Auditoria Informática

Não existem quaisquer pré-requisitos para a frequência desta Unidade Curricular.

As aulas decorrerão em sala de informática, preferencialmente.

As aulas são teórico-práticas apelando ao desenvolvimento do sentido crítico do estudante, com aprendizagem baseada em resolução de problemas e estudos de casos correspondentes a falhas ou debilidades de controlos internos ou ataques a sistemas informáticos. 

Os alunos são incentivados, ao longo de todo o semestre, a participar e a desenvolver um relatório final de Auditoria sobre um sistema de informação real, preferencialmente, com o qual tenham contacto habitual, ou, em alternativa, participar numa atividade de Job Shadowing protocolada com um dos parceiros desta UC. Cada estudante apresentará o seu relatório final/atividade de Job Shadowing e responderá às questões colocadas pelos peer-reviewers e pelos restantes colegas. Esta metodologia de ensino e de avaliação pretende preparar os alunos para a vida prática: intervir, argumentar, pesquisar, trabalhar em equipa, gerir conflitos, preparar apresentações e apresentar trabalhos.

O posicionamento desta unidade curricular na Licenciatura em Informática de Gestão e a inexistência de qualquer preparação anterior – ainda que de carácter geral – em Auditoria, torna imperativo que sejam transmitidos conhecimentos elementares de Auditoria e Controlo Interno bem como da condução e planificação dos processos de auditoria e do perfil, competências e comportamento do auditor em contexto de recolha de dados.

Aspetos relacionados com a comunicação (quer se trate de comunicação verbal ou escrita) e o comportamento (postura, atitude, aspetos de ética profissional) em auditoria são aspetos considerados como parte das soft skills fundamentais em Auditoria de Sistemas de Informação e são abordados nesta UC.
Conhecer os organismos internacionais de referência na área de Auditoria (ISACA e The Institute of Internal Auditors – EUA) bem como boas práticas internacionais a adotar: Internal Control Frameworks e Frameworks para IT Governance.
A abordagem de Computer Assisted Audit Tools, CAATs, permite que os alunos tomem consciência dos procedimentos complementares disponíveis em termos informáticos.

Esta Unidade Curricular pretende, na sequência dos conhecimentos já adquiridos nas cadeiras de Sistemas de Informação I e Sistemas de Informação II, Segurança Informática e Bases de Dados dar aos alunos as competências complementares orientadas para a Auditoria de um Sistema de Informação, Auditoria às aplicações, às bases de dados ou aos controlos da entidade.

A parceria entre o ISCAC e o ISACA (www.isaca.org), através do Programa Academic Advocates do ISACA, assume particular importância no âmbito desta Unidade Curricular facilitando o acesso a documentação atualizada e relevante na área de Auditoria de Sistemas de Informação (ISACA Journal), promovendo a discussão de temáticas emergentes a nível mundial e potenciando o envolvimento dos alunos no ISACA Student Group do ISCAC (constituído em maio de 2013).

Finalmente, espera-se que os estudantes estejam aptos a intervir nesta na área de Auditoria de Sistemas de Informação através da promoção de eventos destinados ao público em geral, nomeadamente, através da realização do Seminário “Digital Leaders of Tomorrow”.

No final do semestre, o estudante de Auditoria Informática deverá atingir os seguintes objetivos: 

• Dominar os conhecimentos elementares de Auditoria, nomeadamente os procedimentos a observar num processo genérico de auditoria e de auditoria em Tecnologias de Informação;
• Identificar o perfil adequado e as normas de conduta para o exercício da Profissão de Auditor e de Auditor de Sistemas de Informação;
• Conhecer as normas mais relevantes no âmbito de Auditoria de Sistemas de Informação;
• Conhecer as certificações na área de Auditoria de Sistemas de Informação e os códigos de ética e conduta;
• Conhecer métodos, paradigmas e instrumentos adequados à elaboração do diagnóstico, auditoria e recomendações relativas ao sistema informático de uma organização.
• Adquirir competências para a elaboração de relatórios de Auditoria de Sistemas de Informação. Nestas competências incluem-se as da escrita em Português com a máxima correção, bem como o estudo de bibliografia em Inglês e a atualização permanente de conhecimentos.
• Compreender as fases e as melhores boas práticas para auditoria a: controlos aplicacionais, aplicações, programas de cibersegurança, aos projetos de implementação de inteligência artificial, bases de dados e Auditoria a Cloud Computing e operações em Outsoucing:
• Analisar procedimentos ao nível de políticas da qualidade em processos de Auditoria de Sistemas de Informação: analisar um Procedimento, Instruções de Trabalho e Impressos, detetar não-conformidades, proceder a recomendações e analisar follow-up;
• Conhecer o conceito de CAAT e dominar uma ferramenta de auditoria aos dados (para deteção de anomalias e fraude).

Os estudantes deverão ainda estar aptos com as seguintes competências: 

•  comportarem-se de acordo com o código de ética e conduta para a realização de auditoria de Sistemas de informação
•  elaborar relatórios claros de auditoria de SI
•  identificar debilidades em controlos de SIs em casos de fraude que envolvam SI e propor correções e novas regras de controlo.

Parte I – Conceitos e Enquadramento

1. Conceitos Genéricos de Auditoria
1.1. Conceito de Auditoria e necessidade de Auditoria
1.2. Necessidade de Auditoria Informática
1.3. Aspetos históricos
1.4. Tipos de Auditoria
1.5. Fases de um processo de Auditoria
1.6. Metodologia de Auditoria
1.7. Competências e Comportamentos de um Auditor
1.8. Recolha de dados: Entrevistas e questionários
1.9. Relatórios de Auditoria

2. Conceitos de Auditoria Informática e função de Auditoria interna em TI
2.1. Aspetos históricos
2.2. Missão dos departamentos de Auditoria interna de TI
2.3. Perfil do Auditor Informático
2.4. Papel da Equipa de Auditoria
2.5. Atitude: Policiamento vs parceria
2.6. Auditoria Contínua
2.7. Desafios da Auditoria Informática
2.8. Deteção de anomalias e fraude
2.9. Certificação Internacional em Auditoria

3. Processo de Auditoria de Sistemas de Informação
3.1. Enquadramento
3.2. Controlos Internos
3.3. Definir o que auditar
3.4. Fases de uma auditoria
3.5. Standards

Parte II – Técnicas de Auditoria
4. Auditoria aos controlos
4.1. Planeamento estratégico
4.2. Indicadores de performance e métricas
4.3. Aprovação de projetos e processos de monitorização
4.4. Políticas, standards e procedimentos
4.5. Gestão das equipas
4.6. Gestão de ativos e da capacidade
4.7. Gestão da mudança e reflexo nos sistemas
4.8. Checklists

5. Auditoria às Aplicações
5.1. Enquadramento
5.2. Aspetos fundamentais da auditoria às aplicações
5.3. Fases da Auditoria às aplicações
5.4. Checklists de referência

6. Auditoria às Bases de Dados
6.1. Enquadramento
6.2. Aspetos fundamentais da auditoria às bases de dados
6.3. Fases da Auditoria às Bases de Dados
6.4. Ferramentas e tecnologia
6.5. Checklists de referência

7. Auditoria aos Programas de Cibersegurança
7.1. Enquadramento
7.2. Aspetos fundamentais da auditoria aos Programas de Cibersegurança
7.3. Fases da Auditoria aos Programas de Cibersegurança
7.4. Checklists de referência

8. Auditoria a Cloud Computing e operações em Outsourcing
8.1. Definições de cloud computing e outras formas de outsourcing de TI
8.2. Validações de 3.ª parte (Third-party attestations) e certificação ISO 27001
8.3. Controlos para seleção de fornecedores
8.4. Itens a incluir nos contratos com fornecedores
8.5. Requisitos de segurança de dados
8.6. Desafios operacionais, legais e de conformidade com regulamentos

9. Auditoria à implementação de Projetos de Inteligência Artificial

9.1 Enquadramento
9.2 Checklist
9.3 Aplicabilidade

10. Auditoria Forense (Seminário)
10.1. Enquadramento
10.2. Investigação
10.3. Estudo de Casos

11. Auditoria aos Dados e Ferramentas de Auditoria para Auditores não informáticos
11.1. Ferramentas de Auditoria Assistida por Computador para deteção de anomalias e fraude
11.2. Curso Prático de IDEA Analytics
11.3. Estudo de Casos

NAO

Bibliografia Principal

• Kegerreis, Mike, Schiller, Mike, Davis, Chris. (2019). IT Auditing Using Controls to Protect Information Assets, 3rd edition, McGraw Hill editors

Bibliografia auxiliar

• Otero, Angel R., Information Technology Control and Audit, 5th Edition, Auerbach, 2019
• Carneiro, Alberto – Auditoria e Controlo de Sistemas de Informação, FCA, 2009 – ISBN: 972-722-436-9
• Oliveira, José António – Método de Auditoria a Sistemas de informação, Porto Editora, 2006
• Cannon, David L., Bergmann, Timothy S., Pamplin, Brady – CISA: Certified Information Systems Auditor Study Guide, Publisher: John Wiley & Sons; Pap/Cdr St edition (12 May 2006), ISBN-10: 0782144381
• Cascarino, Richard – Auditor’s guide to information systems auditing, John Wiley & Sons, 2007, ISBN: 978-0-470-00989-5
• Granjal, Jorge, Segurança Prática em Sistemas e redes com Linux, FCA Editores, 2017 (apenas a parte correspondente a Auditorias)
• Hunton, James E., Bryant, Stephanie M. Core, Bagranoff, Nancy A. – Concepts of Information Technology Auditing, John Wiley & Sons; Pap/Cdr edition (7 Oct 2003), ISBN-10: 0471222933

Outros Materiais de Consulta

• • Site ISACA, Information Systems Audit and Control Association (www.isaca.org)
• • ISACA Journal: http://www.isacajournal-digital.org/isacajournal/Store.action
• • Site “The Institute of Internal Auditors” (https://na.theiia.org/Pages/IIAHome.aspx)
• • Slides de apoio desenvolvidos especificamente para a cadeira
• • Outros Manuais de Aplicativos de suporte à Auditoria (IDEA, ACL, Working Papers)