|DCSAT – Departamento de Ciências da Saúde, Ambiente e Tecnologias

| Engenharia Informática

– LICENCIATURA EM ENGª INFORMÁTICA –

ADMINISTRAÇÃO DE SISTEMAS E BASE DE DADOS

ANO LETIVO 2021/2022
3º ANO – 2º SEMESTRE Data: 29/03/2022
Docente: Eng.ª Aldina Semedo
Email: Aldina.semo@us.edu.cv
Telefone: 9894207/9272256
 Tema II

METODOLOGIAS E FERRAMENTAS PARA A REALIZAÇÃO

DE AUDITORIAS INFORMÁTICAS

2
SUMÁRIO

 Organização dos recursos necessários;

 Formulação do plano de trabalho;
 Fases da auditoria;

3
 DECISÃO DE REALIZAR UMA AUDITORIA

 Necessidade de garantir a segurança dos  Auxiliar a organização a avaliar e validar o ciclo

computadores e seus sistemas; administrativo;

 Altos investimentos das organizações em  Garantia do alcance da qualidade dos sistemas

sistemas computadorizados; computadorizados;

PROCESSO DE DECISÃO AUDITORIA
 PROCESSO DE AUDITORIA
• Elaboração de um plano para orientar a execução da auditoria;
Planeamento • Apresentar todas as atividades numa linha do tempo, o escopo, os processos,
departamentos ou produtos que serão auditados;
• Conhecer um pouco mais sobre o SGQ da empresa;
Preparação • Analise mais afundo a documentação do sistema;
• Check-list de verificação;

• Entrevista as pessoas;
Execução • É neste momento que serão registradas as não conformidades;

Encerramento e • Rever as áreas problemáticas;

• Determinar as recomendações para corrigir problemas de qualidade;
Follow-up • Elaborar o Relatório de Auditoria;

6
 ELEMENTOS PREPARATÓRIOS

 Política de segurança da informação;  Registo de ações passadas ;

 Documento com o escopo do sistema de  Registo das ações preventivas para não

segurança; conformidades ;

 Dados sobre o risco;

 Planos para tratamento dos riscos;

 OBJETIVO E ÂMBITOS DA AUDITORIA
 São verificados: os padrões e políticas adotados pela organização, a operação sobre sistemas e dados, a

disponibilidade e a manutenção do ambiente computacional, a utilização dos recursos computacionais, a

gestão de banco de dados e de rede, os aspectos relacionados à segurança das informações (física, lógica e

ambiental), e continuidade dos serviços de informática – Plano de Contingência.

 Diminuir os riscos que os incidentes de segurança da informação possam representar para a organização. O

risco é medido por: SUA PROBABILIDADE SEU IMPACTO

 ABRANGÊNCIA DE AUDITORIA
Área de Verificação – Delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e
da natureza da auditoria.

 Objeto – é uma entidade ( completa ou não, pública ou privada), ou uma função dessa entidade.

 Período – Pode ser de um ano, um mês ou período de uma gestão.

 Natureza – Serão apresentados em seguida os tipos mais comuns, classificados sob os aspectos: órgão

fiscalizador, forma de abordagem do tema e tipo ou área envolvida.

 METODOLOGIA DAS OPERAÇÕES AUDITORIA

Metodologia de Auditoria Interna COSO (The Committee of Sponsoring Organizations of the Treadway Commission)

É um framework que auxilia no

estabelecimento dos controles internos e
na gestão dos riscos organizacionais.
Visa oferecer os mecanismos necessários
para que os riscos envolvidos sejam
analisados com foco no principal objetivo
do processo.

10
 METODOLOGIA DAS OPERAÇÕES AUDITORIA
Características dos componentes COSO

 Ambiente interno;  Resposta a riscos;

 Fixação de objetivos;  Atividades de controle;

 Identificação de eventos;  Informação e comunicação;

 Avaliação de riscos;  Monitoramento.

11
 METODOLOGIA DAS OPERAÇÕES AUDITORIA

Metodologia de Auditoria Interna SOX – Lei Sarbanes Oxley (em inglês Sarbanes-Oxley Act)

Procura garantir a criação de mecanismos de auditoria e segurança confiáveis, incluindo ainda regras

para a criação de comitês e comissões encarregados de supervisionar suas atividades e operações de

modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou ter meios de identificar quando

ocorrem, garantindo a transparência na gestão empresarial.

12
 ANÁLISE GERAL AUDITORIA NO AMBIENTE DE TI

 Abrange a análise do ambiente de informática em termos de estrutura orgânica, contratos de

software e hardware, normas técnicas e operacionais, custos, nível de utilização dos equipamentos

e planos de segurança e de contingência;

 Auditoria de sistemas em produção: abrange os procedimentos e resultados dos sistemas de

informação já implementados.
 ANÁLISE GERAL AUDITORIA NO AMBIENTE DE TI

 Auditoria durante o desenvolvimento de sistemas: abrange todo o processo de construção de

sistemas de informação, desde a fase de levantamento do sistema a ser informatizado até o teste

e implantação (característica preventiva);

 Auditoria de eventos específicos: abrange a análise da causa, da consequência e da ação

corretiva cabível, de eventos localizados que não se encontram sob a auditoria, detectados por

outros órgãos e levados ao seu conhecimento (característica corretiva).

 CONTROLES DE AUDITORIA
 É a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos para que tais atividades, ou

produtos, não se desviem das normas preestabelecidas.

 Tipos de Controle:

 Preventivo - utlizado na prevenir erros, omissões ou atos fraudulentos.

 Detectivos – utlizado na detenção de erros, omissões ou atos fraudulentos e ainda relatar sua ocorrência

 Corretivos - utlizado na redução de impactos ou corrigir erros uma vez detetados.

 Posicionamento do Auditor de Sistemas - Estrutura da organizacional

Presidente

Staff (apoio) Auditoria de

Sistemas

Diretoria Diretoria Diretoria Diretoria

Planejam. Financeira de Vendas de TI
 ORGANIZAÇÃO DOS RECURSOS NECESSÁRIOS

 Estabelecer os objetivos e resultados;

 Definir um cronograma e um plano;

Garantir que seja um processo válido;

Gerir as ações e não conformidades;

Ajudar as pessoas;
Elaborar relatórios de Auditorias;
 PROCEDIMENTOS DE AUDITORIA

Os procedimentos de auditoria devem permitir obter evidências suficientes e apropriadas:

 a suficiência corresponde à quantidade da evidência, influenciada pela materialidade, pelo risco

avaliado e pelo grau de confiança planeado;

 a evidência é apropriada se for pertinente e fiável tendo em vista suportar o juízo e conclusões de

auditoria
 PROCEDIMENTOS DE AUDITORIA

 Conceituação e disposições gerais

 Conceituação e Objetivos da Auditoria

 Papéis de Trabalho

 Fraude e Erro
 PROCEDIMENTOS DE AUDITORIA

 Normas de execução dos trabalhos  Procedimentos da Auditoria

 Planeamento da Auditoria  Amostragem

 Riscos da Auditoria  Processamento Eletrônico de Dados – PED

 PROCEDIMENTOS DE AUDITORIA
Normas relativamente ao relatório de auditoria
 O objetivo e a extensão dos trabalhos;  Eventuais limitações ao alcance dos

procedimentos de auditoria;
 A metodologia adotada;
 a descrição dos fatos constatados e as
 Os principais procedimentos de auditoria
evidências encontradas;
aplicados e sua extensão;
 As conclusões e as recomendações
 os riscos associados aos fatos constatados;
resultantes dos fatos constatados.
 FORMULAÇÃO DO PLANO DE TRABALHO

Planeamento

 1º Passo: Conhecer o ambiente a ser auditado:

 Levantamento dos dados acerca do ambiente computacional (fluxo de processamento,
recursos humanos e materiais envolvidos, arquivos processados, relatórios e telas
produzidos).

 2ºPasso: Determinar os pontos de controle (processos críticos);

FORMULAÇÃO DO PLANO DE TRABALHO

Planeamento

 3ºPasso: Definição dos objetivos da auditoria:

 Técnicas a serem aplicadas.

 Prazos de execução.

 Custos de execução.

 Nível de tecnologia a ser utilizada.

 FORMULAÇÃO DO PLANO DE TRABALHO

Planeamento

4º Passo: Estabelecimento de critérios para análise de risco

5º . Passo: Análise de Risco Avaliar para cada ponto de controle o grau de risco
apresentado para posterior hierarquização:

 Grau de Risco
 1 – Muito Fraco 2 – Fraco 3 – Regular 4 – Forte 5 – Muito forte
 FORMULAÇÃO DO PLANO DE TRABALHO

 Definição da Equipe Conhecimentos específicos.

 1º passo: Escolher a equipe. Formação acadêmica.

 Perfil e histórico profissional. Línguas estrangeiras.

Disponibilidade para viagens, etc.
 Experiência na atividade.
 FORMULAÇÃO DO PLANO DE TRABALHO

 Definição da Equipe Incluir novos procedimentos.

 2º. passo: Classificar trabalhos por visita.

 Programar a equipe. Orçar tempo e registrar o real.

 Gerar programas de trabalho.

 Selecionar procedimentos apropriados.

 FORMULAÇÃO DO PLANO DE TRABALHO

 Definição da Equipe Efetuar supervisão para garantir a

 3º. passo: Execução dos trabalhos qualidade do trabalho e certificar que as

 Dividir as tarefas de acordo com a formação, tarefas foram feitas corretamente.

experiência e treinamento dos auditores.

FORMULAÇÃO DO PLANO DE TRABALHO

 Definição da Equipe 5º. passo: Avaliação da equipe

 4º. passo: Revisão dos papéis Avaliar o desempenho, elogiando os

 Verificar pendências e rever o papel de cada pontos fortes e auxiliando no

auditor para suprir as falhas encontradas. reconhecimento e superação de

fraquezas do auditor.
Ter um sistema de avaliação de
desempenho automatizado.
 Planeamento da Auditoria
1 Preparação da Auditoria

2 Execução da Auditoria

3 Resultados das Auditoria

4 Acompanhamento Pós- auditoria

 Planeamento da Auditoria

1 Objetivo e Campo de Aplicação. 4 Princípios da auditoria.

2 Referencias Normativas. 5 Gestão de um programa de auditoria.

3 Termos e Definições. 6 Atividades de auditoria.

Conforme a Norma NBR ISO 19011/02

 Planeamento da Auditoria

6.1-Designando o líder da equipe da auditoria;

6 Atividades de auditoria. 6.2-Iniciando a auditoria ;

6.3-Realizando a análise crítica do Documento;

6.4-Preparação das atividades de auditoria;

 Planeamento da Auditoria

Designando o líder da Selecionando a equipe da auditoria.

6.1 equipe da auditoria
Estabelecendo contato inicial com o
auditado.

Determinando a viabilidade da
auditoria;
 Planeamento da Auditoria

6.2.1- Designando o líder da equipe da

auditoria.
6.2 Iniciando a auditoria
6.2.2- Definindo objetivos, escopo e critérios de
auditoria.

6.2.3- Determinando a viabilidade da

auditoria;
 Planeamento da Auditoria

6.2.4- Selecionando a equipe da

auditoria.
6.2 Iniciando a auditoria
6.2.5- Estabelecendo contato inicial com
o auditado.
 Planeamento da Auditoria

Analisar criticamente para determinar a

conformidade do sistema.
Uma visita preliminar ao local pode ser
Realizando a análise crítica do
6.3 realizada para se adquirir uma adequada
Documento
visão geral das informações disponíveis.

Informar ao cliente e analisar se convém que a

auditoria continue ou seja suspensa.
 Planeamento da Auditoria

Um plano de auditoria que forneça a base para

um acordo entre o cliente da auditoria.
Preparação das atividades de
6.4 Equipe da auditoria e o auditado, relativo a
auditoria
realização da auditoria.

Plano facilite a programação e a coordenação

das atividades da auditoria;
 Exemplo de uma Lista de Verificação
Lista de Verificação
Área: Produção (PD) Responsável: Paulo Roberto Entrevistado: Pedro António

Data:15/05/2020 Auditor: Aldina Semedo Pág.: 01/06

Referência Objeto de Auditoria Observações

ISO 9001 / 6.3 e PRQ-09, rev. 01, Verificar a definição dos equipamentos críticos de processo A definição não considera as utilidades (vapor e
item 5.3. para a qualidade e aprovação do plano de manutenção. ar). O plano RQ-03 de 10/06/05 não está
aprovado.
ISO 14001 / 4.4.6 e PRA-06, rev. Verificar a coerência entre os impactos ambientais
03, item 3.2. significativos e os equi-pamentos que recebem manutenção
preventiva e a aprovação e distribuição do plano de OK
manutenção.

OHSAS 18001 / 4.4.6 e PRS-10, Verificar como está estabelecida a interface entre a análise de Plano em modificação, não estando disponível a
rev. 00, itens 3.5 e 3.6. risco e os controles (medidas pró-ativas e rea-tivas) para a versão antiga (R-08 de 05/07/05).
manutenção.
Para a próxima aula:
• Um plano de auditoria
• Uma Lista de Verificação.
 Muito obrigada!

“Poucas coisas custam tão pouco e confortam tanto como um

abraço, então abra os braços e abrace mais!.”
REFERÊNCIAS BIBLIOGRÁFICAS

 ARIMA, Carlos Hideo; SANTOS, José Luiz e SCHMIDT, Paulo. Fundamentos de Auditoria de Sistemas. São Paulo:

ATLAS, 2006.

 DIAS, C. Segurança e Auditoria Da Tecnologia da Informação. Rio de janeiro: Axcel Books, 2000.

 Braz, Márcio Rodrigo, Auditoria de TI: O Guia de Sobrevivência – March 8, 2017

 IMONIANA, Joshua O. – Auditoria de Sistemas de Informação – São Paulo: Atlas, 2ª Edição, 2014.