Slides Auditoria

•
ESTÁCIO

Mictor Vello
14/08/2021
E aí, curtiu este material?
Ajude a incentivar outros estudantes a melhorar o conteúdo
Gostou desse material? Compartilhe! 🧡
Auditoria de Sistemas

5.623 Materiais compartilhados
Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Prévia do material em texto
AUDITORIA DE SISTEMAS
Prof. Alessandro Larangeiras
CONTEÚDO
1. CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE
INFORMAÇÃO
1.1 Fundamentos de auditoria
1.2 Tipos de auditoria
1.3 Equipe de auditoria
1.4 Desenvolvimento da carreira do auditor
2. FASES PARA REALIZAÇÃO DE UMA AUDITORIA
2.1 Planejamento
2.2 Execução
2.3 Emissão e divulgação de relatórios
2.4 Follow-up
2 / 65
CONTEÚDO (cont.)
3. FERRAMENTAS DE AUDITORIA
3.1 Software generalista de auditoria de Tecnologia da
Informação
3.2 Softwares especializados de auditoria
3.3 Programas Utilitários de auditoria
4. TÉCNICAS DE AUDITORIA
4.1 Dados de teste
4.2 Facilidade de teste integrado
4.3 Simulação paralela
4.4 Lógica de auditoria embutida nos sistemas
4.5 Rastreamento e mapeamento
4.6 Análise da lógica de programação
3 / 65
CONTEÚDO (cont.)
5. TIPOS DE AUDITORIA
5.1 Auditoria de redes de computadores
5.2 Auditoria de controles de hardware
5.3 Auditoria de controles de acesso
5.4 Auditoria na aquisição, desenvolvimento, documentação e
manutenção de sistemas
5.5 Auditoria de sistemas de informação em produção
5.6 Auditoria de eventos
5.7 Outras
6. EMISSÃO DE RELATÓRIOS DE AUDITORIA
6.1 Carta de encaminhamento do rascunho preliminar do relatório
de auditoria
6.2 Relatórios padrões de conclusão da auditoria de sistemas
4 / 65
CONTEÚDO (cont.)
7. AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS
7.1 Pré-requisitos
7.2 Metodologia de seleção
7.3 Principais pacotes disponíveis no mercado
7.4 Ferramentas de análise de dados
7.5 Avaliação de pacotes de auditoria de sistemas
8. AUDITORIA DE SISTEMAS E SEGURANÇA DA
INFORMAÇÃO
8.1 Informação como valor para o negócio
8.2 O que é e como acontece uma Auditoria em Segurança da
Informação
8.3 Auditoria e Política de Segurança de TI
5 / 65
BIBLIOGRAFIA
Básica:
• CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro:
SESES, 2016.
• ATTIE, William. Auditoria: Conceitos e Aplicações. 7. ed.
Rio de Janeiro: Atlas, 2018.
• IMONIANA, Joshua O. Auditoria de Sistemas de
Informação. 3. ed. Rio de Janeiro: Atlas, 2016.
6 / 65
CONTEÚDO
1. CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE
INFORMAÇÃO
1.1 Fundamentos de auditoria
1.2 Tipos de auditoria
1.3 Equipe de auditoria
1.4 Desenvolvimento da carreira do auditor
7 / 65
1.0 CONCEITOS BÁSICOS DE AUDITORIA DE
SISTEMAS DE INFORMAÇÃO
8 / 65
AUDITORIA DE SISTEMAS
Auditoria é a «fiscalização da legalidade ou da conformidade de
uma atividade, de um serviço, de um sistema, de um processo,
etc. [...].» (AUDITORIA, 2021, acep. 3).
«A atividade de auditoria [...] tem como principal produto formal
um parecer, expressando a opinião do auditor sobre a adequação,
ou não, com que as demonstrações contábeis representam a posi-
ção patrimonial e financeira da entidade auditada [...], tomando
como base de comparação os princípios fundamentais, ou geral-
mente aceitos, de contabilidade. Para suportar sua opinião, o
auditor independente deve coletar evidências suficientes e apro-
priadas de auditoria, através de um conjunto de procedimentos
técnicos.» (RAMIRES; KALINOWSKI; SPÍNOLA, 2010, p. 26-27).
9 / 65
AUDITORIA DE SISTEMAS (cont.)
Assista ao vídeo Você Sabe como Funciona uma Auditoria?
(<https://www.youtube.com/watch?v=AYvTlentXJM>), do canal Contabilizando
(YouTube), para conhecermos alguns aspectos relacionados à
atividade de auditoria.
10 / 65
https://www.youtube.com/watch?v=AYvTlentXJM
AUDITORIA DE SISTEMAS (cont.)
«Para muitas organizações, a informação e a tecnologia que
suportam o negócio representa o seu mais valioso recurso. Além
disso, num ambiente de negócio altamente competitivo e dinâmico
é requerida uma excelente habilidade gerencial, onde a TI deve
suportar as tomadas de decisões de forma rápida, constante e
com custos cada vez mais baixos.» (RAMIRES; KALINOWSKI; SPÍNOLA,
2010, p. 27).
11 / 65
AUDITORIA DE SISTEMAS (cont.)
«O bom funcionamento, a confiabilidade e a segurança
aplicada [aos sistemas de informação relacionados] [...] são de
fundamental importância para que as informações colhidas sejam
de grande valia para o auxílio à tomada de decisão por parte dos
gestores das organizações.» (CASATI, 2016, p. 11, grifos nossos).
Sistemas de Informação funcionando corretamente, confiáveis e
seguros produzem informações válidas e, consequentemente,
com alto valor agregado.
12 / 65
AUDITORIA DE SISTEMAS (cont.)
«O uso de sistemas informatizados é abrangente [e algumas em-
presas] [...] não conseguem funcionar nem poucas horas sem a
utilização deste recurso. A auditoria de sistemas é estimulada e
cresce à medida que as organizações ficam mais dependentes
da informação de qualidade, e, portanto, do uso de sistemas
informatizados [...].» (CASATI, 2016, p. 11).
Depósito da Amazon em Melbourne, Austrália.
13 / 65
AUDITORIA DE SISTEMAS (cont.)
Assista ao vídeo O Que uma Auditoria de TI Verifica
(<https://www.youtube.com/watch?v=24C8INjVvmQ>), do canal Galeria
WeAudit (YouTube), para conhecermos alguns aspectos
relacionados à atividade de auditoria de sistemas.
14 / 65
https://www.youtube.com/watch?v=24C8INjVvmQ
AUDITORIA DE SISTEMAS (cont.)
«A auditoria de sistemas engloba as operações de uma organiza-
ção, os processos envolvidos com estas operações, os sistemas
que geram as informações e por fim a responsabilidade gerencial.
Ela também se atém à verificação da conformidade destes itens
com os objetivos, normas, padrões, regras, orçamento e a política
de uma organização. Garantir a segurança da informação, a dis-
ponibilidade e a qualidade de recursos e serviços também é papel
da auditoria de sistemas.» (CASATI, 2016, p. 11).
«Pode-se definir auditoria de sistemas como uma verificação de
conformidade dos processos com os padrões de uma organização
[...].» (CASATI, 2016, p. 13).
15 / 65
AUDITORIA DE SISTEMAS (cont.)
«As funções administrativas da auditoria de sistemas passam por
três fases:
• planejamento: em que são definidas as expectativas de
comportamento, os padrões a serem seguidos, as políticas
da organização, as previsões orçamentárias, entre outras
definições. O cronograma de execução da auditoria também
é definido nesta fase;
16 / 65
AUDITORIA DE SISTEMAS (cont.)
• execução: medidas das operações e processos da organi-
zação. Nesta fase o auditor deve verificar minuciosamente
cada processo a ser auditado e colher informações suficien-
tes para que se possa analisar as operações em relação ao
planejamento;
• controle: nesta fase as medidas adquiridas são confrontadas
com os padrões definidos na fase de planejamento, a fim de
verificar se as operações estão em conformidade com estes
padrões. Em caso de desvios, deve-se definir quais ações
serão tomadas para que as discrepâncias não sejam repe-
tidas.»
(CASATI, 2016, p. 11-12).
17 / 65
AUDITORIA DE SISTEMAS (cont.)
Fases da auditoria de sistemas (CASATI, 2016, p. 12).
18 / 65
TIPOS DE AUDITORIA DE SISTEMAS
«Existem basicamente dois tipos de auditoria: a auditoria interna
e a externa. Na auditoria interna, a organização tem em seu qua-
dro de colaboradores uma equipe de profissionais qualificados e
habilitados em auditoria de sistemas, que são treinados especifi-
camente para as necessidades e os objetivos de segurança da
própria organização. Auditoria externa é a contratação de uma
empresa especializada que presta serviços de auditoria. A
equipe desta empresa contratada irá atuar sob demanda na
organização.» (CASATI, 2016, p. 15).
19 / 65
IMPORTÂNCIA E DIFICULDADES
DA AUDITORIA DE SISTEMAS
Assista ao vídeo Auditoria e Segurança de Sistemas
(<https://www.youtube.com/watch?v=x99qRbAhHlw>), do canal Marcos Assi
(YouTube), para refletirmos sobre a importância da auditoria de
sistemas para as organizações.
20 / 65
https://www.youtube.com/watch?v=x99qRbAhHlw
IMPORTÂNCIA E DIFICULDADES
DA AUDITORIA DE SISTEMAS (cont.)
Assista ao vídeo Dez Insights para Auditores de Sistemas
(<https://www.youtube.com/watch?v=gbqhEw8BJiA>), do canal ATSG –
Academia Tecnológica de Sistemas de Gestão (YouTube), para
refletirmos sobre a importânciae algumas dificuldades de
execução da auditoria de sistemas.
21 / 65
https://www.youtube.com/watch?v=gbqhEw8BJiA
ÁREAS DA AUDITORIA DE SISTEMAS
«As áreas de auditoria de sistemas são basicamente as seguintes:
segurança da informação, TI e Aplicativos. Não há uma regra fixa
para determinar como as organizações devem classificar sua área
de auditoria; isto fica a critério da própria organização.
Na área de segurança da informação, é necessário avaliar a con-
formidade com as políticas de segurança da organização, efetuar
controles ambientais e plano de contingência e continuidade dos
serviços. Os controles de segurança da informação a serem
implantados são:
• confidencialidade: controles de acesso (físico e lógico);
• integridade: gravação e atualização autorizadas [...];
• disponibilidade: sistema disponível sempre que necessário;
• consistência: sistema funcionando dentro dos requisitos
especificados;
• confiabilidade: sistema atua conforme esperado.
22 / 65
ÁREAS DA AUDITORIA DE SISTEMAS (cont.)
Na área de tecnologia da informação, o auditor deve manter
conhecimento sobre as mudanças organizacionais, operações de
sistemas, hardware, computação em nuvem (Cloud Computing),
sistemas ERP (Enterprise Resource Planning), data warehousing,
entre outras. É desejável também que o auditor desta área tenha
certificações (ITIL, Cobit, entre outras) a fim de agregar valor à
enrega do serviço.
A área de aplicativos controla o desenvolvimento de software, a
entrada, o processamento e a saída dos dados, o conteúdo e o
funcionamento dos aplicativos.» (CASATI, 2016, p. 17-18).
23 / 65
ABORDAGENS DA AUDITORIA DE SISTEMAS
A auditoria de sistemas pode ser conduzida por meio de três
abordagens:
a) ao redor do computador: antiga e obsoleta, não envolve o
uso de computador em momento algum da auditoria. Carac-
terístas: emprego de rotinas manuais, requer pouco conheci-
mento de Tecnologia da Informação, analisa apenas a entra-
da e a saída dos documentos-fonte, viável para a auditoria de
sistemas pequenos e pouco complexos;
b) através do computador: melhoria da abordagem anterior, en-
volve o uso parcial do computador na auditoria. Característi-
cas: maior confiabilidade nas medições, possibilita diferentes
modos de verificação dos documentos-fonte, apresenta maior
custo;
24 / 65
ABORDAGENS DA AUDITORIA DE SISTEMAS (cont.)
c) com o computador: auditoria completamente assistida por
computador. Características: uso do computador para cálcu-
los aritméticos e lógicos (de impostos, depreciação de bens,
taxas etc.), cálculos estatísticos e amostrais (para compara-
ções e confirmações), compilação dos resultados de proces-
sos manuais e automatizados, ordenação e seleção de regis-
tros (varredura em banco de dados, estritamente com infor-
mações relevantes), desenvolvimento de softwares para a
equipe de auditoria, adoção de TAAC – Técnicas de Auditoria
Assistidas por Computador (CAAT – Computer-Assisted Audit
Techniques).
(CASATI, 2016, p. 18-20).
25 / 65
ATIVIDADE DE FIXAÇÃO 1
1. (Gran Cursos Online | Concurso Analista Legislativo Municipal · Área Controladoria ·
2017) Nos trabalhos de auditoria interna, para que haja inde-
pendência organizacional, o executivo chefe de auditoria deve
reportar-se a um nível dentro da organização que permita à
atividade de auditoria interna cumprir suas responsabilidades.
A independência dentro da organização se alcança de forma
efetiva quando o executivo chefe de auditoria se reporta funci-
onalmente ao Conselho de Administração. Nesse contexto,
dos exemplos de reporte funcional do executivo chefe da au-
ditoria ao Conselho de Administração, o que poderia prejudi-
car a independência dentro da organização é a aprovação
do(a):
a) estatuto de auditoria interna.
b) escopo da auditoria interna.
c) planejamento de auditoria baseado em riscos.
d) orçamento de auditoria e do plano de recursos.
e) remuneração do executivo chefe de auditoria.
26 / 65
ATIVIDADE DE FIXAÇÃO 1 (cont.)
2. (Aprova Concursos | Q786393 · VUNESP · 2015 · TCE-SP · Agente de Fiscalização
Financeira · Sistemas, Gestão de Projetos e Governança de TI) Considerando
as definições apresentadas na literatura a respeito da
auditoria de sistemas, é correto afirmar que a auditoria de
sistemas de informação:
a) pode ser feita por profissionais internos à empresa proprietária
dos sistemas
b) não abrange os sistemas de bancos de dados da empresa.
c) não pode ser feita por profissinais externos à empresa
proprietária dos sistemas.
d) não se importa com o tipo de controles existentes nos
sistemas de informação.
e) somente deve ser feita uma vez a cada dois anos.
27 / 65
ATIVIDADE DE FIXAÇÃO 1 (cont.)
3. (Gran Cursos Online | Concurso Auditor · 2018) Um relatório de auditoria
interna deve apresentar o resultado dos trabalhos de forma a
expressar, claramente, suas conclusões, recomendações e
providências a serem tomadas pela administração da entida-
de. Entre os requisitos de um relatório de auditoria, NÃO é
recomendável que seja(m):
a) descrita a metodologia adotada no trabalho.
b) descritas as evidências encontradas e os fatos constatados.
c) apresentados os riscos associados aos fatos constatados.
d) incluídos em anexo todos os papéis de trabalho correntes e
permanentes.
e) reveladas eventuais limitações ao alcance dos procedimentos
de auditoria.
28 / 65
ATIVIDADE DE FIXAÇÃO 1 (cont.)
4. (Gran Cursos Online) Na auditoria realizada na companhia
distribuidora de peças e acessórios para veículos leves e
pesados, o auditor registrou as seguintes constatações:
i. Descontos obtidos pelo pagamento de duplicatas a
fornecedores contabilizados como receitas de aplicações
financeiras.
ii. Adulteração para mais de valores de créditos de ICMS
registrados no livro apuração do ICMS referente a compras
para comercialização.
iii. Por desatenção de funcionário da tesouraria recém contratado
foi concedido desconto no pagamento com atraso de
duplicatas a receber efetuado pelo cliente.
iv. Registro de notas fiscais fictícias de despesas, com o objetivo
de justificar saque na tesouraria da empresa.
29 / 65
ATIVIDADE DE FIXAÇÃO 1 (cont.)
Segundo as Normas de Auditoria, as constatações re-
gistradas pelo auditor caracterizam, respectivamente:
a) erro, fraude, erro e fraude.
b) fraude, fraude, erro e erro.
c) erro, fraude, fraude e erro.
d) fraude, erro, fraude e fraude.
e) fraude, erro, fraude e fraude.
30 / 65
A EQUIPE DE AUDITORIA
«A equipe de auditoria de sistemas deve ter autonomia para
execução do trabalho nas organizações. O acesso aos dados,
softwares e computadores deve ser permitido para que o auditor
possa colher informações suficientes, executar os testes e colher
medidas, para posteriormente comparar estas medidas com os
padrões adotados pela organização.
Para que isso ocorra, é necessário que a equipe de auditoria seja
diretamente ligada à presidência da organização, não podendo
esta equipe estar subordinada aos departamentos a serem
auditas (sic), garantindo assim a isenção dela diante do órgão
auditado [...].» (CASATI, 2016, p. 16).
31 / 65
A EQUIPE DE AUDITORIA (cont.)
Organograma com adição da equipe de auditoria (CASATI, 2016, p. 17).
32 / 65
A EQUIPE DE AUDITORIA (cont.)
«Obedecendo a esta estrutura organizacional, o auditor tem
liberdade e acesso às informações para trabalhar e apontar as
distorções visando a melhorar os processos da organização.
A equipe de auditoria de sistemas pode esbarrar em algumas
dificuldades para que o trabalho possa ser bem executado. As
principais dificuldades encontradas pela auditoria de sistemas,
indentificadas por Benetti (2015), são:
• defasagem tecnológica;
• falta de bons profissionais;
• falta de cultura da empresa;
• tecnologia variada e abrangente.»
(CASATI, 2016, p. 17).
33 / 65
O PERFIL DO AUDITOR DE SISTEMAS
«O auditor de sistemas é um verificador do trabalho realizado. É
ele quem confronta as medidas obtidas no processo de auditoria
com os padrões previamente estabelecidos, a fim de verificar a
conformidade daquiloque se tem como expectativa com aquilo
que vem sendo executado no ambiente da organização auditada.
O profissional de auditoria atua nas seguintes ações:
• validação: é a etapa em que o auditor executa testes a fim de
validar o processo que foi definido.
• avaliação: o auditor julga a medida adquirida em relação aos
padrões previamente estabelecidos e emite uma opinião por
meio de relatório de auditoria.
34 / 65
O PERFIL DO AUDITOR DE SISTEMAS (cont.)
O perfil de um auditor de sistemas deve estar em conformidade ou
muito próximo aos seguintes itens:
• conhecimento teórico em Sistemas de Informação: conhecer
normas e funcionamento de sistemas computacionais;
• conhecimento prático em sistemas de informação: conhecer
metodologias de desenvolvimento, boas práticas, problemas
comuns, é necessário que tenha experiência trabalhando
diretamente com sistemas;
• visão abrangente da empresa: conhecer as áreas de
atuação, o planejamento estratégico, políticas adotadas em
diversas áreas, principalmente no que se refere aos dados e
informações;
35 / 65
O PERFIL DO AUDITOR DE SISTEMAS (cont.)
• vestir-se adequadamente: passar a imagem de um profis-
sional de alto escalão;
• comportamento de liderança: criar sinergia, não entrar em
conflitos, demonstrar conhecimento e agregação de valor;
• utilizar palavreado formal: não utilizar-se de gírias e linguajar
exageradamente coloquial, a fim de transparecer confiança e
segurança;
• não aceitar presentes: o auditor não deve aceitar qualquer
tipo de agrado para passar a imagem de isenção e ética.»
(CASATI, 2016, p. 13-14).
36 / 65
O PERFIL DO AUDITOR DE SISTEMAS (cont.)
Assista ao vídeo Como Ser um Auditor Interno de Sucesso: 10
Competências Fundamentais
(<https://www.youtube.com/watch?v=j9G88HcH8UU>), do canal
ProdutividadeMaxima (YouTube), para refletirmos mais sobre o
perfil profissional do auditor de sistemas.
37 / 65
https://www.youtube.com/watch?v=j9G88HcH8UU
A CARREIRA DO AUDITOR DE SISTEMAS
«Ser um auditor de sistemas não significa que o profissional não
necessite da qualificação que o designa auditor, além dos conhe-
cimentos específicos em sistemas de informação e computação
[...].» (CASATI, 2016, p. 14).
38 / 65
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
«A carreira do auditor de sistemas passa por uma certificação,
que pode ser emitida por três instituições:
• ISACA: Certified Information System Auditor (CISA)[, asso-
ciação internacional de profissionais de governança de TI];
• British Computer Society: Exame da Sociedade Britânica de
Informática;
• Institute of Internal Auditors (IIA): Qualificação em Auditoria
Computacional.
Ao adquirir uma destas certificações, o profissional torna-se
habilitado a executar auditorias em sistemas.» (CASATI, 2016, p. 14).
39 / 65
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
«O programa de desenvolvimento da carreira de auditor de siste-
mas pode ser dividida em duas diferentes necessidades.
A primeira é quando o auditor tem pouca ou nenhuma experiência
na área de TI. Neste caso, os profissionais devem se especializar
nas seguintes áreas:
• conceitos de TI;
• tabelas de decisões aplicadas em linguagens de programa-
ção;
• aquisição de equipamentos (hardware);
• aquisição de programas de computador (software);
• metodologias e normas para desenvolvimento de soluções
tecnológicas;
• controles de acesso;
40 / 65
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
• operação e manutenção de sistemas;
• fundamentos de arquitetura de sistemas;
• entrada e saída de dados;
• redes de computadores (internet, intranet e extranet);
• programação de computadores;
• modelagem de sistemas;
• sistemas gerenciadores de bancos de dados;
• processamento lógico;
• unidades de memória (auxiliar e principal);
• estudos de caso que exemplifiquem cada situação (jogos de
negócio).
41 / 65
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
Para o profissional que tem conhecimento na área de TI, o treina-
mento deve ser direcionado para os seguintes objetivos:
• auditoria de sistemas aplicativos;
• princípios de práticas de auditoria, enfatizando os controles
organizacionais e gerenciais;
• monitoramento;
• emissão de relatórios;
• gerenciamento de riscos;
• políticas de segurança da informação;
• avaliação dos sistemas on-line;
42 / 65
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
• processamento em tempo real;
• identificação de programas;
• verificação das autenticações e autorizações;
• registros das transações;
• detecção e manutenção de diários das operações.
• softwares de auditoria;
• controles de acesso aos dados e programas;
• propriedade intelectual;
• plano de contingência.
43 / 65
A CARREIRA DO AUDITOR DE SISTEMAS (cont.)
O auditor de sistemas deve também possuir uma biblioteca de
consulta. Esta biblioteca deve conter informações pertinentes à
área de TI da organização, documentos e informações sobre
auditorias passadas.
É também de suma importância manter uma biblioteca técnica
para consulta sobre conceitos tecnológicos e de auditoria, assim
como manter-se atualizado em relação a novas tecnologias que
surgem no mercado.» (CASATI, 2016, p. 15-16).
44 / 65
NORMAS DE AUDITORIA
Normas de auditoria são regulações, competências e condutas
do exercício desta profissão, estabelecidas pelos órgãos regula-
dores da área de Contabilidade.
Veja algumas normas de auditoria divulgadas pelo Conselho
Federal de Contabilidade: <https://cfc.org.br/tecnica/
normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/>.
45 / 65
https://cfc.org.br/tecnica/normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/
https://cfc.org.br/tecnica/normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/
NORMAS DE AUDITORIA (cont.)
Assista ao vídeo Bate-Papo sobre Normas de Auditoria
(<https://www.youtube.com/watch?v=Zeh1mgeMzMk>), do canal Grupo Portal de
Auditoria (YouTube), para conhecermos alguns aspectos sobre
normas de auditoria.
46 / 65
https://www.youtube.com/watch?v=Zeh1mgeMzMk
PADRÕES E CÓDIGO DE ÉTICA PARA
AUDITORIA DE SISTEMAS
Além das normas de auditoria, estabelecidas pelos órgãos regu-
ladores oficiais, há também padrões ou códigos de ética, insti-
tuídos por associações do segmento de Auditoria, que servem de
referência para o exercício da profissão (CASATI, 2016, p. 20).
«O comitê de padrões da Associação de Controle e Auditoria de
Tecnologia de Informação dos Estados Unidos define os seguintes
padrões:
• responsabilidade, autoridade e prestação de contas;
• independência profissional;
• ética profissional e padrões;
• competência;
• planejamento;
47 / 65
PADRÕES E CÓDIGO DE ÉTICA PARA
AUDITORIA DE SISTEMAS (cont.)
• emissão de relatório;
• atividades de follow-up (acompanhamento).
Já a Associação de Auditores de Sistemas & Controles (ISACA)
define o código de ética profissional contendo os seguintes itens:
1. apoiar a implementação de padrões sugeridos para procedi-
mentos e controles dos sistemas de informação e encorajar
seu cumprimento;
2. exercer suas funções com objetividade e zelo profissional,
seguindo padrões profissionais e melhores práticas;
3. servir aos interesses dos stakeholders de forma legal e ho-
nesta, com alto padrão de conduta e caráter profissional e
desencorajar atos de descrédito à profissão;
48 / 65
PADRÕES E CÓDIGO DE ÉTICA PARA
AUDITORIA DE SISTEMAS (cont.)
4. manter a privacidade e a confidencialidade das informações
obtidas, exceto quando exigido legalmente. Estas informa-
ções não devem ser utilizadas em benefício próprio ou com-
partilhadas com pessoas não autorizadas;
5. manter competência na sua especialidade e assegurar que
somente atua nas atividades em que tem habilidade sufici-
ente;
6. informar os stakeholders sobre os resultados de seus tra-
balhos, expondo os fatos significativos desde que em seu
alcance; e
7. apoiar a conscientização profissional das partes envolvidas
para auxiliar sua compreensão dos sistemas de informação,
segurança e controle.»
(CASATI, 2016, p.20-21, grifos nossos).
49 / 65
ATIVIDADE DE FIXAÇÃO 2
1. (Gran Cursos Online | Concurso CGE/CE Auditor de Controle Interno · Área Audito-
ria Governamental · 2019) A atividade de auditoria interna deve ser
independente e os auditores internos, objetivos em seus tra-
balhos. Independência é a imunidade às condições que ame-
açam a capacidade da atividade de auditoria interna de con-
duzir suas responsabilidades de modo imparcial. Assim, pode
ser considerada situação de prejuízo à independência ou à
objetividade do auditor interno a prestação de serviço de:
a) consultoria em operações às quais ele tenha sido responsável
anteriormente.
b) avaliação de operações que anteriormente contaram com sua
consultoria objetiva.
c) avaliação de operações às quais o chefe de auditoria é ou foi
responsável.
d) consultoria sob demanda do conselho de administração.
e) avaliação de operações que ele mesmo avaliou no ano
anterior.
50 / 65
ATIVIDADE DE FIXAÇÃO 2 (cont.)
2. (Universidade Federal da Bahia) O auditor deve ser discreto em
suas atividades, suas ações não devem chamar a aten-
ção das áreas auditadas, não devem gerar incômodos ou
desgastes na rotina. É notório que, em determinados
trabalhos, as solicitações da auditoria atrapalhem a rotina
da área, ou coloquem os auditados em uma situação
desconfortável. Nesse sentido, o auditor deve atuar na
organização de forma:
a) Valorosa e sem critérios.
b) Ética e respeitosa.
c) Criteriosa e sentimental.
d) Mandatória e insensata.
e) Superior e autárquica.
51 / 65
ATIVIDADE DE FIXAÇÃO 2 (cont.)
3. Pesquise, na máquina de busca Google Scholar, o artigo: Re-
gulação da Auditoria em Sistemas Bancários: Análise do
Cenário Internacional e Fatores Determinantes, leia-o, sob
a ótica das normas de auditoria, e formule 3 perguntas re-
lacionadas. Estas perguntas serão submetidas a votação de
todos os alunos e as melhores, debatidas em aula.
52 / 65
CONTEÚDO
2. FASES PARA REALIZAÇÃO DE UMA AUDITORIA
2.1 Planejamento
2.2 Execução
2.3 Emissão e divulgação de relatórios
2.4 Follow-up
53 / 65
2.0 FASES PARA REALIZAÇÃO DE UMA AUDITORIA
54 / 65
PROCESSO DE AUDITORIA DE SISTEMAS
Como mencionado anteriormente, o processo de auditoria de sis-
temas ocorre inicialmente em três fases: planejamento, execução
e controle. Na fase de planejamento, são definidos os objetivos,
regras, padrões e normas organizacionais; na fase de execução,
são medidas as operações, sistemas, processos e responsabili-
dades gerenciais; na fase de controle, as medições realizadas são
confrontadas com os padrões planejados (CASATI, 2016, p. 37-38).
Então, o processo segue para a fase de avaliação, na qual emite-
se um parecer, na forma de relatórios, para a tomada de ações
que aproximem as medidas dos padrões (CASATI, 2016, p. 38).
55 / 65
PROCESSO DE AUDITORIA DE SISTEMAS (cont.)
Processo de auditoria de sistemas e seus elementos (adaptado de CASATI,
2016, p. 37).
56 / 65
57 / 65
CONTEÚDO
3. FERRAMENTAS DE AUDITORIA
3.1 Software generalista de auditoria de Tecnologia da
Informação
3.2 Softwares especializados de auditoria
3.3 Programas Utilitários de auditoria
58 / 65
CONTEÚDO
4. TÉCNICAS DE AUDITORIA
4.1 Dados de teste
4.2 Facilidade de teste integrado
4.3 Simulação paralela
4.4 Lógica de auditoria embutida nos sistemas
4.5 Rastreamento e mapeamento
4.6 Análise da lógica de programação
59 / 65
CONTEÚDO
5. TIPOS DE AUDITORIA
5.1 Auditoria de redes de computadores
5.2 Auditoria de controles de hardware
5.3 Auditoria de controles de acesso
5.4 Auditoria na aquisição, desenvolvimento, documentação e
manutenção de sistemas
5.5 Auditoria de sistemas de informação em produção
5.6 Auditoria de eventos
5.7 Outras
60 / 65
CONTEÚDO
6. EMISSÃO DE RELATÓRIOS DE AUDITORIA
6.1 Carta de encaminhamento do rascunho preliminar do relatório
de auditoria
6.2 Relatórios padrões de conclusão da auditoria de sistemas
61 / 65
CONTEÚDO
7. AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS
7.1 Pré-requisitos
7.2 Metodologia de seleção
7.3 Principais pacotes disponíveis no mercado
7.4 Ferramentas de análise de dados
7.5 Avaliação de pacotes de auditoria de sistemas
62 / 65
CONTEÚDO
8. AUDITORIA DE SISTEMAS E SEGURANÇA DA
INFORMAÇÃO
8.1 Informação como valor para o negócio
8.2 O que é e como acontece uma Auditoria em Segurança da
Informação
8.3 Auditoria e Política de Segurança de TI
63 / 65
64 / 65
"Treine enquanto eles dormem,
estude enquanto eles se divertem,
persista enquanto eles descansam
e então viva o que eles sonham."
– Muhammad Ali.
REFERÊNCIAS
AUDITORIA. In: DICIONÁRIO Priberam da Língua
Portuguesa online. S.l.: s.n., 2021. Disponível em:
<https://dicionario.priberam.org/auditoria>. Acesso em: 09 fev.
2021.
CASATI, João Paulo. Auditoria de Sistemas. Rio de
Janeiro: SESES, 2016.
RAMIRES, Anderson Carlos S.; KALINOWSKI, Marcos;
SPÍNOLA, Rodrigo O. Auditoria de Sistemas. In: .
Engenharia de Software Magazine. 28. ed. [S.l.: s.n.], 2010.
v. 3, p. 26–37.
65 / 65
https://dicionario.priberam.org/auditoria
	CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO
	Fundamentos de auditoria
	Tipos de auditoria
	Equipe de auditoria
	Desenvolvimento da carreira do auditor
	FASES PARA REALIZAÇÃO DE UMA AUDITORIA
	Planejamento
	Execução
	Emissão e divulgação de relatórios
	Follow-up
	FERRAMENTAS DE AUDITORIA
	Software generalista de auditoria de Tecnologia da Informação
	Softwares especializados de auditoria
	Programas Utilitários de auditoria
	TÉCNICAS DE AUDITORIA
	Dados de teste
	Facilidade de teste integrado
	Simulação paralela
	Lógica de auditoria embutida nos sistemas
	Rastreamento e mapeamento
	Análise da lógica de programação
	TIPOS DE AUDITORIA
	Auditoria de redes de computadores
	Auditoria de controles de hardware
	Auditoria de controles de acesso
	Auditoria na aquisição, desenvolvimento, documentação e manutenção de sistemas
	Auditoria de sistemas de informação em produção
	Auditoria de eventos
	Outras
	EMISSÃO DE RELATÓRIOS DE AUDITORIA
	Carta de encaminhamento do rascunho preliminar do relatório de auditoria
	Relatórios padrões de conclusão da auditoria de sistemas
	AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS
	Pré-requisitos
	Metodologia de seleção
	Principais pacotes disponíveis no mercado
	Ferramentas de análise de dados
	Avaliação de pacotes de auditoria de sistemas
	AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO
	Informação como valor para o negócio
	O que é e como acontece uma Auditoria em Segurança da Informação
	Auditoria e Política de Segurança de TI