Escolar Documentos
Profissional Documentos
Cultura Documentos
1.1 Conceitos
Auditoria é uma atividade que engloba o exame de operações, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade
com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões.
A atividade de auditoria pode ser dividida em três fases: planejamento, execução e relatório.
O campo da auditoria é composto pelo objeto a ser fiscalizado, período e natureza da auditoria.
O objeto pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma
função dessa entidade, e o período a ser fiscalizado pode ser de um mês, um ano ou até mesmo
corresponder ao período completo da gestão de determinado adminis trador.
O âmbito da auditoria constitui-se da amplitude e exaustão dos processos de auditoria. Define até
que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência.
A área de verificação é o conjunto formado pelo campo e âmbito de auditoria. A área delimita os tempos,
em função da entidade a ser fiscalizada e da natureza da auditoria.
Objeto
Campo Período
Área de
Verificação Natureza
Âmbito
Sub1 Sub2 Sub3
Os tipos mais comuns são classificados de acordo com os seguintes aspectos: quanto ao órgão
fiscalizador, à forma de abordagem do Tema e ao tipo ou área envolvida.
Consultoria externa
É viável para:
• Sistemas de alta complexidade.
• Tarefas específicas, isto é, em pontos em que seus conhecimentos sejam realmente
indispensáveis.
Pontos críticos: custos, controle sobre suas atividades e as cláusulas contratuais.
É importante estabelecer objetivos rígidos, orçamento adequado e pontos de controle durante a
auditoria, supervisionando o trabalho dos consultores até a conclusão do serviço.
Ao término da auditoria, normalmente se avalia o serviço, reunindo opiniões dos consultores,
dos membros da equipe de auditoria e da gerência, com o objetivo de evitar as mesmas falhas no futuro.
A contratação de uma auditoria externa deve ser feita logo no início do trabalho, assim que
forem defin idos o campo, o âmbito e as sub-áreas a serem auditadas e que for verificado que ninguém da
equipe interna tem condições de realizar o trabalho.
1.3.3 Treinamento
O treinamento constante de auditores de sistemas é imprescindível. Eles devem participar em
Seminários, Congressos, Workshops e Cursos de Especialização para adquirir e manter os conhecimentos
atualizados.
Planejamento de atividades
As atividades são planejadas em três níveis. Cada nível de planejamento gera um documento,
denominado plano, com atividades e detalhes para o respectivo período de tempo.
• Plano Estratégico de Longo Prazo: tem objetivos amplos que atingem toda a instituição. É
feito para um período de 3 a 5 anos
• Plano Estratégico de Médio Prazo: programa de atividades para o ano que se inicia.
• Plano Operacional: baseia-se em auditorias individualizadas e contém detalhes exatos dos
objetivos a serem atingidos, áreas a serem auditadas, recursos necessários e em que prazos,
etc.
Sub3 Backup
Metodologias
1 – Entrevistas
• Entrevistas de apresentação
• Entrevistas de coleta de dados
• Entrevistas de discussão das deficiências encontradas
• Entrevistas de encerramento
Execução
Ao longo da execução da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis
para a consecução dos objetivos da auditoria.
As evidências podem ser divididas em quatro tipos:
• Evidência física
• Evidência documentária
• Evidência fornecida pelo auditado
• Evidência analítica
Uma evidência considerada incompatível com auditoria em execução pode servir como indicativo
para outra auditoria.
A manutenção dos papéis de trabalho é essencial tanto para a elaboração do relatório da auditoria em
questão, como para o planejamento de futuras auditorias.
1.5 Relatório
O auditor apresenta seus achados e conclusões na forma de um relatório, o qual inclui fatos sobre
a entidade auditada, comprovações, conclusões e, eventualmente, recomendações e/ou determinações.
A linguagem utilizada no relatório deve ser clara, objetiva e simples, evitando-se o uso de termos
técnicos e siglas. Se o uso desses termos e siglas forem necessários, então o relatório deve conter um
glossário ou explanações ao longo do texto. A estrutura deve ser bem organizada e abranger todas as
informações relevantes para análise pela chefia ou entidade que solicitou a realização da auditoria.
Dependendo do motivo que levou à realização da auditoria, o relatório pode ser encaminhado à
diretoria da organização, ao organismo que financia a entidade auditada ou ao organismo responsável
pelo controle e auditoria geral da entidade.
A equipe de auditoria pode começar a compor o relatório antes mesmo de iniciar os trabalhos de
campo ou durante a fase de planejamento. No planejamento já foram coletadas informações preliminares
sobre a entidade e seus sistemas computacionais e já foram definidos os recursos necessários para a
execução dos trabalhos, composição da equipe, campo da auditoria, metodologias, objetivos de controle e
procedimentos a serem adotados. Todos esses dados compõem o relatório. Durante os trabalhos de
Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas
campo, é aconselhável documentar tudo que foi observado pela equipe e dito pelos entrevistados. A
equipe deve confirmar os fatos relatados e apresentar ao entrevistado partes do texto referentes a assuntos
tratados com ele durante a entrevista para que não haja qualquer mal-entendido ou desvios de
interpretação.
Ao término das investigações, é recomendável apresentar, aos responsáveis da área auditada, um
relatório parcial contendo as deficiências encontradas. Os responsáveis expõem seus motivos e justificam
as falhas. Suas justificativas podem ser anexadas ao parecer da equipe e incluídas no relatório final. A
apresentação de relatórios intermediários evita quaisquer constrangimentos, erros ou inconsistências, que
poderão ser identificados, corrigidos ou eliminados antes da apresentação do relatório final.
Relatório final
Deve ser revisado por todos os membros da equipe de auditoria com intuito de verificar sua
conformidade com os padrões e práticas da organização auditora e a inexistência de inconsistências, erros
ou lacunas. É conveniente fazer uma revisão em termos gramaticais e estilísticos para garantir clareza e
objetividade do texto.
Estrutura
Os tipos de informação e a estrutura do relatório são variáveis. A equipe deve identificar os
pontos mais relevantes e adaptar o relatório de acordo com seu público alvo.
Tópicos normalmente abordados em um relatório dirigido a órgãos de auditoria:
• Dados da entidade auditada: nome, endereço, natureza jurídica (órgão do governo, empresa
pública, autarquia, empresa privada, etc.), relação de responsáveis e outras informações
consideradas relevantes pela equipe.
• Síntese: breve resumo do conteúdo do relatório.
• Dados da auditoria: objetivo, período de fiscalização, composição da equipe, metodologia
adotada, natureza da auditoria e objeto (controles gerais da organização, desenvolvimentos
de sistemas, aplicativos específicos, etc.).
• Introdução: pode conter um breve histórico da entidade e mencionar , se existirem, as
conclusões de auditorias anteriores feitas na mesma área. No caso de auditoria de TI é
recomendável incluir descrição da estrutura hierárquica do departamento de informática, sua
relação com outros departamentos e com os níveis hierárquicos superiores, descrição do
ambiente computacional, evolução tecnológica, principais sistemas e projetos.
• Falhas detectadas: esta é a parte mais importante do relatório, pois apresenta, em detalhes, as
falhas e irregularidades detectadas. É aconselhável dividi-la em sub-áreas fiscalizadas, para
haver um encadeamento lógico de idéias. A equipe pode apresentar a descrição da falha,
seus comentários iniciais, a justificativa do auditado e o parecer final da equipe para cada
falha, incluindo suas recomendações.
• Conclusão: são sintetizados os pontos principais e as recomendações ou determinações
finais da equipe para a correção das falhas ou irregularidades encontradas.
• Pareceres da Gerência Superior: em alguns casos, as gerências superiores dão seu parecer a
respeito dos achados e recomendações da equipe de auditoria. Os superiores poderão
concordar integralmente ou em parte com os pontos de vista da equipe ou ainda discordar
integralmente. A inclusão desses pareceres depende das práticas adotadas pela organização
auditora ou para quem se dirige o relatório.
Referência bibliográfica:
DIAS, C. Segurança e auditoria da tecnologia da informação. 1. ed. Axcel Books. Rio de Janeiro, 2000.