Auditoria De Sistemas De Informação - Resumo aulas 1-10

Prévia do material em texto

Auditoria de Sistemas: 
É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades 
gerenciais de uma determinada empresa, com o objetivo de garantir: 
- A segurança de informações, recursos, serviços e acesso. 
- A conformidade com objetivos da empresa, políticas administrativas, orçamentos, 
regras, normas ou padrões. 
 
Os recursos podem ser:​ Humanos, Tecnológicos e Financeiros/Materiais 
 
Funções clássicas de uma organização (Antonio Gil): 
- Planejamento: Informações que exprimem uma expectativa de comportamento 
futuro (Determinação de padrões) 
- Execução: Confecção do sistema conforme aprovado pelo cliente (Caracterização de 
medidas) 
- Controle: Comparação do trabalho realizado versus o que foi planejado 
(Acompanhamento de desvios) 
 
O Auditor de Sistemas atua como um verificador, segundo as ações de: 
- Validação: Idéia de TESTE 
- Avaliação: Emissão de opinião 
A duplicidade lógica consiste no processo análogo estruturado. 
 
O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação e 
visão abrangente da empresa. 
 
Escopo da auditoria:​ CONTROLES INTERNOS, PROCESSO E CONTROLES DE 
NEGÓCIO (Antonio Gil) 
 
Equipe De Auditoria 
- Interna: A equipe é treinada de acordo com as medidas de segurança da empresa. A 
metodologia de auditoria é desenvolvida internamente. O recrutamento/treinamento é um 
desafio. 
- Externa: Contratação de um firma de auditores de alguma área ou sistema 
específico. Nesse caso a chance de perder o controle sobre trabalhos realizados. 
 
Em ambos os casos de auditoria, são considerados despesas, já que não existe geração de 
renda real. 
 
O treinamento de auditor de tecnologia da informação é dividido em duas partes: 
- Pouca/nenhuma experiência em TI: Conceitos de TI, fundamentos de arquitetura, 
processamento lógico, rede de computadores, programação, introdução aos controles gerais 
de computadores e estudo de caso. 
- Experiência em TI: Revisão de controles gerais, princípios e práticas de auditoria 
com ênfase nos controles gerenciais e organizacionais, gerenciamento de risco, avaliação dos 
sistemas com relação ao processamento em tempo real, transmissão de dados, proteção da 
informação, controle de operações, controle do acesso aos dados/programas e Software de 
auditoria. 
 
Auditoria Da Tecnologia Da Informação 
A auditoria convencional sempre foi conhecida por sua responsabilidade nos testes de 
confiabilidade dos registros, de acordo com os documentos-fonte. 
Três tipos de abordagens de auditoria de sistemas 
- Ao redor do computador: O sistema foi usado para tarefas menores gerando 
relatórios impressos. (não é eficiente por negligências) 
- Através do computador: Simulação de todas as transações possíveis através de 'test 
data' esse método alerta quando há manuseio de dados sem deixar evidências documentais 
razoáveis. 
- Com o computador: Abordagem com o computador assistida 
Padrões e Código de Ética para a Auditoria de Sistemas de Informação 
- Responsabilidade, autoridade e prestação de contas. 
- Independência profissional: Para permitir uma conclusão objetiva da auditoria. 
- Ética profissional e padrões: ética da Associação de Controle e Auditoria de 
Tecnologia da Informação e ter o devido zelo profissional. 
- Competência: Constante aprimoramento profissional. 
- Planejamento: Os pontos e as conclusões da auditoria devem ser fundamentados por 
meio de análise e interpretação apropriadas destas evidências. 
- Emissão do relatório: O auditor não altera nada no objeto de auditoria apenas contas 
o laudo sobre o mesmo. 
- Atividades de follow-up. 
Auditoria em TI 
- Confidencialidade 
- Integridade 
- Disponibilidade 
- Consistência 
- Confiabilidade 
 
Código De Ética Profissional ​(ISACA) 
- Livro 1: Apoiar a implementação de padrões e encorajar seu cumprimento. 
- Livro 2: Exercer as funções de auditor com zelo e prática. 
- Livro 3: Servir os interesses dos stakeholders de forma legal e honesta. 
- Livro 4: Manter a privacidade das informações. 
- Livro 5: Competência nas respectivas especialidades. 
- Livro 6: Informar os resultados da auditoria aos envolvidos. 
- Livro 7: Apoiar a conscientização profissional dos stakeholders para auxiliar na 
compreensão dos sistema. 
 
Falhas de segurança, tais como fraude, contabilização indevida de dados contábeis, 
indisponibilidade de sistemas, acessos (lógicos/físicos) indevidos. 
 
 
Planos De Contingência​ – Gerenciar Mudanças e Surpresas 
 
Uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para 
assegurar a continuidade do serviço. É ​necessário​ para: 
- Reduzir a suscetibilidade a danos (previamente identificados tentando minimizá los) 
- Aperfeiçoar a habilidade em sobreviver a descontinuidade de rotinas 
- Reduzir a descontinuidade de rotinas 
- Reduzir custos de recuperação 
 
Áreas de negócios 
- Responsáveis pela continuidade da operação em suas áreas 
- Desenvolvimento de planos em todos os níveis 
- Incluir os planos das áreas interdependentes 
- Coordenação das atividades (gerenciais a confecção dos planos de contingência) 
Riscos e Ameaças ​(Relacionados aos Ativos) 
- Ameaças: Acidentais ou Deliberadas (Passivas/Ativas) 
- Recurso: Um componente físico 
- Vulnerabilidade 
- Ataque: Ameaça concretizada (Perda de Confidencialidade, Integridade ou 
Disponibilidade) 
- Impacto: Resultado do ataque (Direto ou Indireto) 
- Risco: Ameaça, vulnerabilidade e impactos 
 
 
Funções, sistemas ou áreas: Lugares para identificar no plano de contingência. 
 
Matriz de Risco ​(Ameaça, impacto, probabilidade, escore de risco) 
Levantamento de riscos envolvidos (Brainstorming) 
Depende de mim ou do meu pessoal? Se sim, é erro, senão, é risco. 
Dar pesos aos critérios (probabilidade e impacto) e observar o comportamento de cada risco 
em relação aos critérios 
 
Impacto:​ Curto e Longo prazo 
- Impacto irrelevante 
- Efeito pouco significativo 
- Sistemas não disponíveis por um determinado período 
- Perda financeira de maior vulto 
- Efeitos desastrosos (Sem comprometer a empresa) 
- Efeitos desastrosos (Comprometendo a empresa) 
 
Probabilidade 
- Improvável 
- Menos de um vez ao ano 
- Pelo menos uma vez ao ano 
- Uma vez ao mês 
- Uma vez por semana 
- Diariamente 
 
Controles 
- Eliminar o risco 
- Reduzir a um nível aceitável 
- Limitar o dano, reduzir impacto 
- Compensar o dano por meio de seguros 
 
Planos de contingência 
- Plano de Emergência - Respostas de risco a serem seguidas na eventualidade de uma 
ameaça ocorrer 
- Plano de Backup - Seu objetivo é providenciar os recursos necessários para uma 
eventual utilização do plano de emergência. 
- Plano de Recuperação - São as atividades e recursos necessários para se passar da 
situação de emergência para a situação normal. 
 
Aula 3: Realizando Uma Auditoria 
FASES DA AUDITORIA (4) 
- Planejamento:​ É necessário escolher quais os sistemas que são passíveis de serem 
auditados (escore de risco) 
Controle de Negócios: São controles específicos para cada projeto, conforme o 
produto para qual o sistema dará suporte operacional. 
Cronograma: Estimativa de tempo que será gasto em cada PONTO DE CONTROLE. 
O ORÇAMENTO é baseado nas atividades identificadas para a condução da auditoria em 
questão. 
 
- Execução:​ Trabalho de campo, verificação da existência dos controles internos, processos e 
controles de negócios. Testes, análise de documentações, entrevistas com os envolvidos da(s) 
área(s) e Identificação de vulnerabilidades. 
 
- Emissão e divulgação de relatórios: ​ Baseado no trabalho realizado na EXECUÇÃO é 
gerado um relatório com a nota conforme falhas emitidas e não resolvidas até o momento. 
 
- Follow-Up 
 
FUNCIONAMENTO DA AUDITORIA DE SISTEMAS:​ Auditoria> Operações, 
Sistemas, Processos e Responsabilidades > Objetivos, Regras, Padrões e Normas > 
Avaliação. 
ÁREAS DE ATUAÇÃO: Campo e Âmbito (abrangência) 
 
CONTROLES INTERNOS: Métodos e procedimentos a fim de proteger seus ativos, 
promovendo a eficiência a fim de evitar fraudes, erros, ineficiência e crises. 
 
PRINCÍPIOS E OBJETIVOS 
1 - Supervisão 
2 - Registro e Comunicação 
3 - Segregação das funções 
4 - Classificação de informação 
5 - Tempestividade 
6 - Auditoria Bilidade 
7 - Controle independente 
8 - Monitoramento 
9 - Implementação 
10 - Contingência 
11 - Custo efetivo 
 
CONTROLES INTERNOS 
1 - Integridade dos dados 
2 - Segurança de sistemas 
3 - Legibilidade operacional 
4 - Conformidade 
5 - Guarda de registros 
6 - Guarda de ativos 
7 - Programas e sistemas 
8 - Organização e administração 
9 - Processo de desenvolvimento 
10 - Ambiente de TI 
11 - Contrato de serviço 
12 - Procedimentos e padrões 
 
Aula 4: Ferramentas e algumas técnicas de auditoria 
Auditoria em sistemas em desenvolvimento: foco nos controles internos. 
Auditoria em sistemas em operação: além dos controles internos se deve testar. 
 
1 - ​Softwares generalistas:​ Ambiente BATCH (processamento offline). 
VANTAGENS: Processar vários arquivos ao mesmo tempo, vários tipos de arquivos 
com formatos distintos. 
DESVANTAGENS: As aplicações não funcionam online 
2 - ​Software especializados:​ Testar particularidades nos sistemas auditados 
VANTAGENS: inclusão de teste de controles internos específicos, inclusão de HASH 
TOTAL (primeiro registro do arquivo) ou TRAILLER LABEL (último registro do arquivo) 
DESVANTAGENS: Familiarização do auditor com o desenvolvimento de TI 
3 - ​Softwares utilitários:​ Utilizados para funções básicas como, somar ou listar campos. 
VANTAGENS: Aprendizado fácil e fácil manuseio 
DESVANTAGENS: Executa apenas funções padrões. 
 
TÉCNICAS DE AUDITORIA 
PROGRAMA DE COMPUTADOR PARA AUDITORIA: Programas que 
correlacionam dados e arquivos. Podem ter algumas dessas funções. 
- Tabulação de campos: Somatório de datas de de vencimento gerando HASH 
TOTAL. 
- Contagem de campos/registros: Apuração total por tipo de registro/campo. 
- Análise de conteúdo de campos/registros: Verifica a existência de 
campo/registro. 
- Correlação de arquivos: Confronto de campos entre registros. 
- Estatísticas dos campos dos arquivos: Técnicas de média e desvio padrão. 
 
QUESTIONÁRIOS PARA AUDITORIA: Para cada ponto de controle um questionário para 
assinalar se o sistemas satisfaz 
PARA AUDITORIA EM CPD: Questionários para características intrínsecas 
referentes a 
- Segurança de rede de computadores: Segurança física e lógica 
- Segurança de centro de computação: Controle de acesso físico e lógico 
- Eficiência no uso de recursos computacionais: Tempo médio de resposta 
- Eficácia de sistemas aplicativos 
VISITA EM LOCO: Visita do auditor ao ambiente (previamente avisado). É verificado: 
-Inventário de volumes 
-Inventário de suprimentos 
-Utilização dos computadores 
-Acompanhamento das rotinas 
 
ENTREVISTA: Visa obter evidências do trabalho para que o auditor possa opinar. Deve 
seguir uma sequência lógica orientada pelo fluxo de eventos. 
-Estruturada: Usa formulários 
-Não estruturada: Não usa formulários 
-Semiestruturada: Segue o formulário, mas pode ter alterações 
 
 
Aula 5: Mais técnicas de auditoria 
 
TESTES EM SISTEMAS AUDITADOS (2) 
-Teste de Observância (aderência):​ Empregados pelo auditor, verificar se os 
processo internos estão sendo cumpridos. Constar a credibilidade dos procedimentos de 
controle para proporcionar razoável segurança da correta execução dos processos internos. 
-Teste Substantivos:​ Quando se deseja obter provas concretas sobre determinados 
fatos. 
- Existência real: transações/registros realmente ocorreram; 
- Integridade: Inalteração e exclusividade das transações/registros; 
- Parte Interessada: Informação (total) aos interessados em relação a 
transações/registros; 
- Avaliação e aferição: transações/registros foram aferidos corretamente; 
- Divulgação: transações/registros foram corretamente divulgados. 
 
DADOS DE TESTE/TEST DECK (batch): É preparado um conjunto de dados com o 
objetivo de testar os controles programados e os sistemas de rotina. Deve conter várias 
possibilidades de simulação e devem prever situações corretas e incorretas. 
- Transações com campos incorretos; 
- Transações com valores ou quantidades nos limites de tabelas de cálculos; 
- Transações incompletas; 
- Transações incompatíveis; 
- Transações Duplicadas. 
ETAPAS DO TEST DECK: 
-Compreensão do módulo; 
-Simulação dos dados; 
-Elaboração de formulários de controle; 
-Transcrição dos dados de teste; 
-Prepara o ambiente; 
-Processamento dos dados; 
-Avaliação dos resultados; 
-Emissão de opinião sobre o controle testado. 
 
TESTE INTEGRADO/TEST FACILITY (On-line e Real Time):​ Os dados de teste são 
integrados ao ambiente real. Evita que a base de dados seja atualizada com dados fictícios, 
criando arquivos de resultado separado. 
 
SIMULAÇÃO PARALELA: Elaboração de um programa de computador (auditor) para 
simular a rotina dos sistema. 
1 - Levantamento da documentação e rotina dos sistema; 
2 - Elaboração do programa com a lógica adequada a rotina a ser auditada; 
3 - Preparação do ambiente de computação para o processamento do programa. 
 
Periodicamente os relatórios de auditoria são emitidos para a revisão e o acompanhamento 
dos procedimentos operacionais. Nesta técnica poderiam ser incluídas as rotinas para 
gravação de arquivos logs. Relatórios de exceção também podem ser incluídos nesta 
categoria. 
 
MAPEAMENTO ESTÁTICO DOS PROGRAMAS DE COMPUTADOR (MAPPING): 
Efetuar verificação durante o processamento de programas. Software de apoio no sistema, 
custo possivelmente alto e diminuir a velocidade do sistema. 
- Rotinas não utilizadas 
- Utilização de cada rotina 
 
MAPPING constata: 
- Rotinas existentes desativadas/esporádicas 
- Rotinas mais utilizadas 
- Rotinas fraudulentas 
- Rotinas de controle acionadas 
 
RASTREAMENTO DOS PROGRAMAS DE COMPUTADOR: Possibilita seguir o caminho 
de uma transação. Ajuda a achar rotinas fraudulentas. Verificar se cumpriu normas e padrões, 
analisar a estrutura e detectar vícios de programação e o nível de atendimento às 
características de programação. 
Análise visual do código fonte, normalmente feita de forma manual. 
 
ANÁLISE DO LOG/ACCOUNTING: Arquivo gerado por uma rotina no sistema. Permite 
verificar a intensidade do uso do dispositivo. 
 
Aula 6: Mais Técnicas de Auditoria 
Criando políticas --> Processo formal de implantação, relativamente longo. 
 
Controles organizacionais e operacionais 
- Controles administrativos (processo de fluxo e auxiliam no cumprimento dos 
objetivos) 
 
Responsabilidades dos controles: 
- Delineamento das responsabilidades 
- Coordenação de orçamento 
- Desenvolvimento das políticas (informática) 
- Intermediação com terceiros 
- Gerenciamento de suprimentos 
- Plano de capacitação 
 
 
1 - Identificação dos recursos críticos: Definir o que precisa ser protegido. 
2 - Classificação das informações¹ 
3 - Identificação das ameaças e análise de risco² 
 
Definição da informação¹ 
- Pública ou uso irrestrito: Divulgada para qualquer pessoa. 
- Internas ou uso interno: Não devem sair do âmbito da organização (não são críticas). 
- Confidenciais: Devem ser protegidas com acesso restrito (pode causar dano a 
empresa). 
- Secretas: Número mínimo de pessoas autorizadas (extremamente crítica). 
 
Elaboração da proposta da política² 
Identificado os recursos que devem ser protegidos, serão desenvolvidas estratégias 
para controlar o ambiente vulnerável. 
- Eliminar o risco, se possível. 
- Reduzir o risco a um nível aceitável. 
- Limitaro dano, reduzindo o impacto. 
- Compensar o dano, por meio de seguros 
 
Próximas etapas:​ Após o rascunho da política de segurança pronto. 
4 - Discussão com os envolvidos: Time de segurança e pessoas que trabalham com 
recursos. 
5 - Apresentar o documento formal à gerência superior. 
6 - Aprovação (diretoria executiva) 
7 - Divulgação e implementação: Treinamento com os colaboradores e todos afetados 
pelas novas políticas. 
8 - Avaliação da política e identificação das mudanças necessárias (6 meses a um 
ano). 
9 - Revisão e Implementação definitiva. 
 
O que fazer em casos de violação da política de segurança? 
- Determinar a razão (negligência, acidente ou erro deliberados ou acidentais). 
- Circunstâncias da violação. 
- Porque ela ocorreu. 
 
 
Hierarquia de TI 
- Supervisor de infraestrutura de TI 
- Planejar 
- Buscar 
 - Administrador de Rede 
 - Administrador de banco de dados 
 - Administrador de segurança 
 - Implantar as políticas de segurança 
 - Manter a estrutura atualizada 
 - Analista de sistemas 
 - Web designer 
 - Profissional de suporte técnico 
 - Supervisor de service desk 
 - Bibliotecário 
 
Aula 7: Auditorias Direcionadas 
Auditoria de redes 
Intranet 
Internet 
Extranet 
 
- Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor 
de informática. 
- Desenho das arquiteturas e da topologia da rede. 
- Implementação dos projetos físicos e lógicos. 
- Monitoramento dos desempenhos e possíveis interceptações nas redes. 
- Re-planejamento de capacidade. 
- Levantamento dos problemas operacionais e sua resolução. 
 
Avaliar questões fundamentais relacionadas a vulnerabilidade do TCP/IP e aplicações. 
 
Assegurar a confiabilidade da rede 
- Segurança física (equipamentos e periféricos) 
- Segurança lógica (customização de software) 
- Segurança de enlace (linhas e canais de transmissão entre unidades) 
- Segurança de aplicação (disponibilidade da rede) 
 
Controles em níveis gerais 
- C1: Políticas empresariais que garantem implementação efetiva (administração de 
rede) 
- C2: Controle sobre o ambiente e informações com relação a definição da plataforma. 
- C3: Controle sobre o software 
- C4: Controle de segurança (garante adequado controle sobre a transmissão de dados 
pela rede, proteção de dados, alteração e intercepção não autorizada) 
- C5: Informação vai gerar sobre implementação de firewall, consiste com padrões de 
segurança de informação da empresa. 
- C6: Procedimento especifico de controles de operação de firewall. 
 
 
Auditoria de hardware 
Implantar procedimentos de segurança física sobre equipamentos instalados na 
empresa 
 
- C1: Controles de acesso físico ao ambiente de informática (preocupações sobre 
acesso físico); 
- C2: Controle de acionamento e desligamento de máquinas (saber se quem liga e 
desliga os equipamentos); 
- C3: Controle de acesso físico a equipamentos de hardware, periféricos e de 
transporte (se o acesso ao local de instalação do CPD é restrito); 
- C4: Localização e infraestrutura do CPD (local onde se situa o CPD em relação à 
segurança externa); 
- C5: Controle de back-up e off-site (aspectos relacionados a controle de back-ups); 
- C6: Controles de aquisição e disposição do equipamento (assegura existência de 
políticas organizacionais sobre o tema); 
- C7: Controles sobre o ambiente e informações com relação à definição da 
plataforma de hardware, software, sistema operacional e os riscos inerentes; 
- C8: Controles sobre os recursos instalados (se há políticas organizacionais para uso 
e aquisição dos softwares); 
- C9: Garantia de integridade de transmissão (se há controle adequado sobre a 
transmissão de dados pela rede entre os computadores ou workstations); 
 
Controle de acesso 
- Acesso físico (indivíduos em determinados recintos) 
- Acesso lógico (manuseio de informação em meios magnéticos) 
 
Programa de controle de acesso 
- C1: Políticas de segurança que forneçam, de forma geral, diretrizes e forma de 
implementação de normas de segurança. 
- C2: Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível 
de acesso. 
- C3: Software para controle de acesso 
- C4: Controle de acesso a transações 
- C5: Controle sobre utilização de software 
- C6: Controle sobre utilização de redes locais. 
 
Aula 8: Mais Auditorias Direcionadas 
 
Segundo a metodologia PMBOK 
- Planejamento das aquisições 
- Planejamento das solicitações 
- Solicitação 
- Seleção da fonte (melhor proposta) 
- Administração do contrato 
- Fechamento do contrato 
 
Objetivos de auditoria 
Auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e 
documentação de sistema aplicativos. 
- Há real necessidade para um novo sistema? 
- Há informações para decidir entre aquisição e desenvolvimento interno? 
- As questões básicas (tecnologia, segurança...) são esclarecidas quando se optar pela 
compra externa? 
- Teste/instalações sem trauma para usuários? 
- Segue os padrões da empresa? 
- Existe treinamento dos usuários? 
- Como ocorre a manutenção? 
- A documentação é disponível e consistente? 
 
Especificação do sistema (rotinas/procedimentos para elaboração de especificações de 
requisitos) 
Descreva os controles existentes para assegurar que: 
- O usuário seja envolvido 
- O gerente seja identificado 
- Documentação de reunião 
- Entrada de dados seja identificada 
- Passos lógicos sejam identificados 
- Ambiente de software seja identificado 
- Controles internos sejam incorporados ao desenho do sistema. 
 
Aquisição de Sistemas (rotinas/procedimentos estabelecidos para o envolvimento do usuário 
na seleção de sistemas) 
Descreva os controles existentes para assegurar que: 
- Declaração de trabalho específica e aprovadas. 
- Concorrência de no mínimo três fornecedores. 
- A seleção da melhor proposta foi feita em critérios previamente 
estabelecidos. 
- Documentação que assegura garantia de manutenção. 
 
Há rotinas e procedimentos estabelecidos 
- envolvimento do usuário na seleção, especificação ou modificação de sistemas? 
 
- determinar prioridades para os projetos de desenvolvimento e manutenção de sistemas? 
- rever as especificações dos projetos por pessoal apropriado de processamento de dados, fora 
da área de desenvolvimento e manutenção de sistemas (por exemplo: operação, segurança e 
suporte)? 
 
Programação 
 (Interna) 
- Os programas sejam desenvolvidos de maneira consistente 
- Codificação de programas novos/alterados esteja sujeita à revisão 
 
Teste (Interna) 
- Lógico 
- Entradas de dados (usuários) 
- Interface 
- Paralelo ao substituído 
- Regressão 
- Controle e segurança 
- Existência de plano de teste 
- Evidência de teste unitário, sistema e integração 
- Evidência de participação do usuário (definição/teste) 
 
Documentação 
- Atualizada e reflita exatamente o sistema em operação 
- Suficientemente detalhada para futuras mudanças. 
 
Manutenção 
- Documentadas e autorizadas (usuário/erência) 
- Padrões de programação 
- Revisão dos resultados antes da implementação 
 
Auditoria de operação de sistemas 
Levantar a existência de controles que assegurem que as operações das transações 
executadas na empresa sejam fidedignas. Acionar o Inicial Program Loader (IPL) e 
programas que ligam/desligam os computadores. 
 
- Planejamento, controle e monitoração das operações. 
- Planejamento da capacidade. 
- Monitoramento de todos os sistemas e as redes. 
 
- Inicialização do sistema e do desligamento. 
 
- Gravação (logging), rastreamento (tracking) dos problemas e monitoramento do 
tempo de resposta. 
- Programação dos serviços (job scheduling) e acompanhamento dasoperações. 
 
- Automação da produção. 
 
- Backup dos sistemas, programas, dados e banco de dados. 
 
Auditoria de suporte técnico 
Implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a 
sua utilização nas empresas. 
- Funções rotineiras: EX.: Gerenciamento de help desk e Substituição dos 
equipamentos antigos. 
- Funções esporádicas: EX.: Instalação de upgrades e Dimensionamento de banco de 
dados. 
 
Auditoria de sistemas aplicativos (COBIT) 
Usa a entrevista, a observação, a revisão documental, teste dos controles internos e 
programados como ferramentas de auditoria: 
 
- Efetividade 
- Eficiência 
- Confidencialidade 
- Integridade 
- Disponibilidade 
- Conformidade 
- Confiança 
 
Aula 9: Comunicando Resultados 
- Durante o processo de auditoria 
- Final da auditoria 
- Antes de emitir o relatório se deve falar com o auditado 
- DRAFT: Rascunho sem conclusão 
O relatório deve ser escrito de forma clara e perfeitamente redigido. 
Quanto mais perto do alto escalão mais resumido o relatório deve ser. 
- Quem é a sua audiência? Vai atuar na sua recomendação. 
- Quem é a sua segunda audiência? Nível mais alto, vão revelar o relatório. 
- Qual parte do relatória interessa a primeira audiência? detalhes e recomendações. 
- Qual parte do relatório interessa a segunda audiência? resumo das falhas e 
recomendações. 
 
Questões a serem ponderadas - Quem lerá o relatório? O que o leitor deve saber? Eles querem 
todos os detalhes? Quanto se deve definir? A identificação das informações está fácil? 
 
Executivos gostam de gráficos (pouco tempo para ler) 
- Obter as informações sem ter que procurar no relatório 
- Informação pertinente a sua posição 
- A informação é precisa, honesta e objetiva 
 
Esquematizando seus pensamentos 
- Evitar escrever em "círculos", demonstra insegurança e inabilidade. 
- Saber o propósito do relatório 
- Saber para quem é o relatório 
- Saber o que se deve dizer antes de escrever 
 
3 regras para um bom relatório 
1 - Evitar linguagem pomposa e dura 
2 - Evitar linguagem técnica desnecessária (técnica para os técnicos) 
3 - Usar linguagem concreta e específica 
 
Fornecer detalhes suficientes evitando generalismo. Ser claro! 
- Verbalizar antes de escrever 
 
Objetividade: Descrição correta e clara para evitar má-interpretação e mau entendimento. 
Evitar o trivial. 
 
Escrita não abrasiva: Críticas ou recomendações sem ofender o leitor. Forte suficiente para 
causar uma ação, mas deve ser direcionada ao problema e não ao indivíduo, departamento ou 
posição. 
 
Específico (vaga ou suficiente) 
- Evitar o leitor interpretar seus comentário 
- Evitar deixar o comentário aberto para questionamentos/dúvidas 
 
Legibilidade 
- Evitar comentários muito longos/confusos/qualificar tudo/chato 
- Manter as frases curtas, variando tamanho e a construção 
- Usar palavras do dia-a-dia 
- Usar verbos ativos 
- Ser específico, concreto 
 
Composição de um relatório de auditoria 
- Memorando capa: Endereçado ao responsável pela área auditada. 
- Relatório Final 
- Relatório Resposta: Relatório feito pelo responsável da área auditada quando 
solicitado a fazê-lo. 
 
Aula 10: Avaliação de software de auditoria de sistemas 
 
Auxiliar o auditor em suas tarefas rotineiras 
 
Desenvolver ou Sistema pronto? 
 
Um sistema pronto deve se encaixar aos objetivos da empresa considerando fatores como 
- Custo 
- Integridade 
- Controle de documentos 
- Segurança 
 
Características funcionais diversificadas, para interligar todo o processo de auditoria. 
 
Metodologia de seleção 
- Análise documentos que registram experiências semelhantes 
- Contato com o fabricante 
- Análise sobre pacotes disponíveis no mercado 
- Visitar a usuarios dos produtos 
- Troca de informação com empresas semelhantes 
- Análise organizacional 
- Análise da idoneidade da instituição detentoras dos produtos 
 
Coleta de Dados 
- Coleta de dados para identificação dos produtos no mercado, reuniões internas para 
discussão e perguntas técnicas e específicas. 
 
Aspectos a serem considerados na escolha de um software 
- Aspectos funcionais: Auditores usuários EX.: Apoiar o planejamento da auditoria e 
Apresentar papéis de auditoria. 
 
- Aspectos de gestão: Gerentes e supervisores EX.: Alocar tempo do auditor e 
Permitir a supervisão on-line 
 
- Aspectos de fornecimento de suporte: Apoiar processo de uso de pacote EX.: Apoio 
na implantação e Contrato de assistência técnica para instalação/manutenção. 
 
- Aspectos relacionados a custos: EX.: Valor da licença de uso e Taxa de Manutenção. 
 
- Aspectos relacionados a tecnologia: Novos recursos tecnológicos, facilidade de 
manutenção futura e integração EX.: Interface com sistema operacional da empresa e 
Integração com email. 
 
Pacotes disponíveis no mercado 
- Audit Automation Facilities (AAF): Auditoria interna visa o aumento da eficiência e 
produtividade. 
- Sistema de AUDITAR: Sistema integrado de auditoría pública 
- Sistema SAP: Para processo de empresas. 
- Nessus: Uso de segurança de redes 
 
Ferramentas de análise de dados 
 
- ACL (Audit Command Language) 
- CAS WORKBENCH 
- SEKCHECK (Security Check)