A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos contábeis da

organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos dados
manipulados pelo computador.

Resumo: A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos
contábeis da organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos
dados manipulados pelo computador. Assim, ela estabelece e mantém procedimentos documentados
para planejamento e utilização dos recursos computacionais da empresa, verificando aspectos de
segurança e qualidade. O trabalho da auditoria de sistemas acontece com o estabelecimento de
metodologias, objetivos de controle e procedimentos a serem adotados por todos aqueles que operam
ou são responsáveis por equipamentos de TI e/ou sistemas dentro da organização.

Sumário

1. INTRODUÇÃO.. 3

2. DESENVOLVIMENTO.. 3

2.1. Conceito de sistemas. 3

2.2. Conceitos de auditoria de tecnologia da informação. 4

2.3. ABORDAGEM DE AUDITORIA DE SISTEMAS DE INFORMAÇÕES. 4

2.3.1. Abordagem ao redor do computador 5

2.3.2. Abordagem através do Computador. 6

2.3.3. Abordagem com o computador 6

2.4. ORGANIZAÇÃO DE TRABALHO DE AUDITORIA DE TI. 7

2.4.1. Planejamento. 8

2.4.2. Escolha da Equipe. 8

2.4.3. Programar a equipe. 8

2.4.4. Execução de trabalhos e supervisão. 9

2.4.5. Revisão dos Papeis de trabalhos. 9

2.4.6. Atualização do conhecimento permanente. 9

2.4.7. Avaliação da Equipe. 10

2.4.8. Documentação dos papeis de trabalho. 10

2.5. CONTROLES ORGANIZACIONAIS E OPERACIONAIS. 11

2.5.1. Políticas organizacionais. 12

2.5.1.1. Políticas de Responsabilidades. 12

2.5.2. Politicas de continuidade dos negócios ( Business Continuity Plan – BCP) 13

2.5.3. Descrição dos cargos. 13

2.6. OBJETIVOS DE AUDITORIA.. 18

3. CONCLUSÃO.. 19

4. REFERÊNCIAS BIBLIOGRÁFICAS. 20

2. DESENVOLVIMENTO

2.1. CONCEITO DE SISTEMAS

O sistema é um conjunto de elementos inter-relacionados com um objetivo: produzir relatórios que

nortearão a tomada de decisões gerenciais. Neste percurso, pode-se identificar o processo de
transforma dados de entrada, agregados aos comandos gerenciais, em saídas. Assim, o feedback do
sistema faz com que, no meio da manutenção do ciclo operacional, sejam ativadas novas estratégias
empresariais visando à geração de informações qualitativas ou quantitativas para suportar o alcance do
sucesso absoluto.

Os sistemas são abertos ou fechados. Os sistemas abertos podem receber dados controlados ou não
controlados, uma vez que recebem influência do ambiente interno e externo onde operam, enquanto os
sistemas fechados, devido à sua natureza, não têm interferência do ambiente e somente poderiam
receber os dados controlados. As delimitações dos sistemas são feitas propositadamente durante seu
desenho simplesmente para fomentara segregação das funções dos sistemas incompatíveis. Podem ser
tanto adaptáveis, quando implantados para produzir um resultado desejado em um ambiente de
grandes mudanças rotineiras, como também corretivos, implantados para produzir um resultado
específico e não rotineiro.

2.2. CONCEITOS DE AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

A auditoria em ambiente de tecnologia de informação não muda a formação exigida para a profissão de
auditor, apenas percebe que as informações até então disponíveis em forma de papel são agora
guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar para se assegurar de que
essas informações em forma eletrônica sejam confiáveis antes de emitir sua opinião.

A filosofia de auditoria em tecnologia de informação está calcada em confiança e em controles internos.

Estes visam confirmar e os controles internos foram implementados e se existem; caso afirmativo, se
são efetivos.

As atividades de auditoria de tecnologia de informações, além de tentar utilizar os recursos de

informática para auditar o próprio computador, também visam automatizar todos os processos de
auditoria. Como em qualquer outra atividade, as empresas de auditoria também buscam um diferencial
competitivo. Entre outros objetivos, consideram-se:

a)melhorar a eficiência e reduzir os custos;

b)melhorar a qualidade do trabalho de auditoria, reduzindo, assim, os níveis de risco de auditoria;

c)atender às expectativas dos clientes, que esperam de seus auditores o mesmo grau de automatização
que utilizam em seu próprio negócio;

d)preparar-se para a globalização dos negócios, que vem exigindo uma globalização dos auditores;

e)manter-se entre as maiores e mais reconhecidas pelo mercado.

Os benefícios da automação compreendem, entre outros:

treinamento de pessoal e superação de resistências à tecnologia;

decisão de quais tarefas devem ser automatizadas primeiro;

avaliação, escolha e implantação de softwares e hardwares;

gerenciamento dos arquivos eletrônicos: dispositivos de segurança e backup;

disponibilização de equipamentos para toda a equipe de auditores, podendo trabalhar em redes;

instalação e manutenção de uma malha de comunicações;

maior transferência de conhecimento entre os membros da equipe e entre trabalhos de equipes

diferentes;

independência das limitações impostas pelos arquivos de auditoria em papel;

economia de tempo nas atualizações;

melhor qualidade na apresentação;

liberação de funcionários mais experientes para que se dediquem a áreas mais técnicas e de maior risco;

agregação de valor ao trabalho de auditoria;

formação de equipes virtuais (groupware), maximizando a especialização;

fluxo de informações mais rápido;

maior satisfação profissional;

maior respeito pelo auditado;

maior produtividade;

realização das tarefas sem a automatização pelos profissionais menos experientes. Antes somente
poderiam ser executadas por profissionais mais experientes

2.3. ABORDAGEM DE AUDITORIA DE SISTEMAS DE INFORMAÇÕES

Para auditar as informações em ambiente de tecnologia de informação, o auditor poderá desenhar as

abordagens que lhe convêm. As abordagens mais comuns são: abordagens ao redor do computador;
através do computador; e com o computador.

A auditoria tradicional sempre foi conhecida por sua responsabilidade nos testes de confiabilidade dos
registros de acordo com os documentos-fonte (os documentos que geram todas as transações
econômicas, financeiras e contábeis) disponíveis através de quaisquer dados intermediários que possam
existir e para os quais são produzidos relatórios para a tomada de decisões gerenciais. Porém, devido à
evolução da tecnologia da informação, que interfere nas tecnologias gerenciais, geração a geração, é
necessário guardar as informações para que sejam acessíveis para auditoria quando forem requisitadas.
Sabe-se que, devido à complexidade dos ambientes e expansão dos negócios que atingiram
implementações em ambiente de intranet e internet, há grandes problemas quanto à vulnerabilidade de
computadores e alguns casos comuns de fraudes.

Dependendo da sofisticação do sistema computadorizado, em que se supõe que o auditor seja

operativo, e considerando as características do auditor de tecnologia de informações, este pode usar
qualquer das três abordagens nomeadas a seguir : (1) a abordagem ao redor do computador; (2) a
abordagem através do computador; e (3) a abordagem com o computador.

2.3.1. Abordagem ao redor do computador

Auditoria ao redor do computador no passado era uma abordagem muito solicitada pelos auditores,
devido ao não envolvimento de muito tecnologia de informação. A abordagem requer que o auditor
exame os níveis de anuência associados à aplicação dos controles organizacionais, no que concerne à
tecnologia de informação.

Isso significa a auditoria de documentos-fonte com as funções de entrada subjacentes e dominando as

funções de saída, que se encontram em formatos de linguagem legível por leigos em informática; pouca
ou nenhuma atenção é prestada às funções de processamento. O sistema de processamento eletrônico
de dados nesta era foi somente usado para tarefas menores, tais como obtenção de níveis de estoque e
sugestões para realimentação quando forem reais. As operações simples, tais como o isolamento de
estoques com pouca movimentação e estoques obsoletos, também são executadas pelos computadores
às funções de impressão dos relatórios.

Há geralmente um questionamento quanto à operação deste método no qual se indaga uma boa prática
de auditoria. Todavia, a dificuldade para decidir-se deu-se devido à capacidade de tais sistemas serem
programados para executarem operações contábeis simples e os auditores conduzirem como tarefas,
avaliando simples entradas e saídas dos sistemas. Deve-se notar que, apesar de essa abordagem não ser
tão apropriada para ambiente complexos, ela ainda é bastante conveniente para sistemas menores,
onde a maior parte das atividades de rotina é executada manualmente.

Conforme cita Milko[1970], “esta abordagem é baseada na asserção de que os inputs de sistemas
podem ser tidos como corretos se os resultados do sistema refletirem com precisão todos os dados-
fonte. Então o output também deve ser correto e as formas pelas quais o sistema processou os dados
têm pouca consequência”. Ressalta-se que, até o presente , utilizando-se desta abordagem , os
auditores tomaram pouco ou nenhum envolvimento com os registros gerados pelo computador. O que
os faz gerar “query”; rastrear dados etc. entrados no sistema, sem tocar nos programas propriamente
ditos.

Certas vantagens são associadas ao uso desta abordagem. São elas:

não se exige conhecimento extenso de tecnologia de informação para que o auditor possa operar
convenientemente este método, e isto faz com que as técnicas e ferramentas de auditoria sejam
válidas;
também sua aplicação envolve custos baixos e diretos;

As desvantagens no uso são:

restrição operacional quanto ao conhecimento de como os dados são atualizados faz com que a
auditoria seja incompleta e inconsistente, uma vez que o processo operacional é dinâmico, atendendo
às necessidades sociais;

A eficiência operacional de auditoria pode ser avaliada com maior dificuldade, visto que não há
parâmetros claros e padronizados;

Uma vez não sendo necessário que o auditor possua maior capacidade profissional adequada no que se
refere à tecnologia de informação , e para capacitá-lo a executar uma revisão mais lógica , o sistema
pode ser enquadrado em limites de grande risco, quando houver uma evolução e os documentos-fonte
saírem de seu controle;

As avaliações de tecnologia de informações, seja ambiente de uso pequeno, significativo ou complexo,

não importa, se executar algum procedimento de auditoria que exclua as Unidades Centrais de
Processameto (CPU) e suas funções aritmética e lógica , não se pode afirmar que tal abordagem de
auditoria tenha sido representativa e global de toda tecnologia da informação daquela organização.
Assim, as decisões tomadas baseadas em relatórios de tais auditorias podem ser distorcidas.

2.3.2. Abordagem através do Computador.

O uso desta abordagem envolve mais do que mera confrontação de documentos-fonte com os
resultados esperados, uma vez que os sistemas têm evoluído muito. No entanto, este método alerta
quanto ao manuseio de dados, aprovação e registro de transações comerciais, sem deixar evidências
documentais razoáveis através dos controles de programas construídos junto aos sistemas. Por esta
razão, o auditor precisa acompanhar o processamento através e dentro do computador.

A abordagem melhor o método de auditoria ao redor do computador. Assim, auditando com esse
método, uma pessoa poderia requisitar, de muitas maneiras, como é praticado na abordagem ao redor
do computador, a verificação dos documentos-fonte com dados intermediários; porém, estabelece o
auditor maior ênfase em todas as técnicas que utilizam o computador como uma ferramenta para testar
a si próprio e, também, testar a entrada de dados.

As pessoas a favor do uso de abordagem através do computador apoiam o uso de test data. É o
processamento de um dispositivo capaz de simular todas as transações possíveis.

As vantagens do uso desta abordagem são:

a)capacita melhor o auditor a respeito de habilidade profissional no que tange a conhecimento de

processamento eletrônico de dados;

b)capacita o auditor a verificar com maior frequência as áreas que necessitam de revisão constante
As desvantagens do uso são:

a)se a operação for efetuada incorretamente, pode levar a perdas incalculáveis;

b)o uso da abordagem pode ser caro, principalmente no que diz respeito ao treinamento de auditores,
aquisição e manutenção dos pacotes de software;

c)partindo do pressuposto de que os pacotes são completos, podem estar errados. As técnicas manuais
podem ser necessárias como complementos para que a abordagem funcione efetivamente;

d)há risco de que os pacotes possam estar contaminados pelo uso frequente na auditoria
organizacional.

2.3.3. Abordagem com o computador

A primeira opção – abordagem ao redor do computador – não é eficiente devido ao fato de que
negligencia algumas das qualidades dos controles internos dos sistemas e propicia falta de
disponibilidade de testes substantivos convincentes que visam ajudar na conclusão sobre os sistemas. A
segunda opção – a abordagem através do computador -, preferida como superior à primeira, pode
também produzir registros incompletos. Ao invés de efetuar uma verificação de equilíbrio com as
ferramentas, ela tende a negligenciar os procedimentos manuais, deixando incompleta a maioria das
tarefas normalmente efetuadas manualmente.

Devido às razões citadas, as firmas de auditoria e pesquisadores da área contábil propuseram um meio
de auditar as tecnologias de informações com a maior perfeição possível, utilizando a abordagem com o
computador completamente assistida.

Faz-se uma compilação do processo. Assim agindo, parece que certos objetivos têm sido alcançados. São
eles:

A utilização das capacidades lógicas e aritméticas do computador para verificar se os cálculos das
transações econômicas e financeiras ou aqueles que dizem respeito às responsabilidades, como, por
exemplo, o cálculo das depreciações, taxas e impostos, multiplicações e contabilizações (footings), são
feitos corretamente;

a utilização das capacidades de cálculos estatísticos e de geração de amostras que facilitem

confirmações de saldos necessários para aferir a integridade de dados de contas a receber , estoques
imobilizados, advogados, entre outros;

a utilização de capacidades de edição e classificação do sistema computadorizado, a fim de ordenar e

selecionar os registros de contabilidade. Por exemplo, através da varredura de base de dados de sistema
de estoque, um auditor pode ser capaz de apontar com precisão os itens de movimento mais vagaroso,
obsoletos, e isolá-los dos itens de movimento rápido, para facilitar análises mais complexas e
substantivas;
a utilização das capacidades matemáticas do computador para analisar e fornecer listas de amostras de
auditoria. Pode, também, incluir a confirmação dos resultados de auditoria executada manualmente,
como dos cálculos globais.

Uma grande facilidade do uso desta abordagem é a disponibilidade e uso vantajoso de:

capacidades de auditoria de aplicar Técnicas de Auditoria Assistida por Computador (TACC), em outros
momentos chamadas de CAAT (Computer Assisted Audit Techniques);

possibilidades de desenvolver programas específicos para serem usados pelo auditor quando da
necessidade de evidenciar uma opinião sobre o processo contábil;

ganhar tempo sobre os passos aplicados com o uso de pacote generalizado de auditoria de tecnologia
de informação.

2.4. ORGANIZAÇÃO DE TRABALHO DE AUDITORIA DE TI

O processo de organização dos trabalhos de auditoria de tecnologia de informação segue a norma de

execução de trabalhos, o principal componente das normas de auditoria geralmente aceitas. Vale
recapitular que essa norma contempla: planejamento de auditoria, avaliação de riscos de auditoria,
supervisão e controle de qualidade, estudo e avaliação do sistema contábil e de controles internos e
aplicação dos procedimentos de auditoria, documentação da auditoria, avaliação formal dos negócios
da entidade, aplicação de amostragem estatística, entre outros. Para simplificar o entendimento ,
adotam-se as seguintes estruturas didáticas: planejamento; escolha da equipe, programação da equipe;
execução e documentação de trabalho; supervisão em campo; revisão dos papeis de trabalho, conclusão
e emissão (follow-up) de relatórios; atualização do conhecimento permanente e avaliação da equipe.
Ressalta-se que o mesmo processo efetuado convencionalmente se adapta à auditoria de tecnologia de
informações. A única diferença é que cada uma dessas etapas pode ser automatizada por meio dessas
ferramentas de produtividade para o controle dos trabalhos do auditor.

2.4.1. Planejamento

A atividade de planejamento em auditoria de sistemas de informações é imprescindível para melhor

orientar o desenvolvimento dos trabalhos. Como o trabalho de auditoria representa processo contínuo
de avaliação de risco ao qual se adicionam as experiências individuais dos profissionais e a evolução da
prática e metodologias, aliadas aos resultados dos trabalhos e processos de negócio anteriormente,
objetos de avaliação dos auditores , o planejamento é caracterizado para evitar quaisquer surpresas que
possam acontecer tanto nas atividades empresariais, objeto de auditoria, como também em relação à
responsabilidade dos auditores. Desde os primeiros trabalhos deve ser desenhada uma "Matriz de
Risco" que seja permanentemente atualizada a partir dos resultados obtidos nos testes e nas avaliações
dos auditores, assim como do impacto das mudanças ocorridas no negócio resultantes de alterações de
estratégias empresariais, evoluções tecnológicas, concorrência, mudanças estatutárias, legislações,
mudanças nas leis ambientais, social e econômica ou qualquer outro fator que tenha reflexo nas
demonstrações financeiras, continuidade operacional , qualidade dos controles e, sobretudo, nos
processos operacionais.

2.4.2. Escolha da Equipe

Um planejamento detalhado e atualizado com base nas principais mudanças do negócio permite indicar
o perfil básico da equipe de auditoria de TI, o qual contempla o seguinte:

Perfil e histórico profissional;

Experiência acumulada por ramos de atividade;

Conhecimentos específicos;

Apoio do grupo de especialização;

Formação acadêmica;

Línguas estrangeiras;

Disponibilidade para viagens.

2.4.3. Programar a equipe

O encarregado de auditoria deve programar a equipe para executar os trabalhos. A programação de

uma equipe de auditores com o perfil adequado para a realização do trabalho previsto não é suficiente
para garantir que todos os riscos de auditoria sejam minimizados pelos testes de auditoria; no entanto,
devem-se observar as habilidades que permite:

a.gerar programas de trabalho que extraiam dados corretos para testes;

b.selecionar procedimentos mais apropriados;

c.incluir novos procedimentos;

d.classificar trabalhos por visita;

e.orçar tempo e registrar o real;

f.evidenciar corretamente os trabalhos realizados; utilizando-se softwares de amostragens estatísticas,

entre outros, para otimizar os trabalhos

g.gerar relatórios em consonância com os trabalhos efetuados

2.4.4. Execução de trabalhos e supervisão

As tarefas devem ser realizadas por auditores que tenham formação, experiência e treinamento
adequados no ramo de especialização. Dependendo da complexidade do ambiente operacional,
aparente risco envolvido, os trabalhos serão desenvolvidos conforme vivência profissional, ou seja,
tarefas mais simples e de menor risco serão desempenhadas por membros menos experientes, e
aquelas mais complexas e de maior risco responsabilidade dos membros mais experientes e de melhor
formação da equipe. A questão de supervisão é inerente ao processo de auditoria para garantir a
qualidade e certificar que as tarefas foram adequadamente feitas. Isto permite cobrir os riscos prováveis
identificados.

2.4.5. Revisão dos Papeis de trabalhos

Como tarefa de atingir a qualidade exigida pelas práticas de auditoria, os papeis de trabalho são
revisados pelos superiores, que têm a incumbência de assinar junto com seus subordinados o
cumprimento de cada passo de auditoria concluído. Eventualmente, em decorrência dos trabalhos de
auditoria, falhas ou recomendações para melhorias são identificadas e limitam a conclusão do auditor,
assim como determinados procedimentos que não tenham sido concluídos por restrições do próprio
cliente. No entanto, o revisor, não identificando outros passos de auditoria independentes, poderá
solicitar uma nova visita para completar os trabalhos. Contudo, para as pendências de revisão, deve ser
analisado o reflexo do aumento ou alteração do escopo, novos trabalhos, nova abordagem, impacto no
parecer final, na carta de representação da gerência.

Ao revisar os papeis quando se adota a estratégia de Paperless Audit, a intenção das ferramentas de
workflow é fundamental para garantir a integridade do processo de revisão dos papeis. A utilização de
soluções de papeis eletrônicos adicionam-se recursos de automação do processo de emissão de
relatórios. Isso desde a emissão das demonstrações financeiras até a carta de comentários de melhorias
de controles internos. A integração com aplicativos gráficos, e-mail, formulários classificados
eletronicamente é predefinida com campos que identificam responsáveis e níveis de autorização para
acessos, prazos, fluxos de aprovação geralmente otimizam os trabalhos de auditoria de tecnologia de
informação, evitando que o próprio auditor elimine deliberadamente as pendências de auditoria.

2.4.6. Atualização do conhecimento permanente

O conhecimento em determinado período de auditoria, dito como aquele que muda com pouca
frequência, sempre é fundamental e server como ponto de partida para o período subsequente. A
manutenção em forma eletrônica, a documentação da descrição e a avaliação do ambiente de controle
interno, controles gerais e dos sistemas aplicativos e processos de negócio contribuem para a redução
das horas de auditoria do período seguinte.

Dentre as informações relevantes destacam-se:

a.Descrição do processo de negócio;

b.Levantamento e avaliação do ambiente de controle;

c.Documentação e conclusão sobre a avaliação dos controles dos processos relevantes;

d.Matriz de risco que pontue riscos aparentes para todos os principais componentes da demonstração
financeira;

e.Exceções dos testes;

f.Falhas ou fraquezas nos testes de controle internos;

g.Programas de trabalho

2.4.7. Avaliação da Equipe

A fim de garantir a evolução e o aprimoramento técnico dos profissionais da equipe de auditoria de TI,
deve-se avaliar o desempenho, elogiando os pontos fortes do auditor, auxiliar no reconhecimento das
fraquezas e na elaboração de um plano para superá-las para que se desenvolva um profissional
qualificado e consciente. Como é de praxe, para cada trabalho no qual um profissional é programado, o
sistema que controla a programação emite eletronicamente uma avaliação de desempenho já
preenchida pelo superior, isto é fundamental para nortear a promoção ou não do profissional.

2.4.8. Documentação dos papeis de trabalho

Os papeis de trabalho constituem um conjunto de formulários preenchidos logicamente no processo de

auditoria de sistemas, com seus anexos que evidenciem os fatos relatados; se esses anexos forem
provas documentais, podem ser escaneados para serem documentados eletronicamente. Eles contêm
informações coligidas durante o teste, os procedimentos executados e as opiniões formadas sobre o
objeto de auditoria.

Tais papeis, independentemente de seu enfoque ser sistêmico ou manual, deve ser autossuficientes e
não devem necessitar, subsequentemente, de explicações verbais e adicionais do preparador a fim de
detalhar a metodologia adotada.

Os papeis de trabalho sistêmicos são guardados em base de dados. Essas bases de papeis constituem
informações de planejamento, execução, monitoramento e revisões, follow-up, controles do usuário do
sistema e senhas e alguns recursos de auxílio ao usuário. Mantêm as seguintes figuras: sócios ou sócios
independentes, encarregados, supervisores ou gerentes, assistentes ou seniores, cada um tendo suas
telas cadastradas para exercer suas funções de administração dos serviços de auditoria, conforme
segregação das funções que pode ser feita local ou remotamente por meio de notebooks ligados fora
dos escritórios e em lugares distantes.
Sócio: o responsável pelos serviços de auditoria que terá acesso a todas as telas e documentos
registrados sobre a auditoria cadastrados nos sistemas como revisor de qualidades do serviço como um
todo. Com sua autorização, dá-se o aval sobre o encerramento dos serviços da auditoria iniciados;

Encarregados supervisor ou gerente: chefe da equipe de auditoria que geralmente deve cadastrar os
dados referentes à identificação da auditoria no sistema, tais como o nome, a equipe participante e as
unidades auditáveis, os programas da auditoria serem utilizados, a data de início e fim e os check-lists de
monitoramento. Levanta as pendências referentes aos passos de auditoria cumpridos para serem
atendidos no processo de revisão dos trabalhos. Note-se que somente ele tem acesso para assinalar o
cumprimento ou não das pendências que devem ser observadas pelos subordinados;

Preparador ( assistente ou sênior de auditoria): capta informações e diretrizes da auditoria no banco de

dados central, levanta informações comprobatórias para cumprir os passos de auditoria efetivando os
testes, após os quais atualiza o banco.

Ressalta-se que para a implementação desta abordagem a firma de auditoria pode desenvolver seu
próprio software ou adquirir softwares generalistas de automação de auditoria disponíveis no mercado.

2.5. CONTROLES ORGANIZACIONAIS E OPERACIONAIS

Os controles organizacionais e operacionais são os controles administrativos instalados nos processos e

fluxo das transações econômicas e financeiras dos sistemas de informações, auxiliando-os na
consecução dos objetivos dos negócios. A efetividade deste controle depende da experiência
organizacional dos gestores, uma vez que exige demonstração de práticas e habilidades gerenciais.
Poucas são as interferências e as influências externas que afetam a implementação dos controles.

A responsabilidade de controles organizacionais repousa, entre outras, nas seguintes tarefas:

delineamento das responsabilidades operacionais;

coordenação de orçamento de capital de informática e bases;

desenvolvimento e implementação das políticas globais de informática;

intermediação com terceiros (networking);

gerenciamento de suprimentos;

desenvolvimento de plano de capacitação.

Os gestores, na medida do possível, tentam delinear as funções para, em, primeiro lugar, identificar
responsabilidades para todas as tarefas realizadas na organização e, em segundo lugar, amenizar
conflitos que certamente surgirão no decorrer do dia a dia operacional. Esse desmembramento das
atividades é caracterizado por segregação das funções, cargo chefe dos controles organizacionais. A
segregação de funções compatíveis é uma medida de controle para enfatizar o evangelho de
responsabilidades, fazendo com que cada um seja cobrado por suas tarefas de acordo com seus
resultados. Esse controle geral é vital tanto no ambiente manual como no ambiente computadorizado.
Entretanto, a segregação de funções (autorização, gravação e acesso para ativos) pode não ser
efetivamente possível em um ambiente de computador. Por exemplo, um computador pode imprimir
cheques, promover o registro de desembolsos, gerar informação para reconciliar o saldo de conta,
costumeiramente, atividades que são segregadas em um processo manual. Se a mesma pessoa origina
os dados para transações críticas como essas, processa e recebe os resultados para tomada de decisões,
uma fraqueza de controle significante existe. De forma adequada, não deveriam existir duplicidade de
tarefas.

Para que os controles organizacionais sejam efetivos, deve haver lealdade e confiança mútua entre a
empresa e funcionários. Os funcionários deve ser tratados com respeito, justiça e, sobretudo,
honestidade; deve-se fazer com que eles percebam que é assim a cultura da empresa, evitando-se
percepção da falta de motivação que fomenta ingerência. Salários baixos e condições subumanas de
trabalho podem propiciar o descumprimento dos controles organizacionais da área de informática que,
normalmente, devido à natureza das atividades, tem acesso privilegiado às informações estratégicas da
empresa.

2.5.1. POLÍTICAS ORGANIZACIONAIS

Embora exista ambiente complexo de computação que acompanhe todas as tendências de tecnologia
de informação de que o estabelecimento precisa, isto por si não garante segurança se as políticas
organizacionais e operacionais não forem implementadas com rigor. No ambiente de alta tecnologia,
quando se segregam as funções, apenas dificulta-se a propensão para fraudes dos fluxos operacionais.
Portanto, os ciclos operacionais, que têm tarefas de originar as transações e as autorizações segregadas,
para que ocorra fraude, necessitariam de conivências de mais de duas pessoas, ao invés de concentrar
todos o ciclo de transações críticas na mão de apenas um. Deve-se ressaltar que os usuários finais
apenas precisam de acesso aos dados, aplicações e funções para atender somente a suas atribuições de
tarefas e nada mais.

Entretanto, para que os objetivos administrativos sejam alcançados, é imprescindível estabelecer

claramente as políticas de tecnologia de informações e, a partir dessas, cabe aos gerentes traduzir isso
em linguagem operacional através de procedimentos administrativos, detalhando inclusive as definições
e os princípios, evitando-se dupla interpretação. De acordo com ênfases dadas pela organização,
sistemas e métodos, cada procedimento administrativo deve descrever quais são as entradas do ciclo
operacional, o processamento a ser feito e os resultados que este deverá proporcionar ao próximo ciclo.
A título de exemplo, encontram-se a seguir as políticas de responsabilidade e de continuidade dos
negócios.

2.5.1.1. Políticas de Responsabilidades

Objetivos

Definir a responsabilidade da gerência e de todos a respeito de manipulação e salvaguarda dos ativos da

organização no processo de geração de riquezas;

Princípios

A organização deve identificar e proteger os ativos considerados críticos para as operações. Ativos
intangíveis e tangíveis, atentando para sua depreciação ou exaustão, inclusive de sua reposição. A
gerência tem responsabilidade sobre os ativos que estão sob sua guarda; no entanto, deve estabelecer
procedimentos administrativos para garantir sua proteção.

Políticas

Gerência em qualquer nível da organização tem responsabilidade de proteger os ativos da organização

que incluem: pessoa, propriedades intelectuais, hardwares, softwares, dados e informações. A gerência
também é responsável por:

Identificação de ativos críticos sob sua responsabilidade e implementação de procedimentos de

controles;

Implementação de sistemas seguros para atender às políticas de tecnologia de informações;

Desenvolver os procedimentos de conscientização em todos os níveis da organização;

Promover a revisão dos procedimentos existentes periodicamente, atentando para correção de falhas
ou fraquezas.

Relatar estado da arte, apontando abusos e transgressões em tempo hábil para facilitar a
implementação de medidas punitivas. Essas punições devem estar disponíveis e já conhecidas pelos
colaboradores através do processo de conscientização.

2.5.2. POLITICAS DE CONTINUIDADE DOS NEGÓCIOS ( BUSINESS CONTINUITY PLAN – BCP)

Objetivo

Assegurar que há planos para minimizar impactos de desastres que resultam na interrupção das
operações normais da organização devido à falta de sistemas de informações.

Principio

As políticas de continuidade dos negócios, também conhecidas por plano de contingencias e de

recuperação, provêm alternativas para o processamento de transações eletrônicas e financeiras das
organizações em casos de falhas graves de sistemas ou desastres. Esse plano deve ser monitorado e
testado periodicamente para garantir sua prontidão para operar.

Política

As políticas incluem:

Gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que
poderia ficar sem o sistema;

Gerencia deve assinalar prioridades aos sistemas de informações para que possa determinar as
necessidades de backup e sua periodicidade;

O BCP deve ser desenvolvido e documentado e ter as manutenções atualizadas para garantir as
operações pós-desastres.

2.5.3. DESCRIÇÃO DOS CARGOS

As descrições de cargos e funções possibilitam implementação consistente de controles organizacionais

da área de TI. Eles estão:

Supervisão da infraestrutura de TI: contempla as seguintes funções:

Atuar junto à gerência de TI, definindo e propondo metas e soluções, de modo que toda a infraestrutura
de informática da empresa esteja sempre no patamar tecnológico e funcional adequado para as
necessidades desta pasta

Planejar e avaliar a capacidade da estrutura existente, indicando a adoção de novas tecnologias

colocadas à disposição no mercado;

Definir e buscar recursos para o crescimento e ampliação do ambiente;

Coordenar ações de implementação de projetos e metas aprovadas pela gerência de TI;

Garantir a integração das equipes técnicas disponibilizadas para realizar os serviços de gerenciamento
de rede e suporte aos usuários;

Implementar junto à equipe técnica os projetos e metas definidas pela gerencia de TI;

Garantir o perfeito funcionamento de todo o ambiente de informática, através das equipes técnicas,
reportando falhas e ações corretivas á gerencia de TI;

Manter e garantir o máximo sigilo sobre todas as informações referentes à rede da empresa.

Administração de Redes: as funções são as seguintes:

Administrar, supervisionar e acompanhar as facilidades das instalações de rede;

Instalar, administrar e dar suporte de forma adequada aos servidores Microsoft, Linux entre outros, da
empresa e das suas unidades interligadas;

Instalar, administrar e dar suporte aos servidores de e-mail, DNS, firewall e proxy da empresa e das
unidades interligadas nas plataformas utilizadas;

Administrar de forma adequada as contas dos usuários e as devidas permissões de acesso às

informações;

Garantir privacidade, integridade e confiabilidade dos dados contidos nos servidores;

Implementar, administrar e realizar de forma adequada as políticas de backup da rede;

Gerar documentação da configuração da rede, bem como relatórios de atualizações e ocorrência dos
servidores;

Monitorar o desempenho da rede e solucionar possíveis problemas de performance e falhas de

conectividade

Traçar as diretrizes para o perfeito funcionamento da rede (servidores, equipamentos ativos e estações
de trabalho etc.) e administrar os serviços específicos que venham a ser contratados para as áreas de
rede;

Planejar e determinar a emissão de relatórios e quadros estatísticos referentes à utilização da rede,

apontando seus pontos críticos e, consequentemente, adotar ou propor soluções;

Auxiliar no planejamento, implementação e acompanhamento de novos projetos de rede;

Adotar as ações necessárias à implantação de novas tecnologias, aprovadas pela gerência de TI;

Avaliar a estrutura física e lógica da rede, adequando-a às novas tecnologias;

Manter toda a infraestrutura de rede, servidores, sistemas operacionais, dispositivos de conexão em

perfeito funcionamento e atualizados;

Supervisionar manutenção preventiva e corretiva, realizadas por terceiros, nos componentes da rede;

Oferecer suporte às demais áreas técnicas quando da instalação e da configuração de qualquer software
no ambiente;

Administração de banco de dados: as funções incluem:

Administrar todo o ambiente de banco de dados, oracle, sql server, entre outros;

Planejar e implementar as estratégias de utilização dos bancos pelas pessoas, sistemas ou programas;

Manter ativo e em operação os sistemas elaborados em Oracle, SQl server entre outros;
Implementar ajustes, melhorias e modificações quando surgirem novos avanços tecnológicos;

Realizar suporte técnico aos usuários do ambiente;

Manter rigoroso sigilo sobre as informações da empresa que eventualmente sejam acessadas;

Planejar e executar o backup dos servidores de banco de dados

Administrar as contas dos usuarios da empresa para acesso ao ambiente de Banco de Dados, Oracle, SQl
Server e outros

Dar suporte aos usuários do ambiente de banco de dados, oracle, sql server e outros, exceto os sistemas
em produção;

Planejar e determinar a emissão de relatórios e quadros estatísticos referentes à utilização do ambiente

de banco de dados, Oracle, Sql server e outros, apontando seus pontos críticos e, por consequência,
adotar ou propor soluções.

Administrar a documentação do ambiente de banco de dados, Oracle, Sql Server e outros.

Administração de Dados: coordena atividades dentro do departamento de administração de ados,

Auxilia na definição de dados que cada usuário necessita para processar seu aplicativo. Adicionalmente,
ajuda os analistas de sistemas na alocação de dados para os sistemas que esteja desenvolvendo.
Também ajuda o administrador de segurança de sistemas na alocação de acessos aos arquivos de dados
para aplicações tanto a acesso interno como em relação a acesso remoto.

Administração de Segurança: as funções são as seguintes:

Implementar a POSIC para a empresa;

Detectar possíveis invasões ou ameaças, realizando ações corretivas, seguindo a determinação da

política de segurança de informações;

Testar e determinar pontos de vulnerabilidade na rede e na política de segurança adotada, realizando

ações corretivas ou informando aos administradores responsáveis;

Manter a estrutura de segurança atualizada e customizar o sistema de segurança de acordo com a

política;

Garantir a privacidade, integridade e confiabilidade dos dados contidos nos servidores;

Pesquisar novas falhas de segurança dos sistemas operacionais e produtos utilizados pela empresa;

Gerar e manter documentação atualizada;

Gerar material de apoio visando a disseminação da cultura de segurança da informação;

Pesquisar novas soluções de segurança;

Manter e garantir o máximo sigilo sobre todas as informações referentes à rede da empresa.

Análise, programação e manutenção de Sistemas: especificamente, são qualificados para analisar e

projetar os sistemas de informação. Eles inspecionam o sistema existente, analisam as exigências de
informação da organização e designam sistemas novos para satisfazer a essas necessidades. Essas
especificações de desenho guiarão a preparação de programas específicos por programadores. Na
questão de segregação de funções, analistas de sistemas não deveriam programar a tarefa ou ter acesso
a programas em ambiente de produção, arquivos de dados e manuseio dos controles de entrada de
dados, processamento e de emissão de relatórios. Os programadores projetam, escrevem, testam e
documentam os programas específicos desenvolvidos pelos analistas. Programadores e analistas podem
modificar programas, dados, arquivos e controles indevidamente; não deveriam ter nenhum acesso ao
ambiente de produção, tampouco a arquivos ou cópias de programas usadas em produção. As funções
comtemplam:

Projetar e desenvolver sistemas necessários, de acordo com determinação da gestão de TI utilizando o

banco de dados, Oracle, Sql Server e outros, suas ferramentas auxiliares, e outras que venham a ser
definidas pela gerência de TI;

Implementar sistemas corporativos utilizando como linguagens de programação o visual o aspx e o java
nas versões mais atualizadas;

Realizar os trabalhos de análise e elaboração de especificação funcional e técnica e elaborar a sua

respectiva documentação para os sistemas a serem desenvolvidos;

Na questão das implementações de sistemas para web, interagir com o web designer de forma a
estabelecer uma total integração entre o designer e a programação inserida nas páginas do site;

Corrigir falhas decorrentes de erros humanos ou técnicos dos sistemas, mantendo um serviço
permanente de acompanhamento e verificação dos programas;

Corrigir falhas decorrentes de erros humanos ou técnicos dos sistemas, mantendo um serviço
permanente de acompanhamento e verificação dos programas;

Executar a programação, os testes de validação e a implantação dos sistemas desenvolvidos;

Manter a documentação funcional e técnica do sistema sempre atualizada durante a fase de

desenvolvimento, implantação e manutenção;

Implementar ajustes, melhorias e modificações quando surgirem novos avanços tecnológicos, ou em

consequência de mudança das regras de negócio praticadas;
Realizar suporte aos usuários do ambiente e das aplicações desenvolvidas;

Garantir cursos de operação e reciclagem aos usuários dos sistemas desenvolvidos;

Fornecer manuais dos sistemas ou suas atualizações, mantendo o controle sobre eles;

Manter rigoroso sigilo sobre informações da empresa a que eventualmente possam ter acesso;

Manter documentados todos os sistemas desenvolvidos pela área;

Manter os programas fonte originais e suas novas versões em local adequado e seguro;

Definir o projeto e a arquitetura de sistema no caso de contratação de empresa especializada para a sua
implementação

Design para Web: as funções são as seguintes:

Analisar o site de Internet a ser implementado e propor linhas de design adequado com os seus
objetivos e o público-alvo;

Implementar as soluções de design propostas e aprovadas pelas áreas responsáveis pela implementação
dos sites;

Interfacear com a equipe de implementação de sistemas para web de forma a integrar o design com os
programas elaborados para a consolidação das páginas que compõem o site na web;

Realizar manutenções das páginas dos sites da empresa;

Estabelecer e manter uma política de atualização visual dos sites da empresa;

Pesquisar, avaliar e propor a adoção de novas ferramentas de design disponibilizadas no mercado.

Operador de Console: os operadores de console são responsáveis pelo processo atual de dados,
conforme manual de operações e mensagens recebidas dos sistemas (pode ser emitido em forma de
hardcopy para revisão pelo grupo de controle). Eles carregam dados, montam dispositivos de
armazenamento e operam os equipamentos compartilhados ou gerenciados em forma na rede,
normalmente em ambiente de grande porte. Os operadores de console não deveriam ser nomeados
para as tarefas de programação ou responsabilidade por projeção de sistemas. Portanto, não deveriam
ter nenhuma oportunidade para fazer mudanças em programas e sistemas em ambiente de produção.
Idealmente, os operadores de computador não deveriam ter conhecimento de programação, Somente
teriam acesso à documentação estritamente necessária para seus trabalhos.
Operadores de conversão de dados: executam as tarefas de preparação de dados e transmissão, por
exemplo, conversão de dados fonte para fita magnética, CD ou DVD e entradas de transações de
terminais remotos.

Bibliotecários: mantêm controle sobre a responsabilidade de se documentar programas e arquivos de

dados. Bibliotecários não deveriam ter nenhum acesso a equipamento ou deter habilidades para
perpetuar fraude.

Suporte técnico: as funções são as seguintes:

Realizar a manutenção preventiva e corretiva de dados de todos os equipamentos instalados na

empresa, e dos que venham a ser adquiridos;

Encaminhar, quando necessário, os equipamentos com defeito para a oficina e/o laboratório próprio, ou
da contratada, ou do fabricante (nos casos de garantia) para realizar a manutenção corretiva

Realizar todo o inventário de hardware e software;

Manter informado o encarregado de suporte sobre o andamento dos trabalhos;

Instalar e conectar à rede novos microcomputadores, bem como mudanças de localização dos
conectados;

Instalar, remanejar e manter a estrutura de cabeamento da empresa;

Instalar, configurar e dar suporte em todos os sistemas operacionais, utilitários e aplicativos utilizados
pelos usuários da empresa;

Realizar periodicamente inspeção preventiva nos cabos, conectores, equipamentos de comunicação e

placas de rede dos microcomputadores;

Controlar a disponibilidade de licenças de uso de todos os softwares da empresa, antecipando

necessidades;

Realizar o suporte ao uso das ferramentas de automação de escritórios;

Acompanhar cada chamado aberto até sua solução, interagindo com o usuário final e a equipe técnica
para que tal solução seja a mais breve possível.

Manter informado o encarregado do suporte sobre o andamento dos trabalhos;

Coordenar o desenvolvimento de sistemas e de avaliação de projetos de informatização;

Coordenar e gerenciar a equipe de desenvolvimento de sistemas, adequando as disponibilidades de
recursos com as demandas de implementação de sistemas e as suas respectivas prioridades;

Coordenar todos os trabalhos de análise e elaboração de especificação técnica de sistemas e as suas

respectivas documentações;

Gerenciar os trabalhos de desenvolvimento de sistemas da própria SES ou terceirizados;

Propor políticas de utilização de ferramentas de TI na área de desenvolvimento de sistemas;

Analisar e avaliar os projetos de TI, elaborados e apresentados pelas outras unidades da empresa e
elaborar pareceres, indicando pontos falhos, quando houver, e as sugestões e recomendações para a
correção daqueles;

Assessorar a gerencia de TI em discussões interna s de definição de políticas e ações de TI a serem

adotadas pela empresa.

Supervisão de Help Desk: documentar os problemas operacionais. Deve solucionar problemas

secundários e os problemas mais difíceis encaminhados aos indivíduos mais técnicos. Uma ajuda efetiva
através de help desk deveria minimizar a frustração de usuário e a morosidade operacional por falta de
conhecimentos. Deve-se corrigir erros e manter interação do usuário com os sistemas de informação,
processando enganos que necessitam correção posterior ou reprises e fracassos para notar alguns e
analisar as causas. Entre as funções, podem-se contemplar:

Traçar as diretrizes para o perfeito funcionamento da área de suporte ao usuário, atendimento e

manutenção da rede da empresa e seus componentes de hardwares e softwares básicos, definindo e
priorizando as manutenções solicitadas pelos usuários e administrando a alocação da equipe de suporte
aos usuários;

Planejar e determinar a emissão de relatórios e quadros estatísticos referentes às ocorrências de

chamados, apontando seus pontos críticos e, por consequência, adotar ou propor soluções, visando à
proatividade;

Auxiliar no planejamento, implementação e acompanhamento de novos projetos da área;

Coordenar os trabalhos da equipe de suporte, de modo que todos os componentes tenham plena
capacidade de funcionamento e que o tempo de inatividade por falhas seja o menor possível;

Efetuar o controle dos serviços prestados, através do acompanhamento da solução apresentada pelos
técnicos da contratada, e a satisfação do usuário requerente;

Grupo de controle de dados: deve ser independente de desenvolvimento de sistemas, programação e

operações. Recebe entradas dos usuários, registra-as, transfere ao centro de processamento monitora o
processo de conversão de dados, recebe mensagens de erros e promove as de revisões, compara totais
de controle, distribui resultado, e certifica que as correções de erros foram feitas por usuários.

Supervisão de Restart/Recovery: o procedimento operacional de restart/recovery é o processo de

tomada de cuidados para evitar a perda de dados no decorrer da geração das transações; portanto,
estimula a implementação de recursos que garantam recuperação de dados em casos de parada
inesperada dos equipamentos. Significa que os usuários precisam dizer qual o risco de perda de uma
informação na geração de negócios. Se a informação não for importante, talvez o custo de gravação e
estocagem dessa informação supere seus benefícios. Um centro de processamento de dados deveria ter
os planos de recuperação de dados que permitirão reiniciar os programas importantes e arquivos de
dados em casos de desastres. O centro deveria criar cópias de arquivos de dados, banco de dados,
programas e documentação fora do ambiente de produção.

São as funções seguintes que devem auxiliar a manutenção dos backups de dados, arquivos,
programas e de sistemas:

Gravar os backups atentando para enfoque de avô-pai-filho. A respeito de arquivos , banco de dados,
dados programas e sistemas para um período específico, são gravadas três gerações de arquivos-
mestres. Esses arquivos-mestre são retidos durante esse período junto com os arquivos de transação. Se
a corrente ( o filho ) arquivo é destruída ou é danificada, as informações podem ser reconstruídas
usando o pai e rodando o arquivo de transação atual contra isso. Se forem destruídos pai e filho, o avô
junto com os arquivos de transação prévios e atuais pode ser usado para reconstruir a informação.

Implementar o procedimento de ponto de checagem. Envolve a captura dos valores de dados e

indicadores de programa a pontos especificados e gravando seus valores em outro arquivo. Se o
processamento for interrompido num ponto de checagem, pode ser retomado no último ponto de
checagem ao invés de recomeçar todo o ciclo de processamento de dados;

Implementar o procedimento de rollback. Envolve a recuperação através de esvaziamento do conteúdo

do arquivo-mestre e estruturas de dados associadas sobre um arquivo posterior. No caso de um
processamento defeituoso, o arquivo transitório é usado junto com o log de transação para reconstruir
outro arquivo;

Recuperar banco de dados. Os sistemas de administração de banco de dados processados on-line

possuem recursos para prover o reinício das transações quando houver interrupção , tendo, ainda,
facilidades para reconstrução de informação perdida;
Implementar o mecanismo de antes-imagem/depois-imagem captura os valores de dados antes e depois
de transação que processa e o arquivo-mestre. Esses arquivos podem ser usados para recriar o banco de
dados no caso de perda ou dados corrompidos;

Instalar no-break . Sistemas completamente protegidos têm gerador ou no-break que armazena energia
para alimentar os processamentos por algum momento até que se consegue geração de relatórios ou
chegar a um ponto de reinício sem prejuízo maior. No entanto, auxilia na prevenção de destruição de
dados no tempo de manutenção e perturbações de instalações elétricas ou flutuações de voltagem;

Instalar antivírus. Um vírus de computador e um programa de software que infesta outro programa ou o
armazenamento primário de um sistema ( memória principal) alterando sua lógica. Infecção resulta
frequentemente na destruição de dados. Vírus duplicam-se com intenção benigna ou maligna. Eles
normalmente existem como programas separados, independentes e usam serviços de sistema
operacional como os meios de replicação. Ameaças de vírus surgem quando uma organização conecta
seus computadores a uma rede desprotegida ou aberta. Para se proteger contra vírus, devem ser
implementados três tipos de controles: (i) controles preventivos que incluem adoção de uma política de
segurança formal, autorizando somente cópias certificadas, não usando software ou shareware novo
sem software antivírus, restringindo acesso e educando os usuários; (ii) controles de detecção incluem
instalação de antivírus para fazer varredura nos arquivos de dados e programas; (iii) controles
corretivos, incluem implementação de plano de recovery documentado para recuperação contra um
vírus;

Implementar o hot-site e providenciar o cold-site. Um hot-site é uma agência de serviço. É uma

facilidade de processo completamente operacional que esta imediatamente disponível, considerando
que um cold-site é uma facilidade de concha em que o usuário pode instalar equipamento de
computador depressa em caso de contingência.

2.6. OBJETIVOS DE AUDITORIA

O principal objetivo de auditoria dos controles organizacionais da área de informática é testar a grande
essência de controle interno, promover a eficiência das operações e fomentar a maior adesão às
políticas prescritas pela gerência ou gestão com maior foco na responsabilidade.

Uma auditoria em sistemas de informação consiste em um processo de verificação de toda a estrutura

computacional da empresa, feito por profissionais específicos e capacitados para tal. Eles avaliarão o
sistema como um todo e farão um relatório completo sobre a eficácia e o desempenho dele,
considerando o que a empresa busca e necessita nessa área. Entre os principais objetivos dessa
inspeção estão analisar a eficiência dos processos, garantir a segurança dos dados e assegurar o
cumprimento das leis e demais normas que permeiam as ações

3. CONCLUSÃO
O principal objetivo de auditoria dos controles organizacionais da área de informática é testar a grande
essência de controle interno, promover a eficiência das operações e fomentar a maior adesão às
políticas prescritas pela gerência com maior foco na responsabilidade.

A auditoria de controle organizacional tem foco no gestor de TI, pois é cobrado o acompanhamento de
planejamento estratégico da área de TI. A efetividade dos controles depende da experiência
organizacional dos gestores. Este exige demonstração de práticas e habilidades gerenciais em que
muitas vezes são reduzidas as interferências e as influências externas.

Um dos propósitos para o uso dos controles organizacionais é o auxílio na consecução dos objetivos dos
negócios.

Desta forma, a realização de auditorias constantes e eficientes contribui para a diminuição de possíveis
falhas e fraudes presentes nos sistemas de informação e, claro, a melhoria contínua destes pontos, a
partir das sugestões dos relatórios. A consequência disso é a garantia da segurança, da integridade dos
dados e da qualidade dos serviços que o TI da empresa realiza.

A confiabilidade dos sistemas de informação também é colocada a prova durante uma auditoria. Saber
que eles estão seguindo os padrões desejados pela empresa dá mais estabilidade para enfrentar
eventuais adversidades e estar à frente das outras no mercado, para inovar e criar novas soluções. Ela
também certifica que os sistemas estão seguindo a legislação e outras normas de qualidade,
minimizando problemas judiciais que poderiam ocorrer. Aliás, fazer uma auditoria externa (ou seja, feita
por pessoas de fora da equipe) ainda contribui para melhorar a credibilidade perante clientes,
colaboradores, parceiros e associados. A auditoria de sistemas de informação, atualmente, é
imprescindível para qualquer empresa que utilize de recursos computacionais.

4. REFERÊNCIAS BIBLIOGRÁFICAS

IMONIANA, Joshua O. – Auditoria de Sistemas de Informação – São Paulo: Atlas, 3ª Edição,

2016.

IMONIANA, Joshua O. – Auditoria de Sistemas de Informação – São Paulo: Atlas, 2ª Edição,

2014.

David L. Cannon, CISA: Certified Information Systems Auditor Study Guide, Sybex:2015

ARIMA, Carlos Hideo. Metodologia de Auditoria de Sistemas. São Paulo: Érica

CHAMPLAIN, Jack. Auditing information systems: a comprehensive guide. 2 ed. New York:

John Wiley, 2003.

PIATTINI, Mario. Auditing information Systems. Hershey, EUA: Idea Group, 2000.

RITTENBERG, Larry E. and SCHWIEGER, Bradley J. - Auditing - Concepts for a Changing

Environment - Editora Harcourt Brace College Publishers - Philadelphia, USA.

ARENS, Alvin A. e LOEBBECKE, James K – Auditing – An Integrated Approach, Editora

Prentice-Hall, Inc - Upper Saddle River, New Jersey, USA..

ATTIE, Willian. Auditoria: Conceitos e Aplicações – Ed. Atlas, São Paulo.

ATTIE, Willian. Auditoria Interna – Ed. Atlas, São Paulo.

BAILEY, Larry P. - GAAS Guide – Editora Harcourt Brace & Company - San Diego, USA.

BORGERTH, Vania M. C. – SOX – Entendendo a Lei Sarbanes-Oxley – Ed. Thomson, S.Paulo.

BOYNTON, William C. JOHNSON, R., KELL, Walter G. - Auditoria, Edit. Atlas – São Paulo.

COOK, John W. & WINKLE, Gary M. - Auditoria: Filosofia e Técnica - Saraiva S.A. - Livreiros

Editores - São Paulo.

GRAMLING, Audrey A., RIITENBERG, Larry E. e JOHNSTONE, Karla M.(tradução técnica:

Antonio Zoratto Sanvicente) – Auditoria, Cengage Learning – São Paulo, 2012

THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION – COSO

Enterprise Risk Management — Integrated Framework (Sumário Executivo disponível para download em
http://www.coso.org/publications.htm)