SlideShare uma empresa Scribd logo
1 de 6
Baixar para ler offline
Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas
1. Conceitos e Organização da Auditoria
1.1 Conceitos
Auditoria é uma atividade que engloba o exame de operações, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade
com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões.
A atividade de auditoria pode ser dividida em três fases: planejamento, execução e relatório.
O campo da auditoria é composto pelo objeto a ser fiscalizado, período e natureza da auditoria.
O objeto pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma
função dessa entidade, e o período a ser fiscalizado pode ser de um mês, um ano ou até mesmo
corresponder ao período completo da gestão de determinado adminis trador.
O âmbito da auditoria constitui-se da amplitude e exaustão dos processos de auditoria. Define até
que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência.
A área de verificação é o conjunto formado pelo campo e âmbito de auditoria. A área delimita os tempos,
em função da entidade a ser fiscalizada e da natureza da auditoria.
Controle é a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos ou
produtos para que as atividades ou produtos não se desviem das normas preestabelecidas. Os controles
podem ser:
• Preventivos: previnem erros, omissões ou atos fraudulentos.
• Detectivos: detectam erros, omissões ou atos fraudulentos e ainda relatam sua ocorrência.
• Corretivos: usados para reduzir impactos ou corrigir erros uma vez detectados.
1.2 Natureza da Auditoria
Os tipos mais comuns são classificados de acordo com os seguintes aspectos: quanto ao órgão
fiscalizador, à forma de abordagem do Tema e ao tipo ou área envolvida.
1.2.1 Quanto ao órgão fiscalizador
• Auditoria interna: realizada pelo departamento interno responsável pela verificação e
avaliação dos sistemas e procedimentos internos de uma entidade.
Objetivo: reduzir as probabilidades de fraudes, erros, práticas ineficientes ou ineficazes.
• Auditoria externa: realizada por instituição externa e independente daquela fiscalizada.
Objetivo: emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a
legalidade e a regularidade de suas operações.
• Auditoria articulada: trabalho conjunto de auditorias internas e externas.
1.2.2 Quanto à forma de abordagem do Tema
• Auditoria horizontal: auditoria com tema específico realizada em várias entidades ou serviços
paralelamente.
• Auditoria orientada: auditoria focada em uma atividade específica qualquer ou em atividades
com fortes indícios de erros ou fraudes.
1.2.3 Quanto ao tipo ou área envolvida
• Auditoria de programas de governo: acompanhamento, exame e avaliação da execução de
programas e projetos governamentais específicos.
• Auditoria do planejamento estratégico: verifica se os principais objetivos da entidade são
atingidos e se as políticas e estratégias de aquisição, utilização e alienação de recursos são
respeitadas.
Área de
Verificação
Sub1 Sub2 Sub3
Campo
Âmbito
Objeto
Período
Natureza
Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas
• Auditoria administrativa: engloba o plano da organização, seus procedimentos e documentos
de suporte à tomada de decisão.
• Auditoria contábil: relativa à salvaguarda dos ativos e à fidedignidade das contas da
instituição. Tem como finalidade fornecer uma certa garantia de que as operações e o acesso aos
ativos se efetuem de acordo com as devidas autorizações.
• Auditoria financeira ou Auditoria das contas: consiste na análise das contas, da situação
financeira, da legalidade e regularidade das operações e aspectos contábeis, financeiros,
orçamentários e patrimoniais, verificando se todas as operações foram corretamente autorizadas,
liquidadas, ordenadas, pagas e registradas.
• Auditoria de legalidade: também conhecida como auditoria de regularidade ou de
conformidade. Consiste na análise da legalidade e regularidade das atividades, funções,
operações ou gestão de recursos, verificando se estão em conformidade com a legislação em
vigor.
• Auditoria operacional: incide em todos os níveis da gestão, nas fases de programação,
execução e supervisão, sob o ponto de vista da economia, eficiência e eficácia. Analisa a
execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram
atingidos.
• Auditoria integrada: inclui simultaneamente a auditoria financeira e a operacional.
• Auditoria da tecnologia da informação: essencialmente operacional. Os auditores analisam os
sistemas de informática, o ambiente computacional, a segurança de informações e o controle
interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficiências. É também
conhecida como auditoria informática, computacional ou de sistemas.
1.2.4 Auditoria de Sistemas
Analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e
efetividade. Pode abranger o ambiente de informática como um todo (analisando aspectos como
segurança física e lógica, planejamento de contingências e operação do CPD) ou a organização do
departamento de informática (analisando aspectos administrativos da organização como políticas, padrões
e procedimentos, responsabilidades, organizacionais, gerência de pessoal e planejamento de capacidade).
Pode ainda envolver controles sobre banco de dados, redes de comunicação e de microcomputadores e
controles sobre os aplicativos (desenvolvimento de sistemas, entrada, processamento e saída de dados).
Classificação de sub-áreas:
• Auditoria da segurança de informações – determina a postura da organização com relação à
segurança. Envolve:
a) Avaliação da política de segurança
b) Controles de acesso lógico
c) Controles de acesso físico
d) Controles ambientais
e) Plano de contingências e continuidade de serviços
• Auditoria da tecnologia de informação – além dos aspectos citados anteriormente, esta
abrange outros controles que podem influenciar a segurança de informações e o bom
funcionamento dos sistemas de toda a organização, tais como:
a) Controles organizacionais
b) Controles de mudanças
c) Controles de operação dos sistemas
d) Controles sobre bancos de dados
e) Controles sobre microcomputadores
f) Controles sobre ambientes cliente-servidor
• Auditoria de aplicativos – esta voltada para a segurança e o controle de aplicativos
específicos. Compreende:
a) Controles sobre o desenvolvimento de sistemas aplicativos
b) Controles de entrada, processamento e saída de dados
c) Controles sobre conteúdo e funcionamento do aplicativo, com relação à área por ele
atendida
1.3 Equipe de Auditoria
O gerente da equipe deve ter habilidade suficiente para recrutar ou formar profissionais com
nível adequado de capacitação técnica para a realização de auditoria em um ambiente informatizado. Ele
precisa determinar os níveis de conhecimento necessários de sua equipe.
Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas
1.3.1 Conhecimentos necessários
Todos os membros da equipe de auditoria de sistemas deve ter certo conhecimento da área e
experiência prática anterior, tendo trabalhado em centros de processamento de dados, de desenvolvimento
de sistemas, de pesquisa aplicada, ou para fornecedores de hardware, software ou serviços de consultoria
na área de informática.
O auditor deve ter conhecimento suficiente de sistemas computacionais para planejar, dirigir,
supervisionar e revisar o trabalho executado.
O tipo de conhecimento necessário em uma auditoria de TI depende do tipo de ambiente
computacional da entidade a ser auditada. Os conhecimentos básicos em informática englobam desde
sistemas operacionais, software básico, bancos de dados e processamento distribuído, até software de
controle de acesso, segurança de informações, plano de contingências e de recuperação, metodologias de
desenvolvimento de sistemas, etc.
Em uma auditoria mais detalhada, é provável que sejam necessários conhecimentos adicionais de
técnicas como CAATs (Computer Assisted Audit Techniques), software de auditoria e extração de dados,
linguagens de programação específicas, planejamento de capacidade e avaliação de custos de
equipamentos, e serviços de consultoria em informática.
O auditor de TI deve ainda obedecer os princípios éticos de auditoria e ter bom relacionamento,
capacidade de comunicação oral e escrita, senso crítico e conhecimentos específicos na área a ser
auditada.
1.3.2 Composição da equipe
Para a formação da equipe, existem três opções:
• Contratar consultoria externa
• Desenvolver a capacidade técnica em informática de auditores com formação básica em
contabilidade e auditoria
• Desenvolver tecnicamente, em auditoria, funcionários com formação em análise de sistemas,
processamento de dados, engenharia de software, ciência da computação, etc.
Consultoria externa
É viável para:
• Sistemas de alta complexidade.
• Tarefas específicas, isto é, em pontos em que seus conhecimentos sejam realmente
indispensáveis.
Pontos críticos: custos, controle sobre suas atividades e as cláusulas contratuais.
É importante estabelecer objetivos rígidos, orçamento adequado e pontos de controle durante a
auditoria, supervisionando o trabalho dos consultores até a conclusão do serviço.
Ao término da auditoria, normalmente se avalia o serviço, reunindo opiniões dos consultores,
dos membros da equipe de auditoria e da gerência, com o objetivo de evitar as mesmas falhas no futuro.
A contratação de uma auditoria externa deve ser feita logo no início do trabalho, assim que
forem definidos o campo, o âmbito e as sub-áreas a serem auditadas e que for verificado que ninguém da
equipe interna tem condições de realizar o trabalho.
Capacitação de auditores par atuarem com Auditores de Sistemas
Dificuldades:
• Transformações constantes de produtos e tecnologias
• Termos técnicos utilizados pelos profissionais de informática.
Capacitação de profissionais de informática em Auditoria
• Alternativa mais natural
• O potencial do profissional deve ser avaliado para a nova função
• Deve-se avaliar também sua capacidade de adaptação.
1.3.3 Treinamento
O treinamento constante de auditores de sistemas é imprescindível. Eles devem participar em
Seminários, Congressos, Workshops e Cursos de Especialização para adquirir e manter os conhecimentos
atualizados.
1.3.4 Qualificação Profissional
Existem organizações em alguns países que promovem certificação de qualificação profissional
de auditores de sistemas. Entre elas:
Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas
• Information Systems Audit and Control Association (ISACA) – Certificado de Auditor de
Sistemas de informação (CISA)
• Bristish Computer Society – Exame da Sociedade Britânica de Informática
• Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional.
O desenvolvimento profissional contínuo não é apenas desejável, mas essencial.
Planejamento de atividades
As atividades são planejadas em três níveis. Cada nível de planejamento gera um documento,
denominado plano, com atividades e detalhes para o respectivo período de tempo.
• Plano Estratégico de Longo Prazo: tem objetivos amplos que atingem toda a instituição. É
feito para um período de 3 a 5 anos
• Plano Estratégico de Médio Prazo: programa de atividades para o ano que se inicia.
• Plano Operacional: baseia-se em auditorias individualizadas e contém detalhes exatos dos
objetivos a serem atingidos, áreas a serem auditadas, recursos necessários e em que prazos,
etc.
1.4 Planejamento e Execução
A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua realização.
Pesquisa de fontes de informação
A equipe deve reunir a maior quantidade possível de informações sobre a entidade a ser auditada
e seu ambiente de informática (plataforma de hardware, sistemas operacionais, tipo de processamento,
metodologia de desenvolvimento, principais sistemas, etc).
As principais fontes de informação são relatórios de auditorias anteriores, bases de dados,
documentos ou páginas da entidade na Internet, visitas, etc.
Definindo Campo, Âmbito e Sub-áreas
Em auditorias de informática, a natureza é auditoria de TI, quase sempre com enfoque
empresarial. O objeto pode englobar um sistema computacional específico; um, várias ou todas as seções
do departamento de informática; ou até mesmo toda a organização. O período depende do âmbito (grau de
profundidade das verificações) e das sub-áreas de sistemas escolhidas pela equipe.
São determinadas também a amplitude e a exaustão dos processos de auditoria, incluindo uma
limitação racional dos trabalhos a serem executados.
A área de verificação delimita de modo muito preciso os temas da auditoria e, em função do
objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-áreas. Veja o exemplo
abaixo:
Para ambientes extensos ou de grande complexidade, convém limitar a quantidade de controles a
serem verificados para que a equipe realiza um trabalho de qualidade.
Definindo recursos necessários
• Recursos humanos
• Recursos econômicos
• Recursos técnicos: hardware, software, manuais.
Área de
Verificação
Sub2
Sub1
Sub3
Campo
Âmbito
Objeto
Período
Natureza
Segurança de Informações da empresa
De 01/01/2005 a 01/07/2005
Auditoria de TI
Avaliação da eficácia dos controles
Controles de acesso físico
Controles de acesso lógico
Backup
Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas
Metodologias
1 – Entrevistas
• Entrevistas de apresentação
• Entrevistas de coleta de dados
• Entrevistas de discussão das deficiências encontradas
• Entrevistas de encerramento
2 – Uso de Técnicas ou Ferramentas de Apoio (CAATs)
• Técnicas para análise de dados
• Técnicas para verificação de Controles de Sistemas
• Outras ferramentas: editores de texto, planilhas eletrônicas, bancos de dados e softwares para
apresentação.
Objetivos de Controle e Procedimentos de Auditoria
Para realizar uma avaliação da atuação de outros profissionais, é necessário que o avaliador
tenha um modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita.
Esse modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em
cada área específica.
Enquanto os objetivos de controle abrangem uma área mais ampla, os procedimentos de
auditoria descrevem padrões individualizados, mais detalhados dentro de cada objetivo. Por exemplo: na
área de segurança, um dos objetivos pode ser o estabelecimento de regras para acesso aos recursos
computacionais. Um dos procedimentos de auditoria relacionado a esse objetivo pode ser: verificar se
existem procedimentos que definam os recursos computacionais que poderão ser acessados e os tipos de
transações que poderão ser executadas por cada usuário autorizado.
Os objetivos de controle podem ter vários enfoques:
• Segurança
• Atendimento a solicitações externas
• Materialidade
• Altos custos de desenvolvimento
• Grau de envolvimento dos usuários
• Outsourcing
Execução
Ao longo da execução da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis
para a consecução dos objetivos da auditoria.
As evidências podem ser divididas em quatro tipos:
• Evidência física
• Evidência documentária
• Evidência fornecida pelo auditado
• Evidência analítica
Uma evidência considerada incompatível com auditoria em execução pode servir como indicativo
para outra auditoria.
A manutenção dos papéis de trabalho é essencial tanto para a elaboração do relatório da auditoria em
questão, como para o planejamento de futuras auditorias.
1.5 Relatório
O auditor apresenta seus achados e conclusões na forma de um relatório, o qual inclui fatos sobre
a entidade auditada, comprovações, conclusões e, eventualmente, recomendações e/ou determinações.
A linguagem utilizada no relatório deve ser clara, objetiva e simples, evitando-se o uso de termos
técnicos e siglas. Se o uso desses termos e siglas forem necessários, então o relatório deve conter um
glossário ou explanações ao longo do texto. A estrutura deve ser bem organizada e abranger todas as
informações relevantes para análise pela chefia ou entidade que solicitou a realização da auditoria.
Dependendo do motivo que levou à realização da auditoria, o relatório pode ser encaminhado à
diretoria da organização, ao organismo que financia a entidade auditada ou ao organismo responsável
pelo controle e auditoria geralda entidade.
A equipe de auditoria pode começar a compor o relatório antes mesmo de iniciar os trabalhos de
campo ou durante a fase de planejamento. No planejamento já foram coletadas informações preliminares
sobre a entidade e seus sistemas computacionais e já foram definidos os recursos necessários para a
execução dos trabalhos, composição da equipe, campo da auditoria, metodologias, objetivos de controle e
procedimentos a serem adotados. Todos esses dados compõem o relatório. Durante os trabalhos de
Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas
campo, é aconselhável documentar tudo que foi observado pela equipe e dito pelos entrevistados. A
equipe deve confirmar os fatos relatados e apresentar ao entrevistado partes do texto referentes a assuntos
tratados com ele durante a entrevista para que não haja qualquer mal-entendido ou desvios de
interpretação.
Ao término das investigações, é recomendável apresentar, aos responsáveis da área auditada, um
relatório parcial contendo as deficiências encontradas. Os responsáveis expõem seus motivos e justificam
as falhas. Suas justificativas podem ser anexadas ao parecer da equipe e incluídas no relatório final. A
apresentação de relatórios intermediários evita quaisquer constrangimentos, erros ou inconsistências, que
poderão ser identificados, corrigidos ou eliminados antes da apresentação do relatório final.
Relatório final
Deve ser revisado por todos os membros da equipe de auditoria com intuito de verificar sua
conformidade com os padrões e práticas da organização auditora e a inexistência de inconsistências, erros
ou lacunas. É conveniente fazer uma revisão em termos gramaticais e estilísticos para garantir clareza e
objetividade do texto.
Estrutura
Os tipos de informação e a estrutura do relatório são variáveis. A equipe deve identificar os
pontos mais relevantes e adaptar o relatório de acordo com seu público alvo.
Tópicos normalmente abordados em um relatório dirigido a órgãos de auditoria:
• Dados da entidade auditada: nome, endereço, natureza jurídica (órgão do governo, empresa
pública, autarquia, empresa privada, etc.), relação de responsáveis e outras informações
consideradas relevantes pela equipe.
• Síntese: breve resumo do conteúdo do relatório.
• Dados da auditoria: objetivo, período de fiscalização, composição da equipe, metodologia
adotada, natureza da auditoria e objeto (controles gerais da organização, desenvolvimentos
de sistemas, aplicativos específicos, etc.).
• Introdução: pode conter um breve histórico da entidade e mencionar , se existirem, as
conclusões de auditorias anteriores feitas na mesma área. No caso de auditoria de TI é
recomendável incluir descrição da estrutura hierárquica do departamento de informática, sua
relação com outros departamentos e com os níveis hierárquicos superiores, descrição do
ambiente computacional, evolução tecnológica, principais sistemas e projetos.
• Falhas detectadas: esta é a parte mais importante do relatório, pois apresenta, em detalhes, as
falhas e irregularidades detectadas. É aconselhável dividi-la em sub-áreas fiscalizadas, para
haver um encadeamento lógico de idéias. A equipe pode apresentar a descrição da falha,
seus comentários iniciais, a justificativa do auditado e o parecer final da equipe para cada
falha, incluindo suas recomendações.
• Conclusão: são sintetizados os pontos principais e as recomendações ou determinações
finais da equipe para a correção das falhas ou irregularidades encontradas.
• Pareceres da Gerência Superior: em alguns casos, as gerências superiores dão seu parecer a
respeito dos achados e recomendações da equipe de auditoria. Os superiores poderão
concordar integralmente ou em parte com os pontos de vista da equipe ou ainda discordar
integralmente. A inclusão desses pareceres depende das práticas adotadas pela organização
auditora ou para quem se dirige o relatório.
Referência bibliográfica:
DIAS, C. Segurança e auditoria da tecnologia da informação. 1. ed. Axcel Books. Rio de Janeiro, 2000.

Mais conteúdo relacionado

Mais procurados

ARTIGO CIENTÍFICO, O PAPEL DO CONTROLE INTERNO COMO FERRAMENTA PARA EVITAR FR...
ARTIGO CIENTÍFICO, O PAPEL DO CONTROLE INTERNO COMO FERRAMENTA PARA EVITAR FR...ARTIGO CIENTÍFICO, O PAPEL DO CONTROLE INTERNO COMO FERRAMENTA PARA EVITAR FR...
ARTIGO CIENTÍFICO, O PAPEL DO CONTROLE INTERNO COMO FERRAMENTA PARA EVITAR FR...Ancelma_Lima
 
O controle interno como ferramenta de tomada de
O controle interno como ferramenta de tomada deO controle interno como ferramenta de tomada de
O controle interno como ferramenta de tomada deSUERICK BEZERRA ANDRADE
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoriaBoechat79
 
Apostila controle-interno-e-auditoria-governamental
Apostila controle-interno-e-auditoria-governamentalApostila controle-interno-e-auditoria-governamental
Apostila controle-interno-e-auditoria-governamentalosatoas
 
Licção 09 prova de auditoria versão 2012
Licção 09 prova de auditoria versão 2012Licção 09 prova de auditoria versão 2012
Licção 09 prova de auditoria versão 2012Diego Omero
 
Slide Controle Interno
Slide Controle InternoSlide Controle Interno
Slide Controle Internoguestb719b5
 
Workflow - Porque possuir um fluxo de trabalho organizado - Deskfy
Workflow - Porque possuir um fluxo de trabalho organizado - DeskfyWorkflow - Porque possuir um fluxo de trabalho organizado - Deskfy
Workflow - Porque possuir um fluxo de trabalho organizado - DeskfyDeskfy
 

Mais procurados (8)

ARTIGO CIENTÍFICO, O PAPEL DO CONTROLE INTERNO COMO FERRAMENTA PARA EVITAR FR...
ARTIGO CIENTÍFICO, O PAPEL DO CONTROLE INTERNO COMO FERRAMENTA PARA EVITAR FR...ARTIGO CIENTÍFICO, O PAPEL DO CONTROLE INTERNO COMO FERRAMENTA PARA EVITAR FR...
ARTIGO CIENTÍFICO, O PAPEL DO CONTROLE INTERNO COMO FERRAMENTA PARA EVITAR FR...
 
O controle interno como ferramenta de tomada de
O controle interno como ferramenta de tomada deO controle interno como ferramenta de tomada de
O controle interno como ferramenta de tomada de
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoria
 
Apostila controle-interno-e-auditoria-governamental
Apostila controle-interno-e-auditoria-governamentalApostila controle-interno-e-auditoria-governamental
Apostila controle-interno-e-auditoria-governamental
 
Licção 09 prova de auditoria versão 2012
Licção 09 prova de auditoria versão 2012Licção 09 prova de auditoria versão 2012
Licção 09 prova de auditoria versão 2012
 
Slide Controle Interno
Slide Controle InternoSlide Controle Interno
Slide Controle Interno
 
Rodrigo Importância Sistema Controle Interno Municipal
Rodrigo Importância Sistema Controle Interno MunicipalRodrigo Importância Sistema Controle Interno Municipal
Rodrigo Importância Sistema Controle Interno Municipal
 
Workflow - Porque possuir um fluxo de trabalho organizado - Deskfy
Workflow - Porque possuir um fluxo de trabalho organizado - DeskfyWorkflow - Porque possuir um fluxo de trabalho organizado - Deskfy
Workflow - Porque possuir um fluxo de trabalho organizado - Deskfy
 

Semelhante a Auditoria

Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptxApresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptxMARCUSCUNHA16
 
Auditoria Governamental (planejamento de auditorias) TCE RJ.pdf
Auditoria Governamental (planejamento de auditorias) TCE RJ.pdfAuditoria Governamental (planejamento de auditorias) TCE RJ.pdf
Auditoria Governamental (planejamento de auditorias) TCE RJ.pdfRogerJaeger
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
CGU - Controles Internos - Coso
CGU - Controles Internos - CosoCGU - Controles Internos - Coso
CGU - Controles Internos - CosoFelipe Prado
 
Auditoria, palestra 2 Programa - Planeamento-1.ppt
Auditoria, palestra 2 Programa - Planeamento-1.pptAuditoria, palestra 2 Programa - Planeamento-1.ppt
Auditoria, palestra 2 Programa - Planeamento-1.pptRaquelDaCosta7
 
Unidade 05 14-05-28 - 49 ppts - a função controle - 01 slide por folha
Unidade 05   14-05-28 - 49 ppts -  a função controle - 01 slide por folhaUnidade 05   14-05-28 - 49 ppts -  a função controle - 01 slide por folha
Unidade 05 14-05-28 - 49 ppts - a função controle - 01 slide por folhaAlex Casañas
 
Normas de Auditoria Interna - TI 01 e PI 01
Normas de Auditoria Interna - TI 01 e PI 01Normas de Auditoria Interna - TI 01 e PI 01
Normas de Auditoria Interna - TI 01 e PI 01Marlon de Freitas
 
Material 01 aula_01_auditoria_reg
Material 01 aula_01_auditoria_regMaterial 01 aula_01_auditoria_reg
Material 01 aula_01_auditoria_regrodriguessusu
 
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema FiepOs Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema FiepVIXTEAM
 
AudiXpress - Oferta Murah Technologies
AudiXpress - Oferta Murah TechnologiesAudiXpress - Oferta Murah Technologies
AudiXpress - Oferta Murah TechnologiesMurah Technologies
 
Auditoria apostila jorge
Auditoria apostila jorgeAuditoria apostila jorge
Auditoria apostila jorgeThiago De Lima
 

Semelhante a Auditoria (20)

Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
 
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptxApresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
Apresentação Marcus Seminários_Técnicos Controle Interno 29_08 Marcus.pptx
 
Auditoria Social.pptx
Auditoria Social.pptxAuditoria Social.pptx
Auditoria Social.pptx
 
Auditoria Governamental (planejamento de auditorias) TCE RJ.pdf
Auditoria Governamental (planejamento de auditorias) TCE RJ.pdfAuditoria Governamental (planejamento de auditorias) TCE RJ.pdf
Auditoria Governamental (planejamento de auditorias) TCE RJ.pdf
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Auditoria interna
Auditoria internaAuditoria interna
Auditoria interna
 
Auditoria – divisão e campo de atuação
Auditoria – divisão e campo de atuaçãoAuditoria – divisão e campo de atuação
Auditoria – divisão e campo de atuação
 
CGU - Controles Internos - Coso
CGU - Controles Internos - CosoCGU - Controles Internos - Coso
CGU - Controles Internos - Coso
 
Auditoria, palestra 2 Programa - Planeamento-1.ppt
Auditoria, palestra 2 Programa - Planeamento-1.pptAuditoria, palestra 2 Programa - Planeamento-1.ppt
Auditoria, palestra 2 Programa - Planeamento-1.ppt
 
00 tipos de_auditoria
00 tipos de_auditoria00 tipos de_auditoria
00 tipos de_auditoria
 
Aula 16 auditoria- para lousa
Aula 16  auditoria- para lousaAula 16  auditoria- para lousa
Aula 16 auditoria- para lousa
 
Unidade 05 14-05-28 - 49 ppts - a função controle - 01 slide por folha
Unidade 05   14-05-28 - 49 ppts -  a função controle - 01 slide por folhaUnidade 05   14-05-28 - 49 ppts -  a função controle - 01 slide por folha
Unidade 05 14-05-28 - 49 ppts - a função controle - 01 slide por folha
 
Normas de Auditoria Interna - TI 01 e PI 01
Normas de Auditoria Interna - TI 01 e PI 01Normas de Auditoria Interna - TI 01 e PI 01
Normas de Auditoria Interna - TI 01 e PI 01
 
Material 01 aula_01_auditoria_reg
Material 01 aula_01_auditoria_regMaterial 01 aula_01_auditoria_reg
Material 01 aula_01_auditoria_reg
 
Auditoriateorica
AuditoriateoricaAuditoriateorica
Auditoriateorica
 
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema FiepOs Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
 
AudiXpress - Oferta Murah Technologies
AudiXpress - Oferta Murah TechnologiesAudiXpress - Oferta Murah Technologies
AudiXpress - Oferta Murah Technologies
 
Auditoria apostila jorge
Auditoria apostila jorgeAuditoria apostila jorge
Auditoria apostila jorge
 
Nota de aula - Introdução a Auditoria
Nota de aula - Introdução a AuditoriaNota de aula - Introdução a Auditoria
Nota de aula - Introdução a Auditoria
 

Mais de Universidade Federal do Piauí (20)

Aula2nbmnb,mnb,mnb,mnb,mnb
Aula2nbmnb,mnb,mnb,mnb,mnbAula2nbmnb,mnb,mnb,mnb,mnb
Aula2nbmnb,mnb,mnb,mnb,mnb
 
Mcm apostila-capitulo02
Mcm apostila-capitulo02Mcm apostila-capitulo02
Mcm apostila-capitulo02
 
217566575 126777486-exercicios-de-mecanizacao-resolvidos
217566575 126777486-exercicios-de-mecanizacao-resolvidos217566575 126777486-exercicios-de-mecanizacao-resolvidos
217566575 126777486-exercicios-de-mecanizacao-resolvidos
 
Prop 2011 -_aula8_-_fadiga
Prop 2011 -_aula8_-_fadigaProp 2011 -_aula8_-_fadiga
Prop 2011 -_aula8_-_fadiga
 
Economia rural
Economia ruralEconomia rural
Economia rural
 
Livro nitreta _o
Livro nitreta _oLivro nitreta _o
Livro nitreta _o
 
Quesitos no processo
Quesitos no processoQuesitos no processo
Quesitos no processo
 
Quesitos no processo
Quesitos no processoQuesitos no processo
Quesitos no processo
 
Quesitos no processo
Quesitos no processoQuesitos no processo
Quesitos no processo
 
Calor apresentacao
Calor apresentacaoCalor apresentacao
Calor apresentacao
 
Servi a-quente-solda-oxiacetileno-manual
Servi a-quente-solda-oxiacetileno-manualServi a-quente-solda-oxiacetileno-manual
Servi a-quente-solda-oxiacetileno-manual
 
Auditoria(1)
Auditoria(1)Auditoria(1)
Auditoria(1)
 
Tecnicodotrabalho
TecnicodotrabalhoTecnicodotrabalho
Tecnicodotrabalho
 
Prova tec segur-trab
Prova tec segur-trabProva tec segur-trab
Prova tec segur-trab
 
Barao de maua geral
Barao de maua geralBarao de maua geral
Barao de maua geral
 
Barao de maua geral
Barao de maua geralBarao de maua geral
Barao de maua geral
 
Relação
 Relação Relação
Relação
 
S65
S65S65
S65
 
4 Sd
4 Sd4 Sd
4 Sd
 
4 R8
4 R84 R8
4 R8
 

Auditoria

  • 1. Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas 1. Conceitos e Organização da Auditoria 1.1 Conceitos Auditoria é uma atividade que engloba o exame de operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. A atividade de auditoria pode ser dividida em três fases: planejamento, execução e relatório. O campo da auditoria é composto pelo objeto a ser fiscalizado, período e natureza da auditoria. O objeto pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma função dessa entidade, e o período a ser fiscalizado pode ser de um mês, um ano ou até mesmo corresponder ao período completo da gestão de determinado adminis trador. O âmbito da auditoria constitui-se da amplitude e exaustão dos processos de auditoria. Define até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência. A área de verificação é o conjunto formado pelo campo e âmbito de auditoria. A área delimita os tempos, em função da entidade a ser fiscalizada e da natureza da auditoria. Controle é a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos ou produtos para que as atividades ou produtos não se desviem das normas preestabelecidas. Os controles podem ser: • Preventivos: previnem erros, omissões ou atos fraudulentos. • Detectivos: detectam erros, omissões ou atos fraudulentos e ainda relatam sua ocorrência. • Corretivos: usados para reduzir impactos ou corrigir erros uma vez detectados. 1.2 Natureza da Auditoria Os tipos mais comuns são classificados de acordo com os seguintes aspectos: quanto ao órgão fiscalizador, à forma de abordagem do Tema e ao tipo ou área envolvida. 1.2.1 Quanto ao órgão fiscalizador • Auditoria interna: realizada pelo departamento interno responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade. Objetivo: reduzir as probabilidades de fraudes, erros, práticas ineficientes ou ineficazes. • Auditoria externa: realizada por instituição externa e independente daquela fiscalizada. Objetivo: emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a legalidade e a regularidade de suas operações. • Auditoria articulada: trabalho conjunto de auditorias internas e externas. 1.2.2 Quanto à forma de abordagem do Tema • Auditoria horizontal: auditoria com tema específico realizada em várias entidades ou serviços paralelamente. • Auditoria orientada: auditoria focada em uma atividade específica qualquer ou em atividades com fortes indícios de erros ou fraudes. 1.2.3 Quanto ao tipo ou área envolvida • Auditoria de programas de governo: acompanhamento, exame e avaliação da execução de programas e projetos governamentais específicos. • Auditoria do planejamento estratégico: verifica se os principais objetivos da entidade são atingidos e se as políticas e estratégias de aquisição, utilização e alienação de recursos são respeitadas. Área de Verificação Sub1 Sub2 Sub3 Campo Âmbito Objeto Período Natureza
  • 2. Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas • Auditoria administrativa: engloba o plano da organização, seus procedimentos e documentos de suporte à tomada de decisão. • Auditoria contábil: relativa à salvaguarda dos ativos e à fidedignidade das contas da instituição. Tem como finalidade fornecer uma certa garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações. • Auditoria financeira ou Auditoria das contas: consiste na análise das contas, da situação financeira, da legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais, verificando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. • Auditoria de legalidade: também conhecida como auditoria de regularidade ou de conformidade. Consiste na análise da legalidade e regularidade das atividades, funções, operações ou gestão de recursos, verificando se estão em conformidade com a legislação em vigor. • Auditoria operacional: incide em todos os níveis da gestão, nas fases de programação, execução e supervisão, sob o ponto de vista da economia, eficiência e eficácia. Analisa a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos. • Auditoria integrada: inclui simultaneamente a auditoria financeira e a operacional. • Auditoria da tecnologia da informação: essencialmente operacional. Os auditores analisam os sistemas de informática, o ambiente computacional, a segurança de informações e o controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficiências. É também conhecida como auditoria informática, computacional ou de sistemas. 1.2.4 Auditoria de Sistemas Analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade. Pode abranger o ambiente de informática como um todo (analisando aspectos como segurança física e lógica, planejamento de contingências e operação do CPD) ou a organização do departamento de informática (analisando aspectos administrativos da organização como políticas, padrões e procedimentos, responsabilidades, organizacionais, gerência de pessoal e planejamento de capacidade). Pode ainda envolver controles sobre banco de dados, redes de comunicação e de microcomputadores e controles sobre os aplicativos (desenvolvimento de sistemas, entrada, processamento e saída de dados). Classificação de sub-áreas: • Auditoria da segurança de informações – determina a postura da organização com relação à segurança. Envolve: a) Avaliação da política de segurança b) Controles de acesso lógico c) Controles de acesso físico d) Controles ambientais e) Plano de contingências e continuidade de serviços • Auditoria da tecnologia de informação – além dos aspectos citados anteriormente, esta abrange outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas de toda a organização, tais como: a) Controles organizacionais b) Controles de mudanças c) Controles de operação dos sistemas d) Controles sobre bancos de dados e) Controles sobre microcomputadores f) Controles sobre ambientes cliente-servidor • Auditoria de aplicativos – esta voltada para a segurança e o controle de aplicativos específicos. Compreende: a) Controles sobre o desenvolvimento de sistemas aplicativos b) Controles de entrada, processamento e saída de dados c) Controles sobre conteúdo e funcionamento do aplicativo, com relação à área por ele atendida 1.3 Equipe de Auditoria O gerente da equipe deve ter habilidade suficiente para recrutar ou formar profissionais com nível adequado de capacitação técnica para a realização de auditoria em um ambiente informatizado. Ele precisa determinar os níveis de conhecimento necessários de sua equipe.
  • 3. Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas 1.3.1 Conhecimentos necessários Todos os membros da equipe de auditoria de sistemas deve ter certo conhecimento da área e experiência prática anterior, tendo trabalhado em centros de processamento de dados, de desenvolvimento de sistemas, de pesquisa aplicada, ou para fornecedores de hardware, software ou serviços de consultoria na área de informática. O auditor deve ter conhecimento suficiente de sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. O tipo de conhecimento necessário em uma auditoria de TI depende do tipo de ambiente computacional da entidade a ser auditada. Os conhecimentos básicos em informática englobam desde sistemas operacionais, software básico, bancos de dados e processamento distribuído, até software de controle de acesso, segurança de informações, plano de contingências e de recuperação, metodologias de desenvolvimento de sistemas, etc. Em uma auditoria mais detalhada, é provável que sejam necessários conhecimentos adicionais de técnicas como CAATs (Computer Assisted Audit Techniques), software de auditoria e extração de dados, linguagens de programação específicas, planejamento de capacidade e avaliação de custos de equipamentos, e serviços de consultoria em informática. O auditor de TI deve ainda obedecer os princípios éticos de auditoria e ter bom relacionamento, capacidade de comunicação oral e escrita, senso crítico e conhecimentos específicos na área a ser auditada. 1.3.2 Composição da equipe Para a formação da equipe, existem três opções: • Contratar consultoria externa • Desenvolver a capacidade técnica em informática de auditores com formação básica em contabilidade e auditoria • Desenvolver tecnicamente, em auditoria, funcionários com formação em análise de sistemas, processamento de dados, engenharia de software, ciência da computação, etc. Consultoria externa É viável para: • Sistemas de alta complexidade. • Tarefas específicas, isto é, em pontos em que seus conhecimentos sejam realmente indispensáveis. Pontos críticos: custos, controle sobre suas atividades e as cláusulas contratuais. É importante estabelecer objetivos rígidos, orçamento adequado e pontos de controle durante a auditoria, supervisionando o trabalho dos consultores até a conclusão do serviço. Ao término da auditoria, normalmente se avalia o serviço, reunindo opiniões dos consultores, dos membros da equipe de auditoria e da gerência, com o objetivo de evitar as mesmas falhas no futuro. A contratação de uma auditoria externa deve ser feita logo no início do trabalho, assim que forem definidos o campo, o âmbito e as sub-áreas a serem auditadas e que for verificado que ninguém da equipe interna tem condições de realizar o trabalho. Capacitação de auditores par atuarem com Auditores de Sistemas Dificuldades: • Transformações constantes de produtos e tecnologias • Termos técnicos utilizados pelos profissionais de informática. Capacitação de profissionais de informática em Auditoria • Alternativa mais natural • O potencial do profissional deve ser avaliado para a nova função • Deve-se avaliar também sua capacidade de adaptação. 1.3.3 Treinamento O treinamento constante de auditores de sistemas é imprescindível. Eles devem participar em Seminários, Congressos, Workshops e Cursos de Especialização para adquirir e manter os conhecimentos atualizados. 1.3.4 Qualificação Profissional Existem organizações em alguns países que promovem certificação de qualificação profissional de auditores de sistemas. Entre elas:
  • 4. Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas • Information Systems Audit and Control Association (ISACA) – Certificado de Auditor de Sistemas de informação (CISA) • Bristish Computer Society – Exame da Sociedade Britânica de Informática • Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional. O desenvolvimento profissional contínuo não é apenas desejável, mas essencial. Planejamento de atividades As atividades são planejadas em três níveis. Cada nível de planejamento gera um documento, denominado plano, com atividades e detalhes para o respectivo período de tempo. • Plano Estratégico de Longo Prazo: tem objetivos amplos que atingem toda a instituição. É feito para um período de 3 a 5 anos • Plano Estratégico de Médio Prazo: programa de atividades para o ano que se inicia. • Plano Operacional: baseia-se em auditorias individualizadas e contém detalhes exatos dos objetivos a serem atingidos, áreas a serem auditadas, recursos necessários e em que prazos, etc. 1.4 Planejamento e Execução A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua realização. Pesquisa de fontes de informação A equipe deve reunir a maior quantidade possível de informações sobre a entidade a ser auditada e seu ambiente de informática (plataforma de hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento, principais sistemas, etc). As principais fontes de informação são relatórios de auditorias anteriores, bases de dados, documentos ou páginas da entidade na Internet, visitas, etc. Definindo Campo, Âmbito e Sub-áreas Em auditorias de informática, a natureza é auditoria de TI, quase sempre com enfoque empresarial. O objeto pode englobar um sistema computacional específico; um, várias ou todas as seções do departamento de informática; ou até mesmo toda a organização. O período depende do âmbito (grau de profundidade das verificações) e das sub-áreas de sistemas escolhidas pela equipe. São determinadas também a amplitude e a exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados. A área de verificação delimita de modo muito preciso os temas da auditoria e, em função do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-áreas. Veja o exemplo abaixo: Para ambientes extensos ou de grande complexidade, convém limitar a quantidade de controles a serem verificados para que a equipe realiza um trabalho de qualidade. Definindo recursos necessários • Recursos humanos • Recursos econômicos • Recursos técnicos: hardware, software, manuais. Área de Verificação Sub2 Sub1 Sub3 Campo Âmbito Objeto Período Natureza Segurança de Informações da empresa De 01/01/2005 a 01/07/2005 Auditoria de TI Avaliação da eficácia dos controles Controles de acesso físico Controles de acesso lógico Backup
  • 5. Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas Metodologias 1 – Entrevistas • Entrevistas de apresentação • Entrevistas de coleta de dados • Entrevistas de discussão das deficiências encontradas • Entrevistas de encerramento 2 – Uso de Técnicas ou Ferramentas de Apoio (CAATs) • Técnicas para análise de dados • Técnicas para verificação de Controles de Sistemas • Outras ferramentas: editores de texto, planilhas eletrônicas, bancos de dados e softwares para apresentação. Objetivos de Controle e Procedimentos de Auditoria Para realizar uma avaliação da atuação de outros profissionais, é necessário que o avaliador tenha um modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita. Esse modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em cada área específica. Enquanto os objetivos de controle abrangem uma área mais ampla, os procedimentos de auditoria descrevem padrões individualizados, mais detalhados dentro de cada objetivo. Por exemplo: na área de segurança, um dos objetivos pode ser o estabelecimento de regras para acesso aos recursos computacionais. Um dos procedimentos de auditoria relacionado a esse objetivo pode ser: verificar se existem procedimentos que definam os recursos computacionais que poderão ser acessados e os tipos de transações que poderão ser executadas por cada usuário autorizado. Os objetivos de controle podem ter vários enfoques: • Segurança • Atendimento a solicitações externas • Materialidade • Altos custos de desenvolvimento • Grau de envolvimento dos usuários • Outsourcing Execução Ao longo da execução da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis para a consecução dos objetivos da auditoria. As evidências podem ser divididas em quatro tipos: • Evidência física • Evidência documentária • Evidência fornecida pelo auditado • Evidência analítica Uma evidência considerada incompatível com auditoria em execução pode servir como indicativo para outra auditoria. A manutenção dos papéis de trabalho é essencial tanto para a elaboração do relatório da auditoria em questão, como para o planejamento de futuras auditorias. 1.5 Relatório O auditor apresenta seus achados e conclusões na forma de um relatório, o qual inclui fatos sobre a entidade auditada, comprovações, conclusões e, eventualmente, recomendações e/ou determinações. A linguagem utilizada no relatório deve ser clara, objetiva e simples, evitando-se o uso de termos técnicos e siglas. Se o uso desses termos e siglas forem necessários, então o relatório deve conter um glossário ou explanações ao longo do texto. A estrutura deve ser bem organizada e abranger todas as informações relevantes para análise pela chefia ou entidade que solicitou a realização da auditoria. Dependendo do motivo que levou à realização da auditoria, o relatório pode ser encaminhado à diretoria da organização, ao organismo que financia a entidade auditada ou ao organismo responsável pelo controle e auditoria geralda entidade. A equipe de auditoria pode começar a compor o relatório antes mesmo de iniciar os trabalhos de campo ou durante a fase de planejamento. No planejamento já foram coletadas informações preliminares sobre a entidade e seus sistemas computacionais e já foram definidos os recursos necessários para a execução dos trabalhos, composição da equipe, campo da auditoria, metodologias, objetivos de controle e procedimentos a serem adotados. Todos esses dados compõem o relatório. Durante os trabalhos de
  • 6. Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas campo, é aconselhável documentar tudo que foi observado pela equipe e dito pelos entrevistados. A equipe deve confirmar os fatos relatados e apresentar ao entrevistado partes do texto referentes a assuntos tratados com ele durante a entrevista para que não haja qualquer mal-entendido ou desvios de interpretação. Ao término das investigações, é recomendável apresentar, aos responsáveis da área auditada, um relatório parcial contendo as deficiências encontradas. Os responsáveis expõem seus motivos e justificam as falhas. Suas justificativas podem ser anexadas ao parecer da equipe e incluídas no relatório final. A apresentação de relatórios intermediários evita quaisquer constrangimentos, erros ou inconsistências, que poderão ser identificados, corrigidos ou eliminados antes da apresentação do relatório final. Relatório final Deve ser revisado por todos os membros da equipe de auditoria com intuito de verificar sua conformidade com os padrões e práticas da organização auditora e a inexistência de inconsistências, erros ou lacunas. É conveniente fazer uma revisão em termos gramaticais e estilísticos para garantir clareza e objetividade do texto. Estrutura Os tipos de informação e a estrutura do relatório são variáveis. A equipe deve identificar os pontos mais relevantes e adaptar o relatório de acordo com seu público alvo. Tópicos normalmente abordados em um relatório dirigido a órgãos de auditoria: • Dados da entidade auditada: nome, endereço, natureza jurídica (órgão do governo, empresa pública, autarquia, empresa privada, etc.), relação de responsáveis e outras informações consideradas relevantes pela equipe. • Síntese: breve resumo do conteúdo do relatório. • Dados da auditoria: objetivo, período de fiscalização, composição da equipe, metodologia adotada, natureza da auditoria e objeto (controles gerais da organização, desenvolvimentos de sistemas, aplicativos específicos, etc.). • Introdução: pode conter um breve histórico da entidade e mencionar , se existirem, as conclusões de auditorias anteriores feitas na mesma área. No caso de auditoria de TI é recomendável incluir descrição da estrutura hierárquica do departamento de informática, sua relação com outros departamentos e com os níveis hierárquicos superiores, descrição do ambiente computacional, evolução tecnológica, principais sistemas e projetos. • Falhas detectadas: esta é a parte mais importante do relatório, pois apresenta, em detalhes, as falhas e irregularidades detectadas. É aconselhável dividi-la em sub-áreas fiscalizadas, para haver um encadeamento lógico de idéias. A equipe pode apresentar a descrição da falha, seus comentários iniciais, a justificativa do auditado e o parecer final da equipe para cada falha, incluindo suas recomendações. • Conclusão: são sintetizados os pontos principais e as recomendações ou determinações finais da equipe para a correção das falhas ou irregularidades encontradas. • Pareceres da Gerência Superior: em alguns casos, as gerências superiores dão seu parecer a respeito dos achados e recomendações da equipe de auditoria. Os superiores poderão concordar integralmente ou em parte com os pontos de vista da equipe ou ainda discordar integralmente. A inclusão desses pareceres depende das práticas adotadas pela organização auditora ou para quem se dirige o relatório. Referência bibliográfica: DIAS, C. Segurança e auditoria da tecnologia da informação. 1. ed. Axcel Books. Rio de Janeiro, 2000.