Auditoria e Segurana de Sistemas Conceitos e Organizao da Auditoria Prof.

Leandro Clementino Almeida Histrico Tem origem no latim, vem de "Audire", que significa ouvir. O grande salto da auditoria ocorreu aps a crise econmica americana de 1929. No incio dos anos 30, criado o famoso Comit May, um grupo de trabalho institudo com a finalidade de estabelecer regras para as empresas que tivessem suas aes cotadas em bolsa. Conceito ! A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres. (Cludia Dias, 2000). Auditoria e Conceitos bsicos Alguns conceitos bsicos relacionados a qualquer tipo de auditoria so campo, mbito, natureza da auditoria e rea de verificao. rea de Verificao Campo mbito Objeto Perodo Natureza Sub 1 Sub 2 Sub 3 Auditoria e Conceitos bsicos Campo Compe-se de aspectos como Objeto a ser fiscalizado, Perodo e Natureza da auditoria (operacional, financeira ou de legalidade, por exemplo). Objeto: pode ser uma entidade completa (pblica ou privada), uma parte ou uma funo desta entidade. Perodo: pode ser de um ms, um ano ou o perodo completo de gesto de determinado administrador. Natureza (ou tipo): no h uma classificao ou denominao padronizada da natureza ou dos diversos tipos de auditoria existentes. Auditoria e Conceitos bsicos ! mbito ! Define at que ponto sero aprofundadas as tarefas de auditoria e seu grau de abrangncia. ! rea de Verificao ! o conjunto formado por Campo e mbito da auditoria. ! Ela delimita de modo preciso os temas da auditoria, em funo da entidade a ser fiscalizada e da natureza da auditoria.

Outros termos importantes Controle a fiscalizao exercida sobre as atividades de pessoas, rgos, departamentos ou sobre produtos, evitando que se desviem das normas preestabelecidas. Podem ser classificados em trs tipos: Controles preventivos Controles detectivos Controles corretivos Outros termos importantes ! Controles preventivos ! usados para prevenir erros, omisses ou atos fraudulentos. ! Ex.: senha de acesso ao sistema. ! Controle detectivos ! usados para prevenir erros, omisses ou atos fraudulentos e, ainda, relatar sua ocorrncia. ! Ex.: software de controle de acesso e relatrios de tentativas de acesso no autorizado. ! Controles corretivos ! usados para reduzir impactos ou corrigir erros uma vez detectados. ! Ex: plano de contingncia. Outros termos importantes ! Objetivos de Controle ! so as metas de controle a serem alcanados, ou efeitos negativos a serem evitados, para cada tipo de transao, atividade ou funo fiscalizada. ! Para serem alcanados na prtica esses objetivos so traduzidos em diversos procedimentos de auditoria. ! Procedimentos ! so conjunto de verificaes e averiguaes que permite obter e analisar as informaes necessrias formulao da opinio do auditor. ! Estes procedimentos, em geral, so listas de pontos as serem verificados durante a auditoria. Outros termos importantes ! Papis de Trabalho ! so registros (documentos, tabelas, planilhas, arquivos informatizados, etc.) que evidenciam atos e fatos observados pelo auditor. ! Recomendaes da Auditoria ! so medidas corretivas possveis, sugeridas pela instituio fiscalizadora ou pelo auditor em seu relatrio, para corrigir as deficincias detectadas durante a auditoria. Natureza da Auditoria ! Pode ser dividida em trs aspectos: ! Quanto ao rgo Fiscalizador ! Quanto a Forma de Abordagem do Tema ! Quanto ao Tipo ou rea Envolvida Natureza da Auditoria ! Quanto ao rgo Fiscalizador: ! Auditoria interna ! Auditoria realizada por departamento interno da entidade responsvel pela verificao e

avaliao dos procedimentos internos de uma entidade. ! Auditoria externa ! Auditoria realizada por instituio externa e independente da entidade fiscalizada. ! Auditoria articulada ! um trabalho em conjunto entre a auditoria interna e externa Natureza da Auditoria ! Quanto a Forma de Abordagem do Tema ! Auditoria horizontal ! Auditoria com tema especfico realizada em vrias entidades ou servios paralelamente. ! Auditoria orientada ! Auditoria focada em uma atividade especfica qualquer ou em atividade com fortes indcios de erros ou fraudes. Natureza da Auditoria ! Quanto ao Tipo ou rea Envolvida ! Auditoria de programas de governo ! acompanhamento, exame e avaliao da execuo de programas e projetos governamentais especficos. ! Auditoria do planejamento estratgico ! verifica se os principais objetivos da entidade so atingidos. ! Auditoria administrativa ! engloba o plano da organizao, seus procedimentos e documentos de suporte tomada de deciso. Natureza da Auditoria ! Quanto ao Tipo ou rea Envolvida (cont.) ! Auditoria contbil ! relativa a salvaguarda dos ativos e a fidedignidade das contas da instituio. ! Auditoria financeira ! consiste na anlise: ! das contas, ! da situao financeira, ! da legalidade e regularidade das operaes ! dos aspectos contbeis, financeiros, oramentrios e patrimoniais, verificando se todas as operaes foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Natureza da Auditoria ! Quanto ao Tipo ou rea Envolvida (cont.) ! Auditoria da legalidade ! consiste na anlise da legalidade e regularidade das atividades, funes, operaes ou gesto de recursos, verificando se esto em conformidade com a legislao em vigor. ! Auditoria operacional ! incide em todos os nveis de gesto. Analisa a execuo das decises tomadas e aprecia at que ponto os resultados pretendidos foram atingidos. Natureza da Auditoria ! Quanto ao Tipo ou rea Envolvida (cont.)

! Auditoria integrada ! inclui simultaneamente a auditoria financeira e a operacional. ! Auditoria da tecnologia da informao ! auditoria essencialmente operacional. ! analisa: ! os sistemas de informtica, ! o ambiente computacional, ! a segurana de informaes e ! o controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficientes. Auditoria da T.I. ! Na rea de auditoria de TI no existe uma classificao padronizada de subreas. ! Segundo Cludia Dias, as sub-reas so: ! Auditoria da Segurana de Informaes ! Auditoria de Tecnologia de Informao ! Auditoria de aplicativos Auditoria da T.I. Auditoria da Segurana de Informaes Determina a postura da organizao em relao a segurana. Avalia a poltica de segurana e os controles relacionados com aspectos de segurana institucional mais globais. Geralmente seu escopo envolve: Avaliao da poltica de segurana Controles de acesso lgico Controles de acesso fsico Controles ambientais Plano de contingncias e continuidade de servios. Auditoria da T.I. ! Auditoria de Tecnologia de Informaes ! alm de todos os aspectos relacionados com auditoria de segurana, ela ainda abrange os seguintes controles: ! Organizacionais ! De mudanas ! De operao dos sistemas ! Sobre banco de dados ! Sobre microcomputadores ! Sobre ambientes clientes-servidor Auditoria da T.I. ! Auditoria de Aplicativos ! (No ser tratada nesta disciplina) ! voltado para a segurana e controle de aplicativos especficos. Ela compreende: ! Controles sobre o desenvolvimento de sistemas aplicativos ! Controles de entrada, processamento e sada de dados ! Controles sobre contedo e funcionamento do aplicativo, com relao rea por ele atendida. Equipe de Auditoria ! No h uma frmula mgica para formar a equipe ideal de auditoria de TI. ! A gerncia da equipe de TI precisa determinar os nveis de conhecimento

necessrios de sua equipe e os meios mais efetivos de desenvolver seus profissionais e mant-los na equipe. Equipe de Auditoria ! Conhecimentos Necessrios ! Todos os membros da equipe de auditoria de sistemas devem ter certo conhecimento da rea, e se possvel experincia prtica anterior. ! Segundo o padro internacional de auditoria, o auditor deve ter conhecimento suficiente de sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. ! O tipo de conhecimento necessrio em uma auditoria da TI depende diretamente do tipo de ambiente computacional da entidade a ser auditada. Equipe de Auditoria ! Conhecimentos Necessrios (cont.) ! O auditor deve ainda ter outras habilidades como: ! bom relacionamento, ! capacidade de comunicao oral e escrita, ! senso crtico e ! conhecimentos especficos na rea relacionada ao sistema auditado (aplicao bancria, comercial, de recursos humanos, etc). Equipe de Auditoria ! Composio da Equipe ! Na composio da equipe a chefia possui trs opes bsicas: ! Contratar consultoria externa; ! Desenvolver a capacidade tcnica em informtica de auditores com formao bsica em contabilidade e auditoria; ! Desenvolver tecnicamente, em auditoria, funcionrios com formao em anlise de sistemas, processamento de dados, engenharia de software, cincia da computao, etc. Equipe de Auditoria ! Contratando Consultoria Externa ! Antes de tomar a deciso de se contratar consultores externos recomendvel que a organizao promova uma anlise minuciosa de custo-benefcio. ! Dependendo do caso, os servios dos consultores externos podem ser utilizados apenas nas tarefas especficas, onde os seus conhecimentos sejam realmente indispensveis. ! Os custos da consultoria externa, o controle sobre suas atividades e as clusulas contratuais, so os pontos mais crticos dessa alternativa. Equipe de Auditoria ! Em que Estgio da Auditoria os Consultores devem ser Contactados? ! A possibilidade de contratao de servios externos de auditoria deve ser considerada desde as primeiras fases do planejamento da auditoria. ! A partir do momento em que so definidos o

campo da auditoria, seu mbito e as sub-reas a serem auditadas, deve se avaliar se a equipe interna tem ou no condies de realizar os trabalhos de auditoria. Equipe de Auditoria ! Qual o Tipo de Consultor mais Adequado? ! A consultoria externa deve ter os recursos e as habilidades necessrias para atingir os objetivos da auditoria dentro do prazo e com a qualidade esperada. ! Na prtica existem duas categorias de consultoria externa: ! Firma ou organizao especializada em auditoria ! Profissional ou grupo de profissionais envolvidos em pesquisas ou atividades acadmicas na rea a ser auditada (profissional autnomo) Equipe de Auditoria ! Firma ou organizao especializada em auditoria ! Dispem de mais recursos; ! Podem oferecer uma gama maior de servios ou profissionais para cada tipo de atividade solicitada; ! Isto, porm, no garante a qualidade do servio. Equipe de Auditoria ! Profissional autnomo ! Os profissionais autnomos podem atuar tanto no planejamento estratgico da auditoria como nas verificaes especficas em campo. ! Podem ser usados como parte da equipe de auditoria ou em determinadas fases previamente estabelecidas. ! O trabalho em fases pode ser mais interessante para a organizao (custos mais baixos e pontos de controle preestabelecidos) e para os prprios consultores (maior flexibilidade de tempo durante a auditoria). Equipe de Auditoria ! Avaliando o Trabalho Realizado ! Ao final do trabalho, importante avaliar seus resultados, em uma discusso franca entre: ! os consultores externos, ! membros da equipe de auditoria, ! coordenador e ! gerncia da organizao contratante, ! destacar os pontos fortes e fracos e relatar as dificuldades enfrentadas a fim de evit-las no futuro. Equipe de Auditoria ! Capacitando Auditores para Atuarem como Auditores de Sistemas ! Capacitar auditores em informtica uma tarefa bastante rdua, pois uma formao slida em sistemas geralmente s pode ser conseguida com: ! anos de estudos, ! treinamento ou experincia prtica e ! aprimoramento contnuo, j que as tecnologias

esto sempre avanando. Equipe de Auditoria ! Capacitando Profissionais de Informtica em Auditoria ! Pode-se obter resultados mais efetivos e com maior rapidez atravs do treinamento do profissional de informtica na rea de auditoria. ! Hoje em dia para se compor o quadro de auditores de uma organizao, j se recruta diretamente profissionais de cada rea especfica. Equipe de Auditoria ! Treinamento ! Por causa da contnua evoluo tecnolgica, o treinamento constante dos auditores de sistemas imprescindvel para que estejam preparados para realizar auditorias de qualidade e com grau de profundidade tcnica adequado. ! Na verdade, todos os auditores especialistas ou no em sistemas, deveriam receber treinamento bsico de auditoria da tecnologia da informao, j que dificilmente auditaro entidades que no utilizam informtica em seus processos controles. Equipe de Auditoria ! Participao em Seminrios e Cursos de Especializao ! muito importante estimular a participao dos auditores em: ! seminrios, ! cursos de especializao, ! workshops, ! congressos e ! grupos de discusso em homepages de organizaes especializadas na internet. Equipe de Auditoria ! Manuais de Auditoria da TI ! A equipe de especialistas em auditoria de TI, para orientar o trabalho dos auditores e difundir o conhecimento nessa rea, deve ser responsvel pela elaborao de um ou mais manuais contendo instrues para: ! a conduo de auditorias de sistemas, ! exemplos de objetivos de controle e procedimentos de auditoria, ! explanaes tcnicas sobre alguns tpicos considerados importantes na rea de informtica, ! tcnicas e metodologias de auditoria, ! instrues sobre o uso de ferramentas de informtica de apoio a auditoria, ! etc. Equipe de Auditoria Manuais de Auditoria da TI (cont.) Cabe a chefia decidir se sero elaborados documentos especficos ou se sero utilizadas publicaes de outras entidades de fiscalizao e controle na rea de tecnologia da informao. Equipe de Auditoria ! Organizao da Equipe Especializada ! A gerncia deve desenvolver as especializaes que faltam e administrar o grupo como um time coeso que se completa tecnicamente. ! Atravs de treinamento adequado, a equipe deve tentar cobrir todas as reas de auditoria da TI utilizadas pela instituio. Equipe de Auditoria ! Administrando Recursos Humanos Escassos ! Devido a escassez de auditores de sistemas seu tempo deve ser administrado criteriosamente, sendo suas atividades definidas apenas nos casos em que sua atuao realmente necessria. ! Uma boa alternativa para se difundir o conhecimento treinar alguns auditores para atuarem como suporte bsico de informtica nas equipes de auditoria de carter genrico. ! Estes auditores so comumente chamados de auditores generalistas e so capazes de realizar apenas os procedimentos mais simples, ficando os mais complexos para os auditores especialistas. Equipe de Auditoria ! Administrando Recursos Humanos Escassos (cont.) ! No futuro, no muito distante, todos os auditores devero ter condies de realizar auditorias de sistemas, face crescente informatizao das organizaes. Atividade da Auditoria ! A atividade da auditoria pode ser dividida em 3 fases: ! Planejamento; ! Execuo e ! Relatrio. Atividade da Auditoria ! Planejamento de Atividades ! Geralmente as atividades de auditoria so planejadas em trs nveis, baseados em perodos de tempo diferentes. ! Cada nvel de planejamento gera um documento, denominado plano, com atividades e detalhes para o respectivo perodo de tempo: ! Plano estratgico de longo prazo ! Plano estratgico de mdio prazo ! Plano operacional Atividade da Auditoria ! Plano estratgico de longo prazo ! normalmente estabelecido para um perodo de 3 a 5 anos ! Seus objetivos so mais amplos ! Atingem toda a instituio ! So aprovados pela gerncia superior ! aconselhvel revisar e atualizar o plano anualmente. Atividade da Auditoria

! Plano estratgico de mdio prazo ! Traduz o plano mdio a longo prazo em um programa de atividades para o ano que se inicia ! Normalmente aprovado pela gerncia intermediria ! Define os objetivos macro das principais auditorias do prximo ano e ! suficientemente flexvel para aceitar as alteraes que se faa necessrias. Atividade da Auditoria ! Plano operacional ! Baseia-se em auditorias individualizadas ! Contm detalhes exatos: ! dos objetivos a serem atingidos, ! das reas a serem auditadas, ! dos recursos necessrios e em que prazo, ! os objetivos de controle e ! os procedimentos da auditoria a serem seguidos. ! o plano especfico de uma determinada auditoria. Atividade da Auditoria ! Envolvimento com outros Auditores ! Quando se possui uma equipe mista para a realizao de uma auditoria genrica, conveniente dividir os trabalhos em fases, para que os auditores atuem conforme a especializao de cada um. ! Em uma auditoria genrica os auditores de sistemas participam das seguintes fases: ! Levantamento da auditoria ! Coleta de dados ! Anlise de dados ! Opinio tcnica Atividade da Auditoria ! Fases de uma auditoria: ! Levantamento da auditoria ! o auditor de sistema pode ser requisitado para analisar um sistema da entidade auditada, explicando, em seu relatrio, seu funcionamento e fornecendo informaes bsicas para a auditoria principal. ! Coleta de dados ! o auditor de sistemas pode auxiliar na coleta e transferncia de dados do computador do rgo auditado para o computador da equipe de auditoria, por exemplo. Atividade da Auditoria ! Fases de uma auditoria (cont.): ! Anlise de dados ! aps a coleta de dados, o auditor pode ser solicitado a analisar os dados coletados e entrevistar o auditado em relao a seu contedo. ! Opinio tcnica ! o auditor de sistemas pode ser requisitado a dar sua opinio tcnica sobre o desempenho e a utilidade de determinado sistema ou conjunto de dados.

Planejamento e Execuo ! Planejamento ! Identifica os instrumentos indispensveis sua realizao. ! Nesta fase o auditor realiza diversas tarefas como: ! estabelecimento dos recursos necessrios para a execuo dos trabalhos da auditoria, ! define a rea de verificao, as metodologias, os objetivos de controle e os procedimentos a serem adotados, ! pesquisa fontes de informao sobre o objeto a ser auditado e ! negocia todos esses aspectos com sua gerncia. Planejamento e Execuo ! Pesquisa de Fontes de informao ! A equipe deve reunir a maior quantidade possvel de informaes sobre a entidade auditada e seu ambiente de informtica, como: ! plataforma de hardware, ! sistemas operacionais, ! tipo de processamento, ! metodologia de desenvolvimento, ! principais sistemas, ! etc. ! Com estas informaes poder esboar seu plano de auditoria e partir para a fase de delimitao dos trabalhos. Planejamento e Execuo ! Pesquisa de Fontes de informao (cont.) ! As principais fontes de informaes sobre a entidade auditada so: ! relatrios de auditorias anteriores, ! bases de dados, ! documentos ou pginas da entidade na Internet, ! notcias veiculadas na imprensa, ! visitas anteriores entidade e ! relatrios da auditoria interna. Planejamento e Execuo ! Definindo Campo, mbito e Sub-reas ! Neste momento ser definido os componentes da rea de Verificao. ! Exemplo: Sub 2 rea de Verificao Campo mbito Objeto Perodo Natureza Sub 1 Sub 3 Segurana de informaes da empresa De 01/01/2005 a 31/12/2005 Auditoria de TI Avaliao da Eficcia dos Controles Backup Controles de acesso lgico Controles de acesso fsico

Planejamento e Execuo ! Negociando com a Gerncia ! A definio dos aspectos definidos anteriormente (rea de verificao) facilitar o trabalho da equipe de auditoria e evita as falsas expectativas de seus membros e tambm da gerncia. ! Evitando Falsas Expectativas ! Definindo os Recursos Necessrios ! Recursos Humanos ! Recursos Econmicos ! Recursos Tcnicos Planejamento e Execuo ! Evitando falsas expectativas ! Antes de iniciar a execuo da auditoria, recomendvel que a equipe de auditoria sempre discuta e defina claramente, com sua gerncia: ! o campo da auditoria, ! o grau de profundidade de suas verificaes e ! o nvel de capacitao tcnica e profissional necessrio para auditar as sub-reas escolhidas. ! A gerncia ter uma noo mais prxima da realidade dos resultados da auditoria e permitir que a equipe defina: ! as metodologias a serem utilizadas, ! os objetivos de controle a serem atingidos e ! os procedimentos de auditoria mais adequados para garantir a realizao de um trabalho de auditoria compatvel com as expectativas da gerncia. Planejamento e Execuo ! Definindo os Recursos Necessrios: ! Recursos Humanos ! A equipe deve analisar: ! o tamanho dos sistemas, ! o grau de sofisticao e a complexidade do ambiente computacional do auditado, ! o nvel de experincia necessrio para executar cada tarefa ! se h necessidade de utilizao de ferramentas ou tcnicas mais sofisticadas de auditoria de TI, a fim de definir se ser necessria a solicitao do suporte de especialistas (externos) ou se a instituio possui profissionais qualificados para o trabalho. Planejamento e Execuo ! Definindo os Recursos Necessrios (cont.): ! Recursos Econmicos ! A equipe deve fazer uma previso de despesas, principalmente se a auditoria envolver viagens e contratao de mo-de-obra externa. ! Recursos Tcnicos ! Sero necessrios alguns recursos de: ! hardware ! laptops ou microcomputadores, ! software ! ferramentas de auditoria ou de extrao de dados, por exemplo, ! manuais tcnicos sobre o ambiente operacional e ! sistemas da entidade auditada. Planejamento e Execuo

! Metodologias ! Podem ser utilizadas vrias metodologias em uma auditoria de TI, desde uma simples observao em visitas entidade, at entrevistas com seus funcionrios e dirigentes e uso de tcnicas ou ferramentas de apoio. Planejamento e Execuo ! Metodologias (cont.) ! Entrevistas: ! Entrevistas de Apresentao ! Entrevista de Coleta de Dados ! Entrevista de Discusso das Deficincias Encontradas ! Entrevista de Encerramento ! Uso de Tcnicas ou Ferramentas de Apoio (CAATs): ! Tcnicas para Anlise de Dados ! Tcnicas para Verificao de Controles de Sistemas ! Outras Ferramentas Entrevistas ! Entrevistas de Apresentao ! Serve para apresentar todos os membros da equipe, o cronograma de atividades, os objetivos da auditoria, as reas a serem auditadas, o perodo de execuo dos trabalhos e as metodologias que sero adotadas. ! Normalmente solicitada a cooperao do auditado, assim como acomodaes adequadas para a equipe (sala, mesa, armrio, etc.). ! Por fim, mostrado a estrutura do relatrio, para que a instituio tenha uma noo do que ser apresentado como resultado da auditoria. Entrevistas ! Entrevista de Coleta de Dados ! So feitas entrevistas com os gerentes e funcionrios do departamento auditado, com o intuito de coletar dados sobre o(s) sistema(s) ou ambiente de informtica, procurando identificar os pontos fortes de controle, as falhas e possveis irregularidades. ! Entrevista de Discusso das Deficincias Encontradas ! Ao trmino das investigaes, comum serem apresentadas, aos responsveis de cada rea auditada, as deficincias encontradas. Entrevistas ! Entrevista de Encerramento ! Ao final dos trabalhos de auditoria, a equipe se rene novamente com os dirigentes e so feitos os agradecimentos colaborao da direo e dos funcionrios. ! A equipe apresenta um resumo dos resultados da auditoria, comentrios adicionais e recomendaes para correo das falhas. ! Por fim se dispe a esclarecer dvidas e entrega o relatrio. Uso de Tcnicas ou Ferramentas de Apoio ! Tcnicas para Anlise de Dados ! Os dados do auditado podem ser coletados e analisados

com auxlio de software de extrao de dados, de amostragem, de anlise de logs e mdulos ou trilhas de auditoria embutidas nos prprios sistemas aplicativos da entidade. ! Tcnicas para Verificao de Controles de Sistemas ! Estas tcnicas permitem ao auditor testar a efetividade dos controles dos sistemas do auditado. ! Dentre as tcnicas mais utilizadas esto: ! massa de dados de teste, ! simulaes, ! software de comparao de programas, ! mapeamento e rastreamento de processamento. Uso de Tcnicas ou Ferramentas de Apoio ! Outras Ferramentas ! Ferramentas que no so de apoio propriamente dito, mas que auxiliam o auditor na execuo de seus trabalhos so: ! editores de texto, ! planilhas eletrnicas, ! bancos de dados e ! softwares para apresentaes. Objetivos de Controle e Procedimentos de Auditoria ! Razes que motivam os objetivos de controle: ! Segurana ! Atendimento a solicitaes externas ! Materialidade ! Altos custos de desenvolvimento ! Grau de envolvimento dos usurios ! Outsourcing Objetivos de Controle e Procedimentos de Auditoria ! Razes que motivam os objetivos de controle: ! Segurana ! dados e sistemas sensitivos para a organizao, em que so essenciais a confidencialidade, a integridade e a disponibilidade das informaes. ! Atendimento a solicitaes externas ! verificaes de indcios de irregularidade motivados pela imprensa, por denncia ou solicitao de rgos superiores. ! Materialidade ! valor significativo dos sistemas computacionais, das transaes que processam e programas instituicionais que suportam, em termos econmico-financeiros. Objetivos de Controle e Procedimentos de Auditoria ! Razes que motivam os objetivos de controle (cont.): ! Altos custos de desenvolvimento ! sistemas com altos custos de desenvolvimento envolvem riscos mais altos para a organizao. ! Grau de envolvimento dos usurios ! sistemas elaborados sem o envolvimento dos usurios em geral no atendem satisfatoriamente s suas necessidades.

! Outsourcing ! efeitos da terceirizao no ambiente de informtica. Execuo ! Ao longo da execuo da auditoria, a equipe deve reunir evidncias suficientemente confiveis, relevantes e teis para a consecuo dos objetivos da auditoria. ! Os achados de auditoria e as concluses da equipe devem ser suportados pela correta interpretao e anlise dessas evidncias. Execuo ! As evidncias podem ser divididas em 4 tipos: ! Evidncia fsica ! observaes de atividades desenvolvidas pelos funcionrios e gerentes, sistemas em funcionamento, local, equipamentos, etc. ! Evidncia documentria ! resultados de extrao de dados, registros de transaes, listagens, etc. ! Evidncia fornecida pelo auditado ! transcries de entrevistas, cpias de documentos cedidos pelo auditado, fluxogramas, polticas internas, e-mails trocados com a gerncia da entidade, justificativas, relatrios publicados pelo auditado (impressos ou on-line), etc. ! Evidncia Analtica ! comparaes, clculos e interpretaes de documentos de entidades similares ou da mesma entidade em perodos de tempo diferentes. Relatrios ! O relatrio ir incluir os fatos sobre a entidade auditada, comprovaes, concluses e, eventualmente, recomendaes e/ou determinaes. ! A linguagem utilizada pelo auditor deve ser clara, objetiva e simples, evitando-se o uso de jarges tcnicos ou siglas. Relatrios ! A Quem se dirige o Relatrio? ! Dependendo do motivo que levou realizao da auditoria, o relatrio pode ser encaminhado Diretoria da Organizao, ao organismo que financia a entidade auditada ou ao organismo responsvel pelo controle e auditoria geral da entidade. ! Os tipos de informao e a estrutura variam de acordo com seu pblico alvo. Relatrios ! Relatrios Preliminares ! Antes mesmo de comear o trabalho de campo ou durante a fase de planejamento da auditoria, a equipe pode comear a compor seu relatrio. ! Ao trmino das investigaes em cada rea auditada, recomendvel apresentar, aos responsveis da rea, um relatrio parcial contendo as deficincias encontradas. ! A apresentao desses relatrios intermedirios

evita quaisquer constrangimentos, erros ou inconsistncias, que podero ser identificados, corrigidos ou eliminados antes da apresentao do relatrio final. Relatrios ! Relatrio Final ! O relatrio final deve ser revisado por todos os membros da equipe de auditoria com intuito de verificar sua conformidade com os padres e prticas da organizao auditora e a inexistncia de inconsistncias, erros ou lacunas. ! Os tipos de informaes e a estrutura so variveis, de acordo com seu pblico alvo. Relatrios ! Relatrio Final (cont.) ! Exemplo de estrutura: ! Dados da Entidade Auditada ! Sntese ! Dados da Auditoria ! Introduo ! Falhas Detectadas ! Concluso ! Pareceres da Gerncia Estrutura do Relatrio (1) ! Dados da Entidade Auditada ! Neste item so informados nome e endereo da entidade auditada, sua natureza jurdica (rgo de governo, empresa pblica, autarquia, empresa privada, etc.), relao de responsveis pela entidade e outras informaes consideradas relevantes pela equipe. ! Sntese ! Apresenta um breve resumo de seu contedo. ! Dados da Auditoria ! Apresenta os dados sobre a auditoria, tais como objetivo, perodo da fiscalizao, composio da equipe, metodologia adotada, natureza da auditoria (da TI, operacional, financeira, etc.) e objeto (controles gerais da organizao, desenvolvimento de sistemas, um sistema aplicativo especfico, etc.). Estrutura do Relatrio (2) Introduo Pode conter um breve histrico sobre a entidade e mencionar, se existirem, as concluses de auditorias anteriores feitas na mesma rea. No caso da TI recomendvel incluir descrio da estrutura hierrquica do departamento de informtica, sua relao com outros departamentos da organizao e com os nveis hierrquicos superiores, descrio do ambiente computacional, evoluo tecnolgica, principais sistemas e projetos. Falhas Detectadas Considerada a parte mais importante do relatrio, pois apresenta, em

detalhes, as falhas e irregularidades detectadas durante a auditoria. aconselhvel divid-la em sub-reas fiscalizadas, para haver encadeamento lgico de idias. A equipe pode apresentar a descrio da falha, seus comentrios iniciais, a justificativa do auditado e o parecer final da equipe para cada falha, incluindo, de preferncia, suas recomendaes. Estrutura do Relatrio (3) ! Concluso ! Na concluso so sintetizados os pontos principais do relatrio e as recomendaes ou determinaes finais da equipe para a correo das falhas ou irregularidades encontradas. ! Pareceres da Gerncia ! Em alguns casos, as gerncias do seu parecer a respeito dos achados e recomendaes da equipe de auditoria. ! Os superiores podero concordar integralmente ou em parte com os pontos de vista da equipe de autoria, ou ainda discordar inteiramente. Referncias Bibliogrficas ! DIAS, Cludia. Segurana e Auditoria da Tecnologia da Informao. 1. ed. So Paulo: Axcel Books, 2000. ! GIL, Antonio de Loureiro. Auditoria de Computadores. So Paulo: 5. ed. So Paulo: Atlas, 2000.