A auditoria nas organizações

Importância da auditoria de sistemas

 Altos investimentos das organizações em sistemas computadorizados
 Necessidade de garantir a segurança dos computadores e seus sistemas
 Garantia do alcance da qualidade dos sistemas computadorizados
 Auxiliar a organização a avaliar e validar o ciclo administrativo

Dificuldades encontradas pela Auditoria de Sistemas na Empresa

 Defasagem tecnológica
 Falta de bons profissionais
 Falta de cultura da empresa
 Tecnologia variada e abrangente

Necessidades na área de auditoria de sistemas

 Fortalecimento das técnicas de auditoria de sistemas para atuação em ambientes
computacionais complexos
 Criação de metodologias de auditoria de sistemas
 Estudo do custo / benefício
 Ampliação do campo de atuação da auditoria de sistemas

Papel do auditor de sistemas

 Validação do fluxo administrativo (planejamento, execução e controle)
 Ênfase nos processos computacionais
 Comprovação da efetividade dos sistemas computadorizados
 Garantia da segurança lógica e física e da confidencialidade dos sistemas

Etapas da atuação do auditor de sistemas

 Compreensão do ambiente
 Análise do ambiente e determinação das situações mais sensíveis
 Elaboração de uma massa de testes
 Aplicação da massa de testes
 Análise das simulações
 Emissão da opinião quanto ao ambiente auditado
 Debate com os profissionais da área auditada para discussão das alternativas
recomendadas
 Acompanhamento da implantação da solução proposta
 Auditoria da solução implantada
 Novas auditorias no ambiente

Perfil do Auditor de Sistemas

 Ser independente às áreas a serem auditadas
 Ter formação em auditoria de computação, conhecendo o ambiente a ser
auditado

Treinamento do auditor de sistemas

 Conceituação de Auditoria de Sistemas
 Controle Interno
 Momentos de atuação do Auditor de Sistemas
 Produtos finais da Auditoria de Sistemas
  Mecânica de implantação das recomendações da auditoria
 Postura do auditado durante a atuação da Auditoria de Sistemas.

Tendências da Auditoria de Sistemas na Organização

Criação de um profissional responsável pela segurança da informação
Preocupação com a qualidade dos processos computadorizados – criação do Analista de
Segurança da Informação e do Analista de Qualidade da Informação.

1. Conceitos

Processamento Eletrônico de Dados: Hardware, Software e Teleprocessamento

Sistemas de Informação: Conjunto de recursos humanos, materiais, tecnológicos e
financeiros combinados segundo uma sequência lógica para transformar dados em
informações.
Auditoria de Sistemas: Validação e Avaliação do controle interno de sistemas de
informação.
Ponto de Controle: Situação do ambiente computacional considerada pelo auditor como
sendo de interesse para validação e avaliação.
Controle Interno: Verificação e validação dos seguintes parâmetros do Sistema de
Informação:
 Fidelidade da informação em relação ao dado
 Segurança física
 Segurança lógica
 Confidencialidade
 Obediência à legislação em vigor
 Eficiência
 Eficácia
 Obediência às políticas e às regras de negócio da organização
Exemplos de parâmetros de Controle Interno:
Para fidelidade da informação em relação ao dado:
 AIC (Arquivos de Informações de Controle);
 AUDIT TRAIL (permite a monitoração do processamento dos dados);
 Arquivos de erros de processamentos não corrigidos
 Informações do código do arquivo gravadas no header
Para Segurança lógica:
 Password do arquivo gravada no header
 Informações do relatório de crítica ou de consistência dos dados
alimentados no sistema
 Informações de total gravadas no trailler do arquivo.
Para confidencialidade:
 Rotina de criptografia de informações sigilosas.
Exemplo do Ponto de Controle “ Programa de Atualização” :
 Rotina operacional de atualização do cadastro
 Rotina de controle: inclusão, exclusão, alteração indevida do arquivo de
movimento
 Informação operacional: conteúdo do arquivo movimento anterior à
atualização
 Informações de controle: conteúdo do arquivo de erros.
2. Organização do trabalho da auditoria

Planejamento
1º Passo: Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do
ambiente computacional (fluxo de processamento, recursos humanos e materiais
envolvidos, arquivos processados, relatórios e telas produzidos).
2º Passo: Determinar os pontos de controle (processos críticos)
3º Passo: Definição dos objetivos da auditoria:
 Técnicas a serem aplicadas
 Prazos de execução
 Custos de execução
 Nível de tecnologia a ser utilizada
4º Passo: Estabelecimento de critérios para análise de risco
5o Passo: Análise de Risco
Avaliar para cada ponto de controle o grau de risco apresentado para posterior
hierarquização:
Grau de Risco
 1 – Muito Fraco
 2 – Fraco
 3 – Regular
 4 – Forte
 5 – Muito forte
6º Passo: Hierarquização dos pontos de controle

Definição da Equipe
1o . passo: Escolher a equipe.
 Perfil e histórico profissional
 Experiência na atividade
 Conhecimentos específicos
 Formação acadêmica
 Línguas estrangeiras
 Disponibilidade para viagens, etc.
2o . passo: Programar a equipe
 Gerar programas de trabalho
 Selecionar procedimentos apropriados
 Incluir novos procedimentos
 Classificar trabalhos por visita
 Orçar tempo e registrar o real
3o . passo: Execução dos trabalhos
 Dividir as tarefas de acordo com a formação, experiência e treinamento dos
auditores
 Efetuar supervisão para garantir a qualidade do trabalho e certificar que as
tarefas foram feitas corretamente
4o . passo: Revisão dos papéis
 Verificar pendências e rever o papel de cada auditor para suprir as falhas
encontradas
5o . passo: Avaliação da equipe
 Avaliar o desempenho, elogiando os pontos fortes e auxiliando no
reconhecimento e superação de fraquezas do auditor
 Ter um sistema de avaliação de desempenho automatizado
Documentação do trabalho
 Documentação de todo o processo de Auditoria de Sistemas a ser executado.

3. Produtos gerados pela Auditoria de sistemas:

 Relatório de fraquezas de controle interno
 Certificado de controle interno
 Relatório de redução de custos
 Manual de auditoria do ambiente a ser auditado
 Pastas contendo a documentação obtida pela Auditoria de Sistemas
3.1. Relatório de Fraquezas de controle interno
 Objetivo do projeto de auditoria
 Pontos de controle auditados
 Conclusão alcançada a cada ponto de controle
 Alternativas de solução propostas
3.2. Certificado de Controle Interno
 Indica se o ambiente está em boa, razoável ou má condição em relação aos
parâmetros de controle interno. Apresenta a opinião da auditoria em termos
globais e sintéticos.
3.3. Relatório de redução de custos
 Tem por objetivo explicitar as economias financeiras a serem feitas com a
adoção das recomendações efetuadas. Serve de base para a realização das
análises de retorno de investimento e do custo/beneficio da auditoria de
auditoria de sistemas.
3.4. Manual da auditoria do ambiente auditado
 Armazena o planejamento da auditoria, os pontos de controle testados e serve
como referência para futuras auditorias. Compõe-se de toa a documentação
anterior já citada.
3.5. Pastas contendo a documentação da auditoria de sistemas
 Irá conter toda a documentação do ambiente e dos trabalhos realizados como:
relação de programas, relação de arquivos do sistema, relação de relatórios e
telas, fluxos, atas de reunião, etc.