Auditoria de Sistemas Parte I Alunos

Prévia do material em texto

AUDITORIA E SEGURANÇA DA 
INFORMAÇÃO 
 
 
 
 
Unidade I 
 
 
 
 
CONTROLE INTERNO E AUDITORIA DE 
SISTEMAS 
 
 
 
 
 
 
 
 
 
 
 
 
 
UNIDADE I – CONTROLE INTERNO E AUDITORIA 
DE SISTEMAS
 
CAPÍTULO I – INTRODUÇÃO À AUDITORIA DE SISTEMAS
 
 
 
OBJETIVOS ESPECÍFICOS DO CAPÍTULO 
 
No final deste capítulo, o estudante deverá ser capaz de: 
 
 Compreender o conceito auditoria, sua origem e evolução; 
 
 Compreender a forma de auditoria na era de informação; 
 
 Compreender os objetivos de uma auditoria de sistemas; 
 
 Descrever os tipos de auditoria de sistemas e o perfil de um auditor; 
 
 
 
1.1 A AUDITORIA DE SISTEMAS 
 
Segundo Gentil (2008), pode-se conceituar auditoria como sendo o ato de 
examinar as operações, processos, sistemas e responsabilidades de gestão 
de uma organização com o intuito de verificar o cumprimento das normas, 
objetivos e metas prefixadas pela mesma. Portanto, a auditoria visa 
examinar de forma crítica as atividades de uma organização ou outra 
entidade com o objetivo de avaliar a sua eficiência e eficácia. 
 
 
1.2 A ORIGEM DA AUDITORIA NOS PAÍSES DESENVOLVIDOS 
 
Segundo Crepaldi (2006), o termo auditor originou-se no final do século 
XIII, na Inglaterra, sob o poder do rei que mencionava o termo auditor 
sempre que se referia ao exame das contas, alegando que se estas não 
estivessem correctas, iria punir seus responsáveis. 
Posteriormente, nos Estados Unidos da América, como exemplo, as 
grandes empresas de transporte ferroviário criaram unidades fiscais 
chamadas “Travelling Auditors” (Auditores Viajantes), que tinham a 
função de visitar as estações rodoviárias e assegurar que todo produto da 
venda de passagens e de fretes de carga estavam sendo arrecadados e 
contabilizados correctamente. E após a fundação do The Institute of 
Centro Universitário Christus - Unichristus 2
 
 
 
Internal Auditors (Instituto de Auditores Internos), em Nova York, a 
auditoria interna passou a ser vista de forma diferente. De um corpo de 
funcionários de linha, subordinados a contabilidade, aos poucos passou a 
ter um enfoque de controle administrativo, com a finalidade de avaliar a 
eficácia e a efetividade dos controles internos. 
Logo o seu campo de ação funcional estendeu-se para todas as áreas e 
para manter sua independência, passou a subordinar-se diretamente à alta 
administração. 
 
 
 
1.3 EVOLUÇÃO HISTÓRICA DA AUDITORIA 
 
1.4 AUDITORIA NA ERA DA INFORMAÇÃO 
 
No decorrer das últimas décadas, o ritmo das mudanças, no mundo, se 
caracterizou por extraordinária rapidez. Estas mudanças afetaram 
profundamente as organizações, seja em sua estrutura, cultura ou 
Ainda de acordo com Crepaldi (2006), a causa da evolução da auditoria, 
que é decorrente da evolução da contabilidade, foi a do desenvolvimento 
econômico dos países, do crescimento das empresas e expansão das 
atividades produtoras, gerando crescente complexidade na administração 
dos negócios e de práticas financeiras. 
 
Por meio destes fatos históricos, verifica-se que o surgimento da auditoria 
apoiou-se na indispensável necessidade de confirmação, por parte dos 
utilizadores, sobre a realidade econômica e financeira do patrimônio das 
empresas investigadas, essencialmente, no surgimento de grandes 
empresas multigeograficamente distribuídas e simultaneamente ao 
desenvolvimento econômico que permitiu a participação acionária na 
formação do capital de muitas empresas, gerando crescente complexidade 
na administração dos negócios e de práticas financeiras. 
 
Porém, como a auditoria provém da contabilidade, ainda é indicado o 
conjunto de dados históricos que permitem a comparação entre estas duas 
atividades. Com o conhecimento da evolução dos fatos criadores do 
trabalho de auditoria, verifica-se que esta se estabeleceu pelo exame 
científico e sistêmico dos registos, documentos, livros, contas, inspeções, 
obtenção de informações e confirmações internas e externas, sujeitos as 
normas apropriadas de procedimentos para investigar a veracidade das 
demonstrações contábeis e o cumprimento não somente das exigências 
fiscais como dos princípios e normas de contabilidade e sua aplicação 
uniforme. 
 
 
 
Centro Universitário Christus - Unichristus 3
 
 
Segundo Velthuis (2007), a partir dos anos 50 a informática se converteu 
em uma área muito importante na área de auditoria financeira, e permite 
levar a cabo de forma rápida e precisa, operações que manualmente 
consumiam demasiados recursos. 
 
Notou-se també
sistemas de informação, assim surge 
funcionam corretamente
surgiu nova área 
tecnologias e sistemas de informação. 
 
 
1.5 OBJETIVOS DE UMA AUDITORIA DE SISTEMAS 
 
Nas organizações informatizadas é imprescindível que as tecnologias 
envolvidas respondam as necessidades da organização, por exemplo os 
computadores devem estar disponível a qualquer tempo para responder as 
necessidades dos utilizadores, os sistemas implantados na organização 
devem fornecer uma segurança, de modo que os utilizadores acessem 
somente informações que lhes dizem respeito. 
 
Segundo Cannon (2008), a auditoria consiste em rever o passado. O 
comportamento. As organizações passaram por três fases durante o século 
XX: a era industrial clássica, a era industrial neoclássica e a era da 
informação. 
Enquanto nas duas primeiras foram destacadas as tarefas, as pessoas, a 
tecnologia e o ambiente, na última e atual era, devido às mudanças e 
transformações, ocorre em um contexto globalizado e dinâmico, em que a 
competitividade se dá em nível mundial, as relações comerciais ignoram 
fronteiras e culturas nacionais e a informação imediata faz com que as 
organizações necessitem ser ágeis, flexíveis e rápidas em suas respostas 
aos desafios cada vez mais complexos e, ainda, provoca diversidade em 
relação à composição humana dentro das organizações e incentiva a 
modificação nas funções das pessoas que nelas trabalham, de forma direta 
ou indireta. 
 
Na atualidade a informação se converte em um dos ativos principais nas 
empresas, representados por tecnologias e sistemas relacionados com a 
informação. Podemos afirmar que as empresas investem enormes valores e 
tempo na aquisição e desenvolvimento de soluções tecnológicas com 
intuito de flexibilizar a gestão de suas atividades. Daí que os temas 
relacionados com auditoria informática tenham maior relevância mundial. 
m que as organizações tornaram-se dependentes de 
a necessidade de verificar se estes 
. Nos finais dos anos 60, descobriu-se vários 
casos de fraude cometidos com ajuda de computador. É neste contexto que 
denominada Auditoria de Sistemas, cujo objetivo é 
precisamente verificar o funcionamento correto, eficaz e eficiente das 
Centro Universitário Christus - Unichristus 4
 
auditor de SI deve seguir o processo de auditoria definido, estabelecer o 
critério de auditoria, obter evidências significativas e providenciar uma 
opinião independente em relação ao controlo interno. A auditoria envolve 
o uso de várias técnicas de coleta de evidências significativas, e efectua a 
comparação entre evidências da auditoria e referências de padrões. 
 
De acordo com Anaguano (s.d.), a auditoria informática tem os seguintes 
objetivos: 
 
1. O controle da função sistemica; 
2. A análise da eficiência dos sistemas de informação; 
3. A revisão da gestão eficaz dos recursos computacionais; 
4. A verificação do cumprimento dos padrões e normas. 
 
 
 
1.6 TIPOS DE AUDITORIA 
 Financeira. Trata da veracidade dos estados financeiros. Preparação de 
informes de acordo com os princípios contábeis; 
 
 Operacional. Avalia a eficiência, eficácia e economia dos métodos e 
procedimentos que originam um processo numa organização; 
 
 Sistemas. Se preocupa com a função sistemica;Fiscal. Se preocupa em observar o cumprimento das leis fiscais; 
 
Segundo Cannon (2008), a auditoria interna consiste em auditar sua 
própria organização para descobrir evidências sobre o que está a ocorrer na 
organização. Este tipo de auditoria permite acompanhar a forma de 
efetivação de atividades, com intuito de verificar possíveis erros no 
funcionamento das tecnologias envolvidas na organização, por exemplo o 
funcionamento das aplicações e segurança de sistemas. Este autor afirma 
ainda que auditoria externa envolve clientes ou fornecedores auditando a 
organização. A finalidade é garantir o nível esperado de desempenho 
conforme os seus contratos. Este tipo de auditoria não é realizado para 
detetar anomalias no funcionamento do sistema de informação na 
organização. Naturalmente, no decorrer do processo de auditoria, o auditor 
pode encontrar fraudes ou erros, mas o seu objetivo é emitir um parecer. 
 
Tendo em conta as áreas de atuação, podemos encontrar os seguintes 
tipos de auditoria (Anaguano, s.d.): 
 
Centro Universitário Christus - Unichristus 5
 
 
 Administrativa. Analisa o desempenho das funções administrativas; 
 
 Qualidade. Trata dos métodos, medições e controle de bens e serviços; 
 
 Social. Revê a contribuição da sociedade bem como a participação em 
atividades socialmente orientadas. 
 
A auditoria de sistemas, por sua vez, é composta pelas seguintes áreas: 
 
 Auditoria de gestão; 
 Auditoria dos dados; 
 Auditoria de segurança física; 
 Auditoria de segurança lógica; 
 Auditoria das comunicações; 
 Auditoria de segurança na produção. 
 
 
 
1.7 PERFIL E QUALIFICAÇÕES DO AUDITOR 
 
Uma boa auditoria carece de um auditor com qualificações mínimas para 
poder audita
garantir que esta seja feita de uma forma adequada. Não se pode admitir 
um auditor sem qualificações necessárias para prestar auditoria, neste caso, 
auditoria em informática. 
 
Segundo Fantinatti (1988) e Cannon (2008), o auditor deve ter 
objetividade, confidencialidade e raciocínio lógico, bem 
como o sentimento de independência. 
 
Consideremos que a empresa XYZ, usa sistema de informação baseado 
 comunicar-se com outras sucursais em 
s. Assumindo que a empresa localiza-se em Maputo, 
 províncias de Nampula, Manica e Tete, o auditor deve 
conhecer no mínimo a forma de comunicação existente, as tecnologias 
usadas nas aplicações usadas, conhecimento sobre a segurança 
implamentada na mesma, entre outros. 
 
Portanto, perfil e qualificações de um auditor são requisitos indispensáveis 
para a realização de um processo de auditoria de sistemas, e contribuem 
para a qualidade da auditoria influenciando desta forma na tomada de 
decisão dos agentes do nível mais alto da organização. 
 
 
 
r sistemas de Informação. Num processo de auditoria devemos 
imparcialidade,
em computador, onde esta necessita
outras regiões do paí
com sucursais nas
Centro Universitário Christus - Unichristus 6
 
EXERCÍCIOS 
 
1.O que é Auditoria Informática? 
2. Explique a evolução de Auditoria nos países desenvolvidos. 
3. O que motivou a evolução da Auditoria? 
4. O que motivou o surgimento da Auditoria Informática? 
5.Indique tipos de auditoria que conheces? 
6. Indique algumas qualidades de um auditor. 
 
 
Centro Universitário Christus - Unichristus 7
 
 
CAPÍTULO II – FUNÇÕES DE CONTROLO INTERNO E AUDITORIA 
DE SISTEMAS 
 
 
OBJETIVOS ESPECÍFICOS DO CAPÍTULO: 
 
No final deste capítulo o estudante será capaz de: 
 
 Identificar as funções básicas de controle interno de sistemas; 
 
 Compreender que controle interno e auditoria de sistemas são campos 
análogos; 
 
 Compreender o funcionamento e o objetivo da tecnologia COBIT; 
 
 Descrever a convergência entre a auditoria de SI e COBIT; 
 
 
 
2.1 CONTROLE INTERNO DE SISTEMAS 
 
A área de informática tornou-se um dos requisitos muito importante na 
efetivação de tarefas rotineiras nas organizações. Tem-se investido muito 
na informática devido ao seu impacto na tomada das decisões em todos 
níveis que constituem uma organização. 
O ideal é ter um retorno diretamente proporcional com valores gastos na 
aquisição das tecnologias de informação, que são matéria-prima para o 
desenvolvimento de sistemas de informação tecnológicos, ou seja, 
sistemas de informação baseados em computador. 
 
O controle interno de sistemas é uma parte da informática que responde 
as necessidades de cumprimento dos requisitos exigidos sobre o 
funcionamento das tecnologias envolvidas na organização. É através dela 
que obtemos o “feedback” sobre a viabilidade de uso das tecnologias de 
informação nas organizações. 
 
O controle interno visa verificar o funcionamento de todas atividades 
efetuadas nas organizações através do sistema de informação. Este 
controle avalia a efetivação dos procedimentos e normas estabelecidas 
pela Direção ou Departamento de Informática. 
 
 
 
O controle interno tem os seguintes objetivos (Valriberas, 2008): 
Centro Universitário Christus - Unichristus 8
 
 Controlar e garantir que todas as atividades sejam realizadas de 
acordo com os procedimentos e normas fixadas e assegurar o 
cumprimento das normas; 
 
 Assessoria no conhecimento das normas; 
 
 Colaborar e apoiar o trabalho de auditoria informática, assim como 
as auditorias externas; 
 
 O cumprimento de procedimentos e normas; 
 
 Controle sobre produção diária; 
 
 Controle sobre a qualidade e eficiência do desenvolvimento e 
manutenção de software e de serviços computacionais. 
 
 Controle de redes de comunicação; 
 
 Controle sobre o software básico; 
 
 Controle de sistemas de microinformática; 
 A segurança da informação; 
 Utilizadores, responsabilidades e perfis de uso de ficheiros e bases 
de dados; 
 
 Normas de segurança; 
 
 Licenças e relações contratuais com terceiros 
 
 Definir, implementar e executar mecanismos e controle para 
verificar a realização adequada de serviços de informática, no qual 
devemos considerar que a implementação dos mecanismos de 
medida e a responsabilidade de realização seja exclusivamente da 
função de controle interno; 
 
 
Para além dos objetivos descritos acima, é necessário efetuar em 
diferentes sistemas (central, departamentos, redes, computadores pessoais, 
etc.) e ambientes computacionais (produção, desenvolvimento ou teste) o 
controle de diferentes atividades operativas sobre: 
 
Centro Universitário Christus - Unichristus 9
 
 
 Assessorar e transmitir cultura sobre o risco sobre a perda de informação. 
 
. 
Auditoria de sistemas é processo de revogar, agrupar e avaliar evidências 
para determinar se o sistema informatizado salvaguarda os ativos, 
mantendo a integridade dos dados, levando a cabo eficazmente os fins da 
organização e utiliza eficazmente os recursos. Deste modo a auditoria 
de sistemas sustenta e confirma a execução dos objetivos tradicionais da 
auditoria: 
 
 Objetivos de proteção de ativos e integridade de dados; 
 
 Objetivos de gestão que controlam não apenas na proteção de ativos, 
mas também na eficácia e eficiência; 
 
 
 
 
2.2 CONTROLE INTERNO E AUDITORIA DE SISTEMAS: 
CAMPOS ANÁLOGOS 
 
Controle interno e auditoria informática são campos análogos, visto que há 
semelhanças, conforme ilustrado na tabela 1. Como pode-se ver, temos a 
semelhança no pessoal interno, este deve ter experiência em tecnologias de 
informação, verificação da conformidade com controles internos entre 
outros. 
Tabela 1: Comparação entre Controle Interno e Auditoria de Sistemas. Fonte: Valriberas (2008) 
 Rever e julgar o nível de eficácia, utilidade, confiabilidade e segurança 
de equipes de sistemas de informação. 
 Rever e julgar os controles implantados em sistemas de informação 
para verificar sua adequação as ordens einstruções da direção, 
requisitos legais, proteção de confidencialidade e cobertura entre 
erros e fraudes; 
 Participar em revisões durante e depois do desenho, realização, 
implementação e exploração de aplicações sistemicas, assim 
como as fases análogas de realização de mudanças importantes; 
 
O auditor é responsável em rever e informar a direção da organização 
sobre o desenho e o funcionamento do sistema de controle implantado e 
sobre a finalidade da informação produzida. 
 
Podem se estabelecer três grupos de funções a realizar por um auditor 
de sistemas (Valriberas, 2008): 
 
Centro Universitário Christus - Unichristus 10
 
 CONTROLE INTERNO 
DE SISTEMAS
AUDITOR DE 
SISTEMAS
SEMELHANÇAS Pessoal Interno 
Experiência em tecnologia da informação, 
verificação da conformidade com controlEs 
internos, normas e procedimentos estabelecidos 
pelo departamento de Informática e direção geral 
da Organização. 
DIFERENÇAS Análise de controles no dia-a-
dia. 
 
Informar ao departamento 
sobre o pessoal interno 
somente de suas funções sobre 
o departamento de TI 
Análise de um 
tempo 
determinado 
 
Informar a 
direção geral da 
organização sobre 
como o pessoal 
interno e / ou 
externo tem 
coberto em todos 
os componentes 
de organização de 
sistemas de 
informação 
 
 
 
 
2.3 COBIT (Control Objectives for Information and Related 
Technology) 
 aplicadas para um 
 controle de sistemas de informação deve ba- 
 
 
A filosofia de uma metodologia baseada em Sistemas, consiste em gerir 
recursos de tecnologias de informação, a fim de fornecer informações 
pertinentes que a organização precisa. 
 
COBIT é um modelo/conjunto estruturado de boas práticas e metodologias 
para sua aplicação, cujo objetivo é facilitar a Governança de Tecnologias 
de Informação (TI). É um modelo de controle, que visa atender as 
necessidades de TI, e garantir a integridade de informação e sistemas de 
informação, ajudando a diminuir os riscos do negócio. 
Metodologia é o conjunto de métodos e técnicas
determinado fim. Dependendo da sua utilização pode gerar resultados 
positivos para organização. O
sear-se numa metodologia. 
Centro Universitário Christus - Unichristus 11
 
 
Segundo Troitino e Sanches (2008), COBIT aponta e sustenta a 
Governança de TI, proporcionando uma marca de referência que assegura 
que: 
 
 A tecnologia de informação está aliada com o negócio, 
contribuindo ao mesmo tempo para a maximização dos 
benefícios; 
 
 Os recursos de TI (humanos e técnicos) são usados de forma 
responsável; 
 
 Os riscos de TI são geridos e dirigidos adequadamente. 
 
Outra característica interessante de COBIT é a sua estruturação ou 
esquema de apresentação. Está estruturado com critérios práticos em uma 
ordem lógica e racional do mais alto nível ao menor nível na gestão e 
direção de TI. 
 
Figura 1. Os quatros domínios de COBIT. Fonte: Fagundes (2011) 
 
 
O COBIT (versão 4.0) está estruturado em 34 objetivos de controlede 
alto nível para os processos de TI, que estão agrupados em 4 domínios de 
atividades típicas do governo de TI (o que qualquer governancia de TI deverá 
incluir para ser realista e eficiente). 
 
Centro Universitário Christus - Unichristus 12
 
Os quatros domínios de atividades são seguintes: 
 
Domínio Característica 
Planeamento e Organização (PO) Cobre aspectos estratégicos e 
táticos organizacionais; 
Identifica a melhor forma através da 
qual a TI possa contribuir para o 
alcance dos objetivos do negócio; 
A realização da visão estratégica 
precisa ser planeada, comunicada e 
gerido por diferentes perspectivas; 
 Este domínio preocupa-
questões de gestão como: 
• 
estrategicamente alinhados? A 
empresa está maximizando o uso de 
seus recursos? 
• As pessoas compreendem os 
objetivos da TI? 
• Os ris
geridos de forma apropriada? 
• A 
negócios? 
Aquisição e Implementação (AI) 
• Para realizar a estratégia da TI, 
soluções de TI precisam ser 
identificadas, desenvolvidas ou 
adquiridas, como também 
implementadas e integradas ao 
processo do negócio; 
• Modificações e manutenção de 
sistemas existentes são cobertas 
neste domínio, para que continuem 
alinhados aos objetivos do negócio. 
• Este domínio preocupa-se com 
questões de gestão como: 
• Os novos projetos estão aptos à 
prover as soluções que o negócio 
requer no prazo e sem falhas? Os 
novos sistemas implementados estão 
operando apropriadamente quando 
implementados? 
Prestação e Suporte (DS) 
Focado na prestação dos serviços 
se com 
A TI e o negócio estão 
cos são compreendidos e 
qualidade dos sistemas está de 
acordo com a necessidade dos 
Centro Universitário Christus - Unichristus 13
 
 
requeridos, incluindo: 
Prestação de serviços, gestão de 
segurança e continuidade do 
negócio, suporte aos utilizadores, e 
gestão de dados e estruturas 
operacionais. 
• Este domínio preocupa-se com 
questões de gestão como: 
Os serviços de TI estão sendo 
-de-
integridade, confidencialidade e 
disponibilidade dos dados está de 
acordo? 
Monitoramento e Avaliação (ME) 
Os processos de TI precisam ser 
sua qualidade e conformidade com 
os requisitos de controlo. Este 
desempenho, monitoramento de 
controles internos, conformidade 
com as normas e provimento de 
governança em TI. 
Este domínio preocupa-se com 
questões da gestão como: 
A TI está preparada para identificar 
os problemas em tempo útil? A 
gestão assegura que os controles 
internos decorram normalmente? 
 
 
COBIT inclui outros elementos a considerar que estão relacionados com os 
requisitos de negócio com os respectivos serviços e recursos de TI: 
 
 Requisitos de negócio com respeito a TI: efetividade, eficácia, 
eficiência, integridade, disponibilidade e confiabiliade; 
 
 Recursos de TI afetados: Aplicações, informação, infra-estrutura e 
pessoas; 
 
 Áreas centrais para o Governo de TI: alinhamento estratégico; 
gestão de recursos; gestão de risco e medição de rendimento; 
prioridades do negócio? Os custos 
entregues de acordo com as 
da TI estão otimizados? A mão
obra está apta a utilizar os sistemas 
produtivamente e com segurança? A 
regularmente testados para garantir 
domínio trata da gestão de 
Centro Universitário Christus - Unichristus 14
 
 Objectivos de controle de detalhe: enumeração de objetivos de 
detalhe com suas explicações sobre seu propósito e alcance, por 
objetivo de alto nível; 
 
 Diretrizes de gestão: guia sobre as inter-relações com outros 
domínios e objetivos de controlede alto nível apontando tanto a 
relação de recepção (input) de outros objetivos de controle 
exclusivos externos ao esquema COBIT, como na saída (output) 
para outros; 
 
 Responsabilidade por distintos níveis de direção e gerência: 
incluem tanto alta gerência, como a unidade de negócio para a 
auditoria de TI; 
 
 Quadro de objetivos e métricas aplicadas: objetivos e métricas 
aplicadas para o objetivo do controle de que se trata, e os 
indicadores para a respectiva medição; 
 
 Modelo de maturidade: critérios para considerar em cada nível. 
 
 
 
2.4 CONVERGÊNCIA DE AUDITORIA DE SI E COBIT 
 Analisar os riscos dentro do alcance e objetivo da auditoria em 
questão; 
 
 Identificar o modelo e controles que supostamente mitigam os 
riscos identificados; 
 
 Realizar testes sobre os controles e impacto de diferenças de 
controle; 
 
 Obter suas conclusões e emitir seu relatório e opinião 
independente, indicando fundamentalmente os riscos para o 
negócio. 
 
 
Pretende-se nesta seção descrever a convergência entre auditoria de 
sistemas de informação e a metodologia COBIT. O auditor de SI deve 
atuar de forma a implementar COBIT, como em qualquer outra auditoria. 
 
Para Troitino e Sanches (2008),auditor de SI não se limitará em contestar 
a um questionário, mas: 
 
Centro Universitário Christus - Unichristus 15
 
 
Podemos destacar convergência entre auditoria informática e COBIT, por 
exemplo, as normas de auditoria de TI seguintes são totalmente aplicáveis 
dentro do contexto COBIT: 
 
 S1 - estatuto de auditoria; 
 S2 - independência; 
 S3 - ética profissional e normas aplicadas; 
 S4 - competência profissional; 
 S5 - planificação; 
 S6 - realização de trabalho de auditoria (supervisão, evidência e 
documentação) 
 S7 - relatórios; 
 S8 - atividades de seguimento; 
 S9 - irregularidades e atos legais. 
 S10 - Governo de TI; 
 S11 - Uso de avaliação de riscos com a planificação de 
auditoria; 
 S12 - materialidade 
 S12 - uso de trabalhos de “experts” 
 S13 - evidência de auditoria. 
 
 
EXERCÍCIOS 
 
 
 
1. Qual é o objetivo da auditoria interna? 
2. O que é risco em sistemas de informação? 
3. O que é segurança lógica? 
4. Quais são os princípios da auditoria, tanto externa como interna? 
5. O que você compreende por COBIT?
Centro Universitário Christus - Unichristus 16
 
CAPÍTULO III – SISTEMA DE CONTROLE INTERNO E
SISTEMAS
 
OBJETIVOS ESPECÍFICOS DO CAPÍTULO 
 
No final deste capítulo o estudante deverá ser capaz de: 
 
 Compreender conceitos e tipos de sistemas de controle interno; 
 
 Compreender os mecanismos de implementação de um sistema de 
controle interno computacional; 
 
 Descrever o processo de aquisição, exploração, qualidade e controle 
de sistemas de informação; 
 
 
 
3.1 DEFINIÇÃO E TIPOS DE CONTROLES INTERNOS 
 Os controlos de prevenção 
 
Estes controles, também conhecidos por controles dissuasores, têm como 
finalidade o estabelecimento de condições que permitam a diminuição da 
ocorrência de causas de erros estabelecendo, dessa forma, as condições 
necessárias para a não ocorrência de erros. 
 
 
Podemos definir o controle interno como sendo qualquer atividade 
realizada manualmente ou automaticamente para prevenir, corrigir erros 
irregulares que podem afetar o funcionamento de um sistema para atingir 
seus objetivos. 
 
Controlos internos que utilizam campo de informática continuam 
evoluindo, na medida que os sistemas de informação evoluem. A evolução 
de tecnologias de suporte físico e de software está modificando a maneira 
significativa nos procedimentos que se aplicam no controle de processos 
de aplicações e gestão de sistemas de informação. 
 
Para garantir qualidade de sistemas requer mecanismos completos de 
controle, a maioria dos quais são automáticos, muitos dependem da 
combinação de elementos de software e procedimentos. 
 
Historicamente, os objetivos de controle informático são classificados em 
seguintes categorias (Troitino e Sanches, 2008): 
 
Centro Universitário Christus - Unichristus 17
 
 
 Os controles de correção 
Estes controles ajudam a investigar quais as causas de erros e, dessa 
forma, permitem que sejam aplicadas medidas corretivas a essas causas. 
 
 Os controles de detecção 
Estes controles tem como principal objetivo a detecção rápida das causas 
de risco e de erros. São frequentemente considerados os de maior 
importância para o auditor. Nestes controles de detecção podemos 
evidenciar os controles de supervisão. 
 
 
 
3.2 IMPLEMENTAÇÃO DE UM SISTEMA DE CONTROLE 
INTERNO COMPUTACIONAL 
 
 Configuração de aplicações: processos transacionais, sistemas de gestão 
de base de dados e configuração de processos distribuídos; 
 
 Produtos e ferramentas: software para desenvolvimento de 
programas, software de gestão de bibliotecas e para operações 
automáticas; 
 
 Segurança de computadores: identificar e verificar utilizadores, 
controle de acesso, registro de informação, integridade de sistema, 
controle de supervisões. 
 
 
 
Torna-se importante conhecer toda organização de recursos de tecnologia 
de informação, sistemas de informações baseados em computador, 
estrutura da rede e respectiva segurança. Este conhecimento é fundamental 
para implementar o sistema de controle interno. 
 
Segundo Troitino e Sanches (2008), para conhecer a configuração do 
sistema é necessário documentar os detalhes de rede, assim como os 
distintos níveis de controle e elementos relacionados: 
 
 Configuração da rede: esquema da rede, descrição da configuração de 
hardware de comunicações, descrição de software que se utiliza como 
acesso das telecomunicações, controle de rede, situação geral dos 
computadores que suportam aplicações críticas e considerações 
relativas da segurança de rede; 
 Configuração de computador base: configuração do suporte físico, 
configuração de sistema operacional software com partições, bibliotecas 
de programas e conjunto de dados; 
Centro Universitário Christus - Unichristus 18
 
Para a implementação de um sistema de controle interno computacional deve-
se definir (Piattini e del Peso, 2001): 
 
Gestão de sistemas de informação: Um sistema de informação é 
composto por todos os componentes que recolhem, manipulam e 
disseminam dados ou informação. Neste caso, podemos encontrar 
hardware, software, pessoas, redes de computadores, e os dados 
propriamente ditos. 
 
Num sistema de informação são realizadas tarefas como introdução de 
dados, processamento dos dados em informação, armazenamento de 
ambos, e a produção de resultados, como relatórios de gestão. Diante dessa 
situação, é preciso conhecer políticas, diretrizes e normas técnicas que 
servem de base para desenho e implementação dos sistemas de informação 
e de outros correspondentes. 
 
Administração de sistemas: Administração de sistema é uma área 
específica de administração de um sistema de informação tecnológico. 
Neste caso podemos encontrar as seguintes atividades de administração; 
administração de utilizadores, administração de sistema de arquivo, 
administração de software, administração de serviços, entre outros. 
 
Segurança: A segurança de sistemas é composta de medidas de prevenção 
contra ataques internos e externos, passando pela engenharia social e 
chegando inclusive a ações práticas por intermédio de softwares e 
hardwares. A segurança inclui as três classes de controle fundamental 
implementado em software de sistema: integridade do sistema, 
confiabilidade (controle de acesso) e disponibilidade. 
 
Gestão de mudança: separação de testes e a produção a nível de software, 
controle e procedimentos de migração de programas de software aprovado 
e testado. 
 
 
Centro Universitário Christus - Unichristus 19
 
 
 
 
Figura 2. Implementação de política e cultura de segurança. Fonte: Piattini e del Peso 
 
 
 Controle interno computacional: deve-se definir os diferentes 
controles periódicos a realizar em cada uma da funções de 
informática, de acordo ao nível de risco de uma delas, 
desenhar conforme aos objetivos de negócio e dentro do 
marco legal aplicável. Na figura 3 está ilustrado 
detalhadamente o funcionamento do controle interno 
da informação. 
 
(2001). 
 
A implementação de uma política e cultura sobre segurança requer que se 
realize por fases, como podemos ver na figura 2. Cada fase desempenha 
um papel importante: 
 
 Direção de negócio ou direção de sistemas de Informação: 
deve-se definir a política e/ou diretrizes para os sistemas de 
informação com base nas exigências do negócio, que poderá ser 
interno ou externo. 
 Direção de informação: deve-se definir as normas de 
funcionamento em nível computacional e cada uma das funções 
de informática mediante a criação e publicação de 
procedimentos e padrões, metodologias e normas, aplicáveis a 
todas áreas de informática. 
Centro Universitário Christus - Unichristus 20
 
 
Figura 3. Funcionamento de controle interno computacional. Fonte: Piattini e del Pesoseu cumprimento e validez (Piattini e del Peso, 2001): 
 
1. Controles gerais organizacionais 
 
 Políticas: devem servir de base para o planejamento, controle e 
avaliação pela direção de informática. 
 
 Planejamento: 
 Plano estratégico de informação, realizado pelos 
órgãos de alta direção da empresa onde se define os 
processos corporativos e se considera o uso das diversas 
tecnologias de informação, assim como as ameaças e 
oportunidades de seu uso. 
 
 Plano geral de segurança (física e lógica), garante a 
confiabilidade, integridade e disponibilidade da 
informação. 
(2001) 
 
Auditor computacinal interno/externo: deve-se rever os diferentes 
controles internos definidos em cada uma das funções computacionais e o 
cumprimento de normas internas e externas, de acordo com o nível de 
risco, conforme os objetivos definidos pela direção de negócio e 
direção de informática. 
 
Importa descrever controles internos importantes para sistemas 
de informação, agrupados por seções funcionais, e que o controlo interno 
computacional e a auditoria de sistemas deveriam verificar para determinar o 
Centro Universitário Christus - Unichristus 21
 
 
 Plano de emergência anti-desastre, garante a 
disponibilidade dos sistemas. 
 
 Padrões: que regula a aquisição de recursos, a decisão, 
desenvolvimento, modificação e exploração de sistemas; 
 
 Procedimentos: que descreve a forma e as responsabilidades 
de execução para regular as relações entre o departamento de 
informática e os departamentos de utilizadores; 
 
 Organizar o departamento de informática em nível 
suficientemente superior na estrutura organizativa para 
assegurar sua independência dos departamentos de utilizadores. 
 
 Descrição das funções e responsabilidades dentro dos 
departamentos como uma clara separação entre as mesmas. 
 
 
 Políticas do pessoal: seleção, plano de formação, plano de 
vocações, avaliação e proteção; 
 
 Assegurar que a direção reveja todos os relatórios de controle 
e resumir as exceções que ocorrem; 
 
 
 
 
2. Controle de desenvolvimento, aquisição e manutenção de 
sistemas de informação 
 
Para permitir alcançar a eficiência do sistema, economia, integridade 
dos dados, protecão dos recursos e cumprimento das leis e padrões. 
 
Metodologia de ciclo de vida de desenvolvimento de sistemas: sua 
implementação poderá garantir a alta direção a alcançar os objetivos 
definidos para o sistema. Estes são alguns controles que devem existir na
 metodologia: 
 
 
 Designar oficialmente a figura de controle da informação e de 
auditoria. 
 Assegurar que exista uma política de classificação da 
informação para saber dentro da organização que pessoas estão 
autorizadas a acessar determinadas informações; 
Centro Universitário Christus - Unichristus 22
 
 A alta direção deve publicar uma norma sobre o uso de 
metodologia de ciclo de vida de desenvolvimento de sistemas e 
rever esta metodologia periodicamente; 
 
 A metodologia deve estabelecer os papeis e responsabilidades 
das áreas distintas do departamento de informática e dos 
utilizadores, assim como a composição e responsabilidade da 
equipe do projeto; 
 
 
 
 
 Procedimentos para a definição e documentação de 
especificações de: desenho, de entrada, de saída de arquivos, de 
processos, de programas, de controle de segurança, de pastas de 
auditoria. 
 
 Plano de validação, verificação e testes. 
 
 Padrões de testes de programas e teste de sistemas; 
 Plano de conversão; testes de aceitação final; 
 Os procedimentos de aquisição de software deverão seguir as 
políticas de aquisição da organização e esses produtos deverão 
ser aprovados e revistos antes de uso; 
 
 A contratação de serviços de programação deve ser justificada 
mediante uma petição escrita de um director de projeto; 
 
 Deverão preparar-se manuais de operações e manutenção como 
parte de todo projeto de desenvolvimento, modificação de 
sistemas de informação, assim como manuais de utilizadores. 
 
 Quando se seleciona uma alternativa deve realizar-se o plano 
diretor do projecto. Neste plano deverá existir uma 
metodologia de controle de custo; 
 Deve estabelecer um estudo de viabilidade de tecnologia em 
que se formulam formas alternativas de alcançar os objetivos 
do projeto, acompanhado de uma análise de custo-benefício de 
cada alternativa; 
 As especificações do novo sistema devem ser definidas pelos 
utilizadores e documentadas e aprovadas antes de começar o 
processo de desenvolvimento; 
Centro Universitário Christus - Unichristus 23
 
 
 Exploração e manutenção: o estabelecimento de controles 
assegurará que os dados sejam tratados de forma congruente e 
exata e que apenas será modificado o conteúdo de sistema, 
mediante a autorização adequada. A seguir apresentamos 
alguns controles que devem ser implementados: 
 
o Procedimento de controle de exploração; 
 
 
o Procedimentos para realizar um seguimento e controle de 
mudanças de sistema de informação. 
 
 
3. Exploração de sistema de informação 
 
 
 Controle para usar, de maneira efetiva, os recursos de 
computadores: 
 
 Procedimentos de seleção de software de sistema, de 
instalação, de manutenção, de segurança e controle de 
mudanças. 
 
 Segurança Física e Lógica: 
 
o Definir um grupo de segurança de informação, sendo uma 
das funções de administração e gestão de software de 
segurança, rever periodicamente os relatórios de ataques 
e atividades de segurança para identificar e resolver 
incidentes; 
 
o Controle físico para assegurar o acesso das instalações do 
departamento de informática. 
 
o Sistema de contabilidade para assinatura de utilizadores dos 
custos associados com a exploração de sistema de 
informação; 
 Planificação e gestão de recursos: definir o orçamento 
operacional do departamento, plano de aquisição de 
equipamentos e gestão da capacidade da equipe; 
o Calendário de carga de trabalho; 
o Programação do pessoal; 
o Manutenção preventiva do material; 
o Gestão de problemas e mudanças; 
o Procedimentos de faturação de utilizadores; 
o Sistemas de gestão de bibliotecas e suporte. 
Centro Universitário Christus - Unichristus 24
 
o As pessoas externas à organização deverão ser 
acompanhadas por um membro da organização quando 
tiver a intenção de visitar as instalações. 
 
o Instalação de medidas de proteção contra incêndios. 
 
o Formação em procedimentos de segurança e evacuação de 
edifícios. 
 
 
o Normas que regulam o acesso dos recursos informáticos. 
 
o Existência de um plano de contingência para “backup” de 
recursos de computadores e para recuperação dos serviços 
depois de uma interrupção dos mesmos. 
 
 
4. Controle de aplicações 
 
 
 As questões mais importantes em controle de dados são: 
 
o Controle de entrada de dados: procedimentos de 
conversão de entrada, validação e correção de dados. 
 
o Controle de tratamento de dados para assegurar que não 
se faça muita modificação ou exclusão não autorizada 
dos mesmos mediante processos não autorizados. 
 
o Controle de saída de dados: sobre o quadro e 
reconciliação de saídas, procedimentos de distribuição 
das saídas e de gestão de erros nas saídas. 
 
 
5. Controle específico de certas tecnologias 
 
 Controle de sistemas de gestão de base de dados: 
 Cada aplicação deve levar controle incorporado para garantir a 
entrada, atualização, validação e manutenção completa de 
dados exatos. 
o Controle de acesso restringindo os computadores mediante 
a designação de um identificador de utilizador com 
palavra-chave intransmissível. 
Centro Universitário Christus - Unichristus 25
 
 
o O software de gestão de base de dados para prever o 
acesso a estruturade controle sobre dados partilhados 
deve instalar-se e manter-se de modo tal que assegure a 
integridade de software, as base de dados e as instruções 
de controle; 
 
o Devem ser definidas as responsabilidades sobre o 
planejamento, organização, adoção de controle de 
ativos de dados e decidir um administrador de banco 
de dados. 
 
o Garantir que existam procedimentos para a descrição e 
mudanças de dados assim como para a manutenção do 
dicionário de dados. 
 
 
o Controle sobre o acesso a dados e concorrência. 
 
 
 
 Controle da informação distribuído e rede: 
 
o Planos adequados de implementação, conversão e teste 
de aceitação para a rede. 
o Existência de um grupo de controle de rede. 
o Controle para assegurar a compatibilidade de conjunto 
de dados entre aplicações quando a rede é distribuída. 
o Procedimentos que definem as medidas e controle de 
segurança a serem usados em rede. 
o Que se identifique todos os conjuntos de dados 
sensíveis da rede e que se tenha determinado as 
especificações para sua segurança. 
 
o Existência de inventário de todos ativos de rede. 
 
o Procedimentos de “backup” de hardware e de software 
de rede. 
 
o Existência de manutenção preventiva de todos ativos. 
o Controle para minimizar falhas, recuperação do ambiente 
de banco de dados, o ponto de saída e minimizar o tempo 
necessário para a recuperação. 
Centro Universitário Christus - Unichristus 26
 
o Que exista controle que verifique que todas as 
mensagens de saída sejam validadasde forma rotineira para 
assegurar que contêm direções de destino válidos. 
 
 
o Controle de segurança lógica: controle de acesso da 
rede, estabelecimento de perfís de utilizador. 
 
o Procedimentos de criptografia de informática sensíveis 
que se transmitem através da rede. 
 
o Procedimentos automáticos para resolver fechamentos 
do sistema. 
 
o Monitorização para medir a eficiência da rede. 
 
o Desenhar “layout” físico e as medidas de segurança das 
linhas de comunicação local dentro da organização. 
 
o Detetar a correta ou má recepção de mensagens. 
 
o Identificar as mensagens por uma chave individual de 
utilizador, por terminal e pelo número de sucessão de 
mensagens. 
 
 
o Assegurar que haja procedimentos de recuperação e 
reinício. 
 
o Assegurar que existam trilhas de auditoria que podem se 
usar na reconstrução de arquivos de dados e de 
transações dos diversos terminais. Deve existir a 
capacidade de rastrear os dados entre o terminal e 
utilizador. 
 
o Considerar circuitos de comutação que usam rotas 
alternativas para diferentes destinos da mesma 
mensagem; isso oferece uma forma de segurança em 
caso de alguém interceptar a mensagem. 
o Rever os contratos de manutenção e o tempo médio do 
serviço acordado com o provedor com objeto de obter 
um valor de controle constante. 
Centro Universitário Christus - Unichristus 27
 
 
o Controle sobre computadores pessoais e rede local: 
 
 Políticas de aquisição e utilização. 
 
 Normas e procedimentos de 
desenvolvimento e aquisição de software de 
aplicações. 
 
 Procedimentos de controle de software de 
contrato de baixa licença. 
 
 Controle de acesso a redes, mediante 
palavra-chave. 
 
 Revisão periódica de uso de computadores 
pessoais. 
 
o Políticas que contemplam a seleção, aquisição e 
instalação de rede local. 
 
o Procedimentos de segurança física e lógica. 
 
 
o Inventário atualizado de todas aplicações; 
o Política referente a organização de equipamento e 
utilização de disco rígido de, assim como para a 
nomenclatura dos arquivos que contém, criação de 
subdirectórios por utilizador, assim como criação de 
subdirectórios públicos que tenha todas aplicações em 
uso para os distintos utilizadores; 
o Implementar ferramentas de gestão da rede com o fim 
de valorizar seu rendimento, planificação e controle; 
 
o Procedimento de controle de transferência de 
ficheiros e controle de acesso para equipamentos com 
possibilidade de comunicação. Políticas que obrigam 
o Departamento que realce a gestão e suporte técnico da 
rede. Controle para evitar modificar a configuração de 
uma rede. Recolher informação detalhada sobre meios 
existentes: arquitetura (CPU, Discos, Memória, 
Streamers, Terminais, etc.), conectividade (LAN), 
software (sistema operacional, utilitários, linguagens, 
aplicações, etc), serviços suportados. 
Centro Universitário Christus - Unichristus 28
 
a desconexão dos equipamentos quando não se faz o 
uso deles. 
 
 
o Adotar os procedimentos de controle e gestão 
adequados para integridade, privacidade, 
confiabilidade e segurança de informação contida na 
rede local. 
 
 
 
 Contratos de manutenção (tanto preventivo como corretivo ou 
detectivo) 
 
 
 
 Os computadores deverão estar conectados a equipamentos 
estabilizadores (UPS - Uninterruptible Power Supply). 
 
 Proteção contra incêndios, inundações ou electricidade. 
 
 Controle de acesso físico dos recursos de microinformática: 
chaves de PC. Áreas restringidas, localização de impressoras 
(locais e de rede). Prevenção de roubos de dispositivos. 
Autorização para deslocamento de equipamentos. Acesso físico 
fora do horário normal; 
 
 Controle de acesso físico a dados e aplicações: armazenamento 
de discos com cópias de backup de informação. Procedimentos 
de destruição de dados e relatórios confidenciais, identificação 
de discos, inventário completo de discos armazenados, 
armazenamento de documentação; 
 
o Quando existe conexão PC-HOST, verificar se opera 
sub controle, para evitar a carga/extração de dados de 
forma não autorizadas; 
 Quando a ação de manutenção requer a ação de terceiros a 
saída dos equipamentos dos limites da oficina deverá ser 
mediante procedimentos para evitar a divulgação de 
informação confidencial. 
 Manter um registo documental das ações de manutenção 
realizadas, incluindo a descrição do problema e a solução do 
mesmo. 
Centro Universitário Christus - Unichristus 29
 
 
 Em computadores em que se processam aplicações de dados 
sensíveis deve-se instalar protetores de oscilação de linha 
elétrica e sistemas de alimentação ininterrupta. 
 Implementar na rede local, produtos de segurança assim como 
ferramentas e utilitários de segurança. 
 
 Identificação adequada de utilizadores quanto a seguintes 
operações: modificações, troca de password, exploração de logs 
de sistema. 
 
 Controlar as conexões remotas (in/out): Modems e Gateways; 
 
 
 
 
6. Controle de qualidade 
 
 
 
 Metodologia de desenvolvimento de sistemas: a direção de 
informática da entidade deve definir e implementar normas 
para o desenvolvimento de sistemas e adotar uma metodologia 
de desenvolvimento de sistemas para administrar e gerir esse 
processo com base ao tipo de sistemas de cada entidade; 
 
 Esquema de garantia de qualidade da direção de Tecnologia que 
deve adotar uma norma que estabeleça um esquema de 
garantia de qualidade que se refira tanto as atividades de 
desenvolvimento de projetos, como as demais atividades para 
garantir qualidade (como revisões, auditorias, inspeções, etc.) 
que deverá ser realizada para procedimentos habituais em 
distintas funções de informática; 
 Existência de um plano geral de qualidade baseado em plano de 
entidade a longo prazo e o plano a longo prazo de tecnologia. 
Este plano geral de qualidade deve promover a filosofia de 
melhorar continuamente e deve dar respostas a perguntas 
básicas como “o que”, “quem” e “como”; 
 Controle para evitar a introdução de um sistema operativo 
através de disquete que poderá levar vulnerabilidade do sistema 
de segurança estabelecida. 
 Procedimentos para a instalação ou modificação de softwaree 
assegurar que a direção esteja ciente do risco de vírus 
de computador e outros softwares maliciosos, assim como fraude 
por modificações não autorizadas de software e danos; 
Centro Universitário Christus - Unichristus 30
 
 Atualização da metodologia de desenvolvimento de sistemas 
respeitando a troca de tecnologia; 
 
 Coordenação e comunicação: a direção de Informática deve 
estabelecer um procedimento para assegurar esta coordenação e 
comunicação com utilizadores da organização e informática. 
Este processo deve fazer-se mediante métodos estruturados, 
utilizando a metodologia de desenvolvimento de sistemas para 
assegurar a obtenção de soluções de informática de qualidade 
que cumprem as necessidades da organização; 
 
 
 
 
 Normas respeitando o teste do sistema: a metodologia de 
desenvolvimento de sistemas da entidade deve incorporar 
normas que se referem aos requisitos de teste de sistemas, 
documentação e retenção de material, para provar a maneira 
global do funcionamento de cada sistema colocado na 
produção; 
 Testes pilotos em paralelo: a metodologia de desenvolvimento 
de sistemas da entidade deve definir as circunstâncias nas quais 
serão efetuados testes pilotos ou em paralelo de programas e 
sistema; 
 
 Documentação de teste do sistema: a metodologia de 
desenvolvimento de sistemas da entidade deve estabelecer, 
 Normas de documentação de programas: existência de normas 
de documentação de programas as quais devem ser 
comunicadas e impostas ao pessoal pertinente. A metodologia 
deve assegurar que a documentação criada durante o 
desenvolvimento do sistema ou projeto respeite as normas; 
 Normas de teste de programas: a metodologia de 
desenvolvimento de sistemas da organização deve incorporar 
normas que se referem aos requisitos de testes de programas, 
documentação e retenção de material, para provar cada uma das 
unidades de software a ser colocada em produção; 
 Relações com provedores de desenvolvimento de sistemas: 
existência de um processo que assegure boas relações laborais 
com provedores que desenvolvem sistemas para entidade. Este 
processo deve fazer com que o utilizador e o provedor do 
sistema acordem critérios de aceitação e administração de 
mudanças e problemas durante o desenvolvimento, funções de 
utilizador, ferramentas, software, normas e procedimentos; 
Centro Universitário Christus - Unichristus 31
 
 
como parte de cada desenvolvimento, implementação ou 
modificação, que se documentam os resultados de testes de 
sistema; 
 
 Avaliação do cumprimento de garantia de qualidade das 
normas de desenvolvimento. 
 
 
 
 
EXERCÍCIOS 
1. Quais são as categorias de controle? 
2. Quais são os componentes para a implementação de uma política de 
segurança? 
3. Liste os controles internos importantes para os sistemas de informação. 
4. Defina o ambiente de rede. 
 
 
 
Centro Universitário Christus - Unichristus 32
 
CAPÍTULO IV – AUDITORIA DE SISTEMAS DE GESTÃO DAS 
TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO 
 
 
OBJETIVOS ESPECÍFICOS DO CAPÍTULO: 
 
No final deste capítulo o estudante será capaz de: 
 
 Compreender o processo de implementação de sistemas de gestão 
de TICs (SGSI) 
 
 Compreender o processo de certificação de SGSI 
 
 DO (Execução): implementação dos processos. 
 
 
 Act (Ação): Agir de acordo com o avaliado e de acordo com os 
relatórios, eventualmente determinar e confecionar novos planos 
de ação, de forma a melhorar a qualidade, eficiência e eficácia, 
aprimorando a execução e corrigindo eventuais falhas. 
 
O PDCA pode considerar-se como um autêntico motor e o conhecimento 
das TICs : vai desde a segurança de sistemas de informação, passando pela 
auditoria de software, para a qualidade dos serviços de TIC. 
 
 
 Check (Verificação): monitorar e avaliar periodicamente os 
resultados, avaliar processos e resultados, confrontando-os com o 
planejamento, objetivos, especificações e estado desejado, 
consolidando as informações, eventualmente confecionando 
relatórios. 
 Plan (Planejamento): planificação de objectivos e processos 
necessários para alcançar os resultados de acordo com políticas da 
empresa. 
 
 
 
O planejamento dos sistemas de gestão pretende concentrar-se em análise 
dos mesmos, começando pela perspectiva de gestão de conhecimento. 
 
O ciclo de Deming – com acrónimo PDCA – é um ciclo de melhoramento, 
que tem por princípio tornar mais claros e ágeis os processos envolvidos 
na execução da gestão, onde cabe distinguir os seguintes passos: 
 
 
 
 
O planejamento dos sistemas de gestão pretende concentrar-se em análise 
dos mesmos, começando pela perspectiva de gestão de conhecimento. 
 
O ciclo de Deming – com acrónimo PDCA – é um ciclo de melhoramento, 
que tem por princípio tornar mais claros e ágeis os processos envolvidos 
na execução da gestão, onde cabe distinguir os seguintes passos: 
 
Centro Universitário Christus - Unichristus 33
 
 
4.1 IMPLEMENTAÇÃO DE SISTEMA DE GESTÃO DE TICs 
 
O processo de implementação do SGSI possui as fases de um PDCA, como 
podemos observar figura 4.1, seguindo os pontos da norma ISO 27001:2007. É de 
especial ênfase na análise e gestão de riscos e alocação de controlo que 
minimizam riscos utilizando uma das metodologias de análise de risco que 
existem no mercado, e aplicando os controles que são adequados da ISO 27002. 
 
 
 
 
 
Figura 4. Implementação de Sistema de Gestão de TICS (ISO 27001). 
 
 
 
 
Centro Universitário Christus - Unichristus 34
 
4.2 AUDITORIA INTERNA 
 
Auditoria interna de SGSI se define como sendo uma revisão independente 
de SGSI. Esta independência supõe obviamente a exigência de que a 
pessoa que leva a cabo a auditoria interna não pode estar vinculada em 
forma alguma na implementação de Gestão de SGSI. 
 
 
 
4.3 PROCESSO DE CERTIFICAÇÃO DOS SISTEMAS DE GESTÃO 
DAS TICs 
 
Figura 5. Modelo de certificação de SIGSI. Fonte: Troitino e Sanches (2008). 
 
O resultado dessa auditoria será refletido em um relatório de auditoria 
inicial. Em caso de não existir conformidade de importância, a certificação 
poderia ser suspensa ou pendente para retificação. 
 
Em caso de se detectar inconformidades menores, se emitirá uma 
certificação com reservas, com as retificações pendentes, cujas 
retificações deverão ser constatadas pelo auditor no seguimento da 
auditoria. Uma vez feita a certificação, o organismo certificador levará a 
 
Se pode considerar o processo de certificação como sendo o 
reconhecimento formal por parte de um órgão independente de um 
determinado sistema de gestão, como podemos ver na Figura 5. 
Na certificação de um sistema de gestão das TICs podemos notar que, as 
empresas que adotam a certificação, mantêm seus sistemas de gestão com 
uma maior dedicação no ciclo de melhoria contínua e sua busca por 
alcançar a excelência. 
 
Centro Universitário Christus - Unichristus 35
 
 
cabo anualmente auditorias de seguimento para determinar se o seu 
sistema de gestão das TICs segue as normas. 
 
 
 
EXERCÍCIOS 
 
 
 
 
 
1. Explique o conceito de Deming, e descreva as suas fases. 
2. O que se entende por processo de certificação e como é que as empresas que 
possuem certificação devem se comportar? 
 
 
 
Centro Universitário Christus - Unichristus 36
 
QUADRO RESUMO 
 
Auditoria 
O ato de examinar as operações, processos, sistemas e 
responsabilidades de gestão de uma organização com o 
intuito de verificar o cumprimento das normas, objetivos 
e metas prefixadas pela mesma 
Auditoria de 
sistemas
Objetivos 
da auditoria 
de sistemas 
4. O controle da função sistemica; 
5. A análise da eficiência dos sistemas de informação; 
6. A revisãoda gestão eficaz dos recursos 
computacionais; 
 7. A verificação do cumprimento dos padrões e normas 
Tipos de 
auditoria 
 
 Financeira. 
 Operacional. 
 Sistemas. 
 Fiscal 
 Administrativa. 
 Qualidade. 
 Social. 
Tipos de 
auditoria 
 
 Auditoria dos dados; 
 Auditoria de segurança lógica; 
 Auditoria das comunicações; 
 Auditoria de segurança na produção. 
Objetividade, imparcialidade, confidencialidade 
raciocínio logico bem como o sentimento de 
independência 
Controle 
interno de 
informática 
É uma parte da informática que responde as necessidades 
de cumprimento dos requisitos exigidos sobre o 
funcionamento das tecnologias envolvidas na organização 
COBIT 
É um modelo/conjunto estruturado de boas práticas e 
metodologias para sua aplicação, cujo objetivo é facilitar 
a Governança de Tecnologias de Informação (TI). É um 
modelo de controlr, que visa atender as necessidades de 
É uma área da auditoria que visa examinar o andamento 
das atividades ligadas com tecnologias de informação e 
comunicação envolvidas na organização. Torna-se 
necessário valorizar a auditoria de sistemas, uma vez 
que muitas organizações investem valores elevados em 
tecnologias de informação e comunicação 
 Auditoria de gestão; 
 Auditoria de segurança física; 
Perfil e 
qualificações 
do auditor 
Centro Universitário Christus - Unichristus 37
 
 
TI, e garantir a integridade de informação e sistemas de 
informação, ajudando a diminuir os riscos do negócio 
Controle 
interno 
Qualquer actividade realizada manualmente ou 
automaticamente para prevenir, corrigir erros irregulares 
que podem afectar o funcionamento de um sistema para 
atingir seus objectivos. 
Ciclo de 
Deming 
É um ciclo de melhoramento, que tem por princípio tornar 
mais claros e ágeis os processos envolvidos na execução 
da gestão, onde cabe distinguir os seguintes passos: 
 Plan (Planejamento): planejar os objectivos e 
processos necessários para alcançar os resultados 
de acordo com políticas da empresa. 
 DO (Execução) 
 Check (Verificação): monitorar e avaliar 
resultados, confrontando-os com o planejado, 
obje
consolidando as informações, eventualmente 
confeccionando relatórios. 
 Act (Ação): iado e de 
acordo com os relatórios, eventualmente 
ção, 
de forma a melhorar a qualidade, eficiência e 
eficácia, aprimorando a execução e corrigindo 
. 
 
: implementação dos processos.
periodicamente os resultados, avaliar processos e 
tivos, especificações e estado desejado, 
Agir de acordo com o aval
determinar e confeccionar novos planos de a
eventuais falhas
Centro Universitário Christus - Unichristus 38
 
BIBLIOGRAFIA 
 Anaguano (s.d.) Auditoria Informática. 
 Cannon, D. L. (2008) CISA – Certified Information Systems 
Auditor Study Guide, 2nd edition. Wiley Publishing, Inc. 
 FFIEC (2004). Information Security. 
 Gentil, F. A. S. (2008) Auditoria de Sistemas. Universidade 
Tiradentes. 
 Piattini, M. G, e Peso, E. (2001) Auditoria Informática Un enfoque 
Prático. Madrid: Alfaomega. 
 Troitiño, M. T., Sánchez C. M. F. (2008) “Auditoría de SI vs. 
Información. México: Alfaomega Grupo Editor. 
 Valriberas, G. S. (2008) “Control Interno y Auditoría de Sistemas 
de Información” in Velthuis, M. P., Navaro, E.P., Peso, M (coord.) 
Auditoría de Tecnologías y Sistemas de Información. México: 
Alfaomega Grupo Editor. 
 Velthuis, M. P., Navaro, E.P., Peso, M (2008) Auditoria de 
Tecnologias y Sistemas de Informacion. México: Alfaomega 
Grupo Editor. 
 
Referências on-line: 
 
ques.jsp&cod=8157
em-informatica, acedido a 12.10.2011. 
 Crepaldi, S. A. (2006) “Contabilidade - Auditoria: Origem, 
evolução e desenvolvimento da auditoria” in Revista Contábil e 
Contabilidade, disponível em 
http://www.netlegis.com.br/indexRC.jsp?arquivo=/detalhesDesta
, acedido a 20.10.2011. 
 Fagundes, E. M. (2011) COBIT (Control Objectives for 
Information and related Technology), disponível em 
http://www.efagundes.com/artigos/cobit.htm, acedido a 
14.10.2011. 
 Fantinatti, J. M. (1988) Auditoria em Informática – Metodologia 
e Prática, disponível em 
http://joaomarcosfantinatti.wordpress.com/category/auditoria-
Normas de buenas prácticas” in Velthuis, M. P., Navaro, E.P., 
Peso, M (coord.) Auditoría de Tecnologías y Sistemas de 
Centro Universitário Christus - Unichristus 39
 
 
AVALIAÇÃO DA DISCIPLINA DE AUDITORIA E SEGURANÇA 
DA INFORMAÇÃO
 
 
 
 
 
 
 
Teste da 1ª Unidade 
Leia atentamente as questões apresentadas neste teste. Resolva-o em 
folha de papel e entregue para o professor. O valor de cada questão está 
entre parênteses. 
 
1. Quais são os tipos de auditoria que você conhece? ( 0.5) 
 
2. Quais são os objetivos da auditoria externa? E de auditoria interna? 
(0.5) 
 
3. Como é que podemos medir o funcionamento da informática numa 
organização? (1.0) 
 
4. Quais são os objetivos de controle interno? (1.0) 
 
5. Diferencie os conceitos Auditoria e Auditoria de Sistemas? (1.5) 
 
6. Fale da importância de COBIT na auditoria de sistemas. (1.5) 
 
7. Explique em que medida pode se tornar mais claros e ágeis os 
processos envolvidos na execução da gestão de sistemas de 
informação. (1.5) 
 
8. Descreva em suas palavras a convergência entre COBIT e auditoria 
de sistemas. (1.5) 
 
9. Como é que se classificam os objetivos de controle. (1.0) 
 
 
NOME: __________________________________________________________ 
 NOTA _________________ 
 
Centro Universitário Christus - Unichristus 40