Auditoria de Sistemas Informatizados

08

Auditoria de Sistemas InformatizadosAuditoria

Almir Feliciano Neto

Auditoria de Sistemas Informatizados

Almir Feliciano Neto(Organização)

Auditoria de

Sistemas Informatizados

Universidade do Estado de Minas Gerais

Faculdade de Políticas Públicas ”Tancredo Neves”

Curso Superior de Tecnologia em Gestão de Finanças Públicas e Auditoria Governamental

Belo Horizonte - MG2008

Almir Neto Página 2 de 49


PLANO DE ENSINO

DISCIPLINA: Auditoria de Sistemas Informatizados

PROFESSOR: Almir Neto

CARGA HORÁRIA TOTAL:

40 h

HORAS EM SALA DE AULA:

36 h

HORAS EM OUTRAS ATIVIDADES:

4 h

EMENTA

Controle interno; Auditoria de Sistemas; Metodologia de auditoria de sistemas; Controle e segurança ambiental de tecnologia da informação sob a ótica da auditoria de sistemas; Tecnologia de informação; Controle e segurança lógica em sistemas de informação; Auditoria de sistemas em produção; Informatização dos processos governamentais. Sistemas corporativos Estaduais: SIAFI, SIAD, SIGPLAN, SIARE, SISAP, SIPRO; propósitos, principais módulos, estrutura de gerenciamento; Emissão de relatórios de auditoria de sistemas de informações.

OBJETIVOS:

Apresentar conceitos e noções fundamentais das principais metodologias de auditoria de sistemas informatizados:

Entender conceitos de auditoria em sistemas de informação, controles gerenciais e de aplicações;

Fundamentar os conceitos de Controle Interno, Pontos de Controle e Pontos de Auditoria;

Conhecer as etapas comumente observadas num trabalho de Auditoria de Sistemas;

Entender as principais abordagens de um trabalho de auditoria, momento em que se relacionam a aplicabilidade a situações práticas;

Identificar mecanismos que propiciem um trabalho contínuo de avaliação da segurança do ambiente computacional;

Planejar um trabalho de auditoria de sistemas utilizando os Sistemas corporativos do Governo de Estado de Minas Gerais;



CONTEÚDO PROGRAMÁTICO (TÓPICOS E SUB-TÓICOS A SEREM ABORDADOS:

Apresentação

1. CONTROLE INTERNO

1.1. Conceitos Básicos1.2. Definição de Controle Interno1.3. Relacionamento entre controle interno e auditoria1.4. Controle interno e auditoria de sistemas

2. AUDITORIA DE SISTEMAS

2.1. Objetivos da auditoria de sistemas2.2. Ciclo de vida de um sistema de informação e atuação da auditoria de sistemas2.3. Pontos de controle e pontos de auditoria2.4. Ciclo de vida de auditoria de sistemas

3. METODOLOGIA E AUDITORIA DE SISTEMAS

3.1. Etapas da metodologia de auditoria de sistemas

4. CONTROLE E SEGURANÇA AMBIENTAL DE TECNOLOGIA DA INFORMAÇÃO SOB A ÓTICA DE AUDITORIA DE SISTEMAS

4.1. Aspectos Gerais4.2. Medidas e contramedidas de proteção por área de controle

5. TECNOLOGIA DA INFORMAÇÃO

5.1. Aspectos gerais5.2. Planejamento do projeto de auditoria no ambiente de informática5.3. Levantamento e caracterização do ambiente de informática5.4. Inventário e eleição dos pontos de controle5.5. Avaliação dos pontos de controle eleitos5.6. Conclusão e acompanhamento das recomendações

6. CONTROLE E SEGURANÇA LÓGICA EM SISTEMAS DE INFORMAÇÃO

6.1. Aspectos gerais6.2. Controles em operações e dados de entrada6.3. Controle em operações de processamento6.4. Controles em operações e dados de saída6.5. Controles em ambientes de sistemas em rede, teleprocessamento e banco de dados6.6. Medidas que amenizam a ocorrência de ameaças em geral



6.7. Conclusão e acompanhamento da auditoria

7. AUDITORIA DE SISTEMAS EM PRODUÇÃO

7.1. Aspectos Gerais7.2. Planejamento7.3. Levantamento do sistema a ser auditado7.4. Inventário e eleição dos pontos de controle7.5. Avaliação dos pontos de controle7.6. Conclusão e acompanhamento da auditoria

8. Informatização dos processos governamentais

1.1. Emissão de Relatórios de auditoria de sistemas de informação

8.1.1. SIAFI – Sistema Integrado de Administração Financeira

8.1.1.1. Propósitos8.1.1.2. Principais módulos8.1.1.3. Estrutura de gerenciamento

8.1.2. SIAD – Sistema de Administração de Materiais


8.1.3. SIGPLAN – Sistema de Informações Gerenciais e de Planejamento


8.1.4. SIARE – Sistema Integrado de Administração da Receita Estadual


8.1.5. SISAP – Sistema de Administração de Pessoal


8.1.6. SIPRO – Sistema Integrado de Protocolo

8.1.6.1. Propósitos8.1.6.2. Principais módulos



8.1.6.3. Estrutura de gerenciamento



SISTEMA DE AVALIAÇÃO:

Avaliação será efetuada mediante a aplicação de testes e desenvolvimento de trabalhos em sala de aula, individuais ou em grupo, além da participação dos alunos em sala de aula e leitura de textos.

o Distribuição Total de Pontos

Mês Pontos Critérios

Fevereiro 10 Avaliação Mensal

Março 10 Avaliação Mensal

Abril 20 Avaliação Mensal

Maio 15Trabalho em Grupo

Junho 15

Julho 30 Prova Final

TOTAL 100 Aprovação

METODOLOGIA:

RECURSOS

o Quadro de sala de aula;



o Projetor de Multimídia;

o Apresentação em Power Point;

o Fotocópias de Cases e material de leitura;

o Apostila;

o Palestras com especialistas em Sistema Corporativos Governamentais convidados;

o Bibliografia Básica.

MÉTODO

o Exposição e debate de conceitos e exemplos em aula presencial, com base na bibliografia indicada, dentro do cronograma proposto.

o Exposição e discussão em sala de aula de questões práticas;

o Elaboração de trabalhos em sala de aula para exploração das características individuais de aprendizado.

o Seminários para desenvolvimento de exercícios práticos e apresentação em sala de aula desenvolvida por grupos de alunos.

o Apresentação escrita e oral de um (1) Projeto de Auditoria que consiste em:

Escolha de um sistema corporativo do Governo do Estado de Minas. O grupo de alunos deverá, com apoio da Diretoria da FaPP, buscar junto ao

órgão responsável pelo desenvolvimento do sistema escolhido, o acesso necessário ao desenvolvimento do trabalho.

Preparação de um relatório e de uma apresentação em sala da aula de 30/60 minutos, com a análise dos pontos do conteúdo programático relacionados;

Debate do tema apresentado pelos demais alunos 50 minutos. O relatório deverá apresentar um resumo dos pontos relacionados à disciplina,

devendo atender ao padrão de Auditoria de SI ISACA/COBIT; A apresentação deverá resumir a análise que o aluno fez sobre o tema escolhido,

relacionada aos pontos da disciplina. Serão considerados a profundidade do conhecimento apresentado, conteúdo e a

forma de expressão do aluno.o A pontuação do aluno será considerada pela apresentação do seu trabalho e a presença e

participação nos debates de todas as apresentações.o As faltas do aluno às aulas implicam na perda de pontos distribuídos ao longo do mês em

atividades em sala de aula.



Auditoria de Sistema de Informação

Material suplementar a utilização da bibliografia adotada para a disciplina1

Objetivo

Revisar e avaliar o controle interno2 de Sistema3 de Informação4 em Processamento Eletrônico de Dados – PED5

1 Ver Referência Bibliográfica.2 “Controle Interno: É o plano de organização e todos os métodos e medidas coordenados, aplicados em uma organização, a fim de proteger seus bens, conferir a exatidão e a fidelidade de seus dados contábeis, promover a eficiência e estimular a obediência às diretrizes administrativas estabelecidas pela gestão.” Instituto Americano de Contadores Públicos.3 Sistema: A American National Standard Committee sugere a seguinte definição: em processamento de dados, conjunto de pessoas, máquinas e métodos organizados de modo a cumprir um certo número de funções específicas. Exemplos típicos: sistema solar, sistema respiratório, etc. na elaboração de um sistema existem algumas etapas a serem seguidas para a sua construção determinando seu ciclo de vida em cada etapa:

1-Definição de problema;2-Estudo de viabilidade;3-Análise;4-projeto de sistema;5-projeto detalhado;6-implementação e definição;

4 “Sistemas de Informações compreendem um conjunto de recursos humanos, materiais, tecnológicos e financeiros, combinados segundo uma seqüência lógica para transformar dados em informações.”

No ambiente de auditoria de sistemas:

recursos humanos: usuários e profissionais de computação; recursos materiais: suprimentos, equipamentos, instalações e utensílios; recursos tecnológicos: correspondem ao intangível dos sistemas de informações; são os softwares e as

informações geradas; recurso financeiro: é a transformação dos recursos humanos, materiais e tecnológicos, segundo o denominador

comum moeda;

5 P.E.D. - envolve os conceitos de Hardware e de Software e se estende, alcançando a área de Redes e Telecomunicações.


Promover adequação e recomendações para o aprimoramento dos "Controles Internos" nos "Sistema de Informação" em "Processamento Eletrônico de Dados".

Avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento dos SI.

Revisar a integridade, confiabilidade e eficiência do sistema de informação e dos relatórios financeiros nele produzidos.

Abrange a captação e entrada de dados, o processamento por meio de programas de computador e a saída de informações para usuários

Ambiente de Sistema de Informação

1. Sistema Manual

Entrada de dados - Transações por terminal

Saída de dados - Documentos e Relatórios

2. Sistema computadorizado

Processamento Biblioteca e banco de dados

Linhas de atuação da Auditoria de Sistemas

Auditoria de Sistemas em produção (operação)

o Abrange os procedimentos e resultados de sistemas já implantados [Característica preventiva, detectiva e corretiva]

Auditoria durante o desenvolvimento

o Abrange todo processo de construção de sistema de informação, desde a fase de levantamento do sistema a ser informatizado até o teste de implantação.

[característica preventiva]

Hardware - equipamentos de computação e de telecomunicações associados; Software básico e de apoio - sistemas operacionais, gerenciadores de rede; monitores de telecomunicações e

teleprocessamento (monitores de TP), editores, compiladores, gerenciadores de bancos de dados, “firmware”, etc.;


Auditoria do ambiente de tecnologia da informação

o Abrange a análise do ambiente de informática em termos de estrutura orgânica, contratos de software e hardware, normas técnicas e operacionais, custos, nível de utilização dos equipamentos e planos de segurança e contingência.

Auditoria de eventos específicos

o Abrange a análise da causa, da conseqüência e da ação corretiva cabível, de eventos localizados que não se encontram sob auditoria, detectados por outros órgãos e levados ao seu conhecimento.

[Característica corretiva]

A Função do Auditor de Sistema

Ter conhecimento das áreas de conhecimento: Sistema de Informação, Processamento Eletrônico de Dados e Auditoria de Sistemas

Ter conhecimentos básicos de computação

Conhecer pelo menos uma linguagem de programação

Ao auditar sistemas em produção (operação) conhecer:

o Documentação de sistemas

o Fluxograma

o Uma linguagem de programação

Ao auditar sistemas em desenvolvimento conhecer:

o Metodologia de desenvolvimento de sistemas

o Técnicas de prototipação

o Plano de Diretor de Informática6

6 Plano de Diretor de Informática: É planejamento estratégico da organização em termos de automação.

A metodologia para o desenvolvimento deve ser:

Definição das etapas de cada projeto; Definição das atividades de cada etapa; Determinação dos produtos e dos pontos de controle dos projetos; Definição das responsabilidades de cada produto (usuário); Documentação das etapas, estudando um software de CASE para implementar uma metodologia estruturada de

desenvolvimento de sistemas na empresa; Obtenção de produtos intermediários para justificar benefícios, produzindo muitas vezes sistemas funcionais

antes da conclusão do projeto com um todo.

As etapas do seu desenvolvimento são:



Ao auditar o Centro de Processamento de Dados conhecer:

o Apuração de centros de custos de computação

o Normas administrativo-técnica-operacionais

o Funções e mecânica operacional da área de computação

o Contratos de Software e Hardware

Levantamento das necessidades da empresa, problemas atuais e descrição das áreas afetadas com os procedimentos atuais;

Análise das atividades, apresentando a solução e priorizando seu desenvolvimento; Dimensionamento dos recursos necessários para desenvolver os projetos (custo de hardware, software, linhas de

comunicação, treinamento, etc.), e Cronograma financeiro com as etapas de desembolso mês a mês, durante a fase de desenvolvimento do projeto.



Almir Neto Página 13 de 49Auditoria de

Sistema de Informação


PLANEJAMENTO DA AUDITORIA

Materialidade, Relevância e Criticidade7

As variáveis básicas a serem utilizadas pela Unidade de Auditoria Interna em seuprocesso de planificação dos trabalhos são:

Materialidade

Relevância

Criticidade

Formar Equipe de Trabalho

Consiste na formação de equipes de trabalho denominadas grupos de coordenação e de execução

Formar equipe de trabalho

Formar grupo de Coordenação

7 A materialidade refere-se ao montante de recursos orçamentários ou financeiros alocados por uma gestão, em um específico ponto de controle (unidade organizacional, sistema, área, processo de trabalho, programa de governo ou ação) objeto dos exames pelos empregados auditores internos. Essa abordagem leva em consideração o caráter relativo dos valores envolvidos.

A relevância significa a importância relativa ou papel desempenhado por uma determinada questão, situação ou unidade organizacional, existentes em um dado contexto.

A criticidade representa o quadro de situações críticas efetivas ou potenciais a ser controlado, identificadas em uma determinada unidade organizacional ou programa de governo. Trata-se da composição dos elementos referenciais de vulnerabilidade, das fraquezas, dos pontos de controle com riscos operacionais latentes, etc.

Deve-se levar em consideração o valor relativo de cada situação indesejada. A criticidade é ainda, a condição imprópria, por não conformidade às normas internas, por ineficácia ou por ineficiência, de uma situação de gestão. Expressa a não-aderência normativa e os riscos potenciais a que estão sujeitos os recursos utilizados. Representa o perfil organizado, por área, dos pontos fracos de uma organização.



o Escolher Gerente do projeto

o Escolher Gerente de Auditoria ao nível de usuário a analista

o Escolher Supervisor do projeto

Formar grupo de execução

Escolher Auditores e Técnicos da área de sistemas de informação

Elaborar o Cronograma de Execução

Definir escopo inicial

Elaborar Planilha/Gráfico de Gant { Etapa - Quantidade - Duração - Início - Fim}

Levantar recursos tecnológicos, materiais e humanos

Definir as necessidades de recursos humanos, tecnológicos, materiais e financeiros para desenvolvimento do projeto

Dimensionar os recursos em função da abrangência e delimitação do sistema a ser auditado.

Estabelecer normas e procedimentos para o projeto.

Normas e Padrões que se aplicam à auditoria de SI

Normas Brasileiras de Contabilidade - CFC8

NBC T 11.12 – PROCESSAMENTO ELETRÔNICO DE DADOS – PED Resolução CFC nº 1.029/05

8 O Conselho Federal de Contabilidade – CFC emitiu em 24 de julho de 2005 a NBCT 11.12 que se refere ao processamento eletrônico de dados – PED. A referida norma contempla temas relacionados à capacidade e competência, planejamento dos trabalhos, avaliações de risco e procedimentos de auditoria.



Estabelece procedimentos e critérios a serem seguidos quando uma auditoria é conduzida em um ambiente de PED.

Pressupõe-se que existe um ambiente de PED quando um computador de qualquer tipo ou tamanho é utilizado pela entidade no processamento de informações contábeis de relevância para a auditoria.

ISACA "Information Systems Audit and Control Association" -

“Associação de Auditoria e Controle de Sistema de Informação

"Organização líder de Profissionais de Auditoria de Sistema de Controle em TI"

Desenvolver e disseminar padrões de auditoria de SI - [é uma das metas da ICASA]

Padrão de Auditoria de SI

Código de Auditoria – Doc #S1

o O objetivo, a responsabilidade, autoridade e prestação de contas quanto à função de auditoria de sistemas de informação ou à designação de tarefas de auditoria de sistemas de informação devem ser propriamente documentados em um código de auditoria ou carta de compromisso.

o O código de auditoria ou carta de compromisso devem ser acordados e aprovados em um nível adequado dentro das organizações.

Independência - Doc. #S2

o Independência profissional Em todos os aspectos relacionados à auditoria, o auditor de SI

deve ser independente do auditado, tanto em relação à atitude quanto à aparência.

o Independência organizacional A função de auditoria de SI deve ser independente da área ou

atividade que está sendo revista para permitir a conclusão do objetivo da tarefa de auditoria.



Ética e Padrões Profissionais - Doc #S3

o O auditor de SI deve seguir o Código ISACA de ética profissional.o O auditor de SI deve agir com o devido zelo profissional e observar os

padrões de auditoria profissional aplicáveis.

Competência Profissional - Doc. #S4

o O auditor de SI deve ser profissionalmente competente, tendo as habilidades e o conhecimento para conduzir a tarefa de auditoria.

o O auditor de SI deve manter a competência profissional por meio de educação e treinamento profissionais apropriados e contínuos.

Planejamento - Doc. #S5

o O auditor de SI deve planejar a cobertura da auditoria de sistemas de informações para identificar os objetivos da auditoria e cumprir as leis e os padrões de auditoria profissional aplicáveis.

o O auditor de SI deve desenvolver e documentar uma abordagem de auditoria com base nos riscos.

o O auditor de SI deve desenvolver e documentar um plano de auditoria detalhando sua natureza e objetivos, programação e extensão e recursos necessários para a mesma.

o O auditor de SI deve desenvolver um programa e procedimentos de auditoria.

Desempenho do Trabalho de Auditoria - Doc. #S6

o Supervisão: a equipe de auditoria de SI deve ser supervisionada para fornecer garantia razoável de que os objetivos da auditoria estão sendo atingidos e que os padrões de auditoria profissional aplicáveis estão sendo seguidos.

o Evidência: durante o curso da auditoria, o auditor de SI deve obter evidência suficiente, confiável e relevante para atingir os objetivos da auditoria. Os resultados e as conclusões da auditoria devem ser suportados pela análise e interpretação apropriadas dessa evidência.

o Documentação: o processo de auditoria deve ser documentado, descrevendo o trabalho de auditoria e a evidência de auditoria que suporta os resultados e as conclusões do auditor.

Relatórios - Doc. #S7

o O auditor de SI deve fornecer um relatório, em um formulário apropriado, na conclusão da auditoria. O relatório deve identificar a organização, os destinatários pretendidos e todas as restrições de circulação.

o O relatório de auditoria deve informar o escopo, os objetivos, o período



de cobertura e a natureza, a programação e a extensão do trabalho executado na auditoria.

o O relatório deve informar os resultados, as conclusões e recomendações e quaisquer reservas, qualificações ou limitações do escopo apresentadas pelo auditor de SI com relação à auditoria.

o O auditor de SI deve possuir evidência de auditoria suficiente e apropriada para suportar os resultados relatados.

o Quando emitido, o relatório do auditor de SI deve ser assinado, datado e distribuído de acordo com os termos do código de auditoria ou da carta de compromisso.

Atividades de Acompanhamento - Doc. #S8

o Após o relatório de resultados e recomendações, o auditor de SI deve solicitar e avaliar informações relevantes para concluir se a ação apropriada foi tomada pela gerência de maneira oportuna.

Evidência de Auditoria - Doc S14

o O auditor de SI deve obter evidência de auditoria suficiente e apropriada para tirar conclusões razoáveis sobre em que basear os resultados de auditoria.

o O auditor de SI deve avaliar a suficiência da evidência de auditoria obtida durante a auditoria.

Outros. www.isaca.org

A estrutura para os padrões de auditoria de SI apresenta diversos níveis de orientação

Padrões

Definem requisitos obrigatórios para auditoria e relatório de SI

Diretrizes

Fornecem orientação para a aplicação dos Padrões de auditoria de SI.


http://www.isaca.org/


Procedimentos

Fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realização de uma auditoria.

Certificações

Os auditores certificados se adéquam a esses procedimentos sob pena de investigação de conduta

Certificação ISACA - CISA - Certified Information Systems Auditor [Auditor Certificado em Sistemas de Informação]Certificação IIA - The Institute of Internal Auditors CIA [Certified Internal Auditor)

COBIT "Control OBjectives for Information and related Technology"

"Objetivos de Controles relacionados ao uso de Tecnologia da Informação - COBIT"

Guia de Gestão de TI

Guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org)O COBIT fornece um conjunto detalhado de controles e técnicas de controle para o ambiente de gerenciamento de SI

COSO "Committee of Sponsoring Organizations of the Treadway Commission"

"Comitê das Organizações Patrocinadoras"

[AICPA - AAA - FEI - IIA - IMA]9 [Entidades ligadas à área financeira dos EUA.

9 AICPA – (Instituto Americano de Contadores Públicos CertificadosAAA – (Associação Americana de Contadores)FEI – (Executivos Financeiros Internacional)IIA – (Instituto dos Auditores Internos)IMA - (Instituto dos Contadores Gerenciais)



AUDIBRA - Instituto dos Auditores do Brasil está ligada à IIA

Entidade, sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos Controles Interno e governança corporativa".10

Modelo de Trabalho - COSO

Controle Interno – Definição

Processo, desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da organização, nas seguintes categorias:

Eficiência e efetividade operacional (objetivos de desempenho ou estratégia): esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade dos ativos;

Confiança nos registros contábeis/financeiros (objetivos de informação): todas as transações devem ser registradas, todos os registros devem refletir transações reais, consignadas pelos valores e enquadramentos corretos;

Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à entidade e sua área de atuação.

Elementos do controle - [constituído de (5) cinco elementos]

1 - Ambiente de Controle

Postura determinante da alta administraçãoClareza nas políticas, procedimentos, código de ética, código de conduta a serem adotados

2 - Avaliação e Gerenciamento dos Riscos

10 Governança Corporativa é o conjunto de mecanismos que protegem os investidores da expropriação pelos internos (gestores, acionistas e controladores)



Identificação e análise dos riscos associados ao não cumprimento das metas e, ...

objetivos operacionais, de informação e de conformidade

Ação proativa que permite evitar surpresas desagradáveis

3 - Atividade de Controle

Atividades que, quando executadas a tempo e maneira adequados, permitem a redução ou administração dos riscos

Principais atividades de controle

Prevenção -

Busca evitar que fatos indesejáveis ocorram

Alçadas

São os limites determinados a um funcionário, quanto a possibilidade de aprovar valores ou assumir posições

Autorização

A administração determina as atividades e transações que necessitam de aprovação de um supervisor

Segregação de Funções



Separar funções - Contabilidade e conciliação, informação e autorização, custódia e inventário

Contratação e pagamento, administração de recursos, normatização, gerenciamento de riscos, fiscalização (auditoria) devem estar segregadas entre funcionários

Normatização Interna

Definição, de maneira formal, das regras internas necessárias ao funcionamento da organização

Detecção

Para detectar e corrigir fatos indesejáveis já ocorridos

Conciliação

Confrontação da mesma informação com dados vindos de bases diferentes adotando ações corretivas quando necessário

Revisões de desempenho

Acompanhamento de uma atividade ou processo, para avaliação de sua adequação e/ou desempenho em relação as metas, aos objetivos traçados e aos benchmarks

Prevenção e Detecção

Segurança física



Os valores de uma entidade devem ser protegidos contra uso, compra ou venda não autorizados

Sistemas Informatizados

Controles feitos através de sistemas informatizados dividem-se em dois tipos

Controles gerais

Controles nos centros de processamentos de dados e controles na aquisiçãoDesenvolvimento e manutenção de programas e sistemas

Controle de aplicativos

Controles existentes nos aplicativos corporativos, que têm a finalidade de garantir a integridade e veracidade dos dados e transações

4 - Informação e Comunicação

Informações sobre planos, ambiente de controle, riscos, atividade de controle e desempenho

Devem ser transmitidas à toda entidadeÉ importante para obtenção das informações necessárias à identificação de riscos de oportunidades

Processo formal



Acontece através dos sistemas internos de comunicação, sistemas computacionais e reuniões de equipes de trabalho

Sistemas computacionais, reuniões de equipes de trabalho

Processo informal

Ocorre em conversas e encontros - clientes, fornecedores, autoridades e funcionários

Avaliação da qualidade dos sistemas e fluxos das informações

Perguntas

A dependência consegue a informação que necessita de maneira prática e tempestiva?

A dependência tem conseguido obter as informações importantes pra avaliação dos riscos internos e externos?

A dependência tem conseguido obter informações de desempenho, informações que permitem saber se os objetivos estão sendo atingidos?

A dependência identifica, captura, processa e comunica as informações necessárias a seus clientes e fornecedores em tempo hábil?

5 - Monitoramento

É a avaliação dos controles internos ao longo do tempo.Ele é o melhor indicador para saber se os controles internos estão sendo efetivos ou não.



O monitoramento é feito através do acompanhamento contínuo das atividades, quanto por avaliações pontuais, tais como auto-avaliação, revisões eventuais e auditoria internaA função do monitoramento é verificar se os controles internos são adequados e efetivos.

Controle adequado é aquele em que os cinco elementos do controle estão presentes e funcionando conforme planejado.

Controle são eficientes quando a alta administração tem uma razoável certeza:

Do grau de atingimento dos objetivos operacionais De que as informações fornecidas pelos relatórios e

sistemas corporativos são confiáveis; e Leis, regulamentos e normas pertinentes estão

sendo cumpridos.

Aprovar projeto pela alta administração

Obter aprovação da alta administração

Apresentar um memorando de planejamento de auditoria de sistemas

Introdução Escopo dos trabalhos Administração de considerações Estimativa de Horas



A U D I T O R I A D E P O S I Ç Ã O

[PRIMEIRA FASE]

1 - LEVANTAMENTO DO SISTEMA A SER AUDITADO - (Nível Macro)

Revisão preliminar das informações organizacionais

Consiste em obter informações através da análise das documentações do sistema

O primeiro passo é definir o OBJETIVO a ser auditado

Identificar e definir os riscos do sistema a ser auditado.

Com o objetivo e os riscos definidos:

Levantar o maior número de informações sobre os pontos

Quais são as metas traçadas para o objetivo que vai ser auditado Levante números que permitam uma medição clara e objetiva (valores,

quantidades, etc...) Quais são os sistemas e relatórios que permitirão o acompanhamento das

metas traçadas Quais as leis e normativos que regem o objetivo que vai ser auditado

Analisar documentação do sistema

Obter informações do sistema

Entrevistar analistas e usuários


Verificar a operação do sistema




Caracterizar o sistema de forma descritiva e/ou gráfica

Ferramentas de descrição gráfica para entendimento global do sistema a ser auditado e definir escopo da auditoria

Diagrama de Fluxo de dados "DFD" Dicionário de Dados "DD" Modelo de Entidade-Relacionamento "MER" Diagrama Hierárquico de funções "DHF"

2 - INVENTÁRIO E ELEIÇÃO DOS PONTOS DE CONTROLE

Estabelecimento da materialidade - Avaliação dos controles internos

Identificar e inventariar os pontos de controleIdentificar rotinas, arquivos, informações, módulos etc.

Obter evidências concretas em relação ao ponto de controle da trilha de auditoria11

Pontos de Controle de Sistema de Informação

"Podemos definir ponto de controle como uma "situação levantada" que merece ser validada pela auditoria"

Natureza do ponto de controle

Ponto de integração documentos de entrada de dados Ponto de integração arquivo de entrada Rotina operacional Rotina de controle Rotina operacional e de controle

11 "Trilha de auditoria" - rotinas de controle que permitem recuperar de forma inversa as informações processadas, através da reconstituição.

Rotinas específicas programadas nos sistemas para fornecerem informações de interesse da auditoria.

Conjunto cronológico de registros que proporcionam evidências do funcionamento do sistema. Estes registros podem ser utilizados para reconstruir, revisar e examinar transações desde a entrada de dados até a saída dos resultados finais, bem como para rastrear o uso di sistema, detectando e identificando usuários não autorizados



Arquivo interno Relatório e documento interno Ponto de integração relatório de saída Ponto de integração arquivo de saída

Pontos de controle podem ser definidos e identificados pelos:

documentos de entrada relatórios de saídas telas arquivos magnéticos rotinas e/ou programas de computador pontos de integração e demais elementos que compõem o sistema de

informação

Pontos de controle caracterizam-se por:

Etapas do processamento de transações

Processo

"Rotinas operacionais e/ou controle, procedimentos administrativos etc."

Captação de dados - [origem das transações] Codificação e entrada de dados - [entrada de dados] Transmissão Processamento - [processamento /interface] Armazenamento em meio magnético Recuperação de informação

Resultado

"Documentos, relatórios, arquivos, pontos de integração, estrutura lógica/física, modelo conceitual"

Apresentação e divulgação de informação - [emissão de relatórios]

Pontos de Controle em sistemas Batch12

No sistema Batch pode ser identificado os seguintes pontos de controle:

12 BATCH: é um processamento em lotes. É o modo de uso do computador. A tarefa é acumulada para posteriormente ser processada de uma só vez ou os dados relacionados a uma tarefa são agrupados em lotes e em cada vez que forem reunidas as informações e/ou que caracterizem o lote em questão será feito um processamento.



Documentos de entrada Rotina de preparação de dados Rotina de conversão e entrada de dados Rotina de crítica e consistência de dados Rotina de cálculo e atualização de arquivos Rotina de acerto de erros de Consistência e atualização Arquivo13 mestre Arquivo de transação Rotina de manutenção de arquivos Rotina de emissão de relatórios Rotina de controle de qualidade e de distribuição de relatórios Relatórios de saída

Pontos de controle em sistemas “on line real time”14

No sistema “on line real time”, podem ser identificados os seguintes pontos de controle:

Rotina de senha de autorização a acesso ao banco de dados

Rotina de transação e atualização de banco de dados, constituído de:

o Entrada de dadoso Crítica e consistência de dadoso Cálculo e atualização de banco de dados

Banco de dados15

13 Arquivo: Coleção organizada de informações, preparada para ser usada com finalidade específica e identificada por um nome.Todo sistema de computação manipula informações com certa regularidade. Essas informações são guardadas em discos ou fitas que são denominadas arquivo. Um exemplo, então, é um banco de dados que pode ser acessado pelo computador para que o usuário faça pesquisa e/ou consultas. Um arquivo pode ser visto como um conjunto de registros armazenados em memória auxiliar. Cada registro contém informações que, por sua vez, constituem-se de dados. Um dado sozinho pode ser definido como um fato isolado ou constitui uma informação que depende só dele. Campos são áreas que contêm os dados e que são representados por variáveis na memória. Caracteres, por sua vez, são os símbolos usados para campos de dados.14 ONLINE: é o método de tratamento de dados que age ao invés do BATCH. Neste caso, cada nova informação é passada ao sistema que atualiza o arquivo. Contudo, o processamento só será feito quando chegar a vez da tarefa correspondente "na fila de espera" e só então o resultado será devolvido ao usuário.

REALTIME: o processamento em tempo real é um tipo especial de ONLINE porque todo dado obtido é chamado ao sistema além de atualizar o arquivo, permite que o processamento seja feito na hora e em seguida o resultado é devolvido ao usuário. Exemplo: quando num terminal de um banco é requerido o depósito ou retirado, o novo saldo é processado instantaneamente. Não existe REALTIME sem ONLINE

15 Banco ou base de dados: Coleção de dados organizados. Conjunto de todas as informações armazenadas em um sistema de computação.

Grandes conjuntos de arquivos que contêm informações completas sobre determinado assunto recebem o nome de banco de dados. Esses banco são formados a partir de processamento BATCH e depois podem ser manipulados



Arquivo log16

Rotina de manutenção de banco de dados Rotina de consulta e/ou emissão de relatórios Telas de relatórios

Priorizar e selecionar os pontos de controle do ambiente ou sistema em auditoria

Eleger pontos de controle

Analisar o risco17 - [Levantamento de Riscos]

"Risco é a probabilidade de perda ou incerteza associada ao cumprimento de um objetivo"Verificar os riscos ao cumprimento de cada objetivo

Riscos operacionais:

Risco humano (erro não-intencional; qualificação; fraude); Risco de processo (modelagem; transação; conformidade; controle;

técnico) Risco tecnológico (equipamentos; sistemas; confiabilidade da

informação).

Identificar os riscos

através de métodos ONLINE, REALTIME e TELEPROCESSAMENTO. Para que a atualização possa ser feita através desses sistemas citados, os arquivos devem estar em disco pela vantagem da velocidade de acesso e, também, pela sua organização. Os bancos de dados são gerenciados por bases de dados. Exemplos: cadastro e movimento de contas bancárias, cadastro imobiliário, etc. existem 4 principais modelos de banco de dados: modelo relacional de entidades, modelo relacional, modelo em rede, modelo hierárquico.16 Log: arquivo em disco ou fita no qual são registrados todos os fatos relevantes relativos ao processamento de uma transação. Muito útil para a recuperação de informações para fins de auditoria ou recuperação de falhas.

O log é o diário de bordo do sistema. São registros de atividades no computador, geralmente são gravados em arquivos no formato texto, de forma abreviada e algumas são até codificadas, de qualquer forma a informação está lá, são registros de ocorrência que podem facilmente serem interpretados por quem conhece e lida com o sistema, pode acessar diretamente, converter para outros formatos, utilizar ferramentas amigáveis e técnicas que variam de acordo com o conhecimento de cada um.

17 Análise de risco é uma metodologia adotada pelos auditores de TI para saber, com antecedência, quais as ameaças puras ou prováveis em um ambiente de tecnologia de informação de uma organização. Essas ameaças puras, ou prováveis , constituem eventos futuros não desejáveis e incertos, cuja ocorrência resulta em perdas. IMONIANA (2005. P. 52)Risco: efeito latente resultante da exposição de uma sistema a uma situação à qual este é vulnerável.



Faça as perguntas para cada objetivo elencado, anotando as respostas que representam ameaças.

O que pode dar errado? Como e onde podemos falhar? O que deve dar certo? Onde somos vulneráveis? Quais ativos devemos proteger? Como podemos ser roubados ou furtados? Como poderiam interromper nossas operações? Como sabemos se nossos objetivos foram (ou não) alcançados? Quais informações são mais importantes? Onde gastamos mais dinheiro? Quais atividades são mais complexas? Quais atividades são mais regulamentadas? Quais são nossas maiores exposição ao risco legal?

Avaliar os riscos

Selecionar os riscos com maior probabilidade de ocorrência e que causem perdas, no caso de sua consumação.Anotar os riscos no quadro de risco, “Matriz de Risco”18 para cada objetivo.

Uma vez identificado os risco, avaliá-los, levando em conta os aspectos

Qual a probabilidade (freqüência) dos riscos ocorrerem? Em caso de ocorrer, qual seria o impacto nas operações,

considerando os aspectos quantitativos e qualitativos Identificar as ameaças prováveis pontuando em grau do menor para o

maior

18 A Matriz de Risco contém a pontuação correspondente ao risco de cada sistema/atividade analisada, de forma ordenada. Ela é obtida a partir da avaliação dos itens e fatores de risco relativos a cada atividade. A cada item se atribui uma pontuação cuja soma representa a importância do fator. Os fatores somados, por sua vez, representam a avaliação relativa ao risco do sistema, objeto da análise.

Ver mais sobre Análise de Risco em matéria específica sobre Gerenciamento de Risco.



Grau de Risco

1 – Muito fraco2 – Fraco3- Regular4 – Forte5 – Muito Forte

Selecionar pontos de controle

Selecionar em função do grau de risco existente no ponto em relação a todo o sistema

Selecionar pontos de controle para teste de validação

3 - REVISÃO E AVALIAÇÃO DOS PONTOS DE CONTROLE

Auditoria propriamente dita

Esta etapa consiste em executar testes de validação dos pontos de controle, segundo especificações de CI.

Auditar os pontos de controle eleitos.

Aplicar “técnicas de auditoria” 19 conforme parâmetros de Controle interno

Os pontos de controle selecionados são analisados sob o enfoque de um ou mais parâmetros ou especificações de CI.

19 Técnicas de Auditoria: As variadas metodologias usadas para auditar sistema de informação podem ser chamadas de técnicas. As mais utilizadas atualmente são:

Programas de computador Questionário Simulação de dados Visita in loco Mapeamento estatístico Rastreamento de programas Entrevista Análise de relatórios / telas Simulação paralela Análise de log / accounting Análise de programa fonte Exibição parcial de memórias snap shot



Para cada risco elencado, verificar quais são, em sua opinião, as atividades de controle, que se conduzida de maneira adequada, podem mitigar ou permitir o gerenciamento do risco.

Identificar quais, dos controles elencados, em sua opinião, são recomendados para o risco da análise

Parâmetros de Controle Interno - ATIVIDADES DE CONTROLE

Controle Interno Contábil

Fidelidade da informação em relação aos dados

Verificar se as saídas das informações de sistema estão corretas e são provenientes dos dados que originaram a entrada.

Segurança física

Consiste em avaliar os recursos humanos e materiais aplicados ao ambiente de SI. A validação dessa especificação é resultante do grau de segurança proporcionado aos recursos envolvidos no ambiente computadorizado.

Segurança lógica

Consiste em avaliar o nível de segurança e controles empregados com recursos tecnológicos nos processos de SI.

Consiste em revisar e avaliar todos os procedimentos operacionais e de controle para transformação dos dados em informação, abrangendo tanto o walk-truth (caminho verdade) quanto o audit-trail (trilha de auditoria)20

Confidencialidade

Representa o grau de sigilo que um SI consegue manter perante acessos de terceiros ou pessoas não autorizadas, para obter informações consideradas privativas.

Obediência à legislação em vigor

Consiste em verificar se os processos ou rotinas de SI estão sendo processados de acordo com as leis vigentes no país, Estado, Município e entidades externas responsáveis pelo estabelecimento de normas e procedimentos.

Controle Interno Administrativo

Eficácia

20 Enquanto o walk-truth é um caminho que contém rotinas operacionais, o audit-trail refere-se às rotinas de controle com os respectivos resultados que garantem a integridade e a correta transformação dos dados em informação.



A eficácia mede o nível de alcance das metas oriundas do planejamento da Organização, em um determinado período de tempo, independentemente dos custos incorridos na execução.

A eficácia do SI está vinculada ao atendimento adequado dos objetivos e necessidades da organização, através do seu recurso de TI.

Pode ser medido pelo grau de satisfação dos usuários finais.

Eficiência

Significa a relação entre produtos (bens ou serviços) gerados numa atividade ou processo e os custos dos insumos empregados, num determinado período de tempo. Se a unidade organizacional consegue obter mais produção para um determinado insumo, ela aumentou a eficiência; se consegue obter os mesmos produtos com menos insumos (dinheiro, pessoas e/ou equipamentos), foi eficiente.

Correlaciona-se com aumento do desempenho proporcionado pela melhoria de um processo. Representa a otimização dos recursos tecnológicos, humanos e materiais implicados a agilização do processo produtivo.

No Governo do Estado de Minas significa “Fazer mais com menos”

Obediência às diretrizes da alta administração

Refere-se ao cumprimento das normas e dos procedimentos determinados pelos diversos setores operacionais e administrativos da organização.

Técnicas de auditoria de sistemas

Execução dos procedimentos de auditoria e coleta de evidências

Verificar para cada atividade de controle "Parâmetro de Controle Interno"

Quais as atividades de controle que estão sendo cumpridas e estão sendo efetivas (efetivamente permitindo a mitigação/gerenciamento do risco)

Assinale "S" os casos em que os controles estão efetivosAssinale "N" para os casos em que não estão

Para os assinalamentos "N", elabore as perguntas para avaliar as ocorrências:

As perdas estão acontecendo? A probabilidade de o risco ocorrer é grande? Os gestores estão cientes destes riscos?



Método de Auditoria "ao redor" do computador

Consiste na analise comparativa dos dados de entrada e das informações de saída dos processos do computador

Não é apropriado para sistemas computadorizados sofisticados apropriados para onde a maior parte das atividades de rotina é executada manualmente

Verificação IN LOCO

Observação pessoal do auditor, das atividades e/ou instalação da área auditada.

Marcar, antecipadamente, a data e hora com a pessoa responsável que acompanhará as verificações, ou

Convocá-la no momento da verificação, caso o fator surpresa seja necessário.

Anotar os procedimentos, acontecimentos e outras situações observadas, ou

Caso necessário, elaborar uma representação gráfica da situação.

Anotar o nome completo das pessoas que prestaram depoimentos e respectiva data e hora.

Analisar e avaliar os resultados obtidos, caso necessário voltar ao início desse procedimento.

Questionário

Conjunto de perguntas que visam avaliar e validar um determinado ponto de controle componente de um SI.

Analisar o ponto de controle a ser auditado.

Elaborar questões, conforme o parâmetro de controle interno predeterminado.

Selecionar as pessoas que deverão responder ao questionário Elaborar um conjunto de instruções de como responder ao

questionário.

Distribuir o questionário para as pessoas selecionadas.

Controlar o recebimento ou não dos questionários respondidos. Analisar e avaliar os resultados obtidos; caso contrário voltar ao

início do processo.



Entrevista

Reunião entre o auditor de sistemas e pessoas envolvidas no ponto de controle a ser auditado

Analisar o ponto de controle a ser auditado e identificar as pessoas envolvidas

Elaborar "Chekclist" [ lista de verificação] ou roteiro para realização da entrevista

Marcar, antecipadamente, a data, hora e local com as pessoas que serão entrevistadas

Anotar as respostas e comentários dos entrevistados a cada questão apresentada

Elaborar um ata da reunião realizada, ressaltando os principais pontos discutidos

Analisar e avaliar os resultados obtidos, caso contrário voltar ao segundo item

Método de Auditoria "através" do computador

Consiste na identificação, análise e teste dos pontos de controle interno do SI, ao nível computadorizado.

Tracing, mapping e snapshot podem ser usada separadamente ou em conjunto de que esteja integrado no Sistema Operacional.

Técnicas de aplicação no método através do computador

Test-deck - (Simulação de dados)

Objetiva obter evidências materiais de que o sistema e seus controles estão operando conforme a documentação SI.[Necessita de conhecimentos em PED e procedimentos e controles de operação].

Verificar e testar os procedimentos contidos nos programas componentes do SI

Identificar e caracterizar o ponto de controle do sistema a ser auditadoEntender os procedimentos do ponto de controle do sistema, através da análise de sua documentação

Selecionar e determinar as rotinas dos programas do



sistema que será avaliadoPreparar os dados para teste de rotinas dos programas determinadosFazer conversão dos dados de teste para um meio computadorizado

Converter os dados de teste das rotinas dos programasAnalisar as informações obtidas na aplicação dos dados de teste e avaliação da operação das rotinas dos programas

Formar consenso para emissão de opinião quanto à validade das rotinas dos programasAvaliar o grau de controle interno do sistema, segundo objetivos traçados no início do trabalho.

Tracing

Objetiva rastrear as instruções do programa de computador, acionadas quando do processamento de uma transaçãoPossibilita seguir o caminho de uma transação durante o processamento do programaMostra quais instruções foram executadas e em que ordem

Mapping - (Mapeamento estatístico)

Objetiva fazer mapeamento estatístico das várias rotinas componentes do programa de computadorMostra a quantidade de utilização de determinadas rotinas em dado processamento e também as rotinas não utilizadas

Snapshot

Possibilita a visualização das partes da memória do computador que contém os elementos dos dados utilizados pelo processo de decisão, ao tempo em que a decisão é tomada

Análise de JOB ACCOUNTING/LOG

Arquivo de informação que tabulado adequadamente, serve para caracterizar e analisar a utilização do computador ao nível de programas e arquivos de SI



Método de Auditoria "com" computador

Consiste no uso do computador para verificar e testar os dados processados pelo SI computadorizado

Proporciona maior perfeição que os métodos "ao redor" e "através" [compila os processos]

Utiliza as capacidades lógicas e aritméticas do computador para verificar cálculos das transações econômicas e financeiras;Utiliza as capacidades de cálculos estatísticos e de geração de amostras que facilita a confirmação de saldos necessários para aferir a integridade de dados de contas a receber, estoques imobilizados e outros;Utiliza a capacidade de edição e classificação do sistema computadorizado a fim de selecionar os registros contábeis;Utiliza as capacidades matemáticas do computador para analisar e fornecer listas de amostras de auditoria.

Facilidade de uso dessa abordagem

Capacidade de auditoria de aplicar "Técnicas de Auditoria Assistida por Computador - (TAAC)"Possibilidade de desenvolver programas específicos para serem usados pelo auditor quando necessárioGanho de tempo sobre os passos aplicados com o uso de pacote generalizado de auditoria de TI

Ferramentas21 de Auditoria de Sistemas

Auxiliam na extração, sorteio, seleção de dados e transações, atentando para discrepâncias e desvios.

Software generalista de auditoria de TI

Conjunto de programas em ambiente batch, que pode processar, além de fazer simulação paralela, funções de auditoria e nos formatos que o auditor desejar.

21 Ferramentas de Auditoria : As ferramentas normalmente auxiliam na extração, sorteio, seleção de dados e transições , atentando para as discrepância e desvios.



ACL (Audit Command Language)

Software para extração e análise de dados desenvolvido no Canadá.

IDEA (Interactive Data Extraction & Analysis)

Software para extração e análise de dados também desenvolvido no Canadá

Audimation

É versão Americana de IDEA, da Caseware-IDEA que desenvolve consultoria e dá suporte sobre o produto

Galileo

É um software integrado de gestão de auditoria inclui sistema de planejamento e monitoramento de recursos, controle de horas, registros de checklists e programas de auditoria, inclusive de desenho e gerenciamento de planos

Pentana

Software de planejamento estratégico de auditoria,Sistema de planejamento e monitoramento de recursos, controle de horas, registros de checklists e programas de auditoria, inclusive de desenho e gerenciamento de plano de ação

Software especialistas de auditoria

Programas desenvolvidos especificamente para executar certas tarefas numa circunstância definida.



Resultado do exame efetuado nos parâmetros de controle interno - [Validação22 ou detecção de fraquezas]

Papel de Trabalho - Elaboração do PT23

Papel de Trabalho constituem um conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas, com seus anexos que evidenciam os fatos relatados; se esses anexos forem provas documentais, podem ser escaneados para serem documentados eletronicamente.

Os papéis de trabalho podem ser em papel, fitas, discos, disquetes, CD, filmes ou outros suportes. Se os papéis de trabalho de auditoria forem em suporte diverso do papel, deve-se providenciar a obtenção de cópias de segurança.

É com base nos papéis de trabalho que o auditor interno irá relatar suas conclusões.

Não serão reportados em relatório ou nota técnica, conforme o caso, assuntos desprovidos de suporte comprobatório em papéis de trabalho, caso contrário, constituir-se- á em grave imperícia técnica.

Os papéis de trabalho constituem a prova de validade dos exames efetuados e, conseqüentemente, do relatório respectivo, e devem possuir os seguintes atributos:

a) Abrangência;

b) Objetividade;

c) Clareza;

d) Limpeza.

Validar o ponto de controle

Fazer teste24 de validação dos pontos de controle

22 Validação: processo de avaliação de um sistema ou componente durante ou ao final do processo de desenvolvimento, para determinar se este satisfaz os requerimentos especificados;Processo de verificação dos dados de entrada de uma aplicação.23 Os papeis de trabalhos, independentemente de seu enfoque ser sistêmico ou manual, devem ser auto-suficientes e não necessitar, subseqüentemente de explicações verbais adicionais do preparador a fim de trabalhar a metodologia adotada.24 Teste: execução de um programa, processo ou rotina com intuito de identificar suas falhas.



O teste de validação resulta em diversos documentos comprobatórios que serão utilizados para avaliação do Controle Interno.Esses elementos deverão servir de evidência para demonstrar a fraqueza detectada no respectivo teste

Teste de validação

Um teste é validado através da comprovação de todas as suas variáveis, análise e comprovação de todas as variáveis possíveis que façam com que dê certo ou não.

As situações encontradas no ponto de controle podem ser [sim (S) / não (N)]

Espécies de testes que caracterizam os procedimentos de auditoria:

Testes de observância (também denominados de aderência ou de conformidade)

Objetiva proporcionar ao auditor razoável segurança quanto à efetiva utilização dos procedimentos de CIOs questionários de Avaliação dos Controles Internos - QACI são ferramentas adequadas para este teste

Testes substantivos

São procedimentos que objetivam obter evidências que corroboram a validade e propriedade dos atos e fatos administrativos assegurando razoável grau de certeza quanto à conformidade ou existência de impropriedades

Classificação dos testes substantivos

Circularização (confirmação, junto a terceiros, de fatos alegados pelo auditado) Verificação física (in loco, com registro fotográfico, se possível); Conciliações (confronto de registros de fontes diferenciadas); Exame dos registros; Análise documental; Conferência de cálculos;



Entrevistas (indagação escrita ou oral); Corte das operações (cut-off); Rastreamento;Teste laboratorial.

Detectado fraqueza no ponto de controle "Sim"

Ponto de controle com fraqueza se transforma em ponto de auditoria

Tipos de fraqueza de controle interno

Erros por motivo de falta de conhecimentoErros pro motivo de competênciaErros por motivo de negligênciaOmissões ou faltaDuplicidadesPerdas e extraviosAcidentesFraudesOutros

Ponto de Auditoria

A detecção de falhas de "CI" implica na necessidade de fazer recomendações com alternativas de soluções

Evidências

É a informação que o auditor precisa obter e registrar, na minuta do relatório, suas considerações também denominadas achados de auditoria, as quais servirão para a sustentação das conclusões

As conclusões somente se justificam se amparadas pelo suporte de evidências

Devem atender a determinados requisitos/atributos de validade



Ser suficientes (permitir a terceiros que cheguem às mesmas conclusões do auditor interno);

Ser relevantes ou pertinentes; Ser adequadas ou fidedignas (obtidas

mediante a aplicação de um procedimento aceito profissionalmente).

Emitir relatório de fraquezas de controle interno

Caracterização da fraqueza de controle interno no relatório de fraqueza

Nome do ponto de controle auditado Documentação comprobatória -

evidência documental Descrição do tipo de fraqueza Alternativa de solução recomendada

Não detectado fraqueza ou falha no ponto de controle "Não"

Está dentro das especificações de controle interno



4 CONCLUSÃO

Elaborar relatório final de auditoria e documentação do sistema auditado - [Análise e conclusão]

Emitir Relatório de Auditoria com caracterização dos pontos de auditoria - [Confecção/emissão de relatório]

ObjetivosTrabalhos realizadosPontos de controle que apresentaram fraquezas de controle internoConsiderações gerais]Opinião e/ou parecer

Relatório detalhado25

O auditor pode apresentar um relatório com níveis de detalhes.

Modelo de um relatório detalhado sobre revisão de um procedimento de controle:

a) Os objetivos de controles que foram testados

o “As autorizações de acesso para aprovação de horas extras são restritas aos supervisores e gerentes do Departamento, que têm suas responsabilidades definidas para tais tarefas?”

b) As conclusões alcançadas após os testes

o “Os usuários não têm somente acessos que necessitam para execução de suas tarefas nos sistemas de Folha de Pagamento, podendo acessar as funções incompatíveis.”

c) Identificação dos pontos de controles atenuantes que mitigam os riscos ou não;

o “Sim. Há controles independentes que atenuam os riscos, visto que os gerentes das áreas dão “Ok” mensalmente às quantidades de horas extras pagas nos seus departamentos.”

d) Descrição dos procedimentos de testes dos controles;

o “Entrevistamos a Sra. A.C.F (usuário máster), observamos os procedimentos de inclusão de horas extras e reexecutamos os

25 Imoniana, Joshua Onome. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005. Pag. 196,197.



procedimentos de inclusão de horas extras no dia dd/mm/aaaa.”

e) Resultados dos testes;

o “Selecionamos as funções de inclusão de horas extras para testes, atentando para as segregações de funções e identificação das pessoas que têm a real necessidade à função HREXT01. Notamos que todos os funcionários do departamento de recursos humanos e de pessoal que acessam o Sistema de Gestão de Pessoas têm acesso para atualizar horas extras. Adicionalmente, simulamos a inclusão de horas extras para certos funcionários selecionados aleatoriamente e as inclusões foram efetivadas com sucesso.”

f) Achados e/ou observações;

o “Todos os usuários do sistema de gestão de pessoas (departamentos de recursos humanos e pessoal) podem ter acesso para atualizar horas extras dos funcionários sem adequada autorização.”

g) Julgamento da relevância dos achados;

o “Com a permissão indevida para atualização de horas extras, os funcionários mal intencionados poderiam praticar atos fraudulentos junto com seus colegas de serviços.”

h) Recomendações;

o “Revisar os privilégios de acessos dados aos funcionários de recursos humanos e do departamento de pessoal com vista à restrição de acesso somente a pessoas que têm real necessidade de acessar a função.”

i) Concordância ou não da gerência;

o “Concordamos plenamente com as observações.”

j) Resposta da gerência.

o “Já solicitei à Sra. A.C.F. – Supervisora (usuário máster do sistema) restringir acessos somente a gerentes de setores que têm responsabilidade sobre horas extras permitidas. Isso será feito até o final de mm/aaaa. Sr. J.B. – Gerente do Departamento de Gestão de Pessoas.”



A U D I T O R I A D E A C O M P A N H A M E N T O

[SEGUNDA FASE]

ACOMPANHAMENTO DA AUDITORIA

Implementação da solução recomendada no relatório de auditoria

Revisar e avaliar (Corrigir e acertar os pontos de auditoria apresentados no relatório de auditoria)

Realizar "follow-up" (Acompanhamento) dos pontos de controle que apresentaram deficiências.

Identificar se os problemas foram resolvidos; Identificar se medidas estão sendo adotadas para eliminar as deficiências

apontadas na auditoria de posição; Adequar e atualizar as recomendações em face de novas realidades

tecnológicas e de mudanças; Avaliar o comprometimento da administração frente aos parâmetros de

controle interno determinados no início do projeto de trabalho.

Monitoramento

Avaliar o comprometimento da administração frente aos parâmetros de "CI" determinados no início do projeto de auditoria.

Assegurar a qualidade do sistema de informação auditado

Gerenciar indicadores de auditoria

Indicadores de produtividade Indicadores de desempenho Indicadores de qualidade



REFERÊNCIAS BIBLIOGRÁFICAS:

SCHMIDT, Paulo. et al. Fundamentos de auditoria de sistemas. São Paulo: Atlas, 2006

IMONIANA, Joshua Onome. Auditoria de sistemas de informação. São Paulo: Atlas, 2005

ARIMA, Carlos Hideo. Metodologia de auditoria de sistemas. São Paulo: Érica, 1994

BRASIL. Tribunal de Contas da União. Manual de auditoria de sistemas. Brasília: TCU, Secretaria de

Auditoria e Inspeções, 1998. http://www.tcu.gov.br/SAUDI/Download/AuditSistemas.doc

GOVERNO DE MINAS. AUDITORIA GERAL DO ESTADO – AUGE. SIGA Sistema de informações gerenciais de auditoria.

Manual de Operação. Módulo I. SINAU – Sistema Informatizado de Indicadores de Auditoria. Belo Horizonte, 2007.

(AIGE IN n° 001 de 04 de junho de 2007)

Information Systems Audit and Control Association. Padrão de Auditoria de SI Relatórios. Disponível em:

http://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/

7.ReportingStandard_PB.pdf. Acesso em 29/01/2008

Information Systems Audit and Control Association. Padrão de Auditoria de SI Atividades de Acompanhamento.

Disponível: em www.isaca.org/.../Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/

7.ReportingStandard_PB.pdf acesso em 29/01/2008

Information Systems Audit and Control Association. Padrão de Auditoria de SI. Independência. Disponível em http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=7290. Acesso em 29/01/2008

Information Systems Audit and Control Association Padrão de Auditoria de SI Ética e Padrões Profissionais.

http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/

ContentDisplay.cfm&ContentFileID=7291 acesso em 29/01/2008

Information Systems Audit and Control Association Padrão de Auditoria de SI. Desempenho do Trabalho de Auditoria.

Disponível em:

http://www.itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/

ContentDisplay.cfm&ContentFileID=7294. Acesso em 29/01/2008

Information Systems Audit and Control Association Padrão de Auditoria de SI. Competência Profissional. Disponível

em:



Information Systems Audit and Control Association Padrão de Auditoria de SI. Código de Auditoria. Disponível em:




http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=7289




http://www.itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=7294

http://www.itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=7294





http://www.isaca.org/.../Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_PB.pdf%20acesso%20em%2029/01/2008

http://www.isaca.org/.../Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_PB.pdf%20acesso%20em%2029/01/2008

http://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_PB.pdf.%20Acesso%20em%2029/01/2008

http://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_PB.pdf.%20Acesso%20em%2029/01/2008

http://www.tcu.gov.br/SAUDI/Download/AuditSistemas.doc


Information Systems Audit and Control Association Padrão de Auditoria de SI. Planejamento. Disponível em:

http://itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/


IT Governance Institute, COBIT (Control Objectives for Information and related Technology) 3rd Edition, 2000, www.ITgovernance.org and www.isaca.org

CONSELHO FEDERAL DE CONTABILIDADE. Normas Brasileiras de Contabilidade. Resolução n. 1029/2005 - Conselho Federal de Contabilidade - Publicada no DOU de 06.07.05 - Normas Brasileiras de Contabilidade - NBC T 11.12 – Processamento Eletrônico de Dados. Disponível em: http://www.crcrs.org.br/resnormas/rescfc1029.PDF. Acesso em 29/01/2008.


http://www.crcrs.org.br/resnormas/rescfc1029.PDF

http://www.isaca.org/

http://itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=7293

http://itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=7293

Auditoria de Sistemas Informatizados

Documents

Transcript of Auditoria de Sistemas Informatizados