AUDITORIA E SEGURANA

INFORMTICA

Unidade I

CONTROLO INTERNO E AUDITORIA

INFORMTICA

Instituto Superior Monitor

Outubro 2011

AUDITORIA E SEGURANA INFORMTICA

Ficha Tcnica:
Ttulo: AUDITORIA E SEGURANA INFORMTICA CONTROLO INTERNO E AUDITORIA
INFORMTICA
Autor: Joseph Rafael Katame
Revisor: Edias Jambaia
Execuo grfica e paginao: Instituto Superior Monitor
1 Edio: 2011
Instituto Superior Monitor

Todos os direitos reservados por:

Instituto Superior Monitor
Av. Samora Machel, n 202 2. Andar
Caixa Postal 4388 Maputo
MOAMBIQUE

Nenhuma parte desta publicao pode ser reproduzida ou transmitida

por qualquer forma ou por qualquer processo, electrnico, mecnico
ou fotogrfico, incluindo fotocpia ou gravao, sem autorizao
prvia e escrita do Instituto Superior Monitor. Exceptua-se a
transcrio de pequenos textos ou passagens para apresentao ou
crtica do livro. Esta excepo no deve de modo nenhum ser
interpretada como sendo extensiva transcrio de textos em
recolhas antolgicas ou similares, de onde resulte prejuzo para o
interesse pela obra. Os transgressores so passveis de procedimento
judicial

ii

ndice
INTRODUO ............................................................................................................... iv
ESTRUTURA DA UNIDADE I....................................................................................... 6
CONTEXTUALIZAO ................................................................................................ 6
RESULTADOS DE APRENDIZAGEM DA UNIDADE I ............................................. 8
CAPTULO I INTRODUO AUDITORIA INFORMTICA .............................. 9
OBJECTIVOS ESPECFICOS DO CAPTULO .................................................... 9
1.1 A AUDITORIA INFORMTICA .................................................................... 9
1.2 A ORIGEM DA AUDITORIA NOS PASES DESENVOLVIDOS ................ 9
1.3 EVOLUO HISTRICA DA AUDITORIA ............................................... 10
1.4 AUDITORIA NA ERA DA INFORMAO ................................................ 10
1.5 OBJECTIVOS DE UMA AUDITORIA INFORMTICA ............................ 11
1.6 TIPOS DE AUDITORIA ................................................................................ 12
1.7 PERFIL E QUALIFICAES DO AUDITOR .............................................. 13
EXERCCIOS ....................................................................................................... 14
CAPTULO II FUNES DE CONTROLO INTERNO E AUDITORIA
INFORMTICA ............................................................................................................. 15
OBJECTIVOS ESPECFICOS DO CAPTULO: ................................................. 15
2.1 CONTROLO INTERNO DE INFORMTICA .............................................. 15
2.2 CONTROLO INTERNO E AUDITORIA INFORMTICA: CAMPOS
ANLOGOS ......................................................................................................... 17
2.3 COBIT (Control Objectives for Information and Related Technology) ......... 18
2.4 CONVERGNCIA DE AUDITORIA DE SI E COBIT................................. 22
EXERCCIOS ....................................................................................................... 23
RESPOSTAS ......................................................................................................... 23
CAPTULO III SISTEMA DE CONTROLO INTERNO INFORMTICO .............. 24
OBJECTIVOS ESPECFICOS DO CAPTULO .................................................. 24
3.1 DEFINIO E TIPOS DE CONTROLOS INTERNOS ................................ 24
3.2 IMPLEMENTAO DE UM SISTEMA DE CONTROLO INTERNO
INFORMTICO ................................................................................................... 25
EXERCCIOS ....................................................................................................... 39
CAPTULO IV AUDITORIA DE SISTEMAS DE GESTO DAS TECNOLOGIAS
DE INFORMAO E COMUNICAO..................................................................... 40
OBJECTIVOS ESPECFICOS DO CAPTULO: ................................................ 40
4.1 IMPLEMENTAO DE SISTEMA DE GESTO DE TICs ....................... 41
ii

AUDITORIA E SEGURANA INFORMTICA

4.2 AUDITORIA INTERNA ................................................................................ 42

4.3 PROCESSO DE CERTIFICAO DOS SISTEMAS DE GESTO DAS
TICs ....................................................................................................................... 42
EXERCCIOS ....................................................................................................... 43
QUADRO SINPTICO ................................................................................................. 44
BIBLIOGRAFIA ............................................................................................................ 46
AVALIAO DA DISCIPLINA DE AUDITORIA E SEGURANA INFORMTICA47
ANEXO I - QUESTINARIO
ESTUDANTES

DE

AVALIAO

DA

SATISFAO

DO
48

iv

TRODUO
Caro Estudante,
Seja Bem-vindo(a) unidade I da disciplina de Auditoria e Segurana
Informtica.
Para ter sucesso nesta unidade necessita de estudar com ateno todo o
manual, no deixando de rever as unidades anteriores.
Para complementar os seus conhecimentos recomenda-se que realize uma
leitura pelos recursos auxiliares recomendados ao longo desta unidade,
no s pela bibliografia indicada como pelos websites sugeridos. Para
aceder a outras bibliotecas faa-se acompanhar do seu carto de estudante.
A biblioteca virtual do ISM inclui livros digitalizados, artigos, websites e
outras referncias importantes para esta e outras disciplinas, que dever
utilizar na realizao de casos prticos. A biblioteca virtual pode ser
consultada em http://www.ismonitor.ac.mz/.
O aluno pode ainda recorrer a outras bibliotecas virtuais, como por exemplo
em:
www.saber.ac.mz
www.books.google.com
Recomenda-se que o aluno no guarde as suas dvidas para si e que as
apresente ao tutor, sempre que achar pertinente. Recomenda-se que entre
em contacto com a respectiva faculdade atravs do e-mail
dir.gec@ismonitor.info ou pelo contacto telefnico 82 36 99 885
Os exerccios prticos tm como objectivo a consolidao do
conhecimento dos temas apresentados nesta unidade. O Instituto Superior
Monitor fornece as solues de muitos desses exerccios de forma a facilitar
o processo de aprendizagem, mas ateno caro estudante, voc deve
resolver os exerccios de auto-avaliao antes de consultar as solues
fornecidas.
No final desta unidade encontra-se o teste de avaliao. A avaliao deve
ser submetida ao Instituto Superior Monitor at 30 (trinta) dias aps a
recepo da unidade. A avaliao da unidade pode ser submetida por e-mail
(testes@ismonitor.info), fax, carta, entrega directa na instituio ou usando
outros meios de comunicao.
Esta unidade pressupe que a realizao de 37,5 horas de aprendizagem,
distribudas da seguinte forma:
Tempo para leituras da unidade: 22 horas;
Tempo para trabalhos de pesquisa: 5 horas;
Tempo para realizao de exerccios prticos: 8,5 horas;
Tempo para realizar avaliaes: 2 horas.
iv

AUDITORIA E SEGURANA INFORMTICA

A presente unidade vlida por 12 (doze) meses. Os estudantes que no

tenham obtido aproveitamento na disciplina (por terem interrompido o curso
ou reprovado) devem contactar o Instituto Superior Monitor. Esta
recomendao deve-se ao facto de os materiais serem periodicamente revistos
e actualizados, de forma a se adaptarem s mudanas do mundo actual e s
dinmicas da produo de conhecimento no seio da prpria disciplina.

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

ESTRUTURA DA UNIDADE I
A presente unidade composta por quatro captulos e tem como
propsito dotar aos estudantes de conceitos indispensveis para a
compreenso dos mecanismos de controlo dos sistemas informticos nas
organizaes e a realizao de auditoria informtica.
O primeiro captulo introduz aos estudantes os conceitos relacionados
com auditoria informtica, sua origem, evoluo histrica e objectivos.
O segundo captulo aborda as funes de controlo interno e COBIT, e a
convergncia de SI e COBIT.
O captulo trs, sistema de controlo interno, descreve o sistema de
controlo interno, tipos de controlo interno e auditoria informtica, e por
fim a implementao de um sistema de controlo interno.
Finalmente, no quarto captulo, aborda sobre auditoria de sistemas de
gesto de tecnologias de informao e comunicao, e o processo de
certificao desses sistemas.

CONTEXTUALIZAO
Com a ploriferao de Sistemas de Informao (SI) nas organizaes,
surge a necessidade de obteno de qualidade dos mesmos. Estando na era
da informao, esta constitui o alicerce das organizaes, pois facilita a
gesto das actividades dos diversos nveis e sectores da organizao.
Auditoria e segurana dos sistemas de Informao constituem elementos
chaves para manter sistemas de informao a funcionar plenamente
durante muito tempo.
Cannon (2008), considera o termo auditar como sendo uma reviso da
histria passada. O auditor segue os processos definidos de auditoria,
estabelece critrios de auditoria, rene provas significativas, e torna
independente a opinio sobre controlos internos.
Segundo FFIEC (2004), segurana da informao o processo pelo qual
uma organizao protege seus sistemas, meios de comunicao e
instalaes que processam e mantm informaes vitais para suas
operaes.
Portanto, a auditoria dever procurar encontrar possveis problemas e
sugerir solues para os mesmos, ou comprovar que o sistema se encontra
em perfeito estado e aps auditado dever manter o rumo. Enquanto, a
segurana deve ser um processo contnuo a ser observado na organizao,
estabelecendo todos padres recomendados sobre segurana de
6

AUDITORIA E SEGURANA INFORMTICA

informao.
A presente disciplina pretende dotar ao estudante de princpios, teorias,
procedimentos e tcnicas de Auditoria e Segurana Informtica, que lhe
permitiro empregar na vida profissional, mais concretamente nas
organizaes, para solucionar e prevenir problemas relacionados com os
sistemas de informao.
A disciplina foi dividida em quatro unidades para as quais se
estabeleceram os seguintes objectivos especficos:
- A presente unidade denominada Controlo interno e auditoria
informtica tem como propsito dotar aos estudantes de conceitos
indispensveis para a compreenso dos mecanismos de controlo dos
sistemas informticos nas organizaes e a realizao de auditoria
informtica. Nesta unidade pretende-se que os alunos aprendam os
conceitos fundamentais relacionados com a auditoria informtica, as
funes de controlo interno, sistemas de controlo interno e auditoria de
sistemas de gesto de tecnologias de informao e comunicao;
- A segunda unidade ser relativa metodologias de controlo interno e
segurana informtica. Nesta unidade pretende-se que os estudantes
consigam descrever as metodologias de avaliao de sistemas e as
metodologias de auditoria informtica; pretende-se ainda, que o
estudante seja dotado de conhecimentos sobre como elaborar o plano e o
relatrio de uma auditoria informtica;
- Na unidade 3, ferramentas para auditoria de sistemas de informao,
pretende-se que os alunos conheam algumas ferramentas para a
auditoria de sistemas de informao de acordo com as suas funes,
finalidade, localizao, produtividade e por cobertura;
- Finalmente, a ltima unidade trata das principais reas de auditoria
informtica. Pretende-se que o aluno conhea as principais reas de
auditoria informtica tais como auditoria de outsourcing, auditoria
fsica, auditoria de base de dados, auditoria de segurana, auditoria de
redes, auditoria de aplicaes e auditoria de Internet.
O sucesso do aluno depende em grande medida da forma como planifica
e organiza as tarefas de estudo. medida que o aluno for
experimentando sucesso na aprendizagem sentir uma maior satisfao e
interesse pelos contedos programticos. Por isso, siga os conselhos que
lhe so propostos para sair bem-sucedido na disciplina!

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

RESULTADOS DE APRENDIZAGEM DA UNIDADE I

No final da primeira unidade os alunos devero ser capazes de:
Compreender os conceitos relacionados
informtica, sua histria e evoluo.

com

auditoria

Descrever as funes de controlo interno e auditoria informtica.

Compreender os sistemas informticos de controlo interno.
Compreender o processo de auditoria de sistemas de gesto de
tecnologias de informao e comunicao.
.

AUDITORIA E SEGURANA INFORMTICA

UNIDADE I CONTROLO INTERNO E AUDITORIA

INFORMTICA
CAPTULO I INTRODUO AUDITORIA INFORMTICA

OBJECTIVOS ESPECFICOS DO CAPTULO

No final deste captulo, o estudante dever ser capaz de:
Compreender o conceito auditoria, sua origem e evoluo;
Compreender a forma de auditoria na era de informao;
Compreender os objectivos de uma auditoria informtica;
Descrever os tipos de auditoria informtica e o perfil de um auditor;

1.1 A AUDITORIA INFORMTICA

Segundo Gentil (2008), pode-se conceituar auditoria como sendo o acto de
examinar as operaes, processos, sistemas e responsabilidades de gesto
de uma organizao com o intuito de verificar o cumprimento das normas,
objectivos e metas prefixadas pela mesma. Portanto, a auditoria visa
examinar de forma crtica as actividades de uma organizao ou outra
entidade com o objectivo de avaliar a sua eficincia e eficcia.

1.2 A ORIGEM DA AUDITORIA NOS PASES DESENVOLVIDOS

Segundo Crepaldi (2006), o termo auditor originou-se no final do sculo
XIII, na Inglaterra, sob o poder do rei que mencionava o termo auditor
sempre que se referia ao exame das contas, alegando que se estas no
estivessem correctas, iria punir seus responsveis.
Posteriormente, nos Estados Unidos da Amrica, como exemplo, as
grandes empresas de transporte ferrovirio criaram unidades fiscais
chamadas Travelling Auditors (Auditores Viajantes), que tinham a
funo de visitar as estaes rodovirias e assegurar que todo produto da
venda de passagens e de fretes de carga estavam sendo arrecadados e
contabilizados correctamente. E aps a fundao do The Institute of

10

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

Internal Auditors (Instituto de Auditores Internos), em Nova York, a

auditoria interna passou a ser vista de forma diferente. De um corpo de
funcionrios de linha, subordinados a contabilidade, aos poucos passou a
ter um enfoque de controle administrativo, com a finalidade de avaliar a
eficcia e a efectividade dos controles internos.
Logo o seu campo de aco funcional estendeu-se para todas as reas e
para manter sua independncia, passou a subordinar-se directamente alta
administrao.

1.3 EVOLUO HISTRICA DA AUDITORIA

Ainda de acordo com Crepaldi (2006), a causa da evoluo da auditoria,
que decorrente da evoluo da contabilidade, foi a do desenvolvimento
econmico dos pases, do crescimento das empresas e expanso das
actividades produtoras, gerando crescente complexidade na administrao
dos negcios e de prticas financeiras.
Por meio destes factos histricos, verifica-se que o surgimento da auditoria
apoiou-se na indispensvel necessidade de confirmao, por parte dos
utilizadores, sobre a realidade econmica e financeira do patrimnio das
empresas investigadas, essencialmente, no surgimento de grandes
empresas multigeograficamente distribudas e simultaneamente ao
desenvolvimento econmico que permitiu a participao accionria na
formao do capital de muitas empresas, gerando crescente complexidade
na administrao dos negcios e de prticas financeiras.
Porm, como a auditoria provm da contabilidade, ainda indicado o
conjunto de dados histricos que permitem a comparao entre estas duas
actividades. Com o conhecimento da evoluo dos factos criadores do
trabalho de auditoria, verifica-se que esta se estabeleceu pelo exame
cientfico e sistmico dos registos, documentos, livros, contas, inspeces,
obteno de informaes e confirmaes internas e externas, sujeitos as
normas apropriadas de procedimentos para investigar a veracidade das
demonstraes contbeis e o cumprimento no somente das exigncias
fiscais como dos princpios e normas de contabilidade e sua aplicao
uniforme.

1.4 AUDITORIA NA ERA DA INFORMAO

No decorrer das ltimas dcadas, o ritmo das mudanas, no mundo, se
caracterizou por extraordinria rapidez. Estas mudanas afectaram
profundamente as organizaes, seja em sua estrutura, cultura ou
10

AUDITORIA E SEGURANA INFORMTICA

comportamento. As organizaes passaram por trs fases durante o sculo

XX: a era industrial clssica, a era industrial neoclssica e a era da
informao.
Enquanto nas duas primeiras foram destacadas as tarefas, as pessoas, a
tecnologia e o ambiente, na ltima e actual era, devido s mudanas e
transformaes, ocorre em um contexto globalizado e dinmico, em que a
competitividade se d em nvel mundial, as relaes comerciais ignoram
fronteiras e culturas nacionais e a informao imediata faz com que as
organizaes necessitem ser geis, flexveis e rpidas em suas respostas
aos desafios cada vez mais complexos e, ainda, provoca diversidade em
relao composio humana dentro das organizaes e incentiva a
modificao nas funes das pessoas que nelas trabalham, de forma directa
ou indirecta.
Segundo Velthuis (2007), a partir dos anos 50 a informtica se converteu
em uma rea muito importante na rea de auditoria financeira, e permite
levar a cabo de forma rpida e precisa, operaes que manualmente
consumiam demasiados recursos.
Notou-se tambm que as organizaes tornaram-se dependentes de
sistemas de informao, assim surge a necessidade de verificar se estes
funcionam correctamente. Nos finais dos anos 60, descobriu-se vrios
casos de fraude cometidos com ajuda de computador. neste contexto que
surgiu nova rea denominada Auditoria Informtica, cujo objectivo
precisamente verificar o funcionamento correcto, eficaz e eficiente das
tecnologias e sistemas de informao.
Na actualidade a informao se converte em um dos activos principais nas
empresas, representados por tecnologias e sistemas relacionados com a
informao. Podemos afirmar que as empresas investem enormes valores e
tempo na aquisio e desenvolvimento de solues tecnolgicas com
intuito de flexibilizar a gesto de suas actividades. Da que os temas
relacionados com auditoria informtica tenham maior relevncia mundial.

1.5 OBJECTIVOS DE UMA AUDITORIA INFORMTICA

Nas organizaes informatizadas imprescindvel que as tecnologias
envolvidas respondam as necessidades da organizao, por exemplo os
computadores devem estar disponvel a qualquer tempo para responder as
necessidades dos utilizadores, os sistemas implantados na organizao
devem fornecer uma segurana, de modo que os utilizadores acedem
somente informaes que lhes dizem respeito.
Segundo Cannon (2008), a auditoria consiste em rever o passado. O

11

12

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

auditor de SI deve seguir o processo de auditoria definido, estabelecer o

critrio de auditoria, obter evidncias significativas e providenciar uma
opinio independente em relao ao controlo interno. A auditoria envolve
o uso de vrias tcnicas de colecta de evidncias significativas, e efectua a
comparao entre evidncias da auditoria e referncias de padres.
De acordo com Anaguano (s.d.), a auditoria informtica tem os seguintes
objectivos:
1.
2.
3.
4.

O controlo da funo informtica;

A anlise da eficincia dos sistemas informticos;
A reviso da gesto eficaz dos recursos informticos;
A verificao do cumprimento dos padres e normas.

1.6 TIPOS DE AUDITORIA

Segundo Cannon (2008), a auditoria interna consiste em auditar sua
prpria organizao para descobrir evidncias sobre o que est a ocorrer na
organizao. Este tipo de auditoria permite acompanhar a forma de
efectivao de actividades, com intuito de verificar possveis erros no
funcionamento das tecnologias envolvidas na organizao, por exemplo o
funcionamento das aplicaes e segurana de sistemas. Este autor afirma
ainda que auditoria externa envolve clientes ou fornecedores auditando a
organizao. A finalidade garantir o nvel esperado de performance
conforme os seus contratos. Este tipo de auditoria no realizado para
detectar anomalias no funcionamento do sistema de informao na
organizao. Naturalmente, no decorrer do processo de auditoria, o auditor
pode encontrar fraudes ou erros, mas o seu objectivo emitir um parecer.
Tendo em conta as reas de actuao, podemos encontrar os seguintes
tipos de auditoria (Anaguano, s.d.):
Financeira. Trata da veracidade dos estados financeiros. Preparao de
informes de acordo com os princpios contbeis;
Operacional. Avalia a eficincia, eficcia e economia dos mtodos e
procedimentos que originam um processo numa organizao;
Sistemas. Se preocupa com a funo informtica;
Fiscal. Se preocupa em observar o cumprimento das leis fiscais;

12

AUDITORIA E SEGURANA INFORMTICA

Administrativa. Analisa o desempenho das funes administrativas;

Qualidade. Trata dos mtodos, medies e controlo de bens e servios;
Social. Rev a contribuio da sociedade bem como a participao em
actividades socialmente orientadas.
A auditoria informtica, por sua vez, composta pelas seguintes reas:
Auditoria de gesto;
Auditoria dos dados;
Auditoria de segurana fsica;
Auditoria de segurana lgica;
Auditoria das comunicaes;
Auditoria de segurana na produo.

1.7 PERFIL E QUALIFICAES DO AUDITOR

Uma boa auditoria carece de um auditor com qualificaes mnimas para
poder auditar sistemas de Informao. Num processo de auditoria devemos
garantir que esta seja feita de uma forma adequada. No se pode admitir
um auditor sem qualificaes necessrias para prestar auditoria, neste caso,
auditoria em informtica.
Segundo Fantinatti (1988) e Cannon (2008), o auditor deve ter
objectividade, imparcialidade, confidencialidade raciocnio lgico bem
como o sentimento de independncia.
Consideremos que a empresa XYZ, usa sistema de informao baseado
em computador, onde esta necessita comunicar-se com outras sucursais em
outras regies do pas. Assumindo que a empresa localiza-se em Maputo,
com sucursais nas provncias de Nampula, Manica e Tete, o auditor deve
conhecer no mnimo a forma de comunicao existente, as tecnologias
usadas nas aplicaes usadas, conhecimento sobre a segurana
implamentada na mesma, entre outros.
Portanto, perfil e qualificaes de um auditor so requisitos indispensveis
para a realizao de um processo de auditoria informtica, e contribuem
para a qualidade da auditoria influenciando desta forma na tomada de
deciso dos agentes do nvel mais alto da organizao.

13

14

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

EXERCCIOS
1.O que Auditoria Informtica?
2. Explique a evoluo de Auditoria nos pases desenvolvidos.
3. O que motivou a evoluo da Auditoria?
4. O que motivou o surgimento da Auditoria Informtica?
5.Indique tipos de auditoria que conheces?
6. Indique algumas qualidades de um auditor.

RESPOSTAS
1.O que Auditoria Informtica?
Resp: Pode-se conceituar auditoria como sendo o acto de examinar as operaes,
processos, sistemas e responsabilidades gerncias de uma organizao com o
intuito de verificar o cumprimento das normas, objectivos e metas prefixados pela
mesma.
2.Explique a evoluo de Auditoria nos pases desenvolvidos.
Resp: Vide seco 1.3.
3. O que motivou a evoluo da Auditoria?
Resp: A causa da evoluo da auditoria, que decorrente da evoluo da
contabilidade, foi a do desenvolvimento econmico dos pases, do crescimento
das empresas e expanso das actividades produtoras, gerando crescente
complexidade na administrao dos negcios e de prticas financeiras.
4. O que motivou o surgimento da Auditoria Informtica?
Resp: Nos finais dos anos 60, descobriu-se vrios casos de fraude cometidos com
ajuda de computador. Face a essa situao surgiu outro ramo da Auditoria
denominada Auditoria Informtica.
5.Indique tipos de auditoria que conheces?
Resp: Vide seco 1.6.
6.Indique algumas qualidades de um auditor.
Resp: o auditor deve ter objectividade, imparcialidade, confidencialidade,
raciocnio logico e sentimento de independncia.

14

AUDITORIA E SEGURANA INFORMTICA

CAPTULO II FUNES DE CONTROLO INTERNO E AUDITORIA

INFORMTICA

OBJECTIVOS ESPECFICOS DO CAPTULO:

No final deste captulo o estudante ser capaz de:
Identificar as funes bsicas de controlo interno de informtica;
Compreender que controlo interno e auditoria informtica so campos
anlogos;
Compreender o funcionamento e o objectivo da tecnologia COBIT;
Descrever a convergncia entre a auditoria de SI e COBIT;

2.1 CONTROLO INTERNO DE INFORMTICA

A rea de informtica tornou-se um dos requisitos muito importante na
efectivao de tarefas rotineiras nas organizaes. Tem-se investido muito
na informtica devido ao seu impacto na tomada das decises em todos
nveis que constituem uma organizao.
O ideal ter um retorno directamente proporcional com valores gastos na
aquisio das tecnologias de informao, que so matria-prima para o
desenvolvimento de sistemas de informao tecnolgicos, ou seja,
sistemas de informao baseados em computador.
O controlo interno de informtica uma parte da informtica que responde
as necessidades de cumprimento dos requisitos exigidos sobre o
funcionamento das tecnologias envolvidas na organizao. atravs dela
que obtemos o feedback sobre a viabilidade de uso das tecnologias de
informao nas organizaes.
O Controlo interno visa verificar o funcionamento de todas actividades
efectuadas nas organizaes atravs do sistema de informao. Este
controlo avalia a efectivao dos procedimentos e normas estabelecidas
pela Direco ou Departamento de Informtica.

O controlo interno tem os seguintes objectivos (Valriberas, 2008):

15

16

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

Controlar e garantir que todas as actividades sejam realizadas de

acordo com os procedimentos e normas fixadas e assegurar o
cumprimento das normas;
Assessoria no conhecimento das normas;
Colaborar e apoiar o trabalho de auditoria informtica, assim como
as auditorias externas;
Definir, implementar e executar mecanismos e controlo para
verificar a realizao adequada de servios de informtica, no qual
devemos considerar que a implementao dos mecanismos de
medida e a responsabilidade de realizao seja exclusivamente da
funo de controlo interno;

Para alm dos objectivos descritos acima, necessrio efectuar em

diferentes sistemas (central, departamentos, redes, computadores pessoais,
etc.) e ambientes informticos (produo, desenvolvimento ou teste) o
controlo de diferentes actividades operativas sobre:
O cumprimento de procedimentos e normas;
Controlo sobre produo diria;
Controlo sobre a qualidade e eficincia do desenvolvimento e
manuteno de software e de servios informticos.
Controlo de redes de comunicao;
Controlo sobre o software de base;
Controlo de sistemas de microinformtica;
A segurana informtica;
Utilizadores, responsabilidades e perfis de uso de ficheiros e bases
de dados;
Normas de segurana;
Licenas e relaes contratuais com terceiros

16

AUDITORIA E SEGURANA INFORMTICA

Assessorar e transmitir cultura sobre o risco informtico.

.
Auditoria informtica processo de revogar, agrupar e avaliar evidncias
para determinar se o sistema informatizado salvaguarda os activos,
mantendo a integridade dos dados, levando a cabo eficazmente os fins da
organizao e utiliza eficazmente os recursos. Deste modo a auditoria
informtica sustenta e confirma a execuo dos objectivos tradicionais da
auditoria:
Objectivos de proteco de activos e integridade de dados;
Objectivos de gesto que abarcam apenas na proteco de activos,
mas tambm na eficcia e eficincia;
O auditor responsvel em rever e informar a direco da organizao
sobre o desenho e o funcionamento do sistema de controlo implantado e
sobre a finalidade da informao produzida.
Podem se estabelecer trs grupos de funes a realizar por um auditor
informtico (Valriberas, 2008):
Participar em revises durante e depois do desenho, realizao,
implementao e explorao de aplicaes informticas, assim
como as fases anlogas de realizao de mudanas importantes;
Rever e julgar os controlos implantados em sistemas informticos
para verificar sua adequao as ordens e instrues da direco,
requisitos legais, proteco de confidencialidade e cobertura entre
erros e fraudes;
Rever e julgar o nvel de eficcia, utilidade, fiabilidade e segurana
de equipas de informtica.

2.2 CONTROLO INTERNO E AUDITORIA INFORMTICA:

CAMPOS ANLOGOS
Controlo interno e auditoria informtica so campos anlogos, visto que h
semelhanas, conforme ilustrado na tabela 1. Como pode-se ver, temos a
semelhana no pessoal interno, este deve ter experincia em tecnologias de
informao, verificao da conformidade com controlos internos entre
outros.
Tabela 1: Comparao entre Controlo Interno e Auditoria Informtica. Fonte: Valriberas

17

18

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

(2008)

CONTROLO
INTERNO AUDITOR
INFORMTICO
INFORMTICO
SEMELHANAS Pessoal Interno
Experincia em tecnologia da informao,
verificao da conformidade com controlos
internos, normas e procedimentos estabelecidos
pelo departamento de Informtica e direco geral
da Organizao.
Anlise de controlos no dia-a- Anlise de um
DIFERENAS
dia.
tempo
determinado
Informar ao departamento
sobre o pessoal interno Informar
a
somente de suas funes sobre direco geral da
o departamento de TI
organizao sobre
como o pessoal
Interno e / ou
externo
tem
coberto em todos
os componentes
de organizao de
sistemas
de
informao

2.3 COBIT (Control Objectives for Information and Related

Technology)
Metodologia o conjunto de mtodos e tcnicas aplicadas para um
determinado fim. Dependendo da sua utilizao pode gerar resultados
positivos para organizao. O controlo de informtica deve basear-se numa
metodologia.
A filosofia de uma metodologia baseada em Informtica, consiste em gerir
recursos de tecnologias de informao, a fim de fornecer informaes
pertinentes que a organizao precisa.
COBIT um modelo/conjunto estruturado de boas prticas e metodologias
para sua aplicao, cujo objectivo facilitar a Governana de Tecnologias
de Informao (TI). um modelo de controlo, que visa atender as
necessidades de TI, e garantir a integridade de informao e sistemas de
informao, ajudando a diminuir os riscos do negcio.
18

AUDITORIA E SEGURANA INFORMTICA

Segundo Troitino e Sanches (2008), COBIT aponta e sustenta a

Governana de TI, proporcionando uma marca de referncia que assegura
que:
A tecnologia de informao est aliada com o negcio,
contribuindo ao mesmo tempo para a maximizao dos
benefcios;
Os recursos de TI (humanos e tcnicos) so usados de forma
responsvel;
Os riscos de TI so geridos e dirigidos adequadamente.
Outra caracterstica interessante de COBIT a sua estruturao ou
esquema de apresentao. Est estruturado com critrios prticos em uma
ordem lgica e racional do mais alto nvel ao menor nvel na gesto e
direco de TI.

Figura 1. Os quatros domnios de COBIT. Fonte: Fagundes (2011)

O COBIT (verso 4.0) est estruturado em 34 objectivos de controlo de

alto nvel para os processos de TI, que esto agrupados em 4 domnios de
actividades tpicas do governo de TI (o que qualquer governo de TI dever
incluir para ser realista e eficiente).

19

20

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

Os quatros domnios de actividades so seguintes:

Domnio
Planeamento e Organizao (PO)

Caracterstica
Cobre aspectos estratgicos e
tcticos organizacionais;
Identifica a melhor forma atravs da
qual a TI possa contribuir para o
alcance dos objectivos do negcio;
A realizao da viso estratgica
precisa ser planeada, comunicada e
gerido por diferentes perspectivas;
Este domnio preocupa-se com
questes de gesto como:
A TI e o negcio esto
estrategicamente
alinhados?
A
empresa est maximizando o uso de
seus recursos?
As pessoas compreendem os
objectivos da TI?
Os riscos so compreendidos e
geridos de forma apropriada?
A qualidade dos sistemas est de
acordo com a necessidade dos
negcios?

Aquisio e Implementao (AI)

Para realizar a estratgia da TI,
solues de TI precisam ser
identificadas, desenvolvidas ou
adquiridas,
como
tambm
implementadas e integradas ao
processo do negcio;
Modificaes e manuteno de
sistemas existentes so cobertas
neste domnio, para que continuem
alinhados aos objectivos do negcio.
Este domnio preocupa-se com
questes de gesto como:
Os novos projectos esto aptos
prover as solues que o negcio
requer no prazo e sem falhas? Os
novos sistemas implementados esto
operando apropriadamente quando
implementados?
Prestao e Suporte (DS)
Focado na prestao dos servios

20

AUDITORIA E SEGURANA INFORMTICA

requeridos, incluindo:
Prestao de servios, gesto de
segurana e continuidade do
negcio, suporte aos utilizadores, e
gesto de dados e estruturas
operacionais.
Este domnio preocupa-se com
questes de gesto como:
Os servios de TI esto sendo
entregues de acordo com as
prioridades do negcio? Os custos
da TI esto optimizados? A mo-deobra est apta a utilizar os sistemas
produtivamente e com segurana? A
integridade, confidencialidade e
disponibilidade dos dados est de
acordo?
Monitoramento e Avaliao (ME)
Os processos de TI precisam ser
regularmente testados para garantir
sua qualidade e conformidade com
os requisitos de controlo. Este
domnio trata da gesto de
desempenho, monitoramento de
controlos internos, conformidade
com as normas e provimento de
governana em TI.
Este domnio preocupa-se com
questes da gesto como:
A TI est preparada para identificar
os problemas em tempo til? A
gesto assegura que os controlos
internos decorram normalmente?

COBIT inclui outros elementos a considerar que esto relacionados com os

requisitos de negcio com os respectivos servios e recursos de TI:
Requisitos de negcio com respeito a TI: efectividade, eficcia,
eficincia, integridade, disponibilidade e confiabiliade;
Recursos de TI afectados: Aplicaes, informao, infra-estrutura e
pessoas;
reas centrais para o Governo de TI: alinhamento estratgico;
gesto de recursos; gesto de risco e medio de rendimento;

21

22

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

Objectivos de controlo de detalhe: enumerao de objectivos de

detalhe com suas explicaes sobre seu propsito e alcance, por
objectivo de alto nvel;
Directrizes de gesto: guia sobre as inter-relaes com outros
domnios e objectivos de controlo de alto nvel apontando tanto a
relao de recepo (input) de outros objectivos de controlo
exclusivos externos ao esquema COBIT, como na sada (output)
para outros;
Responsabilidade por distintos nveis de direco e gerncia:
incluem tanto alta gerncia, como a unidade de negcio para a
auditoria de TI;
Quadro de objectivos e mtricas aplicadas: objectivos e mtricas
aplicadas para o objectivo do controlo de que se trata, e os
indicadores para a respectiva medio;
Modelo de maturidade: critrios para considerar em cada nvel.

2.4 CONVERGNCIA DE AUDITORIA DE SI E COBIT

Pretende-se nesta seco descrever a convergncia entre auditoria de
sistemas de informao e a metodologia COBIT. O auditor de SI deve
actuar de forma a implementar COBIT, como em qualquer outra auditoria.
Para Troitino e Sanches (2008), auditor de SI no se limitar em contestar
a um questionrio, mas:
Analisar os riscos dentro do alcance e objectivo da auditoria em
questo;
Identificar o modelo e controlos que supostamente mitigam os
riscos identificados;
Realizar testes sobre os controlos e impacto de diferenas de
controlo;
Obter suas concluses e emitir seu relatrio e opinio
independente, indicando fundamentalmente os riscos para o
negcio.

22

AUDITORIA E SEGURANA INFORMTICA

Podemos destacar convergncia entre auditoria informtica e COBIT, por

exemplo, as normas de auditoria de TI seguintes so totalmente aplicveis
dentro do contexto COBIT:
S1- estatuto de auditoria;
S2- Independncia;
S3- tica profissional e normas aplicadas;
S4- competncia profissional;
S5- planificao;
S6- realizao de trabalho de auditoria (superviso, evidncia e
documentao)
S7- Relatrios;
S8- Actividades de seguimento;
S9- irregularidades e actos legais.
S10- Governo de TI;
S11- Uso de avaliao de riscos com a planificao de
auditoria;
S12- materialidade
S12- uso de trabalhos de experts
S13- evidncia de auditoria.

EXERCCIOS
1. Qual o objectivo da auditoria interna?
2. O que risco em sistemas de informao?
3. O que segurana lgica?
4. Quais so os princpios da auditoria, tanto externa como interna?
5. O que entendes por COBIT?
RESPOSTAS
1. Assessorar a administrao da empresa no efectivo desempenho de sua
funo
2. Probabilidade de que agentes que so ameaas, explorem
vulnerabilidades, expondo os activos a perdas de confidencialidade,
integridade e disponibilidade, e causando impactos nos negcios
3. Aco que est ligada parte de acessos de utilizadores, determinao
de hierarquia, controlo de acesso electrnico, integridade de base de dados,
ligaes do sistema e sua gesto, tecnologias de invases e defesa
4. Independncia, imparcialidade, confiabilidade e Idoneidade.
5. um modelo de controlo, que visa atender as necessidades de TI, e
garantir a integridade de informao e sistemas de informao, ajudando a
diminuir os riscos do negcio.

23

24

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

CAPTULO III
INFORMTICO

SISTEMA

DE

CONTROLO

INTERNO

OBJECTIVOS ESPECFICOS DO CAPTULO

No final deste captulo o estudante dever ser capaz de:
Compreender conceitos e tipos de sistemas de controlo interno;
Compreender os mecanismos de implementao de um sistema de
controlo interno informtico;
Descrever o processo de aquisio, explorao, qualidade e controlo
de sistemas informticos;

3.1 DEFINIO E TIPOS DE CONTROLOS INTERNOS

Podemos definir o controlo interno como sendo qualquer actividade
realizada manualmente ou automaticamente para prevenir, corrigir erros
irregulares que podem afectar o funcionamento de um sistema para atingir
seus objectivos.
Controlos internos que utilizam campo de informtica continuam
evoluindo, na medida que os sistemas de informao evoluem. A evoluo
de tecnologias de suporte fsico e de software est modificando a maneira
significativa nos procedimentos que se aplicam no controlo de processos
de aplicaes e gesto de sistemas de informao.

Para garantir qualidade de sistemas requer mecanismos completos de

controlo, a maioria dos quais so automticos, muitos dependem da
combinao de elementos de software e procedimentos.
Historicamente, os objectivos de controlo informtico so classificados em
seguintes categorias (Troitino e Sanches, 2008):
Os controlos de preveno
Estes controlos, tambm conhecidos por controlos dissuasores, tm como
finalidade o estabelecimento de condies que permitam a diminuio da
ocorrncia de causas de erros estabelecendo, dessa forma, as condies
necessrias para a no ocorrncia de erros.

24

AUDITORIA E SEGURANA INFORMTICA

Os controlos de correco
Estes controlos ajudam a investigar quais as causas de erros e, dessa
forma, permitem que sejam aplicadas medidas correctivas a essas causas.
Os controlos de deteco
Estes controlos tm como principal objectivo a deteco rpida das causas
de risco e de erros. So frequentemente considerados os de maior
importncia para o auditor. Nestes controlos de deteco podemos
evidenciar os controlos de superviso.

3.2 IMPLEMENTAO DE UM SISTEMA DE CONTROLO

INTERNO INFORMTICO
Torna-se importante conhecer toda organizao de recursos de tecnologia
de informao, sistemas de informaes baseados em computador,
estrutura da rede e respectiva segurana. Este conhecimento fundamental
para implementar o sistema de controlo interno.
Segundo Troitino e Sanches (2008), para conhecer a configurao do
sistema necessrio documentar os detalhes de rede, assim como os
distintos nveis de controlo e elementos relacionados:
Entorno da rede: esquema da rede, descrio da configurao de
hardware de comunicaes, descrio de software que se utiliza como
acesso das telecomunicaes, controlo de rede, situao geral dos
computadores que suportam aplicaes crticas e consideraes
relativas da segurana de rede;
Configurao de computador base: configurao do suporte fsico,
entorno de sistema operativo, software com parties, bibliotecas de
programas e conjunto de dados;
Entorno de aplicaes: processos transaccionais, sistemas de gesto
de base de dados e entorno de processos distribudos;
Produtos e ferramentas: software para desenvolvimento de
programas, software de gesto de bibliotecas e para operaes
automticas;
Segurana de computadores: identificar e verificar utilizadores,
controlo de acesso, registo de informao, integridade de sistema,
controlo de supervises.

25

26

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

Para a implementao de um sistema de controlo interno informtico devese definir (Piattini e del Peso, 2001):
Gesto de sistemas de informao: Um sistema de informao
composto por todos os componentes que recolhem, manipulam e
disseminam dados ou informao. Neste caso, podemos encontrar
hardware, software, pessoas, redes de computadores, e os dados
propriamente ditos.
Num sistema de informao so realizadas tarefas como introduo de
dados, processamento dos dados em informao, armazenamento de
ambos, e a produo de resultados, como relatrios de gesto. Diante dessa
situao, preciso conhecer polticas, directrizes e normas tcnicas que
servem de base para desenho e implementao dos sistemas de informao
e de outros correspondentes.
Administrao de sistemas: Administrao de sistema uma rea
especfica de administrao de um sistema de informao tecnolgico.
Neste caso podemos encontrar as seguintes actividades de administrao;
administrao de utilizadores, administrao de sistema de ficheiro,
administrao de software, administrao de servios, entre outros.
Segurana: A segurana de sistemas composta de medidas de preveno
contra ataques internos e externos, passando pela engenharia social e
chegando inclusive a aces prticas por intermdio de softwares e
hardwares. A segurana inclui as trs classes de controlo fundamental
implementado em software de sistema: integridade do sistema,
confiabilidade (controlo de acesso) e disponibilidade.
Gesto de mudana: separao de testes e a produo a nvel de software,
controlo e procedimentos de migrao de programas de software aprovado
e testado.

26

AUDITORIA E SEGURANA INFORMTICA

Figura 2. Implementao de poltica e cultura de segurana. Fonte: Piattini e del Peso

(2001).

A implementao de uma poltica e cultura sobre segurana requer que se

realize por fases, como podemos ver na figura 2. Cada fase desempenha
um papel importante:
Direco de negcio ou direco de sistemas de Informao:
deve-se definir a poltica e/ou directrizes para os sistemas de
informao com base nas exigncias do negcio, que poder ser
interno ou externo.
Direco de informao: deve-se definir as normas de
funcionamento em torno informtico e cada uma das funes
de informtica mediante a criao e publicao de
procedimentos e padres, metodologias e normas, aplicveis a
todas reas de informtica.
Controlo interno informtico: deve-se definir os diferentes
controlos peridicos a realizar em cada uma da funes
informticas, de acordo ao nvel de risco de uma delas,
desenhar conforme aos objectivos de negcio e dentro do
marco legal aplicvel. Na figura 3 est ilustrado
detalhadamente o funcionamento do controlo interno
informtico.

27

28

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

Figura 3. Funcionamento de controlo interno Informtico. Fonte: Piattini e del Peso

(2001)

Auditor informtico interno/externo: deve-se rever os diferentes

controlos internos definidos em cada uma das funes informticas e o
cumprimento de normas internas e externas, de acordo com o nvel de
risco, conforme os objectivos definidos pela direco de negcio e
direco de informtica.
Importa descrever controlos internos importantes para sistemas
informticos, agrupados por seces funcionais, e que o controlo interno
informtico e auditoria informtica deveriam verificar para determinar o
seu cumprimento e validez (Piattini e del Peso, 2001):
1. Controlos gerais organizativos
Polticas: devem servir de base para a planificao, controlo e
avaliao pela direco de informtica.
Planificao:
Plano estratgico de informtica, realizado pelos
rgos de alta direco da empresa donde se define os
processos corporativos e se considera o uso das diversas
tecnologias de informao assim como as ameaas e
oportunidades de seu uso.
Plano geral de segurana (fsica e lgica), garante a
confiabilidade, integridade e disponibilidade da
informao.

28

AUDITORIA E SEGURANA INFORMTICA

Plano de emergncia anti-desastre,

disponibilidade dos sistemas.

garante

Padres: que regula a aquisio de recursos, a deciso,

desenvolvimento, modificao e explorao de sistemas;
Procedimentos: que descreve a forma e as responsabilidades
de execuo para regular as relaes entre o departamento de
informtica e os departamentos de utilizadores;
Organizar o departamento de informtica em nvel
suficientemente superior de estrutura organizativa para
assegurar sua independncia dos departamentos de utilizadores.
Descrio das funes e responsabilidades dentro dos
departamentos como uma clara separao entre as mesmas.

Polticas do pessoal: seleco, plano de formao, plano de

vocaes, avaliao e proteco;
Assegurar que a direco reveja todos os relatrios de controlo
e resumir as excepes que ocorrem;
Assegurar que exista uma poltica de classificao da
informao para saber dentro da organizao que pessoas esto
autorizadas a aceder a determinadas informaes;
Designar oficialmente a figura de controlo informtico e de
auditoria.

2. Controlo de desenvolvimento, aquisio e manuteno de

sistemas de informao
Para permitir alcanar a eficincia do sistema, economia, integridade
dos dados, proteco dos recursos e cumprimento das leis e padres.
Metodologia de ciclo de vida de desenvolvimento de sistemas: sua
implementao poder garantir a alta direco a alcanar os objectivos
definidos para o sistema. Estes so alguns controlos que devem existir
em metodologia:

29

30

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

A alta direco deve publicar uma norma sobre o uso de

metodologia de ciclo de vida de desenvolvimento de sistemas e
rever esta metodologia periodicamente;
A metodologia deve estabelecer os papeis e responsabilidades
das distintas reas do departamento de informtica e dos
utilizadores, assim como a composio e responsabilidade da
equipe do projecto;
As especificaes do novo sistema devem ser definidas pelos
utilizadores e documentadas e aprovadas antes de comear o
processo de desenvolvimento;
Deve estabelecer um estudo de viabilidade de tecnologia em
que se formulam formas alternativas de alcanar os objectivos
do projecto acompanhado de uma anlise de custo-benefcio de
cada alternativa;
Quando se selecciona uma alternativa deve realizar-se o plano
director do projecto. Neste plano dever existir uma
metodologia de controlo de custo;
Procedimentos para a definio e documentao de
especificaes de: desenho, de entrada, de sada de ficheiros, de
processos, de programas, de controlo de segurana, de pastas de
auditoria.
Plano de validao, verificao e testes.
Padres de testes de programas e teste de sistemas;
Plano de converso; testes de aceitao final;
Os procedimentos de aquisio de software devero seguir as
polticas de aquisio da organizao e esses produtos devero
ser aprovados e revistos antes de uso;
A contratao de servios de programao deve ser justificada
mediante uma petio escrita de um director de projecto;
Devero preparar-se manuais de operaes e manuteno como
parte de todo projecto de desenvolvimento, modificao de
sistemas de informao, assim como manuais de utilizadores.

30

AUDITORIA E SEGURANA INFORMTICA

Explorao e manuteno: o estabelecimento de controlos

assegurar que os dados sejam tratados de forma congruente e
exacta e que apenas ser modificado o contedo de sistema,
mediante a autorizao adequada. A seguir apresentamos
alguns controlos que devem ser implementados:
o Procedimento de controlo de explorao;
o Sistema de contabilidade para assinatura de utilizadores dos
custos associados com a explorao de sistema de
informao;
o Procedimentos para realizar um seguimento e controlo de
mudanas de sistema de informao.

3. Explorao de sistema de informao

Planificao e gesto de recursos: definir o oramento
operativo do departamento, plano de aquisio de
equipamentos e gesto da capacidade da equipe;
Controlo para usar, de maneira efectiva, os recursos de
computadores:
o Calendrio de carga de trabalho;
o Programao do pessoal;
o Manuteno preventiva do material;
o Gesto de problemas e mudanas;
o Procedimentos de facturao de utilizadores;
o Sistemas de gesto de bibliotecas e suporte.
Procedimentos de seleco de software de sistema, de
instalao, de manuteno, de segurana e controlo de
mudanas.
Segurana Fsica e Lgica:
o Definir um grupo de segurana de informao, sendo uma
das funes de administrao e gesto de software de
segurana, rever periodicamente os relatrios de violncias
e actividades de segurana para identificar e resolver
incidentes;
o Controlo fsico para assegurar o acesso das instalaes do
departamento de informtica.

31

32

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

o As pessoas externas organizao devero ser

acompanhadas por um membro da organizao quando
tiver a inteno de visitar as instalaes.
o Instalao de medidas de proteco contra incndios.
o Formao em procedimentos de segurana e evacuao de
edifcios.
o Controlo de acesso restringindo os computadores mediante
a designao de um identificador de utilizador com
palavra-chave intransmissvel.
o Normas que regulam o acesso dos recursos informticos.
o Existncia de um plano de contingncia para backup de
recursos de computadores e para recuperao dos servios
depois de uma interrupo dos mesmos.

4. Controlo de aplicaes
Cada aplicao deve levar controlo incorporado para garantir a
entrada, actualizao, validao e manuteno completa de
dados exactos.
As questes mais importantes em controlo de dados so:
o Controlo de entrada de dados: procedimentos de
converso de entrada, validao e correco de dados.
o Controlo de tratamento de dados para assegurar que no
se faa muita modificao ou excluso no autorizada
dos mesmos mediante processos no autorizados.
o Controlo de sada de dados: sobre o quadro e
reconciliao de sadas, procedimentos de distribuio
das sadas e de gesto de erros nas sadas.

5. Controlo especfico de certas tecnologias

Controlo de sistemas de gesto de base de dados:

32

AUDITORIA E SEGURANA INFORMTICA

o O software de gesto de base de dados para prever o

acesso a estrutura de controlo sobre dados partilhados
deve instalar-se e manter-se de modo tal que assegure a
integridade de software, as base de dados e as instrues
de controlo;
o Devem ser definidas as responsabilidades sobre a
planificao, organizao, adopo de controlo de
activos de dados e decidir um administrador de base
dados.
o Garantir que existam procedimentos para a descrio e
mudanas de dados assim como para a manuteno do
dicionrio de dados.
o Controlo sobre o acesso a dados e concorrncia.
o Controlo para minimizar falhas, recuperar em ambiente
de base de dados ao ponto de sada e minimizar o tempo
necessrio para a recuperao.

Controlo informtico distribudo e rede:

o Planos adequados de implementao, converso e teste
de aceitao para a rede.
o Existncia de um grupo de controlo de rede.
o Controlo para assegurar a compatibilidade de conjunto
de dados entre aplicaes quando a rede distribuda.
o Procedimentos que definem as medidas e controlo de
segurana a serem usados em rede.
o Que se identifique todos os conjuntos de dados
sensveis da rede e que se tenha determinado as
especificaes para sua segurana.
o Existncia de inventrio de todos activos de rede.
o Procedimentos de backup de hardware e de software
de rede.
o Existncia de manuteno preventiva de todos activos.

33

34

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

o Que exista controlo que verifique que todas as

mensagens de sada se validam de forma rotineira para
assegurar que contm direces de destino vlidos.
o Controlo de segurana lgica: controlo de acesso da
rede, estabelecimento de perfs de utilizador.
o Procedimentos de criptografia de informtica sensveis
que se transmitem atravs da rede.
o Procedimentos automticos para resolver fechamentos
do sistema.
o Monitorizao para medir a eficincia da rede.
o Desenhar layout fsico e as medidas de segurana das
linhas de comunicao local dentro da organizao.
o Detectar a correcta ou m recepo de mensagens.
o Identificar as mensagens por uma chave individual de
utilizador, por terminal e pelo nmero de sucesso de
mensagens.
o Rever os contratos de manuteno e o tempo mdio do
servio acordado com o provedor com objecto de obter
uma cifra de controlo constante.
o Assegurar que haja procedimentos de recuperao e
reincio.
o Assegurar que existam pistas de auditoria que podem se
usar na reconstruo de ficheiros de dados e de
transaces dos diversos terminais. Deve existir a
capacidade de rastrear os dados entre o terminal e
utilizador.
o Considerar circuitos de comutao que usam rotas
alternativas para diferentes destinos da mesma
mensagem; isso oferece uma forma de segurana em
caso de algum interceptar a mensagem.

34

AUDITORIA E SEGURANA INFORMTICA

o Controlo sobre computadores pessoais e rede local:

Polticas de aquisio e utilizao.
Normas
e
procedimentos
de
desenvolvimento e aquisio de software de
aplicaes.
Procedimentos de controlo de software de
contrato de baixa licena.
Controlo de acesso a redes, mediante
palavra-chave.
Reviso peridica de uso de computadores
pessoais.
o Polticas que contemplam a seleco, aquisio e
instalao de rede local.
o Procedimentos de segurana fsica e lgica.
o Departamento que realce a gesto e suporte tcnico da
rede. Controlo para evitar modificar a configurao de
uma rede. Recolher informao detalhada sobre meios
existentes: arquitectura (CPU, Discos, Memria,
Streamers, Terminais, etc.), conectividade (LAN),
software (sistema operativo, utilitrios, linguagens,
aplicaes, etc), servios suportados.
o Inventrio actualizado de todas aplicaes;
o Poltica referente a organizao de equipamento e
utilizao de disco duro de, assim como para a
nomenclatura dos ficheiros que contm, criao de
subdirectrios por utilizador, assim como criao de
subdirectrios pblicos que conte todas aplicaes em
uso para os distintos utilizadores;
o Implementar ferramentas de gesto da rede com o fim
de valorizar seu rendimento, planificao e controlo;
o Procedimento de controlo de transferncia de
ficheiros e controlo de acesso para equipamentos com
possibilidade de comunicao. Polticas que obrigam

35

36

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

a desconexo dos equipamentos quando no se faz o

uso deles.
o Adoptar os procedimentos de controlo e gesto
adequados
para
integridade,
privacidade,
confiabilidade e segurana de informao contida na
rede local.
o Quando existe conexo PC-HOST, verificar se opera
sub controle, para evitar a carga/extraco de dados de
forma no autorizadas;

Contratos de manuteno (tanto preventivo como correctivo ou

deteno)
Quando a aco de manuteno requer a aco de terceiros a
sada dos equipamentos dos limites da oficina dever ser
mediante procedimentos para evitar a divulgao de
informao confidencial.
Manter um registo documental das aces de manuteno
realizadas, incluindo a descrio do problema e a soluo do
mesmo.
Os computadores devero estar conectados a equipamentos
estabilizadores (UPS-Uninterruptible Power Supply).
Proteco contra incndios, inundaes ou electricidade.
Controlo de acesso fsico dos recursos de microinformtica:
chaves de PC. reas restringidas, localizao de impressoras
(locais e de rede). Preveno de roubos de dispositivos.
Autorizao para deslocamento de equipamentos. Acesso fsico
fora do horrio normal;
Controlo de acesso fsico a dados e aplicaes: armazenamento
de discos com cpias de backup de informao. Procedimentos
de destruio de dados e relatrios confidenciais, identificao
de discos, inventrio completo de discos armazenados,
armazenamento de documentao;

36

AUDITORIA E SEGURANA INFORMTICA

Em computadores em que se processam aplicaes de dados

sensveis deve-se instalar protectores de oscilao de linha
elctrica e sistemas de alimentao ininterrupta.
Implementar na rede local produtos de segurana assim como
ferramentas e utilitrios de segurana.
Identificao adequada de utilizadores quanto a seguintes
operaes: modificaes, troca de password, explorao de logs
de sistema.
Controlar as conexes remotas (in/out): Modems e Gateways;
Procedimentos para a instalao ou modificao de software e
assegurar que a direco esteja ciente do risco de vrus
informticos e outros softwares maliciosos, assim como fraude
por modificaes no autorizadas de software e danos;
Controlo para evitar a introduo de um sistema operativo
atravs de disquete que poder levar vulnerabilidade do sistema
de segurana estabelecida.

6. Controlo de qualidade
Existncia de um plano geral de qualidade baseado em plano de
entidade a longo prazo e o plano a longo prazo de tecnologia.
Este plano geral de qualidade deve promover a filosofia de
melhorar continuamente e deve dar respostas a perguntas
bsicas como o que, quem e como;
Esquema de garantia de qualidade da direco de Informtica
deve estabelecer uma norma que estabelea um esquema de
garantia de qualidade que se refira tanto as actividades de
desenvolvimento de projectos, como as demais actividades para
garantir qualidade (como revises, auditorias, inspeces, etc.)
que dever ser realizada para procedimentos habituais em
distintas funes de informtica;
Metodologia de desenvolvimento de sistemas: a direco de
informtica da entidade deve definir e implementar normas
para o desenvolvimento de sistemas e adoptar uma metodologia
de desenvolvimento de sistemas para administrar e gerir esse
processo com base ao tipo de sistemas de cada entidade;

37

38

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

Actualizao da metodologia de desenvolvimento de sistemas

respeitando a troca de tecnologia;
Coordenao e comunicao: a direco de Informtica deve
estabelecer um procedimento para assegurar esta coordenao e
comunicao com utilizadores da organizao e informtica.
Este processo deve fazer-se mediante mtodos estruturados,
utilizando a metodologia de desenvolvimento de sistemas para
assegurar a obteno de solues de informtica de qualidade
que cumprem as necessidades da organizao;
Relaes com provedores de desenvolvimento de sistemas:
existncia de um processo que assegure boas relaes laborais
com provedores que desenvolvem sistemas para entidade. Este
processo deve fazer com que o utilizador e o provedor do
sistema acordem critrios de aceitao e administrao de
mudanas e problemas durante o desenvolvimento, funes de
utilizador, ferramentas, software, normas e procedimentos;
Normas de documentao de programas: existncia de normas
de documentao de programas as quais devem ser
comunicadas e impostas ao pessoal pertinente. A metodologia
deve assegurar que a documentao criada durante o
desenvolvimento do sistema ou projecto respeite normas;
Normas de teste de programas: a metodologia de
desenvolvimento de sistemas da organizao deve incorporar
normas que se referem aos requisitos de testes de programas,
documentao e reteno de material, para provar cada uma das
unidades de software a ser colocada em produo;
Normas respeitando o teste de sistema: a metodologia de
desenvolvimento de sistemas da entidade deve incorporar
normas que se referem aos requisitos de teste de sistemas,
documentao e reteno de material, para provar a maneira
global do funcionamento de cada sistema colocado na
produo;
Testes pilotos em paralelo: a metodologia de desenvolvimento
de sistemas da entidade deve definir as circunstncias nas quais
se efectuaro testes pilotos ou em paralelo de programas de
sistema;
Documentao de teste de sistema: a metodologia de
desenvolvimento de sistemas da entidade deve estabelecer,
38

AUDITORIA E SEGURANA INFORMTICA

como parte de cada desenvolvimento, implementao ou

modificao, que se documentam os resultados de testes de
sistema;
Avaliao do cumprimento de garantia de qualidade das
normas de desenvolvimento.

EXERCCIOS
1. Quais so as categorias de controlo informtico?
2. Quais so os componentes para a implementao de uma poltica de
segurana?
3. Liste os controlos internos importantes para os sistemas informticos
4. Defina o entorno de rede

RESPOSTAS

1. Controlos de preveno, controlos de correco e controlos de deteco

2. Direco de negcio ou direco de sistemas de Informao, Direco
de informao, Controlo interno informtico e Auditor informtico
interno/externo
3. Controlos gerais organizativos, Controlo de desenvolvimento, aquisio
e manuteno de sistemas de informao, Explorao de sistema de
informao, Controlo de aplicaes, Controlo especfico de certas
tecnologias e Controlo de qualidade
4. Esquema da rede, descrio da configurao de hardware de
comunicaes, descrio de software que se utiliza como acesso das
telecomunicaes, controlo de rede, situao geral dos computadores que
suportam aplicaes crticas e consideraes relativas da segurana de
rede;

39

40

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

CAPTULO IV AUDITORIA DE SISTEMAS DE GESTO DAS

TECNOLOGIAS DE INFORMAO E COMUNICAO
OBJECTIVOS ESPECFICOS DO CAPTULO:
No final deste captulo o estudante ser capaz de:
Compreender o processo de implementao de sistemas de gesto
de TICs (SGSI)
Compreender o processo de certificao de SGSI

O planeamento dos sistemas de gesto pretende concentrar-se em anlise

dos mesmos, comeando pela perspectiva de gesto de conhecimento.
O ciclo de Deming com acrnimo PDCA um ciclo de melhoramento,
que tem por princpio tornar mais claros e geis os processos envolvidos
na execuo da gesto, donde cabe distinguir os seguintes passos:
Plan (Planificao): planificao de objectivos e processos
necessrios para alcanar os resultados de acordo com polticas da
empresa.
DO (Execuo): implementao dos processos.
Check (Verificao): monitorar e avaliar periodicamente os
resultados, avaliar processos e resultados, confrontando-os com o
planeado, objectivos, especificaes e estado desejado,
consolidando as informaes, eventualmente confeccionando
relatrios.
Act (Aco): Agir de acordo com o avaliado e de acordo com os
relatrios, eventualmente determinar e confeccionar novos planos
de aco, de forma a melhorar a qualidade, eficincia e eficcia,
aprimorando a execuo e corrigindo eventuais falhas.
O PDCA pode considerar-se como um autntico motor e o conhecimento
das TICs : vai desde a segurana de sistemas de informao, passando pela
auditoria de software, para a qualidade dos servios de TIC.

40

AUDITORIA E SEGURANA INFORMTICA

4.1 IMPLEMENTAO DE SISTEMA DE GESTO DE TICs

O processo de implementao do SGSI possui as fases de um PDCA, como
podemos observar figura 4.1, seguindo os pontos da norma ISO 27001:2007. de
especial nfase na anlise e gesto de riscos e alocao de controlo que
minimizam riscos utilizando uma das metodologias de anlise de risco que
existem no mercado, e aplicando os controlos que so adequados da ISO 27002.

Figura 4. Implementao de Sistema de Gesto de TICS (ISO 27001).

41

42

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

4.2 AUDITORIA INTERNA

Auditoria interna de SGSI se define como sendo uma reviso independente
de SGSI. Esta independncia supe obviamente a exigncia de que a
pessoa que leva a cabo a auditoria interna no pode estar vinculada em
forma alguma na implementao de Gesto de SGSI.

4.3 PROCESSO DE CERTIFICAO DOS SISTEMAS DE GESTO

DAS TICs
Se pode considerar o processo de certificao como sendo o
reconhecimento formal por parte de um rgo independente de um
determinado sistema de gesto, como podemos ver na Figura 5.
Na certificao de um sistema de gesto das TICs podemos notar que, as
empresas que adoptam a certificao, mantm seus sistemas de gesto com
uma maior dedicao no ciclo de melhoria contnua e sua busca por
alcanar a excelncia.

Figura 5. Modelo de certificao de SIGSI. Fonte: Troitino e Sanches (2008).

O resultado dessa auditoria ser reflectido em um relatrio de auditoria

inicial. Em caso de no existir conformidade de importncia, a certificao
poderia ser suspensa ou pendente para rectificao.
Em caso de se detectar inconformidades menores, se emitir uma
certificao com reservas, com as rectificaes pendentes, cujas
rectificaes devero ser constatadas pelo auditor no seguimento da
auditoria. Uma vez feita a certificao, o organismo certificador levar a
42

AUDITORIA E SEGURANA INFORMTICA

cabo anualmente auditorias de seguimento para determinar se o seu

sistema de gesto das TICs segue as normas.

EXERCCIOS
1. Explique o conceito de Deming, e descreva as suas fases.
2. O que entendes por processo de certificao e como que as empresas que
possuem certificao devem se comportar?

RESPOSTAS
1. O ciclo de Deming (PDCA) um ciclo de melhoramento, que tem por

princpio tornar mais claros e geis os processos envolvidos na execuo

da gesto, donde cabe distinguir os seguintes passos:
Plan (Planificao): planificao de objectivos e processos
necessrios para alcanar os resultados de acordo com polticas da
empresa.
DO (Execuo): implementao dos processos.
Check (Verificao): monitorar e avaliar periodicamente os
resultados, avaliar processos e resultados, confrontando-os com o
planeado, objectivos, especificaes e estado desejado,
consolidando as informaes, eventualmente confeccionando
relatrios.
Act (Aco): Agir de acordo com o avaliado e de acordo com os
relatrios, eventualmente determinar e confeccionar novos planos
de aco, de forma a melhorar a qualidade, eficincia e eficcia,
aprimorando a execuo e corrigindo eventuais falhas.
2. o reconhecimento formal por parte de um rgo independente de um
determinado sistema de gesto. Na certificao de um sistema de gesto
das TICs, as empresas mantm seus sistemas de gesto com uma maior
dedicao no ciclo de melhoria contnua e sua busca por alcanar a
excelncia

43

44

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

QUADRO SINPTICO

Auditoria

Auditoria
informtica

Objectivos
da auditoria
informtica
7.

Tipos
de
auditoria

Tipos
de
auditoria
informtica

O acto de examinar as operaes, processos, sistemas e

responsabilidades de gesto de uma organizao com o
intuito de verificar o cumprimento das normas, objectivos
e metas prefixadas pela mesma
uma rea da auditoria que visa examinar o andamento
das actividades ligadas com tecnologias de informao e
comunicao envolvidas na organizao. Torna-se
necessrio valorizar a auditoria de informtica, uma vez
que muitas organizaes investem valores avultados em
tecnologias de informao e comunicao
4. O controlo da funo informtica;
5. A anlise da eficincia dos sistemas informticos;
6. A reviso da gesto eficaz dos recursos
informticos;
A verificao do cumprimento dos padres e normas
Financeira.
Operacional.
Sistemas.
Fiscal
Administrativa.
Qualidade.
Social.
Auditoria de gesto;
Auditoria dos dados;
Auditoria de segurana fsica;
Auditoria de segurana lgica;
Auditoria das comunicaes;
Auditoria de segurana na produo.

imparcialidade,
Perfil
e Objectividade,
qualificaes raciocnio logico bem como
independncia
do auditor

confidencialidade
o sentimento de

Controlo
uma parte da informtica que responde as necessidades
interno de de cumprimento dos requisitos exigidos sobre o
informtica funcionamento das tecnologias envolvidas na organizao
COBIT

um modelo/conjunto estruturado de boas prticas e

metodologias para sua aplicao, cujo objectivo facilitar
a Governana de Tecnologias de Informao (TI). um
modelo de controlo, que visa atender as necessidades de
44

AUDITORIA E SEGURANA INFORMTICA

TI, e garantir a integridade de informao e sistemas de

informao, ajudando a diminuir os riscos do negcio
Qualquer actividade realizada manualmente ou
automaticamente para prevenir, corrigir erros irregulares
Controlo
que podem afectar o funcionamento de um sistema para
interno
atingir seus objectivos.
um ciclo de melhoramento, que tem por princpio tornar
mais claros e geis os processos envolvidos na execuo
da gesto, donde cabe distinguir os seguintes passos:
Plan (Planificao): planificao de objectivos e
processos necessrios para alcanar os resultados
de acordo com polticas da empresa.
DO (Execuo): implementao dos processos.
Check (Verificao): monitorar e avaliar
periodicamente os resultados, avaliar processos e
Ciclo
de
resultados, confrontando-os com o planeado,
Deming
objectivos, especificaes e estado desejado,
consolidando as informaes, eventualmente
confeccionando relatrios.
Act (Aco): Agir de acordo com o avaliado e de
acordo com os relatrios, eventualmente
determinar e confeccionar novos planos de aco,
de forma a melhorar a qualidade, eficincia e
eficcia, aprimorando a execuo e corrigindo
eventuais falhas.

45

46

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

BIBLIOGRAFIA
Anaguano (s.d.) Auditoria Informtica.
Cannon, D. L. (2008) CISA Certified Information Systems
Auditor Study Guide, 2nd edition. Wiley Publishing, Inc.
FFIEC (2004). Information Security.

Gentil, F. A. S. (2008) Auditoria de Sistemas. Universidade

Tiradentes.
Piattini, M. G, e Peso, E. (2001) Auditoria Informtica Un enfoque
Prtico. Madrid: Alfaomega.
Troitio, M. T., Snchez C. M. F. (2008) Auditora de SI vs.
Normas de buenas prcticas in Velthuis, M. P., Navaro, E.P.,
Peso, M (coord.) Auditora de Tecnologas y Sistemas de
Informacin. Mxico: Alfaomega Grupo Editor.
Valriberas, G. S. (2008) Control Interno y Auditora de Sistemas
de Informacin in Velthuis, M. P., Navaro, E.P., Peso, M (coord.)
Auditora de Tecnologas y Sistemas de Informacin. Mxico:
Alfaomega Grupo Editor.
Velthuis, M. P., Navaro, E.P., Peso, M (2008) Auditoria de
Tecnologias y Sistemas de Informacion. Mxico: Alfaomega
Grupo Editor.
Referncias on-line:
Crepaldi, S. A. (2006) Contabilidade - Auditoria: Origem,
evoluo e desenvolvimento da auditoria in Revista Contbil e
Contabilidade,
disponvel
em
http://www.netlegis.com.br/indexRC.jsp?arquivo=/detalhesDesta
ques.jsp&cod=8157, acedido a 20.10.2011.
Fagundes, E. M. (2011) COBIT (Control Objectives for
Information and related Technology), disponvel em
http://www.efagundes.com/artigos/cobit.htm,
acedido
a
14.10.2011.
Fantinatti, J. M. (1988) Auditoria em Informtica Metodologia
e
Prtica,
disponvel
em
http://joaomarcosfantinatti.wordpress.com/category/auditoriaem-informatica, acedido a 12.10.2011.
Outros stios na Internet:
http://www.filecrop.com
http://www.dbebooks.com
http://www.4shared.com
http://books.google.com

46

AUDITORIA E SEGURANA INFORMTICA

AVALIAO DA DISCIPLINA DE AUDITORIA E SEGURANA

INFORMTICA

ATENO TESTE DE AVALIAO

Avaliao

NOME: __________________________________________________________
N DE MATRCULA ________________

NOTA _________________

N.B: Envie-nos este teste j resolvido, para correco.

Teste da 1 Unidade Durao 2 horas

Leia atentamente as questes apresentadas neste teste. Resolva-o na
folha de teste em anexo e envie ao ISM para correco. A cotao
para cada questo est entre parnteses.
1. Quais so os tipos de auditoria que conheces? (1.5v)
2. Quais so os objectivos da auditoria externa? E da auditoria interna?
(1.5v)
3. Como que podemos medir o funcionamento de informtica numa
organizao? (3.0v)
4. Quais so os objectivos do controlo interno? (2.0v)
5. Diferencie os conceitos Auditoria e Auditoria Informtica? (2.0v)
6. Fale da importncia de COBIT na auditoria Informtica. (2.0v)
7. Explique em que medida pode se tornar mais claros e geis os
processos envolvidos na execuo da gesto de sistemas de
informao. (4.0v)
8. Descreva em suas palavras a convergncia entre Cobit e auditoria
informtica. (2.0v)
9. Como que classificam os objectivos de controlo informtico. (2.0v)
Bom Trabalho!

47

48

UNIDADE I CONTROLO INTERNO E AUDITORIA INFORMTICA

ANEXO I - QUESTIONRIO DE AVALIAO DA

SATISFAO DO ESTUDANTES

48