Biblioteca_2120698

Prévia do material em texto

AUDITORIA DE SISTEMAS
Prof. Alessandro Larangeiras
CONTEÚDO
1. CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE
INFORMAÇÃO
1.1 Fundamentos de auditoria
1.2 Tipos de auditoria
1.3 Equipe de auditoria
1.4 Desenvolvimento da carreira do auditor
2. FASES PARA REALIZAÇÃO DE UMA AUDITORIA
2.1 Planejamento
2.2 Execução
2.3 Emissão e divulgação de relatórios
2.4 Follow-up
2 / 160
CONTEÚDO (cont.)
3. FERRAMENTAS DE AUDITORIA
3.1 Software generalista de auditoria de Tecnologia da
Informação
3.2 Softwares especializados de auditoria
3.3 Programas Utilitários de auditoria
4. TÉCNICAS DE AUDITORIA
4.1 Dados de teste
4.2 Facilidade de teste integrado
4.3 Simulação paralela
4.4 Lógica de auditoria embutida nos sistemas
4.5 Rastreamento e mapeamento
4.6 Análise da lógica de programação
3 / 160
CONTEÚDO (cont.)
5. TIPOS DE AUDITORIA
5.1 Auditoria de redes de computadores
5.2 Auditoria de controles de hardware
5.3 Auditoria de controles de acesso
5.4 Auditoria na aquisição, desenvolvimento, documentação e
manutenção de sistemas
5.5 Auditoria de sistemas de informação em produção
5.6 Auditoria de eventos
5.7 Outras
6. EMISSÃO DE RELATÓRIOS DE AUDITORIA
6.1 Carta de encaminhamento do rascunho preliminar do relatório
de auditoria
6.2 Relatórios padrões de conclusão da auditoria de sistemas
4 / 160
CONTEÚDO (cont.)
7. AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS
7.1 Pré-requisitos
7.2 Metodologia de seleção
7.3 Principais pacotes disponíveis no mercado
7.4 Ferramentas de análise de dados
7.5 Avaliação de pacotes de auditoria de sistemas
8. AUDITORIA DE SISTEMAS E SEGURANÇA DA
INFORMAÇÃO
8.1 Informação como valor para o negócio
8.2 O que é e como acontece uma Auditoria em Segurança da
Informação
8.3 Auditoria e Política de Segurança de TI
5 / 160
BIBLIOGRAFIA
Básica:
• CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016.
• ATTIE, William. Auditoria: Conceitos e Aplicações. 7. ed.
Rio de Janeiro: Atlas, 2018.
• IMONIANA, Joshua O. Auditoria de Sistemas de
Informação. 3. ed. Rio de Janeiro: Atlas, 2016.
6 / 160
CONTEÚDO
1. CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE
INFORMAÇÃO
1.1 Fundamentos de auditoria
1.2 Tipos de auditoria
1.3 Equipe de auditoria
1.4 Desenvolvimento da carreira do auditor
7 / 160
1 CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS
DE INFORMAÇÃO
8 / 160
AUDITORIA DE SISTEMAS
Auditoria é a «fiscalização da legalidade ou da conformidade de
uma atividade, de um serviço, de um sistema, de um processo,
etc. [...].» (AUDITORIA, 2021, acep. 3).
«A atividade de auditoria [...] tem como principal produto formal
um parecer, expressando a opinião do auditor sobre a adequação,
ou não, com que as demonstrações contábeis representam a posi-
ção patrimonial e financeira da entidade auditada [...], tomando
como base de comparação os princípios fundamentais, ou geral-
mente aceitos, de contabilidade. Para suportar sua opinião, o
auditor independente deve coletar evidências suficientes e apro-
priadas de auditoria, através de um conjunto de procedimentos
técnicos.» (RAMIRES; KALINOWSKI; SPÍNOLA, 2010, p. 26-27).
9 / 160
AUDITORIA DE SISTEMAS (cont.)
Assista ao vídeo Você Sabe como Funciona uma Auditoria? ® ,
do canal Contabilizando (YouTube), para conhecer alguns aspec-
tos relacionados à atividade de auditoria.
10 / 160
https://www.youtube.com/watch?v=AYvTlentXJM
AUDITORIA DE SISTEMAS (cont.)
«Para muitas organizações, a informação e a tecnologia que
suportam o negócio representa o seu mais valioso recurso. Além
disso, num ambiente de negócio altamente competitivo e dinâmico
é requerida uma excelente habilidade gerencial, onde a TI deve
suportar as tomadas de decisões de forma rápida, constante e
com custos cada vez mais baixos.» (RAMIRES; KALINOWSKI; SPÍNOLA,
2010, p. 27).
11 / 160
AUDITORIA DE SISTEMAS (cont.)
«O bom funcionamento, a confiabilidade e a segurança
aplicada [aos sistemas de informação relacionados] [...] são de
fundamental importância para que as informações colhidas sejam
de grande valia para o auxílio à tomada de decisão por parte dos
gestores das organizações.» (CASATI, 2016, p. 11, grifos nossos).
Sistemas de Informação funcionando corretamente, confiáveis e
seguros produzem informações válidas e, consequentemente,
com alto valor agregado.
12 / 160
AUDITORIA DE SISTEMAS (cont.)
«O uso de sistemas informatizados é abrangente [e algumas em-
presas] [...] não conseguem funcionar nem poucas horas sem a
utilização deste recurso. A auditoria de sistemas é estimulada e
cresce à medida que as organizações ficam mais dependentes
da informação de qualidade, e, portanto, do uso de sistemas
informatizados [...].» (CASATI, 2016, p. 11).
Depósito da Amazon em Melbourne, Austrália.
13 / 160
AUDITORIA DE SISTEMAS (cont.)
Assista ao vídeo O Que uma Auditoria de TI Verifica ® , do canal
Galeria WeAudit (YouTube), para conhecer alguns aspectos rela-
cionados à atividade de auditoria de sistemas.
14 / 160
https://www.youtube.com/watch?v=24C8INjVvmQ
AUDITORIA DE SISTEMAS (cont.)
«A auditoria de sistemas engloba as operações de uma organiza-
ção, os processos envolvidos com estas operações, os sistemas
que geram as informações e por fim a responsabilidade gerencial.
Ela também se atém à verificação da conformidade destes itens
com os objetivos, normas, padrões, regras, orçamento e a política
de uma organização. Garantir a segurança da informação, a dis-
ponibilidade e a qualidade de recursos e serviços também é papel
da auditoria de sistemas.» (CASATI, 2016, p. 11).
«Pode-se definir auditoria de sistemas como uma verificação de
conformidade dos processos com os padrões de uma organização
[...].» (CASATI, 2016, p. 13).
15 / 160
AUDITORIA DE SISTEMAS (cont.)
«As funções administrativas da auditoria de sistemas passam por
três fases:
• planejamento: em que são definidas as expectativas de
comportamento, os padrões a serem seguidos, as políticas
da organização, as previsões orçamentárias, entre outras
definições. O cronograma de execução da auditoria também
é definido nesta fase;
16 / 160
AUDITORIA DE SISTEMAS (cont.)
• execução: medidas das operações e processos da organi-
zação. Nesta fase o auditor deve verificar minuciosamente
cada processo a ser auditado e colher informações suficien-
tes para que se possa analisar as operações em relação ao
planejamento;
• controle: nesta fase as medidas adquiridas são confrontadas
com os padrões definidos na fase de planejamento, a fim de
verificar se as operações estão em conformidade com estes
padrões. Em caso de desvios, deve-se definir quais ações
serão tomadas para que as discrepâncias não sejam repe-
tidas.»
(CASATI, 2016, p. 11-12).
17 / 160
AUDITORIA DE SISTEMAS (cont.)
Fases da auditoria de sistemas (CASATI, 2016, p. 12).
18 / 160
TIPOS DE AUDITORIA DE SISTEMAS
«Existem basicamente dois tipos de auditoria: a auditoria interna
e a externa. Na auditoria interna, a organização tem em seu qua-
dro de colaboradores uma equipe de profissionais qualificados e
habilitados em auditoria de sistemas, que são treinados especifi-
camente para as necessidades e os objetivos de segurança da
própria organização. Auditoria externa é a contratação de uma
empresa especializada que presta serviços de auditoria. A
equipe desta empresa contratada irá atuar sob demanda na
organização.» (CASATI, 2016, p. 15).
19 / 160
IMPORTÂNCIA E DIFICULDADES
DA AUDITORIA DE SISTEMAS
Assista ao vídeo Auditoria e Segurança de Sistemas ® , do
canal Marcos Assi (YouTube), para uma reflexão sobre a im-
portância da auditoria de sistemas para as organizações.
20 / 160
https://www.youtube.com/watch?v=x99qRbAhHlw
IMPORTÂNCIA E DIFICULDADES
DA AUDITORIA DE SISTEMAS (cont.)
Assista ao vídeo Dez Insights para Auditores de Sistemas ® ,
do canal ATSG – Academia Tecnológica de Sistemas de Gestão
(YouTube), para uma reflexão sobre a importância da auditoria de
sistemas e algumas dificuldades da sua execução.
21 / 160
https://www.youtube.com/watch?v=gbqhEw8BJiA
ÁREAS DA AUDITORIA DE SISTEMAS
«Asáreas de auditoria de sistemas são basicamente as seguintes:
segurança da informação, TI e Aplicativos. Não há uma regra fixa
para determinar como as organizações devem classificar sua área
de auditoria; isto fica a critério da própria organização.
Na área de segurança da informação, é necessário avaliar a con-
formidade com as políticas de segurança da organização, efetuar
controles ambientais e plano de contingência e continuidade dos
serviços. Os controles de segurança da informação a serem
implantados são:
• confidencialidade: controles de acesso (físico e lógico);
• integridade: gravação e atualização autorizadas [...];
• disponibilidade: sistema disponível sempre que necessário;
• consistência: sistema funcionando dentro dos requisitos
especificados;
• confiabilidade: sistema atua conforme esperado.
22 / 160
ÁREAS DA AUDITORIA DE SISTEMAS (cont.)
Na área de tecnologia da informação, o auditor deve manter co-
nhecimento sobre as mudanças organizacionais, operações de
sistemas, hardware, computação em nuvem (Cloud Computing),
sistemas ERP (Enterprise Resource Planning), data warehousing,
entre outras. É desejável também que o auditor desta área tenha
certificações (ITIL, Cobit, entre outras) a fim de agregar valor à
entrega do serviço.
A área de aplicativos controla o desenvolvimento de software, a
entrada, o processamento e a saída dos dados, o conteúdo e o
funcionamento dos aplicativos.» (CASATI, 2016, p. 17-18).
23 / 160
ABORDAGENS DA AUDITORIA DE SISTEMAS
A auditoria de sistemas pode ser conduzida por meio de três
abordagens:
a) ao redor do computador: antiga e obsoleta, não envolve o
uso de computador em momento algum da auditoria. Carac-
terístas: emprego de rotinas manuais, requer pouco conheci-
mento de Tecnologia da Informação, analisa apenas a entra-
da e a saída dos documentos-fonte, viável para a auditoria de
sistemas pequenos e pouco complexos;
b) através do computador: melhoria da abordagem anterior, en-
volve o uso parcial do computador na auditoria. Característi-
cas: maior confiabilidade nas medições, possibilita diferentes
modos de verificação dos documentos-fonte, apresenta maior
custo;
24 / 160
ABORDAGENS DA AUDITORIA DE SISTEMAS (cont.)
c) com o computador: auditoria completamente assistida por
computador. Características: uso do computador para cálcu-
los aritméticos e lógicos (de impostos, depreciação de bens,
taxas etc.), cálculos estatísticos e amostrais (para compara-
ções e confirmações), compilação dos resultados de proces-
sos manuais e automatizados, ordenação e seleção de regis-
tros (varredura em banco de dados, estritamente com infor-
mações relevantes), desenvolvimento de softwares para a
equipe de auditoria, adoção de TAAC – Técnicas de Auditoria
Assistidas por Computador (CAAT – Computer-Assisted Audit
Techniques).
(CASATI, 2016, p. 18-20).
25 / 160
ATIVIDADE DE FIXAÇÃO 1
1. (Gran Cursos Online | Concurso Analista Legislativo Municipal · Área Controladoria ·
2017) Nos trabalhos de auditoria interna, para que haja inde-
pendência organizacional, o executivo chefe de auditoria deve
reportar-se a um nível dentro da organização que permita à
atividade de auditoria interna cumprir suas responsabilidades.
A independência dentro da organização se alcança de forma
efetiva quando o executivo chefe de auditoria se reporta funci-
onalmente ao Conselho de Administração. Nesse contexto,
dos exemplos de reporte funcional do executivo chefe da au-
ditoria ao Conselho de Administração, o que poderia prejudi-
car a independência dentro da organização é a aprovação
do(a):
a) estatuto de auditoria interna.
b) escopo da auditoria interna.
c) planejamento de auditoria baseado em riscos.
d) orçamento de auditoria e do plano de recursos.
e) remuneração do executivo chefe de auditoria.
26 / 160
ATIVIDADE DE FIXAÇÃO 1 (cont.)
2. (Aprova Concursos | Q786393 · VUNESP · 2015 · TCE-SP · Agente de Fiscalização
Financeira · Sistemas, Gestão de Projetos e Governança de TI) Considerando
as definições apresentadas na literatura a respeito da
auditoria de sistemas, é correto afirmar que a auditoria de
sistemas de informação:
a) pode ser feita por profissionais internos à empresa proprietária
dos sistemas
b) não abrange os sistemas de bancos de dados da empresa.
c) não pode ser feita por profissinais externos à empresa
proprietária dos sistemas.
d) não se importa com o tipo de controles existentes nos
sistemas de informação.
e) somente deve ser feita uma vez a cada dois anos.
27 / 160
ATIVIDADE DE FIXAÇÃO 1 (cont.)
3. (Gran Cursos Online | Concurso Auditor · 2018) Um relatório de auditoria
interna deve apresentar o resultado dos trabalhos de forma a
expressar, claramente, suas conclusões, recomendações e
providências a serem tomadas pela administração da entida-
de. Entre os requisitos de um relatório de auditoria, NÃO é
recomendável que seja(m):
a) descrita a metodologia adotada no trabalho.
b) descritas as evidências encontradas e os fatos constatados.
c) apresentados os riscos associados aos fatos constatados.
d) incluídos em anexo todos os papéis de trabalho correntes e
permanentes.
e) reveladas eventuais limitações ao alcance dos procedimentos
de auditoria.
28 / 160
ATIVIDADE DE FIXAÇÃO 1 (cont.)
4. (Gran Cursos Online) Na auditoria realizada na companhia
distribuidora de peças e acessórios para veículos leves e
pesados, o auditor registrou as seguintes constatações:
i. Descontos obtidos pelo pagamento de duplicatas a
fornecedores contabilizados como receitas de aplicações
financeiras.
ii. Adulteração para mais de valores de créditos de ICMS
registrados no livro apuração do ICMS referente a compras
para comercialização.
iii. Por desatenção de funcionário da tesouraria recém contratado
foi concedido desconto no pagamento com atraso de
duplicatas a receber efetuado pelo cliente.
iv. Registro de notas fiscais fictícias de despesas, com o objetivo
de justificar saque na tesouraria da empresa.
29 / 160
ATIVIDADE DE FIXAÇÃO 1 (cont.)
Segundo as Normas de Auditoria, as constatações re-
gistradas pelo auditor caracterizam, respectivamente:
a) erro, fraude, erro e fraude.
b) fraude, fraude, erro e erro.
c) erro, fraude, fraude e erro.
d) fraude, erro, fraude e fraude.
e) fraude, erro, fraude e fraude.
30 / 160
A EQUIPE DE AUDITORIA
«A equipe de auditoria de sistemas deve ter autonomia para
execução do trabalho nas organizações. O acesso aos dados,
softwares e computadores deve ser permitido para que o auditor
possa colher informações suficientes, executar os testes e colher
medidas, para posteriormente comparar estas medidas com os
padrões adotados pela organização.
Para que isso ocorra, é necessário que a equipe de auditoria seja
diretamente ligada à presidência da organização, não podendo
esta equipe estar subordinada aos departamentos a serem
auditas (sic), garantindo assim a isenção dela diante do órgão
auditado [...].» (CASATI, 2016, p. 16).
31 / 160
A EQUIPE DE AUDITORIA (cont.)
Organograma com adição da equipe de auditoria (CASATI, 2016, p. 17).
32 / 160
A EQUIPE DE AUDITORIA (cont.)
«Obedecendo a esta estrutura organizacional, o auditor tem
liberdade e acesso às informações para trabalhar e apontar as
distorções visando a melhorar os processos da organização.
A equipe de auditoria de sistemas pode esbarrar em algumas
dificuldades para que o trabalho possa ser bem executado. As
principais dificuldades encontradas pela auditoria de sistemas,
indentificadas por Benetti (2015), são:
• defasagem tecnológica;
• falta de bons profissionais;
• falta de cultura da empresa;
• tecnologia variada e abrangente.»
(CASATI, 2016, p. 17).
33 / 160
O PERFIL DO AUDITOR DE SISTEMAS
«O auditor de sistemas é um verificador do trabalho realizado. É
ele quem confronta as medidas obtidas no processo de auditoria
com os padrões previamente estabelecidos, a fim de verificar a
conformidade daquilo que se tem como expectativa com aquilo
que vem sendo executado no ambiente da organização auditada.
O profissional de auditoria atuanas seguintes ações:
• validação: é a etapa em que o auditor executa testes a fim de
validar o processo que foi definido.
• avaliação: o auditor julga a medida adquirida em relação aos
padrões previamente estabelecidos e emite uma opinião por
meio de relatório de auditoria.
34 / 160
O PERFIL DO AUDITOR DE SISTEMAS (cont.)
O perfil de um auditor de sistemas deve estar em conformidade ou
muito próximo aos seguintes itens:
• conhecimento teórico em Sistemas de Informação: conhecer
normas e funcionamento de sistemas computacionais;
• conhecimento prático em sistemas de informação: conhecer
metodologias de desenvolvimento, boas práticas, problemas
comuns, é necessário que tenha experiência trabalhando
diretamente com sistemas;
• visão abrangente da empresa: conhecer as áreas de
atuação, o planejamento estratégico, políticas adotadas em
diversas áreas, principalmente no que se refere aos dados e
informações;
35 / 160
O PERFIL DO AUDITOR DE SISTEMAS (cont.)
• vestir-se adequadamente: passar a imagem de um profis-
sional de alto escalão;
• comportamento de liderança: criar sinergia, não entrar em
conflitos, demonstrar conhecimento e agregação de valor;
• utilizar palavreado formal: não utilizar-se de gírias e linguajar
exageradamente coloquial, a fim de transparecer confiança e
segurança;
• não aceitar presentes: o auditor não deve aceitar qualquer
tipo de agrado para passar a imagem de isenção e ética.»
(CASATI, 2016, p. 13-14).
36 / 160
O PERFIL DO AUDITOR DE SISTEMAS (cont.)
Assista ao vídeo Dez Competências Fundamentais para um
Auditor Interno de Sucesso ® , do canal ProdutividadeMaxima
(YouTube), para mais uma reflexão sobre o perfil profissional do
auditor de sistemas.
37 / 160
https://www.youtube.com/watch?v=j9G88HcH8UU
A CARREIRA DO AUDITOR DE SISTEMAS
«Ser um auditor de sistemas não significa que o profissional não
necessite da qualificação que o designa auditor, além dos conhe-
cimentos específicos em sistemas de informação e computação
[...].» (CASATI, 2016, p. 14).
38 / 160
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
«A carreira do auditor de sistemas passa por uma certificação,
que pode ser emitida por três instituições:
• ISACA: Certified Information System Auditor (CISA)[, asso-
ciação internacional de profissionais de governança de TI];
• British Computer Society: Exame da Sociedade Britânica de
Informática;
• Institute of Internal Auditors (IIA): Qualificação em Auditoria
Computacional.
Ao adquirir uma destas certificações, o profissional torna-se
habilitado a executar auditorias em sistemas.» (CASATI, 2016, p. 14).
39 / 160
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
«O programa de desenvolvimento da carreira de auditor de siste-
mas pode ser dividida em duas diferentes necessidades.
A primeira é quando o auditor tem pouca ou nenhuma experiência
na área de TI. Neste caso, os profissionais devem se especializar
nas seguintes áreas:
• conceitos de TI;
• tabelas de decisões aplicadas em linguagens de programa-
ção;
• aquisição de equipamentos (hardware);
• aquisição de programas de computador (software);
• metodologias e normas para desenvolvimento de soluções
tecnológicas;
• controles de acesso;
40 / 160
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
• operação e manutenção de sistemas;
• fundamentos de arquitetura de sistemas;
• entrada e saída de dados;
• redes de computadores (internet, intranet e extranet);
• programação de computadores;
• modelagem de sistemas;
• sistemas gerenciadores de bancos de dados;
• processamento lógico;
• unidades de memória (auxiliar e principal);
• estudos de caso que exemplifiquem cada situação (jogos de
negócio).
41 / 160
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
Para o profissional que tem conhecimento na área de TI, o treina-
mento deve ser direcionado para os seguintes objetivos:
• auditoria de sistemas aplicativos;
• princípios de práticas de auditoria, enfatizando os controles
organizacionais e gerenciais;
• monitoramento;
• emissão de relatórios;
• gerenciamento de riscos;
• políticas de segurança da informação;
• avaliação dos sistemas on-line;
42 / 160
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
• processamento em tempo real;
• identificação de programas;
• verificação das autenticações e autorizações;
• registros das transações;
• detecção e manutenção de diários das operações.
• softwares de auditoria;
• controles de acesso aos dados e programas;
• propriedade intelectual;
• plano de contingência.
43 / 160
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
O auditor de sistemas deve também possuir uma biblioteca de
consulta. Esta biblioteca deve conter informações pertinentes à
área de TI da organização, documentos e informações sobre
auditorias passadas.
É também de suma importância manter uma biblioteca técnica
para consulta sobre conceitos tecnológicos e de auditoria, assim
como manter-se atualizado em relação a novas tecnologias que
surgem no mercado.» (CASATI, 2016, p. 15-16).
44 / 160
NORMAS DE AUDITORIA
Normas de auditoria são regulações, competências e condutas
do exercício desta profissão, estabelecidas pelos órgãos regula-
dores da área de Contabilidade.
Veja algumas normas de auditoria divulgadas pelo Conselho
Federal de Contabilidade: <https://cfc.org.br/tecnica/
normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/>.
45 / 160
https://cfc.org.br/tecnica/normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/
https://cfc.org.br/tecnica/normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/
NORMAS DE AUDITORIA (cont.)
Assista ao vídeo Bate-Papo sobre Normas de Auditoria ® , do
canal Grupo Portal de Auditoria (YouTube), para conhecer alguns
aspectos sobre normas de auditoria.
46 / 160
https://www.youtube.com/watch?v=Zeh1mgeMzMk
PADRÕES E CÓDIGO DE ÉTICA PARA
AUDITORIA DE SISTEMAS
Além das normas de auditoria, estabelecidas pelos órgãos regu-
ladores oficiais, há também padrões ou códigos de ética, insti-
tuídos por associações do segmento de Auditoria, que servem de
referência para o exercício da profissão (CASATI, 2016, p. 20).
«O comitê de padrões da Associação de Controle e Auditoria de
Tecnologia de Informação dos Estados Unidos define os seguintes
padrões:
• responsabilidade, autoridade e prestação de contas;
• independência profissional;
• ética profissional e padrões;
• competência;
• planejamento;
47 / 160
PADRÕES E CÓDIGO DE ÉTICA PARA
AUDITORIA DE SISTEMAS (cont.)
• emissão de relatório;
• atividades de follow-up (acompanhamento).
Já a Associação de Auditores de Sistemas & Controles (ISACA)
define o código de ética profissional contendo os seguintes itens:
1. apoiar a implementação de padrões sugeridos para procedi-
mentos e controles dos sistemas de informação e encorajar
seu cumprimento;
2. exercer suas funções com objetividade e zelo profissional,
seguindo padrões profissionais e melhores práticas;
3. servir aos interesses dos stakeholders de forma legal e ho-
nesta, com alto padrão de conduta e caráter profissional e
desencorajar atos de descrédito à profissão;
48 / 160
PADRÕES E CÓDIGO DE ÉTICA PARA
AUDITORIA DE SISTEMAS (cont.)
4. manter a privacidade e a confidencialidade das informações
obtidas, exceto quando exigido legalmente. Estas informa-
ções não devem ser utilizadas em benefício próprio ou com-
partilhadas com pessoas não autorizadas;
5. manter competência na sua especialidade e assegurar que
somente atua nas atividades em que tem habilidade sufici-
ente;
6. informar os stakeholders sobre os resultados de seus tra-
balhos, expondo os fatos significativos desde que em seu
alcance; e
7. apoiar a conscientização profissional das partes envolvidas
para auxiliar sua compreensão dos sistemas de informação,
segurança e controle.»
(CASATI, 2016, p. 20-21, grifos nossos).
49 / 160
ATIVIDADE DE FIXAÇÃO 2
1. (Gran Cursos Online | Concurso CGE/CE Auditor de Controle Interno · Área Audito-
ria Governamental · 2019) A atividade de auditoria interna deve ser
independentee os auditores internos, objetivos em seus tra-
balhos. Independência é a imunidade às condições que ame-
açam a capacidade da atividade de auditoria interna de con-
duzir suas responsabilidades de modo imparcial. Assim, pode
ser considerada situação de prejuízo à independência ou à
objetividade do auditor interno a prestação de serviço de:
a) consultoria em operações às quais ele tenha sido responsável
anteriormente.
b) avaliação de operações que anteriormente contaram com sua
consultoria objetiva.
c) avaliação de operações às quais o chefe de auditoria é ou foi
responsável.
d) consultoria sob demanda do conselho de administração.
e) avaliação de operações que ele mesmo avaliou no ano
anterior.
50 / 160
ATIVIDADE DE FIXAÇÃO 2 (cont.)
2. (Universidade Federal da Bahia) O auditor deve ser discreto em
suas atividades, suas ações não devem chamar a aten-
ção das áreas auditadas, não devem gerar incômodos ou
desgastes na rotina. É notório que, em determinados
trabalhos, as solicitações da auditoria atrapalhem a rotina
da área, ou coloquem os auditados em uma situação
desconfortável. Nesse sentido, o auditor deve atuar na
organização de forma:
a) Valorosa e sem critérios.
b) Ética e respeitosa.
c) Criteriosa e sentimental.
d) Mandatória e insensata.
e) Superior e autárquica.
51 / 160
ATIVIDADE DE FIXAÇÃO 2 (cont.)
3. Pesquise, na máquina de busca Google Scholar, o artigo: Re-
gulação da Auditoria em Sistemas Bancários: Análise do
Cenário Internacional e Fatores Determinantes, leia-o, sob
a ótica das normas de auditoria, e formule 3 perguntas re-
lacionadas. Estas perguntas serão submetidas a votação de
todos os alunos e as melhores, debatidas em aula.
52 / 160
CONTEÚDO
2. FASES PARA REALIZAÇÃO DE UMA AUDITORIA
2.1 Planejamento
2.2 Execução
2.3 Emissão e divulgação de relatórios
2.4 Follow-up
53 / 160
2 FASES PARA REALIZAÇÃO DE UMA AUDITORIA
54 / 160
PROCESSO DE AUDITORIA DE SISTEMAS
Como mencionado anteriormente, o processo de auditoria de sis-
temas ocorre inicialmente em três fases: planejamento, execução
e controle. Na fase de planejamento, são definidos os objetivos,
regras, padrões e normas organizacionais; na fase de execução,
são medidas as operações, sistemas, processos e responsabili-
dades gerenciais; na fase de controle, as medições realizadas
são confrontadas com os padrões planejados (CASATI, 2016, p. 37-38).
Ainda na fase de controle, o processo segue para a avaliação ,
na qual se emite um parecer, na forma de relatórios, para a toma-
da de ações que aproximem as medições dos padrões (CASATI, 2016,
p. 38).
55 / 160
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
Elementos das principais fases do processo de auditoria de sistemas
(adaptado de CASATI, 2016, p. 37).
56 / 160
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
Ao término da fase de controle, com a emissão do relatório fi-
nal (parecer), o processo de auditoria segue para a última fase,
o acompanhamento (follow-up), na qual são implementadas
as ações de correção das falhas indicadas no parecer final
(CASATI, 2016, p. 43).
57 / 160
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
O processo de auditoria de sistemas (adaptado de CASATI, 2016, p. 44).
58 / 160
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
«O dia a dia de uma auditoria de sistemas pode ser dividido em 17
ações ou etapas básicas a serem executadas. São elas:
1. Preparar a análise de risco: definir quais áreas ou objetos
são passíveis de auditoria. Neste caso, fatores ambientais
também são levados em consideração. No final desta etapa,
tem-se um escore de priorização para que se auditem as
áreas que demandam tal ação.
2. Fazer revisões dos projetos e produtos: são revisões detalha-
das dos processos da organização com o objetivo de verificar
o escore de risco e estabelecer quais áreas devem ser priori-
zadas, uma vez que auditar todos os sistemas da organiza-
ção é inviável, devido ao custo.
59 / 160
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
3. Familiarizar-se com a área de sistemas: compreender os
produtos, serviços e processos da área de TI, adquirir
conhecimento sobre o ambiente e os sistemas que serão
auditados por meio de documentação e levantamento.
4. Estabelecer a estratégia: definição das ferramentas (estas
ferramentas podem ser softwares) a serem utilizadas, con-
siderando o sistema que será auditado.
5. Estabelecer os objetivos: definir os controles internos e os
processos, que devem estar sempre alinhados ao negócio e
definir também o que será verificado.
6. Definir preocupações: definir quais os itens que mais preocu-
pam a equipe de auditoria, ou seja, os itens aos quais os au-
ditores precisam prestar mais atenção, previamente indicados
como necessários.
60 / 160
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
7. Fazer avaliação preliminar dos controles internos: verificar os
controles que estão implantados no sistema e definir quais
controles serão utilizados. Apenas controles gerais são con-
siderados nesta fase.
8. Finalizar os procedimentos de planejamento: determinar o
tempo da auditoria, qual a equipe de auditores, quais são os
recursos necessários e qual a data provável de emissão do
relatório final.
9. Preparar um documento de aviso: normalmente um memo-
rando, assinado pelo diretor da auditoria, deve ser emitido ao
gerente da área de sistemas, ao diretor e ao diretor da área
para qual o sistema dá suporte. Este documento tem objeti-
vos, cronograma e intenções da auditoria que será executada.
61 / 160
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
10. Reunião inicial: uma reunião inicial deve ser realizada com os
auditados, sua gerência e diretoria, informando sobre as in-
tenções da auditoria e pedindo colaboração para que o forne-
cimento de informações e acessos seja garantido.
11. Elaboração de testes: uma massa de testes deve ser elabo-
rada, com definição de escopo de teste, geração de dados de
teste e determinação dos resultados que serão esperados.
12. Aplicação dos testes: aplica-se a massa de testes elabora-
da anteriormente e colhem-se os resultados. Estes testes
podem ser executados com simulação em laboratório ou
em campo. Os testes têm como objetivo a aprovação da
efetividade dos processos e resultados.
62 / 160
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
13. Análise das simulações: as simulações efetuadas devem ser
analisadas a fim de se detectar discrepâncias. Em caso posi-
tivo, o auditado deve ser avisado verbalmente e por formulário
próprio, emitindo a opinião quanto aos resultados ou do ambi-
ente auditado, com recomendações e solicitação de prazo pa-
ra correção das falhas encontradas.
14. Emissão de relatório provisório: ao término do trabalho de
campo, deve-se emitir um relatório provisório com todas as
falhas encontradas e que não foram solucionadas durante
o período da auditoria. Um carimbo escrito "RASCUNHO"
deve ser utilizado neste relatório para que não se confunda
com o relatório final da auditoria.
63 / 160
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
15. Discussão de relatório provisório: pode-se utilizar de uma
reunião para a discussão do relatório. Neste momento os
auditados e sua gerência devem concordar ou discordar
do relatório provisório por escrito, explicando os motivos.
16. Emissão e distribuição do relatório final: o relatório final de-
ve conter a "nota" do relatório, que é a parte do relatório que
contém as falhas encontradas e que não foram solucionadas,
além de estabelecer uma data para o acerto das falhas. Os
auditados podem concordar com o relatório ou não. Em caso
de negativa, justificar o motivo por escrito.
17. Follow-up (acompanhamento): acompanhamento das datas
de acerto das falhas indicadas na auditoria e que constam no
relatório final.»
(CASATI, 2016, p. 38-40).
64 / 160
CONTROLES INTERNOS
«O Portal da Auditoria (2015) define controle interno como: "[o]
planejamento organizacional e todos os métodos e procedimen-
tos adotados dentro de uma empresa , a fim de salvaguardar
seus ativos, verificar a adequação e o suporte dos dados contá-
beis,promover a eficiência operacional e encorajar a aderência
às políticas definidas pela direção, com o objetivo de evitar FRAU-
DES, ERROS, INEFICIÊNCIAS e CRISES nas empresas."»
(CASATI, 2016, p. 41, grifos nossos).
«A implementação de controles internos é uma das medidas de
segurança mais importantes da organização.» (CASATI, 2016, p. 40).
65 / 160
CONTROLES INTERNOS (cont.)
«Imoniana (2008) define que controles internos em sistemas de
informação seguem os conceitos básicos de auditoria, porém com
abordagens modificadas devido ao uso de sistemas informatiza-
dos. Champlain (2003) afirma que muitos problemas de ordem
legal enfrentados pelas organizações ocorrem devido a controles
internos mal implementados.» (CASATI, 2016, p. 40).
66 / 160
CONTROLES INTERNOS (cont.)
«Os controles internos, segundo Imoniana (2008), têm uma série
de princípios e objetivos:
• supervisão: a gerência deve manter um controle que permita
uma supervisão efetiva no ambiente de TI;
• registro e comunicação: a gerência deve manter registros de
responsabilidades e autorização na disseminação, criação e
processamento de informações de dados;
• segregação das funções: funções incompatíveis devem estar
segregadas,com o objetivo de minimizar a perpetuação de
fraudes, erros e falha na operação normal;
67 / 160
CONTROLES INTERNOS (cont.)
• classificação de informação: deve ser estabelecido pela ge-
rência um plano de classificação da informação seguindo as
normas e necessidades da organização;
• tempestividade: a gerência monitora os registros das transa-
ções, processando-as e comunicando os resultados a quem
for necessário em tempo hábil;
• auditoriabilidade: de acordo com as políticas da organização,
os procedimentos operacionais devem permitir a programa-
ção e a verificação periódica em relação à precisão no pro-
cessamento de dados e emissão de relatórios;
• controle independente: os sistemas em operação devem ter
procedimentos que permitam correções de erro no fluxo de
processamento;
68 / 160
CONTROLES INTERNOS (cont.)
• monitoramento: a gerência deve ter acesso total ao sistema e
ao controle de uso para que possa acompanhar as transa-
ções;
• implantação: planejamento por parte da gerência do desen-
volvimento, manutenção, documentação e aquisição do sis-
tema;
• contingência: deve-se elaborar plano de controle de preven-
ção de falhas nas fases pré e pós implantação do sistema
(desenvolvimento e operação);
• custo efetivo: planejamento dos investimentos em tecnologia
da informação.»
(CASATI, 2016, p. 41-42).
69 / 160
CONTROLES INTERNOS (cont.)
«As organizações devem, segundo Champlain (2003), implemen-
tar controles internos para que os riscos possam ser gerenciados
de maneira viável. Os principais tipos de controles internos que
são passíveis de auditoria de sistemas são os seguintes:
1. Integridade de dados e processos: trata do acesso aos da-
dos, da confidencialidade, dos controles de arquivos e tabelas
e dos controles de mudanças no sistema.
2. Segurança de sistemas: trata da segurança do acesso físi-
co e lógico ao sistema, segurança do banco de dados, uso de
criptografia e assinatura digital.
3. Legibilidade operacional: plano de recuperação de desas-
tres, plano de backup, plano de contingência, treinamento de
pessoal, documentação, desempenho e capacitação.
70 / 160
CONTROLES INTERNOS (cont.)
4. Conformidade: trata de aspectos legais, da política da orga-
nização, dos padrões e normas estabelecidos pela organiza-
ção e por órgãos competentes, se cumpre normas regulató-
rias e se tem seguro.
5. Guarda de registros: trata dos logs do sistema, da retenção
de arquivos e do registro de tudo aquilo que ocorre no âmbito
de TI, para que se possa averiguar posteriormente.
6. Guarda de ativos: trata do inventário da organização.
7. Programas de sistemas: manter o monitoramento dos pro-
gramas e sistemas operacionais.
71 / 160
CONTROLES INTERNOS (cont.)
8. Organização e administração: trata da segregação de fun-
ções (verifica se as funções estão sendo corretamente exe-
cutadas), da organização dos projetos, verificação se normas
de gerenciamento de projeto são aplicadas, se existe PMO
(Project Management Office).
9. Processo de desenvolvimento: trata do desenvolvimento de
software. Estes controles visam checar se o processo de de-
senvolvimento está utilizando de padrões e procedimentos
corretos, se o software está sendo devidamente documenta-
do, entre outros fatores relacionados ao processo de desen-
volvimento, inclusive a respeito do treinamento de pessoal e
de testes unitários e de integração.
72 / 160
CONTROLES INTERNOS (cont.)
10. Ambiente da TI: trata da segurança física e lógica do ambi-
ente, das bibliotecas da organização. Pode englobar a utili-
zação do ITIL (Information Technology Infrastructure Library).
11. Contrato de serviços: os serviços contratados pela organi-
zação também são objetos da auditoria.
12. Procedimentos e padrões: as definições feitas pela organi-
zação devem ser cumpridas no âmbito da TI, portanto, esta
checagem também e alvo da auditoria.»
(CASATI, 2016, p. 42-43, grifos nossos).
73 / 160
FASES DA AUDITORIA DE SISTEMAS
PLANEJAMENTO
«A primeira etapa da fase de planejamento é definir qual o tipo
de auditoria que será executado [(contábil e financeira, fiscal, ope-
racional, de compliance, de sistemas, de qualidade etc.)]. No caso
de auditoria de sistemas, segue-se um escore de risco [, um cál-
culo de pesos e medidas que define] [...] qual área ou sistema é
mais crítico e, assim, mais propício para que seja auditado [...].
Os dados a serem analisados [no escore de risco] [...] são: custo
do sistema; valor diário das transações; volume diário das transa-
ções; visibilidade do cliente; impacto; extensão do sistema; capa-
citação da equipe. Estes dados recebem [...] um valor numérico
de peso, [...] definido pela organização. Os sistemas mais críticos
ou importantes, na visão da organização, recebem valores mai-
ores de pesos.» (CASATI, 2016, p. 44-45).
74 / 160
FASES DA AUDITORIA DE SISTEMAS (cont.)
PLANEJAMENTO
Escore de risco de um sistema (CASATI, 2016, p. 45).
75 / 160
FASES DA AUDITORIA DE SISTEMAS (cont.)
PLANEJAMENTO
«Após a escolha do sistema a ser auditado, deve-se [conhecer
profundamente] [...] seu funcionamento e seus detalhes.» (CASATI,
2016, p. 46).
Em seguida, é preciso identificar os pontos de controle (controles
internos, processos críticos e controles de negócio) que serão ve-
rificados na auditoria (CASATI, 2016, p. 46). «Caso um ponto de contro-
le apresente falhas durante a auditoria, deve-se informar ao audi-
tado para que elas sejam corrigidas.» (CASATI, 2016, p. 46).
«Define-se também [...] a amplitude e o [...] nível de detalhe em
que o sistema será testado[, além do cronograma,] [...] com data
de início, datas das diversas etapas e ações da auditoria e a data
de emissão do relatório final[, conforme] [...] a complexidade e
tempo estimado para a verificação de cada ponto de controle da
auditoria.» (CASATI, 2016, p. 46).
76 / 160
FASES DA AUDITORIA DE SISTEMAS (cont.)
PLANEJAMENTO
Determinar corretamente os pontos de controle e os critérios para
análise de risco é fundamental para o sucesso da auditoria de
sistemas.
77 / 160
FASES DA AUDITORIA DE SISTEMAS
EXECUÇÃO
Com o término do planejamento, inicia-se a fase de execução.
«[...] [Nesta fase] são executados os processos que preparam o
ambiente para ser auditado. O auditor deve informar à área audi-
tada qual o sistema eleito para auditoria, e então um aviso deve
ser emitido aos interessados, com o cronograma e as definições
previamente planejadas. [...] Também ocorrem as reuniões entre
os envolvidos da área a ser auditada com os auditores. Estas re-
uniões tem o objetivo de esclarecer pontos do planeamento da
auditoria aos interessados.
78 / 160
FASES DA AUDITORIA DE SISTEMAS (cont.)
EXECUÇÃO
O corpo administrativo da área a ser auditada precisa preparar as
atividades de apoio à equipe de auditoria, visto que informações e
acessosserão requisitados.
Após a reunião inicial, a informação por parte dos auditores do
que será investigado, a data de início da auditoria, a data de emis-
são do relatório final, o pedido de colaboração por parte do audita-
do para que sejam fornecidos acessos e informações à equipe de
auditoria, o trabalho de auditoria propriamente dito pode ser inicia-
do.
79 / 160
FASES DA AUDITORIA DE SISTEMAS (cont.)
EXECUÇÃO
No início do trabalho de campo, o chefe (diretor) da auditoria faz
as solicitações por escrito para o representante setor auditado
(BENETTI, 2015). A equipe de auditoria deve, neste momento, verifi-
car a existência dos controles internos, processos e controles de
negócios [(pontos de controle)]. [E,] após esta verificação, testar
e avaliar sua eficiência e eficácia.
Ao identificar fraquezas, vulnerabilidades, inconsistências e irregu-
laridades do sistema, o auditor deve informar o fato verbalmente e
solicitar a correção, com data prevista.» (CASATI, 2016, p. 46).
80 / 160
FASES DA AUDITORIA DE SISTEMAS
CONTROLE
«Ao término do trabalho de campo [(fim da fase de execução)], o
auditor se prepara para a pós-auditoria, que consiste basicamen-
te na [confrontação e na] [...] emissão do relatório final [(fase de
controle)]. Este relatório apresenta uma "nota" contendo todas
as falhas do sistema e as datas para que sejam corrigidas.
O papel do auditor não é corrigir as falhas, e sim apresentar as re-
comendações para que sejam corrigidas. Em hipótese alguma o
auditor deve corrigi-las.» (CASATI, 2016, p. 47).
81 / 160
FASES DA AUDITORIA DE SISTEMAS
ACOMPANHAMENTO
«[Após a fase de controle, ocorre a fase de acompanhamento
(follow-up).] Nesta fase, a auditoria deve acompanhar a solução
das falhas encontradas e que constam na nota do relatório final
e também a solução das falhas alertadas durante o trabalho de
campo. Estas falhas têm datas para que sejam corrigidas, portan-
to, tornam-se um compromisso do auditado com a auditoria.
A resposta do auditado ao relatório final contendo as soluções e
as justificativas é avaliada pela equipe de auditoria, que por sua
vez deve assegurar o cumprimento das ações executadas e anali-
sar as tendências de correção das falhas [...].» (CASATI, 2016, p. 47).
82 / 160
FASES DA AUDITORIA DE SISTEMAS
Assista ao vídeo Etapas de uma Auditoria ® , do canal MD
Consultoria (YouTube), para conhecer mais sobre as fases e
atividades do processo de auditoria de sistemas.
83 / 160
https://www.youtube.com/watch?v=7hCpZArDKdQ
CONTEÚDO
3. FERRAMENTAS DE AUDITORIA
3.1 Software generalista de auditoria de Tecnologia da
Informação
3.2 Softwares especializados de auditoria
3.3 Programas Utilitários de auditoria
84 / 160
3 FERRAMENTAS DE AUDITORIA
85 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
A TAAC – Técnica de Auditoria Assistida por Computador (abor-
dagem de auditoria de sistemas com o computador) emprega as
seguintes categorias de testes:
• controle de versão: verifica se toda a organização utiliza a
mesma versão do sistema auditado;
• transações: simula e calcula a sobrecarga das operações de
processamento no sistema auditado;
• análise de dados: verifica inconsistências nos dados proces-
sados e armazenados pelo sistema auditado;
• simulação: produz amostras de dados para realização dos
testes no sistema auditado.
86 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
(cont.)
«A auditoria de sistemas pode ser executada tanto em sistemas
que estão em desenvolvimento quanto em sistemas em operação
[(em uso)]. No caso de sistemas em desenvolvimento, a auditoria
foca sua atenção no planejamento dos controles internos, proces-
sos e controles de negócio. Já no caso de sistemas em operação
é verificada a existência de pontos de controle e são executados
testes para verificação destes pontos.» (CASATI, 2016, p. 48, grifos nossos).
87 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
SOFTWARES GENERALISTAS
Software generalista é uma classe de ferramentas de software pa-
ra auditoria de sistemas em operação que realiza processamento
e simulação paralela para extração de dados de amostra, geração
de dados estatísticos, detecção de duplicidade de registros, detec-
ção de sequências incorretas, testes globais etc. (CASATI, 2016, p. 48).
88 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
(cont.)
SOFTWARES GENERALISTAS
Alguns produtos de mercado (softwares de prateleira) desta
classe são:
• ACL – Audit Command Language: faz extração e análise de
dados;
• IDEA – Interactive Data Extraction & Analysis: faz extração e
análise de dados;
• Galileo: faz gestão de auditoria, incluindo gestão de riscos,
documentação e emissão de relatórios;
• Pentana: faz planejamento estratégico de auditoria, diferentes
formas de controles etc.;
• Audimation: faz monitoramento contínuo da gestão de riscos.
89 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
(cont.)
SOFTWARES GENERALISTAS
Assista ao vídeo IDEA Data Analysis Software ® , do canal
CaseWare IDEA (YouTube), para conhecer alguns recursos do
software IDEA – Interactive Data Extraction & Analysis.
90 / 160
https://www.youtube.com/watch?v=1MQZTxyTX0o
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
(cont.)
SOFTWARES GENERALISTAS
«[...] [Para Imoniana,] como vantagens, pode-se citar:
• poder de processamento de vários arquivos ao mesmo
tempo;
• poder de integração com outros softwares e hardwares;
• não é necessário que o auditor seja especialista em informá-
tica para que desenvolva aplicativos de testes de dados, ape-
nas utiliza-se do aplicativo já desenvolvido.
[E] como desvantagens, tem-se (IMONIANA, 2008):
• não se pode fazer aplicações online, pois os softwares uti-
lizam-se de arquivos que são analisados separadamente;
• impossibilidade de rodar cálculos complexos e específicos
devido ao seu caráter generalista.»
(CASATI, 2016, p. 49).
91 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
SOFTWARES ESPECIALISTAS
Software especialista é uma classe de ferramentas de software
para auditoria de sistemas em operação que realiza tarefas de
auditoria especializadas (CASATI, 2016, p. 49).
«Ao contrário dos softwares generalistas, que visam abranger um
maior número de usuários e soluções, os softwares especialistas
[buscam] [...] resolver problemas pontuais e específicos da área
ou sistema auditado.» (CASATI, 2016, p. 49).
92 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
(cont.)
SOFTWARES ESPECIALISTAS
«Como vantagens do uso deste tipo de software, pode-se citar
(IMONIANA, 2008):
• inclusão de testes e verificadores de controles internos espe-
cíficos do sistema auditado;
• desenvolvimento de soluções para auditar áreas mais com-
plexas e específicas, podendo se utilizar disto como vanta-
gem competitiva.
93 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
(cont.)
SOFTWARES ESPECIALISTAS
Apesar de o uso de softwares especializados ser de grande valia
quando a auditoria é feita em um sistema mais complexo, algumas
desvantagens são destacadas por Imoniana (2008):
• o auditor deve estar familiarizado com desenvolvimento de
software;
• o custo do desenvolvimento de softwares especializados
pode não compensar.»
(CASATI, 2016, p. 49-50).
94 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
SOFTWARES UTILITÁRIOS
Software utilitário é uma classe de ferramentas de software para
auditoria de sistemas em operação que realiza tarefas de auditoria
básicas, tais como concatenação, classificação e geração de
gráficos (CASATI, 2016, p. 50).
«Normalmente, os sistemas operacionais e os sistemas gerencia-
dores de bancos de dados possuem softwares que podem ser uti-
lizados como auxílio a auditoria, como, por exemplo, para efetuar
cálculos, geração de relatórios, entre outras funcionalidades auxi-
liares.» (CASATI, 2016, p. 50).
95 / 160
FERRAMENTAS PARA AUDITORIA DE SISTEMAS
(cont.)
SOFTWARES UTILITÁRIOS
«Uma vantagem apontada por Imoniana (2008) no uso deste ti-
po de software é que, na falta de outros recursos, pode-se atingir
bons resultados utilizando softwares de apoio. Como desvanta-
gem, é citado quesempre necessitará do auxílio do auditado pa-
ra o uso da ferramenta.» (CASATI, 2016, p. 50).
96 / 160
CONTEÚDO
4. TÉCNICAS DE AUDITORIA
4.1 Dados de teste
4.2 Facilidade de teste integrado
4.3 Simulação paralela
4.4 Lógica de auditoria embutida nos sistemas
4.5 Rastreamento e mapeamento
4.6 Análise da lógica de programação
97 / 160
4 TÉCNICAS DE AUDITORIA
98 / 160
TÉCNICAS DE AUDITORIA
«As técnicas utilizadas em uma auditoria de sistemas não preci-
sam ser sempre as mesmas. Cada auditoria pode necessitar [...]
de determinadas técnicas, que são definidas considerando o es-
copo da auditoria. Este escopo compreende o conjunto de con-
troles internos, os processos e os controles de negócios do sis-
tema que será auditado.» (CASATI, 2016, p. 55).
Algumas técnicas são:
• software para auditoria: uso de ferramentas de software para
automatizar, padronizar e aumentar a exatidão da execução
de processos, cálculos e manuseio de conteúdos de auditoria;
• questionário: uso de questionário comum, com perguntas
norteadoras e um campo para assinalar se o sistema
auditado está de acordo com o ponto de controle em questão;
99 / 160
TÉCNICAS DE AUDITORIA (cont.)
• visita in loco: visita pessoal do auditor ao local em que será
realizada a auditoria, para coleta de dados mediante
observação, teste e documentação;
• entrevista: sequência lógica de questionamentos aos
auditados, realizada pessoalmente, por telefone ou por
videoconferência, para identificar a ocorrência de divulgação
de informações de modo indevido;
• teste de observância ou teste de aderência: procedimento de
observação direta sem o conhecimento do auditado, para
verificar se os controles internos da organização estão sendo
cumpridos;
• teste substantivo: obtenção de provas convincentes sobre as
operações auditadas, para embasamento do parecer.
(CASATI, 2016, p. 55-60).
100 / 160
TÉCNICAS DE AUDITORIA (cont.)
Outras técnicas de auditoria são:
• dados de teste;
• teste integrado;
• simulação paralela;
• lógica de auditoria embutida nos sistemas;
• rastreamento dos programas;
• mapeamento estatístico dos programas;
• análise da lógica de programação;
• análise de log.
101 / 160
DADOS DE TESTE
«Esta técnica também é conhecida como test data ou test deck e
consiste em [...] preparar um conjunto de dados que são utilizados
para testar os controles do sistema auditado (IMONIANA, 2008).
Este conjunto de dados (massa de dados) deve ser preparado
com os dados de entrada e os dados de saída esperados, para
que se possa fazer as comparações entre a saída desejada (que
consta na massa de dados) e a saída que o sistema produziu.
Outro ponto importante destacado por Imoniana (2008) é que a
massa de dados deve ser preparada com o objetivo de testar uma
grande quantidade de possibilidades e combinações de [...]
transações, a fim de que se possa simular o ambiente real de uso
do sistema.
102 / 160
DADOS DE TESTE (cont.)
Como vantagens, Imoniana (2008) destaca a possibilidade de
utilizar softwares de geração de dados para execução da tarefa de
forma mais eficiente, além da possiblidade de que a criação desta
massa de dados seja feita por pessoas com pouco conhecimento
em informática. Já a grande desvantagem que pode ser citada é a
dificuldade de prever as possibilidades de transações do sistema
com seus respectivos dados de saída desejados.» (CASATI, 2016, p.
60-61).
103 / 160
TESTE INTEGRADO
«Esta técnica é normalmente conhecida como ITF (Integrated Test
Facility) [e utilizada] [...] com o sistema [ativo,] rodando em
produção. Sua execução consiste na aplicação de entidades
fictícias no sistema, para que se possa testar as funcionalidades
sem precisar manipular os dados reais da aplicação (IMONIANA,
2008).
O confronto dos dados reais com os dados de teste é o trabalho
do auditor ao executar esta técnica, que acontece sem o
consentimento do operador do computador. Esta técnica não
atualiza as bases de dados reais da organização, pois são criados
arquivos separados para os dados fictícios (IMONIANA, 2008).» (CASATI,
2016, p. 61).
104 / 160
SIMULAÇÃO PARALELA
«A utilização desta técnica consiste no desenvolvimento de um
programa pelo auditor que simula as funções do sistema auditado,
focando nos pontos de controle. Ao contrário da técnica de dados
de teste, em que simulamos a massa de dados com o programa
em produção, nesta técnica o programa é simulado e executado
com a massa de dados real (IMONIANA, 2008).» (CASATI, 2016, p. 61).
105 / 160
LÓGICA DE AUDITORIA EMBUTIDA
EM SISTEMAS
«A técnica de inclusão da lógica de auditoria nos sistemas
informatizados consiste em desenvolver funcionalidades que
permitam o próprio sistema emitir relatórios de auditoria. Esta
técnica deve ser implantada com o sistema em desenvolvimento.
Como vantagem do uso desta técnica pode-se citar o
monitoramento permanente das atividades do sistema. Como
desvantagens, há o custo adicional de desenvolvimento do
sistema e perda no desempenho (IMONIANA, 2008).» (CASATI, 2016, p. 62).
106 / 160
RASTREAMENTO E MAPEAMENTO
ESTATÍSTICO DE PROGRAMAS
«[Rastreamento de programas é a técnica que] [...] possibilita ao
auditor efetuar o rastreamento das transações durante o seu
processamento. Isto significa que os passos seguidos por uma
operação do sistema são registrados, com o objetivo de fornecer
um caminho percorrido pela transação executada. Isto permite ao
auditor detectar rotinas fraudulentas e caminhos incorretos das
transações (GIL, 2000).» (CASATI, 2016, p. 62).
«[Mapeamento estatístico de programas é a técnica] [...] utilizada
para a verificação de ações como:
• rotinas obsoletas ou não utilizadas;
• frequência de utilização de rotinas;
• rotinas existentes em programas já desativados ou de uso
esporádico;
107 / 160
RASTREAMENTO E MAPEAMENTO
ESTATÍSTICO DE PROGRAMAS (cont.)
• rotinas mais utilizadas, normalmente a cada processamento
do programa;
• rotinas fraudulentas e de uso em situações irregulares;
• rotinas de controle acionadas a cada processamento;
Para que se aplique esta técnica, existem alguns pré-requisitos,
como a necessidade de utilização de software de apoio e a
necessidade de inclusão de instruções especiais junto aos
programas em produção, acarretando em custo e perda de
desempenho do programa.» (CASATI, 2016, p. 62).
108 / 160
ANÁLISE LÓGICA E ANÁLISE
DE LOG DE PROGRAMAS
«[A técnica de] análise da lógica de programação [visa] [...]
determinar se a lógica das funcionalidades do sistema está em
conformidade com a documentação e a efetividade dos controles
programados (IMONIANA, 2008). Obviamente, para poder executar
esta técnica, o auditor deve ser um conhecedor da linguagem de
programação utilizada no desenvolvimento do sistema.
109 / 160
ANÁLISE LÓGICA E ANÁLISE
DE LOG DE PROGRAMAS (cont.)
[Na técnica de] análise dos arquivos de log do sistema, o auditor
pode verificar quando e como o sistema está sendo utilizado. Com
isto, Gil (2000) cita que o auditor pode: determinar erros de
programas; flagrar o uso de programas fraudulentos; captar
tentativas de acesso indevido a arquivos; monitorar a rede.
Esta análise, segundo Gil (2000), pode gerar:
• indicadores de qualidade;
• indicadores para estudo e planejamento da capacidade da
tecnologia da informação, buscando maior rendimento e
segurança;»
(CASATI, 2016, p. 63).
110 / 160
VÍDEO
Assista ao vídeo Sped Fiscal: Cruzamento com os Arquivos
XML ® , do canal SAAM Auditoria (YouTube), para conhecer um
sistema que emprega a técnica de software para auditoria.
111 / 160
https://www.youtube.com/watch?v=KG4pjhDuNvg
VÍDEO (cont.)
Assista ao vídeo Votação Paralela para Auditoria das Urnas
Eletrônicas ® , do canal TVE RS (YouTube), para conhecer um
exemplo de uso da técnica de teste integrado.
112 / 160
https://www.youtube.com/watch?v=wzzYjsUOBgA
CONTEÚDO
5. TIPOS DE AUDITORIA
5.1 Auditoria de redes de computadores
5.2 Auditoria de controles de hardware
5.3 Auditoria de controles de acesso
5.4 Auditoria na aquisição, desenvolvimento,documentação e
manutenção de sistemas
5.5 Auditoria de sistemas de informação em produção
5.6 Auditoria de eventos
5.7 Outras
113 / 160
5 TIPOS DE AUDITORIA
114 / 160
AUDITORIAS DE SISTEMAS DIRECIONADAS
«As auditorias direcionadas visam à verificação de controles
específicos [conforme a finalidade, tais como] [...] as auditorias
direcionadas à rede, ao hardware, aos controles de acesso, à
aquisição, [ao] desenvolvimento, documentação e manutenção de
sistemas, à operação, ao suporte técnico, aos aplicativos e aos
eventos. Cada uma destas direções tem suas especificidades [e,
ao se responder questionários de sondagem], [...] é possível
conhecer alguns controles comuns e importantes para cada tipo
de auditoria.» (CASATI, 2016, p. 74).
115 / 160
AUDITORIA DE REDES DE COMPUTADORES
«A rede de uma organização é de grande importância, pois nela
habitam e trafegam as informações que alimentam as transações
[(operacionais, financeiras, contábeis etc.)] [...]» e os processos
de negócio (CASATI, 2016, p. 75).
A auditoria de redes avalia a concepção da rede e de suas
operações, buscando testar se suas atividades estão fornecendo
aos usuários os serviços esperados.
116 / 160
AUDITORIA DE REDES DE COMPUTADORES (cont.)
«Categorizando a rede de uma organização, têm-se três tipos:
Intranet; Internet; Extranet. A intranet é a rede interna da
organização, aquela que só pode ser acessada pelos
colaboradores internos. A extranet é quando se concede acesso a
uma parte da intranet para público externo (clientes, parceiros etc)
[de modo] [...] controlado. A internet é a rede mundial de
computadores e geralmente as informações disponibilizadas nesta
rede podem ser acessadas por qualquer pessoa.
[...] [No processo de auditoria de sistemas, os riscos] referentes a
intranets são: interceptação de mensagens, acesso às bases de
dados da organização e privilégio de acesso indevido a
funcionários. Já no ambiente da internet, [avalia-se os] [...]
principais riscos: falsificação de IP (IP Spoofing) [e] ataque de
negação de serviço.» (CASATI, 2016, p. 75).
117 / 160
AUDITORIA DE REDES DE COMPUTADORES (cont.)
«Sobre a implantação de redes, os conceitos que são avaliados
no processo de auditoria [...] são:
• planejamento da rede com visão estratégica (integração ao
plano diretor de informática);
• desenho das arquiteturas e da topologia da rede;
• implantação dos projetos físicos e lógicos;
• monitoramento do desempenho da rede;
• monitoramento de possíveis interceptações;
• replanejamento de capacidade;
• levantamento dos problemas operacionais visando sua
solução.»
(CASATI, 2016, p. 76).
118 / 160
AUDITORIA DE REDES DE COMPUTADORES (cont.)
«O principal objetivo da auditoria de redes, de acordo com
Imoniana (2008), é certificar que a rede é confiável.» (CASATI, 2016, p.
76). Assim, quatro aspectos são considerados na avaliação:
• segurança física: a arquitetura e a construção e distribuição
da rede, bem como os hardwares nela presentes
(equipamentos e periféricos);
• segurança lógica: os recursos de software em geral, os
rendimentos da rede, o acompanhamento e a avaliação de
desempenho operacional;
• segurança de enlace: garantia de que os canais de transmis-
são e as transmissões entre os pontos remotos da rede
estejam obedecendo os limites previamente estabelecidos;
• segurança de aplicação: garantia de disponibilidade da rede,
para manutenção da sua confiabilidade do ponto de vista dos
usuários.
(CASATI, 2016, p. 76).
119 / 160
AUDITORIA DE REDES DE COMPUTADORES (cont.)
«No programa de auditoria de redes é necessário que se utilize de
um questionário, que deve ser documentado e arquivado em pasta
própria do projeto de auditoria. Estes documentos também são
conhecidos como working papers. A importância desta
documentação se dá pelo fato de que todo o trabalho do auditor
deve ser documentado e ser baseado em fatos, não em opiniões
pessoais.» (CASATI, 2016, p. 76).
120 / 160
AUDITORIA DE REDES DE COMPUTADORES (cont.)
Questionário de Auditoria
de Redes (CASATI, 2016, p.
77).
121 / 160
AUDITORIA DE CONTROLES DE HARDWARE
«A auditoria de hardware visa implantar os procedimentos de
segurança física nos equipamentos instalados em ambientes de
informática. Estes procedimentos controlam os contatos físicos e
o monitoramento do uso adequado (IMONIANA, 2008).
Os inventários de hardware são de extrema importância para que
os controles destes sejam efetivos, assim como sua padronização
na aquisição e montagem, como, por exemplo, aquisição de servi-
dores que funcionam com os mesmos sistemas operacionais ou
da mesma marca (IMONIANA, 2008).» (CASATI, 2016, p. 78).
122 / 160
AUDITORIA DE CONTROLES DE HARDWARE (cont.)
«Algumas características da auditoria de hardware apresentadas
por Gil (2000) no tocante à verificação de contratos são, em caso
de aquisição:
• intermediação da transação;
• apólices de seguros;
• cobertura do seguro.
Em caso de manutenção, Gil (2000) cita que é necessário
verificar:
• prazo de atendimento dos chamados;
• o tempo máximo para se resolver um problema;
• os períodos cobertos pelo contrato (madrugada, finais de
semana, feriados, entre outros).»
(CASATI, 2016, p. 78-79).
123 / 160
AUDITORIA DE CONTROLES DE HARDWARE (cont.)
«Os principais objetivos da auditoria de controles de hardware, de
acordo com Imoniana (2008), são divididos em dois eixos. O
primeiro garante a proteção dos equipamentos, como terminais,
unidade central de processamento (CPU), servidores, unidade de
conversão de dados, entre outros. O segundo eixo verifica se há
equipamentos que restrinjam os acessos físicos de pessoas
alheias ao ambiente, isto é, pessoas que têm interesse nas
informações da organização e não têm permissão de acesso.»
(CASATI, 2016, p. 79).
124 / 160
AUDITORIA DE CONTROLES DE HARDWARE (cont.)
Itens do questionário de sondagem de controles de hardware:
C1 - Controles de acesso físico ao ambiente de informática:
P1 - Verificar se a segurança física sobre o hardware e os dados é
adequada em relação ao uso dos computadores.
C2 - Controles de acionamento e desligamento de máquinas:
P2 - Avaliar, por meio de observação, se o acesso ao CPD (Centro
de Processamento de Dados) é permitido somente a pessoas da
área para acionar e desligar equipamentos.
P3 - Verificar se, no desligamento de pessoas, há procedimentos
específicos com relação à retenção de identificação e eliminação
da senha de acesso.
125 / 160
AUDITORIA DE CONTROLES DE HARDWARE (cont.)
C3 - Controle de acesso físico a equipamentos de hardware:
P4 - Verificar se há um controle efetivo de entrada e saída de
equipamentos da área do CPD.
P5 - Verificar se um inventário completo e atualizado dos equipa-
mentos de informática é efetuado periodicamente.
C4 - Localização e infraestrutura do CPD:
P6 - Verificar se há um sistema alternativo de alimentação de
energia elétrica (por exemplo: no-break, gerador).
126 / 160
AUDITORIA DE CONTROLES DE HARDWARE (cont.)
C5 - Controle de backup e off-site:
P7 - Verificar se o backup, armazenado em local externo, está
disponível para utilização 24 horas por dia.
P8 - Verificar se as cópias armazenadas por longos períodos são
testadas e substituídas periodicamente.
C6 - Controles de aquisição e disposição do equipamento:
P9 - Verificar se existe procedimento periódico para: efetuar
inventário de todos os equipamentos; verificar as condições
ambientais dos equipamentos.
127 / 160
AUDITORIA DE CONTROLES DE HARDWARE (cont.)
C7 - Controles sobre o ambiente e informações com relação à
definição da plataforma de hardware, software, sistema
operacional e riscos inerentes:
P10 - Avaliar se a plataforma adotada está de acordo com os
padrões e as necessidades da empresa.
C8 - Controles sobre os recursos instalados:
P11 - Verificar se existe um procedimento formal e consistente
para monitorar a obediência à política corporativa.
C9 - Garantia de integridade de transmissão:
P12 - Identificar os equipamentos que permitam upload/download.
(CASATI, 2016, p. 79-82).128 / 160
VÍDEO
Assista ao vídeo Comandos Para Auditoria De Redes: ethtool
® , do canal mundotecnauta (YouTube), para conhecer um coman-
do de terminal (Bash), para Sistema Operacional Linux, que exibe
características e atividades de rede, favorecendo a auditoria de
redes.
129 / 160
https://www.youtube.com/watch?v=eliwhcUjv40
AUDITORIA DE CONTROLES DE ACESSO
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 4.3 Auditoria de controles de acesso.
130 / 160
AUDITORIA DE AQUISIÇÃO, DESENVOLVIMENTO,
DOCUMENTAÇÃO E MANUTENÇÃO
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 4.4 Auditoria de aquisição, desenvolvimento,
documentação e manutenção de sistemas.
131 / 160
AUDITORIA DE SISTEMAS EM PRODUÇÃO
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 4.5 Auditoria de operação.
132 / 160
AUDITORIA DE SISTEMAS EM PRODUÇÃO (cont.)
w
Assista ao vídeo Computação Forense: Auditoria no Windows
® , do canal Fábrica de Noobs (YouTube), para conhecer alguns
aspectos interessantes sobre auditoria de sistemas em produção.
133 / 160
https://www.youtube.com/watch?v=YtKeQ3yTsoM
AUDITORIA DE EVENTOS
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 4.8 Auditoria de eventos.
134 / 160
AUDITORIA DE EVENTOS (cont.)
w
Assista ao vídeo Auditoria do Active Directory ® , do canal
Daniel Donda (YouTube), para conhecer alguns aspectos
interessantes sobre auditoria de eventos.
135 / 160
https://www.youtube.com/watch?v=KOU9voulpH8
AUDITORIA DE EVENTOS (cont.)
w
Assista ao vídeo Auditoria no Windows Server 2012 ® , do canal
CriandoBits (YouTube), para conhecer alguns aspectos
interessantes sobre auditoria de eventos.
136 / 160
https://www.youtube.com/watch?v=OKFRqUFa1hA
AUDITORIA DE EVENTOS (cont.)
w
Assista ao vídeo Visualizador de Logs de Eventos e
Encaminhamento de Eventos no Windows 10 e Server 2012 ®
, do canal Marco Andrade (YouTube), para conhecer alguns
aspectos interessantes sobre auditoria de eventos.
137 / 160
https://www.youtube.com/watch?v=DRygf8XE390
OUTROS TIPOS DE AUDITORIA DE SISTEMAS
DIRECIONADAS
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 4.6 Auditoria de suporte técnico;
� item 4.7 Auditoria de aplicativos.
138 / 160
CONTEÚDO
6. EMISSÃO DE RELATÓRIOS DE AUDITORIA
6.1 Carta de encaminhamento do rascunho preliminar do relatório
de auditoria
6.2 Relatórios padrões de conclusão da auditoria de sistemas
139 / 160
CARTA DE ENCAMINHAMENTO & RELATÓRIOS
PADRÃO
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 5.1 Emissão de relatórios.
140 / 160
CONTEÚDO
7. AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS
7.1 Pré-requisitos
7.2 Metodologia de seleção
7.3 Principais pacotes disponíveis no mercado
7.4 Ferramentas de análise de dados
7.5 Avaliação de pacotes de auditoria de sistemas
141 / 160
PRÉ-REQUISITOS PARA AVALIAÇÃO DE SOFTWARE
DE AUDITORIA
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 5.2 Avaliação de software de auditoria de sistemas.
142 / 160
MÉTODOS DE SELEÇÃO DE SOFTWARES DE
AUDITORIA
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 5.2.1 Método de seleção.
143 / 160
PACOTES E FERRAMENTAS
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 5.2.2 Pacotes disponíveis no mercado.
144 / 160
PACOTES E FERRAMENTAS (cont.)
w
Assista ao vídeo Audit Automation Facilities: Revisor Interativo
® , do website Audit Automation Facilities, para conhecer alguns
aspectos interessantes sobre este pacote de ferramentas.
145 / 160
http://aaf.wj.com.br/revisor-interativo/
PACOTES E FERRAMENTAS (cont.)
w
Assista ao vídeo Uso de la Herramienta SAP AIS – Audit
Information System ® , do canal ACP Soluciones (YouTube), para
conhecer alguns aspectos interessantes sobre este pacote de
ferramentas.
146 / 160
https://www.youtube.com/watch?v=9g957RGLjso
AVALIAÇÃO DE PACOTES DE AUDITORIA
Em CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016., vide:
� item 5.2.3 Avaliação de pacotes de auditoria.
147 / 160
CONTEÚDO
8. AUDITORIA DE SISTEMAS E SEGURANÇA DA
INFORMAÇÃO
8.1 Informação como valor para o negócio
8.2 O que é e como acontece uma Auditoria em Segurança da
Informação
8.3 Auditoria e Política de Segurança de TI
148 / 160
A INFORMAÇÃO E O SEU VALOR SOB O ASPECTO
DA SEGURANÇA DA INFORMAÇÃO
Harley Ferreira observa as seguintes características da
informação:
• «Conjunto de dados, resultado de processamento,
manipulação e/ou organização, com algum tipo de significado
e/ou valor.
• Ela pode existir sob diversas formas como: armazenada
eletronicamente, impressa ou escrita em papel, transmitida
por conversas ou meios de comunicação.
149 / 160
A INFORMAÇÃO E O SEU VALOR SOB O ASPECTO
DA SEGURANÇA DA INFORMAÇÃO (cont.)
• A informação é um ativo essencial para os negócios de uma
organização e, consequentemente, ela necessita ser
adequadamente protegida (NBR ISO/IEC 27002:2005).
• Qual o valor da informação? Na sociedade da informação e
do conhecimento, ter informação é ter poder. Como fonte de
poder, a informação transformou-se no mais cobiçado e
valioso bem da atualidade, passando a merecer tratamento
especial.»
(FERREIRA, 2009).
150 / 160
A INFORMAÇÃO E O SEU VALOR SOB O ASPECTO
DA SEGURANÇA DA INFORMAÇÃO (cont.)
Riscos associados à informação (FERREIRA, 2009).
151 / 160
A INFORMAÇÃO E O SEU VALOR SOB O ASPECTO
DA SEGURANÇA DA INFORMAÇÃO (cont.)
w
Assista ao vídeo O que é Business Intelligence e o Valor da
Informação ® , do canal Karine Lago (YouTube), para conhecer
alguns aspectos interessantes sobre este tema.
152 / 160
https://www.youtube.com/watch?v=sq1Mgo6Xk0s
A INFORMAÇÃO E O SEU VALOR SOB O ASPECTO
DA SEGURANÇA DA INFORMAÇÃO (cont.)
w
Assista ao vídeo Dezessete Tipos de Ataque Hacker ® , do
canal IlustraDev (YouTube), para conhecer alguns aspectos
interessantes sobre este tema.
153 / 160
https://www.youtube.com/watch?v=k5LXLUO_GPg
A INFORMAÇÃO E O SEU VALOR SOB O ASPECTO
DA SEGURANÇA DA INFORMAÇÃO (cont.)
w
Assista ao vídeo Como Funciona um Ataque Hacker na Prática
® , do canal Brasil inSeguro (YouTube), para conhecer alguns
aspectos interessantes sobre este tema.
154 / 160
https://www.youtube.com/watch?v=wetcvycT1D8
AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
Para a auditoria de segurança da informação, Harley Ferreira faz
as seguintes considerações:
• «É avaliado se a gestão da segurança da informação, o
controle dos ativos e os riscos envolvidos são considerados
de forma efetiva pela organização. A auditoria de SI visa
avaliar a gestão da organização com relação à segurança.
• Aborda aspectos de confidencialidade, integridade e
disponibilidade embutidos nos conceitos de segurança lógica
e física.
155 / 160
AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
(cont.)
• [Observa:] [...] Comitês diretivos e deliberativos, políticas e
normas, pessoas, responsabilidades, treinamento,
identificação e classificação de ativos, classificação da
informação, identificação e avaliação de riscos, gerência de
problemas e incidentes, plano de continuidade de negócios,
perímetro de segurança, equipamentos e instalações,
gerenciamento e controle de acesso lógico, auditoria,
conformidade.
• [Tem como escopo:] [...] Identificação e avaliação de
controles que afetam a segurança da informação. Poderá ser
feita no contexto macro, envolvendo aspectos que envolvem
toda a organização ou apenas considerando informações,
sistemas, recursos, processos e serviços específicos.»
(FERREIRA, 2009).
156 / 160
AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
(cont.)
w
Assista ao vídeo Auditoria em Segurança da Informação:
Entrevista com a Auditora Liliane Scarpari ® , do canal Fique
Seguro (YouTube), para conhecer alguns aspectos interessantes
sobre este tema.
157 / 160https://youtu.be/Eu7EhbfPwOY?t=1255
A AUDITORIA E A POLÍTICA DE SEGURANÇA
«Política de Segurança da Informação (PSI):
• Prover à administração uma direção e apoio para a
segurança da informação.
• Estabelecer os princípios adotados pela organização para a
distribuição, proteção, administração e supervisão dos
recursos de informação.
• Resolução da alta administração – "top-down".
• Grande pilar de sustentação do ambiente informatizado, onde
o fundamental é preservar os princípios básicos de
segurança: integridade, disponibilidade, confidencialidade.»
(FERREIRA, 2009).
158 / 160
A AUDITORIA E A POLÍTICA DE SEGURANÇA (cont.)
w
Assista ao vídeo Política de Segurança da Informação em 5
Passos ® , do canal Brasil inSeguro (YouTube), para conhecer
alguns aspectos interessantes sobre este tema.
159 / 160
https://www.youtube.com/watch?v=nI1o-w4nKdc
160 / 160
"Treine enquanto eles dormem,
estude enquanto eles se divertem,
persista enquanto eles descansam
e então viva o que eles sonham."
– Muhammad Ali.
REFERÊNCIAS
AUDITORIA. In: DICIONÁRIO Priberam da Língua
Portuguesa online. S.l.: s.n., 2021. Disponível em:
<https://dicionario.priberam.org/auditoria>. Acesso em: 09 fev.
2021.
CASATI, João Paulo. Auditoria de Sistemas. Rio de
Janeiro: SESES, 2016.
FERREIRA, Harley Alves. Auditoria de Segurança
da Informação. 2009. 62 slides: color. Disponível em:
<https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?
fileId=8A8182A14E01F8FC014E02CA0C3626DE>. Acesso
em: 2 jun. 2021.
RAMIRES, Anderson Carlos S.; KALINOWSKI, Marcos;
SPÍNOLA, Rodrigo O. Auditoria de Sistemas. In: .
Engenharia de Software Magazine. 28. ed. [S.l.: s.n.], 2010.
v. 3, p. 26–37.
161 / 160
https://dicionario.priberam.org/auditoria
https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A14E01F8FC014E02CA0C3626DE
https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A14E01F8FC014E02CA0C3626DE
	CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO
	Fundamentos de auditoria
	Tipos de auditoria
	Equipe de auditoria
	Desenvolvimento da carreira do auditor
	FASES PARA REALIZAÇÃO DE UMA AUDITORIA
	Planejamento
	Execução
	Emissão e divulgação de relatórios
	Follow-up
	FERRAMENTAS DE AUDITORIA
	Software generalista de auditoria de Tecnologia da Informação
	Softwares especializados de auditoria
	Programas Utilitários de auditoria
	TÉCNICAS DE AUDITORIA
	Dados de teste
	Facilidade de teste integrado
	Simulação paralela
	Lógica de auditoria embutida nos sistemas
	Rastreamento e mapeamento
	Análise da lógica de programação
	TIPOS DE AUDITORIA
	Auditoria de redes de computadores
	Auditoria de controles de hardware
	Auditoria de controles de acesso
	Auditoria na aquisição, desenvolvimento, documentação e manutenção de sistemas
	Auditoria de sistemas de informação em produção
	Auditoria de eventos
	Outras
	EMISSÃO DE RELATÓRIOS DE AUDITORIA
	Carta de encaminhamento do rascunho preliminar do relatório de auditoria
	Relatórios padrões de conclusão da auditoria de sistemas
	AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS
	Pré-requisitos
	Metodologia de seleção
	Principais pacotes disponíveis no mercado
	Ferramentas de análise de dados
	Avaliação de pacotes de auditoria de sistemas
	AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO
	Informação como valor para o negócio
	O que é e como acontece uma Auditoria em Segurança da Informação
	Auditoria e Política de Segurança de TI