Escolar Documentos
Profissional Documentos
Cultura Documentos
organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos dados
manipulados pelo computador.
Resumo: A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos
contábeis da organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos
dados manipulados pelo computador. Assim, ela estabelece e mantém procedimentos documentados
para planejamento e utilização dos recursos computacionais da empresa, verificando aspectos de
segurança e qualidade. O trabalho da auditoria de sistemas acontece com o estabelecimento de
metodologias, objetivos de controle e procedimentos a serem adotados por todos aqueles que operam
ou são responsáveis por equipamentos de TI e/ou sistemas dentro da organização.
Sumário
1. INTRODUÇÃO.. 3
2. DESENVOLVIMENTO.. 3
2.4.1. Planejamento. 8
3. CONCLUSÃO.. 19
4. REFERÊNCIAS BIBLIOGRÁFICAS. 20
2. DESENVOLVIMENTO
Os sistemas são abertos ou fechados. Os sistemas abertos podem receber dados controlados ou não
controlados, uma vez que recebem influência do ambiente interno e externo onde operam, enquanto os
sistemas fechados, devido à sua natureza, não têm interferência do ambiente e somente poderiam
receber os dados controlados. As delimitações dos sistemas são feitas propositadamente durante seu
desenho simplesmente para fomentara segregação das funções dos sistemas incompatíveis. Podem ser
tanto adaptáveis, quando implantados para produzir um resultado desejado em um ambiente de
grandes mudanças rotineiras, como também corretivos, implantados para produzir um resultado
específico e não rotineiro.
A auditoria em ambiente de tecnologia de informação não muda a formação exigida para a profissão de
auditor, apenas percebe que as informações até então disponíveis em forma de papel são agora
guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar para se assegurar de que
essas informações em forma eletrônica sejam confiáveis antes de emitir sua opinião.
c)atender às expectativas dos clientes, que esperam de seus auditores o mesmo grau de automatização
que utilizam em seu próprio negócio;
d)preparar-se para a globalização dos negócios, que vem exigindo uma globalização dos auditores;
liberação de funcionários mais experientes para que se dediquem a áreas mais técnicas e de maior risco;
maior produtividade;
realização das tarefas sem a automatização pelos profissionais menos experientes. Antes somente
poderiam ser executadas por profissionais mais experientes
A auditoria tradicional sempre foi conhecida por sua responsabilidade nos testes de confiabilidade dos
registros de acordo com os documentos-fonte (os documentos que geram todas as transações
econômicas, financeiras e contábeis) disponíveis através de quaisquer dados intermediários que possam
existir e para os quais são produzidos relatórios para a tomada de decisões gerenciais. Porém, devido à
evolução da tecnologia da informação, que interfere nas tecnologias gerenciais, geração a geração, é
necessário guardar as informações para que sejam acessíveis para auditoria quando forem requisitadas.
Sabe-se que, devido à complexidade dos ambientes e expansão dos negócios que atingiram
implementações em ambiente de intranet e internet, há grandes problemas quanto à vulnerabilidade de
computadores e alguns casos comuns de fraudes.
Auditoria ao redor do computador no passado era uma abordagem muito solicitada pelos auditores,
devido ao não envolvimento de muito tecnologia de informação. A abordagem requer que o auditor
exame os níveis de anuência associados à aplicação dos controles organizacionais, no que concerne à
tecnologia de informação.
Há geralmente um questionamento quanto à operação deste método no qual se indaga uma boa prática
de auditoria. Todavia, a dificuldade para decidir-se deu-se devido à capacidade de tais sistemas serem
programados para executarem operações contábeis simples e os auditores conduzirem como tarefas,
avaliando simples entradas e saídas dos sistemas. Deve-se notar que, apesar de essa abordagem não ser
tão apropriada para ambiente complexos, ela ainda é bastante conveniente para sistemas menores,
onde a maior parte das atividades de rotina é executada manualmente.
Conforme cita Milko[1970], “esta abordagem é baseada na asserção de que os inputs de sistemas
podem ser tidos como corretos se os resultados do sistema refletirem com precisão todos os dados-
fonte. Então o output também deve ser correto e as formas pelas quais o sistema processou os dados
têm pouca consequência”. Ressalta-se que, até o presente , utilizando-se desta abordagem , os
auditores tomaram pouco ou nenhum envolvimento com os registros gerados pelo computador. O que
os faz gerar “query”; rastrear dados etc. entrados no sistema, sem tocar nos programas propriamente
ditos.
não se exige conhecimento extenso de tecnologia de informação para que o auditor possa operar
convenientemente este método, e isto faz com que as técnicas e ferramentas de auditoria sejam
válidas;
também sua aplicação envolve custos baixos e diretos;
restrição operacional quanto ao conhecimento de como os dados são atualizados faz com que a
auditoria seja incompleta e inconsistente, uma vez que o processo operacional é dinâmico, atendendo
às necessidades sociais;
A eficiência operacional de auditoria pode ser avaliada com maior dificuldade, visto que não há
parâmetros claros e padronizados;
Uma vez não sendo necessário que o auditor possua maior capacidade profissional adequada no que se
refere à tecnologia de informação , e para capacitá-lo a executar uma revisão mais lógica , o sistema
pode ser enquadrado em limites de grande risco, quando houver uma evolução e os documentos-fonte
saírem de seu controle;
O uso desta abordagem envolve mais do que mera confrontação de documentos-fonte com os
resultados esperados, uma vez que os sistemas têm evoluído muito. No entanto, este método alerta
quanto ao manuseio de dados, aprovação e registro de transações comerciais, sem deixar evidências
documentais razoáveis através dos controles de programas construídos junto aos sistemas. Por esta
razão, o auditor precisa acompanhar o processamento através e dentro do computador.
A abordagem melhor o método de auditoria ao redor do computador. Assim, auditando com esse
método, uma pessoa poderia requisitar, de muitas maneiras, como é praticado na abordagem ao redor
do computador, a verificação dos documentos-fonte com dados intermediários; porém, estabelece o
auditor maior ênfase em todas as técnicas que utilizam o computador como uma ferramenta para testar
a si próprio e, também, testar a entrada de dados.
As pessoas a favor do uso de abordagem através do computador apoiam o uso de test data. É o
processamento de um dispositivo capaz de simular todas as transações possíveis.
b)capacita o auditor a verificar com maior frequência as áreas que necessitam de revisão constante
As desvantagens do uso são:
b)o uso da abordagem pode ser caro, principalmente no que diz respeito ao treinamento de auditores,
aquisição e manutenção dos pacotes de software;
c)partindo do pressuposto de que os pacotes são completos, podem estar errados. As técnicas manuais
podem ser necessárias como complementos para que a abordagem funcione efetivamente;
d)há risco de que os pacotes possam estar contaminados pelo uso frequente na auditoria
organizacional.
A primeira opção – abordagem ao redor do computador – não é eficiente devido ao fato de que
negligencia algumas das qualidades dos controles internos dos sistemas e propicia falta de
disponibilidade de testes substantivos convincentes que visam ajudar na conclusão sobre os sistemas. A
segunda opção – a abordagem através do computador -, preferida como superior à primeira, pode
também produzir registros incompletos. Ao invés de efetuar uma verificação de equilíbrio com as
ferramentas, ela tende a negligenciar os procedimentos manuais, deixando incompleta a maioria das
tarefas normalmente efetuadas manualmente.
Devido às razões citadas, as firmas de auditoria e pesquisadores da área contábil propuseram um meio
de auditar as tecnologias de informações com a maior perfeição possível, utilizando a abordagem com o
computador completamente assistida.
Faz-se uma compilação do processo. Assim agindo, parece que certos objetivos têm sido alcançados. São
eles:
A utilização das capacidades lógicas e aritméticas do computador para verificar se os cálculos das
transações econômicas e financeiras ou aqueles que dizem respeito às responsabilidades, como, por
exemplo, o cálculo das depreciações, taxas e impostos, multiplicações e contabilizações (footings), são
feitos corretamente;
Uma grande facilidade do uso desta abordagem é a disponibilidade e uso vantajoso de:
capacidades de auditoria de aplicar Técnicas de Auditoria Assistida por Computador (TACC), em outros
momentos chamadas de CAAT (Computer Assisted Audit Techniques);
possibilidades de desenvolver programas específicos para serem usados pelo auditor quando da
necessidade de evidenciar uma opinião sobre o processo contábil;
ganhar tempo sobre os passos aplicados com o uso de pacote generalizado de auditoria de tecnologia
de informação.
2.4.1. Planejamento
Um planejamento detalhado e atualizado com base nas principais mudanças do negócio permite indicar
o perfil básico da equipe de auditoria de TI, o qual contempla o seguinte:
Conhecimentos específicos;
Formação acadêmica;
Línguas estrangeiras;
As tarefas devem ser realizadas por auditores que tenham formação, experiência e treinamento
adequados no ramo de especialização. Dependendo da complexidade do ambiente operacional,
aparente risco envolvido, os trabalhos serão desenvolvidos conforme vivência profissional, ou seja,
tarefas mais simples e de menor risco serão desempenhadas por membros menos experientes, e
aquelas mais complexas e de maior risco responsabilidade dos membros mais experientes e de melhor
formação da equipe. A questão de supervisão é inerente ao processo de auditoria para garantir a
qualidade e certificar que as tarefas foram adequadamente feitas. Isto permite cobrir os riscos prováveis
identificados.
Como tarefa de atingir a qualidade exigida pelas práticas de auditoria, os papeis de trabalho são
revisados pelos superiores, que têm a incumbência de assinar junto com seus subordinados o
cumprimento de cada passo de auditoria concluído. Eventualmente, em decorrência dos trabalhos de
auditoria, falhas ou recomendações para melhorias são identificadas e limitam a conclusão do auditor,
assim como determinados procedimentos que não tenham sido concluídos por restrições do próprio
cliente. No entanto, o revisor, não identificando outros passos de auditoria independentes, poderá
solicitar uma nova visita para completar os trabalhos. Contudo, para as pendências de revisão, deve ser
analisado o reflexo do aumento ou alteração do escopo, novos trabalhos, nova abordagem, impacto no
parecer final, na carta de representação da gerência.
Ao revisar os papeis quando se adota a estratégia de Paperless Audit, a intenção das ferramentas de
workflow é fundamental para garantir a integridade do processo de revisão dos papeis. A utilização de
soluções de papeis eletrônicos adicionam-se recursos de automação do processo de emissão de
relatórios. Isso desde a emissão das demonstrações financeiras até a carta de comentários de melhorias
de controles internos. A integração com aplicativos gráficos, e-mail, formulários classificados
eletronicamente é predefinida com campos que identificam responsáveis e níveis de autorização para
acessos, prazos, fluxos de aprovação geralmente otimizam os trabalhos de auditoria de tecnologia de
informação, evitando que o próprio auditor elimine deliberadamente as pendências de auditoria.
O conhecimento em determinado período de auditoria, dito como aquele que muda com pouca
frequência, sempre é fundamental e server como ponto de partida para o período subsequente. A
manutenção em forma eletrônica, a documentação da descrição e a avaliação do ambiente de controle
interno, controles gerais e dos sistemas aplicativos e processos de negócio contribuem para a redução
das horas de auditoria do período seguinte.
d.Matriz de risco que pontue riscos aparentes para todos os principais componentes da demonstração
financeira;
g.Programas de trabalho
A fim de garantir a evolução e o aprimoramento técnico dos profissionais da equipe de auditoria de TI,
deve-se avaliar o desempenho, elogiando os pontos fortes do auditor, auxiliar no reconhecimento das
fraquezas e na elaboração de um plano para superá-las para que se desenvolva um profissional
qualificado e consciente. Como é de praxe, para cada trabalho no qual um profissional é programado, o
sistema que controla a programação emite eletronicamente uma avaliação de desempenho já
preenchida pelo superior, isto é fundamental para nortear a promoção ou não do profissional.
Tais papeis, independentemente de seu enfoque ser sistêmico ou manual, deve ser autossuficientes e
não devem necessitar, subsequentemente, de explicações verbais e adicionais do preparador a fim de
detalhar a metodologia adotada.
Os papeis de trabalho sistêmicos são guardados em base de dados. Essas bases de papeis constituem
informações de planejamento, execução, monitoramento e revisões, follow-up, controles do usuário do
sistema e senhas e alguns recursos de auxílio ao usuário. Mantêm as seguintes figuras: sócios ou sócios
independentes, encarregados, supervisores ou gerentes, assistentes ou seniores, cada um tendo suas
telas cadastradas para exercer suas funções de administração dos serviços de auditoria, conforme
segregação das funções que pode ser feita local ou remotamente por meio de notebooks ligados fora
dos escritórios e em lugares distantes.
Sócio: o responsável pelos serviços de auditoria que terá acesso a todas as telas e documentos
registrados sobre a auditoria cadastrados nos sistemas como revisor de qualidades do serviço como um
todo. Com sua autorização, dá-se o aval sobre o encerramento dos serviços da auditoria iniciados;
Encarregados supervisor ou gerente: chefe da equipe de auditoria que geralmente deve cadastrar os
dados referentes à identificação da auditoria no sistema, tais como o nome, a equipe participante e as
unidades auditáveis, os programas da auditoria serem utilizados, a data de início e fim e os check-lists de
monitoramento. Levanta as pendências referentes aos passos de auditoria cumpridos para serem
atendidos no processo de revisão dos trabalhos. Note-se que somente ele tem acesso para assinalar o
cumprimento ou não das pendências que devem ser observadas pelos subordinados;
Ressalta-se que para a implementação desta abordagem a firma de auditoria pode desenvolver seu
próprio software ou adquirir softwares generalistas de automação de auditoria disponíveis no mercado.
gerenciamento de suprimentos;
Os gestores, na medida do possível, tentam delinear as funções para, em, primeiro lugar, identificar
responsabilidades para todas as tarefas realizadas na organização e, em segundo lugar, amenizar
conflitos que certamente surgirão no decorrer do dia a dia operacional. Esse desmembramento das
atividades é caracterizado por segregação das funções, cargo chefe dos controles organizacionais. A
segregação de funções compatíveis é uma medida de controle para enfatizar o evangelho de
responsabilidades, fazendo com que cada um seja cobrado por suas tarefas de acordo com seus
resultados. Esse controle geral é vital tanto no ambiente manual como no ambiente computadorizado.
Entretanto, a segregação de funções (autorização, gravação e acesso para ativos) pode não ser
efetivamente possível em um ambiente de computador. Por exemplo, um computador pode imprimir
cheques, promover o registro de desembolsos, gerar informação para reconciliar o saldo de conta,
costumeiramente, atividades que são segregadas em um processo manual. Se a mesma pessoa origina
os dados para transações críticas como essas, processa e recebe os resultados para tomada de decisões,
uma fraqueza de controle significante existe. De forma adequada, não deveriam existir duplicidade de
tarefas.
Para que os controles organizacionais sejam efetivos, deve haver lealdade e confiança mútua entre a
empresa e funcionários. Os funcionários deve ser tratados com respeito, justiça e, sobretudo,
honestidade; deve-se fazer com que eles percebam que é assim a cultura da empresa, evitando-se
percepção da falta de motivação que fomenta ingerência. Salários baixos e condições subumanas de
trabalho podem propiciar o descumprimento dos controles organizacionais da área de informática que,
normalmente, devido à natureza das atividades, tem acesso privilegiado às informações estratégicas da
empresa.
Embora exista ambiente complexo de computação que acompanhe todas as tendências de tecnologia
de informação de que o estabelecimento precisa, isto por si não garante segurança se as políticas
organizacionais e operacionais não forem implementadas com rigor. No ambiente de alta tecnologia,
quando se segregam as funções, apenas dificulta-se a propensão para fraudes dos fluxos operacionais.
Portanto, os ciclos operacionais, que têm tarefas de originar as transações e as autorizações segregadas,
para que ocorra fraude, necessitariam de conivências de mais de duas pessoas, ao invés de concentrar
todos o ciclo de transações críticas na mão de apenas um. Deve-se ressaltar que os usuários finais
apenas precisam de acesso aos dados, aplicações e funções para atender somente a suas atribuições de
tarefas e nada mais.
Princípios
A organização deve identificar e proteger os ativos considerados críticos para as operações. Ativos
intangíveis e tangíveis, atentando para sua depreciação ou exaustão, inclusive de sua reposição. A
gerência tem responsabilidade sobre os ativos que estão sob sua guarda; no entanto, deve estabelecer
procedimentos administrativos para garantir sua proteção.
Políticas
Promover a revisão dos procedimentos existentes periodicamente, atentando para correção de falhas
ou fraquezas.
Relatar estado da arte, apontando abusos e transgressões em tempo hábil para facilitar a
implementação de medidas punitivas. Essas punições devem estar disponíveis e já conhecidas pelos
colaboradores através do processo de conscientização.
Objetivo
Assegurar que há planos para minimizar impactos de desastres que resultam na interrupção das
operações normais da organização devido à falta de sistemas de informações.
Principio
Política
As políticas incluem:
Gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que
poderia ficar sem o sistema;
Gerencia deve assinalar prioridades aos sistemas de informações para que possa determinar as
necessidades de backup e sua periodicidade;
O BCP deve ser desenvolvido e documentado e ter as manutenções atualizadas para garantir as
operações pós-desastres.
Atuar junto à gerência de TI, definindo e propondo metas e soluções, de modo que toda a infraestrutura
de informática da empresa esteja sempre no patamar tecnológico e funcional adequado para as
necessidades desta pasta
Garantir a integração das equipes técnicas disponibilizadas para realizar os serviços de gerenciamento
de rede e suporte aos usuários;
Implementar junto à equipe técnica os projetos e metas definidas pela gerencia de TI;
Garantir o perfeito funcionamento de todo o ambiente de informática, através das equipes técnicas,
reportando falhas e ações corretivas á gerencia de TI;
Manter e garantir o máximo sigilo sobre todas as informações referentes à rede da empresa.
Instalar, administrar e dar suporte aos servidores de e-mail, DNS, firewall e proxy da empresa e das
unidades interligadas nas plataformas utilizadas;
Gerar documentação da configuração da rede, bem como relatórios de atualizações e ocorrência dos
servidores;
Traçar as diretrizes para o perfeito funcionamento da rede (servidores, equipamentos ativos e estações
de trabalho etc.) e administrar os serviços específicos que venham a ser contratados para as áreas de
rede;
Adotar as ações necessárias à implantação de novas tecnologias, aprovadas pela gerência de TI;
Supervisionar manutenção preventiva e corretiva, realizadas por terceiros, nos componentes da rede;
Oferecer suporte às demais áreas técnicas quando da instalação e da configuração de qualquer software
no ambiente;
Administrar todo o ambiente de banco de dados, oracle, sql server, entre outros;
Planejar e implementar as estratégias de utilização dos bancos pelas pessoas, sistemas ou programas;
Manter ativo e em operação os sistemas elaborados em Oracle, SQl server entre outros;
Implementar ajustes, melhorias e modificações quando surgirem novos avanços tecnológicos;
Manter rigoroso sigilo sobre as informações da empresa que eventualmente sejam acessadas;
Administrar as contas dos usuarios da empresa para acesso ao ambiente de Banco de Dados, Oracle, SQl
Server e outros
Dar suporte aos usuários do ambiente de banco de dados, oracle, sql server e outros, exceto os sistemas
em produção;
Pesquisar novas falhas de segurança dos sistemas operacionais e produtos utilizados pela empresa;
Manter e garantir o máximo sigilo sobre todas as informações referentes à rede da empresa.
Implementar sistemas corporativos utilizando como linguagens de programação o visual o aspx e o java
nas versões mais atualizadas;
Na questão das implementações de sistemas para web, interagir com o web designer de forma a
estabelecer uma total integração entre o designer e a programação inserida nas páginas do site;
Corrigir falhas decorrentes de erros humanos ou técnicos dos sistemas, mantendo um serviço
permanente de acompanhamento e verificação dos programas;
Corrigir falhas decorrentes de erros humanos ou técnicos dos sistemas, mantendo um serviço
permanente de acompanhamento e verificação dos programas;
Fornecer manuais dos sistemas ou suas atualizações, mantendo o controle sobre eles;
Manter rigoroso sigilo sobre informações da empresa a que eventualmente possam ter acesso;
Manter os programas fonte originais e suas novas versões em local adequado e seguro;
Definir o projeto e a arquitetura de sistema no caso de contratação de empresa especializada para a sua
implementação
Analisar o site de Internet a ser implementado e propor linhas de design adequado com os seus
objetivos e o público-alvo;
Implementar as soluções de design propostas e aprovadas pelas áreas responsáveis pela implementação
dos sites;
Interfacear com a equipe de implementação de sistemas para web de forma a integrar o design com os
programas elaborados para a consolidação das páginas que compõem o site na web;
Operador de Console: os operadores de console são responsáveis pelo processo atual de dados,
conforme manual de operações e mensagens recebidas dos sistemas (pode ser emitido em forma de
hardcopy para revisão pelo grupo de controle). Eles carregam dados, montam dispositivos de
armazenamento e operam os equipamentos compartilhados ou gerenciados em forma na rede,
normalmente em ambiente de grande porte. Os operadores de console não deveriam ser nomeados
para as tarefas de programação ou responsabilidade por projeção de sistemas. Portanto, não deveriam
ter nenhuma oportunidade para fazer mudanças em programas e sistemas em ambiente de produção.
Idealmente, os operadores de computador não deveriam ter conhecimento de programação, Somente
teriam acesso à documentação estritamente necessária para seus trabalhos.
Operadores de conversão de dados: executam as tarefas de preparação de dados e transmissão, por
exemplo, conversão de dados fonte para fita magnética, CD ou DVD e entradas de transações de
terminais remotos.
Encaminhar, quando necessário, os equipamentos com defeito para a oficina e/o laboratório próprio, ou
da contratada, ou do fabricante (nos casos de garantia) para realizar a manutenção corretiva
Instalar e conectar à rede novos microcomputadores, bem como mudanças de localização dos
conectados;
Instalar, configurar e dar suporte em todos os sistemas operacionais, utilitários e aplicativos utilizados
pelos usuários da empresa;
Acompanhar cada chamado aberto até sua solução, interagindo com o usuário final e a equipe técnica
para que tal solução seja a mais breve possível.
Analisar e avaliar os projetos de TI, elaborados e apresentados pelas outras unidades da empresa e
elaborar pareceres, indicando pontos falhos, quando houver, e as sugestões e recomendações para a
correção daqueles;
Coordenar os trabalhos da equipe de suporte, de modo que todos os componentes tenham plena
capacidade de funcionamento e que o tempo de inatividade por falhas seja o menor possível;
Efetuar o controle dos serviços prestados, através do acompanhamento da solução apresentada pelos
técnicos da contratada, e a satisfação do usuário requerente;
São as funções seguintes que devem auxiliar a manutenção dos backups de dados, arquivos,
programas e de sistemas:
Gravar os backups atentando para enfoque de avô-pai-filho. A respeito de arquivos , banco de dados,
dados programas e sistemas para um período específico, são gravadas três gerações de arquivos-
mestres. Esses arquivos-mestre são retidos durante esse período junto com os arquivos de transação. Se
a corrente ( o filho ) arquivo é destruída ou é danificada, as informações podem ser reconstruídas
usando o pai e rodando o arquivo de transação atual contra isso. Se forem destruídos pai e filho, o avô
junto com os arquivos de transação prévios e atuais pode ser usado para reconstruir a informação.
Instalar no-break . Sistemas completamente protegidos têm gerador ou no-break que armazena energia
para alimentar os processamentos por algum momento até que se consegue geração de relatórios ou
chegar a um ponto de reinício sem prejuízo maior. No entanto, auxilia na prevenção de destruição de
dados no tempo de manutenção e perturbações de instalações elétricas ou flutuações de voltagem;
Instalar antivírus. Um vírus de computador e um programa de software que infesta outro programa ou o
armazenamento primário de um sistema ( memória principal) alterando sua lógica. Infecção resulta
frequentemente na destruição de dados. Vírus duplicam-se com intenção benigna ou maligna. Eles
normalmente existem como programas separados, independentes e usam serviços de sistema
operacional como os meios de replicação. Ameaças de vírus surgem quando uma organização conecta
seus computadores a uma rede desprotegida ou aberta. Para se proteger contra vírus, devem ser
implementados três tipos de controles: (i) controles preventivos que incluem adoção de uma política de
segurança formal, autorizando somente cópias certificadas, não usando software ou shareware novo
sem software antivírus, restringindo acesso e educando os usuários; (ii) controles de detecção incluem
instalação de antivírus para fazer varredura nos arquivos de dados e programas; (iii) controles
corretivos, incluem implementação de plano de recovery documentado para recuperação contra um
vírus;
O principal objetivo de auditoria dos controles organizacionais da área de informática é testar a grande
essência de controle interno, promover a eficiência das operações e fomentar a maior adesão às
políticas prescritas pela gerência ou gestão com maior foco na responsabilidade.
3. CONCLUSÃO
O principal objetivo de auditoria dos controles organizacionais da área de informática é testar a grande
essência de controle interno, promover a eficiência das operações e fomentar a maior adesão às
políticas prescritas pela gerência com maior foco na responsabilidade.
A auditoria de controle organizacional tem foco no gestor de TI, pois é cobrado o acompanhamento de
planejamento estratégico da área de TI. A efetividade dos controles depende da experiência
organizacional dos gestores. Este exige demonstração de práticas e habilidades gerenciais em que
muitas vezes são reduzidas as interferências e as influências externas.
Um dos propósitos para o uso dos controles organizacionais é o auxílio na consecução dos objetivos dos
negócios.
Desta forma, a realização de auditorias constantes e eficientes contribui para a diminuição de possíveis
falhas e fraudes presentes nos sistemas de informação e, claro, a melhoria contínua destes pontos, a
partir das sugestões dos relatórios. A consequência disso é a garantia da segurança, da integridade dos
dados e da qualidade dos serviços que o TI da empresa realiza.
A confiabilidade dos sistemas de informação também é colocada a prova durante uma auditoria. Saber
que eles estão seguindo os padrões desejados pela empresa dá mais estabilidade para enfrentar
eventuais adversidades e estar à frente das outras no mercado, para inovar e criar novas soluções. Ela
também certifica que os sistemas estão seguindo a legislação e outras normas de qualidade,
minimizando problemas judiciais que poderiam ocorrer. Aliás, fazer uma auditoria externa (ou seja, feita
por pessoas de fora da equipe) ainda contribui para melhorar a credibilidade perante clientes,
colaboradores, parceiros e associados. A auditoria de sistemas de informação, atualmente, é
imprescindível para qualquer empresa que utilize de recursos computacionais.
4. REFERÊNCIAS BIBLIOGRÁFICAS
2016.
David L. Cannon, CISA: Certified Information Systems Auditor Study Guide, Sybex:2015
CHAMPLAIN, Jack. Auditing information systems: a comprehensive guide. 2 ed. New York:
PIATTINI, Mario. Auditing information Systems. Hershey, EUA: Idea Group, 2000.
BOYNTON, William C. JOHNSON, R., KELL, Walter G. - Auditoria, Edit. Atlas – São Paulo.
COOK, John W. & WINKLE, Gary M. - Auditoria: Filosofia e Técnica - Saraiva S.A. - Livreiros