SlideShare uma empresa Scribd logo

1 introducao auditoria

B
Boechat79

Este documento discute conceitos e organização de auditoria de sistemas, abordando tópicos como equipes de auditoria, natureza da auditoria, controles, auditoria da tecnologia da informação e segurança da informação.

Tecnologia
1 de 51
Baixar para ler offline
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação SEGURANÇA E AUDITORIA DE SISTEMAS Cynara Carvalho cynaracarvalho@yahoo.com.br
2 Ementa: Auditoria de sistemas, PED nas empresas; segurança, formação de Departamentos de auditoria, levantamentos, procedimentos. Conteúdo: 1- Conceitos e Organização de Auditoria  2– Segurança nas informações  3– Auditoria da Tecnologia da Informação  4– Segurança em Redes e Internet. Bibliografia: Dias, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1ª Edição, AXCEL BOOKS, 2000. LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Gil; Antonio de Loureiro. Auditoria de Computadores – 5ª Edição, Atlas 2000 Autor Anônimo. Segurança Máxima,  2ª Edição, Editora Campus, 2000 Tribunal de Contas da União, Manual de Auditoria de Sistemas, 1999. SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Campus, 2003.
3 Conceitos e Organização de Auditoria Auditoria: é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Fases da Auditoria: • Planejamento • Execução • Relatório
4 Auditoria e Conceitos básicos  1. CAMPO  1.1 Objeto. Pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma função dessa entidade.  1.2 Período. Pode ser de um ano, um mês ou período de uma gestão.  1.3 Natureza. Serão apresentados em seguida os tipos mais comuns, classificados sob os aspectos: órgão fiscalizador, forma de abordagem do tema e tipo ou área envolvida.
5 Natureza da Auditoria Quanto ao Órgão Fiscalizador: • Auditoria Interna • Auditoria Externa • Auditoria Articulada Quanto à Forma de Abordagem do Tema: • Auditoria Horizontal – Auditoria com tema específico realizada em várias entidades ou serviços paralelamente. • Auditoria Orientada – Auditoria focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes. Quanto ao Tipo ou Área Envolvida: • Auditoria de programas de governo • Auditoria de planejamento estratégico • Auditorias administrativa, contábil, financeira, legalidade • Auditoria operacional •Auditoria de TI
6 Auditoria e Conceitos básicos  AMBITO Constitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados. Define então até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência.  3. ÁREA DE VERIFICAÇÃO É o conjunto formado por campo e âmbito da auditoria. Delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria.
7 Objeto Período Natureza CampoÂmbito Sub 1 Sub 2 Sub 3 Área de Verificação Abrangência de Auditoria
8 Controles É a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos para que tais atividades, ou produtos, não se desviem das normas preestabelecidas. Tipos de Controle: Controle Preventivo - Usados para prevenir erros, omissões ou atos fraudulentos. Controle Detectivos - Usados para detectar erros, omissões ou atos fraudulentos e ainda relatar sua ocorrência Controles Corretivos - Usados para reduzir impactos ou corrigir erros uma vez detectados. Outros Termos importantes:
9 São metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para cada tipo de transação, atividade ou função fiscalizada. Outros Termos importantes: Objetivo de Controle Procedimentos Formam um conjunto de verificações necessárias à formulação da opinião do auditor. Em geral, são lista de pontos a serem verificados durante a auditoria. Achados de Auditoria São fatos significativos observados pelo auditor durante a execução da auditoria. Podem ser falhas ou irregularidades ou mesmo pontos fortes da instituição auditada.
10 Papéis de Trabalho São registros que evidenciam atos e fatos observados pelo auditor. Podem estar na forma de documentos, arquivos informatizados, etc... Estes papéis dão suporte ao relatório final da auditoria, pois registram a metodologia adotada, procedimentos, verificações, fontes, etc.. Relatório de Auditoria Onde são feitas as recomendações ou determinações da auditoria, para corrigir eventuais falhas detectadas, além de apontar responsáveis, quando for o caso. Outros Termos importantes:
11 Auditoria da Tecnologia da Informação É um tipo de auditoria operacional, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade. Pode abranger: • O ambiente de informática como um todo. • A organização do departamento de informática • Controles sobre BD´s • Redes • Diversos aplicativos Sub-Áreas de auditoria em ambientes informatizados : • Auditoria da segurança de informações • Auditoria da tecnologia da informação • Auditoria de aplicativos
12 Auditoria da segurança de informações Determina a postura da organização com relação à segurança das suas informações. Faz parte da auditoria de TI. Escopo: • Avaliação da política de segurança • Controles de acesso lógico • Controles de acesso físico • Controles ambientais • Planos de contingências e continuidade dos serviços
13 Auditoria da tecnologia da informação Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização. Controles: • Organizacionais • De mudanças • De operação dos sistemas • Sobre bancos de dados • Sobre microcomputadores • Sobre ambientes cliente-servidor
14 Auditoria de aplicativos Voltada para a segurança e o controle de aplicativos específicos. Controles: • Desenvolvimento de sistemas aplicativos • Entrada, processamento e saída de dados • Sobre conteúdo e funcionamento do aplicativo, com relação a área por ele atendida
15 Exercícios  1. Definir AUDITORIA.  2. Quais as principais FASES de uma Auditoria? Comente sobre cada uma.  3. Definir CONTROLE.  4. A Auditoria é uma atividade de controle?  5. Como pode ser classificado os Controles? Fale sobre cada um.  6. O que são OBJETIVOS DE CONTROLE?  7. O que são PROCEDIMENTOS DE AUDITORIA? Exemplifique.  8. Falar da relação Objetivos de Controle X Procedimentos de Auditoria.  9. Citar os tipos mais comuns (NATUREZA) de Auditoria.  10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO.  11. Quais as 3 grandes áreas da Auditoria da Tecnologia da Informação? Fale sobre cada uma delas.  12. Quais as sub-áreas da Auditoria da Segurança da Informação?  13. Quais as sub-áreas da Auditoria da Tecnologia da Informação?  14. Quais as sub-áreas da Auditoria de Aplicativos?  Cláudia Dias – págs – 08 a 14
16 Equipe de Auditoria Profissionais de alta capacidade técnica, em constante aperfeiçoamento, comprometidos com a organização e com postura adequada. Conhecimentos necessários: • Na área que atua, com experiências práticas anteriores. • Bom nível em sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. • Quanto mais complexos os elementos do ambiente computacional e o grau de profundidade esperado dos exames de auditoria, maior a necessidade de especialização da equipe e/ou do auditor. • Algumas vezes torna-se necessário contratação externa. • Normalmente os conhecimentos básicos englobam sistemas operacionais, software básico, bancos de dados, redes LAN/WAN, avançando até softwares de controle de acesso, planos de contingências e de recuperação e metodologias de desenvolvimento de sistemas
17 Equipe de Auditoria Composição da Equipe: Contratação de consultoria externa Desenvolver habilidades em informática nos auditores com formação básica em contabilidade e auditoria Desenvolver habilidades em auditoria funcionários com formação em análise de sistemas, ciência da computação, etc...
18 Equipe de Auditoria • Recomendável para sistemas de alta complexidade e especialização. • Análise minuciosa do custo-benefício. • Extensão do trabalho dos consultores, utilizando externa somente onde não houver disponibilidade na própria equipe. • Em caso de contratação, os acertos financeiros e cláusulas contratuais devem ser o mais claros possíveis. Deve-se optar por empresas/pessoas já com experiência na atividade e checar seus desempenhos em trabalhos anteriores. • A equipe externa deve se envolver desde o início dos trabalhos. Deve-se estabelecer etapas bem definidas e pontos de controle, com supervisão contínua de integrante da organização contratante. Contratação de consultoria externa
19 Equipe de Auditoria Qual o tipo de consultoria mais adequada? • Deve ter recursos (humanos e tecnológicos) adequados para atingir os objetivos da auditoria dentro do prazo e com a qualidade esperada. • Firmas ou organizações – podem dispor de mais recursos e oferecer uma gama maior de serviços ou profissionais para cada tipo de atividade. No entanto isso não garante a qualidade dos seus serviços. • Profissionais autônomos – podem atuar no planejamento estratégico da auditoria ou nas verificações de campo. Podem complementar a equipe interna em todo a verificação ou em determinadas fases do processo. • Tanto firmas como especialistas autônomos podem ser de grande utilidade no planejamento da auditoria, na condução de entrevistas com o auditado, na avaliação de controles, na captação de dados dos sistemas, na revisão dos resultados obtidos e nas recomendações finais do relatório de auditoria. Contratação de consultoria externa
20 Equipe de Auditoria Analisando os Candidatos ao Serviço de Consultoria Externa • Estudar bem as propostas, detalhando os custos do serviços, os recursos humanos oferecidos, suas habilidades técnicas, plano de trabalho, etc... • Seleção inicial dos possíveis candidatos, identificando consultores que já prestaram serviços à organização e reconhecidos no mercado por sua especialização e qualidade dos serviços. • Definir os critérios para a análise das propostas dos consultores. A proposta tem que ser compatível com os requisitos e prazos estabelecidos. Os custos devem ser bem explicitados para que não haja dúvidas sobre sua composição. Contratação de consultoria externa
21 Equipe de Auditoria Relacionamento com os Consultores Externos • Para assegurar a qualidade do trabalho, o entrosamento da equipe é essencial, principalmente se membros não fizerem parte do corpo funcional da organização. • Nas auditorias com participação externa, é necessário que os aspectos relevantes estejam sempre sob o controle do coordenador da equipe, necessariamente um funcionário da organização. • Devem ser estipulados pontos de controle durante a execução da auditoria para que o coordenador avalie periodicamente o trabalho. • É recomendável a transferência de conhecimentos entre os consultores e os membros internos da equipe, visando a capacitação dos mesmos para auditorias semelhantes no futuro. Contratação de consultoria externa
22 Equipe de Auditoria Avaliando o trabalho realizado • É importante analisar os resultados, com a participação da equipe interna, coordenador e gerência da organização contratante. • Discutir os pontos fortes e fracos, relatar as dificuldades . • Comparar resultados esperados com alcançados. • Orçamento, Prazos, Níveis de qualidade : previsto X real • Cooperação entre equipe externa e interna, sugestões para futuras auditorias. Contratação de consultoria externa
23 Equipe de Auditoria • A compreensão pode ser mais difícil. A linguagem técnica e as evoluções constantes podem dificultar um aprendizado adequado. • As dificuldades decorrentes da falta de boa vontade dos profissionais de informática ou o uso excessivo de vocabulário técnico. • Um bom nível de especialização só é conseguido após anos de de formação e práticas. Composição da Equipe: Desenvolver habilidades em informática nos auditores com formação básica em contabilidade e auditoria
24 Equipe de Auditoria • Pode produzir resultados mais satisfatórios e em menor tempo. • Normalmente as ferramentas de auditoria são computacionais. • O potencial do profissional de informática que se deseja capacitar e sua capacidade de adaptação devem ser avaliados criteriosamente. • A preparação tem que ser contínua, mesmo um profissional já experiente deve- se manter em dia com os assuntos referentes a auditoria de sistemas. Participações em seminários e cursos de especialização é indispensável. Participação em fóruns e consultas a sites de referência também são válidos. • A equipe deve se preocupar em montar um Manual de Auditoria da TI para a organização, além de manter um acervo com livros e revistas especializadas para consultas a qualquer tempo. Composição da Equipe: Desenvolver habilidades em auditoria funcionários com formação em análise de sistemas, ciência da computação, etc...
25  A computação está em constante evolução tecnológica;  O treinamento constante de auditores é imprescindível para que estejam preparados para realizar auditorias com qualidade e com grau de profundidade técnica adequado;  Os sistemas atuais são muito complexos e exigem conhecimentos que vão desde sistemas operacionais, planos de contingências, desenvolvimento de aplicativos, segurança de informações que trafegam pela internet etc.;  Devem ser traçadas estratégias diferentes de treinamentos a depender do nível de conhecimento dos auditores. Equipe de Auditoria Treinamento
26  Devem ser estimulados a participar de: . Seminários . Cursos de especialização . Workshops . Congressos . Grupos de discussão . Boletins . Home pages de organizações especializadas. Equipe de Auditoria Treinamento
27 Em alguns países existem organizações que promovem certificações de qualificação profissional de auditores de sistemas:  ISACA (Information Systems Audit and Control Association – Certificado de Auditor de Sistemas de Informação (CISA)  British Computer Society – Exame da Sociedade Britânica de Informática  Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional Equipe de Auditoria Qualificação Profissional
28  O IIA e a ISACA, em especial, desempenham um papel ativo no desenvolvimento de padrões de auditoria e controle de sistemas de informação.  Sob demanda, provêem informações sobre suas publicações, padrões e qualificação.  A certificação de auditor de sistemas é sempre atualizada.  Algumas organizações ao contratar serviços de auditoria exigem a apresentação de certificados atualizados. Equipe de Auditoria Qualificação Profissional
29 OBJETIVO:  Orientar o trabalho dos auditores  Difundir o conhecimento nessa área - O nível de detalhamento desse material dependerá do tamanho da equipe, do tempo disponível para desenvolver essa documentação e do grau de qualificação técnica de seus componentes. - Caberá à chefia decidir se serão elaborados documentos específicos ou se serão utilizadas publicações de outras entidades de fiscalização e controle em TI. Equipe de Auditoria Manual de Auditoria – Tecnologia da Informação
30  O grupo de auditores deverá ter à sua disposição uma biblioteca técnica para consulta. Com isso:  Os trabalhos serão orientados de acordo com padrões existentes;  A equipe estará sempre atualizada;  Terão à disposição publicações técnicas como fonte de pesquisa;  Deve manter nessa biblioteca todos os relatórios de auditorias em TI;  Deverá dispor ainda: legislação e normas, manuais de auditoria e procedimentos, livros de informática, revistas, manuais de treinamentos, artigos de jornais relacionados etc. Equipe de Auditoria Biblioteca Técnica
31  Uma única pessoa não deterá todos os conhecimentos necessários em TI para uma auditoria;  É necessário que uma equipe de auditoria seja formada por auditores com diferentes especializações;  Cabe à gerência desenvolver as especializações que faltam, através de treinamento adequado, e administrar o grupo como um time coeso que se complementa;  Formada essa equipe, esta pode atuar em auditorias de tecnologia da informação ou como suporte técnico a outras equipes de auditoria. Equipe de Auditoria Organização da Equipe Especializada
32  Auditores de sistemas são considerados recursos humanos escassos, por isso suas atividades são definidas apenas nos casos em que sua atuação é realmente necessária;  Uma forma de amenizar essa escassez é formando auditores para atuar como suporte básico de informática nas equipes de auditoria de caráter genérico - AUDITOR GENERALISTA;  Normalmente o auditor generalista executa atividades de caráter preliminar em ambientes de informática ou sistemas considerados pouco complexos para determinar a estratégia de auditoria mais adequada. Equipe de Auditoria Administrando Recursos Escassos
33  É necessário que as atividades de cada auditor sejam bem definidas, bem como o suporte técnico dado pelos auditores especializados, limites de atuação, relacionamentos entre eles, etc.;  Os planos de auditoria devem ser elaborados levando em conta os recursos humanos disponíveis. Devem ser elaborados planos de preferência anual;  A tendência é que no futuro todos os auditores tenham conhecimentos necessários para realizar auditorias de sistemas;  É necessário que a função de auditoria se adapte aos novos ambientes e necessidades do mercado.  Espera-se com o uso cada vez mais intenso do computador que haja um aumento no mercado desse profissionais. Equipe de Auditoria Administrando Recursos Escassos
34  Em organizações de auditoria geralmente as atividades são planejadas em três níveis, baseados em períodos de tempo diferentes: Plano Estratégico de Longo Prazo:  Normalmente para períodos de 3 a 5 anos;  Objetivos mais amplos, atinge toda a organização e tem que ser aprovado pela gerência superior;  Define metas, forma de atuação, recursos necessários, necessidades de treinamento etc.  É aconselhável revisar a atualizar anualmente. Equipe de Auditoria Planejamento de Atividades
35  Em organizações de auditoria geralmente as atividades são planejadas em três níveis, baseados em períodos de tempo diferentes: Plano Estratégico de Médio Prazo:  Traduz o plano de longo prazo para um programa de atividades para o ano que se inicia;  Em geral, procura atender as demandas das auditorias genérica por auditorias mais especializadas;  Normalmente aprovada pela gerência intermediária, define os objetivos macros das auditorias a serem feitas em seguida;  Deve ser flexível para aceitar as alterações necessárias. Equipe de Auditoria Planejamento de Atividades
36  Em organizações de auditoria geralmente as atividades são planejadas em três níveis, baseados em períodos de tempo diferentes: Plano Estratégico Operacional:  Baseia em auditorias individualizadas  Contem detalhes exatos dos objetivos, áreas a serem auditadas, recursos necessários, prazos, objetivos de controle e procedimentos de auditoria a serem seguidos.  É o plano específico de uma determinada auditoria;  Será tratado a seguir (planejamento e execução). Equipe de Auditoria Planejamento de Atividades
37 Exercícios  1. Que habilidade deve ter um gerente de equipe de auditoria?  2. Que habilidade deve ter um Auditor de Tecnologia da Informação?  3. Que habilidade deve ter um Auditor de Tecnologia da Informação, segundo o Padrão Internacional de Auditoria?  4. Quais são as 3 opções possíveis na formação de uma equipe de auditoria?  5. Das 3 opções da questão anterior qual a que você considera mais viável para a formação de uma equipe de Auditoria em Tecnologia da Informação?  6. Quais são as 2 categorias de consultoria externa? Fale sobre cada uma delas.  7. Quais os principais meios de qualificação/atualização na área de tecnologia da informação? Fale sobre cada um deles.  8. Quais são os níveis de planejamento de atividades em auditoria de tecnologia da informação? Fale sobre cada um deles.  Cláudia Dias – págs 14 a 25
38 Planejamento e Execução de Auditoria • A maior quantidade possível de informações da entidade auditada e seu ambiente de informática deve ser levantada. • Estas informações possibilitam uma noção da complexidade dos sistemas e estabelecer os recursos e conhecimentos técnicos necessários. • Tipos de informações técnicas: hardware, SO, sistemas de segurança, aplicativos e os responsáveis pelas áreas. Pesquisa de fontes de informação: A fase de planejamento identifica os instrumentos indispensáveis à sua realização. Estabelece, entre outras coisas: • Recursos necessários • Área de verificação • Metodologias • Objetivos de controle • Procedimentos a serem adotados
39 Planejamento e Execução de Auditoria • O campo da auditoria é composto por objeto, período e natureza. • Em auditorias de informática, a natureza é a própria auditoria de TI. • O Objeto pode englobar um sistema computacional, uma ou mais seções do deptº de informática ou toda a organização em termos de políticas de informática. • O período depende do grau de profundidade das verificações (âmbito) e das sub-áreas. • Tendo definido o conjunto campo e âmbito, é fixada toda a área de verificação Definindo Campo, Âmbito e Sub-áreas • Recursos humanos • Recursos econômicos • Recursos técnicos Definindo os Recursos Necessários
40 Objeto Período Natureza Campo Âmbito Sub 1 Sub 2 Sub 3 Área de Verificação – DEPARTAMENTO DE INFORMÁTICA Planejamento e Execução de Auditoria Avaliação da eficácia dos controles Segurança de informações 01/08 a 30/09/2002 Audit. TI Controles de Acesso Físico Controles de Acesso Lógico Backup
41 Metodologias • Entrevista de Apresentação • Entrevistas de Coleta de Dados • Entrevistas de discussão das deficiências encontradas • Entrevistas de encerramento Entrevistas Apresentar o plano de auditoria, coletar dados, identificar falhas e apresentar os resultados do trabalho. Uso de Ferramentas de Apoio (CAATs) • Técnicas de análise dados • Técnicas para verificação de controles de sistemas • Outras ferramentas
42  Técnicas de análise dados Os dados do auditado pode ser coletados e analisados com o auxílio de softwares de extração de dados, de amostragem, de análise de logs e módulos ou trilhas de auditoria embutidas nos próprios sistemas aplicativos da entidade  Técnicas para verificação de controles de sistemas Permite testar a efetividade dos controles dos sistemas do auditado. Pode- se analisar sua confiabilidade, e ainda determinar se estão operando corretamente a ponto de garantir a fidedignidade dos dados.  Dentre as técnicas mais utilizadas, pode-se citar: - Massa de dados de teste, simulações, software de comparação de programas, - mapeamento e rastreamento de processamento Planejamento e Execução de Auditoria Metodologias
43  Outras ferramentas  Existem ferramentas que não são necessariamente de apoio à auditoria, mas  auxilia o auditor durante a execução da auditoria e na elaboração do relatório.  Se encontram nessa categoria: editores de textos, planilhas eletrônicas, banco de dados e softwares para apresentações. Metodologias
44  Os objetivos de controle norteiam a auditoria em várias áreas especializadas e organizacionais.  Para realizar uma avaliação da atuação de outros profissionais, é necessário que o avaliador tenha um modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita.  O modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em cada área específica. Objetivos de Controle e Procedimentos de Auditoria
45  EXEMPLO:  Na área de segurança, um dos objetivos de controle pode ser o estabelecimento de regras para acesso aos recursos computacionais.  Alguns procedimentos de auditoria relacionados ao objetivo acima citado pode ser: verificar se há documento formal que justifique a necessidade do usuário para acessar determinados recursos computacionais;  ou verificar se existem procedimentos que definem os recursos computacionais que poderão ser acessados e os tipos de transações que poderão ser executadas por cada usuário autorizado. Objetivos de Controle e Procedimentos de Auditoria
46  ENFOQUES E MOTIVAÇÕES:  Segurança – dados e sistemas em que são essenciais a confidencialidade, a integridade, a disponibilidade de informações;  Atendimento a solicitações externas – verificação de indícios de irregularidades motivados pela imprensa, denuncia, solicitação de órgãos superiores;  Materialidade – valor significativo dos sistemas computacionais, transações, em termos econômico-financeiro;  Altos custos de desenvolvimento – sistemas com altos custos de desenvolvimento envolvem riscos mais altos para a organização. Objetivos de Controle e Procedimentos de Auditoria
47  ENFOQUES E MOTIVAÇÕES:  Grau de envolvimento dos usuários - sistemas elaborados sem o envolvimento dos usuários em geral não atendem satisfatoriamente às suas necessidades;  A partir do momento em que foram definidas a área de verificação e as subáreas a serem auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza procedimentos de auditoria para testar se os respectivos objetivos de controle estão sendo seguidos pela entidade.  Normalmente as organizações ligadas à auditoria da tecnologia da informação publicam manuais de orientação contendo objetivos de controle e procedimentos de auditoria típicos em um ambiente de informática. Objetivos de Controle e Procedimentos de Auditoria
48 Procedimentos de Auditoria Execução: Na execução, a equipe deve reunir evidências confiáveis, relevantes e úteis para os objetivos da auditoria. Tipos: • Evidência física • Evidência documentária • Evidência fornecida pelo auditado • Evidência analítica Todas essas evidências devem estar organizadas nos papéis de trabalhos, para facilitar a elaboração do relatório.
49 Relatório A forma como o auditor apresenta seus achados e conclusões, com comprovações, incluindo recomendações e, conforme o caso, determinações. • Deve ser claro, objetivo, sem uso exagerado de termos técnicos. • Glossário ao final, caso haja uso de termos e siglas. • Bem organizado. • Relatórios preliminares podem ser apresentados e discutidos com a parte auditada e/ou com a autoridade contratante. •O relatório final deve ser revisado por todos os membros da equipe, para verificar sua consistência, omissões como também uma revisão gramatical.
50 Relatório Estrutura: • Dados da entidade auditada. • Síntese – breve resumo do relatório • Dados da auditoria – objetivos, período, equipe, metodologia, etc.. • Introdução – breve histórico, resumo de audit. Anteriores, estrutura hierárquica dos deptº auditados, etc... • Falhas detectadas – Detalhamento das falhas e irregularidades, com comentários e justificativas e parecer da equipe. • Conclusão – Resumo dos principais pontos e recomendações finais para correção das falhas e apontar pontos fortes. • Pareceres – Quando necessário, de instâncias superiores.
51 Exercícios Propostos  1. Qual o objetivo do Planejamento de Auditoria?  2. Quais as informações básicas que devem estar contidas em um Plano de Auditoria?  3. Quais as principais fontes de informações para a elaboração de um Plano de Auditoria?  4. Quais os recursos necessários para uma auditoria? Fale sobre cada um.  5. Quais as principais metodologias utilizadas em uma atividade de auditoria. Fale sobre cada uma delas.  6. Em uma auditoria, a equipe deve reunir evidências suficientemente confiáveis, relevantes e úteis para a consecução dos objetivos da auditoria. Fale sobre cada uma dessas evidências.  7. O que deve conter em um relatório de auditoria? Cláudia Dias – págs – 25 a 36

Recomendados

Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.Secretaria de Estado da Tributação do RN
 
Introdução a administração 2012_01
Introdução a administração 2012_01Introdução a administração 2012_01
Introdução a administração 2012_01Milton Henrique do Couto Neto
 
Aula 5 - 4 Auditoria Interna
Aula 5 - 4 Auditoria InternaAula 5 - 4 Auditoria Interna
Aula 5 - 4 Auditoria InternaSecretaria de Estado da Tributação do RN
 
Auditoria interna-Apresentacao 1.pptx
Auditoria interna-Apresentacao 1.pptxAuditoria interna-Apresentacao 1.pptx
Auditoria interna-Apresentacao 1.pptxLdiaJoo
 
Aula 1 - Auditoria II.pdf
Aula 1 - Auditoria II.pdfAula 1 - Auditoria II.pdf
Aula 1 - Auditoria II.pdfSheilaCortes2
 
Estruturas organizacionais
Estruturas organizacionaisEstruturas organizacionais
Estruturas organizacionaisRafael Evans
 
Auditoria
AuditoriaAuditoria
AuditoriaKarenn Paty
 
Tipos de organização
Tipos de organizaçãoTipos de organização
Tipos de organizaçãoRobson Costa
 

Recomendados

Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.Secretaria de Estado da Tributação do RN
 
Introdução a administração 2012_01
Introdução a administração 2012_01Introdução a administração 2012_01
Introdução a administração 2012_01Milton Henrique do Couto Neto
 
Aula 5 - 4 Auditoria Interna
Aula 5 - 4 Auditoria InternaAula 5 - 4 Auditoria Interna
Aula 5 - 4 Auditoria InternaSecretaria de Estado da Tributação do RN
 
Auditoria interna-Apresentacao 1.pptx
Auditoria interna-Apresentacao 1.pptxAuditoria interna-Apresentacao 1.pptx
Auditoria interna-Apresentacao 1.pptxLdiaJoo
 
Aula 1 - Auditoria II.pdf
Aula 1 - Auditoria II.pdfAula 1 - Auditoria II.pdf
Aula 1 - Auditoria II.pdfSheilaCortes2
 
Estruturas organizacionais
Estruturas organizacionaisEstruturas organizacionais
Estruturas organizacionaisRafael Evans
 
Auditoria
AuditoriaAuditoria
AuditoriaKarenn Paty
 
Tipos de organização
Tipos de organizaçãoTipos de organização
Tipos de organizaçãoRobson Costa
 
ADM - Introdução à administração e às organizações
ADM - Introdução à administração e às organizaçõesADM - Introdução à administração e às organizações
ADM - Introdução à administração e às organizaçõesGabriel Faustino
 
Aula: TEORIAS da ADMINISTRAÇÃO
Aula: TEORIAS da ADMINISTRAÇÃOAula: TEORIAS da ADMINISTRAÇÃO
Aula: TEORIAS da ADMINISTRAÇÃOAlexandre Conte
 
Apresentação - Gestão de serviços
Apresentação - Gestão de serviçosApresentação - Gestão de serviços
Apresentação - Gestão de serviçosMarcel Gois
 
153021281 auditoria-aulas-pdf
153021281 auditoria-aulas-pdf153021281 auditoria-aulas-pdf
153021281 auditoria-aulas-pdfLucas Ferreira
 
ORGANIZAÇÃO, SISTEMAS E MÉTODOS – OSM
ORGANIZAÇÃO, SISTEMAS E MÉTODOS – OSMORGANIZAÇÃO, SISTEMAS E MÉTODOS – OSM
ORGANIZAÇÃO, SISTEMAS E MÉTODOS – OSMCursos Profissionalizantes
 
Teoria da Burocracia
Teoria da BurocraciaTeoria da Burocracia
Teoria da BurocraciaEliseu Fortolan
 
10 O encontro de serviços
10 O encontro de serviços10 O encontro de serviços
10 O encontro de serviçosMarcel Gois
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Leinylson Fontinele
 
Slides Introdução à Contabilidade
Slides Introdução à ContabilidadeSlides Introdução à Contabilidade
Slides Introdução à ContabilidadeAna Paula Bevilacqua
 
Gerenciamento de Riscos Corporativos: uma ferramenta indispensável à Gestão d...
Gerenciamento de Riscos Corporativos: uma ferramenta indispensável à Gestão d...Gerenciamento de Riscos Corporativos: uma ferramenta indispensável à Gestão d...
Gerenciamento de Riscos Corporativos: uma ferramenta indispensável à Gestão d...Conselho Regional de Administração de São Paulo
 
Visão geral do sistema operacional
Visão geral do sistema operacionalVisão geral do sistema operacional
Visão geral do sistema operacionalLuciano Crecente
 
Plano De Auditoria Tipo
Plano De Auditoria TipoPlano De Auditoria Tipo
Plano De Auditoria Tipoinstituto monitor
 
Marion novas transpar ncias
Marion novas transpar nciasMarion novas transpar ncias
Marion novas transpar nciasValeria Rodrigues
 
Planejamento, organização, direção e controle pg70
Planejamento, organização, direção e controle pg70Planejamento, organização, direção e controle pg70
Planejamento, organização, direção e controle pg70kisb1337
 
Contabilidade basica
Contabilidade basicaContabilidade basica
Contabilidade basicaDayane Dias
 
Compliance
ComplianceCompliance
CompliancePriscila Stuani
 
CN9-sistema respiratório
CN9-sistema respiratórioCN9-sistema respiratório
CN9-sistema respiratórioRita Rainho
 
Linha Histórica da Administração
Linha Histórica da AdministraçãoLinha Histórica da Administração
Linha Histórica da AdministraçãoReginaldo Marcos Martins
 
Contabilidade conceitos básicos
Contabilidade conceitos básicosContabilidade conceitos básicos
Contabilidade conceitos básicosCelso Frederico Lago
 
4 Auditoria - Planejamento
4 Auditoria - Planejamento4 Auditoria - Planejamento
4 Auditoria - PlanejamentoBolivar Motta
 
Auditoria contábil - situações práticas
Auditoria contábil - situações práticasAuditoria contábil - situações práticas
Auditoria contábil - situações práticasKarla Carioca
 
Relatório da auditoria ambiental
Relatório da auditoria ambientalRelatório da auditoria ambiental
Relatório da auditoria ambientalEcoleca
 

Mais conteúdo relacionado

Mais procurados

ADM - Introdução à administração e às organizações
ADM - Introdução à administração e às organizaçõesADM - Introdução à administração e às organizações
ADM - Introdução à administração e às organizaçõesGabriel Faustino
 
Aula: TEORIAS da ADMINISTRAÇÃO
Aula: TEORIAS da ADMINISTRAÇÃOAula: TEORIAS da ADMINISTRAÇÃO
Aula: TEORIAS da ADMINISTRAÇÃOAlexandre Conte
 
Apresentação - Gestão de serviços
Apresentação - Gestão de serviçosApresentação - Gestão de serviços
Apresentação - Gestão de serviçosMarcel Gois
 
153021281 auditoria-aulas-pdf
153021281 auditoria-aulas-pdf153021281 auditoria-aulas-pdf
153021281 auditoria-aulas-pdfLucas Ferreira
 
10 O encontro de serviços
10 O encontro de serviços10 O encontro de serviços
10 O encontro de serviçosMarcel Gois
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Leinylson Fontinele
 
Slides Introdução à Contabilidade
Slides Introdução à ContabilidadeSlides Introdução à Contabilidade
Slides Introdução à ContabilidadeAna Paula Bevilacqua
 
Visão geral do sistema operacional
Visão geral do sistema operacionalVisão geral do sistema operacional
Visão geral do sistema operacionalLuciano Crecente
 
Planejamento, organização, direção e controle pg70
Planejamento, organização, direção e controle pg70Planejamento, organização, direção e controle pg70
Planejamento, organização, direção e controle pg70kisb1337
 
Contabilidade basica
Contabilidade basicaContabilidade basica
Contabilidade basicaDayane Dias
 
CN9-sistema respiratório
CN9-sistema respiratórioCN9-sistema respiratório
CN9-sistema respiratórioRita Rainho
 
4 Auditoria - Planejamento
4 Auditoria - Planejamento4 Auditoria - Planejamento
4 Auditoria - PlanejamentoBolivar Motta
 

Mais procurados (20)

ADM - Introdução à administração e às organizações
ADM - Introdução à administração e às organizaçõesADM - Introdução à administração e às organizações
ADM - Introdução à administração e às organizações
 
Aula: TEORIAS da ADMINISTRAÇÃO
Aula: TEORIAS da ADMINISTRAÇÃOAula: TEORIAS da ADMINISTRAÇÃO
Aula: TEORIAS da ADMINISTRAÇÃO
 
Apresentação - Gestão de serviços
Apresentação - Gestão de serviçosApresentação - Gestão de serviços
Apresentação - Gestão de serviços
 
153021281 auditoria-aulas-pdf
153021281 auditoria-aulas-pdf153021281 auditoria-aulas-pdf
153021281 auditoria-aulas-pdf
 
ORGANIZAÇÃO, SISTEMAS E MÉTODOS – OSM
ORGANIZAÇÃO, SISTEMAS E MÉTODOS – OSMORGANIZAÇÃO, SISTEMAS E MÉTODOS – OSM
ORGANIZAÇÃO, SISTEMAS E MÉTODOS – OSM
 
Teoria da Burocracia
Teoria da BurocraciaTeoria da Burocracia
Teoria da Burocracia
 
10 O encontro de serviços
10 O encontro de serviços10 O encontro de serviços
10 O encontro de serviços
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
 
Slides Introdução à Contabilidade
Slides Introdução à ContabilidadeSlides Introdução à Contabilidade
Slides Introdução à Contabilidade
 
Gerenciamento de Riscos Corporativos: uma ferramenta indispensável à Gestão d...
Gerenciamento de Riscos Corporativos: uma ferramenta indispensável à Gestão d...Gerenciamento de Riscos Corporativos: uma ferramenta indispensável à Gestão d...
Gerenciamento de Riscos Corporativos: uma ferramenta indispensável à Gestão d...
 
Visão geral do sistema operacional
Visão geral do sistema operacionalVisão geral do sistema operacional
Visão geral do sistema operacional
 
Plano De Auditoria Tipo
Plano De Auditoria TipoPlano De Auditoria Tipo
Plano De Auditoria Tipo
 
Marion novas transpar ncias
Marion novas transpar nciasMarion novas transpar ncias
Marion novas transpar ncias
 
Planejamento, organização, direção e controle pg70
Planejamento, organização, direção e controle pg70Planejamento, organização, direção e controle pg70
Planejamento, organização, direção e controle pg70
 
Contabilidade basica
Contabilidade basicaContabilidade basica
Contabilidade basica
 
Compliance
ComplianceCompliance
Compliance
 
CN9-sistema respiratório
CN9-sistema respiratórioCN9-sistema respiratório
CN9-sistema respiratório
 
Linha Histórica da Administração
Linha Histórica da AdministraçãoLinha Histórica da Administração
Linha Histórica da Administração
 
Contabilidade conceitos básicos
Contabilidade conceitos básicosContabilidade conceitos básicos
Contabilidade conceitos básicos
 
4 Auditoria - Planejamento
4 Auditoria - Planejamento4 Auditoria - Planejamento
4 Auditoria - Planejamento
 

Destaque

Auditoria contábil - situações práticas
Auditoria contábil - situações práticasAuditoria contábil - situações práticas
Auditoria contábil - situações práticasKarla Carioca
 
Relatório da auditoria ambiental
Relatório da auditoria ambientalRelatório da auditoria ambiental
Relatório da auditoria ambientalEcoleca
 
RD Summit 2014: Como criar uma estratégia de conteúdo de sucesso
RD Summit 2014: Como criar uma estratégia de conteúdo de sucessoRD Summit 2014: Como criar uma estratégia de conteúdo de sucesso
RD Summit 2014: Como criar uma estratégia de conteúdo de sucessolossio
 
Carina e Vanessa
Carina e VanessaCarina e Vanessa
Carina e Vanessacarinakikas
 
Manual de contabilidade e relatórios financeiros e auditoria
Manual de contabilidade e relatórios financeiros e auditoriaManual de contabilidade e relatórios financeiros e auditoria
Manual de contabilidade e relatórios financeiros e auditoriarazonetecontabil
 
Planejamento da auditoria: aceitação ou renovação do contrato.
Planejamento da auditoria: aceitação ou renovação do contrato. Planejamento da auditoria: aceitação ou renovação do contrato.
Planejamento da auditoria: aceitação ou renovação do contrato. Universidade Federal de Viçosa
 
Apresentação FB auditoria e consultoria
Apresentação FB auditoria e consultoriaApresentação FB auditoria e consultoria
Apresentação FB auditoria e consultoriaFernanda Belmonte
 
Relatório - Sistema Nacional de Auditoria do SUS
Relatório - Sistema Nacional de Auditoria do SUSRelatório - Sistema Nacional de Auditoria do SUS
Relatório - Sistema Nacional de Auditoria do SUSmota Leonilson
 
Auditoria Governamental p/ Concurso TCM-GO
Auditoria Governamental p/ Concurso TCM-GOAuditoria Governamental p/ Concurso TCM-GO
Auditoria Governamental p/ Concurso TCM-GOEstratégia Concursos
 
Trabalho de Conclusão de Curso Antonio Quirino Gomes
Trabalho de Conclusão de Curso Antonio Quirino Gomes Trabalho de Conclusão de Curso Antonio Quirino Gomes
Trabalho de Conclusão de Curso Antonio Quirino Gomes Antonio Quirino
 
Relatorio auditoria ambiental
Relatorio auditoria ambientalRelatorio auditoria ambiental
Relatorio auditoria ambientalConsult Ambiente
 
La práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fasesLa práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fases600582
 

Destaque (20)

Auditoria contábil - situações práticas
Auditoria contábil - situações práticasAuditoria contábil - situações práticas
Auditoria contábil - situações práticas
 
Relatório da auditoria ambiental
Relatório da auditoria ambientalRelatório da auditoria ambiental
Relatório da auditoria ambiental
 
RD Summit 2014: Como criar uma estratégia de conteúdo de sucesso
RD Summit 2014: Como criar uma estratégia de conteúdo de sucessoRD Summit 2014: Como criar uma estratégia de conteúdo de sucesso
RD Summit 2014: Como criar uma estratégia de conteúdo de sucesso
 
Auditoria de Processo
Auditoria de ProcessoAuditoria de Processo
Auditoria de Processo
 
Carina e Vanessa
Carina e VanessaCarina e Vanessa
Carina e Vanessa
 
Dimensionamento de quadro de pessoal
Dimensionamento de quadro de pessoalDimensionamento de quadro de pessoal
Dimensionamento de quadro de pessoal
 
Manual de contabilidade e relatórios financeiros e auditoria
Manual de contabilidade e relatórios financeiros e auditoriaManual de contabilidade e relatórios financeiros e auditoria
Manual de contabilidade e relatórios financeiros e auditoria
 
Planejamento da auditoria: aceitação ou renovação do contrato.
Planejamento da auditoria: aceitação ou renovação do contrato. Planejamento da auditoria: aceitação ou renovação do contrato.
Planejamento da auditoria: aceitação ou renovação do contrato.
 
Apresentação FB auditoria e consultoria
Apresentação FB auditoria e consultoriaApresentação FB auditoria e consultoria
Apresentação FB auditoria e consultoria
 
Relatório - Sistema Nacional de Auditoria do SUS
Relatório - Sistema Nacional de Auditoria do SUSRelatório - Sistema Nacional de Auditoria do SUS
Relatório - Sistema Nacional de Auditoria do SUS
 
Procedimentos analiticos de auditoria
Procedimentos analiticos de auditoriaProcedimentos analiticos de auditoria
Procedimentos analiticos de auditoria
 
Auditoria Governamental p/ Concurso TCM-GO
Auditoria Governamental p/ Concurso TCM-GOAuditoria Governamental p/ Concurso TCM-GO
Auditoria Governamental p/ Concurso TCM-GO
 
Trabalho de Conclusão de Curso Antonio Quirino Gomes
Trabalho de Conclusão de Curso Antonio Quirino Gomes Trabalho de Conclusão de Curso Antonio Quirino Gomes
Trabalho de Conclusão de Curso Antonio Quirino Gomes
 
Relatorio auditoria ambiental
Relatorio auditoria ambientalRelatorio auditoria ambiental
Relatorio auditoria ambiental
 
Auditoria de Desempenho: Por quê? Como? Para quê?
Auditoria de Desempenho: Por quê? Como? Para quê? Auditoria de Desempenho: Por quê? Como? Para quê?
Auditoria de Desempenho: Por quê? Como? Para quê?
 
Raciocinio Lógico
Raciocinio LógicoRaciocinio Lógico
Raciocinio Lógico
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Aula 1 - Origem e evolução da Auditoria
Aula 1 - Origem e evolução da AuditoriaAula 1 - Origem e evolução da Auditoria
Aula 1 - Origem e evolução da Auditoria
 
Slides auditoria crepaldi
Slides auditoria crepaldiSlides auditoria crepaldi
Slides auditoria crepaldi
 
La práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fasesLa práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fases
 

Semelhante a 1 introducao auditoria

Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2MIGUEL_VILACA
 
AudiXpress - Oferta Murah Technologies
AudiXpress - Oferta Murah TechnologiesAudiXpress - Oferta Murah Technologies
AudiXpress - Oferta Murah TechnologiesMurah Technologies
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Slide Controle Interno
Slide Controle InternoSlide Controle Interno
Slide Controle Internoguestb719b5
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptxApresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptxMARCUSCUNHA16
 
Cap.09 (eti) análise de projetos em tecnologia e sgsi
Cap.09 (eti) análise de projetos em tecnologia e sgsiCap.09 (eti) análise de projetos em tecnologia e sgsi
Cap.09 (eti) análise de projetos em tecnologia e sgsiPaulo Henrique C. Andrade
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...TECSI FEA USP
 
Auditoria apostila jorge
Auditoria apostila jorgeAuditoria apostila jorge
Auditoria apostila jorgeThiago De Lima
 

Semelhante a 1 introducao auditoria (20)

Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2
 
Auditoria Social.pptx
Auditoria Social.pptxAuditoria Social.pptx
Auditoria Social.pptx
 
Auditoria Remota_2022 - Editado.pptx
Auditoria Remota_2022 - Editado.pptxAuditoria Remota_2022 - Editado.pptx
Auditoria Remota_2022 - Editado.pptx
 
AudiXpress - Oferta Murah Technologies
AudiXpress - Oferta Murah TechnologiesAudiXpress - Oferta Murah Technologies
AudiXpress - Oferta Murah Technologies
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Slide Controle Interno
Slide Controle InternoSlide Controle Interno
Slide Controle Interno
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Desburocratização
DesburocratizaçãoDesburocratização
Desburocratização
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptxApresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
 
Cap.09 (eti) análise de projetos em tecnologia e sgsi
Cap.09 (eti) análise de projetos em tecnologia e sgsiCap.09 (eti) análise de projetos em tecnologia e sgsi
Cap.09 (eti) análise de projetos em tecnologia e sgsi
 
Auditoria de Software.ppt
Auditoria de Software.pptAuditoria de Software.ppt
Auditoria de Software.ppt
 
Nota de aula - Introdução a Auditoria
Nota de aula - Introdução a AuditoriaNota de aula - Introdução a Auditoria
Nota de aula - Introdução a Auditoria
 
Auditoria de Processos
Auditoria de ProcessosAuditoria de Processos
Auditoria de Processos
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
 
Auditoria apostila jorge
Auditoria apostila jorgeAuditoria apostila jorge
Auditoria apostila jorge
 

1 introducao auditoria

  • 1. 1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação SEGURANÇA E AUDITORIA DE SISTEMAS Cynara Carvalho cynaracarvalho@yahoo.com.br
  • 2. 2 Ementa: Auditoria de sistemas, PED nas empresas; segurança, formação de Departamentos de auditoria, levantamentos, procedimentos. Conteúdo: 1- Conceitos e Organização de Auditoria  2– Segurança nas informações  3– Auditoria da Tecnologia da Informação  4– Segurança em Redes e Internet. Bibliografia: Dias, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1ª Edição, AXCEL BOOKS, 2000. LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Gil; Antonio de Loureiro. Auditoria de Computadores – 5ª Edição, Atlas 2000 Autor Anônimo. Segurança Máxima,  2ª Edição, Editora Campus, 2000 Tribunal de Contas da União, Manual de Auditoria de Sistemas, 1999. SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Campus, 2003.
  • 3. 3 Conceitos e Organização de Auditoria Auditoria: é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Fases da Auditoria: • Planejamento • Execução • Relatório
  • 4. 4 Auditoria e Conceitos básicos  1. CAMPO  1.1 Objeto. Pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma função dessa entidade.  1.2 Período. Pode ser de um ano, um mês ou período de uma gestão.  1.3 Natureza. Serão apresentados em seguida os tipos mais comuns, classificados sob os aspectos: órgão fiscalizador, forma de abordagem do tema e tipo ou área envolvida.
  • 5. 5 Natureza da Auditoria Quanto ao Órgão Fiscalizador: • Auditoria Interna • Auditoria Externa • Auditoria Articulada Quanto à Forma de Abordagem do Tema: • Auditoria Horizontal – Auditoria com tema específico realizada em várias entidades ou serviços paralelamente. • Auditoria Orientada – Auditoria focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes. Quanto ao Tipo ou Área Envolvida: • Auditoria de programas de governo • Auditoria de planejamento estratégico • Auditorias administrativa, contábil, financeira, legalidade • Auditoria operacional •Auditoria de TI
  • 6. 6 Auditoria e Conceitos básicos  AMBITO Constitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados. Define então até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência.  3. ÁREA DE VERIFICAÇÃO É o conjunto formado por campo e âmbito da auditoria. Delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria.
  • 7. 7 Objeto Período Natureza CampoÂmbito Sub 1 Sub 2 Sub 3 Área de Verificação Abrangência de Auditoria
  • 8. 8 Controles É a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos para que tais atividades, ou produtos, não se desviem das normas preestabelecidas. Tipos de Controle: Controle Preventivo - Usados para prevenir erros, omissões ou atos fraudulentos. Controle Detectivos - Usados para detectar erros, omissões ou atos fraudulentos e ainda relatar sua ocorrência Controles Corretivos - Usados para reduzir impactos ou corrigir erros uma vez detectados. Outros Termos importantes:
  • 9. 9 São metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para cada tipo de transação, atividade ou função fiscalizada. Outros Termos importantes: Objetivo de Controle Procedimentos Formam um conjunto de verificações necessárias à formulação da opinião do auditor. Em geral, são lista de pontos a serem verificados durante a auditoria. Achados de Auditoria São fatos significativos observados pelo auditor durante a execução da auditoria. Podem ser falhas ou irregularidades ou mesmo pontos fortes da instituição auditada.
  • 10. 10 Papéis de Trabalho São registros que evidenciam atos e fatos observados pelo auditor. Podem estar na forma de documentos, arquivos informatizados, etc... Estes papéis dão suporte ao relatório final da auditoria, pois registram a metodologia adotada, procedimentos, verificações, fontes, etc.. Relatório de Auditoria Onde são feitas as recomendações ou determinações da auditoria, para corrigir eventuais falhas detectadas, além de apontar responsáveis, quando for o caso. Outros Termos importantes:
  • 11. 11 Auditoria da Tecnologia da Informação É um tipo de auditoria operacional, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade. Pode abranger: • O ambiente de informática como um todo. • A organização do departamento de informática • Controles sobre BD´s • Redes • Diversos aplicativos Sub-Áreas de auditoria em ambientes informatizados : • Auditoria da segurança de informações • Auditoria da tecnologia da informação • Auditoria de aplicativos
  • 12. 12 Auditoria da segurança de informações Determina a postura da organização com relação à segurança das suas informações. Faz parte da auditoria de TI. Escopo: • Avaliação da política de segurança • Controles de acesso lógico • Controles de acesso físico • Controles ambientais • Planos de contingências e continuidade dos serviços
  • 13. 13 Auditoria da tecnologia da informação Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização. Controles: • Organizacionais • De mudanças • De operação dos sistemas • Sobre bancos de dados • Sobre microcomputadores • Sobre ambientes cliente-servidor
  • 14. 14 Auditoria de aplicativos Voltada para a segurança e o controle de aplicativos específicos. Controles: • Desenvolvimento de sistemas aplicativos • Entrada, processamento e saída de dados • Sobre conteúdo e funcionamento do aplicativo, com relação a área por ele atendida
  • 15. 15 Exercícios  1. Definir AUDITORIA.  2. Quais as principais FASES de uma Auditoria? Comente sobre cada uma.  3. Definir CONTROLE.  4. A Auditoria é uma atividade de controle?  5. Como pode ser classificado os Controles? Fale sobre cada um.  6. O que são OBJETIVOS DE CONTROLE?  7. O que são PROCEDIMENTOS DE AUDITORIA? Exemplifique.  8. Falar da relação Objetivos de Controle X Procedimentos de Auditoria.  9. Citar os tipos mais comuns (NATUREZA) de Auditoria.  10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO.  11. Quais as 3 grandes áreas da Auditoria da Tecnologia da Informação? Fale sobre cada uma delas.  12. Quais as sub-áreas da Auditoria da Segurança da Informação?  13. Quais as sub-áreas da Auditoria da Tecnologia da Informação?  14. Quais as sub-áreas da Auditoria de Aplicativos?  Cláudia Dias – págs – 08 a 14
  • 16. 16 Equipe de Auditoria Profissionais de alta capacidade técnica, em constante aperfeiçoamento, comprometidos com a organização e com postura adequada. Conhecimentos necessários: • Na área que atua, com experiências práticas anteriores. • Bom nível em sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. • Quanto mais complexos os elementos do ambiente computacional e o grau de profundidade esperado dos exames de auditoria, maior a necessidade de especialização da equipe e/ou do auditor. • Algumas vezes torna-se necessário contratação externa. • Normalmente os conhecimentos básicos englobam sistemas operacionais, software básico, bancos de dados, redes LAN/WAN, avançando até softwares de controle de acesso, planos de contingências e de recuperação e metodologias de desenvolvimento de sistemas
  • 17. 17 Equipe de Auditoria Composição da Equipe: Contratação de consultoria externa Desenvolver habilidades em informática nos auditores com formação básica em contabilidade e auditoria Desenvolver habilidades em auditoria funcionários com formação em análise de sistemas, ciência da computação, etc...
  • 18. 18 Equipe de Auditoria • Recomendável para sistemas de alta complexidade e especialização. • Análise minuciosa do custo-benefício. • Extensão do trabalho dos consultores, utilizando externa somente onde não houver disponibilidade na própria equipe. • Em caso de contratação, os acertos financeiros e cláusulas contratuais devem ser o mais claros possíveis. Deve-se optar por empresas/pessoas já com experiência na atividade e checar seus desempenhos em trabalhos anteriores. • A equipe externa deve se envolver desde o início dos trabalhos. Deve-se estabelecer etapas bem definidas e pontos de controle, com supervisão contínua de integrante da organização contratante. Contratação de consultoria externa
  • 19. 19 Equipe de Auditoria Qual o tipo de consultoria mais adequada? • Deve ter recursos (humanos e tecnológicos) adequados para atingir os objetivos da auditoria dentro do prazo e com a qualidade esperada. • Firmas ou organizações – podem dispor de mais recursos e oferecer uma gama maior de serviços ou profissionais para cada tipo de atividade. No entanto isso não garante a qualidade dos seus serviços. • Profissionais autônomos – podem atuar no planejamento estratégico da auditoria ou nas verificações de campo. Podem complementar a equipe interna em todo a verificação ou em determinadas fases do processo. • Tanto firmas como especialistas autônomos podem ser de grande utilidade no planejamento da auditoria, na condução de entrevistas com o auditado, na avaliação de controles, na captação de dados dos sistemas, na revisão dos resultados obtidos e nas recomendações finais do relatório de auditoria. Contratação de consultoria externa
  • 20. 20 Equipe de Auditoria Analisando os Candidatos ao Serviço de Consultoria Externa • Estudar bem as propostas, detalhando os custos do serviços, os recursos humanos oferecidos, suas habilidades técnicas, plano de trabalho, etc... • Seleção inicial dos possíveis candidatos, identificando consultores que já prestaram serviços à organização e reconhecidos no mercado por sua especialização e qualidade dos serviços. • Definir os critérios para a análise das propostas dos consultores. A proposta tem que ser compatível com os requisitos e prazos estabelecidos. Os custos devem ser bem explicitados para que não haja dúvidas sobre sua composição. Contratação de consultoria externa
  • 21. 21 Equipe de Auditoria Relacionamento com os Consultores Externos • Para assegurar a qualidade do trabalho, o entrosamento da equipe é essencial, principalmente se membros não fizerem parte do corpo funcional da organização. • Nas auditorias com participação externa, é necessário que os aspectos relevantes estejam sempre sob o controle do coordenador da equipe, necessariamente um funcionário da organização. • Devem ser estipulados pontos de controle durante a execução da auditoria para que o coordenador avalie periodicamente o trabalho. • É recomendável a transferência de conhecimentos entre os consultores e os membros internos da equipe, visando a capacitação dos mesmos para auditorias semelhantes no futuro. Contratação de consultoria externa
  • 22. 22 Equipe de Auditoria Avaliando o trabalho realizado • É importante analisar os resultados, com a participação da equipe interna, coordenador e gerência da organização contratante. • Discutir os pontos fortes e fracos, relatar as dificuldades . • Comparar resultados esperados com alcançados. • Orçamento, Prazos, Níveis de qualidade : previsto X real • Cooperação entre equipe externa e interna, sugestões para futuras auditorias. Contratação de consultoria externa
  • 23. 23 Equipe de Auditoria • A compreensão pode ser mais difícil. A linguagem técnica e as evoluções constantes podem dificultar um aprendizado adequado. • As dificuldades decorrentes da falta de boa vontade dos profissionais de informática ou o uso excessivo de vocabulário técnico. • Um bom nível de especialização só é conseguido após anos de de formação e práticas. Composição da Equipe: Desenvolver habilidades em informática nos auditores com formação básica em contabilidade e auditoria
  • 24. 24 Equipe de Auditoria • Pode produzir resultados mais satisfatórios e em menor tempo. • Normalmente as ferramentas de auditoria são computacionais. • O potencial do profissional de informática que se deseja capacitar e sua capacidade de adaptação devem ser avaliados criteriosamente. • A preparação tem que ser contínua, mesmo um profissional já experiente deve- se manter em dia com os assuntos referentes a auditoria de sistemas. Participações em seminários e cursos de especialização é indispensável. Participação em fóruns e consultas a sites de referência também são válidos. • A equipe deve se preocupar em montar um Manual de Auditoria da TI para a organização, além de manter um acervo com livros e revistas especializadas para consultas a qualquer tempo. Composição da Equipe: Desenvolver habilidades em auditoria funcionários com formação em análise de sistemas, ciência da computação, etc...
  • 25. 25  A computação está em constante evolução tecnológica;  O treinamento constante de auditores é imprescindível para que estejam preparados para realizar auditorias com qualidade e com grau de profundidade técnica adequado;  Os sistemas atuais são muito complexos e exigem conhecimentos que vão desde sistemas operacionais, planos de contingências, desenvolvimento de aplicativos, segurança de informações que trafegam pela internet etc.;  Devem ser traçadas estratégias diferentes de treinamentos a depender do nível de conhecimento dos auditores. Equipe de Auditoria Treinamento
  • 26. 26  Devem ser estimulados a participar de: . Seminários . Cursos de especialização . Workshops . Congressos . Grupos de discussão . Boletins . Home pages de organizações especializadas. Equipe de Auditoria Treinamento
  • 27. 27 Em alguns países existem organizações que promovem certificações de qualificação profissional de auditores de sistemas:  ISACA (Information Systems Audit and Control Association – Certificado de Auditor de Sistemas de Informação (CISA)  British Computer Society – Exame da Sociedade Britânica de Informática  Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional Equipe de Auditoria Qualificação Profissional
  • 28. 28  O IIA e a ISACA, em especial, desempenham um papel ativo no desenvolvimento de padrões de auditoria e controle de sistemas de informação.  Sob demanda, provêem informações sobre suas publicações, padrões e qualificação.  A certificação de auditor de sistemas é sempre atualizada.  Algumas organizações ao contratar serviços de auditoria exigem a apresentação de certificados atualizados. Equipe de Auditoria Qualificação Profissional
  • 29. 29 OBJETIVO:  Orientar o trabalho dos auditores  Difundir o conhecimento nessa área - O nível de detalhamento desse material dependerá do tamanho da equipe, do tempo disponível para desenvolver essa documentação e do grau de qualificação técnica de seus componentes. - Caberá à chefia decidir se serão elaborados documentos específicos ou se serão utilizadas publicações de outras entidades de fiscalização e controle em TI. Equipe de Auditoria Manual de Auditoria – Tecnologia da Informação
  • 30. 30  O grupo de auditores deverá ter à sua disposição uma biblioteca técnica para consulta. Com isso:  Os trabalhos serão orientados de acordo com padrões existentes;  A equipe estará sempre atualizada;  Terão à disposição publicações técnicas como fonte de pesquisa;  Deve manter nessa biblioteca todos os relatórios de auditorias em TI;  Deverá dispor ainda: legislação e normas, manuais de auditoria e procedimentos, livros de informática, revistas, manuais de treinamentos, artigos de jornais relacionados etc. Equipe de Auditoria Biblioteca Técnica
  • 31. 31  Uma única pessoa não deterá todos os conhecimentos necessários em TI para uma auditoria;  É necessário que uma equipe de auditoria seja formada por auditores com diferentes especializações;  Cabe à gerência desenvolver as especializações que faltam, através de treinamento adequado, e administrar o grupo como um time coeso que se complementa;  Formada essa equipe, esta pode atuar em auditorias de tecnologia da informação ou como suporte técnico a outras equipes de auditoria. Equipe de Auditoria Organização da Equipe Especializada
  • 32. 32  Auditores de sistemas são considerados recursos humanos escassos, por isso suas atividades são definidas apenas nos casos em que sua atuação é realmente necessária;  Uma forma de amenizar essa escassez é formando auditores para atuar como suporte básico de informática nas equipes de auditoria de caráter genérico - AUDITOR GENERALISTA;  Normalmente o auditor generalista executa atividades de caráter preliminar em ambientes de informática ou sistemas considerados pouco complexos para determinar a estratégia de auditoria mais adequada. Equipe de Auditoria Administrando Recursos Escassos
  • 33. 33  É necessário que as atividades de cada auditor sejam bem definidas, bem como o suporte técnico dado pelos auditores especializados, limites de atuação, relacionamentos entre eles, etc.;  Os planos de auditoria devem ser elaborados levando em conta os recursos humanos disponíveis. Devem ser elaborados planos de preferência anual;  A tendência é que no futuro todos os auditores tenham conhecimentos necessários para realizar auditorias de sistemas;  É necessário que a função de auditoria se adapte aos novos ambientes e necessidades do mercado.  Espera-se com o uso cada vez mais intenso do computador que haja um aumento no mercado desse profissionais. Equipe de Auditoria Administrando Recursos Escassos
  • 34. 34  Em organizações de auditoria geralmente as atividades são planejadas em três níveis, baseados em períodos de tempo diferentes: Plano Estratégico de Longo Prazo:  Normalmente para períodos de 3 a 5 anos;  Objetivos mais amplos, atinge toda a organização e tem que ser aprovado pela gerência superior;  Define metas, forma de atuação, recursos necessários, necessidades de treinamento etc.  É aconselhável revisar a atualizar anualmente. Equipe de Auditoria Planejamento de Atividades
  • 35. 35  Em organizações de auditoria geralmente as atividades são planejadas em três níveis, baseados em períodos de tempo diferentes: Plano Estratégico de Médio Prazo:  Traduz o plano de longo prazo para um programa de atividades para o ano que se inicia;  Em geral, procura atender as demandas das auditorias genérica por auditorias mais especializadas;  Normalmente aprovada pela gerência intermediária, define os objetivos macros das auditorias a serem feitas em seguida;  Deve ser flexível para aceitar as alterações necessárias. Equipe de Auditoria Planejamento de Atividades
  • 36. 36  Em organizações de auditoria geralmente as atividades são planejadas em três níveis, baseados em períodos de tempo diferentes: Plano Estratégico Operacional:  Baseia em auditorias individualizadas  Contem detalhes exatos dos objetivos, áreas a serem auditadas, recursos necessários, prazos, objetivos de controle e procedimentos de auditoria a serem seguidos.  É o plano específico de uma determinada auditoria;  Será tratado a seguir (planejamento e execução). Equipe de Auditoria Planejamento de Atividades
  • 37. 37 Exercícios  1. Que habilidade deve ter um gerente de equipe de auditoria?  2. Que habilidade deve ter um Auditor de Tecnologia da Informação?  3. Que habilidade deve ter um Auditor de Tecnologia da Informação, segundo o Padrão Internacional de Auditoria?  4. Quais são as 3 opções possíveis na formação de uma equipe de auditoria?  5. Das 3 opções da questão anterior qual a que você considera mais viável para a formação de uma equipe de Auditoria em Tecnologia da Informação?  6. Quais são as 2 categorias de consultoria externa? Fale sobre cada uma delas.  7. Quais os principais meios de qualificação/atualização na área de tecnologia da informação? Fale sobre cada um deles.  8. Quais são os níveis de planejamento de atividades em auditoria de tecnologia da informação? Fale sobre cada um deles.  Cláudia Dias – págs 14 a 25
  • 38. 38 Planejamento e Execução de Auditoria • A maior quantidade possível de informações da entidade auditada e seu ambiente de informática deve ser levantada. • Estas informações possibilitam uma noção da complexidade dos sistemas e estabelecer os recursos e conhecimentos técnicos necessários. • Tipos de informações técnicas: hardware, SO, sistemas de segurança, aplicativos e os responsáveis pelas áreas. Pesquisa de fontes de informação: A fase de planejamento identifica os instrumentos indispensáveis à sua realização. Estabelece, entre outras coisas: • Recursos necessários • Área de verificação • Metodologias • Objetivos de controle • Procedimentos a serem adotados
  • 39. 39 Planejamento e Execução de Auditoria • O campo da auditoria é composto por objeto, período e natureza. • Em auditorias de informática, a natureza é a própria auditoria de TI. • O Objeto pode englobar um sistema computacional, uma ou mais seções do deptº de informática ou toda a organização em termos de políticas de informática. • O período depende do grau de profundidade das verificações (âmbito) e das sub-áreas. • Tendo definido o conjunto campo e âmbito, é fixada toda a área de verificação Definindo Campo, Âmbito e Sub-áreas • Recursos humanos • Recursos econômicos • Recursos técnicos Definindo os Recursos Necessários
  • 40. 40 Objeto Período Natureza Campo Âmbito Sub 1 Sub 2 Sub 3 Área de Verificação – DEPARTAMENTO DE INFORMÁTICA Planejamento e Execução de Auditoria Avaliação da eficácia dos controles Segurança de informações 01/08 a 30/09/2002 Audit. TI Controles de Acesso Físico Controles de Acesso Lógico Backup
  • 41. 41 Metodologias • Entrevista de Apresentação • Entrevistas de Coleta de Dados • Entrevistas de discussão das deficiências encontradas • Entrevistas de encerramento Entrevistas Apresentar o plano de auditoria, coletar dados, identificar falhas e apresentar os resultados do trabalho. Uso de Ferramentas de Apoio (CAATs) • Técnicas de análise dados • Técnicas para verificação de controles de sistemas • Outras ferramentas
  • 42. 42  Técnicas de análise dados Os dados do auditado pode ser coletados e analisados com o auxílio de softwares de extração de dados, de amostragem, de análise de logs e módulos ou trilhas de auditoria embutidas nos próprios sistemas aplicativos da entidade  Técnicas para verificação de controles de sistemas Permite testar a efetividade dos controles dos sistemas do auditado. Pode- se analisar sua confiabilidade, e ainda determinar se estão operando corretamente a ponto de garantir a fidedignidade dos dados.  Dentre as técnicas mais utilizadas, pode-se citar: - Massa de dados de teste, simulações, software de comparação de programas, - mapeamento e rastreamento de processamento Planejamento e Execução de Auditoria Metodologias
  • 43. 43  Outras ferramentas  Existem ferramentas que não são necessariamente de apoio à auditoria, mas  auxilia o auditor durante a execução da auditoria e na elaboração do relatório.  Se encontram nessa categoria: editores de textos, planilhas eletrônicas, banco de dados e softwares para apresentações. Metodologias
  • 44. 44  Os objetivos de controle norteiam a auditoria em várias áreas especializadas e organizacionais.  Para realizar uma avaliação da atuação de outros profissionais, é necessário que o avaliador tenha um modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita.  O modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em cada área específica. Objetivos de Controle e Procedimentos de Auditoria
  • 45. 45  EXEMPLO:  Na área de segurança, um dos objetivos de controle pode ser o estabelecimento de regras para acesso aos recursos computacionais.  Alguns procedimentos de auditoria relacionados ao objetivo acima citado pode ser: verificar se há documento formal que justifique a necessidade do usuário para acessar determinados recursos computacionais;  ou verificar se existem procedimentos que definem os recursos computacionais que poderão ser acessados e os tipos de transações que poderão ser executadas por cada usuário autorizado. Objetivos de Controle e Procedimentos de Auditoria
  • 46. 46  ENFOQUES E MOTIVAÇÕES:  Segurança – dados e sistemas em que são essenciais a confidencialidade, a integridade, a disponibilidade de informações;  Atendimento a solicitações externas – verificação de indícios de irregularidades motivados pela imprensa, denuncia, solicitação de órgãos superiores;  Materialidade – valor significativo dos sistemas computacionais, transações, em termos econômico-financeiro;  Altos custos de desenvolvimento – sistemas com altos custos de desenvolvimento envolvem riscos mais altos para a organização. Objetivos de Controle e Procedimentos de Auditoria
  • 47. 47  ENFOQUES E MOTIVAÇÕES:  Grau de envolvimento dos usuários - sistemas elaborados sem o envolvimento dos usuários em geral não atendem satisfatoriamente às suas necessidades;  A partir do momento em que foram definidas a área de verificação e as subáreas a serem auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza procedimentos de auditoria para testar se os respectivos objetivos de controle estão sendo seguidos pela entidade.  Normalmente as organizações ligadas à auditoria da tecnologia da informação publicam manuais de orientação contendo objetivos de controle e procedimentos de auditoria típicos em um ambiente de informática. Objetivos de Controle e Procedimentos de Auditoria
  • 48. 48 Procedimentos de Auditoria Execução: Na execução, a equipe deve reunir evidências confiáveis, relevantes e úteis para os objetivos da auditoria. Tipos: • Evidência física • Evidência documentária • Evidência fornecida pelo auditado • Evidência analítica Todas essas evidências devem estar organizadas nos papéis de trabalhos, para facilitar a elaboração do relatório.
  • 49. 49 Relatório A forma como o auditor apresenta seus achados e conclusões, com comprovações, incluindo recomendações e, conforme o caso, determinações. • Deve ser claro, objetivo, sem uso exagerado de termos técnicos. • Glossário ao final, caso haja uso de termos e siglas. • Bem organizado. • Relatórios preliminares podem ser apresentados e discutidos com a parte auditada e/ou com a autoridade contratante. •O relatório final deve ser revisado por todos os membros da equipe, para verificar sua consistência, omissões como também uma revisão gramatical.
  • 50. 50 Relatório Estrutura: • Dados da entidade auditada. • Síntese – breve resumo do relatório • Dados da auditoria – objetivos, período, equipe, metodologia, etc.. • Introdução – breve histórico, resumo de audit. Anteriores, estrutura hierárquica dos deptº auditados, etc... • Falhas detectadas – Detalhamento das falhas e irregularidades, com comentários e justificativas e parecer da equipe. • Conclusão – Resumo dos principais pontos e recomendações finais para correção das falhas e apontar pontos fortes. • Pareceres – Quando necessário, de instâncias superiores.
  • 51. 51 Exercícios Propostos  1. Qual o objetivo do Planejamento de Auditoria?  2. Quais as informações básicas que devem estar contidas em um Plano de Auditoria?  3. Quais as principais fontes de informações para a elaboração de um Plano de Auditoria?  4. Quais os recursos necessários para uma auditoria? Fale sobre cada um.  5. Quais as principais metodologias utilizadas em uma atividade de auditoria. Fale sobre cada uma delas.  6. Em uma auditoria, a equipe deve reunir evidências suficientemente confiáveis, relevantes e úteis para a consecução dos objetivos da auditoria. Fale sobre cada uma dessas evidências.  7. O que deve conter em um relatório de auditoria? Cláudia Dias – págs – 25 a 36