Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria informatica Licenciatura em Contabilidade e Auditoria Docente: Joaquina Rafael Monteiro Instituto Superior Politecnico de Manica 13/11/2018 Introdução Função da Auditoria Elementos constituintes Caracteristicas principais Finalidades da auditoria informática Recursos utilizados Relações com o controlo interno Instituto Superior Politecnico de Manica 23/11/2018 Elementos constituintes Auditoria Informática e um conjunto de procedimentos e de tecnicas para analisar, avaliar e controlar total ou parcialmente um sistema informático. Combina o conhecimento do dominio informático com o da gestão. A auditoria informática devera estudar, examinar periodicamente a evolução, através das metodologias e tecnico específicos dos seguintes dominios: No ambito do Sistema de Informação Planeamento estratégico Instituto Superior Politecnico de Manica 33/11/2018 A arquitectura do sistemas de informação Basses de dados e os respectivos dicionários Infraestrutura e plataformas tecnológicas As configurações e as redes: caracterização geral Os sistemas centrais, departamentais e locais. Ferramentas e aplicações informáticas: os sistemas de gestão de base de dados Os sistemas de apoio(SW de apoio): geradores, editores de programas e textos, folhas de cálculo Aplicações (SW Aplicacional) Instituto Superior Politecnico de Manica 43/11/2018 O processamento electrónico de dados é uma área que integra os seguintes elementos: HW, SW básico, SW dw apoio, SW aplicativo e o teleprocessamento. Instituto Superior Politecnico de Manica 53/11/2018 Características principais Geralmente a auditoria informática examina uma parte do sistema informático ja em exploração, mas também em fases anteriores a entrada em exploração de cada aplicação sobretudo quando são critícas ou determinantes em situações de alterações significativas de todo o sistema. Nas suas análises e avaliaçoes , a auditoria informática atesta os mesmos princípios de auditoria geral. Deste modo tem de conhecer bem a estrutura, a organização, as áreas funcionais, as competencias atribuidas, os meios e o ambiente da empresa em causa. No entanto assume as características de diferenciação. Instituto Superior Politecnico de Manica 63/11/2018 Pode referir-se as necessidades em investimentos de HW ou SW tratando-se da chamada Auditoria dos investimentos informáticos, do mesmo modo os sistemas informáticos tem de ser protegidos nos seus aspectos fisícos e lógicos, dando assim lugar a existência da auditoria de segurança informática. Quando se produzem alterações estruturais na função informática e a auditoria de organização informática que vai fazer a sua avaliação e emitir os seus pareceres. Instituto Superior Politecnico de Manica 73/11/2018 Quando se pretende o dominio do desenvolvimento dos projectos de informática de uma empresa, ocorre uma integração destes três tipos, dado haver necessidade de investimento, deficiências a suprimir ou a evitar ou uma segurança a manter. Instituto Superior Politecnico de Manica 83/11/2018 Finalidades da auditoria informática Tendo em conta as necessidades da organização, em particular no que se refere a privacidade dos dados e a fiabilidade da informação produzida e no sentido de garantir que os futuros registos permitem detectar deficiências de funciamento e a presença de possiveis erros, a auditoria informática tem de ter uma visão integrada das suas finalidades. Deste modo, deve analisar e avaliar os procedimentos existentes e a qualidade dos sistemas de informação com os seguintes objectivos: Instituto Superior Politecnico de Manica 93/11/2018 Proteger as suas actividades e recursos Verificar se as suas actividades se desenvolvem eficientemente e de acordo com as normas informáticas e gerais Confirmar se o HW e SW que pretende adquirir corresponde inteiramente as necessidades de todo o sistema Conseguir analisar a a eficácia exigida na situação da empresa em causa Garantir o controlo da função informática Analisar a eficiência do sistema informático que comporta Avaliar a adequação e a eficácia dos procedimentos de controlo Rever a eficácia da gestão de recursos materiais e humanos que pertencem a essa função. Instituto Superior Politecnico de Manica 103/11/2018 Recursos utilizados A auditoria informática comporta a análise, avaliação e validação do controlo interno de sistemas de informação e estes integram um conjunto de recursos humanos, materiais, tecnológicos e financeiros, que integram de acordo com uma sequência lógica a fim de transformar dados obitidos em informações e/ou informações iniciais noutras informações de diferente significado ou de mais elevada complexidade. Cada um destes elementos pode ser assim apresentado: Instituto Superior Politecnico de Manica 113/11/2018 Recursos humanos – são os utilizadores dos equipamentos informáticos (por exemplo, gestores, secretarias, pessoal da área comercial ou da área industrial), os técnicos da função informática (por exemplo, operadores de computador, analista de sistemas e programadores); Recursos materias – incluem materiais consumíveis (compact disks, disquetes, tinteiros e formúlarios continuos), os equipamentos (computadores, servidores, terminais, impressoras, modens e firewalls), as instalações e outros utensílios (sala da função informática, rede de energia eléctrica, a rede de telecomunicações e mobiliário); Instituto Superior Politecnico de Manica 123/11/2018 Recursos tecnológicos – significam o e intangivel nos sistemas de informações, como os SW, os processos inerentes e e as informações produzidas, a sua utilização implica que estejam conectados a recursos humanos e materiais; Recursos financeiros – é o significado financeiro de todos outros recursos e também o valor monentário que esta atribuido ao SI para os investimentos necessarios e para as despesas inerentes ao seu funcionamento; Instituto Superior Politecnico de Manica 133/11/2018 Sequência lógica – expressa a existência de um conjunto de tarefas e procedimentos realizados por uma dada ordem, devidamente justificada, pelos utilizadores ou pelas instruções proprias dos programas para que seja possível a transformação dos dados em informações e das informações em outras informaçoes; Dados e informaçoes resultantes – sao os elemetos iniciais e finais dos processos realizados pelo sistema. Instituto Superior Politecnico de Manica 143/11/2018 Relações com o controlo interno O controlo interno no dominio da informática e auditoria informática tem algumas analogias. Nas décadas passadas assistiu-se a um grande desenvolvimento das coreespondentes actividades. Os controladores internos puderam tambem exercer a auditoria. De factomuito dos actuais responsáveis pelo controlo interno informático receberam formação em segurança informática, o que se entrega na formação em auditoria. Alguns auditores informáticos passaram para o dominio do contolo interno informático, devido a semelhança dos objectivos profissionais de control e auditoria, cujas analogias proporcionam uma transição fácil e natural. Instituto Superior Politecnico de Manica 153/11/2018 Uma comparação com base nas semelhanças e nas diferenças e apresentada na seguinte tabela Controlo interno informàtico Auditoria informàtica Diferenças Apenas pessoal interno Anàlise dos controlos no dia- a-dia O alcance das suas funções e apenas no controlo do departamento informàtico Reporta a direção do departamento de informàtica. Pessoal interno e/ou externo A análise e feita num dado momento Cobre todos os componentes do sistema de informação Reporta a direção geral da empresa Semelhanças Pessoal interno com conhecimentos especializados em tecnologia da informação Verificação do cujprimento dos controlos internos, de acordo com procedimentos estabelecidos para os sistemas de informação Instituto Superior Politecnico de Manica 163/11/2018 Auditoria e segurança Noçoes de segurança empresarial A ISO (Internacional for Standardization ) define segurança com a tentativa de minimizar a vulnerabilidade de valores e recursos , entende-se neste dominio, por vulnerabilidade o atributo de qualquer situação apartir da qual terceiros podem penetrar num sistema de informação informatizado sem qualquer autorização no sentido de tirar proveito do seu conteudo ou das suas caracteristicas, nomeadamente de configuração e alcance. Instituto Superior Politecnico de Manica 173/11/2018 Cada vez mais os gestores de topo e reponsáveis pelos SI informatizados das organizações se preocuparem com as consequências de um acidente que afectasse o funcionamento dos seus SI no que se refere a confidencialidade, integridade e disponibilidade da mesma informação. Dado que o acidente não é completamente evitável, e necessário garantir, em qualquer circunstância, a continuidade das actividades das empresas minimizando os prejuízos, prevenindo oe reduzindo o impacto dos incidentes de seguerança e definindo os padrões que permitam a análise e a avaliação do SI. Instituto Superior Politecnico de Manica 183/11/2018 Assim a informação cujo o conhecimento e posse sao essênciais na existência de cada organização deve ser guardada em instalações que garantam níveis adequados de segurança com acessos condicionados, independentemente do respectivo suporte (papel. Discos rigidos, banda magnetica, CD, DVD, disquetes e outras formas). Tal como as áreas funcionais, os respectivos orgãos de gestão e os documentos comprovativos do seu funcionamento (balanços, demonstrações de resultados, relatórios, etc), o HW e o SW, os recursos informacionais, ou seja, todos os componentes do SI deveriam estar sujeitos a um controlo regular a fim de garantir a sua segurança. E conveniente apontar alguns motivos desta necessidade: Instituto Superior Politecnico de Manica 193/11/2018 Os computadores e os centros de processamento de dados podem ser meios úteis a espionagem industrial e ser utilizados por deliquentes e/ou terroristas; Os computadores podem produzir uma informação que seja errada se os dados processados forem provenientes de fontes insuficientes ou se o respectivo processamento nao for adequado a sua natureza. Esta possibilidade nao deve ser esquecida pelas organizações, pois pode conduzir um efeito de cascata afectando aplicações indempendentes; Se um sistema informático for deficientemente concebido, pode converter-se numa ferrramenta perigora para a organização integrada de HW e SW de variados tipos. Estes são alguns dos vários pontos fracos que um sistem informático pode apresentar, donde deriva a necessidade da auditoria de sistemas. Instituto Superior Politecnico de Manica 203/11/2018 Segurança e oraganização Numa organização, as actividades cujo o objectivo é garantir a segurança integram- se na função segurança. Esta consiste em estudar, localizar, diminuir, assumir ou transferir os riscos inerentes a qualquer actividade da organizaçao, dotando-a da proteção necessaria ao correcto funcionamento e permitindo uma cobertura tão ampla quanto possível contra situações adversas. No sentido m,ais amplo a função segurança tem como finalidade preservar os activos fisícos e recursos humanos contra roubo, incêndio, inundações e até contra factores de ordem social tais como: greves ou atentados por poderem comprometer a existencia e o funcionamento da vida da empresa. Instituto Superior Politecnico de Manica 213/11/2018 Uma das vertentes mais im+portantes da função segurança e a sunfunção de manutençao e assist~encia técnica. Como o nome indica, relaciona-se com o equipamentoe com o modo de funcionamento estabelecido. Tem como objectivo manter os componentes dos sistemas de informação em condiçoes de máximo rendimento e com o mínimo possivel de custos. As sua principais dimensões são: A dimensão preventiva – interessa que sejam evitadas avarias e paragem do funcionamento do SI, devido a deeficiências do equipamento ou intromissões de elementos estranhos (exemplo: vírus e hackers). Instituto Superior Politecnico de Manica 223/11/2018 A segunda dimensão e a reparação dos SI de modo a atingir os seus melhores níveis de funcionamento. Esta informação deve ter em conta a sua rapidez de sua execução, a fim de impedir que a utilização do SI seja gravente afectada. Esta reparação pode ser prevista e programada com base na inspecções periodicas ou realizadas acidentalmente num dado momento em que apresenta como passo dispensável para que o SI regresse a situação inicial. A subfunção manutenção deve ser programada e ter uma finalidade predominantemente preventiva, o que possibilita: Instituto Superior Politecnico de Manica 233/11/2018 Determinar as datas em que os equipamentos serão analisados e eventualmente substituidos ou reparados se provocar dificuldades~ás operaçoes correntes; Definir as melhores metodologias de trabalho e sua duração Avaliar e controlar os prazos e os tempos usados em comparação com os previstos; Apreciar e controlar a qualidade das operaçoes de manutençao efectuadas. em síntese, a subfunção de manutenção e assistência técnica deve: Conhecer as atribuiçoes e o que deve ser o funcionamento correcto de um posto de trabalho; Calendarizar o seu programa de revisões de funcionamento de SI; Ter capacidade de resposta para que as deficiências e/ou paragens imprevistas sejam reparadas e/ou reduzidas ao mínimo de tempo; Executar rapidamente e com reduzidos custos todas as sua operações de análise, avaliação e reparação.Instituto Superior Politecnico de Manica 243/11/2018 Segurança nos sistemas de informação Importar distiguir segurança de proteção. Aboradagem do conceito de segurança de SI exige que seja indicadaa sua finalidade e esta é conseguir que os recursos de um dado sistema tenham a possibilidade plena de serem utilizados para que sejam alcançados os objectivos predefinidos. Como essa utlização tem de ser conseguida em quaisquer condiçoes de funcionamento, é indispensavel que sejam considerados diferentes mecanismos de proteção. Os sistemas operativos fornecem alguns mecanismos de proteção afim de conseguir fundamentos práticos para a formulaçao das políticas de segurança. Instituto Superior Politecnico de Manica 253/11/2018 As políticas são linhas orientadoras quanto a proteção de dados e de recursos e devem indicação situações e/ou entidades de quem o sistema tem de estar protegido. É necessário que os mecanismos facultados por um dado sistema operativo sejam acompanhados por outros de carácter externo. O faco de ser proibido ou impedido o acesso físico a alguns componentes de sistema de entidades não autorizadas é um exemplo de um modo de protecção que não se relaciona directamente com o sistema operativo. A manuteção da segurança tem finalidade também de impedir que dados e informações sejam perdidos. Tal perda pode ser devida a diversas causas, desde fenómenos naturais e deficiências de HW e/ou de SW erros provocados utilizadores. Instituto Superior Politecnico de Manica 263/11/2018 A solução para tal risco é fazer com que os dados e informações sejam mantidos em condições de elevado nivel de proteção e de preferência num lugar suficientemente afastado da organização. A segurança de um sistema tem de preocupar-se também com a utilização não autorizada de diversos recursos, os quais se relacionam com a leitura e modificação e a destruição de dados e de respectivos ficheiros e directórios . Relativamente a estes riscos, o sistema operativo tem aqui uma funçao importante dado que possibilita a utiçização de mecanismos de autorização e autenticaçao. Instituto Superior Politecnico de Manica 273/11/2018 Não é possivel uma total proteção dos sistemas contra a sua utilização mal intencionada ou agressiva; porém os custos inerentes a violação do sistema forem superiores aos eventuais benefícios que seriam obtidos, então podem supor-se que o sistema tem nessa relação custo-benefício um outro mecanismo de proteçaõ. É indispensável que o conjunto dos mecanismos de proteção não impeça a utilização do sistema por parte de utilizadores autorizados. Se a segurança existente for demasiado formal e exigir por exemplo um excessivo número de identificaçoes, pode pertubar o funcionamento dos sistemas que necessitam de ser caracterizados por elevada rapidez e os seus utilizadore podem tender a iludir esses mecanismos. Instituto Superior Politecnico de Manica 283/11/2018 Geralmente a insegurança dos sistemas e devido a três causas: Desconhecimento técnico de procedimentos adequados a garantia de segurança Negligência dos utilizadores Decisão de níveis estratégicos das organizações em não formular nem adoptar uma política de segurança. E cada vez mais necessário que os diversos níveis organizacionais tenham a capacidade de entender a natureza, o grau de probabilidade de riscos, saber quais as consequências da ausência da segurança, conhecer os diferentes pontos de vulnerabilidade e estudar as diversas alternativas até se encontrar a solução mais adequada para a empresa. Instituto Superior Politecnico de Manica 293/11/2018 Primeiro tem de ser efectuada a avaliação do conteúdo do SI e dos seus diferentes componentes, tendo em conta o seu significado como activo empresarial, o que ajuda a definir o valor dos investimentos exigidos por uma política de segurança. A análise do problema deve abordar três conceitos fundamentais: Confidencialidade Integridade Disponibilidade Instituto Superior Politecnico de Manica 303/11/2018 Estes conceitos estão relacionados, respectivamente, com a quantidade e natureza de informação que deve ser restringida, a credebilidade das fontes e o grau de certeza que a informação é realmente ea verdadeira e a possibilidade de utilização da informação no tempo e no local requerido pelos utilizadores. Instituto Superior Politecnico de Manica 313/11/2018 Contribuição da Auditoria Informática Quando os órgãos de gestão consciencializam sintomas de que que o sistema existente apresenta alguma debilidade de funcionamento e desempenho, é oportuno que recorram as auditorias internas/externas. Estes sintomas podem agrupar-se do seguinte aspecto: Descordenação e desorganização – verifica-se que os objectivos de função informática não se compatibilizamcom os objectivos globais da organização. Pode acontecer também que os resultados habitualmente conseguidos se desviem acentuadamente dos padrões de produtividade ou que tenha ocorrido uma alteraçao importante na estrutura ou no funcionamento da organização. Instituto Superior Politecnico de Manica 323/11/2018 Deficiente imangem e insatisfação do utilizador – tal pode acontecer por razões como: a) os pedidos dos utilizdores ( por exemplo: alterações do SW em terminais de determinados ficheiros) não são atendidos; b) as avarias do HW não são reparadas antepadamente; c) os prazos de entrega dos resultados periódicos não são cumpridos, o que pode causar desajustamento na actividade dos utilizadores. Deficiência económico financeiras – estas situações podem ser devidas a um aumento desmedidos de custos, a necessidade de justificar investimentos no domínio da informática, aos custos e prazos de novos projectos informáticos. Instituto Superior Politecnico de Manica 333/11/2018 Insegurança – neste caso é aconselhavel fazer a avaliação do n+ivel de riscos no que se refere a segurança ísica e lógica dos SI, á confidencialidade dos dados recolhidos e das informações obitidas, ao controlo do centro de processamento de dados e até a necessidade de apoiar os planos de contigência. Esses planos procuram assegurar a continuidade da organização após uma situação imprevista que afecta a estratégia que está a ser implementada, o seu funcionamento normal. Instituto Superior Politecnico de Manica 343/11/2018 Auditor informático: identidade e funções Funções do auditor informático O auditor informático tem de cuidar da correcta utilização de todos os recursos informáticos que a organização utiliza para para poder dispor de um SI suficientemente sficiente e eficaz. Embora não tenha poder para modificar a situação por ele analisada ´, o auditor informático em comó função muito importante emitir um juízo global ou parcial baseado em factos e situações inteiramente correctas. A actuação do auditor informático pode acontecer em todas as áreas da organização. Procurando a optimização do emprego dos recursos utilizados no processamento etectrónico de dados e a mehoria de desempenho empresarial que deles depende, o auditor informático tem um papel cada vez mais importante para apoiar a gesão do topo. Instituto Superior Politecnico de Manica 353/11/2018Auditoria Informática e Auditor Externo A auditoria informatica é uma forma específica da auditoria interna. Por esta razão. As funções de auditores informáticos tem de apresentar algumas características comuns ás dos internos. Se eles podem examinar os SI e verificar se proporcionam informações seguras e completas para o fim particular que tem em vista. Os auditores informáticos tem esse objectivo para assegurar a sua orgânica, os procedimentos de controlo e o adequado funcionamento de todos os equipamentos e SW disponíveis na função informática. Instituto Superior Politecnico de Manica 363/11/2018 De modo semelhante e a fim de apoiarem a gestão global da empresa os auditores informáticos podem analisar a utilização da informação, que é considerada como relevante, oportuna e indispensável, e verificar se estão a funcionar os controlos internos adequados á segurança do sistema de informação e ao funcionamento organizado da função informática. Instituto Superior Politecnico de Manica 373/11/2018 Qualificações Técnicas O auditor informático tem que ter conhecimentos profundos das técnicas de auditoria, de SI e de processamento electrónico de dados. Esta úlrima área tem tido outras alterações nos últimos tempos, o que teve consequências na criação de duas áreas de especialização dos auditores informáticos: Os que lidam, sobretudo, com os centros de processamento de dados e com sistemas aplicativos em operação ou em desenvolvimento; Os que detêm um elevado nível de conhecimentos sobre as tecnologias adequadas aos anbientes informáticos onde predominantemente ha teleprocessamento e base de dados. Instituto Superior Politecnico de Manica 383/11/2018 Necessidade de conhecer linguagem de programação (podendo ser Basic, cobol, Dbase, e outras), o auditor informático tem de ir actualizando os seus conhecimentos no decorrer da sua carreira profissional, procurando especializar-se mais em determinadas areas computacionais do que noutras. Quando analisa os sistemas em operação. O auditor informático tem de conhecer documentação de sistemas, elaboração de fluxogramas e uma linguangem de programação. Quando analisa o sistema em desenvolvimento, o seu conhecimento tem de concentrar-se na metodologia de desenvolvimentode sistemas, nas técnicas de construção de protótipos e na elaboração do plano director de informática. Instituto Superior Politecnico de Manica 393/11/2018 Durante aauditoria do propeio departamento de informática o auditor deve saber analisar o custo das operações e dos equipamentos, interpretar as normas de carácter ténico administrativo e conhecer todos respectivos aspectosoperacionais e os contratos de SW e HW. Alem do elevado nível de conhecimento técnicos de informática e de varias áreas de gestão empresarial, e´tamém importante que este tipo de auditores possua um conjunto de aptidões e características psicológicas no dominio da personalidade profissional. De modo breve são indicados os principais: Instituto Superior Politecnico de Manica 403/11/2018 Tendência á actualização de conhecimentos e do planeamento do seu aperfeiçoamento profissional; Sociabilidade e possibilidade de trabalho em equipa com a capacidades de orientação; Autocontrolo emocional para poder suportar situações de tensão; Comunicação com clareza e capacidade de persuadir, sobretudo os auditados, para tentar evitar a geração de novos problemas; Possibilidade de compreender rapidamente, mantendo, no entanto a caoacidade de percepção a níveis mais profundos. Instituto Superior Politecnico de Manica 413/11/2018 Capacidade de iniciativ e a criatividade orientadas para a solução de problemas; Flexibilidade que permita uma maio adaptação a situações ; Capacidad de análise e síntese de modo integradosr e sietémico; Objectividade independente das influências que outros pretendam exercer . Este conjunto pode ser difícil de de conseguir, mas a importancia crescente da a uditoria informática como contributo para o bom desempenho das organizações exige o estabelecimento de princípios de profissionalismo, nomesdamente no que respeita a ética que serve de suporte a um elevado n+ivel de conhecimentos técnicos e de aptidões de exercicío da função. Instituto Superior Politecnico de Manica 423/11/2018 Auditores externos e internos Com a mesma preocupação e inseção, rigor e objectividade as auditorias informáticas externas e internas, anlisam e avaliam as actividades da própria função informática e também das áreas funcionais cujas as actividades sejam sustentadas de modo informatizado.deste modo e dependendo apenas da natureza do âmbito das anáçises em causa, empregam metodologias e técnicas semelhantes e até iguais; ambas analisam e avaliam os procedimentos do controlo interno. Instituto Superior Politecnico de Manica 433/11/2018 Embora haja semelhanças podem existir várias e significativas diferenças entre esses dois tipos de auditoria no que se refere, por exemplo; aos seus objecyivos e destinatarios, as metodologias adoptadasaos conceitos de riscos e do controlo interno e até na ênfase posta nas suas recomendações. As actividades a auditoria informática interna podem uma maior frequência e dimensões mais amplas concentrando-se inicialmente na análise dos procedimentos e tendo em conta os critérios previamente definidos, a auditoria interna tem como segunda fase um processo de avaliação dos resultados obtidos. A adequação das normas existentes e a eficácia do sistema de controlo interno e das respectivas operações. Instituto Superior Politecnico de Manica 443/11/2018 Como terceir fase, indica as causas das anomalias e dos desvios encontrados, alertando para os riscos e para eventuais consequências que podem afectar o desempenho organizacional. Finalmente, recomenda as soluções possíveis e até pode aconselhar melhoramentos. A auditoria interna pode ser encarada como um controlo de gestão que se baseia na medição e avaliação da eficiência e eficácia de outros controlos. Deste modo auxilia os orgãos de gestão de topo, fornecendo informaçoes quanto ao desempenho das atribuições definidas para cada área da organização. Instituto Superior Politecnico de Manica 453/11/2018 De acordo com as dirctrizes políticas e os objectivos previamente determnados. Estas informações são tecnicamente elaboradas apartir do exame dos seguintes aspectos: Integridade e fiabilidade dos dados, registos, sistemas estabelecidos para assegiurar a observância dos planos, procedimentos, normas e da sua efectiva aplicação pela empresa; Eficiência e eficácia da utilização dos recursos, procedimentos e métodos para salvaguarda dos dos activos e a comprovaçãoda sua existência, assim como a exactidão dos passivos e activos. 3/11/2018Instituto Superior Politecnico de Manica 46 Compatibilidade das operações e programas com os objectivos, planos e meios de execução. Uma das mais importantes funções da auditoria informáticainterna é assegurar a montagem e o funcionamento eficaz de um sistema de controlo interno. Porém tal não dispensa os directores das diversas áreas funcionais de assumirem as suas responsabilidades de verificação e controlo. Relativamente a auditoria externa, auditoria informática interna apresenta algumas vantagens importantes: 3/11/2018Instituto Superior Politecnico de Manica 47 Pode decorrer periodicamente, dando lugar a revisões globais, as quais se integram num plano anual; As entidades auditadas têm conhecimentos desses planos e, por isso, são preparadas para recbê-los, especialmente quando as recomendações dos auditores podem beneficiar os seus níveis de desempenho. Apenas as empresas de grandes dimensões podem ter uma auditoria interna como actividade própria de um departamento adequado.as de pequena dimensão têm de utilizar as auditorias externas.pode acontecer que, mesmo a partir do seu posto de trabalho, um técnico informático integre a auditoria interna da sua empresa. 3/11/2018Instituto Superior Politecnico de Manica 48 Mesmo uma organização que tenha uma função de auditoria interna pode e deve, em certas ocasiões, contratar os serviços de auditoria externa, devido a vários motivos, entre os quais são indicados os seguintes: Necessidade de auditar um domínio onde existe uma grande especialização, para o qual o pessoal interno pode não estar devidamente qualificado; Confronto de um relatóruo interno com um externo para clarificar algumas situações em que as mesmas parecem contraditórias; Análise do relatório de uma auditoria interna que apresenta recomendações que clolidem com as opiniões dos próprios orgãos directivos da organização; 3/11/2018Instituto Superior Politecnico de Manica 49 Embora a auditoria interna seja independente de um departamento de sistemas, continua a pertencer á mesma organização. Por esta razão pode ser aconselhável realizar auditorias externas para possibilitar uma perspectiva diferente ou mais intensa. Para cumprir suas funçoes com objectividade, a auditoria informática interna tanto externa como interna, tem de ser uma actividade que analise e compreenda a própria estratégia e política geral da organização. Tanto os auditores informáticos externos como os internos devem ter acesso a todas as áreas e informações de que necessitam para realizar os seus trabalhos. 3/11/2018Instituto Superior Politecnico de Manica 50 Nas áreas sobre cujas tecnologias não tenham conhecimentos técnicos adequados ou suficientes (como, por exemplo, a peodução),apoiar-se-ão aos especialistas a fim de entenderem os processos envolvidos, para poderem avaliá-los com objectividade, possibilitando, assim, que os seus relatórios finais sejam elaborados com rigor e fundamentação técnica. Ambos os tipos de auditores informáticos têm a responsabilidade de analisar e avaliar a adequação e eficiência dos sistemas instalados, verificando assim, se as actividades auditadas estão ou não a funcionar de acordo com requisitos pretendidos. No entanto o auditor informático interno poderá desfrutar de uma capacidade de movimentação mais fácil e mais flexível atrvés das áreas funcionais, na medida em que, em príncipio, conhecer melhor a organização. 3/11/2018Instituto Superior Politecnico de Manica 51 Assim sendo e quando considerado necessário, os auditores informáticos internos e externos terão de efectuar inspeções físicas dos activos (HW e SW) e do seu estado de funcionamento. De modo geral as funções de rotinas são responsáveis por verificar: A existência de padões operacionais que possibilitem a avaliação da produtividade e da rendibilidade de equipamentos e dos sistemas; Se esses padrões operacionais são entendidos e estão a ser cumpridos; Ã ocorrência de desvios em relação a esses padrões; Se tais desvios são identificados, analisados e comunicados ás entidades que devem detrminar medidas correctivas; E finalmente, se as correções foram ou não efectuadas; 3/11/2018Instituto Superior Politecnico de Manica 52 Classificação da auditoria Informática 3/11/2018Instituto Superior Politecnico de Manica 53
Compartilhar