Fundamentos em auditoria

Professor André Campos

Professor André Campos

Uma visão mais ampla sobre segurança da informação poderá

ser obtida no livro Sistema de Segurança da Informação –
Controlando os riscos, de André Campos, Editora Visual
Books.
 Fundamentos em auditoria
Este material foi produzido como apoio didático para disciplinas de
graduação e pós-graduação relacionadas com Tecnologia da Informação.

O uso é permitido a todo e qualquer docente ou discente das referidas

disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
Professor André Campos

ou seja, que os créditos sejam mantidos.

Este material não pode ser vendido. Seu uso é permitido sem qualquer
custo.

Diversas figuras foram obtidas a partir do acesso em sites de imagens.

Estas imagens foram utilizadas em seu estado original, com 72DPI.

Algumas imagens foram obtidas da obra "Sistema de Segurança da

Informação Controlando Riscos".

Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não

visam a obtenção de lucro.

Informações específicas sobre segurança da informação podem ser obtidas

na obra Sistemas de segurança da informação Controlando Riscos;
Campos, André; Editora Visual Books, 2007.
 A auditoria

O objetivo de uma auditoria é garantir a

efetividade dos processos e ativos de uma
determinada organização.
Professor André Campos

A auditoria poderá dedicar-se a comprovar a

eficácia, a comprovar a eficiência, ou a
comprovar a efetividade.
 A auditoria

Consiste basicamente da comparação do

estado dos processos e dos ativos contra um
critério de auditoria.
Professor André Campos

Desta comparação, são possíveis os

seguintes resultados:

• Conforme
• Não conforme (Oportunidade de Melhoria)

Em ambos os casos, é possível haver

observações.
 A auditoria

As conformidades e não conformidades são

aplicadas com base nas evidências de
auditoria, ou seja, em registros, apresentação
Professor André Campos

de fatos ou outras informações que

corroborem as evidências.

A auditoria não pode ser baseada em opiniões

ou avaliações pessoais dos indivíduos
envolvidos na auditoria.
 A auditoria

Os personagens de uma auditoria são o

auditado, que é a organização que recebe a
auditoria, os auditores, que são os que
Professor André Campos

realizam a auditoria, os especialistas, que são

as pessoas que fornecem conhecimento ou
experiência específicos para a equipe de
auditoria, e o cliente de auditoria, que nem
sempre é o auditado; muito comum em caso
de qualificação de fornecedores.
 A auditoria

Para a realização de uma auditoria, é

importante haver um programa de auditoria
que preveja a realização de diversas
Professor André Campos

auditorias, integradas ou não a outros

sistemas auditores, e para cada auditoria um
plano de auditoria. A equipe de auditores
precisa ter a competência adequada para a
auditoria.
 A auditoria

Existem basicamente 3 tipos de auditoria;

Auditoria de primeira parte é a auditoria

Professor André Campos

interna, que objetiva garantir a implementação

correta de controles.

Auditoria de segunda parte é a auditoria

contratada para verificar se a auditoria interna
foi realizada adequadamente.

Auditoria de terceira parte é a auditoria

contrata para aferir certificação com base em
determinado critério de auditoria.
 A auditoria

Uma auditoria deve basear-se em alguns

elementos essenciais, que proporcionarão
confiabilidade a todo o processo.
Professor André Campos

É importante que a auditoria seja pautada pela

ética, pela justiça, pelo zêlo profissional, pela
imparcialidade, e por uma abordagem
baseada em evidências.
 A auditoria

A conduta ética do profissional de auditoria

fará com que ele seja uma pessoa confiável,
íntegra, discreta e que mantém a
Professor André Campos

confidencialidade das informações as quais

tem acesso.
 A auditoria

A apresentação justa refere-se a obrigação

de informar verazmente e precisamente a
respeito das constatações de auditoria, dos
Professor André Campos

relatórios e das conclusões. Mesmo as

divergências entre a equipe de auditoria e o
auditado que não forem resolvidas, devem ser
claramente relatadas.
 A auditoria

O cuidado profissional refere-se ao trabalho

zeloso e a aplicação do julgamento correto na
atividade de auditoria, considerando a
Professor André Campos

relevância e a responsabilidade que um

auditor tem.
 A auditoria

A independência refere-se ao trabalho

imparcial que deve ser realizado pela equipe
de auditoria. Para tanto, os auditores não
Professor André Campos

podem ser subordinados ou dependentes do

auditado direto.

Os auditores precisam manter a mente aberta

e estarem livres da tendência de conflito de
interesses.
 A auditoria

A abordagem baseada em evidências

refere-se ao método científico para gerar as
conclusões de auditoria, de modo que estas
Professor André Campos

sejam confiáveis e reproduzíveis.

A utilização de amostragem é aceitável para

reduzir o tempo de auditoria, mas deve
garantir a confiabilidade necessária aos
resultados obtidos.
 Critérios de auditoria

Existem diversos critérios de auditoria,

dependendo do tipo da auditoria e dos
resultados esperados.
Professor André Campos

Um critério de auditoria é um conjunto de

políticas, procedimentos ou requisitos.

Vejamos alguns destes critérios e seus

principais objetivos.
 Critérios de auditoria

Existem diversos critérios de auditoria,

dependendo do tipo da auditoria e dos
resultados esperados.
Professor André Campos

Um critério de auditoria é um conjunto de

políticas, procedimentos ou requisitos.

Vejamos alguns destes critérios e seus

principais objetivos.
 Critérios de auditoria

A ISO 27.001 é um critério específico para

auditorias de segurança da informação.
Professor André Campos

O objetivo deste critério é garantir que a

informação na organização esteja preservada
quanto a sua confidencialidade,
disponibilidade e integridade.

Ela aborda temas tais como Política de

Segurança, Classificação da Informação,
Segurança Física, Segurança de Acesso
Lógico, Segurança em Sistemas, entre outros.
 Critérios de auditoria

A Sarbanes-Oxley (SARBOX / SOX) é um

critério específico para auditorias de
segurança relacionadas com as atividades
Professor André Campos

financeiras da organização.

Trata-se de uma lei americana criada por Paul

Sarbanes e Michael Oxley com o objetivo de
garantir transparência das operações
financeiras altamente baseadas em sistemas
de informação. Ela estabelece regras de
segurança e auditoria, que inclui a criação de
comitês e comissões de supervisão.
 Critérios de auditoria
Sarbanes-Oxley (SARBOX / SOX)
Seção Seção 302
Requisitos A seção Corporate
Responsibility for Financial
Reports determina que
CEOs e CFOs devem
Professor André Campos
assinar documentos
trimestralmente e
anualmente certificando
que seus relatórios
financeiros estão corretos
e precisos.
Aspectos Garante que os executivos
principais tenham avaliado a
efetivadade dos controles
internos 90 dias antes do
relatório atual.
Principais Quem na organização é
preocupaçoes responsável por garantir a
dos executivos integridade e a
disponibilidade dos
sistemas financeiros?
Seção 404
A seção management
assessment of internal
controls determina que a
organização documente, teste
e relatorie sua estrutrua
interna de controles;
Auditories externos devem
atestar a qualidade destes
controles.
Garante a existência de
controles internos para os
sistemas finaceiros existentes
e outros grandes sistemas
corporativos.
Entre os controles internos,
estão inclusos o Plano de
Continuidade de Negócio e as
respectivas considerações de
recuperação de desastres?
Seção 409
A seção real-time issuer
disclosures determina que a
organização elabore um
relatório claro sobre
material changes to the
financial condition or
operations em no máximo
48 horas.
Garante que o
monitoramento financeiro
está altamente
automatizado e suportado
por um grande número de
diferentes sistemas.
Quanto será a material
changes monitorada quando
os sistemas de
monitoramento estiverem
for a do ar para manutenção
ou upgrade?
 Critérios de auditoria

A metodologia ITIL é um critério específico

itSMF, ou simplesmente, Gerenciamento de
serviços de TI. Contém os seguintes livros:
Professor André Campos

Service Delivery, Service Support, The Business

Perspective - the IS View of Delivering Services to the
Business, Planning to Implement IT Service
Management, Software Asset Management, Security
Management, ITIL Small-scale Implementation,
Applications Management, ICT Infrastructure
Management, Gerenciamento de Serviços de TI na
Prática - Uma abordagem com base na ITIL
 Critérios de auditoria

A metodologia COBIT é um critério específico

para gestão de TI.
Professor André Campos

Grande foco no alinhamento estratégico, no

planejamento e acompanhamento dos planos
e retorno sobre os investimentos em
Tecnologia da Informação.
 Critérios de auditoria

A norma ISO 12.207 é um critério específico

sobre o ciclo de vida do software.
Professor André Campos

A norma se preocupa com a aquisição ou

desenvolvimento do software, seu suporte
durante o período de uso, e os processos de
gestão e melhoria contínua.

Há ainda foco na questão dos treinamentos e

infra necessários para utilização adequada do
software.
 Critérios de auditoria

A norma ISO 9.126 é um critério específico

sobre a qualidade do software.
Professor André Campos

A norma se preocupa com aspectos tais como

funcionalidade adequada, confiabilidade,
usabilidade, eficiência, manutenibilidade, e
portabilidade.

A ISO 14.598 é uma norma de apoio a

avaliação da qualidade de software.
 Critérios de auditoria

O modelo CMMI é um critério específico para

a melhoria contínua do processo de
desenvolvimento de software.
Professor André Campos

Trata-se de um modelo de maturidade, ou

seja, que permite a organização evoluir ao
passo que implementa os procedimentos
propostos.
 Critérios de auditoria

Naturalmente existem outras normas e

metodologias que podem ser adotadas como
critério de uma auditoria. As normas e
Professor André Campos

metodologias apresentadas neste documento

são meramente ilustrativos.
 Competência dos auditores

Boa parte da estabilidade e dos resultados

obtidos pela atividade de auditoria dependem
da competência do auditor.
Professor André Campos

Esta competência é uma composição entre os

atributos pessoais, os conhecimentos e
habilidades, e a educação e experiência
profissional.

O auditor precisa ter competência em

auditoria, e competência específica para o tipo
de auditoria que pretende conduzir.
 Competência dos auditores

Os atributos pessoais estão muito

relacionados com os princípios essenciais de
uma auditoria, que já foi visto.
Professor André Campos

Portanto, o auditor precisa ser ético, ter a

mente aberto, ser diplomático, observador,
perceptivo, versátil, persistente, racional, e
auto confiante.

Estes atributos não são todos facilmente

encontrados em uma só pessoa, mas podem
ser desenvolvidos.
 Competência dos auditores

Quanto aos conhecimentos e habilidades,

isto tem a ver com uma grande diversidade de
aspectos.
Professor André Campos

É importante possuir conhecimentos gerais,

tais como técnicas de auditoria, sistema de
gestão, conhecimento de negócio, leis e
regulamentos.

Competência para liderar equipes de auditoria

é necessário.

Conhecer o critério de auditoria específico é

fundamental.
 Competência dos auditores

A educação e experiência profissional, se

relacionam com a competência para cada
autor da auditoria.
Professor André Campos

O auditor precisa ter treinamento em auditoria

e conhecer bem o critério de auditoria.

O auditor líder precisa ter uma competência

superior a dos demais auditores, em
conhecimento e em experiência.
 Competência dos auditores

Parâmetro Auditor Auditor Líder

Educação Mínimo: nível Idem.

Professor André Campos

médio.
Experiência 5 anos para NM Idem.
total e 1 ano para
NS.
Experiência Mínimo de 2 Idem.
específica anos.
Treinamento 40h. Idem.
em auditoria
Experiência 4 auditorias, 3 auditorias,
em auditoria mínimo 20 mínimo 15
dias. dias, como
líder.
 Competência dos auditores

A competência do auditor precisa ser sempre

melhorada, e que mesmo as competências
existentes sejam mantidas através da
Professor André Campos

participação regular em auditorias.

Os auditores pode se certificar pelo RAC (Registro de

Auditores Certificados). Visite o site
http://www.cic.org.br.

Níveis de certificação:
•Auditor
•Auditor Aspirante
•Auditor Interno
•Auditor Líder
 Programa de auditoria

Um programa de auditoria pode envolver

uma ou mais auditorias, e estas auditorias
pode ser combinadas ou em conjunto.
Professor André Campos

Quando diferentes sistemas de gestão

(qualidade, segurança da informação,
ambiente) são auditados juntos, isto é
chamado de auditoria combinada.

Quando duas ou mais organizações de

auditoria cooperam para auditar um único
auditado, isto é chamado de auditoria
conjunta.
 Programa de auditoria

A ações fundamentais que contribuem para o

êxito das estratégias de negócio da
organização devem ser fortemente apoiadas e
Professor André Campos

patrocinadas pela Alta Direção.

Não é diferente no caso do programa de

auditoria em Tecnologia da Informação,
Segurança da Informação, Governança em TI,
Gestão de Serviços em TI, ou qualquer outra
considerada estratégica.
 Programa de auditoria

De fato, os programas de auditoria precisam

ser geridos, e para tal, a organização deve
estabelecer um processo contínuo para este
Professor André Campos

fim.

Como todos os processos de qualidade, o de

auditoria também precisa garantir a melhoria
contínua, e para tanto, um ciclo P-D-C-A,
demonstrado no próximo slide.
 Programa de auditoria

Existe uma norma específica que estabelece

uma proposta de P-D-C-A para o programa de
auditoria.
Professor André Campos

Esta mesma norma propõe uma metodologia

para as atividades de auditoria, e para as
competências dos auditores.

Esta norma é a NBR ISO 19.011 – Diretrizes

para auditorias.
 Programa de auditoria

Estabelecendo o programa

PLAN
- Objetivos e abrangência
Professor André Campos

ACT
Melhorando o programa de
auditoria - Responsabilidades
- Recursos
- Procedimentos

Monitorando e analisando Implementando o programa

CHECK

- Monitoração e análise crítica - Programando auditorias

- Avaliando auditores
DO

- Necessidade de ações corretivas

- Necessidade de ações - Selecionando equipes
preventivas - Dirigindo auditorias
- Oportunidades de melhoria - Mantendo registros
 Estabelecendo o programa

Um primeiro passo é definir o objetivo do

programa de auditoria, que pode estar
relacionado com questões estratégicas,
Professor André Campos

aspectos comerciais, requisitos do próprio

SGSI, dos clientes, ou das leis e
regulamentos, entre outros.

Por exemplo, “Satisfazer requisitos da norma

X”, “Conformidade com contratos”, e “Ober
confiança do cliente” seriam objetivos
válidos.
 Estabelecendo o programa

Em seguida deve-se definir a

abrangência deste programa, que será
influenciado pelo tamanho e complexidade
Professor André Campos

da organização, frequência das auditorias,

requisitos normativos, preocupações das
partes interessadas, mudanças
significativas na organização, entre outros.
 Estabelecendo o programa

O próximo passo é definir as

responsabilidades do programa de
auditoria.
Professor André Campos

O programa de auditoria deve ser

gerenciado por um ou mais colaboradores
que compreendam os princípios de
auditoria, que possam avaliar os auditores,
e que tenham compreensão técnica e
capacidade gerencial, especialmente da
gestão de projetos.
 Estabelecendo o programa

Os recursos necessários para o programa

de auditoria precisam ser reservados.
Professor André Campos

É importante lembrar que os recursos se

referem não apenas aos aspectos
financeiros, mas também aos recursos
técnicos, ao processo de obtenção
manutenção das competências dos
auditores, recursos humanos
(disponibilidade), tempo e dinheiro para
viagens, hospedagens e coisas do gênero.
 Estabelecendo o programa

Os procedimentos de auditoria deve ser

definidos, e podem fazer parte da Política de
Segurança da Informação (PSI).
Professor André Campos

Devem abranger o planejamento das

auditorias, a manutenção das competências,
a seleção das equipes, a realização das
auditorias, as ações de acompanhamento, o
registro, a monitoramento do programa, e o
processo de comunicação com a Alta Direção
a respeito dos resultados.
 Implementando o programa

Implementar o programa é, de fato,

fazer acontecer tudo o que foi planejado.
Professor André Campos

Isto envolve comunicar as partes

interessadas, coordenar as auditorias,
avaliar continuamente a competência
dos auditores, selecionar e monitorar as
equipes, garantir os recursos,
gerenciar o cronograma de auditoria,
analisar os riscos, e manter a
qualidade do programa.
 Implementando o programa
Em qualquer processo de auditoria, os
registros são de fundamental
importância. São a evidência de que o
Professor André Campos

programa existe.

Sendo assim, são três as principais

categorias de registro:

1 – Relativos a auditoria;

2 – Relativos a análise crítica do

programa;

3 – Relativos ao pessoal de auditoria.

 Implementando o programa
Os registros relativos as auditorias
incluem:
Professor André Campos

1 - Planos de auditoria;
2 - Relatórios de auditoria;
3 - Relatórios de não conformidade;
4 - Relatórios de ação corretiva;
5 - Relatórios de acompanhamento.
 Implementando o programa
Os registros relativos as análise crítica
incluem:
Professor André Campos

1 – Atas de reunião;

2 – Registro de informações consideradas;

3 – Relatório de propostas.
 Implementando o programa
Os registros relativos a equipe de
auditoria incluem:
Professor André Campos

1 – Competência do auditor;
2 – Avaliação de desempenho;
3 – Seleção das equipes;
4 – Experiência adquirida;
5 – Treinamentos realizados.
 Monitorando o programa

A própria implementação do programa

precisa ser monitorada. Pode parecer
estranho, já que o programa criado para
Professor André Campos

auditar precisa também ser auditado.

As informações obtidas neste

monitoramente devem ser estruturadas
de maneira didática e repassadas para a
Alta Direção.
 Monitorando o programa

Mas como monitorar a implantação de

um programa de auditoria?
Professor André Campos

O acompanhamento do cronograma de
implantação é uma bom começo. Os
resultados obtidos em termos de
documentos gerados, procedimentos
escritos, e implementados, devem ser
considerados.
 Monitorando o programa

No entanto, um método efetivo é criar

indicadores de desempenho que
possam monitorar características tais
Professor André Campos

como:

A habilidade da equipe de auditoria em

implementar o plano de auditoria;

A conformidade com o programa de

auditoria e as programações;

A realimentação dos clientes de auditoria,

auditados e auditores.
 Melhorando o programa

O objetivo da análise crítica do

programa de auditoria é considerar
todas as informações possíveis a
Professor André Campos

respeito do programa, de modo que seja

possível avaliar a situação atual, definir
uma situação futura desejada, e propor
melhorias que garantam o
preenchimento da lacuna entre a
situação atual e a desejada.
 Melhorando o programa
A análise crítica deve considerar, por
exemplo:
1 - resultados e tendências apresentadas
Professor André Campos

pelo monitoramento;
2 - A conformidade com os
procedimentos;
3 - A evolução de necessidades e
expectativas das partes interessadas;
4 - Os registros do programa de auditoria
(já mencionados);
5 - A consistência no desempenho entre
equipes de auditoria.
 BIBLIOGRAFIA

ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –

Técnicas de segurança – Código de práticas para a gestão da segurança da
informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.
Professor André Campos

ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –

Técnicas de segurança – Código de práticas para a gestão da segurança da
informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.

Campos, André. Sistema de Segurança da Informação – Controlando o

Risco; Editora Visual Books, Brasil, 2005.

Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP
Exam; Estados Unidos, 2003.

NIST. An Introduction to Computer Security: The NIST handbook; National

Institute of Standards and Technology; Estados Unidos, 2003.

PMI. Project Management Book of Knowledge – PMBOK; Project Management

Institute, Estados Unidos, 2005.