POS AUDITORIA SISTEMAS

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

*
AUDITORIA EM SISTEMAS
FASE 1 – Aplicação de conceitos em sala de aula
TEMPO PREVISTO = 8 HORAS AULA 
INTERVALO DE 10 MINUTOS A CADA 2 HORAS AULA
FASE 2 – Desenvolvimento
TEMPO PREVISTO = 4 HORAS AULA
INTERVALO DE 10 MINUTOS A CADA 2 HORAS AULA
*
				
SISTEMA DE INFORMAÇÕES GERENCIAIS
CONTABILIDADE
FINANCEIRA
SISTEMA
ORÇAMENTÁRIO
CONTABILIDADE
GERENCIAL
CONTABILIDADE
DE
CUSTOS
*
FUNDAMENTOS
 Herman Hollerith inovação dos cartões perfurados (1904)
 1945 Segunda Guerra Mundial ENIAC Eletronic Numerical Integrated Calculator (Calculador e Integrador Numérico Eletrônico)
Histórico:
*
FUNDAMENTOS
 
Histórico:
 1950 mudanças nos ambientes de negócios
 Aumentos de custos e vulnerabilidade dos sistemas de processamentos geraram a necessidade de auditores internos e independentes novas ferramentas de avaliação de sistemas
*
CONCEITOS
SISTEMAS:
 
Conjunto de elementos inter-relacionados com um objetivo: produzir relatórios que nortearão a tomada de decisões gerenciais
*
AUDITORIA DE SISTEMAS
 A auditoria em ambiente de TI não muda a formação exigida p/a profissão de auditor, apenas que as informações até então em papel são guardadas em forma eletrônica.
 A filosofia da auditoria em TI está calcada em confiança e em controle internos.
*
Objetivos:
 Melhorar a eficiência e reduzir custos;
 Melhorar a qualidade do trabalho de auditoria, reduzindo os níveis de risco;
 Atender às expectativas dos clientes;
Preparar-se p/a globalização dos negócios, que exige globalização dos auditores.
AUDITORIA DE SISTEMAS
*
AUDITORIA DE SISTEMAS
Benefícios:
 Treinamento de pessoal e superação de resistências à tecnologia;
Decisão de quais tarefas devem ser automatizadas primeiro;
Avaliação, escolha e implantação de software e hardware;
Gerenciamento dos arquivos eletrônicos: dispositivos de segurança e backup;
*
AUDITORIA DE SISTEMAS
 Disponibilização de equipamentos p/toda a equipe de auditores, podendo trabalhar em redes;
 Instalação e manutenção de uma malha de comunicações;
 Maior transferência de conhecimento entre os membros da equipe e entre trabalhos de equipes diferentes;
 Independência das limitações impostas pelos arquivos de auditoria em papel;
*
 Economia de tempo das atualizações;
 Melhor qualidade na apresentação;
 Liberação de funcionários mais experientes p/dedicação a áreas técnicas de maior risco;
 Agregação de valor ao trabalho de auditoria;
 Formação de equipes virtuais (groupware), maximizando a especialização;
 Fluxo de informações mais rápido;
AUDITORIA DE SISTEMAS
*
 Maior satisfação profissional;
 Maior respeito pelo auditado;
 Maior produtividade;
 Realização de tarefas sem a automatização pelos profissionais menos experientes, antes somente poderiam ser executadas por profissionais mais experientes.
AUDITORIA DE SISTEMAS
*
AUDITORIA DE SISTEMAS/CONTROLE INTERNO
Objetivos:
 Assegurar a adequação do sistemas de controles que está implantado e que está sendo utilizado;
 Determinar se os recursos estão sendo utilizados em função da análise de custo e benefício;
 Checar se os ativos estão salvaguardados apropriadamente;
 Revisar a integridade, confiabilidade e eficiência do sistema de informação e dos relatórios financeiros.
*
 O reestudo e o redesenvolvimento do próprio projeto;
 O redimensionamento de recursos financeiros, materiais e humanos da área de processamento;
 A reimplantação do sistema de informação;
 A mudança de procedimentos operacionais do sistema de informação.
AUDITORIA DE SISTEMAS/CONTROLE INTERNO
*
AUDITORIA DE SISTEMAS
Abordagens ao redor do computador:
Conforme Milko (1.970) “essa abordagem é baseada na asserção de que os inputs de sistemas posem ser tidos como corretos se os resultados dos sistemas refletirem com precisão do dados-fonte. Então o output também deve estar correto e as formas pelas quais o sistema processou os dados têm pouca conseqüência”.
*
AUDITORIA DE SISTEMAS
Vantagens:
 Não se exige conhecimento extenso de TI p/que o auditor possa operar convenientemente o método, e faz com que as técnicas e ferramentas de auditoria sejam válidas;
 Também sua aplicação envolve custos baixos e diretos.
*
AUDITORIA DE SISTEMAS
Desvantagens:
 Restrição operacional quanto ao conhecimento de como os dados são atualizados faz com que a auditoria seja incompleta e inconsistente, uma vez que o processo operacional é dinâmico, atendendo às necessidades sociais;
 A eficiência operacional de auditoria pode ser avaliada com maior dificuldade, visto que não há parâmetros claros e padronizados;
*
AUDITORIA DE SISTEMAS
 Uma vez não sendo necessário que o auditor possua maior capacidade profissional adequada no que refere-se a TI, e para capacitá-lo a executar a revisão lógica, o sistema pode ser enquadrado em limites de grande risco, quando houver uma evolução e os documentos-fonte saírem de seu controle;
 As avaliações de TI, em ambiente pequeno, significativo ou complexo, não importando se executar algum procedimento de auditoria que exclua as CPU e sua funções matemáticas a lógica, não podemos afirmar que a abordagem da auditoria tenha sido representativa e global da tecnologia daquela organização.
*
AUDITORIA DE SISTEMAS
Abordagens através do computador:
Envolve mais uma confrontação de documentos-fonte com os resultados esperados, no entanto este método alerta quanto ao manuseio de dados, aprovação e registro de transações comerciais, sem deixar evidências documentais razoáveis através dos controles de programas construídos junto aos sistemas, dessa forma o auditor necessita acompanhar o processamento através e dentro do computador.
*
AUDITORIA DE SISTEMAS
Vantagens:
 Capacita melhor o auditor a respeito de habilidade profissional no que tange a conhecimento de processamento eletrônico de dados;
 Capacita o auditor a verificar com maior freqüência as áreas que necessitam a revisão constante.
*
AUDITORIA DE SISTEMAS
Desvantagens:
 Se a operação for efetuada incorretamente, pode levar a perdas incalculáveis;
 O uso de abordagem pode ser caro, principalmente na qualificação do auditor, aquisição e manutenção dos pacotes de software;
 Partindo do pressuposto de que os pacotes são completos, podem estar errados, técnicas manuais podem ser necessárias, para funcionar efetivamente;
 Há risco dos pacotes possam estar contaminados pelo uso freqüente na auditoria organizacional.
*
AUDITORIA DE SISTEMAS
Abordagem com o computador:
 A primeira abordagem não é eficiente devido ao fato que negligencia algumas qualidades do controle interno dos sistemas e propicia a falta de disponibilidade de testes substantivos convincentes que visam ajudar na conclusão sobre os sistemas;
 A segunda opção preferida como superior à primeira, também produz registros incompletos, não verifica o equilíbrio com as ferramentas, tende a negligenciar procedimentos manuais, deixando a maioria das tarefas incompleta a maioria das tarefas executadas manualmente.
*
AUDITORIA DE SISTEMAS
Compilação de processo, objetivos:
 A utilização das capacidades lógicas e aritméticas do computador p/verificar se os cálculos das transações comerciais e financeiras ou aqueles que dizem respeito às responsabilidades, p.ex., cálculo de depreciações, taxas e impostos, multiplicações, são feitos corretamente;
*
AUDITORIA DE SISTEMAS
 A utilização das capacidades de cálculos estatísticos e de geração de amostras que facilitem confirmações de saldos necessários para aferir a integridade de dados de contas a receber, estoques, imobilizados, advogados, etc;
*
AUDITORIA DE SISTEMAS
 A utilização da capacidade de edição e classificação do sistema computadorizado, a fim de ordenar e selecionar os registros de contabilidade, p.ex., através da varredura de dados do sistema de estoques, um auditor é capaz de apontar com precisão os itens de movimento mais vagaroso, obsoletos,
e isolá-los por itens de movimento rápido, para facilitar análises mais complexas e substantivas;
*
AUDITORIA DE SISTEMAS
 A utilização das capacidades matemáticas do computador p/analisar e fornecer listas de amostras de auditoria, incluir também a confirmação dos resultados da auditoria executada manualmente, como cálculos globais.
*
AUDITORIA DE SISTEMAS
As vantagens desse últimos método são:
 Capacidades de auditoria de aplicar Técnicas de Auditoria Assistida por Computador (TAAC), em outros momentos também chamada de CAAT (Computer Assited Audit Techniques);
 Possibilidades de desenvolver programas específicos p/serem usados pelo auditor quando da necessidade de evidenciar uma opinião sobre o processo contábil;
 Ganhar tempo sobre os passos aplicados com o uso de pacotes generalizados de auditoria de TI.
*
AUDITORIA DE SISTEMAS
Organização de trabalho de auditoria em TI:
Segue a norma de execução de trabalhos, o principal componente das normas de auditoria, p. ex., planejamento, avaliação de riscos, supervisão e controle de qualidade, estudo e avaliação do sistema contábil e de controles internos, aplicação dos procedimentos, documentação da auditoria, avaliação da continuidade normal dos negócios da entidade, aplicação de amostragem estatística, etc.
*
AUDITORIA DE SISTEMAS
Planejamento:
É imprescindível p/orientar o desenvolvimento dos trabalhos, como é um processo contínuo de avaliação de risco ao qual se adicionam as experiências individuais dos profissionais e a evolução da práticas e metodologias, o planejamento é caracterizado p/evitar surpresas que tanto possam acontecer nas atividades empresariais, como também em relação à responsabilidade dos auditores.
*
AUDITORIA DE SISTEMAS
Escolha da equipe:
 Perfil e histórico profissional;
 Experiência acumulada por ramos de atividade;
 Conhecimentos específicos;
 Apoio do grupo de especialização;
 Formação acadêmica;
 Línguas estrangeiras;
 Disponibilidades p/viagens etc.
*
AUDITORIA DE SISTEMAS
Programar a equipe:
 Gerar programas de trabalho que extraiam dados corretos p/testes;
 Selecionar procedimentos mais apropriados;
 Incluir novos procedimentos;
 Classificar trabalhos por visita;
 Orçar tempo e registrar o real;
 Evidenciar corretamente os trabalhos realizados;
 Gerar relatórios em consonância com os trabalhos efetuados.
*
AUDITORIA DE SISTEMAS
Execução de trabalhos e supervisão:
Os trabalhos deverão ser realizados por auditores que tenham formação, experiência e treinamento adequado no ramo de especialização; dependendo da complexidade do ambiente operacional, risco envolvido, os trabalhos deverão ser desenvolvidos conforme experiência profissional, as tarefas mais simples pelo pessoal menos experiente. A supervisão é inerente ao processo de auditoria p/garantir a qualidade e certificar que as tarefas foram adequadamente feitas.
*
AUDITORIA DE SISTEMAS
Revisão dos papéis de trabalho:
Os papéis de trabalho deverão se revisados pelos superiores, que têm a incumbência de assinar junto com os subordinados o cumprimento do passo a passo de auditoria concluído. 
OBS: é fundamental garantir a integridade do processo de revisão.
*
AUDITORIA DE SISTEMAS
Atualização do conhecimento permanente:
Conhecer um determinado período de auditoria, p.ex., aquele que muda com pouca freqüência, é fundamental e serve como ponto de partida para o período subseqüente, informações como:
 Descrição do processo de negócios;
 Levantamento e avaliação do ambiente de controle;
 Programas de trabalho;
*
AUDITORIA DE SISTEMAS
 Documentação e conclusão sobre a avaliação dos controles dos processos relevantes;
 Matriz de pontue riscos aparentes p/todos os principais componentes da demonstração financeira;
 Exceções dos testes;
 Falhas ou fraquezas nos testes do controle interno.
*
AUDITORIA DE SISTEMAS
Avaliação da equipe:
Para garantir evolução e aprimoramento técnico dos profissionais da equipe de auditoria de TI, deve-se avaliar o desempenho, elogiando os pontos fortes do auditor, auxiliar no reconhecimento das fraquezas e na elaboração de um plano p/superá-las.
Isso é fundamental para nortear promoção ou não do profissional.
*
AUDITORIA DE SISTEMAS
Documentação dos papéis de trabalho:
Constituem conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas, anexos que evidenciem os fatos relatados.
Esses papéis independentemente de seu enfoque ser sistêmico ou manual, devem ser auto-suficientes e não devem necessitar de explicações verbais e adicionais.
*
AUDITORIA DE SISTEMAS
Desenvolvimento de equipe de auditorias:
Problemática de desenvolvimento de equipes: pela complexidade dos ambientes de TI tem criado uma preocupação por parte dos usuários dos serviços de auditoria, gerando expectativa quanto ao desenvolvimento da capacidade de auditoria atenuar riscos, tais como fraudes intencionais ou não intencionais. Estratégias utilizadas para compor a equipe:
*
AUDITORIA DE SISTEMAS
Treinar um número de auditores internos ou independentes em conceitos e práticas de TI e métodos p/aplicação das técnicas e ferramentas de auditoria em ambiente computadorizado;
Treinar alguns analistas de sistemas em prática e princípios de auditoria geral e no uso de técnica e ferramentas de auditoria;
Contratar e treinar auditores, fornecendo-lhes conhecimento de auditoria como de TI p/compor a equipe desde o início;
Contratar auditores com larga experiência com objetivo de torna-los auditores de TI.
*
AUDITORIA DE SISTEMAS
2. Programa de desenvolvimento de carreira:
São praticados por auditores independentes que contratam formandos como trainees, com as perspectivas de chegar a sociedade da empresa. Assim o treinamento é dividido em duas partes:
O treinamento da categoria que tem pouca ou nenhuma experiência em TI deve incluir:
Conceitos de TI;
*
AUDITORIA DE SISTEMAS
 Fundamentos de arquitetura de sistemas, Input/output, processamento lógico, unidade de memória e auxiliar visando auditoria;
 Rede de computadores, teleprocessamentos, internet e intranet, com as configurações pertinentes;
 Programação, diagrama de fluxo de dados;
 Tabelas de decisões e sua aplicação nas principais linguagens de programação;
*
AUDITORIA DE SISTEMAS
 Introdução aos controles gerais de computadores, p.ex., suporte técnico, controles organizacionais, desenvolvimento e manutenção de sistemas, etc.;
 Estudo de caso que exemplifique cada situação.
(ii) O treinamento do grupo com experiência em TI deve incluir:
 Revisão dos controles gerais: operações, aquisições, desenvolvimento e manutenção, controle de acesso. Auditorias de sistemas aplicativos, princípios e práticas de auditoria c/ênfase nos controles gerenciais e organizacionais, monitoramento e emissão de relatórios;
*
AUDITORIA DE SISTEMAS
 Gerenciamento de riscos, privacidade, desenvolvimento e implementação de políticas e estratégias de segurança de informações;
 Avaliação dos sistemas on line com relação ao processamento em tempo real, controles do recall e identificação dos programas, verificação de autenticações e autorizações de acesso e registros (contabilização) das transações, inclui também correção, detecção de erros e manutenção de diários das operações;
*
AUDITORIA DE SISTEMAS
 Transmissão de dados, proteção de informações, segurança associada ao uso de sistemas, redes internet e intranet;
 Controles de operações, processamento interativo em atividade de negócios e e-commerce;
 Iniciação de trilha de auditoria em ambiente de TI e propriedade intelectual, abordagens aos métodos existentes e supervisão necessária;
*
AUDITORIA DE SISTEMAS
 Controles de acesso à biblioteca de dados ou programas; armazenamento e recuperação dos mesmos a partir de bases hierárquicas, relacionais ou data warehousing, plano de contingências e de recuperação de desastres;
 Software de auditoria; distinguindo-se dos generalistas
dos específicos, com o apoio dos experts em TI p/desenvolver metodologias próprias.
*
AUDITORIA DE SISTEMAS
São classificados em cinco níveis os planos de desenvolvimento de carreira:
 Nível 1 – básico: onde o estágio compreende auditoria de princípios e padrões, ética, papéis de trabalho, amostragem estatística, controles internos, testes substantivos, auditoria de das demonstrações financeiras e relatórios, processamento e tecnologias envolvidas, arquiteturas e plataformas, sistemas operacionais e linguagem de programação, p.ex. java, delphi, etc.
*
AUDITORIA DE SISTEMAS
 Nível 2 – Fundação: ensina o uso de pacotes de auditoria como ferramentas, linguagem de programação, metodologia de desenho de software, tecnologia e processos de auditoria, data warehousing, modelagem de dados, e o auditor deve estar familiarizado com o uso do CASE (Computer Aided Software Engineering) no que diz aos procedimentos de padronização de processos de produção de software e implementação desses recursos;
*
AUDITORIA DE SISTEMAS
 Nível 3 – Focal: consiste ponto crucial do aprendizado, aqui devemos consolidar métodos avançados de auditoria, ferramentas e técnicas, devemos focar nos controles de acesso, políticas de segurança de informações, inclusive gerenciamento de riscos. Aprende-se s polêmica sobre barreiras (firewalls) físicas e lógicas, necessárias em TI, atentando p/o seu custo e benefício, inclui ainda avaliação de processos, customização de protocolos de comunicação, análises e avaliação do funcionamento do e-commerce, assinatura digital, projetos e gerenciamento de mudanças, auditoria de bancos de dados, implementação do ERP, e por fim analisa o relacionamento com seus auditados através de comunicação formal;
*
AUDITORIA DE SISTEMAS
 Nível 4 – Integração: articula todas as funções da organização, controle e monitoramento de recursos de auditoria, com intuito de alcançar os objetivos da auditoria, apresentando profissionais com know-how necessário p/avaliação do ambiente, cabe a este profissional a responsabilidade de concluir o trabalho feito e sobretudo em relação à satisfação ou não da equipe de auditoria a respeito do cumprimento dos passos da auditoria que são documentados nos papéis de trabalho; deve decidir sobre os comentários e pendências, associando o senso crítico de julgamento profissional, utilizando suas habilidades gerenciais p/administrar os serviços alocados, estabelecendo planos de treinamento e promoção de sua equipe, planejamento dos serviços, administrando riscos e divulgando políticas da empresa;
*
AUDITORIA DE SISTEMAS
 Nível 5 – Aconselhamento: é nesta fase que o profissional presta serviços de orientação empresarial p/o seu cliente, dando insights nas condições de negócios que estão sendo auditados, nas auditorias independentes quem ocupa este cargo é sócio da empresa, neste estágio o sócio coloca em prática sua criatividade, atentando p/identificação de informações relevantes que possam agregar valores aos negócios de seu cliente.
*
AUDITORIA DE SISTEMAS
Controles internos e avaliação:
Fundamentos de controles internos em TI: de acordo com o Instituto Americano de Contadores Públicos significa “planos organizacionais e coordenação de um conjunto de métodos e medidas adotado, numa empresa a fim de salvaguardar o ativo, verificar a exatidão e veracidade de registros contábeis, promover a efetividade de sistema de informação contábil e eficiência operacional, assim como fomentar uma grande adesão às políticas da organização”.
*
AUDITORIA DE SISTEMAS
1.1. Princípios de controles internos:
 Supervisão: gerência por objetivos, procedimentos e tomada de decisões deve manter um controle que a capacite a uma superfície efetiva dentro do ambiente da TI;
 Registro e comunicação: a gerência da empresa deve estabelecer critérios p/criação, processamento e disseminação de informação de dados, através da autorização e registro de responsabilidades;
*
AUDITORIA DE SISTEMAS
 Segregação das funções: as responsabilidades e ocupações incompatíveis devem estar segregadas de maneira a minimizar as possibilidades de perpetuação de fraudes e até de suprimir erro e irregularidade na operação normal;
 Classificação de informação: a gerência deve estabelecer um plano p/classificação de informações que melhor sirva às necessidades da organização, em conformidade com os princípios contábeis geralmente aceitos e também padrões de auditoria geralmente aceitos;
*
AUDITORIA DE SISTEMAS
 Tempestividade: deve delinear procedimentos, monitorar os registros corretos das transações econômicas, financeiras e contábeis das empresas, processando-as e comunicando os resultados às pessoas necessárias em tempo hábil;
 Auditoriabilidade: procedimentos operacionais devem permitir a programação e verificação periódica à precisão do processo de processamento de dados e de geração de relatório, de acordo com as políticas;
*
AUDITORIA DE SISTEMAS
 Controle independente: os sistemas em funcionamento devem ter procedimentos adequados p/identificação e correções de erros no fluxo de processamento, inclusive nos processos executados concomitantemente.
 Monitoramento: deve possuir acesso master ao sistema e controle de uso que lhe permita fazer o acompanhamento pari passu das transações o gerente deve poder acessar;
*
AUDITORIA DE SISTEMAS
 Implantação: gerência deve planejar a aquisição, o desenvolvimento, a manutenção e a documentação de sistema, de forma a coincidir com as metas empresariais;
 Contingência: gerente deve implantar um plano adequado e procedimentos de implantação para prevenir-se contra falhas de controles que possam surgir durante especificações de sistema, desenho, programação, testes e documentação de sistemas e nas fases pós-implantações;
*
AUDITORIA DE SISTEMAS
 Custo efetivo: investimento em TI devem ser propriamente planejados, a fim de coincidirem com o custo efetivo.
1.1.1. Tipos de controles: há vários tipos de controle desde formais até informais, depende da sofisticação do sistema em operação.
 Controles administrativos e gerências: incluem separação convencional de funções ou responsabilidades, estabelecimento de metas e objetivos de segurança, planos orçamentários, seleção de pessoal, os objetivos e metas devem ser claros assim como seus métodos desenhados p/ assegurar aderência.
*
AUDITORIA DE SISTEMAS
 Controles de segurança e privacidade: é uma conotação ambígua de segurança de informações, p/se evitar problemas estabeleceu-se algumas propriedades dos controles de segurança, tais como:
Sigilo
Integridade
Disponibilidade
Contabilidade
Auditoriabilidade
*
AUDITORIA DE SISTEMAS
 Controles de preparação e captação de dados: exercido no começo de cada atividade de processamento de dados.
 Controles de entrada de dados: entradas erradas conduzem a saídas erradas, pode acarretar prejuízos de grande monta.
 Controles de processamento: responsáveis pelo lançamento do relatório pretendido.
 Controles de saída e de emissão de relatórios: os procedimentos de output devem ser administrados, p/assegurar que os relatórios solicitados sejam impressos ou transmitidos e que somente pessoas autorizadas possam receber.
*
AUDITORIA DE SISTEMAS
 Controles de gravação e recuperação de dados: biblioteca de dados controla a liberação de dados p/o processamento e seu conseqüente armazenamento.
1.2. Avaliação dos procedimentos de controles internos de sistemas de informações: é um trabalho executado pelo auditor que tenha habilidade em TI, p/a maior eficiência dos trabalhos sejam concentrados as tarefas de avaliação nas tarefas executadas pelos gerentes em níveis hierárquicos estratégicos e táticos.
*
AUDITORIA DE SISTEMAS
1.3 Análise de risco na avaliação de sistema de controle interno: é metodologia adotada por auditores de TI, para saber com antecedência quais ameaças puras ou prováveis em ambiente de TI de uma organização. Este busca rupturas, verifica riscos de
integridade na implementação de políticas gerenciais e de dados, sempre é sugerido pelo auditor que se faça backup de dados rotineiramente.
*
AUDITORIA DE SISTEMAS
Ferramentas e técnicas de auditoria em TI
Técnicas de auditoria assistida (TACC) poder ser aplicadas as seguintes tarefas:
 Testes de controles gerais: p.ex., testes de configuração do sistema operacional ou utilizando um software de comparação de versões p/confirmar se as versões aprovadas sã aquelas implementadas e em uso em ambiente de produção;
*
AUDITORIA DE SISTEMAS
 Testes de detalhes de transações: calcular os saldos novamente ou gerar juros sobre uma conta cliente, levando-se em conta todas as características ou fatos que geraram seu lançamento;
 Analítico e substantivo: identificar inconsistências ou flutuações anormais nas contas e grupos de contas contábeis;
 Amostragem: gerar amostras p/alimentação dos programas de auditoria.
*
AUDITORIA DE SISTEMAS
Ferramentas: auxiliam na extração, sorteio, seleção de dados e transações, atentando p/as discrepâncias e desvios, a seguir apresentamos as ferramentas mais utilizadas:
1.1. Software generalista de auditoria de TI: é um aplicativo que pode processar além de simulação paralela uma variedade de funções de auditoria e nos formatos que o auditor desejar, tais como: extração de dados, testes globais, sumarização, alguns softwares generalistas são:
*
AUDITORIA DE SISTEMAS
 ACL (Audit Command Language): é um software p/extração e análise de dados desenvolvido no Canadá;
 IDEA (Interactive Data Extraction & Analysis): software p/extração e análise de dados também desenvolvido no Canadá;
 Audimation: é a versão norte-americana do IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte sobre o produto;
*
AUDITORIA DE SISTEMAS
 Galileo: é um software integrado de gestão de auditoria, inclui gestão de riscos de auditoria, documentação e emissão de relatórios p/auditoria interna;
 Pentana: software de planejamento estratégico de auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria, inclusive de desenho e gerenciamento do plano de ação.
*
AUDITORIA DE SISTEMAS
Vantagens:
 O software pode processar vários arquivos ao mesmo tempo;
 Pode processar vários tipos de arquivos c/formatos diferentes, p.ex., EBCDIC ou ASCII;
 Poderia também fazer integração sistêmica com vários tipos de softwares e hardwares;
 reduz a dependência do auditor no especialista de informática p/desenvolver aplicativos específicos que têm caráter generalista p/todos os auditores de TI.
*
AUDITORIA DE SISTEMAS
Desvantagens:
 Como o processamento das aplicações envolve gravação de dados (arquivos) em separado p/serem analisados em ambientes distintos, poucas aplicações poderiam ser feitas em ambiente on line;
 Se o auditor precisar rodar cálculos complexos, o software não poderá dar este apoio, pois tal sistema, p/dar assistência generalista a todos os auditores, evita aprofundar lógicas e matemáticas muito complexas, principalmente da área de seguros e arrendamento mercantis. 
*
AUDITORIA DE SISTEMAS
1.2. Softwares especializados de auditoria: programas desenvolvidos especificamente p/executar certas tarefas numa circunstância definida, o programa pode ser desenvolvido pelo próprio auditor, pelos especialistas da empresa auditada ou pelo terceiro contratado pelo auditor.
Vantagens:
 Pode ser interessante p/atender aos sistemas ou às transações incomuns que não têm contemplados nos softwares generalistas, p. ex., leasing, cartão de crédito, crédito imobiliário, etc;
*
AUDITORIA DE SISTEMAS
 O auditor, quando consegue desenvolver softwares específicos numa área muito complexa, pode utilizar isso como vantagem competitiva.
Desvantagens:
 Pode ser muito caro, uma vez que seu uso será limitado e normalmente restrito a um cliente somente;
 A atualização deste software pode ser problemática por falta de recursos que acompanhem as novas tecnologias.
*
AUDITORIA DE SISTEMAS
1.3 Programas Utilitários: o auditor utiliza-se programas utilitários p/executar algumas funções muito comuns de processamento, p. ex., sortear arquivo, sumarizar.
Vantagem:
 Pode ser utilizado como quebra-galho na ausência de outros recursos;
Desvantagem:
 Sempre necessitará do auxilio do funcionário da empresa auditada p/operar a ferramenta.
*
AUDITORIA DE SISTEMAS
2. Técnicas
São elas:
 Produtividade: com melhoria no processo de planejamento, ajuda na redução do ciclo operacional da auditoria, focalizando o exercício nas funções mais importantes, sendo algumas tarefas repetitivas eliminadas, evita o stress do auditor;
 Custo: reduz custos relacionados c/auditoria, abrevia necessidade de geração de relatórios e listagens de análise;
*
AUDITORIA DE SISTEMAS
 Qualidade assegurada: uso de softwares que têm padrões devidamente testados, o auditor p/adequar seus trabalhos aos padrões internacionais geralmente aceitos obrigatoriamente, aumentando a qualidade dos serviços prestados, podendo inclusive fazer 100% de testes nos dados, aumentando a cobertura dos riscos de auditoria;
*
AUDITORIA DE SISTEMAS
 Valor agregado: disponibiliza resultados p/a tomada de decisões que necessitam de mudanças de rumos mais urgentes, facilitando também a correção dos desvios e irregularidades em tempo hábil. Possibilita a execução de procedimento nas contas e sub-conta das demonstrações financeiras, preparação de papéis de trabalho, possibilitando reflexão sobre impactos em âmbito global;
*
AUDITORIA DE SISTEMAS
 Benefícios corporativos: 
Eficiência nos trabalhos;
Eficácia, em termos de execução, de somente aqueles passos que atenuam riscos aparentes;
Otimização dos recursos disponíveis principalmente sobre compartilhamento de ambientes entre vários auditores em múltiplas localidades;
Melhoria na imagem do auditor, por estar utilizando tecnologia mais apropriada;
*
AUDITORIA DE SISTEMAS
 Benefícios para o auditor:
Independência, não depende o auditado ou de seu funcionário de processamento de dados p/gerar relatórios;
Renovação do foco de auditoria, visando atender às expectativas do mercado;
Eliminação de tarefas mais repetitivas, que podem ser automatizadas;
Mais tempo p/pensar e ser criativo nas sugestões a seus clientes;
Redução do risco de auditoria, tudo sendo programado nada passará despercebido.
*
AUDITORIA DE SISTEMAS
2.1 Dados de teste: conhecida como test data ou test deck, o objetivo é testar os controles programados e os controles de sistemas aplicativos.
Vantagem:
 Pode-se usar software gerador de dados normalmente utilizado p/gerar massa de dados nos processos testes de sistemas em desenvolvimento.
Desvantagem:
 Aplicação desta técnica é difícil planejar e antecipar todas as combinações de transações que possam acontecer em ambiente de negócios das empresas.
*
AUDITORIA DE SISTEMAS
2.2 Facilidade de teste integrado: conhecido como ITF (Integrated Test Facility) só utilizada em ambientes on line ou realtime.
Vantagens:
 Orienta quanto as facilidades do teste, os recursos do sistema, verificando a eficácia das operações em ambiente rotineiro, possibilita teste dos controles programados nos sistemas;
*
AUDITORIA DE SISTEMAS
Desvantagens:
 Os efeitos das transações devem ser estornados, dando trabalho adicionais e operacionais quando misturados com dados reais;
 As quantidades e números de dados fictícios incluídos num ambiente operacional real podem ser limitados quando submetidos com freqüência;
 Há possibilidade de se contaminar dados reais com dados fictícios em ambiente de produção da empresa;
 Somente poderia ser aplicado ao teste de controles e não a teste de transações e saldos.
*
AUDITORIA DE SISTEMAS
2.3 Simulação paralela: envolve o uso de programa especialmente desenvolvido que atenda a todas as lógicas necessárias p/um aplicativo devidamente testado e que atua como
um sistema, que tem a função de processar transações e dados anteriormente executados numa rotina normal e operacional da empresa com objetivo de verificar-se os resultados são idênticos. 
*
AUDITORIA DE SISTEMAS
Vantagens:
 Os testes podem ser feitos in loco;
 Os custos relacionados com a preparação de massa de dados ou dados fictícios que tomam tempo não existem, visto que o programa opera em ambiente real;
 Pode-se processar um grande volume de dados dos auditados, eliminando dúvidas que amostras pequenas não abrangentes possam apresentar;
 O teste é mais detalhado e mais representativo, dando maior segurança p/o auditor.
*
AUDITORIA DE SISTEMAS
Desvantagens:
 É usual executar simulação paralela com uma porção do total das transações de uma aplicação, não dando chance p/um julgamento representativo;
 O custo de desenvolvimento de uma simulação paralela pode ser muito alto;
 O auditor necessitaria de uma habilidade específica p/executar uma operação paralela, atentando p/prever um impacto negativo sobre operações que não é desejado;
 A simulação paralela tem escopo de teste muito restrito.
*
AUDITORIA DE SISTEMAS
2.4. Lógica de auditoria embutida nos sistemas: envolve inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
Vantagens:
 Todas as atividades do sistema onde é construída a lógica de auditoria podem ser monitoradas permanentemente com simples acesso de quaisquer usuários;
 Pode ser usada com sistemas processados de forma on line;
 Não apresenta restrições quanto à entrada de dados que podem ser incluídos.
*
AUDITORIA DE SISTEMAS
Desvantagens:
 Implantação da lógica de auditoria embutida nos sistemas exige custo adicional da utilização de máquina;
 As empresas podem ter dificuldades em implementa-lo se não for concebido e desenvolvido com o sistema, se for acrescido ao sistema, após implantação poderá ser muito custoso.
*
AUDITORIA DE SISTEMAS
2.5 Rastreamento e mapeamento: desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. Dá-se por apontamentos estatísticos.
Vantagens:
 Auxilia na avaliação dos controles internos que devem ser seguidos em execução dos procedimentos de controle;
*
AUDITORIA DE SISTEMAS
 Permite alertar quanto à aplicação de certos controles operacionais e seus cumprimentos, seus impactos negativos ou positivos;
 Podem ser utilizados tanto em ambiente de teste como também em ambiente de produção.
Desvantagens:
 Ao auditor é exigida uma certa habilidade avançada de tecnologia da informação que lhe permita interpretar as lógicas de programação;
*
AUDITORIA DE SISTEMAS
 Aumenta o tempo de processamento de transações; em jargão mais coloquial, o sistema fica pesado;
 O custo de implementação desta técnica pode ser alto.
2.6 Análise da lógica de programação: envolve a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas aplicativos.
*
AUDITORIA DE SISTEMAS
3. Aplicação de técnica de auditoria assistida por computador: importantes passos de TACC, são:
 Estabelecer os objetivos da aplicação da TACC;
 Determinar os dados a serem utilizados para as técnicas, inclusive forma de acesso;
 Identificar os arquivos e banco de dados a serem testados;
 Entender as entidades de relacionamentos das tabelas de dados onde a base de dados seja examinada;
*
AUDITORIA DE SISTEMAS
 Definir testes e procedimentos de testes, inclusive as transações e contas e grupos de contas afetadas;
 Definir os relatórios esperados;
 Programar junto ao cliente e sua área de informática cópias de arquivos ou bases de dados que devem ser gerados com cut-off de data e tempo adequados;
 identificar o técnico que irá processar a aplicação de TACC;
 Estimar os custos de TACC;
 Certificar que os processos de TACC foram adequadamente executados e os papéis de trabalhos documentados;
 Avaliar resultados.
*
AUDITORIA DE SISTEMAS
4. Documentação dos papéis de trabalhos de TACC: devem conter informações suficientes p/descrever os testes executados e as conclusões alcançadas.
Planejamento
Objetivos do TACC;
Consideração dos tipos de TACC a serem aplicados;
Controles e atividades de monitoramento a serem feitos pelo superior;
Alocação de funcionários, definição de horas e os custos.
*
AUDITORIA DE SISTEMAS
b) Execução
 Preparação de TACC e execução dos testes de procedimentos e controles programados;
 Detalhamento de entradas necessárias, processamento e relatórios esperados;
 Esclarecimentos de informações técnicas, p. ex., formatos de arquivos de sistemas contábeis.
*
AUDITORIA DE SISTEMAS
c) Evidenciação
 Definição dos relatórios que são gerados;
 Descrição do processo executado e dos resultados;
 Conclusões de auditoria e emissão de relatórios.
*
AUDITORIA DE SISTEMAS
Auditoria de controles organizacionais e operacionais: são controles administrativos instalados nos processos de fluxo de transações econômicas e financeiras dos sistemas de informações, auxiliando-os na consecução dos objetivos dos negócios. A responsabilidade de controles organizacionais repousa, nas seguintes tarefas:
 Delineamento das responsabilidades operacionais;
 Coordenação de orçamento de capital de informática e bases;
*
AUDITORIA DE SISTEMAS
 Desenvolvimento e implementação das políticas globais de informática;
 Intermediação de terceiros (Networking);
 Gerenciamento de suprimentos;
 Desenvolvimento de plano de capacitação.
Para que os controles organizacionais sejam efetivos, deve haver lealdade e confiança mútua entre a empresa e funcionários.
*
AUDITORIA DE SISTEMAS
Políticas organizacionais: no ambiente de alta tecnologia, quando segregamos funções, apenas dificultamos a propensão a fraudes dos fluxos operacionais. 
Descrição de cargos: descrição de cargos funções possibilitam implementação consistente de controles organizacionais da área de informática. Estão a seguir:
*
AUDITORIA DE SISTEMAS
Supervisão da infra-estrutura de TI: contempla as seguintes funções:
 Atuar junto à gerência da TI, definindo e propondo metas e soluções de forma que o patamar tecnológico e funcional esteja sempre adequado as necessidades desta pasta;
 Planejar e avaliar a capacidade da estrutura existente, indicando a adoção de novas tecnologias colocadas à disposição no mercado;
*
AUDITORIA DE SISTEMAS
 Definir e buscar recursos p/o crescimento e ampliação do ambiente;
 Coordenar as ações de implementação de projetos e metas aprovadas pela gerência de TI;
 Garantir a integração das equipes técnicas disponibilizadas p/realizar os serviços de gerenciamento de rede e suporte aos usuários;
 Implementar junto à equipe técnica os projetos e metas definidas pela gerência da TI;
*
AUDITORIA DE SISTEMAS
 Garantir o perfeito funcionamento de todo o ambiente de informática, através das equipes técnicas, reportando falhas e ações corretivas à gerência de TI;
 Manter e garantir o máximo sigilo sobre todas as informações referentes à rede da empresa.
Administração de redes: as funções são:
 Administrar, supervisionar e acompanhar as facilidades das instalações de rede;
*
AUDITORIA DE SISTEMAS
 Instalar, administrar e dar suporte de forma adequada aos servidores Windows, Linux, Novel, etc;
 Instalar, administrar e dar suporte aos servidores de e-mail, DNS, firewall e proxy da empresa e das unidades interligadas nas plataformas utilizadas;
 Administrar de forma adequada as contas de usuários e as devidas permissões de acesso às informações;
*
AUDITORIA DE SISTEMAS
 Garantir privacidade, integridade e confiabilidade dos dados contidos nos servidores;
 Implementar, administrar e realizar de forma adequadas as políticas de backup da rede;
 Gerar documentação da configuração da rede, bem como relatórios de atualizações e ocorrências dos servidores;
Monitorar o desempenho da rede e solucionar possíveis problemas de performance e falhas dos servidores;
*
AUDITORIA DE SISTEMAS
 Traçar as diretrizes p/o perfeito funcionamento da rede;
 Planejar e determinar a emissão de relatórios e quadros estatísticos referentes à utilização da rede, apontando os pontos críticos, apontando ou propondo soluções;
 Auxiliar no planejamento, implementação e acompanhamento de novos projetos de rede;
 Adotar as ações necessárias à implantação de novas tecnologias, aprovadas pela gerência de TI;
*
AUDITORIA DE SISTEMAS
 Avaliar a estrutura física e lógica da rede, adequando-a às novas tecnologias;
 Manter toda a infra-estrutura de rede, servidores, sistemas operacionais, dispositivos de conexão em perfeito funcionamento e atualizados;
 Supervisionar manutenção preventiva e corretiva, realizadas por terceiros, nos componentes da rede;
 Oferecer suporte às demais áreas técnicas quando da instalação e da configuração de qq software no ambiente.
*
AUDITORIA DE SISTEMAS
Administração de banco de dados: as funções são:
 Administrar todo o ambiente de banco de dados, Oracle, SQL Server, etc;
 Planejar e implementar as estratégias de utilização dos bancos pelas pessoas, sistemas ou programas;
 Manter ativo e em operação os sistemas elaborados em Oracle, SQL Server, etc;
 Implementar ajustes, melhorias e modificações quando surgirem novos avanços tecnológicos;
*
AUDITORIA DE SISTEMAS
 Realizar suporte técnico aos usuários do ambiente;
 Manter rigoroso sigilo sobre as informações da empresa que eventualmente sejam acessadas;
 Planejar e executar o backup dos servidores de banco de dados;
 Administrar as contas dos usuários da empresa p/ acesso ao ambiente de banco de dados;
 Dar suporte aos usuários do ambiente de banco de dados;
*
AUDITORIA DE SISTEMAS
 Planejar e determinar a emissão de relatórios e quadros estatísticos referentes à utilização do ambiente de banco de dados, apontando seus pontos críticos, adotando ou propondo soluções;
 Administrar a documentação do ambiente de banco de dados.
Administração de dados: coordena atividades dentro do departamento, auxilia na definição de dados que cada usuário necessita p/processar o aplicativo.
*
AUDITORIA DE SISTEMAS
Administração de segurança: são as funções:
 Implementar a política de segurança p/a empresa;
 Detectar possíveis invasões ou ameaças, realizando ações, corretivas seguindo a determinação da política de segurança de informações;
 Testar e determinar pontos de vulnerabilidade na rede e na política de segurança adotada, realizando ações corretivas e/ou informando os administradores responsáveis;
*
AUDITORIA DE SISTEMAS
 Manter a estrutura de segurança atualizada e customizar o sistema de segurança de acordo com a política;
 Garantir a privacidade, integridade e confiabilidade dos dados contidos nos servidores;
 Pesquisar novas falhas de segurança dos sistemas operacionais e produtos utilizados pela empresa;
 Gerar e manter documentação atualizada;
 Gerar material de apoio visando à disseminação da cultura de segurança de informação
*
AUDITORIA DE SISTEMAS
 Pesquisar novas soluções de segurança;
 Manter e garantir o máximo sigilo sobre todas as informações referentes à rede da empresa.
Análise, programação e manutenção de sistemas: são qualificados p/analisar e projetar os sistemas de informações, inspecionam o sistema existente, analisando as exigências de informação das organizações e designam sistemas novos p/a satisfação das novas necessidades. São funções:
*
AUDITORIA DE SISTEMAS
 Projetar e desenvolver sistemas necessários, de acordo com determinação da gerência de TI, utilizando o banco de dados, Oracle, SQL server e outros;
 Implementar sistemas corporativos utilizando como linguagens de programação o Visual Basic, Delphi, etc, nas suas versões atualizadas ou que julgarem adequadas;
 Implementar sistemas p/web utilizando linguagens de programação ASP e o Java nas suas versões mais atualizadas;
*
AUDITORIA DE SISTEMAS
 Realizar os trabalhos de análise e elaboração de especificação funcional e técnica e elaborar a sua respectiva documentação p/os sistemas a serem desenvolvidos;
 Na questão das implementações de sistemas p/web, interagir com o web designer de forma a estabelecer uma total integração entre o design e a programação inserida nas páginas do site;
 Corrigir falhas decorrentes de erros humanos ou técnicos dos sistemas, mantendo um serviço permanente de acompanhamento e verificação de programas;
*
AUDITORIA DE SISTEMAS
 Executar a programação, os testes de validação e a implantação dos sistemas;
 Manter a documentação funcional e técnica do sistema sempre atualizada durante a fase de desenvolvimento, implantação e manutenção;
 Implementar ajustes, melhorias e modificações quando surgirem novos avanços tecnológicos, ou em conseqüência de mudança das regras de negócios praticadas;
 Realizar suporte aos usuários do ambiente e das aplicações desenvolvidos;
*
AUDITORIA DE SISTEMAS
 Garantir cursos de operação e reciclagem aos usuários dos sistemas desenvolvidos;
 Fornecer manuais dos sistemas ou suas atualizações, mantendo o controle sobre os mesmos;
 Manter rigoroso sigilo sobre informações da empresa a que eventualmente possam ter acesso;
 Manter documentados todos os sistemas desenvolvidos pela área;
 Manter o(s) programa(s) fonte(s) originais e suas novas versões em local adequado e seguro;
 Definir o projeto e a arquitetura de sistema no caso de contratação de empresa especializada p/a sua implantação.
*
AUDITORIA DE SISTEMAS
Operador de console: responsável pelo processo atual de dados, conforme manual de operações e mensagens recebidas dos sistemas; eles carregam dados, montam dispositivos de armazenamento e operam os equipamentos compartilhados ou gerenciados em forma de rede, normalmente em ambiente de grande porte.
Operadores de conversão de dados: executam as tarefas de preparação de dados e transmissão.
*
AUDITORIA DE SISTEMAS
Bibliotecários: mantêm controle sobre a responsabilidade de se ter documentar programas e arquivos de dados, não devem ter nenhum acesso a equipamento ou deter habilidades p/perpetuar a fraude.
Suporte técnico: são as funções:
 Realizar a manutenção preventiva e corretiva de todos os equipamentos instalados na empresa, e dos que venham a ser adquiridos;
 Encaminhar, quando necessário, os equipamentos com defeito p/a oficina e/ou laboratório próprio, ou da contratada, ou do fabricante (nos casos de garantia) para realizar a manutenção corretiva;
*
AUDITORIA DE SISTEMAS
 Realizar todo o inventário de hardware e software;
 Manter informado o encarregado de suporte sobre o andamento dos trabalhos;
 Instalar e conectar à rede novos micro, bem como mudanças de localização dos conectados;
 Instalar, remanejar e manter a estrutura de cabeamento da empresa;
 Instalar, configurar e dar suporte em todos os sistemas operacionais, utilitários e aplicativos utilizados pelos usuários da empresa;
*
AUDITORIA DE SISTEMAS
 Realizar periodicamente inspeção preventiva nos cabos, conectores, equipamentos de comunicação e placas de rede dos micro;
 Controlar a disponibilidade de licenças de uso de todos os softwares da empresa, antecipando necessidades;
 Realizar suporte técnico aos usuários quando necessário;
 Emitir parecer técnico de novos softwares, verificando se eles atendem às necessidades técnicas da empresa; 
*
AUDITORIA DE SISTEMAS
 Realizar o suporte ao uso de ferramentas de automação de escritórios;
 Acompanhar cada chamado aberto até a sua solução, interagindo com o usuário final e a equipe técnica p/que tal solução seja a mais breve possível;
 Manter informado o encarregado do suporte sobre o andamento dos trabalhos;
 Coordenar o desenvolvimento de sistemas e de avaliação de projetos de informatização;
*
AUDITORIA DE SISTEMAS
 Coordenar e gerenciar a equipe de desenvolvimento
de sistemas, adequando as disponibilidades de recursos com as demandas de implementação de sistemas e suas respectivas prioridades;
 Coordenar todos os trabalhos de análise e elaboração de especificação técnica de sistemas e as suas respectivas documentações;
 Gerenciar os trabalhos de desenvolvimento de sistemas da empresa ou terceirizados;
 Propor políticas de utilização de ferramentas de TI na área de desenvolvimento de sistemas;
*
AUDITORIA DE SISTEMAS
 Analisar e avaliar os projetos de TI, elaborados e apresentados pelas outras unidades da empresa e elaborar pareceres, indicando pontos falhos, quando houver, e as sugestões e recomendações p/a correção dos mesmos;
 Assessorar a gerência de TI em discussões internas de definição de políticas e ações de TI a serem adotadas pela empresa.
*
AUDITORIA DE SISTEMAS
Supervisão de help desk: documentar os problemas operacionais, deve solucionar problemas secundários e os problemas mais difíceis encaminhar p/os mais técnicos. São funções:
 Traçar as diretrizes p/o perfeito funcionamento da área de suporte ao usuário, atendimento e manutenção da rede da empresa e seus componentes de hardwares e softwares básicos, definindo e priorizando as manutenções solicitadas pelos usuários e administrando a alocação da equipe de suporte aos usuários; 
*
AUDITORIA DE SISTEMAS
 Planejar e determinar a emissão de relatórios e quadros estatísticos referentes às ocorrências de chamados, apontando seus pontos críticos, e adotar ou propor soluções, visando a proatividade;
 Auxiliar no planejamento, implementação e acompanhamento de novos projetos da área;
 Coordenar os trabalhos da equipe de suporte, de modo que todos os componentes tenham plena capacidade de funcionamento e o tempo por inatividade por falhas seja o menor possível;
 Efetuar o controle de qualidade de serviços prestados, pelo acompanhamento da solução apresentada pelos técnicos da contratada, e a satisfação do usuário requerente.
*
AUDITORIA DE SISTEMAS
Grupo de controle de dados: deve ser independente de desenvolvimento de sistemas, programação e operações, recebe entrada de usuários, registra, transfere ao centro de processamento, monitora o processo de conversão de dados, recebe mensagens de erros e promove as revisões, compara totais de controle, distribui resultado, e certifica que as correções de erros foram feitas por usuários.
*
AUDITORIA DE SISTEMAS
Supervisão de restart/recovery: processo de tomada de cuidados p/evitar a perda de dados no decorrer da geração das transações, são funções:
 Gravar os backups atentando p/enfoque avô-pai-filho, todos os arquivos, banco de dados, dados, programas e sistemas p/um período definido, são gravados três gerações de arquivos-mestres;
 Implementar o procedimento do ponto de checagem;
 Implementar o procedimento de rollback, recuperação através do esvaziamento do conteúdo arquivo-mestre e estruturas de dados associadas sobre um arquivo posterior;
*
AUDITORIA DE SISTEMAS
 Recuperar banco de dados;
 Implementar o mecanismo de antes-imagem/depois-imagem captura os valores de dados antes e depois de transação que processa e o arquivo-mestre;
 Instalar nobreak;
 Instalar antivírus;
 Implementar hot-site e providenciar o cold-site, um local quente é uma agência de serviço, e um local frio é a facilidade de concha p/instalar equipamento dem caso de contingência pelo usuário.
*
AUDITORIA DE SISTEMAS
Objetivos de auditoria: é testar a grande essência do controle interno, promover a eficiência das operações e fomentar a maior adesão às políticas prescritas pela gerência com maior foco na responsabilidade, visando a transparência dos controles organizacionais da área de informática.
Alguns pontos que a auditoria de se ater:
 Segregação de responsabilidades da área de informática;
 Implementação de normas administrativas visando disseminar constantemente os pensamentos dos gestores, delimitando as responsabilidades de cada um;
*
AUDITORIA DE SISTEMAS
 Políticas salariais e planos de carreiras;
 Treinamento de pessoal;
 Prêmios e bonificações.
*
AUDITORIA DE SISTEMAS
Aquisição, Desenvolvimento, Manutenção e Documentação de Sistemas: são atribuídas aos indivíduos que tem competências p/conceber e implantar sistemas. São funções:
 Planejamento de sistemas de informações;
 Aquisição de sistemas;
 Especificação, programação, teste e implementação de sistemas novos;
 Modificação dos programas das aplicações existentes;
Manutenção preventiva dos sistemas aplicativos;
 Documentação e controle sobre versões de programas em produção.
*
AUDITORIA DE SISTEMAS
Controles de desenvolvimento e manutenção de sistemas: regras a serem seguidas:
 Quando da modificação do programa em ambiente de produção, deve ser redesenhado, observando até a sua conclusão, não devendo ser alterado, a documentação deverá revisada quando da transferência final;
 Mudanças no programa devem ser testadas pelo usuário e o auditor interno, recomenda-se que um funcionário não envolvido na projeção de mudanças faça análise dos resultados;
*
AUDITORIA DE SISTEMAS
 Aprovação da mudança deve ser documentada e o resultado de testes deveria ser aprovado por um gerente de sistemas. A mudança e os resultados do teste devem ser aceitos pelo usuário;
 Mudanças de programa sem autorização não podem ser implementadas em ambiente de produção, se ocorrerem devem ser descobertas por meio de comparação de versões, e periodicamente ser revisada pelos auditores. Um software pode ser usado p/executar este procedimento.
*
AUDITORIA DE SISTEMAS
Controles de documentação de sistemas: são documentos que apóiam e explicam aplicação dos programas que depois de compilados orientam o funcionamento deles. São necessários alguns padrões:
 Documentação deverá ser guardada em uma biblioteca que tenha um controle de acesso;
 Documentos estar sujeito a padrões uniformes relativos a técnicas de codificação etc;
 Documentos de sistema inclui descrições narrativas,arquivo, plano de registro, etc.;
*
AUDITORIA DE SISTEMAS
 Documentação de programa contém descrições de dados de teste, pedidos de mudança, instruções de operador e controles;
 Documentação operacional provê informação sobre organização, arquivos necessários e dispositivos, procedimentos de contribuição, mensagens do console, procedimento de recuperação;
 Documentação processual inclui o plano-mestre do sistema e operações a serem executados, padrões de documentação;
 Documentação do usuário descreve o sistema e procedimentos p/entrada de dados, conferência e correção de erros, formatos e usos de relatórios.
*
AUDITORIA DE SISTEMAS
Objetivos da auditoria: dos controles de aquisição, desenvolvimento, manutenção e documentação de sistemas aplicativos devem ser respondidas as seguintes questões:
 Há procedimento de formalização da real necessidade p/um novo sistema?
 As especificações são feitas de forma diligente, confrontando os conhecimentos dos usuários com os do analista de sistema, visando dar suporte aos projetos?
*
AUDITORIA DE SISTEMAS
 Os desenvolvimentos de testes e instalação na produção são feitos sem traumas p/os usuários?
 Há informações apresentadas p/que os usuários possam decidir entre aquisição e desenvolvimento interno?
 O desenvolvimento segue os padrões e utiliza todas as ferramentas p/alinhá-lo com os sistemas já existentes?
 AS questões básicas operacionais/funcionalidade, tecnologia, pós-vendas, segurança e análise de custo e benefícios, são esclarecidas quando da decisão de compras externas?
*
AUDITORIA DE SISTEMAS
 Os usuários são treinados p/utilizar os sistemas com todos os potenciais que possuem?
 As manutenções são feitas sem interrupção das operações normais da empresa?
 As documentações são consistentes e disponíveis para orientar os usuários?
Alguns itens do checklist:
 Especificação do sistema;
 Aquisição de sistemas;
 Programação, Teste;
 Documentação; Manutenção.
*
AUDITORIA DE SISTEMAS
Auditoria de controles de hardware: objetiva implantar os procedimentos de segurança física sobre os equipamentos instalados em ambientes de informática de uma organização.
Compreensão do processo de controle de hardwares: podem ser físicos e automatizados, implicam uma diversidade de procedimentos que orientam o manuseio dos equipamentos, para os auditores esses controles asseguram a execução correta de instruções dadas para as máquinas através de programas representados pelo sistema de aplicação.
*
AUDITORIA DE SISTEMAS
Objetivos da auditoria de controles de hardwares: dois eixos a serem seguidos:
1. No tocante aos equipamentos capazes de restringir acessos internamente dentro da organização, por conseguinte garantindo a proteção dos terminais, unidade central de processamento, servidores, unidades de conversão de dados, etc.;
*
AUDITORIA DE SISTEMAS
2. Se há equipamentos que restrinjam acessos físicos de pessoas alheias ao ambiente de processamento; pessoas que têm interesse pelas informações da organização e que não tem permissão para acessa-las.
Alguns itens do checklist:
 Controle de acesso ao ambiente de informática;
 Controle de acionamento e desligamento de máquinas;
 Controle de acesso físico e equipamentos de hardware e periféricos e do transporte;
*
AUDITORIA DE SISTEMAS
 Localização e infra-estrutura do CPD;
 Controle de Backup e off-site;
 Controles de aquisição e disposição do equipamento;
 Controles sobre o ambiente e informações com relação à definição da plataforma de hardware, software, sistema operacional e os riscos inerentes;
 Controles sobre os recursos instalados; 
 Garantia de integridade de transmissão.
*
AUDITORIA DE SISTEMAS
Auditoria de Controles de Acesso: essa função é atribuída à tarefa de desenvolvimento, implementação e acompanhamento de políticas de segurança e informações.
Objetivos de auditoria de controles de acessos: dois aspectos devem ser considerados:
1. Acesso físico: controle sobre acesso físico ao hardware, incluindo a CPU, unidades de disco, terminais, arquivos de dados;
*
AUDITORIA DE SISTEMAS
2. Acesso lógico: controle sobre o acesso aos recursos do sistema, incluindo a possibilidade de acesso a dados ou processamento de programas e transações.
Itens de checklist:
 A empresa possui rotinas de aprovação e autorização automática que podem causar a movimentação de grande quantidade de ativos, incluindo caixa, investimentos ou estoques?
*
AUDITORIA DE SISTEMAS
 Um número significativo de procedimentos de controle programados depende da existência de controles de acesso adequados, i.é, de conhecimento dos proprietários dos sistemas?
 As competências exigidas dos funcionários são disponíveis no ambiente que o sistema operará?
*
AUDITORIA DE SISTEMAS
Papéis de trabalho de teste de controles de acessos: itens que deverão ser verificados in loco:
 Há políticas de segurança estabelecidas que forneçam de forma geral diretrizes e forma de implementação de normas de segurança?
 Há rotinas e procedimentos estabelecidos p/a distribuição ou modificação do nível de acesso?
 Há um software de controle de acesso em uso ou outra restrição de acesso, na amplitude possível, pelo sistema operacional, p/restringir acessos de usuários somente aos recursos computadorizados necessários p/executar suas funções de trabalho?
*
AUDITORIA DE SISTEMAS
 Políticas e diretrizes de segurança;
 Software de segurança;
 Cadastramento de usuários e alterações de senhas;
 Controle de acesso a transações;
 Controle sobre a utilização de softwares;
 Controle sobre utilização de redes locais.
*
AUDITORIA DE SISTEMAS
Auditoria de operação do computador: auxiliar na documentação dos procedimentos executados na operação dos computadores de uma organização.
Compreensão do processo de operação: operações mais comuns:
 Planejamento, controle e monitoramento de operações;
 Planejamento de capacidade;
 Monitoramento de todos os sistemas e as redes;
 Inicialização do sistema e do desligamento
*
AUDITORIA DE SISTEMAS
 Gravação, rastreamento dos problemas e monitoramento de um tempo de respostas;
 Gerenciamento de mudanças estruturais e pessoais;
 Gestão das unidades, dos periféricos e inclusive dos equipamentos remotos;
 Gerenciamento de bibliotecas;
 Programação dos processamentos e acompanhamento das operações;
 Automação da produção;
*
AUDITORIA DE SISTEMAS
 Backup de sistemas, programas, dados e banco de dados;
 Gerenciamento de help desk;
 Coordenação e programação de upgrades dos equipamentos;
 Gestão restart/recovery.
*
*
OBLETIVOS DA AUDITORIA DE SISTEMAS
Objetivos da auditoria: é garantir que todos os passos envolvidos na origem dos dados, as lógicas envolvidas no processamento das tarefas e os procedimentos mínimos de emissão de relatórios sejam obedecidos. Visando que os controles das transações econômicas e financeiras executadas na empresa sejam fidedignas, confirmando o nível de confiabilidade dos auditores das demonstrações financeiras ou auditoria interna neste ambiente.
*
AUDITORIA DE SISTEMAS
Procedimentos do controle interno:
 Controles sobre o processo operacional;
Controles sobre o monitoramento;
 Controles sobre as entradas em batch;
 Controles sobre a identificação e correção de problemas;
 Controles sobre restart e recovery;
 Se houver necessidades p/fazer mudanças em ambiente de operação, há controles que evitem que as operações dia-a-dia sejam interrompidas e evitem perdas financeiras?
*
AUDITORIA DE SISTEMAS
Auditoria de controles de suporte técnico: 
Funções rotineiras:
Gerenciamento de help desk;
Socorro aos problemas de instalação de redes;
Monitoramento das ocorrências de problemas;
Treinamentos dos usuários dos softwares;
Revisão preventiva dos equipamentos;
Substituição dos equipamentos antigos;
Segurança de informações, quando não há administrador de segurança de informações.
*
AUDITORIA DE SISTEMAS
b. Funções esporádicas:
 Dimensionamento de banco de dados;
 Instalação de softwares utilitários;
 Manutenção dos sistemas operacionais;
 Instalação de upgrades;
 Avaliação de softwares para fins de compra;
 Padronização dos recursos de TI;
 Ativação de redes, estações, etc.
*
AUDITORIA DE SISTEMAS
Objetivos de auditoria: é constatar se os recursos de alta tecnologia da empresa estão sendo utilizados adequadamente.
Programa de testes de controles:
 Os sistemas operacionais processam aplicativos relevantes aos processos de negócios?
 Existem procedimentos padronizados p/aquisição de softwares utilitários?
 O cliente possui um sistema de banco de dados que mantém dados usados no processo contábil?
*
AUDITORIA DE SISTEMAS
 O cliente tem um grupo de suporte técnico que efetua a manutenção do sistema operacional e outros softwares de sistema?
 O grupo de suporte técnico mantém pessoas para treinar usuários sobre o uso pleno dos recursos de TI?
 O grupo de suporte técnico possui equipe de help desk?
 O cliente utiliza comunicação extensiva de dados que envolvam locais distantes e o uso de linhas de comunicação?
*
AUDITORIA DE SISTEMAS
Procedimentos de auditoria de sistemas aplicativos: referem-se aos procedimentos executados p/averiguar se os sistemas que constituem o cerne de negócio de uma empresa registram as transações rotineiras adequadamente. 
Compreensão do fluxo de sistemas aplicativos: consiste na avaliação do uso dos computadores para definir se sua aplicação é baixa, significativa ou alta no processamento dos sistemas aplicativos.
*
AUDITORIA DE SISTEMAS
Identificação de sistemas chaves: é fundamental para que o auditor possa direcionar seus esforços de avaliação aos sistemas importantes p/a consecução dos objetivos dos negócios, são seis sistemas chaves:
Sistemas de faturamento/contas a receber;
Sistemas de compras/contas a pagar;
Sistema de gestão de pessoal/folha de pagamento
Sistemas de estoques/custo
de produção;
Sistemas de ativo fixo;
Sistema de contabilidade geral. 
*
AUDITORIA DE SISTEMAS
b. Descrição do sistema: finalidade do sistema na condução do negócio, são controles que atenuam os riscos.
c. Descrição do perfil do sistema: cita-se o volume aproximado de transações processadas por mês, menciona os softwares em uso.
d. Documentação da visão geral do processamento: aplicativos que facilitem a modelagem e a execução dos processo de negócios;
e. Descrição de riscos dos sistemas aplicativos: deve-se documentar se o sistema opera em ambiente de produção ou de desenvolvimento.
*
AUDITORIA DE SISTEMAS
Objetivos da auditoria: concluir a respeito dos sistemas aplicativos classificados como chaves e das funções-chaves dos sistemas à consecução das missões empresariais, são:
 Integridade;
 Confidencialidade;
 Privacidade;
 Acuidade;
 Disponibilidade;
 Auditabilidade;
 Versatilidade;
 manutenibilidade.
*
AUDITORIA DE SISTEMAS
A auditoria tem por objetivo certificar-se de:
 As transações registradas nos sistemas são provenientes das operações normais da empresa;
 As transações estejam corretamente contabilizadas nos sistemas, de conformidade com os princípios fundamentais das legislações vigentes;
 Os princípios sejam uniformemente aplicados nos sistemas, subsistemas e sistemas consolidadores das contas ou grupos de contas contábeis, e ainda em relação aos exercícios anteriores;
*
AUDITORIA DE SISTEMAS
 Os controles independentes embutidos nos sistemas aplicativos sejam plenamente aplicados p/certificar as consistências dos lançamentos, garantia dos processamentos e emissão dos relatórios que reflitam o resultado das transações;
 O sistema aplicativo tenha possibilidade de integrar-se inteiramente com a contabilidade geral. Não há como se fechar transações econômicas, financeiras e contábeis de um mês sem processar uma interface importante de sistema-chave para a geração das demonstrações financeiras.
*
AUDITORIA DE SISTEMAS
Procedimentos do controle interno: revisão para facilitar o apontamento dos pontos de controles que devem ser testados, que são:
 Atribuição de responsabilidades e autoridades com perfis de acessos às pessoas e aos sistemas;
 Segregação das funções incompatíveis;
 registro das transações de forma dependente com suas consistências de forma íntegra;
 Contabilizações em tempo hábil;
 Monitoramento das operações;
 Levantamento de relatórios.
*
AUDITORIA DE SISTEMAS
Avaliação de software de auditoria de sistemas: programas aplicativos cujo objetivo é incrementar a qualidade do trabalho do auditor e conseqüentemente dos sistemas em análise, fazendo com que o serviço de auditoria seja interativo com os recursos.
Pré-requisitos: tais como:
 Cultura, missão, objetivos e programas de trabalho;
 Características essenciais com relação à abrangência dos serviços e produtos gerados e oferecidos;
 Interesses e necessidades de informação de usuários;
*
AUDITORIA DE SISTEMAS
 Plataforma tecnológica existente na instituição em termos de software e hardware, bem como sua capacidade de atualização e ampliação;
 recursos humanos disponíveis.
Metodologia de seleção: aspectos:
 Análise de documentos que registram experiências semelhantes;
 Análise de catálogos, prospectos, folders e documentação sobre os pacotes disponíveis no mercado;
*
AUDITORIA DE SISTEMAS
 Contato com os fabricantes;
 Visitas a usuários dos produtos p/verificar o grau de satisfação, bem como os problemas detectados quando da implantação, acompanhamento e manutenção dos serviços;
 Trocas de informações com instituições semelhantes;
 Análise organizacional, capacidade institucional, tecnológicos e computacional da instituição, seus produtos e serviços;
 Análise da idoneidade das instituições detentoras dos produtos, evitando a contratação de uma empresa sem história e credibilidade no mercado.
*
AUDITORIA DE SISTEMAS
Aspectos funcionais:
 Apoiar o planejamento da auditoria;
 Apresentar papéis de auditoria;
 Extrair diretamente dados de banco de dados;
 Permitir à auditoria criar novos modelos de papéis de auditoria;
 Facilitar o uso de procedimento pré-cadastrados;
 Manter controle sobre os arquivos gerados por outros programas;
 Armazenar imagens relacionadas ao processo;
 Utilizar listas p/preenchimento de campos;
*
AUDITORIA DE SISTEMAS
 Permitir comentários do auditor;
 Apoiar o acesso on line ao banco de documentos de processos;
 Customizar as normas e legislações no mesmo banco de dados dos processos;
 Permitir trabalho off line independentemente dos processos normais;
 Apoiar auditoria em grupos e em lugares separados e distantes;
 Emitir relatório final a partir dos dados armazenado nos bancos.
*
AUDITORIA DE SISTEMAS
Aspectos da gestão:
 Apoiar o planejamento anual dos projetos de auditoria;
 Alocar tempo de auditor;
 Customizar normas e legislação no mesmo banco de dados dos processos;
 Permitir supervisão on line;
 Apoiar o processo de análise do relator e de julgamento do plenário;
 permitir anexação de recurso.
*
AUDITORIA DE SISTEMAS
Aspectos relacionados a tecnologia:
 Interface windows;
 Integração com e-mail;
 Arquitetura cliente/servidor p/acesso e atualização de dados em redes locais e remotas;
 Pesquisa por palavra ou string;
 Protege documento p/edição apenas pelo autor;
 Protege documento aberto por vários usuários;
 Níveis diferenciados de acesso aos documentos;
 Log de alterações;
*
AUDITORIA DE SISTEMAS
 Importar arquivos Word, excel, etc.;
 Facilidade de programação extra;
 Interface gráfica;
 Acesso a base de dados via browser de internet;
 Segurança na forma e no registro de gerenciamento dos dados, compartilháveis ou não;
 Capacidade de armazenamento compatível com o volume de dados;
 recuperação de base de dados textuais;
 Acesso simultâneo de usuários à base de dados;
 Treinamento p/os diferentes níveis de usuários.
*
AUDITORIA DE SISTEMAS
Aspectos de fornecimento de suporte:
 Apoio na implantação;
 Contrato de assistência técnica p/instalação/manutenção;
 Disponibilização do código fonte aberto;
 Clientes que implantaram os sistemas;
 Upgrade de versão sem custo p/o contratante;
 Implementações das solicitações feitas ao fornecedor.
*
AUDITORIA DE SISTEMAS
Estrutura de custos:
 Valor de licença de uso;
 Taxa de manutenção;
 Serviços de customização;
 Serviços de treinamento;
 Serviços de apoio na implantação;
 Viagens e diárias.
*
AUDITORIA DE SISTEMAS
Avaliação de pacotes de auditoria de sistemas:
 Performance;
 Versatilidade;
 Consistência;
 Rastreabilidade;
 Compatibilidade;
 Facilidade de uso/interface com o usuário;
 Automação de processo.
*
AUDITORIA DE SISTEMAS
Auditoria de plano de contingência e de recuperação de desastres: medidas operacionais estabelecidas e documentadas para serem seguidas, no caso de ocorrer alguma indisponibilidade dos recursos de informática, evitando-se que o tempo em que as máquinas fiquem paradas acarrete perdas materiais aos negócios da empresa. Classificam-se em:
A – Alto risco
B – Risco intermediário
C – Baixo risco
*
AUDITORIA DE SISTEMAS
Objetivo da auditoria de plano de contingência e de recuperação de desastres:
 Há planos desenvolvidos que contemplem todas as necessidades de contingências;
 Esses planos são suficientemente abrangentes p/ cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre outros;
 A equipe de contingência está preparada p/as eventualidades;
 Esses planos são testados periodicamente;
*
AUDITORIA DE SISTEMAS
 Os backups são atualizados;
 Os mesmos backups podem ser recuperados com pouca ou nenhuma dificuldade;
 há relatórios gerenciais que facilitam o acompanhamento dos procedimentos;
 Os relatórios são confiáveis.
*
AUDITORIA DE SISTEMAS
Bibliografia:
 ALBUQUERQUE, Ricardo; RIBEIRO, Bruno. Segurança no desenvolvimento
de software, RJ: Campus, 2002
 GIL, Antonio de Loureiro. Auditoria de computadores, 5 ed. São Paulo, Atlas, 2000
 _____. Auditoria operacional e de gestão. São Paulo: Atlas, 1996
 _____. Como evitar fraudes, pirataria e conivência. São Paulo: Atlas, 1997
 _____. Fraudes informatizadas. São Paulo: Atlas, 1996
 _____. Segurança em informática. São Paulo: Atlas, 1994
 SÊMOLA, Marcos. Gestão da segurança da informação:uma visão executiva. Rio de Janeiro: Campus, 2003
*
*
De Help Desk: