Aulas 6 e 7

Universidade Técnica de Angola
Faculdade de Engenharias
Departamento de Ensino e Investigação de
Tecnologias de Informação e Comunicação – DEITIC
Auditoria Informática
______________________________________________
17/05/2021 11:48:05 Docente: MSc Eugénio Tchipako “Solto Vida de Deus”
Processos de Auditoria
Informática ou de TI
2
6.1 Visão Geral
6.2 Planeamento
6. Processos de 6.3 Execução

Auditoria de TI
6.4 Relatório
6.5 Recomendações e Acções

Correctivas 3
6.1 Visão Geral
4
6.1 Visão Geral
As organizações investem
recursos e tempo substanciais
para:
❖Identificar as suas necessidades
de Auditoria de TI; Processos de
❖Implementar os seus programas Auditoria
de auditoria;
Informática
❖Escolher os auditores;
❖Definir prioridades das

actividades de auditoria.
_______________________________________________ 5
6.1 Visão Geral
As organizações usam:
❖Uma variedade de
metodologias de Auditoria Orientar a realização de:
de TI;
Auditoria Interna
❖Frameworks;
Vs
❖Padrões (Standards); Auditoria Externa
❖Definir prioridades das

actividades de auditoria.
_______________________________________________ 6
6.1 Visão Geral
Apesar das várias metodologias, padrões, frameworks existentes,
as etapas principais dos processos de Auditoria de TI são similares:
1. Planeamento da Auditoria de TI;
2. Execução da Auditoria de TI;
3. Relatório;
4. Recomendar acções correctivas.

_______________________________________________ 7
6.1 Visão Geral
Os 4 passos de um processo de auditoria de TI está alinhado com o
Modelo P-D-C-A
(Plan – Do – Check – Act) :
_______________________________________________ 8
6.1 Visão Geral
Para a Auditoria Informática a figura

ao lado fornece uma representação
conceitual dos processos de Auditoria
de TI, igualmente com 4 passos (P-P-
R-R)
Plan – Perform – Report – Respond
Processo de Auditoria
_______________________________________________ de TI
9
6.1 Visão Geral
Lembre-se!
O sucesso da implementação dos processo de TI depende
grandemente de:
✓Comprometimento da Organização.
✓Uma estrutura sólida de apoio às actividades

de auditoria de TI
_______________________________________________
17/05/2021 11:48:06 Docente: MSc Eugénio Tchipako “Solto Vida de Deus” 10
6.1 Visão Geral
Comprometimento da Organização
Auditoria Externa – consiste nas decisões do executive engajarem os

auditors externos, alocar recursos financeiros necessários e responder
adequadamente às descobertas e recomendações da auditoria.
Auditoria Interna – O programa interno de auditoria formula a estratégia de

auditoria da organização e desenvolve planos de auditoria definindo o escopo, a
prioridade e a frequência da realização da auditoria, bem como recursos
necessários e quase sempre recomenda os protocolos, padrões, frameworks que
os auditors internos deverão usar.
_______________________________________________
6.2 Planeamento
12
6.2 Planeamento
O Planeamento da Auditoria de TI englobe todas as actividades

necessárias para assegurar que tanto a Auditoria Interna quanto a Auditoria
Externa seja executada eficientemente para satisfazer os objectivos da auditoria
da organização.
Planeamento de Auditoria de TI Planeamento de GPI
_______________________________________________
6.2 Planeamento
Planeamento da Auditoria de TI Requer:

✓ Definir datas de início e de fim;
✓ Alocar pessoal e recursos suficientes
Resultados (Outcomes) em forma de:

✓ Documentos
✓ Descobertas e
✓ Recomendações
_______________________________________________
6.2 Planeamento
Colecta Preliminar de dados
A colecta de evidências é o foco primário da Auditoria Informática;
As organizações devem ajudar os processos de auditoria organizando atempadamente toda a
informação que eventualmente os auditores precisem de examiner, tais como: Políticas,
Procedimentos, padrões, Directrizescies;
❑ Documentação de Sistema ou Aplicação, incluindo manuais do utilizador;
❑ Definições de Configuração para servidores, dispositivos ou components tecnológicos
❑ Descrição do controlos implementados, incluindo controlos de Segurança
❑ Relatórios de auditoria e planos de acções correctivas decorrentes de auditorias já
realizadas
_______________________________________________
6.2 Planeamento
Projecto de Auditoria Informática na UTANGA
Planeamento
a) Descrição do processo: descrever em um parágrafo de 150 palavras com o
resumo da descrição detalhada do processo a ser analisado e auditado pelo
grupo.
b) Actividades do processo: Identificar e descrever (em 3 linhas) cada uma

das actividades do processo a ser auditado.
c) Áreas Intervenientes do processo: identificar, listar as principais áreas
_______________________________________________
6.3 Execução
Planeamento
d) Área responsável do processo: Identificar a área responsável pelo
processo (owner do processo) , bem como uma breve descrição (em 5 linhas
linhas) da referida área e principais responsabilidades.
e) Actividades com necessidade de decisão: Identificar e descrever (em 2

linhas) todas actividades do processo que carecem de decisão formal.
f) Nível de Risco Operacional: Atribuir uma pontuação de risco operacional

para cada actividade do processo (1 – Risco Baixo, 2 – Risco Médio, 3 –
Risco Elevado, e 4 – Risco Muito Elevado).
_______________________________________________
6.3 Execução
18
6.3 Execução
A Execução da Auditoria de TI é a etapa em que a equipa da auditoria

executa o plano desenvolvido pela auditoria e examina detalhadamente:
a) Processos
b) Activos de TI
c) Controlos
_______________________________________________
6.3 Execução
Colecta de evidências
Os auditors dependem das evidência recolhidas para determiner até que ponto
os elementos examinados na auditoria satisfazem o objectivo
Informação Informação
fornecida pela recolhida pelos
organização Auditores
Evidências
As Evidências consistem na Informação que os auditors são capazes de

verificar usando métodos apropriados para o âmbito, objectivos e o tipo de
Informação que está a ser auditada.
_______________________________________________
6.3 Execução
Colecta de
evidências
_______________________________________________
6.3 Execução
Para que serve a colecta de evidências?
_______________________________________________
6.3 Execução
Análise de evidências
Análise de
Evidências
Colecta de
Evidências
_______________________________________________
6.3 Execução
Execução
❑ Suporte documental: Mapeamento e avaliação da informação referente

as actividades com necessidade de suporte documental;
❑ Resposta ao questionário: Mapeamento e avaliação das respostas ao

questionário das actividades com risco operacional Elevado e Muito
Elevado.
_______________________________________________
6.4 Relatório
25
6.4 Relatório
O Relatório da auditoria de TI não é uma narração descritiva de tudo o que foi

visto e analisado.
Quase todas as metologias de auditoria enfatizam a importância de apresentar

um Relatório de fraquezas ou inconformidades aos critérios da auditoria
porque estas duas áreas representam a fonte de risco que a organização
auditada deve dar resposta
_______________________________________________
6.4 Relatório
O Relatório da auditoria de TI deve incluir:
Resultados Satisfatórios
Relatório da
Áreas de Conformidade
auditoria de TI
Fraquezas e Deficiências
_______________________________________________
6.4 Relatório
Relatório
• Introdução: deve conter um pequeno enquadramento e contexto da empresa
e processo auditado.
• Objectivos: deve descrever os objectivos definidos para a referida auditoria.
• Âmbito: Deve descrever o âmbito auditado bem como um resumo do

processo de identificação e selecção dos elementos auditados até chegar ao
inventário final.
• Áreas auditadas: apresentação e descrição das áreas auditadas.
• Situação actual: apresentação sucinta da situação actual encontrada.

_______________________________________________
6.4 Relatório
Relatório
• Indicadores de qualidade usados: apresentar os indicadores de qualidade
da auditoria e dos resultados alcançados.
• Deficiências encontrados: apresentação e classificação dos problemas

encontrados, distribuídos por percentagem no tipo de controlo auditado.
• Recomendações: principais recomendações e definição de um plano de

resolução das deficiências a ser acordado com as áreas responsáveis pelas
actividades em que foram encontradas as deficiências.
• Avaliação final: avaliação global e opinião da parte da equipa de auditoria de

todo processo de auditoria.
_______________________________________________
6.5 Recomendações e Acções Correctivas
30
Etapas do
Processo de
Auditoria de TI
_______________________________________________ 31
Os relatórios das auditorias com as deficiências encontradas e

recomendações requerem acções correctivas, monitorização e
acompanhamento por parte das organizações auditadas como peças
importantes no seu processo de Planeamento estratégico.
Um dos princípios fundamentais da melhoria continua das organizações é

que existe sempre uma maneira de fazer melhor!
As organizações auditadas devem sempre ser motivadas a identificarem

oportunidades de melhorias.
_______________________________________________
Finalmente!
As organizações necessitam de definir os seus planos de resposta às

recomendações através de actividades de monitorização e acompanhemento,
para garantir que estão comprometidas com o relatório da auditoria bem
como fornecer Informação para as auditorias subsequentes acerca das
melhorias implementadas desde a auditoria anterior.
_______________________________________________
Considerações Gerais
Questionamentos Tipos Descrições
Qual ação deve ser tomada? O que exatamente
What – Qual? O que? Assunto
deve ser feito?
Por que esta acção está a ser definida? Por que
Why – Por quê? Objetivo
ela é importante?
Where – Onde? Local Onde esta acção será implementada?
Quando será iniciada a implementação desta

When – Quando? Sequência
acção? Quando ela deve ser concluída?
Who – Quem? Responsável Quem será responsável por executar esta acção?
How – Como? Método Como esta acção será implementada?
How much – Quanto custa? Custo Quanto custará implementar esta acção?
_______________________________________________
Relatório de Auditoria?
_______________________________________________
Relatório de auditoria é um documento que formaliza os resultados da

auditoria, demonstrando o que foi examinado com destaque para os
pontos positivos, pontos negativos e suas conclusões, para que a
direcção da organização saiba o que está bem e o que precisa ser
melhorado.
O relatório deve ser elaborado cuidadosamente. No entanto, é

neste momento que muitos auditores falham, deitando por terra todo um
esforço empeendido nas fases de Planeamento e Execução.
_______________________________________________
Claro
para garantir que os
resultados da auditoria
sejam úteis e que a
Texto Objectivo organização possa utilizá-
los como guia para
direccionar suas acções
Imparcial
_______________________________________________
Foco do Auditor na elaboração do
Relatório
Benefícios da Auditoria
Identificar oportunidades
de melhoria
_______________________________________________
O Relatório de Auditoria deve evitar:
1. Buscar culpados ou dizer que determinada pessoa falhou;
2. Encarar os problemas de forma universal;
3. Produzir um relatório evasivo;
4. Aplicar termos técnicos desnecessários;
5. Exaltar seu trabalho.
O relatório deve ter um tom natural e de simplicidade

_______________________________________________
Ao Elaborar as Recomendações: Ser Positivo, Específico e Sucinto
• Ser positivo:
Alguma coisa boa deve estar a ser feita, senão a organização não existiria.
destacar o que está a ser feito de positivo é uma boa estratégia para
valorizar o esforço dos sectores que atuam em conformidade. E, ainda, para
que eles sirvam de exemplo aos que estão com algumas falhas.
• Ser específico:
Ser muito claro e específico sobre quais aspectos não estão em
conformidade com os padrões estabelecidos, e quais ações devem ser
implementadas para garantir a conformidade. Ele deve deixar claro quem
precisa agir.
• Ser sucinto:
Não confundir clareza com detalhes exagerados! O documento deve ser
resumido, trazendo somente os dados relevantes e informações necessárias.
_______________________________________________
Outros Aspectos a considerar:
QUALIDADE TÉCNICA
A responsabilidade pela qualidade técnica dos relatórios é de competência exclusiva dos auditores
os elaboraram e/ou revisaram, compreendendo-se como tal:
1. Propriedade dos assuntos e sua fundamentação;

2. Objetividade, clareza e concisão técnica na exposição dos assuntos;
3. Clareza na apresentação, em termos de perfeita legibilidade e compreensão;
4. Cuidados com os aspectos gramaticais, evitando-se a má interpretação por erros de
concordância, acentuação, pontuação, etc.;
5. Somas, cálculos e valores devidamente conferidos e fechados entre si, nos casos de
cruzamento dos mesmos entre as várias peças dos relatórios;
6. Correção das intitulações e da numeração dos itens nos relatórios;
_______________________________________________
QUALIDADE TÉCNICA
A responsabilidade pela qualidade técnica dos relatórios é de competência exclusiva dos auditores
os elaboraram e/ou revisaram, compreendendo-se como tal:
1. Propriedade dos assuntos e sua fundamentação;

2. Objetividade, clareza e concisão técnica na exposição dos assuntos;
3. Clareza na apresentação, em termos de perfeita legibilidade e compreensão;
4. Cuidados com os aspectos gramaticais, evitando-se a má interpretação por erros de
concordância, acentuação, pontuação, etc.;
5. Somas, cálculos e valores devidamente conferidos e fechados entre si, nos casos de
cruzamento dos mesmos entre as várias peças dos relatórios;
6. Correção das intitulações e da numeração dos itens nos relatórios;
_______________________________________________
Evitar o erro
“O AUDITOR NÃO ERRA”
1. Ter o cuidado de abordar no relatório somente assuntos que possam
ser adequadamente evidenciados. Sempre que possível exemplificar
nos pontos as situações descritas;
2. Evitar descrever no relatório situações e factos obtidos verbalmente,

cuja falta de comprovação posterior venha a colocar em dúvida o
trabalho do auditor;
3. Conferir todas as somas e cálculos constantes nos relatórios mesmo

que se trate de informações transportadas de planilhas eletrônicas;
_______________________________________________
Por Fim,
_______________________________________________

Aulas 6 e 7

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aulas 6 e 7

Enviado por

Direitos autorais:

Formatos disponíveis

Universidade Técnica de Angola

6. Processos de 6.3 Execução

6.5 Recomendações e Acções

❖Definir prioridades das

❖Definir prioridades das

1. Planeamento da Auditoria de TI;

2. Execução da Auditoria de TI;

4. Recomendar acções correctivas.

(Plan – Do – Check – Act) :

Para a Auditoria Informática a figura

Plan – Perform – Report – Respond

✓Uma estrutura sólida de apoio às actividades

Auditoria Externa – consiste nas decisões do executive engajarem os

Auditoria Interna – O programa interno de auditoria formula a estratégia de

O Planeamento da Auditoria de TI englobe todas as actividades

Planeamento de Auditoria de TI Planeamento de GPI

Planeamento da Auditoria de TI Requer:

Resultados (Outcomes) em forma de:

b) Actividades do processo: Identificar e descrever (em 3 linhas) cada uma

c) Áreas Intervenientes do processo: identificar, listar as principais áreas

e) Actividades com necessidade de decisão: Identificar e descrever (em 2

f) Nível de Risco Operacional: Atribuir uma pontuação de risco operacional

A Execução da Auditoria de TI é a etapa em que a equipa da auditoria

As Evidências consistem na Informação que os auditors são capazes de

Para que serve a colecta de evidências?

Projecto de Auditoria Informática na UTANGA

❑ Suporte documental: Mapeamento e avaliação da informação referente

❑ Resposta ao questionário: Mapeamento e avaliação das respostas ao

O Relatório da auditoria de TI não é uma narração descritiva de tudo o que foi

Quase todas as metologias de auditoria enfatizam a importância de apresentar

• Objectivos: deve descrever os objectivos definidos para a referida auditoria.

• Âmbito: Deve descrever o âmbito auditado bem como um resumo do

• Áreas auditadas: apresentação e descrição das áreas auditadas.

• Situação actual: apresentação sucinta da situação actual encontrada.

• Deficiências encontrados: apresentação e classificação dos problemas

• Recomendações: principais recomendações e definição de um plano de

• Avaliação final: avaliação global e opinião da parte da equipa de auditoria de

Os relatórios das auditorias com as deficiências encontradas e

Um dos princípios fundamentais da melhoria continua das organizações é

As organizações auditadas devem sempre ser motivadas a identificarem

As organizações necessitam de definir os seus planos de resposta às

Where – Onde? Local Onde esta acção será implementada?

Quando será iniciada a implementação desta

How – Como? Método Como esta acção será implementada?

Relatório de auditoria é um documento que formaliza os resultados da

O relatório deve ser elaborado cuidadosamente. No entanto, é

esforço empeendido nas fases de Planeamento e Execução.

O Relatório de Auditoria deve evitar:

1. Buscar culpados ou dizer que determinada pessoa falhou;

2. Encarar os problemas de forma universal;

3. Produzir um relatório evasivo;

4. Aplicar termos técnicos desnecessários;

5. Exaltar seu trabalho.

O relatório deve ter um tom natural e de simplicidade

1. Propriedade dos assuntos e sua fundamentação;

1. Propriedade dos assuntos e sua fundamentação;

2. Evitar descrever no relatório situações e factos obtidos verbalmente,

3. Conferir todas as somas e cálculos constantes nos relatórios mesmo

Você também pode gostar