Tema1_ Fundamentos da Auditoria Informática

Prévia do material em texto

IAI:
Introdução à Auditoria Informática
Tema 1: 
Fundamentos Sobre a Auditoria Informática
Compilado por:
Sérgio Simbine
sergio.simbine@gmail.com
Julho, 2019
mailto:Sergio.simbine@gmail.com
Agenda
Introdução Histórica da Função Auditoria
Conceito de Auditoria
Tipos de Auditoria
Auditoria Externa vs Auditoria Interna
Auditoria Informática
 Funções de Auditor Informático
 Qualidades de um Auditor
 Bibliografia
Introdução Histórica da Função Auditoria 
È difícil determinar quando começou a Auditoria.
Está historicamente comprovado que em
tempos muito remotos já existiam pessoas cuja
função, embora sem uma designação
específica, se resumia ao objectivo de garantir
a exactidão dos dados financeiros relativos
aos interesses dos governantes da época.
Introdução Histórica da Função Auditoria (2)
 Segundo se depreende dos relatos históricos a prática de
nomear altos funcionários, para efeitos de controlo da
cobrança de impostos e de acompanhamento das
operações financeiras, já era seguida pelos imperadores
romanos, prosseguiu em França no século III e difundiu-se
em Inglaterra no tempo do rei Eduardo I.
 Apesar da função desses altos representantes não ser
suportada por quaisquer metodologias de trabalho
definidas e de não existir informação sobre as técnicas e
os meios utilizados , a verdade é que, no essencial , essas
pessoas (representantes do poder instituído) perseguiam
objectivos dos actuais auditores : Acompanhar actividades,
avaliar o estado do controlo, despistar erros e
desencorajar fraudes
Introdução Histórica da Função Auditoria (3)
 Com a revolução industrial, ocorrida nos finais do século
XIX, foi gerado um grande incremento da actividade industrial
e comercial à nível europeu e em consequência as
empresas foram forçadas a rever os seus sistemas de
trabalho e os seus processos organizativos, em especial
ao nível contabilístico e do controlo.
 Este incremento da actividade empresarial (especialmente na
Grã-Bretanha), conduziu à necessidade das empresas
melhorarem os seus sistemas de prevenção e de
combate a erros , anomalias e fraudes.
 Assim parece razoável admitir que a Auditoria e os
Auditores tiveram a sua génese na revolução industrial.
Introdução Histórica da Função Auditoria (4)
Mais tarde, em plena crise económica americana de 1929, foi
constituído o Comité May com o objectivo de estudar e de
definir um conjunto de procedimentos e de regras aplicáveis
ás empresas cotadas na Bolsa.
 Dado que o referido Comité institui a obrigatoriedade de ser
efectuada uma avaliação independente das DF dessas
empresas (designada por Auditoria Contabilística
Independente), pode-se dizer que a Auditoria Externa,
enquanto “ferramenta” reconhecida e utilizada pelas
empresas terá começado por volta de 1930.
 Importa reconhecer que a implantação e o desenvolvimento
da Auditoria não ocorreram uniformemente em todos os
países e continentes da mesma forma que os seus objectivos
fundamentais não foram entendidos e interpretados e
assumidos de modo idêntico em todos os países, regimes e
continentes.
Introdução Histórica da Função Auditoria (5)
 No entanto apesar de algumas dificuldades de percurso , é
inquestionável que os últimos 30/40 anos o percurso trilhado
pela Auditoria é seguro, afirmativo e florescente. Esta
evolução positiva resultou basicamente de exigências legais
e da capacidade de afirmação da Auditoria.
 De facto, através da progressiva melhoria e sofisticação das
técnicas e dos métodos de trabalho e, essencialmente, com
base nos resultados obtidos, a Auditoria foi criando uma
aceitação, uma imagem e um estatuto de inequívoca
eficiência e credibilidade.
Conceito de Auditoria (0)
?
Conceito de Auditoria (1)
Auditoria é a actividade que consiste na
emissão de uma opinião profissional sobre o
objecto de análise, afim de confirmar se cumpre
adequadamente as condições que lhe são
exigidas
É operação de análise e diagnostico da
empresa, tendo em consideração todos os
aspectos da sua gestão, afim de avaliar a
coerência, a racionalidade de processos e de
apreciar a validade e o rigor dos resultados.
Conceito de Auditoria
Auditoria é o processo sistemático de
objectivamente obter e avaliar prova acerca da
correspondência entre informações, situações ou
procedimentos e critérios preestabelecidos, assim
como comunicar conclusões aos interessados.
(Morais e Martins, 2007)
Tipos de Auditoria
 . . . A Auditoria pode ser classificada atendendo a
diferentes critérios:
a) Quanto ao conteúdo e fins
b) Quanto à amplitude
c) Quanto à frequência
d) Quanto ao período temporal
e) Quanto à obrigatoriedade
f) Quanto ao sujeito que a efectua
Tipos de Auditoria
 .Quanto ao Conteúdo e fins:
 Auditoria das Demonstrações Financeiras –
consiste num exame às DF com o objectivo de
expressar uma opinião sobre a conformidade, ou
não, de acordo com os critérios preestabelecidos ,
ou princípios contabilísticos geralmente aceites e as
normas de contabilidade.
 Auditoria de Conformidade – Consiste na
verificação do cumprimento, pela entidade auditada,
das condições, regras e regulamentos específicos
por diversas fontes, externas ou internas
Tipos de Auditoria
 Auditoria operacional – consiste numa revisão
sistemática das áreas operacionais da entidade
auditada, com o objectivo de avaliar a economia,
eficiência e eficácia das actividades e/ou operações.
 Auditoria de gestão – consiste na avaliação da
performance da conformidade das decisões e o
desempenho dos gestores
 Auditoria estratégica – conformidade na avaliação
da conformidade das decisões com as políticas
estratégicas previamente estabelecidas.
Tipos de Auditoria
 Quanto à amplitude
 Auditoria geral – envolve a entidade na sua
globalidade.
 Auditoria parcial – envolve apenas uma parte da
entidade. Pode referir-se a uma entidade, operação
ou um projecto.
Tipos de Auditoria
 Quanto à frequência:
 Auditoria permanente – realizada de forma
regular, permitindo um acompanhamento contínuo.
 Auditoria ocasional – realizada de forma
esporádica, por solicitação pontual.
Tipos de Auditoria
 Quanto à a período temporal:
 Auditoria da informação histórica – o objecto é o
conjunto da informação histórica, cuja auditoria é
elaborada à posteriori.
 Auditoria da informação previsional ou
prospectiva – o objecto é o conjunto da
informação previsional ou prospectiva, auditoria
elaborada à priori. Baseia-se em técnicas de
avaliação acerca da validade de previsões.
Tipos de Auditoria
 Quanto à obrigatoriedade:
 Auditoria de fonte legal – baseada em fonte legal.
 Auditoria de fonte contratual – baseada num
contrato de prestação de serviços, sendo
facultativo.
Tipos de Auditoria
 Quanto ao sujeito que a efectua:
 Auditoria externa – se efectuada por profissionais
externos não subordinados á entidade auditada.
Normalmente são auditorias ocasionais.
 Auditoria interna – se efectuada por quadros da
entidade (ou não) normalmente organizados num
departamento. São normalmente auditorias
permanentes.
Principais diferenças entre AI e AE (1)
Auditor Interno Auditor Externo
O objectivo é atender às
necessidades do Órgão de Gestão,
contribuindo para o fortalecimento
do sistema de Controlo Interno,
gestão do risco e governance da
entidade
O objectivo é atender às
necessidades de terceiros no que
diz respeito à credibilidade das
informações financeiras. A avaliação
do controlo interno é feita ,
principalmente, para determinar a
extensão, profundidade e
calendarização dos exames a
efectuar às contas;
O trabalho é executado tendo em
conta as áreas operacionais e as
linhas de responsabilidade
administrativa;
O trabalho é executado tendo em
conta os elementos das
demonstrações financeiras
Principais diferenças entre AI e AE (2)
[1] Admite-se o regime de Outsourcing, no entanto a responsabilidade é sempre do auditor interno.Auditor Interno AuditorExterno
Deve ser independente no exercício 
da sua função;
Deve ser independente em relação à
Administração, havendo na lei
incompatibilidades gerais,
específicas, absolutas, relativas e
impedimentos
O controlo interno é avaliado a fim
de expressar opinião acerca da
eficácia e eficiência dos recursos da
entidade;
A opinião em relação ao controlo
interno focaliza-se na segurança das
operações e o seu impacto nas
demonstrações financeiras em
detrimento da eficácia e eficiência
dos recursos
O exame das actividades é contínuo O exame das informações das
demonstrações financeiras é
descontínua
Principais diferenças entre AI e AE (3)
[1] Admite-se o regime de Outsourcing, no entanto a responsabilidade é sempre do auditor interno.Auditor Interno Auditor Externo
A responsabilidade é de ordem 
geral, idêntica à dos restantes 
trabalhadores da entidade;
São responsáveis para com a
sociedade, sócios e credores
sociais. É uma responsabilidade
única e indivisível
Os relatórios não são dotados de
“fé pública” embora devam ser
elaborados com objectividade e o
detalhe adequado aos
destinatários;
Os relatórios podem ser dotados 
de “fé pública”, caso da 
“certificação legal das contas”, só 
podendo ser impugnada 
judicialmente;
Quadro da entidade Profissional externo à entidade
auditada
Conceito de Auditoria Informática (0)
?
Incidentes que impulsionaram a criação de 
Auditoria Informática
Equity Funding Corporation of America
 O primeiro caso conhecido de abuso de Informática aconteceu à Equity Funding 
Corporation of America. Com início em 1964, prolongando-se até 1973, os gestores 
das companhias reservaram falsas apólices de seguro para obterem lucros, enquanto 
impulsionavam o preço da acção da empresa. Se não fosse a interferência de alguém 
especializado, não seria possível detectar a fraude. Depois de descoberta a fraude, foi 
a empresa Touche Ross que levou 2 anos para confirmar que as apólices de seguro 
não eram reais. Este foi um dos primeiros casos em que os auditores tiveram de usar 
o computador para analisar uma fraude.
AT&T
 Em 1998 a AT&T sofreu uma falha tecnológica que causou impacto no comércio e 
comunicação a nível mundial. Um interruptor principal falhou devido a lacunas no 
software e erros nos procedimentos, que deixaram muitos utilizadores de cartão de 
crédito sem acesso aos fundos por mais 18 horas. Eventos como estes fazem-nos 
pensar na nossa dependência em relação às Tecnologias de Informação e lembra-nos 
a necessidade de garantia de acesso aos sistemas de informação. 
24
Incidentes que impulsionaram a criação de 
Auditoria Informática…(cont.)
Enron e Arthur Andersen
 O escândalo de Enron e Arthur Andersen LLP contribuíram para a falência 
de uma grande empresa de Contabilidade. A investigação detectou uma 
fraude de mais de 60 bilhões dólares e esta foi a maior história de falência 
norte-americana. Este escândalo teve um impacto significativo no Acto de 
Sarbanes-Oxley e foi considerado uma violação de auto-regulação.
Os ataques terroristas de 11 de Setembro
• Os ataques terroristas de 11 de Setembro de 2001, deixaram muitos 
americanos vulneráveis. O mercado económico começou a cair e todos 
perceberam que a nação considerada a mais poderosa do mundo era 
susceptível a ataques. O 11 de Setembro enfatizou o modo para o Acto de 
Segurança da Pátria e aumentou o regulamento e a segurança das infra-
estruturas electrónicas. Equity Fund Corporation
PwC
• Barings Bank
• Union Bank of Switzerland
• Societé Generale
• Lehman Brothers
Incidentes que impulsionaram a criação de 
Auditoria Informática…(cont.)
Conceitos
Auditoria Informática
Verifica se existem controlos adequados no input 
processamento e output das transacções que 
ocorrem no sistema informático da empresa
PwC
A auditoria é uma inspeção formal para verificar se 
uma norma, standard ou framework é seguido, se os 
registros são precisos, ou de os objetivos de 
eficiência e eficácia estão a ser atingidos. 
O trabalho de auditoria pode ser realizado por 
equipas de auditores internos ou externos.
Fonte: definição do ISACA
Conceito
27
Funções de Auditor Informático:
 Cuidar da correcta utilização de todos recursos que a 
organização utiliza para poder dispor de um SI 
suficientemente eficiente e eficaz ;
 Emitir um juizo global ou parcial baseado em factos e 
situações inteiramente correctas, mas sem poder para 
modificar a situação por ele analisada;
 Ter preocupações cuidadosas nas suas relações com a 
empresa ou com o responsável da área a ser auditada
 Verificar o funcionamento dos sistemas
 Fazer com que o auditado responda as suas perguntas 
ou o seu questionário (estes questionários chamados de 
cheklists, devem ser conservados cuidadosamente pelo 
auditor)
PwC
Auditoria de TI
E quais os objectivos da 
Auditoria de TI?
PwC
Objectivos Auditoria de TI
Eficácia e eficiência das operações
Conformidade com requisitos legais e 
regulamentares
Qualidade dos projectos / processos / operações
Segurança de informação
Utilização económica e razoável de recursos 
Cumprimento dos objectivos estratégicos de 
negócio
Alinhamento das TI com a estratégia de negócio
Tipos de Auditoria Informática
 Segurança da rede (Network security)
 Desenvolvimento/aquisição
 Aplicação (ERP e não ERP)
 ITGC
 Base de dados
 Interfaces
 Computer forensic
 Auditoria de infraestrutura tecnológica
 Host security audits
 Transferência de dados através da 
Internet
 Análise de dados
Confidencialidade
Integridade
Disponibilidade
Âmbito Segurança dos 
objectivos de negócio
Algumas áreas que devem ser auditadas
• Sistemas de Controlo
• Práticas gerais
• Boa governação de 
tecnologias
Objectivos de
negócio
• Logs do sistemas
• Políticas e procedimentos
• Definição de parâmetros
• Regras para as operações
do negócio
• Definição de segurança
• Correcção de dados
• Sistemas de processamento
• Etc;
Auditoria de 
Tecnologias 
de Informação
Gestores
Qualidades de um Auditor
Qualidades Técnicas:
 Ter conhecimento da área de informática;
 Conhecer alguma linguagem de programação relevante. Exemplo: 
C++, Pascal, J++, etc;
 Conhecer documentação de sistema e a elaboração do respectivo 
fluxograma;
 se analisa um sistema em desenvolvimento deve saber alguma 
metodologia de desenvolvimento de SI, as técnicas de construção 
dum protótipo e elaboração de um plano director de Informática;
 Deve sempre procurar actualizar os seus conhecimentos na matéria 
(área);
 Durante a Auditoria do Departamento de Informática, o auditor deve 
saber analisar os custos das operações e dos equipamentos, 
interpretar as normas de carácter técnico-administrativo e conhecer 
todos respectivos aspectos operacionais e os contratos de software 
e hardware.
Qualidades de um Auditor
Personalidade Profissional
 Honestidade e integridade moral: ter bons princípios éticos e isenção nas suas 
opiniões;
 Objectividade independente das influências que outros pretendam exercer;
 Aptidão crítica para identificar insuficiências e problemas, compreendendo as 
suas causas e prevendo as suas consequências;
 Exigências de rigor nos seus processos de trabalho, formulação de 
recomendações e propostas de soluções realistas;
 Capacidade de análise e síntese, de modo integrador e sistémico;
 Flexibilidade que permita uma maior adaptação às situações;
 Capacidade de iniciativa e criatividade orientadas para a resolução de problemas;
 Possibilidade de compreender rapidamente, mantendo, no entanto, a capacidade 
de percepção a níveis mais profundos;
 Comunicação com a clareza e capacidade de persuadir, sobretudo os auditados, 
para tentar evitar a geração de novos problemas;
 Auto-controlo emocional para poder suportar situações de tensão;
 Sociabilidade e possibilidade de trabalho em equipa com capacidades de 
orientação;
 Tendência à actualização de conhecimentos e ao planeamentodo seu 
aperfeiçoamento profissional
35
 S1 Audit Charter (Código de Auditoria) 1 Janeiro 2005
 S2 Independência 1 Janeiro 2005
 S3 Ética e Padrões Profissionais 1 Janeiro 2005
 S4 Competência Profissional 1 Janeiro 2005
 S5 Planeamento 1 Janeiro 2005
 S6 Desempenho do Trabalho de Auditoria 1 Janeiro 2005
 S7Relatórios 1 Janeiro 2005
 S8 Actividades de Acompanhamento 1 Janeiro 2005
 S9 Irregularidade e actos ilegais 1 Setembro 2005
 S10 Governança de TI 1 Setembro 2005
 S11 Uso da avaliação de riscos no planeamento de auditoria 1 Novembro 2005
 S12 Materialidade da Auditoria 1 Julho 2006
 S13 Uso do Trabalho de Outros Especialistas 1 Julho 2006
 S14 Evidência de Auditoria 1 Julho 2006
 S15 Controlos TI 1Fevereiro 2008
 S16 Comércio Electrónico 1Fevereiro 2008
ISACA -NORMAS DE AUDITORIA INFORMÁTICA 
Metodologia de Auditoria
 O auditor deve estudar em detalhes o sistema de controlo interno
 Determinar os controlos que oferecem confiança
 Decidir sobre o programa dos testes de auditoria
 Escolher os testes mais eficientes (de conformidade ou de 
substanciação)
Metodologia de Auditoria
Elementos principais da metodologia:
 Familiarizar-se com a actividade e organização da empresa, incluindo os
procedimentos de controlo interno
 Compreender e registar o sistema contabilístico e de controlo interno
 Seleccionar o questionário de controlo interno (ICQ) mais conveniente
 Avaliar o sistema contabilístico e de controlo interno
 Elaborar e executar um programa de testes de conformidade (para os
controlos que merecem confiança). Alguns testes de substantivos serão
executados.
 Discutir com os responsáveis da empresa as deficiência identificadas
 Comunicar à empresa, através do relatório de controlo interno, as
deficiências no controlo interno
Metodologia de Auditoria
7/29/2019 38
Compreensão de sistemas - Preparação antecipada
 Familiarizar-se com os assuntos a ser discutidos
 Fazer as entrevistas com os indivíduos apropriados
 Formular as questões antecipadamente
 Obter o máximo de informação sobre as características pessoais do
indivíduo a entrevistar
 Considerar a agenda da pessoa a ser entrevistada
 Considerar o nível da pessoa a entrevistar, se for da administração
deverá ser entrevistado por um auditor com mais experiência
Metodologia de Auditoria
Compreensão de sistemas - A entrevista
 Comunicação ao entrevistado dos motivos da entrevista
 Estabelecimento de uma comunicação básica
 Escolha cuidadosa do vocabulário
 As razões por que foi escolhida a pessoa por entrevistar
 Dizer a pessoa a ser entrevistada se vai ser informada dos
resultados da entrevista
 O auditor deverá criar a motivação necessária para que a entrevista
decorra de forma eficaz
Metodologia de Auditoria
Compreensão de sistemas – Postura
 Contacto visual, expressões faciais
 As primeiras impressões transmitidas nos primeiros 30 a 60
segundos, afectarão o resto da entrevista (Não se consegue criar
primeiras impressões uma segunda vez)
 Na recolha de notas, não se deverá escrever demais ou perder
muito tempo a escrever
Metodologia de Auditoria
Compreensão de sistemas - Comunicação verbal
 Uma voz agradável
 Audibilidade
 Articulação
 Naturalidade e espontaneidade
 Não falar demasiadamente depressa ou devagar
 Evitar discurso demasiadamente articulado, murmurado ou
mastigado
Metodologia de Auditoria
Compreensão de sistemas - Audição e resposta
 O auditor deverá escutar e tentar compreender o entrevistado
(evitar manter um monólogo)
 A técnica eficiente é repetir as respostas do entrevistado nas suas
próprias palavras
 Conceder um tempo suficiente para a resposta das perguntas
formuladas
 O auditor deve ser flexível para ajustar e modificar a entrevista à luz
das respostas obtidas
Metodologia de Auditoria
Metodologia de Auditoria
•Matriz de Risco/ 
Matriz de Objectos
•Plano Estratégico 
do BM
•Dossier Permanente
•Plano de 
Actividades
•Solicitação do 
CA/U.E.s
•Matriz de Follow-
UP
INPUT
•Programa de 
Auditoria
•Checklist 
Preliminar 
•Memorando de 
Planeamento
•Carta de 
Comunicação
OUTPUT
PLANEAMENTO
Metodologia de Auditoria
Bibliografia
1.Cannon, David (2008), CISA – Certified 
Information Systems Auditor Study Guide, 
Sybex
2. Carneiro, Alberto (2002), Auditoria de sistemas 
de informação, FCA 
3. Imoniana, Joshua Onome (2005), Auditoria de 
sistemas de informação, atlas 
4. Livraria online www.isaca.org
5. www.amai.org.mz
http://www.isaca.org/
http://www.amai.org.mz/