Auditoria Informática: Elementos, Características e Finalidades

Prévia do material em texto

Auditoria informatica
Licenciatura em Contabilidade e Auditoria
Docente: Joaquina Rafael Monteiro
Instituto Superior Politecnico de Manica 13/11/2018
Introdução 
Função da Auditoria
 Elementos constituintes
 Caracteristicas principais
 Finalidades da auditoria informática
 Recursos utilizados
 Relações com o controlo interno
Instituto Superior Politecnico de Manica 23/11/2018
Elementos constituintes
Auditoria Informática e um conjunto de procedimentos e de tecnicas para analisar,
avaliar e controlar total ou parcialmente um sistema informático.
Combina o conhecimento do dominio informático com o da gestão.
A auditoria informática devera estudar, examinar periodicamente a evolução, através
das metodologias e tecnico específicos dos seguintes dominios:
 No ambito do Sistema de Informação
Planeamento estratégico
Instituto Superior Politecnico de Manica 33/11/2018
A arquitectura do sistemas de informação
Basses de dados e os respectivos dicionários
 Infraestrutura e plataformas tecnológicas
As configurações e as redes: caracterização geral
Os sistemas centrais, departamentais e locais.
 Ferramentas e aplicações informáticas:
os sistemas de gestão de base de dados
Os sistemas de apoio(SW de apoio): geradores, editores de programas e textos, 
folhas de cálculo
Aplicações (SW Aplicacional)
Instituto Superior Politecnico de Manica 43/11/2018
O processamento electrónico de dados é uma área que integra os seguintes
elementos: HW, SW básico, SW dw apoio, SW aplicativo e o teleprocessamento.
Instituto Superior Politecnico de Manica 53/11/2018
Características principais
Geralmente a auditoria informática examina uma parte do sistema informático ja
em exploração, mas também em fases anteriores a entrada em exploração de cada
aplicação sobretudo quando são critícas ou determinantes em situações de
alterações significativas de todo o sistema.
Nas suas análises e avaliaçoes , a auditoria informática atesta os mesmos princípios
de auditoria geral. Deste modo tem de conhecer bem a estrutura, a organização, as
áreas funcionais, as competencias atribuidas, os meios e o ambiente da empresa em
causa. No entanto assume as características de diferenciação.
Instituto Superior Politecnico de Manica 63/11/2018
Pode referir-se as necessidades em investimentos de HW ou SW tratando-se da
chamada Auditoria dos investimentos informáticos, do mesmo modo os
sistemas informáticos tem de ser protegidos nos seus aspectos fisícos e lógicos,
dando assim lugar a existência da auditoria de segurança informática. Quando
se produzem alterações estruturais na função informática e a auditoria de
organização informática que vai fazer a sua avaliação e emitir os seus
pareceres.
Instituto Superior Politecnico de Manica 73/11/2018
Quando se pretende o dominio do desenvolvimento dos projectos de
informática de uma empresa, ocorre uma integração destes três tipos, dado
haver necessidade de investimento, deficiências a suprimir ou a evitar ou uma
segurança a manter.
Instituto Superior Politecnico de Manica 83/11/2018
Finalidades da auditoria informática
Tendo em conta as necessidades da organização, em particular no que se refere
a privacidade dos dados e a fiabilidade da informação produzida e no sentido de
garantir que os futuros registos permitem detectar deficiências de funciamento e
a presença de possiveis erros, a auditoria informática tem de ter uma visão
integrada das suas finalidades. Deste modo, deve analisar e avaliar os
procedimentos existentes e a qualidade dos sistemas de informação com os
seguintes objectivos:
Instituto Superior Politecnico de Manica 93/11/2018
 Proteger as suas actividades e recursos
 Verificar se as suas actividades se desenvolvem eficientemente e de acordo 
com as normas informáticas e gerais
 Confirmar se o HW e SW que pretende adquirir corresponde inteiramente as 
necessidades de todo o sistema
 Conseguir analisar a a eficácia exigida na situação da empresa em causa 
 Garantir o controlo da função informática
 Analisar a eficiência do sistema informático que comporta
 Avaliar a adequação e a eficácia dos procedimentos de controlo
 Rever a eficácia da gestão de recursos materiais e humanos que pertencem a 
essa função.
Instituto Superior Politecnico de Manica 103/11/2018
Recursos utilizados
A auditoria informática comporta a análise, avaliação e validação do controlo
interno de sistemas de informação e estes integram um conjunto de recursos
humanos, materiais, tecnológicos e financeiros, que integram de acordo com
uma sequência lógica a fim de transformar dados obitidos em informações e/ou
informações iniciais noutras informações de diferente significado ou de mais
elevada complexidade. Cada um destes elementos pode ser assim apresentado:
Instituto Superior Politecnico de Manica 113/11/2018
 Recursos humanos – são os utilizadores dos equipamentos informáticos
(por exemplo, gestores, secretarias, pessoal da área comercial ou da área
industrial), os técnicos da função informática (por exemplo, operadores de
computador, analista de sistemas e programadores);
 Recursos materias – incluem materiais consumíveis (compact disks,
disquetes, tinteiros e formúlarios continuos), os equipamentos
(computadores, servidores, terminais, impressoras, modens e firewalls), as
instalações e outros utensílios (sala da função informática, rede de energia
eléctrica, a rede de telecomunicações e mobiliário);
Instituto Superior Politecnico de Manica 123/11/2018
 Recursos tecnológicos – significam o e intangivel nos sistemas de
informações, como os SW, os processos inerentes e e as informações
produzidas, a sua utilização implica que estejam conectados a recursos
humanos e materiais;
 Recursos financeiros – é o significado financeiro de todos outros recursos e
também o valor monentário que esta atribuido ao SI para os investimentos
necessarios e para as despesas inerentes ao seu funcionamento;
Instituto Superior Politecnico de Manica 133/11/2018
 Sequência lógica – expressa a existência de um conjunto de tarefas e
procedimentos realizados por uma dada ordem, devidamente justificada, pelos
utilizadores ou pelas instruções proprias dos programas para que seja possível a
transformação dos dados em informações e das informações em outras
informaçoes;
 Dados e informaçoes resultantes – sao os elemetos iniciais e finais dos
processos realizados pelo sistema.
Instituto Superior Politecnico de Manica 143/11/2018
Relações com o controlo interno
O controlo interno no dominio da informática e auditoria informática tem
algumas analogias. Nas décadas passadas assistiu-se a um grande
desenvolvimento das coreespondentes actividades. Os controladores internos
puderam tambem exercer a auditoria. De factomuito dos actuais responsáveis
pelo controlo interno informático receberam formação em segurança
informática, o que se entrega na formação em auditoria. Alguns auditores
informáticos passaram para o dominio do contolo interno informático, devido
a semelhança dos objectivos profissionais de control e auditoria, cujas
analogias proporcionam uma transição fácil e natural.
Instituto Superior Politecnico de Manica 153/11/2018
Uma comparação com base nas semelhanças e 
nas diferenças e apresentada na seguinte tabela
Controlo interno informàtico Auditoria informàtica
Diferenças Apenas pessoal interno
Anàlise dos controlos no dia-
a-dia
O alcance das suas funções e 
apenas no controlo do 
departamento informàtico
Reporta a direção do 
departamento de 
informàtica.
Pessoal interno e/ou externo
A análise e feita num dado 
momento
Cobre todos os componentes 
do sistema de informação
Reporta a direção geral da 
empresa
Semelhanças Pessoal interno com conhecimentos especializados em tecnologia da 
informação
Verificação do cujprimento dos controlos internos, de acordo com 
procedimentos estabelecidos para os sistemas de informação
Instituto Superior Politecnico de Manica 163/11/2018
Auditoria e segurança
Noçoes de segurança empresarial
A ISO (Internacional for Standardization ) define segurança com a tentativa de
minimizar a vulnerabilidade de valores e recursos , entende-se neste dominio, por
vulnerabilidade o atributo de qualquer situação apartir da qual terceiros podem
penetrar num sistema de informação informatizado sem qualquer autorização no
sentido de tirar proveito do seu conteudo ou das suas caracteristicas, nomeadamente
de configuração e alcance.
Instituto Superior Politecnico de Manica 173/11/2018
Cada vez mais os gestores de topo e reponsáveis pelos SI informatizados das
organizações se preocuparem com as consequências de um acidente que afectasse
o funcionamento dos seus SI no que se refere a confidencialidade, integridade e
disponibilidade da mesma informação.
Dado que o acidente não é completamente evitável, e necessário garantir, em
qualquer circunstância, a continuidade das actividades das empresas minimizando
os prejuízos, prevenindo oe reduzindo o impacto dos incidentes de seguerança e
definindo os padrões que permitam a análise e a avaliação do SI.
Instituto Superior Politecnico de Manica 183/11/2018
Assim a informação cujo o conhecimento e posse sao essênciais na existência de
cada organização deve ser guardada em instalações que garantam níveis adequados
de segurança com acessos condicionados, independentemente do respectivo suporte
(papel. Discos rigidos, banda magnetica, CD, DVD, disquetes e outras formas). Tal
como as áreas funcionais, os respectivos orgãos de gestão e os documentos
comprovativos do seu funcionamento (balanços, demonstrações de resultados,
relatórios, etc), o HW e o SW, os recursos informacionais, ou seja, todos os
componentes do SI deveriam estar sujeitos a um controlo regular a fim de garantir a
sua segurança. E conveniente apontar alguns motivos desta necessidade:
Instituto Superior Politecnico de Manica 193/11/2018
 Os computadores e os centros de processamento de dados podem ser meios úteis a
espionagem industrial e ser utilizados por deliquentes e/ou terroristas;
 Os computadores podem produzir uma informação que seja errada se os dados
processados forem provenientes de fontes insuficientes ou se o respectivo processamento
nao for adequado a sua natureza. Esta possibilidade nao deve ser esquecida pelas
organizações, pois pode conduzir um efeito de cascata afectando aplicações
indempendentes;
 Se um sistema informático for deficientemente concebido, pode converter-se numa
ferrramenta perigora para a organização integrada de HW e SW de variados tipos.
Estes são alguns dos vários pontos fracos que um sistem informático pode apresentar, donde
deriva a necessidade da auditoria de sistemas.
Instituto Superior Politecnico de Manica 203/11/2018
Segurança e oraganização
Numa organização, as actividades cujo o objectivo é garantir a segurança integram-
se na função segurança. Esta consiste em estudar, localizar, diminuir, assumir ou
transferir os riscos inerentes a qualquer actividade da organizaçao, dotando-a da
proteção necessaria ao correcto funcionamento e permitindo uma cobertura tão
ampla quanto possível contra situações adversas.
No sentido m,ais amplo a função segurança tem como finalidade preservar os activos
fisícos e recursos humanos contra roubo, incêndio, inundações e até contra factores
de ordem social tais como: greves ou atentados por poderem comprometer a
existencia e o funcionamento da vida da empresa.
Instituto Superior Politecnico de Manica 213/11/2018
Uma das vertentes mais im+portantes da função segurança e a sunfunção de
manutençao e assist~encia técnica. Como o nome indica, relaciona-se com o
equipamentoe com o modo de funcionamento estabelecido. Tem como objectivo
manter os componentes dos sistemas de informação em condiçoes de máximo
rendimento e com o mínimo possivel de custos. As sua principais dimensões são:
 A dimensão preventiva – interessa que sejam evitadas avarias e paragem do
funcionamento do SI, devido a deeficiências do equipamento ou intromissões de
elementos estranhos (exemplo: vírus e hackers).
Instituto Superior Politecnico de Manica 223/11/2018
 A segunda dimensão e a reparação dos SI de modo a atingir os seus melhores níveis
de funcionamento. Esta informação deve ter em conta a sua rapidez de sua
execução, a fim de impedir que a utilização do SI seja gravente afectada. Esta
reparação pode ser prevista e programada com base na inspecções periodicas ou
realizadas acidentalmente num dado momento em que apresenta como passo
dispensável para que o SI regresse a situação inicial.
A subfunção manutenção deve ser programada e ter uma finalidade
predominantemente preventiva, o que possibilita:
Instituto Superior Politecnico de Manica 233/11/2018
 Determinar as datas em que os equipamentos serão analisados e eventualmente substituidos ou reparados
se provocar dificuldades~ás operaçoes correntes;
 Definir as melhores metodologias de trabalho e sua duração
 Avaliar e controlar os prazos e os tempos usados em comparação com os previstos;
 Apreciar e controlar a qualidade das operaçoes de manutençao efectuadas.
em síntese, a subfunção de manutenção e assistência técnica deve:
 Conhecer as atribuiçoes e o que deve ser o funcionamento correcto de um posto de trabalho;
 Calendarizar o seu programa de revisões de funcionamento de SI;
 Ter capacidade de resposta para que as deficiências e/ou paragens imprevistas sejam reparadas e/ou
reduzidas ao mínimo de tempo;
 Executar rapidamente e com reduzidos custos todas as sua operações de análise, avaliação e reparação.Instituto Superior Politecnico de Manica 243/11/2018
Segurança nos sistemas de informação
Importar distiguir segurança de proteção. Aboradagem do conceito de segurança de SI
exige que seja indicadaa sua finalidade e esta é conseguir que os recursos de um dado
sistema tenham a possibilidade plena de serem utilizados para que sejam alcançados os
objectivos predefinidos. Como essa utlização tem de ser conseguida em quaisquer
condiçoes de funcionamento, é indispensavel que sejam considerados diferentes
mecanismos de proteção.
Os sistemas operativos fornecem alguns mecanismos de proteção afim de conseguir
fundamentos práticos para a formulaçao das políticas de segurança.
Instituto Superior Politecnico de Manica 253/11/2018
As políticas são linhas orientadoras quanto a proteção de dados e de recursos e devem
indicação situações e/ou entidades de quem o sistema tem de estar protegido.
É necessário que os mecanismos facultados por um dado sistema operativo sejam
acompanhados por outros de carácter externo. O faco de ser proibido ou impedido o acesso
físico a alguns componentes de sistema de entidades não autorizadas é um exemplo de um
modo de protecção que não se relaciona directamente com o sistema operativo.
A manuteção da segurança tem finalidade também de impedir que dados e informações sejam
perdidos. Tal perda pode ser devida a diversas causas, desde fenómenos naturais e deficiências
de HW e/ou de SW erros provocados utilizadores.
Instituto Superior Politecnico de Manica 263/11/2018
A solução para tal risco é fazer com que os dados e informações sejam mantidos em
condições de elevado nivel de proteção e de preferência num lugar suficientemente
afastado da organização.
A segurança de um sistema tem de preocupar-se também com a utilização não
autorizada de diversos recursos, os quais se relacionam com a leitura e modificação e
a destruição de dados e de respectivos ficheiros e directórios . Relativamente a estes
riscos, o sistema operativo tem aqui uma funçao importante dado que possibilita a
utiçização de mecanismos de autorização e autenticaçao.
Instituto Superior Politecnico de Manica 273/11/2018
Não é possivel uma total proteção dos sistemas contra a sua utilização mal
intencionada ou agressiva; porém os custos inerentes a violação do sistema forem
superiores aos eventuais benefícios que seriam obtidos, então podem supor-se que o
sistema tem nessa relação custo-benefício um outro mecanismo de proteçaõ. É
indispensável que o conjunto dos mecanismos de proteção não impeça a utilização
do sistema por parte de utilizadores autorizados. Se a segurança existente for
demasiado formal e exigir por exemplo um excessivo número de identificaçoes, pode
pertubar o funcionamento dos sistemas que necessitam de ser caracterizados por
elevada rapidez e os seus utilizadore podem tender a iludir esses mecanismos.
Instituto Superior Politecnico de Manica 283/11/2018
Geralmente a insegurança dos sistemas e devido a três causas:
 Desconhecimento técnico de procedimentos adequados a garantia de segurança
 Negligência dos utilizadores
 Decisão de níveis estratégicos das organizações em não formular nem adoptar uma política
de segurança.
E cada vez mais necessário que os diversos níveis organizacionais tenham a capacidade de
entender a natureza, o grau de probabilidade de riscos, saber quais as consequências da
ausência da segurança, conhecer os diferentes pontos de vulnerabilidade e estudar as diversas
alternativas até se encontrar a solução mais adequada para a empresa.
Instituto Superior Politecnico de Manica 293/11/2018
 Primeiro tem de ser efectuada a avaliação do conteúdo do SI e dos seus diferentes
componentes, tendo em conta o seu significado como activo empresarial, o que ajuda
a definir o valor dos investimentos exigidos por uma política de segurança. A análise
do problema deve abordar três conceitos fundamentais:
 Confidencialidade
 Integridade
 Disponibilidade
Instituto Superior Politecnico de Manica 303/11/2018
Estes conceitos estão relacionados, respectivamente, com a quantidade e natureza de
informação que deve ser restringida, a credebilidade das fontes e o grau de certeza que
a informação é realmente ea verdadeira e a possibilidade de utilização da informação
no tempo e no local requerido pelos utilizadores.
Instituto Superior Politecnico de Manica 313/11/2018
Contribuição da Auditoria Informática 
Quando os órgãos de gestão consciencializam sintomas de que que o sistema existente
apresenta alguma debilidade de funcionamento e desempenho, é oportuno que recorram as
auditorias internas/externas. Estes sintomas podem agrupar-se do seguinte aspecto:
 Descordenação e desorganização – verifica-se que os objectivos de função informática não
se compatibilizamcom os objectivos globais da organização. Pode acontecer também que
os resultados habitualmente conseguidos se desviem acentuadamente dos padrões de
produtividade ou que tenha ocorrido uma alteraçao importante na estrutura ou no
funcionamento da organização.
Instituto Superior Politecnico de Manica 323/11/2018
 Deficiente imangem e insatisfação do utilizador – tal pode acontecer por razões como:
a) os pedidos dos utilizdores ( por exemplo: alterações do SW em terminais de
determinados ficheiros) não são atendidos; b) as avarias do HW não são reparadas
antepadamente; c) os prazos de entrega dos resultados periódicos não são cumpridos,
o que pode causar desajustamento na actividade dos utilizadores.
 Deficiência económico financeiras – estas situações podem ser devidas a um aumento
desmedidos de custos, a necessidade de justificar investimentos no domínio da
informática, aos custos e prazos de novos projectos informáticos.
Instituto Superior Politecnico de Manica 333/11/2018
 Insegurança – neste caso é aconselhavel fazer a avaliação do n+ivel de riscos no que
se refere a segurança ísica e lógica dos SI, á confidencialidade dos dados recolhidos e
das informações obitidas, ao controlo do centro de processamento de dados e até a
necessidade de apoiar os planos de contigência. Esses planos procuram assegurar a
continuidade da organização após uma situação imprevista que afecta a estratégia que
está a ser implementada, o seu funcionamento normal.
Instituto Superior Politecnico de Manica 343/11/2018
Auditor informático: identidade e funções
Funções do auditor informático
O auditor informático tem de cuidar da correcta utilização de todos os recursos informáticos que a
organização utiliza para para poder dispor de um SI suficientemente sficiente e eficaz. Embora não tenha
poder para modificar a situação por ele analisada ´, o auditor informático em comó função muito
importante emitir um juízo global ou parcial baseado em factos e situações inteiramente correctas.
A actuação do auditor informático pode acontecer em todas as áreas da organização. Procurando a
optimização do emprego dos recursos utilizados no processamento etectrónico de dados e a mehoria de
desempenho empresarial que deles depende, o auditor informático tem um papel cada vez mais
importante para apoiar a gesão do topo.
Instituto Superior Politecnico de Manica 353/11/2018Auditoria Informática e Auditor Externo
A auditoria informatica é uma forma específica da auditoria interna. Por esta razão. As
funções de auditores informáticos tem de apresentar algumas características comuns ás
dos internos. Se eles podem examinar os SI e verificar se proporcionam informações
seguras e completas para o fim particular que tem em vista. Os auditores informáticos
tem esse objectivo para assegurar a sua orgânica, os procedimentos de controlo e o
adequado funcionamento de todos os equipamentos e SW disponíveis na função
informática.
Instituto Superior Politecnico de Manica 363/11/2018
De modo semelhante e a fim de apoiarem a gestão global da empresa os auditores
informáticos podem analisar a utilização da informação, que é considerada como
relevante, oportuna e indispensável, e verificar se estão a funcionar os controlos internos
adequados á segurança do sistema de informação e ao funcionamento organizado da
função informática.
Instituto Superior Politecnico de Manica 373/11/2018
Qualificações Técnicas
O auditor informático tem que ter conhecimentos profundos das técnicas de auditoria, de SI e de
processamento electrónico de dados. Esta úlrima área tem tido outras alterações nos últimos
tempos, o que teve consequências na criação de duas áreas de especialização dos auditores
informáticos:
 Os que lidam, sobretudo, com os centros de processamento de dados e com sistemas
aplicativos em operação ou em desenvolvimento;
 Os que detêm um elevado nível de conhecimentos sobre as tecnologias adequadas aos
anbientes informáticos onde predominantemente ha teleprocessamento e base de dados.
Instituto Superior Politecnico de Manica 383/11/2018
Necessidade de conhecer linguagem de programação (podendo ser Basic, cobol, Dbase, e
outras), o auditor informático tem de ir actualizando os seus conhecimentos no decorrer
da sua carreira profissional, procurando especializar-se mais em determinadas areas
computacionais do que noutras.
Quando analisa os sistemas em operação. O auditor informático tem de conhecer
documentação de sistemas, elaboração de fluxogramas e uma linguangem de
programação. Quando analisa o sistema em desenvolvimento, o seu conhecimento tem de
concentrar-se na metodologia de desenvolvimentode sistemas, nas técnicas de construção
de protótipos e na elaboração do plano director de informática.
Instituto Superior Politecnico de Manica 393/11/2018
Durante aauditoria do propeio departamento de informática o auditor deve saber analisar
o custo das operações e dos equipamentos, interpretar as normas de carácter ténico
administrativo e conhecer todos respectivos aspectosoperacionais e os contratos de SW e
HW.
Alem do elevado nível de conhecimento técnicos de informática e de varias áreas de
gestão empresarial, e´tamém importante que este tipo de auditores possua um conjunto de
aptidões e características psicológicas no dominio da personalidade profissional. De
modo breve são indicados os principais:
Instituto Superior Politecnico de Manica 403/11/2018
 Tendência á actualização de conhecimentos e do planeamento do seu aperfeiçoamento
profissional;
 Sociabilidade e possibilidade de trabalho em equipa com a capacidades de orientação;
 Autocontrolo emocional para poder suportar situações de tensão;
 Comunicação com clareza e capacidade de persuadir, sobretudo os auditados, para
tentar evitar a geração de novos problemas;
 Possibilidade de compreender rapidamente, mantendo, no entanto a caoacidade de
percepção a níveis mais profundos.
Instituto Superior Politecnico de Manica 413/11/2018
 Capacidade de iniciativ e a criatividade orientadas para a solução de problemas;
 Flexibilidade que permita uma maio adaptação a situações ;
 Capacidad de análise e síntese de modo integradosr e sietémico;
 Objectividade independente das influências que outros pretendam exercer .
Este conjunto pode ser difícil de de conseguir, mas a importancia crescente da a uditoria
informática como contributo para o bom desempenho das organizações exige o
estabelecimento de princípios de profissionalismo, nomesdamente no que respeita a ética
que serve de suporte a um elevado n+ivel de conhecimentos técnicos e de aptidões de
exercicío da função.
Instituto Superior Politecnico de Manica 423/11/2018
Auditores externos e internos
Com a mesma preocupação e inseção, rigor e objectividade as auditorias informáticas
externas e internas, anlisam e avaliam as actividades da própria função informática e
também das áreas funcionais cujas as actividades sejam sustentadas de modo
informatizado.deste modo e dependendo apenas da natureza do âmbito das anáçises em
causa, empregam metodologias e técnicas semelhantes e até iguais; ambas analisam e
avaliam os procedimentos do controlo interno.
Instituto Superior Politecnico de Manica 433/11/2018
Embora haja semelhanças podem existir várias e significativas diferenças entre esses dois
tipos de auditoria no que se refere, por exemplo; aos seus objecyivos e destinatarios, as
metodologias adoptadasaos conceitos de riscos e do controlo interno e até na ênfase posta
nas suas recomendações.
As actividades a auditoria informática interna podem uma maior frequência e dimensões
mais amplas concentrando-se inicialmente na análise dos procedimentos e tendo em conta
os critérios previamente definidos, a auditoria interna tem como segunda fase um
processo de avaliação dos resultados obtidos. A adequação das normas existentes e a
eficácia do sistema de controlo interno e das respectivas operações.
Instituto Superior Politecnico de Manica 443/11/2018
Como terceir fase, indica as causas das anomalias e dos desvios encontrados, alertando
para os riscos e para eventuais consequências que podem afectar o desempenho
organizacional. Finalmente, recomenda as soluções possíveis e até pode aconselhar
melhoramentos.
A auditoria interna pode ser encarada como um controlo de gestão que se baseia na
medição e avaliação da eficiência e eficácia de outros controlos. Deste modo auxilia os
orgãos de gestão de topo, fornecendo informaçoes quanto ao desempenho das atribuições
definidas para cada área da organização.
Instituto Superior Politecnico de Manica 453/11/2018
De acordo com as dirctrizes políticas e os objectivos previamente determnados. Estas
informações são tecnicamente elaboradas apartir do exame dos seguintes aspectos:
 Integridade e fiabilidade dos dados, registos, sistemas estabelecidos para assegiurar a
observância dos planos, procedimentos, normas e da sua efectiva aplicação pela
empresa;
 Eficiência e eficácia da utilização dos recursos, procedimentos e métodos para
salvaguarda dos dos activos e a comprovaçãoda sua existência, assim como a exactidão
dos passivos e activos.
3/11/2018Instituto Superior Politecnico de Manica 46
 Compatibilidade das operações e programas com os objectivos, planos e meios de
execução.
Uma das mais importantes funções da auditoria informáticainterna é assegurar a
montagem e o funcionamento eficaz de um sistema de controlo interno. Porém tal não
dispensa os directores das diversas áreas funcionais de assumirem as suas
responsabilidades de verificação e controlo. Relativamente a auditoria externa, auditoria
informática interna apresenta algumas vantagens importantes:
3/11/2018Instituto Superior Politecnico de Manica 47
 Pode decorrer periodicamente, dando lugar a revisões globais, as quais se integram
num plano anual;
 As entidades auditadas têm conhecimentos desses planos e, por isso, são preparadas
para recbê-los, especialmente quando as recomendações dos auditores podem
beneficiar os seus níveis de desempenho.
Apenas as empresas de grandes dimensões podem ter uma auditoria interna como
actividade própria de um departamento adequado.as de pequena dimensão têm de utilizar
as auditorias externas.pode acontecer que, mesmo a partir do seu posto de trabalho, um
técnico informático integre a auditoria interna da sua empresa.
3/11/2018Instituto Superior Politecnico de Manica 48
Mesmo uma organização que tenha uma função de auditoria interna pode e deve, em
certas ocasiões, contratar os serviços de auditoria externa, devido a vários motivos, entre
os quais são indicados os seguintes:
 Necessidade de auditar um domínio onde existe uma grande especialização, para o
qual o pessoal interno pode não estar devidamente qualificado;
 Confronto de um relatóruo interno com um externo para clarificar algumas situações
em que as mesmas parecem contraditórias;
 Análise do relatório de uma auditoria interna que apresenta recomendações que
clolidem com as opiniões dos próprios orgãos directivos da organização;
3/11/2018Instituto Superior Politecnico de Manica 49
 Embora a auditoria interna seja independente de um departamento de sistemas,
continua a pertencer á mesma organização. Por esta razão pode ser aconselhável
realizar auditorias externas para possibilitar uma perspectiva diferente ou mais
intensa.
Para cumprir suas funçoes com objectividade, a auditoria informática interna tanto
externa como interna, tem de ser uma actividade que analise e compreenda a própria
estratégia e política geral da organização.
Tanto os auditores informáticos externos como os internos devem ter acesso a todas as
áreas e informações de que necessitam para realizar os seus trabalhos.
3/11/2018Instituto Superior Politecnico de Manica 50
Nas áreas sobre cujas tecnologias não tenham conhecimentos técnicos adequados ou suficientes
(como, por exemplo, a peodução),apoiar-se-ão aos especialistas a fim de entenderem os processos
envolvidos, para poderem avaliá-los com objectividade, possibilitando, assim, que os seus
relatórios finais sejam elaborados com rigor e fundamentação técnica.
Ambos os tipos de auditores informáticos têm a responsabilidade de analisar e avaliar a
adequação e eficiência dos sistemas instalados, verificando assim, se as actividades auditadas
estão ou não a funcionar de acordo com requisitos pretendidos. No entanto o auditor informático
interno poderá desfrutar de uma capacidade de movimentação mais fácil e mais flexível atrvés
das áreas funcionais, na medida em que, em príncipio, conhecer melhor a organização.
3/11/2018Instituto Superior Politecnico de Manica 51
Assim sendo e quando considerado necessário, os auditores informáticos internos e externos
terão de efectuar inspeções físicas dos activos (HW e SW) e do seu estado de funcionamento. De
modo geral as funções de rotinas são responsáveis por verificar:
 A existência de padões operacionais que possibilitem a avaliação da produtividade e da
rendibilidade de equipamentos e dos sistemas;
 Se esses padrões operacionais são entendidos e estão a ser cumpridos;
 Ã ocorrência de desvios em relação a esses padrões;
 Se tais desvios são identificados, analisados e comunicados ás entidades que devem detrminar
medidas correctivas;
 E finalmente, se as correções foram ou não efectuadas;
3/11/2018Instituto Superior Politecnico de Manica 52
Classificação da auditoria Informática
3/11/2018Instituto Superior Politecnico de Manica 53