Tema 1 - Fundamentos Da Auditoria Informatica

• UNIVERSIDADE
JOAQUIM CHISSANO
Introdução
à Auditoria
Informática
Tema 1 –
Fudamentos da
Auditoria
Informática
Sérgio Simbine
sergio.simbine@gmail.com
1
Agosto, 2023
Apresentação
Sérgio Simbine
✓ Mestre em Sistemas de Informação pela UEM;
✓ Certified Information System Auditor (CISA) – pela ISACA;
✓ Certified COBIT 5 Foundation – pela ISACA;
✓ Certified COBIT 4.1 – pela ISACA;
✓ Certified ISO 22301 Lead Auditor – pela Continuity Link.
✓ Consultor de TI: IT Governance, Continuidade de Negócios, Gestão de
Riscos de TI, Reengenharia de Processos e Segurança Cibernética
✓ Membro do ISACA – Information Systems Audit and Control Association
(ISACA ID 748519);
✓ Auditor de TI com mais de 20 anos de experiência
✓ Docente Universitário com mais de 15 anos de experiência
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 2
Objectivos
Aplicar os conhecimentos e ferramentas para o exercício da auditoria informática em
ambientes de gestão informatizados.
No fim do curso o estudante deve ser capaz de:

✓ Fundamentar sobre os diferentes tipos de auditoria;
✓ Utilizar as técnicas apropriadas para planear e desenvolver uma auditoria;
✓ Dominar um conjunto de conceitos organizacionais e tecnológicos essenciais ao
desenvolvimento da actividade de auditor;

✓ Conhecer os conceitos gerais da metodologia COBIT;
✓ Reconhecer a importância da qualidade no desenvolvimento da actividade de
auditoria;
✓ Utilizar CAAT’s (Computer Audit Auxiliary Techniques and Tools) como forma de
reproduzir o comportamento de aplicações.

3
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
• UNIVERSIDADE
JOAQUIM CHISSANO
Tema 1 –
Fudamentos da
Auditoria
Informática
Sérgio Simbine
sergio.simbine@gmail.com
Agosto, 2023
4
Agenda
✓Fundamentos Teóricos da Auditoria Informática
✓ Conceitos importantes para a actividade de auditoria;
✓ Incidentes que impulsionaram a criação de Auditoria Informática;
✓ Auditoria de TI: Conceito, Tipos
✓ Funções de Auditor Informático;
✓ Perfil de Auditor Informático: Técnicas e de Personalidade
✓ Controlos: Conceitos, Tipos
✓ O processo de auditoria;
✓ Materialidade
✓ Evidências
✓ Normas técnicas de auditoria em ambientes informatizados
✓ COBIT
✓ Referências bibliográficas
5
Introdução Histórica da Função Auditoria
✓ È difícil determinar quando começou a Auditoria. Está historicamente comprovado que em
tempos muito remotos já existiam pessoas cuja função, embora sem uma designação específica,
se resumia ao objectivo de garantir a exactidão dos dados financeiros relativos aos interesses dos
governantes da época.
✓ Segundo se depreende dos relatos históricos a prática de nomear altos funcionários, para
efeitos de controlo da cobrança de impostos e de acompanhamento das operações
financeiras, já era seguida pelos imperadores romanos, prosseguiu em França no século III e
difundiu-se em Inglaterra no tempo do rei Eduardo I.
✓ Apesar da função desses altos representantes não ser suportada por quaisquer metodologias de
trabalho definidas e de não existir informação sobre as técnicas e os meios utilizados , a

verdade é que, no essencial, essas pessoas (representantes do poder instituído) perseguiam
objectivos dos actuais auditores: Acompanhar actividades, avaliar o estado do controlo, despistar
erros e desencorajar fraudes
6
✓ Com a revolução industrial, ocorrida nos finais do século XIX, foi gerado um grande incremento da
actividade industrial e comercial à nível europeu e em consequência as empresas foram forçadas a rever
os seus sistemas de trabalho e os seus processos organizativos, em especial ao nível contabilístico e do
controlo.
✓ Este incremento da actividade empresarial (especialmente na Grã-Bretanha), conduziu à necessidade das
empresas melhorarem os seus sistemas de prevenção e de combate a erros , anomalias e fraudes.

✓ Assim parece razoável admitir que a Auditoria e os Auditores tiveram a sua génese na revolução
industrial.
7
✓ Mais tarde, em plena crise económica americana de 1929, foi constituído o Comité May com o objectivo de
estudar e de definir um conjunto de procedimentos e de regras aplicáveis ás empresas cotadas na Bolsa.
✓ Dado que o referido Comité institui a obrigatoriedade de ser efectuada uma avaliação independente das DF
dessas empresas (designada por Auditoria Contabilística Independente), pode-se dizer que a Auditoria
Externa, enquanto “ferramenta” reconhecida e utilizada pelas empresas terá começado por volta de 1930.
✓ Importa reconhecer que a implantação e o desenvolvimento da Auditoria não ocorreram uniformemente em
todos os países e continentes da mesma forma que os seus objectivos fundamentais não foram entendidos e
interpretados e assumidos de modo idêntico em todos os países, regimes e continentes.
✓ No entanto apesar de algumas dificuldades de percurso , é inquestionável que os últimos 30/40 anos o
percurso trilhado pela Auditoria é seguro, afirmativo e florescente. Esta evolução positiva resultou
basicamente de exigências legais e da capacidade de afirmação da Auditoria.
✓ De facto, através da progressiva melhoria e sofisticação das técnicas e dos métodos de trabalho e,
essencialmente, com base nos resultados obtidos, a Auditoria foi criando uma aceitação, uma imagem e um
estatuto de inequívoca eficiência e credibilidade.
Conceito de Auditoria
✓ Auditoria é a actividade que consiste na emissão de uma opinião profissional sobre
o objecto de análise, afim de confirmar se cumpre adequadamente as condições que

lhe são exigidas
✓ É operação de análise e diagnostico da empresa, tendo em consideração todos os
aspectos da sua gestão, afim de avaliar a coerência, a racionalidade de processos e

de apreciar a validade e o rigor dos resultados.
✓ Auditoria é o processo sistemático de objectivamente obter e avaliar prova acerca
da correspondência entre informações, situações ou procedimentos e critérios

preestabelecidos, assim como comunicar conclusões aos interessados.
(Morais e Martins, 2007)
Tipos de Auditoria
A Auditoria pode ser classificada atendendo a diferentes critérios:
a) Quanto ao conteúdo e fins
b) Quanto à amplitude
c) Quanto à frequência
d) Quanto ao período temporal
e) Quanto à obrigatoriedade
f) Quanto ao sujeito que a efectua
Tipos de Auditoria
Quanto ao Conteúdo e fins:
✓ Auditoria das Demonstrações Financeiras – consiste num exame às DF com o objectivo de
expressar uma opinião sobre a conformidade, ou não, de acordo com os critérios
preestabelecidos , ou princípios contabilísticos geralmente aceites e as normas de
contabilidade.
✓ Auditoria de Conformidade – Consiste na verificação do cumprimento, pela entidade
auditada, das condições, regras e regulamentos específicos por diversas fontes, externas ou
internas
✓ Auditoria operacional – consiste numa revisão sistemática das áreas operacionais da
entidade auditada, com o objectivo de avaliar a economia, eficiência e eficácia das actividades
e/ou operações.
✓ Auditoria de gestão – consiste na avaliação da performance da conformidade das decisões e
o desempenho dos gestores.
✓ Auditoria estratégica – conformidade na avaliação da conformidade das decisões com as
políticas estratégicas previamente estabelecidas.
11
Tipos de Auditoria
Quanto à amplitude:
✓ Auditoria geral – envolve a entidade na sua globalidade.
✓ Auditoria parcial – envolve apenas uma parte da entidade. Pode referir-se a

uma entidade, operação ou um projecto.
Quanto à frequência:
✓ Auditoria permanente – realizada de forma regular, permitindo um
acompanhamento contínuo.
✓ Auditoria ocasional – realizada de forma esporádica, por solicitação pontual.
Tipos de Auditoria
Quanto ao período temporal:
✓ Auditoria da informação histórica – o objecto é o conjunto da informação
histórica, cuja auditoria é elaborada à posteriori.
✓ Auditoria da informação previsional ou prospectiva – o objecto é o

conjunto da informação previsional ou prospectiva, auditoria elaborada à
priori. Baseia-se em técnicas de avaliação acerca da validade de previsões.
Quanto à obrigatoriedade:
✓ Auditoria de fonte legal – baseada em fonte legal.
✓ Auditoria de fonte contratual – baseada num contrato de prestação de

serviços, sendo facultativo.
Tipos de Auditoria
Quanto ao ao sujeito que a efectua:
✓Auditoria externa – se efectuada por profissionais externos não
subordinados á entidade auditada. Normalmente são auditorias

ocasionais.
✓Auditoria interna – se efectuada por quadros da entidade (ou
não) normalmente organizados num departamento. São

normalmente auditorias permanentes.
14
Principais diferenças entre AI e AE
Auditoria Interna Auditoria externa
O objectivo é atender às necessidades do O objectivo é atender às necessidades de

Órgão de Gestão, contribuindo para o terceiros no que diz respeito à credibilidade
fortalecimento do sistema de Controlo Interno, das informações financeiras. A avaliação do
gestão do risco e governance da entidade controlo interno é feita , principalmente, para
determinar a extensão, profundidade e
calendarização dos exames a efectuar às
contas;
O trabalho é executado tendo em conta as O trabalho é executado tendo em conta os
áreas operacionais e as linhas de elementos das demonstrações financeiras;
responsabilidade administrativa;
Deve ser independente no exercício da sua Deve ser independente em relação à

função; Administração, havendo na lei
incompatibilidades gerais, específicas,
absolutas, relativas e impedimentos
O exame das actividades é contínuo; O exame das informações das demonstrações

financeiras é descontínua;
15
Principais diferenças entre AI e AE
Auditoria Interna Auditoria externa
O controlo interno é avaliado a fim de A opinião em relação ao controlo interno

expressar opinião acerca da eficácia e focaliza-se na segurança das operações e o
eficiência dos recursos da entidade; seu impacto nas demonstrações financeiras
em detrimento da eficácia e eficiência dos
recursos;
A responsabilidade é de ordem geral, idêntica São responsáveis para com a sociedade,
à dos restantes trabalhadores da entidade; sócios e credores sociais. É uma
responsabilidade única e indivisível
Os relatórios não são dotados de “fé pública” Os relatórios podem ser dotados de “fé
embora devam ser elaborados com pública”, caso da “certificação legal das
objectividade e o detalhe adequado aos contas”, só podendo ser impugnada
destinatários; judicialmente;
Quadro da entidade Profissional externo à entidade auditada

@Sérgio Simbine 2023
•
17
Incidentes que impulsionaram a criação de Auditoria Informática
Equity Funding Corporation of America

✓ O primeiro caso conhecido de abuso de Informática aconteceu à Equity Funding
Corporation of America. Com início em 1964, prolongando-se até 1973, os gestores
das companhias reservaram falsas apólices de seguro para obterem lucros, enquanto
impulsionavam o preço da acção da empresa. Se não fosse a interferência de alguém
especializado, não seria possível detectar a fraude. Depois de descoberta a fraude, foi
a empresa Touche Ross que levou 2 anos para confirmar que as apólices de seguro
não eram reais. Este foi um dos primeiros casos em que os auditores tiveram de usar o
computador para analisar uma fraude.
AT&T
✓ Em 1998 a AT&T sofreu uma falha tecnológica que causou impacto no comércio e
comunicação a nível mundial. Um interruptor principal falhou devido a lacunas no
software e erros nos procedimentos, que deixaram muitos utilizadores de cartão de
crédito sem acesso aos fundos por mais 18 horas. Eventos como estes fazem-nos
pensar na nossa dependência em relação às Tecnologias de Informação e lembra-nos a
necessidade de garantia de acesso aos sistemas de informação.
18
Enron e Arthur Andersen
✓ O escândalo de Enron e Arthur Andersen LLP
contribuíram para a falência de uma grande empresa de
Contabilidade. A investigação detectou uma fraude de
mais de 60 bilhões dólares e esta foi a maior história de
falência norte-americana. Este escândalo teve um impacto
significativo no Acto de Sarbanes-Oxley e foi considerado
uma violação de auto-regulação.
Os ataques terroristas de 11 de Setembro

✓ Os ataques terroristas de 11 de Setembro de 2001,
deixaram muitos americanos vulneráveis. O mercado
económico começou a cair e todos perceberam que a
nação considerada a mais poderosa do mundo era
susceptível a ataques. O 11 de Setembro enfatizou o
modo para o Acto de Segurança da Pátria e aumentou o
regulamento e a segurança das infra-estruturas
electrónicas.
19
✓ Barings Bank
✓ Union Bank of Switzerland
✓ Societé Generale
✓ Lehman Brothers
20
Auditoria Informática
O que éuma Auditoria de TI?
✓Um exame dos sistemas de TI de uma organização para determinar se

existe conformidade adequada para actividades relacionadas à colecta,
armazenamento, processamento, distribuição e uso de informações nesses
sistemas com base nos objectivos da organização
✓Os controlos atendem aos requisitos de conformidade (por exemplo, SOX,

PCI, HIPAA)?
O que éuma Auditoria de TI?
✓A auditoria é uma inspeção formal para verificar se uma norma,

standard ou framework é seguido, se os registos são precisos,
ou se os objectivos de eficiência e eficácia estão a ser atingidos.
✓As auditorias de TI (na verdade, todas as auditorias) fornecem

apenas uma garantia razoável em relação à integridade e
precisão dos dados nos sistemas de TI
22
Funções de Auditor Informático:
✓Cuidar da correcta utilização de todos recursos que a

organização utiliza para poder dispor de um SI suficientemente
eficiente e eficaz ;
✓Emitir um juizo global ou parcial baseado em factos e situações

inteiramente correctas, mas sem poder para modificar a situação
por ele analisada;
✓Ter preocupações cuidadosas nas suas relações com a empresa

ou com o responsável da área a ser auditada
Funções de Auditor Informático:
✓Verificar o funcionamento dos sistemas
✓Fazer com que o auditado responda as suas perguntas ou o seu

questionário (estes questionários chamados de cheklists, devem
ser conservados cuidadosamente pelo auditor)
Conhecimentos técnicos exigíveis para auditor:
O Capítulo 3 da Norma Técnica do ICAC de Auditoria em ambientes
informatizados, estabeleçe que o auditor deve ter conhecimento suficiente
dos sistemas informáticos que lhe permitam:
✓ Planeaar, dirigir, supervisionar e rever o trabalho realizado.
✓ Dada a complexidade crescente dos sistemas informáticos, em cada

trabalho, o auditor deve avaliar que conhecimentos especializados
serã necessários e que lhe permitam obter conhecimento suficiente
dos sistemas contabilísticos e de controlo interno afectado pelo
ambiente informatizado, da àrea/sistema a auditar
✓ Determinar o efeito do ambiente informatizado na avaliação
do risco global e do risco ao nível de saldos e de tipos de

transações.
✓ Planear e aplicar as medidas adequadas de cumprimento e
procedimentos substantivos.
✓ Se o auditor considerar que requer conhecimentos

especializados, deverá obter o apoio de um profissional que
os possa fornecer;
✓ No caso de utilizar a ajuda de profissionais externos
especializados, deverá ter em conta o conteúdo da Norma

Técnica de Auditoria sobre a utilização de especialistas
independentes.
✓ Além da colaboração de especialistas que considerar

necessária, o auditor responsável pela auditoria financeira
deve ter conhecimentos suficientes para que lhe permita
comunicar os objetivos do trabalho para os auditores
informáticos, avaliar se eles procedimentos específicos de
revisão de controls estão alinhados com os objetivos gerais da
auditoria e avaliar os resultados obtidos.
Conhecimento recomendado
Assim, de acordo com o disposto nas referidas normas técnicas,

os organismos de auditoria pública devem considerar a
necessidade de treinamento para todos os níveis sobre conceitos
relacionados com a auditoria em ambientes informatizados, que
deve incluir a seguintes aspectos:
✓ Normas técnicas de auditoria relacionadas.
✓ Características dos ambientes informatizados.
Conhecimento recomendado Auditoria Informática
✓ Aprofundamento da avaliação dos controlos internos em
ambientes informatizados, distinção entre controlos gerais e
controlos de aplicativos, seu efeito no risco de auditoria e nos
procedimentos de auditoria aplicáveis.
✓ Provas informáticas.
✓ Introdução aos sistemas ERP e análise do seu impacto no
procedimentos de auditoria.
Conhecimento recomendado Auditoria Informática
✓ Introdução e aplicações práticas de ferramentas de análise e
extração de dados (CAAT).
✓ Utilização de Papeis de trabalho eletrônicas.
✓ Conceitos básicos sobre auditoria de sistemas de informação.
Qualidades de um Auditor – Qualidades Técnicas:
✓Ter conhecimento da área de informática;
✓Conhecer alguma linguagem de programação relevante.
✓Conhecer documentação de sistemas e a elaboração do

respectivo fluxograma;
✓Se analisa um sistema em desenvolvimento deve saber alguma

metodologia de desenvolvimento de SI, as técnicas de
construção dum protótipo e elaboração de um plano director de
Informática;
32
Qualidades de um Auditor – Qualidades Técnicas:
✓Deve sempre procurar actualizar os seus conhecimentos na

matéria (área);
✓Durante a Auditoria do Departamento de Informática, o auditor

deve saber analisar os custos das operações e dos equipamentos,
interpretar as normas de carácter técnico-administrativo e
conhecer todos respectivos aspectos operacionais e os contratos
de software e hardware.
33
Qualidades de um Auditor – Personalidade Profissional:
✓Honestidade e integridade moral: ter bons princípios éticos e

isenção nas suas opiniões;
✓Objectividade: independente das influências que outros

pretendam exercer;
✓Aptidão crítica para identificar insuficiências e problemas,

compreendendo as suas causas e prevendo as suas
consequências;
✓Exigências de rigor nos seus processos de trabalho, formulação

de recomendações e propostas de soluções realistas;
✓Capacidade de análise e síntese, de modo integrador e sistémico;
✓Flexibilidade que permita uma maior adaptação às situações;
✓Capacidade de iniciativa e criatividade orientadas para a

resolução de problemas;
35
✓Possibilidade de compreender rapidamente, mantendo, no entanto,

a capacidade de percepção a níveis mais profundos;
✓Comunicação com a clareza e capacidade de persuadir, sobretudo

os auditados, para tentar evitar a geração de novos problemas;
✓Auto-controlo emocional para poder suportar situações de tensão;
✓Sociabilidade e possibilidade de trabalho em equipa com

capacidades de orientação;
•
37
Objectivos de Auditoria de TI?
Algumas áreas que devem ser auditadas
Tipos de Auditoria (âmbito)
Tipos de Auditoria de TI?
✓ Com base no tipo de Contrato/Compromisso (engagement type)
▪ Auditoria interna - é uma garantia objectiva e independente, é uma

actividade de consultoria projectada para… avaliar e melhorar a
eficácia dos processos de gestão de risco, controlo e governança.
▪ Auditorias de Demonstrações Financeiras
▪ Inquéritos / Averiguações (Attestations)
✓ Com base no Sujeito que a realiza
▪ Auditoria interna
▪ Auditoria externa
✓ Com base na motivação/abordagem da auditoria

(approach/driver/purpose)
▪ Auditoria baseada em Controlos (ABC)

▪ Auditoria baseada no Risco (ABR)
▪ Auditoria baseada em Processo (ABP)
✓ A versão de 2000 da norma ISO 9001 foi revista para introduzir a

audiroria baseada em Processos;
✓ A abordagem de processo permite que uma organização

planeie seus processos e sua interação, a abordagem baseada no
risco permite que uma organização determine os factores que
podem impedir os processos e o sistema de atingir os objectivos
planeados e implantar controlos para mitigar seus efeitos.
Controlos
O que é um Controlo?
✓Uma actividade definida em um processo projectado para

encorajar uma acção pretendida ou para evitar que uma acção
indesejada aconteça.
✓Controlo pode ser definido “Como qualquer acção levada

acabo pela gestão para aumentar a probabilidade de que
objectivos e metas estabelecidos serão alcançados” (Cascarino)
44
Controlos
✓O COBIT define o controlo como “as políticas, procedimentos,

práticas e estruturas organizacionais concebidos para dar uma
garantia razoável de que os objectivos de negócio serão
atingidos e que quaisquer acontecimentos indesejados serão
prevenidos ou detectados e corrigidos”. (ISACA)
Controlos
✓ Entender o que é um controlo, como os controlos são definidos

e como os controlos são implementados é fundamental para o
sucesso do trabalho de auditor de TI
Controlos
Hieraquia de Controlos
Controlos
Hieraquia de Controlos
✓Objectivo da auditoria: O objectivo da auditoria, ou o que a auditoria

espera alcançar;
✓Objectivo de controlo: Os objectivos de gestão que são usados como a

estrutura para desenvolver e implementar controlos (procedimentos de
controlo).
Controlos
Tipos de Controlo
✓Controlos Preventivos - As actividades de controlo preventivo são

projetadas para impedir a ocorrência de um evento indesejável. O
desenvolvimento desses controlos envolve a previsão de problemas
potenciais antes que eles ocorram e a implementação de maneiras de evitá-
los.
▪ Exemplo: senha, privilégio mínimo
Controlos
Tipo Função Exemplos
• Empregar somente pessoal qualificado.
• Segregação de funções (Factor de impedimento).
• Controle de acesso físico as instalações

• Descobre problemas antes de eles
surgirem. • Estabelecimento de procedimentos satisfatórios para
autorização de transações.
• Monitora ambos operações e inputs. • Uso de software de controlo de acesso que permite só
Preventivo pessoal autorizado ter acesso a arquivos sensíveis.
• Prognostica potenciais problemas
• Previne erros, omissão ou actos

maliciosos antes de acontecer.
Controlos
Tipos de Controlo
✓Controlos de detectivos - As actividades de controlo de detecção são

projectadas para identificar eventos indesejáveis que ocorrem e alertar a
gestão sobre o que aconteceu. Isso permite que a administração tome
acções corretivas prontamente.
▪ Exemplo: revisão periódica do acesso do utilizador.
51
Controlos
• Totais Hash
• Pontos de check na produção
• Mensagens de erro
• Descobre e informa a
Detectivos ocorrência de um erro,
• Redobrar a verificação de cálculos
omissão ou acto malicioso
• Função de auditoria Interna
• Revisão de logs para detectar tentativas de

acessos não autorizados
Controlos
Tipos de Controlo
✓Controlos Correctivos - Os controlos corretcivos são projectados para

corrigir erros ou irregularidades detectados.
▪ Exemplo: Re / Treinamento do Utilizador
53
Controlos
• Minimiza o impacto de uma ameaça • Planos de Contingência

• Resolve problemas detectados por • Procedimentos de Backup
controlos detectivos.
• Procedimentos de Recuperação
• Identifica a causa do problema.
Correctivos
• Corrige erros que surgem de um
problema
• Modifica o sistema de processamento

para minimizar futuras ocorrências do
problema.
54
Tipos de Controlo sobre Sistemas de Informação
Controlos sobre STI
✓ Controlos a nível da Entidade

Aplicam-se a toda a entidade e estão
relacionados com o ambiente de
controlo, avaliação de risco, sistemas
de informação e comunicação e
monitorização
Controlos sobre STI
✓ Controlos Gerais de tecnologias de informação - Aplicam-se

aos sistemas aplicacionais e visam assegurar a sua operação
correcta e contínua.
Domínios
▪ Infra-estrutura tecnológica
▪ Organização (Funções, Recursos/dependência, Capacidade
técnica / Formação, Desempenho)
▪ Aquisição /desenvolvimento e implementação de Software
▪ Manutenção e implementação de Software
▪ Segurança de informação
▪ Operação do Sistema
57
Controlos sobre STI
✓ Controlos Aplicacionais - Incluem procedimentos incluídos nos

programas informáticos (programados) e procedimentos manuais
(utilizador) para controlo da totalidade, exactidão e validade da
informação financeira ou de outro tipo existente na aplicação.
▪ Totalidade de transacções
▪ Exactidão de transacções
▪ Validade/Autorização de transacções
▪ Restrição de acessos
▪ Manutenção de dados em ficheiro
58
Controlos sobre STI
Controlos sobre STI
60
Controlos sobre STI
Teste de Controlo
✓ Teste de Desenho (Test of Design - TOD):
▪ Teste para determinar se um controlo foi projectado
corretamente. De forma que, se fosse implementado
conforme planeado, operaria com eficácia.
▪ TOD pode ser executado por meio de vários métodos para
concluir sobre a adequação do projecto.
61
Controlos sobre STI
Teste de Controlo
✓ Teste de Eficácia Operacional (Test of Operating Effectiveness -
TOE)
▪ TOE é usado para determinar se um controlo está operando
conforme pretendido quando projectado.
▪ Aspectos a considerar ao determinar a extensão dos testes a

serem realizados.
➢ Natureza do controle, frequência de operação,

importância do controle e risco de falha
Controlos sobre STI
Teste de Controlo
✓ Natureza e frequência dos controlos
63
Controlos sobre STI
Técnicas de Teste de Controlo
✓ Teste de Desenho (TOD):
▪ Teste de Design
▪ Inquérito,
▪ Inspeção,
▪ Observação
✓ Teste de Eficácia Operacional (TOE)

▪ Observação,
▪ Inspeção,
▪ Re-desempenho,
▪ Recálculo
▪ Consulta do sistema
64
Controlos sobre STI
Exemplo de Teste de Controlo

✓ Controlo: as senhas da rede e do aplicativo devem ter no
mínimo 8 caracteres alfanuméricos e expirar a cada 90 dias
Controlos sobre STI
Exemplo de Teste de Controlo (Análise do Controlo)
▪ Controlo está de Conformidade (Passa, Adequado, OK)
Controlos sobre STI
Exercicio de Teste de Controlo

▪ TOD: Informe-se sobre as configurações de senha e

observe o processo de configuração. Obtenha
documentação sobre as políticas da empresa para senhas.
▪ TOE: obtenha as configurações de rede e senha do

aplicativo. Confirme se a configuração das senhas atende
aos requisitos de controlo.
Controlos sobre STI
Exercicio de Teste de Controlo
✓ Controlo: Acesso de superuser na Base de Dados SQL Server é
restrito a DBAs.
68
Controlos sobre STI
69
Riscos
Risco
✓ Qualquer “aspecto” que possa afectar a capacidade de se
atingirem os objectivos definidos.
✓ Ocorrência de um evento com impacto negativo que poderá

impeder a organização de alcançar os objectivos delineados
Riscos
Riscos
Tipos de Risco
Riscos
Risco Inerente vs Risco Residual
73
Riscos
Risco de Auditoria
✓ É o risco do auditor de SI chegar a uma conclusão incorrecta com

base em descobertas durante a auditoria.(ISACA)
✓ É o risco da informação conter erro material que pode não ser
detectado durante o decurso da auditoria.
Risco de Controlo
✓ É um risco que um erro material existe que não será prevenido ou

detectado oportunamente pelos sistemas internos de controlo.
74
Riscos
Riscos Inerentes a STI
✓ Processamento de dados incorrectos;

✓ Perda de confidencialidade, integridade e disponibilidade
de informação;
✓ Acesso e divulgação de informação confidencial;
✓ Alterações não autorizadas a STI;
✓ Indisponibilidade dos STI e atraso ou mesmo paragem das
actividades da organização.
Riscos
Risco de detecção
✓ É o risco de um auditor de SI usar procedimento de teste

inadequados e concluir que erros materiais não existem, mas
de facto eles existem. O erro pode não ser detectado durante
a fase de avaliação de risco de auditoria.
✓ Identificação de risco de detecção poderá avaliar a

habilidade do auditor de testar, identificar e recomendar a
correcção de riscos materiais como resultado de um teste.
76
Riscos
Estratégias de Resposta ao Risco
77
Metodologia de Auditoria de TI
Elementos principais da metodologia:
✓ O auditor deve estudar em detalhes o sistema

de controlo interno
✓ Determinar os controlos que oferecem

confiança
✓ Decidir sobre o programa dos testes de

auditoria
✓ Escolher os testes mais eficientes (de

conformidade ou de substanciação)
78
✓ Familiarizar-se com a actividade e organização da empresa,

incluindo os procedimentos de controlo interno
✓ Compreender e registar o sistema contabilístico e de controlo

interno
✓ Seleccionar o Questionário de Controlo Interno (ICQ) mais

conveniente
✓ Avaliar o sistema contabilístico e de controlo interno
79
✓ Elaborar e executar um programa de testes de conformidade

(para os controlos que merecem confiança). Alguns testes
substantivos serão executados.
✓ Discutir com os responsáveis da empresa as deficiência

identificadas
✓ Comunicar à empresa, através do relatório de controlo interno,

as deficiências no controlo interno
80
Fases/Etapas de Auditoria de TI
✓ Planeamento de auditoria
▪ Compreender a organização
▪ Definir o objectivo e âmbito (escopo) da auditoria
▪ Baseado em risco versus baseado em processo
▪ Identificar procedimentos e planos de colecta de

dados
Fases/Etapas de Auditoria de TI
✓ Realizar trabalho de campo
▪ Colectar e avaliar evidências
▪ Concluir sobre os resultados do teste
▪ Documentação
✓ Encerramento da Auditoria (Elaborar o Relatório de

auditoria / acompanhamento)
83
84
Compreensão de sistemas - Preparação antecipada
✓ Familiarizar-se com os assuntos a ser discutidos;
✓ Fazer as entrevistas com os indivíduos apropriados;
✓ Formular as questões antecipadamente;
✓ Obter o máximo de informação sobre as características pessoais

do indivíduo a entrevistar. Considerar a agenda da pessoa a ser
entrevistada;
✓ Considerar o nível da pessoa a entrevistar, se for da

administração deverá ser entrevistado por um auditor com mais
experiência. 86
Compreensão de sistemas - A entrevista
✓ Comunicação ao entrevistado dos motivos da entrevista
✓ Estabelecimento de uma comunicação básica
✓ Escolha cuidadosa do vocabulário
✓ As razões por que foi escolhida a pessoa por entrevistar
✓ Dizer a pessoa a ser entrevistada se vai ser informada dos

resultados da entrevista
✓ O auditor deverá criar a motivação necessária para que a

entrevista decorra de forma eficaz
87
Compreensão de sistemas - Postura
✓ Contacto visual, expressões faciais
✓ As primeiras impressões transmitidas nos primeiros 30 a 60

segundos, afectarão o resto da entrevista (Não se consegue criar
primeiras impressões uma segunda vez)
✓ Na recolha de notas, não se deverá escrever demais ou perder

muito tempo a escrever
88
Compreensão de sistemas - Comunicação verbal
✓ Uma voz agradável
✓ Audibilidade
✓ Articulação
✓ Naturalidade e espontaneidade
✓ Não falar demasiadamente depressa ou devagar
✓ Evitar discurso demasiadamente articulado, murmurado ou

mastigado
89
Compreensão de sistemas - Audição e resposta
✓ O auditor deverá escutar e tentar compreender o entrevistado (evitar manter
um monólogo)
✓ A técnica eficiente é repetir as respostas do entrevistado nas suas próprias

palavras
✓ Conceder um tempo suficiente para a resposta das perguntas formuladas
✓ O auditor deve ser flexível para ajustar e modificar a entrevista à luz das
respostas obtidas
•
91
Normas de Auditoria
Princípios e Normas de Auditoria do Sector Público de

a OCEX (Orgão de Controlo Externo)
✓ Os Princípios e Normas de Auditoria do Setor Público (PNASP) do
OCEX (Orgão de Controlo Externo);
✓ Padrões técnicos de auditoria do ICAC (Instituto de
Contabilidade e Auditoria de Contas)
✓ Normas Internacionais de Auditoria e Normas INTOSAI

(International Organization of Supreme Audit Institutions)
Normas de Auditoria
✓ Princípios e a metodologia GAIT, desenvolvido e publicado pelo

Instituto de Auditores Internos (IIA), correspondem a um
conjunto de princípios e metodologia, conhecido como Guia à
Avaliação do Escopo de Controles Gerais de TI Baseada em
Risco (GAIT);
✓ Guias de Auditoria para Tecnologia Global (GTAG - Global

Technology Audit Guide) - As diretrizes do GTAG foram
desenvolvidas pelo Institute of Internal Auditors (IIA). Cada guia
serve como fonte de recursos para auditores e cientistas da
computação em diferentes aspectos relacionados aos riscos do
tecnologias de informação e melhores práticas aplicáveis.
93
Normas de Auditoria
✓ As as diretrizes emitidas pelo GTAG, até agora são:
94
Normas de Auditoria
Normas de Auditoria de Sistemas de Informação da ISACA

(Information Systems Audit and Control Association)
✓ ISACA é uma associação reconhecida mundialmente, dedicada ao
desenvolvimento do conhecimento relacionados com a segurança e
auditoria de sistemas de informação, Corporate Governance de TI e Riscos
relacionados com a TI. Fundada em 1969,
✓ ISACA desenvolve padrões internacionais de auditoria e normas de

controlo.
✓ A ISACA aprovou as Normas de Auditoria de Sistemas de Informação, de

aplicação obrigatória para os auditores de sistemas de informações com a
certificação CISA (Certified Information System Auditor )
95
ISACA -NORMAS DE AUDITORIA INFORMÁTICA
• S1 Audit Charter (Código de Auditoria) 1 Janeiro 2005
• S2 Independência 1 Janeiro 2005
• S3 Ética e Padrões Profissionais 1 Janeiro 2005
• S4 Competência Profissional 1 Janeiro 2005
• S5 Planeamento 1 Janeiro 2005
• S6 Desempenho do Trabalho de Auditoria 1 Janeiro 2005
• S7Relatórios 1 Janeiro 2005
• S8 Actividades de Acompanhamento 1 Janeiro 2005
• S9 Irregularidade e actos ilegais 1 Setembro 2005
• S10 Governança de TI 1 Setembro 2005
• S11 Uso da avaliação de riscos no planeamento de auditoria 1 Novembro 2005
• S12 Materialidade da Auditoria 1 Julho 2006
• S13 Uso do Trabalho de Outros Especialistas 1 Julho 2006
• S14 Evidência de Auditoria 1 Julho 2006
• S15 Controlos TI 1 Fevereiro 2008
• S16 Comércio Electrónico 1 Fevereiro 2008
96
•
97
Histórico do Framework COBIT
COBIT
COBIT 4.1 vs COBIT 5
itério
Cobit 4.1
COBIT 5
Critério
Cobit 4.1
99
COBIT 5
COBIT 5 - O que é?
✓ O COBIT 5, desenvolvido e difundido pelo ISACA
(Information System Audit and Control) é um framework de
governança e gestão corporativa de TI.
✓ Governança Corporativa de TI: insere-se na Governança
Corporativa da organização e é dirigida por esta, e busca o
direccionamento da TI para atender o negócio e o
monitoramento para verificar a conformidade de acordo com
as orientações da administração da organização.
✓ A Governança Corporativa de TI não é de responsabilidade 100
exclusiva dos gestores de TI e, sim, da gestão de topo(board).

COBIT 5
✓ Gestão de TI: sistema de controlos e processos necessários para
alcançar os objectivos estratégicos estabelecidos pela direção da

organização.
✓ A Gestão de TI implica a utilização optimizada de meios (recursos,
pessoas, processos, práticas) pra alcançar um determinado objectivo.
✓ Actua no planeamento, construção, organização e controlo das
actividades operacionais e se alinha com a direcção definida pela

organização.
A Gestão de TI controla tarefas operacionais, enquanto a Governança de TI
controla a gestão.
101
COBIT 5
Alinhamento do COBIT 5 com Standards ✓ Outros Standards:
✓ Do ISACA: ▪ Information Technology
▪ COBIT 4.1; Infrastructure Library (ITIL);
▪ Val IT; ▪ International Organization for
▪ Risk IT; Standardization (ISO);
▪ Business Model for Information ▪ Body Project Management of

Security (BMIS); Knowledge (PMBOK);
▪ IT Assurance Framework (ITAF); ▪ PRINCE2 e
▪ Taking Governance Forward (TGF); e ▪ The Open Group Architecture

Framework (TOGAF).
▪ Board Briefing on IT Governance 2nd
Edition.
102
COBIT 5
Estrutura do COBIT 5
✓ Os 5 Princípios do COBIT 5
✓ Modelo de Referência de Processos
✓ Implementação do COBIT 5
✓ Modelo de Capacidade de Processos
COBIT 5
Os 5 Princípios do COBIT 5
1. Satisfazer as
necessidades
dos stakeholders
5. Separar 2. Cobrir todas

governança de as áreas da
gestão organização
Princípios
do
COBIT 5
4. Possibilitar
3. Aplicar um
uma abordagem
framework único
holística
e integrado
104
Fonte: COBIT 5, ISACA, 2012
1. Satisfazer as necessidades dos stakeholders
✓ As organizações existem para criar valor para seus stakeholders.
✓ As organizações têm muitos stakeholders e a ‘criação de valor’ tem
diferentes e, às vezes, conflituantes significados para cada um deles.
✓ O sistema de governança deve levar em consideração todas as partes

interessadas quando são tomadas decisões sobre benefícios, recursos e
avaliação de riscos.
✓ Em cada tomada de decisão, as seguintes

Necessidades
✓ perguntas podem ser feitas: dos
stakeholders
▪ Quem recebe os benefícios?
▪ Quem se responsabiliza pelos riscos?
▪ Quais recursos são necessários?
Objectivo da governança: criação de valor
Optimização Optimização
Realização de
de de
benefícios
riscos recursos
1. Satisfazer as necessidades dos Stakeholders
Orientadores dos Stakeholders

(Ambiente, Evolução da tecnologia,...)
Influências
Necessidades dos stakeholders

Realização Optimizaçã
de
Optimização de
o de A cascata de Objectivos do COBIT 5 traduz as
riscos
benefícios recursos necessidades dos stakeholders em metas
específicas, praticáveis e personalizadas da
organização, de TI e dos enablers/faciilitadores.
Metas da Organização • Possibilita a definição de prioridades

para a implementação, melhoria e
alinhados com
garantia da governança corporativa de
TI com base nos objectivos
(estratégicos) da organização e nos
Metas estratégicos de TI riscos relacionados.
alinhados com Na prática, a cascata de objectivos:

• Define as metas e os objectivos relevantes e
tangíveis em vários níveis de
Metas dos Enablers
responsabilidade.
106
1. Satisfazer
as
necessidades
dos
stakeholders
2. Cobrir
5. Separar
todas as áreas
governança de
da
gestão
organização
Princípio
s do
COBIT 5
4. Possibilitar 3. Empregar
uma uma estrutura
abordagem única e
holística integrada
2. Cobrir todas as áreas da empresa
✓ O COBIT 5 aborda a governança e gestão de TI relacionadas sob

uma perspectiva ampla, que envolve toda a organização.
Ou seja:
✓ Integra a Governança Corporativa de TI com a Governança da
Organização, isto é, o Sistema de Governança de TI proposto pelo
COBIT 5 integra-se perfeitamente com qualquer sistema de governança
porque o COBIT 5 está alinhado com as visões de governança mais
recentes.
✓ Abrange todas as funções e todos os processos da empresa; o COBIT 5
não foca somente as ‘funções de TI’, mas trata a informação e as
tecnologias relacionadas como activos com os quais todos da
organização devem lidar, como qualquer outro activo da empresa.
1. Satisfazer
as
necessidades
dos
stakeholders
2. Cobrir
5. Separar todas as áreas
governança de da
Princípio
s do
COBIT 5
4. Possibilitar 3. Aplicar um
uma framework
abordagem único e
holística integrado
109
COBIT 5
3. Aplicar um framework único e integrado
✓ integra todos os conhecimentos anteriormente dispersos em diferentes frameworks

do ISACA e está alinhado com os mais actuais e relevantes padrões e frameworks
utilizados.
✓ Permite à organização utilizar o COBIT 5 como um integrador dos frameworks de

governança e de gestão.
110
3. Aplicar um framework único e integrado
▪ Família de Produtos COBIT 5
COBIT ® 5
Guias de Enablers do COBIT® 5

®
COBIT 5: COBIT® 5: Outros Guias
Processos Informação
Guias Profissionais de Orientação doCOBIT® 5
®
COBIT 5 COBIT® 5 ®
® COBIT 5 Outros Guias
COBIT 5 Implementação Segurança Guião para
Riscos Profissionais
da Informação Validação
COBIT® 5 Ambiente Colaborativo on-line
1. Satisfazer
as
necessidades
dos
stakeholders
2. Cobrir
governança de da
Princípio
s do
COBIT 5
uma framework
abordagem único e
4. Possibilitar uma abordagem holística
✓ Para apoiar a governança e gestão de TI utilizando uma abordagem que

engloba a organização como um todo, incluindo seus componentes e suas
inter-relações, o COBIT 5 define um conjunto de 7 enablers.
✓ Os Enablers do COBIT 5 são:

▪ Factores que, individual e colectivamente, influenciam o funcionamento
da governança e gestão corporativa de TI.
▪ Impulsionados pela cascata de metas, ou seja, os objectivos de alto nível
relacionados à TI definem quais resultados os diferentes enablers devem
alcançar.
Enablers (Facilitadores)
3. Estruturas 4. Cultura, ética e

2. Processos
organizacionais comportamento
1. Princípios, políticas e estruturas
6. Infraestrutura 7. Pessoas,
5. Informação de serviços e habilidades e
aplicações competências
114
1. Princípios, Políticas e Frameworks: são os veículos que traduzem o comportamento desejado em um

guia prático para a gestão quotidiana;
2. Processos: conjunto organizado de práticas e actividades para atingir certos objectivos com vista a
produzir um conjunto de outputs que auxiliem no cumprimento das metas relacionadas a TI;
3. Estruturas organizacionais: são as entidades-chave, responsáveis pela tomada de decisão numa
organização;
4. Cultura, Ética e Comportamento: dos indivíduos e da organização; muito frequentemente é
subestimada como um factor de sucesso nas actividades de governança e gestão;
5. Informação: está difundida por toda organização. Representa toda informação produzida e utilizada
pela organização.
6. Serviços, Infra-estrutura e Aplicações: inclui a infra-estrutura, tecnologia e aplicações que fornecem
à organização os serviços de TI;
7. Pessoas, Habilidades e Competências: está relacionado com as pessoas e são requeridas para que as
actividades sejam executadas com sucesso e para que decisões e acções correctivas sejam realizadas de
forma correcta.
1. Satisfazer
as
necessidades
dos
stakeholders
2. Cobrir
governança de da
Princípio
s do
COBIT 5
uma framework
abordagem único e
5. Separar Governança da Gestão
✓ Na governança, são discutidos e aprovados as políticas e os planos de alinhamento
estratégico (global e de TI), a implementação de processos e os mecanismos de

controlo que direccionarão a gestão da TI (EDM - Evaluate, Direct, and Monitor).
✓ A gestão consiste em planear, desenvolver, executar e monitorar actividades
alinhadas com a direcção estratégica estabelecida pela governança para atingir os

objectivos de negócios (PBRM – Plan, Build, Run e Monitor).
✓ Na maioria das organizações, a gestão é da responsabilidade da direcção
executiva, sob a liderança do CEO.
117
5. Separar Governança de Gestão
Necessidades da organização
Governança
(EDM ) Avaliar
Orientar Feedback dos Monitorar

gestores
Gestão
(PBRM )
Planear Desenvolver Executar Monitorar
(APO) (BAI) (DSS) (MEA)
Modelo de Referência de Processos
✓ COBIT 5 está subdividido em 2 principais áreas de actividade -

Governança e Gestão;
✓ 5 Domínios (EDM, APO, BAI, DSS e MEA):
▪ 5 Processos de Governança (EDM);
▪ 32 Processos de Gestão:
➢ 13 APO (Align, Plan and Organise);
➢ 10 BAI (Build, Acquire and Implement);
➢ 6 DSS (Deliver, Service and Support);
➢ 3 MEA (Monitor, Evaluate and Assess).
✓ 210 Práticas;
✓ 1111 Actividades.
119
Modelo de Referência de Processos
120
Estrutura dos Processos
✓ Identificação do Processo
✓ Label do Processo: Domínio (EDM, APO, BAI, DSS, MEA) +Número do Processo;
✓ Nome do Processo: breve descrição do processo;
✓ Área do processo: governança ou gestão
✓ Nome de domínio
✓ Descrição – uma visão do que o processo faz e como o processo alcança seu propósito.
✓ Propósito do Processo – descrição geral do propósito do processo
✓ Informação de objectivos em cascata – referência e descrição dos objectivos
relacionados com a TI que são essencialmente suportados pelo processo e métricas para
medir o alcance dos objectivos relacionados com a TI.
Estrutura de Processos
✓ Objectivos de processos e métricas – um conjunto de metas de

processo e um número limitado de exemplo de métricas.
✓ Matriz RACI –atribuição de nível de responsabilidade por
práticas de processos para diferentes funções e estruturas.
▪ Descrição detalhada de práticas de processo – para cada
prática:
▪ Título da Prática e descrição;
▪ Entradas e saídas da prática, com indicação de origem e
destino;
▪ As actividades de processo, detalhando ainda mais as práticas.
✓ Guiões Relacionados.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC
- 2022
Implementação do COBIT 5
Porque implementar o COBIT 5?
✓ A ISACA desenvolveu a estrutura do COBIT 5 para auxiliar as

organizações a implementarem facilitadores de governança
sólidos.
✓ Implementar uma boa GEIT é quase impossível sem uma

estrutura de governança eficaz.
✓ As estruturas, melhores práticas e normas são úteis somente

quando adoptadas e adaptadas com eficácia.
✓ Esses são os desafios que precisam ser vencidos e as questões

que precisam ser abordadas para a implementação bem-
sucedida da GEIT.
Implementação do COBIT 5
Como implementar o COBIT 5?

A implementação abrange os seguintes aspectos:
✓ Posicionamento da GEIT numa organização;
✓ Primeiros passos para o aperfeiçoamento da GEIT;
✓ Desafios e factores de sucesso na implementação;
✓ Promoção de mudanças organizacionais e comportamentais relativas à
GEIT;
✓ Implementação de melhorias contínuas que compreendem a viabilização
de mudanças e a gestão de programas;e,
✓ Utilização do COBIT 5 e seus componentes.
124
? 1 Quais
i nâ mi ca s ão
ad os
s o ri e
mo nta
nte Inici do
ma cia
a rp re
mo i cá
rog
ra
s?
Co a ef ma
ar
7
a lis
An
Ins
ta
de ura
de sejo r o
2E
mu
mq
da
De opor
r
ue p
fini
e
eta?
r pro nidades
cios
onto e
Com de
, im
6 Atingimos a m
abordag ovas
Gestão do programa
tu
blemas
Realizar benefí
ens
pleme
por equipa
(círculo externo)
n
stamos?
Implantar
ntação
Promoção de mudanças
(círculo intermediário)
Ciclo contínuo de melhorias

(círculo interior)
O pe
do a r
Promover
ul u n i c
s
melhorias
ra
re
E xe c
ta
m
sa C o es
5C
ão
en iro
r r
taç
em te
u ta
om
a r?
Identificar
pl r ro
rp
oa
eg
p a pé i s
im fini
lan
ch
tin
De
e a g ente s
o
gir
os
e
em
a
d
m
er
et
qu
a?
n de
Pla n e ar
3O
p ro g ra m a
4O
q u e p r e c i s a se r f e i t o ?
Fonte: COBIT 5 - ISACA,2012
Benefícios da Implementação do COBIT 5
COBIT 5 auxilia as organizações de todos os tamanhos a:

✓ Manter informação de alta qualidade para suportar as decisões de negócios;
✓ Gerar “valor” dos investimentos em TI, ou seja, atingir metas estratégicas e
entregar benefícios de negócio por meio do efectivo uso da TI;

✓ Atingir a excelência operacional por meio da aplicação confiável e eficiente da
tecnologia;
✓ Manter riscos relacionados com TI num nível aceitável;
✓ Optimizar o custo e recursos de serviços de TI;
✓ Manter a conformidade com leis, regulamentos, acordos contratuais e políticas.
126
Modelo de Capacidade de Processos (PAM)
Programa de Avaliação do COBIT que permite a uma organização:

✓ Obter uma avaliação independente e certificada, alinhada com a norma internacional
ISO/IEC 15 504 - SPICE (Software Process Improvement and Capability
Determination).
✓ Um novo modelo de avaliação baseado em capacidade, que inclui evidência de

requisitos;
▪ O Programa de Avaliação do COBIT suporta:
➢ Avaliações formais por avaliadores credenciados
➢ Auto-avaliações menos rigorosas para análise de lacunas interna e
planeamento de melhoria de processo
127
Modelo de Capacidade de Processos
COBIT 5 (ISO/IEC 15504)
Nível de Capacidade Atributos
5 Optimizado (previsível e tem em vista a melhoria continua). PA 5.1 Inovação do Processo

PA 5.2 Optimização do Processo
4 Previsível (opera agora dentro dos limites definidos para produzir seus PA 4.1 Medição do Processo
resultados) PA 4.2 Controlo do Processo
3 Estabelecido (controlado e implementado utilizando um processo definido PA 3.1 Definição do Processo

capaz de atingir seus resultados) PA 3.2 Implementação do Processo
2 Gerido (implementado de forma administrativa (planeado, monitorado e PA 2.1 Gestão da Execução

ajustado) e seus produtos são adequadamente estabelecidos, controlados e PA 2.3 Gestão dos Produtos de Trabalho
mantidos)
1 Executado (implementado atinge seu objectivo) PA 1.1 Execução do Processo
0 Incompleto (não foi implementado/não atingiu seu objectivo)
Considerações Finais
• COBIT 5 é um framework (de 2012) que pode ser usado em todas as áreas de
negócio de uma organização não se restringindo apenas a aspectos de TI (Cobit

4.1);
• COBIT 5 basea-se em Principios e facilitadores e não em Objectivos de Controlo
(Cobit 4.1);
• COBIT 5 possui para além dos domínios de gestão de TI, um domínio de
Governança corportativa;
• O modelo de Maturidade do COBIT 5 é mais realístico e rígido baseado nos
resultados do processo;
• integra diferentes frameworks e normas de Governança de TI.
129
•
130
Materialidade
Conceito de Materialidade
✓ É material o procedimento ou valor que, evidenciado, omitido ou
distorcido, pode alterar o fundamento do juízo que o utente faça

sobre o valor das demonstrações financeiras, considerando os
montantes envolvidos tendo por base a própria demonstração
financeira, portanto que afecte a qualidade da informação.
✓ É material se pode afectar a decisão!!!
Materialidade
Conceito de Materialidade
✓ Uma informação diz-se relevante ou material se a sua omissão
ou inexactidão influenciar as decisões económicas tomadas na
base das demonstrações financeiras pelos utentes
✓ Materialidade é o nível de erro ou omissão na informação
financeira que individualmente ou agrupado influencia a tomada
de decisão
✓ Ela proporciona o limite de erro ou omissão aceitável

132
Materialidade
Principio da Materialidade - ISACA
✓ O auditor de SI deve considerar a materialidade de auditoria e sua relação com o risco de
auditoria ao determinar a natureza, época e extensão dos procedimentos de auditoria.

✓ Ao planear a auditoria, o auditor de SI deve considerar potenciais fraquezas ou ausência
de controlos e se tal fraqueza ou ausência de controlo pode resultar em significativa

deficiência ou em fraqueza material no sistema de informação.
✓ O auditor de SI deve considerar o efeito cumulativo das menores deficiências de controlo
ou fraqueza e ausência de controlos que podem ser convertidas em deficiência

significativa ou fraqueza material no sistema de informações.
✓ O relatório do auditor de SI deve divulgar controlos ineficazes ou a ausência de controlos
e a importância das deficiências de controlo e a possibilidade dessas fraquezas

resultarem em uma deficiência significativa ou fraqueza material.
133
Materialidade
Aplicação de Materialidade na Auditoria de SI
✓ Ao planear e realizar a auditoria, o auditor de SI deve tentar
reduzir o risco de auditoria a um baixo nível aceitável e satisfazer
os objectivos da auditoria.
✓ Isto é conseguido pela avaliação adequada do SI e controlos
relacionados.
134
Materialidade
✓ A fraqueza no controlo é considerada "material" se a ausência do controlo
resultar em falha no fornecimento de garantia razoável de que o objectivo de

controlo será satisfeito.
✓ Uma fraqueza classificada como material significa:
▪ Que os controlos não estão no lugar e/ou os controlos não estão em uso
e/ou os controlos são inadequados;
▪ Que permite agravamento.
✓ Uma fraqueza material é uma deficiência significativa ou uma combinação de
deficiências significativas que resultam em mais que uma remota

probabilidade de que evento(s) indesejável(is) não seja(m) evitado(s) ou
detectado(s)
135
Materialidade
✓ Há uma relação inversa entre materialidade e nível do risco de auditoria aceitável
ao auditor de SI, ou seja, quanto maior o nível da materialidade, menor a

aceitabilidade do risco de auditoria, e vice-versa. Isso permite que o auditor de SI
determine a natureza, época e extensão de processos de auditoria.
✓ Por exemplo, ao planear um procedimento de auditoria específico, o auditor de SI
determina que a materialidade é inferior, aumentando assim o risco de auditoria. O

auditor de SI desejaria compensar estendendo o teste de controlos (reduzir a
avaliação do risco de controlo) ou estender os procedimentos de teste material
(reduzir avaliação do risco de detecção)
✓ Uma fraqueza classificada como material significa:
136
Materialidade
✓ Ao determinar se uma deficiência de controlo ou combinação de deficiências
de controlo é uma deficiência significativa ou fraqueza material, o auditor de
SI deve avaliar o efeito dos controlos de compensação e se os mesmos são
eficazes.
✓ A avaliação do auditor de SI da materialidade e risco de auditoria pode variar
de tempos a tempos, dependendo das circunstâncias e alteração do ambiente.
137
•
138
Evidência de Auditoria
Conceito de Evidência de auditoria
✓ Evidência de auditoria é o conjunto de factos comprovados, suficientes,
competentes e pertinentes, e por definição, mais consistentes que os

achados, em função de determinadas características:
▪ suficiência a evidência deve ser convincente à pessoas leigas, permitindo-as chegar
às mesmas conclusões do auditor;
▪ validade deve dar credibilidade e suporte à conclusão do auditor;
▪ relevância deve ter relação com os objectivos da auditoria;
▪ objectividade deve ser objectiva e respaldar as conclusões do auditor de forma
mais profunda do que a simples aparência.
139
Tipos de Evidência
A evidência de auditoria é classificada segundo os
procedimentos que a originaram. Assim temos:
▪ Evidência física
▪ Evidência documental
▪ Evidência Testemunhal
▪ Evidência analítica
140
Tipos de Evidência
✓ Evidência física: Obtida em decorrência de uma inspecção física
ou observação directa de pessoas, bens ou transacções.

Normalmente é apresentada sob a forma de:
▪ Fotografias;
▪ Gráficos;
▪ Memorandos descritivos;
▪ Mapas;
▪ Amostras físicas,
▪ etc.
141
Tipos de Evidência
✓ Evidência documental: É aquela obtida dos exames de oficios, contratos,
documentos comprobatórios (notas fiscais, recibos, etc) e informações prestadas
por pessoas de dentro e de fora da entidade auditada, sendo que a evidência
obtida de fontes externas adequadas é mais fidedigna que a obtida na própria
organização sob auditoria.
✓ Evidência testemunhal: É aquela decorrente da aplicação de entrevistas e

questionarios.
✓ Evidência analítica: Decorre da conferência de cálculos, comparações,

correlações e análises feitas pelo auditor, dentre outras.
142
Direitos reservados da autora Rossana Carimo@ Material produzido para o Seminário do Curso de Mestrado de SI da UEM - 2015 143
•
Bibliografia
144
Bibliografia
1. Cannon, David (2008), CISA – Certified Information Systems

Auditor Study Guide, Sybex
2. Carneiro, Alberto (2002), Auditoria de sistemas de informação,

FCA
3. Imoniana, Joshua Onome (2005), Auditoria de sistemas de

informação, atlas
4. Livraria online www.isaca.org
5. www.amai.org.mz
146

Tema 1 - Fundamentos Da Auditoria Informatica

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Tema 1 - Fundamentos Da Auditoria Informatica

Enviado por

Direitos autorais:

Formatos disponíveis

• UNIVERSIDADE

No fim do curso o estudante deve ser capaz de:

✓ Utilizar as técnicas apropriadas para planear e desenvolver uma auditoria;

✓ Dominar um conjunto de conceitos organizacionais e tecnológicos essenciais ao

desenvolvimento da actividade de auditor;

✓ Reconhecer a importância da qualidade no desenvolvimento da actividade de

reproduzir o comportamento de aplicações.

trabalho definidas e de não existir informação sobre as técnicas e os meios utilizados , a

empresas melhorarem os seus sistemas de prevenção e de combate a erros , anomalias e fraudes.

o objecto de análise, afim de confirmar se cumpre adequadamente as condições que

✓ É operação de análise e diagnostico da empresa, tendo em consideração todos os

aspectos da sua gestão, afim de avaliar a coerência, a racionalidade de processos e

✓ Auditoria é o processo sistemático de objectivamente obter e avaliar prova acerca

da correspondência entre informações, situações ou procedimentos e critérios

✓ Auditoria parcial – envolve apenas uma parte da entidade. Pode referir-se a

✓ Auditoria ocasional – realizada de forma esporádica, por solicitação pontual.

✓ Auditoria da informação previsional ou prospectiva – o objecto é o

✓ Auditoria de fonte contratual – baseada num contrato de prestação de

subordinados á entidade auditada. Normalmente são auditorias

não) normalmente organizados num departamento. São

O objectivo é atender às necessidades do O objectivo é atender às necessidades de

Deve ser independente no exercício da sua Deve ser independente em relação à

O exame das actividades é contínuo; O exame das informações das demonstrações

O controlo interno é avaliado a fim de A opinião em relação ao controlo interno

Quadro da entidade Profissional externo à entidade auditada

Equity Funding Corporation of America

Os ataques terroristas de 11 de Setembro

O que éuma Auditoria de TI?

✓Um exame dos sistemas de TI de uma organização para determinar se

✓Os controlos atendem aos requisitos de conformidade (por exemplo, SOX,

O que éuma Auditoria de TI?

✓A auditoria é uma inspeção formal para verificar se uma norma,

✓As auditorias de TI (na verdade, todas as auditorias) fornecem

✓Cuidar da correcta utilização de todos recursos que a

✓Emitir um juizo global ou parcial baseado em factos e situações

✓Ter preocupações cuidadosas nas suas relações com a empresa

Funções de Auditor Informático:

✓Verificar o funcionamento dos sistemas

✓Fazer com que o auditado responda as suas perguntas ou o seu

✓ Planeaar, dirigir, supervisionar e rever o trabalho realizado.

✓ Dada a complexidade crescente dos sistemas informáticos, em cada

✓ Determinar o efeito do ambiente informatizado na avaliação

do risco global e do risco ao nível de saldos e de tipos de

✓ Planear e aplicar as medidas adequadas de cumprimento e

✓ Se o auditor considerar que requer conhecimentos

✓ No caso de utilizar a ajuda de profissionais externos

especializados, deverá ter em conta o conteúdo da Norma

✓ Além da colaboração de especialistas que considerar

Assim, de acordo com o disposto nas referidas normas técnicas,

✓ Normas técnicas de auditoria relacionadas.

✓ Características dos ambientes informatizados.

✓ Aprofundamento da avaliação dos controlos internos em

ambientes informatizados, distinção entre controlos gerais e

controlos de aplicativos, seu efeito no risco de auditoria e nos

procedimentos de auditoria aplicáveis.

✓ Introdução aos sistemas ERP e análise do seu impacto no

✓ Introdução e aplicações práticas de ferramentas de análise e

extração de dados (CAAT).

✓ Utilização de Papeis de trabalho eletrônicas.

✓ Conceitos básicos sobre auditoria de sistemas de informação.

✓Ter conhecimento da área de informática;

✓Conhecer alguma linguagem de programação relevante.

✓Conhecer documentação de sistemas e a elaboração do

✓Objectivo de controlo: Os objectivos de gestão que são usados como a