Você está na página 1de 52

Fundamentos em auditoria

Professor André Campos

Professor André Campos

Uma visão mais ampla sobre segurança da informação poderá


ser obtida no livro Sistema de Segurança da Informação –
Controlando os riscos, de André Campos, Editora Visual
Books.
Fundamentos em auditoria
Este material foi produzido como apoio didático para disciplinas de
graduação e pós-graduação relacionadas com Tecnologia da Informação.

O uso é permitido a todo e qualquer docente ou discente das referidas


disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
Professor André Campos

ou seja, que os créditos sejam mantidos.

Este material não pode ser vendido. Seu uso é permitido sem qualquer
custo.

Diversas figuras foram obtidas a partir do acesso em sites de imagens.


Estas imagens foram utilizadas em seu estado original, com 72DPI.

Algumas imagens foram obtidas da obra "Sistema de Segurança da


Informação Controlando Riscos".

Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não


visam a obtenção de lucro.

Informações específicas sobre segurança da informação podem ser obtidas


na obra Sistemas de segurança da informação Controlando Riscos;
Campos, André; Editora Visual Books, 2007.
A auditoria

O objetivo de uma auditoria é garantir a


efetividade dos processos e ativos de uma
determinada organização.
Professor André Campos

A auditoria poderá dedicar-se a comprovar a


eficácia, a comprovar a eficiência, ou a
comprovar a efetividade.
A auditoria

Consiste basicamente da comparação do


estado dos processos e dos ativos contra um
critério de auditoria.
Professor André Campos

Desta comparação, são possíveis os


seguintes resultados:

• Conforme
• Não conforme (Oportunidade de Melhoria)

Em ambos os casos, é possível haver


observações.
A auditoria

As conformidades e não conformidades são


aplicadas com base nas evidências de
auditoria, ou seja, em registros, apresentação
Professor André Campos

de fatos ou outras informações que


corroborem as evidências.

A auditoria não pode ser baseada em opiniões


ou avaliações pessoais dos indivíduos
envolvidos na auditoria.
A auditoria

Os personagens de uma auditoria são o


auditado, que é a organização que recebe a
auditoria, os auditores, que são os que
Professor André Campos

realizam a auditoria, os especialistas, que são


as pessoas que fornecem conhecimento ou
experiência específicos para a equipe de
auditoria, e o cliente de auditoria, que nem
sempre é o auditado; muito comum em caso
de qualificação de fornecedores.
A auditoria

Para a realização de uma auditoria, é


importante haver um programa de auditoria
que preveja a realização de diversas
Professor André Campos

auditorias, integradas ou não a outros


sistemas auditores, e para cada auditoria um
plano de auditoria. A equipe de auditores
precisa ter a competência adequada para a
auditoria.
A auditoria

Existem basicamente 3 tipos de auditoria;

Auditoria de primeira parte é a auditoria


Professor André Campos

interna, que objetiva garantir a implementação


correta de controles.

Auditoria de segunda parte é a auditoria


contratada para verificar se a auditoria interna
foi realizada adequadamente.

Auditoria de terceira parte é a auditoria


contrata para aferir certificação com base em
determinado critério de auditoria.
A auditoria

Uma auditoria deve basear-se em alguns


elementos essenciais, que proporcionarão
confiabilidade a todo o processo.
Professor André Campos

É importante que a auditoria seja pautada pela


ética, pela justiça, pelo zêlo profissional, pela
imparcialidade, e por uma abordagem
baseada em evidências.
A auditoria

A conduta ética do profissional de auditoria


fará com que ele seja uma pessoa confiável,
íntegra, discreta e que mantém a
Professor André Campos

confidencialidade das informações as quais


tem acesso.
A auditoria

A apresentação justa refere-se a obrigação


de informar verazmente e precisamente a
respeito das constatações de auditoria, dos
Professor André Campos

relatórios e das conclusões. Mesmo as


divergências entre a equipe de auditoria e o
auditado que não forem resolvidas, devem ser
claramente relatadas.
A auditoria

O cuidado profissional refere-se ao trabalho


zeloso e a aplicação do julgamento correto na
atividade de auditoria, considerando a
Professor André Campos

relevância e a responsabilidade que um


auditor tem.
A auditoria

A independência refere-se ao trabalho


imparcial que deve ser realizado pela equipe
de auditoria. Para tanto, os auditores não
Professor André Campos

podem ser subordinados ou dependentes do


auditado direto.

Os auditores precisam manter a mente aberta


e estarem livres da tendência de conflito de
interesses.
A auditoria

A abordagem baseada em evidências


refere-se ao método científico para gerar as
conclusões de auditoria, de modo que estas
Professor André Campos

sejam confiáveis e reproduzíveis.

A utilização de amostragem é aceitável para


reduzir o tempo de auditoria, mas deve
garantir a confiabilidade necessária aos
resultados obtidos.
Critérios de auditoria

Existem diversos critérios de auditoria,


dependendo do tipo da auditoria e dos
resultados esperados.
Professor André Campos

Um critério de auditoria é um conjunto de


políticas, procedimentos ou requisitos.

Vejamos alguns destes critérios e seus


principais objetivos.
Critérios de auditoria

Existem diversos critérios de auditoria,


dependendo do tipo da auditoria e dos
resultados esperados.
Professor André Campos

Um critério de auditoria é um conjunto de


políticas, procedimentos ou requisitos.

Vejamos alguns destes critérios e seus


principais objetivos.
Critérios de auditoria

A ISO 27.001 é um critério específico para


auditorias de segurança da informação.
Professor André Campos

O objetivo deste critério é garantir que a


informação na organização esteja preservada
quanto a sua confidencialidade,
disponibilidade e integridade.

Ela aborda temas tais como Política de


Segurança, Classificação da Informação,
Segurança Física, Segurança de Acesso
Lógico, Segurança em Sistemas, entre outros.
Critérios de auditoria

A Sarbanes-Oxley (SARBOX / SOX) é um


critério específico para auditorias de
segurança relacionadas com as atividades
Professor André Campos

financeiras da organização.

Trata-se de uma lei americana criada por Paul


Sarbanes e Michael Oxley com o objetivo de
garantir transparência das operações
financeiras altamente baseadas em sistemas
de informação. Ela estabelece regras de
segurança e auditoria, que inclui a criação de
comitês e comissões de supervisão.
Critérios de auditoria
Sarbanes-Oxley (SARBOX / SOX)
Seção Seção 302 Seção 404 Seção 409
Requisitos A seção Corporate A seção management A seção real-time issuer
Responsibility for Financial assessment of internal disclosures determina que a
Reports determina que controls determina que a organização elabore um
CEOs e CFOs devem organização documente, teste relatório claro sobre
Professor André Campos

assinar documentos e relatorie sua estrutrua material changes to the


trimestralmente e interna de controles; financial condition or
anualmente certificando Auditories externos devem operations em no máximo
que seus relatórios atestar a qualidade destes 48 horas.
financeiros estão corretos controles.
e precisos.

Aspectos Garante que os executivos Garante a existência de Garante que o


principais tenham avaliado a controles internos para os monitoramento financeiro
efetivadade dos controles sistemas finaceiros existentes está altamente
internos 90 dias antes do e outros grandes sistemas automatizado e suportado
relatório atual. corporativos. por um grande número de
diferentes sistemas.

Principais Quem na organização é Entre os controles internos, Quanto será a material


preocupaçoes responsável por garantir a estão inclusos o Plano de changes monitorada quando
dos executivos integridade e a Continuidade de Negócio e as os sistemas de
disponibilidade dos respectivas considerações de monitoramento estiverem
sistemas financeiros? recuperação de desastres? for a do ar para manutenção
ou upgrade?
Critérios de auditoria

A metodologia ITIL é um critério específico


itSMF, ou simplesmente, Gerenciamento de
serviços de TI. Contém os seguintes livros:
Professor André Campos

Service Delivery, Service Support, The Business


Perspective - the IS View of Delivering Services to the
Business, Planning to Implement IT Service
Management, Software Asset Management, Security
Management, ITIL Small-scale Implementation,
Applications Management, ICT Infrastructure
Management, Gerenciamento de Serviços de TI na
Prática - Uma abordagem com base na ITIL
Critérios de auditoria

A metodologia COBIT é um critério específico


para gestão de TI.
Professor André Campos

Grande foco no alinhamento estratégico, no


planejamento e acompanhamento dos planos
e retorno sobre os investimentos em
Tecnologia da Informação.
Critérios de auditoria

A norma ISO 12.207 é um critério específico


sobre o ciclo de vida do software.
Professor André Campos

A norma se preocupa com a aquisição ou


desenvolvimento do software, seu suporte
durante o período de uso, e os processos de
gestão e melhoria contínua.

Há ainda foco na questão dos treinamentos e


infra necessários para utilização adequada do
software.
Critérios de auditoria

A norma ISO 9.126 é um critério específico


sobre a qualidade do software.
Professor André Campos

A norma se preocupa com aspectos tais como


funcionalidade adequada, confiabilidade,
usabilidade, eficiência, manutenibilidade, e
portabilidade.

A ISO 14.598 é uma norma de apoio a


avaliação da qualidade de software.
Critérios de auditoria

O modelo CMMI é um critério específico para


a melhoria contínua do processo de
desenvolvimento de software.
Professor André Campos

Trata-se de um modelo de maturidade, ou


seja, que permite a organização evoluir ao
passo que implementa os procedimentos
propostos.
Critérios de auditoria

Naturalmente existem outras normas e


metodologias que podem ser adotadas como
critério de uma auditoria. As normas e
Professor André Campos

metodologias apresentadas neste documento


são meramente ilustrativos.
Competência dos auditores

Boa parte da estabilidade e dos resultados


obtidos pela atividade de auditoria dependem
da competência do auditor.
Professor André Campos

Esta competência é uma composição entre os


atributos pessoais, os conhecimentos e
habilidades, e a educação e experiência
profissional.

O auditor precisa ter competência em


auditoria, e competência específica para o tipo
de auditoria que pretende conduzir.
Competência dos auditores

Os atributos pessoais estão muito


relacionados com os princípios essenciais de
uma auditoria, que já foi visto.
Professor André Campos

Portanto, o auditor precisa ser ético, ter a


mente aberto, ser diplomático, observador,
perceptivo, versátil, persistente, racional, e
auto confiante.

Estes atributos não são todos facilmente


encontrados em uma só pessoa, mas podem
ser desenvolvidos.
Competência dos auditores

Quanto aos conhecimentos e habilidades,


isto tem a ver com uma grande diversidade de
aspectos.
Professor André Campos

É importante possuir conhecimentos gerais,


tais como técnicas de auditoria, sistema de
gestão, conhecimento de negócio, leis e
regulamentos.

Competência para liderar equipes de auditoria


é necessário.

Conhecer o critério de auditoria específico é


fundamental.
Competência dos auditores

A educação e experiência profissional, se


relacionam com a competência para cada
autor da auditoria.
Professor André Campos

O auditor precisa ter treinamento em auditoria


e conhecer bem o critério de auditoria.

O auditor líder precisa ter uma competência


superior a dos demais auditores, em
conhecimento e em experiência.
Competência dos auditores

Parâmetro Auditor Auditor Líder

Educação Mínimo: nível Idem.


Professor André Campos

médio.
Experiência 5 anos para NM Idem.
total e 1 ano para
NS.
Experiência Mínimo de 2 Idem.
específica anos.
Treinamento 40h. Idem.
em auditoria
Experiência 4 auditorias, 3 auditorias,
em auditoria mínimo 20 mínimo 15
dias. dias, como
líder.
Competência dos auditores

A competência do auditor precisa ser sempre


melhorada, e que mesmo as competências
existentes sejam mantidas através da
Professor André Campos

participação regular em auditorias.

Os auditores pode se certificar pelo RAC (Registro de


Auditores Certificados). Visite o site
http://www.cic.org.br.

Níveis de certificação:
•Auditor
•Auditor Aspirante
•Auditor Interno
•Auditor Líder
Programa de auditoria

Um programa de auditoria pode envolver


uma ou mais auditorias, e estas auditorias
pode ser combinadas ou em conjunto.
Professor André Campos

Quando diferentes sistemas de gestão


(qualidade, segurança da informação,
ambiente) são auditados juntos, isto é
chamado de auditoria combinada.

Quando duas ou mais organizações de


auditoria cooperam para auditar um único
auditado, isto é chamado de auditoria
conjunta.
Programa de auditoria

A ações fundamentais que contribuem para o


êxito das estratégias de negócio da
organização devem ser fortemente apoiadas e
Professor André Campos

patrocinadas pela Alta Direção.

Não é diferente no caso do programa de


auditoria em Tecnologia da Informação,
Segurança da Informação, Governança em TI,
Gestão de Serviços em TI, ou qualquer outra
considerada estratégica.
Programa de auditoria

De fato, os programas de auditoria precisam


ser geridos, e para tal, a organização deve
estabelecer um processo contínuo para este
Professor André Campos

fim.

Como todos os processos de qualidade, o de


auditoria também precisa garantir a melhoria
contínua, e para tanto, um ciclo P-D-C-A,
demonstrado no próximo slide.
Programa de auditoria

Existe uma norma específica que estabelece


uma proposta de P-D-C-A para o programa de
auditoria.
Professor André Campos

Esta mesma norma propõe uma metodologia


para as atividades de auditoria, e para as
competências dos auditores.

Esta norma é a NBR ISO 19.011 – Diretrizes


para auditorias.
Programa de auditoria

Estabelecendo o programa

PLAN
- Objetivos e abrangência
Professor André Campos

ACT
Melhorando o programa de
auditoria - Responsabilidades
- Recursos
- Procedimentos

Monitorando e analisando Implementando o programa


CHECK

- Monitoração e análise crítica - Programando auditorias


- Avaliando auditores
DO

- Necessidade de ações corretivas


- Necessidade de ações - Selecionando equipes
preventivas - Dirigindo auditorias
- Oportunidades de melhoria - Mantendo registros
Estabelecendo o programa

Um primeiro passo é definir o objetivo do


programa de auditoria, que pode estar
relacionado com questões estratégicas,
Professor André Campos

aspectos comerciais, requisitos do próprio


SGSI, dos clientes, ou das leis e
regulamentos, entre outros.

Por exemplo, “Satisfazer requisitos da norma


X”, “Conformidade com contratos”, e “Ober
confiança do cliente” seriam objetivos
válidos.
Estabelecendo o programa

Em seguida deve-se definir a


abrangência deste programa, que será
influenciado pelo tamanho e complexidade
Professor André Campos

da organização, frequência das auditorias,


requisitos normativos, preocupações das
partes interessadas, mudanças
significativas na organização, entre outros.
Estabelecendo o programa

O próximo passo é definir as


responsabilidades do programa de
auditoria.
Professor André Campos

O programa de auditoria deve ser


gerenciado por um ou mais colaboradores
que compreendam os princípios de
auditoria, que possam avaliar os auditores,
e que tenham compreensão técnica e
capacidade gerencial, especialmente da
gestão de projetos.
Estabelecendo o programa

Os recursos necessários para o programa


de auditoria precisam ser reservados.
Professor André Campos

É importante lembrar que os recursos se


referem não apenas aos aspectos
financeiros, mas também aos recursos
técnicos, ao processo de obtenção
manutenção das competências dos
auditores, recursos humanos
(disponibilidade), tempo e dinheiro para
viagens, hospedagens e coisas do gênero.
Estabelecendo o programa

Os procedimentos de auditoria deve ser


definidos, e podem fazer parte da Política de
Segurança da Informação (PSI).
Professor André Campos

Devem abranger o planejamento das


auditorias, a manutenção das competências,
a seleção das equipes, a realização das
auditorias, as ações de acompanhamento, o
registro, a monitoramento do programa, e o
processo de comunicação com a Alta Direção
a respeito dos resultados.
Implementando o programa

Implementar o programa é, de fato,


fazer acontecer tudo o que foi planejado.
Professor André Campos

Isto envolve comunicar as partes


interessadas, coordenar as auditorias,
avaliar continuamente a competência
dos auditores, selecionar e monitorar as
equipes, garantir os recursos,
gerenciar o cronograma de auditoria,
analisar os riscos, e manter a
qualidade do programa.
Implementando o programa
Em qualquer processo de auditoria, os
registros são de fundamental
importância. São a evidência de que o
Professor André Campos

programa existe.

Sendo assim, são três as principais


categorias de registro:

1 – Relativos a auditoria;

2 – Relativos a análise crítica do


programa;

3 – Relativos ao pessoal de auditoria.


Implementando o programa
Os registros relativos as auditorias
incluem:
Professor André Campos

1 - Planos de auditoria;
2 - Relatórios de auditoria;
3 - Relatórios de não conformidade;
4 - Relatórios de ação corretiva;
5 - Relatórios de acompanhamento.
Implementando o programa
Os registros relativos as análise crítica
incluem:
Professor André Campos

1 – Atas de reunião;

2 – Registro de informações consideradas;

3 – Relatório de propostas.
Implementando o programa
Os registros relativos a equipe de
auditoria incluem:
Professor André Campos

1 – Competência do auditor;
2 – Avaliação de desempenho;
3 – Seleção das equipes;
4 – Experiência adquirida;
5 – Treinamentos realizados.
Monitorando o programa

A própria implementação do programa


precisa ser monitorada. Pode parecer
estranho, já que o programa criado para
Professor André Campos

auditar precisa também ser auditado.

As informações obtidas neste


monitoramente devem ser estruturadas
de maneira didática e repassadas para a
Alta Direção.
Monitorando o programa

Mas como monitorar a implantação de


um programa de auditoria?
Professor André Campos

O acompanhamento do cronograma de
implantação é uma bom começo. Os
resultados obtidos em termos de
documentos gerados, procedimentos
escritos, e implementados, devem ser
considerados.
Monitorando o programa

No entanto, um método efetivo é criar


indicadores de desempenho que
possam monitorar características tais
Professor André Campos

como:

A habilidade da equipe de auditoria em


implementar o plano de auditoria;

A conformidade com o programa de


auditoria e as programações;

A realimentação dos clientes de auditoria,


auditados e auditores.
Melhorando o programa

O objetivo da análise crítica do


programa de auditoria é considerar
todas as informações possíveis a
Professor André Campos

respeito do programa, de modo que seja


possível avaliar a situação atual, definir
uma situação futura desejada, e propor
melhorias que garantam o
preenchimento da lacuna entre a
situação atual e a desejada.
Melhorando o programa
A análise crítica deve considerar, por
exemplo:
1 - resultados e tendências apresentadas
Professor André Campos

pelo monitoramento;
2 - A conformidade com os
procedimentos;
3 - A evolução de necessidades e
expectativas das partes interessadas;
4 - Os registros do programa de auditoria
(já mencionados);
5 - A consistência no desempenho entre
equipes de auditoria.
BIBLIOGRAFIA

ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –


Técnicas de segurança – Código de práticas para a gestão da segurança da
informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.
Professor André Campos

ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –


Técnicas de segurança – Código de práticas para a gestão da segurança da
informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.

Campos, André. Sistema de Segurança da Informação – Controlando o


Risco; Editora Visual Books, Brasil, 2005.

Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP
Exam; Estados Unidos, 2003.

NIST. An Introduction to Computer Security: The NIST handbook; National


Institute of Standards and Technology; Estados Unidos, 2003.

PMI. Project Management Book of Knowledge – PMBOK; Project Management


Institute, Estados Unidos, 2005.