A maior rede de estudos do Brasil

Grátis
33 pág.
Resumo - Auditoria de Sistemas

Pré-visualização | Página 1 de 12

AUDITORIA DE SISTEMAS 
AULA 1
A filosofia de auditoria em TI está calcada em segurança e em controles internos. Seu objetivo
maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos.
Dessa forma, podemos dizer que a Auditoria de Sistemas é uma atividade que engloba o exame das
operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa, com
o objetivo de garantir/ verificar:
1) A conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras,
normas ou padrões.
2) A segurança das informações, recursos, serviços e acesso.
Os recursos podem ser: Humanos (pessoas)
 Tecnológicos (Softwares, hardware, equipamentos eletrônicos, etc)
 Financeiros, materiais (Móveis, salas, suprimentos, etc)
No contexto de sistemas de informações, Gil enumera as 3 funções clássicas de uma organização:
Planejamento, execução e controle.
Planejamento – Determinação de padrões com informações que exprimem uma expectativa de
comportamento futuro. (Como deve ser)
Execução – Caracterização de medidas com informações relacionadas aos registros das operações
ocorridas. (Como está sendo - registro)
Controle – Acompanhamento de desvios através da confrontação das medidas com os padrões.
(Compara o padrão com o registro). Em caso de discrepância, solicitação de ações corretivas por
parte dos responsáveis. Medidas x padrões
O auditor de sistemas atua como um verificador do trabalho realizado, atuando segundo as ações de
validação e avaliação do ciclo administrativo. Corresponde a uma ação independente e duplicada
logicamente, pois reside no conceito de que diversos níveis de chefia já poderão ter feito processos
análogos aos da auditoria, embora não estruturados.
Validação – Exprime a idéia de teste.
Avaliação – Exprime a idéia de julgamento e emissão de opinião. 
Posicionamento da Auditoria de Sistemas nas organizações – Considerando que um auditor de
sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções não só na
área de sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa
deve ser logo abaixo da direção executiva da empresa. 
Perfil do Auditor de Sistemas - O auditor de sistemas deve ter:
- Conhecimento teórico e prático de SI
- Visão abrangente da empresa (Não precisa conhecer tudo da empresa, mas o suficiente para saber
o que perguntar a quem, quando precisar consultar especialistas no assunto que fugir ao seu
domínio)
- Comportamento condizente com quem tem autoridade no assunto.
- Vestir-se adequadamente (nada de extravagâncias).
- Nada de gírias
- Não aceitar presentes.
Qualificação profissional – Algumas organizações certificadoras:
ISACA – Certified Information Systems Auditor (CISA)
British Computer Society – Exame de Sociedade Britânica de Informática
Institute of Internal Auditors (IIA) – Qualificação em auditoria computacional
Equipe de auditoria
Pode ser: Interna ou externa.
Interna – Quando os auditores são colaboradores da empresa. A equipe é treinada conforme
objetivos de segurança da empresa. A metodologia é adquirida ou desenvolvida na própria empresa.
Externa – Quando a empresa contrata uma empresa de auditoria de alguma área ou sistema
específico. Os métodos de condução da auditoria são pertinentes à empresa contratada. Nesse caso,
existe a possibilidade de se perder o controle sobre trabalhos realizados. 
Programa de Desenvolvimento de carreira de Auditor de TI
Pouca ou nenhuma experiência em TI – O treinamento de quem tem pouca ou nenhuma
experiência em TI deve incluir:
- Conceitos de TI
- Fundamentos de arquitetura de sistemas, Input/Output, processamento lógico, unidade de memória
principal e auxiliar, visando auditoria. 
- Redes de computadores, teleprocessamentos, internet, intranet e extranet, com configurações
pertinentes,
- Programação de computação, incluindo os conceitos de flowchart e diagrama de fluxo de dados.
- Tabelas de decisão e sua aplicação nas principais linguagens de programação. (deverá aprender
somente os itens necessários para as atividades do dia a dia)
- Introdução aos controles gerais de computadores (operação, aquisição, desenvolvimento e
manutenção de sistemas, controles de acesso, hardware, controles organizacionais e suporte técnico)
Estudo de caso que exemplifique casa situação (jogo de negócios) é desejável. 
Experiente em TI – O treinamento de quem possui experiência em TI deve incluir:
- Revisão dos controles gerais (operações, aquisição, desenvolvimento e manutenção, controles de
acesso, hardware, controles organizacionais e suporte técnico) Auditoria de sistemas aplicativos,
princípios e práticas de auditoria com ênfase nos controles gerenciais e organizacionais,
monitoramento e emissão de relatórios.
- Gerenciamento de riscos, privacidade, desenvolvimento e implementação de políticas e estratégias
de segurança da informação.
- Avaliação dos sistemas online com relação ao processamento em tempo real, controles de recall e
identificação de programas, verificação das autenticações e autorizações de acessos e registros
(contabilização) das transações. Também inclui correção, detecção e manutenção de diários
(journaling) das operações.
- Transmissão de dados, proteção das informações, segurança associada ao uso dos sistemas,
teleprocessamentos, redes interne, intranet e extranet.
- Controle de operações, processamento interativo em atividades de negócios e e-commerce. -
Iniciação de trilha de auditoria em ambiente de TI e propriedade intelectual, abordagens aos
métodos existentes e supervisões necessárias.
- Controles de acesso à biblioteca de dados ou programas, armazenamento e recuperação dos
mesmos a partir de bases hierárquicas, relacionais ou Data Warehouse, plano de contingência (de
backup, emergência e recuperação) de desastres.
- Software de auditoria, distinguindo-se os softwares generalistas dos específicos, como apoio dos
especialistas em TI para desenvolver softwares que atentem para metodologias próprias. 
Biblioteca Técnica – O grupo de auditores de sistemas de uma empresa deve ter à sua disposição
uma biblioteca técnica para consulta. Não apenas sobre informações pertinentes ao processamento
de dados, mas também sobre produtos da empresa para os quais houve uma auditoria prévia.
Também devem ser arquivados todos os relatórios de auditorias prévias, com os respectivos papéis
de trabalho, pois servirão de fonte de consulta em auditorias futuras. Manuais de metodologia de
gerência e desenvolvimento de sistemas, políticas administrativas e demais padrões e normas da
empresa também deverão fazer parte da biblioteca da auditoria, bem como manuais e folhetos de
hardware e software. 
Abordagens da auditoria de sistemas – Dependendo da sofisticação dos sistemas
computadorizados, podemos ter 3 tipos de abordagens de auditoria de sistemas:
Abordagem ao redor do computador – Muito usada no passado, o auditor analisava os
documentos fonte com suas respectivas entradas e saídas. Pouca ou nenhuma atenção é prestada às
funções de processamento (Não exige muito conhecimento de TI) Utilização de rotinas manuais.
Pouco envolvimento com os registros gerados pelo computador (informática era utilizada para
tarefas menores, tais como controle de estoque). Envolve custos mais baixos (e riscos mais altos).
Essa abordagem não é eficiente devido ao fato de que negligencia algumas das qualidades dos
controles internos dos sistemas e propicia falta de disponibilidade de testes substantivos
convincentes que visam ajudar na conclusão sobre os sistemas.
Abordagem através