, mas o código fonte passou 
a ser fechado para evitar a concorrência predatória 
de outras empresas. 
Existem versões do Nessus para diversos 
sistemas, incluindo Linux, Windows, FreeBSD e 
MacOS X. 
Ao usar a versão Windows, é recomendável que 
você utilize o Windows 2003 ou outra versão 
server do sistema (www.nessus.org); 
i) Nmap (Network Mapper): 
É uma ferramenta de código aberto para 
exploração de rede e auditoria de segurança. 
Ela foi desenhada para escanear rapidamente 
redes amplas, embora também funcionemuito 
bem contra hosts individuais. 
Determina quais hosts estão disponíveis na rede, 
quais serviços os hosts oferecem, quais sistemas 
operacionais eles estão executando e que tipos de 
filtro de pacotes/firewalls estão em uso. 
Normalmente é utilizado para auditorias de 
segurança, mas muitos administradores de 
sistemas e rede consideram-no útil para tarefas 
rotineiras como: 
• inventário de rede; 
• gerenciamento de serviços de atualização 
agendados; 
• monitoramento de host ou disponibilidade de 
serviço. (http://insecure.org/nmap);
j) CobiT
Guia para gestão de tecnologia da informação 
recomendado pelo ISACF (Information Systems 
Audit and Control Foundation (www.isaca.org). 
O CobiT inclui recursos tais como: 
• sumário executivo, 
• um framework, 
• controle de objetivos,
• mapas de auditoria, 
• um conjunto de ferramentas de implementação 
e 
• um guia com técnicas de gerenciamento. 
As práticas de gestão do CobiT são recomendadas 
pelos peritos em gestão de tecnologia da 
informação que ajudam a otimizar os investimentos 
de tecnologia da informação e fornecem métricas 
para avaliação dos resultados. 
O CobiT independe das plataformas de tecnologia 
da informação adotadas nas eme312presas. 
Softwares Especializados Em Auditoria
São programas desenvolvidos pelos auditores (ou sob 
sua encomenda) a fim de testar particularidades de 
sistemas auditados que possuem características 
incomuns como, por exempto, sistema de leasing, 
crédito imobiliário, câmbio, etc.
VANTAGENS
Inclusão de testes de controles internos 
específicos tais como dígito verificador, controle de 
lote, personalizando o que se quer testar.
Inclusão de hash total (hash totat: campos de 
controle colocados nos header* ou trailler labels** 
a fim de assegurar a integridade dos dados. Pode 
ser um algoritmo sem sentido funcional como, por 
exemplo, somar dia e mês de nascimento dos 
clientes atualizados na base de dados).
*header tabe[: 
Registro de controle. É o primeiro registro do 
arquivo, contendo dados de controle tais como 
nome do arquivo, data de movimento, número 
de registros gravados, número de registros 
tidos, número de registros com erro, versão do 
arquivo, etc.
**trailler labet: 
Registro de controle. E o último registro do 
arquivo e contem campos de controle tais como 
no header labet.
DESVANTAGENS
Necessita que o auditor esteja familiarizado com o 
desenvolvimento de tecnologia da informação;
Há custos de desenvolvimento de programas.
Softwares Utilitários
São programas utilitários para funções básicas de 
processamento como somar determinados campos de 
um arquivo, classificar o arquivo, listar determinados 
campos de registros de um arquivo. Normalmente os 
sistemas operacionais ou os bancos de dados 
possuem um certo número desses programas que não 
são específicos de auditoria, podendo (e sendo) 
utilizados para debug e testes de sistemas.
VANTAGENS
• São fáceis de serem aprendidos; I
• São fáceis de serem utilizados.
DESVANTAGENS
• Executam apenas funções padrões.
Nem todas as auditorias de sistemas requerem as 
mesmas técnicas. Tudo dependerá do escopo da 
auditoria (o conjunto de controles internos, processos e 
controles de negócios) do sistema a ser auditado.
Há técnicas que quase sempre serão utilizadas e 
veremos algumas delas agora. Estas técnicas estão 
descritas em Auditoria de Computadores, GIL, Antonio 
de Loureiro, Ed. Attas, capítulo 3.
Programa De Computador Para Auditoria.
São programas especializados, correlacionando dados 
e arquivos, tabulando e imprimindo seus conteúdos. 
Podem usar arquivos sequenciais, indexados, banco 
de dados, tanto para alta (mainframe) como para baixa 
plataforma (microcomputadores).
Algumas funções que podem ser incluídas em 
programas para auditoria:
Tabulação de campos 
➡somatório de datas de vencimento de títulos, 
gerando hash total que deverá ser confrontado com 
o campo correspondente no header ou trailler label;
➡somatório de campos quantitativos para efeito de 
confrontação ou acompanhamento de acumulados, 
inclusive controle de lote.
Contagem de campos/registros 
➡apuração de totais por tipo de registro ou campo.
Análise do conteúdo de campos/registros
➡verificação da existência de campos ou registros em 
um arquivo;
➡correlação entre campos de um arquivo para 
verificação da coerência e validade desses campos;
➡cruzamento horizontal entre campos em um registro 
com vistas à integridade do registro.
Correlação de arquivos
➡confronto de campos entre registros com vistas à 
garantia de ambos os arquivos.
Estatísticas dos campos dos arquivos
➡apuração de média, desvio-padrão, moda e/ou 
outras medidas estatísticas em um universo de 
registros e/ou campos de um arquivo para 
efetuarmos análises do comportamento desse 
universo.
As análises a serem feitas pelo programa de 
computador para auditoria podem ser: 
Verificar se cada campo de cada registro está 
preenchido. Caso contrário, listar, exibir o campo em 
tela ou gravar em arquivo de saída; 
Listar código do item e código da localização física 
dos itens para efeito de verificação física, segundo 
critérios:
• não movimento há mais de um ano;
• quantidade em estoque menor que ponto de 
ressuprimento;
• quantidade em estoque zero ou negativa;
• valor total do item em estoque duas vezes maior 
que valor médio do item em estoque; 
Enquadramento do item segundo tabela de números 
aleatórios;
Somar data da última movimentação de cada item 
em estoque e verificar se o total cruza com o total 
correspondente gravado no registro trailler;
Multiplicar, a cada registro de item, o campo 
quantidade em estoque pelo campo valor unitário do 
item e verificar se é igual ao campo valor total do 
item em estoque (este é um exemplo de controle 
cruzado). 
(controle cruzado: chegar ao mesmo resultado 
por mais de um meio). 
Esses programas normalmente são rodados nos 
computadores da Auditoria. Em linhas gerais, o auditor 
pode testar um sistema de duas maneiras:
1. constrói os programas e roda com massa de dados 
real.
2. prepara a massa de dados e roda com programas 
de produção. 
Para tanto, necessita que, em determinada data, os 
arquivos do sistema em produção a serem auditados 
sejam copiados para o seu ambiente de auditoria, a fim 
de que o auditor possa realizar os testes e confrontar 
os resultados dos mesmos com os da produção. 
Questionários Para Auditoria 
Para cada ponto de controle, deverá existir um 
questionário contendo perguntas relevantes ao ponto 
de controle e espaço para o auditor assinalar se o 
sistema satisfaz ou não aquele ponto de controle, 
além de  local para que possam ser escritas 
observações e referências sobre papéis de trabalho. 
Para os quesitos que obtiverem resposta negativa, o 
auditor deverá agir no sentido de solicitar acertos.
 
Reconheço que fazer questionários para todos os 
possíveis pontos de controle é um trabalho árduo, mas 
pensem bem, só será feito uma vez! A Auditoria 
guardará os questionários em um banco de 
questionários e a cada auditoria, ao selecionar os 
pontos de controle, recuperará os respectivos 
questionários para o trabalho de campo.
Para auditorias em CPD´s, podemos ter questionários 
voltados para pontos de controle cujas perguntas 
guardarão características intrínsecas referentes à:
Segurança de rede de computadores
S e g u r a n ç a f í s i c a d o s e q u i p a m e n t o s 
computacionais;
Segurança lógica e confidencialidade dos 
programas e informações que trafegam nos 
canais de comunicação.
Segurança do centro de computação
Controle de acesso físico e lógico às instalações 
de processamento de dados;
Segurança ambiental no tocante à infraestrutura 
de combate a incêndio, inundações, contra 
atentado e sabotagens, situações de greve,etc.
Eficiência no uso de recursos computacionais
Tempo médio de resposta em terminal;
Tempo de uso dos equipamentos a cada dia;
Quantidade existente de rotinas catalogadas
Eficácia de sistemas aplicativos
Quantidade de informações geradas pelo 
computador e consumidas pelos usuários;
Prazo de atendimento de novos sistemas, aos 
usuários;
Tempo médio de solução dos problemas dos 
usuários da rede de computação, provida pelo 
help-desk. 
A técnica de questionário é, normalmente, aplicada de 
forma casada a outras técnicas de auditoria, como 
entrevistas e visita in loco. Eu, pessoalmente, não 
aprovo o envio de questionários para serem 
preenchidos à distância, embora alguns autores 
mencionem sua validade. É importante verificar o 
comportamento do auditado ao ser questionado sobre 
algum ponto de controle...
Visita in loco
É a presença do auditor na área do auditado (ou do 
CPD) para verificação dos pontos de controle.
 
Normalmente esta ferramenta é utilizada em conjunto 
com outras ferramentas, tais como entrevista 
semiestruturada e questionários. A visita do auditor é 
importante para que sejam esclarecidos pontos 
nebulosos.
A visita deve ser marcada formalmente, com data e 
hora, com a pessoa responsável para responder às 
perguntas do auditor e/ou fornecer o que lhe for 
pedido.
Nesta visita o auditor poderá obter dados, seja por 
observação, por teste, por documentação ou 
informação solicitada. Fará anotações sobre as 
informações obtidas para posterior documentação em 
seus papéis de trabalho. Caso seja encontrada uma 
fraqueza, o auditor informará verbalmente ao auditado 
na hora e, posteriormente, por escrito.
Quando em realização de auditoria em CPD, a 
presença do auditor é fundamental para a constatação 
física da existência de ativos computacionais da 
empresa, bem como seu estado de conservação e 
eficiência dos procedimentos de uso, incluindo 
segurança física. Também são verificados:
• Inventário de volumes de arquivos magnéticos 
(discos, fitas, CD´s) armazenados na fitoteca, com 
respectivo período de retenção anotado em cada 
volume;
• Inventário de suprimentos armazenados (fitas de 
impressora, cartuchos de impressora, formulários 
contínuos, formulários pré-impressos, etiquetas 
gomadas, etc);
• Utilização dos computadores com o objetivo de 
verificação de controle de acesso, uso de Ordem de 
Serviço, arquivos magnéticos, schedule de produção, 
distribuição de relatórios;
• Acompanhamento das rotinas de back-up e 
atualização da biblioteca externa.
Entrevista
As entrevistas podem ser pessoais, por telefone ou 
vídeo conferência. Seja lá de que meio for, deverá ser 
feito previamente um roteiro do que se pretende 
abordar na mesma, preferencialmente classificado por 
ponto de controle. Este roteiro servirá como guia para 
o auditor.
A entrevista visa obter evidências do trabalho do 
auditor para que ele possa opinar sobre o sistema que 
está auditando, portanto, flexibilidade é sempre bem-
vinda!
 
As entrevistas de campo podem ser de dois tipos:
• Estruturada: aquela que utiliza formulários na coleta 
de dados;
• Não estruturada: aquela que não utiliza formulários 
na coleta de dados.
 
A entrevista deve seguir uma sequência lógica, 
orientada pelo fluxo de eventos do processo. Esta 
estrutura é particularmente útil nas situações em que o 
auditor tem conhecimento limitado do processo a ser 
aud i tado ou quando não há p roced imento 
documentado para esse processo. 
Entrevista 
Pergunte às pessoas o que elas fazem, quais 
informações recebem e passam adiante. Muitas vezes 
um auditor pouco experiente faz extensas análises da 
documentação envolvida no processo e pouca ou 
nenhuma entrada das pessoas que executam as 
tarefas. 
Sempre que possível, devemos utilizar perguntas 
abertas (aquelas em que o entrevistado fala 
l ivremente), que exigem que o auditado dê 
informações voluntariamente, como: 
• Quais as suas responsabilidades com relação a 
requisições? 
– ou – 
• Quê acontece com este formulário depois de 
preenchido? 
A escolha das perguntas é muito importante, 
principalmente para administrarmos bem o tempo. 
Considerando-se que uma auditoria não deve 
ultrapassar o limite de uma hora e meia, o auditado 
não deve ser dirigido para áreas irrelevantes. 
A observação geral das atividades dentro da área sob 
exame é uma parte importantíssima de uma auditoria. 
O auditor deve sempre cruzar informações para 
confirmar que as evidências se ligam completamente, 
de acordo com o procedimento e o fluxo dos 
processos. 
Desenvolvimento de uma entrevista, segundo o artigo 
Técnicas de entrevistas do TCU 
O plano para a entrevista é um guia a ser utilizado pela 
equipe de auditoria de modo flexível. 
As perguntas e a linha de questionamento devem ser 
elaboradas de forma a extrair o máximo de informação 
relevante no tempo disponível, devendo ser ajustadas, 
ao longo da entrevista, em função das respostas e das 
reações não verbais do entrevistado. 
De qualquer maneira, o clima de cordialidade e 
cooperação deve ser mantido, e a entrevista deve ser 
conduzida como uma conversação, não como um 
interrogatório. 
Durante a conversação, os membros da equipe de 
auditoria devem evitar o monopólio da palavra, ouvindo 
o entrevistado com atenção e evitando interrompê-lo, a 
menos que isso seja necessário e possa ser feito de 
maneira educada. 
A equipe deve lembrar que ouvir com atenção requer 
esforço e concentração. 
Da mesma forma, a equipe de auditoria deve manter-
se atenta aos objetivos da entrevista, evitando distrair-
se ou concentrar-se em outras perguntas, bem como 
coibindo qualquer desvio do assunto em discussão por 
parte do entrevistado. 
Contudo, caso esse desvio ocorra, a equipe deverá 
avaliar a relevância das novas informações, decidindo 
se convém prosseguir ou retornar ao assunto original. 
Seja como for, conversar sobre assuntos irrelevantes 
toma tempo e deve ser desestimulado. 
Os membros da equipe não devem se apressar em 
tecer comentários com o objetivo de evitar o silêncio. 
Algumas vezes, o período de silêncio pode ser usado 
para encorajar o auditado a complementar a sua idéia 
inicial. De qualquer forma, a equipe deve procurar 
controlar esses períodos, preservando a efetividade da 
entrevista. 
Para que a entrevista seja bem sucedida, os membros 
da equipe de auditoria devem demonstrar tranquilidade 
e domínio mínimo do assunto tratado, devendo-se 
evitar perguntas complexas, demonstrações de 
excesso de conhec imen to ou a t i t udes de 
superioridade, de maneira a não inibir o entrevistado. 
É extremamente importante que a equipe de auditoria 
permaneça atenta à compreensão que o entrevistado 
teve de cada pergunta feita, inquirindo-o, quando 
necessário, sobre qualquer dúvida que tenha surgido, 
com o objetivo de esclarecer o significado e a 
importância da questão a ser respondida. 
Os membros da equipe de auditoria devem mostrar 
interesse pela opinião do entrevistado, sem 
demonstrar, entretanto, qualquer rejeição ou apoio às 
suas manifestações, permanecendo, assim, neutros 
em relação às respostas do entrevistado. 
A equipe de auditoria deve observar com atenção se 
as respostas refletem a experiência, o conhecimento e 
as idéias do entrevistado, devendo ser capaz de 
distinguir fatos de opiniões. 
Para obter a confirmação de determinada resposta, os 
membros da equipe podem valer- se de perguntas do 
tipo: “Então, o que o(a) Sr.(a) está dizendo 
é ...“.Também convém atentar para as generalizações 
sem garantias e para os jargões técnicos usados para 
confundir os membros da equipe. 
Algumas declarações podem ser inconsistentes com 
os dados já obtidos no trabalho de auditoria ou mesmo 
com os conhecimentos dos membros da equipe sobre 
o assunto tratado, assim como outros fatos alegados