Conceitos e Organização da Auditoria:
Planejamento e Execução
A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua realização.
Nela se estabelece
os recursos necessários para execução, a área de verificação, os objetivos de controle (metas a serem alcançadas) e os procedimentos (lista de verificações).
Planejamento e Execução
Na fase de planejamento, a equipe de auditoria deve reunir a maior quantidade possível de informações sobre a entidade a ser auditada e seu ambiente de informática.
Plataforma de hardware,
Sistemas operacionais,
Tipo de processamento,
Metodologia de desenvolvimento,
Etc...
Saber com antecedência o tipo de ambiente computacional é bastante vantajoso para o auditor.
Planejamento e Execução
Planejamento e Execução
Segurança da informação
de 01/01/09 a 31/03/09
Auditoria de TI
Avaliação da eficácia dos controles
Backup
Controle de acesso lógico
Controle de acesso físico
A partir disso, a equipe deve delimitar sua atuação,definindo o Campo, o Âmbito e as Subáreas a serem auditadas.
Recursos humanos
Antes de solicitar o suporte de especialistas, a equipe deve analisar o tamanho dos sistemas, o grau de sofisticação e complexidade do ambiente computacional.
É recomendável identificar com antecedência o grau de especialização adequado para que os recursos estejam disponíveis quando necessário.
Planejamento e Execução
Recursos econômicos
Deve ser feita previsão de despesas (viagens, contratação de mão-de-obra externa).
Recursos técnicos
Hardware (laptops), software (ferramentas de auditoria de extração de dados), manuais técnicos sobre o ambiente operacional.
Planejamento e Execução
Metodologias
Entrevistas
Ao longo da auditoria podem ser feitas entrevistas com os dirigentes
e funcionários da entidade auditada,
com intuito de apresentar o plano de auditoria
a ser realizada, coletar dados,
identificar falhas e indícios de irregularidades
e apresentar os resultados do trabalho.
Planejamento e Execução
Metodologias
Entrevista
de apresentação;
de coleta de dados;
de discussão das deficiências encontradas e;
de encerramento.
Planejamento e Execução
Objetivos de Controle e Procedimentos de Auditoria
Como vimos anteriormente, Objetivos de Controle são metas de controle a serem alcançadas para cada tipo de transação, atividade ou função (normas, regras, padrões).
E que são traduzidos em Procedimentos de Auditoria (ações do auditor).
Que por sua vez, formam um conjunto de verificações e averiguações que permite obter e analisar as informações necessárias à formulação da opinião do auditor (no uso da lista de verificações).
Planejamento e Execução
Objetivos de Controle e Procedimentos de Auditoria
Por exemplo:
Para o Controle de Acesso Lógico o Objetivo de Controle é: Proteger dados, programas e sistemas contra tentativas de acesso não autorizadas feitas por usuários ou outros programas.
o Procedimento de Auditoria é: utilizar software de controle de acesso; desabilitar as senhas de ex-funcionários; não armazenar senhas em log; desabilitar contas inativas....
Planejamento e Execução
Objetivos de Controle e Procedimentos de Auditoria
Por exemplo:
Para o Controle de Acesso Físico, o objetivo de controle é: Proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos.
o Procedimento de Auditoria é: exigir a devolução de bens de propriedade da instituição quando demitido; supervisionar a atuação da equipe de limpeza, manutenção e vigilância; não instalar, em áreas de acesso público, equipamentos com acesso a rede interna.
Planejamento e Execução
Voltando aos exemplos:
Objetivo de Controle:
Garantia de Segurança Física
Procedimentos de Auditoria
Verificar se há segurança física na exigência de devolução de bens de propriedade da instituição quando o funcionário é demitido.
Planejamento e Execução
Voltando aos exemplos:
Objetivo de Controle:
Garantia de Segurança Lógica
Procedimentos de Auditoria
Verificar se há segurança lógica para os acessos concedidos, aos usuários, apenas aos recursos realmente necessários para execução de suas tarefas.
Planejamento e Execução
Planejamento e Execução
Execução
Tipos de evidências Evidência física
observações de atividades desenvolvidas pelos funcionários e gerentes, sistemas em funcionamento, local e equipamentos.
Evidência documentária resultados da extração de dados, registros de transações, listagens, etc.
Planejamento e Execução
Execução
Tipos de evidências Evidência fornecida pelo auditado
transcrições de entrevistas, cópias de documentos cedidos pelo auditado, fluxogramas, políticas internas, e-mails trocados com a gerência da entidade, justificativas, relatórios publicados pelo auditado, etc.
Evidência analítica comparações, cálculos e interpretações de documentos de entidades similares ou da mesma entidade em períodos de tempo diferentes.
Planejamento e Execução
Execução
Toda essa documentação (organizada em papeis de trabalho), deve estar disponível para auxiliar a equipe na elaboração do relatório.
A manutenção dos papéis de trabalho é essencial tanto para a elaboração do relatório da auditoria, como para o planejamento de outras futuras.
Planejamento e Execução
Relatório Final
O auditor normalmente apresenta seus achados e conclusões na forma de um relatório escrito, o qual inclui fatos sobre a entidade auditada, comprovações, conclusões e, eventualmente, recomendações e/ou determinações.
A linguagem utilizada deve ser clara, objetiva e simples, evitando-se o uso de jargões técnicos e siglas.
Planejamento e Execução
Estrutura do relatório final (sugestão)
Dados da entidade auditada; Síntese (resumo do relatório); Dados da auditoria (objetivo, equipe, metodologia); Introdução; Falhas detectadas; Conclusão; Pareceres da gerência superior.
Planejamento e Execução