Universidade do Estado de Minas Gerais

Instituto Superior de Ensino e Pesquisa de Ituiutaba

Sistemas de Informação
Segurança e Auditoria de Sistemas

1. Conceitos e Organização da Auditoria

1.1 Conceitos
Auditoria é uma atividade que engloba o exame de operações, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade
com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões.
A atividade de auditoria pode ser dividida em três fases: planejamento, execução e relatório.
O campo da auditoria é composto pelo objeto a ser fiscalizado, período e natureza da auditoria.
O objeto pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma
função dessa entidade, e o período a ser fiscalizado pode ser de um mês, um ano ou até mesmo
corresponder ao período completo da gestão de determinado adminis trador.
O âmbito da auditoria constitui-se da amplitude e exaustão dos processos de auditoria. Define até
que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência.
A área de verificação é o conjunto formado pelo campo e âmbito de auditoria. A área delimita os tempos,
em função da entidade a ser fiscalizada e da natureza da auditoria.

Objeto
Campo Período
Área de
Verificação Natureza

Âmbito
Sub1 Sub2 Sub3

Controle é a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos ou

produtos para que as atividades ou produtos não se desviem das normas preestabelecidas. Os controles
podem ser:
• Preventivos: previnem erros, omissões ou atos fraudulentos.
• Detectivos: detectam erros, omissões ou atos fraudulentos e ainda relatam sua ocorrência.
• Corretivos: usados para reduzir impactos ou corrigir erros uma vez detectados.

1.2 Natureza da Auditoria

Os tipos mais comuns são classificados de acordo com os seguintes aspectos: quanto ao órgão
fiscalizador, à forma de abordagem do Tema e ao tipo ou área envolvida.

1.2.1 Quanto ao órgão fiscalizador

• Auditoria interna: realizada pelo departamento interno responsável pela verificação e
avaliação dos sistemas e procedimentos internos de uma entidade.
Objetivo: reduzir as probabilidades de fraudes, erros, práticas ineficientes ou ineficazes.
• Auditoria externa: realizada por instituição externa e independente daquela fiscalizada.
Objetivo: emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a
legalidade e a regularidade de suas operações.
• Auditoria articulada: trabalho conjunto de auditorias internas e externas.

1.2.2 Quanto à forma de abordagem do Tema

• Auditoria horizontal: auditoria com tema específico realizada em várias entidades ou serviços
paralelamente.
• Auditoria orientada: auditoria focada em uma atividade específica qualquer ou em atividades
com fortes indícios de erros ou fraudes.

1.2.3 Quanto ao tipo ou área envolvida

• Auditoria de programas de governo: acompanhamento, exame e avaliação da execução de
programas e projetos governamentais específicos.
• Auditoria do planejamento estratégico: verifica se os principais objetivos da entidade são
atingidos e se as políticas e estratégias de aquisição, utilização e alienação de recursos são
respeitadas.
 Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas

• Auditoria administrativa: engloba o plano da organização, seus procedimentos e documentos

de suporte à tomada de decisão.
• Auditoria contábil: relativa à salvaguarda dos ativos e à fidedignidade das contas da
instituição. Tem como finalidade fornecer uma certa garantia de que as operações e o acesso aos
ativos se efetuem de acordo com as devidas autorizações.
• Auditoria financeira ou Auditoria das contas: consiste na análise das contas, da situação
financeira, da legalidade e regularidade das operações e aspectos contábeis, financeiros,
orçamentários e patrimoniais, verificando se todas as operações foram corretamente autorizadas,
liquidadas, ordenadas, pagas e registradas.
• Auditoria de legalidade: também conhecida como auditoria de regularidade ou de
conformidade. Consiste na análise da legalidade e regularidade das atividades, funções,
operações ou gestão de recursos, verificando se estão em conformidade com a legislação em
vigor.
• Auditoria operacional: incide em todos os níveis da gestão, nas fases de programação,
execução e supervisão, sob o ponto de vista da economia, eficiência e eficácia. Analisa a
execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram
atingidos.
• Auditoria integrada: inclui simultaneamente a auditoria financeira e a operacional.
• Auditoria da tecnologia da informação: essencialmente operacional. Os auditores analisam os
sistemas de informática, o ambiente computacional, a segurança de informações e o controle
interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficiências. É também
conhecida como auditoria informática, computacional ou de sistemas.

1.2.4 Auditoria de Sistemas

Analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e
efetividade. Pode abranger o ambiente de informática como um todo (analisando aspectos como
segurança física e lógica, planejamento de contingências e operação do CPD) ou a organização do
departamento de informática (analisando aspectos administrativos da organização como políticas, padrões
e procedimentos, responsabilidades, organizacionais, gerência de pessoal e planejamento de capacidade).
Pode ainda envolver controles sobre banco de dados, redes de comunicação e de microcomputadores e
controles sobre os aplicativos (desenvolvimento de sistemas, entrada, processamento e saída de dados).
Classificação de sub-áreas:
• Auditoria da segurança de informações – determina a postura da organização com relação à
segurança. Envolve:
a) Avaliação da política de segurança
b) Controles de acesso lógico
c) Controles de acesso físico
d) Controles ambientais
e) Plano de contingências e continuidade de serviços

• Auditoria da tecnologia de informação – além dos aspectos citados anteriormente, esta

abrange outros controles que podem influenciar a segurança de informações e o bom
funcionamento dos sistemas de toda a organização, tais como:
a) Controles organizacionais
b) Controles de mudanças
c) Controles de operação dos sistemas
d) Controles sobre bancos de dados
e) Controles sobre microcomputadores
f) Controles sobre ambientes cliente-servidor

• Auditoria de aplicativos – esta voltada para a segurança e o controle de aplicativos

específicos. Compreende:
a) Controles sobre o desenvolvimento de sistemas aplicativos
b) Controles de entrada, processamento e saída de dados
c) Controles sobre conteúdo e funcionamento do aplicativo, com relação à área por ele
atendida

1.3 Equipe de Auditoria

O gerente da equipe deve ter habilidade suficiente para recrutar ou formar profissionais com
nível adequado de capacitação técnica para a realização de auditoria em um ambiente informatizado. Ele
precisa determinar os níveis de conhecimento necessários de sua equipe.
 Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas

1.3.1 Conhecimentos necessários

Todos os membros da equipe de auditoria de sistemas deve ter certo conhecimento da área e
experiência prática anterior, tendo trabalhado em centros de processamento de dados, de desenvolvimento
de sistemas, de pesquisa aplicada, ou para fornecedores de hardware, software ou serviços de consultoria
na área de informática.
O auditor deve ter conhecimento suficiente de sistemas computacionais para planejar, dirigir,
supervisionar e revisar o trabalho executado.
O tipo de conhecimento necessário em uma auditoria de TI depende do tipo de ambiente
computacional da entidade a ser auditada. Os conhecimentos básicos em informática englobam desde
sistemas operacionais, software básico, bancos de dados e processamento distribuído, até software de
controle de acesso, segurança de informações, plano de contingências e de recuperação, metodologias de
desenvolvimento de sistemas, etc.
Em uma auditoria mais detalhada, é provável que sejam necessários conhecimentos adicionais de
técnicas como CAATs (Computer Assisted Audit Techniques), software de auditoria e extração de dados,
linguagens de programação específicas, planejamento de capacidade e avaliação de custos de
equipamentos, e serviços de consultoria em informática.
O auditor de TI deve ainda obedecer os princípios éticos de auditoria e ter bom relacionamento,
capacidade de comunicação oral e escrita, senso crítico e conhecimentos específicos na área a ser
auditada.

1.3.2 Composição da equipe

Para a formação da equipe, existem três opções:
• Contratar consultoria externa
• Desenvolver a capacidade técnica em informática de auditores com formação básica em
contabilidade e auditoria
• Desenvolver tecnicamente, em auditoria, funcionários com formação em análise de sistemas,
processamento de dados, engenharia de software, ciência da computação, etc.

Consultoria externa
É viável para:
• Sistemas de alta complexidade.
• Tarefas específicas, isto é, em pontos em que seus conhecimentos sejam realmente
indispensáveis.
Pontos críticos: custos, controle sobre suas atividades e as cláusulas contratuais.
É importante estabelecer objetivos rígidos, orçamento adequado e pontos de controle durante a
auditoria, supervisionando o trabalho dos consultores até a conclusão do serviço.
Ao término da auditoria, normalmente se avalia o serviço, reunindo opiniões dos consultores,
dos membros da equipe de auditoria e da gerência, com o objetivo de evitar as mesmas falhas no futuro.
A contratação de uma auditoria externa deve ser feita logo no início do trabalho, assim que
forem defin idos o campo, o âmbito e as sub-áreas a serem auditadas e que for verificado que ninguém da
equipe interna tem condições de realizar o trabalho.

Capacitação de auditores par atuarem com Auditores de Sistemas

Dificuldades:
• Transformações constantes de produtos e tecnologias
• Termos técnicos utilizados pelos profissionais de informática.

Capacitação de profissionais de informática em Auditoria

• Alternativa mais natural
• O potencial do profissional deve ser avaliado para a nova função
• Deve-se avaliar também sua capacidade de adaptação.

1.3.3 Treinamento
O treinamento constante de auditores de sistemas é imprescindível. Eles devem participar em
Seminários, Congressos, Workshops e Cursos de Especialização para adquirir e manter os conhecimentos
atualizados.

1.3.4 Qualificação Profissional

Existem organizações em alguns países que promovem certificação de qualificação profissional
de auditores de sistemas. Entre elas:
 Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas

• Information Systems Audit and Control Association (ISACA) – Certificado de Auditor de

Sistemas de informação (CISA)
• Bristish Computer Society – Exame da Sociedade Britânica de Informática
• Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional.
O desenvolvimento profissional contínuo não é apenas desejável, mas essencial.

Planejamento de atividades
As atividades são planejadas em três níveis. Cada nível de planejamento gera um documento,
denominado plano, com atividades e detalhes para o respectivo período de tempo.
• Plano Estratégico de Longo Prazo: tem objetivos amplos que atingem toda a instituição. É
feito para um período de 3 a 5 anos
• Plano Estratégico de Médio Prazo: programa de atividades para o ano que se inicia.
• Plano Operacional: baseia-se em auditorias individualizadas e contém detalhes exatos dos
objetivos a serem atingidos, áreas a serem auditadas, recursos necessários e em que prazos,
etc.

1.4 Planejamento e Execução

A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua realização.

Pesquisa de fontes de informação

A equipe deve reunir a maior quantidade possível de informações sobre a entidade a ser auditada
e seu ambiente de informática (plataforma de hardware, sistemas operacionais, tipo de processamento,
metodologia de desenvolvimento, principais sistemas, etc).
As principais fontes de informação são relatórios de auditorias anteriores, bases de dados,
documentos ou páginas da entidade na Internet, visitas, etc.

Definindo Campo, Âmbito e Sub-áreas

Em auditorias de informática, a natureza é auditoria de TI, quase sempre com enfoque
empresarial. O objeto pode englobar um sistema computacional específico; um, várias ou todas as seções
do departamento de informática; ou até mesmo toda a organização. O período depende do âmbito (grau de
profundidade das verificações) e das sub-áreas de sistemas escolhidas pela equipe.
São determinadas também a amplitude e a exaustão dos processos de auditoria, incluindo uma
limitação racional dos trabalhos a serem executados.
A área de verificação delimita de modo muito preciso os temas da auditoria e, em função do
objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-áreas. Veja o exemplo
abaixo:

Objeto Segurança de Informações da empresa

Campo Período De 01/01/2005 a 01/07/2005

Área de
Natureza Auditoria de TI
Verificação

Âmbito Avaliação da eficácia dos controles

Sub1 Controles de acesso físico

Sub2 Controles de acesso lógico

Sub3 Backup

Para ambientes extensos ou de grande complexidade, convém limitar a quantidade de controles a

serem verificados para que a equipe realiza um trabalho de qualidade.

Definindo recursos necessários

• Recursos humanos
• Recursos econômicos
• Recursos técnicos: hardware, software, manuais.
 Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas

Metodologias
1 – Entrevistas
• Entrevistas de apresentação
• Entrevistas de coleta de dados
• Entrevistas de discussão das deficiências encontradas
• Entrevistas de encerramento

2 – Uso de Técnicas ou Ferramentas de Apoio (CAATs)

• Técnicas para análise de dados
• Técnicas para verificação de Controles de Sistemas
• Outras ferramentas: editores de texto, planilhas eletrônicas, bancos de dados e softwares para
apresentação.

Objetivos de Controle e Procedimentos de Auditoria

Para realizar uma avaliação da atuação de outros profissionais, é necessário que o avaliador
tenha um modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita.
Esse modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em
cada área específica.
Enquanto os objetivos de controle abrangem uma área mais ampla, os procedimentos de
auditoria descrevem padrões individualizados, mais detalhados dentro de cada objetivo. Por exemplo: na
área de segurança, um dos objetivos pode ser o estabelecimento de regras para acesso aos recursos
computacionais. Um dos procedimentos de auditoria relacionado a esse objetivo pode ser: verificar se
existem procedimentos que definam os recursos computacionais que poderão ser acessados e os tipos de
transações que poderão ser executadas por cada usuário autorizado.
Os objetivos de controle podem ter vários enfoques:
• Segurança
• Atendimento a solicitações externas
• Materialidade
• Altos custos de desenvolvimento
• Grau de envolvimento dos usuários
• Outsourcing

Execução
Ao longo da execução da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis
para a consecução dos objetivos da auditoria.
As evidências podem ser divididas em quatro tipos:
• Evidência física
• Evidência documentária
• Evidência fornecida pelo auditado
• Evidência analítica
Uma evidência considerada incompatível com auditoria em execução pode servir como indicativo
para outra auditoria.
A manutenção dos papéis de trabalho é essencial tanto para a elaboração do relatório da auditoria em
questão, como para o planejamento de futuras auditorias.

1.5 Relatório

O auditor apresenta seus achados e conclusões na forma de um relatório, o qual inclui fatos sobre
a entidade auditada, comprovações, conclusões e, eventualmente, recomendações e/ou determinações.
A linguagem utilizada no relatório deve ser clara, objetiva e simples, evitando-se o uso de termos
técnicos e siglas. Se o uso desses termos e siglas forem necessários, então o relatório deve conter um
glossário ou explanações ao longo do texto. A estrutura deve ser bem organizada e abranger todas as
informações relevantes para análise pela chefia ou entidade que solicitou a realização da auditoria.
Dependendo do motivo que levou à realização da auditoria, o relatório pode ser encaminhado à
diretoria da organização, ao organismo que financia a entidade auditada ou ao organismo responsável
pelo controle e auditoria geral da entidade.
A equipe de auditoria pode começar a compor o relatório antes mesmo de iniciar os trabalhos de
campo ou durante a fase de planejamento. No planejamento já foram coletadas informações preliminares
sobre a entidade e seus sistemas computacionais e já foram definidos os recursos necessários para a
execução dos trabalhos, composição da equipe, campo da auditoria, metodologias, objetivos de controle e
procedimentos a serem adotados. Todos esses dados compõem o relatório. Durante os trabalhos de
 Universidade do Estado de Minas Gerais
Instituto Superior de Ensino e Pesquisa de Ituiutaba
Sistemas de Informação
Segurança e Auditoria de Sistemas

campo, é aconselhável documentar tudo que foi observado pela equipe e dito pelos entrevistados. A
equipe deve confirmar os fatos relatados e apresentar ao entrevistado partes do texto referentes a assuntos
tratados com ele durante a entrevista para que não haja qualquer mal-entendido ou desvios de
interpretação.
Ao término das investigações, é recomendável apresentar, aos responsáveis da área auditada, um
relatório parcial contendo as deficiências encontradas. Os responsáveis expõem seus motivos e justificam
as falhas. Suas justificativas podem ser anexadas ao parecer da equipe e incluídas no relatório final. A
apresentação de relatórios intermediários evita quaisquer constrangimentos, erros ou inconsistências, que
poderão ser identificados, corrigidos ou eliminados antes da apresentação do relatório final.

Relatório final
Deve ser revisado por todos os membros da equipe de auditoria com intuito de verificar sua
conformidade com os padrões e práticas da organização auditora e a inexistência de inconsistências, erros
ou lacunas. É conveniente fazer uma revisão em termos gramaticais e estilísticos para garantir clareza e
objetividade do texto.

Estrutura
Os tipos de informação e a estrutura do relatório são variáveis. A equipe deve identificar os
pontos mais relevantes e adaptar o relatório de acordo com seu público alvo.
Tópicos normalmente abordados em um relatório dirigido a órgãos de auditoria:
• Dados da entidade auditada: nome, endereço, natureza jurídica (órgão do governo, empresa
pública, autarquia, empresa privada, etc.), relação de responsáveis e outras informações
consideradas relevantes pela equipe.
• Síntese: breve resumo do conteúdo do relatório.
• Dados da auditoria: objetivo, período de fiscalização, composição da equipe, metodologia
adotada, natureza da auditoria e objeto (controles gerais da organização, desenvolvimentos
de sistemas, aplicativos específicos, etc.).
• Introdução: pode conter um breve histórico da entidade e mencionar , se existirem, as
conclusões de auditorias anteriores feitas na mesma área. No caso de auditoria de TI é
recomendável incluir descrição da estrutura hierárquica do departamento de informática, sua
relação com outros departamentos e com os níveis hierárquicos superiores, descrição do
ambiente computacional, evolução tecnológica, principais sistemas e projetos.
• Falhas detectadas: esta é a parte mais importante do relatório, pois apresenta, em detalhes, as
falhas e irregularidades detectadas. É aconselhável dividi-la em sub-áreas fiscalizadas, para
haver um encadeamento lógico de idéias. A equipe pode apresentar a descrição da falha,
seus comentários iniciais, a justificativa do auditado e o parecer final da equipe para cada
falha, incluindo suas recomendações.
• Conclusão: são sintetizados os pontos principais e as recomendações ou determinações
finais da equipe para a correção das falhas ou irregularidades encontradas.
• Pareceres da Gerência Superior: em alguns casos, as gerências superiores dão seu parecer a
respeito dos achados e recomendações da equipe de auditoria. Os superiores poderão
concordar integralmente ou em parte com os pontos de vista da equipe ou ainda discordar
integralmente. A inclusão desses pareceres depende das práticas adotadas pela organização
auditora ou para quem se dirige o relatório.

Referência bibliográfica:
DIAS, C. Segurança e auditoria da tecnologia da informação. 1. ed. Axcel Books. Rio de Janeiro, 2000.