Escolar Documentos
Profissional Documentos
Cultura Documentos
DE SISTEMAS
autor
JOÃO PAULO BROGNONI CASATI
1ª edição
SESES
rio de janeiro 2016
Conselho editorial regiane burger; roberto paes; gladis linhares; karen bortoloti;
helcimara affonso de souza
Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida
por quaisquer meios (eletrônico ou mecânico, incluindo fotocópia e gravação) ou arquivada em
qualquer sistema ou banco de dados sem permissão escrita da Editora. Copyright seses, 2016.
isbn: 978-85-5548-215-1
Prefácio 7
4. Auditoria Direcionada 73
Bons estudos!
7
1
Auditoria de
Sistemas, Auditor
e Planos de
Contingência
No cenário atual, as organizações (empresas, governos, entre outras) estão cada
vez mais dependentes do funcionamento correto das tecnologias de informa-
ção. Com isto, a auditoria de sistemas se mostra um campo de atuação impres-
cindível, podendo auxiliar e promover maior confiabilidade das organizações
em seus serviços de tecnologia da informação. Neste capítulo o leitor pode-
rá adquirir os conhecimentos iniciais em auditoria de sistemas, assim como
aprender sobre o perfil e a carreira do auditor. Informações sobre planos de
contingência também são apresentadas neste capítulo, introduzindo o leitor a
uma ação de grande importância que é desenvolvida nas organizações.
OBJETIVOS
Os principais objetivos de aprendizado deste capítulo são:
• Introdução do leitor ao universo da auditoria e mostrar sua importância para as organizações;
• Compreensão das principais características do auditor e de sua carreira;
• Apontar as principais características dos planos de contingência e a importância de sua
introdução no cotidiano das organizações.
10 • capítulo 1
1.1 Fundamentos de auditoria de sistemas
Os dados e as informações geradas por meio de sistemas de informação são
cruciais para as organizações, representando uma grande vantagem estratégi-
ca para elas. O bom funcionamento, a confiabilidade e a segurança aplicada a
estes sistemas são de fundamental importância para que as informações co-
lhidas sejam de grande valia para o auxílio à tomada de decisão por parte dos
gestores das organizações.
O uso de sistemas informatizados é abrangente na economia brasileira e
não para de crescer. Ao mesmo tempo em que algumas empresas não são tão
dependentes dos sistemas de informação, outras não conseguem funcionar
nem poucas horas sem a utilização deste recurso. A auditoria de sistemas é es-
timulada e cresce à medida que as organizações ficam mais dependentes da
informação de qualidade, e, portanto, do uso de sistemas informatizados. (GIL,
2000).
A auditoria de sistemas engloba as operações de uma organização, os pro-
cessos envolvidos com estas operações, os sistemas que geram as informações
e por fim a responsabilidade gerencial. Ela também se atém à verificação da
conformidade destes itens com os objetivos, normas, padrões, regras, orça-
mento e a política de uma organização. Garantir a segurança da informação, a
disponibilidade e a qualidade de recursos e serviços também é papel da audi-
toria de sistemas.
Segundo Imoniana (2008), a auditoria de tecnologia de informações visa,
além da utilização de recursos de informática para auditar sistemas e computa-
dores, ao uso dos recursos de informática também para automatizar processos
de auditoria em outras áreas.
As funções administrativas da auditoria de sistemas passam por três fases:
capítulo 1 • 11
Medidas das operações e processos da organização.
Nesta fase o auditor deve verificar minuciosamente cada
EXECUÇÃO processo a ser auditado e colher informações suficien-
tes para que se possa analisar as operações em relação
ao planejamento.
Planejamento
Padrões Políticas
Execução
Testes Medidas
Controle
12 • capítulo 1
Pode-se definir auditoria de sistemas como uma verificação de conformida-
de dos processos com os padrões de uma organização. Nestes padrões devem
estar definidos os processos, as normas de segurança da informação, a disponi-
bilidade e a confiabilidade dos sistemas, entre outros.
capítulo 1 • 13
• vestir-se adequadamente: passar a imagem de um profissional de
alto escalão;
• comportamento de liderança: criar sinergia, não entrar em conflitos, de-
monstrar conhecimento e agregação de valor;
• utilizar palavreado formal: não utilizar-se de gírias e linguajar exagerada-
mente coloquial, a fim de transparecer confiança e segurança;
• não aceitar presentes: o auditor não deve aceitar qualquer tipo de agrado
para passar a imagem de isenção e ética.
CONEXÃO
O ISACA é uma associação internacional de profissionais de governança de TI. O site do
ISACA mantém várias informações e calendário de eventos da área. http://www.isaca.org
14 • capítulo 1
sistemas, que são treinados especificamente para as necessidades e os objeti-
vos de segurança da própria organização.
Auditoria externa é a contratação de uma empresa especializada que presta
serviços de auditoria. A equipe desta empresa contratada irá atuar sob deman-
da na organização.
O programa de desenvolvimento da carreira de auditor de sistemas pode ser
dividida em duas diferentes necessidades.
A primeira é quando o auditor tem pouca ou nenhuma experiência na área
de TI. Neste caso, os profissionais devem se especializar nas seguintes áreas:
• conceitos de TI;
• tabelas de decisões aplicadas em linguagens de programação;
• aquisição de equipamentos (hardware);
• aquisição de programas de computador (software);
• metodologias e normas para desenvolvimento de soluções tecnológicas;
• controles de acesso;
• operação e manutenção de sistemas;
• fundamentos de arquitetura de sistemas;
• entrada e saída de dados;
• redes de computadores (internet, intranet e extranet);
• programação de computadores;
• modelagem de sistemas;
• sistemas gerenciadores de bancos de dados;
• processamento lógico;
• unidades de memória (auxiliar e principal);
• estudos de caso que exemplifiquem cada situação (jogos de negócio).
capítulo 1 • 15
• avaliação dos sistemas on-line;
• processamento em tempo real;
• identificação de programas;
• verificação das autenticações e autorizações;
• registros das transações;
• detecção e manutenção de diários das operações.
• softwares de auditoria;
• controles de acesso aos dados e programas;
• propriedade intelectual;
• plano de contingência.
16 • capítulo 1
Presidência
Auditoria de
Sistemas
capítulo 1 • 17
• confidencialidade: controles de acesso (físico e lógico);
• integridade: gravação e atualização autorizadas (mantém-se um respon-
sável pela informação);
• disponibilidade: sistema disponível sempre que necessário;
• consistência: sistema funcionando dentro dos requisitos especificados;
• confiabilidade: sistema atua conforme esperado.
18 • capítulo 1
Apesar de ser uma abordagem por muitos considerada obsoleta, ainda é viá-
vel que se aplique a sistemas menores e pouco complexos.
Os baixos custos e a facilidade de se mensurá-los pode ser considerada
uma vantagem, além de não exigir conhecimentos avançados de tecnologia
da informação.
Algumas desvantagens também podem ser citadas, como a dificuldade de
se avaliar o resultado da auditoria pela falta de padronização, a não necessi-
dade de conhecimentos em tecnologia da informação podem comprometer o
resultado final e também a reavaliação quando uma alteração é feita no siste-
ma, o relatório da auditoria pode ser distorcido por não abranger o computador
como unidade de processamento lógico.
capítulo 1 • 19
abordagens ao redor do computador e através do computador são suscetíveis a
erros de cálculos e produção incompleta de registros.
Os principais objetivos da abordagem com o computador são:
20 • capítulo 1
Já a Associação de Auditores de Sistemas & Controles (ISACA) define o códi-
go de ética profissional contendo os seguintes itens:
1. apoiar a implementação de padrões sugeridos para procedimentos e
controles dos sistemas de informação e encorajar seu cumprimento;
2. exercer suas funções com objetividade e zelo profissional, seguindo pa-
drões profissionais e melhores práticas;
3. servir aos interesses dos stakeholders de forma legal e honesta, com
alto padrão de conduta e caráter profissional e desencorajar atos de descrédito
à profissão;
4. manter a privacidade e a confidencialidade das informações obtidas,
exceto quando exigido legalmente. Estas informações não devem ser utilizadas
em benefício próprio ou compartilhadas com pessoas não autorizadas;
5. manter competência na sua especialidade e assegurar que somente
atua nas atividades em que tem habilidade suficiente;
6. informar os stakeholders sobre os resultados de seus trabalhos, expon-
do os fatos significativos desde que em seu alcance; e
7. apoiar a conscientização profissional das partes envolvidas para auxi-
liar sua compreensão dos sistemas de informação, segurança e controle.
capítulo 1 • 21
1.7.1 O que é plano de contingência
22 • capítulo 1
As ameaças podem ser acidentais, como uma falha de hardware ou uma
descarga atmosférica (raio), ou ameaças deliberadas, como uma invasão ou um
assalto. As ameaças deliberadas são divididas em passivas e ativas. As ameças
passivas não alteram a informação da organização, enquanto as ameaças ativas
são aquelas que alteram a informação armazenada, portanto, são mais perigo-
sas e de difícil recuperação.
Os componentes da TI (recursos) que podem ser danificados quando da
ocorrência de uma ameaça podem ser:
• físico: uma sala de computadores;
• software: vírus de computador;
• hardware: uma descarga atmosférica que queima um equipamento;
• informação: roubo de informações;
• pessoas: vírus biológico.
capítulo 1 • 23
A figura 1.3 exibe um esquema em que se pode observar todo o proceso de
recuperação de desastres.
Medidas de
Vulnerabilidade
Segurança
Impactos Ameaças
Confidencialidade
Causam Integridade Perdas
Disponibilidade
Ainda observando a figura 1.3, pode-se concluir que todas as etapas devem
ser utilizadas para que se possa analisar o risco de forma coerente. Iniciando
a análise pelos ativos, estes estão sujeitos a vulnerabilidades. Ao serem explo-
radas, as vulnerabilidades permitem que ameaças possam ser detectadas. Na
ocorrência de uma ameaça, a organização sofre perdas que podem ser de dife-
rentes tipos; são alguns deles:
• perda de confidencialidade: roubo de informações;
• perda de integridade: alteração na informação;
• perda de disponibilidade: ataques de negação de serviço, em que se pode
sobrecarregar um servidor até que ele pare de responder adequadamente.
24 • capítulo 1
normalmente são os planos de contingência que são executados a fim de prote-
ger os ativos da organização.
A criação do plano de contingência não é um processo barato, pois o mes-
mo deve ser elaborado, implementado e testado. É possível que se necessite
do desenvolvimento de programas ou processos específicos para que se possa
atender de forma satisfatória a ocorrência de uma emergência. Portanto, in-
vestimentos em pessoal qualificado, tecnologias, aplicativos, entre outros são
vitais para um bom plano de contingência.
Por razões de alto custo, não se recomenda o desenvolvimento de planos
de contingência para todas as funções da empresa, apenas para as mais vitais e
com maior risco de ocorrência, é preciso priorizar certas áreas.
A identificação das partes críticas, que demandam a criação de um plano de
contingência, é um papel analítico em que se consideram a probabilidade de
ocorrência e a profundidade dos danos que podem ser causados por uma ameaça.
No processo de identificação das áreas críticas da organização, tem-se o en-
volvimento de:
• sistemas: em que são identificadas as funções críticas de um determina-
do sistema;
• tecnologia da Informação: em que são identificados quais são os sistemas
críticos da organização;
• departamento: identificar as áreas críticas de uma organização ou de uma
determinada área ou departamento que é parte da organização.
Figura 1.4 – Etapas para seleção de áreas que adotarão planos de contingência.
capítulo 1 • 25
mais atenção, que podem trazer maiores danos e que têm maior probabilidade
de ocorrência (probabilidade e impacto na organização). Na terceira etapa (es-
core), é feita uma escolha de quais dos riscos selecionados como prioritários
terão o plano de contingência efetivamente desenvolvido.
ATENÇÃO
Devido ao alto custo de implantação dos planos de contingência, é recomendado que se
escolha aplicá-los apenas às áreas e processos mais críticos da organização.
0 Impacto irrelevante.
26 • capítulo 1
ESCALA CLASSIFICAÇÃO DO IMPACTO
capítulo 1 • 27
Após a classificação das ameaças utilizando as escalas da tabela, os resulta-
dos são inseridos em uma matriz de riscos. A tabela 1.3 mostra um exemplo de
classificação de ameaças considerando as análises feitas por meio das tabela
1.1 e 1.2.
A coluna de escore de risco é calculada multiplicando-se o valor da análise
de impacto com o valor da análise de probabilidade. Este valor do escore de ris-
co é considerado no momento em que se decide o desenvolvimento ou não de
um plano de contingência para a ameaça detectada.
MATRIZ DE RISCO
ESCORE DE
AMEAÇAS IMPACTO PROBABILIDADE RISCO
Incêndio 5 1 5
Falta de energia
4 3 12
elétrica
Indisponibilidade
3 3 9
de servidor
Greve de
funcionários do 2 1 2
transporte
Funcionário que
1 1 1
adoece
Falha de switch
2 4 8
de rede
28 • capítulo 1
MATRIZ DE RISCO
ESCORE DE
AMEAÇAS IMPACTO PROBABILIDADE RISCO
Ataque de vírus 3 5 15
Tabela 1.3 – Matriz de risco que auxilia a definição dos planos de contingência que se-
rão desenvolvidos.
EXEMPLO
Segue um exemplo de matriz de responsabilidades:
Administrador de ban-
Steve Jobs Controle de dados 4141-5544
cos de dados
Transporte e realoca-
Larry Page Analista de sistemas 3544-4435
ção de pessoas
capítulo 1 • 29
1.7.3 Componentes de um plano de contingência
O termo plano de contingência é abrangente. Este plano pode ser de três tipos:
• plano de emergência;
• plano de backup;
• plano de recuperação.
30 • capítulo 1
É de suma importância que o plano de emergência siga um calendário
de testes, com o objetivo de treinamento, comprometimento e atualização
do plano.
No plano de backup, o principal objetivo é manter informações que possam
ser utilizadas no caso de um plano de emergência vir a ser utilizado. O plano de
backup provê:
• backup de arquivos e dados;
• processamento alternativo;
• continuidade dos serviços;
• atualização da biblioteca externa: em caso de emergência, é necessário
que se tenha redundância de informação e recursos em local afastado do local
principal de trabalho, a fim de que se possa utilizar esta informação em caso de
emergência que danifique as informações e os recursos armazenadas no local
principal de trabalho.
• acordo de reciprocidade com terceiros: acordos feitos com outras empre-
sas a fim de que, em caso de emergência em uma delas, os recursos da outra
podem ser utilizados ou emprestados até que a empresa se recupere dos da-
nos causados.
Deve-se atentar, em um plano de backup, para os seguintes itens:
CURIOSIDADE
No dia 11 de setembro de 2001 houve o ataque às torres gêmeas nos Estados Unidos. Além
das mortes causadas e da queda dos prédios, muitas empresas deixaram de existir a partir
daquele momento, pois o backup dos dados de algumas empresas da torre um estava na tor-
capítulo 1 • 31
re dois, e vice-versa. Sendo assim, algumas empresas perderam seus dados e informações
por completo.
Esta história trágica atenta para a importância de manutenção do backup em local fisica-
mente afastado, mantendo uma distância segura que é definida pela empresa.
EXEMPLO
Em um caso de emergência por dano a um equipamento de rede (switch por exemplo) cau-
sado por uma descarga atmosférica (raio), pode estar descrito no plano de recuperação a
maneira mais eficiente e rápida de se restabelecer o funcionamento, seja consertando ou
adquirindo e configurando um novo equipamento.
Ocorre uma
Estado interrupção Estado de
Normal Emergência
32 • capítulo 1
Em conclusão: a união dos planos de emergência, de backup e de recupera-
ção formam o plano de contingência como um todo, que para o bom funciona-
mento dos processos da organização, deve ser desenvolvido e implantado para
as operações que podem trazer maiores danos, dependendo do foco de atuação
e da necessidade da própria organização.
ATIVIDADE
A auditoria de sistemas é de vital importância para o bom andamento dos processos organi-
zacionais. Alguns tipos de empresas podem ter perdas financeiras significativas na ocorrên-
cia de ameaças que parecem não ser tão graves.
Defina qual a importância da disponibilidade de serviços de TI em uma empresa de ven-
das pela internet. Dê um exemplo de ameaça com alto escore de risco para empresas des-
te tipo.
REFLEXÃO
Neste capítulo foram estudados os fundamentos de auditoria, sua importância no âmbito
organizacional e quais os principais aspectos da auditoria de sistemas.
O perfil do auditor, informações sobre a carreira e o código de ética também são de
fundamental importância para o desenvolvimento de um auditor de sistemas de sucesso.
Os planos de contingência, estudados também neste capítulo, mostram como uma or-
ganização pode se preparar de forma adequada para a ocorrência de ataques ou desastres.
Este tema é de suma importância para que os serviços de TI e a segurança da informação e
das pessoas sejam garantidos na organização.
LEITURA
Para o aprofundamento dos conhecimentos em fundamentos de auditoria, uma leitura inte-
ressante pode ser o livro do Marcelo Cavalcanti Almeida, denominado Auditoria: Um curso
Moderno e Completo.
ALMEIDA, Marcelo Cavalcanti. Auditoria: um curso moderno e completo. 6. ed. São Paulo: Atlas,
2003. 589 p.
capítulo 1 • 33
REFERÊNCIAS BIBLIOGRÁFICAS
BENETTI, Marcos Antonio. Segurança e Auditoria de Sistemas. Disponível em: <http://www.
benetti.eti.br/home/informatica/auditoria>. Acesso em: 15 ago. 2015.
GIL, Antonio de Loureiro. Auditoria de computadores. 5. ed. São Paulo: Atlas, 2000. 236 p.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2. ed. São Paulo: Atlas, 2008.
207 p.
34 • capítulo 1
2
O Funcionamento,
os Controles
Internos e as
Ferramentas da
Auditoria
A segurança da informação nas organizações é de vital importância para seu
potencial competitivo no mercado. A utilização de controles internos dá-se
como uma das mais importantes ações que buscam garantir a segurança e evi-
tar fraudes em uma empresa. A auditoria de sistemas, quando executada de for-
ma correta, traz também muitos benefícios para a organização. Neste capítulo
são apresentadas as ações da auditoria de sistemas, suas quatro fases, a utiliza-
ção de controles internos e ferramentas de software que auxiliam na execução
da auditoria. Ao final do capítulo, é esperado que se desenvolva uma visão sistê-
mica e prática da auditoria.
OBJETIVOS
Os principais objetivos de aprendizado deste capítulo são:
• Compreensão do dia a dia do auditor de sistemas;
• Mostrar o que são e quais são os controles internos utilizados em auditoria de sistemas;
• Apresentar a sequência lógica das fases da auditoria de sistemas e suas ações; e
• Apresentar as ferramentas de software que auxiliam na auditoria.
36 • capítulo 2
2.1 O funcionamento da auditoria de
sistemas
Avaliação
Objetivos,
Regras,
Padrões,
Normas
Operações,
Sistemas,
Processos,
Responsabilidades
Auditoria
capítulo 2 • 37
De acordo com a exemplificação na figura 2.1, a auditoria começa com a
checagem das operações, dos sistemas, dos processos e das responsabilidades
gerencias (isto ocorre porque as informações no âmbito organizacional sempre
têm um responsável).
Após estas checagem, ocorre o confronto das medidas obtidas com os obje-
tivos, as regras, os padrões e as normas da organização. Esta comparação se dá
pela verificação de conformidade entre o que é esperado que se ocorra e o que
realmente ocorre (na prática).
Por fim, a etapa de avaliação. Nesta etapa o auditor emite relatórios para
que medidas possam ser tomadas a fim de que as medidas se aproximem dos
padrões previamente estabelecidos.
Existem duas áreas de atuação, chamadas também de áreas de verificação
da auditoria:
• auditoria de campo;
• âmbito da auditoria.
38 • capítulo 2
3. Familiarizar-se com a área de sistemas: compreender os produtos, ser-
viços e processos da área de TI, adquirir conhecimento sobre o ambiente e os
sistemas que serão auditados por meio de documentação e levantamento.
4. Estabelecer a estratégia: definição das ferramentas (estas ferramen-
tas podem ser softwares) a serem utilizadas, considerando o sistema que
será auditado.
5. Estabelecer os objetivos: definir os controles internos e os proces-
sos, que devem estar sempre alinhados ao negócio e definir também o que
será verificado.
6. Definir preocupações: definir quais os itens que mais preocupam a
equipe de auditoria, ou seja, os itens aos quais os auditores precisam prestar
mais atenção, previamente indicados como necessários.
7. Fazer avaliação preliminar dos controles internos: verificar os controles
que estão implantados no sistema e definir quais controles serão utilizados.
Apenas controles gerais são considerados nesta fase.
8. Finalizar os procedimentos de planejamento: determinar o tempo da
auditoria, qual a equipe de auditores, quais são os recursos necessários e qual a
data provável de emissão do relatório final.
9. Preparar um documento de aviso: normalmente um memorando, assi-
nado pelo diretor da auditoria, deve ser emitido ao gerente da área de sistemas,
ao diretor e ao diretor da área para qual o sistema dá suporte. Este documento
tem objetivos, cronograma e intenções da auditoria que será executada.
10. Reunião inicial: uma reunião inicial deve ser realizada com os audi-
tados, sua gerência e diretoria, informando sobre as intenções da auditoria
e pedindo colaboração para que o fornecimento de informações e acessos
seja garantido.
11. Elaboração de testes: uma massa de testes deve ser elaborada, com de-
finição de escopo de teste, geração de dados de teste e determinação dos resul-
tados que serão esperados.
12. Aplicação dos testes: aplica-se a massa de testes elaborada anterior-
mente e colhem-se os resultados. Estes testes podem ser executados com simu-
lação em laboratório ou em campo. Os testes têm como objetivo a aprovação da
efetividade dos processos e resultados.
13. Análise das simulações: as simulações efetuadas devem ser analisa-
das a fim de se detectar discrepâncias. Em caso positivo, o auditado deve ser
avisado verbalmente e por formulário próprio, emitindo a opinião quanto aos
capítulo 2 • 39
resultados ou do ambiente auditado, com recomendações e solicitação de pra-
zo para correção das falhas encontradas.
14. Emissão de relatório provisório: ao término do trabalho de campo,
deve-se emitir um relatório provisório com todas as falhas encontradas e que
não foram solucionadas durante o período da auditoria. Um carimbo escrito
“RASCUNHO” deve ser utilizado neste relatório para que não se confunda com
o relatório final da auditoria.
15. Discussão de relatório provisório: pode-se utilizar de uma reunião
para a discussão do relatório. Neste momento os auditados e sua gerência
devem concordar ou discordar do relatório provisório por escrito, explicando
os motivos.
16. Emissão e distribuição do relatório final: o relatório final deve conter a
“nota” do relatório, que é a parte do relatório que contém as falhas encontradas
e que não foram solucionadas, além de estabelecer uma data para o acerto das
falhas. Os auditados podem concordar com o relatório ou não. Em caso de ne-
gativa, justificar o motivo por escrito.
17. Follow-up (acompanhamento): acompanhamento das datas de acerto
das falhas indicadas na auditoria e que constam no relatório final.
40 • capítulo 2
DEFINIÇÃO
O Portal da Auditoria (2015) define controle interno como:
“Planejamento organizacional e todos os métodos e procedimentos adotados dentro de
uma empresa, a fim de salvaguardar seus ativos, verificar a adequação e o suporte dos dados
contábeis, promover a eficiência operacional e encorajar a aderência às políticas definidas
pela direção, com o objetivo de evitar FRAUDES, ERROS, INEFICIÊNCIAS e CRISES nas
empresas.”
capítulo 2 • 41
• contingência: deve-se elaborar plano de controle de prevenção de falhas
nas fases pré e pós implantação do sistema (desenvolvimento e operação);
• custo efetivo: planejamento dos investimentos em tecnologia
da informação.
CONEXÃO
Com o objetivo de proteger a informação, a norma ISO 27000 Information Security Manage-
ment Systems (Sistemas de Gerenciamento de Segurança da Informação) apresenta seus
critérios no seguinte link: http://www.iso27001security.com/
42 • capítulo 2
7. Programas de sistemas: manter o monitoramento dos programas e sis-
temas operacionais.
8. Organização e administração: trata da segregação de funções (verifica
se as funções estão sendo corretamente executadas), da organização dos proje-
tos, verificação se normas de gerenciamento de projeto são aplicadas, se existe
PMO (Project Management Office).
9. Processo de desenvolvimento: trata do desenvolvimento de software.
Estes controles visam checar se o processo de desenvolvimento está utilizan-
do de padrões e procedimentos corretos, se o software está sendo devidamente
documentado, entre outros fatores relacionados ao processo de desenvolvi-
mento, inclusive a respeito do treinamento de pessoal e de testes unitários e
de integração.
10. Ambiente da TI: trata da segurança física e lógica do ambiente, das
bibliotecas da organização. Pode englobar a utilização do ITIL (Information
Technology Infrastructure Library).
11. Contrato de serviços: os serviços contratados pela organização também
são objetos da auditoria.
12. Procedimentos e padrões: as definições feitas pela organização de-
vem ser cumpridas no âmbito da TI, portanto, esta checagem também e alvo
da auditoria.
CONEXÃO
O ITIL (Information Technology Infrastructure Library) é um documento que reúne um conjunto
de boas práticas de gerenciamento de serviços de TI. Mais informações podem ser obtidas
acessando o site oficial odo ITIL na internet: http://www.itil-officialsite.com/
capítulo 2 • 43
Emissão
Planejamento Execução Follow-up
de Relatórios
44 • capítulo 2
Estes dados recebem, cada um, um valor numérico de peso, este definido
pela organização. Os sistemas mais críticos ou importantes, na visão da organi-
zação, recebem valores maiores de pesos.
O planejamento da auditoria visa a atribuir, a cada um dos dados citados,
uma nota, também um valor numérico, variando de 0 a 10. Esta nota, atribuída
pela equipe que planeja a auditoria, é multiplicada pelo valor de peso atribuído
pela organização, gerando um valor total para cada um dos itens abordados.
Ao final da análise, os totais são somados, e o valor do escore de risco do
sistema que está sendo avaliado é obtido.
Para a avaliação final do sistema, o valor de escore obtido é comparado a uma
tabela de faixas de valores; para cada uma delas, uma prioridade é atribuída.
EXEMPLO
Segue um exemplo de avaliação e obtenção de escore de risco de um sistema:
Portanto, o sistema avaliado tem prioridade muito alta (escore de risco acima de 500)
para que seja auditado; neste caso, muito provavelmente este sistema entrará no planeja-
mento da auditoria.
capítulo 2 • 45
Após a escolha do sistema a ser auditado, deve-se obter conhecimento estu-
dando-se com profundidade seu funcionamento e seus detalhes.
Com o conhecimento adquirido sobre o sistema a ser auditado, é necessá-
rio que se decida sobre os controles internos, os processos e os controles de
negócio que serão utilizados na auditoria. Define-se também no planejamento
a amplitude e o grau de abrangência da auditoria, isto é, qual o nível de detalhe
em que o sistema será testado.
Cada ponto a ser auditado é chamado de ponto de controle. Caso um ponto
de controle apresente falhas durante a auditoria, deve-se informar ao auditado
para que elas sejam corrigidas.
O cronograma da auditoria deve ser definido também na fase de planeja-
mento, com data de início, datas das diversas etapas e ações da auditoria e a
data de emissão do relatório final. Este cronograma considera a complexidade
e tempo estimado para a verificação de cada ponto de controle da auditoria.
• pré-auditoria;
• auditoria;
• pós-auditoria.
Na etapa de pré-auditoria, são executados os processos que preparam o am-
biente para ser auditado. O auditor deve informar à área auditada qual o siste-
ma eleito para auditoria, e então um aviso deve ser emitido aos interessados,
com o cronograma e as definições previamente planejadas. Nesta etapa tam-
bém ocorrem as reuniões entre os envolvidos da área a ser auditada com os au-
ditores. Estas reuniões tem o objetivo de esclarecer pontos do planeamento da
auditoria aos interessados.
O corpo administrativo da área a ser auditada precisa preparar as ativi-
dades de apoio à equipe de auditoria, visto que informações e acessos se-
rão requisitados.
46 • capítulo 2
Após a reunião inicial, a informação por parte dos auditores do que será in-
vestigado, a data de início da auditoria, a data de emissão do relatório final, o
pedido de colaboração por parte do auditado para que sejam fornecidos aces-
sos e informações à equipe de auditoria, o trabalho de auditoria propriamente
dito pode ser iniciado.
No início do trabalho de campo, o chefe (diretor) da auditoria faz as solicita-
ções por escrito para o representante setor auditado (BENETTI, 2015).
A equipe de auditoria deve, neste momento, verificar a existência dos con-
troles internos, processos e controles de negócios. Após esta verificação, testar
e avaliar sua eficiência e eficácia.
Ao identificar fraquezas, vulnerabilidades, inconsistências e irregularida-
des do sistema, o auditor deve informar o fato verbalmente e solicitar a corre-
ção, com data prevista.
2.3.4 Follow-up
capítulo 2 • 47
2.4 Ferramentas de auditoria
A auditoria de sistemas pode ser executada tanto em sistemas que estão em
desenvolvimento quanto em sistemas em operação.
No caso de sistemas em desenvolvimento, a auditoria foca sua atenção no
planejamento dos controles internos, processos e controles de negócio. Já no
caso de sistemas em operação é verificada a existência de pontos de controle e
são executados testes para verificação destes pontos.
Imoniana (2008) cita que, na auditoria de sistemas em operação, têm-se:
• softwares generalistas;
• softwares especializados;
• softwares utilitários.
Cada tipo de software tem seus usos específicos, suas vantagens e desvanta-
gens, que são apresentadas a seguir.
48 • capítulo 2
• Pentana: softwares para planejamento estratégico de auditoria, diversos
controles, entre outras funcionalidades.
Como o próprio nome já diz, o software especializado é aquele que atende me-
lhor o usuário na especialidade para qual foi desenvolvido.
Ao contrário dos softwares generalistas, que visam abranger um maior nú-
mero de usuários e soluções, os softwares especialistas são aqueles mais espe-
cíficos que, normalmente, resolvem um menor número de problemas que por
serem incomuns, não são implementados nos softwares generalistas.
Estes softwares geralmente são desenvolvidos pelos auditores, a fim de re-
solver problemas pontuais e específicos da área ou sistema auditado.
Como vantagens do uso deste tipo de software, pode-se citar (IMONIANA,
2008):
• inclusão de testes e verificadores de controles internos específicos do sis-
tema auditado;
• desenvolvimento de soluções para auditar áreas mais complexas e especí-
ficas, podendo se utilizar disto como vantagem competitiva.
capítulo 2 • 49
Apesar de o uso de softwares especializados ser de grande valia quando a
auditoria é feita em um sistema mais complexo, algumas desvantagens são des-
tacadas por Imoniana (2008):
• o auditor deve estar familiarizado com desenvolvimento de software;
• o custo do desenvolvimento de softwares especializados pode
não compensar.
Os utilitários são softwares que geralmente são utilizados para funções bási-
cas da auditoria. Estes não necessitam ser softwares específicos para auditoria,
eles podem ter outra finalidade, mas, se utilizados como apoio à auditoria, po-
dem auxiliar em tarefas comuns.
Normalmente, os sistemas operacionais e os sistemas gerenciadores de
bancos de dados possuem softwares que podem ser utilizados como auxílio a
auditoria, como, por exemplo, para efetuar cálculos, geração de relatórios, en-
tre outras funcionalidades auxiliares.
Uma vantagem apontada por Imoniana (2008) no uso deste tipo de software
é que, na falta de outros recursos, pode-se atingir bons resultados utilizando
softwares de apoio. Como desvantagem, é citado que sempre necessitará do au-
xílio do auditado para o uso da ferramenta.
ATIVIDADES
01. Defina ao menos cinco importantes controles internos que devem ser implementados
em sistemas de informação que utilizam dados bancários sigilosos.
02. Cite ao menos três passos, mantendo sua ordem lógica, que pertencem à fase de exe-
cução da auditoria.
03. Defina um cenário em que seria viável o desenvolvimento de uma ferramenta especialis-
ta (software especializado) para uso na auditoria de um sistema.
50 • capítulo 2
REFLEXÃO
Este capítulo abordou, dentre outros termos, o dia a dia da equipe de auditoria (auditor). Pô-
de-se perceber a importância da existência de controles internos e de sua efetividade. Muitos
deles foram exemplificados, trazendo uma visão prática da execução da auditoria.
Uma visão sistêmica, com as fases bem definidas da auditoria foi apresentada, tornando
o processo de entendimento da auditoria mais simples, como uma sequência de passos.
O uso de ferramentas de software também foi abordado, demonstrando sua importância
e especificidades de uso em cada caso. Desta maneira, o leitor torna-se apto a fazer escolhas
de diferentes abordagens.
LEITURA
Com um foco em auditoria interna, o livro The Essential Handbook of Internal Auditing traz
uma série de detalhes interessantes de abordagem de auditoria, provendo conhecimento e
também servindo como um guia para auditores internos.
PICKETT, K. H. Spencer. The Essential Handbook of Internal Auditing. Chichester: Wiley, 2005.
REFLEXÃO
AUDITORIA, Portal da. Controles Internos. Disponível em: <http://www.portaldeauditoria.com.br/
controles-internos/>. Acesso em: 20 ago. 2015.
BENETTI, Marcos Antonio. Segurança e Auditoria de Sistemas. Disponível em: <http://www.
benetti.eti.br/home/informatica/auditoria>. Acesso em: 15 ago. 2015.
CHAMPLAIN, Jack J.. Auditing information systems. 2. ed. Hoboken: Wiley, 2003.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2. ed. São Paulo: Atlas, 2008.
207 p.
capítulo 2 • 51
52 • capítulo 2
3
Técnicas
de Auditoria
e Controles
Organizacionais e
Operacionais
Neste capítulo são apresentadas as técnicas de auditoria mais utilizadas nas
auditorias de sistemas. Estas técnicas são explicadas de forma detalhada para
que se possa criar uma visão crítica sobre quais técnicas utilizar e quando utili-
zá-las. Além das técnicas, são abordados controles organizacionais e operacio-
nais, que compreendem a criação de políticas de segurança da informação e as
funções de alguns cargos-chave na área de tecnologia da informação.
OBJETIVOS
Os principais objetivos de aprendizado deste capítulo são:
• conhecer em detalhes as principais técnicas utilizadas em auditoria de sistemas;
• aprender sobre o processo de implantação de política de segurança da informação; e
• conhecer os cargos da área de tecnologia da informação e suas respectivas funções.
54 • capítulo 3
3.1 Técnicas de auditoria
As técnicas utilizadas em uma auditoria de sistemas não precisam ser sempre
as mesmas. Cada auditoria pode necessitar o uso de determinadas técnicas,
que são definidas considerando o escopo da auditoria. Este escopo compreen-
de o conjunto de controles internos, os processos e os controles de negócios do
sistema que será auditado.
As técnicas de auditoria abordadas neste livro são as seguintes:
• software para auditoria;
• questionários;
• visita in loco;
• entrevista;
• teste de observância;
• teste substantivo;
• dados de teste;
• teste integrado;
• simulação paralela;
• lógica de auditoria embutida nos sistemas;
• mapeamento estatístico dos programas;
• rastreamento dos programas;
• análise da lógica de programação;
• análise de log.
capítulo 3 • 55
Cálculos como média, desvio-padrão, moda, entre outros, são calculados
com mais exatidão e velocidade se utilizado um software. Estas e outras medi-
das estatísticas permitem uma análise mais detalhada e precisa do comporta-
mento do sistema.
DEFINIÇÃO
Os logs são arquivos que armazenam informações de acesso e uso de um servidor, sistema
ou aplicação. Geralmente têm data, hora, descrição do evento, informações do usuário e/ou
da máquina.
56 • capítulo 3
DEFINIÇÃO
Um sistema em produção, diferentemente do que pode parecer, é um sistema que está
sendo utilizado, um sistema pronto, e não um sistema que está sendo produzido (neste caso,
diz-se que o sistema está em desenvolvimento).
3.1.2 Questionário
capítulo 3 • 57
• o tempo médio de disponibilidade do sistema que está sendo auditado
no momento;
• o tempo de uso dos equipamentos;
• a verificação do SLA.
DEFINIÇÃO
O termo SLA (Service Level Agreement) é dado a um acordo entre o prestador de serviços de
TI e o cliente, no qual constam, de forma mensurável, os serviços que serão prestados, com
o objetivo de manter a qualidade dele.
O termo em latim in loco significa no local. Portanto, esta técnica é uma visita
pessoal do auditor ao local para que se possam fazer as verificações. Esta visita
deve ser agendada formalmente com o auditado, por meio de carta, e-mail, en-
tre outros (SILVA, 2009).
Esta técnica é de suma importância para que, quando na existência de
pontos nebulosos na utilização de outras técnicas, estes sejam devidamen-
te esclarecidos.
O seu caráter complementar permite que estas visitas sejam pontuais, por-
tanto, assim como os questionários, normalmente utiliza-se a visita in loco em
conjunto com outras técnicas.
Dentre as ações que podem ser executadas por meio desta técnica, pode-
mos destacar:
• obtenção de dados por observação;
• obtenção de dados por teste;
• obtenção de dados por documentação;
• anotação de informações para posterior documentação.
58 • capítulo 3
Caso o auditor identifique falhas, o auditado é informado instantaneamen-
te, pessoalmente e informalmente. Porém, posteriormente, o auditor também
notifica o auditado sobre falha por escrito.
3.1.4 Entrevista
capítulo 3 • 59
3.1.5 Teste de observância
Esta técnica também é conhecida como test data ou test deck e consiste em o
auditor preparar um conjunto de dados que são utilizados para testar os con-
troles do sistema auditado (IMONIANA, 2008).
60 • capítulo 3
Este conjunto de dados (massa de dados) deve ser preparado com os dados
de entrada e os dados de saída esperados, para que se possa fazer as compa-
rações entre a saída desejada (que consta na massa de dados) e a saída que o
sistema produziu.
Outro ponto importante destacado por Imoniana (2008) é que a massa de
dados deve ser preparada com o objetivo de testar uma grande quantidade de
possibilidades e combinações de possíveis transações, a fim de que se possa
simular o ambiente real de uso do sistema.
Como vantagens, Imoniana (2008) destaca a possibilidade de utilizar
softwares de geração de dados para execução da tarefa de forma mais eficien-
te, além da possiblidade de que a criação desta massa de dados seja feita por
pessoas com pouco conhecimento em informática. Já a grande desvantagem
que pode ser citada é a dificuldade de prever as possibilidades de transações do
sistema com seus respectivos dados de saída desejados.
capítulo 3 • 61
3.1.10 Lógica de auditoria embutida nos sistemas
Esta técnica, segundo GIL (2000), é utilizada para a verificação de ações como:
• rotinas obsoletas ou não utilizadas;
• frequência de utilização de rotinas;
• rotinas existentes em programas já desativados ou de uso esporádico;
• rotinas mais utilizadas, normalmente a cada processamento do programa;
• rotinas fraudulentas e de uso em situações irregulares;
• rotinas de controle acionadas a cada processamento;
Para que se aplique esta técnica, existem alguns pré-requisitos, como a ne-
cessidade de utilização de software de apoio e a necessidade de inclusão de ins-
truções especiais junto aos programas em produção, acarretando em custo e
perda de desempenho do programa.
62 • capítulo 3
3.1.13 Análise da lógica de programação
Com a análise dos arquivos de log do sistema, o auditor pode verificar quando
e como o sistema está sendo utilizado.
Com isto, Gil (2000) cita que o auditor pode:
• determinar erros de programas;
• flagrar o uso de programas fraudulentos;
• captar tentativas de acesso indevido a arquivos;
• monitorar a rede.
capítulo 3 • 63
• intermediação com terceiros (networking);
• gerenciamento de suprimentos;
• desenvolvimento do plano de capacitação.
Políticas
Segurança
Organizacionais
Responsabilidade Padronização de
de Todos Comportamento
Responsabilidade
Preservação
de Cada Um
64 • capítulo 3
As políticas organizacionais devem ser seguidas por todos os funcionários
da empresa, e seu descumprimento pode justificar uma demissão por justa
causa. Estas políticas têm um foco na segurança, com o objetivo de garantir a
credibilidade no serviço prestado ao cliente.
EXEMPLO
Um exemplo de política de segurança de uma organização pode ser a proibição da con-
tratação de pessoal que tenha parentesco com algum outro colaborador, evitando assim
protecionismo e fraudes.
As informações públicas ou de uso irrestrito são aquelas que podem ser di-
vulgadas a qualquer pessoa, como, por exemplo, por página de internet, revis-
tas e jornais.
capítulo 3 • 65
Informações internas são aquelas que não devem sair do âmbito da organi-
zação, mas que não são críticas, como, por exemplo, um aviso aos funcionários
ou um jornal interno.
A informação confidencial é aquela que deve ser protegida contra o aces-
so externo. A violação desta informação pode comprometer o funcionamento
da empresa, causar danos financeiros, prejuízo à imagem e perda de clientes
para a concorrência. São exemplos: dados de clientes, senhas e informações
de contratos.
A violação no caso de informação secreta, seja esta violação interna ou ex-
terna, é extremamente crítica. O número de pessoas autorizadas a acessar tais
informações é geralmente muito restrito e bem controlado. Como exemplos
podemos citar informações militares, fórmulas secretas e dados de seguran-
ça nacional.
No terceiro subprocesso de implantação de política de segurança da infor-
mação, deve-se levantar as ameaças possíveis e traçar uma matriz de risco, a fim
de que se detectem as maiores ameaças.
Os objetivos a serem alcançados devem ser especificados na política de se-
gurança e divulgados aos funcionários, para que estes percebam a importância
do cumprimento de tal política.
A proposta a ser elaborada deve ter como objetivo eliminar ou reduzir a
um nível aceitável o risco, limitando danos e reduzindo impactos sofridos
pela organização.
Na etapa de discussão com os envolvidos, a proposta deve ser discutida
com o time de segurança, os gerentes da área de sistemas, recursos humanos,
recepção, expedição, portaria, entre outros órgãos envolvidos com a política a
ser implantada.
A compensação do dano deve ser uma preocupação na definição da política
de segurança, geralmente efetuada com a contratação de seguros.
A etapa de aprovação deve ser feita pela alta administração após as discus-
sões com os envolvidos. O comprometimento da alta administração e de todos
da organização é fundamental para o cumprimento da política.
Após a aprovação da política proposta, deve-se divulgar sua existência e im-
plantá-la de fato. Uma recomendação para esta etapa é a de fornecer, quando
necessário, treinamento para os colaboradores.
O prazo para avaliação da política pode variar de seis meses a um ano.
Para a identificação de falhas na política de segurança, é recomendado colher
66 • capítulo 3
feedback dos colaboradores e, caso necessário, as alterações serão estudadas,
implementadas e divulgadas.
Após a revisão da política de segurança, esta é implementada definitiva-
mente e, a partir deste momento, não sofre mais alterações. A política de segu-
rança diz o que deve ser feito. A questão de como deve ser feito fica por conta
dos procedimentos; estes sim podem sofrer alterações ao longo do tempo.
É comum que se definam subgrupos de políticas, como política de backup,
política de senhas, políticas de acesso, políticas de instalação de equipamen-
tos, entre outras.
capítulo 3 • 67
• supervisor de restart/recovery;e
• bibliotecário.
68 • capítulo 3
• customizar o sistema de segurança de acordo com a política de segurança
da organização;
• pesquisar falhas de segurança dos sistemas operacionais e dos aplicativos;
• pesquisar novas soluções de segurança para um processo de melho-
ria contínua.
capítulo 3 • 69
O supervisor de restart/recorery tem como funções:
• definir procedimentos para, em caso de interrupção, efetuar a recupera-
ção de dados;
• definir as rotinas de backup;
• implementar os procedimentos de pontos de checagem;
• recuperar o banco de dados;
• instalar no-breaks e anti-vírus;
• implementar o hot-site;
• providenciar o cold-site.
DEFINIÇÃO
O cold-site é um local onde os equipamentos são instalados e utilizados em caso de contin-
gência (local backup).
ATIVIDADES
01. Quais as técnicas de auditoria que podem necessitar do desenvolvimento de programas
por parte do auditor?
02. Quais as técnicas de auditoria que necessitam da presença física do auditor na organi-
zação auditada?
03. Qual o profissional de TI responsável por programar o backup dos bancos de dados?
04. O que pode ser alterado após uma política organizacional ter sido implanta-
da definitivamente?
70 • capítulo 3
REFLEXÃO
As técnicas de auditoria abordadas neste capítulo compreendem um ferramental poderoso
para a auditoria de sistemas de informação. Se utilizadas da forma correta e em conjunto
com outras, o processo de auditoria pode se tornar completo e eficiente. Considerando o que
foi apresentado neste capítulo, ficam evidentes a importância do cumprimento da política de
segurança da informação nas organizações e a correta segregação de funções, visto que
cada colaborador da área de tecnologia da informação é fundamental para o bom andamento
de uma empresa.
LEITURA
O site do Tribunal de Contas da União (TCU) tem diversos manuais de técnicas de auditoria,
como técnicas de entrevistas, manual de auditoria de sistemas de informação, entre outros.
Vale a pena checar estes manuais para que se possa conferir algumas normas e informações
relevantes que são apresentadas.
Site do TCU: http://www.tcu.gov.br
Slides sobre Auditoria Interna na Área de Tecnologia da Informação:
PACHECO, André Luiz Furtado. Auditoria Interna na Área de Tecnologia da Informação.
2011. Disponível em: <http://portal3.tcu.gov.br/portal/pls/portal/docs/2188952.PDF>.
Acesso em: 27 ago. 2015.
REFERÊNCIAS BIBLIOGRÁFICAS
CORDEIRO, Cláudio Marcelo Rodrigues. Testes em auditoria: uma revisão conceitual aplicável na
prática. Disponível em: <http://www.portaldeauditoria.com.br/artigos/testesemauditoria.htm>. Acesso
em: 26 ago. 2015.
GIL, Antonio de Loureiro. Auditoria de computadores. 5. ed. São Paulo: Atlas, 2000. 236 p.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2. ed. São Paulo: Atlas, 2008.
207 p.
capítulo 3 • 71
LINDNER, Graselene. Procedimentos de auditoria. Disponível em: <http://auditoriaemfoco.blogspot.
com.br/2011/05/procedimentos-de-auditoria_11.html>. Acesso em: 27 ago. 2015.
SILVA, Walcyr de Moura e. Auditoria de sistemas computacionais. 2009. Disponível em: <http://
www.ecnsoft.net/wp-content/plugins/downloads-manager/upload/FATEC-SBC_AUSC_Auditoria
sistemas FATECSBC.doc>. Acesso em: 26 ago. 2015.
TÉCNICA DE ENTREVISTA PARA AUDITORIAS. Brasília: Tribunal de Contas da União, 13 abr. 2010.
72 • capítulo 3
4
Auditoria
Direcionada
As auditorias direcionadas visam à verificação de controles específicos para
cada uma de suas diferentes abordagens. Este capítulo traz as auditorias dire-
cionadas à rede, ao hardware, aos controles de acesso, à aquisição, desenvol-
vimento, documentação e manutenção de sistemas, à operação, ao suporte
técnico, aos aplicativos e aos eventos. Cada uma destas direções tem suas espe-
cificidades, portanto uma visão prática também é abordada. Esta visão é apre-
sentada por meio de questionários, em que é possível conhecer alguns contro-
les comuns e importantes para cada tipo de auditoria.
OBJETIVOS
O objetivo de aprendizado deste capítulo é fornecer uma visão teórica e prática para o aluno
sobre as auditorias direcionadas em diversos aspectos.
74 • capítulo 4
4.1 Auditoria de rede
A rede de uma organização é de grande importância, pois nela habitam e tra-
fegam as informações que alimentam as transações, sejam elas operacionais,
financeiras, entre outras (IMONIANA, 2008).
Categorizando a rede de uma organização, têm-se três tipos:
• Intranet; • Internet; • Extranet.
• interceptação de mensagens;
• acesso às bases de dados da organização; e
• privilégio de acesso indevido à funcionários;
LEITURA
O livro de Stallings (2008) é uma excelente referência para aprofundar os conhecimentos
sobre segurança em tecnologia da informação, pois, além de apresentar conceitos, detalhes
técnicos de ataques e criptografia também são abordados.
STALLINGS, William. Criptografia e Segurança de Redes: Princípios e Práticas. 4. ed.
São Paulo: Pearson Prentice Hall, 2008.
capítulo 4 • 75
Sobra a implantação de redes, os conceitos que são avaliados no processo
de auditoria, segundo Imoniana (2008), são:
• planejamento da rede com visão estratégica (integração ao plano diretor
de informática);
• desenho das arquiteturas e da topologia da rede;
• implantação dos projetos físicos e lógicos;
• monitoramento do desempenho da rede;
• monitoramento de possíveis interceptações;
• replanejamento de capacidade;
• levantamento dos problemas operacionais visando sua solução.
76 • capítulo 4
Baseado em Imoniana (2008), segue na tabela 4.1 um exemplo de questio-
nário do programa de auditoria de redes.
• administração de rede;
• registro das operações;
• vigilância sobre os acontecimentos;
• registro dos custos dos usos;
• soluções dos problemasoperacionais;
• geração de relatórios gerenciais
Se sim, fazer o resumo da política.
C4 - Controles de segurança
capítulo 4 • 77
No cabeçalho do questionário da tabela 4.1, define-se quem é o cliente e
quem é o responsável pelo preenchimento (auditor). A data e o revisor também
são descritos no cabeçalho.
A seguir, têm-se os itens a serem questionados. No caso do exemplo apre-
sentado na tabela 4.1, a questão C1 versa sobre a existência de políticas que
garantam o funcionamento do ambiente de rede.
Na primeira coluna (S/N/NA), responde-se com S para Sim, N para Não e
NA para Não se Aplica. Na segunda coluna (W/P), referencia-se o documento
(working paper) que dá embasamento à resposta do auditor e, finalmente, na
terceira coluna, o auditor faz suas observações referentes à questão. Após o
principal questionamento, responde-se para cada tópico aninhado às mesmas
três colunas.
CURIOSIDADE
Em 1996, um computador foi roubado da empresa VISA, na Califórnia, Estados Unidos. Este
não se tratava de um computador comum, tinha informações de mais de 300 mil contas de
cartão de crédito da VISA, MasterCard, American Express e Diners Club. E o pior é que as
informações não estavam criptografadas (CHAMPLAIN, 2003).
78 • capítulo 4
• intermediação da transação;
• apólices de seguros;
• cobertura do seguro.
P1 - Verificar se a segurança
física sobre o hardware e os
dados é adequada em relação
ao uso dos computadores.
C2 - Controles de acionamento
e desligamento de máquinas:
capítulo 4 • 79
S/N/NA REF. W/P OBS.
P3 - Verificar se no des-
ligamento de pessoas há
procedimentos específicos
com relação à retenção de
identificação e eliminação da
senha de acesso.
P4 - Verificar se há um
controle efetivo de entrada
e saída de equipamentos da
área do CPD.
P5 - Verificar se um inventá-
rio completo e atualizado dos
equipamentos de informática
é efetuado periodicamente.
C4 - Localização e infraestrutu-
ra do CPD:
80 • capítulo 4
S/N/NA REF. W/P OBS.
P6 - Verificar se há um sis-
tema alternativo de alimenta-
ção de energia elétrica (por
exemplo: no-break, gerador).
C5 - Controle de backup e
off-site:
P7 - Verificar se o backup,
armazenadas em local ex-
terno, estão disponíveis para
utilização 24 horas por dia.
P8 - Verificar se as cópias
armazenadas por longos
períodos são testadas e subs-
tituídas periodicamente.
C6 - Controles de aquisição e
disposição do equipamento:
capítulo 4 • 81
S/N/NA REF. W/P OBS.
C9 - Garantia de integridade de
transmissão:
82 • capítulo 4
CONCEITO
De acordo com a Wikipedia (2015), o conceito de controle de acesso pode ser definido por:
“O controle de acesso, na segurança da informação, é composto dos processos de au-
tenticação, autorização e auditoria (accounting). Neste contexto o controle de acesso pode
ser entendido como a habilidade de permitir ou negar a utilização de um objeto (uma entidade
passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo
ou um processo). A autenticação identifica quem acessa o sistema, a autorização determina o
que um usuário autenticado pode fazer, e a auditoria diz o que o usuário fez.”
A biometria, muito utilizada para este fim nos dias de hoje, é o uso da me-
dição de componentes biológicos das pessoas para identificá-las unicamente.
Sendo assim, a imagem da íris, a impressão digital, a voz e o reconhecimento
facial são medidas bem aceitas e confiáveis.
A forma mais comum de controle de acesso lógico é o gerenciamento de
senhas. Para que as senhas sejam um modo seguro de se controlar o acesso às
informações, deve-se tomar uma série de cuidados. Alguns deles são:
• não utilizar dados pessoais em senhas;
• não repassar sua senha individual para os outros;
• tempo de expiração de senha;
• número máximo de tentativas malsucedidas;
• não digitar a senha sem que haja uma máscara que não deixe exibir os
caracteres que estão sendo digitados;
• criar senhas difíceis de serem quebradas, com tamanho mínimo e con-
tendo letras, números e caracteres especiais.
É importante ressaltar que existem softwares que são utilizados para a que-
bra de senhas. Muitas vezes são utilizados ataques de força bruta para que a se-
nha seja descoberta. Os ataques de força bruta são testes exaustivos de todas as
capítulo 4 • 83
combinações de caracteres até que se chegue à combinação que corresponde à
senha que está sendo quebrada. Portanto, quanto mais difícil e maior esta com-
binação, mais difícil de se aplicar com êxito um ataque como este (STALLINGS,
2008).
O uso de senhas pode ocorrer juntamente com o uso da biometria, fortale-
cendo assim a segurança das informações do sistema (IMONIANA, 2008).
O administrador de ambiente deve forçar a troca de senha por parte do
usuário periodicamente, além de garantir que as senhas sejam armazenadas
de forma criptografada.
Um exemplo de working paper de teste de controles de acesso lógico é exi-
bido na tabela 4.3. Este exemplo tem os controles (C1 a C6) e alguns questiona-
mentos (P1 a P8).
C2 - Rotinas e procedimentos
estabelecidos para atribuição
ou modificação do nível de
acesso:
84 • capítulo 4
S/N/NA REF. W/P OBS.
P3 - O sistema é administra-
do por equipe competente.
P4 - O sistema é monitorado
por equipe competente.
C4 - Controle de acesso às
transações:
P6 - Avaliar o procedimen-
to que determina o nível
de acesso do usuário às
transações.
P7 - Verificar se existem
controles para detecção
e eliminação de vírus de
computador.
P8 - Verificar se o acesso
físico ao servidor da rede é
restrito.
capítulo 4 • 85
Caso os controles de acesso lógico não sejam efetivos ou não existam, pode-
se concluir que o sistema está com risco de perda de dados, vazamento de infor-
mação, entre outros danos que podem ser causados à organização (IMONIANA,
2008).
O sistema deve ser construído considerando-se que seu administrador não
tenha permissão ou não possa de maneira alguma fazer alterações nos logs,
para que este não possa efetuar fraudes e apagar as provas posteriormente
(CHAMPLAIN, 2003).
Muitas vezes, quando uma organização necessita de um software para seu ge-
renciamento ou para melhora de algum serviço, surge uma dúvida: deve-se
comprar este software pronto ou desenvolver o próprio software?
Normalmente, softwares prontos são mais baratos, porém é preciso avaliar
se algum dos softwares disponíveis no mercado supre as necessidades da or-
ganização. Neste caso, é necessário considerar a viabilidade econômica, ope-
racional e técnica para se decidir se é viável a aquisição ou o desenvolvimento
do software.
Em caso de aquisição de software, é necessário que as seguintes ações se-
jam tomadas:
• planejamento das aquisições;
• documentação dos requisitos;
• cotação, ofertas e propostas;
• seleção da fonte (melhor proposta);
• contrato e relacionamento com o fornecedor;
• fechamento de contrato.
86 • capítulo 4
• a declaração do escopo (tudo que é gerado pelo sistema, como arquivos,
telas, relatórios);
• a definição das atividades do projeto e as interdependências;
• o cronograma do projeto;
• o orçamento do projeto;
• a definição da equipe e outros recursos;
• as necessidades de treinamento;
• o plano de implantação;
• o plano de contingência e riscos;
• atualização da biblioteca de produção (arquivos).
capítulo 4 • 87
Após a auditoria, deve-se elaborar relatório preliminar. Para auxílio nesta
tarefa, o checklist apresentado na tabela 4.4 contém alguns exemplos para ava-
liação dos controles.
P1 - Verificar se os usuários
estão envolvidos no processo.
P2 - Verificar se o gerente
de projetos está devidamente
identificado.
P3 - Verificar se as reuniões
são documentadas em atas.
C2 - Procedimentos para o
envolvimento de usuários na
seleção de sistemas:
88 • capítulo 4
S/N/NA REF. W/P OBS.
C4 - Procedimentos que
determinam prioridades para
projetos de desenvolvimento e
manutenção:
P7 - Mudanças no sistema
são executadas na ordem
correta.
C5 - Há procedimentos para
rever as especificações dos
projetos por pessoal de opera-
ção, segurança e suporte?
C6 - A organização desen-
volve ou modifica sistemas
internamente:
capítulo 4 • 89
S/N/NA REF. W/P OBS.
C8 - Manutenção de do-
cumentação para sistemas
significativos:
P14 - A documentação é
atualizada.
P15 - A documentação é
suficientemente detalhada
para dar suporte a futuras
mudanças.
90 • capítulo 4
S/N/NA REF. W/P OBS.
C9 - Projetos de manutenção
são executados internamente
pela organização:
P16 - A manutenção de
programas está sujeita aos
padrões de programação.
capítulo 4 • 91
• plano de recuperação de desastres;
• gerenciamento do service desk.
C2 - Controles sobre o
monitoramento.
C5 - Controles de restart e
recovery.
92 • capítulo 4
4.6 Auditoria de suporte técnico
A função de suporte técnico é a de implantar e dar apoio a usuários no que diz
respeito a equipamentos, sistemas e aplicações de informática.
As funções de suporte são definidas por Imoniana (2008) em dois tipos: roti-
neiras e esporádicas. As funções rotineiras definidas pelo autor são:
• gerenciamento do service desk;
• resolução de problemas de instalação de redes;
• monitoramento das ocorrências;
• treinamento de usuários;
• manutenção preventiva de equipamentos;
• substituição de equipamentos obsoletos;
• cuidar da segurança da informação.
São definidas por Imoniana (2008) como algumas das funções esporádicas
do suporte técnico as seguintes:
• instalação de utilitários;
• manutenção dos sistemas operacionais;
• instalação de upgrades;
• avaliação de software para aquisição;
• padronização dos equipamentos e dos recursos de tecnologia
da informação.
capítulo 4 • 93
S/N/NA REF. W/P OBS.
C1 - Os sistemas operacionais
processam aplicativos relevan-
tes ao negócio?
C2 - Existem procedimentos
padronizados para aquisição de
utilitários?
94 • capítulo 4
A auditoria dos sistemas aplicativos pode utilizar-se de algumas técnicas.
Dentre elas é válido citar algumas, como:
• observação;
• revisão documental;
• testes dos controles internos;
• testes dos controles programados.
capítulo 4 • 95
No que diz respeito aos objetivos específicos, a auditoria deve verificar, se-
gundo Imoniana (2008), os seguintes aspectos:
• se há coerência entre as operações da organização e as transa-
ções registradas;
• se há coerência entre a legislação, os princípios da organização e as tran-
sações registradas;
• se são aplicados uniformemente os princípios nos diversos sistemas;
• se os relatórios refletem o resultado das transações;
• se o sistema integra-se de forma completa com outros sistemas-chave.
96 • capítulo 4
EXEMPLO
A tabela abaixo exibe um exemplo de evento de acesso ao sistema registrado:
IP de origem 192.168.2.50
Máquina PC-013
Sessão 13254321824
ATIVIDADES
01. Sobre as redes de computadores, podemos dividi-las em três tipos. Quais são estes
tipos de rede? Explique resumidamente cada tipo.
03. Que tipo de auditoria direcionada verifica se os recursos de TI estão sendo utilizados de
forma correta?
04. Dê um exemplo do uso de biometria com auxílio de senha para controle de acesso
a sistemas.
capítulo 4 • 97
REFLEXÃO
As abordagens apresentadas neste capítulo são específicas para cada tipo de auditoria direcio-
nada, portanto pode-se observar uma grande quantidade de questionários e itens práticos do
dia a dia do auditor, além de conceitos teóricos e informações pertinentes para a área de tecno-
logia da informação. É importante o aluno absorver informações sobre a prática da auditoria em
ambientes distintos relacionados à tecnologia da informação, para que se possa ter uma visão
abrangente sobre o processo de auditoria e o funcionamento das áreas de TI das organizações.
LEITURA
O livro de auditoria de sistemas escrito por Joshua Onome Imoniana é um dos mais utilizadas
e famosas referências na área. Os questionários abordados nesse livro são adaptações do
livro de Imoniana, e para a aquisição de conhecimento em formulários e questionários mais
completos, nesta etapa do curso, sua leitura é altamente recomendada.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2. ed. São Paulo:
Atlas, 2008. 207 p.
REFERÊNCIAS BIBLIOGRÁFICAS
CHAMPLAIN, Jack J.. Auditing information systems. 2. ed. Hoboken: Wiley, 2003.
CORDEIRO, Cláudio Marcelo Rodrigues. Testes em auditoria: uma revisão conceitual aplicável na
prática. Disponível em: <http://www.portaldeauditoria.com.br/artigos/testesemauditoria.htm>. Acesso
em: 26 ago. 2015.
GIL, Antonio de Loureiro. Auditoria de computadores. 5. ed. São Paulo: Atlas, 2000. 236 p.
HALL, James A.. Information Technology Auditing and Assurance. 3. ed. Mason: South-
western Cengage Learning, 2011.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2. ed. São Paulo: Atlas, 2008.
207 p.
SANTOS JUNIOR, Alfredo Luiz dos. Quem mexeu no meu sistema? Rio de Janeiro: Brasport, 2008.
STALLINGS, William. Criptografia e Segurança de Redes: Princípios e Práticas. 4. ed. São Paulo:
Pearson Prentice Hall, 2008.
WIKIPEDIA. Controle de acesso. Disponível em: <https://pt.wikipedia.org/wiki/Controle_de_
acesso>. Acesso em: 31 ago. 2015.
98 • capítulo 4
5
Relatórios
e Pacotes de
Auditoria
A comunicação dos resultados da auditoria é uma fase muito importante do
processo. A emissão de relatórios de qualidade e concisos dão credibilidade
à auditoria e ao trabalho do auditor. Neste capítulo são apresentadas diver-
sas técnicas de informações acerca da redação de relatórios de auditoria. São
apresentados também alguns softwares e pacotes que auxiliam no processo de
auditoria, assim como a metodologia de avaliação para que seja selecionado e
adquirido o software que realmente é necessário para a execução da tarefa.
OBJETIVOS
Com a leitura deste capítulo, o aluno estará apto a:
• aplicar conceitos e aspectos gerais e específicos sobre os relatórios de auditoria;
• redigir relatórios de auditoria seguindo uma série de normas e procedimentos para que os
relatórios sejam produzidos com qualidade; e
• avaliar e selecionar os melhores pacotes e softwares disponíveis no mercado para o auxílio
no processo de auditoria de sistemas.
100 • capítulo 5
5.1 Emissão de relatórios
A comunicação dos resultados do processo de auditoria de sistemas pode ser
feita de forma verbal ou escrita. A comunicação verbal geralmente ocorre du-
rante o processo de auditoria, sendo que estas comunicações precisam ser for-
malizadas posteriormente por meio de relatório de auditoria.
Dentre os objetivos dos relatórios de auditoria de sistemas, destacam-se:
• apontamento de falha em ponto de controle;
• documentação do processo de auditoria; e
• em caso de auditorias complexas, apresentar resultados parciais.
EXEMPLO
A seguir um exemplo de estrutura de uma carta de encaminhamento de rascunho para um
cliente fictício denominado TESTEAUDIT.
capítulo 5 • 101
TESTEAUDIT
A/C do Sr. João da Silva
Gerente de TI
Solicitamos que o relatório seja revisado e que sejam comentados os pontos identifi-
cados em relação à concordância ou discordância com as nossas observações, as ações
corretivas e seus prazos.
Atenciosamente,
Fabio Almeida
Gerente de auditoria de sistemas
102 • capítulo 5
• o objetivo;
• as considerações sobre o ambiente de tecnologia da informação;
• os pontos para observação.
capítulo 5 • 103
auditoria por parte dos envolvidos (auditado), o relatório final pode ser en-
tão redigido.
• Emite
relatório de
Auditor
auditoria
(rascunho)
• Aprova o
Envolvidos relatório
(rascunho)
• Emite versão
final do
Auditor
relatório de
auditoria
104 • capítulo 5
A opinião do auditor, neste momento, não deve ser transcrita para o relató-
rio. Ele deve ater-se a fatos e recomendações.
Ao mencionar algum funcionário da organização auditada, não deve-se
referenciá-lo com termos que possam vir a denegrir sua imagem, como, por
exemplo: incompetente, preguiçoso, entre outros.
A quantificação de resultados significa exemplificar, com números, os fa-
tos constatados.
Na área de tecnologia da informação existem muitas siglas. Mesmo que se-
jam termos corriqueiros, deve-se, no relatório, explicar cada uma delas no pri-
meiro momento em que forem utilizadas.
O relatório, para ser escrito, necessita de atenção do auditor a uma série de
pontos importantes, como os vistos acima. Além destes pontos, algumas pon-
derações devem ser feitas a fim de que este relatório obtenha sucesso.
O conhecimento de quem será o leitor é muito importante para a escrita do
relatório. Dependendo de quem for, a escrita deve ser alterada quanto a termos
técnicos, definições, entre outras mudanças necessárias.
A definição de termos leva em consideração, além do leitor do relatório, o
nível de detalhamento desejado e necessário para tal definição.
É necessário também ponderar o que o leitor deve saber. Ao ponderar este
item, é necessário averiguar se as informações necessárias sobre os fatos estão
redigidas no relatório e se estas estão fáceis de serem obtidas.
De acordo com a Auditoria-geral da UFMG (2013), um relatório de auditoria
deve se ater aos seguintes atributos:
• tempestividade: quando a recomendação é feita a tempo de ser adotada;
• clareza: quando a sua estrutura e a terminologia utilizadas podem ser
compreendidas por qualquer pessoa;
• concisão: quando se utilizada de linguagem clara e precisa, atendo-se
ao essencial;
• completude: quando se inclui todos os fatores relevantes, sem omissões;
• objetividade: quando a recomendação expressa conteúdo claro e direto,
sem deixar dúvidas do que é para ser resolvido;
• coerência: quando sua estruturação segue um padrão;
• imparcialidade: quando a recomendação restringe-se ao problema efeti-
vamente identificado;
• convicção: quando o apontamento de fatos e recomendações é entendido
da mesma maneira por qualquer leitor.
capítulo 5 • 105
O nível de detalhamento também é muito importante para a redação do
relatório. Quando se detalha além do necessário, a leitura se torna maçante.
Porém, se os detalhes necessários não estiverem presentes, pode-se não ter o
entendimento completo por parte do leitor.
Na emissão do relatório de auditoria têm-se, basicamente, duas fases:
• primeira audiência;
• segunda audiência.
CONEXÃO
O site Portal da Auditoria apresenta uma série de erros a serem evitados na escrita de relató-
rios de auditoria. http://www.portaldeauditoria.com.br/auditoria/relatorio-auditoria-erros.htm
106 • capítulo 5
2.1. objetivos
2.2. escopo
2.3. abordagem
2.4. sumário e conclusão
2.5. assinaturas
2.6. falhas e recomendações
2.7. follow-up de auditorias anteriores
2.8. anexo - vista geral do sistema
Nesta estrutura dada como exemplo, o campo que deve-se ter mais cautela
e atenção ao ser escrito é a etapa 2.6, em que se descrevem as falhas identifi-
cadas pelos auditores, as consequências que estas falhas podem trazer para
a organização e as recomendações feitas pelo auditor para que as falhas se-
jam corrigidas.
Na etapa 3, relatório resposta, o auditado faz seus comentários acerca da-
quilo que foi identificado como falha, concordando ou discordando da audi-
toria, e, em caso de concordância, descreve-se a maneira como as falhas serão
corrigidas com seus respectivos prazos, para que na etapa de follow-up o audi-
tor possa verificar se aquilo que foi descrito foi cumprido dentro do prazo.
capítulo 5 • 107
Há softwares generalistas disponíveis no mercado, também conhecidos
como pacotes, que têm como objetivo facilitar e agilizar o processo de audito-
ria, podendo trazer também outras vantagens, como segurança da informação
de auditoria, integração de equipe, registros com facilidade para buscas, entre
muitas outras.
Para a aquisição de um software que visa facilitar processos e reduzir cus-
tos, muitos fatores devem ser ponderados, dependendo do objetivo, orçamen-
to, recursos e necessidade da organização.
Na implantação de qualquer iniciativa de informatização, deve-se conside-
rar aspectos relevantes referentes à organização. O autor Imoniana (2008) cita
os seguintes:
• cultura;
• objetivos;
• missão;
• programas de trabalho;
• características dos produtos e serviços oferecidos;
• necessidades e interesse por parte dos usuários pela informação;
• plataforma disponível na organização (hardware e software);
• capacidade de atualização da plataforma;
• recursos humanos disponíveis.
108 • capítulo 5
• entrar em contato com o fabricante do software com o objetivo de obter
informações que possam ser úteis para o processo de escolha;
• visitar usuários dos produtos;
• trocar informações com outras organizações que já utilizam o produto;
• analisar a capacidade institucional da empresa que fornece o produto,
principalmente quanto à infraestrutura de TI, seus produtos e serviços.
• analisar a idoneidade do fornecedor do produto para que não seja contra-
tada uma empresa sem credibilidade e comprometimento com o cliente.
capítulo 5 • 109
• acesso on-line;
• auxiliar na emissão de relatórios;
• controlar arquivos gerados por outros softwares;
• extração direta de informações de bancos de dados;
• apoiar a auditoria de forma remota;
• trabalhar com working papers.
CONEXÃO
O Instituto dos Auditores Internos do Brasil (IIA) tem um site com diversas informações re-
levantes como notícias, e eventos além de informações sobre cursos e certificações em
auditoria interna. http://www.iiabrasil.org.br/
110 • capítulo 5
Os aspectos relativos ao suporte dizem respeito ao apoio que o fornecedor
do pacote (software) é capaz de dar ao cliente. De acordo com Imoniana (2008),
estes aspectos são:
• apoio na implantação do pacote;
• contrato de manutenção (assistência);
• disponibilização do código-fonte para que o cliente possa customizar ou
corrigir problemas emergenciais;
• atualização de versão do software, dando preferência para contratos
sem custos;
• capacidade de implementação das solicitações feitas pelo cliente;
capítulo 5 • 111
5.2.2 Pacotes disponíveis no mercado
CONEXÃO
A WJ Informática mantém um blog para maiores informações sobre o AAF.
http://aaf.wj.com.br/blog
112 • capítulo 5
• disponibiliza os relatórios ao auditado com segurança;
• disponibiliza informações resumidas sobre as auditorias em andamento.
CONEXÃO
Mais informações sobre a empresa SAP e seus módulos encontram-se no site da empresa.
http://www.sap.com/brazil/
capítulo 5 • 113
Algumas ferramentas voltadas para a análise de dados são muito utilizadas
no âmbito de auditoria de sistemas. As principais são:
• ACL (Audit Command Language);
• IDEA (Interactive Data Extraction & Analysis).
O ACL foi criado e é fornecido pela empresa ACL Business Assurance, que
tem o potencial para analisar grandes bases de dados de diversos formatos
(TERUEL, 2010).
Segundo Imoniana (2008), o ACL é um software de auxílio a auditoria com o
objetivo de melhorar a eficiência de testes de controles, como:
• identificação de tendências;
• localizar erros através da comparação de arquivos;
• verificação de saldos;
• detecção de pagamentos duplicados;
114 • capítulo 5
• rastreabilidade: deve-se manter um histórico e documentar as ações exe-
cutadas no sistema;
• compatibilidade: deve-se ter a capacidade de acesso e leitura de diferen-
tes arquivos e bases de dados;
• facilidade de uso: a interface com o usuário não deve ser confusa ou de-
mandar estudo para operação, visto que deve ser direcionada a qualquer pessoa;
• automação de processo: execução de tarefas automaticamente, deman-
dando menos esforço por parte do usuário.
LEITURA
O livro de Imoniana (2008) apresenta, na página 164, um checklist para auxílio na avaliação
de pacotes de auditoria.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2. ed. São Paulo:
Atlas, 2008. 207 p.
ATIVIDADES
01. Por que se deve emitir um relatório rascunho antes do relatório final?
REFLEXÃO
Neste capítulo foi descrita a fase de comunicação dos resultados da auditoria por parte do
auditor, isto é, a emissão de relatórios. Alguns exemplos foram dados sobre como redigir
um bom relatório final de auditoria, porém vale observar que o bom senso do auditor deve
prevalecer na elaboração do documento, lembrando de sempre se colocar no lugar do leitor
na hora de escrever, para que o relatório possa ser entendido sem dificuldades. O exemplo
capítulo 5 • 115
de estrutura de relatório apresentado é apenas uma ideia de como pode ser montado um re-
latório final, portanto, variações podem ser adotadas, se necessário. Outro assunto abordado
foram os pacotes de auditoria, softwares que dão suporte aos processos da auditoria de sis-
temas, facilitando, integrando e provendo segurança deles. O método de avaliação apresen-
tado ao final do capítulo sugere atenção na escolha do pacote a ser adquirido pela organiza-
ção com o objetivo de redução de custos e execução do serviço com a qualidade desejada.
LEITURA
O artigo de TERUEL (2010) traz informações precisas e bem resumidas sobre ferramentas
de auxílio a auditores. É interessante conferir o conteúdo do artigo para conhecimento de
outras ferramentas e seu potencial.
TERUEL, Evandro Carlos. Principais ferramentas utilizadas na auditoria de sistemas e
suas características. In: WORKSHOP DE PÓS-GRADUAÇÃO E PESQUISA DO CENTRO
PAULA SOUZA, 5., 2010, São Paulo. Anais do V Workshop de Pós-Graduação e Pesqui-
sa - 2010. São Paulo: Ceeteps, 2010. p. 1 - 10. Disponível em: <http://www.centropau-
lasouza.sp.gov.br/pos-graduacao/workshop-de-pos-graduacao-e-pesquisa/anais/2010/
Trabalhos/gestao-e-desenvolvimento-de-tecnologias-da-informacao-aplicadas/Trabalhos
Completos/TERUEL, Evandro Carlos.pdf>. Acesso em: 31 ago. 2015.
REFERÊNCIAS BIBLIOGRÁFICAS
Auditoria-geral da UFMG. Manual de auditoria interna. Belo Horizonte: Universidade Federal de
Minas Gerais, 2013. Disponível em: <https://www.ufmg.br/auditoria/images/stories/documentos/
manual_2a_verso_revisado.pdf>. Acesso em: 31 ago. 2015.
CASEWARE ANALYTICS. IDEA. Disponível em: <http://www.casewareanalytics.com/products/idea-
data-analysis>. Acesso em: 31 ago. 2015.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2. ed. São Paulo: Atlas, 2008.
207 p.
TERUEL, Evandro Carlos. Principais ferramentas utilizadas na auditoria de sistemas e suas
características. In: WORKSHOP DE PÓS-GRADUAÇÃO E PESQUISA DO CENTRO PAULA SOUZA,
5., 2010, São Paulo. Anais do V Workshop de Pós-Graduação e Pesquisa - 2010. São Paulo:
116 • capítulo 5
Ceeteps, 2010. p. 1 - 10. Disponível em: <http://www.centropaulasouza.sp.gov.br/pos-graduacao/
workshop-de-pos-graduacao-e-pesquisa/anais/2010/Trabalhos/gestao-e-desenvolvimento-de-
tecnologias-da-informacao-aplicadas/Trabalhos Completos/TERUEL, Evandro Carlos.pdf>. Acesso
em: 31 ago. 2015.
GABARITO
Capítulo 1
01. Este tipo de empresa (vendas pela internet) depende muito da disponibilidade dos servi-
ços, pois, se o acesso a esta “loja” estiver prejudicado e o site ficar inacessível, fica impossível
efetuar as vendas.
Uma das ameaças neste caso é a queda de energia elétrica no CPD, tornando assim o site
da empresa inacessível, impossibilitando-o de efetuar vendas, prejudicando o faturamento da
empresa, ocasionando perda financeira.
Capítulo 2
01. Apesar de diversos tipos de controles internos serem importantes para este tipo de sis-
tema, alguns tipos requerem maior atenção, pois são fundamentais para a boa utilização do
sistema e para a saúde da organização. São alguns deles:
• a segurança de sistemas;
• a integridade de dados e processos;
• legibilidade operacional;
• guarda de registros; e
• programas de sistemas.
02. A fase de execução da auditoria pode ser dividida em três etapas, cada uma delas com
suas respectivas tarefas. As três etapas são:
• pré-auditoria;
• auditoria; e
• pós-auditoria.
capítulo 5 • 117
03. A diversidade de cenários que podem ser encontrados em uma auditoria de sistemas
torna necessário o desenvolvimento de aplicações especialistas em diversos casos. Como
exemplo, pode-se citar a análise de dados em formato incompatível com os softwares de
mercado. Neste caso, deve-se desenvolver um software que converta os dados para um for-
mato compatível ou até mesmo um software que faça a análise dos dados no formato nativo.
Capítulo 3
01. Das diversas técnicas de auditoria apresentadas neste livro, as que poderiam demandar
o desenvolvimento de programa por parte do auditor são:
• software para auditoria;
• teste substantivo;
• dados de teste;
• teste integrado;
• simulação paralela;
• lógica de auditoria embutida nos sistemas;
• mapeamento estatístico dos programas;
• rastreamento dos programas; e
• análise de log.
02. Embora em algumas outras técnicas o auditor possa estar fisicamente presente na or-
ganização auditada, a obrigatoriedade desta presença se dá no uso das técnicas:
• visita in loco;
• entrevista; e
• teste de observância.
03. A função de programação do backup especificamente do banco de dados é executada
pelo administrador de bancos de dados. O supervisor de restart/recovery pode atuar na recu-
peração dos dados restaurando backups ou auxiliando o administrador de bancos de dados
na tarefa de criar as rotinas de backup.
04. O que pode ser alterado após a implantação definitiva de uma política organizacional
são os procedimentos para que ela seja cumprida, e não seu conteúdo, isto é, alterar “como
fazer”, mas não “o que fazer”.
118 • capítulo 5
Capítulo 4
Capítulo 5
capítulo 5 • 119
• reduzir custos;
• aumentar a agilidade nos processos;
• entre outros.
120 • capítulo 5