0001 - 1940 Auditoria Sistemas

CENTRO UNIVERSITRIO FEEVALE
ANDREY SIMON UNGARETTI NOVAES DA SILVEIRA
AUDITORIA DE SISTEMAS - PROPOSTA DE SOLUO PARA GERENCIAMENTO E CONTROLE DE AUDITORIAS
Novo Hamburgo, Julho de 2009.
ANDREY SIMON UNGARETTI NOVAES DA SILVEIRA
AUDITORIA DE SISTEMAS - PROPOSTA DE SOLUO PARA GERENCIAMENTO E CONTROLE DE AUDITORIAS
Centro Universitrio Feevale Instituto de Cincias Exatas e Tecnolgicas Curso de Cincia da Computao Trabalho de Concluso de Curso II
Professor orientador: Ms. Alexandre Zamberlam
Novo Hamburgo, julho de 2009.
AGRADECIMENTOS
Gostaria de agradecer a todos os que, de alguma maneira, contriburam para a realizao desse trabalho e, em especial: A minha famlia pelo incentivo, compreenso e apoio. Ao meu orientador Ms. Alexandre Zamberlam pela ajuda e presteza sempre demonstrada no decorrer do trabalho, o que foi de fundamental importncia nessa jornada. Aos meus avaliadores pelas consideraes emitidas que foram de grande valia para um melhor desenvolvimento do trabalho.
RESUMO
Este trabalho apresenta um estudo acerca dos trabalhos de auditoria de TI, verificando a importncia e abrangncia da mesma para as organizaes, como uma ferramenta que auxilie a avaliao de aspectos relativos Segurana da Informao e, desta forma, validar determinados controles internos. Com base nos dados pesquisados, foi efetuado estudo de caso em uma empresa que possui auditoria interna na rea de TI, com o objetivo de verificar as vulnerabilidades existentes nos processos de auditoria atualmente utilizados e sugerir melhorias, por meio de uma proposta de modelo computacional, visando uma maior eficincia nos trabalhos da auditoria interna. Palavras-Chaves: Controle Interno, Auditoria de TI, Anlise de Risco.
ABSTRACT
Title: IT Audit This work presents a study about IT Audit, verifying its importance and range for the organizations as a tool that aid the features assessments related with the Information Security and, this way, validating some internal controls. By the research done, it was applied a case in a company that uses internal controls in IT Audit. In fact, it was proposed a computational model to increase the efficiency in internal audit process. Keywords: Internal Control, IT Audit, risk analysis
LISTA DE FIGURAS
Figura 1-1: Ciclo de vida da informao, considerando os conceitos bsicos da segurana. .. 17 Figura 1-2: Ciclo de vida do Ponto de Controle e Ponto de Auditoria ..................................... 27 Figura 3-1: Organograma da empresa. ..................................................................................... 38 Figura 3-2: Organograma da auditoria interna. ........................................................................ 40 Figura 5-2- Diagrama entidade relacionamento ....................................................................... 76 Figura 5-3- Tela inicial de acesso ao sistema ........................................................................... 77 Figura 5-4- Consulta, incluso e excluso de auditorias .......................................................... 78 Figura 5-5- Auditores ............................................................................................................... 79 Figura 5-6- Cadastramento de auditores ................................................................................... 80 Figura 5-7- Sistemas ................................................................................................................. 81 Figura 5-8- Incluso de sistemas .............................................................................................. 82 Figura 5-9- Incluso de sistemas (continuao) ....................................................................... 83 Figura 5-10- Roteiros ............................................................................................................... 84 Figura 5-11- Alterao de controle macro ................................................................................ 85
Figura 5-12- Dados de um ponto de controle ........................................................................... 86 Figura 5-13- Avaliaes ........................................................................................................... 87 Figura 5-14- Roteiro Atribuio do risco do sistema ............................................................ 88 Figura 5-15- Recomendaes para plano de ao .................................................................... 89 Figura 5-16- Modelo de plano de ao ..................................................................................... 90 Figura 5-17- Tela de relatrios ................................................................................................. 91 Figura 5-18: Anlise de risco de um sistema ............................................................................ 92 Figura 5-19: Comparao de risco entre sistemas .................................................................... 93
LISTA DE ABREVIATURAS
CPD ISO ITF NBR SI TCU TI TIC UML CD MER DER BD SOX
Centro de Processamento de Dados International Standardization Organization Integrated Test Facility Norma Brasileira Sistemas de Informao Tribunal de Contas da Unio Tecnologia de Informao Tecnologia da Informao e Comunicao Unified Modeling Language Compact Disc Modelo Entidade-Relacionamento Diagrama Entidade-Relacionamento Banco de dados Sairbanes Oxley
SUMRIO
INTRODUO ...................................................................................................................... 12 1 SEGURANA DA INFORMAO E CONTROLE INTERNO .................................. 15 1.1 Importncia da informao ............................................................................................ 15 1.2 Classificao da informao .......................................................................................... 15 1.3 Ciclo de vida da informao .......................................................................................... 16 1.4 Segurana da informao .............................................................................................. 18 1.5 Definio de controle interno ........................................................................................ 19 1.6 Controle interno e auditoria ........................................................................................... 20 1.7 Parmetros de controle interno ...................................................................................... 20 1.7.1 Fidelidade da informao em relao ao dado .................................................... 21 1.7.2 Segurana fsica ................................................................................................... 22 1.7.2.1 Controle de acesso fsico .................................................................................. 22 1.7.2.2 Controle ambiental ........................................................................................... 23 1.7.3 Segurana lgica .................................................................................................. 23 1.7.4 Confidencialidade ................................................................................................ 24
1.7.5 Obedincia legislao ....................................................................................... 24 1.7.6 Eficcia ................................................................................................................ 25 1.7.7 Eficincia ............................................................................................................. 25 1.7.8 Obedincia s diretrizes da alta administrao .................................................... 25 1.8 Ponto de controle e ponto de auditoria .......................................................................... 25 2 AUDITORIA........................................................................................................................ 29 2.6 Tipos de auditoria .......................................................................................................... 30 2.7 Natureza da auditoria ..................................................................................................... 31 2.8 Auditoria de TI .............................................................................................................. 32 2.9 Conceitos e objetivos ..................................................................................................... 33 3 ESTUDO DE CASO ............................................................................................................ 36 3.6 Dados da empresa .......................................................................................................... 37 3.7 Estrutura organizacional da auditoria interna ................................................................ 39 3.7.1 Chefe da auditoria ................................................................................................ 40 3.7.2 Gerncia de auditoria de sistemas ........................................................................ 41 3.8 Metodologia de trabalho da auditoria de sistemas ........................................................ 42 3.8.1 Processos envolvidos na auditoria de sistemas .................................................... 43 3.8.2 Limitaes da metodologia utilizada ................................................................... 44 4 ANLISE DE RISCOS....................................................................................................... 46 5 SOLUO PROPOSTA .................................................................................................... 51 5.1 Requisitos do sistema proposto ...................................................................................... 53
5.2 Metodologia de projeto/desenvolvimento ...................................................................... 55 5.2.1 Tcnica de modelagem utilizada ........................................................................... 55 5.2.2 Linguagem de modelagem .................................................................................... 55 5.2.3 Ferramentas utilizadas para o desenvolvimento da aplicao ............................... 56 5.2.4 Diagramas ............................................................................................................. 56 5.2.5 Diagramas de Caso de Uso ................................................................................... 56 5.2.6 Modelo Entidade-Relacionamento (ER) ............................................................... 75 5.2.7 Prottipo de Telas do Sistema ............................................................................... 77 CONSIDERAES FINAIS ................................................................................................. 94 REFERNCIAS BIBLIOGRFICAS ................................................................................. 95
INTRODUO
O surgimento da informtica e do processamento eletrnico de dados trouxe diversas facilidades para as pessoas e, sobretudo, para as corporaes, que passaram a utilizar os Sistemas de Informao (SI) para auxiliar no processo de deciso gerencial da empresa. Em um mundo competitivo e dinmico, torna-se vital para as empresas que busquem eficincia e eficcia nos sistemas de informao utilizados, alm de garantir a segurana das informaes geradas pelos mesmos. Para que a empresa consiga obter um grau de confiabilidade satisfatrio e possa verificar a conformidade de suas informaes, torna-se fundamental que sejam efetuadas verificaes e testes em seu ambiente de TI. Testes estes efetuados pelo departamento responsvel pela Auditoria de TI da empresa. Nota-se que Auditoria no se limita simplesmente em auditar Sistemas de Informao. A mesma utiliza um conjunto de procedimentos que formam um conjunto de verificaes e averiguaes que permitem obter e analisar as informaes necessrias formulao da opinio do auditor. Geralmente em listas de pontos a serem verificados durante a Auditoria. Porm, a grande quantidade de sistemas e ambientes existentes nas empresas aliada ao nmero reduzido de funcionrios para realizar os trabalhos de auditoria, demanda a utilizao de critrios para eleio dos sistemas a serem auditados, aproveitando melhor os recursos humanos disponveis na empresa. Segundo o estatstico William Edwards Deming, O que no pode ser medido, no pode ser gerenciado. Baseando-se nessa premissa, necessria a utilizao de uma mtrica definida para que a empresa possa efetuar a anlise de priorizao de auditorias.
13
Alm disso, torna-se complexo o gerenciamento dessas anlises sem uma ferramenta de apoio que, a partir da mtrica aplicada, retorne indicadores que auxiliem no planejamento dos trabalhos de auditoria. Tambm fundamental a utilizao de uma ferramenta de apoio que vise automatizar o trabalho dos auditores e auxiliar no gerenciamento das recomendaes efetuadas, uma vez que o controle manual das recomendaes gera re-trabalho e fragilidades ao processo, visto que no h um controle automatizado do mesmo. Neste trabalho so abordados assuntos relacionados a Auditoria de TI, tais como: informao, controle interno, auditoria em geral, etc., com utilizao de uma empresa para estudo de caso, verificando as dificuldades encontradas na realizao de suas auditorias. A partir disso, proposta a construo de uma ferramenta que ajude a sanar as dificuldades dos profissionais da rea. Sendo assim, para um melhor entendimento do apresentado, dividiu-se o trabalho em seis captulos. O captulo um aborda a importncia e a segurana da informao. Alm disso, apresenta controle interno e seus parmetros existentes, relacionando-o com auditoria. Tambm efetuado comparativo entre ponto de controle e ponto de auditoria. O captulo dois trata sobre auditoria, apresentando o seu conceito, os tipos existentes, suas classificaes, com nfase em auditoria em TI, visto que esse assunto o foco da pesquisa realizada, abordando o conceito e objetivos desse tipo de auditoria. Aps a apresentao do tema de pesquisa, efetuado estudo de caso em uma empresa que possui um departamento de auditoria interna voltado a TI, buscando verificar possveis limitaes na metodologia utilizada atualmente pela mesma. Finalizando o levantamento das necessidades da empresa, apresentada no captulo quatro anlise de risco, indicando como pode ser utilizada para resoluo dos problemas detectados no estudo de caso. No captulo cinco, apresentado um comparativo das solues existentes no mercado, seguido da proposta de uma ferramenta que venha a resolver os problemas identificados 13
14
durante o estudo de caso, com o objetivo de auxiliar nos processos que envolvem a auditoria de TI da empresa, seguido da apresentao de um modelo funcional da soluo proposta, a metodologia, as tcnicas utilizadas, a modelagem e o prottipo de telas da mesma.
14
1 SEGURANA DA INFORMAO E CONTROLE INTERNO
Neste captulo, abordada a importncia da segurana da informao e o papel do controle interno nesse processo, alm de conceitos e definies acerca do tema.
1.1 Importncia da informao A informao um poderoso instrumento estratgico para as empresas nos dias atuais, sendo considerado como um ativo de valor inestimvel para as organizaes. Smola (2003, p. 47) afirma que todas as empresas, independente de seu segmento de mercado, em todas as fases de existncia, sempre usufruem a informao como apoio tomada de deciso para suas aes e seus planos. A NBR ISO 17799 define que:
A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao junto ao mercado.
1.2 Classificao da informao As informaes podem ter diferentes tipos, de acordo com sua importncia, seu valor, requisitos legais, sensibilidade e criticidade para a organizao.
16 Segundo Cludia Dias (2000, p.54), a informao pode ser classificada em: 1. Pblica - Informao de domnio pblico; 2. Interna Informao exclusiva para os funcionrios de uma organizao; 3. Confidencial Informao para determinado grupo de pessoas ou departamentos; 4. Restrita Informao restrita a um nmero reduzido de pessoas;
Porm, a autora afirma que, cada empresa, de acordo com sua necessidade pode classificar a informao a sua maneira.
1.3 Ciclo de vida da informao Segundo Smola (2003, p. 10), independente da forma com que uma informao apresentada, so quatro as principais fases em que se pode dividir seu ciclo de informao. A primeira fase refere-se ao manuseio da informao, ou seja, quando a informao criada e manipulada. A segunda fase refere-se ao armazenamento da informao, que refere-se a todas as formas possveis de armazenamento, que pode ocorrer tanto eletronicamente quanto manualmente; A terceira fase diz respeito ao transporte da informao, no importando qual meio foi utilizado para o transporte da mesma, podendo ser eletronicamente, fisicamente ou at mesmo verbalmente; A quarta e ltima fase referem-se ao descarte da informao, quando a informao destruda. de fundamental importncia que, em todos os momentos do ciclo de vida da informao, sejam observados e preservados todos os atributos referentes aos controles que devem ser mantidos em relao s informaes, para salvaguardar suas propriedades bsicas.
17 Conforme Smola:
Toda a informao influenciada por trs propriedades principais: confidencialidade, integridade e disponibilidade, alm dos aspectos autenticidade e legalidade que complementam esta influncia". (SMOLA, 2003, p. 9).
Para um melhor entendimento, a figura a seguir ilustra as fases da informao, bem como suas propriedades bsicas:
Manuseio
Autenticidade
Co nf id en cia lid ad e
In te g
Descarte
Informao
Disponibilidade
Legalidade
ri da de
Armazenamento
Transporte
Figura 1-1: Ciclo de vida da informao, considerando os conceitos bsicos da segurana.

Fonte: SMOLA (2003, p. 11).
18 Visando garantir que no sejam alteradas as propriedades da informao, torna-se fundamental que seja aplicada uma poltica que vise a segurana da informao, conforme consta no prximo item abordado.
1.4 Segurana da informao A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. Segundo a Norma NBR ISO 17799, a informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao junto ao mercado. Com o crescente dinamismo da evoluo tecnolgica e sua participao no mundo corporativo, foi crescendo a ameaa na qual as informaes ficam expostas e, consoante a isto, um maior impacto para as organizaes. Cludia Dias (2000, p. 40), afirma que: Na sociedade da informao, ao mesmo tempo que as informaes so consideradas o principal patrimnio de uma organizao, esto tambm sob constante risco, como nunca estiveram antes. Com isto, a segurana de informaes tornou-se um ponto crucial para a sobrevivncia das instituies. A segurana da informao visa proteger a informao, bem como o ambiente de TI da empresa, de possveis falhas que venham a afetar a integridade, a disponibilidade e a confidencialidade das informaes. Dias (2000) define segurana da informao como sendo a proteo de informaes, sistemas, recursos e servios contra desastres, erros e manipulao no autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurana.
19 Para que sejam protegidos os ativos das organizaes, so observados certos controles, denominados de Controles Internos, conforme ser tratado no item seguinte.
1.5
Definio de controle interno
Carlos Hideo Arima, em sua obra Metodologia de Auditoria de Sistemas, todo plano de organizao da empresa, composto de mtodos e medidas coordenadas e aplicadas, visa proteger os bens, conferir a exatido e a fidelidade dos dados contbeis, promover a eficincia operacional e estimular a obedincia s diretrizes administrativas estabelecidas.(ARIMA, 1994, p.12) Neste caso, deve o auditor, avaliar determinados controles, atravs de um trabalho de auditoria, procurando documentar e manter em dia a documentao de programas, inclusive das possveis alteraes, instruir de forma escrita e precisa os operadores, no aceitando informaes verbais de programadores, manter ponto de controle em toda a extenso do processamento, assim como, um controle de todos os hardwares (equipamentos) e softwares (programas), as licenas e demais equipamentos fsicos, da manuteno preventiva e corretiva, dos treinamentos realizados, das responsabilidades de cada usurio etc. Para tanto, as organizaes devem elaborar um Plano Organizacional, definindo com clareza deveres e responsabilidades, e um plano de contas que possibilite capturar a realidade. A correta observao dos princpios de controle interno envolvendo TI de fundamental importncia para as empresas que utilizam meios eletrnicos de processamento de dados. Os documentos que explicam e servem de suporte aos programas de auditoria devem ser cuidadosamente elaborados e mantidos. Controles internos podem ser definidos como todas as polticas adotadas pelas empresas com intuito de mitigar riscos e melhorar processos. Para o Instituto Americano de Contadores Pblicos Certificados apud Arima (1994, p.12), os principais objetivos dos controles internos so: proteger os ativos da empresa;
20 obter informaes adequadas; promover a eficincia operacional da organizao; estimular a obedincia e o respeito s polticas da administrao. Em outras palavras, os controles internos devem assegurar que as vrias fases do processo decisrio e do fluxo de informaes se revistam da necessria confiabilidade.
1.6 Controle interno e auditoria A existncia de sistema de controles internos apropriados propicia s empresas proteo menos onerosa e mais eficaz. Com base nos Sistemas de Controle Interno (SCI) existentes nas empresas, que a auditoria determina a extenso de seu exame e os procedimentos a serem aplicados, os quais, inclusive, devem prever investigaes mais detalhadas em contas ou reas perigosas da companhia. A finalidade da reviso da adequao do sistema de controles internos determinar se o mecanismo estabelecido eficaz para assegur-los com eficincia e economia. Para tanto, torna-se necessrio que sejam utilizados certos parmetros, conforme abordado no prximo item.
1.7 Parmetros de controle interno Conforme Arima (2006, p. 13), para permitir melhor identificao dos seus parmetros, pode-se separar o controle interno em dois conjuntos, ou seja: 1. Controle Interno Contbil; 2. Controle Interno Administrativo; Essa diviso torna-se muito importante para definir objetivos e responsabilidades da auditoria externa e interna. Ficando a auditoria externa com maior nfase em controle interno contbil e a auditoria interna atuando predominantemente com o controle interno
21 Administrativo. A tabela a seguir apresenta a classificao de controle interno como contbil e administrativo, adequando-o s necessidades e aos requisitos de um Sistema de Informao. Tabela 1:1: Parmetros de Controle Interno CONTROLE INTERNO CONTBIL ADMINISTRATIVO
Fidelidade da informao em Eficcia relao ao dado Segurana fsica Segurana lgica Eficincia Obedincia administrao Confidencialidade (Privacy) Obedincia legislao em vigor
Fonte: Arima (2006, p. 13)
diretrizes
da
alta
Adiante sero detalhados os itens relativos ao controle interno contbil e administrativo. 1.7.1 Fidelidade da informao em relao ao dado
Fidelidade da informao em relao ao dado, quer dizer que, os dados extrados esto corretos e so condizentes aos que deram origem aos mesmos, ou melhor, os dados que deram entrada no sistema. Consiste na validao dos resultados do sistema de informao ao nvel de registros, informaes e dados. Entende-se por sistema de informaes os arquivos lgicos, banco de dados, documentos de entrada de dados e relatrios de sada.
22 A validao da fidelidade da informao em relao ao dado pode levar a tomar medidas corretivas para os processos falhos ou errneos, pelo grau de falha ou erro detectado na confrontao. Cabe ao auditor, neste controle, certificar-se de que no foram alterados dados e nem perdidos durante o processamento dos dados em informao. 1.7.2 Segurana fsica
Entende-se como segurana fsica a avaliao dos recursos materiais e humanos aplicados ao ambiente de TI. (DIAS, 2000, p. 99) De acordo com Dias (2000, p. 100), a segurana fsica pode ser abordada de duas formas: segurana de acesso, que trata das medidas de acesso fsico no autorizado, e segurana ambiental, que trata da preveno de danos por causas naturais. 1.7.2.1 Controle de acesso fsico Pode-se definir controle de acesso fsico, como sendo as medidas a serem tomadas visando proteger equipamentos e informaes contra usurios no autorizados, prevenindo que os mesmos tenham acesso a esses recursos. (DIAS, 2000, p. 100) Dias (2000, p. 100), informa que os recursos a serem protegidos pelo controle de acesso fsico so:
os equipamentos (servidores, estaes de trabalho, CPUs, placas, vdeos, mouses, teclados, unidades de disco, impressoras, scanners, modems, linhas de comunicao, roteadores, cabeamento eltrico, etc.), a documentao sobre hardware e software, aplicativos, poltica e procedimentos de segurana, os suprimentos (disquetes, fitas, formulrios, papel) e as prprias pessoas
A proteo fsica dos recursos apresentados constitui-se em uma barreira adicional e anterior s medidas de segurana de acesso lgico, protegendo tambm os recursos lgicos, tais como programas e dados.
23 1.7.2.2 Controle ambiental Assim como o controle de acesso fsico, de fundamental importncia que o controle ambiental conste na poltica de segurana da empresa, pois esto diretamente relacionados a disponibilidade e integridade dos recursos computacionais. (DIAS, 2000, p. 82) Esse controle visa proteger os recursos de TI da empresa contra possveis danos causados por desastres naturais/ambientais, tais como enchente, incndios, etc.. As principais ameaas segurana fsica que se pode identificar so o calor, poeira, magnetismo, quedas, empenamento, incndios, enchentes, umidade, etc.. 1.7.3 Segurana lgica
A segurana lgica consiste em estimar o nvel de segurana e controle empregado com recursos tecnolgicos nos softwares e hardwares de um determinado sistema de informaes. (DIAS, 2000, p. 85) Para implementar segurana lgica, torna-se necessrio que a empresa aplique medidas de controle de acesso lgico, afim de proteger seus recursos computacionais (equipamentos, softwares, aplicativos e arquivos de dados) contra perda, danos ou modificao no autorizada. Para Dias (2000, p 84), controle de acesso lgico :
um conjunto de medidas e procedimentos, adotados pela organizao ou intrnsecos aos softwares utilizados, cujo objetivo proteger dados, programas e sistemas contra tentativas de acesso no autorizadas feitas por usurios ou outros programas.
de vital importncia a manuteno adequada das rotinas de falhas ou erros, identificadas a partir das informaes geradas pela reconstituio dos dados originais pelas trilhas de auditoria, garantindo assim a segurana lgica do sistema. (DIAS, 2000, p. 85)
24 1.7.4 Confidencialidade
Confidencialidade o controle das informaes que uma pessoa consegue manter perante o acesso de pessoas no autorizadas, sejam elas internas ou externas, ou informaes consideradas privativas ou de sigilo, devendo estar disponvel somente para a alta administrao. (ARIMA, 1994, p 26) Cabe salientar que de nada adianta ter confidencialidade no sistema de informaes, no uso de sofisticados recursos tecnolgicos, se o usurio deixar vista de terceiros os relatrios de sada. Para Dias (2000, p 90) convm que a informao seja classificada de acordo com seu valor, requisitos legais, sensibilidade e criticidade para a organizao. Segundo a ISO 17799 (2005, p. 23), convm que seja responsabilidade do proprietrio do ativo, definir a classificao de um ativo, analisando-o criticamente a intervalos regulares, e assegurar que ele est atualizado.. Finalizando os itens relativos ao controle interno contbil, temos a obedincia a legislao em vigor, que ser abordado a seguir. 1.7.5 Obedincia legislao
a constatao de que os processos e rotinas do sistema de informaes esto de acordo com as leis vigentes no pas, estado, municpio e entidades externas responsveis pelo estabelecimento de normas e procedimentos. Conforme Arima (1994, p.17), a validao sob essa especificao ou parmetro de controle interno, est vinculada necessidade de estar atendendo as regulamentaes e condicionantes do ambiente externo.... Os prximos itens de controle, referentes ao Controle Interno Administrativo, so os controles que se referem principalmente eficcia e eficincia operacionais e obedincia s diretrizes administrativas, que no modo geral incluem controles como anlise, estatsticas,
25 estudos de tempo e movimento, relatrios de desempenho, programas de treinamento de empregados e controles de qualidade. 1.7.6 Eficcia
A eficcia do sistema de informaes consiste no atendimento adequado dos objetivos e necessidades das empresas, atravs dos seus recursos tecnolgicos de informao. Pode ser medida atravs do grau de atendimento adequado e do nvel de satisfao do usurio, quanto ao operacional, ttico e estratgico do sistema informatizado. 1.7.7 Eficincia
Um sistema de informao eficiente aquele que apresenta uma tima combinao entre os recursos humanos, materiais e tecnolgicos, resultando num melhor custo/benefcio dos processos computacionais. Para Arima (1994, p.18), eficincia ao nvel do sistema de informao representa uma otimizao na aplicao dos recursos tecnolgicos, humanos e materiais, implicando na agilizao do seu processo produtivo. 1.7.8 Obedincia s diretrizes da alta administrao
Este ponto de controle consiste em verificar se o sistema informatizado de informaes atende as normas e procedimentos determinados pelos diversos setores operacionais e administrativos da empresa. (ARIMA, 1994, p.18). Este item trata especificamente do atendimento a normatizao interna da empresa, avaliando a adequao dos processos s polticas e normal estabelecidas pela alta administrao.
1.8 Ponto de controle e ponto de auditoria Neste item tratado ponto de controle, traando um paralelo com ponto de auditoria, verificando as diferenas entre os dois pontos.
26 Arima (1994, p 29) define que ponto de controle ...uma situao levantada que merece ser validada pela Auditoria de Sistemas, segundo determinados parmetros de controle interno.. Ponto de Controle a situao do ambiente computacional, composta pela combinao das rotinas operacionais e de controle e os recursos humanos, materiais e tecnolgicos agrupados. Pode-se definir recursos tecnolgicos, as informaes componentes dos arquivos trabalhados e instrues componentes do programa de atualizao do sistema informatizado e, os recursos materiais podem ser, a configurao do computador onde processado o programa de atualizao e dispositivos (drive de disco, formulrio contnuo etc.), onde so colocadas as informaes e, por sua vez, recursos humanos seria o operador do computador no momento do processamento do programa de atualizao. O ponto de auditoria o ponto de controle eleito para avaliao e que apresentou fraqueza em relao aos parmetros do controle interno, conforme demonstra o fluxograma da figura 1-2.
27
Figura 1-2: Ciclo de vida do Ponto de Controle e Ponto de Auditoria

Fonte: Arima (2006, p.31)
A figura 1.2 apresenta o fluxo de avaliao de ponto de controle efetuado pelo auditor em suas anlises efetuadas durante um processo de auditoria. Caso o ponto de controle avaliado apresente fraqueza, torna-se um ponto de auditoria, caso contrrio, o ponto de controle ser considerado adequado e encerra-se a avaliao. Neste captulo foi abordado controle interno, seu conceito, parmetros utilizados e traando um paralelo entre controle interno e auditoria. Verificou-se que a auditoria uma maneira de atestar a adequao dos controles internos da empresa.
Desta forma, no prximo captulo abordado o tema Auditoria, seus conceitos, tipos existentes e tcnicas utilizadas.
29
2 AUDITORIA
A busca pela eficincia operacional tornou-se constante em grandes empresas e conglomerados. Um dos pontos-chave para alcanar tal propsito a integrao e a sinergia entre as diversas reas. Neste captulo, aborda-se a importncia do envolvimento da auditoria no processo de avaliao dos controles internos das instituies. (PEREZ JUNIOR, 1995, p. 9) Wilian Attie em seu livro Auditoria Conceitos e Aplicaes informa que A auditoria uma especializao contbil voltada a testar a eficincia e a eficcia do controle patrimonial implantado com o objetivo de expressar uma opinio sobre determinado dado. (ATTIE, 1998, p.25) Como pode-se entender, auditoria um conjunto de procedimentos tcnicos, atravs dos quais o profissional da rea baseia-se para elaborar sua opinio sobre determinado dado da entidade. Para Jos Hernandes Perez Junior, em seu livro Auditoria de Demonstraes contbeis:
A auditoria pode ser definida como o levantamento, o estudo e a avaliao sistemtica de transaes, procedimentos, rotinas e de demonstraes contbeis de uma entidade, com o objetivo de fornecer a seus usurios uma opinio imparcial e fundamentada em normas e princpios sobre sua adequao. (PEREZ JUNIOR, 1995, p11)
Maria Goreth M. A. Paula, no livro Auditoria Interna: embasamento conceitual e suporte tecnolgico, define auditoria como a:
30
atividade de avaliao independente e de assessoramento da administrao, voltada para o exame e para a avaliao da adequao, eficincia e eficcia dos sistemas de controle e da qualidade do desempenho das reas, em relao s atribuies e aos planos, metas objetivos e polticas definidas para elas. (PAULA, 1999, p.31)
Entende-se que a auditoria no s contribui para a contabilidade, mas tambm para a administrao, fornecendo-lhe subsdios para o controle, ajuste e a orientao dos sistemas de controle das reas em relao ao que foi proposto. Paula (1999) define ainda auditoria como:
uma atividade de avaliao independente, que atua em parceria com administradores e especialistas, dever avaliar a eficincia e a eficcia dos sistemas de controle de toda entidade, agindo proativamente, zelando pela observncia s polticas traadas e provocando melhorias, fornecendo subsdios aos proprietrios e administradores para a tomada de deciso, visando ao cumprimento da misso da entidade.
Constata-se que, em ambos os conceitos apresentados, a auditoria tem como premissa a proteo e orientao, a fim de que tudo se passe com exatido e eficincia para o alcance da administrao. Para que esse propsito seja alcanado, a auditoria divide-se em vrias reas/tipos para que obtenha a abrangncia desejada, conforme abordado a seguir:
2.6 Tipos de auditoria De acordo com o manual de Auditoria do Tribunal de Contas da Unio (1998) existem cinco tipos de auditoria das quais se pode citar: Auditoria Contbil - Destina-se a examinar e avaliar os componentes das demonstraes financeiras no que concerne adequao dos registros e procedimentos contbeis, sistemtica dos controles internos, observncia de normas, regulamentos e padres aplicveis, bem como sujeio aos princpios fundamentais de contabilidade. Auditoria de Gesto - Direcionada para a avaliao da eficincia e eficcia dos resultados em relao aos recursos materiais e humanos disponveis. Auditoria Operacional - Tem por finalidade emitir opinio com vistas a certificar a regularidade das contas; verificar a execuo de contratos, convnios, acordos, guarda e administrao dos valores e bens da empresa.
31
Auditoria Especial Abrange os trabalhos especiais de auditoria, no compreendidos na programao anual estabelecida. Auditoria de Sistemas Compreende a anlise dos processos automatizados para processamentos e emisso das demonstraes contbeis, com o objetivo de expressar opinio sobre a integridade das informaes demonstradas. Tal anlise proporciona tambm uma avaliao do seu ambiente tecnolgico, uma vez que, para a anlise dos processos automatizados, h a necessidade de avaliar o ambiente fsico e o ambiente lgico. Os tipos de auditoria descritos so definidos por rea de atuao, entretanto cada um possui uma natureza, como segue. 2.7 Natureza da auditoria De acordo com Dias (2000, p.10), no h uma na literatura especializada uma classificao ou denominao padronizada para a natureza ou dos diversos tipos de auditoria existentes, porm, cita que os tipos mais comuns encontrados so: Auditoria Interna - auditoria realizada por departamento interno responsvel pela verificao e avaliao dos sistemas e procedimentos internos de uma empresa. Auditoria Externa Auditoria realizada por agente externo e independente da empresa, geralmente com vista a fornecer informaes para o mercado e acionistas da empresa. Auditoria Articulada Trabalho Conjunto de auditorias internas e externas, devido a superposio de responsabilidade dos rgos fiscalizadores, caracterizado pelo uso comum de recursos e comunicao recproca dos resultados. Tanto a auditoria interna quanto auditoria externa em auditoria de sistemas utilizam-se de tcnicas de auditoria especficas, que so detalhadas na prxima seo. Neste item foi abordada auditoria, seus tipos existentes e a natureza de cada uma. Adiante abordado especificamente auditoria de TI, apresentando seus conceitos e objetivos, visto que trata-se do foco do trabalho.
2.8 Auditoria de TI O termo tecnologia da informao surgiu inicialmente como uma classificao do departamento de comrcio dos Estados Unidos da Amrica para industrias cujos servios e ou produtos correspondem a hardware, software, servios de informtica, equipamentos e servios de comunicao. Na verdade, a nomenclatura mais completa seria tecnologia da informao e comunicao (TIC), porm sua forma mais simplificada, sem a palavra comunicao, foi a denominao que mais se difundiu nos ltimos anos. (DIAS, 2000, p. 131) Conforme Dias (2000, p.136), pode-se dizer que a nomenclatura tecnologia da informao engloba termos como informtica, sistemas, telecomunicaes, cincia da computao, processamento de dados, engenharia de sistemas e software. Como conseqncia disso, a auditoria de sistemas, como era conhecida passou a ser utilizada como sinnimo de auditoria de TI. Visto que junto aos autores no h um consenso em relao ao nome utilizado para esta auditoria, sero utilizados os dois termos neste trabalho, dependendo do autor referenciado. Na auditoria de TI, analisado um conjunto de controles gerenciais e procedimentos que afetam todo o ambiente de informtica e, conseqentemente, todos os sistemas aplicativos. Para Dias (2000, p.137), a auditoria de TI tem por funo verificar os padres e polticas adotadas pela organizao, a operao sobre sistemas e dados, a disponibilidade e a manuteno do ambiente computacional, a utilizao de recursos computacionais, a gerencia de banco de dados e de rede, alm de todos os aspectos relacionados segurana das informaes, como segurana fsica, lgica e ambiental, e continuidade dos servios de informtica.
33
2.9 Conceitos e objetivos Desde os registros da histria da auditoria, at bem pouco tempo, ela era basicamente direcionada para o setor financeiro, devido a sua importncia dentro da gesto empresarial, porque, a que era controlado e manipulado o patrimnio da entidade. Nos dias de hoje, a memria, a histria, os projetos, as pesquisas e quase todas as informaes da empresa so armazenadas, condicionadas em arquivos eletrnicos dos sistema eletrnico de dados, visto que o a prpria dinmica do setor empresarial e suas demandas de negcios, faz com que a empresa dependa do sistema de informaes que possui. Sistema este, que enfrenta uma srie de riscos. Em anlise a Joaquim Rubens Fontes, em seu livro Manual de Auditoria de Sistemas:
Os principais ativos da empresa so as informaes e os recursos humanos que delas se utiliza. Essas informaes so colhidas, processadas, armazenas e fornecidas para orientarem as decises e rotinas. A qualidade e a confiabilidade desses dados influem decisivamente no sucesso dos negcios. Por essa importncia vital, fica visvel a necessidade e a utilidade de se garantir a sua qualidade. (FONTES, 1991 p337)
Pode-se acrescentar a essa citao, que a auditoria deve ter uma especializao a mais, para poder atender a essas necessidades das empresas. A Auditoria de TI pode ser conceituada como sendo uma funo que estuda, analisa e avalia um ambiente, um bem, um servio ou, informao, de forma sistemtica e peridica, com o objetivo de verificar se as normas/polticas em vigor esto sendo cumpridas, se o que deve ser feito, realmente aquilo que acontece, se existem problemas ou irregularidades, e se h medidas de controle de segurana, que garantam a reduo e combate aos riscos existentes para, posteriormente, relatar os resultados do trabalho e recomendar as correes necessrias, maximizando o uso de recursos. O Conselho Regional de Contabilidade do Estado de So Paulo (CRC-SP), define auditoria de sistemas como um meio que:
avalia o ambiente de processamento de dados para identificar e avaliar os possveis riscos (erros, falhas, irregularidade, ineficincia etc.) que estejam ocorrendo, ou que possam ocorrer, e faz recomendaes para correo e melhoria dos controles internos para diminuio dos riscos levantados. CRC-SP (1999, p92)
34
Sabendo que a maioria das atividades em uma empresa esto, direta ou indiretamente, fortemente ligadas ao processamento eletrnico de dados e a complexidade resultante dessas atividades, exigem da empresa criao de auditoria especializada para que possam, de certa forma, certificar-se de que, nessas atividades, no esto sendo lesadas. J em outra conceituao mais sucinta tem-se:
Auditoria de sistemas uma atividade voltada avaliao dos procedimentos de controle e segurana vinculados ao processamento eletrnico das informaes. CRC-SP (1999, p 92)
Ressalta-se que, em ambos os conceitos apresentados, a auditoria tem como preocupao fundamental a segurana e objetiva uma sugesto para a correo e melhoria. J como objetivos, entende-se que a auditoria deve propiciar aos usurios do sistema, a segurana de que as informaes que esto sendo manipuladas esto corretas e os resultados alcanados espelham os dados inseridos. A colocao mais contundente dos objetivos da auditoria de sistemas foi encontrada na obra do CRC-SP intitulada Auditoria por Meios Eletrnicos. A auditoria de sistemas objetiva certificar-se que: As informaes so corretas e oportunas; Existe um processamento adequado das informaes; As informaes esto protegidas contra fraudes; Existe a proteo das instalaes e equipamentos; Existe a proteo contra situaes de emergncia (paralisao de processamento, perda de arquivos, inundaes, incndios, etc.) CRC-SP (1999, p 93).
Pode-se entender a auditoria de sistemas como uma assessoria que atende a alta administrao da organizao, fornecendo um relatrio completo de todas as tarefas que podem ser desenvolvidas com segurana por um sistema, tanto que Gil estabelece que a auditoria de sistemas deve: buscar a otimizao do emprego dos recursos do Processamento
35
Eletrnico de Dados e a melhoria das atividades empresariais com a aplicao desses recursos. (1999, p 64) A est a base do sucesso de muitas empresas, saber aproveitar ao mximo os recursos da informtica para melhorar e agilizar suas rotinas e atividades, para maximizar os resultados almejados. Para implantar auditoria de Tecnologia da informao dentro de uma empresa com sucesso, de fundamental importncia que sejam seguidas as seguintes premissas: ter aprovao e apoio da alta administrao da empresa; ter a colaborao dos profissionais e usurios da rea de TI da empresa; ter total independncia para auditar e relatar irregularidades sem interferncia ou coao de terceiros; ter livre acesso dentro de todos os departamentos da empresa; ter mtodos apropriados, tcnicas de auditoria e definio clara dos objetivos (curto, mdio e longo prazo); controle e planejamento dos trabalhos de auditoria e acima de tudo a localizao em posio privilegiada dentro da estrutura funcional da empresa; Alm dessas premissas, devem ser observados outros aspectos que podem ser decisivos para a eficincia de uma auditoria, como por exemplo, o conhecimento tcnico dos auditores, cuja no observncia poder vir a ocasionar possveis limitaes a atuao da auditoria.
3 ESTUDO DE CASO
Yin (2001, p. 13) define estudo de caso com base nas caractersticas do fenmeno em estudo e com base num conjunto de caractersticas associadas ao processo de recolha de dados e s estratgias de anlise dos mesmos. Para este autor, o estudo de caso um processo de investigao emprica com o qual se pretende estudar um fenmeno contemporneo no contexto real em que este ocorre, sendo particularmente adequado ao seu uso quando as fronteiras entre o fenmeno em estudo e o contexto em que ele ocorre no so claramente evidentes. Para Yin (2001, p. 13) o estudo de caso uma metodologia de investigao particularmente apropriada quando procuramos compreender, explorar ou descrever acontecimentos e contextos complexos, nos quais esto simultaneamente envolvidos fatores. Neste estudo realizado um apanhado geral da empresa, com objetivo de avaliar a situao atual da auditoria de TI, verificar as limitaes da metodologia utilizada e buscar propor uma soluo para os problemas encontrados. Aps implementao da soluo proposta ser efetuada anlise da soluo, para verificar se a mesma atingiu os objetivos esperados. Visto que o foco deste trabalho auditoria de TI, ser dada maior ateno Gerencia de Auditoria de Sistemas da empresa.
37 3.6 Dados da empresa Ramo de atuao: Mercado Financeiro Tipo: Instituio Financeira Funcionrios: 11000 N de Agncias: 410 espalhas em diversos estados brasileiros, tais como Bahia, Cear, Minas Gerais, Pernambuco, Paran, Rio de Janeiro, Santa Catarina, So Paulo, Rio Grande do Sul e Distrito Federal, alm de representao em Buenos Ayres, na Argentina, Nova York, nos Estados Unidos e Cayman, na Sua. Para possibilitar um melhor entendimento sobre a estrutura interna da empresa, identificando onde a auditoria se enquadra no interior da mesma, apresentado um organograma da empresa.
38
Figura 3-1: Organograma da empresa. Fonte: a empresa
39 Atravs do organograma possvel observar que a auditoria interna no est vinculada a nenhuma diretoria da empresa, a mesma ligada diretamente ao conselho de administrao e ao comit de auditoria da empresa e serve como assessoria para a presidncia. O fato de no estar subordinada a nenhuma diretoria, deve-se necessidade de independncia necessria funo da auditoria interna.
3.7 Estrutura organizacional da auditoria interna Atravs da Resoluo 4105, de 30 de maio de 2003, redefiniu-se a estrutura organizacional da Auditoria Interna, a qual passou a apresentar a seguinte composio: a) chefe da auditoria; b) gerncia de auditoria de sistemas; c) gerncia administrativa; d) gerncia de auditoria operacional; Para melhor compreenso, a figura 3-2 mostra o organograma da unidade de auditoria interna da empresa.
40
Figura 3-2: Organograma da auditoria interna.

Fonte: Banrisul
Os dados apresentados neste estudo de caso, at a pgina 45 tem como fonte a empresa objeto de pesquisa. 3.7.1 Chefe da auditoria
O chefe da auditoria subordinado ao comit de auditoria, conselho de administrao ou, por delegao deste, a um diretor designado por resoluo. O chefe de auditoria o responsvel pela gesto dos servios na rea de Auditoria Interna da empresa, relacionados ao desenvolvimento de programas de auditoria interna em todos os sistemas e fluxos de operaes financeiras; avaliao dos Controles Internos Aplicados; verificao do fiel cumprimento dos procedimentos operacionais e
41 administrativos, comerciais e contbeis; orientao no preparo de relatrios parciais e globais das auditagens realizadas e execuo de auditoria especiais. Observando a legislao e as normas vigentes. 3.7.2 Gerncia de auditoria de sistemas
O gerente executivo desta rea estar subordinado diretamente ao chefe da auditoria e ser responsvel pelas seguintes atividades: Realizar auditorias em sistemas de informao em desenvolvimento e em produo, avaliando e validando os controles internos durante o processo de construo, alterao e implementao dos sistemas em desenvolvimento e revisando os controles internos e aspectos de segurana nos sistemas em produo. Efetuar auditorias extraordinrias nos casos de episdios envolvendo sistemas de informao ou recursos tecnolgicos, levantando e analisando as causas da ocorrncia, identificando fragilidades ou insuficincia de controles que propiciaram a mesma; Auditar o ambiente de tecnologia da informao (TI), verificando a existncia e a adequao dos controles internos e aspectos de segurana dos recursos tecnolgicos, dos dados, informaes, produtos e programas. Para a realizao das auditorias, so utilizadas as seguintes tcnicas: Visita in loco; Anlise Fsica de Documentos; Anlise de logs; Entrevistas; Questionrios; Anlise de relatrios. Simulao Paralela;
42 Os auditores podem efetuar o acompanhamento de todas as etapas do desenvolvimento de um sistema, testes, at sua implantao, para verificar questes relativas segurana do sistema em desenvolvimento e resguardar a empresa de possveis falhas decorrentes da inobservncia de controles internos.
3.8 Metodologia de trabalho da auditoria de sistemas A partir do planejamento estratgico definido para a instituio, anualmente elaborado o planejamento de atividades previstas para o exerccio seguinte. Esse documento, no qual so identificadas as reas prioritrias para serem realizadas auditorias, encaminhado para anlise do conselho de administrao e presidncia do Banco. Os trabalhos de auditoria so efetuados a partir das definies do Plano Anual de auditoria em que esto priorizadas as reas com maior relevncia, ou seja, com um nvel maior de importncia para a empresa. At o corrente ano essa avaliao baseada em informaes coletadas durante as auditorias e, sobretudo, no conhecimento do gerente da auditoria de sistemas. A metodologia utilizada nos trabalhos de auditoria contempla a verificao do cumprimento das normas internas, legislao e recomendaes do Banco Central, alm das melhores prticas de mercado, tanto na auditoria de rotina, quanto nas verificaes especiais. As auditorias contemplam a realizao de reunio de abertura, com o registro da respectiva ata, onde so expostos os objetivos da auditoria interna e do trabalho. Se durante os trabalhos de auditoria forem identificadas ocorrncias de natureza grave, ser solicitada manifestao formal dos responsveis e da administrao da unidade auditada. Na reunio final apresentado o resultado da auditoria e so discutidos os prazos e os responsveis para realizao das aes corretivas registradas no plano de ao, cuja verificao efetuada conforme os prazos acordados entre o auditor e a unidade auditada.
43 De acordo com a gravidade da ocorrncia, determina-se a imediata regularizao ou prazo compatvel com a natureza da gravidade. Nos casos em que as ocorrncias de maior relevncia ou gravidade no foram regularizadas, as auditorias so concludas com ressalvas e os resultados so encaminhados Diretoria Executiva. No prximo item, apresentado os processos envolvidos na auditoria de sistemas da empresa. 3.8.1 Processos envolvidos na auditoria de sistemas
De acordo com os auditores de sistemas da empresa, so efetuadas auditorias peridicas, de acordo com o cronograma existente, com o intuito de validar os controles existentes no sistema ou ambiente de TI auditado. Os auditores so divididos em reas de atuao inicialmente entre Rede e Sistemas. Devido complexidade de alguns sistemas operacionais do banco, o que demanda um grande tempo de estudo para que o auditor conhea a arquitetura do sistema, alguns sistemas operacionais ficam somente com um auditor, aumentando assim a eficincia da auditoria. De acordo com o cronograma e disponibilidade dos auditores, repassado ao auditor que efetuar a auditoria, pela gerncia da unidade, o que ser tema de auditoria. Aps esse momento, o auditor confecciona um documento denominado de programa de auditoria, onde constam as tcnicas que sero utilizadas, os recursos necessrios e o tempo previsto para a realizao da auditoria. Aps ser efetuado o estudo do objeto a ser auditado, elaborado um documento denominado roteiro de auditoria, onde constam os pontos de controle que sero verificados. Quando todos os itens constantes no roteiro, mais os itens que por ventura forem identificados no decorrer da auditoria foram verificados, elaborado o Relatrio de Auditoria, onde iro constar todas as averiguaes realizadas pelo auditor.
44 No relatrio, o auditor, alm de descrever o ambiente auditado, so enumerados os pontos de controle auditados, informando se o ponto de controle est ou no adequado s normas relacionadas e boas prticas de mercado. Para os pontos de controle que no esto adequados, so colocados os riscos resultantes da no conformidade e a recomendao do auditor. Depois de concludo o relatrio, elaborado encaminhamento unidade/rea envolvida, onde constam as consideraes referentes aos pontos de controle auditados, marcando uma reunio para que seja discutido o plano de ao referente auditoria realizada. Em reunio, so discutidas as recomendaes do auditor e, de acordo com o entendimento dos auditados, estipulado, para cada ponto, prazo para correo das irregularidades. O auditor, de acordo com o plano de ao, quando se esgota o prazo para atendimento da recomendao, entra em contato com a rea auditada para verificar se o ponto de controle foi ou no atendido, caso o ponto tenha sido atendido, o auditor encerra aquele ponto, seno foi atendido, verificado porque do no atendimento e, conforme o caso, estipula-se nova data para adequao do ponto de controle. 3.8.2 Limitaes da metodologia utilizada
Uma das maiores dificuldades existentes na auditoria de TI encontra-se na falta de ferramenta que automatize os procedimentos de auditoria. O auditor necessita replicar informaes em diversos locais para gerao dos documentos necessrios em sua auditoria, o que alm de demandar tempo, aumenta a possibilidade de erros Outro ponto observado o controle das recomendaes, pois h a necessidade do auditor entrar em contato com os responsveis para verificao do atendimento das recomendaes contidas no plano de ao. Por serem observados diversos pontos de controle nas auditorias, torna-se necessrio que a auditoria de TI efetue um correto gerenciamento do
45 atendimento s suas recomendaes, o que nem sempre passvel de ser efetuado pelo auditor isoladamente, visto que certas recomendaes podem demorar indefinidamente para serem atendidas. Para que seja possvel um maior gerenciamento das auditorias, torna-se necessrio a utilizao de uma ferramenta de apoio que efetue o controle das auditorias realizadas e fornea informaes de apoio a deciso gerncia da auditoria. No captulo seguinte abordada a anlise de riscos como uma mtrica para a tomada de deciso no processo do planejamento de auditorias a serem realizadas.
4 ANLISE DE RISCOS
Conforme o guia de referncia denominado Guia Sairbanes Oxley, criado pela empresa de auditoria Deloitte, eventos envolvendo grandes fraudes financeiras em empresas como Enron e WorldCom, cujos administradores alegaram no ter conhecimento, fizeram os Estados Unidos da Amrica criar a lei Sarbanes Oxley (SOX) com objetivo de redefinir as regras para governana corporativa e proteger os investidores de todo o mundo. Similar a esta lei, est a resoluo 3380 do Banco Central (BACEN) que dispe sobre a implementao de estrutura de gerenciamento do risco operacional nas instituies bancrias que operam no Brasil, caso da empresa objeto do estudo. Considerando ser a informao, um ativo de alto valor para as empresas e, a Auditoria de TI tratar a segurana da informao, entende-se como um bom parmetro para priorizao dos sistemas auditados, a anlise dos mesmos em funo do risco que apresentam. Sendo assim, nesta parte do trabalho abordada Anlise de Risco, apresentando o assunto e em seguida a proposta de aplicao no trabalho. Por entender se tratar de um framework reconhecido junto ao mundo corporativo, foi utilizado como principais referncias as ISO 17799 e 27005. De acordo com a ISO 17799 :
O nvel de risco aumenta de acordo com as ameaas recebidas e a sua vulnerabilidade frente a estas ameaas.
4 47 7 Anlise de riscos, conforme define Cardella (1999), o estudo detalhado de um objeto, com a finalidade de identificar perigos e avaliar os riscos ou danos que possam causar aes indesejadas, ou seja a anlise de risco serve para a empresa analisar os seus sistemas e processos, visando inventariar seus riscos com vistas a preveno de futuras ocorrncias. De acordo com a ISO27005 (2008, p.14) pode-se utilizar diferente nveis de detalhamento para a apurao da anlise de riscos, dependendo da criticidade dos ativos, da extenso das vulnerabilidades e do histrico de incidentes envolvendo a organizao. A ISO define ainda que podem ser utilizadas estimativas quantitativas, qualitativas ou uma combinao de ambas. Neste trabalho, por achar mais indicado para a anlise e a dificuldade de valorao dos sistemas, abordada a anlise quantitativa. Para CARDELLA (1999, p.37):
o risco definido como sendo a combinao da freqncia de ocorrncia do evento e as suas conseqncias. Assim, o risco a relao da descrio do evento acidental, da freqncia de ocorrncia acidental e a severidade das conseqncias (perdas e danos).
A ISO 27005 define: Risco = P x C x R, sendo P a probabilidade de ocorrncia de um evento, C a conseqncia para a instituio em termos financeiros e R a relevncia do ativo para o negcio da empresa. Embora conste na frmula, a relevncia do ativo no considera em um primeiro momento na anlise, servindo apenas para desempate em caso de ameaas com mesma probabilidade e conseqncia. sugerida pela ISO a utilizao de matriz de risco para apurao e comparao de riscos entre diferentes ativos, como consta na tabela 4.1.
4 48 8 Tabela 4:1: Matriz de Risco Rtulo identificador da ameaa (a) Ameaa A Ameaa B Ameaa C Ameaa D Ameaa E Ameaa F
Fonte: ISO 27005 (2008, p.51)
Valor da conseqncia (do ativo) 5 2 3 1 4 2
Probabilidade de ocorrncia da ameaa 2 4 5 3 1 4
Considerando que na Auditoria de TI da empresa analisada so verificados pontos de controle relacionados a diferentes ameaas, a partir da valorao dos controles analisados na Auditoria e a atribuio da probabilidade de ocorrncia e a relevncia do sistema para o negcio da empresa, possvel apurar o nvel de risco de um sistema. Sendo assim, sugere-se que cada ponto de controle avaliado no decorrer da auditoria, receba um de probabilidade de ocorrncia e a conseqncia associada, para que possa ser apurada a medida de risco de um sistema. Alm da informao da probabilidade e conseqncia atrelada a cada controle interno, necessria diferenciao de acordo com a relevncia do sistema para o negcio da empresa, fazendo com que seja possvel obter uma priorizao entre sistemas que apresentem o mesmo valor de risco apurado. A NBR ISO 27005 define que podem ser utilizados tantos intervalos quanto forem necessrios para a anlise do risco, dependendo da necessidade da empresa e d um exemplo de intervalo que pode ser utilizado em uma anlise quantitativa, conforme consta adiante:
4 49 9
Tabela 4:2: Valores para Riscos qualitativos Descrio Qualitativa Muito Baixo Baixo Mdio Alto Muito Alto
Fonte: NBR ISO 27005
Valor associado
0 1 2 3 4
Sendo assim, o risco apurado de um sistema se dar pela soma do produto de sua vulnerabilidade e conseqncia de todos os pontos que no apresentarem controles satisfatrios; ou seja, utilizando os dados da matriz de risco sugerida pela ISO, chega-se ao seguinte resultado para um sistema X que apresenta a relevncia 3:
Tabela 4:3: Matriz de Risco Rtulo identificador da ameaa (a) Valor da Probabilidade Medida do Risco Ordem da ameaa
conseqncia de ocorrncia da (do ativo) ameaa 2 4
Ameaa A Ameaa B
5 2
10 8
2 3
5 50 0 Ameaa C Ameaa D Ameaa E Ameaa F RISCO TOTAL RISCO TOTAL 3 1 4 2 5 3 1 4 15 3 4 8 48 48*3=144 1 5 4 3
CONSIDERANDO A RELEVNCIA
Fonte: ISO 27005 (2008, p.51)
Analisando a tabela, pode-se verificar que a medida total de risco para o sistema X 48 e o valor apurado levando em considerao uma relevncia definida aleatoriamente como sendo 3 para o sistema . Ao aplicar a mesma mtrica aos demais sistemas auditados, ser possvel hierarquizar os sistemas atravs da anlise do risco e a representatividade para os negcios da empresa. No item seguinte efetuado uma anlise das ferramentas existentes no mercado, com o objetivo de verificar a existncia ou no de ferramentas que atendam a demanda da empresa.
5 SOLUO PROPOSTA
De acordo com o estudo efetuado junto auditoria de sistemas da empresa pesquisada, verificou-se a necessidade de uma ferramenta de apoio s auditorias, que armazene dados e efetue o clculo de risco dos sistemas para a equipe de auditores. A partir do resultado obtido com o estudo de caso, buscou-se s ferramentas para automao de auditorias existentes no mercado, verificando as caractersticas, funcionalidades e preo, e com isso verificar a viabilidade de aquisio de uma ferramenta para suprir as demandas identificadas, conforme consta adiante: Alm das ferramentas especficas para controle de auditorias, tambm foram analisadas algumas ferramentas de gesto de projetos, com vistas a verificar a possibilidade de adoo de uma ferramenta dessa natureza para soluo dos problemas da empresa. Porm, devido a impossibilidade de implementao de mtricas para comparao entre os sistemas, chegou-se a concluso de que ferramentas de gesto de projetos no atendem aos requisitos de negcio da empresa. Foram identificadas no mercado trs ferramentas com soluo para auditorias, cujas caractersticas esto apresentadas na figura 5.1:
5 52 2 Tabela 5:1: Comparativo de Sistemas
Fonte: Fabricantes
Devido ao preo elevado constatado atravs da anlise das solues existentes no mercado e a necessidade de customizao da ferramenta, o que elevaria ainda mais o preo final do produto, sugere-se o desenvolvimento de um aplicativo que vise o atendimento das demandas especficas da empresa analisada, gerando dados estatsticos que sirvam de apoio ao planejamento das auditorias de TI da empresa, risco dos sistemas aplicando o mtodo apresentado neste trabalho, alm da gerao de documentos utilizados pelas auditorias. Diante disso, sugere-se a modelagem de uma ferramenta de apoio ao gerenciamento dos processos que envolvem a auditoria de sistemas, contendo algumas funcionalidades, abordadas no prximo item.
5 53 3 5.1 Requisitos do sistema proposto Atravs da anlise efetuada pela gerncia de auditoria de sistemas, segue requisitos do sistema proposto: Requisitos de negcio Possibilitar a elaborao do planejamento anual da Auditoria Interna; Possibilitar que o planejamento anual seja baseado em matriz de risco e alinhado aos objetivos e estratgias do negocio; Proporcionar a padronizao do processo de auditoria; Permitir o acompanhamento das recomendaes realizadas; Possibilitar comunicao entre a auditoria interna e as reas auditadas de acordo com as atividades executadas, pro meio de notificaes; Proporcionar a reviso, elaborao e compartilhamento dos relatrios de auditoria e acompanhamento dos planos de ao; Permitir a documentao da auditoria de forma eletrnica; Utilizar recursos de editorao de texto para elaborar papis de trabalho. Requisitos gerais da administrao do sistema Permitir concesso e administrao de acessos; Permitir cadastro e administrao de probabilidades e conseqncia de uma ameaa e relevncia de um sistema; Permitir a administrao de roteiros a partir de outros j formatados, bem como a sua administrao; Possibilitar a parametrizao e a gerao de consultas e relatrios; Possibilitar a gerao de relatrios estatsticos de auditorias de sistemas;
5 54 4 Requisitos das etapas do processo de auditoria permitir a definio de atividades com base nas informaes atualizadas dos riscos sistmicos; permitir consulta as auditorias anteriores; permitir a atribuio de um trabalho de auditoria interna para um ou mais auditores; permitir a seleo de reas auditadas, responsveis e envolvidos; permitir notificao dos auditores sobre agendamentos; permitir seleo de pontos a serem auditados; possibilitar a criao de um roteiro de auditoria permitindo seleo de pontos macros e pontos de controle previamente cadastrados, bem como o cadastramento de novos pontos de controle; Reporte dos resultados possibilitar gerao de relatrio de modo parcial ou integral; possibilitar gerao de relatrio formatado para apreciao do auditado, contendo os pontos de auditoria e recomendaes; Acompanhamento / Follow-up permitir que as recomendaes sejam acessadas, atualizadas e acompanhadas pelos auditores; permitir a insero de comentrios no plano de ao; possibilitar notificao recomendaes; no vencimento de prazos de atendimento das
5 55 5 permitir que sejam estipulados status da recomendao, como: atendida, no atendida, em avaliao, etc. permitir que sejam estipulados status da auditoria tais como: ativa, pendente, concluda, entre outros. No item seguinte apresentada a metodologia que ser utilizada no projeto de desenvolvimento da ferramenta
5.2 Metodologia de projeto/desenvolvimento Neste item, so apresentadas as tcnicas que sero utilizadas para o desenvolvimento do sistema proposto.
5.2.1 Tcnica de modelagem utilizada Durante o processo de modelagem do sistema ser utilizada a abordagem orientada a objetos.
5.2.2 Linguagem de modelagem Para a modelagem ser utilizada a UML (Unified Modeling Language), que uma linguagem padro para a elaborao da estrutura de projetos de software. (BOOCH, 2000, p. 12) De acordo com Booch (2000, p.13), a UML uma linguagem muito expressiva, abrangendo todas as vises necessrias ao desenvolvimento e aplicao de sistemas. Booch (2000, p.14) afirma ainda que a UML uma linguagem destinada a: Visualizar Especificar Construir
5 56 6 Documentar os artefatos de um sistema complexo de software.
5.2.3 Ferramentas utilizadas para o desenvolvimento da aplicao Para a modelagem UML foi escolhida a ferramenta JUDE, pelo conhecimento prvio da ferramenta, a facilidade de utilizao, bem como as funcionalidades que a mesma apresenta, tais como exportao dos diagramas em diversos formatos e gerao automtica de documetao. Para confeco do Modelo ER, foi utilizado o DBdesigner pelo conhecimento obtido da ferramenta e a mesma atender aos objetivos propostos inicialmente. No prximo item, so apresentados os diagramas utilizados no desenvolvimento da aplicao.
5.2.4 Diagramas Para Booch (2000, p.89), um diagrama uma apresentao grfica de um conjunto de elementos.... A UML define nove tipos de diagramas, que podem ser combinados para determinar cada viso. A seguir so apresentados os diagramas que sero utilizados na implementao da ferramenta proposta. (BLAHA, 2006, p. 34)
5.2.5 Diagramas de Caso de Uso De acordo com Blaha (2006, p. 45), casos de uso descrevem, do ponto de vista dos atores, um grupo de atividades num sistema que produz um resultado concreto e tangvel. So descries de interaes tpicas entre os usurios de um sistema e o sistema propriamente dito. Eles representam a interface externa do sistema e especificam um conjunto de exigncias do que o sistema deve fazer, informando apenas o qu o sistema deve fazer e no como deve fazer.
5 57 7 Diagramas de Caso de Uso descrevem relacionamentos e dependncias entre um grupo de Caso de Uso e os Atores participantes no processo. So feitos para facilitar a comunicao com os futuros usurios do sistema, e com o cliente, e so especialmente teis para determinar os recursos necessrios que o sistema deve ter. (BLAHA, 2006, p. 47)
Segundo Booch (2000, p 233) aplica-se casos de uso para fazer a modelagem da viso esttica do caso de uso do sistema. Essa viso proporciona suporte para o comportamento de um sistema. A figura 5.2 apresenta o diagrama de caso de uso da ferramenta proposta:
5 58 8
Figura 5-1- Diagrama de casos de uso do projeto

Fonte: o autor
Para melhor entendimento sobre o diagrama seguem as descries de caso de uso:
5 59 9 Manter Auditores 1. O ator inicia o caso de uso selecionando "Auditores"; 2. O programa exibe uma lista com os auditores cadastrados; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
Fluxo Fluxo Alternativo A1 Incluso 3. O usurio clica na opo "Incluir Auditor"; Tratamento de Excees Fluxo Alternativo A1.1 - Erro ao incluir
3.1. O programa oferece a interface para 3.3. O programa informa que houve erro preenchimentos dos dados do auditor; na incluso; retorna para o ponto 3.1 do fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico; Fluxo Alternativo A2 - Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 Desistncia opo "Excluir Auditor"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir o auditor; Fluxo Alternativo A2.2 - Falha na 3.2. O ator confirma sua inteno [A2.1]; excluso 3.3. O programa informa o sucesso da 3.3. O programa informa que no pode operao [A2.2]; excluir o registro; retorna para o ponto 2 do fluxo bsico; 3.4. Retorna ao ponto 2 do fluxo bsico;
Fluxo Alternativo A3 Alterao 3. O usurio clica sobre o nome do auditor na Fluxo Alternativo A3.1 - Erro ao alterar lista; 3.3. O programa informa que houve erro
6 60 0 3.1. O programa oferece o formulrio ao salvar registro; retorna ao ponto 3.1 do preenchido com os dados do auditor fluxo A3; selecionado; 3.2. O ator altera os dados que julgar necessrio e confirma; 3.3. O programa informa que a operao foi realizada com sucesso [A3.1]; 3.4. Retorna para ponto 2 do fluxo bsico.
Quadro 5:2 Manter Auditores

Fonte: o autor
Manter Auditorias 1. O ator inicia o caso de uso selecionando "Auditoria"; 2. O programa exibe uma lista com as auditorias cadastradas; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
Fluxo Fluxo Alternativo A1 Incluso Tratamento de Excees
3. O usurio clica na opo "Incluir Fluxo Alternativo A1.1 - Erro ao incluir Auditoria"; 3.3. O programa informa que houve erro 3.1. O programa oferece a interface para na incluso; retorna para o ponto 3.1 do preenchimentos dos dados da auditoria; fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico; Fluxo Alternativo A2 Excluso
6 61 1 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir Sistema"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir o sistema; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode 3.4. Retorna ao ponto 2 do fluxo bsico; excluir o registro; retorna para o ponto 2 do fluxo bsico; Fluxo Alternativo A3 - Alterao 3. O usurio clica sobre o nome do sistema na Fluxo Alternativo A3.1 - Ver Roteiro lista; 3.2. O ator clica em "Administrar 3.1. O programa oferece o formulrio Roteiro"; preenchido com os dados do sistema 3.2.1. O programa exibe a lista de pontos selecionado; macro para o tipo de sistema selecionado 3.2. O ator altera os dados que julgar na auditoria; Utiliza caso de uso "Manter necessrio e confirma [A.3.1]; Pontos Macro"; 3.3. O programa informa que a operao foi realizada com sucesso [A3.2]; Fluxo Alternativo A3.2 - Erro ao alterar 3.4. Retorna para ponto 2 do fluxo bsico. 3.3. O programa informa que houve erro ao salvar registro; retorna ao ponto 3.1 do fluxo A3;
Quadro 5:3 - Manter auditorias

Fonte: o autor
Manter Avaliaes 1. O ator inicia o caso de uso selecionando "Avaliaes"; 2. O programa exibe uma lista com as avaliaes cadastradas; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
6 62 2 Fluxo Fluxo Alternativo A1 Incluso Tratamento de Excees
3. O usurio clica na opo "Incluir Fluxo Alternativo A1.1 - Erro ao incluir Avaliao"; 3.3. O programa informa que houve erro 3.1. O programa oferece a interface para na incluso; retorna para o ponto 3.1 do avaliao de cada teste do roteiro; fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A2 - Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir Avaliao"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir a avaliao; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode 3.4. Retorna ao ponto 2 do fluxo bsico; excluir o registro; retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A3 - Alterao 3. O usurio clica sobre o nome da avaliao Fluxo Alternativo A3.1 - Erro ao alterar na lista; 3.3. O programa informa que houve erro 3.1. O programa oferece o formulrio ao salvar registro; retorna ao ponto 3.1 do preenchido os dados dos testes realizados; fluxo A3; 3.2. O ator altera os dados que julgar necessrio e confirma; 3.3. O programa informa que a operao foi
6 63 3 realizada com sucesso [A3.1]; 3.4. Retorna para ponto 2 do fluxo bsico. Quadro 5:4 - Manter avaliaes
Fonte: o autor
Manter Planos de Mudana 1. O ator inicia o caso de uso selecionando "Planos de Mudana"; 2. O programa exibe uma lista com os planos cadastrados; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
3. O usurio clica na opo "Incluir Plano de Fluxo Alternativo A1.1 - Erro ao incluir Mudana"; 3.3. O programa informa que houve erro 3.1. O programa oferece a interface para na incluso; retorna para o ponto 3.1 do preenchimento dos dados; fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A2 - Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir Plano de Mudana"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir o plano; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na
6 64 4 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode excluir o registro; retorna para o ponto 2 3.4. Retorna ao ponto 2 do fluxo bsico; do fluxo bsico;
Fluxo Alternativo A3 - Alterao 3. O usurio clica sobre o nome do plano de Fluxo Alternativo A3.1 - Erro ao alterar mudana na lista; 3.3. O programa informa que houve erro 3.1. O programa oferece o formulrio ao salvar registro; retorna ao ponto 3.1 do preenchido com os dados dos testes fluxo A3; realizados; 3.2. O ator altera os dados que julgar necessrio e confirma; 3.3. O programa informa que a operao foi realizada com sucesso [A3.1]; 3.4. Retorna para ponto 2 do fluxo bsico. Quadro 5:5 - Manter planos de mudana
Fonte: o autor
Manter Pontos de Controle 1. O ator inicia o caso de uso selecionando um ponto macro para alterar; 2. O programa exibe uma lista com os pontos de controle cadastrados para o ponto macro; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
3. O usurio clica na opo "Incluir Ponto de Fluxo Alternativo A1.1 - Erro ao incluir Controle"; 3.3. O programa informa que houve erro 3.1. O programa oferece a interface para na incluso; retorna para o ponto 3.1 do preenchimentos dos dados do ponto macro; fluxo A1; 3.2. O ator preenche os dados no formulrio e
6 65 5 confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico; Fluxo Alternativo A2 Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir Ponto de Controle"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir o sistema; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode 3.4. Retorna ao ponto 2 do fluxo bsico; excluir o registro; retorna para o ponto 2 do fluxo bsico; Fluxo Alternativo A3 Alterao 3. O usurio clica sobre o nome do sistema na lista; 3.1. O programa mostra uma lista de teste; Utiliza "Manter Testes"; 3.2. Retorna para ponto 2 do fluxo bsico. Quadro 5:6 - Manter pontos de controle
Fonte: o autor
Manter Probabilidade 1. O ator inicia o caso de uso selecionando um ponto de controle para alterao; 2. O programa exibe uma lista com os testes cadastrados para o ponto de controle; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
Fluxo Fluxo Alternativo A1 Incluso
Tratamento de Excees
6 66 6 3. O usurio clica na opo "Incluir Fluxo Alternativo A1.1 - Erro ao incluir Probabilidade"; 3.3. O programa informa que houve erro 3.1. O programa oferece a interface para na incluso; retorna para o ponto 3.1 do preenchimentos dos dados; fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico; Fluxo Alternativo A2 Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir Probabilidade"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir a informao; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode 3.4. Retorna ao ponto 2 do fluxo bsico; excluir o registro; retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A3 - Alterao 3. O usurio clica sobre o ponto de controle Fluxo Alternativo A3.2 - Erro ao alterar na lista lista; 3.1. O programa informa que houve erro 3.1. O programa oferece o formulrio ao salvar registro; retorna ao ponto 3.1 do preenchido com os dados; fluxo A3; 3.2. O ator altera a probabilidade e confirma; 3.3. O programa informa que a operao foi realizada com sucesso [A3.1]; 3.4. Retorna para ponto 2 do fluxo bsico. Quadro 5:7 - Manter probabilidade
Fonte: o autor
Manter Consequncia
6 67 7 1. O ator inicia o caso de uso selecionando um ponto de controle para alterao; 2. O programa exibe uma lista com os testes cadastrados para o ponto de controle; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
3. 3. O usurio clica na opo "Incluir Fluxo Alternativo A1.1 - Erro ao incluir consequncia"; 3.3. O programa informa que houve erro 3.1. O programa oferece a interface para na incluso; retorna para o ponto 3.1 do preenchimentos da relevncia; fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A2 Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir consequncia"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir a informao; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode 3.4. Retorna ao ponto 2 do fluxo bsico; excluir o registro; retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A3 - Alterao 3. O usurio clica sobre o nome do sistema na Fluxo Alternativo A3.2 - Erro ao alterar
6 68 8 lista; 3.1. O programa informa que houve erro 3.1. O programa oferece o formulrio ao salvar registro; retorna ao ponto 3.1 do fluxo A3; preenchido com a consequncia; 3.2. O ator altera o dado e confirma; 3.3. O programa informa que a operao foi realizada com sucesso [A3.1]; 3.4. Retorna para ponto 2 do fluxo bsico. Quadro 5:8 - Manter consequncia
Fonte: o autor
Manter Consequncia 1. O ator inicia o caso de uso selecionando "Normas"; 2. O programa exibe uma lista com as normas cadastradas; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
Fluxo Fluxo Alternativo A1 Incluso 3. O usurio clica na opo "Incluir Normas";
Fluxo Alternativo A1.1 - Erro ao incluir
3.1. O programa oferece a interface para 3.3. O programa informa que houve erro preenchimento dos dados; na incluso; retorna para o ponto 3.1 do fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico; Fluxo Alternativo A2 Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir Normas"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir a norma;
6 69 9 3.2. O ator confirma sua inteno [A2.1]; 3.3. O programa informa o sucesso da Fluxo Alternativo A2.2 - Falha na operao [A2.2]; excluso 3.4. Retorna ao ponto 2 do fluxo bsico; 3.3. O programa informa que no pode excluir o registro; retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A3 - Alterao 3. O usurio clica sobre o nome da norma na Fluxo Alternativo A3.2 - Erro ao alterar lista; 3.1. O programa informa que houve erro 3.1. O programa oferece o formulrio ao salvar registro; retorna ao ponto 3.1 do preenchido com a descrio da norma; fluxo A3; 3.2. O ator altera os dados que julgar necessrio e confirma; 3.3. O programa informa que a operao foi realizada com sucesso [A3.1]; 3.4. Retorna para ponto 2 do fluxo bsico. Quadro 5:9 - Manter normas
Fonte: o autor
Manter Pontos Macro 1. O ator inicia o caso de uso selecionando um tipo de sistema; 2. O programa exibe uma lista com os pontos cadastrados para o tipo selecionado; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
3. O usurio clica na opo "Incluir Ponto Fluxo Alternativo A1.1 - Erro ao incluir Macro";
7 70 0 3.1. O programa oferece a interface para 3.3. O programa informa que houve erro preenchimentos dos dados do ponto macro; na incluso; retorna para o ponto 3.1 do fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico; Fluxo Alternativo A2 Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir Ponto Macro"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir o sistema; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode 3.4. Retorna ao ponto 2 do fluxo bsico; excluir o registro; retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A3 Alterao 3. O usurio clica sobre o nome do sistema na lista; 3.1. O programa mostra uma lista de pontos de controle; Utiliza "Manter Pontos de Controle"; 3.2. Retorna para ponto 2 do fluxo bsico. Quadro 5:10 - Manter pontos macro
Fonte: o autor
Manter Roteiros 1. O ator inicia o caso de uso selecionando "Roteiros";
7 71 1 2. O programa exibe uma lista com os tipos de sistema cadastrados; 3. O usurio clica na opo "Voltar" [A1];
Fluxo Fluxo Alternativo A1 Alterao 3. O usurio clica sobre o nome do tipo de sistema na lista; 3.1. O programa oferece uma lista com os pontos macro; Utiliza "Manter Pontos Macro"; 3.2. Retorna para ponto 2 do fluxo bsico. Quadro 5:11 - Manter roteiros
Fonte: o autor
Manter Sistemas 1. O ator inicia o caso de uso selecionando "Sistemas"; 2. O programa exibe uma lista com os sistemas cadastrados; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
Fluxo Fluxo Alternativo A1 Incluso 3. O usurio clica na opo "Incluir Sistema"; Tratamento de Excees Fluxo Alternativo A1.1 - Erro ao incluir
3.1. O programa oferece a interface para 3.3. O programa informa que houve erro preenchimentos dos dados do sistema; na incluso; retorna para o ponto 3.1 do fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi
7 72 2 realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico; Fluxo Alternativo A2 Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir Sistema"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir o sistema; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode 3.4. Retorna ao ponto 2 do fluxo bsico; excluir o registro; retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A3 Alterao 3. O usurio clica sobre o nome do sistema na Fluxo Alternativo A3.1 - Erro ao alterar lista; 3.3. O programa informa que houve erro 3.1. O programa oferece o formulrio ao salvar registro; retorna ao ponto 3.1 do preenchido com os dados do sistema fluxo A3; selecionado; 3.2. O ator altera os dados que julgar necessrio e confirma; 3.3. O programa informa que a operao foi realizada com sucesso [A3.1]; 3.4. Retorna para ponto 2 do fluxo bsico. Quadro 5:12 - Manter sistemas
Fonte: o autor
Manter Relevncia 1. O ator inicia o caso de uso selecionando "Sistemas"; 2. O programa exibe uma lista com os sistemas cadastrados; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
7 73 3
3. 3. O usurio clica na opo "Incluir Fluxo Alternativo A1.1 - Erro ao incluir Relevncia"; 3.3. O programa informa que houve erro 3.1. O programa oferece a interface para na incluso; retorna para o ponto 3.1 do preenchimentos da relevncia; fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A2 Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir relevncia"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir a informao; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode 3.4. Retorna ao ponto 2 do fluxo bsico; excluir o registro; retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A3 - Alterao 3. O usurio clica sobre o nome do sistema na Fluxo Alternativo A3.2 - Erro ao alterar lista; 3.1. O programa informa que houve erro 3.1. O programa oferece o formulrio ao salvar registro; retorna ao ponto 3.1 do preenchido com a relevncia; fluxo A3; 3.2. O ator altera o dado e confirma; 3.3. O programa informa que a operao foi
7 74 4 realizada com sucesso [A3.1]; 3.4. Retorna para ponto 2 do fluxo bsico. Quadro 5:13 - Manter relevncia
Fonte: o autor
Manter Testes 1. O ator inicia o caso de uso selecionando um ponto de controle para alterao; 2. O programa exibe uma lista com os testes cadastrados para o ponto de controle; 3. O usurio clica na opo "Voltar" [A1][A2][A3];
Fluxo Fluxo Alternativo A1 Incluso 3. O usurio clica na opo "Incluir Teste"; Tratamento de Excees Fluxo Alternativo A1.1 - Erro ao incluir
3.1. O programa oferece a interface para 3.3. O programa informa que houve erro preenchimentos dos dados do teste; na incluso; retorna para o ponto 3.1 do fluxo A1; 3.2. O ator preenche os dados no formulrio e confirma a incluso; 3.3. O programa informa que a operao foi realizada com sucesso [A1.1]; 3.4. Retorna para o ponto 2 do fluxo bsico;
Fluxo Alternativo A2 Excluso 3. O usurio marca um registro e clica na Fluxo Alternativo A2.1 - Desistncia opo "Excluir Teste"; 3.2. O ator cancela a operao; retorna 3.1. O programa pergunta se o usurio tem para o ponto 2 do fluxo bsico; certeza de que deseja excluir o teste; 3.2. O ator confirma sua inteno [A2.1]; Fluxo Alternativo A2.2 - Falha na 3.3. O programa informa o sucesso da excluso operao [A2.2]; 3.3. O programa informa que no pode
7 75 5 3.4. Retorna ao ponto 2 do fluxo bsico; Fluxo Alternativo A3 Alterao 3. O usurio clica sobre o nome do teste na Fluxo Alternativo A3.1 - Erro ao alterar lista; 3.3. O programa informa que houve erro 3.1. O programa oferece o formulrio ao salvar registro; retorna ao ponto 3.1 do preenchido com os dados do teste fluxo A3; selecionado; 3.2. O ator altera os dados que julgar necessrio e confirma; 3.3. O programa informa que a operao foi realizada com sucesso [A3.1]; 3.4. Retorna para ponto 2 do fluxo bsico. Quadro 5:14 - Manter testes
Fonte: o autor
excluir o registro; retorna para o ponto 2 do fluxo bsico;
5.2.6 Modelo Entidade-Relacionamento (ER) Diagrama ER (DER), uma representao das entidades e dos relacionamentos entre as mesmas a serem armazenadas em um banco de dados (BD). Modelo ER (MER) uma representao baseada em uma percepo de um mundo real que consiste em uma coleo de objetos bsicos chamados entidades, e em relacionamentos entre estes objetos. Uma entidade um objeto que distinguvel de outro objeto por um conjunto especfico de atributos. Atravs do diagrama ER possvel representar graficamente toda a estrutura lgica de um banco de dados. A figura 5.3 apresenta o diagrama ER concebido para o sistema proposto no presente trabalho:
7 76 6
Figura 5-2- Diagrama entidade relacionamento

Fonte: o autor
7 77 7 A partir da anlise do modelo ER do sistema apresentado prottipo de telas para o sistema.
5.2.7 Prottipo de Telas do Sistema A partir do modelo proposto e com o intuito de demonstrar o que se espera do sistema, foi desenvolvido um prottipo contendo algumas telas para o mesmo. A figura 5.3 ilustra como seria a tela inicial de acesso ao sistema. Nesta tela, alm das opes contidas na esquerda, consta, quando for o caso, um aviso ao auditor que h aes cujo prazo de concluso j se encontra esgotado.
Figura 5-3- Tela inicial de acesso ao sistema

Fonte: o autor
7 78 8 Na tela mostrada na figura 5.4 h a opo de incluso de auditorias atravs do link Incluir Auditoria, consulta dados de uma auditoria, selecionando o cdigo da mesma e excluso selecionando a caixa de marcao ao lado da auditoria e selecionando excluir auditoria. Para incluso de auditoria em um sistema necessrio primeiramente realizar o cadastramento do sistema, na guia sistemas e do auditor na guia auditores.
Figura 5-4- Consulta, incluso e excluso de auditorias

Fonte: o autor
Na figura 5.5 realizada a consulta, incluso e excluso de auditores.
7 79 9
Figura 5-5- Auditores

Fonte: o autor
Na figura 5.6 consta o exemplo de cadastramento de um auditor.
8 80 0
Figura 5-6- Cadastramento de auditores

Fonte: o autor
A figura 5.7 demonstra a tela de gerenciamento dos sistemas.
8 81 1
Figura 5-7- Sistemas

Fonte: o autor
8 82 2
Figura 5-8- Incluso de sistemas

Fonte: o autor
8 83 3
Figura 5-9- Incluso de sistemas (continuao)

Fonte: o autor
A figura 5.9 exemplifica a incluso de um sistema. Quando do cadastramento do sistema, respondido pelo auditor questes referentes a relevncia do sistema, conforme foi abordado anteriormente na metodologia. Na prxima tela, consta o roteiro com os pontos macros a serem verificados na auditoria.
8 84 4
Figura 5-10- Roteiros

Fonte: o autor
Cada ponto macro est composto por diversos testes a serem efetuados. Ao lado de cada ponto macro h a propriedade de segurana da informao (PSI) na qual o mesmo est associado. Ao selecionar um ponto macro, pode-se visualizar os pontos de controle contidos, como consta na prxima tela.
8 85 5
Figura 5-11- Alterao de controle macro

Fonte: o autor
Na figura 5.11 pode-se alterar um ponto macro, bem como visualizar, incluir e excluir um ponto de controle. Nesta tela tambm pode ser visualizada a severidade de cada ponto de controle. Ao clicar em cima de um ponto de controle consegue-se consultar os dados do ponto selecionado, conforme demonstrado na figura 5.12.
8 86 6
Figura 5-12- Dados de um ponto de controle

Fonte: o autor
Nesta tela consta a descrio do ponto de controle, as normas associadas, bem como os testes necessrios para validao do ponto de controle. Caso necessrio, pode ser includos mais testes no roteiro ou excluir algum teste desnecessrio. A figura 5.13 mostra a tela de avaliao dos pontos de controle a ser preenchida pelo no decorrer dos trabalhos de auditoria.
8 87 7
Figura 5-13- Avaliaes

Fonte: o autor
8 88 8
Figura 5-14- Roteiro Atribuio do risco do sistema

Fonte: o autor
Ao final dos testes, os pontos de controle que se encontram com situao diferente de atendido, vo para o plano de ao da auditoria, conforme consta na figura 5.15.
8 89 9
Figura 5-15- Recomendaes para plano de ao

Fonte: o autor
Os dados do plano de ao so repassados para o gestor responsvel pelo cumprimento da recomendao, quando so acordados os prazos necessrios para atendimento de cada recomendao. Para a reunio, emitido pelo sistema o plano de ao. Na figura 5.16 h um exemplo do documento gerado.
9 90 0
Figura 5-16- Modelo de plano de ao

Fonte: o autor
Alm de auxiliar nas auditorias, tambm so gerados relatrios estatsticos para acompanhamento dos trabalhos. A figura a seguir mostra a tela de consulta de relatrios do sistema.
9 91 1
Figura 5-17- Tela de relatrios

Fonte: o autor
A figura 5-18 apresenta a apurao de risco de um sistema a comparao do sistema. Com isso possvel ao auditor efetuar a anlise do risco separando-as pela ameaa.
9 92 2
Figura 5-18: Anlise de risco de um sistema

Fonte: o autor
A figura 5-19 demonstra a comparao de trs sistemas j auditados, com foco no risco apresentado. Com isso pode-se facilmente auferir qual sistema apresenta maior ndice de risco.
9 93 3
Figura 5-19: Comparao de risco entre sistemas

Fonte: o autor
A seguir so apresentadas as configuraes finais resultantes do trabalho efetuado.
CONSIDERAES FINAIS
Atravs dos estudos realizados, verificou-se a importncia dos controles internos para garantir a segurana da informao nas empresas. Considerando a importncia cada vez maior dos sistemas de informao, torna-se imprescindvel que as empresas possuam uma auditoria que busque verificar e atestar a confiabilidade dos dados apresentados. Porm, devido ao grande volume de sistemas a serem auditados, torna-se vital para as empresas, buscarem uma maior eficincia em seus trabalhos de auditoria. Nos estudos realizados junto empresa do caso de estudo, identificou-se a necessidade de uma ferramenta que venha a auxiliar nos trabalhos de auditoria, gerando os papis de trabalho da auditoria e, alm disso, de acordo com os dados obtidos no decorrer das auditorias, efetuar o levantamento do risco dos sistemas, possibilitando uma hierarquizao (ou ordenao) de sistemas a serem auditados primeiramente. Este trabalho no teve a pretenso de esgotar o assunto relativo auditoria, pois alm de ser um assunto extenso, no a proposta de contribuio do trabalho. Na seqncia, sugeriu-se a modelagem de uma ferramenta visando atender s necessidades da empresa objeto da pesquisa. Como continuao deste trabalho, sugere-se o desenvolvimento de roteiros de auditoria para os diversos tipos de auditoria de TI existentes, associando os pontos de controle com as ameaas constantes na ISO 27705. A partir disso, pode-se implementar uma aplicao baseada na modelagem desenvolvida neste trabalho.
REFERNCIAS BIBLIOGRFICAS
ARIMA, Carlos Hideo. Metodologia de auditoria de sistemas. 10.ed. So Paulo: rica, 1994. ATTIE, William. Auditoria Interna. 10.ed. So Paulo: rica, 1994. ATTIE, William. Auditoria: conceitos e aplicaes. 3.ed. So Paulo: Atlas, 1998. BOOCH, Grady; RUMBAUGH, James; JACOBSON, Ivar. UML Guia do Usurio. 12.ed. So Paulo: Campus, 2000. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books, 1994.0 FONTES, Joaquim Rubens. Manual de Auditoria de Sistemas, 1. ed. So Paulo: Cincia Moderna, 1991. GIL, Antnio de Loureiro. Auditoria de computadores. 5.ed. So Paulo: Atlas, 2000. HEUSER, Carlos Alberto. Projeto de Banco de Dados. 4. ed. Porto Alegre: Sagra Luzzatto, 2001. IMONIANA, Joshua Onome. Auditoria de sistemas de informao. 1.ed. So Paulo: Atlas, 1994. JUNIOR, Jos Hernandes Perez. Auditoria de demonstraes contbeis. 1. ed. So Paulo: Atlas, 1995. Manual de Auditoria do Tribunal de Contas da Unio, Braslia, 1998. 109 pginas, disponvel em: www.tcu.gov.br Acesso em 28/08/2006 PAULA, Maria Goreth Miranda Almeida. Auditoria interna. 1. ed. So Paulo: Atlas, 1999. PRODANOV, Clber Cristiano. Manual de metodologia cientfica. 3. ed. Novo Hamburgo: Feevale, 2003. SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. 1.ed. Rio de
Janeiro: Campus, 2003. SHIMIDT, Paulo; SANTOS, Jos Luiz dos; ARIMA, Carlos Hideo. Fundamentos de auditoria de sistemas. 1.ed. So Paulo: Atlas, 2006. Manual Sairbanes Oxley da Deloitte Tomatsu So Paulo, 2003 47 pginas, disponvel em: www.deloitte.com.br Acesso em 14/04/2009. CARDELLA, B. Segurana no trabalho Uma abordagem holstica: So Paulo: Atlas, 1999. YIN, Robert K. Estudo de caso: planejamento e mtodos. 2. ed. Porto Alegre, RS: Bookman, 2001. 205 p. BLAHA, Michael; RUMBAUGH, James. Modelagem e projetos baseados em objetos com UML 2. 2. ed., rev. atual. Rio de Janeiro, RJ: Elsevier, 2006

0001 - 1940 Auditoria Sistemas

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

0001 - 1940 Auditoria Sistemas

Enviado por

Direitos autorais:

Formatos disponíveis

CENTRO UNIVERSITRIO FEEVALE

ANDREY SIMON UNGARETTI NOVAES DA SILVEIRA

AUDITORIA DE SISTEMAS - PROPOSTA DE SOLUO PARA GERENCIAMENTO E CONTROLE DE AUDITORIAS

Novo Hamburgo, Julho de 2009.

ANDREY SIMON UNGARETTI NOVAES DA SILVEIRA

AUDITORIA DE SISTEMAS - PROPOSTA DE SOLUO PARA GERENCIAMENTO E CONTROLE DE AUDITORIAS

Professor orientador: Ms. Alexandre Zamberlam

Novo Hamburgo, julho de 2009.

1 SEGURANA DA INFORMAO E CONTROLE INTERNO

Figura 1-1: Ciclo de vida da informao, considerando os conceitos bsicos da segurana.

Definio de controle interno

Figura 1-2: Ciclo de vida do Ponto de Controle e Ponto de Auditoria

Figura 3-1: Organograma da empresa. Fonte: a empresa

Figura 3-2: Organograma da auditoria interna.

Valor da conseqncia (do ativo) 5 2 3 1 4 2

Probabilidade de ocorrncia da ameaa 2 4 5 3 1 4

conseqncia de ocorrncia da (do ativo) ameaa 2 4

5 50 0 Ameaa C Ameaa D Ameaa E Ameaa F RISCO TOTAL RISCO TOTAL 3 1 4 2 5 3 1 4 15 3 4 8 48 48*3=144 1 5 4 3

5 52 2 Tabela 5:1: Comparativo de Sistemas

5 56 6 Documentar os artefatos de um sistema complexo de software.

Figura 5-1- Diagrama de casos de uso do projeto

Para melhor entendimento sobre o diagrama seguem as descries de caso de uso:

Quadro 5:2 Manter Auditores

Fluxo Fluxo Alternativo A1 Incluso Tratamento de Excees

Quadro 5:3 - Manter auditorias

6 62 2 Fluxo Fluxo Alternativo A1 Incluso Tratamento de Excees

Fluxo Fluxo Alternativo A1 Incluso Tratamento de Excees

Fluxo Fluxo Alternativo A1 Incluso Tratamento de Excees

Fluxo Fluxo Alternativo A1 Incluso

Fluxo Fluxo Alternativo A1 Incluso

Fluxo Fluxo Alternativo A1 Incluso 3. O usurio clica na opo "Incluir Normas";

Fluxo Alternativo A1.1 - Erro ao incluir

Fluxo Fluxo Alternativo A1 Incluso Tratamento de Excees

Manter Roteiros 1. O ator inicia o caso de uso selecionando "Roteiros";

Fluxo Fluxo Alternativo A1 Incluso

excluir o registro; retorna para o ponto 2 do fluxo bsico;

Figura 5-2- Diagrama entidade relacionamento

7 77 7 A partir da anlise do modelo ER do sistema apresentado prottipo de telas para o sistema.

Figura 5-3- Tela inicial de acesso ao sistema

Figura 5-4- Consulta, incluso e excluso de auditorias

Na figura 5.5 realizada a consulta, incluso e excluso de auditores.

Figura 5-5- Auditores

Na figura 5.6 consta o exemplo de cadastramento de um auditor.

Figura 5-6- Cadastramento de auditores

A figura 5.7 demonstra a tela de gerenciamento dos sistemas.

Figura 5-7- Sistemas

Figura 5-8- Incluso de sistemas

Figura 5-9- Incluso de sistemas (continuao)

Figura 5-10- Roteiros

Figura 5-11- Alterao de controle macro

Figura 5-12- Dados de um ponto de controle

Figura 5-13- Avaliaes

Figura 5-14- Roteiro Atribuio do risco do sistema

Figura 5-15- Recomendaes para plano de ao

Figura 5-16- Modelo de plano de ao

Figura 5-17- Tela de relatrios

Figura 5-18: Anlise de risco de um sistema

Figura 5-19: Comparao de risco entre sistemas

A seguir so apresentadas as configuraes finais resultantes do trabalho efetuado.

Você também pode gostar