Definio de Auditoria
uma atividade que engloba o exame/avaliao das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres
Objetivo da Auditoria
Tem por objetivo promover a adequao (avaliaes e recomendaes para o aprimoramento) dos controles internos dos sistemas de informaes da empresa, bem como da utilizao dos recursos humanos, materiais e tecnolgicos envolvidos. Em um processo de auditoria se avalia os controles gerais que atuam sobre o sistema computacional da organizao Controles gerais: consistem na estrutura, polticas e procedimentos que se aplicam s operaes do sistema computacional de uma organizao como um todo
Fases da Auditoria
Planejamento
Execuo
Relatrio
Natureza
rea de Verificao
Sub 1
Sub 2
Sub 3
mbito
mbito da auditoria amplitude e exausto dos processos de auditoria, incluindo uma limitao racional dos trabalhos a serem executados (grau de abrangncia) rea de verificao (conjunto formado por campo e mbito de auditoria) delimita de modo preciso os temas da auditoria, em funo da entidade a ser fiscalizada e da natureza da auditoria
Corretivos: usados para reduzir impactos ou corrigir erros aps detectados - PCN
Objetivos de controle so metas de controle a serem alcanadas, ou efeitos negativos a serem evitados, para cada tipo de transao, atividade ou funo fiscalizada
Manuais de auditoria contem objetivos de controle e procedimentos de auditoria preestabelecidos para cada rea de verificao ou natureza de auditoria
Entidades Fiscalizadoras Superiores Ex. TCU
Natureza da Auditoria
No h um padro quanto aos diversos tipos de auditoria existentes Quanto ao rgo Fiscalizador
Auditoria interna Auditoria externa Auditoria articulada
Natureza da Auditoria
Quanto ao Tipo ou rea envolvida
Auditoria de Programas de Governo Auditoria do Planejamento Estratgico Auditoria administrativa Auditoria contbil Auditoria financeira Auditoria de legalidade Auditoria operacional Auditoria integrada Auditoria de Tecnologia da informao
Equipe de Auditoria
Conhecimentos necessrios Meios efetivos de desenvolver seus profissionais
Gerente da equipe: recrutar ou formar profissionais com capacitao tcnica adequada Conhecimentos Necessrios
Conhecimento da rea e experincia prtica Planejar, dirigir, supervisionar e revisar o trabalho executado Diferentes nveis de especializao Depende do tipo de ambiente computacional
CAATs (Computer Assisted Audit Techniques)
Equipe de Auditoria
Composio da Equipe
(1) Contratar consultoria externa, (2) desenvolver a capacidade tcnica em informtica(contabilidade + auditoria) (3) desenvolver tecnicamente em auditoria (anlise de sistemas, engenharia de software, cincia da computao) Depende do tamanho da organizao e do perfil do funcionrio
Recrutamento e o treinamento X consultoria externa
Todas as atividades desenvolvidas devem ser gerenciadas pelo coordenador Estipulados pontos de controle durante a execuo Transferncia de conhecimento entre consultores e os outros membros da equipe Avaliando o trabalho realizado
Discusso franca entre consultores, membros da equipe de auditoria, coordenador e gerncia da organizao
Pontos fortes e fracos, dificuldades encontradas e comparaes
Capacitando Auditores para Atuarem como Auditores de Sistemas Auditor com formao em contabilidade e auditoria geral
Muitos profissionais de informtica no explicam os assuntos tcnicos e jarges Auditor nem entende o que respondido
Resultados mais efetivos e com maior rapidez Complexidade dos sistemas e uso de softwares Recruta diretamente profissionais de cada rea especfica Treinamento
Constante treinamento dos auditores Muito abrangente Treinamento bsico de auditoria de TI para todos As tcnicas e mtodos devem ser disseminados
Treinamento
Participao em Seminrios e Cursos de Especializao
Listas, boletins e homepages de organizaes especializadas tambm so uma boa fonte
Qualificao Profissional
Certificaes de qualificao de auditores
ISACA Information Systems Audit and Control Association British Computer Society Exame IIA- Institute os Internal Auditors Qualificao em Auditoria Computacional
Treinamento
Manuais de Auditoria da Tecnologia da Informao
Equipe de especialistas: elaborao de um ou mais manuais (instrues para a conduo de auditorias) Sero elaborados documentos especficos ou sero utilizados publicaes de outras entidades?
Biblioteca Tcnica
Ter uma para consulta durante a auditoria e elaborao do relatrio Arquivar todos os relatrios Conter legislao e normas, manuais de auditoria, revistas especializadas, livros de informtica, etc...
Plano de auditoria de sistemas anual Aumento e oferta de profissionais gabaritados na rea de auditoria e segurana de informaes
mbito (abrangncia/amplitude)
Avaliao da eficcia dos controles
Sub-reas de verificao
Controles de acesso lgico Controles de acesso fsicos Backup
Volta para a Pesquisa de Fontes de Informao livros tcnicos, manuais de auditoria, artigos especializados, sites na Internet, etc.
Permite equipe definir as metodologias a serem utilizadas, os objetivos de controle a serem atingidos e os procedimentos de auditoria mais adequados
Metodologias
Entrevistas (dirigentes e funcionrios) coletar dados, identificar falhas e indcios e apresentar resultados.
Entrevista de Apresentao membros, cronograma, objetivos, reas que sero auditadas, metodologias Entrevistas de Coleta de Dados- identificar os pontos fortes, falhas e irregularidades. Entrevistas de Discusso das Deficincias Encontradas: apresentar aos responsveis da rea os pontos crticos. Justificativas para as falhas. Entrevista de Encerramento: agradecimentos, resumo dos resultados (pontos fortes e falhas), comentrios e recomendaes
Metodologias
Uso de Tcnicas e Ferramentas de Apoio (CAATs)
Tcnicas para anlise de dados: SW de extrao de dados, de amostragem ou anlise das trilhas de auditoria dos sistemas aplicativos. Tcnicas para Verificao de Controles de Sistemas
Testar a efetividade dos controles (injeo de falhas) Massa de dados de testes (test desk), simulaes paralelas, software de comparao de programas, mapeamento e rastreamento de processamento (debug), chamados de mapping, tracing e snapshot. Extra: Mdulos de Operao de Tarefas de Auditoria (ERPs)
Outras ferramentas
Editores de texto, planilhas eletrnicas, banco de dados e software para apresentaes
Execuo
Reunir evidncias confiveis, relevantes e teis
Achados de auditoria e as concluses devem estar baseados na correta interpretao e anlise das evidncias Evidncia Fsica- atividades desenvolvida pelos funcionrios, sistemas em funcionamento, local, equipamentos Evidncia documentria resultados de extraes de dados, registros de transaes, logs, listagens Evidncia fornecida pelo auditado: entrevistas, cpias de documentos, fluxogramas, polticas internas, e-mails, relatrios publicados Evidncia analtica comparaes, clculos e interpretaes de documentos de entidades e similares
Relatrio
Em linhas gerais, o que deve conter no relatrio? Como deve ser a linguagem ? A quem se dirige o relatrio ? Quando deve ser apresentado os relatrio parciais e por que eles devem ser elaborados ? Sobre a estrutura proposta para o relatrio, escreva brevemente o que deve conter em cada uma das sees, a saber:
Dados da Entidade Auditada, Sntese, Dados da Auditoria, Introduo, Falhas Detectadas, Introduo, Falhas Detectadas, Concluso