Introdução à Auditoria de TI

Aula – Introdução à Auditoria de TI
Professor: Ramon Souza

Teoria e Questões comentadas
Prof. Ramon Souza
Aula – Introdução à Auditoria de TI
ASSUNTOS PÁGINA
1. AUDITORIA ................................................................................. 3
1.1 Introdução à auditoria ................................................................ 3
1.2 Processo de auditoria ................................................................. 5
1.3 Testes em auditorias ................................................................ 15
1.4 Controles internos ................................................................... 17
2. AUDITORIA DE TI ...................................................................... 22
2.1 Auditoria de TI ........................................................................ 22
2.2 Abordagens de auditoria de TI ................................................... 24
2.3 Tipos de auditoria de TI ............................................................ 26
3. QUESTÕES COMENTADAS ........................................................... 28
4. RISCO EXPONENCIAL ................................................................. 42
5. LISTAS DE EXERCÍCIOS .............................................................. 43
6. GABARITO ................................................................................ 54
Para facilitar sua referência, abaixo listamos as esquematizações desta aula:

Esquema 1 – Auditoria..................................................................................................... 3
Esquema 2 – Auditoria interna e externa. .......................................................................... 4
Esquema 3 – Processo de auditoria. .................................................................................. 5
Esquema 4 – Planejamento de auditoria. ........................................................................... 6
Esquema 5 – Execução de auditoria. ................................................................................ 10
Esquema 6 – Elementos de um achado. ............................................................................ 10
Esquema 7 – Relatório de auditoria. ................................................................................. 12
Esquema 8 – Pareceres em auditorias contábeis. ............................................................... 13
Esquema 9 – Testes em auditoria. ................................................................................... 15
Esquema 10 – Controles internos. .................................................................................... 18
Esquema 11 – Componentes do controle interno. ............................................................... 20
Esquema 12 – Auditoria de TI.......................................................................................... 22
Esquema 13 – Abordagens de auditoria de TI. ................................................................... 25
Esquema 14 – Tipos de auditoria de TI. ............................................................................ 27
Prof. Ramon Souza 2 de 54

www.exponencialconcursos.com.br
Prof. Ramon Souza
1. AUDITORIA
1.1 Introdução à auditoria

Pessoal, antes de tratarmos especificamente da auditoria de tecnologia
da informação, é importante entender o que é a auditoria. Muitas são as
questões que sob o título de auditoria de TI cobram na verdade conceitos e
termos gerais de auditoria.
Segundo a Audibra, auditoria é a atividade de avaliação independente e
de assessoramento da administração, voltada para o exame e a avaliação da
adequação, eficiência e eficácia dos sistemas de controle, bem como da
qualidade do desempenho das áreas em relação às atribuições e aos planos,
metas, objetivos e políticas definidos pelas organizações.
Embora o termo auditoria esteja fortemente relacionado à contabilidade,
atualmente existem diversos tipos de auditoria consolidados ou em
desenvolvimento, incluindo a auditoria de tecnologia da informação.
Adequação
Dos sistemas
de controle Eficiência
interno
Exame e
Auditoria Qualidade
avaliação
Das áreas Desempenho
Esquema 1 – Auditoria.
Uma auditoria pode ser interna ou externa.

▪ Auditoria interna é realizada por profissionais ligados à própria
empresa auditada, subordinados às necessidades e desejos da alta
administração.
▪ Auditoria externa é realizada por auditores independentes, que

não possuem relação com a empresa auditada, para que não haja
risco de interferência no conteúdo de seus pareceres.

Prof. Ramon Souza
Auditoria •Realizada por profissionais ligados à própria

interna empresa auditada
Auditoria •Realizada por auditores independentes, que

externa não possuem relação com a empresa auditada
Esquema 2 – Auditoria interna e externa.
As auditorias podem ser agrupadas em um programa de auditoria. Um

programa de auditoria é conjunto de uma ou mais auditorias planejadas
para um período de tempo determinado e direcionadas a um propósito
especifico. Podemos resumir como sendo o calendário das auditorias. Quando
cada auditoria será realizada. Depois, cada auditoria do programa de auditoria
será detalhada nos planos de auditoria.
1- (FCC - 2015 - TCE-CE - Técnico de Controle Externo-

Auditoria de Tecnologia da Informação) A área de TI de um Tribunal de
Contas estabeleceu um conjunto de auditorias planejado para um determinado
período de tempo, com o propósito específico de avaliar a integridade dos dados
comunicados entre os sistemas de informação, ou seja, suas interfaces. Essas
auditorias fazem parte de
a) um projeto.
b) um programa.
c) uma rotina.
d) um papel.
e) um achado.
Resolução:
Um programa de auditoria é conjunto de uma ou mais auditorias
planejadas para um período de tempo determinado e direcionadas a um
propósito especifico. Podemos resumir como sendo o calendário das
auditorias. Quando cada auditoria será realizada. Depois, cada auditoria do
programa de auditoria será detalhada nos planos de auditoria.
Um programa de auditoria deve ser planejado, levando em consideração a
situação e a importância dos processos e áreas a serem auditadas, bem como
os resultados de auditorias anteriores.
Gabarito: Letra B.

Prof. Ramon Souza
1.2 Processo de auditoria

A auditoria consiste em um processo que vai desde a análise da
documentação pertinente até a avaliação de aspectos de gestão, sistemas de
controle e uso dos recursos. Comumente, o procedimento de auditoria é
realizado em três fases distintas, quais sejam: planejamento, execução e
relatório.
▪ A fase de planejamento é aquela em que são levantados os
principais objetivos pretendidos pelo procedimento de auditoria,
com a definição das metas e a preparação do plano de trabalho.
▪ Após o planejamento da auditoria, segue-se para a fase de execução.

Esta fase consiste na obtenção de evidências apropriadas e
suficientes para respaldar os achados e conclusões da auditoria.
Nessa fase, a equipe de auditoria deve buscar evidências, informações
e dados capazes de comprovar a veracidade dos fatos ou dos atos
analisados, bem como possibilitar conclusões e recomendações.
▪ A fase final do procedimento de auditoria é a confecção do relatório,

que tem como finalidade apresentar as conclusões e
recomendações sobre o objeto de avaliação. O relatório é o
instrumento responsável por externalizar a comunicação das
atividades da auditoria.
O esquema a seguir apresenta um modelo de processo de auditoria,

representando as três fases do processo.
Esquema 3 – Processo de auditoria.

Prof. Ramon Souza
Planejamento da Auditoria
O planejamento de auditoria é a etapa do trabalho na qual o auditor

estabelece a estratégia geral dos trabalhos a executar na entidade a ser
auditada, estabelecendo a natureza, a oportunidade e a extensão dos exames,
de modo que possa desempenhar uma auditoria dinâmica.
Os principais objetivos do planejamento da auditoria são obter o

conhecimento das atividades da entidade, propiciar o cumprimento dos prazos
e compromissos, assegurar a atenção devida a áreas importantes, identificar os
potenciais problemas e a legislação aplicável.
No planejamento da auditoria devem ser especificados os objetivos da

auditoria. O objetivo da auditoria deve ser entendido como a questão
fundamental de auditoria a ser respondida, representando o propósito da
auditoria.
A partir dos objetivos de auditoria, é possível derivar as questões de

auditoria, que representam o detalhamento do objetivo, circunscrevendo
a abrangência da auditoria e estabelecendo os limites de trabalho.
Devem se formular tantas questões de auditoria quantas sejam necessárias
para satisfazer o objetivo estabelecido.
Em relação ao planejamento, cabe ainda mencionar que este deve ser

realizado em conformidade com as normas profissionais de auditoria, com os
prazos definidos e com os compromissos firmados com a entidade.
A saída do planejamento da auditoria é o projeto de auditoria, que

documenta o planejamento geral e apresenta projetos de trabalho
específicos para cada área a ser auditada, detalhando o necessário ao
entendimento dos pontos de controle e procedimentos que serão aplicados, em
termos de natureza, oportunidade e extensão, de forma a servir como guia e
meio de controle de sua execução.
Planejamento Objetivos do Objetivo da Projeto de

de auditoria planejamento auditoria e Auditoria
questões
• Estratégia • Conhecer as • Objetivo: • Documenta o

geral dos atividades da questão planejamento
trabalhos a entidade fundamental geral e
executar da auditoria; apresenta
• Cumprir prazos propósito. projetos de
e trabalho
compromissos • Questões de específicos
auditoria: para cada área
• Focar em áreas detalhamento
importantes do objetivo,
definindo a
abrangência e
• Identificar os os limites de
potenciais trabalho
problemas
Esquema 4 – Planejamento de auditoria.

Prof. Ramon Souza
2- (CS-UFG - 2017 - UFG - Analista de Tecnologia da

Informação - Desenvolvimento de Sistemas) Requisitos e atividades de
auditoria devem ser planejados e acordados de forma a maximizar a eficácia do
processo de auditoria e, ao mesmo tempo, minimizar os riscos de interrupção
dos processos de negócio da organização sendo auditada. Para tal, um conjunto
de diretrizes deve ser observado como, por exemplo:
a) exigência de que as pessoas que executam a auditoria sejam dependentes
das atividades auditadas.
b) a isenção de que todos os procedimentos, requisitos e responsabilidades
sejam documentados.
c) a dispensa de que requisitos de auditoria sejam firmados com o nível superior
da administração.
d) a determinação de que o escopo da verificação seja combinado e controlado.
Resolução:
Vamos analisar cada um dos itens:
a) Incorreto: a auditoria pode ser interna ou externa. Se for externa, os
auditores devem ser independentes das atividades auditadas.
b) Incorreto: há a necessidade (e não a isenção) de documentação de
procedimentos, requisitos e responsabilidades.
c) Incorreto: a alta administração deve está ciente e concordar com os
requisitos da auditoria.
d) Correto: um dos objetivos do planejamento da auditoria é a definição dos
objetivos e das questões de auditoria. Com isso, há a definição do escopo e dos
limites da auditoria.
Gabarito: Letra D.

Prof. Ramon Souza
Execução da auditoria
A execução é a fase de “mão na massa” da auditoria. Na execução, a

equipe de auditoria deve buscar evidências, informações e dados capazes
de comprovar a veracidade dos fatos ou dos atos analisados, bem como
possibilitar conclusões e recomendações.
Na fase de execução, são desenvolvidos os trabalhos de campo,

analisados os dados coletados, elaborada e validada uma matriz de achados.
Temos aqui nesta fase três conceitos fundamentais: evidência, achado e

papéis de trabalho.
As evidências são informações colhidas no procedimento de auditoria,

revestindo-se de certeza manifesta e possuindo caráter de objeto de
conhecimento que não comporta nenhuma dúvida quanto à sua verdade ou
falsidade. Possuem finalidade de formar opinião e confirmar as
conclusões e recomendações averbadas na confecção do relatório.
Os achados ou constatações são fatos significativos, relevantes,

objetivos e irrefutáveis, que fundamentam as conclusões e as
recomendações apresentadas na fase final do procedimento de auditoria.
Outra definição é que são conjuntos de evidências relativos a um mesmo critério
de auditoria que, por serem discrepantes em relação aos padrões de
desempenho adotados, indicam divergências entre o propósito e a atuação do
auditado. Os achados possuem os seguintes elementos:
▪ Condição ou situação encontrada (o que é): situação existente,

determinada e documentada durante a fase de execução de
auditoria. Reflete o grau em que os critérios estão sendo atingidos. É
a detecção de como está o objeto de auditoria em dado momento.
▪ Critério (o que deve ser): norma pela qual o auditor mede a

condição. São as metas que a entidade está tentando atingir ou as
normas relacionadas com o alcance das metas.
▪ Causa (por que ocorreu): razão pela qual a condição deficiente

ocorreu, ou seja, o motivo pelo qual não se cumpriu o critério ou
norma estabelecida.
▪ Efeito (diferença entre o que é e o que deve ser): resultado

adverso da condição encontrada, representado, normalmente, por
perda de dinheiro ou falta de efetividade no atingimento das metas.

Prof. Ramon Souza
O Quadro a seguir apresenta um exemplo de um achado de auditoria:
Achado Insuficiência de leitos psiquiátricos na maior parte dos estados brasileiros.
Critério A quantidade de leitos psiquiátricos estabelecida pela OMS é de 0,43 por mil habitantes.
Condição O Brasil tem, em média, 0,37 leitos psiquiátricos por mil habitantes.
Causas - Distribuição desigual de leitos entre os estados da federação;

- Distribuição de leitos não atende a critérios populacionais;
- Ausência de planos municipais e estaduais de saúde mental;
- Controle social incipiente.
Efeitos - Deficiência de atendimento em locais com baixo índice de leitos;

- Migração de pessoas com transtornos mentais entre municípios ou entre estados.
Sendo o controle a finalidade da auditoria, os achados negativos são o

centro do procedimento de auditoria. É importante destacar, contudo, que
embora um achado de auditoria seja quase sempre associado a um aspecto
negativo que revela uma impropriedade ou irregularidade, pode ser também um
achado positivo indicando boas práticas de gestão.
É importante que os achados estejam documentados por meio de papéis

de trabalho. Os papéis de trabalho constituem a documentação preparada
pelo auditor ou fornecida a este na execução da auditoria. Eles integram
um processo organizado de registro de evidências da auditoria, por intermédio
de papel, filmes, meios eletrônicos ou outros que assegurem o objetivo a que
se destinam.
Os papéis de trabalho destinam-se a:
▪ ajudar, pela análise dos documentos de auditorias anteriores, ou pelos

coligidos quando da contratação de uma primeira auditoria, no
planejamento e execução da auditoria;
▪ facilitar a revisão do trabalho de auditoria; e
▪ registrar as evidências do trabalho executado, para fundamentar o
parecer do auditor.

Prof. Ramon Souza
Os principais conceitos da fase de execução da auditoria são

esquematizados a seguir:
Execução da auditoria
Buscar evidências, informações e dados capazes de comprovar a veracidade dos fatos
ou dos atos analisados, bem como possibilitar conclusões e recomendações
Informações colhidas com certeza manifesta

Evidências que visam formar opinião e confirmar as
conclusões e recomendações
Fatos significativos, relevantes, objetivos e

irrefutáveis, que fundamentam as conclusões e
as recomendações
Achados
Embora maioria seja negativo, pode ser um

achado positivo
Documentação preparada pelo auditor ou

Papéis de trabalho
fornecida a este na execução da auditoria
Esquema 5 – Execução de auditoria.
Vale também esquematizar os elementos de um achado ou

constatação de auditoria:
Condição ou situação encontrada (o que é) Critério (o que deve ser)
Achado ou constatação
Efeito (diferença entre o que é e o que deve

Causa (por que ocorreu)
ser)
Esquema 6 – Elementos de um achado.

Prof. Ramon Souza
3- (FCC - 2015 - DPE-SP - Analista de Sistemas) Sobre

a auditoria de sistemas, é correto afirmar:
a) O cliente da auditoria é constituído pelos profissionais da equipe de auditoria.
b) Uma auditoria não pode se estender por mais de 4 semanas.
c) As constatações da auditoria constituem-se nos resultados da comparação
entre critérios e evidências.
d) As evidências da auditoria são compostas pelos currículos dos auditores.
e) Uma equipe de auditoria deve ter um mínimo de 5 especialistas.
Resolução:
a) Incorreto: O cliente da auditoria é quem solicita a auditoria.
b) Incorreto: não há limite de prazo para o término de uma auditoria.
c) Correto: Os achados ou constatações são fatos significativos,
relevantes, objetivos e irrefutáveis, que fundamentam as conclusões e
as recomendações apresentadas na fase final do procedimento de auditoria.
auditado.
d) Incorreto: as evidências da auditoria não têm relação com currículos dos
auditores, sendo as informações colhidas no procedimento de auditoria,
revestindo-se de certeza manifesta e possuindo caráter de objeto de
conhecimento que não comporta nenhuma dúvida quanto à sua verdade ou
falsidade.
e) Incorreto: não há quantidade mínima de auditores para uma equipe de
auditoria.
Gabarito: Letra C.

Prof. Ramon Souza
Relatório da auditoria
O relatório de auditoria é o principal produto de uma auditoria,

consistindo em um instrumento formal e técnico por intermédio do qual a equipe
de auditoria comunica aos leitores: o objetivo e as questões de auditoria; a
metodologia utilizada; os achados de auditoria; as conclusões; e a proposta de
encaminhamento.
O relatório de auditoria deve ser elaborado à medida que for concluído

o trabalho e deve conter todos os pontos julgados necessários pelo auditor. O
relatório deve possuir uma expressão inequívoca da conclusão do auditor
sobre a área auditada e o conteúdo variará segundo a natureza e o tamanho
de cada projeto.
Embora seja um documento técnico, é desejável que o relatório seja

escrito em linguagem clara, precisa e objetiva, recorrendo-se ao
vocabulário técnico para o estritamente necessário, facilitando a compreensão
do destinatário, sem haver necessidade de informações adicionais.
Principal
produto da
auditoria
Linguagem
Relatório
clara, precisa e
objetiva
de Conclusão do
auditor
auditoria
Recomendações
Esquema 7 – Relatório de auditoria.

Prof. Ramon Souza
No que diz respeito à auditoria contábil, um componente importante do

relatório de auditoria é o parecer do auditor, que pode ser:
▪ Parecer sem ressalva: emitido quando o auditor está convencido

sobre todos os aspectos relevantes da auditoria. O parecer sem
ressalva implica afirmação de que, em tendo havido alterações em
princípios contábeis ou no método de sua aplicação, o fato e os efeitos
dele decorrentes foram adequadamente determinados e revelados nas
demonstrações contábeis e/ou nas notas explicativas.
▪ Parecer com ressalva: emitido quando o auditor conclui que o efeito de

qualquer discordância ou restrição na extensão de um trabalho
não é de tal magnitude que requeira parecer adverso ou
abstenção de opinião. Quando o auditor emite parecer com ressalva,
deve incluir descrição clara de todas as razões que fundamentaram sua
opinião e a quantificação dos efeitos sobre as demonstrações contábeis.
Essas informações devem ser apresentadas em parágrafo específico do
parecer, precedendo ao da opinião, e, também, se for o caso, fazer
referência à divulgação mais ampla em nota explicativa às demonstrações
contábeis.
▪ Parecer adverso: o auditor deve emitir parecer adverso quando verificar

que as demonstrações contábeis estão incorretas ou incompletas,
em tal magnitude que impossibilite a emissão do parecer com ressalvas.
▪ Parecer com abstenção de opinião: emitido quando houver uma

limitação significativa na extensão de seus exames que impossibilite o
auditor expressar opinião sobre as demonstrações contábeis por
não ter obtido comprovação suficiente para fundamentá-la.
Parecer sem ressalva
Parecer com ressalva
Parecer adverso
Parecer com abstenção de opinião

Esquema 8 – Pareceres em auditorias contábeis.

Prof. Ramon Souza
4- (FCC - 2015 - TCE-CE - Técnico de Controle Externo-

Auditoria de Tecnologia da Informação) Um serviço de auditoria sobre a
administração dos sistemas de informação usados pela área de contabilidade
acabou de ser executado em uma empresa, entregando para a entidade
auditada os papéis da auditoria sem um parecer do auditor, o qual não se sentiu
confortável para emitir opinião em função dos seus achados não conclusivos
sobre a qualidade das informações contábeis. Essa atitude do auditor não
respeita as normas de auditoria estabelecidas na NBC, pois o auditor deveria
ter emitido um
a) parecer sem ressalvas.
b) parecer com ressalvas.
c) parecer com abstenção de opinião.
d) parecer adverso.
e) termo circunstanciado de interrupção da auditoria.
Resolução:
O parecer do auditor em auditorias contábeis pode ser:
▪ Parecer sem ressalva: emitido quando o auditor está convencido sobre

todos os aspectos relevantes da auditoria. O parecer sem ressalva
implica afirmação de que, em tendo havido alterações em princípios
contábeis ou no método de sua aplicação, o fato e os efeitos dele decorrentes
foram adequadamente determinados e revelados nas demonstrações
contábeis e/ou nas notas explicativas.
▪ Parecer com ressalva: emitido quando o auditor conclui que o efeito de
qualquer discordância ou restrição na extensão de um trabalho não
é de tal magnitude que requeira parecer adverso ou abstenção de
opinião. Quando o auditor emite parecer com ressalva, deve incluir
descrição clara de todas as razões que fundamentaram sua opinião e a
quantificação dos efeitos sobre as demonstrações contábeis. Essas
informações devem ser apresentadas em parágrafo específico do parecer,
precedendo ao da opinião, e, também, se for o caso, fazer referência à
divulgação mais ampla em nota explicativa às demonstrações contábeis.
▪ Parecer adverso: o auditor deve emitir parecer adverso quando verificar
que as demonstrações contábeis estão incorretas ou incompletas, em
tal magnitude que impossibilite a emissão do parecer com ressalvas.
▪ Parecer com abstenção de opinião: emitido quando houver uma limitação
significativa na extensão de seus exames que impossibilite o auditor
expressar opinião sobre as demonstrações contábeis por não ter
obtido comprovação suficiente para fundamentá-la.
Gabarito: Letra C.

Prof. Ramon Souza
1.3 Testes em auditorias

Dentre os exames realizados em uma auditoria incluem-se os testes de
testes de observância e testes substantivos, que permitem ao auditor interno
obter provas suficientes para fundamentar suas conclusões e recomendações.
Os testes de observância visam a obtenção de uma razoável segurança
de que os controles internos estabelecidos pela administração estão em
efetivo funcionamento, inclusive quanto ao seu cumprimento pelos
funcionários da entidade.
Os testes substantivos visam à obtenção de evidência quanto à
suficiência, exatidão e validade dos dados produzidos pelos sistemas de
informações da entidade. Como objetivos fundamentais dos testes
substantivos, destacam-se as seguintes constatações:
▪ Existência real: que as transações comunicadas/registradas realmente
tenham ocorrido;
▪ Integridade: que não existam transações além daquelas
registradas/demonstradas;
▪ Parte interessada: que os interessados naquele registro/comunicação
tenham obtido as informações na sua totalidade;
▪ Avaliação e aferição: que os itens que compõem determinada
transação/registro tenham sido avaliados e aferidos corretamente.
▪ Divulgação: que as transações/registros tenham sido corretamente
divulgadas.
Testes de observância Testes substantivos

Avaliar se controles Avaliar sufiência,
internos estão em exatidão e validade
funcionamento dos dados
Esquema 9 – Testes em auditoria.

Prof. Ramon Souza
5- (FGV - 2015 - TJ-RO - Analista de Sistemas) Em uma

auditoria de TI, não foram aplicados testes substantivos pelo auditor. Nesse
caso, a falta de aplicação significa que:
a) não foi verificado se a comunicação de resultados aos responsáveis está
sendo realizada;
b) eventuais testes de conformidade realizados durante a auditoria perderam a
validade;
c) não foi verificado se normas internas da organização estão sendo seguidas;
d) não foi verificado se de fato realmente ocorreu aquilo que está registrado;
e) não é mais possível realizar uma análise de riscos.
Resolução:
Um dos objetivos dos testes substantivos é verificar se o fato ocorreu.
Os testes substantivos visam à obtenção de evidência quanto à suficiência,
exatidão e validade dos dados produzidos pelos sistemas de
tenham ocorrido;
divulgadas.
Gabarito: Letra D.

Prof. Ramon Souza
1.4 Controles internos

A avaliação de controles internos é um dos objetivos da auditoria. Sendo
assim, vejamos os principais aspectos relacionados ao tema que são cobrados
em prova.
O controle interno representa em uma organização o conjunto de
procedimentos, métodos ou rotinas com os objetivos de proteger os
ativos, produzir dados contábeis confiáveis e ajudar a administração na
condução ordenada dos negócios da empresa.
Os controles internos devem ser entendidos como qualquer ação
tomada pela administração (assim compreendida tanto a Alta Administração
como os níveis gerenciais apropriados) para aumentar a probabilidade de que
os objetivos e metas estabelecidos sejam atingidos. A Alta Administração e a
gerência planejam, organizam, dirigem e controlam o desempenho de maneira
a possibilitar uma razoável certeza de realização.
Logo, em uma auditoria é importante verificar se estes controles internos
estão sendo executados com o desempenho desejado.
Tipos de controles internos
Os controles internos podem ser contábeis ou administrativos:

▪ Contábeis: procedimentos utilizados para salvaguardar o
patrimônio e a propriedade dos itens que o compõem.
Relacionam-se à veracidade e à fidedignidade dos registros contábeis.
Ex.: segregação de funções, controle físico, conciliação bancária.
▪ Administrativos: procedimentos que visam proporcionar

eficiência e efetividade às operações e negócios da empresa.
Relacionam-se às ações ligadas ao alcance dos objetivos da entidade.
Ex.: controle de qualidade, treinamento, análise de lucratividade.
Além disso, classificam-se também em preventivos, detectivos ou

corretivos:
▪ Preventivos: visam identificar um erro ou irregularidade antes

que ele aconteça. Ex.: segregação de funções, limites.
▪ Detectivos ou concomitantes: acompanha a realização do ato

para verificar a regularidade de sua formação, evitando o
cometimento de falhas.
▪ Corretivos: visam identificar um erro ou irregularidade depois

que este tenha ocorrido. Ex.: revisões.

Prof. Ramon Souza
Procedimentos, métodos ou rotinas com os objetivos de

proteger os ativos, produzir dados contábeis confiáveis e
ajudar a administração
Contábeis
salvaguardar o patrimônio e a
propriedade dos itens que o
compõem
Contábeis ou
Administrativos
Administrativos
Controles
internos proporcionar eficiência e efetividade
às operações e negócios
Preventivos
Identificar erro ou irregularidade
antes que ele aconteça
Preventivos ou Detectivos ou concomitantes

corretivos Acompanha a realização do ato
Corretivos
Identificar erro ou irregularidade
depois que este tenha ocorrido
Esquema 10 – Controles internos.
6- (FCC - 2018 - Prefeitura de São Luís - MA - Auditor

Fiscal de Tributos I - Tecnologia da Informação (TI)) Os controles
internos, visando facilitar o processo de auditoria de TI, podem ser implantados
de três modos, dentre os quais se encontra o
a) Relativo, constatando falhas, desperdícios, irregularidades e ilegalidades
sanáveis ou insanáveis, que ocorrem após os fatos terem sido realizados.
b) Preventivo, orientando para que sejam evitadas as ocorrências de falhas,
desperdícios, irregularidades e ilegalidades.
c) Corretivo, detectando falhas, desperdícios, irregularidades e ilegalidades
sanáveis, que ocorrem durante a realização dos fatos.
d) Definitivo, impedindo a ocorrência de falhas, desperdícios, irregularidades e
ilegalidades, evitando gastos com a adoção posterior de medidas corretivas.
e) Punitivo, impondo severas punições quando da ocorrência de falhas,

Prof. Ramon Souza
Resolução:
Os controles internos podem ser:
▪ Contábeis: procedimentos utilizados para salvaguardar o
patrimônio e a propriedade dos itens que o compõem.
Relacionam-se à veracidade e à fidedignidade dos registros contábeis.
Ex.: segregação de funções, controle físico, conciliação bancária.
▪ Administrativos: procedimentos que visam proporcionar

eficiência e efetividade às operações e negócios da empresa.
Relacionam-se às ações ligadas ao alcance dos objetivos da entidade.
Ex.: controle de qualidade, treinamento, análise de lucratividade.
Os controles internos podem ser também classificados em:

▪ Preventivos: visam identificar um erro ou irregularidade antes
que ele aconteça. Ex.: segregação de funções, limites.
▪ Detectivos ou concomitantes: acompanha a realização do ato

para verificar a regularidade de sua formação, evitando o
cometimento de falhas.
▪ Corretivos: visam identificar um erro ou irregularidade depois

que este tenha ocorrido. Ex.: revisões.
Assim, os itens a), d) e e) não trazem uma classificação válida para os tipos de
controle.
Para os itens b) e c) temos:
b) Correto: como o controle preventivo visa identificar o erro antes que
ocorra, então visa evitar falhas, desperdícios, irregularidades e ilegalidades.
c) Incorreto: Corretivo detectivo ou concomitante, detectando falhas,
desperdícios, irregularidades e ilegalidades sanáveis, que ocorrem durante a
realização dos fatos. Os corretivos identificam erros posteriores às ações.
Gabarito: Letra B.

Prof. Ramon Souza
Componentes do controle interno
Segundo o COSO, são cinco os componentes de um sistema de controle

interno:
▪ Ambiente de Controle: consciência de controle da entidade, sua
cultura de controle. Ambiente de controle é efetivo quando as pessoas
da entidade sabem quais são suas responsabilidades, os limites de sua
autoridade e se têm a consciência, competência e o comprometimento de
fazerem o que é correto da maneira correta.
▪ Avaliação e Gerenciamento dos Riscos: identificação e análise dos

riscos associados ao não cumprimento das metas e objetivos
operacionais, de informação e de conformidade. Este conjunto forma a
base para definir como estes riscos serão gerenciados.
▪ Atividade de Controle: atividades que, quando executadas a tempo e

maneira adequados, permitem a redução ou administração dos
riscos.
▪ Informação e Comunicação: comunicação é o fluxo de informações

dentro de uma organização, entendendo que este fluxo ocorre em todas
as direções.
▪ Monitoramento: avaliação dos controles internos ao longo do

tempo. Ele é o melhor indicador para saber se os controles internos estão
sendo efetivos ou não.
Componentes
do controle
interno
Avaliação e
Ambiente de Atividade de Informação e
Gerenciamento Monitoramento
Controle Controle Comunicação
dos Riscos
Esquema 11 – Componentes do controle interno.

Prof. Ramon Souza

de Controle Interno - Área de Tecnologia da Informação (TI)) Uma
empresa está elaborando e divulgando para seus funcionários, um conjunto de
documentos que explicam as regras de pagamento por serviços de
desenvolvimento de software, com a finalidade de fazer com que as pessoas
saibam quais as suas responsabilidades. Para a auditoria, essas ações fazem
parte do desenvolvimento
a) do gerenciamento de riscos.
b) do ambiente de controle.
c) da atividade de controle.
d) do monitoramento de práticas.
e) do controle regulatório.
Resolução:
O Ambiente de Controle trata da consciência de controle da entidade, sua
cultura de controle. Ambiente de controle é efetivo quando as pessoas da
entidade sabem quais são suas responsabilidades, os limites de sua autoridade
e se têm a consciência, competência e o comprometimento de fazerem o que é
correto da maneira correta.
Gabarito: Letra B.

Prof. Ramon Souza
2. AUDITORIA DE TI
As auditorias de sistemas evoluíram e passaram a englobar também
outros aspectos da tecnologia, sendo hoje melhor denominadas como Auditorias
de Tecnologia da Informação. Dessa forma, a Auditoria de Tecnologia da
Informação é um termo mais abrangente que engloba além das chamadas
auditorias de Sistemas, auditorias em outros aspectos relacionados à
tecnologia, tais como infraestrutura, redes, dados e aquisições de TI.
2.1 Auditoria de TI
A auditoria de TI analisa o ambiente computacional e a segurança
de informações testando e avaliando com profundidade todos os controles
num sistema informatizado, abrangendo suas aplicações e produtos.
Dentre os objetivos da auditoria de TI destacam-se:
▪ A segurança física do ambiente e das instalações do Centro de
Processamento de Dados (CPD);
▪ A segurança lógica e a confidencialidade nos sistemas (software)
desenvolvidos em computadores de diversos portes;
▪ A eficácia dos serviços prestados pela área de informática;
▪ A eficiência na utilização dos diversos computadores (hardware)
existentes na unidade;
▪ A verificação do cumprimento da legislação pertinente.
A filosofia de auditoria de TI está calcada em confiança e em controles

internos, visando confirmar se estes foram implementados, se existem e se são
efetivos. A auditoria de TI deve ser utilizada para promover adequação,
revisão, avaliação e recomendações para o aprimoramento dos controles
internos nos sistemas de informações da empresa, bem como para avaliar a
utilização dos recursos humanos, materiais e tecnológicos envolvidos no
processamento dos mesmos.
Auditoria de TI
•Analisa o ambiente computacional e a segurança

de informações.
Esquema 12 – Auditoria de TI.

Prof. Ramon Souza
8- (FCC - 2019 - SEFAZ-BA - Auditor Fiscal -

Tecnologia da Informação - Prova II) Um Auditor Fiscal da área de
Tecnologia da Informação está participando da implantação de controles Gerais
de TI relacionados ao desenvolvimento de sistemas, alterações de programas e
segregação de funções. Percebeu que na organização inexiste processo
sistematizado para desenvolvimento e manutenção de sistemas e, como
controle, sugeriu, corretamente, que
a) as políticas e os procedimentos específicos devem ser padronizados e
formalizados para instalar e modificar softwares, bem como documentar e
solucionar problemas com esses softwares.
b) as alterações no sistema deverão ser aprovadas somente pelo proprietário
do sistema, e não pela área de TI.
c) as alterações de programas não se sujeitarão ao Processo de
Desenvolvimento de Software institucional.
d) os softwares alterados não precisarão ser testados e aprovados em ambiente
específico de testes/homologação.
e) os ambientes de desenvolvimento não deverão ser segregados (produção,
homologação, teste e desenvolvimento).
Resolução:
Pessoal, essa questão pode ser resolvida com base no bom-senso. Não é
necessário
a) Correto: a padronização e formalização é importante para guiar a instalação
e a modificação de softwares, além de indicar formas de resoluções de
problemas.
b) Incorreto: as alterações no sistema devem ser aprovadas em conjunto entre
o proprietário e a área de TI.
c) Incorreto: as alterações de programas não se sujeitarão ao Processo de
d) Incorreto: os softwares alterados não precisarão ser testados e aprovados
em ambiente específico de testes/homologação.
e) Incorreto: os ambientes de desenvolvimento não deverão ser segregados
(produção, homologação, teste e desenvolvimento).
Gabarito: Letra A.

Prof. Ramon Souza
2.2 Abordagens de auditoria de TI

Para auditar as informações em ambiente de tecnologia de informação, o
auditor poderá desenhar as abordagens que lhe convêm. As abordagens mais
comuns são: abordagens ao redor do computador; através do computador; e
com o computador.
▪ Abordagem ao redor do computador: análise dos documentos-

fonte com a com as funções de entrada subjacentes e
verificação das funções de saída, que se encontram em formatos
de linguagem legível por leigos em informática. Auditor examina os
níveis de anuência associados à aplicação dos controles
organizacionais, no que concerne à tecnologia de informação.
o Vantagens: não exige conhecimento em TI; custos baixos e
diretos.
o Desvantagens: restrição operacional; sem parâmetros claros
e padronizados; número maior de riscos.
▪ Abordagem através do computador: envolve mais do que mera

confrontação de documentos-fonte com os resultados esperados.
Realiza-se o manuseio e acompanhamento do fluxo de dados no
computador, aprovando e registrando as transações. O auditor
acompanha o processamento através do computador.
o Vantagens: simulação de transações; capacitação do auditor;
verificação constante de pontos específicos.
o Desvantagens: possibilidade de perda de dados; técnica
manual como complemento; risco de contaminação do software
de auditoria.
▪ Abordagem com o computador: utilização de capacidades do

computador para auxiliar a auditoria, tais como lógica, aritmética,
estatística, e edição e classificação.
o Vantagens: melhor utilização do tempo do auditor; menor
tempo de resposta da auditoria.
o Desvantagens: depende de conhecimentos em TI.

Prof. Ramon Souza
Em resumo:
Se o auditor verifica as entradas e saídas com base em documentação, sem

usar o computador, então temos a abordagem ao redor do computador.
Se usar o computador para realizar ou simular as transações, então temos a
abordagem através do computador.
Se usar o computador como instrumento de auxílio à auditoria, então temos a
abordagem com o computador.
Abordagem ao Abordagem
Abordagem com o
redor do através do
computador
computador computador
Análise dos Manuseio e

documentos-fonte acompanhamento Utilização de
com a com as do fluxo de dados capacidades do
funções de entrada
computador para
subjacentes e
Auditor acompanha auxiliar a auditoria
verificação das
funções de saída o processamento
Esquema 13 – Abordagens de auditoria de TI.

de Controle Interno - Área de Tecnologia da Informação (TI)) Em um
programa de auditoria, a abordagem de executar as mesmas tarefas feitas em
sistemas computacionais, de forma manual e em paralelo com o computador,
conferindo apenas as entradas e saídas do processamento, é conhecida como
a) avaliação de complexidade ciclomática.
b) avaliação de caixa branca.
c) abordagem através do computador.
d) abordagem com o computador.
e) abordagem ao redor do computador.
Resolução:
Se o auditor verifica as entradas e saídas com base em documentação, sem
usar o computador, então temos a abordagem ao redor do computador.
Se usar o computador para realizar ou simular as transações, então temos a
abordagem através do computador.
Se usar o computador como instrumento de auxílio à auditoria, então temos a
abordagem com o computador.
Gabarito: Letra E.

Prof. Ramon Souza
2.3 Tipos de auditoria de TI

O termo auditoria de TI é muito amplo e devido à complexidade da
estrutura de um ambiente informatizado, o trabalho de auditoria de TI é dividido
em diversos campos, diferenciados pelo enfoque e abrangência do trabalho a
ser realizado. Uma classificação possível é a de Hanashiro, que considera seis
áreas de atuação para as auditorias de TI:
▪ Auditoria de Dados: objeto é uma base de dados a ser analisada com
o auxílio de um software de análise de dados. Para realização deste tipo
de auditoria, são definidos critérios em função da informação presente na
base de dados. Dessa forma, essa área se concentra na verificação da
consistência e conformidade dos dados presentes em uma base, que
podem ter sido alimentados via sistema ou outro mecanismo.
▪ Auditoria de Infraestrutura: objeto é a infraestrutura tecnológica,

incluindo sistema operacional, rede e equipamentos. Esse tipo de
auditoria necessita de pessoal especializado nessa área e visa avaliar a
adequação dessa infraestrutura às necessidades da organização.
▪ Auditoria da Gestão de TI: o objeto é a própria gestão da TI, o que

envolve análise das atividades de planejamento, execução e
controle dos processos de TI da unidade examinada. Este tipo de
auditoria é mais geral, visto que não se concentra em apenas um aspecto
tecnológico, mas sim em avaliar a gestão da TI como um todo.
▪ Auditoria de Segurança: o objeto deste tipo de auditoria é o aspecto

da segurança dos processos, sistemas e informações. É importante
para avaliar a confidencialidade, integridade e disponibilidade das
informações, bem como os processos responsáveis por garantir essas
propriedades.
▪ Auditoria de Licitações e Contratos: envolve a análise das compras

governamentais cujos objetos são bens ou serviços de TI. Como
geralmente essas compras ocorrem por meio de licitações e contratos,
esse tipo de auditoria visa verificar a conformidade dos procedimentos
realizados com a legislação vigente e aplicável.
▪ Auditoria de Aplicativos: as ações destas auditorias visam a análise

dos softwares, avaliando a conformidade desses aplicativos com os
aspectos legais e verificando a sua eficiência operacional.

Prof. Ramon Souza
Dados
Aplicativos Infraestrutura
Auditoria
de TI
Licitações e
Gestão de TI
Contratos
Segurança
Esquema 14 – Tipos de auditoria de TI.

de Controle Interno - Área de Tecnologia da Informação (TI)) A avaliação
de controles específicos implementados para prevenir, detectar e corrigir erros
e irregularidades em transações durante a entrada, processamento e saída de
dados dos sistemas de informação é escopo
a) da auditoria de aplicativos.
b) dos controles gerais de auditoria.
c) da auditoria de infraestrutura tecnológica.
d) da auditoria da segurança de informações.
e) da definição dos recursos de auditoria.
Resolução:
Se a auditoria é para verificar o processamento nos sistemas de informação,
então temos a auditoria de aplicativos, que trata da análise dos softwares,
avaliando a conformidade desses aplicativos com os aspectos legais e
verificando a sua eficiência operacional.
Gabarito: Letra A.

Prof. Ramon Souza
3. QUESTÕES COMENTADAS
Auditoria de TI
11- (FCC - 2015 - TCE-CE - Técnico de Controle Externo-Auditoria de

Tecnologia da Informação) Um auditor coletou relatórios produzidos por um
analista de banco de dados aplicando SQL para verificar se ainda existe
configuração de liberação de acesso de pessoas desligadas da empresa aos
sistemas de informação. Esses relatórios são considerados
a) papéis de trabalho da auditoria.
b) pareceres da auditoria.
c) fatos geradores.
d) procedimentos de auditoria.
e) relatórios finais.
Resolução:
Os papéis de trabalho constituem a documentação preparada pelo
auditor ou fornecida a este na execução da auditoria. Eles integram um
processo organizado de registro de evidências da auditoria, por intermédio de
papel, filmes, meios eletrônicos ou outros que assegurem o objetivo a que se
destinam.
Os papéis de trabalho destinam-se a:
▪ ajudar, pela análise dos documentos de auditorias anteriores, ou pelos

coligidos quando da contratação de uma primeira auditoria, no
planejamento e execução da auditoria;
▪ facilitar a revisão do trabalho de auditoria; e
▪ registrar as evidências do trabalho executado, para fundamentar o
parecer do auditor.
Gabarito: Letra A.
12- (FGV - 2015 - TJ-RO - Analista de Sistemas) Durante a execução de

uma auditoria de TI, o auditor pode encontrar certos fatos significativos, dignos
de relato, que demonstrem boas práticas de gestão quando comparadas com
critérios estabelecidos no Programa de Auditoria. Nesse caso, esses fatos são
denominados:
a) achados de auditoria positivos;
b) achados de auditoria negativos;
c) achados de auditoria em conformidade;
d) comunicação de auditoria positiva;
e) comunicação de auditoria negativa.

Prof. Ramon Souza
Resolução:
Sendo o controle a finalidade da auditoria, os achados negativos são o centro
do procedimento de auditoria. É importante destacar, contudo, que embora um
achado de auditoria seja quase sempre associado a um aspecto negativo que
revela uma impropriedade ou irregularidade, pode ser também um achado
positivo indicando boas práticas de gestão.
Gabarito: Letra A.
13- (FCC - 2014 - TCE-GO - Analista de Controle Externo - Tecnologia

da Informação) Em uma auditoria de contratos firmados pela área de TI, o
Auditor registrou achados de auditoria, os quais são
a) fatos sobre os contratos apontados pelo auditado como aqueles que devem
ser considerados na auditoria, com avaliação corroborada entre auditado e
Auditor.
b) padrões de trabalho determinados no manual técnico de auditoria, utilizado
por todo Auditor interno operacional e externo operacional.
c) fatos não relacionados com o escopo da auditoria, que podem ser de interesse
da entidade em futuros trabalhos de auditoria interna.
d) fatos relevantes para sustentar as conclusões da auditoria, os quais devem
ser devidamente evidenciados.
e) pareceres do Auditor, emitidos ao final dos trabalhos de auditoria ou
constantes em relatórios intermediários de andamento dos trabalhos.
Resolução:
Os achados ou constatações são fatos significativos, relevantes,
objetivos e irrefutáveis, que fundamentam as conclusões e as
recomendações apresentadas na fase final do procedimento de auditoria.
auditado. Os achados possuem os seguintes elementos:
▪ Condição ou situação encontrada (o que é): situação existente,

determinada e documentada durante a fase de execução de auditoria.
Reflete o grau em que os critérios estão sendo atingidos. É a detecção de
como está o objeto de auditoria em dado momento.
▪ Critério (o que deve ser): norma pela qual o auditor mede a condição.
São as metas que a entidade está tentando atingir ou as normas relacionadas
com o alcance das metas.

Prof. Ramon Souza
▪ Causa (por que ocorreu): razão pela qual a condição deficiente

ocorreu, ou seja, o motivo pelo qual não se cumpriu o critério ou norma
estabelecida.
▪ Efeito (diferença entre o que é e o que deve ser): resultado adverso
da condição encontrada, representado, normalmente, por perda de
dinheiro ou falta de efetividade no atingimento das metas.
Gabarito: Letra D.
14- (FEMPERJ - 2012 - TCE-RJ - Analista de Controle Externo -

Tecnologia da Informação) Ao longo de uma auditoria de TI, o auditor deve
aplicar testes de conformidade e testes substantivos. Com relação a esses
últimos, o objetivo é verificar se:
a) de fato realmente ocorreu o que está registrado;
b) os controles internos estão sendo executados na forma determinada pela
organização;
c) os funcionários estão respeitando as normas internas;
d) os resultados estão sendo devidamente comunicados aos responsáveis;
e) as falhas e irregularidades encontradas poderiam ter sido evitadas.
Resolução:
Um dos objetivos dos testes substantivos é verificar se o fato ocorreu.
Os testes substantivos visam à obtenção de evidência quanto à suficiência,
exatidão e validade dos dados produzidos pelos sistemas de
tenham ocorrido;
divulgadas.
Gabarito: Letra A.

Prof. Ramon Souza

Tecnologia da Informação) Ao final de um processo de auditoria, o relatório
final deve:
a) conter necessariamente a opinião do auditor sobre as não conformidades
encontradas;
b) ser revisado por toda a equipe de auditores, para evitar inconsistências;
c) relatar todas as falhas encontradas, não sendo recomendada a divisão nas
sub-áreas auditadas;
d) ser bem detalhado, não devendo conter uma síntese dos resultados obtidos,
para evitar possíveis interpretações errôneas por parte da alta direção;
e) ser objetivo e estritamente técnico, não cabendo pareceres da gerência
superior sobre os achados e recomendações dos auditores.
Resolução:
a) Incorreto: no limite, pode haver uma auditoria que sem não conformidades,
então não cabe a opinião do auditor.
b) Correto: a revisão do relatório é importante para garantir a validade das
informações do relatório.
c) Incorreto: não há impedimento para a divisão do relatório em sub-áreas
para fins de organização e apresentação dos resultados.
d) Incorreto: um relatório pode conter uma síntese dos resultados obtidos,
sendo bem comum nos relatórios de auditoria, inclusive.
e) Incorreto: embora seja um documento técnico, é desejável que o
relatório seja escrito em linguagem clara, precisa e objetiva, recorrendo-
se ao vocabulário técnico para o estritamente necessário, facilitando a
compreensão do destinatário, sem haver necessidade de informações
adicionais.
Gabarito: Letra B.

Prof. Ramon Souza

Tecnologia da Informação) Se, durante a realização de um processo de
auditoria de TI, for encontrada uma evidência considerada incompatível com a
auditoria em execução, tal fato:
a) pode servir para indicar a necessidade de realização de outra auditoria;
b) demonstra que a fase de planejamento da auditoria não foi adequada;
c) deve ser considerado irrelevante, se a auditoria for interna;
d) deve ser desconsiderado, por não ser relevante;
e) comprova uma falha na governança corporativa da instituição auditada.
Resolução:
a) Correto: muitas vezes, durante a execução de uma auditoria, são
encontradas evidências que estão fora do escopo dos trabalhos. Essas
evidências podem indicar que outras auditorias são necessárias com objetivos
diferentes.
b) Incorreto: as evidências fora do escopo apenas indicam que podem ser
objeto de outras auditorias, não significando que o planejamento da auditoria
em questão foi deficiente.
c) Incorreto: embora não seja tratada na auditoria em execução, deve ser
anotada, ainda que em auditoria interna.
d) Incorreto: embora não seja tratada na auditoria em execução, deve ser
anotada para ser avaliado o seu tratamento em outra auditoria.
e) Incorreto: evidências fora no escopo não demonstram falhas em
governança corporativa.
Gabarito: Letra A.

da Informação) Para um Auditor que examinará os controles internos da área
de tecnologia da informação, NÃO é fator determinante do escopo da auditoria:
a) a materialidade.
b) a natureza de negócio da entidade.
c) a inexistência de riscos de auditoria.
d) as exigências legais e regulatórias.
e) as características de organização da entidade.

Prof. Ramon Souza
Resolução:
a) Incorreto: a materialidade é importante, pois define o montante de recursos
envolvidos.
b) Incorreto: é importante considerar o negócio da entidade. O auditor deve
entender o que a organização auditada faz.
c) Correto: a inexistência de riscos de auditoria. O que deve ser considerado é
a existência de riscos, é isso que motiva a auditoria.
d) Incorreto: as exigências legais e regulatória devem ser observadas. O
auditor não pode infringir as leis ou deixar de observas os aspectos legais e
regulamentares.
e) Incorreto: as características de organização da entidade indicam como ela
funciona e, portanto, devem ser avaliadas pelo auditor.
Gabarito: Letra C.

da Informação) Durante um processo de auditoria externa independente, na
área financeira contábil de uma entidade, instaurou-se uma auditoria interna
para avaliar os sistemas de atestação de acessos aos sistemas de informação.
Segundo as recomendações de prática de auditoria, o Auditor Interno da TI deve
a) estar subordinado ao gerente de TI responsável pelos processos de gestão
de acesso, ou gerente responsável pela segurança de informações.
b) ter autonomia de ação, não estando sujeito a constrangimento profissional
ou subordinação que comprometa sua liberdade de ação.
c) dar publicidade para qualquer interessado sobre todas as informações que
obtiver durante o processo de auditoria.
d) estar vinculado a uma entidade externa e independente da entidade
auditada, ou seja, não deve fazer parte do quadro de funcionários da entidade
auditada.
e) controlar os trabalhos do auditor externo independente e monitorar os
resultados apresentados por este.
Resolução:
a) Incorreto: para ser independente, o auditor não deve ser subordinado à
área auditada.
b) Correto: ter autonomia de ação, não estando sujeito a constrangimento
profissional ou subordinação que comprometa sua liberdade de ação.

Prof. Ramon Souza
c) Incorreto: podem existir informações sigilosas que não devem ser

divulgadas para todo o público.
d) Incorreto: é possível que o auditor faça parte do quadro da organização.
e) Incorreto: auditoria interna não deve controlar auditoria externa.
Gabarito: Letra B.
19- (IESES - 2015 - TRE-MA - Analista Judiciário - Análise de Sistemas)

Existem motivações para a realização de um trabalho de auditoria de TI
(Tecnologia da Informação). É correto afirmar quanto aos motivos para
realização de uma auditoria:
a) O responsável de banco de dados é o único beneficiado na organização e por
isso motiva a realização de uma auditoria.
b) Em geral não existem motivações e as atividades realizadas são tratadas
como processos isolados nas empresas.
c) Que a auditoria de TI reforça controles gerais e controles em aplicações
utilizadas na organização.
d) Os motivos atendem a uma decisão isolada da equipe técnica de
desenvolvimento de software.
Resolução:
a) Incorreto: toda a organização pode se beneficiar de uma auditoria.
b) Incorreto: existem diversas motivações para realizar uma auditoria de TI,
incluindo a existência de ineficiências ou problemas de desempenho, indícios de
irregularidades ou outra motivação externa.
c) Correto: a auditoria de TI analisa o ambiente computacional e a
segurança de informações testando e avaliando com profundidade todos os
controles num sistema informatizado, abrangendo suas aplicações e produtos.
d) Incorreto: a auditoria é de nível estratégico, logo não é definida pelo time
de desenvolvimento.
Gabarito: Letra C.

Prof. Ramon Souza

Algumas práticas comuns na auditoria de TI incluem o uso de evidências. É
correto afirmar que são exemplos de evidências:
a) Somente são utilizados documentos com análise de riscos gerada pelo próprio
auditor.
b) Inventário com descarte de avaliações de riscos e relatórios da folha pontos
dos funcionários da empresa.
c) Não são utilizadas evidências durante uma auditoria de TI.
d) Inventário de ativos, documentos sobre a metodologia de avaliação de riscos
e relatórios de avaliação de riscos.
Resolução:
a) Incorreto: podem ser usados documentos que não foram elaborados pelo
auditor.
b) Incorreto: Inventário com descarte de avaliações de riscos e relatórios da
folha pontos dos funcionários da empresa.
c) Incorreto: Não são utilizadas evidências durante uma auditoria de TI.
d) Correto: Inventário de ativos, documentos sobre a metodologia de avaliação
de riscos e relatórios de avaliação de riscos.
Gabarito: Letra D.

Na auditoria em sistemas operacionais, o papel do auditor quanto ao controle
de privilégios de acesso é:
a) Verificar somente com a equipe de recursos humanos o nome e função do
funcionário no momento da entrevista.
b) O papel do auditor de sistemas operacionais não faz controle de privilégios
de acesso.
c) De revisão do registro de pessoal para determinar se os funcionários que
possuem privilégios passaram por uma análise adequada em conformidade com
a política de segurança da empresa.
d) A atividade do auditor de sistemas operacionais é restrita ao mecanismo de
autenticação com o cadastro de recursos humanos.
Resolução:
a) Incorreto: não é o único papel do auditor.
b) Incorreto: o controle de privilégios pode ser auditado.

Prof. Ramon Souza
c) Correto: De revisão do registro de pessoal para determinar se os

funcionários que possuem privilégios passaram por uma análise adequada em
conformidade com a política de segurança da empresa.
d) Incorreto: A atividade do auditor de sistemas operacionais é restrita ao
inclui o mecanismo de autenticação com o cadastro de recursos humanos.
Gabarito: Letra C.

Tecnologia da Informação) O planejamento de procedimentos adicionais de
auditoria de sistemas de informação contábeis deve considerar as razões para
a avaliação atribuída ao risco de distorção relevante no nível de afirmações para
cada classe de transações, saldo de contas e divulgações, incluindo:
I. o risco inerente às características particulares da classe de transações
eletrônicas e seus dados.
II. obter evidência de auditoria para determinar se os controles estão operando
eficazmente.
III. obter evidência de auditoria mais persuasiva quanto menor for a avaliação
de risco do auditor.
IV. o esgotamento da análise dos riscos avaliados de distorção relevante no
nível de afirmações.
Está correto o que se afirma APENAS em
a) II e IV.
b) II e III.
c) III e IV.
d) I e III.
e) I e II.
Resolução:
I. Correto: o risco inerente às características particulares da classe de
transações eletrônicas e seus dados.
II. Correto: obter evidência de auditoria para determinar se os controles estão
operando eficazmente.
III. Incorreto: obter evidência de auditoria mais persuasiva quanto menor
maior for a avaliação de risco do auditor.
IV. Incorreto: o esgotamento da análise dos riscos avaliados de distorção
relevante no nível de afirmações.
Gabarito: Letra E.

Prof. Ramon Souza

Tecnologia da Informação) O processo de auditoria de TI deve procurar
respeitar certas linhas de ação, como, por exemplo, aquela que diz que:
a) o auditor deve ser um funcionário da organização auditada, trabalhando no
setor analisado;
b) a auditoria procura primordialmente garantir o processo de aquisição de
produtos e serviços de TI;
c) durante a fase de planejamento, o auditor deve reunir a maior quantidade
possível de informações sobre a entidade auditada e seu ambiente de TI;
d) todas as falhas e irregularidades encontradas na fase de execução devam ser
coletadas para que os devidos controles sejam implantados na fase seguinte da
auditoria;
e) ferramentas computacionais de apoio à auditoria devem ser evitadas, em
razão da falta de segurança dos softwares nessa área.
Resolução:
a) Incorreto: o auditor pode ser interno a organização, mas não deve ser do
setor auditado.
b) Incorreto: a auditoria pode ser realizada em diversos campos e não somente
para licitações. Exemplos de campos de atuação são: dados; aplicativos;
infraestrutura; gestão.
c) Correto: durante a fase de planejamento, o auditor deve reunir a maior
quantidade possível de informações sobre a entidade auditada e seu ambiente
de TI;
d) Incorreto: os controles não são implementados na auditoria.
e) Incorreto: ferramentas computacionais de apoio à auditoria podem ser
utilizadas.
Gabarito: Letra C.

Prof. Ramon Souza

Tecnologia da Informação) Uma auditoria de TI deve estar atenta:
a) aos parâmetros acordados de entrega de serviços, pois a área de TI deve
estar estruturada adequadamente para atender aos SLAs (Service Level
Agreement) nos contratos;
b) ao processo de gerenciamento de mudanças, para garantir que, depois de
um incidente imprevisível, os serviços de TI possam ser restaurados dentro dos
limites de tempo preestabelecidos;
c) ao planejamento orçamentário de TI, que deverá acompanhar a execução do
planejamento institucional, não podendo haver ajustes em decorrência de
variações no suprimento orçamentário ou de mudanças nas demandas;
d) à terceirização de serviços de TI, que não pode ser utilizada em atividades-
meio da instituição;
e) ao uso de técnicas de auditoria assistidas por computador, pois essa decisão
só pode ser tomada na fase de planejamento e não no decorrer dos exames.
Resolução:
a) Correto: o Acordo de Nível de Serviço deve ser observado.
b) Incorreto: ao processo de gerenciamento de mudanças incidentes, para
garantir que, depois de um incidente imprevisível, os serviços de TI possam ser
restaurados dentro dos limites de tempo preestabelecidos;
c) Incorreto: ao planejamento orçamentário de TI, que deverá acompanhar a
execução do planejamento institucional, não podendo haver ajustes em
decorrência de variações no suprimento orçamentário ou de mudanças nas
demandas;
d) Incorreto: à terceirização de serviços de TI, que não pode ser utilizada em
atividades-meio da instituição;
e) Incorreto: ao uso de técnicas de auditoria assistidas por computador, pois
essa decisão só pode ser tomada na fase de planejamento e não no decorrer
dos exames.
Gabarito: Letra A.
25- (VUNESP - 2015 - TCE-SP - Agente da Fiscalização Financeira -

Sistemas, Gestão de Projetos e Governança de T) Considerando as
definições apresentadas na literatura a respeito da auditoria de sistemas, é
correto afirmar que a auditoria de sistemas de informação
a) pode ser feita por profissionais internos à empresa proprietária dos sistemas
b) não abrange os sistemas de bancos de dados da empresa.

Prof. Ramon Souza
c) não pode ser feita por profissinais externos à empresa proprietária dos
sistemas
d) não se importa com o tipo de controles existentes nos sistemas de
informação.
e) somente deve ser feita uma vez a cada dois anos.
Resolução:
a) Correto: pode ser feita por profissionais internos à empresa proprietária dos
sistemas.
b) Incorreto: não abrange os sistemas de bancos de dados da empresa.
c) Incorreto: não pode ser feita por profissionais externos à empresa
proprietária dos sistemas.
d) Incorreto: não se importa com o tipo de controles existentes nos sistemas
de informação.
e) Incorreto: não há restrição de realizar auditorias em períodos inferiores a
dois anos.
Gabarito: Letra A.

da Informação) Uma empresa foi contratada pela primeira vez para prestar
serviços de auditoria sobre as atividades da área de TI de uma instituição. Os
trabalhos de auditoria foram executados sem observância de trabalhos
anteriores que haviam sido realizados por outras empresas de auditoria, os
quais são relevantes para o objetivo da auditoria. Na execução da auditoria foi
alocado um Auditor que não era especialista em TI. Assim sendo,
a) a prática de não consultar pareceres de auditorias anteriores foi correta para
garantir o princípio da isenção.
b) a alocação de um Auditor não especializado em TI foi correta para garantir
maior nível de investigação, provocando exploração minuciosa através da
indagação sobre os assuntos técnicos.
c) a alocação de um Auditor não especializado em TI foi correta para garantir o
princípio de isenção de avaliação e dos pareceres.
d) a prática de não consultar pareceres de auditorias anteriores foi incorreta,
pois o planejamento dos trabalhos de auditoria deve incluir o uso de trabalhos
anteriores relevantes.
e) o Auditor alocado pode não ser especializado na área de auditoria, desde que
utilize os trabalhos de auditorias anteriores.

Prof. Ramon Souza
Resolução:
a) Incorreto: a prática de não consultar pareceres de auditorias anteriores foi
incorreta para garantir o princípio da isenção.
b) Incorreto: a alocação de um Auditor não especializado em TI foi incorreta
para garantir maior nível de investigação, provocando exploração minuciosa
através da indagação sobre os assuntos técnicos.
c) Incorreto: a alocação de um Auditor não especializado em TI foi incorreta
para garantir o princípio de isenção de avaliação e dos pareceres.
d) Correto: a prática de não consultar pareceres de auditorias anteriores foi
incorreta, pois o planejamento dos trabalhos de auditoria deve incluir o uso de
trabalhos anteriores relevantes.
e) Incorreto: não há essa regra. É importante que o auditor seja especialista
na área auditada, para que ele possa emitir uma opinião adequada.
Gabarito: Letra D.
27- (CESPE - 2019 - SEFAZ-RS - Auditor Fiscal da Receita Estadual -

Bloco I) A evidência verificável de que determinado programa de auditoria
existe consiste na geração e na manutenção de registros, cujas principais
categorias são
a) a documentação interna e a externa.
b) o gênero, a espécie, a tipologia e a natureza do assunto.
c) as auditorias internas e as externas.
d) a auditoria, a análise crítica do programa e a equipe de auditoria.
e) a documentação ostensiva e a sigilosa.
Resolução:
Segundo a ISO 19011, convém que sejam mantidos registros para demonstrar
a implementação do programa de auditoria e convém que incluam o seguinte:
a) registros relativos a auditorias individuais, tais como
- planos de auditoria,
- relatórios de auditoria,
- relatórios de não-conformidade,
- relatórios de ação corretiva e preventiva, e
- relatórios de ações de acompanhamento de auditoria, se aplicável;
b) resultados de análise crítica do programa de auditoria;
c) registros relativos a pessoal de auditoria (equipe de auditoria), incluindo
assuntos tais como

Prof. Ramon Souza
- competência do auditor e avaliação de desempenho,

- seleção da equipe de auditoria, e
- manutenção e aperfeiçoamento da competência
Gabarito: Letra D.

Prof. Ramon Souza
4. RISCO EXPONENCIAL
Engenharia de Software

Prof. Ramon Souza
5. LISTAS DE EXERCÍCIOS
Questões comentadas durante a aula.

Tecnologia da Informação) A área de TI de um Tribunal de Contas
estabeleceu um conjunto de auditorias planejado para um determinado período
de tempo, com o propósito específico de avaliar a integridade dos dados
comunicados entre os sistemas de informação, ou seja, suas interfaces. Essas
auditorias fazem parte de
a) um projeto.
b) um programa.
c) uma rotina.
d) um papel.
e) um achado.
2- (CS-UFG - 2017 - UFG - Analista de Tecnologia da Informação -

Desenvolvimento de Sistemas) Requisitos e atividades de auditoria devem
ser planejados e acordados de forma a maximizar a eficácia do processo de
auditoria e, ao mesmo tempo, minimizar os riscos de interrupção dos processos
de negócio da organização sendo auditada. Para tal, um conjunto de diretrizes
deve ser observado como, por exemplo:
a) exigência de que as pessoas que executam a auditoria sejam dependentes
das atividades auditadas.
b) a isenção de que todos os procedimentos, requisitos e responsabilidades
sejam documentados.
c) a dispensa de que requisitos de auditoria sejam firmados com o nível superior
da administração.
d) a determinação de que o escopo da verificação seja combinado e controlado.
3- (FCC - 2015 - DPE-SP - Analista de Sistemas) Sobre a auditoria de

sistemas, é correto afirmar:
a) O cliente da auditoria é constituído pelos profissionais da equipe de auditoria.
b) Uma auditoria não pode se estender por mais de 4 semanas.
c) As constatações da auditoria constituem-se nos resultados da comparação
entre critérios e evidências.
d) As evidências da auditoria são compostas pelos currículos dos auditores.
e) Uma equipe de auditoria deve ter um mínimo de 5 especialistas.

Prof. Ramon Souza

Tecnologia da Informação) Um serviço de auditoria sobre a administração
dos sistemas de informação usados pela área de contabilidade acabou de ser
executado em uma empresa, entregando para a entidade auditada os papéis da
auditoria sem um parecer do auditor, o qual não se sentiu confortável para
emitir opinião em função dos seus achados não conclusivos sobre a qualidade
das informações contábeis. Essa atitude do auditor não respeita as normas de
auditoria estabelecidas na NBC, pois o auditor deveria ter emitido um
a) parecer sem ressalvas.
b) parecer com ressalvas.
c) parecer com abstenção de opinião.
d) parecer adverso.
e) termo circunstanciado de interrupção da auditoria.
5- (FGV - 2015 - TJ-RO - Analista de Sistemas) Em uma auditoria de TI,

não foram aplicados testes substantivos pelo auditor. Nesse caso, a falta de
aplicação significa que:
a) não foi verificado se a comunicação de resultados aos responsáveis está
sendo realizada;
b) eventuais testes de conformidade realizados durante a auditoria perderam a
validade;
c) não foi verificado se normas internas da organização estão sendo seguidas;
d) não foi verificado se de fato realmente ocorreu aquilo que está registrado;
e) não é mais possível realizar uma análise de riscos.
6- (FCC - 2018 - Prefeitura de São Luís - MA - Auditor Fiscal de

Tributos I - Tecnologia da Informação (TI)) Os controles internos, visando
facilitar o processo de auditoria de TI, podem ser implantados de três modos,
dentre os quais se encontra o
a) Relativo, constatando falhas, desperdícios, irregularidades e ilegalidades
sanáveis ou insanáveis, que ocorrem após os fatos terem sido realizados.
b) Preventivo, orientando para que sejam evitadas as ocorrências de falhas,
c) Corretivo, detectando falhas, desperdícios, irregularidades e ilegalidades
sanáveis, que ocorrem durante a realização dos fatos.
d) Definitivo, impedindo a ocorrência de falhas, desperdícios, irregularidades e
ilegalidades, evitando gastos com a adoção posterior de medidas corretivas.

Prof. Ramon Souza
e) Punitivo, impondo severas punições quando da ocorrência de falhas,

7- (FCC - 2015 - Prefeitura de São Luís - MA - Auditor de Controle

Interno - Área de Tecnologia da Informação (TI)) Uma empresa está
elaborando e divulgando para seus funcionários, um conjunto de documentos
que explicam as regras de pagamento por serviços de desenvolvimento de
software, com a finalidade de fazer com que as pessoas saibam quais as suas
responsabilidades. Para a auditoria, essas ações fazem parte do
desenvolvimento
a) do gerenciamento de riscos.
b) do ambiente de controle.
c) da atividade de controle.
d) do monitoramento de práticas.
e) do controle regulatório.
8- (FCC - 2019 - SEFAZ-BA - Auditor Fiscal - Tecnologia da Informação

- Prova II) Um Auditor Fiscal da área de Tecnologia da Informação está
participando da implantação de controles Gerais de TI relacionados ao
desenvolvimento de sistemas, alterações de programas e segregação de
funções. Percebeu que na organização inexiste processo sistematizado para
desenvolvimento e manutenção de sistemas e, como controle, sugeriu,
corretamente, que
a) as políticas e os procedimentos específicos devem ser padronizados e
formalizados para instalar e modificar softwares, bem como documentar e
solucionar problemas com esses softwares.
b) as alterações no sistema deverão ser aprovadas somente pelo proprietário
do sistema, e não pela área de TI.
c) as alterações de programas não se sujeitarão ao Processo de
d) os softwares alterados não precisarão ser testados e aprovados em ambiente
específico de testes/homologação.
e) os ambientes de desenvolvimento não deverão ser segregados (produção,
homologação, teste e desenvolvimento).

Prof. Ramon Souza

Interno - Área de Tecnologia da Informação (TI)) Em um programa de
auditoria, a abordagem de executar as mesmas tarefas feitas em sistemas
computacionais, de forma manual e em paralelo com o computador, conferindo
apenas as entradas e saídas do processamento, é conhecida como
a) avaliação de complexidade ciclomática.
b) avaliação de caixa branca.
c) abordagem através do computador.
d) abordagem com o computador.
e) abordagem ao redor do computador.

Interno - Área de Tecnologia da Informação (TI)) A avaliação de controles
específicos implementados para prevenir, detectar e corrigir erros e
irregularidades em transações durante a entrada, processamento e saída de
dados dos sistemas de informação é escopo
a) da auditoria de aplicativos.
b) dos controles gerais de auditoria.
c) da auditoria de infraestrutura tecnológica.
d) da auditoria da segurança de informações.
e) da definição dos recursos de auditoria.

Prof. Ramon Souza
Auditoria de TI

Tecnologia da Informação) Um auditor coletou relatórios produzidos por um
analista de banco de dados aplicando SQL para verificar se ainda existe
configuração de liberação de acesso de pessoas desligadas da empresa aos
sistemas de informação. Esses relatórios são considerados
a) papéis de trabalho da auditoria.
b) pareceres da auditoria.
c) fatos geradores.
d) procedimentos de auditoria.
e) relatórios finais.
12- (FGV - 2015 - TJ-RO - Analista de Sistemas) Durante a execução de

uma auditoria de TI, o auditor pode encontrar certos fatos significativos, dignos
de relato, que demonstrem boas práticas de gestão quando comparadas com
critérios estabelecidos no Programa de Auditoria. Nesse caso, esses fatos são
denominados:
a) achados de auditoria positivos;
b) achados de auditoria negativos;
c) achados de auditoria em conformidade;
d) comunicação de auditoria positiva;
e) comunicação de auditoria negativa.

da Informação) Em uma auditoria de contratos firmados pela área de TI, o
Auditor registrou achados de auditoria, os quais são
a) fatos sobre os contratos apontados pelo auditado como aqueles que devem
ser considerados na auditoria, com avaliação corroborada entre auditado e
Auditor.
b) padrões de trabalho determinados no manual técnico de auditoria, utilizado
por todo Auditor interno operacional e externo operacional.
c) fatos não relacionados com o escopo da auditoria, que podem ser de interesse
da entidade em futuros trabalhos de auditoria interna.
d) fatos relevantes para sustentar as conclusões da auditoria, os quais devem
ser devidamente evidenciados.
e) pareceres do Auditor, emitidos ao final dos trabalhos de auditoria ou
constantes em relatórios intermediários de andamento dos trabalhos.

Prof. Ramon Souza

Tecnologia da Informação) Ao longo de uma auditoria de TI, o auditor deve
aplicar testes de conformidade e testes substantivos. Com relação a esses
últimos, o objetivo é verificar se:
a) de fato realmente ocorreu o que está registrado;
b) os controles internos estão sendo executados na forma determinada pela
organização;
c) os funcionários estão respeitando as normas internas;
d) os resultados estão sendo devidamente comunicados aos responsáveis;
e) as falhas e irregularidades encontradas poderiam ter sido evitadas.

Tecnologia da Informação) Ao final de um processo de auditoria, o relatório
final deve:
a) conter necessariamente a opinião do auditor sobre as não conformidades
encontradas;
b) ser revisado por toda a equipe de auditores, para evitar inconsistências;
c) relatar todas as falhas encontradas, não sendo recomendada a divisão nas
sub-áreas auditadas;
d) ser bem detalhado, não devendo conter uma síntese dos resultados obtidos,
para evitar possíveis interpretações errôneas por parte da alta direção;
e) ser objetivo e estritamente técnico, não cabendo pareceres da gerência
superior sobre os achados e recomendações dos auditores.

Tecnologia da Informação) Se, durante a realização de um processo de
auditoria de TI, for encontrada uma evidência considerada incompatível com a
auditoria em execução, tal fato:
a) pode servir para indicar a necessidade de realização de outra auditoria;
b) demonstra que a fase de planejamento da auditoria não foi adequada;
c) deve ser considerado irrelevante, se a auditoria for interna;
d) deve ser desconsiderado, por não ser relevante;
e) comprova uma falha na governança corporativa da instituição auditada.

Prof. Ramon Souza

da Informação) Para um Auditor que examinará os controles internos da área
de tecnologia da informação, NÃO é fator determinante do escopo da auditoria:
a) a materialidade.
b) a natureza de negócio da entidade.
c) a inexistência de riscos de auditoria.
d) as exigências legais e regulatórias.
e) as características de organização da entidade.

da Informação) Durante um processo de auditoria externa independente, na
área financeira contábil de uma entidade, instaurou-se uma auditoria interna
para avaliar os sistemas de atestação de acessos aos sistemas de informação.
Segundo as recomendações de prática de auditoria, o Auditor Interno da TI deve
a) estar subordinado ao gerente de TI responsável pelos processos de gestão
de acesso, ou gerente responsável pela segurança de informações.
b) ter autonomia de ação, não estando sujeito a constrangimento profissional
ou subordinação que comprometa sua liberdade de ação.
c) dar publicidade para qualquer interessado sobre todas as informações que
obtiver durante o processo de auditoria.
d) estar vinculado a uma entidade externa e independente da entidade
auditada, ou seja, não deve fazer parte do quadro de funcionários da entidade
auditada.
e) controlar os trabalhos do auditor externo independente e monitorar os
resultados apresentados por este.

Existem motivações para a realização de um trabalho de auditoria de TI
(Tecnologia da Informação). É correto afirmar quanto aos motivos para
realização de uma auditoria:
a) O responsável de banco de dados é o único beneficiado na organização e por
isso motiva a realização de uma auditoria.
b) Em geral não existem motivações e as atividades realizadas são tratadas
como processos isolados nas empresas.
c) Que a auditoria de TI reforça controles gerais e controles em aplicações
utilizadas na organização.
d) Os motivos atendem a uma decisão isolada da equipe técnica de
desenvolvimento de software.

Prof. Ramon Souza

Algumas práticas comuns na auditoria de TI incluem o uso de evidências. É
correto afirmar que são exemplos de evidências:
a) Somente são utilizados documentos com análise de riscos gerada pelo próprio
auditor.
b) Inventário com descarte de avaliações de riscos e relatórios da folha pontos
dos funcionários da empresa.
c) Não são utilizadas evidências durante uma auditoria de TI.
d) Inventário de ativos, documentos sobre a metodologia de avaliação de riscos
e relatórios de avaliação de riscos.

Na auditoria em sistemas operacionais, o papel do auditor quanto ao controle
de privilégios de acesso é:
a) Verificar somente com a equipe de recursos humanos o nome e função do
funcionário no momento da entrevista.
b) O papel do auditor de sistemas operacionais não faz controle de privilégios
de acesso.
c) De revisão do registro de pessoal para determinar se os funcionários que
possuem privilégios passaram por uma análise adequada em conformidade com
a política de segurança da empresa.
d) A atividade do auditor de sistemas operacionais é restrita ao mecanismo de
autenticação com o cadastro de recursos humanos.

Tecnologia da Informação) O planejamento de procedimentos adicionais de
auditoria de sistemas de informação contábeis deve considerar as razões para
a avaliação atribuída ao risco de distorção relevante no nível de afirmações para
cada classe de transações, saldo de contas e divulgações, incluindo:
I. o risco inerente às características particulares da classe de transações
eletrônicas e seus dados.
II. obter evidência de auditoria para determinar se os controles estão operando
eficazmente.
III. obter evidência de auditoria mais persuasiva quanto menor for a avaliação
de risco do auditor.
IV. o esgotamento da análise dos riscos avaliados de distorção relevante no
nível de afirmações.

Prof. Ramon Souza
Está correto o que se afirma APENAS em

a) II e IV.
b) II e III.
c) III e IV.
d) I e III.
e) I e II.

Tecnologia da Informação) O processo de auditoria de TI deve procurar
respeitar certas linhas de ação, como, por exemplo, aquela que diz que:
a) o auditor deve ser um funcionário da organização auditada, trabalhando no
setor analisado;
b) a auditoria procura primordialmente garantir o processo de aquisição de
produtos e serviços de TI;
c) durante a fase de planejamento, o auditor deve reunir a maior quantidade
possível de informações sobre a entidade auditada e seu ambiente de TI;
d) todas as falhas e irregularidades encontradas na fase de execução devam ser
coletadas para que os devidos controles sejam implantados na fase seguinte da
auditoria;
e) ferramentas computacionais de apoio à auditoria devem ser evitadas, em
razão da falta de segurança dos softwares nessa área.

Tecnologia da Informação) Uma auditoria de TI deve estar atenta:
a) aos parâmetros acordados de entrega de serviços, pois a área de TI deve
estar estruturada adequadamente para atender aos SLAs (Service Level
Agreement) nos contratos;
b) ao processo de gerenciamento de mudanças, para garantir que, depois de
um incidente imprevisível, os serviços de TI possam ser restaurados dentro dos
limites de tempo preestabelecidos;
c) ao planejamento orçamentário de TI, que deverá acompanhar a execução do
planejamento institucional, não podendo haver ajustes em decorrência de
variações no suprimento orçamentário ou de mudanças nas demandas;
d) à terceirização de serviços de TI, que não pode ser utilizada em atividades-
meio da instituição;
e) ao uso de técnicas de auditoria assistidas por computador, pois essa decisão
só pode ser tomada na fase de planejamento e não no decorrer dos exames.

Prof. Ramon Souza
25- (VUNESP - 2015 - TCE-SP - Agente da Fiscalização Financeira -

Sistemas, Gestão de Projetos e Governança de T) Considerando as
definições apresentadas na literatura a respeito da auditoria de sistemas, é
correto afirmar que a auditoria de sistemas de informação
a) pode ser feita por profissionais internos à empresa proprietária dos sistemas
b) não abrange os sistemas de bancos de dados da empresa.
c) não pode ser feita por profissinais externos à empresa proprietária dos
sistemas
d) não se importa com o tipo de controles existentes nos sistemas de
informação.
e) somente deve ser feita uma vez a cada dois anos.

da Informação) Uma empresa foi contratada pela primeira vez para prestar
serviços de auditoria sobre as atividades da área de TI de uma instituição. Os
trabalhos de auditoria foram executados sem observância de trabalhos
anteriores que haviam sido realizados por outras empresas de auditoria, os
quais são relevantes para o objetivo da auditoria. Na execução da auditoria foi
alocado um Auditor que não era especialista em TI. Assim sendo,
a) a prática de não consultar pareceres de auditorias anteriores foi correta para
garantir o princípio da isenção.
b) a alocação de um Auditor não especializado em TI foi correta para garantir
maior nível de investigação, provocando exploração minuciosa através da
indagação sobre os assuntos técnicos.
c) a alocação de um Auditor não especializado em TI foi correta para garantir o
princípio de isenção de avaliação e dos pareceres.
d) a prática de não consultar pareceres de auditorias anteriores foi incorreta,
pois o planejamento dos trabalhos de auditoria deve incluir o uso de trabalhos
anteriores relevantes.
e) o Auditor alocado pode não ser especializado na área de auditoria, desde que
utilize os trabalhos de auditorias anteriores.

Prof. Ramon Souza
27- (CESPE - 2019 - SEFAZ-RS - Auditor Fiscal da Receita Estadual -

Bloco I) A evidência verificável de que determinado programa de auditoria
existe consiste na geração e na manutenção de registros, cujas principais
categorias são
a) a documentação interna e a externa.
b) o gênero, a espécie, a tipologia e a natureza do assunto.
c) as auditorias internas e as externas.
d) a auditoria, a análise crítica do programa e a equipe de auditoria.
e) a documentação ostensiva e a sigilosa.

Prof. Ramon Souza
6. GABARITO
1 B 11 A 21 C
2 D 12 A 22 E
3 C 13 D 23 C
4 C 14 A 24 A
5 D 15 B 25 A
6 B 16 A 26 D
7 B 17 C 27 D
8 A 18 B
9 E 19 C
10 A 20 D


Introdução à Auditoria de TI

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Introdução à Auditoria de TI

Enviado por

Direitos autorais:

Formatos disponíveis

Aula – Introdução à Auditoria de TI

Professor: Ramon Souza

Aula – Introdução à Auditoria de TI

Para facilitar sua referência, abaixo listamos as esquematizações desta aula:

Prof. Ramon Souza 2 de 54

1.1 Introdução à auditoria

Das áreas Desempenho

Uma auditoria pode ser interna ou externa.

▪ Auditoria externa é realizada por auditores independentes, que

Prof. Ramon Souza 3 de 54

Auditoria •Realizada por profissionais ligados à própria

Auditoria •Realizada por auditores independentes, que

Esquema 2 – Auditoria interna e externa.

As auditorias podem ser agrupadas em um programa de auditoria. Um

1- (FCC - 2015 - TCE-CE - Técnico de Controle Externo-

Prof. Ramon Souza 4 de 54

1.2 Processo de auditoria

▪ Após o planejamento da auditoria, segue-se para a fase de execução.

▪ A fase final do procedimento de auditoria é a confecção do relatório,

O esquema a seguir apresenta um modelo de processo de auditoria,

Esquema 3 – Processo de auditoria.

Prof. Ramon Souza 5 de 54

O planejamento de auditoria é a etapa do trabalho na qual o auditor

Os principais objetivos do planejamento da auditoria são obter o

No planejamento da auditoria devem ser especificados os objetivos da

A partir dos objetivos de auditoria, é possível derivar as questões de

Em relação ao planejamento, cabe ainda mencionar que este deve ser

A saída do planejamento da auditoria é o projeto de auditoria, que

Planejamento Objetivos do Objetivo da Projeto de

• Estratégia • Conhecer as • Objetivo: • Documenta o

Esquema 4 – Planejamento de auditoria.

Prof. Ramon Souza 6 de 54

2- (CS-UFG - 2017 - UFG - Analista de Tecnologia da

Prof. Ramon Souza 7 de 54

A execução é a fase de “mão na massa” da auditoria. Na execução, a

Na fase de execução, são desenvolvidos os trabalhos de campo,

Temos aqui nesta fase três conceitos fundamentais: evidência, achado e

As evidências são informações colhidas no procedimento de auditoria,

Os achados ou constatações são fatos significativos, relevantes,

▪ Condição ou situação encontrada (o que é): situação existente,

▪ Critério (o que deve ser): norma pela qual o auditor mede a

▪ Causa (por que ocorreu): razão pela qual a condição deficiente

▪ Efeito (diferença entre o que é e o que deve ser): resultado

Prof. Ramon Souza 8 de 54

O Quadro a seguir apresenta um exemplo de um achado de auditoria:

Achado Insuficiência de leitos psiquiátricos na maior parte dos estados brasileiros.

Causas - Distribuição desigual de leitos entre os estados da federação;

Efeitos - Deficiência de atendimento em locais com baixo índice de leitos;

Sendo o controle a finalidade da auditoria, os achados negativos são o

É importante que os achados estejam documentados por meio de papéis

Os papéis de trabalho destinam-se a:

▪ ajudar, pela análise dos documentos de auditorias anteriores, ou pelos

Prof. Ramon Souza 9 de 54

Os principais conceitos da fase de execução da auditoria são

Informações colhidas com certeza manifesta

Fatos significativos, relevantes, objetivos e

Embora maioria seja negativo, pode ser um

Documentação preparada pelo auditor ou

Esquema 5 – Execução de auditoria.

Vale também esquematizar os elementos de um achado ou

Condição ou situação encontrada (o que é) Critério (o que deve ser)

Efeito (diferença entre o que é e o que deve