seguranca-e-auditoria-da-informacao-aula-9

Prévia do material em texto

1 
Curso de Ciência da Computação 
Disciplina: Segurança e Auditoria da Informação - 8º período 
Professor: José Maurício S. Pinheiro 
 
 
AULA 9: Auditoria de Tecnologia da Informação 
 
Atualmente, os riscos dos sistemas de informação têm sido uma das principais 
preocupações dos administradores das empresas. No entanto, poucos entendem 
claramente a dependência de suas atividades operacionais em relação aos sistemas 
aplicativos de negócio e de infraestrutura de TI, bem como da forma que os processos 
de TI influenciam na definição das estratégias da organização e nos alcances dos 
objetivos. 
 
1. Tipos de Auditoria 
 
Com o grande número de leis, normas e resoluções de órgãos e entidades de 
governos exigindo auditorias periódicas sobre controles internos, TI, balanços 
patrimoniais, entre outros, esse serviço tem sido cada vez mais procurado por 
empresas. Assim, as auditorias podem estar em conformidade com diversos critérios, 
como por exemplo, o objetivo, a periodicidade e o posicionamento do auditor/órgão 
fiscalizador. O objetivo de uma auditoria pode estar relacionado à necessidade de se 
verificarem falhas em um processo e, assim, poder corrigi-lo. 
A periodicidade de uma auditoria pode estar relacionada à necessidade ou ao tipo de 
negócio. Sendo assim, podemos ter três classes abrangentes: Forma de abordagem, 
Órgão Fiscalizador e Área Envolvida: 
 
1.1. Quanto à forma de abordagem 
 
 Auditoria Horizontal – auditoria com tema específico, realizada em várias 
entidades ou serviços, paralelamente. 
 Auditoria Orientada – foca uma atividade específica qualquer ou atividades 
com fortes indícios de fraudes ou erros. 
 
1.2. Quanto ao órgão fiscalizador 
 
 Auditoria Interna – realizada por um departamento interno, responsável pela 
verificação e avaliação dos sistemas e procedimentos internos. O auditor 
interno é um funcionário, mas como executa auditoria deve ter uma certa 
independência dentro da entidade e, para ter o maior grau de independência 
possível, deve ser subordinado apenas à alta direção (Figura 1). Um de seus 
objetivos é reduzir a probabilidade de fraudes, erros, práticas ineficientes ou 
ineficazes. A necessidade de realizar auditorias internas vai ao encontro dos 
objetivos de controle de processos e procedimentos do sistema de gestão. 
 Auditoria Externa – realizada por um profissional ou uma entidade externa e 
independente daquela está sendo auditada, com o objetivo de emitir um 
parecer sobre a gestão de recursos da entidade, sua situação financeira, a 
legalidade e regularidade de suas operações. O auditor externo, de forma 
macro, verifica se todos os controles de segurança da informação necessários 
estão implantados e emite uma opinião (parecer) sobre o tema. A auditoria 
externa não é realizada para detectar fraudes, erros ou para interferir na 
OUTROS TRABALHOS EM: 
www.projetoderedes.com.br
 
2 
administração da empresa ou ainda reorganizar o processo produtivo ou 
demitir pessoas ineficientes. 
 Auditoria Articulada – trabalho conjunto de auditorias internas e externas, 
devido à superposição de responsabilidades dos órgãos fiscalizadores, 
caracterizado pelo uso comum de recursos e comunicação recíproca dos 
resultados. 
 
 
Figura 1 - Auditoria interna 
 
1.3. Quanto à área envolvida 
 
 Auditoria de programas de governo – acompanhamento, exame e avaliação 
da execução de programas e projetos governamentais. 
 Auditoria do planejamento estratégico – verifica se os principais objetivos da 
entidade são atingidos e se as políticas e estratégias são respeitadas. 
 Auditoria administrativa – engloba o plano da organização, seus 
procedimentos, diretrizes e documentos de suporte à tomada de decisão. 
 Auditoria contábil – relativa à fidedignidade das contas da instituição. Tem 
como finalidade fornecer alguma garantia de que as operações e o acesso aos 
ativos se efetuem de acordo com as devidas autorizações. 
 Auditoria Financeira – conhecida também como auditoria das contas, consiste 
na análise das contas, da situação financeira, da legalidade e regularidade das 
operações e aspectos contábeis, financeiros, orçamentários e patrimoniais, 
verificando se todas as operações foram corretamente autorizadas, liquidadas, 
ordenadas, pagas e registradas. 
 Auditoria de legalidade – conhecida como auditoria de conformidade, 
consiste na análise da legalidade e regularidade das atividades, funções, 
operações ou gestão de recursos, verificando se estão em conformidade com a 
legislação em vigor. 
 Auditoria Operacional – ocorre em todos os níveis de gestão, nas fases de 
programação, execução e supervisão, sob a ótica da economia, eficiência e 
eficácia. Analisa também a execução das decisões tomadas e aprecia até que 
ponto os resultados pretendidos foram atingidos. 
 Auditoria da Tecnologia da Informação – auditoria essencialmente 
operacional, por meio da qual os auditores analisam os sistemas de 
informação, o ambiente computacional, a segurança de informações e o 
controle interno da entidade fiscalizada, identificando seus pontos fortes e 
deficiências. 
 
 
3 
2. Definição de Auditoria de TI 
 
A NBR ISO 19011 define auditoria como um processo sistemático, documentado e 
independente para obter evidências e avaliá-las objetivamente de modo a determinar a 
extensão na qual os critérios de auditoria são atendidos. Neste aspecto, a Auditoria de 
TI tem como objetivo analisar se as operações da área de TI estão em conformidade 
com objetivos, políticas institucionais, orçamentos, regras, normas, padrões e 
melhores práticas da empresa. Inclui o processo de obtenção e avaliação de 
evidências para determinar se um sistema salvaguarda os bens, mantém a integridade 
dos dados, permite atingir os objetivos da organização de forma eficaz e utiliza os 
recursos de forma eficiente. 
Através da Auditoria de TI, a empresa promove transparência na governança de 
Tecnologia da Informação, permite o controle de gastos e identifica a adoção de 
ferramentas e sistemas mais adequados. Garante melhores controles internos e uma 
análise mais apurada dos riscos em TI. 
 
3. Princípios de Auditoria de TI 
 
A NBR ISO 19011 apresenta alguns princípios, relacionados aos auditores, 
possibilitando que sejam fornecidas conclusões de auditoria relevantes e suficientes e 
permitindo que auditores trabalhem de forma independente e cheguem a conclusões 
semelhantes em situações semelhantes. 
 
 Conduta ética: consiste na alma do profissional, confiança, integridade, 
confidencialidade e discrição. A ética consiste em uma característica inerente 
às ações do ser humano, tornando-se um componente fundamental à 
sociedade. 
 Obrigação: existe a obrigação de reportar com veracidade e exatidão todas as 
informações pertinentes à auditoria, relacionadas com as constatações e as 
conclusões da auditoria e seus respectivos relatórios. 
 Consciência profissional: os auditores devem ter a preocupação de realizar 
as tarefas da forma mais profissional, de acordo com a importância e a 
confiança depositada em uma auditoria. 
 Independência: é a base para a imparcialidade e objetividade das conclusões 
de uma auditoria, porque os auditores são independentes em relação ao que 
será auditado, assim como não se ligam aos interesses e às tendências 
apresentadas. 
 Evidência: a evidência de auditoria pode ser verificada, pois ela é realizada 
com base em amostras de informações que se encontram disponíveis. 
 
4. Foco da Auditoria de TI 
 
A Auditoria de TI não está baseada somente na segurança, mas possibilita a 
organização inovar, intermediar, controlar e gerir processos, produtos e serviços de 
forma contínua, com o objetivo de buscar uma posição de destaque diante de sua 
concorrência. Depois de serem definidos os objetivos da auditoria, escolhida aentidade auditora e devidamente informados todos os colaboradores diretamente 
envolvidos no processo, inicia-se a auditoria propriamente dita. 
A fim de realizar esse objetivo, o auditor deve compreender todo o ambiente envolvido, 
como equipamentos, centros de processamento de dados, software de entradas e 
processos de informação, controles, arquivos e segurança. No decorrer da auditoria, o 
auditor terá de efetuar a avaliação dos controles gerais e particulares, apontar os 
 
4 
desvios encontrados, elaborar e validar as soluções possíveis e, finalmente, redigir o 
seu relatório final que será apresentado aos responsáveis da organização. Por outro 
lado, os colaboradores diretamente implicados na auditoria devem fornecer as 
informações solicitadas, compreender as razões dos desvios e das falhas detectadas 
e preparar as mudanças necessárias. Dentre os objetivos da auditoria temos: 
 
 Determinar a extensão da conformidade dos documentos da organização 
contra os critérios de auditoria; 
 Avaliar a capacidade da documentação da organização de garantir 
conformidade com requisitos legais, contratuais e regulamentares; 
 Determinar a eficácia da documentação da organização para atender os 
objetivos especificados; 
 Identificar as possíveis melhorias da documentação; 
 Avaliar o sistema de informação utilizado, com a finalidade de conferir se este 
possui capacidade de suportar adequadamente às necessidades empresa; 
 Elaborar e monitorar metas; 
 Fiscalizar o cumprimento de regulamentos e leis estabelecidas pelo setor de TI; 
 Monitoração de pontos críticos que possam pôr em risco o cumprimento de 
objetivos; 
 Levantar necessidades, processos duplicados, custos e outras barreiras que 
atrapalhem a eficiência dos fluxos de dados; 
 Certificar informações confiáveis e oportunas; 
 Reduzir riscos de erros e fraudes. 
 
5. Etapas da Auditoria de TI 
 
A auditoria de TI deve ser dividida em etapas e apresentar objetivos definidos, bem 
como o escopo e os seus critérios. As etapas incluem a fase de alinhamento das 
expectativas da alta administração, o planejamento e preparação das informações, 
análise do negócio da empresa seguida da execução propriamente dita, relatórios com 
resultados das análises e testes e, em sua parte final, a comunicação dos resultados e 
apresentação de um plano formal de ações (Figura 2). 
 
 
Figura 2 - Etapas da auditoria de TI 
 
Todas as etapas geram documentos importantes para a empresa, pois contêm 
informações sobre os processos, os riscos encontrados e a avaliação desses riscos, 
os controles em conformidade ou não com as normas e recomendações de melhoria 
(Figura 3). No escopo da auditoria está relacionado à descrição da extensão e limites 
da própria auditoria em termos de localização física, unidades organizacionais, 
atividades, processos, ativos de informação, avaliações de risco, etc. 
 
5 
Os critérios podem incluir políticas e procedimentos aplicáveis à organização, normas, 
requisitos legais, regulamentos, requisitos contratuais, sistema de gestão, e práticas, 
entre outros. 
Os relatórios de auditoria funcionam como um guia que mostra a direção a ser tomada 
pela área de TI e serve para auxiliar a administração no planejamento estratégico, e 
na priorização de investimentos. 
 
 
Figura 3 - Escopo de auditoria 
 
6. Terminologia de auditoria 
 
São apresentados a seguir, alguns conceitos, considerados como gerais, utilizados, 
normalmente, durante um processo de auditoria, independentemente de sua 
classificação. 
 
 Campo: está relacionado ao objeto (pode ser uma instituição pública ou 
privada ou um determinado setor da mesma) a ser fiscalizado, período e o tipo 
da auditoria (operacional, financeira, etc.). 
 Âmbito: define o grau de abrangência e a profundidade das tarefas. 
 Área de verificação: delimita de modo preciso os temas da auditoria, em 
função da entidade a ser fiscalizada e da natureza da auditoria. 
 Controle: consiste na fiscalização exercida sobre as atividades das pessoas, 
departamentos, produtos, etc., de forma que as atividades executadas ou 
produtos mantenham-se dentro das normas preestabelecidas. Três tipos de 
controle são exercidos: Preventivo – previne erros e invasões, por exemplo, 
identificação e autenticação de usuários do sistema via a utilização de senhas; 
Detector – detecta erros, tentativas de invasões, etc. (arquivos logs, realização 
de controle de acesso de usuários); Corretivo – minimiza o impacto causado 
por falhas ou erros, corrigindo-os (política de segurança, plano de 
contingência). 
 
6 
 Objetivos de controle: são metas de controle a serem alcançadas, ou 
aspectos negativos a ser evitados em cada transação, atividade ou função 
fiscalizada. 
 Procedimentos de auditoria: é um conjunto de verificações e averiguações 
que permite obter e analisar as informações necessárias ao parecer do auditor. 
Esses procedimentos devem ser de conhecimentos dos auditores antes do 
início da auditoria. 
 Achados de auditoria: são fatos a ser considerados como importantes para o 
auditor. Para que esses dados constem no relatório, eles devem estar 
baseados em fatos e evidências. 
 Papéis de trabalho: são registros que evidenciam atos e fatos observados 
pelo auditor (planilhas, documentos, etc.). 
 Recomendações de auditoria: realizada na fase de relatório, isto é, são 
medidas corretivas exequíveis, sugeridas para corrigir as falhas detectadas. 
 
7. Planejamento de Auditoria de TI Conforme Padrões de Segurança da 
Informação 
 
As revisões dos sistemas de informação servem para verificar se realizam as funções 
e operações para as quais foram criados, assim como comprovar se os dados e 
demais informações neles contidos correspondem aos princípios de confiabilidade, 
integridade, precisão e disponibilidade. A Tabela 1 apresenta os domínios das normas 
de segurança, controles e o planejamento de auditoria necessários para essas 
revisões. 
 
Tabela 1 - Planejamento de auditoria de TI 
DOMÍNIO DAS 
NORMAS DE 
SEGURANÇA 
CONTROLES DE 
SEGURANÇA DA 
INFORMAÇÃO 
PLANEJAMENTO DA AUDITORIA DE TI 
Política de 
segurança 
Implementação, revisão e 
avaliação do documento da 
política de segurança de 
informações. 
Verificar a existência de: 
- Política de Segurança formal aprovada pela alta administração e 
divulgada para todos os funcionários; 
- Procedimento de revisão da política mediante as alterações nos 
ambientes de TI; 
Segurança 
Organizacional 
Infraestrutura para 
segurança de informações 
Verificar a existência de: 
- Fórum gerencial multidisciplinar, bem como uma área diretamente 
responsável pelas ações de Segurança; 
- Processo de autorização para utilização e manutenção de facilidades de 
processamento de dados; 
- Contato com empresas e órgãos envolvidos com Segurança da 
informação e se existe um acompanhamento externo de consultores 
especializados para suportar as ações de Segurança; 
- Revisão periódica por parte de auditorias independentes para avaliação 
do ambiente de Segurança; 
Segurança para o acesso de 
terceiros 
Verificar a existência de: 
- Contratos de prestação de serviços contemplam todas as regras de 
Segurança da Informação da empresa; 
- Contratos são monitorados constantemente pelos Gestores; 
Classificação e 
controle dos ativos 
Responsabilidade pelos 
ativos 
Verificar a existência de um inventário dos ativos e a definição da 
responsabilidade sobre eles; 
Classificação das 
informações 
Verificar a existência de: 
- Política de classificação das informações que defina os critérios de 
classificação quanto as propriedades da informação; 
- Tratamento adequado para o armazenamento, o envio e descarte de 
informações eletrônicas e físicas; 
Segurança 
relacionada ao 
pessoalSegurança na definição de 
funções e alocação de 
pessoal 
Verificar a existência de: 
- Termo de responsabilidade sobre a segurança das informações; 
- Contratos de prestação de serviço com termo de confidencialidade; 
- Critérios de Segurança para contratação de funcionários; 
Treinamento dos usuários Verificar se existe uma política contínua de treinamento em 
 
7 
Segurança da Informação; 
Respondendo a incidentes 
de segurança e mau 
funcionamento 
Verificar a existência de: 
- Canal de comunicação para reportar incidentes de segurança; 
- Base de conhecimento sobre incidentes reportados; 
- Processo disciplinar para os usuários que violarem regras de 
Segurança; 
Segurança física e 
ambiental 
Áreas de segurança 
Verificar a existência de: 
- Perímetros de segurança; 
- Controles físicos adequados; 
- Isolamento de áreas de carga e descarga; 
Segurança dos 
equipamentos 
Verificar a existência de: 
- Redundância de alimentação de energia e proteção adequada para a 
estrutura de cabeamento de energia e de dados; 
- Procedimento para a manutenção dos equipamentos; 
- Regras definidas para utilização de equipamentos da empresa fora do 
ambiente de trabalho; 
- Procedimentos para o descarte ou reutilização de equipamentos da 
empresa; 
Controles gerais 
Verificar a existência de: 
- Política de “mesa limpa e tela limpa”; 
- Procedimento para retirada de equipamentos ou informações de dentro 
da empresa; 
Gerenciamento de 
comunicações e 
operações 
Procedimentos operacionais 
e responsabilidades 
Verificar a existência de: 
- Procedimentos operacionais que contemplem o passo a passo da 
operação dos componentes de TI; 
- Processo de controle de mudança para as alterações em produção; 
- Canal de comunicação de incidentes de segurança e se as regras para a 
comunicação estão bem definidas; 
- Segregação de funções; 
- Segregação dos ambientes de desenvolvimento, teste e produção; 
Planejamento e aceitação 
de sistemas 
Verificar a existência de: 
- Procedimentos para aceitação de upgrades ou novo desenvolvimento de 
sistema; 
Proteção contra software 
malicioso 
Verificar a existência de solução de antivírus, bem como a rotina de 
atualização; 
Housekeeping* 
Verificar a existência de: 
- Política de backup e teste de restore; 
- Registro dos eventos relativos a problemas no ambiente de TI; 
Gerenciamento de redes Verificar se existe um gerenciamento adequado das redes; 
Manuseio e segurança de 
Mídia 
Verificar a existência de: 
- Gerenciamento de mídias removíveis, bem como o descarte das mídias; 
- Procedimento para o manuseio e descarte de informações impressas; 
- Documentações dos sistemas estão armazenadas em locais seguros; 
Intercâmbios de 
informações e softwares 
Verificar a existência de: 
- Contratos de intercâmbio de informações contemplam os requisitos de 
segurança; 
- Procedimento para o envio de mídias para outras localidades; 
- Política e tecnologias de proteção para transações com clientes e 
fornecedores através de comércio eletrônico; 
Controle de 
Acesso 
Política de controle de 
acesso 
Verificar se existe uma política definida para liberação de acesso com os 
perfis definidos; 
Gerenciamento do acesso 
de usuários 
Verificar a existência de: 
- Procedimento para liberação de acesso, contemplando o fluxo de 
autorizações; 
- Revalidação de perfis de acesso; 
Responsabilidades dos 
usuários 
Verificar a existência de: 
- Política de senha definida, implementada e monitorada; 
- Bloqueio automático dos equipamentos em caso de inatividade; 
Controle de acesso à rede 
Verificar a existência de: 
- Política para uso de recursos de rede; 
- Controle tecnológico para autenticação de usuários externos; 
- Procedimento de bloqueio físico de portas de conexão dos equipamentos 
de rede; 
- Segregação de redes no ambiente (rede de servidores e rede de 
estações); 
Controle de acesso ao 
sistema operacional 
Verificar a existência de: 
- Procedimento de autenticação nos sistemas que contemple a maneira 
mais segura (“O que você sabe”, “O que você tem”, “O que você é”) 
levando em consideração o custo benefício; 
- Política de autenticação que defina as regras de formação de senha; 
- Time out para conexão; 
 
8 
Controle de Acesso às 
Aplicações 
Verificar se os sistemas sensíveis foram identificados e se os acessos 
para estes sistemas estão sendo controlados; 
Monitorando o acesso e o 
uso do sistema 
Verificar a existência de: 
- Infraestrutura de TI está com o relógio sincronizado; 
- Existência de Logs de ações no sistema e se estes logs são 
monitorados; 
Computação móvel e 
trabalho à distância 
Verificar se existe política e controles tecnológicos para utilização de 
equipamentos móveis para acesso ao ambiente da empresa; 
Desenvolvimento e 
manutenção de 
sistemas 
Requisitos de segurança 
nos sistemas 
Verificar se existe um processo de envolvimento da área de 
Segurança na fase de especificação de novos / manutenção de sistemas; 
Segurança em sistemas 
aplicativos 
Verificar a existência de: 
- Tratamento de entrada, processamento e saída de informação para 
garantir a segurança no processamento em todos os estágios do sistema; 
- Controles para garantir a integridade das informações processadas; 
Controles criptográficos 
Verificar a existência de: 
- Política para uso de controles criptográficos nos sistemas que defina um 
padrão como: tipo de algoritmo, tamanho da chave, etc.; 
- Implementação de técnicas de criptografia e assinatura digital nos 
sistemas de informação; 
Segurança de arquivos do 
Sistema 
Verificar a existência de: 
- Controle sobre o código fonte dos sistemas; 
- Controle para disponibilização de dados de produção para massa de 
teste; 
Segurança nos processos 
de desenvolvimento e 
suporte 
Verificar a existência de: 
- Controle nas alterações e atualizações de sistemas operacionais e 
sistemas; 
- Controle de qualidade e cláusula de segurança em contratos de 
terceirização de desenvolvimento de sistemas; 
Gerenciamento da 
continuidade do 
negócio 
Aspectos do gerenciamento 
da continuidade do negócio 
Verificar a existência de: 
- Plano de continuidade do negócio definido, aprovado e implementado; 
- Revisões periódicas e se são realizados testes de ativação do plano; 
Obediência a 
exigências 
Obediência às exigências 
legais 
Verificar a existência de: 
- Política que trata direitos autorais e diretos de cópia; 
- Procedimento que obriga que as legislações sejam levadas em 
consideração para a salvaguarda e privacidade das informações; 
- Monitoramento das ações dos usuários no sistema, bem como a coleta 
de evidências está seguindo o definido em legislações vigentes; 
Revisões da política de 
segurança e obediência 
técnica 
Verificar se existe um monitoramento da aderência da empresa aos 
requisitos da política de segurança; 
*Housekeeping (“arrumando a casa” em inglês) é a realização dos três primeiros “S” do programa 5S focando, 
sobretudo, nos aspectos físicos da empresa. 
 
8. Ferramentas de Auditoria 
 
As ferramentas de auditoria são instrumentos que o auditor possui para atingir suas 
metas, definidas no planejamento, independentemente do tipo de auditoria praticada. 
As ferramentas de auditoria podem ser classificadas em generalistas, especializadas e 
de uso geral. As ferramentas de auditoria, tanto as generalistas quanto as 
especializadas são desenvolvidas por profissionais e empresas com grande 
conhecimento dos processos de auditoria e envolve geralmente profissionais de TI e 
de outras áreas do conhecimento. 
 
8.1. Ferramentas generalistas 
 
As ferramentas generalistas de auditoria são softwares que podem processar, simular, 
analisar amostras, gerar dados estatísticos, sumarizar, apontarduplicidade e outras 
funções que o auditor desejar. As vantagens do uso desse tipo de ferramenta são: 
 
 O software pode processar diversos arquivos ao mesmo tempo; 
 Pode processar diferentes tipos de arquivos, de diferentes formatos; 
 Permite integração sistêmica com vários tipos de softwares e hardwares; 
 Reduz a dependência do auditor em relação ao especialista de informática. 
 
9 
 
Como desvantagens, como o processamento das aplicações envolve gravação de 
dados em separado para serem analisados em ambientes distintos, poucas aplicações 
poderiam ser feitas em ambiente online. Se o auditor precisar rodar cálculos 
complexos, o software não poderá dar esse apoio, pois tal sistema, para dar 
assistência generalista a todos os auditores, evita aprofundar as lógicas e 
matemáticas muito complexas. 
 
8.2. Ferramentas especializadas 
 
As ferramentas especializadas de auditoria são softwares desenvolvidos 
especialmente para executar certas tarefas em uma circunstância definida. O software 
pode ser desenvolvido pelo próprio auditor, pelos especialistas da empresa auditada 
ou por um terceiro contratado pelo auditor. 
A principal vantagem do uso desse tipo de ferramenta é que ela atende a demandas 
mais específicas, como crédito imobiliário, leasing, cartão de crédito e outras funções 
que exijam tarefas especializadas no segmento de mercado. Outra vantagem é que o 
auditor que consegue desenvolver um software especializado numa área muito 
complexa, podendo utilizar isso como uma vantagem competitiva. As principais 
desvantagens dessas ferramentas são: 
 
 Pode ser muito caro, uma vez que seu uso será limitado ou restrito a apenas 
um cliente; 
 As atualizações deste software podem transformar-se em um problema. 
 
8.3. Ferramentas de uso geral 
 
Outros softwares, embora não específicos para a atividade de auditoria, também vêm 
sendo utilizados com esse propósito, sendo possível citar como exemplos as planilhas 
eletrônicas, softwares de gerenciamento de banco de dados, ferramentas de BI 
(Business Intelligence), softwares estatísticos etc. 
As ferramentas de uso geral são softwares utilizados para executar algumas funções 
muito comuns de processamento, como sortear arquivos, sumarizar, concatenar, gerar 
relatórios etc. Esses programas não foram desenvolvidos para executar trabalhos de 
auditoria, portanto, não tem recursos tais como verificação de totais de controles, ou 
gravação das trilhas de auditoria. A grande vantagem desse tipo de ferramenta é que 
elas podem ser utilizadas como “quebra-galho” na ausência de outros recursos. 
 
9. Pós Auditoria 
 
Após o encerramento da auditoria é importante realizar follow-ups, ou seja, o 
acompanhamento periódico dos controles definidos e do plano de ação. O follow-up 
nada mais é do que uma auditoria de revisão, mas que é fundamental para dar 
continuidade ao processo. 
A realização da auditoria de TI deve acompanhar as diferentes linhas de evolução das 
várias tecnologias que estão incluídas no domínio das operações dos sistemas de 
informação. Portanto, é necessário avaliar continuamente se os modelos de segurança 
concordam e estão em consonância com as novas arquiteturas, as diferentes 
plataformas e as formas de comunicação, visto que não se pode auditar com 
conceitos, técnicas ou recomendações que se tornaram obsoletas.