Baixe o app para aproveitar ainda mais
Prévia do material em texto
IAI: Introdução à Auditoria Informática Tema 1: Fundamentos Sobre a Auditoria Informática Compilado por: Sérgio Simbine sergio.simbine@gmail.com Julho, 2019 mailto:Sergio.simbine@gmail.com Agenda Introdução Histórica da Função Auditoria Conceito de Auditoria Tipos de Auditoria Auditoria Externa vs Auditoria Interna Auditoria Informática Funções de Auditor Informático Qualidades de um Auditor Bibliografia Introdução Histórica da Função Auditoria È difícil determinar quando começou a Auditoria. Está historicamente comprovado que em tempos muito remotos já existiam pessoas cuja função, embora sem uma designação específica, se resumia ao objectivo de garantir a exactidão dos dados financeiros relativos aos interesses dos governantes da época. Introdução Histórica da Função Auditoria (2) Segundo se depreende dos relatos históricos a prática de nomear altos funcionários, para efeitos de controlo da cobrança de impostos e de acompanhamento das operações financeiras, já era seguida pelos imperadores romanos, prosseguiu em França no século III e difundiu-se em Inglaterra no tempo do rei Eduardo I. Apesar da função desses altos representantes não ser suportada por quaisquer metodologias de trabalho definidas e de não existir informação sobre as técnicas e os meios utilizados , a verdade é que, no essencial , essas pessoas (representantes do poder instituído) perseguiam objectivos dos actuais auditores : Acompanhar actividades, avaliar o estado do controlo, despistar erros e desencorajar fraudes Introdução Histórica da Função Auditoria (3) Com a revolução industrial, ocorrida nos finais do século XIX, foi gerado um grande incremento da actividade industrial e comercial à nível europeu e em consequência as empresas foram forçadas a rever os seus sistemas de trabalho e os seus processos organizativos, em especial ao nível contabilístico e do controlo. Este incremento da actividade empresarial (especialmente na Grã-Bretanha), conduziu à necessidade das empresas melhorarem os seus sistemas de prevenção e de combate a erros , anomalias e fraudes. Assim parece razoável admitir que a Auditoria e os Auditores tiveram a sua génese na revolução industrial. Introdução Histórica da Função Auditoria (4) Mais tarde, em plena crise económica americana de 1929, foi constituído o Comité May com o objectivo de estudar e de definir um conjunto de procedimentos e de regras aplicáveis ás empresas cotadas na Bolsa. Dado que o referido Comité institui a obrigatoriedade de ser efectuada uma avaliação independente das DF dessas empresas (designada por Auditoria Contabilística Independente), pode-se dizer que a Auditoria Externa, enquanto “ferramenta” reconhecida e utilizada pelas empresas terá começado por volta de 1930. Importa reconhecer que a implantação e o desenvolvimento da Auditoria não ocorreram uniformemente em todos os países e continentes da mesma forma que os seus objectivos fundamentais não foram entendidos e interpretados e assumidos de modo idêntico em todos os países, regimes e continentes. Introdução Histórica da Função Auditoria (5) No entanto apesar de algumas dificuldades de percurso , é inquestionável que os últimos 30/40 anos o percurso trilhado pela Auditoria é seguro, afirmativo e florescente. Esta evolução positiva resultou basicamente de exigências legais e da capacidade de afirmação da Auditoria. De facto, através da progressiva melhoria e sofisticação das técnicas e dos métodos de trabalho e, essencialmente, com base nos resultados obtidos, a Auditoria foi criando uma aceitação, uma imagem e um estatuto de inequívoca eficiência e credibilidade. Conceito de Auditoria (0) ? Conceito de Auditoria (1) Auditoria é a actividade que consiste na emissão de uma opinião profissional sobre o objecto de análise, afim de confirmar se cumpre adequadamente as condições que lhe são exigidas É operação de análise e diagnostico da empresa, tendo em consideração todos os aspectos da sua gestão, afim de avaliar a coerência, a racionalidade de processos e de apreciar a validade e o rigor dos resultados. Conceito de Auditoria Auditoria é o processo sistemático de objectivamente obter e avaliar prova acerca da correspondência entre informações, situações ou procedimentos e critérios preestabelecidos, assim como comunicar conclusões aos interessados. (Morais e Martins, 2007) Tipos de Auditoria . . . A Auditoria pode ser classificada atendendo a diferentes critérios: a) Quanto ao conteúdo e fins b) Quanto à amplitude c) Quanto à frequência d) Quanto ao período temporal e) Quanto à obrigatoriedade f) Quanto ao sujeito que a efectua Tipos de Auditoria .Quanto ao Conteúdo e fins: Auditoria das Demonstrações Financeiras – consiste num exame às DF com o objectivo de expressar uma opinião sobre a conformidade, ou não, de acordo com os critérios preestabelecidos , ou princípios contabilísticos geralmente aceites e as normas de contabilidade. Auditoria de Conformidade – Consiste na verificação do cumprimento, pela entidade auditada, das condições, regras e regulamentos específicos por diversas fontes, externas ou internas Tipos de Auditoria Auditoria operacional – consiste numa revisão sistemática das áreas operacionais da entidade auditada, com o objectivo de avaliar a economia, eficiência e eficácia das actividades e/ou operações. Auditoria de gestão – consiste na avaliação da performance da conformidade das decisões e o desempenho dos gestores Auditoria estratégica – conformidade na avaliação da conformidade das decisões com as políticas estratégicas previamente estabelecidas. Tipos de Auditoria Quanto à amplitude Auditoria geral – envolve a entidade na sua globalidade. Auditoria parcial – envolve apenas uma parte da entidade. Pode referir-se a uma entidade, operação ou um projecto. Tipos de Auditoria Quanto à frequência: Auditoria permanente – realizada de forma regular, permitindo um acompanhamento contínuo. Auditoria ocasional – realizada de forma esporádica, por solicitação pontual. Tipos de Auditoria Quanto à a período temporal: Auditoria da informação histórica – o objecto é o conjunto da informação histórica, cuja auditoria é elaborada à posteriori. Auditoria da informação previsional ou prospectiva – o objecto é o conjunto da informação previsional ou prospectiva, auditoria elaborada à priori. Baseia-se em técnicas de avaliação acerca da validade de previsões. Tipos de Auditoria Quanto à obrigatoriedade: Auditoria de fonte legal – baseada em fonte legal. Auditoria de fonte contratual – baseada num contrato de prestação de serviços, sendo facultativo. Tipos de Auditoria Quanto ao sujeito que a efectua: Auditoria externa – se efectuada por profissionais externos não subordinados á entidade auditada. Normalmente são auditorias ocasionais. Auditoria interna – se efectuada por quadros da entidade (ou não) normalmente organizados num departamento. São normalmente auditorias permanentes. Principais diferenças entre AI e AE (1) Auditor Interno Auditor Externo O objectivo é atender às necessidades do Órgão de Gestão, contribuindo para o fortalecimento do sistema de Controlo Interno, gestão do risco e governance da entidade O objectivo é atender às necessidades de terceiros no que diz respeito à credibilidade das informações financeiras. A avaliação do controlo interno é feita , principalmente, para determinar a extensão, profundidade e calendarização dos exames a efectuar às contas; O trabalho é executado tendo em conta as áreas operacionais e as linhas de responsabilidade administrativa; O trabalho é executado tendo em conta os elementos das demonstrações financeiras Principais diferenças entre AI e AE (2) [1] Admite-se o regime de Outsourcing, no entanto a responsabilidade é sempre do auditor interno.Auditor Interno AuditorExterno Deve ser independente no exercício da sua função; Deve ser independente em relação à Administração, havendo na lei incompatibilidades gerais, específicas, absolutas, relativas e impedimentos O controlo interno é avaliado a fim de expressar opinião acerca da eficácia e eficiência dos recursos da entidade; A opinião em relação ao controlo interno focaliza-se na segurança das operações e o seu impacto nas demonstrações financeiras em detrimento da eficácia e eficiência dos recursos O exame das actividades é contínuo O exame das informações das demonstrações financeiras é descontínua Principais diferenças entre AI e AE (3) [1] Admite-se o regime de Outsourcing, no entanto a responsabilidade é sempre do auditor interno.Auditor Interno Auditor Externo A responsabilidade é de ordem geral, idêntica à dos restantes trabalhadores da entidade; São responsáveis para com a sociedade, sócios e credores sociais. É uma responsabilidade única e indivisível Os relatórios não são dotados de “fé pública” embora devam ser elaborados com objectividade e o detalhe adequado aos destinatários; Os relatórios podem ser dotados de “fé pública”, caso da “certificação legal das contas”, só podendo ser impugnada judicialmente; Quadro da entidade Profissional externo à entidade auditada Conceito de Auditoria Informática (0) ? Incidentes que impulsionaram a criação de Auditoria Informática Equity Funding Corporation of America O primeiro caso conhecido de abuso de Informática aconteceu à Equity Funding Corporation of America. Com início em 1964, prolongando-se até 1973, os gestores das companhias reservaram falsas apólices de seguro para obterem lucros, enquanto impulsionavam o preço da acção da empresa. Se não fosse a interferência de alguém especializado, não seria possível detectar a fraude. Depois de descoberta a fraude, foi a empresa Touche Ross que levou 2 anos para confirmar que as apólices de seguro não eram reais. Este foi um dos primeiros casos em que os auditores tiveram de usar o computador para analisar uma fraude. AT&T Em 1998 a AT&T sofreu uma falha tecnológica que causou impacto no comércio e comunicação a nível mundial. Um interruptor principal falhou devido a lacunas no software e erros nos procedimentos, que deixaram muitos utilizadores de cartão de crédito sem acesso aos fundos por mais 18 horas. Eventos como estes fazem-nos pensar na nossa dependência em relação às Tecnologias de Informação e lembra-nos a necessidade de garantia de acesso aos sistemas de informação. 24 Incidentes que impulsionaram a criação de Auditoria Informática…(cont.) Enron e Arthur Andersen O escândalo de Enron e Arthur Andersen LLP contribuíram para a falência de uma grande empresa de Contabilidade. A investigação detectou uma fraude de mais de 60 bilhões dólares e esta foi a maior história de falência norte-americana. Este escândalo teve um impacto significativo no Acto de Sarbanes-Oxley e foi considerado uma violação de auto-regulação. Os ataques terroristas de 11 de Setembro • Os ataques terroristas de 11 de Setembro de 2001, deixaram muitos americanos vulneráveis. O mercado económico começou a cair e todos perceberam que a nação considerada a mais poderosa do mundo era susceptível a ataques. O 11 de Setembro enfatizou o modo para o Acto de Segurança da Pátria e aumentou o regulamento e a segurança das infra- estruturas electrónicas. Equity Fund Corporation PwC • Barings Bank • Union Bank of Switzerland • Societé Generale • Lehman Brothers Incidentes que impulsionaram a criação de Auditoria Informática…(cont.) Conceitos Auditoria Informática Verifica se existem controlos adequados no input processamento e output das transacções que ocorrem no sistema informático da empresa PwC A auditoria é uma inspeção formal para verificar se uma norma, standard ou framework é seguido, se os registros são precisos, ou de os objetivos de eficiência e eficácia estão a ser atingidos. O trabalho de auditoria pode ser realizado por equipas de auditores internos ou externos. Fonte: definição do ISACA Conceito 27 Funções de Auditor Informático: Cuidar da correcta utilização de todos recursos que a organização utiliza para poder dispor de um SI suficientemente eficiente e eficaz ; Emitir um juizo global ou parcial baseado em factos e situações inteiramente correctas, mas sem poder para modificar a situação por ele analisada; Ter preocupações cuidadosas nas suas relações com a empresa ou com o responsável da área a ser auditada Verificar o funcionamento dos sistemas Fazer com que o auditado responda as suas perguntas ou o seu questionário (estes questionários chamados de cheklists, devem ser conservados cuidadosamente pelo auditor) PwC Auditoria de TI E quais os objectivos da Auditoria de TI? PwC Objectivos Auditoria de TI Eficácia e eficiência das operações Conformidade com requisitos legais e regulamentares Qualidade dos projectos / processos / operações Segurança de informação Utilização económica e razoável de recursos Cumprimento dos objectivos estratégicos de negócio Alinhamento das TI com a estratégia de negócio Tipos de Auditoria Informática Segurança da rede (Network security) Desenvolvimento/aquisição Aplicação (ERP e não ERP) ITGC Base de dados Interfaces Computer forensic Auditoria de infraestrutura tecnológica Host security audits Transferência de dados através da Internet Análise de dados Confidencialidade Integridade Disponibilidade Âmbito Segurança dos objectivos de negócio Algumas áreas que devem ser auditadas • Sistemas de Controlo • Práticas gerais • Boa governação de tecnologias Objectivos de negócio • Logs do sistemas • Políticas e procedimentos • Definição de parâmetros • Regras para as operações do negócio • Definição de segurança • Correcção de dados • Sistemas de processamento • Etc; Auditoria de Tecnologias de Informação Gestores Qualidades de um Auditor Qualidades Técnicas: Ter conhecimento da área de informática; Conhecer alguma linguagem de programação relevante. Exemplo: C++, Pascal, J++, etc; Conhecer documentação de sistema e a elaboração do respectivo fluxograma; se analisa um sistema em desenvolvimento deve saber alguma metodologia de desenvolvimento de SI, as técnicas de construção dum protótipo e elaboração de um plano director de Informática; Deve sempre procurar actualizar os seus conhecimentos na matéria (área); Durante a Auditoria do Departamento de Informática, o auditor deve saber analisar os custos das operações e dos equipamentos, interpretar as normas de carácter técnico-administrativo e conhecer todos respectivos aspectos operacionais e os contratos de software e hardware. Qualidades de um Auditor Personalidade Profissional Honestidade e integridade moral: ter bons princípios éticos e isenção nas suas opiniões; Objectividade independente das influências que outros pretendam exercer; Aptidão crítica para identificar insuficiências e problemas, compreendendo as suas causas e prevendo as suas consequências; Exigências de rigor nos seus processos de trabalho, formulação de recomendações e propostas de soluções realistas; Capacidade de análise e síntese, de modo integrador e sistémico; Flexibilidade que permita uma maior adaptação às situações; Capacidade de iniciativa e criatividade orientadas para a resolução de problemas; Possibilidade de compreender rapidamente, mantendo, no entanto, a capacidade de percepção a níveis mais profundos; Comunicação com a clareza e capacidade de persuadir, sobretudo os auditados, para tentar evitar a geração de novos problemas; Auto-controlo emocional para poder suportar situações de tensão; Sociabilidade e possibilidade de trabalho em equipa com capacidades de orientação; Tendência à actualização de conhecimentos e ao planeamentodo seu aperfeiçoamento profissional 35 S1 Audit Charter (Código de Auditoria) 1 Janeiro 2005 S2 Independência 1 Janeiro 2005 S3 Ética e Padrões Profissionais 1 Janeiro 2005 S4 Competência Profissional 1 Janeiro 2005 S5 Planeamento 1 Janeiro 2005 S6 Desempenho do Trabalho de Auditoria 1 Janeiro 2005 S7Relatórios 1 Janeiro 2005 S8 Actividades de Acompanhamento 1 Janeiro 2005 S9 Irregularidade e actos ilegais 1 Setembro 2005 S10 Governança de TI 1 Setembro 2005 S11 Uso da avaliação de riscos no planeamento de auditoria 1 Novembro 2005 S12 Materialidade da Auditoria 1 Julho 2006 S13 Uso do Trabalho de Outros Especialistas 1 Julho 2006 S14 Evidência de Auditoria 1 Julho 2006 S15 Controlos TI 1Fevereiro 2008 S16 Comércio Electrónico 1Fevereiro 2008 ISACA -NORMAS DE AUDITORIA INFORMÁTICA Metodologia de Auditoria O auditor deve estudar em detalhes o sistema de controlo interno Determinar os controlos que oferecem confiança Decidir sobre o programa dos testes de auditoria Escolher os testes mais eficientes (de conformidade ou de substanciação) Metodologia de Auditoria Elementos principais da metodologia: Familiarizar-se com a actividade e organização da empresa, incluindo os procedimentos de controlo interno Compreender e registar o sistema contabilístico e de controlo interno Seleccionar o questionário de controlo interno (ICQ) mais conveniente Avaliar o sistema contabilístico e de controlo interno Elaborar e executar um programa de testes de conformidade (para os controlos que merecem confiança). Alguns testes de substantivos serão executados. Discutir com os responsáveis da empresa as deficiência identificadas Comunicar à empresa, através do relatório de controlo interno, as deficiências no controlo interno Metodologia de Auditoria 7/29/2019 38 Compreensão de sistemas - Preparação antecipada Familiarizar-se com os assuntos a ser discutidos Fazer as entrevistas com os indivíduos apropriados Formular as questões antecipadamente Obter o máximo de informação sobre as características pessoais do indivíduo a entrevistar Considerar a agenda da pessoa a ser entrevistada Considerar o nível da pessoa a entrevistar, se for da administração deverá ser entrevistado por um auditor com mais experiência Metodologia de Auditoria Compreensão de sistemas - A entrevista Comunicação ao entrevistado dos motivos da entrevista Estabelecimento de uma comunicação básica Escolha cuidadosa do vocabulário As razões por que foi escolhida a pessoa por entrevistar Dizer a pessoa a ser entrevistada se vai ser informada dos resultados da entrevista O auditor deverá criar a motivação necessária para que a entrevista decorra de forma eficaz Metodologia de Auditoria Compreensão de sistemas – Postura Contacto visual, expressões faciais As primeiras impressões transmitidas nos primeiros 30 a 60 segundos, afectarão o resto da entrevista (Não se consegue criar primeiras impressões uma segunda vez) Na recolha de notas, não se deverá escrever demais ou perder muito tempo a escrever Metodologia de Auditoria Compreensão de sistemas - Comunicação verbal Uma voz agradável Audibilidade Articulação Naturalidade e espontaneidade Não falar demasiadamente depressa ou devagar Evitar discurso demasiadamente articulado, murmurado ou mastigado Metodologia de Auditoria Compreensão de sistemas - Audição e resposta O auditor deverá escutar e tentar compreender o entrevistado (evitar manter um monólogo) A técnica eficiente é repetir as respostas do entrevistado nas suas próprias palavras Conceder um tempo suficiente para a resposta das perguntas formuladas O auditor deve ser flexível para ajustar e modificar a entrevista à luz das respostas obtidas Metodologia de Auditoria Metodologia de Auditoria •Matriz de Risco/ Matriz de Objectos •Plano Estratégico do BM •Dossier Permanente •Plano de Actividades •Solicitação do CA/U.E.s •Matriz de Follow- UP INPUT •Programa de Auditoria •Checklist Preliminar •Memorando de Planeamento •Carta de Comunicação OUTPUT PLANEAMENTO Metodologia de Auditoria Bibliografia 1.Cannon, David (2008), CISA – Certified Information Systems Auditor Study Guide, Sybex 2. Carneiro, Alberto (2002), Auditoria de sistemas de informação, FCA 3. Imoniana, Joshua Onome (2005), Auditoria de sistemas de informação, atlas 4. Livraria online www.isaca.org 5. www.amai.org.mz http://www.isaca.org/ http://www.amai.org.mz/
Compartilhar