Pesquisa · Mapa mental

Auditoria de sistemas

Auditoria de Sistemas de Informática ou Riscos Tecnológicos é uma atividade independente que tem como missão o gerenciamento de risco operacional envolvido e avaliar a adequação das tecnologias e sistemas de informação utilizados na organização através da revisão e avaliação dos controles, desenvolvimento de sistemas, procedimentos de TI, infraestrutura, operação, desempenho e segurança da informação que envolve o processamento de informações críticas para a tomada de decisão.

Fonte: Wikipédia (pt)Atualizado em 10/07/2026
01

Objetivos

Imagem: Universidad EAFIT · BY-SA · Openverse

A auditoria de sistemas é um processo realizado por profissionais capacitados e consiste em reunir, agrupar e avaliar evidências para determinar se um sistema de informação suporta adequadamente um ativo de negócio, mantendo a integridade dos dados, e realiza os objetivos esperados, utiliza eficientemente os recursos e cumpre com as regulamentações e leis estabelecidas. Permite detectar de forma automática o uso dos recursos e dos fluxos de informação dentro de uma empresa e determinar qual informação é crítica para o cumprimento de sua missão e objetivos, identificando necessidades, processos repetidos, custos, valor e barreiras que impactam fluxos de informação eficientes. Deve compreender não somente os equipamentos de processamento de dados ou algum procedimento específico, mas sim suas entradas, processos, controles, arquivos, segurança e extratores de informações, além disso, deve avaliar todo o ambiente envolvido: Equipamentos, Centro de processamento de dados e Software.

02

O auditor de sistemas

Imagem: Universidad EAFIT · BY-SA · Openverse

O auditor de sistemas verifica a eficácia dos controles e procedimentos de segurança existentes, a eficiência dos processos em uso, a correta utilização dos recursos disponíveis, assessorando a administração na elaboração de planos e definição de metas, colaborando no aperfeiçoamento dos controles internos, apontando deficiências e irregularidades que possam comprometer a segurança e o desempenho organizacional. Com a larga utilização da tecnologia para o armazenamento das informações contábeis, financeiras e operacionais, o auditor de sistemas tem de se aprimorar no campo de atuação (processos) da organização para extrair, analisar banco de dados envolvidos e suportar decisões das demais áreas de auditoria. A necessidade global de referências nesse assunto, para o exercício dessa profissão, promoveram a criação e desenvolvimento de melhores práticas como COBIT, COSO, ISO 27001 e ITIL Atualmente a certificação CISA – Certified Information Systems Auditor, oferecida pela ISACA – Information Systems and Control Association é uma das mais reconhecidas e avaliadas por organismos internacionais, já que o processo de seleção consta de uma prova extensa que requer conhecimentos avançados, além de experiência profissional e a necessidade de manter-se sempre atualizado, através de uma política de educação continuada (CPE) na qual o portador da certificação deve acumular carga horária de treinamento por período estabelecido.

03

Tipos de auditoria

Imagem: Universidad EAFIT · BY-SA · Openverse

Existem diversos tipos de Auditorias de Sistemas, sendo os principais, mas não se limitando a: Auditoria de Desenvolvimento de Sistemas: Auditoria da Infra Estrutura e Operações de TI:

04

Padrões de Auditoria

Imagem: Universidad EAFIT · BY-SA · Openverse

Podemos classificar os diferentes tipos de auditoria de segurança em três grandes blocos, dependendo do objeto a auditar e das técnicas aplicadas. Sendo estes: Auditores podem ser destinados a nichos específicos da organização e segurança de uma empresa, como a auditoria em:

05

Materialidade, GRC e Análise de Risco

Imagem: Universidad EAFIT · BY-SA · Openverse

Enquanto planeja o calendário anual e cada trabalho de auditoria o auditor-chefe decide o nível de risco de auditoria (ou seja, o risco de chegar a uma conclusão indevida baseada nas evidências) que está disposto a aceitar. Quanto mais efetivo e extensivo o trabalho de auditoria for, menor o risco de uma fraqueza no processo passar despercebida no relatório final de auditoria. O Risco de auditoria é dependente da análise dos níveis de risco inerentes ao processo, ou seja, a possibilidade de impacto material ao processo: financeiro, operacional ou imagem, se a área auditada cometer erros por controles ineficazes ou inexistentes. Estes riscos são determinados quando o auditor realiza ou obtém a análise de risco da organização. Adicionalmente, para avaliar se uma auditoria de TI obteve o êxito esperado, o auditor deve primeiro identificar o escopo e objetivos de teste, para verificar o grau de aderência aos processos e sistemas avaliados. Para atender aos objetivos da auditoria e garantir que os recursos empregados para seu trabalho são utilizados de forma eficiente, o auditor deverá definir níveis de materialidade. O auditor deve considerar aspectos qualitativos e quantitativos para determinar a materialidade. A avaliação do risco deve ser realizada para prover certo grau de conforto que todos os itens de materialidade relevante serão devidamente cobertos pelos trabalhos de auditoria. Essa análise deve identificar áreas que têm alto risco de existência de problemas com materialidade relevante ao negócio.

Materialidade

Avaliando impacto material, o Auditor de Sistemas deve considerar: Enquanto estabelece a materialidade o auditor pode estar realizando auditorias de itens não-financeiros, como Controle de acesso físico, lógico, sistemas de gestão de pessoas, gestão de recursos, desenvolvimento, controle de qualidade, geração de senhas. Nesse caso, deve-se identificar materialidade, com foco nos objetivos esperados do processo de negócio avaliado para que este atinja seus objetivos de controle interno. Quando não existem transações financeiras envolvidas, pode se utilizar outras formas de medir a materialidade:

GRC e Análise de Risco

O acrônimo GRC tem origem na união dos termos governança, riscos e cumprimento, ou em inglês, governance, risk and compliance. Uma tendência recente, de integração das áreas de conhecimento de Gestão de Riscos, Governança Corporativa e práticas de auditoria e controle que visa garantir a conformidade com leis, regulamentos, imposições de padrões consolidando-os dentro de um único modelo, integrado inteligentemente e tendo como um dos seus objetivos a unificação dos interesses comuns e conciliação de interesses opostos de cada uma destas funções. Nesse contexto o Risco pode ser definido como o efeito das incertezas nos objetivos, é relacionado então à probabilidade de um evento ocorrer e a possíveis impactos do evento nos objetivos de negócio. Através da Gestão dos Riscos a organização procura antecipar-se a perdas resultantes de falhas nos procedimentos, seja estas causadas acidentalmente ou não, ameaças externas, econômicas, ambientais, de mercado ou qualquer evento que possa prejudicar interesses da organização ou impedir que oportunidades importantes ao sucesso da empresa sejam aproveitadas

Documentação da Análise de Risco

Uma vez analisado o nível de risco, o auditor deve documentar essa análise em seus papéis de trabalho:

06

Ciclo de Vida

Imagem: Universidad EAFIT · BY-SA · Openverse

A auditoria de sistemas obedece às mesmas etapas que Auditorias tradicionais, abaixo:

07

Análise de Dados e Ferramentas

Imagem: Universidad EAFIT · BY-SA · Openverse

Para a execução dos testes de auditoria, utilizados pelo auditor na obtenção de evidências para suportar suas conclusões, deve-se observar padrões geralmente aceitos como o ISACA “S6 – Desempenho do trabalho de Auditoria” #REDIRECT “Evidência: durante o curso da auditoria, o auditor de SI deve obter evidência suficiente, confiável e relevante para atingir os objetivos da auditoria. Os resultados e as conclusões da auditoria devem ser suportados pela análise e interpretação apropriadas dessa evidência.” Um Auditor deve desenhar selecionar, avaliar e documentar amostras de evidências para que seu trabalho seja suficiente, confiável e relevante e mais importante: que apoie as conclusões obtidas durante os trabalhos de campo.

Amostragem de auditoria

Uma auditoria de sistemas pode ser desempenhada de modo massificado: ou seja, 100% de todos os documentos e dados disponíveis ou através de amostragem dessa população. A amostragem de auditoria é a aplicação de procedimentos para utilizar um percentual inferior a 100% da população, a fim de possibilitar ao Auditor de Sistemas avaliar evidências que o possibilite formular uma conclusão a respeito dessa população. Ao desenhar o tamanho e a estrutura da amostra, o Auditor de Sistemas deve considerar os objetivos da auditoria determinados no planejamento, a natureza da população e métodos de seleção de Amostras.

Selecionando a amostra

O Auditor deve selecionar item de amostragem de forma a serem representativos na população. Os tipos mais comuns de amostragem são:

Amostragem não Estatística

A seleção do tamanho da amostra é afetada pelo nível de risco ou materialidade que essa amostra representa no processo avaliado. O Risco da amostra é o risco que uma amostra mal escolhida poder influenciar na opinião final do auditor, em comparação se esse tivesse utilizado a população inteira. Uma vez que as amostras foram selecionadas para testes, estes procedimentos devem ser adequadamente documentados nos papéis de trabalho. O auditor pode iniciar os testes de auditoria através de Técnicas de Auditoria Auxiliadas por Computador (CAATs) ou TAACs, discutidos brevemente abaixo.

Técnicas de Auditoria auxiliadas por Computador (CAATs) ou TAACs

Mais informações: Análise de dados, Audit Command Language, Computer Aided Audit Tools Técnicas (ou Ferramentas) de Auditoria Auxiliadas por Computador (CAATs) ou TAACs são técnicas ou programas de computador especializados para gerar amostras, importar dados, sumarizar e testar os controles, condições e processos implantados nos sistemas através das amostras que selecionamos. Tipos de CAATs incluem:

Coleta de Evidências

Através do uso de CAATs, o auditor será capaz de obter evidências suficientes para suportar suas conclusões finais de auditoria de sistemas. A evidência de auditoria deve ser suficiente, confiável, relevante e capaz de auxiliar o auditor a formular a opinião e conclusões sobre o processo avaliado. Se o auditor não ter dados suficientes para tal, ele/ela deve sair a campo para obter mais evidências. Procedimentos para isso variam dependendo do sistema sendo auditado. O auditor deve selecionar o teste mais adequado para alcançar o objetivo da auditoria. Alguns listados abaixo podem ser considerados: As evidências de auditoria obtidas devem ser documentadas e organizadas para suportar os levantamentos e conclusões do auditor. Por fim, quando o auditor crer que estes não são possíveis de ser obtidos por qualquer razão, esse fato deve ser documentado no Relatório de Auditoria como limitação de escopo do trabalho.

Vídeos recomendados

Fontes consultadas

Continue pesquisando