Auditoria Informtica

Auditoria de Sistemas de Informtica ou Riscos Tecnolgicos uma

atividade independente que tem como misso o gerenciamento de
risco operacional envolvido e avaliar a adequao das tecnologias e sistemas
de informao utilizados na organizao atravs da reviso e avaliao dos
controles, desenvolvimento de sistemas, procedimentos de TI,
infraestrutura, operao, desempenho e segurana da informao que
envolve o processamento de informaes crticas para a tomada de deciso.

A auditoria de sistemas de informtica um processo realizado por

profissionais capacitados e consiste em reunir, agrupar e avaliar evidncias
para determinar se um sistema de informao suporta adequadamente um
activo de negcio, mantendo a integridade dos dados, e realiza os objetivos
esperados, utiliza eficientemente os recursos e cumpre com as
regulamentaes e leis estabelecidas.

Permite detectar de forma automtica o uso dos recursos e dos fluxos de

informao dentro de uma empresa e determinar qual informao crtica
para o cumprimento de sua misso e objetivos, identificando necessidades,
processos repetidos, custos, valor e barreiras que impactam fluxos de
informao eficientes.

Deve compreender no somente os equipamentos de processamento de

dados ou algum procedimento especfico, mas sim suas entradas, processos,
controles, arquivos, segurana e extratores de informaes, alm disso, deve
avaliar todo o ambiente envolvido: Equipamentos, Centro de
processamento de dados e Software.

Auditar consiste principalmente em avaliar mecanismos de controle que

esto implantados em uma empresa ou organizao, determinando se os
mesmos so adequados e cumprem com seus determinados objetivos ou
estratgias, estabelecendo as mudanas necessrias para a obteno dos
mesmos. Os mecanismos de controle podem ser de preveno, deteco,
correo ou recuperao aps uma contingncia.

Objetivos de auditoria de informtica

Os objetivos da auditoria de sistemas de informtica so a emisso de um

parecer (ou uma nota) sobre:

O controle da rea de Tecnologia;

A anlise da eficincia dos Sistemas de
Informao;
A verificao do cumprimento das legislaes e
normativos a qual esto sujeitos;
A gesto eficaz dos recursos de informtica.

A Auditoria de sistemas contribui para a melhoria constante do negcio

suportado pela Tecnologia, nos seguintes aspectos:

Desempenho;
Confiabilidade;
Integridade;
Disponibilidade;
Segurana;
Confidencialidade;
Privacidade.

Geralmente, a auditoria informtica desenvolve se em foco ou em

combinao entre as seguintes reas:

Governana Corporativa;
Administrao do Ciclo de Vida dos Sistemas;
 Servios de Entrega e Suporte;
Proteo de Dados e Segurana da Informao;
Planos de Continuidade de Negcio e Recuperao
de Desastres.

O auditor de sistemas de informtica

O auditor de sistemas verifica a eficcia dos controles e procedimentos de

segurana existentes, a eficincia dos processos em uso, a correcta
utilizao dos recursos disponveis, assessorando a administrao na
elaborao de planos e definio de metas, colaborando no aperfeioamento
dos controles internos, apontando deficincias e irregularidades que possam
comprometer a segurana e o desempenho organizacional.

Com a larga utilizao da tecnologia para o armazenamento das informaes

contbeis, financeiras e operacionais, o auditor de sistemas tem que entrar e
conhecer o campo de atuao (processos) da organizao para extrair,
analisar banco de dados envolvidos e suportar decises das demais reas
de auditoria.

A necessidade global de referncias nesse assunto, para o exerccio dessa

profisso, promoveram a criao e desenvolvimento de melhores prticas de
sistemas de informao.

Atualmente a certificao CISA Certified Information Systems Auditor,

oferecida pela ISACA Information Systems and Control Association
uma das mais reconhecidas e avaliadas por organismos internacionais, j
que o processo de seleo consta de uma prova extensa que requer
conhecimentos avanados, alm de experincia profissional e a necessidade
de manter-se sempre atualizado, atravs de uma poltica de educao
continuada (CPE) na qual o portador da certificao deve acumular carga
horria de treinamento por perodo estabelecido.
A formao acadmica do auditor de sistemas pelos motivos acima acaba
sendo multidisciplinar: anlise de sistemas, cincia de computao,
administrao com nfase em TI, advocacia com foco em Direito da
informtica - direito digital e correlatos.

Tipos de auditoria

Existem diversos tipos de Auditorias Informtica, sendo os principais, mas

no se limitando a:

Auditoria de Planejamento e Gesto:

Contratao de bens e servios de TI,

documentaes, oramentos, projetos, etc.

Auditoria Legal ou Regulatria:

Atendimento a regulamentaes locais e

internacionais

Auditoria de Integridade de Dados:

Classificao dos dados, atualizao, bancos de

dados, aplicativos, acessos, estudo dos fluxos
(entradas e sadas) de transmisso, controles de
verificao qualidade e confiabilidade das
informaes.

Auditoria em segurana da informao:

 Mtodos de autenticao, autorizao, criptografia,
gesto de certificados digitais, segurana de redes,
gesto dos usurios, configurao de antivrus,
atualizaes, polticas, normas, manuais
operacionais.

Auditoria de Segurana Fsica:

Avaliao de localidades e riscos ambientais: vidas

(capital intelectual), roubo, acesso, umidade,
temperatura, acidentes, desastres, etc. e as
protees: permetros de segurana, cmeras,
sensores, guardas, dispositivos, protees do
ambiente.

Auditoria de Desenvolvimento de Sistemas:

Validao dos processos de gesto de projetos,

cumprimento de metodologia de qualidade,
oramentos previstos e realizados e avaliao de
desvios.

Auditoria da Infra Estrutura e Operaes de TI:

Processos para averiguar disponibilidade e

robustez do ambiente a erros, acidentes e fraudes
das operaes em servidores, estaes, software,
hardware e canais de comunicao.
Materialidade e Anlise de Risco na auditoria informtica

Enquanto planeja o calendrio anual e cada trabalho de auditoria, o

auditor-chefe decide o nvel de risco de auditoria (ou seja, o risco de chegar
a uma concluso indevida baseada nas evidncias) que est disposto a
aceitar. Quanto mais efectivo e extensivo o trabalho de auditoria for, menor
o risco de uma fraqueza no processo passar despercebida no relatrio final
de auditoria. O Risco de auditoria dependente da anlise dos nveis de
risco inerentes ao processo, ou seja, a possibilidade de impacto material ao
processo: financeiro, operacional ou imagem, se a rea auditada cometer
erros por controles ineficazes ou inexistentes. Estes riscos so determinados
quando o auditor realiza ou obtm a anlise de risco da organizao.

Adicionalmente, para avaliar se uma auditoria de TI obteve o xito esperado,

o auditor deve primeiro identificar o escopo e objetivos de teste, para
verificar o grau de aderncia aos processos e sistemas avaliados. Para
atender aos objetivos da auditoria e garantir que os recursos empregados
para seu trabalho so utilizados de forma eficiente, o auditor dever definir
nveis de materialidade. O auditor deve considerar aspectos qualitativos e
quantitativos para determinar a materialidade. A avaliao do risco deve ser
realizada para prover certo grau de conforto que todos os itens de
materialidade relevante sero devidamente cobertos pelos trabalhos de
auditoria. Essa anlise deve identificar reas que tm alto risco de
existncia de problemas com materialidade relevante ao negcio.

Na materialidade, avaliando impacto material, o Auditor de Sistemas deve

considerar:

O nvel de erros aceitveis gesto do processo,

auditorias internas, auditorias externas, agncias
reguladoras e legislaes.
 O potencial de efeito cumulativo de pequenos erros
ou fraquezas tornarem-se materiais, nesse caso,
de relevncia significativa.

Enquanto estabelece a materialidade, o auditor pode estar realizando

auditorias de itens no-financeiros, como Controle de acesso fsico, lgico,
sistemas de gesto de pessoas, gesto de recursos, desenvolvimento,
controle de qualidade, gerao de senhas.

Nesse caso, deve-se identificar materialidade, com foco nos objetivos

esperados do processo de negcio avaliado para que este atinja seus
objetivos de controle interno. Quando no existem transaes financeiras
envolvidas, pode se utilizar outras formas de medir a materialidade:

O Nvel de criticas do processo suportado pelas

operaes ou sistemas avaliados.
O Custo do sistema ou operao (hardware,
software, contratos com fornecedores).
O Custo potencial de erros ou falhas aos quais
sistemas ou operao esto sujeitos.
O Nmero de acessos/transaes/requisies
processadas por perodo.
As Multas por falhas no cumprimento de
requisitos legais e contratuais.

GRC e Anlise de Risco

O acrnimo GRC tem origem na unio dos

termos governana, riscos e cumprimento, ou em ingls, governance, risk
and compliance. Uma tendncia recente, de integrao das reas de
conhecimento de Gesto de Riscos, Governana Corporativa e prticas de
auditoria e controle que visa garantir a conformidade com leis,
regulamentos, imposies de padres consolidando-os dentro de um nico
modelo, integrado inteligentemente e tendo como um dos seus objetivos a
unificao dos interesses comuns e conciliao de interesses opostos de
cada uma destas funes.

Nesse contexto o Risco pode ser definido como o efeito das incertezas nos
objetivos, relacionado ento probabilidade de um evento ocorrer e a
possveis impactos do evento nos objetivos de negcio.

Atravs da Gesto dos Riscos a organizao procura antecipar-se a perdas

resultantes de falhas nos procedimentos, seja estas causadas
acidentalmente ou no, ameaas externas, econmicas, ambientais, de
mercado ou qualquer evento que possa prejudicar interesses da organizao
ou impedir que oportunidades importantes ao sucesso da empresa sejam
aproveitadas.

Um risco qualquer evento ou ao, gerada interna ou externamente, que

impede uma organizao a atingir seus objetivos. Os riscos afetam os
objetivos de controle em diversas reas da informao: integridade,
preciso, temporalidade para tomada de deciso, habilidade de acesso
ao sistema e confidencialidade/privacidade das informaes, apenas
para enumerar alguns impactos relacionados. A Anlise de Risco permite
que o auditor determine o escopo da auditoria e avalie o nvel de risco de
auditoria e risco de erros (o risco de erros que ocorrem na rea sendo
auditada). Adicionalmente, a anlise de risco, ou anlise de impacto ao
negcio (BIA) auxiliar em decises como:

A natureza, escopo e cronograma dos trabalhos.

As reas de negcio a serem auditadas.
Tempo e recursos necessrios associados a cada
trabalho de auditoria planejado.
Documentao da Anlise de Risco

Uma vez analisado o nvel de risco, o auditor deve documentar essa anlise
em seus papis de trabalho:

Descrio da tcnica de Anlise de Risco utilizada

A identificao dos riscos com maior significncia
Os riscos que a auditoria ir abordar
As evidncias de auditoria utilizadas para suportar
a anlise de risco do auditor.

Ciclo de Vida
A auditoria de sistemas obedece s mesmas etapas
que Auditorias tradicionais, abaixo:
Planejamento Global (Anual)[editar | editar cdigo-fonte]

Identificar reas de risco na organizao:

financeiro, operacional, regulatrio;
Entender a dependncia de Tecnologia da
informao nos processos crticos;
Acompanhamento da implantao de
Recomendaes das auditorias passadas;
Estabelecer cronograma de atuao.

Planejamento[editar | editar cdigo-fonte]

Obter informaes sobre o processo: fluxos,

polticas, normas e procedimentos;
Visualizar pontos de controle s vulnerabilidades
identificadas;
Estabelecer planos de testes para abrang-los;
Obter referncias de boas prticas para a
confeco de testes;
Definir responsveis pelas frentes de trabalho.
Realizao[editar | editar cdigo-fonte]
 Executar planos de testes;
Obter evidncias de controles adequados ou no;
Validar itens levantados com o auditado;
Formalizar mtodos de testes e concluses em
documentao de trabalho;
Reunir principais incidncias de controles para
discusso.
Melhoria continua
Concluso[editar | editar cdigo-fonte]

Discutir planos de ao com o Auditado;

Estabelecer datas-limite para a resoluo dos
problemas de acordo com o risco e impacto
envolvidos;
Submeter relatrio final aprovao da Alta
Administrao;
Arquivar para acompanhamento da implantao.

Acompanhamento[editar | editar cdigo-fonte]

Monitorar datas-limite acordadas;

Reavaliar a situao atual;
Emitir opinio sobre a nova situao do controle
frente ao requerido para a manuteno de nvel
aceitvel de risco.

Anlise de Dados e Ferramentas[editar | editar cdigo-fonte]

Para a execuo dos testes de auditoria, utilizados pelo auditor na obteno
de evidncias para suportar suas concluses, deve-se observar padres
geralmente aceitos como o ISACA S6 Desempenho do trabalho de
Auditoria #REDIRECT [1]
Evidncia: durante o curso da auditoria, o auditor de SI deve obter evidncia
suficiente, confivel e relevante para atingir os objetivos da auditoria. Os
resultados e as concluses da auditoria devem ser suportados pela anlise e
interpretao apropriadas dessa evidncia.
Um Auditor deve desenhar selecionar, avaliar e documentar amostras de
evidncias para que seu trabalho seja suficiente, confivel e relevante e mais
importante: que apoie as concluses obtidas durante os trabalhos de campo.
Amostragem de auditoria[editar | editar cdigo-fonte]
Uma auditoria de sistemas pode ser desempenhada de modo massificado:
ou seja, 100% de todos os documentos e dados disponveis ou atravs de
amostragem dessa populao.
A amostragem de auditoria a aplicao de procedimentos para utilizar um
percentual inferior a 100% da populao, a fim de possibilitar ao Auditor de
Sistemas avaliar evidncias que o possibilite formular uma concluso a
respeito dessa populao. Ao desenhar o tamanho e a estrutura da amostra,
o Auditor de Sistemas deve considerar os objetivos da auditoria
determinados no planejamento, a natureza da populao e mtodos de
seleo de Amostras.
Selecionando a amostra[editar | editar cdigo-fonte]
O Auditor deve selecionar item de amostragem de forma a serem
representativos na populao. Os tipos mais comuns de amostragem so:
Amostragem Estatstica[editar | editar cdigo-fonte]

Amostragem Aleatria permite que todas as

combinaes da amostra na populao tm uma
chance igual de seleo.
Amostragem Sistemtica permite a seleo de
ocorrncias na amostra, utilizando intervalos de
selees com o primeiro intervalo iniciando de
forma aleatria.
Amostragem no Estatstica[editar | editar cdigo-fonte]

Amostragem por Escolha o auditor seleciona a

amostra sem uma tcnica estruturada.
Anlise Julgamental o auditor estabelece um
critrio para a amostra. Por exemplo, selecionar
somente unidades acima de um determinado
valor.
A seleo do tamanho da amostra afetada pelo nvel de risco ou
materialidade que essa amostra representa no processo avaliado. O Risco da
amostra o risco que uma amostra mal escolhida poder influenciar na
opinio final do auditor, em comparao se esse tivesse utilizado a
populao inteira.
Uma vez que as amostras foram selecionadas para testes, estes
procedimentos devem ser adequadamente documentados nos papis de
trabalho.

Tcnica de amostragem utilizada

Percentuais considerados
 Layout de Arquivos, Sistemas considerados
Rotinas, cdigos fontes, ferramentas de CAAT
utilizadas
Parmetros de seleo
O auditor pode iniciar os testes de auditoria atravs de Tcnicas de
Auditoria Auxiliadas por Computador (CAATs) ou TAACs, discutidos
brevemente abaixo.
Tcnicas de Auditoria auxiliadas por Computador (CAATs) ou
TAACs[editar | editar cdigo-fonte]
Mais informaes: Anlise de dados, Audit Command Language, Computer
Aided Audit Tools
Tcnicas (ou Ferramentas) de Auditoria Auxiliadas por Computador (CAATs)
ou TAACs so tcnicas ou programas de computador especializados para
gerar amostras, importar dados, sumarizar e testar os controles, condies e
processos implantados nos sistemas atravs das amostras que
selecionamos. Tipos de CAATs incluem:

Software Especializado para Auditoria (SEA)

permitem ao auditor realizar testes em arquivos e
bancos de dados, exemplos: ACL, IDEA, etc.
Software de Auditoria Adaptado (SAA) geralmente
desenvolvidos por auditores para desempenhar
tarefas especficas, so necessrios quando os
sistemas da empresa no so compatveis aos
SEA, ou quando o auditor quer realizar testes no
possveis com os SEA, exemplos rotinas em: Easy
Trieve, SQL+, SAS, etc.
Teste de Dados ou Reclculo de Operaes O
auditor testa os dados para verificar os controles
empregados no sistema atravs de validao
nestes dados, alm disso, observa-se a preciso
destes dados processados pelo sistema. Essa
tcnica utilizada para validao de dados e
rotinas de deteco de erros, processamento de
controles lgicos e clculos aritmticos, apenas
para numerar algumas possibilidades.
Simulao em Paralelo - O auditor utiliza as
informaes do sistema para mapear e construir
 os passos a serem simulados em outra ferramenta
a fim de chegar ao mesmo resultado do sistema.
Testes integrados-o auditor submete parmetros

de teste com dados reais, sem impactar na rotina
normal de processamento do sistema.
Coleta de Evidncias[editar | editar cdigo-fonte]
Atravs do uso de CAATs, o auditor ser capaz de obter evidncias
suficientes para suportar suas concluses finais de auditoria de sistemas. A
evidncia de auditoria deve ser suficiente, confivel, relevante e capaz de
auxiliar o auditor a formular a opinio e concluses sobre o processo
avaliado. Se o auditor no ter dados suficientes para tal, ele/ela deve sair a
campo para obter mais evidncias. Procedimentos para isso variam
dependendo do sistema sendo auditado. O auditor deve selecionar o teste
mais adequado para alcanar o objetivo da auditoria. Alguns listados abaixo
podem ser considerados:

Entrevistas e/ou Observao

Inspees adicionais
Re-teste
Monitorao
As evidncias de auditoria obtidas devem ser documentadas e organizadas
para suportar os levantamentos e concluses do auditor. Por fim, quando o
auditor crer que estes no so possveis de ser obtidos por qualquer razo,
esse fato deve ser documentado no Relatrio de Auditoria como limitao de
escopo do trabalho.

Referncias bibliogrficas[editar | editar cdigo-fonte]

AUDITORIA DE SISTEMAS - CURSO PRATICO,

Alessandro Manotti, Editora CIENCIA MODERNA,
2010, ISBN 8573939400, 9788573939408

Entidades de Classe[editar | editar cdigo-fonte]

ISACA - Information Systems Audit and Control

Association
ISSA - Information Systems Security Association
IIA BRASIL - Instituto dos Auditores Internos do
Brasil- [2]
Categoria:
Gesto da tecnologia da informao
Menu de navegao
 Criar uma conta
Entrar
Artigo
Discusso
Ler
Editar
Editar cdigo-fonte
Ver histrico
Ir

Pgina principal
Contedo destacado
Eventos atuais
Esplanada
Pgina aleatria
Portais
Informar um erro
Colaborao
Boas-vindas
Ajuda
Pgina de testes
Portal comunitrio
Mudanas recentes
Manuteno
Criar pgina
Pginas novas
Contato
Donativos
Imprimir/exportar
Criar um livro
Descarregar como PDF
Verso para impresso
Ferramentas
Pginas afluentes
Alteraes relacionadas
Carregar ficheiro
Pginas especiais
Ligao permanente
Informaes da pgina
Item no Wikidata
Citar esta pgina
Noutros idiomas
Catal
Deutsch
English
Espaol
Franais
Galego

 Bahasa Indonesia
Italiano
Nederlands
Polski

Ting Vit

Editar ligaes
Esta pgina foi modificada pela ltima vez (s)
22h55min de 22 de outubro de 2014.
Este texto disponibilizado nos termos da
licena Creative Commons - Atribui

Objectivos

uma auditoria;

nto de conceitos organizacionais e tecnolgicos

essenciais ao

desenvolvimento da actividade de auditor;

de auditoria e de

desenvolvimento de Sistemas de informao.

Programa

Qualidade Definies

Qualidade: as ideias principais de Deming, Juran, Ishikawa, Feigenbaum e

Imai

Qualidade: elaborao de um programa de gesto da qualidade.

Introduo auditoria Informtica

 o de Auditoria

O programa de auditoria informtica

de auditoria informtica

Anlise de risco em auditoria informtica

Abordagem formal da auditoria informtica

ilidade financeira s entidades fornecedoras de solues

informticas.

Abordagem contempornea da auditoria informtica

computadores

COBIT
ITIL

Auditoria Informtica e

Qualidade

Engenharia Informtica

ProgramaNelson Antnio/Antnio Martins - ISCTE

Sarbannes Oxley

A utilizao de CAATs (Computer Audit Auxiliary Techniques and Tools)

plataforma de extraco e anlise de dados.

aplicaes.

Win IDEA

Win IDEA Estudo de caso 1

Win IDEA Estudo de caso 2

Win IDEA Estudo de caso 3

Mtodo pedaggico

O processo de aprendizagem estar centrado na resoluo de estudos de

 caso, que visam aliar os conhecimentos tericos adquiridos pelo formando,

com a aplicao prtica de um CAATT.

Avaliao

Teste individual sem computador (60%)

Trabalho individual de estudo de caso (40%)

Bibliografia

de Deming ao Modelo de

Excelncia da EFQM, Edies Silabo

Champlain, Jack J., Auditing Information Systems, John Wiley & Sons
Inc, ISBN: 0471281174.

Champlain, J.,1998, Audinting Information Systems, A Comprehensive

reference Guide, John Wiley &

Sons, Inc.;

Hunton, James E., Core Concepts of Information Systems Auditing, John

Wiley

& Sons Inc, ISBN: 0471222933.

Logothetis, N. 1992, Managing for Total Quality, Pren

mo empresa especializada em realizar vrios tipos de auditoria, neste mbito, os nossos especialist
to incumbidos tambm de efectuar auditoria informtica um exame do sistema informtico, com
jectivo de o avaliar em toda a sua complexidade, que inclui (1) conhecer o ambiente e seu envolvimen
conhecer o tipo de operaes e as formas de as processar (e armazenar e controlar) e, por ltimo,
rmar uma opini

Todos os nossos procedimentos de auditoria so acompanhados na anlise de risco e de cenrios

oluo dos sistemas de informao da entidad
ste mbito, identificaremo

As infra-estruturas de comunicao (Lan, WAN, etc

Hardware existente ao nvel do sistema central e ou loca

Aplicaes a nvel central e especfica

 Estrutura de Recursos Humanos do departamento de Informtic

mplementarmente fazemos entrevistas com os elementos da entidade, aos vrios nvei

Com o director de Informtica (para conhecer as orientaes estratgicas para os sistemas

ormao, os projectos existentes, os standards, os recursos e o nvel de cobertura

Com os utilizadores (para perceber com razoabilidade as aplicaes, e modo de comunicao e

cessidades sentidas

aboramos uma matriz de competncias nos sistema

Aps o conhecimento dos sistemas, passamos para a fase das operaes e modo de processamen
sim, entendemos as operaes e vamos investigar, com testes, quer aos sistemas aplicacionais (ao nov
erro potencial de exausto, existncia, valorizao e contabilizao, via importao ou centraliza
er ao nvel dos controlo Integrado (nas fases/meios existentes, como o modo organizacional,
senvolvimento de aplicaes, na manuteno, na explorao, nos sistemas operativos e n
guranas), que as operaes e o seu processamento so ntegros e seguro

mbito da segurana, verificamos com muito cuidado as seguranas fsicas e as seguranas lgica

ste sentido, ao nvel fsico, analisaremos as polticas de salvaguarda, procedimentos de backup

posio, polticas de acesso e controlo fsico de server e de aplicaes base e medidas de integridade
ormao.

nvel lgico, testaremos a integridade da informao processada, o acesso ao sistema, o nvel

tputs, bem como a importao/exportao de ficheiros e analisaremos a possibilidade de roubo
ormao.

zemos teste de sequencialidade a documentos e exactido dos clculos, bem como avaliamos
alidade dos relatrios de erros, o nvel de superviso existente por parte da organizao e dos se
cursos, face complexidade e necessidades do seu negci

Emitir uma opinio fica facilitado utilizando a nossa abordagem que tem em conta os mtodos
ditoria internacionalmente aceites para ambientes informatizado

so seja necessrio efectuar implementaes de aplicaes ou redesenhar circuitos e redes, contam

mbm com a participao dos nossos parceiros Tecnologiasimaginadas, L
ww.tecnologiasimaginadas.com), que intervm nesta re

te trabalho sempre supervisionado pelos scios ou supervisores da firma que tm formao contn
m planeamento de auditoria a grandes empresas, risco estratgico de organizaes e sistemas de contro
terno.
Copyright 2011 by TecnologiasEntrar | Desenvolvido por: Tecnologias
Imaginadas Imaginadas