Auditoria de Sistemas Computacionais
Professora Jaciara S. Carosia

As técnicas são específicas para cada auditoria, mas a filosofia
metodológica normalmente é a mesma.

Metodologia...

Metodologia e Auditoria.




1ª. Fase - Auditoria de Posição:
Etapas:
◦ Planejamento e controle do projeto de auditoria.
◦ Levantamento do ambiente e/ou sistema a ser auditado.
◦ Identificação e inventário dos pontos de controle.
◦ Priorização e seleção dos pontos de controle.
◦ Revisão e avaliação dos pontos de controle.
◦ Conclusão.
2ª. Fase – Auditoria de Acompanhamento:
Etapa:
◦ Acompanhamento da auditoria.

Objetivo: Identificação dos instrumentos indispensáveis a sua execução.
◦ Definir as necessidades de recursos humanos, tecnológicos, materiais e
financeiros para desenvolvimento do projeto.
◦ Tais recursos devem ser dimensionados em função do enfoque, abrangência e
delimitação do sistema a ser auditado, e em relação ao prazo estabelecido pela
alta administração.

Definição preliminar do recursos humanos:
◦ Grupo de coordenação: composto pelo gerente de auditoria, coordenador de
auditoria, gerente da área responsável pelo sistema a ser auditado e gerente da
área de informática.
 O presidente/diretor da empresa (patrocinador) deve participar das atividades
relacionadas a decisões mais importantes e acompanhar os resultados destas
decisões.
◦ Grupo de execução: composto por auditores e técnicos da área de sistemas de
informação, os quais efetuarão a auditoria propriamente dita. A execução desta
auditoria deverá obedecer às normas e aos procedimentos estabelecidos pelo
grupo de coordenação.




Levantamento prévio da entidade auditada e de seu ambiente de TI
◦ Conhecer as características gerais da empresa (visão macro).
◦ Conhecer seu ambiente de TI (plataforma de hardware, sistemas operacionais,
tipo de processamento, metodologia de desenvolvimento, principais sistemas,
softwares de segurança, pessoas responsáveis, etc.).
Lema: “Sem conhecer é impossível gerenciar”
Primeira etapa do gerenciamento de projetos: PLANEJAMENTO!!!
Permite ao auditor ter uma noção do grau de complexidade de seus sistemas e,
então, estabelecer os recursos e os conhecimentos técnicos necessários à equipe
de auditoria.
Exemplo: Suponha que o auditor identifique que a entidade auditada possua em seu
ambiente de tecnologia computadores de grande porte, rodando um determinado
sistema operacional, com software de controle de acesso e banco de dados.
Certamente a equipe de auditoria deverá contar com pessoas que entendam desse
ambiente operacional – redefinição do grupo de execução.
Principais fontes de informações: relatórios de auditorias anteriores, bases de
dados, documentos ou páginas na internet, notícias veiculadas na empresa, visitas
anteriores à entidade e relatórios de auditoria interna.


Definição do campo, âmbito e área (ou sub-áreas)
Campo:
◦ Natureza: auditoria da tecnologia da informação ou operacional (exame dos
aspectos econômicos, de eficiência e eficácia, etc.).
◦ Objeto: pode englobar um sistema computacional específico, uma ou várias
seções do departamento de informática, ou até mesmo toda a organização (em
termos de políticas de informática e de segurança ou nos casos em que o negócio
da organização resume-se à prestação de serviços computacionais).
◦ Período: diretamente do âmbito (grau de profundidade das verificações) e das
sub-áreas de sistemas escolhidas pela equipe.
Natureza
Campo
Objeto
Período

Natureza (tipo de auditoria):
◦
◦
◦
◦
◦
◦
◦
Auditoria de programa de governo.
Auditoria de planejamento estratégico.
Auditoria administrativa.
Auditoria contábil.
Auditoria financeira (auditoria de contas).
Auditoria da legalidade (auditora da regularidade ou de conformidade).
Auditoria operacional : Auditoria que incide em todos os níveis de gestão, nas
fases de programação, execução e supervisão, sob o ponto de vista da economia,
eficiência e eficácia. É também conhecida como auditoria da eficiência, de gestão,
de resultados ou de prática de gestão, onde são auditados todos os sistemas e
métodos utilizados pelo gestor em tomadas de decisões. Analisa a execução das
decisões tomadas e aprecia até que ponto os resultados pretendidos foram
atingidos.
◦ Auditoria integrada.

Âmbito : constitui-se da amplitude e exaustão dos processos de auditoria, incluindo
uma limitação racional dos trabalhos a serem executados, isto é, o âmbito define até
que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência e a
amplitude.

Área ou sub-áreas: conjunto formado por campo e âmbito de auditoria, delimita de
modo muito preciso os temas da auditoria em função da entidade a ser fiscalizada e
da natureza da auditoria e pode ser subdividida em sub-áreas.
Natureza
Campo
Área de
Verificação
Período
Âmbito
Sub1
Sub3
Sub2
Objeto

Exemplo de campo, âmbito e área.
Natureza: Auditoria de TI
Campo
Período: De 01/09/2008 a 01/09/2009
Área de
Verificação
Âmbito:
verificação da
eficácia dos
controles
Sub1: Backup
Sub2: Controle
de acesso
lógico
Objeto: Sistemas e procedimentos de
segurança de informações da empresa
Sub3: Controle
de acesso físico

Definição dos recursos necessários

A equipe deve analisar os requisitos:
◦ Tamanho dos sistemas.
◦ Grau de sofisticação e a complexidade do ambiente computacional
auditado.
◦ Nível de experiência necessário para executar cada tarefa.
◦ Necessidade de utilização de ferramentas ou técnicas mais sofisticadas
de auditoria de TI.
◦ Se anteriormente foram identificadas irregularidades ou falhas graves no
ambiente de informática.
◦ Se há um histórico de fraudes, erros ou quebras de segurança nos
sistemas computacionais.






Recursos Humanos:
Maior dificuldade: determinar o grau técnico da equipe.
Recursos Econômicos:
Com relação a recursos econômicos, a equipe deve fazer uma previsão de
despesas, especialmente se a auditoria envolver viagens e contratação de
mão-de-obra externa.
Recursos Técnicos:
Os recursos técnicos para realização da auditoria devem também ser
identificados neste momento, tais como recursos de hardware, software
(ferramentas de auditoria ou extração de dados, por exemplo), manuais
técnicos sobre o ambiente operacional e sistemas da entidade auditada.

Processo de levantamento: grupo de execução.
“O levantamento deve ser executado em caráter macro, suficiente e abrangente para o
atendimento pleno e global das características do sistema”.

Técnicas e métodos de levantamentos: entrevistas e análise de documentação
existente, colocando as informações de forma descritiva e/ou gráfica.

Outras ferramentas: Diagrama de Fluxo de Dados (DFD), Dicionário de Dados
(DD), Modelo Entidade Relacionamento (MER) e UML.

Limitar o sistema e identificar seus pontos de integração com outros sistemas:
◦ facilita a determinação da abrangência da auditoria.
◦ impede a execução de auditoria em áreas não pertencentes ao escopo do
trabalho.

Inventário dos pontos de controle: identificação de diversos pontos de controle
que merecem ser avaliados (grupo de execução).

Os pontos de controle podem ser definidos e identificados pelos documentos de
entrada, relatórios de saídas, telas, arquivos, rotinas e/ou programas de computador,
pontos de integração e demais elementos que compõem um sistema de informação.

Para cada ponto de controle, especificar:
◦ seus objetivos;
◦ as funções que exercem;
◦ sua influência no sistema como um todo;
◦ parâmetros ou especificações de controles internos mais afetados em função da
sua fraqueza;
◦ técnicas de auditoria que podem ser aplicadas para sua validação.

Este levantamento deverá ser encaminhado para o grupo de coordenação para fins
de triagem e realização da etapa seguinte.

Priorizar e selecionar os pontos de controle que devem ser auditados: grupo de
coordenação.

Analise de risco: identificar as ameaças prováveis em um SI e verificar os
prejuízos que poderão ser acarretados pelo sistema a curto, médio e longo prazo.

Prioridade [importância, ameaça, impacto]
◦ Importância: relevância do ponto de controle para o sistema.
◦ Ameaça: riscos que o ponto tem de possuir fraquezas.
◦ Impacto: conseqüências para o sistema como um todo.

O fato de um determinado ponto de controle ser prioritário não implica em despender
esforços para sua execução, é necessário considerar os recursos disponíveis.

Tamanho da amostragem: deve ser satisfatória para a formação de uma opinião
dos auditores e demais componentes do grupo de coordenação.
“A definição clara dos itens a serem auditados facilita o trabalho da equipe de
auditoria e evita as falsas expectativas, tanto dos membros da equipe
como de sua gerência”.
 Exemplo de insatisfação:
 Quando a gerência da equipe de auditoria espera um trabalho de
verificação breve, sucinto e preliminar de um sistema de informática e a
equipe executa um a auditoria extremamente detalhada e aprofundada:
◦ A gerência tende a cobrar insistentemente a conclusão do trabalho, por
considerá-lo apenas uma análise superficial.
◦ A equipe de auditoria se dedica a completar todas as suas tarefas dentro
do prazo reduzido.

Esse problema de falsas expectativas pode acontecer em qualquer
auditoria, não necessariamente em auditorias da TI.

Auditoria propriamente dita: aplicar técnicas de auditoria que
evidenciem falhas ou fraquezas de controle interno.

O objetivo da auditoria e as características do ponto de controle definem as técnicas
a serem utilizadas.

Ao longo desta fase, a equipe deve reunir evidências suficientemente confiáveis,
relevantes e úteis para a construção do relatório.
As evidências podem ser :
◦ Evidência física: observações de atividades desenvolvidas pelos funcionários e
gerentes, sistemas em funcionamento, local, equipamentos, etc.
◦ Evidência documentária geradas pelo auditor: transcrições de entrevistas,
atas de reuniões, resultados de extração de dados, registros de transações,
listagens, etc.
◦ Evidência fornecida pelo auditado:, cópias de documentos cedidos pelos
auditado, fluxogramas, políticas internas, e-mails trocados com a gerência da
entidade, justificativas, relatórios publicados pelo auditado (impressos ou on-line),
etc.
◦ Evidência analítica: comparações, cálculos e interpretações de documentos de
entidades similares ou da mesma entidade em períodos de tempo diferentes.

“O auditor apresenta seus achados e conclusões na forma de um relatório escrito”.

Relatório Final de Auditoria: contém os resultados da auditoria, sejam eles quais
forem, descrevendo o diagnóstico ou situação atual em que se encontram os pontos
de controle e apontando as fraquezas do controle interno (comprovações,
conclusões e recomendações/solicitações de melhoria).

Linguagem utilizada:
◦ Utilizar uma linguagem clara, objetiva e simples.
◦ Evitar o uso de jargões técnicos ou siglas.
◦ Anexar um glossário de termos técnicos (se necessário).
◦ Apresentar uma estrutura bem organizada.
◦ Abranger todas as informações relevantes para análise pela gerência ou entidade
que solicitou a realização da auditoria.

Relatório deve ser encaminhado:
◦ à diretoria da organização: auditoria solicitada para identificar falhas em sua
própria administração.
◦ ao organismo que financia a auditoria: auditoria como forma de proteger seus
investimentos (acionistas, comprador, etc.).
◦ ao organismo responsável pelo controle: auditoria de sistemas solicitada como
parte de uma auditoria contábil, financeira, de regularidades, etc.

Os tipos de informação e a estrutura do Relatório:
◦ Mudam de uma instituição para outra.
◦ Dependem do objetivo da auditoria.
◦ Dependem para quem o relatório será apresentado, deve ser adaptado às
necessidades do público alvo.

Revisão: o relatório final deve ser revisado pela equipe de execução e coordenação
para verificar sua conformidade com os padrões e práticas da organização auditora
e a inexistência de inconsistências, erros ou lacunas.

Itens constantes em um Relatório Final:
◦ Dados da entidade auditada: nome e endereço da entidade auditada, sua
natureza jurídica (órgão do governo, empresa pública, autarquia, empresa
privada, etc.), relação de responsáveis pela entidade (presidente, diretores,
gerentes, ministrados, etc.) e outras informação consideradas relevantes pela
equipe.
◦ Síntese: breve resumo do conteúdo do relatório.
 Visão geral dirigida a alta administração.
◦ Dados da Auditoria: objetivo, período de fiscalização, composição da equipe,
metodologia adotada, natureza da auditoria (da TI, operacional, financeira, de
regularidades, etc.), e objeto (controles gerais da organização, desenvolvimento
de sistemas, um sistema aplicativo específico, etc.).
◦ Introdução: pode conter um breve histórico sobre a entidade e mencionar
conclusões de auditorias anteriores feitas na mesma área. No caso de auditoria
de TI é recomendável incluir a descrição hierárquica do departamento de
informática, sua relação com outros departamentos e com os níveis hierárquicos
superiores, descrição do ambiente computacional, evolução tecnológica,
principais sistema e projetos.
o
o
o
o
Falhas detectadas: é a parte mais importante do relatório, pois apresenta em
detalhes as falhas e irregularidades detectadas durante a auditoria.
Para cada ponto de controle com fraqueza - ponto de auditoria:
o nome do ponto de controle auditado;
o descrição sucinta do ponto de controle;
o problemas detectados;
o evidências;
o impacto;
o recomendações.
Conclusão: são sintetizados os pontos principais do relatório e descritos os
pareceres dos auditores.
Pareceres da gerência superior: em alguns casos, as gerências superiores dão
seu parecer a respeito dos achados e recomendações da equipe de auditoria,
concordando ou não com os resultados.




1ª. Fase - Auditoria de Posição:
Etapas:
◦ Planejamento e controle do projeto de auditoria.
◦ Levantamento do ambiente e/ou sistema a ser auditado.
◦ Identificação e inventário dos pontos de controle.
◦ Priorização e seleção dos pontos de controle do ambiente e/ou
sistema de auditoria.
◦ Revisão e avaliação dos pontos de controle.
◦ Conclusão.
2ª. Fase – Auditoria de Acompanhamento:
Etapa:
◦ Acompanhamento da auditoria.

Acompanhamento da auditoria (follow-up): revisar e avaliar os pontos de
auditoria elencados no Relatório de Auditoria, ou seja, acompanhar a implementação
das recomendações de melhoria.

Deve ser efetuado até que todos os requisitos das especificações do controle interno
sejam atendidos e o parecer conclusivo seja satisfatório.

A atividade de acompanhamento tem por finalidade:
◦ identificar se os problemas foram resolvidos;
◦ identificar se medidas estão sendo adotadas no sentido de eliminar as
deficiências apontadas na auditoria de posição;
◦ adequar e atualizar as recomendações em face de novas realidades tecnológicas
e de mudanças na organização empresarial;
◦ avaliar o comprometimento da administração frente aos parâmetros de controle
interno determinados no início do projeto de trabalho da auditoria.

O retorno da auditoria deve ser dado em função dos seguintes fatores:
◦ grau de importância do cumprimento das especificações de controle interno
determinado pelo sistema de informação;
◦ dinâmica e freqüência de manutenção ocorrida durante um determinado período
de tempo;
◦ disponibilidade de recursos financeiros, humanos e tecnológicos.
“Qualquer que seja o resultado do trabalho de auditoria, ou seja, apontando ou
não falhas, é importante que os sistemas sejam reavaliados periodicamente,
de modo a assegurar proteção e manutenção permanentes”.

Sistemas de informação normalmente sofrem mudanças em função da dinâmica do
ambiente em que eles estão operando (mudança de estrutura, aplicação de novas
políticas da alta administração, adequação às exigências legais, desenvolvimento
organizacional, novas estratégias de negócios, etc. ) isso faz com que todos os
sistemas envolvidos sofram alterações localizadas ou em forma global.

ARIMA, Carlos Hideo; SANTOS, José Luiz e SCHMIDT, Paulo.
Fundamentos de Auditoria de Sistemas. São Paulo: ATLAS, 2006.

DIAS, C. Segurança e Auditoria Da Tecnologia da Informação. Rio de
janeiro: Axcel Books, 2000.