Curso Superior de Tecnologia em Informática para Negócios
FATEC - Faculdade de Tecnologia de Rio Preto Fundamento de Auditoria Aula 1 – Introdução ao Processo de Auditoria Trabalho Prático Semestral – Etapa 1 - Planejamento Agenda • Conceitos Fundamentais de Auditoria • Formação da Equipe de Auditoria • Identificação do Objeto (ou Sistema) Alvo • Escopo de Auditoria • Abordagens de Auditoria • Objeto e Objetivo de Auditoria • Normas de Controle Interno (CIs) • Pontos de Controle (PCs) e Tipos de PC • Escala de Fraqueza • Ferramentas de Software para Auditoria • Técnicas de Exame Aplicadas • Trabalho Prático Semestral – Etapa 1 – Planejamento do Processo de Auditoria Conceitos Fundamentais: Formação da Equipe de Auditoria
• As equipes de auditoria são compostas, essencialmente, por
Auditores, Gerentes e Diretores, conforme o tamanho da equipe e a magnitude do Processo de Auditoria em questão. • Auditores: realizam todo o trabalho de exame/avaliação necessários ao processo de auditoria. • Gerentes: coordenam e supervisionam o trabalho dos auditores. Por vezes, fazem alguma parte específica do trabalho burocrático e elaboram os relatórios/documentos mais complexos como o parecer final de auditoria. • Diretores: são os executivos que comandam a equipe, executando um trabalho de direcionamento e liderança quanto ao processo de auditoria em andamento. Conceitos Fundamentais: Formação da Equipe de Auditoria
Diretor de Auditoria
Gerente de Auditoria
Auditor Auditor Auditor
Organograma elementar de equipe de auditoria.
Conceitos Fundamentais: Escopo de Auditoria
• Auditoria Interna: Processo de avaliação realizado por
funcionários da própria empresa, os quais possuem baixo grau de autonomia/independência para fiscalizar o ambiente. Executam maior número de abordagens de auditoria e maior volume de testes. • Auditoria Externa: processo de fiscalização realizado por auditores contratados de uma empresa de auditoria com alto grau de autonomia/independência para auditar o ambiente. Executam abordagens específicas contratuais e volume de testes menor. Conceitos Fundamentais: Abordagens de Auditoria • Existem diversos modelos de abordagem de auditoria. • As abordagens influenciam no modo como a auditoria é executada e delimitam também quais são os elementos considerados pela fiscalização. • Para a área de sistemas de informação existem três abordagens usualmente empregadas: • Abordagem a Redor do Computador • Abordagem através do Computador • Abordagem com o Computador Conceitos Fundamentais: Abordagens de Auditoria
• Abordagem a Redor do Computador:
• Abordagem mais simples de todas. • Considera apenas documentos de entrada e saída de um sistema. • Demanda de tempo para realização: curta duração. • Valor de investimento: baixo. • Escopo empresarial ideal: micro e pequenas empresas. • Porte do sistema alvo: pequeno. Conceitos Fundamentais: Abordagens de Auditoria • Abordagem Através do Computador: • Abordagem de complexidade mediana. • Considera, principalmente, os aspectos inerentes à persistência, manipulação e recuperação da base de dados de um sistema. • Possibilita o uso de ferramentas de software específicas para o processo de auditoria de bases de dados. Por meio de técnicas como test deck ou aplicação de ferramentas de extração de dados com o ACL ou IDEA. • Demanda de tempo para realização: média duração. • Valor de investimento: médio. • Escopo empresarial ideal: empresas de médio porte. • Porte do sistema alvo: pequeno ou médio. Conceitos Fundamentais: Abordagens de Auditoria • Abordagem Com o Computador: • Abordagem mais completa e de complexidade alta. • Considera todos os aspectos do sistema de informação, podendo abordar, documentos de entrada de saída, todos os elementos inerentes à persistência de dados e, além disso, os componentes de processamento do sistema, isto é, as rotinas de cálculos/transações executados pelo mesmo. • Permite a ampla utilização de software para auditoria em todas as etapas do processo, incluindo os programas específicos ao processo de avaliação/examinação. • Demanda de tempo para realização: longa duração. • Valor de investimento: alto. • Escopo empresarial ideal: empresas de médio ou grande porte. • Porte do sistema alvo: médio ou grande. Conceitos Fundamentais: Identificação do Objeto Alvo • Objeto Alvo: elemento que será examinado pela equipe conforme o interesse da organização que solicitou ou que será abordada por um processo de auditoria. • Conceito de Objeto: pode ser qualquer coisa física ou abstrata que pode ser percebida e descrita em características e/ou ações. • Exemplos: Empresa, Departamento, Grupo de Pessoas, Equipamento ou Máquina, Computador, Rede de Computadores, Sistema de Gestão Corporativa, etc. Conceitos Fundamentais: Objetivo de Auditoria
• O objetivo de auditoria é a premissa que norteia todo o
processo a ser executado pela equipe de avaliação. • É preciso saber exatamente qual o objeto a ser avaliador e qual o foco que a auditoria irá utilizar. • Exemplo: • “Avaliar os principais pontos de controle do Sistema de Gestão ABC de modo a constatar se os mesmos estão em conformidade com a funcionalidade esperada, usando-se para tal, o instrução normativa XYZ.” Conceitos Fundamentais: Normas de Controle Interno (CIs) • Definição: “Trata-se de um conjunto de métodos e medidas adotado numa empresa a fim de salvaguardar o ativo, por meio dos quais se verifica a exatidão e veracidade dos registros de dados e informações computadorizados (digitais), de modo a promover a efetividade operacional dos sistemas de informação e o cumprimento das políticas da empresa.” • De maneira mais simples, CIs são traduzidos em: normas regimentais, regras, leis, instrução normativa, conjunto de normas de certificação, entre muitas outras possibilidades. Conceitos Fundamentais: Pontos de Controle (PC) • Definição: É uma situação do Ambiente ou Objeto Alvo caracterizada como de interesse da equipe de auditoria para validação e avaliação no processo de fiscalização em andamento. •A priori, essa situação pode ser praticamente qualquer elemento do ambiente/objeto. Assim, pode-se afirmar que a definição é aberta aproximando-se do conceito geral de objeto. • Exemplo: sistema, módulo de sistema, banco de dados, interface de usuário, relatório, procedimento de cálculo, entre outros. Conceitos Fundamentais: Tipos de PCs • Para auditorias em sistemas de informação são considerados, basicamente, dois tipos de Pontos de Controle: • Processo: ponto de controle que representa uma ação ou atividade realizada por um sistema. Pode ser um procedimento de programa simples ou complexo. Exemplos: cadastro de usuários, rotina de emissão geração/cálculo de nota fiscal, cálculo de impostos, cálculo de comissão, geração de folha de pagamento, etc. • Resultado: ponto de controle que representa a emissão de uma saída de dados/informações a partir do sistema. Exemplos: documentos de saída em geral, relatórios, gráficos, arquivos digitais, recibos, notas fiscais, comprovantes, memorandos, etc. Conceitos Fundamentais: Escala de Fraqueza • Definição: sucessão ou sequência de valores de uma determinada qualidade ou característica. • São utilizadas para determinar o grau de valor que um objeto possui quando considerada determinada característica de estudo do mesmo.
• Escala de Fraqueza: determina o qual frágil (fraco) está um ponto
de controle (ou ponto de auditoria) antes/após o processo de avaliação aplicado pelos auditores. • Pode possuir, de preferência, três ou mais valores (ou menções) e deve-se associar cada valor a um critério exato para que a escala não seja relativizada. • Escalas de fraqueza auxiliam os auditores a priorizar os PCs mais críticos e também a determinar, ao final do processo, se o sistema alvo está ou não em conformidade com a norma de controle considerada. Conceitos Fundamentais: Escala de Fraqueza
• Exemplo de Escala de Fraqueza:
Grau Valor Critério 1 Fraco PC apresenta dois ou mais ERROS. 2 Normal PC apresenta um ERRO. 3 Forte PC não apresenta nenhum ERRO. Conceitos Fundamentais: Ferramentas de Software para Auditoria • São considerados três tipos de ferramentas de software em processos de Auditoria: • Software Generalista: programas de apoio ao processo de auditoria. Em geral, são ferramentas aplicáveis a qualquer tipo de auditoria: Exemplos: editores de texto, planilha ou apresentações, gerenciadores de projeto, agendas, software de comunicação de equipe, analisadores e extratores de dados a partir de bases persistentes, entre outros. • Software Especialista: programas especialmente focados em certas atividades específicas de auditoria ou desenvolvidos especialmente para circunstâncias específicas de uma auditoria. Exemplo: Script Linux para monitorar as ações efetuadas por um servidor firewall. • Software Utilitário: programas que dão suporte determinadas atividades de auditoria, porém, não são específicos para auditoria. Exemplos: compactadores de arquivos, editores de imagem, programas de monitoramento e trilhas de auditoria (log), entre outros. Conceitos Fundamentais: Técnicas de Exame Aplicadas • Técnicas de Exame Aplicadas: as técnicas de exame definem, na prática, como os procedimentos de avaliação e análise por parte dos auditores serão executados, por meio de uma metodologia prática pré-definida e que deverá ser seguida em todo o processo de auditoria, criando, desta forma, um padrão de execução para as avaliações. • Existem muitas técnicas de exame aplicadas conforme a área de auditoria que se for estudar. • Para auditoria de sistemas de informação são utilizadas técnicas que advém da engenharia de software e técnicas tradicionais de auditoria também. • Exemplos: questionários, simulação de dados, visita in loco, entrevista (individual/grupo), análise de log, análise de programa fonte, avaliação de desempenho, teste de caixa preta, teste de caixa branca, test deck e teste data, entre muitas outras possibilidades. Trabalho Prático Semestral (TPS) Processo de Auditoria em Sistemas de Informação Etapa 1 - Planejamento Trabalho Prático Semestral Etapa 1: Planejamento do Processo de Auditoria • No trabalho prático de auditoria, serão utilizados os seguintes documentos na Etapa 1 de Auditoria, referente ao Planejamento do Processo: • Ficha de Projeto – (Formato MS-Word) • Cronograma de Projeto – (Formato MS-Excel) • Formulários de Identificação de Ponto de Controle (PC) – (Formato MS-Excel) Trabalho Prático Semestral Etapa 1: Planejamento do Processo de Auditoria • Ficha de Projeto: documento o qual possui todos os elementos descritivos do processo de auditoria a ser executado pelo grupo em questão, devendo ser totalmente preenchido com o maior número de informações acerca do processo. • Quanto melhor o preenchimento, melhor o entendimento da equipe de auditores quanto ao processo, facilitando o trabalho nas próximas etapas de projeto. Trabalho Prático Semestral Etapa 1: Planejamento do Processo de Auditoria • Cronograma de Projeto: planilha na qual são lançadas todas as atividades individuais de cada membro da equipe de auditoria. Documento de extrema importância para a organização do tempo de execução do processo de auditoria frente à quantia de trabalho a ser executado. • Cronograma possui a descrição da atividade, data de início e fim da mesma, quantidade de horas de trabalho estimadas, recursos que serão utilizados para a atividade e a(s) pessoa(s) responsável(eis) pelo trabalho. • É preciso detalhar o processo de auditoria ao máximo, inserindo na planilha todas as atividades, isto pode ser verificado por meio dos documentos a serem preenchidos, pois, cada documento do processo de auditoria pode ser isolado como uma atividade individual. Trabalho Prático Semestral Etapa 1: Planejamento do Processo de Auditoria • Formulário de Identificação de Pontos de Controle: formulário descritivo das características fundamentais e importantes de cada ponto de controle para que os auditores saibam exatamente qual é o componente exato que estarão abordando no sistema alvo na etapa de Execução. • Possui diversos campos descritivos. Todos os campos devem ser preenchidos com muita atenção. • Não deixar nenhum campo em branco! Trabalho Prático Semestral Etapa 1: Planejamento do Processo de Auditoria • Prazo de Execução da Etapa 1: • Ficha de Projeto – 2 semanas • Cronograma de Projeto – 1 semana • Formulários de Identificação de PC – 2 semanas
• Avaliação Bimestral P1 será requisitado:
• Etapa 1 Completa • Etapa 2 – Formulários de Eleição de PA • Nota Participação Individual Trabalho Prático Semestral Etapa 1: Planejamento do Processo de Auditoria