Conceitos e Organização da Auditoria:

Planejamento e Execução

A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua realização.

Nela se estabelece

os recursos necessários para execução, a área de verificação, os objetivos de controle (metas a serem alcançadas) e os procedimentos (lista de verificações).

Planejamento e Execução

Na fase de planejamento, a equipe de auditoria deve reunir a maior quantidade possível de informações sobre a entidade a ser auditada e seu ambiente de informática.

Plataforma de hardware,

Sistemas operacionais,

Tipo de processamento,

Metodologia de desenvolvimento,

Etc...

Saber com antecedência o tipo de ambiente computacional é bastante vantajoso para o auditor.

Planejamento e Execução

Planejamento e Execução

Segurança da informação

de 01/01/09 a 31/03/09

Auditoria de TI

Avaliação da eficácia dos controles

Backup

Controle de acesso lógico

Controle de acesso físico

A partir disso, a equipe deve delimitar sua atuação,definindo o Campo, o Âmbito e as Subáreas a serem auditadas.

Recursos humanos

Antes de solicitar o suporte de especialistas, a equipe deve analisar o tamanho dos sistemas, o grau de sofisticação e complexidade do ambiente computacional.

É recomendável identificar com antecedência o grau de especialização adequado para que os recursos estejam disponíveis quando necessário.

Planejamento e Execução

Recursos econômicos

Deve ser feita previsão de despesas (viagens, contratação de mão-de-obra externa).

Recursos técnicos

Hardware (laptops), software (ferramentas de auditoria de extração de dados), manuais técnicos sobre o ambiente operacional.

Planejamento e Execução

Metodologias

Entrevistas

Ao longo da auditoria podem ser feitas entrevistas com os dirigentes

e funcionários da entidade auditada,

com intuito de apresentar o plano de auditoria

a ser realizada, coletar dados,

identificar falhas e indícios de irregularidades

e apresentar os resultados do trabalho.

Planejamento e Execução

Metodologias

Entrevista

de apresentação;

de coleta de dados;

de discussão das deficiências encontradas e;

de encerramento.

Planejamento e Execução

Objetivos de Controle e Procedimentos de Auditoria

Como vimos anteriormente, Objetivos de Controle são metas de controle a serem alcançadas para cada tipo de transação, atividade ou função (normas, regras, padrões).

E que são traduzidos em Procedimentos de Auditoria (ações do auditor).

Que por sua vez, formam um conjunto de verificações e averiguações que permite obter e analisar as informações necessárias à formulação da opinião do auditor (no uso da lista de verificações).

Planejamento e Execução

Objetivos de Controle e Procedimentos de Auditoria

Por exemplo:

Para o Controle de Acesso Lógico o Objetivo de Controle é: Proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por usuários ou outros programas.

o Procedimento de Auditoria é: utilizar software de controle de acesso; desabilitar as senhas de ex-funcionários; não armazenar senhas em log; desabilitar contas inativas....

Planejamento e Execução

Objetivos de Controle e Procedimentos de Auditoria

Por exemplo:

Para o Controle de Acesso Físico, o objetivo de controle é: Proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos.

o Procedimento de Auditoria é: exigir a devolução de bens de propriedade da instituição quando demitido; supervisionar a atuação da equipe de limpeza, manutenção e vigilância; não instalar, em áreas de acesso público, equipamentos com acesso a rede interna.

Planejamento e Execução

Voltando aos exemplos:

Objetivo de Controle:

Garantia de Segurança Física

Procedimentos de Auditoria

Verificar se há segurança física na exigência de devolução de bens de propriedade da instituição quando o funcionário é demitido.

Planejamento e Execução

Voltando aos exemplos:

Objetivo de Controle:

Garantia de Segurança Lógica

Procedimentos de Auditoria

Verificar se há segurança lógica para os acessos concedidos, aos usuários, apenas aos recursos realmente necessários para execução de suas tarefas.

Planejamento e Execução

Planejamento e Execução

Execução

Tipos de evidências Evidência física

observações de atividades desenvolvidas pelos funcionários e gerentes, sistemas em funcionamento, local e equipamentos.

Evidência documentária resultados da extração de dados, registros de transações, listagens, etc.

Planejamento e Execução

Execução

Tipos de evidências Evidência fornecida pelo auditado

transcrições de entrevistas, cópias de documentos cedidos pelo auditado, fluxogramas, políticas internas, e-mails trocados com a gerência da entidade, justificativas, relatórios publicados pelo auditado, etc.

Evidência analítica comparações, cálculos e interpretações de documentos de entidades similares ou da mesma entidade em períodos de tempo diferentes.

Planejamento e Execução

Execução

Toda essa documentação (organizada em papeis de trabalho), deve estar disponível para auxiliar a equipe na elaboração do relatório.

A manutenção dos papéis de trabalho é essencial tanto para a elaboração do relatório da auditoria, como para o planejamento de outras futuras.

Planejamento e Execução

Relatório Final

O auditor normalmente apresenta seus achados e conclusões na forma de um relatório escrito, o qual inclui fatos sobre a entidade auditada, comprovações, conclusões e, eventualmente, recomendações e/ou determinações.

A linguagem utilizada deve ser clara, objetiva e simples, evitando-se o uso de jargões técnicos e siglas.

Planejamento e Execução

Estrutura do relatório final (sugestão)

Dados da entidade auditada; Síntese (resumo do relatório); Dados da auditoria (objetivo, equipe, metodologia); Introdução; Falhas detectadas; Conclusão; Pareceres da gerência superior.

Planejamento e Execução