Planejamento e Execução da Auditoria Agnaldo L Martins

Planejamento e Execução de Auditoria A fase de planejamento identifica os instrumentos indispensáveis à sua realização. Estabelece, entre outras coisas: Recursos necessários Área de verificação Metodologias Objetivos de controle Procedimentos a serem adotados Pesquisa de fontes de informação: A maior quantidade possível de informações da entidade auditada e seu ambiente de informática deve ser levantada. Estas informações devem possibilitar uma noção da complexidade dos sistemas e estabelecer os recursos e conhecimentos técnicos necessários. Tipos de informações técnicas: hardware, SO, sistemas de segurança, aplicativos e os responsáveis pelas áreas.

Planejamento e Execução de Auditoria Definindo Campo, Âmbito e Sub-áreas O campo da auditoria é composto por objeto, período e natureza. Em auditorias de informática, a natureza é a própria auditoria de TI. O Objeto pode englobar um sistema computacional, uma ou mais seções do deptº de informática ou toda a organização em termos de políticas de informática. O período depende do grau de profundidade das verificações (âmbito) e das sub-áreas. Tendo definido o conjunto campo e âmbito, é fixada toda a área de verificação Definindo os Recursos Necessários Recursos humanos Recursos econômicos Recursos técnicos

Planejamento e Execução de Auditoria Área de Verificação – DEPARTAMENTO DE INFORMÁTICA Âmbito Avaliação da eficácia dos controles Campo Objeto Período Natureza Segurança de informações 01/08 a 30/09/2002 Audit. TI Sub 1 Sub 2 Sub 3 Controles de Acesso Físico Controles de Acesso Lógico Backup

Metodologias Entrevistas Apresentar o plano de auditoria, coletar dados, identificar falhas e apresentar os resultados do trabalho. Entrevista de Apresentação Entrevistas de Coleta de Dados Entrevistas de discussão das deficiências encontradas Entrevistas de encerramento Uso de Ferramentas de Apoio (CAATs) Técnicas de análise dados Técnicas para verificação de controles de sistemas Outras ferramentas

Planejamento e Execução de Auditoria Metodologias Técnicas de análise dados Os dados do auditado pode ser coletados e analisados com o auxílio de softwares de extração de dados, de amostragem, de análise de logs e módulos ou trilhas de auditoria embutidas nos próprios sistemas aplicativos da entidade Técnicas para verificação de controles de sistemas Permite testar a efetividade dos controles dos sistemas do auditado. Pode-se analisar sua confiabilidade, e ainda determinar se estão operando corretamente a ponto de garantir a fidedignidade dos dados. Dentre as técnicas mais utilizadas, pode-se citar: - Massa de dados de teste, simulações, software de comparação de programas, - mapeamento e rastreamento de processamento

Metodologias Outras ferramentas Existem ferramentas que não são necessariamente de apoio à auditoria, mas auxilia o auditor durante a execução da auditoria e na elaboração do relatório. Se encontram nessa categoria: editores de textos, planilhas eletrônicas, banco de dados e softwares para apresentações.

Objetivos de Controle e Procedimentos de Auditoria Os objetivos de controle norteiam a auditoria em várias áreas especializadas e organizacionais. Para realizar uma avaliação da atuação de outros profissionais, é necessário que o avaliador tenha um modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita. O modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em cada área específica.

Objetivos de Controle e Procedimentos de Auditoria EXEMPLO: Na área de segurança, um dos objetivos de controle pode ser o estabelecimento de regras para acesso aos recursos computacionais. Alguns procedimentos de auditoria relacionados ao objetivo acima citado pode ser: verificar se há documento formal que justifique a necessidade do usuário para acessar determinados recursos computacionais; ou verificar se existem procedimentos que definem os recursos computacionais que poderão ser acessados e os tipos de transações que poderão ser executadas por cada usuário autorizado.

Objetivos de Controle e Procedimentos de Auditoria ENFOQUES E MOTIVAÇÕES: Segurança – dados e sistemas que são essenciais a confidencialidade, a integridade, a disponibilidade de informações; Atendimento a solicitações externas – verificação de indícios de irregularidades motivados pela imprensa, denuncia, solicitação de órgãos superiores; Materialidade – valor significativo dos sistemas computacionais, transações, em termos econômico-financeiro; Altos custos de desenvolvimento – sistemas com altos custos de desenvolvimento envolvem riscos mais altos para a organização.

Objetivos de Controle e Procedimentos de Auditoria ENFOQUES E MOTIVAÇÕES: Grau de envolvimento dos usuários - sistemas elaborados sem o envolvimento dos usuários em geral não atendem satisfatoriamente às suas necessidades; A partir do momento em que foram definidas a área de verificação e as subáreas a serem auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza procedimentos de auditoria para testar se os respectivos objetivos de controle estão sendo seguidos pela entidade. Normalmente as organizações ligadas à auditoria da tecnologia da informação publicam manuais de orientação contendo objetivos de controle e procedimentos de auditoria típicos em um ambiente de informática.

Procedimentos de Auditoria EXECUÇÃO: Na execução, a equipe deve reunir evidências confiáveis, relevantes e úteis para os objetivos da auditoria. Tipos: Evidência física Evidência documentária Evidência fornecida pelo auditado Evidência analítica Todas essas evidências devem estar organizadas nos papéis de trabalhos, para facilitar a elaboração do relatório.

Relatório A forma como o auditor apresenta seus achados e conclusões, com comprovações, incluindo recomendações e, conforme o caso, determinações. Deve ser claro, objetivo, sem uso exagerado de termos técnicos. Glossário ao final, caso haja uso de termos e siglas. Bem organizado. Relatórios preliminares podem ser apresentados e discutidos com a parte auditada e/ou com a autoridade contratante. O relatório final deve ser revisado por todos os membros da equipe, para verificar sua consistência, omissões como também uma revisão gramatical.

Relatório Estrutura: Dados da entidade auditada. Síntese – breve resumo do relatório Dados da auditoria – objetivos, período, equipe, metodologia, etc.. Introdução – breve histórico, resumo de audit. Anteriores, estrutura hierárquica dos deptº auditados, etc... Falhas detectadas – Detalhamento das falhas e irregularidades, com comentários e justificativas e parecer da equipe. Conclusão – Resumo dos principais pontos e recomendações finais para correção das falhas e apontar pontos fortes. Pareceres – Quando necessário, de instâncias superiores.

Exercícios Propostos 1. Qual o objetivo do Planejamento de Auditoria? 2. Quais as informações básicas que devem estar contidas em um Plano de Auditoria? 3. Quais as principais fontes de informações para a elaboração de um Plano de Auditoria? 4. Quais os recursos necessários para uma auditoria? Fale sobre cada um. 5. Quais as principais metodologias utilizadas em uma atividade de auditoria. Fale sobre cada uma delas. 6. Em uma auditoria, a equipe deve reunir evidências suficientemente confiáveis, relevantes e úteis para a consecução dos objetivos da auditoria. Fale sobre cada uma dessas evidências. 7. O que deve conter em um relatório de auditoria?