Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informao Segurana e Auditoria de Sistemas

1.

Conceitos e Organizao da Auditoria

1.1 Conceitos Auditoria uma atividade que engloba o exame de operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres. A atividade de auditoria pode ser dividida em trs fases: planejamento, execuo e relatrio. O campo da auditoria composto pelo objeto a ser fiscalizado, perodo e natureza da auditoria. O objeto pode ser uma entidade completa (instituio pblica ou privada), uma parte selecionada ou uma funo dessa entidade, e o perodo a ser fiscalizado pode ser de um ms, um ano ou at mesmo corresponder ao perodo completo da gesto de determinado adminis trador. O mbito da auditoria constitui-se da amplitude e exausto dos processos de auditoria. Define at que ponto sero aprofundadas as tarefas de auditoria e seu grau de abrangncia. A rea de verificao o conjunto formado pelo campo e mbito de auditoria. A rea delimita os tempos, em funo da entidade a ser fiscalizada e da natureza da auditoria.

Objeto rea de Verificao Campo Perodo Natureza mbito Sub1 Sub2 Sub3

Controle a fiscalizao exercida sobre as atividades de pessoas, rgos, departamentos ou produtos para que as atividades ou produtos no se desviem das normas preestabelecidas. Os controles podem ser: Preventivos: previnem erros, omisses ou atos fraudulentos. Detectivos: detectam erros, omisses ou atos fraudulentos e ainda relatam sua ocorrncia. Corretivos: usados para reduzir impactos ou corrigir erros uma vez detectados. 1.2 Natureza da Auditoria Os tipos mais comuns so classificados de acordo com os seguintes aspectos: quanto ao rgo fiscalizador, forma de abordagem do Tema e ao tipo ou rea envolvida. 1.2.1 Quanto ao rgo fiscalizador Auditoria interna: realizada pelo departamento interno responsvel pela verificao e avaliao dos sistemas e procedimentos internos de uma entidade. Objetivo: reduzir as probabilidades de fraudes, erros, prticas ineficientes ou ineficazes. Auditoria externa: realizada por instituio externa e independente daquela fiscalizada. Objetivo: emitir um parecer sobre a gesto de recursos da entidade, sua situao financeira, a legalidade e a regularidade de suas operaes. Auditoria articulada: trabalho conjunto de auditorias internas e externas. Quanto forma de abordagem do Tema Auditoria horizontal: auditoria com tema especfico realizada em vrias entidades ou servios paralelamente. Auditoria orientada: auditoria focada em uma atividade especfica qualquer ou em atividades com fortes indcios de erros ou fraudes. Quanto ao tipo ou rea envolvida Auditoria de programas de governo: acompanhamento, exame e avaliao da execuo de programas e projetos governamentais especficos. Auditoria do planejamento estratgico: verifica se os principais objetivos da entidade so atingidos e se as polticas e estratgias de aquisio, utilizao e alienao de recursos so respeitadas.

1.2.2

1.2.3

Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informao Segurana e Auditoria de Sistemas

Auditoria administrativa: engloba o plano da organizao, seus procedimentos e documentos de suporte tomada de deciso. Auditoria contbil: relativa salvaguarda dos ativos e fidedignidade das contas da instituio. Tem como finalidade fornecer uma certa garantia de que as operaes e o acesso aos ativos se efetuem de acordo com as devidas autorizaes. Auditoria financeira ou Auditoria das contas: consiste na anlise das contas, da situao financeira, da legalidade e regularidade das operaes e aspectos contbeis, financeiros, oramentrios e patrimoniais, verificando se todas as operaes foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade: tambm conhecida como auditoria de regularidade ou de conformidade. Consiste na anlise da legalidade e regularidade das atividades, funes, operaes ou gesto de recursos, verificando se esto em conformidade com a legislao em vigor. Auditoria operacional: incide em todos os nveis da gesto, nas fases de programao, execuo e superviso, sob o ponto de vista da economia, eficincia e eficcia. Analisa a execuo das decises tomadas e aprecia at que ponto os resultados pretendidos foram atingidos. Auditoria integrada: inclui simultaneamente a auditoria financeira e a operacional. Auditoria da tecnologia da informao: essencialmente operacional. Os auditores analisam os sistemas de informtica, o ambiente computacional, a segurana de informaes e o controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficincias. tambm conhecida como auditoria informtica, computacional ou de sistemas. 1.2.4 Auditoria de Sistemas Analisa a gesto de recursos, enfocando os aspectos de eficincia, eficcia, economia e efetividade. Pode abranger o ambiente de informtica como um todo (analisando aspectos como segurana fsica e lgica, planejamento de contingncias e operao do CPD) ou a organizao do departamento de informtica (analisando aspectos administrativos da organizao como polticas, padres e procedimentos, responsabilidades, organizacionais, gerncia de pessoal e planejamento de capacidade). Pode ainda envolver controles sobre banco de dados, redes de comunicao e de microcomputadores e controles sobre os aplicativos (desenvolvimento de sistemas, entrada, processamento e sada de dados). Classificao de sub-reas: Auditoria da segurana de informaes determina a postura da organizao com relao segurana. Envolve: a) Avaliao da poltica de segurana b) Controles de acesso lgico c) Controles de acesso fsico d) Controles ambientais e) Plano de contingncias e continuidade de servios Auditoria da tecnologia de informao alm dos aspectos citados anteriormente, esta abrange outros controles que podem influenciar a segurana de informaes e o bom funcionamento dos sistemas de toda a organizao, tais como: a) Controles organizacionais b) Controles de mudanas c) Controles de operao dos sistemas d) Controles sobre bancos de dados e) Controles sobre microcomputadores f) Controles sobre ambientes cliente-servidor Auditoria de aplicativos esta voltada para a segurana e o controle de aplicativos especficos. Compreende: a) Controles sobre o desenvolvimento de sistemas aplicativos b) Controles de entrada, processamento e sada de dados c) Controles sobre contedo e funcionamento do aplicativo, com relao rea por ele atendida 1.3 Equipe de Auditoria O gerente da equipe deve ter habilidade suficiente para recrutar ou formar profissionais com nvel adequado de capacitao tcnica para a realizao de auditoria em um ambiente informatizado. Ele precisa determinar os nveis de conhecimento necessrios de sua equipe.

Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informao Segurana e Auditoria de Sistemas

1.3.1

Conhecimentos necessrios Todos os membros da equipe de auditoria de sistemas deve ter certo conhecimento da rea e experincia prtica anterior, tendo trabalhado em centros de processamento de dados, de desenvolvimento de sistemas, de pesquisa aplicada, ou para fornecedores de hardware, software ou servios de consultoria na rea de informtica. O auditor deve ter conhecimento suficiente de sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. O tipo de conhecimento necessrio em uma auditoria de TI depende do tipo de ambiente computacional da entidade a ser auditada. Os conhecimentos bsicos em informtica englobam desde sistemas operacionais, software bsico, bancos de dados e processamento distribudo, at software de controle de acesso, segurana de informaes, plano de contingncias e de recuperao, metodologias de desenvolvimento de sistemas, etc. Em uma auditoria mais detalhada, provvel que sejam necessrios conhecimentos adicionais de tcnicas como CAATs (Computer Assisted Audit Techniques), software de auditoria e extrao de dados, linguagens de programao especficas, planejamento de capacidade e avaliao de custos de equipamentos, e servios de consultoria em informtica. O auditor de TI deve ainda obedecer os princpios ticos de auditoria e ter bom relacionamento, capacidade de comunicao oral e escrita, senso crtico e conhecimentos especficos na rea a ser auditada. 1.3.2 Composio da equipe Para a formao da equipe, existem trs opes: Contratar consultoria externa Desenvolver a capacidade tcnica em informtica de auditores com formao bsica em contabilidade e auditoria Desenvolver tecnicamente, em auditoria, funcionrios com formao em anlise de sistemas, processamento de dados, engenharia de software, cincia da computao, etc.

Consultoria externa vivel para: Sistemas de alta complexidade. Tarefas especficas, isto , em pontos em que seus conhecimentos sejam realmente indispensveis. Pontos crticos: custos, controle sobre suas atividades e as clusulas contratuais. importante estabelecer objetivos rgidos, oramento adequado e pontos de controle durante a auditoria, supervisionando o trabalho dos consultores at a concluso do servio. Ao trmino da auditoria, normalmente se avalia o servio, reunindo opinies dos consultores, dos membros da equipe de auditoria e da gerncia, com o objetivo de evitar as mesmas falhas no futuro. A contratao de uma auditoria externa deve ser feita logo no incio do trabalho, assim que forem defin idos o campo, o mbito e as sub-reas a serem auditadas e que for verificado que ningum da equipe interna tem condies de realizar o trabalho. Capacitao de auditores par atuarem com Auditores de Sistemas Dificuldades: Transformaes constantes de produtos e tecnologias Termos tcnicos utilizados pelos profissionais de informtica. Capacitao de profissionais de informtica em Auditoria Alternativa mais natural O potencial do profissional deve ser avaliado para a nova funo Deve-se avaliar tambm sua capacidade de adaptao. 1.3.3 Treinamento O treinamento constante de auditores de sistemas imprescindvel. Eles devem participar em Seminrios, Congressos, Workshops e Cursos de Especializao para adquirir e manter os conhecimentos atualizados. 1.3.4 Qualificao Profissional Existem organizaes em alguns pases que promovem certificao de qualificao profissional de auditores de sistemas. Entre elas:

Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informao Segurana e Auditoria de Sistemas

Information Systems Audit and Control Association (ISACA) Certificado de Auditor de Sistemas de informao (CISA) Bristish Computer Society Exame da Sociedade Britnica de Informtica Institute of Internal Auditors (IIA) Qualificao em Auditoria Computacional. O desenvolvimento profissional contnuo no apenas desejvel, mas essencial. Planejamento de atividades As atividades so planejadas em trs nveis. Cada nvel de planejamento gera um documento, denominado plano, com atividades e detalhes para o respectivo perodo de tempo. Plano Estratgico de Longo Prazo: tem objetivos amplos que atingem toda a instituio. feito para um perodo de 3 a 5 anos Plano Estratgico de Mdio Prazo: programa de atividades para o ano que se inicia. Plano Operacional: baseia-se em auditorias individualizadas e contm detalhes exatos dos objetivos a serem atingidos, reas a serem auditadas, recursos necessrios e em que prazos, etc. 1.4 Planejamento e Execuo A fase de planejamento de uma auditoria identifica os instrumentos indispensveis sua realizao. Pesquisa de fontes de informao A equipe deve reunir a maior quantidade possvel de informaes sobre a entidade a ser auditada e seu ambiente de informtica (plataforma de hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento, principais sistemas, etc). As principais fontes de informao so relatrios de auditorias anteriores, bases de dados, documentos ou pginas da entidade na Internet, visitas, etc. Definindo Campo, mbito e Sub-reas Em auditorias de informtica, a natureza auditoria de TI, quase sempre com enfoque empresarial. O objeto pode englobar um sistema computacional especfico; um, vrias ou todas as sees do departamento de informtica; ou at mesmo toda a organizao. O perodo depende do mbito (grau de profundidade das verificaes) e das sub-reas de sistemas escolhidas pela equipe. So determinadas tambm a amplitude e a exausto dos processos de auditoria, incluindo uma limitao racional dos trabalhos a serem executados. A rea de verificao delimita de modo muito preciso os temas da auditoria e, em funo do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-reas. Veja o exemplo abaixo: Objeto Campo rea de Verificao mbito Sub1 Controles de acesso fsico Sub2 Controles de acesso lgico Sub3 Backup Para ambientes extensos ou de grande complexidade, convm limitar a quantidade de controles a serem verificados para que a equipe realiza um trabalho de qualidade. Definindo recursos necessrios Recursos humanos Recursos econmicos Recursos tcnicos: hardware, software, manuais. Perodo Natureza
Segurana de Informaes da empresa De 01/01/2005 a 01/07/2005 Auditoria de TI

Avaliao da eficcia dos controles

Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informao Segurana e Auditoria de Sistemas

Metodologias 1 Entrevistas Entrevistas de apresentao Entrevistas de coleta de dados Entrevistas de discusso das deficincias encontradas Entrevistas de encerramento 2 Uso de Tcnicas ou Ferramentas de Apoio (CAATs) Tcnicas para anlise de dados Tcnicas para verificao de Controles de Sistemas Outras ferramentas: editores de texto, planilhas eletrnicas, bancos de dados e softwares para apresentao. Objetivos de Controle e Procedimentos de Auditoria Para realizar uma avaliao da atuao de outros profissionais, necessrio que o avaliador tenha um modelo normativo, um conjunto de padres, de como a atividade deveria estar sendo feita. Esse modelo normativo traduzido em objetivos de controle a serem avaliados pelo auditor em cada rea especfica. Enquanto os objetivos de controle abrangem uma rea mais ampla, os procedimentos de auditoria descrevem padres individualizados, mais detalhados dentro de cada objetivo. Por exemplo: na rea de segurana, um dos objetivos pode ser o estabelecimento de regras para acesso aos recursos computacionais. Um dos procedimentos de auditoria relacionado a esse objetivo pode ser: verificar se existem procedimentos que definam os recursos computacionais que podero ser acessados e os tipos de transaes que podero ser executadas por cada usurio autorizado. Os objetivos de controle podem ter vrios enfoques: Segurana Atendimento a solicitaes externas Materialidade Altos custos de desenvolvimento Grau de envolvimento dos usurios Outsourcing Execuo Ao longo da execuo da auditoria, a equipe deve reunir evidncias confiveis, relevantes e teis para a consecuo dos objetivos da auditoria. As evidncias podem ser divididas em quatro tipos: Evidncia fsica Evidncia documentria Evidncia fornecida pelo auditado Evidncia analtica Uma evidncia considerada incompatvel com auditoria em execuo pode servir como indicativo para outra auditoria. A manuteno dos papis de trabalho essencial tanto para a elaborao do relatrio da auditoria em questo, como para o planejamento de futuras auditorias. 1.5 Relatrio O auditor apresenta seus achados e concluses na forma de um relatrio, o qual inclui fatos sobre a entidade auditada, comprovaes, concluses e, eventualmente, recomendaes e/ou determinaes. A linguagem utilizada no relatrio deve ser clara, objetiva e simples, evitando-se o uso de termos tcnicos e siglas. Se o uso desses termos e siglas forem necessrios, ento o relatrio deve conter um glossrio ou explanaes ao longo do texto. A estrutura deve ser bem organizada e abranger todas as informaes relevantes para anlise pela chefia ou entidade que solicitou a realizao da auditoria. Dependendo do motivo que levou realizao da auditoria, o relatrio pode ser encaminhado diretoria da organizao, ao organismo que financia a entidade auditada ou ao organismo responsvel pelo controle e auditoria geral da entidade. A equipe de auditoria pode comear a compor o relatrio antes mesmo de iniciar os trabalhos de campo ou durante a fase de planejamento. No planejamento j foram coletadas informaes preliminares sobre a entidade e seus sistemas computacionais e j foram definidos os recursos necessrios para a execuo dos trabalhos, composio da equipe, campo da auditoria, metodologias, objetivos de controle e procedimentos a serem adotados. Todos esses dados compem o relatrio. Durante os trabalhos de

Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informao Segurana e Auditoria de Sistemas

campo, aconselhvel documentar tudo que foi observado pela equipe e dito pelos entrevistados. A equipe deve confirmar os fatos relatados e apresentar ao entrevistado partes do texto referentes a assuntos tratados com ele durante a entrevista para que no haja qualquer mal-entendido ou desvios de interpretao. Ao trmino das investigaes, recomendvel apresentar, aos responsveis da rea auditada, um relatrio parcial contendo as deficincias encontradas. Os responsveis expem seus motivos e justificam as falhas. Suas justificativas podem ser anexadas ao parecer da equipe e includas no relatrio final. A apresentao de relatrios intermedirios evita quaisquer constrangimentos, erros ou inconsistncias, que podero ser identificados, corrigidos ou eliminados antes da apresentao do relatrio final. Relatrio final Deve ser revisado por todos os membros da equipe de auditoria com intuito de verificar sua conformidade com os padres e prticas da organizao auditora e a inexistncia de inconsistncias, erros ou lacunas. conveniente fazer uma reviso em termos gramaticais e estilsticos para garantir clareza e objetividade do texto. Estrutura Os tipos de informao e a estrutura do relatrio so variveis. A equipe deve identificar os pontos mais relevantes e adaptar o relatrio de acordo com seu pblico alvo. Tpicos normalmente abordados em um relatrio dirigido a rgos de auditoria: Dados da entidade auditada: nome, endereo, natureza jurdica (rgo do governo, empresa pblica, autarquia, empresa privada, etc.), relao de responsveis e outras informaes consideradas relevantes pela equipe. Sntese: breve resumo do contedo do relatrio. Dados da auditoria: objetivo, perodo de fiscalizao, composio da equipe, metodologia adotada, natureza da auditoria e objeto (controles gerais da organizao, desenvolvimentos de sistemas, aplicativos especficos, etc.). Introduo: pode conter um breve histrico da entidade e mencionar , se existirem, as concluses de auditorias anteriores feitas na mesma rea. No caso de auditoria de TI recomendvel incluir descrio da estrutura hierrquica do departamento de informtica, sua relao com outros departamentos e com os nveis hierrquicos superiores, descrio do ambiente computacional, evoluo tecnolgica, principais sistemas e projetos. Falhas detectadas: esta a parte mais importante do relatrio, pois apresenta, em detalhes, as falhas e irregularidades detectadas. aconselhvel dividi-la em sub-reas fiscalizadas, para haver um encadeamento lgico de idias. A equipe pode apresentar a descrio da falha, seus comentrios iniciais, a justificativa do auditado e o parecer final da equipe para cada falha, incluindo suas recomendaes. Concluso: so sintetizados os pontos principais e as recomendaes ou determinaes finais da equipe para a correo das falhas ou irregularidades encontradas. Pareceres da Gerncia Superior: em alguns casos, as gerncias superiores do seu parecer a respeito dos achados e recomendaes da equipe de auditoria. Os superiores podero concordar integralmente ou em parte com os pontos de vista da equipe ou ainda discordar integralmente. A incluso desses pareceres depende das prticas adotadas pela organizao auditora ou para quem se dirige o relatrio.

Referncia bibliogrfica: DIAS, C. Segurana e auditoria da tecnologia da informao. 1. ed. Axcel Books. Rio de Janeiro, 2000.