A01a10_AuditoriaSistemas_WebAulas.pdf

Prévia do material em texto

Auditoria de Sistemas 
Prof. André Moura 
Com o processo da globalização e a velocidade dos avanços tecnológicos, a busca por informação se tornou alvo 
comum de toda a sociedade. As grandes empresas não mais sobrevivem sem o uso de um sistema bem formulado, e 
com eles podem surgir muitos problemas de vulnerabilidades, lentidão, falhas e distorções nas informações das 
empresas, em conseqüência de sistemas mal testados, documentação deficiente e, em certos casos, da pouca 
importância dada ao emprego da tecnologia de informação (TI). 
Para assegurar a integridade, confiabilidade, confidencialidade e disponibilidade das informações, tornam-se 
necessárias medidas de controle e segurança de sistemas de informação em operação. 
Cabe à auditoria de sistemas de informação validar e avaliar os resultados gerados pelos sistemas informatizados, a 
eficiência dos processos envolvidos e a segurança das informações. 
Nesse contexto, a disciplina apresenta os conceitos básicos que se aplicam a uma auditoria de sistemas de 
informação e destaca as etapas necessárias para realização da auditoria, bem como os controles a serem verificados 
em um processo real de trabalho. 
Ao final dessa disciplina você será capaz de: 
•Conhecer as principais definições e conceitos relacionados à auditoria de sistemas de informação 
•Saber preparar um plano de contingências 
•Saber definir uma política de segurança 
•Identificar e empregar ferramentas e técnicas que podem vir a ser utilizadas em um processo de auditoria. 
•Estabelecer as fases necessárias para realização da auditoria, bem como acompanhar a sua execução. 
•Analisar o tipo adequado de auditoria que será mais aderente aos negócios da organização 
•Realizar auditoria de sistemas de informação 
•Preparar o relatório final da auditoria. 
Aula 1: Auditoria De Sistemas De Informação – Abordagem Inicial 
Nesta aula, você irá: 
 
1 - Saber o que é Auditoria de Sistemas; 
2 - Conhecer o papel e o perfil do auditor de sistemas; 
3 - Identificar os tipos de auditorias da Tecnologia da Informação (TI); 
4 - Entender o comportamento e a ética de um auditor. 
 
 
 
 
Perfil do auditor de Sistemas 
O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação. Deve também ter visão 
abrangente da empresa, pois irá verificar se os sistemas que estará auditando suportam adequadamente os usuários 
do mesmo. Com isto não afirmo que o auditor de Sistemas deva conhecer tudo da empresa, mas o suficiente para 
saber o que perguntar a quem, quando no exercício de sua função, ou seja, consultar especialistas quando o assunto 
fugir de seu domínio tal como assuntos legais. 
Seu comportamento deve ser condizente com quem tem autoridade no assunto. 
E o auditor de Sistemas a tem, entretanto, não precisa apregoar isto a ninguém, as pessoas sabem do poder de um 
auditor!!! (as vulnerabilidades encontradas em um sistema, se não corrigidas a tempo, poderão retirar o sistema de 
operação gerando demissões dos responsáveis). Da mesma forma que o comportamento adequado, deve ser sua 
maneira de vestir. Nada de extravagâncias. O auditor não precisa chamar atenção com roupas de um colorido 
berrante, barba por fazer ou bijuterias parecendo árvore de natal. Seu domínio no assunto impressionará mais que 
qualquer adorno fora de contexto. E, principalmente, nada de gírias. Observe que elas não cairiam bem na figura de 
alguém em tão alto posto no organograma da empresa. 
Recomendação!!! Nada de Agradinhos. 
Lembro-me que quando comecei a trabalhar na auditoria do banco, meu chefe disse que eu não poderia aceitar 
presentes, almoços ou jantares dos auditados. Com certeza, isso poderia sugerir um agrado para eu não mencionar 
alguma vulnerabilidade encontrada nos sistemas. 
 
 
 
 
 
 
 
 
 
Biblioteca Técnica 
 
 
 
 
 
 
 
Abordagem ao redor do computador: 
 
Abordagem através do computador: 
 
Abordagem com o computador: 
 
Padrões e Código de Ética para a Auditoria de Sistemas de Informação 
Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de tecnologia de Informação dos 
estados Unidos, os padrões são: 
 
 
 
 
 
 
 
Código De Ética Profissional (ISACA) 
A Associação de Auditores de Sistemas e Controles (ISACA, USA), estabeleceu o código de ética profissional para 
guiar seus membros na condução de suas atividades profissionais. De acordo com o disposto no Código, os membros 
da ISACA devem: 
Livro 1: Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de 
informações e encorajar o seu cumprimento; 
Livro 2: Exercer suas funções com objetividade, diligência e zelo profissional de acordo com os padrões 
profissionais e melhores práticas; 
Livro 3: Servir aos interesses dos stakeholders (toda e qualquer pessoa que esteja de uma forma ou de outra 
ligada ao objeto da auditoria) de forma legal e honesta, atentando para a manutenção de alto padrão de conduta 
e caráter profissional, e não encorajar atos de descrédito à profissão; 
Livro 4: Manter a privacidade e a confidencialidade das informações obtidas no decurso de suas funções, exceto 
quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a 
pessoas desautorizadas; 
 
Livro 5 : 
 
Livro 6: 
 
Livro 7: 
Qualificação Profissional 
Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus 
conhecimentos estão atualizados e compatíveis com os padrões profissionais. Algumas 
organizações certificadoras: 
Information Systems Audit and Control Association (ISACA) - Certificado de Auditor de Sistemas 
de Informação (ISACA Certified Information Systems Auditor – CISA) 
British Computer Society – Exame da Sociedade Britânica de Informática 
Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional (IIA Qualification 
in Computer Auditing). 
 
 
Nesta aula, você: - - - 
 Conheceu o que é Auditoria de Sistemas; 
 Distinguiu o papel e o perfil do auditor de sistemas; 
 Identificou tipos de auditorias da Tecnologia da Informação (TI); 
 Entendeu o comportamento e a ética de um auditor de sistemas. 
Na próxima aula, você estudará sobre Planos de Contingência (Atividades a serem executadas na eventualidade de 
ocorrência de um dano, a fim de manter a continuidade dos negócios da empresa), constituído de três subplanos: 
 Plano de backup; 
 Plano de emergência; 
 Plano de recuperação. 
 
 
Aula 2: Planos De Contingência – Gerenciar Mudanças Ou Surpresas? 
Nesta aula, você irá: 
1. Conhecer o que é um plano de contingência; 
2. Identificar ameaças e desenvolver suas respostas de risco; 
3. Desenvolver uma matriz de risco; 
4. Tomar ciência de processos/sistemas críticos de uma área/empresa. 
Gerenciando Mudanças 
Para quem observou a tragédia ocorrida em 11 de setembro de 2001 em Nova York, foi possível perceber que, 
poucos minutos após a explosão do segundo edifício, o trânsito na ilha estava liberado apenas para ambulâncias e o 
corpo de bombeiros. 
 Vocês pararam para pensar como eles conseguiram se organizar tão rapidamente? Posso jurar que havia um plano 
de contingência da prefeitura da cidade de Nova York para a evacuação das ruas, permitindo apenas o trânsito de 
ambulâncias e do corpo de bombeiros. Bastou que fosse decretado estado de emergência para trânsito nas ruas, 
que todas as pessoas envolvidas na organização para deixar as ruas livres atuassem como havia sido previamente 
planejado (só complementando o exemplo, na construção das duas torres gêmeas foi pensada a hipótese de choque 
aéreo, considerandoum impacto com tanque cheio do maior avião existente na época). 
Isto é um plano de contingência: uma sequência de ações a serem seguidas em situações de emergência, 
previstas ou não, para assegurar a continuidade do serviço. 
Estas ações são definidas antes que os riscos ocorram. Na tranquilidade, podemos imaginar as consequências e o 
que será necessário fazer para restabelecermos a ordem. Teremos calma e tempo para contactarmos fornecedores, 
treinarmos pessoas a evacuarem locais e definirmos locais alternativos para trabalharmos na eventualidade de não 
podermos acessar nossos escritórios. 
Normalmente, as catástrofes têm baixa frequência de ocorrência, altos riscos de incerteza, mas, se ocorrem, suas 
consequências podem ser devastadoras. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Nesta aula, você: 
 Conheceu o que é um plano de contingência; 
 Tornou-se apto a identificar ameaças e a desenvolver suas respostas de risco; 
 Aprendeu como desenvolver uma matriz de risco; 
 Tomou ciência de processos/sistemas críticos de uma área/empresa. 
Na próxima aula, você estudará sobre as fases para a realização de uma auditoria: 
 Planejamento; 
 Execução; 
 Emissão e divulgação de relatórios; 
 Follow-up. 
 
 
 
1. 
 O Plano de Emergência: 
 1) provê recursos para sua execução, contém respostas de risco e provê meios de frear o dano. 
 2) provê recursos para frear o dano, contém informações que atualizam a biblioteca externa e é acionado após aprovação. 
 3) contém respostas de risco, provê recursos de backup e atualiza a biblioteca externa. 
 4) contém respostas de risco, é acionado quando ocorre uma ameaça e informa quem deve acionar o mesmo. 
 5) é acionado quando ocorre uma ameaça, provê recursos de back-up e contém respostas de risco. 
 
2. 
 Sistemas críticos são aqueles: 
 1) sujeitos à aprovação da crítica dos gerentes da área usuária. 
 2) essenciais para manter a continuidade do serviço. 
 3) opcionais para determinar o escore de risco. 
 4) definidos após brainstorming crítico do cliente. 
 5) elaborados para serem acionados em sistemas de emergência. 
 
3. 
 Um plano de contingência é necessário para: 
 1) gerenciar os sistemas do Departamento de Sistemas. 
 2) minimizar defeitos nos sistemas. 
 3) reduzir a descontinuidade de rotinas. 
 4) assegurar a documentação do schedule da produção. 
 5) dar manutenção aos sistemas críticos. 
 
4. 
 Ao se fazer um plano de backup devemos: 
 1) excluir os sistemas críticos. 
 2) identificar as respostas de risco. 
 3) identificar recursos necessários para o plano de emergência. 
 4) solicitar ordem de serviço para execução do plano de emergência. 
 5) contratar pessoas para executarem o plano de emergência. 
 
Aula 3: Realizando Uma Auditoria 
Nesta aula, você irá: 
1. Conhecer as fases de uma auditoria; 
2. Saber como planejar uma auditoria; 
3. Aprender como conduzir a execução de uma auditoria; 
4. Saber como comunicar as falhas encontradas para os auditados; 
5. Entender a importância do follow-up (acompanhamento). 
 
 
 
 
 
O cronograma é baseado na estimativa de tempo que será gasto em cada ponto de controle a ser trabalhado, além 
da confecção e emissão do relatório da auditoria. Um auditor trabalha em mais de um ponto de controle por dia, 
mas isto não significa que o terminará em um dia! A sugestão é que englobe pontos de controle de mesma 
pertinência para serem verificados ao mesmo tempo. 
Além das atividades pertinentes à auditoria em si (contatos, revisão de documentação, documentação, preparação 
de fluxos de sistemas, testes, execução de walkthroughs – representação gráfica de todo o ambiente computacional 
sob auditoria), planejamento, análise de risco, avaliação de ponto de controle, confecção de observações, viagem 
de projeto, familiarização com o projeto), devemos considerar atividades não específicas de auditoria (viagens, 
treinamento de auditoria, ausência, atividades administrativas, interface com auditoria externa, reuniões outras 
que não as do projeto) para efeito de determinação dos prazos. 
 
 
 
 
Saiba mais: 
Não deixe de verificar o conteúdo do link www.iso27001security.com onde você poderá encontrar todos os critérios 
solicitados na norma ISO 27000, Information Security Management Systems (Sistemas de Gerenciamento de 
Segurança da Informação), que visa proteger a confidencialidade, integridade e disponibilidade da informação. 
Nesta aula, você: 
 Conheceu as fases de uma auditoria: planejamento, execução, emissão e divulgação de relatórios e follow-
up dos acertos das falhas encontradas na auditoria; 
 Aprendeu a planejar uma auditoria; 
 Aprendeu como conduzir a execução de uma auditoria; 
 Aprendeu como comunicar as falhas encontradas para os auditados; 
 Entendeu a importância do follow-up (acompanhamento) dos acertos das falhas encontradas na auditoria. 
Na próxima aula, você estudará sobre ferramentas de auditoria. 
 
 
 
 
1. Um ponto de controle é: 
1) um ponto de auditoria recusado. 
2) uma unidade de controle a ser auditada. 
3) um processo a ser definido. 
4) um arquivo de dados. 
5) um controle de negócio inválido. 
 
2. Assim que o auditor descobre uma falha em um sistema ele: 
1) conserta a falha. 
2) a registra internamente para posterior uso no relatório de auditoria. 
3) informa-a verbalmente ao auditado para depois enviar comunicação por escrito. 
4) sugere modo de acerto da mesma. 
5) inclui a falha no relatório de auditoria. 
 
3. O relatório de auditoria: 
1) é emitido a cada falha encontrada. 
2) deve ser discutido previamente com os auditados. 
3) contém os dados testados na auditoria. 
4) não admite discordância dos auditados. 
5) considera, para efeito de nota, todas as fraquezas encontradas na auditoria. 
 
4. Um conjunto de rotinas e arquivos de controle que permitem a reconstrução de dados ou procedimentos é 
chamado de: 
1) controle interno. 
2) ponto de controle. 
3) ponto de auditoria. 
4) walkthrough. 
5) trilha de auditoria. 
 
 
Aula 4: Ferramentas E Algumas Técnicas De Auditoria 
Nesta aula, você será capaz de: 
 
1. Conhecer algumas ferramentas de auditoria; 
2. Aprender o que são hash total, header e trailler label; 
3. Aprender como preparar programas especializados para auditoria; 
4. Ser apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas). 
Fases de uma Auditoria de Sistemas 
Podemos realizar uma auditoria de sistemas, em sistemas, em desenvolvimento ou em operação. Quando estamos 
em auditorias de sistemas em desenvolvimento, nossa atenção é focada no que foi planejado em termos de 
controles internos, processos e controles de negócios a serem implementados nos sistemas. Já para sistemas em 
operação, além de vermos se tais pontos de controle foram implementados, devemos testá-los. Saber quantos 
registros serão testados é algo a ser definido, considerando-se os pontos de controle. 
 Para tanto, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação: 
 1. Softwares generalistas; 
2. Softwares especializados; 
3. Softwares utilitários. (saiba mais aula 04 consultar) 
 
 saiba mais aula04 
 
 
 
 
 
Programa De Computador Para Auditoria. 
São programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem 
usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma 
(microcomputadores). 
 
Algumasfunções que podem ser incluídas em programas para auditoria: 
Tabulação de campos: somatório de datas de vencimento de títulos, gerando hash total que deverá ser 
confrontado com o campo correspondente no header ou trailler label; somatório de campos quantitativos para 
efeito de confrontação ou acompanhamento de acumulados, inclusive controle de lote. 
Contagem de campos/registro: apuração de totais por tipo de registro ou campo. 
Análise do conteúdo de campos/registros: verificação da existência de campos ou registros em um arquivo; 
correlação entre campos de um arquivo para verificação da coerência e validade desses campos; cruzamento 
horizontal entre campos em um registro com vistas à integridade do registro. 
Correlação de arquivos: confronto de campos entre registros com vistas à garantia de ambos os arquivos. 
Estatísticas dos campos dos arquivos: apuração de média, desvio-padrão, moda e/ou outras medidas estatísticas 
em um universo de registros e/ou campos de um arquivo para efetuarmos análises do comportamento desse 
universo. 
Questionários Para Auditoria (muito útil e importante) 
Para cada ponto de controle, deverá existir um questionário contendo perguntas relevantes ao ponto de controle e 
espaço para o auditor assinalar se o sistema satisfaz ou não aquele ponto de controle, além de local para que 
possam ser escritas observações e referências sobre papéis de trabalho. Para os quesitos que obtiverem resposta 
negativa, o auditor deverá agir no sentido de solicitar acertos. 
 Reconheço que fazer questionários para todos os possíveis pontos de controle é um trabalho árduo, mas pensem 
bem, só será feito uma vez! A Auditoria guardará os questionários em um banco de questionários e a cada 
auditoria, ao selecionar os pontos de controle, recuperará os respectivos questionários para o trabalho de campo. 
Programa De Computador Para Auditoria. 
Para auditorias em CPD´s, podemos ter questionários voltados para pontos de controle cujas perguntas guardarão 
características intrínsecas referentes à: 
Segurança de Rede de Computadores: - Segurança física dos equipamentos computacionais; - Segurança lógica e 
confidencialidade dos programas e informações que trafegam nos canais de comunicação. 
Segurança do centro de computação: - Controle de acesso físico e lógico às instalações de processamento de 
dados; - Segurança ambiental no tocante à infraestrutura de combate a incêndio, inundações, contra atentado e 
sabotagens, situações de greve, etc. 
Eficiência no uso de recursos computacionais: - Tempo médio de resposta em terminal; - Tempo de uso dos 
equipamentos a cada dia; - Quantidade existente de rotinas catalogadas 
Eficácia de sistemas de aplicativos: Quantidade de informações geradas pelo computador e consumidas pelos 
usuários; Prazo de atendimento de novos sistemas, aos usuários; Tempo médio de solução dos problemas dos 
usuários da rede de computação, provida pelo help-desk. 
A técnica de questionário é, normalmente, aplicada de forma casada a outras técnicas de auditoria, como 
entrevistas e visita in loco. Eu, pessoalmente, não aprovo o envio de questionários para serem preenchidos à 
distância, embora alguns autores mencionem sua validade. É importante verificar o comportamento do auditado ao 
ser questionado sobre algum ponto de controle... (exemplo em saiba mais) 
 
Visita in loco 
É a presença do auditor na área do auditado (ou do CPD) para verificação dos pontos de controle. Normalmente 
esta ferramenta é utilizada em conjunto com outras ferramentas, tais como entrevista semiestruturada e 
questionários. A visita do auditor é importante para que sejam esclarecidos pontos nebulosos. A visita deve ser 
marcada formalmente, com data e hora, com a pessoa responsável para responder às perguntas do auditor e/ou 
fornecer o que lhe for pedido. 
Nesta visita o auditor poderá obter dados, seja por observação, por teste, por documentação ou informação 
solicitada. Fará anotações sobre as informações obtidas para posterior documentação em seus papéis de trabalho. 
Caso seja encontrada uma fraqueza, o auditor informará verbalmente ao auditado na hora e, posteriormente, por 
escrito. 
Quando em realização de auditoria em CPD, a presença do auditor é fundamental para a constatação física da 
existência de ativos computacionais da empresa, bem como seu estado de conservação e eficiência dos 
procedimentos de uso, incluindo segurança física. Também são verificados: 
Inventário de volumes de arquivos magnéticos (discos, fitas, CD´s) armazenados na fitoteca, com respectivo 
período de retenção anotado em cada volume; 
Inventário de suprimentos armazenados (fitas de impressora, cartuchos de impressora, formulários contínuos, 
formulários pré-impressos, etiquetas gomadas, etc); 
Utilização dos computadores com o objetivo de verificação de controle de acesso, uso de Ordem de Serviço, 
arquivos magnéticos, schedule de produção, distribuição de relatórios; 
Acompanhamento das rotinas de back-up e atualização da biblioteca externa. 
Entrevista (conferir saiba mais aula 04) 
As entrevistas podem ser pessoais, por telefone ou vídeo conferência. Seja lá de que meio for, deverá ser feito 
previamente um roteiro do que se pretende abordar na mesma, preferencialmente classificado por ponto de 
controle. Este roteiro servirá como guia para o auditor. 
A entrevista visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está 
auditando, portanto, flexibilidade é sempre bem-vinda! 
 As entrevistas de campo podem ser de dois tipos: 
- Estruturada: aquela que utiliza formulários na coleta de dados; 
- Não estruturada: aquela que não utiliza formulários na coleta de dados. 
 A entrevista deve seguir uma sequência lógica, orientada pelo fluxo de eventos do processo. Esta estrutura é 
particularmente útil nas situações em que o auditor tem conhecimento limitado do processo a ser auditado ou 
quando não há procedimento documentado para esse processo. 
(conferir o saiba mais da aula 04). 
Para saber mais 
Leia o artigo Técnicas de entrevista do TCU (Tribunal de Contas da União), postado na biblioteca do curso. Nele 
vocês poderão aprimorar o conhecimento sobre entrevistas de auditoria e como elaborar questionários (de 
pesquisa) de uma forma mais completa.Bibliografia utilizada nesta aula:Auditoria de Sistemas de Informação, 
IMONIANA, Joshua Onome, Editora Atlas, Capítulo 5.Auditoria de Computadores, GIL, Antonio de Loureiro, Ed. 
Atlas, Capítulo 3. 
Nesta aula, você: 
 Conheceu algumas ferramentas de auditoria; 
 Aprendeu o que são hash total, header e trailler label; 
 Aprendeu como preparar programas especializados para auditoria; 
 Foi apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas). 
Na próxima aula, você estudará sobre mais técnicas de auditoria. 
1. 
 Somar os centavos de depósitos realizados no dia em um sistema de contas correntes seria um exemplo de: 
 1) header label 
 2) um ponto de auditoria 
 3) controle de acesso 
 4) trailler label 
 5) hash-total 
 
2. 
 Programas utilitários são usados para: 
 1) cálculos complexos 
 2) classificar registros 
 3) comparar cálculos entre arquivos 
 4) completar dados de registros incompletos 
 5) completar dados de registros omissos 
 
3. 
 Software generalista, guia para gestão de tecnologia da informação recomendado pelo ISACF: 
 1) Galileo 
 2) Audimation 
 3) Snort 
 4) CobiT 
 5) Nmap 
 
4. 
 Marque a afirmativa correta: 
 1) Questionários são importantes para visitas in loco. 
 2) Controles cruzados são gerados em programas utilitários. 
 3) As entrevistas devem ser apenas in loco. 
 4) Programas generalistas exigemque os auditores sejam experientes em tecnologia da informação. 
 5) Quando em entrevista, o auditor deve expressar suas opiniões, concordando sobre os pontos de controle verificados 
 
Aula 5: Mais Técnicas De Auditoria 
Nesta aula, você irá: 
 
1. Conhecer novas técnicas de teste de auditoria; 
2. Aprender como fazer uma simulação paralela; 
3. Ser apresentado à lógica de auditoria embutida nos sistemas; 
4. Aprender como fazer rastreamento e mapeamento; 
5. Conhecer a técnica de análise de log/accounting; 
6. Compreender a importância da análise do programa fonte. 
 
 
Teste substantivos 
 Este tipo de teste é empregado pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as 
transações, que lhe proporcionem fundamentação para a sua opinião sobre determinados fatos. Como objetivos 
fundamentais dos testes substantivos, destacam-se as seguintes constatações: 
 Existência real: que as transações comunicadas/registradas realmente tenham ocorrido; Integridade: que não 
existam transações além daquelas registradas/demonstradas e que as informações permaneçam inalteradas nos 
registros desde a sua gravação; Parte interessada: que os interessados naquele registro/comunicação tenham obtido 
as informações na sua totalidade; Avaliação e aferição: que os itens que compõem determinada transação/registro 
tenham sido avaliados e aferidos corretamente; Divulgação: que as/os transações/registros tenham sido 
corretamente divulgadas/divulgados. 
Os testes substantivos são imprescindíveis em trabalhos de auditoria, uma vez que é através da aplicação correta 
destes que o auditor obtém evidências sobre os saldos e/ou transações apresentadas pela empresa. 
Este tipo de teste é de fundamental importância na complementação dos testes de observância, considerando que 
são através dos testes substantivos que o auditor tem condições de constatar sobre a fidedignidade das transações e 
registros. 
Veremos agora mais algumas técnicas de auditoria. 
 
Dados De Teste 
Esta técnica, também conhecida como test data ou test deck, é aplicada em ambiente batch. O auditor prepara um 
conjunto de dados com o objetivo de testar os controles programados e os controles do sistema aplicativo para 
rotinas sistêmicas ou manuais. 
 Esta massa de dados deve contemplar um determinado número de transações, com dias (úteis) de processamento 
suficiente para que o resultado seja conclusivo. Após executar o sistema auditado com esta massa de dados, o 
auditor irá comparar o resultado com aquele predeterminado (elaborado na confecção da massa de dados de teste). 
 Para a efetividade do teste, esta massa de dados deve conter várias possibilidades de simulações do processamento 
real, cobrindo os controles internos que a auditoria pretende verificar. 
Os dados simulados de teste devem prever situações corretas e incorretas de natureza: 
Transações com campos incorretos 
Transações com valores ou quantidades nos limites de tabelas de cálculos 
Transações incompletas; 
Transações incompatíveis; 
Transações em duplicidade. 
Um teste que eu costumava fazer em relação a campos de controle numérico era testar o campo todo zerado. Se o 
algoritmo de cálculo do dígito verificador for o módulo 10 ou 11, o campo todo zerado passará como válido, embora 
não o seja. Vale a pena este teste... 
A mecânica de aplicação do test deck implica nas etapas: 
 
 
 
 
 
 
 
 
 
 
 
Facilidade De Teste Integrado 
Esta técnica, conhecida também por Integrated Test Facility (ITF), somente pode ser processada com maior eficiência 
em ambiente on-line e real time. Os dados de teste são integrados aos ambientes reais de processamento, 
utilizando-se de versões atuais da produção. 
A execução da técnica envolve aplicação de entidades fictícias (tais como funcionários fantasmas na folha de 
pagamento ou clientes inexistentes em saldos bancários). Confrontamos os dados no processamento de transações 
reais com esses dados e os resultados são comparados com aqueles predeterminados. 
Esta facilidade evita que se atualizem as bases reais da organização com os dados fictícios, mas criam-se arquivos de 
resultado em separado. Este procedimento é utilizado em ambiente de produção normal, sem o consentimento dos 
operadores de computador. 
Simulação Paralela 
Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema 
sob auditoria, com foco nos pontos de controle a serem verificados. 
Esta técnica utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do 
programa de computador para auditoria, simulado e elaborado pelo auditor. 
 Enquanto no test deck simulamos dados e os submetemos ao programa de computador que, normalmente, é 
processado na produção, na simulação paralela simulamos o programa e o processamos com a massa real. 
A estrutura de aplicação desta técnica corresponde a: 
 
 
 
Lógica de auditoria embutida nos sistemas 
Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. 
Periodicamente os relatórios de auditoria são emitidos para a revisão e o acompanhamento dos procedimentos 
operacionais. 
 Nesta técnica poderiam ser incluídas as rotinas para gravação de arquivos logs (arquivo log: arquivo com dados 
históricos), principalmente no que se refere a acesso de sistema e arquivos. Cabe alertar para o fato de que devem 
ser incluídas as rotinas realmente necessárias, pois como estas farão parte dos procedimentos rotineiros do sistema, 
poderíamos ter um aumento de ineficiência do mesmo. 
Relatórios de exceção também podem ser incluídos nesta categoria. Por exemplo, em um sistema de cartão de 
crédito, como um dos controles de negócio, teríamos o desvio no comportamento do cliente. O sistema faria um 
monitoramento de como o cliente, possuidor do cartão, costuma comprar: em que cidades, que valores médios de 
compra, quantas compras por semana, mês. Sempre que houvesse um desvio neste sentido, o sistema geraria uma 
entrada no relatório de exceção que seria imediatamente direcionado ao responsável pela área de segurança do 
negócio. Este, analisando o fato, entraria ou não em contato com o cliente para apuração de fatos, podendo mesmo 
bloquear o cartão na hora e solicitar envio de um novo cartão ao cliente. 
 
Mapeamento Estatístico Dos Programas De Computador (Mapping) 
Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de 
programas, flagrando situações tais como: 
- Rotinas não utilizadas; 
- Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de 
dados 
A análise dos relatórios emitidos pela aplicação do mapeamento estatístico permite a constatação de situações: 
- Rotinas existentes em programas já desativados ou de uso esporádico; 
- Rotinas mais utilizadas, normalmente a cada processamento do programa; 
- Rotinas fraudulentas e de uso em situações irregulares; 
- Rotinas de controle acionadas a cada processamento. 
Para a utilização do mapping, há a necessidade de ser processado um software de apoio em conjugação com o 
processamento do sistema aplicativo, ou rotinas específicas deverão ser embutidas no sistema operacional utilizado. 
Há a necessidade de inclusão de instruções especiais junto aos programas em processamento na produção. Além de 
um custo possivelmente alto, esta técnica pode degradar o desempenho do sistema. 
Esta técnica pode ser utilizada tanto em ambiente de teste como de produção, a exemplo da técnica de 
rastreamento, que veremos a seguir. 
Rastreamento Dos Programas De Computador 
 
 
Análise da lógica de programação 
 
 
 
 
Ppt diz bem mais sobre análise do LOG. 
Nesta aula, você: Conheceu novas técnicas de teste de auditoria; 
 Aprendeu como fazer uma simulação paralela; 
 Foi apresentado à lógica de auditoria embutida nos sistemas; 
 Aprendeu como fazer rastreamento e mapeamento; 
 Conheceu a técnica de análise de log/accounting; 
 Compreendeu a importância da análise do programa fonte. 
Na próxima aula, você estudará sobre políticas organizacionais e estrutura administrativa em tecnologia da 
informação. 
1. 
 A técnica de auditoria em que o auditor prepara um programa de computador e usa a massa de dados real (de produção) para 
teste se chama: 
 1) test deck 
 2) teste integrado 
 3) simulação paralela 
 4) log/accounting 
 5) rastreamento 
 
2. 
 Marque a afirmativa correta: 
 1) A técnica Integrated Test Facility só pode ser processada na modalidade batch. 
 2) A técnica de mapeamento só pode ser utilizada em ambiente de teste. 
 3) A técnica de rastreamento só pode ser utilizada em ambiente de teste. 
 4) É através dos testes substantivos que o auditor possui evidências da validação de um ponto de controle. 
 5) Através da técnica de análise lógica de programação podemos detectar rotinas não utilizadas. 
 
3. 
 Os testes que verificam a conformidade com a metodologia de desenvolvimento de sistemas são os testes: 
 1) de dados fictícios 
 2) integrados 
 3) substantivos 
 4) de dados aleatórios 
 5) de observância 
 
4. 
 Dentre outras funções, a análise do arquivo Log/accounting serve para: 
 1) identificar transações incompletas. 
 2) validar o uso de metodologia de desenvolvimento de sistemas. 
 3) assegurar que as/os transações/registros tenham sido corretamente divulgadas/divulgados. 
 4) verificar a análise e a qualidade da estrutura do programa. 
 5) mostrar quais usuários utilizaram quais programas e por quanto tempo. 
 
Aula 06 
 
 
Aula 6: Cuidando do comportamento de todos 
Nesta aula, você irá: 
 
1. Aprender o que são políticas organizacionais. 
2. Conhecer a diferença entre política e procedimento. 
3. Aprender a escrever uma política de segurança. 
4. Ser apresentado a um exemplo de descrição de cargos e funções para a área de tecnologia da informação. 
 
 
Creiam-me, ler uma política é fácil. Difícil é escreve-la. Tentem escrever uma política para a situação que queremos 
preservar. 
Lembrem-se, a política deve ser feita em uma linguagem clara, sem chance de que alguém interprete algo diferente 
daquilo que queremos dizer. 
Vamos examinar alguns resultados: 
“Todo funcionário deverá portar crachá com foto recente ao circular dentro da empresa durante o horário de 
expediente”. 
Esta política estaria correta? Bem, quanto a funcionários até poderia estar não fosse a menção de “crachá com foto 
recente” e “dentro do horário de expediente”. O que significa “recente”? De quanto em quanto tempo os crachás 
deveriam ser trocados? E se a empresa optar futuramente por bottom? E em relação a visitas, elas não precisam ser 
identificadas? E clientes e fornecedores? 
 
Vamos ver uma nova versão da política: 
“Todas as pessoas deverão portar identificação ao circular dentro da empresa durante o horário de expediente”. 
Ainda há críticas a esta política. Imaginem alguém que leve seu crachá no bolso. Ele estaria obedecendo a política 
mas não estaríamos sendo eficientes em relação a identificação de pessoas circulando na empresa. E sobre o 
horário...imaginem algum fornecedor ou prestador de serviços querendo entrar na empresa após o expediente.... 
Seria uma beleza: o individuo mal intencionado saberia que nos finais de semana ou à noite ele teria livre acesso à 
empresa! 
Outra situação, o funcionário esqueceu seu crachá em casa. Isto seria impeditivo para ele trabalhar? 
A política deve conter o mínimo de informação mas o bastante para que seja entendida, sem dúvidas. 
Como toda política institucional, a política de segurança de informação passa por um processo formal de 
implantação, relativamente longo. É aconselhável que este processo seja flexível o suficiente para permitir 
atualizações da política conforme as necessidades. As principais fases desse processo veremos no decorrer dessa 
aula. 
Identificação dos recursos críticos 
Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados (no 
caso de dados e recursos materiais). Neste contexto consideramos recursos: 
- Hardware (processadores, periféricos, linhas de comunicação, roteadores, modens. 
- Software – programas, utilitários, sistemas operacionais, programas de comunicação. 
- Dados – em processamento, em trânsito (nos dispositivos e linhas de comunicação), armazenados, back-ups, etc. 
- Pessoas – usuários e colaboradores necessários para o funcionamento dos sistemas. 
- Documentação – incluindo contratos. 
- Suprimento. 
Classificação das informações 
Toda informação tem um dono, é aquele que a gera. O dono da informação a classifica em: 
 
 
 
 
Identificação das possíveis ameaças e análise de risco 
Similar ao que fazemos na definição de um plano de contingência, também na definição das políticas devemos 
levantar as ameaças possíveis de ocorrência e traçar uma matriz de risco para que possamos identificar as piores 
ameaças. 
Objetivos de segurança a serem alcançados 
Nem sempre deixamos claros para o público externo à segurança o real objetivo da política, como no exemplo da 
política dita de recursos humanos sobre não se ter parentes trabalhando na empresa quando, na verdade, trata-se 
de uma política de segurança no intuito de se evitar fraudes. 
Sabendo o que queremos proteger, escrevemos as políticas de modo que o comportamento das pessoas assegure a 
dificuldade em que um dano ocorra. 
Elaboração da proposta da política 
Uma vez identificados os recursos que se quer proteger, desenvolvemos estratégias para controlar o ambiente 
vulnerável. Devemos pensar em quatro linhas de ação, conforme já visto na aula 2: 
 
A fim de minimizar a possibilidade de ameaças, a estratégia de controles em camada é mais adequada, devido à 
complexidade do ambiente computacional. A disposição de várias camadas de segurança entre a ameaça e o 
recurso diminui consideravelmente a vulnerabilidade desse recurso, pois mesmo se uma das camadas for quebrada, 
existirão outras para proteger o recurso. É o caso de termos senha para entrar na rede e senha para o aplicativo, 
além de autorizações de só-leitura (read only) e de leitura-gravação (read-write) para as base de dados (controle de 
acesso). 
Próximas etapas 
 
 
 
 
 
 
O que fazer em casos de violação da política de segurança 
Como nem sempre é fácil detectar uma violação da política de segurança, os procedimentos de segurança devem ser 
implementados de tal forma a minimizar a possibilidade de ocorrência de uma violação sem que esta seja detectada. 
 Ao detectar uma violação, a primeira coisa a fazer é determinar sua razão, isto é, a violação pode ter ocorrido por 
negligência, acidente ou erro, por desconhecimento da política de segurança ou ação deliberada, ignorando a 
política estabelecida. O processo investigativo deve determinar as circunstancias da violação, como e porque ela 
ocorreu. 
Como nem sempre é fácil detectar uma violação da política de segurança, os procedimentos de segurança devem ser 
implementados de tal forma a minimizar a possibilidade de ocorrência de uma violação sem que esta seja detectada. 
 Ao detectar uma violação, a primeira coisa a fazer é determinar sua razão, isto é, a violação pode ter ocorrido por 
negligência, acidente ou erro, por desconhecimento da política de segurança ou ação deliberada, ignorando a 
política estabelecida. O processo investigativo deve determinar as circunstancias daviolação, como e porque ela 
ocorreu. 
É recomendável que a política de segurança contenha os passos a serem seguidos para cada tipo de violação, de 
acordo com sua severidade, visando ações corretivas sobre as vulnerabilidades atingidas e a punição dos infratores. 
Dependendo do tipo de violação e de quem a cometeu, a punição pode variar desde uma advertência verbal, à 
demissão por justa causa ou até mesmo um processo judicial. É importante lembrar que para se tomar qualquer 
medida punitiva em relação a um usuário autorizado, este deve ter sido previamente apresentado à política de 
segurança. Caso contrário, ele pode alegar desconhecimento da política por culpa da gerência. Por esta razão é 
recomendado o treinamento de novos colaboradores em relação às políticas organizacionais no geral e de 
segurança, no particular, como forma de conscientização e divulgação das políticas da empresa. 
 Para que tenha sucesso, o programa de treinamento em segurança deve fazer parte do programa de formação de 
novos colaboradores e de reciclagem de colaboradores antigos, utilizando meios distintos para atingir seu público 
(aulas, boletins informativos, vídeos, etc). 
 
 
Nesta aula, você: 
 Aprendeu o que são políticas organizacionais. 
 Conheceu a diferença entre política e procedimento. 
 Aprendeu a escrever uma política de segurança. 
 Foi apresentado a um exemplo de descrição de cargos e funções para a área de tecnologia da informação. 
Na próxima aula, você estudará: 
 Auditorias direcionadas a redes de computadores, hardware e controle de acesso. 
1. Administrar de forma adequada as contas de usuários e devidas permissões de acesso às informações seria função do cargo: 
 
 1) administração de dados 
 2) operador de conversão de dados 
 3) administração de segurança 
 4) administração de rede 
 5) grupo de controle de dados 
 
2. 
 Uma política organizacional representa: 
 1) os interesses financeiros da empresa 
 2) a estratégia escolhida pelos administradores para fazer o marketing da empresa 
 3) os meios como a empresa pretende crescer no mercado 
 4) o que a direção executiva pensa de seus funcionários 
 5) os valores e credos da empresa 
 
3. 
 O segredo do cofre forte de uma empresa é uma informação classificada como: 
 1) secreta 
 2) confidencial 
 3) interna 
 4) de uso irrestrito 
 5) privada 
 
4. 
 A estratégia de controles em camadas é mais adequada porque: 
 1) diminui a vulnerabilidade da ameaça 
 2) se uma das camadas for quebrada, o recurso ainda estaria protegido 
 3) elimina o risco 
 4) substitui o plano de contingência para aquele recurso. 
 5) é implementada mais rapidamente 
 
Aula 7: Auditorias Direcionadas 
Nesta aula, você irá: 
 
1. Estudar auditoria específica para redes de computadores, hardware e controle de acesso. 
2. Ver programas de auditoria para redes de computadores, hardware e controle de acesso. 
3. Aprender como construir uma senha considerada eficiente. 
4. Ver qual deve ser o conteúdo de um script de cal. Center a fim de certificar-se que a pessoa que ligou é quem 
realmente diz ser quem é. 
Auditoria de redes 
Hoje em dia há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações 
estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a 
empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem 
a vida da empresa tornou-se crucial. 
 A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas 
camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e 
UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. 
Também devemos considerar os seguintes processos na auditoria de redes: 
 
 
O auditor deve avaliar com atenção questões fundamentais relacionadas a vulnerabilidade do TCP/IP e aplicações, 
deficiências, ataques às rotas, ICMP, UDP, sequência, TCP, DNS, fragmentação ou saturação de portas ou 
buffer/stack overflow, entre outras, além da avaliação específica da capacidade computacional da workstation em 
relação ao time-out interval. 
 O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a: 
 
Programa de auditoria de redes 
Nas páginas 179 a 187, capítulo 15, do material recebido por vocês há um questionário para auditoria de redes 
onde encontram-se controles que devem ser observados pelo auditor e que requerem as respostas “sim”, “não” ou 
“não aplicável”. 
Os papéis que servirão de evidência para a verificação destes controles são documentados em forma de papéis de 
trabalho (work papers) e armazenados em uma pasta administrativa do projeto da auditoria em questão. Esses 
documentos devem ser codificados conforme sua origem (por exemplo: ata seria AT-nn, nota de contato seria NC-
nn, documento seria DOC-nn e assim por diante). É esta codificação que deve ser preenchida em “Ref.W/P” do 
questionário. 
Atenção: Todo trabalho do auditor deve ser documentado para que possamos ter evidências do que 
escreveremos em nossos relatórios. Nosso trabalho é baseado em fatos e não em opiniões pessoais! 
Abaixo os controles em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro! 
 
 
 
 
 
 
 
 
 
 
 
Auditoria de hardware 
O controle de hardware objetiva implantar procedimentos de segurança física sobre equipamentos instalados na 
empresa, incluindo funções que possuem mecanismo para restringir acessos de pessoas ao ambiente de 
computador bem como controles referentes à proteção de vida de pessoas. 
 Entre os recursos utilizados para amenizar os riscos de segurança física temos: extintores de incêndio (gás 
carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. 
Programa de controle interno de hardware 
Da mesma forma como em auditorias de redes, vocês podem encontrar um programa detalhado para levantamento 
de controles internos de hardware nas páginas 105 a 111 do capitulo 8 do material que receberam. 
C1 – Controles de acesso físico ao ambiente de informática. 
Abrange preocupações sobre acesso físico ao CPD, à fitoteca, equipamentos de comunicação e painel de controle. 
Preocupa-se com o destino das listagens geradas e encaminhadas aos usuários, listagens jogadas no lixo , acesso aos 
backups e biblioteca externa. 
C2 – Controle de acionamento e desligamento de máquinas. 
Preocupa-se em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. 
C3 - Controle de acesso físico a equipamentos de hardware, periféricos e de transporte. 
Avalia se o acesso ao local de instalação do CPD é restrito. Examina se o transporte de meios magnéticos para 
dentro e fora da empresa é feito de uma forma segura, por pessoas autorizadas. 
C4 - Localização e infraestrutura do CPD 
Verifica o local onde se situa o CPD em relação à segurança externa, possibilidade de inundações, enchentes, pólos 
geradores de fogo (tais como tanques de combustível, cozinha, banheiro, depósito de substâncias inflamáveis). 
Preocupa-se com instalação do cabeamento, manutenção da fiação elétrica e da refrigeração, treinamento contínuo 
contra incêndio, fontes alternativas de alimentação de energia elétrica (nobreak, gerador). 
C5 – Controle de back-up e off-site 
Também devem ser verificados aspectos relacionados a controle de back-ups (periodicidade, período de retenção, 
número de volumes e cópias), atualização de biblioteca externa, viabilização de sites externos para serem utilizados 
em caso de emergência. 
Deve ser verificadose há plano de contingência abrangendo os 3 sub-planos: emergência, back-up e recuperação 
(como visto na aula 2). 
C6 – Controles de aquisição e disposição do equipamento 
Assegura existência de políticas organizacionais sobre o tema, se há inventário dos equipamentos e se o mesmo está 
atualizado. 
C7 – Controles sobre o ambiente e informações com relação à definição da plataforma de hardware, software, 
sistema operacional e os riscos inerentes. 
Relaciona os fornecedores, contratos de equipamentos, compartilhamento de hardware com outros departamentos, 
necessidade de expansão do parque instalado e facilidades de treinamento. 
Identifica se há contratos formais de manutenção dos equipamentos e se os mesmos são adequados para manter a 
continuidade das operações de cada área. 
C8 – Controles sobre os recursos instalados 
Verifica se há contratos para os softwares instalados, se há políticas organizacionais para uso e aquisição dos 
softwares e se elas são seguidas. 
C9 - Garantia de integridade de transmissão. 
Observa se há controle adequado sobre a transmissão de dados pela rede entre os computadores ou workstations 
além de verificar se os dados críticos são protegidos contra acesso não autorizado. Analisa os equipamentos que 
permitem comunicação remota e procedimentos de verificação e controle para assegurar somente os acessos 
autorizados. 
 
Controle de acesso 
Temos duas grandes vertentes em relação a acesso: 
Acesso físico (relativo a entrada de indivíduos em determinados recintos): 
O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de 
várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. Além da 
identificação da pessoa torna-se necessário o controle de porte de metais. Sabemos que um simples imã pode 
desmagnetizar uma CPU, não? O cuidado com a identificação por leitura de impressão digital é a capacidade de o 
equipamento ler e reconhecer a digital lida, muitas vezes afetada pela gordura nos dedos. 
Acesso lógico (relativo a manuseio de informações em meios magnéticos): 
A forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem 
informações é através de senhas. Desta forma, para eficiência do controle, torna-se necessário um eficaz 
gerenciamento de senhas. 
 Usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, 
onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo 
sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de 
crédito. Não facilitem a vida do ladrão! Guardem separadamente. 
 Outras informações pessoais não devem ser usadas pois a engenharia social está presente na internet ou nos 
pseudos telefonemas de fornecedores. O sobrenome, número de documentos, placas de carro, números de telefone 
e datas relevantes também não devem ser utilizados como senhas, pela mesma razão. 
 
Programa de controle de acesso 
Vocês poderão encontrar um programa de auditoria de controle de acesso detalhado nas páginas 116 a 123, capítulo 
9, do material entregue a vocês. Farei aqui um resumo: 
C1 – Políticas de segurança que forneçam, de forma geral, diretrizes e forma de implementação de normas de 
segurança. 
Vimos na aula 6 que as políticas são necessárias para homogeneizar o comportamento de todos que estejam 
envolvidos com a empresa, sejam funcionários, clientes, fornecedores, visitas. Segurança, com ênfase em controle 
de acesso, é fundamental e deve ser regulada via políticas administrativas, pois asseguram que as pessoas que 
entrarem na empresa estarão devidamente identificadas bem como o controle de acesso lógico estará sendo 
executado. 
C2 – Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de acesso. 
Refere-se à determinação e controle do nível de acesso das pessoas aos sistemas, bem como à segregação de 
funções 
C3 – Software para controle de acesso 
Verifica existência de software de controle de acesso que regule e controle nível de acesso a dados, transações, 
programas, jobs, etc. além de gerenciamento de senhas. Avalia procedimentos de segurança com relação: 
ao cadastramento, bloqueio e exclusão de usuários do sistema 
a solicitação e alteração de senhas 
ao desligamento do sistema/terminal após n tentativas de certo da senha 
ao desligamento automático do sistema / terminal após n minutos sem uso 
ao log de tentativas de acesso frustradas 
a atualização (troca) de senhas dos usuários 
C4 – Controle de acesso a transações 
Verifica se há procedimentos para determinar aos usuários o nível de acesso às transações, incluindo funcionários 
que trocaram de área, funcionários demitidos. 
Verifica, também, se os relatórios de monitoramento de segurança e o perfil dos usuários são periodicamente 
revisados pelo administrador de segurança. 
C5 – Controle sobre utilização de software 
Certifica-se se: 
há inventário de software (de apoio,aplicativos) e se o mesmo está atualizado; 
há normas proibindo utilização de software não autorizado e se as mesmas estão sendo obedecidas; 
há controle e ferramentas adequadas para detecção e eliminação de vírus de computador 
C6 – Controle sobre utilização de redes locais 
Verifica se há restrição de acesso físico ao servidor da rede 
 
 
Veja um programa de auditoria de redes mais completo nas páginas 179 a 187 do capítulo 15 do 
material que você recebeu. 
Veja um programa de controles internos de hardware mais completo nas páginas 105 a 111 do 
capítulo 8 do material que você recebeu. 
Veja um programa de controles de acesso mais completo nas páginas 116 a 123 do capítulo 9 do 
material que você recebeu. 
Nesta aula, você: 
 Estudou auditoria específica para redes de computadores, hardware e controle de acesso. 
 Viu programas de auditoria para redes de computadores, hardware e controle de acesso. 
 Aprendeu como construir uma senha considerada eficiente. 
 Viu qual deve ser o conteúdo de um script de cal. Center a fim de certificar-se que a pessoa que ligou é 
quem realmente diz ser quem é. 
Na próxima aula, você estudará: 
 Mais auditorias direcionadas tais como auditoria de aquisição, desenvolvimento, documentação e 
manutenção de sistemas, auditoria de operação, de suporte técnico e de sistemas aplicativos. 
 
 
1. 
 A biometria é comumente utilizada para controle de: 
 1) redes. 
 2) validação de transação. 
 3) back-up de senhas. 
 4) acesso lógico. 
 5) acesso físico. 
 
2. 
 Firewalls são dispositivos constituidos: 
 1) pela combinação de software e hardware , utilizados para acessar o computador infectado por 
 2) por software para controlar o acesso entre redes de computadores. 
 3) pela combinação de software e hardware , utilizados para dividir e controlar o acesso entre redes de 
computadores. 
 4) softwares utilizados para acessar o computador infectado por virus. 
 5) hardware, utilizados para acessar o computador infectado por vírus. 
 
3. 
 Quando usamos funções de callback: 
 1) estamos falando de chamada em espera de um call center. 
 2) estamos assegurando aceitação de transmissões de dados de modens autorizados. 
 3) queremos transferir arquivos de uma lan house para nosso escritório 
 4) queremos transmitir dados sensíveis via uma lan house 
 5) um usuário remoto chama o computador, identifica-se e aguarda na linha. 
 
4. 
 Marque a alternativa correta: 
 1) O auditor não precisa verificar controles sobre aquisição de equipamentos, pois isso é competência da área de compras. 
 2) O auditor deve verificar o replanejamento dacapacidade de aumento da rede. 
 3) O auditor não precisa verificar os tipos de conexões com a internet , pois isso é competência da área de suporte. 
 4) O auditor deve verificar se o número de fornecedores que visitam a empresa é adequado. 
 5) O auditor deve assegurar que não há segregação de funções na empresa a fim de evitar processos judiciais. 
 
 
 
 
 
Aula 8: Mais auditorias direcionadas 
Nesta aula, você irá: 
 
1. Estudar auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção de sistemas. 
2. Ser introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK. 
3. Ser apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e de sistemas 
aplicativos. 
4. Examinar alguns programas de auditoria direcionada. 
Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas 
Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um 
determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e 
ao custo-benefício de ambas as alternativas. 
 Em qualquer das opções (desenvolvimento em casa ou aquisição), há que se fazer um estudo preliminar para o 
sistema em questão, considerando a viabilidade econômica, operacional e técnica. 
 Cabe lembrar que aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de 
customização) ou alterações em algum software já existente na empresa. 
Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), 
em seu capítulo 12, dedicado à gerência de aquisições, os grandes grupos de processos a serem seguidos para que 
uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa são: 
1. Planejamento das aquisições – Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho 
(declaração de trabalho = descreve a aquisição a ser feita detalhadamente o suficiente para que os fornecedores em 
potencial possam avaliar se são capazes ou não de fornecer o produto ou serviço) 
2. Planejamento das solicitações – Documenta os requisitos dos produtos ou bens e identifica fontes potenciais. 
3. Solicitação – Obtém a cotação, ofertas, propostas. 
4. Seleção da fonte – Escolhe a melhor proposta. 
5. Administração do contrato – Gerencia e relaciona-se com o fornecedor. 
6. Fechamento do contrato – Finaliza o contrato, incluindo itens abertos. 
Considerando esses processos, o auditor deverá verificar se todos os passos foram seguidos e estão documentados. 
Saiba mais aula 08 
Objetivos de auditoria 
As seguintes questões referentes aos objetivos de auditoria dos controles e processos de aquisição, 
desenvolvimento, manutenção e documentação de sistema aplicativos devem ser respondidas: 
- Há procedimentos de formalização da real necessidade para um novo sistema? 
- Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno? 
- As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de 
custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa? 
- A especificação de requisitos é feitas de forma cuidadosa, confrontando os conhecimentos dos usuários com os dos 
analistas de sistema, visando eliminar gaps semânticos? 
- Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários? 
- O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já 
existentes? 
- Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem? 
- As manutenções são feitas sem interrupção das operações normais da empresa? 
- A documentação é consistente e disponível para orientar os usuários? 
Programa de teste de controles 
Nas páginas 96 a 101, capítulo 7, do material recebido por vocês, há um questionário para testes de 
controles onde encontram-se controles que devem ser observados pelo auditor e que requerem as respostas “sim”, 
“não” ou “não aplicável”. 
 Listarei, abaixo, os controles, em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro! 
Especificação do sistema 
Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, 
visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes? 
Se sim, descreva os controles existentes para assegurar que: 
- Os usuários dos sistemas estejam envolvidos. 
- O gerente do projeto seja identificado. 
- As reuniões com usuários são documentadas, incluindo as deliberações. 
- Dados de entrada e o meio de entrada desses dados no sistema sejam identificados. 
- Formato, o meio e a distribuição dos relatórios sejam especificados. 
- Passos, lógica de processamento e fórmulas utilizadas, quando for o caso, sejam identificados. 
- Ambientes de software e hardware apropriados sejam especificados. 
- Requisitos de segurança de informação sejam adequadamente considerados. 
- Controles internos embutidos no sistema e do usuário sejam incorporados ao desenho do sistema. Esses controles 
podem incluir totais de lote, edição de entrada, campos com dígito verificador, rotinas de verificação e relatórios de 
controle. 
Aquisição de Sistemas 
Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? 
 
Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção, especificação ou modificação 
de sistemas? 
Há rotinas e procedimentos estabelecidos para determinar prioridades para os projetos de desenvolvimento e 
manutenção de sistemas? 
Há rotinas e procedimentos estabelecidos para rever as especificações dos projetos por pessoal apropriado de 
processamento de dados, fora da área de desenvolvimento e manutenção de sistemas (por exemplo: operação, 
segurança e suporte)? 
Programação 
A empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente? 
Se sim, descreva os controles existentes para assegurar que: 
- os programas sejam desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras 
orientações usadas pela empresa. 
- a codificação de programas novos ou alterados esteja sujeita à revisão pelos supervisores de programação. 
- sistemas novos ou modificados não sejam colocados em operação antes de estarem autorizados e aprovados para 
implantação. 
Teste 
Há rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas? 
Se sim, descreva os controles existentes para assegurar que os testes incluam alguns ou todos os itens a seguir, de 
acordo com as circunstâncias: 
- Testes da lógica dos programas. 
- Testes dos procedimentos de entrada de dados do usuário. 
- Testes das interfaces com outros sistemas. 
- Testes paralelos com o sistema existente a ser substituído. 
- Testes de regressão (teste de regressão = ao fazermos alguma modificação nos requisitos de um sistema e 
alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não 
afetaram o que já estava funcionado a contento). 
- Testes de controles e características de segurança. 
- Existência de plano de teste, incluindo os casos de teste. 
- Evidências de testes unitários, de sistema e de integração. 
- Evidências de participação do usuário na definição e testes do projeto. 
Documentação 
A empresa mantém documentação para a totalidade dos sistemas contábeis significativos, que atenda às 
necessidades do usuário e do pessoal de processamento de dados? 
Se sim, descreva os controlesexistentes para assegurar que: 
A documentação seja atualizada e reflita exatamente o sistema em operação. 
A documentação seja suficientemente detalhada para suportar futuras mudanças no sistema. 
As instruções do usuário e do operador sejam suficientemente detalhadas para possibilitar o correto uso e operação 
do sistema. 
A documentação sigilosa seja guardada em área fisicamente segura. 
Manutenção 
A empresa executa projetos de manutenção em sistemas aplicativos internamente? 
Se sim, descreva os controles existentes para assegurar que: 
- Solicitações de manutenção de programas sejam documentadas e autorizadas pelo usuário e pela gerencia de 
projetos. 
- A manutenção de programas esteja sujeita aos padrões de programação aplicáveis. 
- A manutenção seja executada por pessoal apropriado. 
- Os usuários revisem os resultados dos testes e dêem seu “aceite” aos mesmos, antes de serem implementados na 
produção. 
- A documentação seja apropriadamente atualizada para refletir a alteração do sistema. 
 
Auditoria de operação de sistemas 
A operação do computador envolve as funções de acionar o Inicial Program Loader (IPL) e os programas que ligam e 
desligam os computadores. 
O auditor necessita conhecer todas as operações e serviços disponibilizados pelos centros de processamento de 
dados e documentar os controles organizacionais. São as seguintes as operações mais comuns: 
- Planejamento, controle e monitoração das operações. 
- Planejamento da capacidade. 
- Monitoramento de todos os sistemas e as redes. 
- Inicialização do sistema e do desligamento. 
- Gravação (logging), rastreamento (tracking) dos problemas e monitoramento do tempo de resposta. 
- Gerenciamento de mudanças estruturais e pessoais. 
- Gestão das unidades, dos periféricos e equipamentos remotos. 
- Gerenciamento de bibliotecas. 
- Programação dos serviços (job scheduling) e acompanhamento das operações. 
- Automação da produção. 
- Backup dos sistemas, programas, dados e banco de dados. 
- Gerenciamento do help desk. 
- Coordenação e programação de upgrades dos equipamentos; 
- Gestão de restart/recovery. 
Além de garantir que todos os passos envolvidos na criação de dados, que as lógicas envolvidas no processamento 
das tarefas e os procedimentos mínimos de emissão de relatórios sejam obedecidos, é objetivo da auditoria de 
controle de operações de computador levantar a existência de controles que assegurem que as operações das 
transações executadas na empresa sejam fidedignas. 
 Esperam-se encontrar procedimentos para assegurar que os jobs (serviços) sejam programados (para execução) e 
processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e 
tendo os meios de arquivos de dados devidamente protegidos. Falhas frequentes do sistema, erros significativos de 
processamento, atrasos e perdas de dados podem indicar a existência de deficiências no controle de operações. 
Auditoria de suporte técnico 
A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com 
responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua 
utilização nas empresas. 
 As funções de suporte técnico dividem-se em dois grandes grupos: 
Funções Rotineiras: 
- Gerenciamento de help desk. 
- Socorro aos problemas de instalação de redes. 
- Monitoramento da ocorrência de problemas. 
- Treinamento de usuários dos softwares. 
- Revisão preventiva de equipamentos. 
- Substituição dos equipamentos antigos. 
- Segurança de informação quando não há administrador de segurança de informação 
Funções Esporádicas: 
- Dimensionamento de banco de dados. 
- Instalação de softwares utilitários. 
- Manutenção dos sistemas operacionais. 
- Instalação de upgrades. 
- Avaliação de software para fins de compra. 
- Padronização dos recursos de tecnologia da informação. 
- Ativação de redes (estações etc). 
Auditoria de sistemas aplicativos 
Os controles internos, processos e controles de negócios, conforme visto nesta aula e na aula 3, devem ser 
verificados, não só em sistemas novos (em desenvolvimento ou adquiridos), mas também nos sistemas em 
produção. Alguns pontos de controle são fundamentais e serão aplicados em todos os sistemas, como por exemplo, 
controle de acesso. Outros controles, específicos, serão identificados e aplicados conforme o sistema sob auditoria. 
 O COBIT define sete critérios de informações que podemos adotar como sendo objetivo de uma auditoria de 
sistemas: efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiança. 
A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos 
controles internos e programados como ferramentas de auditoria. Podemos dividir as tarefas de avaliação sob dois 
enfoques: 
Verificação da estrutura dos sistemas e seus controles. 
Testes substantivos das transações executadas pelos sistemas. 
 
Nesta aula, você: 
 Estudou auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção de sistemas. 
 Foi introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK. 
 Foi apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e de sistemas 
aplicativos. 
 Examinou alguns programas de auditoria direcionada. 
Na próxima aula, você estudará: 
 Sobre como um auditor comunica seus pareceres sobre a auditoria, ou seja, os relatórios de auditoria. 
1.Testar o que já foi testado, quando fazemos alguma mudança em programas de um sistema em Desenvolvimento, chama-
se: 
 1) teste de eficiência. 
 2) teste de flexibilidade. 
 3) teste de unidade. 
 4) teste de regressão. 
 5) teste de acuidade. 
 
2. 
 Marque a alternativa correta: 
 1) É preferível comprar um sistema pronto a desenvolver em casa. 
 2) O desenvolvimento da especificação de requisitos é feito e aprovado pela área de Sistemas, já que a mesma possui 
assuntos técnicos da área de Sistemas. 
 3) Uma alteração (em programa) testada é encaminhada para a Produção, tão logo o analista responsável forneça sua 
aprovação aos testes. 
 4) O manuseio das bibliotecas de programas é da alçada do pessoal da Produção. 
 5) A escolha e teste de hot-sites é verificada na auditoria de manutenção de sistemas. 
 
3. 
 Declarações de trabalho incluem: 
 1) desenho do sistema, equipe técnica e tecnologia utilizada. 
 2) arquivos, relatórios e custo do sistema. 
 3) funcionalidades, regras do negócio e saídas desejadas. 
 4) desenho do sistema, plano de testes e cronograma. 
 5) desenho do sistema, funcionalidades e equipe técnica. 
 
4. 
 É função do suporte técnico: 
 1) Gerenciamento do help desk. 
 2) Definição do job scheduling. 
 3) Gestão de restart/recovery. 
 4) Garantir a privacidade das informações da empresa.. 
 5) Definição de local e conteúdo da biblioteca externa. 
 
Aula 9: Comunicando resultados 
Nesta aula, você irá: 
 
1. Aprender como reportar falhas e recomendações durante o trabalho de auditoria. 
2. Aprender a preparar um relatório de auditoria. 
3. Saber como dar a nota de um relatório de auditoria. 
4. Tomar ciência de como fazer o follow-updos relatórios. 
Comunicando resultados 
Há dois momentos em que a Auditoria emite documentos, durante o processo de auditoria de sistemas, ao 
detectar uma falha, quando estiver verificando um ponto de controle, e ao final do trabalho. Caso a auditoria seja 
extensa, podemos também emitir um relatório parcial sobre nossas preocupações a respeito das falhas 
encontradas no sistema. 
 
Tão logo uma falha seja detectada, ela deve sercomunicada, verbalmente, à gerência auditada. O objetivo desta 
comunicação verbal é a breve solução e o acordo de viabilidade de correção da ação a ser tomada. Após a 
verificação da acuidade do fato levantado, uma referência deve ser preparada e aprovada pela gerência da 
Auditoria. Essa referência é um comentário ou registro do fato encontrado. 
Após o término do trabalho de campo, devemos preparar um relatório que comentará o resultado de nosso 
trabalho. Esse relatório será baseado nas falhas e recomendações emitidas nas referências. Todas as referências 
materiais que não forem resolvidas devem ser incluídas no relatório como falhas e serão elas que servirão de base 
para darmos a “nota” do relatório. 
 Se uma referência foi resolvida, ela será citada no relatório como tendo sido levantada e resolvida a contento, 
durante a auditoria, na parte de Sumário e Conclusões do relatório. 
Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um relatório DRAFT 
(rascunho), sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, 
Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, 
incluindo a gerência da Auditoria). Somente após reunião, onde o rascunho do relatório foi discutido e chegou-se a 
um consenso, é que emitimos a versão final do relatório. 
 Uma resposta formal do relatório final é solicitada, a não ser que o relatório tenha sido satisfatório e nenhuma 
falha tenha sido levantada. 
 Todos os documentos emitidos pela auditoria devem ser acompanhados (follow-up) até a sua definitiva conclusão. 
 
Prestando atenção na construção de opiniões e pareceres 
Os relatórios devem ser construídos em linguagem impecável, devem ser sucintos e objetivos. Vamos ver como 
não cair em armadilhas que podem gerar dupla interpretação do que escrevemos. 
Devemos descrever uma falha de forma clara, direta e sucinta: 
- Usar voz ativa. 
- Frases curtas. 
- Não misturar fatos com opinião. 
- Não usar nomes próprios (exemplo: incompetência de fulano). 
- Sempre que possível, quantificar (se a amostra for pequena, não mencionar percentual). 
- Siglas devem ser explicitadas na primeira vez que aparecem. 
Audiência do relatório de auditoria 
Diferentes níveis de gerência requerem diferentes partes da informação. Quanto mais perto você chega do alto 
escalão, mais resumido você deve ser! 
Identifique as necessidades de sua audiência: 
 
Questões a serem ponderadas 
Quem lerá o relatório? 
 O que o leitor deve saber? 
 Eles querem todos os detalhes? 
 Quanto eu posso definir? 
 Está sendo fácil para o leitor obter as informações que ele quer? 
Lembrem-se: Executivos não têm muito tempo para ler. Eles gostam de gráficos, pela facilidade de visualização. 
Deixe os detalhes para os técnicos ( no nosso caso, nos anexos) 
Prove que seu relatório vale o tempo do leitor se: 
- O leitor obtém a informação que ele necessita, sem ter que procurar no relatório por ela. 
- O leitor tem informação pertinente para a sua posição 
- A informação é acurada, honesta e objetiva. 
Esquematizando seus pensamentos 
Escrever em círculos - aparenta ao leitor que o escritor tem: 
 - Insegurança no objetivo da matéria escrita. 
- Insegurança quanto ao ponto que o escritor quer atingir. 
- Inabilidade em selecionar as palavras corretas. 
- Inabilidade em estruturar adequadamente sua escrita. 
Como você pode evitar escrever em círculos? 
Sabendo o propósito do relatório. 
Sabendo para quem o relatório será endereçado. 
Sabendo exatamente o que você quer dizer antes de escrever. 
Preparando um guia. 
Escolhendo cada palavra cuidadosamente: Palavras precisas geram pensamentos acurados, imediatos e eficientes. 
Evitando cacófatos (ex: por cada). 
Garantindo um bom relatório 
3 regras para um bom relatório: 
 1 - Evite linguagem pomposa e dura. 
 2 - Evite linguagem técnica desnecessária (você pode deixar os executivos constrangidos). Mantenha o linguajar 
técnico para os técnicos. 
 3 - Use linguagem concreta e específica: 
Forneça detalhes suficientes. Evite uso excessivo de generalidades (ex: vários, muitos, todos, pessoas, certos etc.). 
Seja claro. 
Por que verbalizar antes de escrever? 
 - Organiza os seus pensamentos. 
 - Permite deixá-lo sentir como se estivesse comunicando-se diretamente com alguém. 
 Dá a você a oportunidade de expressar seus pensamentos da maneira que você normalmente faz: verbalmente. 
 
Objetividade: 
 Um relatório deve apresentar: 
 Uma descrição correta e clara das falhas de modo a evitar má- interpretação e mau entendimento. Devem ser 
incluídas informações de tamanho dos testes ou métodos de seleção de itens para teste, de modo que o leitor 
possa relacionar tal informação ao total da atividade e às falhas. 
 Objetividade na escrita: 
 - Permite que os fatos falem por si só. 
- É menos aberto à disputas/discussões. 
- É mais convincente. 
- Não pode ser facilmente mal interpretado. 
- Coloca comentários na perspectiva certa - evita o trivial. 
Escrita não abrasiva 
 É aquela escrita que faz críticas ou recomendações sem ofender o leitor. 
 Para evitar escritas abrasivas: Críticas e recomendações devem ser feitas forte o suficiente para causar ao leitor 
uma ação. Para evitar ser abrasiva, uma crítica deve ser direcionada ao problema em mãos, não a um indivíduo, 
departamento ou posição. 
 Escolha as palavras certas. Algumas palavras são abrasivas por definição; outras são abrasivas pelo contexto na 
qual elas são usadas ou onde elas são colocadas! 
Sendo específico: 
 Vago: Um número significante de erros aparece no relatório 
Melhor: Onze erros foram encontrados no relatório de 98 clientes listados 
 Escrita vaga pode ser abrasiva se: 
- Forçar o leitor a interpretar seus comentários; 
- Deixar seus comentários abertos para questionamentos ou dúvidas; 
- Puder não fazer seu parecer como você queria. 
 Escrita suficiente: 
- Não deixa dúvidas sobre o que você está falando. 
- Mantém o relatório “em movimento”. 
- É mais objetivo. 
- Elimina palavras desnecessárias (principalmente os adjetivos!). 
- Reduz o tamanho do relatório o qual tende a maior ênfase. 
Legibilidade: 
 Se você adquirir todos os direitos substanciais à patente, apropriadamente, antes da invenção, é reduzida à 
prática (testada e operada com sucesso, sob condições operacionais) para um considerável pagamento ao 
inventor, acima do valor de seus interesses, você pode obter uma taxa especial de tratamento discutida abaixo, 
provando que você não é funcionário do, ou parente do inventor como descrito abaixo. 
 O que está errado ? 
- Muito longo / confuso / tudo está qualificado / é chato 
 
Melhorando: 
Se você comprar todos os direitos substanciais de uma patente, antes que um inventor o coloque em uso, acima do 
valor de seus interesses, você pode obter uma taxa especial de tratamento conforme descrito abaixo. 
Regras para legibilidade: 
 Mantenha as frases moderadamente curtas - mas varie o tamanho e a construção. 
 Escolha palavras do dia-a-dia quando puder. 
 Use sempre verbos ativos, se puder. 
 Seja específico, concreto. 
 Elimine palavras sempre que você possa fazê-lo. 
Leia os textos “CHECLIST PARA ESCREVER RELATÓRIOS” e “Relatório de Referência (ou Falhas e Recomendações)” 
Composição de um relatório de auditoria 
Memorando Capa: 
Endereçado ao executivo responsável pela área auditada. 
Diz qual o relatório anexado (interino ou final). 
Solicita que seja dada uma resposta, ao executivo maior, da auditoria, se for o caso, fornecendo uma data limite 
para esta resposta. 
Solicita que cada falha/recomendação seja confirmada, ou não, e solicita a correção