Auditoria de TI: Processamento, Sistemas e Controles

Processamento de Informações e Conhecimento

Necessidades:

• Relatórios personalizados para a necessidade da análise a ser efetuada;
• Análise de dados ou consultas necessárias para tomada de decisão;
• Análise de mais de uma fonte de dados;
• Cruzamento de informações de diversos setores da empresa.

Objetivos principais: Suprir os três níveis gerenciais:

• Alta administração: Decisões estratégicas;
• Gerência Média: Decisões de administração;
• Gerência Operacional: Decisões operacionais.

Sistemas de Suporte à Decisão

Conceito: Sistemas de processamento de informações com regras mais flexíveis, modelagem em tempo de execução, conjunto de dados mais abrangentes com o objetivo de dar suporte a decisões estratégicas da empresa.

Exemplos:

• Sistema de contabilidade de custos;
• Sistema de orçamento de capital;
• Sistema de análise de variação de orçamento;
• Sistema geral de suporte à tomada de decisão.

Inteligência Artificial (IA)

A inteligência artificial (IA) é o ramo da ciência da computação que se preocupa com o pensamento. Trata de tarefas comuns, formais e especializadas. Os tipos de IA incluem: robótica, visão e reconhecimento de voz, processamento de linguagem natural e sistemas de solução de problema como, por exemplo, sistemas especialistas, redes neurais e sistemas baseados em casos.

Conceito de Sistemas

É um conjunto de elementos inter-relacionados com um objetivo: produzir relatórios que nortearão a tomada de decisões gerenciais. Neste percurso, pode-se identificar o processo que transforma dados de entrada, agregados aos comandos gerenciais, em saídas.

Conceito de Auditoria de TI (Tecnologia da Informação)

É conseguir perceber que as informações até então disponíveis em forma de papel são agora guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar para se assegurar de que essas informações em forma eletrônica sejam confiáveis antes de emitir sua opinião.

Abordagem de Auditoria de Sistemas de Informação

Dependendo da sofisticação dos sistemas computadorizados, o auditor pode utilizar uma das três abordagens:

Abordagem ao Redor do Computador

Vantagens:

• Não exige conhecimento extenso em TI;
• A aplicação envolve custos baixos e diretos.

Desvantagens:

• Restrição operacional do conhecimento de como os dados são atualizados faz com que a auditoria seja incompleta e inconsistente;
• Não existem parâmetros claros e padronizados;
• Decisões tomadas baseadas em relatórios de tais auditores podem ser distorcidas.

Abordagem Através do Computador

Vantagens:

• Capacitação do auditor em conhecimento de processamento eletrônico de dados;
• Capacita o auditor a verificar com mais frequência as áreas que necessitam de revisão constante.

Desvantagens:

• Se a operação for efetuada incorretamente, pode levar a perdas incalculáveis;
• O uso da abordagem pode ser caro em treinamento e aquisição de softwares;
• Partindo do pressuposto de que os pacotes são completos, um erro pode concluir que o pacote esteja errado.

Abordagem com o Computador

• Utilização das capacidades lógicas e aritméticas do computador para verificar se os cálculos das transações econômicas e financeiras são feitos corretamente;
• Utilização para cálculos estatísticos e de geração de amostra que facilitam a confirmação de saldos;
• Desenvolvimento de programas específicos para serem utilizados pelo auditor quando da necessidade de evidenciar uma opinião.

Organização do Trabalho de Auditoria de TI

Planejamento

Objetivo: Documentar de forma clara e objetiva a que se propõe o serviço de auditoria, responsabilidades e papéis da equipe de auditoria e do cliente.

Escolha da Equipe

• Perfil e histórico profissional;
• Experiência acumulada por ramos de atividade;
• Conhecimentos específicos;
• Apoio do grupo de especialização;
• Formação acadêmica.

Programar a Equipe

• Gerar programas de trabalho que extraiam dados corretos para testes;
• Selecionar procedimentos mais apropriados;
• Incluir novos procedimentos;
• Classificar trabalhos por visita;
• Orçar tempo e registrar o real;
• Gerar relatórios em consonância com os trabalhos efetuados.

Documentação

Conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas, com seus anexos que evidenciem os fatos relatados. Caso sejam provas documentais, podem ser escaneados para serem documentados eletronicamente.

Padrões e Código de Ética para Auditoria de Sistema de Informação

Responsabilidade, Autoridade e Prestação de Contas

A responsabilidade, autoridade e formato da prestação do auditor deve ser documentada de forma clara e objetiva.

Independência Profissional

No relacionamento organizacional a função de auditor de tecnologia de informação deve ser suficientemente independente da área sob auditoria para permitir uma conclusão objetiva da auditoria.

Ética Profissional e Padrões

O devido zelo profissional e a observância dos padrões profissionais de auditoria devem ser exercidos em todos os aspectos do trabalho.

Competência

No uso de suas habilidades e conhecimentos, deve ser competente tecnicamente, possuindo habilidades e conhecimentos necessários para a execução do trabalho do auditor.

Planejamento

Planejar suas tarefas para direcionar os objetivos da auditoria e seguir os padrões profissionais de auditoria aplicáveis.

Controles Internos e Avaliação

Supervisão

Gerência por objetivos, procedimentos e tomada de decisões deve manter um controle que a capacidade e uma supervisão efetiva dentro do ambiente de tecnologia de informação.

Registro e Comunicação

A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informação de dados, através de autorização e registro de responsabilidades.

Segregação das Funções

As responsabilidades e ocupações incompatíveis devem estar agregadas de maneira a minimizar as possibilidades de perpetuação de fraudes e até de suprimir erro e irregularidades na operação normal.

Auditoriabilidade

Os procedimentos operacionais devem permitir a programação e verificação periódica no que concerne a precisão do processo de processamento de dados e de geração de relatório, de acordo com as políticas.

Contingência

A gerência deve implementar um plano adequado e procedimentos de implantação para prevenir-se contra as falhas de controles que podem surgir durante especificações de sistema, desenho, programação, testes e documentação de sistemas e nas fases pós-implantações.

Ferramentas e Técnicas de Auditoria de Tecnologia de Informações

Ferramentas

Objetivo: Auxiliar a extração, sorteio, seleção de dados e transações observando discrepâncias e desvios.

Software Generalista

Utiliza software aplicativo em ambiente de lote. Processa simulação paralelas e funções específicas selecionadas pelo auditor.

Software Especialista

Consiste no programa desenvolvido especificadamente para executar certas tarefas numa circunstância definida.

Ex.: Sistema NF-e, Imposto de Renda;

Programas Utilitários

Utilizado para executar algumas funções muito comuns de processamento.

Ex.: geradores de relatórios, Pesquisas SQL em Banco de dados, Planilhas eletrônicas.

Técnicas de Auditoria

Dados de Teste

Utilizar conjunto de dados específicos para testar os processos do software que se esta sendo auditado.

Simulação Paralela

Utilização de um software especificadamente desenvolvido com mesma lógica do software auditado. O objetivo é conseguir replicar os mesmos processos a fim de identificar os desvios ou erros de processamento.

Rastreamento e Mapeamento

Implementação de trilha de auditoria para acompanhamento da lógica do computador.

Objetivos

• Produtividade: Diminuir o tempo da execução da auditoria;
• Custo: Reduzir custos relacionados a auditoria;
• Qualidade assegurada: Com padrões devidamente assegurados a qualidade aumenta consideravelmente.

Auditoria de Controles Organizacionais e Operacionais

Objetivos

• Delineamento das responsabilidades operacionais;
• Desenvolvimento e implementação das políticas globais de informática;
• Gerenciamento de suprimentos;
• Desenvolvimento de plano de capacitação.

Aquisição, Desenvolvimento, Manutenção e Documentação de Sistemas

Objetivos

• Planejamento de sistemas de informações;
• Aquisição de sistemas;
• Especificação, programação, teste e implementação de sistemas novos;
• Modificação dos programas das aplicações existentes;
• Manutenção preventiva dos sistemas aplicativos;
• Documentação e controle sobre versões de programas em produção.

Controle de Documentação de Sistemas

A documentação é um conjunto de documentos que apóiam e explicam aplicações dos programas que depois de compilados orientam o funcionamento deles. Os padrões necessários para uma boa documentação são:

1. Documentação deve estar sujeita a padrões uniformes, codificações e procedimentos de modificação;
2. Documentação de sistema inclui descrições narrativas, contribuição e formas de produção, arquivo e planos de registro, controles, autorizações de mudança e procedimentos posteriores;
3. Documentação contém descrições, dados de testes, contribuição e produção, arquivos detalhados e planos de registro, pedidos de mudança, instruções de operador e controles;
4. Documentação operacional provê informação sobre organização, arquivos necessários e dispositivos, procedimento de contribuição, mensagens de console e ações de operador responsável, tempos necessários e procedimentos de recuperação.
5. Documentação processual inclui o plano-mestre do sistema e operações a serem executados, padrões de documentação, procedimentos para controlar arquivos e padrões para análise de sistemas, programação, operações, segurança e definição de dados;
6. Documentação de usuário descreve o sistema e procedimentos para entrada de dados, conferência e correção de erros, formatos e usos de relatórios.

Auditoria de Operação do Computador

Operações mais comuns:

• Planejamento, controle e monitoramento das operações;
• Monitoramento de todos os sistemas e redes;
• Gravação (logging) dos problemas e monitoramento de tempos de resposta;
• Gestão das unidades, dos periféricos e equipamentos remotos;
• Backup de sistemas e banco de dados.