Aula 14 - Conceitos de Auditoria-continuacao

Prévia do material em texto

1
Prof Ana Paula Garcia
anapbg23@gmail.com
Governança de Tecnologia da Informação
� Planejamento
� Execução
� Relatório
� A fase de planejamento de uma auditoria 
identifica os instrumentos indispensáveis à 
sua realização.
� Nesta fase devem ser feitas pesquisas de 
fontes de informação, definição de recursos e 
metodologias.
Fontes de informação:
◦ Maior quantidade possível sobre a entidade e o ambiente
◦ Esboçar plano de auditoria
◦ Grau de complexidade dos sistemas e estabelecer recursos 
necessários
◦ Delimitar atuação da auditoria
◦ Definir objeto, período e natureza
◦ Âmbito: amplitude e exaustão
◦ Subáreas 
� Negociando com a gerência
◦ Evitar falsas expectativas
◦ Definir recursos necessários (humanos, econômicos 
e técnicos)
� Metodologias
◦ Entrevistas (apresentação, coletas de dados, 
discussão de deficiências e encerramento)
◦ Técnicas ou ferramentas de apoio (análise de 
dados, verificação de controles)
� Ao longo da execução da auditoria, a equipe 
deve reunir evidências confiáveis, relevantes e 
úteis para a consecução dos objetivos da 
auditoria.
� Evidências: Informações obtidas durante a 
auditoria no intuito de documentar os 
achados e de respaldar as opiniões e 
conclusões da equipe.
2
� Evidências são classificadas em : 
◦ física
◦ Documentária
◦ fornecida pelo auditado 
◦ analítica
� Evidência física
◦ Observações de atividades desenvolvidas pelos 
funcionários e gerentes
◦ Sistemas em funcionamento, local, equipamentos
� Evidência documentária
◦ Extração de dados, registros de transações, 
listagens
� Evidência fornecida pelo auditado
◦ Entrevistas, documentos cedidos, políticas internas, 
e-mails trocados, relatórios
� Evidência analítica
◦ Comparações, cálculos e interpretações de 
documentos de entidades similares ou da mesma 
entidade em períodos de tempo diferentes
� Documentação organizada em papéis de 
trabalho
◦ Disponível para equipe elaborar o relatório
Uma evidência considerada incompatível com 
auditoria em execução pode servir como indicativo 
para outra auditoria
� É apresentado pelo auditor contendo seus achados e 
conclusões. Inclui fatos sobre a entidade auditada, 
comprovações, conclusões e, eventualmente, 
recomendações e/ou determinações.
� A quem se dirige
◦ Motivo que originou a auditoria
◦ Diretoria, organismo financiador, órgão responsável
Conhecer a organização
Identificar o que é auditável
Avaliar riscos
Planejar recursos
Focar e planejar a auditoria
Desenvolver o guia de auditoria
Executar a auditoria
Redigir o relatório
Avaliar lições 
aprendidas
� Determinar as áreas auditáveis
� Determinar as áreas de risco mais alto
� Entender os objetivos gerais da organização
� Encontros com auditados para conhecer a 
área auditada
3
� Rever auditorias anteriores
� Rever informações operacionais relevantes
� Compreender os sistemas de informação
� Garantir que auditorias são realizadas no 
momento certo para evitar perdas
� Atribuir valores e ordenar os riscos por 
relevância
� Fatores utilizados para avaliar riscos
◦ Ambiente de controle interno
◦ O grau de mudanças organizacionais e gerenciais
◦ O tempo após a última auditoria
◦ A exposição financeira da atividade auditada
� Alocar recursos para maximizar a cobertura 
das áreas de maior risco da organização
� Informar à diretoria solicitações de auditoria
� Coordenar os planos de auditoria da 
organização com os trabalhos de auditoria 
externa
� Foco e planejamento
◦ Visitas e entrevistas
◦ Recuperação de aplicações da organização
� Desenvolvimento de guias de auditoria
◦ Mapa a ser usado durante o trabalho de campo
◦ Podem ser utilizados guias padronizados
◦ Deve ser revisto antes do início da auditoria
� Relatórios
◦ Comunicar achados para a diretoria
◦ Contém recomendações
◦ Auditados são consultados para validar informações 
do relatório
4
� Lições Aprendidas
◦ Informações importantes de auditorias anteriores 
devem ajudar a melhorar auditorias futuras
◦ Podem ser sobre tecnologia, processos, custos ...
� Técnicas devem levar em conta:
◦ Parâmetro do controle interno a ser atendido
◦ Momento da aplicação da técnica
◦ Ambiente tecnológico de computação vivenciado
◦ Situação dinâmica (processos) ou estática 
(resultados) do sistema/ambiente computacional
� Programa de computador
� Questionários
� Simulação de dados
� Visita in loco
� Mapeamento de estatístico
� Programas de rastreamento
� Entrevista
� Análise de relatórios/telas
� Simulação paralela
� Análise de logs
� Análise do programa-fonte
� Exibição parcial da memória
� Correlaciona arquivos, tabula dados
� Pode ser construído pelo auditor através de 
uma linguagem de programação
� Opções para aplicação dos programas
◦ Tabulação de campos
� Somatório de campos de valores quantitativos para 
efeito de confrontação ou acompanhamento de 
acumuladores
◦ Contagem de campos/registros
� Apuração de totais por tipo de registro ou campo
5
� Opções para aplicação dos programas
◦ Análise de campos/registros
� Verificação da existência de campos ou registros em 
um arquivo
� Correlação entre campos de um mesmo arquivo para 
verificação da coerência e validade
◦ Correlação de arquivos
� Confronto de campos entre registros com vistas à 
garantia de ambos os arquivos
◦ Estatísticas dos campos dos arquivos
� Apuração de média, desvio padrão ...
� Análises obtidas dos programas de 
confrontação de arquivos correspondem a:
◦ Obtenção dos registros que estão no arquivo A e 
não estão em B; os registros que existem em 
ambos arquivos; e os registros que estão em B mas 
não se encontram em A
◦ Como exemplo podemos ter:
� Materiais adquiridos que não se encontram 
catalogados
� Materiais adquiridos, que se acham, catalogados, cujo 
conteúdo dos campos deve ser confrontado (valor de 
aquisição, características técnicas
� Conjunto de perguntas com objetivo de 
verificação de determinado ponto de controle 
do ambiente computacional
� Pontos críticos na aplicação do questionário
◦ Características do ponto de controle
◦ Momento histórico empresarial ou objetivos da 
verificação do ponto de controle
� Voltados para pontos de controle cujas 
perguntas guardarão características 
intrínsecas referentes a:
◦ Segurança em redes de computadores
� Segurança física dos equipamentos
� Segurança lógica e confidencialidade
◦ Segurança do centro de computação
� Controle de acesso físico e lógico às instalações de 
processamento
� Segurança ambiental no tocante à infra-estrutura
� Voltados para pontos de controle cujas 
perguntas guardarão características intrínsecas 
referentes a:
◦ Eficiência no uso dos recursos computacionais
� Tempo médio de resposta em terminal
� Tempo de uso dos equipamentos a cada dia
� Quantidade de rotinas catalogadas a cada dia
6
◦ Eficácia dos sistemas aplicativos
� Quantidade de informações geradas pelo computador e 
consumidas pelos usuários
� Prazo de atendimento de novos sistemas aos usuários
� Tempo médio de solução de problemas provida pelo help 
desk
� Normalmente aplicado de forma casada a 
outras técnicas de auditoria como entrevistas e 
visita em loco
� Pode ser aplicado a distância
� Pode ser enviado ao auditado, respondido e 
analisado pelo auditor
� Permite varrer um universo amplo de 
auditados
� As respostas devem ser quantificadas
� Problema: interpretações subjetivas
� Aplicada para teste de processos 
computacionais
� Corresponde à elaboração de um conjunto de 
dados de teste a ser submetido ao programa 
de computador ou rotina
� Verificar lógica de processamento
� Dados simulados de testes necessitam prever 
situações corretas e incorretas
� Auditor necessita conhecer computação� Documentação pode ser deficiente
� Elaboração do ambiente de testes é 
complexa, principalmente em programas que 
manipulam grandes quantidades de dados
� Sequencia de procedimentos:
◦ Marcar data e hora com responsável
◦ Anotar procedimentos e acontecimentos, coletar 
documentos,
◦ Anotar nomes completos e data e hora das visitas 
realizadas
◦ Analisar os papéis de trabalho obtidos, avaliar 
respostas e a situação identificada
◦ Emitir opinião via relatório
7
� Aplicada em pontos de controle:
◦ Inventário de volumes de arquivos magnéticos
◦ Inventário de insumos computacionais 
armazenados em almoxarifados
◦ Visita à sala de operação de computadores para 
verificar controles de acesso
◦ Acompanhamento de rotina de backup
� Reunião entre auditor e auditados
� Seqüência de procedimentos
◦ Planejar reunião
◦ Elaborar um questionário para realização da 
entrevista
◦ Realização da reunião (aplicação do questionário)
◦ Elaboração de ata de reunião (distribuir cópia)
◦ Análise das respostas
◦ Emissão de relatório
� Análise de relatórios e telas sob auditoria no 
tocante a:
◦ Nível de utilização do usuário
◦ Grau de confidencialidade do conteúdo
◦ Forma de utilização e integração entre relatórios, 
telas e documentos
◦ Distribuição das informações segundo layout 
vigente
� Relacionar por usuário todos os relatórios e 
telas que pertençam ao ponto de controle
� Obtenção de modelo ou cópia de cada relatório 
ou tela
� Elaborar checklist para realização dos 
levantamentos
� Marcar antecipadamente data e hora com as 
pessoas que fornecerão opinião
� Realizar entrevistas
� Analisar as respostas
� Principais fraquezas identificadas:
◦ Relatórios, telas e documentos não mais utilizados
◦ Layout inadequado
◦ Confidencialidade não estabelecida ou não 
respeitada
� Redução de custos com desativação total ou 
parcial de relatórios e telas
8
� Excelente ferramenta para:
◦ Identificação de ineficiência no uso do computador
◦ Apuração do desbalanceamento da configuração do 
computador, pela caracterização de dispositivos que 
estão com folga ou sobrecarregados
◦ Determinação de erros de programas ou de operação 
do computador
◦ Flagrar uso de programas fraudulentos ou utilização 
indevida do computador
◦ Captar tentativas de acesso a arquivos indevidas, por 
senhas não autorizadas
� Elementos para avaliação de hardware
◦ Tempo de UCP por dia
◦ Tempo de uso e quantidade de unidades de entrada 
e saída
� Elementos para avaliação de software
◦ Tempo de utilização
◦ Quantidade de vezes de software utilizado por 
usuário
◦ Quantidade de cancelamentos por erro de 
programa, erro de I/O, do operador
� Seqüência de procedimentos:
◦ Entrevistar pessoas pra entender, sistema de 
monitoração, layout, tempo de retenção de logs
◦ Decidir que tipos de verificação serão efetuados 
nos dados do log
◦ Elaborar e aplicar o programa de computador de 
auditoria
◦ Analisar os resultados
◦ Emitir opinião
� Análise visual do código fonte
� Assegurar que está testando versão certa
� Exige conhecimentos específicos do auditor
� Permite ao auditor
◦ Verificar se o programador cumpriu normas de 
padronização de código
◦ Analisar qualidade da estruturação dos programas
◦ Detectar vícios de programação
� Segurança
◦ Dados e sistemas essenciais à confidencialidade, 
integridade e disponibilidade das informações
� Atendimento a solicitações externas
◦ Verificação de indícios de irregularidades
� Materialidade
◦ Valor significativo de sistemas computacionais e 
transações
� Altos custos de desenvolvimento
◦ Avaliação dos riscos para as organizações
� Grau de envolvimento dos usuários
◦ Sistemas elaborados sem participação dos usuários 
geralmente não os atendem
� Outsourcing
◦ Efeitos da terceirização no ambiente de informática
� Procedimentos
◦ Testar se os objetivos de controle estão sendo 
atingidos
9
� 1)Defina o que são “Evidências” e mostre 
como são classificadas.
� 2) De acordo com a Pirâmide de auditagem, 
quais são os fatores utilizados para avaliar 
riscos?
� 3)Dentre as “Técnicas de auditoria”, detalhe 
as informações de como funciona a técnica 
de “entrevista”.
� 4) Após ter o conhecimento da definição de 
“Auditoria Externa”, como você percebe que 
ela contribui com o processo de Governança, 
estudado anteriormente?