Você está na página 1de 50

Auditoria de Sistemas

Informatizados
Auditoria
Almir Feliciano Neto

08

Auditoria de Sistemas Informatizados

Almir Feliciano Neto


(Organizao)

Auditoria
de
Sistemas
Informatizados
Universidade do Estado de Minas Gerais
Faculdade de Polticas Pblicas Tancredo Neves
Curso Superior de Tecnologia em Gesto de Finanas
Pblicas e Auditoria Governamental

Belo Horizonte - MG
2008
Almir Neto

Pgina 2 de 49

Auditoria de Sistemas Informatizados


PLANO DE ENSINO
DISCIPLINA: Auditoria de Sistemas Informatizados
PROFESSOR: Almir Neto

CARGA HORRIA TOTAL:


40 h

HORAS EM SALA DE AULA:


36 h

HORAS EM OUTRAS ATIVIDADES:


4h

EMENTA
Controle interno; Auditoria de Sistemas; Metodologia de auditoria de sistemas; Controle e
segurana ambiental de tecnologia da informao sob a tica da auditoria de sistemas; Tecnologia
de informao; Controle e segurana lgica em sistemas de informao; Auditoria de sistemas em
produo; Informatizao dos processos governamentais. Sistemas corporativos Estaduais: SIAFI,
SIAD, SIGPLAN, SIARE, SISAP, SIPRO; propsitos, principais mdulos, estrutura de
gerenciamento; Emisso de relatrios de auditoria de sistemas de informaes.

OBJETIVOS:
Apresentar conceitos e noes fundamentais das principais metodologias de auditoria de sistemas
informatizados:
Entender conceitos de auditoria em sistemas de informao, controles gerenciais e de
aplicaes;
Fundamentar os conceitos de Controle Interno, Pontos de Controle e Pontos de Auditoria;
Conhecer as etapas comumente observadas num trabalho de Auditoria de Sistemas;
Entender as principais abordagens de um trabalho de auditoria, momento em que se
relacionam a aplicabilidade a situaes prticas;
Identificar mecanismos que propiciem um trabalho contnuo de avaliao da segurana do
ambiente computacional;
Planejar um trabalho de auditoria de sistemas utilizando os Sistemas corporativos do
Governo de Estado de Minas Gerais;

Almir Neto

Pgina 3 de 49

Auditoria de Sistemas Informatizados

CONTEDO PROGRAMTICO (TPICOS E SUB-TICOS A SEREM ABORDADOS:

Apresentao
1. CONTROLE INTERNO
1.1. Conceitos Bsicos
1.2. Definio de Controle Interno
1.3. Relacionamento entre controle interno e auditoria
1.4. Controle interno e auditoria de sistemas
2. AUDITORIA DE SISTEMAS
2.1. Objetivos da auditoria de sistemas
2.2. Ciclo de vida de um sistema de informao e atuao da auditoria de sistemas
2.3. Pontos de controle e pontos de auditoria
2.4. Ciclo de vida de auditoria de sistemas
3. METODOLOGIA E AUDITORIA DE SISTEMAS
3.1. Etapas da metodologia de auditoria de sistemas
4. CONTROLE E SEGURANA AMBIENTAL DE TECNOLOGIA DA INFORMAO
SOB A TICA DE AUDITORIA DE SISTEMAS
4.1. Aspectos Gerais
4.2. Medidas e contramedidas de proteo por rea de controle
5. TECNOLOGIA DA INFORMAO
5.1. Aspectos gerais
5.2. Planejamento do projeto de auditoria no ambiente de informtica
5.3. Levantamento e caracterizao do ambiente de informtica
5.4. Inventrio e eleio dos pontos de controle
5.5. Avaliao dos pontos de controle eleitos
5.6. Concluso e acompanhamento das recomendaes
6. CONTROLE E SEGURANA LGICA EM SISTEMAS DE INFORMAO
6.1. Aspectos gerais
6.2. Controles em operaes e dados de entrada
6.3. Controle em operaes de processamento
6.4. Controles em operaes e dados de sada
6.5. Controles em ambientes de sistemas em rede, teleprocessamento e banco de dados
6.6. Medidas que amenizam a ocorrncia de ameaas em geral
Almir Neto

Pgina 4 de 49

Auditoria de Sistemas Informatizados


6.7. Concluso e acompanhamento da auditoria
7. AUDITORIA DE SISTEMAS EM PRODUO
7.1. Aspectos Gerais
7.2. Planejamento
7.3. Levantamento do sistema a ser auditado
7.4. Inventrio e eleio dos pontos de controle
7.5. Avaliao dos pontos de controle
7.6. Concluso e acompanhamento da auditoria

8. Informatizao dos processos governamentais


1.1. Emisso de Relatrios de auditoria de sistemas de informao

8.1.1. SIAFI Sistema Integrado de Administrao Financeira


8.1.1.1.

Propsitos

8.1.1.2.

Principais mdulos

8.1.1.3.

Estrutura de gerenciamento

8.1.2. SIAD Sistema de Administrao de Materiais


8.1.2.1.

Propsitos

8.1.2.2.

Principais mdulos

8.1.2.3.

Estrutura de gerenciamento

8.1.3. SIGPLAN Sistema de Informaes Gerenciais e de Planejamento


8.1.3.1.

Propsitos

8.1.3.2.

Principais mdulos

8.1.3.3.

Estrutura de gerenciamento

8.1.4. SIARE Sistema Integrado de Administrao da Receita Estadual


8.1.4.1.

Propsitos

8.1.4.2.

Principais mdulos

8.1.4.3.

Estrutura de gerenciamento

8.1.5. SISAP Sistema de Administrao de Pessoal

Almir Neto

8.1.5.1.

Propsitos

8.1.5.2.

Principais mdulos

8.1.5.3.

Estrutura de gerenciamento

Pgina 5 de 49

Auditoria de Sistemas Informatizados


8.1.6. SIPRO Sistema Integrado de Protocolo

Almir Neto

8.1.6.1.

Propsitos

8.1.6.2.

Principais mdulos

8.1.6.3.

Estrutura de gerenciamento

Pgina 6 de 49

Auditoria de Sistemas Informatizados

SISTEMA DE AVALIAO:

Avaliao ser efetuada mediante a aplicao de testes e desenvolvimento de trabalhos em sala de


aula, individuais ou em grupo, alm da participao dos alunos em sala de aula e leitura de textos.

o Distribuio Total de Pontos

Ms

Almir Neto

Pontos

Critrios

Fevereiro

10

Avaliao Mensal

Maro

10

Avaliao Mensal

Abril

20

Avaliao Mensal

Maio

15

Junho

15

Julho

30

Prova Final

TOTAL

100

Aprovao

Trabalho em Grupo

Pgina 7 de 49

Auditoria de Sistemas Informatizados


METODOLOGIA:

RECURSOS

o
o
o
o
o
o
o

Quadro de sala de aula;


Projetor de Multimdia;
Apresentao em Power Point;
Fotocpias de Cases e material de leitura;
Apostila;
Palestras com especialistas em Sistema Corporativos Governamentais convidados;
Bibliografia Bsica.

MTODO

o Exposio e debate de conceitos e exemplos em aula presencial, com base na bibliografia


indicada, dentro do cronograma proposto.
o Exposio e discusso em sala de aula de questes prticas;
o Elaborao de trabalhos em sala de aula para explorao das caractersticas individuais de
aprendizado.
o Seminrios para desenvolvimento de exerccios prticos e apresentao em sala de aula
desenvolvida por grupos de alunos.
o Apresentao escrita e oral de um (1) Projeto de Auditoria que consiste em:
Escolha de um sistema corporativo do Governo do Estado de Minas.
O grupo de alunos dever, com apoio da Diretoria da FaPP, buscar junto ao
rgo responsvel pelo desenvolvimento do sistema escolhido, o acesso
necessrio ao desenvolvimento do trabalho.
Preparao de um relatrio e de uma apresentao em sala da aula de 30/60
minutos, com a anlise dos pontos do contedo programtico relacionados;
Debate do tema apresentado pelos demais alunos 50 minutos.
O relatrio dever apresentar um resumo dos pontos relacionados disciplina,
devendo atender ao padro de Auditoria de SI ISACA/COBIT;
A apresentao dever resumir a anlise que o aluno fez sobre o tema escolhido,
relacionada aos pontos da disciplina.
Sero considerados a profundidade do conhecimento apresentado, contedo e a
forma de expresso do aluno.
o A pontuao do aluno ser considerada pela apresentao do seu trabalho e a presena e
participao nos debates de todas as apresentaes.
o As faltas do aluno s aulas implicam na perda de pontos distribudos ao longo do ms em
atividades em sala de aula.

Almir Neto

Pgina 8 de 49

Auditoria de Sistemas Informatizados

Auditoria de Sistema de Informao


Material suplementar a utilizao da bibliografia adotada para a disciplina1

Objetivo
Revisar e avaliar o controle interno2 de Sistema3 de Informao4 em Processamento Eletrnico de
Dados PED5

Ver Referncia Bibliogrfica.


Controle Interno: o plano de organizao e todos os mtodos e medidas coordenados, aplicados em uma
organizao, a fim de proteger seus bens, conferir a exatido e a fidelidade de seus dados contbeis, promover a
eficincia e estimular a obedincia s diretrizes administrativas estabelecidas pela gesto. Instituto Americano de
Contadores Pblicos.
3
Sistema: A American National Standard Committee sugere a seguinte definio: em processamento de dados,
conjunto de pessoas, mquinas e mtodos organizados de modo a cumprir um certo nmero de funes especficas.
Exemplos tpicos: sistema solar, sistema respiratrio, etc. na elaborao de um sistema existem algumas etapas a
serem seguidas para a sua construo determinando seu ciclo de vida em cada etapa:
2

1-Definio de problema;
2-Estudo de viabilidade;
3-Anlise;
4-projeto de sistema;
5-projeto detalhado;
6-implementao e definio;
4

Sistemas de Informaes compreendem um conjunto de recursos humanos, materiais, tecnolgicos e financeiros,


combinados segundo uma seqncia lgica para transformar dados em informaes.
No ambiente de auditoria de sistemas:

recursos humanos: usurios e profissionais de computao;


recursos materiais: suprimentos, equipamentos, instalaes e utenslios;
recursos tecnolgicos: correspondem ao intangvel dos sistemas de informaes; so os softwares e as
informaes geradas;
recurso financeiro: a transformao dos recursos humanos, materiais e tecnolgicos, segundo o denominador
comum moeda;

P.E.D. - envolve os conceitos de Hardware e de Software e se estende, alcanando a rea de Redes e


Telecomunicaes.

Hardware - equipamentos de computao e de telecomunicaes associados;


Software bsico e de apoio - sistemas operacionais, gerenciadores de rede; monitores de telecomunicaes e
teleprocessamento (monitores de TP), editores, compiladores, gerenciadores de bancos de dados, firmware,
etc.;

Almir Neto

Pgina 9 de 49

Auditoria de Sistemas Informatizados


Promover adequao e recomendaes para o aprimoramento dos "Controles
Internos" nos "Sistema de Informao" em "Processamento Eletrnico de Dados".
Avaliar a utilizao dos recursos humanos, materiais e tecnolgicos envolvidos no
processamento dos SI.
Revisar a integridade, confiabilidade e eficincia do sistema de informao e dos
relatrios financeiros nele produzidos.
Abrange a captao e entrada de dados, o processamento por meio de programas de
computador e a sada de informaes para usurios
Ambiente de Sistema de Informao
1. Sistema Manual
Entrada de dados - Transaes por terminal
Sada de dados - Documentos e Relatrios
2. Sistema computadorizado
Processamento
Biblioteca e banco de dados

Linhas de atuao da Auditoria de Sistemas


Auditoria de Sistemas em produo (operao)
o Abrange os procedimentos e resultados de sistemas j implantados
[Caracterstica preventiva, detectiva e corretiva]
Auditoria durante o desenvolvimento
o Abrange todo processo de construo de sistema de informao, desde a fase
de levantamento do sistema a ser informatizado at o teste de implantao.
[caracterstica preventiva]
Auditoria do ambiente de tecnologia da informao
o Abrange a anlise do ambiente de informtica em termos de estrutura orgnica,
contratos de software e hardware, normas tcnicas e operacionais, custos, nvel
de utilizao dos equipamentos e planos de segurana e contingncia.
Auditoria de eventos especficos
o Abrange a anlise da causa, da conseqncia e da ao corretiva cabvel, de
eventos localizados que no se encontram sob auditoria, detectados por outros
rgos e levados ao seu conhecimento.
Almir Neto

Pgina 10 de 49

Auditoria de Sistemas Informatizados


[Caracterstica corretiva]
A Funo do Auditor de Sistema
Ter conhecimento das reas de conhecimento: Sistema de Informao, Processamento
Eletrnico de Dados e Auditoria de Sistemas
Ter conhecimentos bsicos de computao
Conhecer pelo menos uma linguagem de programao
Ao auditar sistemas em produo (operao) conhecer:
o Documentao de sistemas
o Fluxograma
o Uma linguagem de programao
Ao auditar sistemas em desenvolvimento conhecer:
o Metodologia de desenvolvimento de sistemas
o Tcnicas de prototipao
o Plano de Diretor de Informtica6
Ao auditar o Centro de Processamento de Dados conhecer:
o Apurao de centros de custos de computao
o Normas administrativo-tcnica-operacionais
o Funes e mecnica operacional da rea de computao
o Contratos de Software e Hardware

Plano de Diretor de Informtica: planejamento estratgico da organizao em termos de automao.


A metodologia para o desenvolvimento deve ser:

Definio das etapas de cada projeto;


Definio das atividades de cada etapa;
Determinao dos produtos e dos pontos de controle dos projetos;
Definio das responsabilidades de cada produto (usurio);
Documentao das etapas, estudando um software de CASE para implementar uma metodologia estruturada de
desenvolvimento de sistemas na empresa;
Obteno de produtos intermedirios para justificar benefcios, produzindo muitas vezes sistemas funcionais
antes da concluso do projeto com um todo.
As etapas do seu desenvolvimento so:

Levantamento das necessidades da empresa, problemas atuais e descrio das reas afetadas com os
procedimentos atuais;
Anlise das atividades, apresentando a soluo e priorizando seu desenvolvimento;
Dimensionamento dos recursos necessrios para desenvolver os projetos (custo de hardware, software, linhas de
comunicao, treinamento, etc.), e
Cronograma financeiro com as etapas de desembolso ms a ms, durante a fase de desenvolvimento do projeto.

Almir Neto

Pgina 11 de 49

Auditoria de Sistemas Informatizados

Almir Neto

Pgina 12 de 49

Auditoria de
Sistema de Informao

Auditoria de Sistemas Informatizados

Almir Neto

Pgina 13 de 49

Auditoria de Sistemas Informatizados

Almir Neto

Pgina 14 de 49

Auditoria de Sistemas Informatizados

Almir Neto

Pgina 15 de 49

Auditoria de Sistemas Informatizados

Almir Neto

Pgina 16 de 49

Auditoria de Sistemas Informatizados

Almir Neto

Pgina 17 de 49

Auditoria de Sistemas Informatizados

PLANEJAMENTO DA AUDITORIA

Materialidade, Relevncia e Criticidade7


As variveis bsicas a serem utilizadas pela Unidade de Auditoria Interna em seu
processo de planificao dos trabalhos so:

Materialidade
Relevncia
Criticidade

Formar Equipe de Trabalho


Consiste na formao de equipes de trabalho denominadas grupos de coordenao e de
execuo
Formar equipe de trabalho
Formar grupo de Coordenao
o Escolher Gerente do projeto
o Escolher Gerente de Auditoria ao nvel de usurio a analista
o Escolher Supervisor do projeto
Formar grupo de execuo
Escolher Auditores e Tcnicos da rea de sistemas de informao

A materialidade refere-se ao montante de recursos oramentrios ou financeiros alocados por uma gesto,
em um especfico ponto de controle (unidade organizacional, sistema, rea, processo de trabalho, programa
de governo ou ao) objeto dos exames pelos empregados auditores internos. Essa abordagem leva em
considerao o carter relativo dos valores envolvidos.
A relevncia significa a importncia relativa ou papel desempenhado por uma determinada questo,
situao ou unidade organizacional, existentes em um dado contexto.
A criticidade representa o quadro de situaes crticas efetivas ou potenciais a ser controlado, identificadas
em uma determinada unidade organizacional ou programa de governo. Trata-se da composio dos
elementos referenciais de vulnerabilidade, das fraquezas, dos pontos de controle com riscos operacionais
latentes, etc.
Deve-se levar em considerao o valor relativo de cada situao indesejada. A criticidade ainda, a
condio imprpria, por no conformidade s normas internas, por ineficcia ou por ineficincia, de uma
situao de gesto. Expressa a no-aderncia normativa e os riscos potenciais a que esto sujeitos os
recursos utilizados. Representa o perfil organizado, por rea, dos pontos fracos de uma organizao.

Almir Neto

Pgina 18 de 49

Auditoria de Sistemas Informatizados

Elaborar o Cronograma de Execuo


Definir escopo inicial
Elaborar Planilha/Grfico de Gant { Etapa - Quantidade - Durao - Incio - Fim}
Levantar recursos tecnolgicos, materiais e humanos
Definir as necessidades de recursos humanos, tecnolgicos, materiais e
financeiros para desenvolvimento do projeto
Dimensionar os recursos em funo da abrangncia e delimitao do sistema a ser
auditado.
Estabelecer normas e procedimentos para o projeto.
Normas e Padres que se aplicam auditoria de SI
Normas Brasileiras de Contabilidade - CFC8
NBC T 11.12 PROCESSAMENTO ELETRNICO DE DADOS PED
Resoluo CFC n 1.029/05
Estabelece procedimentos e critrios a serem seguidos quando uma
auditoria conduzida em um ambiente de PED.
Pressupe-se que existe um ambiente de PED quando um
computador de qualquer tipo ou tamanho utilizado pela
entidade no processamento de informaes contbeis de
relevncia para a auditoria.
ISACA "Information Systems Audit and Control Association" Associao de Auditoria e Controle de Sistema de Informao
"Organizao lder de Profissionais de Auditoria de Sistema de
Controle em TI"
Desenvolver e disseminar padres de auditoria de SI
metas da ICASA]

- [ uma das

Padro de Auditoria de SI
Cdigo de Auditoria

Doc #S1

O Conselho Federal de Contabilidade CFC emitiu em 24 de julho de 2005 a NBCT 11.12 que se refere
ao processamento eletrnico de dados PED. A referida norma contempla temas relacionados
capacidade e competncia, planejamento dos trabalhos, avaliaes de risco e procedimentos de auditoria.

Almir Neto

Pgina 19 de 49

Auditoria de Sistemas Informatizados


o

O objetivo, a responsabilidade, autoridade e prestao de contas


quanto funo de auditoria de sistemas de informao ou
designao de tarefas de auditoria de sistemas de informao devem
ser propriamente documentados em um cdigo de auditoria ou carta de
compromisso.
O cdigo de auditoria ou carta de compromisso devem ser acordados e
aprovados em um nvel adequado dentro das organizaes.

Independncia - Doc. #S2


o

Independncia profissional
Em todos os aspectos relacionados auditoria, o auditor de SI
deve ser independente do auditado, tanto em relao atitude
quanto aparncia.
Independncia organizacional
A funo de auditoria de SI deve ser independente da rea ou
atividade que est sendo revista para permitir a concluso do
objetivo da tarefa de auditoria.

tica e Padres Profissionais - Doc #S3


o

O auditor de SI deve seguir o Cdigo ISACA de tica profissional.

o O auditor de SI deve agir com o devido zelo profissional e observar os


padres de auditoria profissional aplicveis.

Competncia Profissional - Doc. #S4


o

O auditor de SI deve ser profissionalmente competente, tendo as


habilidades e o conhecimento para conduzir a tarefa de auditoria.
O auditor de SI deve manter a competncia profissional por meio de
educao e treinamento profissionais apropriados e contnuos.

Planejamento - Doc. #S5


o

o
o

O auditor de SI deve planejar a cobertura da auditoria de sistemas de


informaes para identificar os objetivos da auditoria e cumprir as leis e
os padres de auditoria profissional aplicveis.
O auditor de SI deve desenvolver e documentar uma abordagem de
auditoria com base nos riscos.
O auditor de SI deve desenvolver e documentar um plano de auditoria
detalhando sua natureza e objetivos, programao e extenso e
recursos necessrios para a mesma.
O auditor de SI deve desenvolver um programa e procedimentos de
auditoria.

Desempenho do Trabalho de Auditoria - Doc. #S6


o

Almir Neto

Superviso: a equipe de auditoria de SI deve ser supervisionada para


fornecer garantia razovel de que os objetivos da auditoria esto sendo
atingidos e que os padres de auditoria profissional aplicveis esto
sendo seguidos.
Evidncia: durante o curso da auditoria, o auditor de SI deve obter
evidncia suficiente, confivel e relevante para atingir os objetivos da

Pgina 20 de 49

Auditoria de Sistemas Informatizados

auditoria. Os resultados e as concluses da auditoria devem ser


suportados pela anlise e interpretao apropriadas dessa evidncia.
Documentao: o processo de auditoria deve ser documentado,
descrevendo o trabalho de auditoria e a evidncia de auditoria que
suporta os resultados e as concluses do auditor.

Relatrios - Doc. #S7


o

O auditor de SI deve fornecer um relatrio, em um formulrio


apropriado, na concluso da auditoria. O relatrio deve identificar a
organizao, os destinatrios pretendidos e todas as restries de
circulao.
O relatrio de auditoria deve informar o escopo, os objetivos, o perodo
de cobertura e a natureza, a programao e a extenso do trabalho
executado na auditoria.
O relatrio deve informar os resultados, as concluses e recomendaes
e quaisquer reservas, qualificaes ou limitaes do escopo
apresentadas pelo auditor de SI com relao auditoria.
O auditor de SI deve possuir evidncia de auditoria suficiente e
apropriada para suportar os resultados relatados.
Quando emitido, o relatrio do auditor de SI deve ser assinado, datado
e distribudo de acordo com os termos do cdigo de auditoria ou da
carta de compromisso.

Atividades de Acompanhamento - Doc. #S8


o Aps o relatrio de resultados e recomendaes, o auditor de SI deve
solicitar e avaliar informaes relevantes para concluir se a ao
apropriada foi tomada pela gerncia de maneira oportuna.

Evidncia de Auditoria - Doc S14


o

O auditor de SI deve obter evidncia de auditoria suficiente e


apropriada para tirar concluses razoveis sobre em que basear os
resultados de auditoria.
O auditor de SI deve avaliar a suficincia da evidncia de auditoria
obtida durante a auditoria.

Outros. www.isaca.org
A estrutura para os padres de auditoria de SI apresenta diversos nveis de
orientao
Padres
Definem requisitos obrigatrios para auditoria e relatrio de SI
Diretrizes

Fornecem orientao para a aplicao dos Padres de auditoria de SI.


Almir Neto

Pgina 21 de 49

Auditoria de Sistemas Informatizados

Procedimentos
Fornecem exemplos de procedimentos que um auditor de SI pode
seguir durante a realizao de uma auditoria.
Certificaes
Os auditores certificados se adquam a esses procedimentos sob pena de
investigao de conduta
Certificao ISACA - CISA - Certified Information Systems Auditor
[Auditor Certificado em Sistemas de Informao]
Certificao IIA - The Institute of Internal Auditors CIA [Certified
Internal Auditor)
COBIT "Control OBjectives for Information and related Technology"
"Objetivos de Controles relacionados ao uso de Tecnologia da Informao COBIT"
Guia de Gesto de TI
Guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit
and Control Foundation, www.isaca.org)
O COBIT fornece um conjunto detalhado de controles e tcnicas de controle
para o ambiente de gerenciamento de SI

COSO "Committee of Sponsoring Organizations of the Treadway Commission"


"Comit das Organizaes Patrocinadoras"
[AICPA - AAA - FEI - IIA - IMA]9 [Entidades ligadas rea financeira dos EUA.
AUDIBRA - Instituto dos Auditores do Brasil est ligada IIA
Entidade, sem fins lucrativos, dedicada melhoria dos relatrios financeiros
atravs da tica, efetividade dos Controles Interno e governana
corporativa".10
9

AICPA (Instituto Americano de Contadores Pblicos Certificados


AAA (Associao Americana de Contadores)
FEI
(Executivos Financeiros Internacional)
IIA
(Instituto dos Auditores Internos)
IMA - (Instituto dos Contadores Gerenciais)
10
Governana Corporativa o conjunto de mecanismos que protegem os investidores da expropriao pelos internos
(gestores, acionistas e controladores)

Almir Neto

Pgina 22 de 49

Auditoria de Sistemas Informatizados

Modelo de Trabalho - COSO


Controle Interno Definio
Processo, desenvolvido para garantir, com razovel certeza, que sejam
atingidos os objetivos da organizao, nas seguintes categorias:

Eficincia e efetividade operacional (objetivos de desempenho ou estratgia):


esta categoria est relacionada com os objetivos bsicos da entidade,
inclusive com os objetivos e metas de desempenho e rentabilidade, bem
como da segurana e qualidade dos ativos;
Confiana nos registros contbeis/financeiros (objetivos de informao):
todas as transaes devem ser registradas, todos os registros devem refletir
transaes reais, consignadas pelos valores e enquadramentos corretos;
Conformidade (objetivos de conformidade) com leis e normativos aplicveis
entidade e sua rea de atuao.

Elementos do controle - [constitudo de (5) cinco elementos]

1 - Ambiente de Controle
Postura determinante da alta administrao
Clareza nas polticas, procedimentos, cdigo de tica, cdigo de
conduta a serem adotados

2 - Avaliao e Gerenciamento dos Riscos


Identificao e anlise dos riscos associados ao no cumprimento
das metas e, ...
objetivos operacionais, de informao e de conformidade
Ao proativa que permite evitar surpresas desagradveis

3 - Atividade de Controle
Atividades que, quando executadas a tempo e maneira
adequados, permitem a reduo ou administrao dos riscos
Principais atividades de controle
Preveno Busca evitar que fatos indesejveis ocorram
Almir Neto

Pgina 23 de 49

Auditoria de Sistemas Informatizados


Aladas
So os limites determinados a um funcionrio,
quanto a possibilidade de aprovar valores ou
assumir posies
Autorizao
A administrao determina as atividades e
transaes que necessitam de aprovao de um
supervisor
Segregao de Funes
Separar funes - Contabilidade e conciliao,
informao e autorizao, custdia e inventrio
Contratao e pagamento, administrao de
recursos, normatizao, gerenciamento de
riscos, fiscalizao (auditoria) devem estar
segregadas entre funcionrios
Normatizao Interna
Definio, de maneira formal, das regras
internas necessrias ao funcionamento da
organizao
Deteco
Para detectar e corrigir fatos indesejveis j ocorridos
Conciliao
Confrontao da mesma informao com dados
vindos de bases diferentes adotando aes
corretivas quando necessrio
Revises de desempenho
Acompanhamento de uma atividade ou
processo, para avaliao de sua adequao e/ou
desempenho em relao as metas, aos objetivos
traados e aos benchmarks

Almir Neto

Pgina 24 de 49

Auditoria de Sistemas Informatizados


Preveno e Deteco
Segurana fsica
Os valores de uma entidade devem ser
protegidos contra uso, compra ou venda no
autorizados
Sistemas Informatizados
Controles
feitos atravs de sistemas
informatizados dividem-se em dois tipos
Controles gerais
Controles nos centros de processamentos
de dados e controles na aquisio
Desenvolvimento e manuteno de
programas e sistemas
Controle de aplicativos
Controles existentes nos aplicativos
corporativos, que tm a finalidade de
garantir a integridade e veracidade dos
dados e transaes

4 - Informao e Comunicao
Informaes sobre planos, ambiente de controle, riscos, atividade
de controle e desempenho
Devem ser transmitidas toda entidade
importante para obteno das informaes necessrias
identificao de riscos de oportunidades
Processo formal
Acontece atravs dos sistemas internos de comunicao,
sistemas computacionais e reunies de equipes de trabalho
Sistemas computacionais, reunies de equipes de trabalho
Processo informal
Almir Neto

Pgina 25 de 49

Auditoria de Sistemas Informatizados


Ocorre em conversas e encontros - clientes, fornecedores,
autoridades e funcionrios

Avaliao da qualidade dos sistemas e fluxos das informaes


Perguntas
A dependncia consegue a informao que necessita
de maneira prtica e tempestiva?
A dependncia tem conseguido obter as
informaes importantes pra avaliao dos riscos
internos e externos?
A dependncia tem conseguido obter informaes
de desempenho, informaes que permitem saber
se os objetivos esto sendo atingidos?
A dependncia identifica, captura, processa e
comunica as informaes necessrias a seus clientes
e fornecedores em tempo hbil?

5 - Monitoramento
a avaliao dos controles internos ao longo do tempo.
Ele o melhor indicador para saber se os controles internos
esto sendo efetivos ou no.
O monitoramento feito atravs do acompanhamento contnuo
das atividades, quanto por avaliaes pontuais, tais como autoavaliao, revises eventuais e auditoria interna
A funo do monitoramento verificar se os controles internos
so adequados e efetivos.
Controle adequado aquele em que os cinco elementos do
controle esto presentes e funcionando conforme
planejado.
Controle so eficientes quando a alta administrao tem uma
razovel certeza:
Do grau de atingimento dos objetivos operacionais
De que as informaes fornecidas pelos relatrios e
sistemas corporativos so confiveis; e
Leis, regulamentos e normas pertinentes esto
sendo cumpridos.
Almir Neto

Pgina 26 de 49

Auditoria de Sistemas Informatizados

Aprovar projeto pela alta administrao

Obter aprovao da alta administrao


Apresentar um memorando de planejamento de auditoria de sistemas

Almir Neto

Introduo
Escopo dos trabalhos
Administrao de consideraes
Estimativa de Horas

Pgina 27 de 49

Auditoria de Sistemas Informatizados

AUDITORIA DE POSIO
[PRIMEIRA FASE]
1 - LEVANTAMENTO DO SISTEMA A SER AUDITADO

Reviso
preliminar
organizacionais

das

(Nvel Macro)

informaes

Consiste em obter informaes atravs da anlise das documentaes do sistema


O primeiro passo definir o OBJETIVO a ser auditado
Identificar e definir os riscos do sistema a ser auditado.
Com o objetivo e os riscos definidos:
Levantar o maior nmero de informaes sobre os pontos
Quais so as metas traadas para o objetivo que vai ser auditado
Levante nmeros que permitam uma medio clara e objetiva (valores,
quantidades, etc...)
Quais so os sistemas e relatrios que permitiro o acompanhamento das
metas traadas
Quais as leis e normativos que regem o objetivo que vai ser auditado
Analisar documentao do sistema
Obter informaes do sistema
Entrevistar analistas e usurios
Obter informaes do sistema
Verificar a operao do sistema
Obter informaes do sistema
Almir Neto

Pgina 28 de 49

Auditoria de Sistemas Informatizados


Caracterizar o sistema de forma descritiva e/ou grfica
Ferramentas de descrio grfica para entendimento global do sistema a ser
auditado e definir escopo da auditoria

Diagrama de Fluxo de dados "DFD"


Dicionrio de Dados "DD"
Modelo de Entidade-Relacionamento "MER"
Diagrama Hierrquico de funes "DHF"

2 - INVENTRIO E ELEIO DOS PONTOS DE CONTROLE

Estabelecimento da materialidade - Avaliao dos controles internos


Identificar e inventariar os pontos de controle
Identificar rotinas, arquivos, informaes, mdulos etc.

Obter evidncias concretas em relao ao ponto de controle da trilha


de auditoria11

Pontos de Controle de Sistema de Informao


"Podemos definir ponto de controle como uma "situao levantada" que merece
ser validada pela auditoria"
Natureza do ponto de controle

Ponto de integrao documentos de entrada de dados


Ponto de integrao arquivo de entrada
Rotina operacional
Rotina de controle
Rotina operacional e de controle

11

"Trilha de auditoria" - rotinas de controle que permitem recuperar de forma inversa as informaes processadas,
atravs da reconstituio.
Rotinas especficas programadas nos sistemas para fornecerem informaes de interesse da auditoria.
Conjunto cronolgico de registros que proporcionam evidncias do funcionamento do sistema. Estes registros podem
ser utilizados para reconstruir, revisar e examinar transaes desde a entrada de dados at a sada dos resultados
finais, bem como para rastrear o uso di sistema, detectando e identificando usurios no autorizados

Almir Neto

Pgina 29 de 49

Auditoria de Sistemas Informatizados

Arquivo interno
Relatrio e documento interno
Ponto de integrao relatrio de sada
Ponto de integrao arquivo de sada

Pontos de controle podem ser definidos e identificados pelos:

documentos de entrada
relatrios de sadas
telas
arquivos magnticos
rotinas e/ou programas de computador
pontos de integrao e demais elementos que compem o sistema de
informao

Pontos de controle caracterizam-se por:


Etapas do processamento de transaes

Processo
"Rotinas operacionais e/ou controle, procedimentos administrativos etc."

Captao de dados - [origem das transaes]


Codificao e entrada de dados - [entrada de dados]
Transmisso
Processamento - [processamento /interface]
Armazenamento em meio magntico
Recuperao de informao

Resultado
"Documentos, relatrios, arquivos, pontos de integrao, estrutura lgica/fsica,
modelo conceitual"

Apresentao e divulgao de informao - [emisso de relatrios]

Pontos de Controle em sistemas Batch12


No sistema Batch pode ser identificado os seguintes pontos de controle:
12

BATCH: um processamento em lotes. o modo de uso do computador. A tarefa acumulada para


posteriormente ser processada de uma s vez ou os dados relacionados a uma tarefa so agrupados em lotes e em
cada vez que forem reunidas as informaes e/ou que caracterizem o lote em questo ser feito um processamento.

Almir Neto

Pgina 30 de 49

Auditoria de Sistemas Informatizados

Documentos de entrada
Rotina de preparao de dados
Rotina de converso e entrada de dados
Rotina de crtica e consistncia de dados
Rotina de clculo e atualizao de arquivos
Rotina de acerto de erros de Consistncia e atualizao
Arquivo13 mestre
Arquivo de transao
Rotina de manuteno de arquivos
Rotina de emisso de relatrios
Rotina de controle de qualidade e de distribuio de relatrios
Relatrios de sada

Pontos de controle em sistemas on line real time14


No sistema on line real time, podem ser identificados os seguintes pontos de
controle:

Rotina de senha de autorizao a acesso ao banco de dados

Rotina de transao e atualizao de banco de dados, constitudo de:


o Entrada de dados
o Crtica e consistncia de dados
o Clculo e atualizao de banco de dados

13

Arquivo: Coleo organizada de informaes, preparada para ser usada com finalidade especfica e identificada por
um nome.
Todo sistema de computao manipula informaes com certa regularidade. Essas informaes so guardadas em
discos ou fitas que so denominadas arquivo. Um exemplo, ento, um banco de dados que pode ser acessado pelo
computador para que o usurio faa pesquisa e/ou consultas. Um arquivo pode ser visto como um conjunto de
registros armazenados em memria auxiliar. Cada registro contm informaes que, por sua vez, constituem-se de
dados. Um dado sozinho pode ser definido como um fato isolado ou constitui uma informao que depende s dele.
Campos so reas que contm os dados e que so representados por variveis na memria. Caracteres, por sua vez,
so os smbolos usados para campos de dados.
14

ONLINE: o mtodo de tratamento de dados que age ao invs do BATCH. Neste caso, cada nova informao
passada ao sistema que atualiza o arquivo. Contudo, o processamento s ser feito quando chegar a vez da tarefa
correspondente "na fila de espera" e s ento o resultado ser devolvido ao usurio.
REALTIME: o processamento em tempo real um tipo especial de ONLINE porque todo dado obtido chamado ao
sistema alm de atualizar o arquivo, permite que o processamento seja feito na hora e em seguida o resultado
devolvido ao usurio. Exemplo: quando num terminal de um banco requerido o depsito ou retirado, o novo saldo
processado instantaneamente. No existe REALTIME sem ONLINE

Almir Neto

Pgina 31 de 49

Auditoria de Sistemas Informatizados

Banco de dados15
Arquivo log16
Rotina de manuteno de banco de dados
Rotina de consulta e/ou emisso de relatrios
Telas de relatrios

Priorizar e selecionar os pontos de controle do ambiente ou sistema


em auditoria
Eleger pontos de controle
Analisar o risco17 - [Levantamento de Riscos]
"Risco a probabilidade de perda ou incerteza associada ao cumprimento de um
objetivo"
Verificar os riscos ao cumprimento de cada objetivo
Riscos operacionais:

Risco humano (erro no-intencional; qualificao; fraude);


Risco de processo (modelagem; transao; conformidade;
tcnico)

controle;

15

Banco ou base de dados: Coleo de dados organizados. Conjunto de todas as informaes armazenadas em um
sistema de computao.
Grandes conjuntos de arquivos que contm informaes completas sobre determinado assunto recebem o nome de
banco de dados. Esses banco so formados a partir de processamento BATCH e depois podem ser manipulados
atravs de mtodos ONLINE, REALTIME e TELEPROCESSAMENTO. Para que a atualizao possa ser feita atravs desses
sistemas citados, os arquivos devem estar em disco pela vantagem da velocidade de acesso e, tambm, pela sua
organizao. Os bancos de dados so gerenciados por bases de dados. Exemplos: cadastro e movimento de contas
bancrias, cadastro imobilirio, etc. existem 4 principais modelos de banco de dados: modelo relacional de entidades,
modelo relacional, modelo em rede, modelo hierrquico.
16

Log: arquivo em disco ou fita no qual so registrados todos os fatos relevantes relativos ao processamento de uma
transao. Muito til para a recuperao de informaes para fins de auditoria ou recuperao de falhas.
O log o dirio de bordo do sistema. So registros de atividades no computador, geralmente so gravados em arquivos
no formato texto, de forma abreviada e algumas so at codificadas, de qualquer forma a informao est l, so
registros de ocorrncia que podem facilmente serem interpretados por quem conhece e lida com o sistema, pode acessar
diretamente, converter para outros formatos, utilizar ferramentas amigveis e tcnicas que variam de acordo com o
conhecimento de cada um.
17

Anlise de risco uma metodologia adotada pelos auditores de TI para saber, com antecedncia, quais as ameaas
puras ou provveis em um ambiente de tecnologia de informao de uma organizao. Essas ameaas puras, ou
provveis , constituem eventos futuros no desejveis e incertos, cuja ocorrncia resulta em perdas. IMONIANA
(2005. P. 52)
Risco: efeito latente resultante da exposio de uma sistema a uma situao qual este vulnervel.

Almir Neto

Pgina 32 de 49

Auditoria de Sistemas Informatizados

Risco tecnolgico
informao).

(equipamentos;

sistemas;

confiabilidade

da

Identificar os riscos
Faa as perguntas para cada objetivo elencado, anotando as respostas que
representam ameaas.

O que pode dar errado?


Como e onde podemos falhar?
O que deve dar certo?
Onde somos vulnerveis?
Quais ativos devemos proteger?
Como podemos ser roubados ou furtados?
Como poderiam interromper nossas operaes?
Como sabemos se nossos objetivos foram (ou no) alcanados?
Quais informaes so mais importantes?
Onde gastamos mais dinheiro?
Quais atividades so mais complexas?
Quais atividades so mais regulamentadas?
Quais so nossas maiores exposio ao risco legal?

Avaliar os riscos
Selecionar os riscos com maior probabilidade de ocorrncia e que causem
perdas, no caso de sua consumao.
Anotar os riscos no quadro de risco, Matriz de Risco18 para cada
objetivo.

Uma vez identificado os risco, avali-los, levando em conta os aspectos

Qual a probabilidade (freqncia) dos riscos ocorrerem?


Em caso de ocorrer, qual seria o impacto nas operaes,
considerando os aspectos quantitativos e qualitativos
Identificar as ameaas provveis pontuando em grau do menor para o
maior

18

A Matriz de Risco contm a pontuao correspondente ao risco de cada sistema/atividade analisada, de


forma ordenada. Ela obtida a partir da avaliao dos itens e fatores de risco relativos a cada atividade. A
cada item se atribui uma pontuao cuja soma representa a importncia do fator. Os fatores somados, por
sua vez, representam a avaliao relativa ao risco do sistema, objeto da anlise.
Ver mais sobre Anlise de Risco em matria especfica sobre Gerenciamento de Risco.

Almir Neto

Pgina 33 de 49

Auditoria de Sistemas Informatizados

Grau de Risco
1 Muito fraco
2 Fraco
3- Regular
4 Forte
5 Muito Forte
Selecionar pontos de controle
Selecionar em funo do grau de risco existente no ponto em relao a todo
o sistema

Selecionar pontos de controle para teste de validao

3 - REVISO E AVALIAO DOS PONTOS DE CONTROLE


Auditoria propriamente dita
Esta etapa consiste em executar testes de validao dos pontos de controle, segundo
especificaes de CI.
Auditar os pontos de controle eleitos.

Aplicar tcnicas de auditoria19 conforme parmetros de Controle


interno

19

Tcnicas de Auditoria: As variadas metodologias usadas para auditar sistema de informao podem ser chamadas
de tcnicas. As mais utilizadas atualmente so:
Programas de computador
Questionrio
Simulao de dados
Visita in loco
Mapeamento estatstico
Rastreamento de programas
Entrevista
Anlise de relatrios / telas
Simulao paralela
Anlise de log / accounting
Anlise de programa fonte
Exibio parcial de memrias snap shot

Almir Neto

Pgina 34 de 49

Auditoria de Sistemas Informatizados


Os pontos de controle selecionados so analisados sob o enfoque de um ou mais
parmetros ou especificaes de CI.
Para cada risco elencado, verificar quais so, em sua opinio, as atividades de
controle, que se conduzida de maneira adequada, podem mitigar ou permitir o
gerenciamento do risco.
Identificar quais, dos controles elencados, em sua opinio, so recomendados
para o risco da anlise
Parmetros de Controle Interno - ATIVIDADES DE CONTROLE
Controle Interno Contbil
Fidelidade da informao em relao aos dados

Verificar se as sadas das informaes de sistema esto corretas e so


provenientes dos dados que originaram a entrada.

Segurana fsica

Consiste em avaliar os recursos humanos e materiais aplicados ao ambiente de SI.


A validao dessa especificao resultante do grau de segurana proporcionado
aos recursos envolvidos no ambiente computadorizado.

Segurana lgica

Consiste em avaliar o nvel de segurana e controles empregados com recursos


tecnolgicos nos processos de SI.
Consiste em revisar e avaliar todos os procedimentos operacionais e de controle
para transformao dos dados em informao, abrangendo tanto o walk-truth
20
(caminho verdade) quanto o audit-trail (trilha de auditoria)

Confidencialidade

Representa o grau de sigilo que um SI consegue manter perante acessos de


terceiros ou pessoas no autorizadas, para obter informaes consideradas
privativas.

Obedincia legislao em vigor

Consiste em verificar se os processos ou rotinas de SI esto sendo processados de


acordo com as leis vigentes no pas, Estado, Municpio e entidades externas
responsveis pelo estabelecimento de normas e procedimentos.

Controle Interno Administrativo


20

Enquanto o walk-truth um caminho que contm rotinas operacionais, o audit-trail refere-se s rotinas de controle
com os respectivos resultados que garantem a integridade e a correta transformao dos dados em informao.

Almir Neto

Pgina 35 de 49

Auditoria de Sistemas Informatizados


Eficcia

A eficcia mede o nvel de alcance das metas oriundas do planejamento da


Organizao, em um determinado perodo de tempo, independentemente dos
custos incorridos na execuo.
A eficcia do SI est vinculada ao atendimento adequado dos objetivos e
necessidades da organizao, atravs do seu recurso de TI.
Pode ser medido pelo grau de satisfao dos usurios finais.

Eficincia

Significa a relao entre produtos (bens ou servios) gerados numa atividade ou


processo e os custos dos insumos empregados, num determinado perodo de
tempo. Se a unidade organizacional consegue obter mais produo para um
determinado insumo, ela aumentou a eficincia; se consegue obter os mesmos
produtos com menos insumos (dinheiro, pessoas e/ou equipamentos), foi
eficiente.
Correlaciona-se com aumento do desempenho proporcionado pela melhoria de
um processo. Representa a otimizao dos recursos tecnolgicos, humanos e
materiais implicados a agilizao do processo produtivo.
No Governo do Estado de Minas significa Fazer mais com menos

Obedincia s diretrizes da alta administrao

Refere-se ao cumprimento das normas e dos procedimentos determinados pelos


diversos setores operacionais e administrativos da organizao.

Tcnicas de auditoria de sistemas


Execuo dos procedimentos de auditoria e coleta de evidncias
Verificar para cada atividade de controle "Parmetro de Controle Interno"
Quais as atividades de controle que esto sendo cumpridas e esto sendo
efetivas (efetivamente permitindo a mitigao/gerenciamento do risco)
Assinale "S" os casos em que os controles esto efetivos
Assinale "N" para os casos em que no esto
Para os assinalamentos "N", elabore as perguntas para avaliar as
ocorrncias:
As perdas esto acontecendo?
A probabilidade de o risco ocorrer grande?
Os gestores esto cientes destes riscos?
Almir Neto

Pgina 36 de 49

Auditoria de Sistemas Informatizados

Mtodo de Auditoria "ao redor" do computador


Consiste na analise comparativa dos dados de entrada e das informaes
de sada dos processos do computador
No apropriado para sistemas computadorizados sofisticados
apropriados para onde a maior parte das atividades de rotina executada
manualmente
Verificao IN LOCO
Observao pessoal do auditor, das atividades e/ou instalao
da rea auditada.
Marcar, antecipadamente, a data e hora com a pessoa
responsvel que acompanhar as verificaes, ou
Convoc-la no momento da verificao, caso o fator surpresa
seja necessrio.
Anotar os procedimentos, acontecimentos e outras situaes
observadas, ou
Caso necessrio, elaborar uma representao grfica da
situao.
Anotar o nome completo das pessoas que prestaram
depoimentos e respectiva data e hora.
Analisar e avaliar os resultados obtidos, caso necessrio voltar
ao incio desse procedimento.
Questionrio
Conjunto de perguntas que visam avaliar e validar um determinado ponto
de controle componente de um SI.
Analisar o ponto de controle a ser auditado.

Elaborar questes, conforme o parmetro de controle interno


predeterminado.
Selecionar as pessoas que devero responder ao questionrio
Elaborar um conjunto de instrues de como responder ao
questionrio.
Distribuir o questionrio para as pessoas selecionadas.

Controlar o recebimento ou no dos questionrios respondidos.


Analisar e avaliar os resultados obtidos; caso contrrio voltar ao
incio do processo.

Almir Neto

Pgina 37 de 49

Auditoria de Sistemas Informatizados

Entrevista
Reunio entre o auditor de sistemas e pessoas envolvidas no ponto de
controle a ser auditado
Analisar o ponto de controle a ser auditado e identificar as
pessoas envolvidas
Elaborar "Chekclist" [ lista de verificao] ou roteiro para
realizao da entrevista
Marcar, antecipadamente, a data, hora e local com as
pessoas que sero entrevistadas
Anotar as respostas e comentrios dos entrevistados a
cada questo apresentada
Elaborar um ata da reunio realizada, ressaltando os
principais pontos discutidos
Analisar e avaliar os resultados obtidos, caso contrrio
voltar ao segundo item
Mtodo de Auditoria "atravs" do computador
Consiste na identificao, anlise e teste dos pontos de controle interno
do SI, ao nvel computadorizado.
Tracing, mapping e snapshot podem ser usada separadamente ou em
conjunto de que esteja integrado no Sistema Operacional.
Tcnicas de aplicao no mtodo atravs do computador
Test-deck - (Simulao de dados)
Objetiva obter evidncias materiais de que o sistema e seus
controles esto operando conforme a documentao SI.
[Necessita de conhecimentos em PED e procedimentos e
controles de operao].
Verificar e testar os procedimentos contidos nos programas
componentes do SI
Identificar e caracterizar o ponto de controle do sistema a
ser auditado
Entender os procedimentos do ponto de controle do
sistema, atravs da anlise de sua documentao

Almir Neto

Pgina 38 de 49

Auditoria de Sistemas Informatizados


Selecionar e determinar as rotinas dos programas do
sistema que ser avaliado
Preparar os dados para teste de rotinas dos programas
determinados
Fazer converso dos dados de teste para um meio
computadorizado
Converter os dados de teste das rotinas dos programas
Analisar as informaes obtidas na aplicao dos dados de
teste e avaliao da operao das rotinas dos programas
Formar consenso para emisso de opinio quanto
validade das rotinas dos programas
Avaliar o grau de controle interno do sistema, segundo
objetivos traados no incio do trabalho.
Tracing
Objetiva rastrear as instrues do programa de computador,
acionadas quando do processamento de uma transao
Possibilita seguir o caminho de uma transao durante o
processamento do programa
Mostra quais instrues foram executadas e em que ordem
Mapping - (Mapeamento estatstico)
Objetiva fazer mapeamento estatstico das vrias rotinas
componentes do programa de computador
Mostra a quantidade de utilizao de determinadas rotinas em
dado processamento e tambm as rotinas no utilizadas
Snapshot

Possibilita a visualizao das partes da memria do computador


que contm os elementos dos dados utilizados pelo processo de
deciso, ao tempo em que a deciso tomada
Anlise de JOB ACCOUNTING/LOG
Arquivo de informao que tabulado adequadamente, serve para
caracterizar e analisar a utilizao do computador ao nvel de
programas e arquivos de SI

Almir Neto

Pgina 39 de 49

Auditoria de Sistemas Informatizados

Mtodo de Auditoria "com" computador


Consiste no uso do computador para verificar e testar os dados
processados pelo SI computadorizado
Proporciona maior perfeio que os mtodos "ao redor" e "atravs"
[compila os processos]
Utiliza as capacidades lgicas e aritmticas do computador para
verificar clculos das transaes econmicas e financeiras;
Utiliza as capacidades de clculos estatsticos e de gerao de amostras
que facilita a confirmao de saldos necessrios para aferir a
integridade de dados de contas a receber, estoques imobilizados e
outros;
Utiliza a capacidade de edio e classificao do sistema
computadorizado a fim de selecionar os registros contbeis;
Utiliza as capacidades matemticas do computador para analisar e
fornecer listas de amostras de auditoria.
Facilidade de uso dessa abordagem
Capacidade de auditoria de aplicar "Tcnicas de Auditoria Assistida por
Computador - (TAAC)"
Possibilidade de desenvolver programas especficos para serem usados
pelo auditor quando necessrio
Ganho de tempo sobre os passos aplicados com o uso de pacote
generalizado de auditoria de TI
Ferramentas21 de Auditoria de Sistemas
Auxiliam na extrao, sorteio, seleo de dados e transaes, atentando
para discrepncias e desvios.
Software generalista de auditoria de TI
Conjunto de programas em ambiente batch, que pode processar, alm
de fazer simulao paralela, funes de auditoria e nos formatos que o
auditor desejar.

21

Ferramentas de Auditoria : As ferramentas normalmente auxiliam na extrao, sorteio, seleo de dados e


transies , atentando para as discrepncia e desvios.

Almir Neto

Pgina 40 de 49

Auditoria de Sistemas Informatizados

ACL (Audit Command Language)


Software para extrao e anlise de dados desenvolvido no
Canad.
IDEA (Interactive Data Extraction & Analysis)
Software para extrao e anlise de dados tambm
desenvolvido no Canad
Audimation
verso Americana de IDEA, da Caseware-IDEA que
desenvolve consultoria e d suporte sobre o produto
Galileo
um software integrado de gesto de auditoria inclui
sistema de planejamento e monitoramento de recursos,
controle de horas, registros de checklists e programas de
auditoria, inclusive de desenho e gerenciamento de planos
Pentana
Software de planejamento estratgico de auditoria,
Sistema de planejamento e monitoramento de recursos,
controle de horas, registros de checklists e programas de
auditoria, inclusive de desenho e gerenciamento de plano
de ao
Software especialistas de auditoria
Programas desenvolvidos especificamente para executar
certas tarefas numa circunstncia definida.

Almir Neto

Pgina 41 de 49

Auditoria de Sistemas Informatizados

Resultado do exame efetuado nos parmetros de controle interno


- [Validao22 ou deteco de fraquezas]
Papel de Trabalho - Elaborao do PT23
Papel de Trabalho constituem um conjunto de formulrios preenchidos
logicamente no processo de auditoria de sistemas, com seus anexos
que evidenciam os fatos relatados; se esses anexos forem provas
documentais, podem ser escaneados para serem documentados
eletronicamente.
Os papis de trabalho podem ser em papel, fitas, discos, disquetes, CD,
filmes ou outros suportes. Se os papis de trabalho de auditoria forem
em suporte diverso do papel, deve-se providenciar a obteno de
cpias de segurana.
com base nos papis de trabalho que o auditor interno ir relatar suas
concluses.
No sero reportados em relatrio ou nota tcnica, conforme o caso,
assuntos desprovidos de suporte comprobatrio em papis de trabalho,
caso contrrio, constituir-se- em grave impercia tcnica.
Os papis de trabalho constituem a prova de validade dos exames
efetuados e, conseqentemente, do relatrio respectivo, e devem
possuir os seguintes atributos:
a) Abrangncia;
b) Objetividade;
c) Clareza;
d) Limpeza.
Validar o ponto de controle
Fazer teste24 de validao dos pontos de controle

22

Validao: processo de avaliao de um sistema ou componente durante ou ao final do processo de


desenvolvimento, para determinar se este satisfaz os requerimentos especificados;
Processo de verificao dos dados de entrada de uma aplicao.
23
Os papeis de trabalhos, independentemente de seu enfoque ser sistmico ou manual, devem ser auto-suficientes e
no necessitar, subseqentemente de explicaes verbais adicionais do preparador a fim de trabalhar a metodologia
adotada.
24
Teste: execuo de um programa, processo ou rotina com intuito de identificar suas falhas.

Almir Neto

Pgina 42 de 49

Auditoria de Sistemas Informatizados


O teste de validao resulta em diversos documentos comprobatrios
que sero utilizados para avaliao do Controle Interno.
Esses elementos devero servir de evidncia para demonstrar a
fraqueza detectada no respectivo teste
Teste de validao
Um teste validado atravs da comprovao de todas as suas
variveis, anlise e comprovao de todas as variveis possveis
que faam com que d certo ou no.
As situaes encontradas no ponto de controle podem ser [sim
(S) / no (N)]
Espcies de testes que caracterizam os procedimentos de
auditoria:
Testes de observncia (tambm
aderncia ou de conformidade)

denominados

de

Objetiva proporcionar ao auditor razovel segurana


quanto efetiva utilizao dos procedimentos de CI
Os questionrios de Avaliao dos Controles Internos
- QACI so ferramentas adequadas para este teste
Testes substantivos
So procedimentos que objetivam obter evidncias
que corroboram a validade e propriedade dos atos e
fatos administrativos assegurando razovel grau de
certeza quanto conformidade ou existncia de
impropriedades
Classificao dos testes substantivos
Circularizao (confirmao, junto a terceiros,
de fatos alegados pelo auditado)
Verificao fsica (in loco, com registro
fotogrfico, se possvel);
Conciliaes (confronto de registros de fontes
diferenciadas);
Exame dos registros;
Anlise documental;
Conferncia de clculos;
Entrevistas (indagao escrita ou oral);
Almir Neto

Pgina 43 de 49

Auditoria de Sistemas Informatizados


Corte das operaes (cut-off);
Rastreamento;
Teste laboratorial.
Detectado fraqueza no ponto de controle "Sim"

Ponto de controle com fraqueza se transforma em ponto de


auditoria
Tipos de fraqueza de controle interno
Erros por motivo de falta de conhecimento
Erros pro motivo de competncia
Erros por motivo de negligncia
Omisses ou falta
Duplicidades
Perdas e extravios
Acidentes
Fraudes
Outros

Ponto de Auditoria

A deteco de falhas de "CI" implica na necessidade de fazer


recomendaes com alternativas de solues
Evidncias
a informao que o auditor precisa obter e registrar,
na minuta do relatrio, suas consideraes tambm
denominadas achados de auditoria, as quais serviro
para a sustentao das concluses
As concluses somente se justificam se amparadas
pelo suporte de evidncias
Devem atender a determinados requisitos/atributos
de validade
Ser suficientes (permitir a terceiros que
Almir Neto

Pgina 44 de 49

Auditoria de Sistemas Informatizados


cheguem s mesmas concluses do
auditor interno);
Ser relevantes ou pertinentes;
Ser adequadas ou fidedignas (obtidas
mediante
a
aplicao
de
um
procedimento aceito profissionalmente).
Emitir relatrio de fraquezas de controle interno
Caracterizao da fraqueza de controle interno no
relatrio de fraqueza
Nome do ponto de controle auditado
Documentao
comprobatria
evidncia documental
Descrio do tipo de fraqueza
Alternativa de soluo recomendada

No detectado fraqueza ou falha no ponto de controle "No"

Est dentro das especificaes de controle interno

Almir Neto

Pgina 45 de 49

Auditoria de Sistemas Informatizados

4 CONCLUSO
Elaborar relatrio final de auditoria e documentao do sistema auditado - [Anlise e
concluso]
Emitir Relatrio de Auditoria com caracterizao dos pontos de auditoria
[Confeco/emisso de relatrio]

Objetivos
Trabalhos realizados
Pontos de controle que apresentaram fraquezas de controle interno
Consideraes gerais]
Opinio e/ou parecer
Relatrio detalhado25
O auditor pode apresentar um relatrio com nveis de detalhes.
Modelo de um relatrio detalhado sobre reviso de um procedimento de
controle:

a) Os objetivos de controles que foram testados


o As autorizaes de acesso para aprovao de horas extras so
restritas aos supervisores e gerentes do Departamento, que
tm suas responsabilidades definidas para tais tarefas?
b) As concluses alcanadas aps os testes
o Os usurios no tm somente acessos que necessitam para
execuo de suas tarefas nos sistemas de Folha de Pagamento,
podendo acessar as funes incompatveis.
c) Identificao dos pontos de controles atenuantes que mitigam os
riscos ou no;
o Sim. H controles independentes que atenuam os riscos, visto
que os gerentes das reas do Ok mensalmente s
quantidades de horas extras pagas nos seus departamentos.
d) Descrio dos procedimentos de testes dos controles;
o Entrevistamos a Sra. A.C.F (usurio mster), observamos os
25

Imoniana, Joshua Onome. Auditoria de Sistemas de Informao. So Paulo: Atlas, 2005. Pag. 196,197.

Almir Neto

Pgina 46 de 49

Auditoria de Sistemas Informatizados


procedimentos de incluso de horas extras e reexecutamos os
procedimentos de incluso de horas extras no dia
dd/mm/aaaa.
e) Resultados dos testes;
o Selecionamos as funes de incluso de horas extras para
testes, atentando para as segregaes de funes e
identificao das pessoas que tm a real necessidade funo
HREXT01. Notamos que todos os funcionrios do
departamento de recursos humanos e de pessoal que acessam
o Sistema de Gesto de Pessoas tm acesso para atualizar
horas extras. Adicionalmente, simulamos a incluso de horas
extras para certos funcionrios selecionados aleatoriamente e
as incluses foram efetivadas com sucesso.
f) Achados e/ou observaes;
o Todos os usurios do sistema de gesto de pessoas
(departamentos de recursos humanos e pessoal) podem ter
acesso para atualizar horas extras dos funcionrios sem
adequada autorizao.
g) Julgamento da relevncia dos achados;
o Com a permisso indevida para atualizao de horas extras,
os funcionrios mal intencionados poderiam praticar atos
fraudulentos junto com seus colegas de servios.
h) Recomendaes;
o Revisar os privilgios de acessos dados aos funcionrios de
recursos humanos e do departamento de pessoal com vista
restrio de acesso somente a pessoas que tm real
necessidade de acessar a funo.
i) Concordncia ou no da gerncia;
o Concordamos plenamente com as observaes.
j) Resposta da gerncia.
o J solicitei Sra. A.C.F. Supervisora (usurio mster do
sistema) restringir acessos somente a gerentes de setores que
tm responsabilidade sobre horas extras permitidas. Isso ser
feito at o final de mm/aaaa. Sr. J.B. Gerente do
Departamento de Gesto de Pessoas.

Almir Neto

Pgina 47 de 49

Auditoria de Sistemas Informatizados

AUDITORIA DE ACOMPANHAMENTO
[SEGUNDA FASE]

ACOMPANHAMENTO DA AUDITORIA

Implementao da soluo recomendada no relatrio de auditoria


Revisar e avaliar (Corrigir e acertar os pontos de auditoria apresentados no relatrio de
auditoria)
Realizar "follow-up" (Acompanhamento) dos pontos de controle que apresentaram
deficincias.
Identificar se os problemas foram resolvidos;
Identificar se medidas esto sendo adotadas para eliminar as deficincias
apontadas na auditoria de posio;
Adequar e atualizar as recomendaes em face de novas realidades
tecnolgicas e de mudanas;
Avaliar o comprometimento da administrao frente aos parmetros de
controle interno determinados no incio do projeto de trabalho.

Monitoramento
Avaliar o comprometimento da administrao frente aos parmetros de "CI"
determinados no incio do projeto de auditoria.

Assegurar a qualidade do sistema de informao auditado


Gerenciar indicadores de auditoria

Indicadores de produtividade
Indicadores de desempenho
Indicadores de qualidade

Almir Neto

Pgina 48 de 49

Auditoria de Sistemas Informatizados

REFERNCIAS BIBLIOGRFICAS:

SCHMIDT, Paulo. et al. Fundamentos de auditoria de sistemas. So Paulo: Atlas, 2006


IMONIANA, Joshua Onome. Auditoria de sistemas de informao. So Paulo: Atlas, 2005
ARIMA, Carlos Hideo. Metodologia de auditoria de sistemas. So Paulo: rica, 1994
BRASIL. Tribunal de Contas da Unio. Manual de auditoria de sistemas. Braslia: TCU, Secretaria de
Auditoria e Inspees, 1998. http://www.tcu.gov.br/SAUDI/Download/AuditSistemas.doc
GOVERNO DE MINAS. AUDITORIA GERAL DO ESTADO AUGE. SIGA Sistema de informaes gerenciais de auditoria.
Manual de Operao. Mdulo I. SINAU Sistema Informatizado de Indicadores de Auditoria. Belo Horizonte, 2007.
(AIGE IN n 001 de 04 de junho de 2007)
Information Systems Audit and Control Association. Padro de Auditoria de SI Relatrios.

Disponvel em:

http://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.Re
portingStandard_PB.pdf. Acesso em 29/01/2008
Information Systems Audit and Control Association. Padro de Auditoria de SI Atividades de Acompanhamento.
Disponvel:

em

www.isaca.org/.../Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_PB
.pdf acesso em 29/01/2008
Information Systems Audit and Control Association. Padro de Auditoria de SI. Independncia. Disponvel em
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentF
ileID=7290. Acesso em 29/01/2008
Information Systems Audit and Control Association Padro de Auditoria de SI tica e Padres Profissionais.
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentF
ileID=7291 acesso em 29/01/2008
Information Systems Audit and Control Association Padro de Auditoria de SI. Desempenho do Trabalho de Auditoria.
Disponvel em:
http://www.itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFil
eID=7294. Acesso em 29/01/2008
Information Systems Audit and Control Association Padro de Auditoria de SI. Competncia Profissional. Disponvel
em:
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentF
ileID=7292. Acesso em 29/01/2008
Information Systems Audit and Control Association Padro de Auditoria de SI. Cdigo de Auditoria. Disponvel em:
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentF
ileID=7289. Acesso em 29/01/2008

Almir Neto

Pgina 49 de 49

Auditoria de Sistemas Informatizados


Information Systems Audit and Control Association Padro de Auditoria de SI. Planejamento. Disponvel em:
http://itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=7
293. Acesso em 29/01/2008
IT Governance Institute, COBIT (Control Objectives for Information and related Technology) 3rd Edition, 2000,
www.ITgovernance.org and www.isaca.org
CONSELHO FEDERAL DE CONTABILIDADE. Normas Brasileiras de Contabilidade. Resoluo n. 1029/2005 - Conselho
Federal de Contabilidade - Publicada no DOU de 06.07.05 - Normas Brasileiras de Contabilidade - NBC T 11.12
Processamento Eletrnico de Dados. Disponvel em: http://www.crcrs.org.br/resnormas/rescfc1029.PDF. Acesso em
29/01/2008.

Almir Neto

Pgina 50 de 49