Conceitos e Organização da Auditoria

Prévia do material em texto

UNIDADE II - CONCEITOS E ORGANIZAÇÃO DA AUDITORIA
II.1 CONCEITOS BÁSICOS E NATUREZA DA AUDITORIA
A auditoria é o exame comprobatório relativo às atividades de uma ou mais áreas da (por exemplo: informática, contabilidade, financeira, etc.) de uma empresa ou instituição, pode ser também denominada de auditagem.
O auditor é aquele que ouve, ou seja, é o técnico ou pessoa com conhecimento suficiente para emitir parecer sobre assunto de sua especialidade.
O auditor é o perito a quem se dá a incumbência de examinar minuciosamente e dar parecer sobre as operações de uma empresa ou instituição, atestando a correção ou incorreção das mesmas e a sua veracidade.
O auditor também é o magistrado, juiz togado com jurisdição privativa ou cumulativa na Justiça Militar.
A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. 
A atividade de auditoria pode ser divida em três fases: planejamento, execução e relatório.
CAMPO, ÂMBITO E ÁREA.
O campo da auditoria compõe-se de aspectos como: o objeto a ser fiscalizado, o período e a natureza da auditoria.
- O objeto é a entidade a ser auditada (completa ou parcialmente, órgão ou função).
- O período é o espaço de tempo sobre o qual a auditoria irá atuar.
- A natureza é o tipo de auditoria executada numa entidade.
O âmbito da auditoria constitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executado, nível de aprofundamento e grau de abrangência.
A área de verificação é o conjunto formado por campo e âmbito de auditoria. A área delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria.
O controle é a monitoração, fiscalização ou exame minucioso, que obedece a determinadas expectativas, normas, convenções sobre as atividades de pessoas, órgãos, ou sobre produtos para não haver desvios das normas preestabelecidas.
Podemos classificar os controles em três tipos:
Os controles preventivos visam à prevenção de erros, omissões ou fraudes (previne evita, antes da ocorrência).
Os controles detectivos visam à detecção de erros, omissões ou fraudes e ainda relatar sua ocorrência (por exemplo, software de controle de acesso e relatórios de tentativas de acesso não autorizado a um determinado sistema).
Os controles corretivos são usados para reduzir impacto ou corrigir erros, uma vez detectados (por exemplo, planos de contingência).
Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para atingirmos esses objetivos, são traduzidos em procedimentos de auditoria.
Os procedimentos de auditoria formam um conjunto de ações (verificações e averiguações) que permitem obter e analisar as informações necessárias à formulação do parecer do auditor.
Antes de iniciar a auditoria deve ser definida a lista de procedimento, ou seja, a relação dos pontos a serem verificados. 
As entidades fiscalizadoras (RF, TCU) costumam ter manuais de auditoria contendo objetivos de controle e procedimentos de auditoria preestabelecidos para cada área de verificação ou natureza de auditoria.
Os achados de auditoria são fatos significativos observados pelo auditor durante a execução da auditoria. Esses fatos, não necessariamente, erros, falhas ou fraudes, podem ser pontos fortes da instituição, órgão, função ou produto devem ser relevantes e baseados em dados e evidências incontestáveis.
Os papéis de trabalho são registros que evidenciam atos e fatos observados pelo auditor (documentos, tabelas, planilhas, listas de verificações, arquivos informatizados, etc.). Esses papéis dão suporte ao relatório de auditoria, neles estão os registros da metodologia adotada, procedimentos, verificações, fontes de informações, testes e outras informações relacionadas ao trabalho executado pelo auditor.
As recomendações de auditoria são feitas na fase de relatório, são medidas corretivas possíveis, a fim de corrigir deficiências detectadas durante a auditoria e dependendo da competência ou posição hierárquicas do órgão de controle em relação à entidade auditada, as recomendações podem se transformar em determinações a serem cumpridas.
NATUREZA DA AUDITORIA
Não existe um padrão classificatório (tipologia) dos diversos tipos de auditoria existentes, mas alguns tipos mais comuns são classificados de acordo com os seguintes aspectos:
Órgão fiscalizador
Auditoria interna
Realizada por órgão interno da entidade, tem como objetivo reduzir as probabilidades de fraudes, erros, práticas ineficientes ou ineficazes. Deve ser independente e prestar contas diretamente à direção da instituição.
Auditoria externa
Realizada por instituição externa e independente da entidade fiscalizada, com objetivo de emitir parecer sobre gestão de recursos, situação financeira, a legalidade de suas operações.
Auditoria articulada
Trabalho conjunto de auditorias internas e externas caracteriza-se pelo uso de recursos e comunicações recíprocas dos resultados.
Forma de abordagem do tema
Auditoria horizontal
Aborda tema específico, realizada em várias entidades ou serviços paralelamente.
Auditoria orientada
Focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes.
Tipo ou área envolvida
Auditoria de programas do governo
Acompanhamento, exame e avaliação da execução de programas e projetos governamentais específicos (efetividade das medidas governamentais).
Auditoria do planejamento estratégico
Verifica se os principais objetivos da entidade são atingidos e se as políticas e estratégias de aquisição, utilização e alienação de recursos são respeitadas.
Auditoria administrativa
Englobam o plano da organização, seus procedimentos e documentos de suporte à tomada de decisão.
Auditoria contábil
Auditoria tem objetivo de garantir a correção das contas da instituição, conforme as devidas autorizações. 
Auditoria financeira
Auditoria das contas, análise das contas, da situação financeira, da legalidade e regularidade das operações e aspectos contábeis financeiros, orçamentários e patrimoniais, verificando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas.
Auditoria de legalidade
Analise da legalidade ou regularidade das atividades, funções, operações ou gestão de recursos, verificando se estão em conformidade com a legislação em vigor.
Auditoria operacional
Analisa todos os níveis de gestão, nas fases de programação, execução e supervisão, sob o ponto de vista da economia, eficiência e eficácia, também conhecida como auditoria de eficiência, de gestão, de resultados ou de práticas de gestão, onde são auditados todos os sistemas e métodos utilizados pelo gestor para a tomada de decisão, analisa a execução das decisões a aprecia até que ponto os resultados pretendidos foram atingidos.
Auditoria integrada
Inclui auditoria financeira e a operacional.
Auditoria da tecnologia da informação
Analisa os sistemas de informação, o ambiente computacional, a segurança de informações, e o controle interno da entidade, identificando deficiências e pontos fortes, sendo essencialmente operacional, conhecida como auditoria informática, computacional ou de sistemas.
AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO
A Auditoria da TI é uma auditoria operacional, isto é, que analisa a gestão de recursos, com o foco nos aspectos de eficiência, eficácia, economia e efetividade.
A abrangência desse tipo de auditoria pode ser o ambiente de informática como um todo ou a organização do departamento de informática:
Ambiente de informática:
Segurança dos outros controles;
Segurança física;
Segurança lógica;
Planejamento de contingências;Operação do centro de processamento de dados.
Organização do departamento de informática:
Aspectos administrativos da organização;
Políticas, padrões, procedimentos, responsabilidades organizacionais, gerência pessoal e planejamento de capacidade;
Banco de dados;
Redes de comunicação e computadores;
Controle sobre aplicativos:
Desenvolvimento, 
Entradas, processamento e saídas.
Embora não exista uma tipologia para subáreas da Auditoria da TI é freqüentemente aceita:
Auditoria da tecnologia da informação
É abrangente, engloba todos os controles que podem influenciar a segurança de informação e o correto funcionamento dos sistemas de toda a organização:
Controles organizacionais;
De mudança;
De operação de sistemas;
Sobre Banco de Dados;
Sobre microcomputadores;
Sobre ambiente cliente-servidor.
Auditoria da segurança de informações
Determina a postura da organização com relação à segurança. Avalia a política de segurança e controles relacionados com aspectos de segurança institucional mais global, faz parte da auditoria da TI. Seu escopo envolve:
Avaliação da política de segurança;
Controles de acesso lógico;
Controles de acesso físicos;
Controles ambientais;
Planos de contingência e continuidade de serviços.
Auditoria de aplicativos
A segurança e controle de aplicativos específicos, incluindo aspectos intrínsecos à área a que o aplicativo atende:
Controles sobre o desenvolvimento de sistemas aplicativos;
Controles de entradas, processamento e saída de dados;
Controle sobre conteúdo e funcionamento do aplicativo, com relação à área por ele atendida.
II.2 EQUIPE DE AUDITORIA
O gerente da equipe deve ter habilidade para recrutar ou formar profissionais com nível adequado de capacitação técnica em auditoria e TI, além de determinar forma de atingir a capacitação e os métodos de treinamento mais eficazes.
O gerente deve possuir conhecimentos necessários na área (se possível experiência anterior) em:
- CPD, desenvolvimento de sistemas, pesquisa aplicada, fornecedor de hardware, software ou serviços de consultoria técnica de informática;
- Conhecimentos computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado;
- Avaliação da necessidade de um nível de conhecimento mais especializado e aprofundado pra a realização da auditoria;
- Dependendo do âmbito (abrangência, profundidade) diferentes níveis de conhecimento podem ser exigidos, supridos pela equipe básica (interna) com treinamentos ou contratação de mão-de-obra especializada.
- Conhecimentos técnicos:
Sistemas operacionais,
Software básico,
Banco de dados,
Processamento distribuído,
Software de controle de acesso,
Segurança de informações,
Plano de contingência, e de recuperação e
Metodologias de desenvolvimento de sistemas.
- Conhecimentos em auditoria:
Técnicas de auditoria,
Software de auditoria e extração de dados,
- Outras capacidades relevantes:
Princípios Éticos,
Bom relacionamento,
Comunicação oral e escrita,
Senso crítico,
Conhecimento específico na área (finanças, pessoal, estoque...)
COMPOSIÇÃO DA EQUIPE
Na composição da equipe de auditoria, a chefia tem três opções:
Consultoria externa;
Desenvolver a capacidade técnica de TI nos auditores;
Desenvolver técnicas de auditagem no pessoal de TI;
Dependendo do tamanho da organização, capacidade dos profissionais, prazos, objetivos e relação custo-beneficio uma das alternativas será eleita.
CONSULTORIA EXTERNA
Analise (custo, alta capacidade, independência, duração, investimento pessoal, extensão do trabalho).
Os consultores externos podem ser contratador somente para tarefas específicas (conhecimento especializado).
Pontos críticos: custos, contrato e controle sobre atividades.
Definição de objetivos precisos e pontos de controle.
Recomendável: bom relacionamento, transferência de conhecimentos.
Ao término da auditoria: avaliação dos serviços (opiniões dos consultores, dos membros da equipe e da gerencia da organização), com o objetivo de evitar as mesmas falhas no futuro.
A possibilidade de contratação de serviços externos de auditoria deve ser considerada desde as primeiras fases do planejamento da auditoria. 
A partir do momento em que são definidos o campo da auditoria, seu âmbito e as subáreas a serem auditadas, a decisão de contratar consultoria externa depois de ter iniciado a auditoria dificilmente trará bons resultados.
A consultoria externa, antes de ser contratada, deve saber exatamente o que se espera de seu trabalho, os objetivos a serem atingidos e o grau de profundidade dos conhecimentos requeridos, podendo assim verificar se estão aptos.
Categorias de consultoria externa:
Firma ou organização especializada em auditoria (mais recursos, mais serviços);
Profissional ou grupo de profissionais envolvidos em pesquisas ou atividades acadêmicas na área a ser auditada, especializados em determinadas técnicas e ferramentas de auditoria, ou com especialização no objeto da auditoria (atuam tanto no planejamento estratégico como nas verificações específicas em campo).
Tanto as firmas de consultoria como os especialistas autônomos podem ser de grande utilidade no planejamento da auditoria, na condução de entrevistas com o auditado, na avaliação de controles, na captação de dados dos sistemas, na revisão dos resultados e nas recomendações finais do relatório de auditoria.
ANALISANDO OS CANDIDATOS AO SERVIÇO DE CONSULTORIA EXTERNA
Uma das maneiras de se contratar os serviços de consultoria externa é promover um estudo de propostas onde sejam detalhados os custos do serviço, os recursos humanos oferecidos pela consultoria, suas habilidades técnicas, seu plano de trabalho. 
Antes de confrontar as propostas, é aconselhável fazer uma seleção inicial dos possíveis candidatos, é importante também decidir, antecipadamente, os critérios que serão utilizados na análise das propostas dos consultores.
RELACIONAMENTO COM OS CONSULTORES EXTERNOS
Para a realização de qualquer trabalho de qualidade, é essencial o bom entrosamento na equipe, ainda mais se alguns de seus componentes não fizerem parte do quadro de funcionários da organização. Em auditorias com a participação de consultoria externa é imprescindível que todos os aspectos relevantes estejam sob o controle do auditor coordenador da equipe, que deverá ser sempre funcionário da organização.
AVALIANDO O TRABALHO REALIZADO
Ao final do trabalho, é importante avaliar seus resultados, em uma discussão franca entre os consultores externos, membros da equipe de auditoria, coordenador e gerência da organização contratante. 
O objetivo dessa discussão é destacar seus pontos fortes e fracos e relatar as dificuldades encontradas ao longo do trabalho para que, no futuro, sejam realizadas auditorias mais produtivas, eficientes e eficazes.
Comparar os objetivos esperados e os resultados alcançados, o orçamento previsto e custo real, os prazos estimado e real, e os níveis de qualidade esperados e alcançado. Verificar se houve cooperação entre a consultoria externa e o resto da equipe, se há sugestões para o aprimoramento das futuras auditorias.
CAPACITANDO AUDITORES PARA ATUAREM COMO AUDITORES DE SISTEMAS
Para muitos, a informática pode ser difícil de compreender, porque é uma área recheada de jargões técnicos e que enfrenta transformações constantes de produtos e tecnologias.
O auditor com formação básica em contabilidade e auditoria geral se depara com uma dificuldade adicional: muitos profissionais de informática, ao serem auditados, não se propõem a explicar os assuntos técnicos ao auditor que não tenha os conhecimentos básicos necessários para realizar auditoria naquele departamento.
 Muitas vezes o auditor nem sequer entende o que é respondido pelo auditado, pois este utiliza vocabulário técnico e siglas, dificilmente compreendidos por quem não é da área.
CAPACITANDO PROFISSIONAISDE INFORMÁTICA EM AUDITORIAS
Podem-se obter resultados mais efetivos e com maior rapidez se, nos quadros da organização, existirem profissionais de informática para serem treinados na área de auditoria.
TREINAMENTO
O treinamento constante dos auditores de sistema é imprescindível para que estejam preparados para realizar auditorias de qualidade com grau de profundidade técnica adequado. Todos os auditores especialistas ou não em sistemas, deveriam receber treinamento básico de auditoria da tecnologia da informação, já que dificilmente auditarão entidades que não utilizam informática em seus processos e controles. As técnicas e métodos básicos de auditoria de sistemas computadorizados devem ser disseminados a todos os auditores da organização.
Faz-se necessário estimular a participação dos auditores em seminários, cursos de especialização, workshops e congressos.
Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus conhecimentos estão atualizados e compatíveis com os padrões profissionais.
Alguns exemplos de organizações certificadoras:
-	Information System Audit and Control Association (ISACA) – Certificado de Auditor de Sistemas de Informação;
-	Bristish Computer Society - Exame da Sociedade Britânica de Informática;
-	Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional (IIA Qualition in Computer Auditing);
A IIA e ISACA desempenham um papel ativo no desenvolvimento de padrões de auditoria e controle de sistemas de informação.
Como a tecnologia da informação está em constante evolução, é essencial que o treinamento do auditor de sistemas acompanhe essa evolução, incluindo em seu currículo novas técnicas de auditoria e aspectos de informática de tecnologias mais avançadas. O desenvolvimento profissional contínuo não é apenas desejável, mas essencial.
MANUAIS DE AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO
A equipe de especialistas em auditoria da TI, para orientar o trabalho dos auditores e difundir o conhecimento nessa área, deve ser responsável pela elaboração de uma ou mais manuais contendo instruções para a condução de auditorias de sistemas, exemplos de objetivos de controle e procedimentos de auditoria, explanações técnicas sobre alguns tópicos considerados importantes na área de informática, técnicas e metodologias de auditoria, instruções sobre o uso de ferramentas de informática de apoio à auditoria.
BIBLIOTECA TÉCNICA
Os auditores devem ter, à sua disposição, uma biblioteca técnica para consulta, dessa forma poderá orientar seus trabalhos de acordo com os padrões conhecidos na área, se manter atualizados com relação às novas tecnologias e utilizar publicações técnicas como fonte de consulta durante a auditoria e na elaboração do relatório.
ORGANIZAÇÃO DA EQUIPE ESPECIALIZADA
Dada à complexidade e a extensão dos conhecimentos necessários em auditoria da tecnologia da informação, dificilmente uma única pessoa deterá todos esses conhecimentos. É comum encontrar, em equipes de auditoria da TI de várias organizações, auditores com formação e especialização em diferentes áreas. Cabe à gerência desenvolver as especializações que faltam e administrar o grupo como um time coeso que se complementa tecnicamente. Através de treinamento adequado, a equipe deve tentar cobrir todas as áreas de auditoria da tecnologia da informação utilizadas pela instituição.
ADMINISTRANDO RECURSOS HUMANOS ESCASSOS
Na maioria das organizações dedicadas à auditoria, controle e segurança, os auditores de sistemas são considerados recursos escassos e seu tempo é administrado criteriosamente, além de suas atividades são definidas apenas nos casos em que sua atuação é realmente necessária.
Além do grupo de especialistas em auditoria da TI, uma boa alternativa para difundir esse conhecimento é treinar alguns auditores para atuarem como suporte básico de informática nas equipes de auditoria de caráter genérico, sendo este denominado auditor generalista. Ele executará análise preliminar de ambientes de informática ou sistemas considerados pouco complexos para determinar a estratégia de auditoria mais adequada e avalia os controles genéricos do ambiente computacional que não exijam experiência técnica mais apurada.
É recomendável que a chefia estabeleça claramente as responsabilidades de cada tipo de auditor, o suporte técnico a ser dado pelos auditores especialistas, os limites de atuação e o relacionamento entre auditores de sistemas e especialistas e generalistas, para evitar omissão ou duplicidade de trabalho.
A gerência deve estabelecer um plano de auditorias de sistemas, de preferência anual, relacionando os recursos disponíveis (generalistas e especialistas) e as prioridades dos trabalhos.
PLANEJAMENTO DE ATIVIDADES
Em organizações de auditoria, geralmente as atividades são planejadas em três níveis, baseados em períodos de tempo diferentes. Cada nível de planejamento gera um documento, denominado plano, com atividade e detalhes para o período de tempo.
PLANO ESTRATÉGICO DE LONGO PRAZO
O plano estratégico de longo prazo é estabelecido, normalmente, para um período de 3 a 5 anos. Seus objetivos são mais amplos, atingem toda a instituição e são aprovados pela gerência superior. Seus conteúdos definem as metas da gerência de auditoria da TI, seu modo de atuação, os recursos necessários (pessoal, equipamentos e recursos financeiros) e as necessidades de treinamento. É aconselhável revisar e atualizar o plano anualmente.
PLANO ESTRATÉGICO DE MÉDIO PRAZO
Este traduz o plano de longo prazo em um programa de atividades para o ano que se inicia. Em geral procura atender à demanda das equipes de auditoria genérica por especialistas na área de informática para realizarem, no ano seguinte, em conjunto ou não, auditorias da TI em entidades previamente escolhidas. Esse plano, normalmente aprovado pela gerência intermediária, define os objetivos macros das principais auditorias do próximo ano e é suficientemente flexível para aceitar as alterações que se façam necessárias.
PLANO OPERACIONAL
Baseia-se em auditorias individualizadas e contém detalhes exatos dos objetivos a serem atingidos, as áreas a serem auditadas, os recursos necessários e em que prazo, os objetivos de controle e os procedimentos de auditoria a serem seguidos. O plano operacional nada mais é do que o plano específico de uma determinada auditoria.
ENVOLVIMENTO COM OUTROS AUDITORES
Ao estabelecer uma equipe mista para realização de uma auditoria genérica, isto é, sem o enfoque de auditoria da TI, é conveniente dividir o trabalho em várias fases para que os auditores atuem, conforme sua especialização, apenas nas fases em que seus conhecimentos sejam necessários. Em uma auditoria genérica, normalmente os auditores de sistemas participam das seguintes fases:
Levantamento de auditoria - o auditor de sistemas pode ser requisitado para analisar um sistema da entidade auditada, explicando, em seu relatório, seu funcionamento e fornecendo informações básicas para auditoria principal.
Coleta de dados – o auditor de sistemas pode auxiliar na coleta e transferência de dados do computador do órgão auditado para o computador da equipe de auditoria.
Análise de dados – após a coleta de dados, o auditor de sistemas pode ser solicitado a analisar os dados coletados e entrevistar o auditado em relação a seu conteúdo.
Opinião técnica – o auditor de sistemas pode ser requisitado a dar sua opinião técnica sobre o desempenho e a utilidade de determinado sistema ou conjunto de dados.
Já o envolvimento entre auditores de sistemas generalistas e especialistas é bem mais próximo. No caso de auditorias da TI feitas por auditores generalistas, à equipe de especialistas em TI deve dar todo o suporte necessário, seja elaborando manuais de orientação, repassado os conhecimentos técnicos básicos, esclarecendo suas dúvidas ou atendendo às solicitações de consultoria, quando for preciso. A troca de experiências deve ser estimulada pela gerência.II.3 PLANEJAMENTO
A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua realização, além de estabelecer os recursos necessários à execução dos trabalhos de auditoria, a área de verificação, as metodologias, os objetivos de controle e os procedimentos a serem adotados, o auditor realiza um trabalho de pesquisa de fontes de informação sobre o objeto a ser auditado e negocia todos esses aspectos com sua gerência.
PESQUISA DE FONTES DE INFORMAÇÕES
Na fase de planejamento da auditoria, a equipe deve reunir a maior quantidade possível de informações sobre a entidade auditada e seu ambiente de informática (plataforma de hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento, principais sistemas, etc.) e com essas informações poderá esboçar seu plano de auditoria e partir para a fase de delimitação dos trabalhos.
Esse conhecimento prévio do ambiente de informática da entidade auditado permite ao auditor ter uma noção do grau de complexidade de seus sistemas e, então, estabelecer os recursos e os conhecimentos técnicos necessários à equipe da auditoria.
Neste caso saber com antecedência o tipo de ambiente computacional com o qual o auditor vai se deparar é, sem dúvida, bastante vantajoso, já que haverá mais tempo para se preparar tecnicamente ou para incluir um especialista na equipe.
A equipe precisará manter contato e entrevistar pessoas-chaves da entidade.
As principais fontes de informações sobre a entidade auditada são relatórios de auditorias anteriores, base de dados, documentos ou páginas da entidade na Internet, notícias veiculadas na imprensa, visitas anteriores à entidade e relatórios da auditoria interna.
DEFININDO CAMPO, ÂMBITO E SUBÁREAS.
A partir do momento em que foi decidida a realização de uma auditoria e já existem informações suficientes sobre a entidade e seu ambiente computacional, a equipe delimita sua atuação, definindo o campo, o âmbito e as subáreas a serem auditadas. O campo da auditoria é composto por objeto, período de fiscalização e natureza.
No caso de auditorias de informática, a natureza é auditoria da tecnologia da informação, quase sempre com enfoque operacional (exame dos aspectos econômicos, de eficiência e eficácia). O objeto auditado pode englobar um sistema computacional específico; uma, várias ou todas as seções do departamento de informática; ou até mesmo toda a organização (em termos de políticas de informática e segurança de informações ou nos casos em que o negócio da organização resume-se à prestação de serviços computacionais). 
O período de uma auditoria da TI depende diretamente do âmbito (grau de profundidade das verificações) e das subáreas de sistemas escolhidas pela equipe.
Além da definição do campo, são determinadas a amplitude e a exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados.
Tendo sido definido o conjunto campo e âmbito da auditoria, é fixada, então, a área de verificação. Essa área delimita de modo muito preciso os temas da auditoria e, em função do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em subáreas.
É aconselhável coordenar o número de subáreas a serem auditadas com a magnitude ou complexidade do objeto da auditoria, isto é, para ambientes extensos ou de grande complexidade, convém limitar a quantidade de controles a serem verificados para que a equipe realize um trabalho de qualidade.
Após a definição das áreas e subáreas a serem auditadas, o auditor retorna à fase de pesquisa para relacionar as fontes de consulta especializadas necessárias durante a auditoria, tais como livros técnicos, manuais de auditoria, artigos especializados, sites na Internet especializados em segurança ou outras áreas específicas de informática.
NEGOCIANDO COM A GERÊNCIA
A definição dos aspectos citados facilita o trabalho da equipe de auditoria e evita as falsas expectativas, tanto nos membros da equipe como de sua gerência.
EVITANDO FALSAS EXPECTATIVAS
Quando a gerência da equipe de auditoria espera um trabalho de verificação breve, sucinto e preliminar de um sistema de informática e a equipe executa uma auditoria extremamente detalhada e aprofundada, ninguém fica satisfeito. A gerência tende a cobrar insistentemente a conclusão do trabalho, por considerá-lo apenas uma análise superficial, enquanto a equipe de auditoria se exaspera para completar todas as suas tarefas dentro do prazo exíguo.
Esse problema de falsas expectativas pode acontecer em qualquer tipo de auditoria, não necessariamente em auditorias da TI. 
Antes de iniciar a execução propriamente dita da auditoria, é recomendável que a equipe sempre discuta e defina claramente, com sua gerência, o campo da auditoria, o grau de profundidade de suas verificações e o nível de capacitação técnica e profissional necessário para auditar às subáreas escolhidas. 
Dando assim uma noção próxima da realidade dos resultados da auditoria e permitem à equipe definir as metodologias a serem utilizadas, os objetivos de controle a serem atingidos e os procedimentos de auditoria mais adequados para garantir a realização de um trabalho de auditoria compatível com as expectativas da gerência.
DEFININDO OS RECURSOS NECESSÁRIOS
Recursos humanos
Recursos econômicos
Recursos técnicos
METODOLOGIAS
Entrevistas
Entrevistas de apresentação;
- Apresentação da equipe, cronograma das atividades, objetivos, áreas, período, metodologias. Estrutura do relatório (resultado da auditoria).
Entrevistas de coleta de dados;
- Coleta de dados sobre os sistemas ou ambiente de informática. Nessa entrevista podem ser identificados os pontos fortes e fracos de controle, falhas e possíveis irregularidades. O entrevistado deve saber de antemão como serão usados esses dados e conhecer o relatórios a cerca da entrevista.
Entrevistas de discussão de deficiências encontradas;
- Ao término das investigações são apresentadas as deficiências encontradas e discutí-las podem ser apresentadas justificativas, podendo ser desconsideradas as falhas.
Entrevista de encerramento;
É apresentado o resumo dos resultados (pontos fortes, falhas mais relevantes, comentários, recomendações).
USO DE TÉCNICA OU FERRAMENTAS DE APOIO (CATAS)
Técnicas Para Análise de Dados
Consiste nos dados coletados e auditados com auxílio de softwares de extração de dados, de amostragem, de análise de logs e módulos ou trilhas de auditoria embutidas nos próprios sistemas aplicativos da entidade.
Técnicas Para Verificação de Controles de Sistemas;
Consiste em testar a efetividade dos controles dos sistemas do auditados, bem como, analisar sua confiabilidade, determinar se estão operando corretamente a ponto de garantir a fidedignidade dos dados. 
Devemos utilizar massa de dados de teste para simulações, software de comparação de programas e rastreamento de processamento.
Outras Ferramentas;
Devemos utilizar planinhas eletrônicas, editores de texto, bancos de dados e softwares para apresentações.
OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA
Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para atingirmos esses objetivos, são traduzidos em procedimentos de auditoria que a norteiam, assim para realizar uma avaliação, é necessário um modelo normativo, ou seja, um conjunto de padrões, de como a atividade deveria estar sendo feita.
Este modelo é traduzido em objetivos de controle a serem avaliados pelo auditor em cada área específica, sendo que os objetivos de controle podem ter vários enfoques e podem ser motivados por diversas razões:
Segurança – Os dados e os sistemas são importantes para a organização, onde a confidencialidade, integridade e a disponibilidade são essenciais;
Atendimento a solicitações externas – Como, por exemplo, a verificação de indícios de irregularidade motivados por denúncia ou solicitação de órgão superior;
Materialidade – O alto valoreconômico-financeiro dos sistemas computacionais;
Altos custos de desenvolvimento – Os sistemas de altos custos envolvem altos riscos.
Grau de envolvimento dos usuários – O não envolvimento dos usuários no desenvolvimento de sistemas, acarreta sistemas que em geral não atendem satisfatoriamente às suas necessidades.
Outsourcing/Terceirização – Os efeitos da terceirização no ambiente de informática.
Os procedimentos de auditoria formam um conjunto de ações (verificações e averiguações) que permitem obter e analisar as informações necessárias à formulação do parecer do auditor.
Enquanto os objetivos de controle abrangem uma área mais ampla, os procedimentos de auditoria descrevem padrões individualizados, mais detalhados, dentro de cada objetivo de controle.
A partir do momento em que foram definidas a área de verificação e as subáreas a serem auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza procedimentos de auditoria para testar se os respectivos objetivos de controles estão sendo seguidos pela entidade.
EXECUÇÃO
No transcurso da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis para a consecução dos objetivos da auditoria.
Os resultados da auditoria (achados e conclusões) devem ser suportados pela correta interpretação e análise dessas evidências.
Evidência física – são observações de atividades desenvolvidas pelos funcionários e gerentes, sistemas em funcionamento, local equipamentos, etc.
Evidência documentária – representa o resultado da extração de dados, registro de transações, listagens, etc.
Evidência fornecida pelo auditado – são transcrições de entrevistas, cópias de documentos cedidos, fluxogramas, políticas internas, e-mails trocados com a gerência, justificativas, relatórios, etc.
Evidência analítica – são comparações, cálculos e interpretações de documentos. 
Toda essa documentação, geralmente organizada em papéis de trabalho, deve estar disponível para auxiliar a equipe na elaboração do relatório. 
Nem todas as evidências podem ser investigadas detalhadamente e descritas no relatório final, o auditor deve analisar cada caso segundo a sua importância para a consecução dos objetivos, tempo e esforço necessários para esclarecer todos seus pontos nebulosos.
Uma evidência considerada incompatível com a auditoria em execução pode servir como indicativo para outra auditoria.
A manutenção dos papéis de trabalho é essencial tanto para a elaboração do relatório da auditoria em questão, como para o planejamento de futuras auditorias.
II.4 ELABORAÇÃO DE RELATÓRIO DE AUDITORIA
Nos relatórios da auditoria, a equipe, apresenta seus achados e conclusões, bem como os fatos sobre a entidade auditada, comprovações recomendações e determinações, desta maneira a linguagem utilizada nos relatórios deve ser compatível com quem irá recebê-los. 
A QUEM SE DIRIGE O RELATÓRIO?
Dependendo do motivo que levou à realização da auditoria, o relatório pode se encaminhado à diretoria da organização, ao organismo que financia a entidade auditada ou ao organismo responsável pelo controle de auditoria geral da entidade, assim faz-se necessário identificar os pontos mais relevantes e adaptar os relatórios de acordo com o público alvo.
RELATÓRIOS PRELIMINARES
Antes mesmo de iniciar os trabalhos de campo, na fase do planejamento da auditoria, são coletadas informações preliminares sobre a entidade, seus sistemas, os recursos necessários, a composição da equipe, metodologias, objetivos de controle e procedimentos a serem adotados. 
Uma estrutura de relatório deve ser definida e todas essas informações devem ser transcritas para o relatório.
Durante os trabalhos de campo, é importante documentar tudo que foi feito, observado e dito pelos entrevistados. 
Os textos referentes a cada entrevista podem ser utilizados no relatório e a equipe deve confirmar os fatos relatados e apresentar ao entrevistado, antes da revisão final do relatório os assuntos tratados durante a entrevista, evitando mal-entendidos ou desvios de interpretação.
Ao término das investigações de cada área, um relatório parcial deve ser apresentado contendo as deficiências encontradas (entrevista para discussão de deficiências encontradas). As justificativas apresentadas podem ser anexadas ao parecer.
RELATÓRIO FINAL
O relatório final deve se revisado por toda a equipe de auditores, a fim de evitar inconsistências, erros ou lacunas em relação aos padrões e práticas da organização auditada e uma crítica externa, também sempre são convenientes.
ESTRUTURA
Dados da entidade auditada - nome, endereço, natureza jurídica, relação de responsáveis, etc.
Síntese - um breve resumo do conteúdo. É útil para a alta direção obter uma visão geral e rápida dos principais pontos da auditoria.
Dados da auditoria - objetivos, período de fiscalização, composição da equipe, metodologia adotada, natureza da auditoria, e objeto (controles gerais, desenvolvimento de sistemas, aplicativo específico, etc.).
Introdução - histórico da entidade, conclusões de auditorias anteriores, estrutura hierárquica do departamento de informática, sua relação com outros departamentos, descrição do ambiente computacional, evolução tecnológica, principais sistemas e projetos. 
Falhas detectadas - apresenta em detalhes, as falhas e irregularidades detectadas durante a auditoria. Além das descrições, são apresentados comentários iniciais, justificativa do auditado e o parecer final da equipe para cada falha (preferências e recomendações). É aconselhável dividi-la por subáreas fiscalizadas, para haver um encadeamento lógico de idéias.
Conclusão - síntese dos pontos principais do relatório e as recomendações ou determinações finais da equipe para a correção das falhas ou irregularidades encontradas.
Pareceres da gerência superior - as gerências superiores podem dar seu parecer a respeito dos achados e recomendações da equipe de auditores, concordando integralmente ou em partes com os pontos de vista da auditoria, ou ainda discordando inteiramente.