Introdução

Auditoria de Tecnologia da Informação = Auditoria de Sistemas.
Nesse tipo de auditoria é analisado um conjunto de controles gerenciais e procedimentos que afetam o ambiente de informática tais como:
* Itens de verificação;
* Padrões e políticas adotadas pela organização;
* Operação sobre sistemas e dados;
* Disponibilidade e manutenção do ambiente computacional;
* Utilização dos recursos computacionais;
* Gerência de banco de dados e rede;
* Aspectos relacionados a segurança de informação.

Controles Organizacionais São políticas, procedimentos e estrutura organizacional estabelecida para definir as responsabilidades dos envolvidos nas atividades relacionadas a área de informática. São o ponto de partida das auditorias de sistemas. O auditor na fase de planejamento, deve analisar a estrutura adotada pela entidade auditada, seus componentes e relacionamentos com os outros setores da organização, responsabilidades organizacionais. O Departamento de Informática deve ter uma estrutura organizacional bem definida. Importância em relação a outros setores. Não quer dizer que a deva se considerar “superior”. As descrições dos cargos e habilidades técnicas para desempenha-los devem estar estabelecidas e documentadas.
Responsabilidades Organizacionais Deve existir um canal de relacionamento entre a alta gerência, sobretudo para assegurar os recursos necessários à implantação e manutenção da segurança, além do próprio comprometimento do desempenho do departamento.
Políticas, Padrões e Procedimentos São a base para o planejamento gerencial, o controle e a avaliação do DI (Departamento de Informática). Políticas e padrões implementados pela alta gerência são mais considerados na prática. A partir das políticas, são estabelecidos padrões, por exemplo, para aquisição der recursos (humanos ou computacionais), projetos, desenvolvimentos etc.
Procedimentos descrevem a forma como as atividades deverão ser executadas. Podem ser determinadas pelo DI e aprovados