CURSO: ADMINISTRAO

DISCIPLINA: AUDITORIA E SEGURANA DE SISTEMAS

SUMRIO

I INTRODUO ........................................................................................................................... 3

II AUDITORIA DE SISTEMAS .................................................................................................. 5

III TCNICAS DE AUDITORIA .................................................................................................. 9

IV FERRAMENTAS DE AUDITORIA DE SISTEMAS ........................................................... 14

V AUDITORIA DO AMBIENTE COMPUTACIONAL ............................................................ 16

VI TCNICAS E PROCEDIMENTOS DE AVALIAO DOS CONTROLES DE

PROCESSAMENTO DE DADOS ............................................................................................... 26

VII GESTO DA AUDITORIA E GESTO DA INFORMTICA ........................................... 29

VIII AS TRANSFORMAES NA FUNO DA AUDITORIA ............................................ 33

IX O AMBIENTE FUTURO DA TECNOLOGIA DE INFORMTICA .................................. 35

3

I INTRODUO

1. A auditoria nas organizaes

2. Importncia da auditoria de sistemas

Altos investimentos das organizaes em sistemas computadorizados

Necessidade de garantir a segurana dos computadores e seus sistemas

Garantia do alcance da qualidade dos sistemas computadorizados

Auxiliar a organizao a avaliar e validar o ciclo administrativo

3. Dificuldades encontradas pela Auditoria de Sistemas na Empresa

Defasagem tecnolgica

Falta de bons profissionais

Falta de cultura da empresa

Tecnologia variada e abrangente

4. Necessidades na rea de auditoria de sistemas

Fortalecimento das tcnicas de auditoria de sistemas para atuao em ambientes computacionais complexos

Criao de metodologias de auditoria de sistemas

Estudo do custo / benefcio

Ampliao do campo de atuao da auditoria de sistemas

5. Papel do auditor de sistemas

Presidncia

Executiva

Auditoria de

Sistemas

Diretoria

Administrativa

Diretoria

Financeira

Diretoria de

Vendas

Diretoria de

Informtica

4

Validao do fluxo administrativo (planejamento, execuo e controle)

nfase nos processos computacionais

Comprovao da efetividade dos sistemas computadorizados

Garantia da segurana lgica e fsica e da confidencialidade dos sistemas

6. Etapas da atuao do auditor de sistemas

Compreenso do ambiente

Anlise do ambiente e determinao das situaes mais sensveis

Elaborao de uma massa de testes

Aplicao da massa de testes

Anlise das simulaes

Emisso da opinio quanto ao ambiente auditado

Debate com os profissionais da rea auditada para discusso das alternativas recomendadas

Acompanhamento da implantao da soluo proposta

Auditoria da soluo implantada

Novas auditorias no ambiente

7. Perfil do Auditor de Sistemas

Ser independente s reas a serem auditadas

Ter formao em auditoria de computao, conhecendo o ambiente a ser auditado

8. Treinamento do auditor de sistemas

Conceituao de Auditoria de Sistemas

Controle Interno

Momentos de atuao do Auditor de Sistemas

Produtos finais da Auditoria de Sistemas

Mecnica de implantao das recomendaes da auditoria

Postura do auditado durante a atuao da Auditoria de Sistemas.

9. Tendncias da Auditoria de Sistemas na Organizao

Criao de um profissional responsvel pela segurana da informao

Preocupao com a qualidade dos processos computadorizados criao do Analista de Segurana da Informao e do Analista de Qualidade da Informao.

5

II AUDITORIA DE SISTEMAS

1. Conceitos

Processamento Eletrnico de Dados: Hardware, Software e Teleprocessamento

Sistemas de Informao: Conjunto de recursos humanos, materiais, tecnolgicos e financeiros

combinados segundo uma sequncia lgica para transformar dados em informaes.

Auditoria de Sistemas: Validao e Avaliao do controle interno de sistemas de informao.

Ponto de Controle: Situao do ambiente computacional considerada pelo auditor como sendo de

interesse para validao e avaliao.

Controle Interno: Verificao e validao dos seguintes parmetros do Sistema de Informao:

Fidelidade da informao em relao ao dado

Segurana fsica

Segurana lgica

Confidencialidade

Obedincia legislao em vigor

Eficincia

Eficcia

Obedincia s polticas e s regras de negcio da organizao

Exemplos de parmetros de Controle Interno:

Para fidelidade da informao em relao ao dado:

AIC (Arquivos de Informaes de Controle);

AUDIT TRAIL (permite a monitorao do processamento dos dados);

Arquivos de erros de processamentos no corrigidos

Informaes do cdigo do arquivo gravadas no header

Para Segurana lgica:

Password do arquivo gravada no header

Informaes do relatrio de crtica ou de consistncia dos dados alimentados no sistema

Informaes de total gravadas no trailler do arquivo.

Para confidencialidade:

Rotina de criptografia de informaes sigilosas.

Exemplo do Ponto de Controle Programa de Atualizao :

Rotina operacional de atualizao do cadastro

Rotina de controle: incluso, excluso, alterao indevida do arquivo de movimento

Informao operacional: contedo do arquivo movimento anterior atualizao

Informaes de controle: contedo do arquivo de erros.

6

2. Organizao do trabalho da auditoria

Planejamento

1 Passo: Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do ambiente

computacional (fluxo de processamento, recursos humanos e materiais envolvidos, arquivos

processados, relatrios e telas produzidos).

2 Passo: Determinar os pontos de controle (processos crticos)

3 Passo: Definio dos objetivos da auditoria:

Tcnicas a serem aplicadas

Prazos de execuo

Custos de execuo

Nvel de tecnologia a ser utilizada

4 Passo: Estabelecimento de critrios para anlise de risco

5o. Passo: Anlise de Risco

Avaliar para cada ponto de controle o grau de risco apresentado para posterior hierarquizao:

Grau de Risco

1 Muito Fraco 2 Fraco 3 Regular 4 Forte 5 Muito forte

6 Passo: Hierarquizao dos pontos de controle

Definio da Equipe

1o. passo: Escolher a equipe.

Perfil e histrico profissional

Experincia na atividade

Conhecimentos especficos

Formao acadmica

Linguas estrangeiras

Disponibilidade para viagens, etc.

2o. passo: Programar a equipe

Gerar programas de trabalho

Selecionar procedimentos apropriados

7

Incluir novos procedimentos

Classificar trabalhos por visita

Orar tempo e registrar o real

3o. passo: Execuo dos trabalhos

Dividir as tarefas de acordo com a formaao, experincia e treinamento dos auditores

Efetuar superviso para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente

4o. passo: Reviso dos papis

Verificar pendncias e rever o papel de cada auditor para suprir as falhas encontradas

5o. passo: Avaliao da equipe

Avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e superao de fraquezas do auditor

Ter um sistema de avaliao de desempenho automatizado

Documentao do trabalho

Documentao de todo o processo de Auditoria de Sistemas a ser executado.

3. Produtos gerados pela Auditoria de sistemas:

Relatrio de fraquezas de controle interno

Certificado de controle interno

Relatrio de reduo de custos

Manual de auditoria do ambiente a ser auditado

Pastas contendo a documentao obtida pela Auditoria de Sistemas

3.1. Relatrio de Fraquezas de controle interno

Objetivo do projeto de auditoria

Pontos de controle auditados

Concluso alcanada a cada ponto de controle

Alternativas de soluo propostas

3.2. Certificado de Controle Interno Indica se o ambiente est em boa, razovel ou m condio em relao aos parmetros de

controle interno. Apresenta a opinio da auditoria em termos globais e sintticos.

3.3. Relatrio de reduo de custos

Tem por objetivo explicitar as economias financeiras a serem feitas com a adoo das

recomendaes efetuadas. Serve de base para a realizao das anlises de retorno de

investimento e do custo/beneficio da auditoria de auditoria de sistemas.

8

3.4. Manual da auditoria do ambiente auditado

Armazena o planejamento da auditoria, os pontos de controle testados e serve como

referncia para futuras auditorias. Compe-se de toa a documentao anterior j citada.

3.5. Pastas contendo a documentao da auditoria de sistemas

Ir conter toda a documentao do ambiente e dos trabalhos realizados como: relao de

programas, relao de arquivos do sistema, relao de relatrios e telas, fluxos, atas de

reunio, etc.

4. Apresentao dos resultados da auditoria alta administrao

Objetividade na transmisso dos resultados

Esclarecimento das discusses realizadas entre a auditoria e os auditados

Clareza nas recomendaes das alternativas de soluo

Coerncia da atuao da Auditoria

Apresentao da documentao gerada

Explicao do contedo de cada documento.

5. A funo do auditor de sistemas

Ter conhecimento das trs reas de conhecimento: Auditoria, Sistemas de Informao e Processamento Eletrnico de Dados

Treinamento constante e forte embasamento cultural

Ter conhecimentos bsicos de computao e de, no mnimo, uma linguagem de programao

Ter conhecimento do negcio da organizao

Ao auditar sistemas em operao conhecer:

Documentao de sistemas

Fluxogramao

Uma linguagem de programao

Ao auditar sistemas em desenvolvimento conhecer:

Metodologia de desenvolvimento de sistemas

Tcnicas de prototipao

Plano Diretor de Informtica

Ao auditar o Centro de Processamento de Dados conhecer:

Apurao de centros de custo de computao

Normas administrativo-tcnicas-operacionais

Funes e mecnica operacional da rea de computao

Contratos de software e hardware

9

III TCNICAS DE AUDITORIA

Programas de computador

Questionrios

Simulao de dados

Visita in loco

Mapeamento estatstico

Rastreamento de programas

Entrevista

Anlise de relatrios / telas

Simulao paralela

Anlise de log / accounting

Anlise do programa fonte

Exibio parcial da memria snap shot

1. Programas de computador

Correlaciona arquivos, tabula e analisa o contedo dos mesmos.

Passos

- Anlise do fluxo do sistema - Identificao do arquivo a ser auditado - Entrevista com o analista / usurio - Identificao do cdigo / layout do arquivo - Elaborao do programa para auditoria - Cpia do arquivo a ser auditado - Aplicao do programa de auditoria - Anlise dos resultados - Emisso de relatrios - Documentao

2. Questionrios distncia

Verifica a adequao do ponto de controle aos parmetros de controle interno (segurana fsica,

lgica, eficcia, eficincia, etc).

Analisa:

- Segurana em redes de computadores - Segurana do centro de computao - Eficincia no uso de recursos computacionais - Eficcia de sistemas aplicativos

10

Passos:

- Anlise do ponto de controle - Elaborao do questionrio - Seleo dos profissionais que iro responder o questionrio - Elaborao de instrues - Distribuio / remessa dos formulrios - Controle do recebimento pelo usurio - Anlise das respostas - Formao de opinio quanto s respostas - Elaborao do relatrio de auditoria

3. Simulao de dados (test deck)

Elaborao de massa de teste a ser submetida ao programa ou rotina

Deve prever as seguintes situaes:

- Transaes com campos invlidos - Transaes com valores nos limites - Transaes incompletas - Transaes incompatveis - Transaes em duplicidade

Passos:

- Compreenso da lgica do programa - Simulao dos dados (pertinentes ao teste a ser realizado) - Elaborao dos formulrios de controle - Transcrio dos dados para o computador - Preparao do ambiente de teste - Processamento do teste - Avaliao dos resultados - Emisso de opinio sobre o teste

4. Visita in loco

Consiste na atuao do pessoal de auditoria junto ao pessoal de sistemas e instalaes

Passos:

- Marcar data e hora para visita - Anotar procedimentos e acontecimentos - Anotar nomes das pessoas e data e hora das visitas

11

- Analisar a documentao obtida - Emitir opinio via relatrio

5. Mapeamento estatstico (mapping)

Permite verificar situaes como:

- Rotinas no utilizadas - Quantidade de vezes que cada rotina foi utilizada - Rotinas existentes em programas mas j desativadas - Rotinas mais utilizadas - Rotinas fraudulentas ou irregulares - Rotinas de controle

6. Rastreamento de programas

Possibilita seguir o caminho de uma transao durante o processamento do programa.

Objetiva identificar as inadequaes e ineficincia na lgica de um programa.

7. Entrevistas no ambiente computacional

Realizao de reunies entre o auditor e o auditado

Passos

- Analisar o ponto de controle - Planejar a reunio - Elaborar o questionrio da entrevista - Realizar a reunio - Elaborar ata da reunio - Analisar a entrevista - Emitir relatrio da auditoria

8. Anlise de relatrios / telas

Analisar relatrios e tela no que se refere a:

- Nvel de utilizao pelo usurio - Esquema de distribuio e nmero de vias - Grau de confidencialidade - Forma de utilizao de integrao com outras telas / relatrios - Padronizao dos layouts - Distribuio das informaes conforme layout

12

Passos:

- Relacionar telas e relatrios por usurio - Obter modelo ou cpia de todas as telas / relatrios - Elaborar um check-list para levantamento - Marcar data e hora para obter opnies dos usurios - Realizar entrevistas e anotar opinies - Analisar as respostas - Emitir opinio

Permite detectar:

- Relatrios e telas no mais utilizados - Layout inadequado - Distribuio indevida de vias - Confidencialidade no respeitada.

9. Simulao paralela

Elaborao de um programa de computador para simular as funes da rotina sob auditoria

Enquanto o test deck simula dados a simulao pararela simula a lgica do programa

Passos

- Identificao da rotina a ser auditada - Elaborao de programa com a mesma lgica - Preparao do ambiente - Aplicao da rotina - Elaborao de relatrio

Esta tcnica requer um grande conhecimento de computao

10. Anlise de log / accounting

Verifica o uso dos dispositivos componentes de uma configurao ou rede de computadores e do

software aplicativo.

Permite verificar:

- Ineficincia do uso do computador - Configurao do computador (dispositivos com folga ou sobrecarregados) - Determinao de erros de programa ou de operao - Uso de programas fraudulentos ou utilizao indevida - Tentativas de acesso indevidas.

13

Passos:

- Entevistar o pessoal de software bsico e Planejamento e Controle da Produo para entender o software / hardware existentes, layout do log accounting, etc.

- Decidir parmetros para utilizao do log/ accounting (tipos de verificao a serem feitas, perodo de tempo para auditoria, data do teste, etc).

- Aplicar o log / accounting - Analisar os resultados - Emitir opinio

Esta tcnica requer um grande conhecimento de computao

11. Anlise do programa fonte

Consiste na anlise visual do programa e na comparao da verso do objeto que est sendo

executado com o objeto resultante da ltima verso do programa fonte compilado.

Permite verificar.

- Se o programador cumpriu as normas de padronizao do cdigo (tabelas de rotinas, arquivos, programas).

- Qualidade de estruturao do programa fonte

Esta tcnica requer um grande conhecimento de computao

12. Snapshot

Tcnica que fornece uma listagem ou gravao do contedo do programa (acumuladores, chaves,

reas de armazenamento), quando determinado registro est sendo processado (dump parcial de

memria).

Necessita confeco de um software especfico.

14

IV FERRAMENTAS DE AUDITORIA DE SISTEMAS

Auxiliam na extrao, sorteio, seleo de dados e transaes, atentando para discrepncias e desvios.

1.Software generalista de auditoria de tecnologia da informao

Envolve o uso de software aplicativo em ambiente batch, que pode processar, alm de simulao paralela, uma variedade de funes de auditoria e nos formatos que o auditor

desejar.

Exemplos

ACL (Audit Command Language) : um software de extrao e anlise de dados desenvolvido no Canad;

IDEA (Interactiva Data Extraction & Analysis) software para extrao e anlise de dados tambm desenvolvido no Canad

Audimation: a verso norte-americana do IDEA, da Caseware-IDEA, que desenvolve consultoria e d suporte para o produto

Galileo: software integrado de gesto de auditoria. Inclui gesto de riscos de auditoria, documentao e emisso de relatrios para auditoria interna;

Pentana: software de planejamento estratgico da auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de

auditoria, inclusive de desenho e gerenciamento de plano de ao.

Vantagens:

Pode processar vrios arquivos ao mesmo tempo

Pode processar vrios tipos de arquivos com formatos diferentes, por exemplo EBCDIC ou ASCII

Poderia tambm fazer uma integrao sistmica com vrios tipos de softwares e hardwares

Reduz a dependncia do auditor do especialista de informtica para desenvolver aplicativos especficos para todos os auditores de sistemas de informao

Desvantagens:

Como o processamento das aplicaes envolve gravao de dados (arquivos) em separado para serem analisados, poucas aplicaes podem ser feitas em ambiente on-line

O software no consegue processar clculos complexos, pois como se trata de um sistema generalista, no aprofunda na lgica e na matemtica muito complexas

15

2.Softwares Especialistas de auditoria

Consiste em programa desenvolvido especificamente para certas tarefas em certas circunstncias

Vantagens:

Pode atender sistemas ou transaes no contempladas por softwares generalistas

O auditor, quando consegue desenvolver softwares especficos numa rea muito complexa, pode utilizar isso como vantagem competitiva

Desvantagens:

Pode ser muito caro, pois ter uso limitado e normalmente restrito a determinado cliente

Atualizao pode ser complicada devido a falta de recursos que acompanhem as novas tecnologias.

3.Programas utilitrios

O auditor utiliza softwares utilitrios para executar funes muito comuns de processamento, como sortear arquivo, sumarizar, concatenar, gerar relatrios. Pode

ser um EXCEL, ou recursos de bancos de dados como o SQL, Dbase2, etc.

Vantagem:

Pode ser utilizado como alternativa na ausncia de outros recuros

Desvantagem:

Sempre necessitar do auxlio do funcionrio da empresa auditada para operar a ferramenta (no caso de ferramentas complexas, como bancos de dados).

16

V AUDITORIA DO AMBIENTE COMPUTACIONAL

1. Auditoria de Sistemas em Operao 2. Auditoria de Sistemas em Desenvolvimento 3. Auditoria do Centro de Computao 4. Auditoria em ambiente de Microcomputadores 5. Auditoria em ambiente de Teleprocessamento e Bancos de Dados 6. Auditoria em segurana fsica e ambiental do Centro de Computao 7. Auditoria de segurana lgica e da confidencialidade 8. Auditoria do Plano Diretor de Informtica 9. Auditoria no ambiente de Inteligncia Artificial

1. Auditoria de Sistemas em Operao

Transformao de dados em informao

Captao e registro de dados

Converso de dados

Consistncia dos dados

Atualizao de arquivos

Armazenamento e recuperao de dados

Apresentao das informaes

Utilizao das informaes

Pontos de Controle auditados:

Anlise dos Relatrios Emitidos pelo Sistema

Parmetros avaliados:

Eficcia - Verifica o nvel de satisfao dos usurios com:

Natureza, correo e qualidade das informaes recebidas

Periodicidade e intensidade das informaes recebidas

Forma de apresentao da informao (sinttica / analtica) e distribuio do relatrio

Confidencialidade sigilo das informaes contidas no relatrio, distribuio e destruio fsica dos relatrios.

Segurana fsica falta de qualidade na distribuio dos relatrios (rasgados, sujos, faltando vias, etc...)

Anlise de Cadastro

Parmetros avaliados:

17

Segurana fsica Verifica cuidados com transporte, armazenagem e manuseio de dispositivos que contm os cadastros, contra calor, poeira, magnetismo, queda, etc.

Segurana lgica Verifica a existncia de pontos de controle tais como: somatrio de campos de valor, password, data de gravao e expirao do arquivo, hash total, quantidade

de registros

Eficincia Forma de organizao do arquivo; campos ou registros existentes no arquivo e que no so utilizados.

Outros pontos de controle: Rotinas de Atualizao, Programas de Clculo, Rotinas de Backup,

Documentao do Sistema.

Documentao utilizada: O DFD

O auditor necessitar de uma documentao do sistema e dever elaborar, caso no exista, um

DFD (Diagrama de Fluxo de Dados).

O DFD:

Obedece o esquema TOP DOWN

D prioridade representao de processos

Permite a representao grfica at o nvel de detalhamento desejado.

Os pontos de controle podem ser definidos em quaisquer um dos nveis, sendo mais aconselhvel

coloc-los no nvel mais baixo, para maior facilidade de entendimento.

Exemplo: DFD Contas Correntes Bancrio

Pontos de Controle:

1) Avisos de dbito e crdito que fluem entre a matriz e o ambiente externo / sistema de carteiras (nivel 1 ou mais detalhado no nvel 2).

2) Avisos de D/C que fluem entre a rea de operao do computador da matriz (processo 2.3) e o sistema de carteiras.

3) Subsistema de C/C on-line sendo processado na matriz (processo 2.3) e no Caixa/terminal on-line da agncia (processo 1.3).

Tcnicas mais utilizadas:

Questionrios, Visita in loco, Mapeamento estatstico (mapping), Entrevistas, Anlise de relatrios / telas

2. Auditoria no desenvolvimento de sistemas

Exige fortes conhecimentos de anlise de sistemas por parte do auditor.

necessrio que o auditor tenha atuado na auditoria de sistemas em operao antes de atuar na auditoria de sistemas em desenvolvimento.

O auditor de sistemas em desenvolvimento deve conhecer:

18

Uma metodologia de desenvolvimento de sistemas computadorizados, com suas etapas, tcnicas, formulrios e conceitos bem como o papel dos profissionais da

rea de sistemas

Uma metodologia de auditoria que delineie a conceituao e a forma de participao do auditor na elaborao do sistema em computador.

2.1. O ciclo de desenvolvimento de sistemas:

Inicializao do projeto

Estudo de viabilidade

Anlise da situao atual

Projeto lgico

Projeto fsico

Desenvolvimento e testes

Implantao

Administrao

Manuteno

O ciclo de vida do sistema pode ser extremamente longo ou extremamente curto. A auditoria de

sistemas ajuda a definir este perodo. Sistemas de microcomputadores costumam ter ciclo de vida

muito curto.

Participao da auditoria no ciclo de vida de um sistema:

Ciclo de

Desenvolvi-

mento

Mudanas no

ambiente

empresarial

Relatrios de

Auditoria do

Sistema em

Operao

Plano Diretor de

Informtica

Ciclo de

Operao

Relatrios de

Auditoria

Relatrios de

Auditoria

19

Profissionais que atuam no ciclo de desenvolvimento:

Lder de Projeto

Analista de Sistemas

Programador de Computador

reas de relacionamento da equipe de desenvolvimento:

Administrador de dados

Analista de Bancos de Dados

Analista de Software Bsico

Analista de Teleprocessamento

Analista de Segurana

Analista de Qualidade

Profissional do Centro de Informaes

2.2. Pontos de controle para auditoria de desenvolvimento de sistemas:

Processos:

Etapas do ciclo de desenvolvimento

Rotina operacional

Rotina de Controle

Resultados:

Documentao

Relatrios

Estrutura lgica

Estrutura fsica

Modelo de dados

Projeto de arquivos

Layouts de telas

Definio de programas

2.3 Anlise da Metodologia de Desenvolvimento de Sistemas:

Entendimento da metodologia atravs da documentao

Identificao dos pontos de controle:

Encadeamento lgico de idias

Objetivos de cada etapa

Tcnicas de anlise utilizadas

Produtos gerados

20

Responsabilidade pela execuo de cada etapa

Documentao exigida nas etapas de desenvolvimento

Qualidade de desenvolvimento do sistema

Avaliao da adequao dos equipamentos ao sistema

Emisso de opinio e debate com a equipe de computao

2.4. Anlise da documentao do desenvolvimento de sistemas

Entendimento das especificaes atravs da documentao

Identificao dos pontos fracos da documentao no que se refere a:

Objetivos do sistema

Anlise de custo / benefcio

Levantamento do sistema atual

Anteprojeto

Projeto lgico

Projeto fsico

Testes isolados e integrados

Programao

Implantao

Documentao geral

Analisar e avaliar os resultados obtidos emitindo o relatrio.

3. Auditoria do Centro de Computao

Deve abranger:

Instalaes

Profissionais que executam tarefas comuns a todos os aplicativos

Contratos de hardware e software

Equipamentos

Software bsico e de apoio

Redes de comunicao, para integrao local e remota

Procedimentos administrativos, tcnicos e gerenciais

Plano de integrao de tecnologia

3.1. Auditoria de Contratos de Hardware e Software

Auditar transaes de compra, venda, aluguel, leasing, seguros e manuteno de equipamentos, compra, locao e manuteno de software e seus contratos.

3.2. Auditoria de utilizao de hardware e software

21

Utiliza a tcnica de anlise de log / accounting, podendo tambm ser utilizadas as tcnicas de

entrevista e questionrios.

Utiliza indicadores que permitem:

Estabelecer critrios para treinamento de profissionais e usurios

Montar um PDI possvel de ser cumprido

Manter um oramento de hardware, software e pessoal equilibrado

Conduzir a inovao tecnolgica do ambiente

Estabelecer critrios de depreciao de equipamentos

Desclassificar fornecedores no idneos

Identificar a causa de mau uso de hardware e software

3.3. Auditoria de funes

Anlise de funes, estrudo do CPD e fluxo de informaes do ambiente

Assegurar a qualidade, o rendimento, a eficcia e a produtividade na rea sob auditoria;

Assegurar o aproveitamento da especializao, a maximizao dos recursos, o controle e a coordenao

Assegurar a adequao do fluxo de informaes entre os setores do CPD e os usurios

Tcnicas utilizadas: Questionrios, entrevistas, anlises de documentos/relatrios e telas.

3.4. Auditoria de Normas e Procedimentos

Assegurar a divulgao e o uso de informaes referentes a politica, diretrizes, organizao e servios de forma sistematizada, criteriosa e segmentada.

Assegurar o treinamento e a capacitao dos recursos humanos e o funcionamento do CPD.

Documentao das normas e procedimentos:

Informaes sobre o objetivo da normatizao

Facilidade de atualizao

Distribuio dos manuais

Padro esttico

Consistncia do contedo

Atualizao das informaes.

Tcnicas utilizadas: questionrios, visita in loco, entrevistas, anlise da documentao.

3.5. Auditoria dos custos de PED

Verificar os critrios para apurao de custos

Verificar os indicadores de custo apurados e sua evoluo histrica e comparao com o mercado

Verificar o esquema de anlise de custo vigente

Verificar as aes tomadas e as pendncias para minimizao de custos

22

Exemplos:

Custo de digitao de um pedido

Custo de utilizao de mquina por tem de estoque processado

Tcnicas utilizadas: entrevista, visita in loco, questionrios

4. Auditoria em ambiente de Microinformtica

Identificar inventrio de micros, localizao fsica, usurios, configurao, softwares, etc.

Identificar a poltica do Centro de Informao da empresa

Verificar tempo, natureza, segurana fisica, segurana lgica e confidencialidade no uso dos microcomputadores dentro da empresa.

Verificar integrao entre os micros

Verificar a documentao dos sistemas.

4.1. Auditoria do Centro de informao

Problemtica de relacionamento usurios X CPD :fila de espera para desenvolvimento de novas aplicaes, alto custo de desenvolvimento de pequenos projetos, custo de hardware

baixo X custo de software alto, etc.

Objetivo do Centro de informaes: acesso s informaes em tempo curto, prover ferramentas ao usurio, reduzir a carga de sistemas processados no mainframe, treinamento

de usurios, suporte ao desenvolvimento de aplicativos para microcomputadores, apoio

escolha de software para microcomputadores, orientao na utilizao dos micros na empresa.

Objetivo da auditoria:

Anlise das funes do CI

Avaliao das atividades de treinamento

Avaliao das atividades de controle de utilizao de hardware e software

Avaliao da estrutura do CI

Anlise de normas e procedimentos do CI (backup, linguagens de programao, utilizao de editores de texto, planilhas, documentao de programas, contratao de hardware e software,

atendimento aos usurios)

4.2. Auditoria dos microcomputadores e seus usurios

Envio de questionrios aos usurios para levantamento de dados de seu micro (hardware, software, interfaces, procedimentos de segurana, backup, etc)

Recebimento de respostas para levantamento de usurios que meream uma auditoria mais detalhada para detalhamento.

Tcnicas utilizadas: questionrios

23

5. Auditoria em ambiente de teleprocessamento e bancos de dados

O Banco de Dados deve conter as informaes a serem tratadas pelos sistemas aplicativos da

organizao, com os conceitos de unicidade do dado.

Aspectos importantes:

Existncia do administrador de dados

Existncia de um dicionrios de dados

Existencia de um SGBD

Existncia de um analista de banco de dados

Existncia de controle de acesso ao BD.

Problemas encontrados:

Leitura extrao de dados por entidade no autorizada

Alterao dos dados ou procedimentos de programas

Adio ou excluso de dados estranhos aos arquivos

Utilizao de equipamento ou software sem autorizao

Controles a serem verificados pelo auditor:

Verificao de password

Verificao da autorizao de acesso aos dados

Confirmao da digitao de dados antes da atualizao do BD

Verificao da integridade do Banco de Dados

Verificao da ltima transao processada versus a ltima transao recuperada no BD, quando da queda do sistema

Verificao de protocolos de arquivos (header e trailler)

Verificao dos protocolos de linhas

Verificao da utilizao de terminais.

Procedimentos de segurana:

Criao da funo de administrador de dados (descrio do BD, manuteno do dicionrio, monitoramento da utilizao do BD, controle de acesso, etc)

Segurana fsica dos terminais

Definir normas para uso de passwords

Tcnicas utilizadas: Questionrios, visita in loco, entrevistas

6. Auditoria da segurana fsica e ambiental do Centro de Computao

Infra-estrutura do Centro de computao (eltrica, hidrulica, ar condicionado, segurana contra fogo, inundao, etc)

Acesso fsico (porteiro, catraca, etc)

Segurana da rede de comunicao de dados

Segurana fisica de recursos humanos e materiais

Plano de contingncia

24

Tcnicas utilizadas: Questionrios, visita in loco, entrevistas.

7. Auditoria da segurana lgica e confidencialidade

Segurana lgica : modificao inadequada dos recursos tecnolgicos, informaes e softwares.

Confidencialidade: captao indevida dos recursos tecnolgicos, informaes e softwares.

Programas de crtica e consistncia : verificam integridade do dado e sua compatibilidade com as informaes contidas no cadastro

Programas de processamento: verificam a correo do funcionamento do sistema e a alimentao dos arquivos corretos

Programas de sada: evitam a passagem de informaes erradas aos usurios

8. Auditoria do Plano Diretor de Informtica (PDI)

Documentao que formaliza o planejamento estratgico de informtica para uma organizao:

Estabelece a filosofia de PED para a empresa

Define os objetivos e a estrutura da rea de informtica

Apresenta o plano de sistemas a serem desenvolvidos e mantidos

Estabelece critrios para aquisio de software e hardware

Define a necessidade de recursos humanos

Apresenta um oramento de custos na rea de informtica

Enumera os benefcios a serem alcanados e as restries previstas.

O auditor deve:

Discutir se os novos sistemas a serem desenvolvidos esto priorizados segundo a gravidade da fraqueza do controle interno

Acompanhar se os relatrios de auditoria serviram de base para a elaborao do PDI.

Verificar a adequabilidade do plano de sistemas as fraquezas detectadas pelo relatrio de auditoria

Acompanhar o cumprimento dos objetivos definidos para o PDI

Analisar a metodologia aplicada e o contedo do PDI

Avaliar a qualidade do planejamento do PDI.

9. Auditoria no ambiente de inteligncia artificial

Sistemas especialistas:

Novos conceitos de computao banco de dados do conhecimento, software de inferncia, software com regras de deciso (sistemas especialistas).

Aparecimento de duas novas funes: engenheiro do conhecimento (para estruturao dos sistemas especialistas de do software de inferncia) e especialistas (para alimentao do

bando de dados do conhecimento e criao das novas regras de deciso)

25

Desafios do auditor:

Dificuldade de manter a documentao atualizada

Constante mudana nos objetivos dos sistemas especialistas

Carter extremamente interativo de manuteno e uso do sistema especialista.

26

VI TCNICAS E PROCEDIMENTOS DE AVALIAO DOS CONTROLES DE

PROCESSAMENTO DE DADOS

1. Controles Gerais

Existem seis categorias de controles gerais que devem ser consideradas em auditorias:

controles organizacionais: polticas, procedimentos e estrutura organizacional estabelecidos para organizar as responsabilidades de todos os envolvidos nas atividades relacionadas rea

da informtica;

programa geral de segurana: oferece a estrutura para: (1) gerncia do risco, (2) desenvolvimento de polticas de segurana, (3) atribuio das responsabilidades de

segurana, e (3) superviso da adequao dos controles gerais da entidade;

continuidade do servio: controles que garantem que, na ocorrncia de eventos inesperados, as operaes crticas no sejam interrompidas, ou sejam imediatamente retomadas, e os dados

crticos sejam protegidos.

controles de software de sistema: limitam e supervisionam o acesso aos programas e arquivos crticos para o sistema, que controlam o hardware do sistema computacional e protegem as

aplicaes presentes;

controles de acesso: limitam ou detectam o acesso a recursos computacionais (dados, programas, equipamentos e instalaes), protegendo esses recursos contra modificao no

autorizada, perda e divulgao de informaes confidenciais;

controles de desenvolvimento e alterao de softwares aplicativos: previnem a implementao ou modificao no autorizada de programas.

2. Controles do Sistema Aplicativo

Durante a fase de execuo da auditoria, e antes de se proceder ao teste de dados (procedimento que, em ltima instncia, ir determinar a sua confiabilidade), normalmente

indicada a avaliao dos controles presentes no sistema de processamento desses dados.

Segundo princpios geralmente aceitos de auditoria, quanto menor a confiabilidade dos controles gerais ou de aplicativo (ou se esses no forem avaliados), maior a extenso do teste

necessrio para determinar a confiabilidade dos dados.

A abrangncia da avaliao dos controles depende do conhecimento prvio sobre os dados e o sistema. O quadro abaixo mostra como pode ser definida a extenso da avaliao dos

controles a partir das informaes obtidas:

27

Conhecimento prvio sobre o

sistema ou os dados

Amplitude da avaliao

dos controles do sistema

As informaes so insuficientes ou avaliaes

anteriores detectaram erros

significativos nos controles

do sistema ou nos prprios

dados.

Extensiva

A confiabilidade do sistema ou dos dados j foi avaliada

e considerada adequada em

trabalhos anteriores.

Reduzida

Indcios de ineficcia de controles do sistema

A documentao de um sistema bem controlado deve ser completa e atualizada. A ausncia dessa

documentao pode indicar que no existem controles, que eles no so compreendidos ou so

inadequadamente aplicados. Outros sinais que sugerem vulnerabilidade de dados a erros podem

ser:

sistemas antigos, que exigem muita manuteno;

grande volume de dados;

atividades de atualizao muito freqentes;

numerosos tipos de transao e de fontes de dados;

grande nmero de elementos de dados codificados (por exemplo, itens do estoque representados por meio de cdigos numricos, em vez do nome do bem, podem dificultar a

identificao at mesmo de erros grosseiros);

alta rotatividade de pessoal (digitadores, operadores, programadores, analistas) e treinamento inadequado ou em escala insuficiente;

estruturas de dados complexas ou desorganizadas;

falta de padres para o processamento de dados, especialmente quanto segurana, acesso e controle de mudana de programas.

Entrevistas com funcionrios com grande conhecimento da organizao podem auxiliar a equipe

no entendimento dos controles do sistema.

Parecer da auditoria sobre a eficcia dos controles do sistema

Aps avaliar os controles do sistema, a equipe dever dar um parecer sobre a sua eficcia, isso ,

sua capacidade de prevenir erros e detectar e corrigir aqueles que venham a ocorrer.

De acordo com os resultados da anlise efetuada, a equipe de auditoria ir classific-los em:

Controles slidos - quando assumir-se que o sistema como um todo est capacitado a prevenir, detectar e corrigir qualquer erro significativo nos dados;

28

Controles adequados - quando forem detectadas deficincias nos controles, mas de modo geral esses demonstrarem ser suficientes para prevenir os erros mais significativos, e acusar

os que venham a ocorrer; ou

Controles fracos/indeterminados - quando identificar-se a ausncia ou ineficcia dos controles de sistema, e, conseqentemente, oportunidades de introduo de dados incorretos no

sistema.

Avaliao extensiva dos controles de sistema pela auditoria

Controles Gerais:

Grau de comprometimento da administrao com o projeto e a operao dos sistemas:

os mtodos de superviso e acompanhamento da administrao e do desempenho dos sistemas; e

aes corretivas em relao s recomendaes da auditoria interna e reclamaes dos usurios.

Organizao das funes dos sistemas, incluindo a atribuio formal das responsabilidades e segregao de funes, no sentido de garantir que funes crticas e responsabilidades de

autorizar, processar, registrar e revisar transaes sejam atribudas a diferentes indivduos.

Segurana fsica das instalaes, especialmente quanto s restries de acesso.

Segurana lgica (controle de acesso aos sistemas e dados atravs de senhas e outros mtodos) que ajudam a garantir a confiabilidade dos dados reduzindo o risco de ocorrer

entrada ou modificao no autorizada de dados.

Controles de aplicativos:

Existncia de procedimentos que garantam que os programas aplicativos e suas modificaes subseqentes sejam autorizados e testados antes de sua implementao.

Freqncia das alteraes no sistema e motivo de sua realizao.

Procedimentos adequados de controle e documentao das alteraes nos programas.

Procedimentos de reviso, aprovao, controle e edio de dados de entrada, para garantir sua integridade e prevenir erros.

Existncia de documentao e fluxogramas atualizados para os sistemas.

Confrontao entre registros de sada e entrada (para confirmar que todos os registros vlidos de entrada foram processados, e somente esses).

Procedimentos de deteco de erro e correo.

Opinio dos usurios sobre a confiabilidade dos dados.

Relatrios da auditoria interna e outros estudos de avaliao.

29

VII GESTO DA AUDITORIA E GESTO DA INFORMTICA

1. Uso do microcomputador na auditoria interna

1.1. Auditoria em Computador

Anlise de arquivos

Confronto de arquivos

Emisso de check-lists e questionrios

Preparao de test deck

Anlise de log

Tabulao de respostas e questionrios 1.2. Acompanhamento de projetos de auditoria

Controle de horas

Controle de alocao de recursos 1.3. Plano de treinamento do auditor 1.4. Documentao automatizada de relatrios de auditoria 1.5. Monitorao do cadastro de pontos de controle 1.6. Monitorao do cadastro de indicadores de qualidade 1.7. Treinamento de auditores internos 1.8. Acessar logs de outros micros em rede 1.9. Solicitar arquivos atravs da rede.

2. A Carreira do Auditor Interno

CARGO FUNO

Gerente / Subgerente Gerencia a atividade de auditoria

Supervisor Audita o centro de computao, PDI e sistemas

especialistas

Auditor Snior Audita sistemas em desenvolvimento e

teleprocessamento / bancos de dados

Conhece metodologia de desenvolvimento

Audita segurana em informtica

Auditor Pleno Realiza auditoria em sistemas em operao

mainframe

Conhece linguagem de programao mainframe

Auditor Jnior Realiza auditoria em microinformtica

Conhece linguagem de programao em

microinformtica

30

3. Atividades do gestor de auditoria

- planejamento e controle de trabalhos / projetos de auditoria - treinamento de auditores internos - administrao da qualidade dos trabalhos de auditoria - elaborao do plano diretor da auditoria - contato com executivos e chefes das reas auditadas - participao nas reunies de apresentao e discusso dos relatrios de auditoria - apresentao do plano diretor de auditoria para a alta administrao - discusso do oramento da auditoria

Comit de auditoria: composto pelo executivo principal da organizao e demais gerentes de

auditoria.

3.1. Plano Diretor de Auditoria de Sistemas

Estabelece indicadores de qualidade e mtricas. Deve conter:

- Objetivos - Indicadores de qualidade da auditoria de sistemas - Recursos necessrios auditoria - Treinamento para auditores - Custos - Cronograma de atividades - Suporte auditoria operacional pela auditoria de sistemas

3.2. Relatrio anual de auditoria de sistemas

Resume o controle exercido pelo gerente de auditoria sobre as atividade da auditoria de sistemas

e deve conter:

- Descrio dos objetivos propostos - Detalhamento das mudanas de objetivo ocorridas - Caracterizao dos indicadores de qualidade usados - Quadros de indicadores de qualidade e mtricas - Estatsticas quanto evoluo das mtricas alcanadas - Comentrios quanto aos indicadores - Comentrios quanto atuao da auditoria de sistemas (problemas enfrentados, parmetros

para a auditoria do prximo ano, etc).

4. Indicadores de qualidade na auditoria de sistemas

- Atendem ao planejamento e controle da auditoria de sistemas - So criados com base na anlise de pontos de controle - Servem de referncia para a organizao da qualidade dos trabalhos de auditoria de sistemas

realizados

31

- So estabelecidos pela alta administrao - Permitem a administrao por execuo - Atendem aos parmetros de controle interno

Permitem caracterizar:

- Produtividade dos trabalhos da auditoria - Eficincia nos processos de auditagem (uso de tcnicas otimizadas) - Eficcia dos resultados das auditorias de sistemas efetuadas (alcance dos objetivos) - Segurana dos recursos tangveis alocados a processos e resultados.

Exemplo de Indicador de qualidade: quantidade mdia de horas de auditoria aplicada por ponto

de controle:

Quantidade de horas de auditoria

= __________________________

Quantidade de PC validados

Necessria a existncia de um software (Sistema de Administrao de Pontos de Controle) que

apure:

- Tempo disponvel para realizao da auditoria - Anlise de risco e eleio de pontos de controle - Tcnicas mais adequadas a serem aplicadas a cada ponto de controle - Evidncias de auditoria obtidas das valiaes efetuadas - Natureza das fraquezas de controle interno - Tipo de alternativas de soluo propostas para as fraquezas - Relao custo / benefcio da auditoria interna

5. Auditoria da Administrao da Informtica

A administrao da informtica formada por:

- Alta administrao - Executivos, gerentes, chefes e profissionais de reas usurias - Executivos, gerentes, chefes e profissionais da rea de informtica - Executivos, gerentes, chefes e profissionais de empresas de prestao de servios de

informtica

Precisa atuar sobre:

- Engenharia de produto, engenharia do processo, especificao do processo. - Plataformas de informtica e sistemas aplicativos.

32

Auditoria da administrao da informtica

Responsabilidades de gerenciamento da alta administrao:

- Discutir e aprovar cronograma fsico e financeiro referente ao desenvolvimento de novos sistemas

- Conhecer e exigir o cumprimento da metodologia para desenvolvimento - Analisar e aprovar a estrutura e o contedo do prottipo de cada novo sistema aplicativo

(principalmente informaes, telas e relatrios de interesse da alta administrao).

- Avaliar a aplicao de procedimentos e tcnicas por coordenadores e usurios de informtica quando do desenvolvimento de novos aplicativos

- Ler e avaliar o resultado final / produto de cada fase da metodologia e relatrios de progresso do projeto.

Responsabilidades da auditoria da administrao da informtica:

- Verificar qualidade da metodologia, seu uso e aplicao - Apresentar relatrio com recomendaes para melhoria da qualidade das metodologias e para

o cumprimento das etapas e procedimentos definidos pela alta administrao.

ENTIDADES

RESPONS-

VEIS

Alta

administrao

Executivos

Usurios

Executivos de

Informtica

Executivos de

Terceiros

MOMENTOS

DE

MONITORA

O DA

INFORMTI

CA

Projetos e

Recursos

Tecnolgicos

FOCO NO

CICLO DE

VIDA DA

INFORMTI

CA

Engenharia do

Produto

Engenharia do

processo

Especificao

do processo

NIVEL DE

ESTRUTURA

O DA

INFORMTI

CA

Plataformas

Operacionais

Sistemas

Aplicativos

FORMAS DE

GERENCIA

MENTO DE

INFORMTI

CA

Planejamento

e Controle de

Processos e

Resultados

33

VIII AS TRANSFORMAES NA FUNO DA AUDITORIA

Novas exigncias das organizaes:

Continuidade Operacional

Pesquisa e desenvolvimento para alcance da inovao tecnolgica

Pioneirismo (entrar no mercado no momento da ascenso do negcio)

Identificao da itensidade e potencial da concorrncia

Lucratividade de cada linha de negcio/produto/servio

Ajuste da informtica e da Auditoria de Sistemas

Novo papel da auditoria: Assessoria, emisso de opinies e proposta de aes de otimizao

Papel da rea de informtica: Consultoria quanto tecnologia de PED, buscando melhoria em

processos e resultados

Foco da atividade de auditoria:

Auditoria Operacional: Atua em nvel de atividades fim e meio, tanto no ambiente interno como externo com foco no presente em relao ao passado.

Auditoria de Gesto: Mesma atuao da auditoria operacional, mas com foco no futuro.

Auditoria da Qualidade: Verifica e avalia os esforos de melhoria e otimizao

Auditoria de Sistemas: Atua segundo o foco operacional, da gesto e da qualidade em informtica.

Auditoria de sistemas em termos operacionais

Atendimento a regulamentaes internas e externas da organizao, a nvel de processos e resultados gerado pelo PED.

Segurana lgica e fsica dos ativos computacionais (hardware, sofware, sistemas aplicativos e plataformas computacionais)

Eficincia de processos e eficcia dos resultados de reas empresariais e centros de responsabilidade que utilizam o PED.

Auditoria em sistemas em termos de gesto

Verificao do PDI e todo planejamento de informtica da empresa

Avaliao de cenrios futuros de posicionamento da organizao no mercado

Validao de projees empresariais, realizadas em computador.

34

Auditoria de sistemas em termos de qualidade

Reviso da expectativa de continuidade operacional, explicitados por indicadores de qualidade organizacional gerados por PED.

Avaliao de contratos de gesto e metas de qualidade direcionadas ou sustentadas por PED.

Emisso de opinio quanto s inovaes tecnolgicas e sua utilidade no ambiente de informtica.

Novos pontos de controle

Aud.Sistemas

Momento

Auditoria

Operacional

Auditoria de Gesto Auditoria da

Qualidade

Sistema em

Desenvolvimento

Cumprimento da meto-

dologia de desenvolvi-

mento de sistemas

Tempo de resposta

estimado / projetado

para as transaes

Indicador de

Qualidade tempo

mdio de atraso no

desenvolvimento

Sistema em Operao Nvel de satisfao dos

usurios com contedo

de telas / relatrios

Cronograma mensal de

carga de trabalho por

sistema aplicativo por

plataforma

computacional

Aes de qualidade de

natureza inovao

tecnolgica

implantadas para

sistemas on-line

Centro de

Computao

Custo de plataformas /

redes operacionais

Investimento em

hardware e software

bsico

Metas de qualidades

para contratos de

gesto da rea de

informtica

Ganhos no novo enfoque da auditoria de sistemas:

Enquadramento dos pontos de contole em focos mais precisos

Realce em atividade de planejamento e controle, tcnicas estatsticas e linhas de negcio

Enfoque nos interesses dos executivos e profissionais no produto final dos trabalhos de auditagem

Maior argumentao e susteno lgica nas propostas da auditoria.

Novo papel da Auditoria de Sistemas: Atuar em regime de parceria com auditores de outras

reas e auditados, para definio de solues conjuntas agente de mudana

35

IX O AMBIENTE FUTURO DA TECNOLOGIA DE INFORMTICA

Usurios proprietrios: usurios que desenvolvem e operam seus sistemas

Rede total de computao: Uso de micros portteis e conectados em rede para transmisso, recepo e acesso a dados

Conhecimento compartilhado: Aplicao da tecnologia de sistemas especialistas

Novas funes computacionais: Realce no papel da consultoria da rea de informtica para divulgao de novas tecnologias e treinamento.

Novas necessidades na rea de informtica:

Novas abordagens de treinamento para profissionais de informtica

Capacidade de negociao: argumentao lgica para negociao de solues

Critrios negociais: Racioco em termos de mercado, concorrncia, linhas de negcio, novos empreendimentos, etc.

Estmulo criatividade : Discusso de aspectos comportamentais dos profissionais das reas de responsabilidade da empresa.

Desenvolvimento de know-how de informtica para os usurios

Metodologia de desenvolvimento de sistemas

Critrios para suporte tcnico

Planejamento e controle das atividades e tecnologias de informtica

Novos problemas:

Baixo nvel de formao dos usurios em PED

Processo de mudana nas reas organizacionais acelerado pelo usuo total da informtica pelos usurios

Aumento da responsabilidade para executivos e profissionais pela disponibilizao direta da informtica para os usurios

Novas funes dos profissionais de informtica

Analista de qualidade em informtica: responsvel pelo planejamento, controle e operacionalizao de sistemas / aes / indicadores de qualidade.

Analista de Segurana em informtica: responsvel pela segurana fsica, lgica e ambiental da informtica

Engenheiro do conhecimento: responsvel por disseminar o conhecimento empresarial em todos os pontos da organizao.

Prioridades da rea de informtica:

Recrutamento e seleo de profissionais com vivncia em microinformtica, Bancos de Dados e redes de computadores

Generalizao do uso da informtica em funes primrias da organizao: e-mail, agendas, planilhas eletrnicas, etc.

36

Treinamento dos usurios em qualidade em PED, controles lgicos e plataformas computacionais.

NOVA AUDITORIA DE SISTEMAS

X

NOVO AMBIENTE DE INFORMTICA

Maior nfase em tcnicas de auditoria como montagem de cenrios alternativos ou futuros com o uso de sistemas especialistas e aplicao de questionrios distncia para acelerar o

processo de auditagem

Maior interesse em reas para auditoria como centros de pesquisas e reas de novos produtos / tecnologias e pesquisas em ambientes externos para levar novas idias para dentro da

organizao.

Auto auditoria pelas reas empresariais

Diversificao no produto final da auditoria

Atuao da auditoria com as novas funes da rea de informtica (Analista de Segurana, Analista de Qualidade, Analista do Conhecimento)

Avaliao dos indicadores de qualidade.

Novo perfil do auditor de informtica: Auditor da qualidade da aplicao da informtica s

linhas de negcio/produtos/servos nos momentos de planejamento/execuo/controle e nas

esferas operacional/ttica/estratgica.

37

BIBLIOGRAFIA:

Gil, Antnio de Loureiro. Auditoria de Computadores, 2000, Atlas, 5a. Edio

Imoniana, Joshua Onome. Auditoria de Sistemas de Informao, 2005, Atlas, 1a. Edio