Você está na página 1de 43

Conceitos de Auditoria

Faceca
Sistemas de Informação
6º Período

25/05/21 1
Conceitos Importantes:
 Processamento Eletrônico de Dados: Hardware, Software e
Teleprocessamento
 
 Sistemas de Informação: Conjunto de recursos humanos,
materiais, tecnológicos e financeiros combinados segundo uma
sequência lógica para transformar dados em informações.
 
 Auditoria de Sistemas: Validação e Avaliação do controle
interno de sistemas de informação.
 
 Ponto de Controle: Situação do ambiente computacional
considerada pelo auditor como sendo de interesse para
validação e avaliação.

2
Objetivo da Auditoria de Sistemas

 Verificar se as informações armazenadas em meio


eletrônico atendem aos requisitos de confiança e
segurança e se os controles internos foram
implementados e se são efetivos.

3
Importância da auditoria de sistemas
 Altos investimentos das organizações em sistemas
computadorizados

 Necessidade de garantir a segurança dos computadores e


seus sistemas

 Garantia do alcance da qualidade dos sistemas


computadorizados

 Auxiliar a organização a avaliar e validar o ciclo


administrativo

4
Funções da auditoria de sistemas

 Promover a adequação (avaliações e


recomendações para o aprimoramento) dos
Controles Internos nos sistemas de informação da
empresa;

 Utilização dos recursos humanos, materiais e


tecnológicos envolvidos no processamento dos
mesmos.

5
Dificuldades da auditoria de sistemas

 Defasagem tecnológica
 Falta de bons profissionais
 Falta de cultura da empresa
 Tecnologia variada e abrangente

6
A auditoria no Organograma
 Onde a auditoria se posiciona no organograma da
Empresa?

Presidência
Executiva

Diretoria Diretoria Diretoria de Diretoria de


Administrativa Financeira Vendas Informática

7
Uma boa empresa de auditoria deve:

1. Ser eficiente
2. Oferecer serviço de qualidade
3. Estar preparada para a globalização

Manter-se entre as melhores do mercado

8
A empresa de auditoria deve ser
informatizada para:
• Oferecer treinamento de pessoal e superação de resistência à
tecnologia;
• Avaliar, escolher e implantar software de auditoria;
• Gerenciar arquivos eletrônicos, dispositivos de segurança e
backup;
• Disponibilizar equipamentos para que sua equipe de auditores
possa trabalhar em rede;
• Instalar e manter um boa malha de comunicação;
• Permitir maior transferência de conhecimento entre os membros
da equipe e entre equipes diferentes;
• Ser independente das limitações impostas por documentos de
auditoria em papel;
• Economizar tempo em documentação ;
• Obter maior rapidez no fluxo de informação;
• Obter maior produtividade.
9
Tipos de abordagem da auditoria
Ao redor do computador
 Trabalha a partir de documentos de E/S.
 Não envolve muita T.I.
 Não se preocupa muito com as funções de processamento
 Apropriada para pequenas empresas.
Vantagens:
 Não exige muito conhecimento de T.I.
 Baixo Custo
Desvantagens:
 Incompleta
 Poucos parâmetros de auditoria
 Documentos ficam desatualizados
 Decisões baseadas em relatórios e documentos podem ser
distorcidas.

10
Tipos de abordagem da auditoria
Através do computador
 Além de envolver a confrontação de documentos, alerta quanto ao
manuseio dos dados, aprovação e registro de transações comerciais,
mas não constrói controles de programas junto aos sistemas.
 Utiliza a técnica de Test Data ou Test Deck, pois verifica como os dados
são processados e os resultados intermediários, através de simulações.
Vantagens:
 Capacita melhor o auditor a respeito de habilidade profissional no que
tange ao conhecimento de processamento eletrônico de dados;
Desvantagens:
 Necessidade de treinamento de auditores, aquisição e manutenção de
pacotes de software;
 Há risco de que os programas de teste estejam incorretos ou “viciados”.
 Ignora as tarefas executadas manualmente.

11
Tipos de abordagem da auditoria
Com o computador
 Utiliza o computador para verificar se os cálculos e transações
econômicas e financeiras são feitos corretamente;
 Utiliza cálculos estatísticos e de geração de amostras que facilitam
a confirmação dos dados e a aferição da integridade dos mesmos;
 Utiliza capacidade de edição e classificação do sistema
computadorizado, a fim de ordenar e selecionar registros;
 Inclui a verificação dos procedimentos computadorizados e dos
procedimentos manuais.
Vantagens:
 Completa;
Desvantagens:
 Cara;
 Mais demorada.

12
A Auditoria de Sistemas deve atuar em qualquer
sistema de informação da empresa, quer no nível
estratégico, tático, ou operacional.

Estratégico

Tático ou
Gerencial

Operacional
13
Níveis da organização
 O nível estratégico representa a fixação de políticas e
diretrizes para a organização, em função do relacionamento
da empresa com o seu meio ambiente.

 O nível tático ou gerencial analisa e avalia a performance da


gestão empresarial em termos de atingimento dos objetivos
intrínseco a organização, bem como a forma de alocação dos
recursos necessários a operação da empresa.

 O nível operacional é representado pelas rotinas diárias da


empresa, necessárias para suas atividades operacionais.

14
O Perfil do Auditor de Sistemas

O contexto de atuação da Auditoria de Sistemas, requer


do auditor uma formação multidisciplinar, envolvendo
conhecimentos sobre:
·      Auditoria;
·   PED (processamento eletrônico de dados);
·      Empresa;
·      O & M (Organizações e métodos);
·      Contabilidade;
·      Finanças, etc.

15
O Perfil do Auditor de Sistemas

 Ser independente às áreas a serem auditadas


 Ter formação em auditoria de computação, conhecendo o
ambiente a ser auditado
 Ter conhecimento das três áreas de conhecimento:
Auditoria, Sistemas de Informação e Processamento
Eletrônico de Dados
 Treinamento constante e forte embasamento cultural
 Ter conhecimentos básicos de computação e de, no
mínimo, uma linguagem de programação
 Ter conhecimento do negócio da organização

16
O papel do Auditor de Sistemas

 Validação do fluxo administrativo (planejamento,


execução e controle)

 Ênfase nos processos computacionais

 Comprovação da efetividade dos sistemas


computadorizados

 Garantia da segurança lógica e física e da


confidencialidade dos sistemas

17
Auditor Interno
AUDITOR INTERNO  é empregado da empresa auditada, possui
menor grau de independência, executa auditoria contábil,
operacional, de gestão, de qualidade, de processos, de
produtos  e outros.
Os principais objetivos do auditor interno são:
-verificar a existência, a suficiência  e a aplicação dos controles
internos, bem como contribuir para o seu aprimoramento;
-verificar se as normas internas estão sendo seguidas;
-verificar a necessidade de melhoramento das normas internas
vigentes;
-avaliar a necessidade de novas normas internas;
Seu trabalho apresenta como característica um maior volume
de testes em função da maior disponibilidade de tempo na
empresa para executar os serviços de auditoria.
18
Auditor Externo
AUDITOR EXTERNO não tem vínculo empregatício com a
empresa auditada, possui maior grau de independência.

 Seu trabalho tem como principal objetivo emitir um parecer


ou opinião sobre os processos de negócio, no sentido de
verificar se estes refletem adequadamente a as regras da
empresa e as normas legais..
Seu trabalho apresenta  como característica um menor
volume de testes, já que o auditor externo está interessado
em erros que individualmente ou cumulativamente possam
alterar de maneira substancial as informações dos processos
da empresa.

19
Treinamento do auditor de sistemas
 Conceituação de Auditoria de Sistemas

 Controle Interno

 Momentos de atuação do Auditor de Sistemas

 Produtos finais da Auditoria de Sistemas

 Mecânica de implantação das recomendações da auditoria

 Postura do auditado durante a atuação da Auditoria de


Sistemas

20
Desenvolvimento da carreira de
auditor

Nível 5 – Parceiro da auditoria –


Desenvolvimento de
Atividades de aconselhamento

Nível 4 – Gerentes – Políticas de segurança da informação;


Estratégias de administração de riscos, Controle de
qualidade, Monitoramento de processamentos

Nível 3 – Assistentes – Implentação de controles de acesso,


políticas, gerência de riscos e ferramentas de segurança (firewall,
assinatura digital, etc)

Nível 2 – Assistentes – Programação, metodologias de


desenvolvimento, Modelagem de Dados e ferramentas de Bancos de
Dados

Nível 1 – Trainess – Auditoria de principios e padrões, Controles internos


Processamento de programas, arquiteturas e plataformas

21
Padrões e código de ética para
auditoria de sistema de informação
 A auditoria de sistemas de informações é considerada
uma parte da auditoria geral de uma organização

 As normas de auditoria geralmente não tratam


isoladamente a auditoria de sistemas

 A auditoria de sistemas nunca foi vista como uma


profissão isolada mas sim um avanço na auditoria geral
para acompanhar a tecnologia da informação nas
organizações.

22
Padrões e código de ética para
auditoria de sistema de informação

Padrões para auditoria de Sistemas:


 Responsabilidade, autoridade e prestação de contas
 Independência profissional
 Ética profissional
 Competência
 Planejamento
 Emissão de relatório
 Atividades de follow-up

23
Padrões e código de ética para
auditoria de sistema de informação
Código de ética para auditoria de Sistemas de acordo com a Associação
dos Auditores de Sistemas e Controles (ISACA – Estados Unidos):

 Apoiar a implementação e encorajar o cumprimento dos padrões


sugeridos para controles de S.I.
 Exercer suas funções com objetividade, diligência e zelo profissional,
de acordo com as melhores práticas
 Servir aos interesses da alta administração de forma legal e honesta,
com alto padrão de conduta e cartáter profissional
 Manter privacidade e confidencialidade das informações obtidas no
decurso de suas funções.
 Atuar somente nas atividades para as quais estiver capacitado.
 Informar as partes envolvidas sobre o andamento dos trabalhos
 Auxiliar a alta administração na comprrensão dos sistemas de
informação, segurança de controle.

24
Etapas da auditoria
1 – Planejamento
 Conhecer o ambiente a ser auditado
 Determinar os pontos de controle (processos críticos)
 Determinar os objetivos da auditoria
 Estabelecimento de critérios para análise de risco
 Análise de Risco
1 – Muito Fraco
2 – Fraco
3 – Regular
4 – Forte
5 – Muito forte
 Hierarquização dos pontos de controle

25
Etapas da auditoria
2 – Execução os trabalhos
 Escolher a equipe

 Programar a equipe

 Executar o trabalho

 Avaliar o trabalho da equipe

 Revisar os papéis

3 – Documentação
 Documentar os trabalhos e gerar os relatórios

26
Etapas da auditoria
4 – Conclusão da auditoria
 Diagnóstico e situação atual que se encontram os

pontos de controle, apontando as fraquezas e as


falhas de controle interno.

5 – Apresentação dos resultados

 Apresentar os resultados do trabalho de auditoria


de forma clara e objetiva para a alta
administração, juntamente com as recomendações
para correção de eventuais problemas.

27
Etapas da auditoria
6 – Acompanhamento da auditoria
 Revisar os pontos elencados no relatório de auditoria.
 Realizar o acompanhamento dos pontos de controle com
deficiência nas auditorias anteriores.
 Identificar se os problemas foram resolvidos.
 Identificar as medidas adotadas para evitar que os problemas
voltem a ocorrer.
 Adequar as recomendações à nova realidade mercadológica e
tecnológica
 Avaliar o grau de comprometimento da administração com os
parâmetros de controle interno determinados pela auditoria.

28
Produtos gerados pela auditoria
 Relatório de fraquezas de controle interno
 Nome do ponto auditado
 Descrição sucinta do ponto de controle
 Problemas detectados
 Impacto
 Recomendações

 Certificado de controle interno


 Certificado que contém o grau de fraqueza dos pontos de
controle auditados.
 Relatório de redução de custos
 Estimativa de redução de custos consequentes da auditoria
realizada
29
Produtos gerados pela auditoria
 Manual de auditoria do ambiente auditado
 Documento contendo os pontos de controle do ambiente a
ser auditado e previsão de recursos e prazos para execução
dos trabalhos.

 Pastas contendo a documentação obtida pela Auditoria de


Sistemas
 Todos os documentos obtidos e gerados durante o trabalho
de auditoria (relatórios, atas de reunião, etc) deverão ser
arquivados em uma pasta da auditoria.

30
Apresentação dos trabalhos

 Objetividade na transmissão dos resultados


 Esclarecimento das discussões realizadas entre a auditoria e
os auditados
 Clareza nas recomendações das alternativas de solução
 Coerência da atuação da Auditoria
 Apresentação da documentação gerada
 Explicação do conteúdo de cada documento.

31
Ponto de controle
 É a situação do ambiente computacional caracterizada como
de interesse para validação e avaliação
 sistema
 módulo de um sistema
 banco de dados
 tabela de um banco de dados (arquivo)
 coluna de uma tabela (campo)
 linhas na tabela (registros)

32
Auditoria do Ponto de Controle
 Identificação dentro do ambiente
 Caracterização em termos de recursos, processos e resultados
 Análise de risco
 parâmetros do controle interno
 fraquezas passíveis de ocorrer

Técnica de Aplicar a Analisar os


Apresentar
auditoria técnica de resultados
uma opinião
x Risco auditoria apurados

33
Ciclo de Vida do Ponto de Controle

Início

Ponto de S S
Ponto de
Controle Avaliar? Fraquezas?
Auditoria
identificado
N N

Fim Auditoria

34
Tipos de Pontos de Controle

Os pontos de controle são classificados em dois tipos:


processo: constituído de rotinas operacionais, rotinas de
controle, etapas do ciclo de desenvolvimento de
softwares, etapas de manutenção de sistemas,
procedimentos administrativos, etc.;
resultado: constituído de documentos, relatórios,
arquivos, pontos de integração, estrutura lógica do
sistema, estrutura física do sistema, modelo conceitual de
base de dados, etc.

35
Pontos de Controle e Pontos de
Auditoria

 Os pontos de controle são validados em função da


disponibilidade de recursos humanos, materiais, tecnológicos
e financeiros, bem como das prioridades determinadas pela
alta administração

 Nem todos os pontos de controle inventariados são


submetidos aos testes de validação

 Os testes de validação devem ser evidenciados de tal sorte


que o auditor possa emitir a sua opinião preliminar quanto à
situação do referido ponto.

36
Pontos de Controle e Pontos de
Auditoria
Após o teste de validação, o ponto de controle pode ser
encontrado em duas situações:
 não apresenta fraqueza nos controles internos
 apresenta fraqueza nos controles internos.

Quando o ponto de controle apresenta fraqueza, é


denominado como ponto de auditoria.

O ponto de auditoria representa um ponto de controle já


validado, que apresentou fraqueza e que constará no
relatório de fraquezas do controle interno da auditoria.

37
Fraqueza de um ponto de controle
 Uma fraqueza é uma vulnerabilidade, ou seja, um ponto
sujeito a falha.
 Um ponto de controle pode ser classificado, de acordo
com seu ponto de fraqueza:
1 – Muito Fraco ( > fraqueza)
2 – Fraco
3 – Regular
4 – Forte
5 – Muito forte (< fraqueza)

38
Exemplos de pontos de controle
Pontos de controle de processo:

 Rotina para cálculo de dígito verificador


 Rotina para cálculo de salário líquido
 Procedimento de entrada de dados
 Procedimentos de conferência de relatórios
 Procedimentos de backup
 Procedimentos de atualização de versão de software, etc.

39
Exemplos de pontos de controle
Pontos de controle de resultado:

 Informações de relatórios de saída


 Consistência das informações de bancos de dados
 Interface com o usuário
 Interface com outros sistemas
 Tempo de processamento, etc.

40
Controle Interno

Conjunto de métodos e medidas adotado numa empresa a


fim de salvaguardar o ativo, verificar a exatidão e
veracidade dos registros computadorizados, promover a
efetividade operacional dos sistemas de informação e
promover o cumprimento das políticas da empresa.

Os parâmetros do controle interno são as validações a


serem feitas sobre os pontos de controle da empresa.

41
Parâmetros de Controle Interno
O Controle Interno está relacionado aos seguintes
parâmetros:

 fidelidade da informação em relação ao dado


 segurança física
 segurança lógica
 confidencialidade (privacidade)
 obediência à legislação em vigor.
 Eficácia
 Eficiência
 Obediência às diretrizes da alta administração (regras
do negócio)
42
Controle Interno
Exemplos:

 Fidelidade da informação em relação ao dado:


·        Arquivos de Informações de Controle;
·        Trilha de auditoria
·        Informações do código do arquivo gravadas no header
 
 Segurança lógica:
·        Password do arquivo gravada no header
·    Informações do relatório de crítica ou de consistência dos dados
alimentados no sistema
·        Informações de total gravadas no trailler do arquivo.
 
 Confidencialidade:
Rotina de criptografia de informações sigilosas.

43

Você também pode gostar