aula 1

Prévia do material em texto

- -1
AUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS DE 
INFORMAÇÃO – ABORDAGEM INICIAL
- -2
Olá!
Ao final desta aula, você será capaz de:
1 - Saber o que é Auditoria de Sistemas;
2 - Conhecer o papel e o perfil do auditor de sistemas;
3 - Identificar os tipos de auditorias da Tecnologia da Informação (TI);
4 - Entender o comportamento e a ética de um auditor.
A filosofia de Auditoria em tecnologia de informações está calcada em segurança e em controles internos. Seu
objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivas. Desta
forma, podemos dizer que a Auditoria de Sistemas é uma atividade que engloba o exame das operações,
processos, sistemas e responsabilidades gerenciais de uma determinada empresa, com o objetivo de garantir:
• A segurança de informações, recursos, serviços e acesso.
• A conformidade com objetivos da empresa, políticas administrativas, orçamentos, regras, normas e 
padrões.
Os recursos podem ser:
No contexto de sistemas de informações, Antonio Gil enumera as funções clássicas de uma organização em:
Planejamento: Determinação via sistemas de informações computadorizados => Informações quede padrões
exprimem uma expectativa de comportamento futuro (planejar o sistema, obter aprovação dos planos por parte
do cliente).
•
•
- -3
Execução: Caracterização via sistemas de informações computadorizados => Informações que sãode medidas
registros de operações ocorridas (execução do trabalho feito. Se sistemas em desenvolvimento, trata-se da
confecção do sistema conforme planos aprovados pelo cliente. Se sistemas em operação, a execução operacional
do mesmo conforme schedule de produção).
Controle: via sistemas de informações computadorizados de desvios ocorridos no trabalho Acompanhamento 
realizado quando comparado com o planejado. => Informações obtidas do confronto de medidas (comparação
entre o trabalho realizado versus o que foi planejado. Em caso de discrepância, solicitação de ações corretivas
por parte dos responsáveis).
O atua corno um verificador do trabalho realizado neste sentido. Essa atuação se daráAuditor de Sistemas
segundo as ações de do ciclo administrativo e corresponde a uma ação VALIDAÇÃO e AVALIAÇÃO
, contemplando a integração das funções administrativasINDEPENDENTE, duplicada logicamente
componentes do ciclo administrativo.
Validação: Exprime a ideia de TESTE.
Avaliação É o conceito que exprime a ideia de julgamento e : emissão de opinião.
A duplicidade lógica reside no conceito de que diversos níveis de chefia já poderão ter feito processos análogos
aos da auditoria, embora não estruturados.
1 Posicionamento da Auditoria de Sistemas nas 
organizações
Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar
distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de
conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões,
não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa
deve ser logo abaixo da direção executiva da empresa. Como exemplo, mostramos o seguinte organograma:
- -4
2 Perfil do auditor de Sistemas
O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação. Deve também ter
visão abrangente da empresa, pois irá verificar se os sistemas que estará auditando suportam adequadamente os
usuários do mesmo. Com isto não afirmo que o auditor de Sistemas deva conhecer tudo da empresa, mas o
suficiente para saber o que perguntar a quem, quando no exercício de sua função, ou seja, consultar especialistas
quando o assunto fugir de seu domínio tal como assuntos legais.
Seu comportamento deve ser condizente com quem tem autoridade no assunto.
E o auditor de Sistemas a tem, entretanto, não precisa apregoar isto a ninguém, as pessoas sabem do poder de
um auditor!!! (as vulnerabilidades encontradas em um sistema, se não corrigidas a tempo, poderão retirar o
sistema de operação gerando demissões dos responsáveis). Da mesma forma que o comportamento adequado,
deve ser sua maneira de vestir. Nada de extravagâncias. O auditor não precisa chamar atenção com roupas de
- -5
um colorido berrante, barba por fazer ou bijuterias parecendo árvore de natal. Seu domínio no assunto
impressionará mais que qualquer adorno fora de contexto. E, principalmente, nada de gírias. Observe que elas
não cairiam bem na figura de alguém em tão alto posto no organograma da empresa.
Recomendação!!!
Nada de Agradinhos.
Lembro-me que quando comecei a trabalhar na auditoria do banco, meu chefe disse que eu não poderia aceitar
presentes, almoços ou jantares dos auditados. Com certeza, isso poderia sugerir um agrado para eu não
mencionar alguma vulnerabilidade encontrada nos sistemas.
3 Equipe de Auditoria
Há dois grandes meios de se ter uma equipe de auditoria:
Interna
Na auditoria interna, quando os auditores são colaboradores da empresa, a equipe é
treinada conforme objetivos de segurança da empresa. Uma metodologia de auditoria deve
ser adquirida ou desenvolvida em casa. Não é um trabalho trivial, mas há recompensas
quando a auditoria evita impactos desastrosos (como, por exemplo, perda financeira ou
quebra de imagem da empresa) que poderiam ser causados por sistemas ou
procedimentos com falhas de segurança, tais como fraude, contabilização indevida de
dados contábeis, indisponibilidade de sistemas, acessos (lógico e/ou físico) indevidos e por
aí afora.
O recrutamento e o treinamento de pessoal neste caso podem ser um desafio!
- -6
Externa
Na auditoria externa, a empresa contrata uma firma de consultores para procederem à
auditoria de alguma área ou sistema específico. Os métodos de condução da auditoria são
pertinentes à empresa contratada. Neste caso, há a possibilidade de se perder o controle
sobre trabalhos realizados.
Atenção
Cabe ressaltar que independente do tipo de auditoria, interna ou externa, seu custo significa despesa, urna vez
que não haverá geração de renda do trabalho realizado.
4 Programa de Desenvolvimento de Carreira de Auditor de 
Tecnologia da Informação
O treinamento de auditor de tecnologia da informação é dividido em duas partes:
Pouca ou nenhuma experiência em tecnologia da informação
O treinamento da categoria que tem pouca ou nenhuma experiência em tecnologia da informação deve incluir:
• Conceitos de tecnologia da informação;
• Fundamentos de arquitetura de sistemas, Input/Output, processamento lógico, unidade de memória 
principal e auxiliar, visando auditoria;
• Rede de computadores, teleprocessamentos, internet, intranet e extranet, com configurações 
pertinentes,
• Programação de computação, incluindo os conceitos de flowchart e Diagrama de Fluxo de Dados;
• Tabelas de decisão e sua aplicação nas principais linguagens de programação. Observe-se que o auditor 
devera aprender somente os itens necessários para atividades do dia a dia;
• Introdução aos controles gerais de computadores (operação, aquisição, desenvolvimento e manutenção 
de sistemas; controles de acesso, hardware, controles organizacionais e suporte técnico);
• Estudo de caso que exemplifique cada situação (jogo de negócios) é desejável.
Experiente em tecnologia da informação
O treinamento para aqueles que possuem experiência em tecnologia da informação deve incluir:
• Revisão dos controles gerais (operações, aquisição, desenvolvimento e manutenção, controles de acesso, 
hardware, controles organizacionais e suporte técnico). Auditoria de sistemas aplicativos, princípios e 
práticas de auditoria com ênfase nos controles gerenciais e organizacionais, monitoramento e emissão de 
relatórios;
• Gerenciamento de riscos, privacidade, desenvolvimento e implementação de políticas e estratégias de 
segurança da informação;
• Avaliação dos sistemas on line com relação ao processamento em tempo real, controles de recall e 
identificaçãode programas, verificação das autenticações e autorizações de acessos e registros 
(contabilização) das transações. Também inclui correção, detecção e manutenção de diários (journaling) 
das operações;
• Transmissão de dados, proteção de informações, segurança associada ao uso dos sistemas, 
teleprocessamentos, redes internet, intranet e extranet;
• Controles de operações, processamento interativo em atividades de negócios e e-commerce;
• Iniciação de trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, 
•
•
•
•
•
•
•
•
•
•
•
•
•
- -7
• Iniciação de trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, 
abordagens aos métodos existentes e supervisões necessárias;
• Controles de acesso à biblioteca de dados ou programas, armazenamento e recuperação dos mesmos a 
partir de bases hierárquicas, relacionais ou Data Warehouse, plano de contingência (de backup, 
emergência e recuperação) de desastres;
• Software de auditoria, distinguindo-se os softwares generalistas dos específicos, como apoio dos 
especialistas em tecnologia da informação para desenvolver softwares que atentem para metodologias 
próprias.
5 Biblioteca Técnica
O grupo de auditores de sistemas de uma empresa deve ter à sua disposição uma biblioteca técnica para
consulta. Não apenas sobre informações pertinentes ao processamento de dados, mas também sobre produtos
da empresa para os quais houve uma auditoria prévia. Desta forma, será possível a orientação dos trabalhos dos
auditores de acordo com padrões conhecidos na empresa e a manutenção do conhecimento técnico em relação
às novas tecnologias.
Também devem ser arquivados todos os relatórios de auditorias prévias, com os respectivos papéis de trabalho,
pois os mesmos servirão de fonte de consulta em auditorias futuras sobre o mesmo assunto.
Manuais de metodologia de gerência e de desenvolvimento de sistemas, políticas administrativas e demais
padrões e normas da empresa também deverão fazer parte da biblioteca da auditoria bem como manuais e
folhetos de hardware e software.
6 Auditoria da Tecnologia da Informação
A auditoria convencional sempre foi conhecida por sua responsabilidade nos testes de confiabilidade dos
registros, de acordo com os documentos-fonte (os documentos que geram as transações econômicas, financeiras
e contábeis) disponíveis através de quaisquer dados intermediários que possam existir e para os quais são
produzidos relatórios para a tomada de decisões gerenciais. Porém, devido à evolução da tecnologia da
informação, que interfere nas tecnologias gerenciais, geração a geração, é necessário guardar as informações
para que estejam disponíveis para a auditoria, quando solicitadas. Sabe-se que devido à complexidade dos
ambientes e expansão dos negócios que atingiram implementações em ambientes de internet, intranet e
extranet, há grandes problemas quanto à vulnerabilidade de computadores e casos de fraude.
Dependendo da sofisticação do sistema computadorizados, podemos ter três tipos de abordagens de auditoria de
sistemas.
Abordagem ao redor do computador: Muito usada no passado, resume-se no exame dos níveis de anuência
associados à aplicação dos controles organizacionais, no que concerne à tecnologia de informação. Isto significa a
•
•
•
- -8
auditoria de documentos-fonte com as funções de entrada subjacentes e dominando as funções de saída, que se
encontram em formatos de linguagem legível por leigos em Informática. Pouca ou nenhuma atenção é prestada
às funções de processamento. O sistema de processamento eletrônico de dados nesta época foi usado para
tarefas menores, tais como obtenção de níveis de estoque e sugestões para realimentação, quando fossem reais.
As operações simples como isolamento de estoque com pouca movimentação e estoques obsoletos também eram
executadas pelos computadores, gerando relatórios impressos.
Abordagem através do computador: Esta abordagem envolve mais do que a mera confrontação de 
documentos-fonte com resultados esperados, simulando todas as transações possíveis, através do uso do test
data (ferramenta para auditoria, que veremos em aulas futuras). No entanto, este método alerta quando há o
manuseio de dados, aprovação e registro de transações comerciais, sem deixar evidências documentais
razoáveis através de controles de programas construídos junto aos sistemas. Por esta razão, o auditor precisa
acompanhar o processamento através e dentro do computador.
Abordagem com o computador: A primeira abordagem (ao redor do computador) não é eficiente devido ao 
fato de que negligencia algumas das qualidades dos controles internos dos sistemas e propicia falta de
disponibilidade de testes substantivos convincentes que visam ajudar na conclusão sobre os sistemas. A segunda
abordagem (através do computador), preferida em relação à primeira, pode também produzir registros
incompletos. Ao invés de efetuar uma verificação de equilíbrio com as ferramentas, ela tende a negligenciar os
procedimentos manuais, deixando incompleta a maioria das tarefas normalmente efetuadas manualmente.
Como consequência, as firmas de auditoria e os pesquisadores da área contábil propuseram um meio de auditar
as tecnologias de informação com a maior perfeição possível, utilizando a abordagem com o computador
completamente assistida. Veja o documento do saiba mais para ver quais objetivos são alcançados dessa forma.
7 Padrões e Código de Ética para a Auditoria de Sistemas 
de Informação
Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de tecnologia de Informação dos
estados Unidos, os padrões são:
Responsabilidade, autoridade e prestação de contas: A responsabilidade, a autoridade e a prestação de 
contas sobre a função de auditor de tecnologia de informação devem ser apropriadamente documentadas em
uma carta proposta ou de aderência ao escopo.
Independência profissional: Em todas as questões relativas à auditoria, o auditor de tecnologia da informação
deve ser independente, seja em atitude ou aparência. No relacionamento organizacional, a função de auditor de
- -9
tecnologia da informação deve ser suficientemente independente da área sob auditoria para permitir uma
conclusão objetiva da auditoria.
Ética profissional e padrões: O auditor de tecnologia da informação deve aderir ao código de ética da 
Associação de Controle e Auditoria de Tecnologia da Informação, atentando para o cumprimento do zelo
profissional. O devido zelo profissional e a observância dos padrões profissionais de auditoria devem ser
exercidos em todos os aspectos do trabalho do auditor de tecnologia da informação.
Competência: O auditor de tecnologia da informação, no uso de suas habilidades e conhecimentos, deve ser
competente tecnicamente, possuindo habilidades e conhecimentos necessários para a execução do trabalho do
auditor. O auditor de tecnologia da informação ainda deve manter a competência técnica através de constante
aprimoramento profissional por via educação continuada.
Planejamento: O auditor de tecnologia da informação deve planejar suas tarefas para direcionar os objetivos da 
auditoria e seguir os padrões profissionais de auditoria aplicáveis. Sua equipe deve ser supervisionada
apropriadamente para assegurar que os objetivos de auditoria sejam alcançados e os padrões profissionais de
auditoria aplicáveis sejam respeitados. Outrossim, durante o curso da auditoria, o auditor de tecnologia da
informação deve obter evidências suficientes do trabalho realizado, sendo estas evidências confiáveis,
relevantes e proveitosas para alcançar efetivamente os objetivos da auditoria. Os pontos e as conclusões
da auditoria devem ser fundamentados por meio de análise e interpretação apropriadas destas
evidências.
Emissão do relatório: O auditor de tecnologia da informação deve prover um relatório, em forma apropriada,
para os destinatários, por ocasião da conclusão do trabalho de auditoria. O relatório deve apresentarescopo,
objetivos, período de abrangência, natureza e extensão do trabalho executado. Deve identificar a organização, os
usuários desejáveis e quaisquer restrições à sua circulação. Ainda, neste relatório, devem-se incluir as
observações, conclusões, recomendações e quaisquer ressalvas ou conceitos que o auditor possua a respeito da
auditoria.
O auditor não altera nada no objeto de auditoria (sistema, área auditada, CPD). Apenas constata vulnerabilidades
e fraquezas, informa oficialmente e recomenda ações de acerto, mas NUNCA soluções. Estas são de
responsabilidade dos auditados.
Atividades de follow-up
O auditor de tecnologia da informação deve requisitar e avaliar informações apropriadas sobre o ponto, as
conclusões e as recomendações anteriores e relevantes para determinar se ações apropriadas foram
implementadas em tempo hábil, conforme informado pelos auditados.
Código de Ética Profissional (ISACA)
- -10
A Associação de Auditores de Sistemas e Controles (ISACA, USA), estabeleceu o código de ética profissional para
guiar seus membros na condução de suas atividades profissionais. De acordo com o disposto no Código, os
membros da ISACA devem:
• Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de 
informações e encorajar o seu cumprimento.
• Exercer suas funções com objetividade, diligência e zelo profissional de acordo com os padrões 
profissionais e melhores práticas.
• Servir aos interesses dos (toda e qualquer pessoa que esteja de uma forma ou de outra stakeholders 
ligada ao objeto da auditoria) de forma legal e honesta, atentando para a manutenção de alto padrão de 
conduta e caráter profissional, e não encorajar atos de descrédito à profissão;
• Manter a privacidade e a confidencialidade das informações obtidas no decurso de suas funções, exceto 
quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou 
entregues a pessoas desautorizadas.
• Manter a competência nas respectivas especialidades e assegurar que nos seus exercícios somente atua 
nas atividades em que tem razoável habilidade para competir profissionalmente.
• Informar partes envolvidas sobre resultados de seus trabalhos, expondo todos os fatos significativos que 
tiverem ao seu alcance.
• Apoiar a conscientização profissional dos para auxiliar a sua compreensão dos sistemas de stakeholders 
informação, segurança e controle.
O que vem na próxima aula
Na próxima aula, você estudará sobre o seguinte assunto:
• Planos de Contingência (Atividades a serem executadas na eventualidade de ocorrência de um dano, a 
fim de manter a continuidade dos negócios da empresa), constituído de três subplanos: plano de backup; 
plano de emergência; plano de recuperação.
•
•
•
•
•
•
•
Saiba mais
Qualificação Profissional
Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus
conhecimentos estão atualizados e compatíveis com os padrões profissionais. Algumas
organizações certificadoras:
Information Systems Audit and Control Association (ISACA) - Certificado de Auditor de
Sistemas de Informação (ISACA Certified Information Systems Auditor – CISA)
British Computer Society – Exame da Sociedade Britânica de Informática
Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional (IIA
Qualification in Computer Auditing)
•
- -11
CONCLUSÃO
Nesta aula, você:
• Conheceu o que é Auditoria de Sistemas;
• Distinguiu o papel e o perfil do auditor de sistemas;
• Identificou tipos de auditorias da Tecnologia da Informação (TI);
• Entendeu o comportamento e a ética de um auditor de sistemas.
•
•
•
•
	Olá!
	
	1 Posicionamento da Auditoria de Sistemas nas organizações
	2 Perfil do auditor de Sistemas
	3 Equipe de Auditoria
	4 Programa de Desenvolvimento de Carreira de Auditor de Tecnologia da Informação
	5 Biblioteca Técnica
	6 Auditoria da Tecnologia da Informação
	7 Padrões e Código de Ética para a Auditoria de Sistemas de Informação
	O que vem na próxima aula
	CONCLUSÃO