Você está na página 1de 59

AUDITORIA E SEGURANÇA

INFORMÁTICA

Unidade II

METODOLOGIAS DE CONTROLO INTERNO E AUDITORIA


INFORMÁTICA

Instituto Superior Monitor


Outubro 2011
Ficha Técnica:

Título: AUDITORIA E SEGURANÇA INFORMÁTICA – METODOLOGIAS DE CONTROLO


INTERNO E AUDITORIA INFORMÁTICA
Autor: Joseph Rafael Katame
Revisor: Edias Jambaia
Execução gráfica e paginação: Instituto Superior Monitor
1ª Edição: 2011
© Instituto Superior Monitor

Todos os direitos reservados por:

Instituto Superior Monitor


Av. Samora Machel, nº 202 – 2.º Andar
Caixa Postal 4388 Maputo
MOÇAMBIQUE

Nenhuma parte desta publicação pode ser reproduzida ou transmitida


por qualquer forma ou por qualquer processo, electrónico, mecânico
ou fotográfico, incluindo fotocópia ou gravação, sem autorização
prévia e escrita do Instituto Superior Monitor. Exceptua-se a
transcrição de pequenos textos ou passagens para apresentação ou
crítica do livro. Esta excepção não deve de modo nenhum ser
interpretada como sendo extensiva à transcrição de textos em
recolhas antológicas ou similares, de onde resulte prejuízo para o
interesse pela obra. Os transgressores são passíveis de procedimento
judicial

Índice
ii

INTRODUÇÃO...............................................................................................................iii
ESTRUTURA DA UNIDADE II......................................................................................5
CONTEXTUALIZAÇÃO.................................................................................................5
RESULTADOS DE APRENDIZAGEM DA UNIDADE II.............................................6
CAPÍTULO I – INTRODUÇÃO A METODOLOGIAS DE CONTROLO.....................7
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO.....................................................7
EXERCÍCIOS........................................................................................................11
CAPÍTULO II – METODOLOGIAS DE AVALIAÇÃO DE SISTEMAS....................13
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO:.................................................13
2.1 AVALIAÇÃO DE SISTEMAS.......................................................................13
2.2 CONCEITOS FUNDAMENTAIS...................................................................15
2.3 TIPOS DE METODOLOGIAS........................................................................16
2.4 METODOLOGIAS MAIS COMUNS DE ANÁLISE DE RISCO.................17
2.5 PLANO DE CONTINGÊNCIA.......................................................................20
EXERCÍCIOS........................................................................................................23
CAPÍTULO III – METODOLOGIAS DE AUDITORIA INFORMÁTICA..................25
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO...................................................25
3.1. EXEMPLO DE METODOLOGIA DE AUDITORIA DE UMA
APLICAÇÃO.........................................................................................................26
3.3. O PLANO DE AUDITORIA INFORMÁTICA.............................................36
3.4. FUNÇÕES E ORGANIZAÇÃO DO DEPARTAMENTO DE AUDITORIA
INFORMÁTICA....................................................................................................38
3.5. ÉTICA DE UM AUDITOR DE SI.................................................................46
EXERCÍCIOS........................................................................................................51
QUADRO SINÓPTICO..................................................................................................53
BIBLIOGRAFIA.............................................................................................................56
AVALIAÇÃO DA DISCIPLINA DE AUDITORIA E SEGURANÇA INFORMÁTICA
.........................................................................................................................................58
ANEXO I - QUESTIONÁRIO DE AVALIAÇÃO DA SATISFAÇÃO DO
ESTUDANTES 61

INTRODUÇÃO

ii
AUDITORIA E SEGURANÇA INFORMÁTICA

Caro Estudante,

Seja Bem-vindo(a) à unidade II da disciplina de Auditoria e Segurança


Informática.
Para ter sucesso nesta unidade necessita de estudar com atenção todo o
manual, não deixando de rever as unidades anteriores.
Para complementar os seus conhecimentos recomenda-se que realize uma
leitura pelos recursos auxiliares recomendados ao longo desta unidade,
não só pela bibliografia indicada como pelos websites sugeridos. Para
aceder a outras bibliotecas faça-se acompanhar do seu cartão de estudante.

A biblioteca virtual do ISM inclui livros digitalizados, artigos, websites e


outras referências importantes para esta e outras disciplinas, que deverá
utilizar na realização de casos práticos. A biblioteca virtual pode ser
consultada em http://www.ismonitor.ac.mz/.
O aluno pode ainda recorrer a outras bibliotecas virtuais, como por exemplo
em:
www.saber.ac.mz
www.books.google.com

Recomenda-se que o aluno não guarde as suas dúvidas para si e que as


apresente ao tutor, sempre que achar pertinente. Recomenda-se que entre
em contacto com a respectiva faculdade através do e-mail
dir.gec@ismonitor.info ou pelo contacto telefónico 82 36 99 885

Os exercícios práticos têm como objectivo a consolidação do


conhecimento dos temas apresentados nesta unidade. O Instituto Superior
Monitor fornece as soluções de muitos desses exercícios de forma a facilitar
o processo de aprendizagem, mas atenção caro estudante, você deve
resolver os exercícios de auto-avaliação antes de consultar as soluções
fornecidas.

No final desta unidade encontra-se o teste de avaliação. A avaliação deve


ser submetida ao Instituto Superior Monitor até 30 (trinta) dias após a
recepção da unidade. A avaliação da unidade pode ser submetida por e-mail
(testes@ismonitor.info), fax, carta, entrega directa na instituição ou usando
outros meios de comunicação.
Esta unidade pressupõe que a realização de 37,5 horas de aprendizagem,
distribuídas da seguinte forma:
 Tempo para leituras da unidade: 22 horas;
 Tempo para trabalhos de pesquisa: 5 horas;
 Tempo para realização de exercícios práticos: 8,5 horas;
 Tempo para realizar avaliações: 2 horas.

A presente unidade é válida por 12 (doze) meses. Os estudantes que não


tenham obtido aproveitamento na disciplina (por terem interrompido o curso
iv

ou reprovado) devem contactar o Instituto Superior Monitor. Esta


recomendação deve-se ao facto de os materiais serem periodicamente revistos
e actualizados, de forma a se adaptarem às mudanças do mundo actual e às
dinâmicas da produção de conhecimento no seio da própria disciplina.

iv
AUDITORIA E SEGURANÇA INFORMÁ

ESTRUTURA DA UNIDADE II

A presente unidade é composta por três capítulos e aborda os elementos


indispensáveis para a compreensão das metodologias de controlo interno
informático e sua relação com a segurança informática. Trata-se de
conceitos fundamentais de grande importância para um futuro auditor
informático.
O primeiro capítulo introduz aos estudantes os conceitos relacionados
com metodologias. Faz-se uma definição do conceito “Metodologia” e
sua importância nas actividades de controlo.
O segundo capítulo trata das metodologias de avaliação de sistemas.
Neste capítulo procura-se abordar os tipos de metodologias de avaliação
de sistemas, e detalhar algumas metodologias mais comuns.
Capítulo três aborda sobre metodologias de auditoria informática e
apresenta um exemplo prático de auditoria de uma aplicação. Este
capítulo discute também as formas de elaboração de um plano e relatório
de auditoria informática.

CONTEXTUALIZAÇÃO

Hoje em dia as organizações estão cada vez mais dependentes dos sistemas
e tecnologias de informação para a execução e controlo dos seus processos
de negócio. Entretanto, torna-se necessário proteger esses sistemas e
tecnologias, os meios de comunicação e as instalações que processam e
armazenam as informações de extrema importância para a organização
(FFIEC, 2004). A segurança de sistemas é necessária, pois é notável, cada
dia que passa, o número crescente de ataques e invasão a sistemas
organizacionais.

Uma das preocupações da auditoria informática, como já vimos


anteriormente, é procurar encontrar possíveis problemas nos sistemas e
tecnologias de informação e sugerir soluções. No entanto, existem
metodologias que devem ser seguidas para a concretização e sucesso da
actividade de auditoria informática.

Na Unidade I o estudante aprendeu conceitos fundamentais sobre


auditoria, auditoria informática, funções de controlo interno e auditoria
de sistemas de gestão de tecnologias de informação e comunicação. Na
presente unidade o estudante irá aprender conceitos relacionados com
metodologias de avaliação de sistemas, metodologias de auditoria
informática, o plano de auditor informático e relatório de uma auditoria

5
6 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

RESULTADOS DE APRENDIZAGEM DA UNIDADE II

No final da segunda unidade os alunos deverão ser capazes de:

 Compreender os conceitos relacionados com metodologia e


metodologia de avaliação de sistemas;
 Descrever as metodologias de auditoria informática;
 Elaborar um plano de auditoria informática;
 Elaborar um relatório de auditoria informática
AUDITORIA E SEGURANÇA INFORMÁ

UNIDADE II – METODOLOGIAS DE CONTROLO


INTERNO E AUDITORIA INFORMÁTICA
CAPÍTULO I – INTRODUÇÃO A METODOLOGIAS DE CONTROLO

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO

No final deste capítulo, o estudante deverá ser capaz de:

 Compreender o conceito sobre metodologia;


 Compreender o conceito sobre controlo e ferramentas de
controlo;
 Compreender o conceito sobre plano de segurança;
 Compreender a organização de sistemas nas organizações.

É importante entender a composição da palavra metodologia, para melhor


entender a sua aplicação no campo científico.

O método é um conjunto de regras básicas para desenvolver uma


experiência a fim de produzir novo conhecimento, bem como corrigir e
integrar conhecimentos existentes.

Metodologia é conceituada como sendo um conjunto de métodos que são


seguidos em uma investigação científica em conformidade com os
objectivos traçados no contexto onde se aplica o assunto.

Isto significa que qualquer processo científico deve estar sujeito a uma
disciplina de processo definida previamente que é chamada metodologia.

A informação tem sido tradicionalmente uma matéria completa em todos


seus aspectos. E tem sido necessário assim, a utilização de metodologias
em cada doutrina que a compõem, desde a engenharia de desenho para o
desenvolvimento de software, e também a auditoria de sistemas de
informação.

As metodologias usadas por um profissional descrevem, na maior parte


das vezes, sua forma de entender seu trabalho, e estão directamente
relacionadas com a sua experiência profissional acumulada como parte do
comportamento humano de “acerto/erro”.

Assim, o uso de uma metodologia é necessário para uma equipe de


profissionais alcançar um resultado homogéneo. É habitual o uso de

7
8 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

metodologias nas empresas de auditorias/consultorias profissionais,


desenvolvidas por “experts”, e desta maneira se podem conseguir
resultados homogéneos em equipas de trabalhos heterogéneos.

Segundo Zubieta (2008), com a ploriferação de metodologias no mundo da


auditoria e controlo informático se pode observar nos primeiros anos da
década de 80 o nascimento e comercialização de determinadas ferramentas
metodológicas como software de análise de risco.

Dentro do mundo da informática existem muitas disciplinas em que o uso


de metodologias é uma prática habitual. Uma delas é segurança de
sistemas de informação.

Segundo Silva et. al. (2003), a segurança dos sistemas de informação (SI)
engloba um número elevado de disciplinas que poderão estar sob a alçada
de um ou vários indivíduos. Entre estas disciplinas encontram-se as
seguintes:
 Segurança de redes;
 Segurança física;
 Segurança de computadores;
 Segurança do pessoal;
 Segurança de aplicações;
 Criptografia;
 Gestão de projectos;
 Formação;
 Conformidade.

Os Sistemas de Informação são vulneráveis, pois a quantidade de dados


armazenados em formato electrónico é enorme, e estão sujeitos a ameaças
como por exemplo factores técnicos (problemas eléctricos,
telecomunicação, mudanças de programa, falha de hardware e software),
entre outros.

Segurança de sistemas de informação visa garantir que as ameaças acima


citados não comprometam o funcionamento normal das actividades que
envolvem o sistema de informação.

Se definirmos a “Segurança de Sistemas de Informação” como a doutrina


que trata de riscos informáticos ou criados pela informática, então a
auditoria é uma das envolvidas neste processo de protecção e preservação
da informática e de seus processos.

Portanto, o nível de segurança informática está directamente relacionado


com a qualidade e eficiência de um conjunto de acções e medidas
destinadas a proteger e preservar a informação.

Resumidamente, a informática é uma entidade que cria riscos


informáticos, por isso devemos proteger e preservar uma organização com
AUDITORIA E SEGURANÇA INFORMÁ

uma rede de “contramedidas”, e a qualidade e a eficiência das mesmas.


Este é o objectivo da avaliação para se poder identificar seus pontos fracos
e poder medi-los, e constitui uma das funções de auditores informáticos.

Portanto, devemos aprofundar mais sobre a rede de contramedidas, para


ver que papéis têm as metodologias e os auditores.

Para explicar este aspecto diremos que qualquer contramedida tem a


composição de vários factores expressos no gráfico da figura 1.1

Figura 1.1. Factores que intervêm na composição de uma contramedida.


Fonte: Zubieta (2008)

As normas devem definir de forma clara e precisa tudo o que deve existir
e cumprir-se, tanto o ponto de vista conceptual como prático, desde o geral
para o particular. Deve inspirar-se em padrões, políticas, marco jurídico,
políticas e normas da empresa, experiência e prática profissional.

As organizações são pessoas com funções específicas, e com actuações


concretas, procedimentos definidos metodologicamente e aprovados pela
direcção da organização. O homem é o aspecto mais importante, dado que
sem ele nada é possível. Podem se estabelecer controlos sem algum dos
demais aspectos, mas nunca sem as pessoas, porque são estas que realizam
os procedimentos e desenvolvimento dos planos (plano de segurança,
plano de contingência, auditorias, etc).

Os objectivos de controlo são aqueles que visam cumprir o controlo de


processos. Este conceito é mais importante depois da “organização”; com
uma definição correcta dos objectivos, é possível definir procedimentos
eficazes e realistas.

9
10 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

Os procedimentos de controlo são os procedimentos operativos das


distintas áreas de uma organização, obtidos com a metodologia apropriada,
para a realização de um ou mais objectivos. Portanto devem estar
documentados e provados pela organização.
A tendência habitual dos profissionais da área de informática é dar mais
peso a ferramenta de “controlo ou de contramedidas” mas não devemos
esquecer que “ uma ferramenta nunca é solução, mas ajuda a conseguir um
controlo maior”. Na ausência dos procedimentos, as ferramentas de
controlo não têm grande utilidade.

Dentro da tecnologia de segurança, estão todos os elementos, hardware


ou software, ajudam a controlar o risco informático. Dentro deste conceito
estão as cifras, autenticadores, equipamentos de “tolerância a falhas”, as
ferramentas de controlo, etc.

As ferramentas de controlo, são software que permitem definir um ou


vários procedimentos de controlo, para cumprir uma regra e definir
objectivo de controlo.

Todos os factores estão relacionados entre si e a qualidade de cada um está


relacionada com os demais. Quando se avalia o nível de segurança de
sistemas em uma organização, se está a avaliar todos factores e se cria um
novo plano de segurança. Ao finalizar o plano ter-se-á conseguindo uma
situação nova em que o nível de controlo seja superior ao anterior.

Chamaremos plano de segurança a uma estratégia planificada de acções e


projectos que levam a um sistema de informação e seus centros de
processo de uma situação inicial determinada a uma situação melhorada
como pode se ver na figura 2.2.

Figura 1.2. Organização de sistemas nas organizações.


Fonte: Zubieta (2008)

A figura 1.2. ilustra a organização da segurança de sistemas numa


empresa. Observa-se uma parte conhecida como comité que seria o
director da estratégia e das políticas. E por fim uma outra parte
AUDITORIA E SEGURANÇA INFORMÁ

denominada controlo interno e auditoria informática. A função de controlo


interno está envolvida na realização dos procedimentos de controlo e é um
trabalho de rotina. A função de auditoria informática está centrada na
avaliação dos distintos aspectos que definem o plano do auditor,
características de trabalho que são visitas concretas ao campo, com
objectivos concretos e depois de terminar seu trabalho, apresenta-se um
relatório de resultados.

EXERCÍCIOS

1) Explique o que entendes por metodologia


2) Fale da organização de sistemas nas organizações no contexto de
auditoria e segurança informática
3) Quais são os factores que intervêm na composição de uma
contramedida?
4) O que entende por plano de segurança?

RESPOSTAS

1) Um conjunto de métodos (conjunto de regras básicas para desenvolver


uma experiência a fim de produzir novo conhecimento, bem como
corrigir e integrar conhecimentos existentes) que são seguidos em uma
investigação científica em conformidade com os objectivos traçados no
contexto onde se aplica o assunto

2) Os sistemas de informação na organização são compostos basicamente


por três componentes básicos no contexto de auditoria e segurança
informática:
 Comité de segurança de informação
 Controlo informático
 Auditoria informática.

3) Os factores que intervêm na composição de uma contramedida são:


 As normas (padrões, políticas);
 Organização (pessoas – funções, procedimentos, planos);
 Objectivos de controlo (informática, utilizadores);
 Tecnologia de segurança (hardware, software).

4) Estratégia planificada de acções e projectos que levam a um sistema de


informação e seus centros de processo de uma situação inicial
determinada a uma situação melhorada

11
12 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

CAPÍTULO II – METODOLOGIAS DE AVALIAÇÃO DE SISTEMAS

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO:

No final deste capítulo o estudante será capaz de:

 Compreender o processo de avaliação de sistemas;


 Compreender os conceitos fundamentais sobre as metodologias
de avaliação de sistemas;
 Descrever e compreender as vantagens e desvantagens dos
principais tipos de metodologias;
 Compreender os objectivos e as fases de um plano de
contingência

2.1 AVALIAÇÃO DE SISTEMAS

Deve-se avaliar a evolução de um sistema através da análise das etapas


incluídas no seu desenvolvimento e compará-la com o que foi planeado no
início do projecto.
Existem diversas formas através das quais as organizações podem contar
com o software necessário para cumprir com os seus requisitos, entre elas
encontram-se (Garcia, s.d.):

Software preparado pelo utilizador, ou software comercial

O utilizador elabora um determinado software, e tem as seguintes


vantagens:
 Normalmente é desenvolvido para cobrir todas as necessidades do
utilizador;
 Pode ser modificado de acordo com as necessidades da
organização;
 Pode usar sistemas de segurança próprios.

Mas tem as seguintes desvantages:


 Custo elevado;
 Tempo de desenvolvimento é largo;
 Sua manutenção e actualização, normalmente nao é feita por uma
base periódica.

Software compartilhado ou doado

Normalmente se trata de um software simples elaborado para


computadores pessoais, que podem ser conseguidos a baixo custo via
Internet. A desvantagem deste tipo de software é que pode não cumprir
com todas as necessidades do utilizador, e se deve ter cuidado com os
AUDITORIA E SEGURANÇA INFORMÁ

programas piratados porque podem conter vírus.

Deve-se considerar a biblioteca de programas de aplicações.


Independentemente da forma de desenvolvimento, os programas sempre
são escritos para correr em um determinado sistema operativo. Um
elemento importante do sistema operativo é a qualidade e diversidade de
programas de aplicação que são escritos em que se conhece como a
biblioteca de aplicações. É importante tomar em conta o sistema operativo
utilizado, ja que pode ser um tipo de sistema operativo conhecido como
”proprietário”, no qual so pode ser usado em maquinas de um determinado
provedor.

Software transportável (portability)

Um software diz-se portável ou trasnsportável quando:


 Tem diferentes versões para diferentes sistemas operativos;
 Pode ser transportado entre dois ou mais sistemas operativos ou ;
 Pode ser facilmente convertido de um sistema operativo para outro.

Um software que é trasnsportável permite, aparentemente, usar o mesmo


programa de aplicações sem importar o sistema computacional. Uma
organização que obtém um software que tem diferentes versões, mas que a
essência é a mesma, no qual significa que é transportável, poupa tempo em
treinamento de pessoal.

Um único utilizador ou multiutilizador

Como no caso de sistemas operativos, os programas de aplicação podem


ser para um único utilizador ou para vários utilizadores

Categorização do software de aplicação por utilizador

O software pode ser catalogado como: de propósito geral, de funções


especiíficas ou específico da indústria.

Software para o escritório

O software comercial pode ser vendido, ou pode ser elaborado


internamente como pacotes individuais ou como pacotes integrados e
compatíveis e desenhados para trabalhar em conjunto. Os pacotes
individuais podem causar muitos problemas. Se dois pacotes são
desenhados em forma individual por diferentes companhias, é muito
provável que não sejam compatíveis, e que pode influenciar no aumento de

13
14 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

tempo e custo de treinamento.


Ao desenvolver um determinado sistema deve-se decidir se haverá
necessidade de adquirir sistemas ou linguagens proprietárias de uma
companhia que para sua utilização requer uma licença específica, na qual
pode ser muito cara.

Na elaboração do plano de aquisição de sistemas deve-se avaliar com


muito detalhe o seguinte:

 Existem sistemas empacotados como um todo ou se existem


programas instalados separadamente;
 Existe um plano estratégico para a elaboração dos sistemas ou se
está a elaborar sem alinhamento adequado com as prioridades e
objectivos;
 Os recursos são suficientes e se está a utilizar de forma eficaz e
eficiente.

2.2 CONCEITOS FUNDAMENTAIS

A metodologia é um dos requisitos indispensáveis na efectivação de


solução de um determinado problema. Podemos aplicar em diferentes
áreas existentes; assim as metodologias que se usam na área da segurança
de sistemas são todas necessárias para realizar um plano de segurança na
auditoria informática.

Segundo Zubieta (2008), as metodologias de avaliação de sistemas são por


excelência de análise de riscos e de auditoria informática, com duas
abordagens diferentes. Auditoria informática só identifica o nível de
“exposição” por falta de controlos, embora a análise de risco facilita a “
avaliação” de riscos e recomenda acções de base tendo em conta o custo-
benefício das mesmas.
Segundo o mesmo autor, há uma série de definições para aprofundar nestas
metodologias, como podemos ver a seguir:

 Ameaça, uma pessoa ou coisa vista como uma possível fonte de


perigo ou catástrofe (inundação, incêndio, roubo de dados,
sabotagem, falhas de segurança publicadas, etc.)

 Vulnerabilidade, a situação criada pela falta de um ou mais


controlos, com a qual a ameaça pode trazer e, portanto, afectar o
ambiente de TI (falta de controlo de acesso lógico, controlo de
versões, a ausência de um controlo magnético, etc.).

 Risco, a probabilidade de uma ameaça acontecer por uma


vulnerabilidade.
AUDITORIA E SEGURANÇA INFORMÁ

 Exposição, impacto e avaliação do impacto do risco. (Muitas


vezes, avalia-se o impacto em termos económicos, mas também
torna-se necessário avaliar o impacto tendo em conta as vidas
humanas, as imagens da empresa, honra, etc.).

Há quatro (4)  coisas que podemos fazer quando  trata-se de Riscos:

 Evitar construir um centro onde há o perigo constante de


inundação.
 Evitar a transferência de fundos usando um centro de informática
alugado.
 Redução de detecção de incêndio e combate a incêndios.
 Não assumir que é o que fazemos sem controlar o risco em tudo.

2.3 TIPOS DE METODOLOGIAS

Em geral as metodologias são baseadas em dois modelos básicos: modelo


quantitativo matemático baseado em um número, e modelo qualitativo
com base na razão humana e capaz de definir um processo de trabalho para
seleccionar com base na experiência.

Quantitativa Qualitativa
Foca pensamentos mediante o uso Abordagem abrangente
de números;
Facilita a comparação de Plano de trabalho flexível e
vulnerabilidades muito distintas; reactivo;
PRÓS Proporciona uma figura justificada
para cada contramedida. Se concentra na identificação
de eventos;
Incluí factores intangíveis.

15
16 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

CONTRAS Estimação de probabilidade de Depende fortemente da


estatística com confiabilidade habilidade e qualidade da
inexistente; pessoa envolvida.

Estimação de perdas potenciais se Podem excluir riscos


forem valores quantificados; significantes desconhecidos
(dependendo da capacidade
Metodologias padrões; do Professional) para usar o
“check-list”/guia)
Difícil de manter ou modificar;

Dependência de um profissional. Probabilidades difíceis de


calcular;

Dependência de um
profissional.

Tabela 2.1. Tipos de metodologias para análise de riscos.


Fonte: Zubieta (2008).

2.4 METODOLOGIAS MAIS COMUNS DE ANÁLISE DE RISCO

Os métodos mais comuns de avaliação de sistemas que podemos


encontrar são: a análise de risco e diagnóstico de segurança,  plano de
contingência,  e os controlos de auditoria geral.

Metodologias de análise de Riscos

A segurança é um requisito indispensável nas organizações, uma vez que


muitas delas usam sistemas tecnológicos. Nessas organizações, os sistemas
existentes estão sujeitos a riscos tecnológicos. Tomamos por exemplo,
uma empresa com Internet como um dos serviços essenciais para
comunicação dos utilizadores. Se o acesso à Internet não é controlado,
corremos o risco de termos utilizadores não pertencentes a organização a
acederem à Internet, mas com o uso de técnicas de segurança podemos
minimizar o risco de invasão da rede de Internet.
As metodologias de análise de riscos são desenvolvidas para identificar a
falta de controlos e estabelecimento de um plano de contramedidas.

O esquema básico de uma metodologia de análise de riscos em essência


está representado na figura 2.1.
AUDITORIA E SEGURANÇA INFORMÁ

Figura 2.1. Metodologia de análise de riscos. Fonte: Zubieta (2008).

Baseando-se nos questionários se identifica a vulnerabilidade e riscos, se


avalia o impacto, para mais tarde identificar as contramedidas e o custo. A
quinta etapa (figura 2.1.) é a mais importante, pois mediante um jogo de
simulação, analisaremos o facto das distintas contramedidas na diminuição
de riscos analisados, elegendo desta maneira um plano de contramedidas
(plano de segurança), que é composto por um relatório final da avaliação.

Na figura 2.2, podemos ver as metodologias de avaliação de sistemas


destacados na actualidade.

Figura 2.2. Principais métodos de análise de gestão de risco.


Fonte: Zubieta (2008).

MARION (Méthodologie d’Analyse des Risques Informatiques et


d’Optimisation par Niveau)

É um método quantitativo com base em valores esperados e

17
18 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

probabilidades. Neste método, a análise de riscos é feita sobre 10 áreas


problemáticas:

 Riscos de materiais
 Sabotagens físicas
 Avarias
 Comunicações
 Erros de desenvolvimento
 Erros de exploração
 Fraude
 Roubo de informação
 Roubo de software
 Problemas de pessoas

RISCKPAC (Risck Profile Analysis Corporation)

Metodologia qualitativa/Subjectiva, os seus resultados são exportáveis em


processadores de textos, base de dados, folha electrónica ou sistemas
gráficos. Esta metodologia está estruturada em três níveis: ambiente,
processo, aplicação.

CRAMM (CCTA Risk Analysis and Method Management)

Desenvolvida entre os anos de 1985 e 1987 por BIS (Bank for


International Settlements ) e CCTA (Central Computer &
Telecomunication Agency Risk Analisis & Management Method,
Inglaterra). Implantada em mais de 750 organizações na Europa, sobre
toda administração pública. É uma metodologia qualificativa.

PRIMA (Prevención de Riesgos Informáticos con Metodología Abierta)

É um compêndio de metodologias espanholas desenvolvidas nos anos


1990 e trata da qualidade com um enfoque subjectivo. Suas características
essenciais são:

 Atender às necessidades / Plano de Segurança;


 Fácil adaptação a qualquer tipo de ferramenta;
 Questionários para facilitar a identificação de pontos fracos ou
defeitos;
 Lista de suporte para utilizadores;
 Geração eficiente de relatórios finais.

As figuras 2.3 e 2.4 expõem a metodologia de análise de riscos PRIMA.


AUDITORIA E SEGURANÇA INFORMÁ

Figura 2.3. Conceitos básicos da metodologia PRIMA. Fonte: Zubieta (2008).

Figura 2.4. Fases da Metodologia PRIMA. Fonte: Zubieta (2008).

2.5 PLANO DE CONTINGÊNCIA

Um plano de contingência tem o objectivo de descrever as medidas a


serem tomadas por uma empresa como prevenção de um evento
desconhecido, que pode ser prejudicial para a empresa. Caso aconteça o tal
evento, o plano de contingência aplica-se para contornar o problema ou
encontrar uma solução provisória, evitando a paralisação prolongada de
actividades que possa gerar maiores prejuízos para empresa.

Sendo assim, um auditor deve conhecer perfeitamente os conceitos de um


plano de contingência para melhor audita-los.

19
20 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

Segundo Piattini (2001), o plano de contingência é uma estratégia


planificada constituída por um conjunto de recursos de “backup”, uma
organização de emergência e procedimentos de actuação, encaminhada a
conseguir uma restauração progressiva e ágil de serviços de negócios
afectados por uma paralisação total ou parcial de capacidade operativa da
empresa.

Essa estratégia materializada em um manual é o resultado de todo um


processo de analise e definições que  existem nas metodologias. Ou as
metodologias que existem lidam com o processo necessário para obter o
plano de contingência propriamente dito.

É muito importante ter em conta o conceito “continuidade do negócio”,


estudar tudo o que pode paralisar a actividade e produzir perdas. Tudo o
que não considera essa abordagem,  nunca será um plano de contingência.

A estratégia planeada consiste em:


 Recursos de backup;
 Organização de emergência;
 Procedimentos operacionais;
 Restabelecimento progressivo de serviços de negócios ágil por uma
paralisia total ou parcial da capacidade operacional da empresa.

Fases do plano
A seguir apresentamos as fases do plano de contingência (Piattini, 2001):

Fase 1: Análise e Desenho

Nesta fase se estuda o problema, as necessidades de recursos, alternativas


de backup e se analisa o custo/benefício das mesmas. Esta é a fase mais
importante podendo-se alcançar ao final da mesma, incluindo a conclusão
do que é viável ou possui custos altos. A forma de desenvolver varia de
acordo com a metodologia aplicada, mas em geral temos as seguintes
metodologias:

Análise de riscos: se baseia em estudo de possíveis riscos, desde o ponto


de vista de probabilidade de que os mesmos sucedem. Os registos de
incidentes, como discutido nas metodologias de análise de riscos são
escassos e poucos fiáveis.

As tarefas nesta fase são:

 Identificação de ameaças.
 Análise da probabilidade de concretização da ameaça.
 Selecção de ameaças.
 Identificação de ambientes ameaçados.
 Identificação dos serviços afectados.
 Estimar o impacto económico devido à paralisação de cada serviço.
AUDITORIA E SEGURANÇA INFORMÁ

 Selecção de serviços abrangidos.


 A escolha definitiva do escopo do plano.
 Identificação de ambientes alternativos.
 Selecção de alternativas.
 Desenho de estratégias de backup.
 Selecção de estratégias de backup.

Impacto de negócio: se baseia em estudo do impacto (perda económica


ou de imagem) que ocasiona a falta de algum recurso que suporta a
actividade de negócio. Estas metodologias são mais escassas mas têm
grandes vantagens como o de melhor entendimento do processo, ou o uso
de menos tempo de trabalho por ir mais directo ao problema.

As tarefas nesta fase são:

 Identificação dos serviços;


 Análise do impacto;
 Selecção de serviços críticos;
 Determinação dos recursos de apoio;
 Identificação de ambientes alternativos;
 Selecção de alternativas;
 Desenho de estratégias globais de apoio;
 Selecção da estratégia global de apoio.

Como podemos ver o enfoque desta segunda fase é mais prático e directo e
vai mais directo às necessidades reais da entidade.

Há um factor importante a determinar nesta fase, que é “Time Frame”, o


tempo que a empresa pode assumir com a paralisação de actividade
operativa antes de incorrer a perdas significativas. Este factor marcará as
estratégias de recuperação e se extrairá a análise de impacto.

Fase 2:  Desenvolvimento do plano

Esta fase e a terceira são similares em todas metodologias. Nesta se


desenvolve a estratégia seleccionada, implementada no fim de todas
acções previstas. Se definem as distintas organizações de emergência e se
desenvolve os procedimentos de actuação gerando assim a documentação
do plano.

Fase 3:  Teste e manutenção

Nesta fase se definem os testes, suas características, seus ciclos e se realiza

21
22 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

a primeira prova como comprovação de todo o trabalho realizado e manter


o pessoal implicado. Assim, se define a estratégia de manutenção da
organização, as normas e procedimentos necessários para serem seguidos.

EXERCÍCIOS

1) O que deve ser avaliado ao elaborar um plano de aquisição de um


sistema?

2) Quais são as duas abordagens das metodologias de avaliação de


sistemas?

3) Defina: ameaça, vulnerabilidade e risco

4) Quais são os dois modelos principais de avaliação de sistemas?

5) Fale das características da metodologia de análise de risco PRIMA.

6) Qual é o objectivo de um plano de contingência e quais são as fases


que o compõem?

RESPOSTAS

1) Deve ser avaliado o seguinte:


 Se existem sistemas empacotados como um todo ou se existem
programas instalados separadamente;
 Existe um plano estratégico para a elaboração dos sistemas ou se
está a elaborar sem alinhamento adequado com as prioridades e
objectivos;
 Os recursos são suficientes e se está a utilizar de forma eficaz e
eficiente.

2) As duas abordagens são: de análise de riscos e de auditoria


informática. Auditoria informática só identifica o nível de “exposição”
por falta de controlos, enquanto a análise de risco facilita a “
avaliação” de riscos e recomenda acções de base tendo em conta o
custo-benefício das mesmas.

3)
 Ameaça, uma pessoa ou coisa vista como uma possível fonte de perigo
ou catástrofe (inundação, incêndio, roubo de dados, sabotagem, falhas
de segurança publicadas, etc.)

 Vulnerabilidade, a situação criada pela falta de um ou mais controlos,


com a qual a ameaça pode trazer e, portanto, afectar o ambiente de TI
AUDITORIA E SEGURANÇA INFORMÁ

(falta de controlo de acesso lógico, controlo de versões, a ausência de


um controlo magnético, etc.).

 Risco, a probabilidade de uma ameaça acontecer por uma


vulnerabilidade.

4) Quantitativo e qualitativo

5) É um compêndio de metodologias espanholas desenvolvidas nos anos


1990 e trata da qualidade com um enfoque subjectivo. Suas
características essenciais são:

 Atender às necessidades / Plano de Segurança;


 Fácil adaptação a qualquer tipo de ferramenta;
 Questionários para facilitar a identificação de pontos fracos ou
defeitos;
 Lista de suporte para utilizadore;
 Geração eficiente de relatórios finais.

6) Um plano de contingência tem o objectivo de descrever as medidas a


serem tomadas por uma empresa como prevenção de um evento
desconhecido, que pode ser prejudicial para a empresa. O plano de
contingência é composto por seguintes fases: análise e desenho,
desenvolvimento do plano, e teste e manutenção.

CAPÍTULO III – METODOLOGIAS DE AUDITORIA INFORMÁTICA

OBJECTIVOS ESPECÍFICOS DO CAPÍTULO

No final deste capítulo o estudante deverá ser capaz de:

 Compreender conceitos relacionados com as metodologias de


auditoria informática;

 Compreender o processo de auditoria de aplicações e sistemas


através de exemplos;

 Compreender como é feito o controlo de entrada, actualização e


saída de dados;

 Compreender o processo de elaboração de relatórios;

23
24 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

 Compreender o processo de elaboração do plano de auditoria;

 Compreender as funções e a organização do departamento de


auditoria informática;

 Compreender os aspectos éticos de um auditor informático.

Metodologia é um elemento fundamental na resolução de um problema. A


auditoria informática usa a metodologia para atingir certos objectivos. De
acordo com tipo de actividade, pode-se aplicar metodologias diferentes.

Segundo Zubieta (2008), as metodologias que podemos encontrar em


auditoria informática são de famílias distintas: as auditorias de controlo
gerais como produto padrão de auditores profissionais, que são uma
homologação das mesmas a nível internacional, e as metodologias de
auditoria interna.

O objectivo das auditorias de controlo gerais é dar uma opinião sobre a


fiabilidade dos dados do computador para a auditoria financeira. O
resultado externo é um relatório breve como parte do relatório de auditoria,
donde se destacam as vulnerabilidades encontradas. Estas auditorias têm
secções para definir provas e anotar características claras da diferença com
as metodologias de avaliação como as de análise de risco que não têm
essas secções, embora também tratarem de identificar vulnerabilidades ou
falta de controlos.

Estas metodologias estão muitos desprestigiadas mas não pela sua


natureza, mas porque dependem muito da experiência dos profissionais
que as usam.

Todas anomalias nascem na dificuldade que tem um profissional sem


experiência que assume a função de auditoria e busca uma forma fácil e
rápida que lhe permite começar o seu trabalho. Isto é uma utopia. Um
auditor informático necessita de uma larga experiência e uma grande
formação tanto na auditoria assim como na Informática. E esta formação
deve ser adquirida mediante o estudo e a prática.

Chegamos ao ponto em que é necessário decidir que metodologia de


auditoria interna deve ser desenhada e desenvolvida por próprio auditor e
esta será a significância de sua grande experiência e habilidade.

Portanto, entre as metodologias de avaliação de sistemas (análise de riscos


e auditoria informática) existem semelhanças e grandes diferenças. Ambas
têm papéis de trabalho obtidos do trabalho de campo, trás o plano de
entrevista, mas as questões são distintas.
AUDITORIA E SEGURANÇA INFORMÁ

3.1. EXEMPLO DE METODOLOGIA DE AUDITORIA DE UMA APLICAÇÃO

Neste ponto apresentamos um exemplo de aplicação de uma metodologia


de auditoria interna, necessário para rever qualquer aplicação, extraído no
livro de Zubieta (2008). O exemplo está formado por recomendações de
plano de trabalho e todo processo que deve seguir. Também define o
objectivo da mesma. Descreve-se a forma de questionário genérico, com
uma orientação de controlos a rever.

Neste caso, o auditor interno informático servirá de guia para confeccionar


o programa real de trabalho de auditoria. O auditor deverá fazer os
questionários mais detalhados, se assim for considerado adequado e definir
quantos testes se desejam.

Objectivo: determinar que os sistemas produzem informações exactas e


completas no momento oportuno. Esta área de trabalho é a mais
importante na auditoria informática.

Programa de revisão

1) Identificar a área a rever (por exemplo a partir de um calendário de


revisões), notificar ao responsável da área e preparar-se utilizando
papéis de trabalho de auditorias anteriores.

2) Identificar as informações necessárias para a auditoria e para os


testes.

3) Obter informações gerais sobre o sistema operativo. Nesta etapa, se


definem os objectivos e o alcance da auditoria, e se identificam
utilizadores específicos que estariam afectados pela auditoria
(plano de entrevistas); o auditor aprende em que consiste o caso a
rever, e explica porque é feita a auditoria.

4) Obter uma compressão detalhada da aplicação/sistema. Aqui,


efectuam-se entrevistas aos utilizadores e pessoal implicado no
sistema a rever; se examina a documentação de utilizadores, de
desenvolvimento, operação, se identificam os aspectos mais
importantes do sistema (entrada, tratamento, saída de dados), a
periodicidade de processos, os programas, características e
estruturas de ficheiros de dados; e pastas de auditoria.

5) Identificar os pontos críticos de controlo em sistemas operativos.


Utilizando organogramas de fluxos de informações, identificar os
pontos de controlo críticos com utilizadores e pessoal operacional,
e com o apoio da documentação do sistema. O auditor tem que

25
26 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

identificar os perigos e os riscos que poderiam surgir em cada


ponto. Os pontos de controlo crítico são aqueles pontos onde o
risco é mais grave, ou seja onde a necessidade de controlo é mais
importante. Frequentemente, são necessários controlos em pontos
de interface entre procedimentos manuais e automáticos.

6) Desenho e elaboração de procedimentos da auditoria.

7) Execução de testes em pontos críticos de controlo. Poderia incluir a


determinação das necessidades de ferramentas informáticas de
ajuda a auditoria informática. Uma revisão do cumprimento dos
procedimentos é feita para verificar o bom cumprimento de
padrões e procedimentos formais, e dos processos descritos por
organograma de fluxos. Assim, se verificam os controlos internos
do cumprimento de:

 Planos, políticas, procedimentos e padrões;


 A ética do trabalho da organização;
 Requisitos legais;
 Princípios gerais de contabilidade e
 Práticas gerais de informática.

Fazem-se revisões e testes, como resultado da revisão do


cumprimento de procedimentos. Se as conclusões de revisão de
cumprimento em geral forem positivas, poder-se-á limitar as
revisões substanciais.

8) Avaliação da revisão e/ou resultados de testes. Nesta etapa se


identificam e se avaliam os pontos fortes e fracos dos
procedimentos e práticas de controlo interno em relação à sua
adequação, eficiência e efectividade. Quando se identifica uma
fragilidade, determina-se a sua causa.
Elaboram-se conclusões baseadas sobre a evidência; o que deverá
ser suficiente, relevante, fiável, disponível, provável e útil.

9) Preparação de relatórios e recomendações.

Controlo

 Rever procedimentos escritos para iniciar, autorizar, colectar,


preparar e aprovar os dados de entrada, em forma de um manual de
utilizador. Verificar que os utilizadores entendem e seguem estes
procedimentos.

 Deve-se dar a formação necessária aos utilizadores.


AUDITORIA E SEGURANÇA INFORMÁ

 Rever os documentos fonte ou outros documentos para determinar


se estão numerados. Também rever códigos de identificação de
transacções e outros campos de uso frequente, para determinar se
são codificados previamente para minimizar erros em processos de
preparação, entrada e conversão de dados.

 É necessário verificar que todos os dados de entrada em um


sistema passam por validação e registo antes do seu tratamento.

 Determinar se os utilizadores preparam todos os controlos de dados


de entrada por terminais. Comprovar a existência de uma
reconciliação de entrada total com saída total.

 Comprovar a existência e seguimento de calendários de entrada


dados e distribuição de relatórios.

 Determinar se o ficheiro e retenção de documentos de origem e


outros formulários de entrada é lógica e acessível, e que cumpre
com as normas e requisitos legais.

 Rever os procedimentos de correcção de erros.

 Comprovar a existência de períodos para documentos, fontes e


suportes magnéticos.

Controlo de entrada de dados

 Estabelecer os procedimentos de entrada e controlo de dados, que


explicam as revisões necessárias de entrada e saídas, com prazos,
critérios de validação de dados de entrada; códigos, mensagens e
detenção de erros; correcção de erros e reentrada de dados.

 Para sistemas interactivos, verificar o uso de métodos preventivos


para evitar a entrada incorrecta de dados funcionais com telas de
ajuda com formatos fixos, o uso de menus e mensagens para o
operador.

 Para sistemas interactivos, determinar a gravação de dados de


entrada com prazos e hora actual, assim como com uma
identificação do utilizador/terminal e localização.

 Os logs de acesso por linhas de telecomunicações para determinar


possíveis acessos e entradas não autorizadas.

27
28 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

 Rever os programas para determinar se contém processos internos


de validação de dados.

 Comparar, apontar e recalcular campos ou elementos de dados


críticos, por métodos manuais ou automáticos.

 Para sistemas interactivos, determinar que os dados são verificados


ao momento da sua entrada no sistema.

 Comprovar que os utilizadores revêem regularmente as tabelas


internas do sistema para validar seus conteúdos.

 Rever funções matemáticas de cálculo para ver se tem implicações


negativas.

 Determinar que existem pistas de auditoria adequadas em um


dicionário de dados. Identificar a interacção entre os programas e
os dados para deixar a possibilidade de seguir a pista de dados
dentro de programas e erros de sistema.

 Rever os procedimentos de correcção de erros.

 Identificar com utilizadores qualquer código de erros críticos que


deveriam aparecer em momentos específicos, mas que nunca
surgem.

Controlo de tratamento e actualização de dados

 Verificar se estão estabelecidos controlos internos automatizados


de processo, telas como rotinas de validação, o momento de
actualização de ficheiros de transacção, entre outros.

 Identificação de transacções por códigos de transacções e outros


indicadores.

 Rever logs de transacções para identificar problemas encontrados


pelo operador e as medidas seguidas.

 Restrições da possibilidade de passar em cima de processos de


validação.

 Aceitação por utilizadores finais de todas as transacções e cálculos


da aplicação.

 Rever os controlos totais de entradas de dados.


AUDITORIA E SEGURANÇA INFORMÁ

 Verificar que existem controlos totais para confirmar a boa


interface entre tarefas e programas.

 Comprovar que existem validações entre controlos totais, manuais


e automáticos, em pontos de interface entre processos manuais e
automatizados de sistemas

 Verificar que os logs de actividade de sistemas se revêem por


responsabilidades operacionais para investigar acessos e
manipulações não autorizadas.

 Verificar os controlos sobre a entrada de dados.

Controlo de saída de dados

 Determinar se os utilizadores comparam os totais controlo de dados


de entrada com totais de saída.

 Determinar se o controlo de dados revê os relatórios de saída para


detectar erros evidentes tais como: campos dados que faltam,
valores não razoáveis ou formatos incorrectos.

 Verificar que há uma identificação adequada sobre os relatórios,


por exemplo nome e número do relatório, prazo de saída, nome de
área/Departamento, página e totais e controlos necessários.
 Comparar a lista de distribuição de relatórios com utilizadores que
os recebem, uma vez que existem pessoas que recebem o relatório
que não deveriam ter recebido.

 Verificar que os relatórios que passam da aplicabilidade se


destroem, e que não passam simplesmente a lixo, sem segurança de
destruição.

 Rever a justificação de relatórios, que existe um pedido escrito para


cada um, que se utilizam realmente e que o pedido está autorizado.

 Verificar a existência de períodos de retenção de relatórios e sua


suficiência.

 Rever os procedimentos de correcções de dados de saída.

Controlo de documentação

 Verificar que dentro das actividades de desenvolvimento e


manutenção de aplicações se produzem documentações de

29
30 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

sistemas, programas, operações, funções e procedimentos de


utilizadores.

 Existência de pessoa específica encarregada na documentação e


quase mantêm arquivos de documentos já distribuídos e às pessoas
que receberam.

 Comprovar que os chefes da área se informem das faltas de


documentação adequada para sua implementação.

 Destruição de toda documentação de sistemas antigos.

 Não se deve aceitar novas aplicações por utilizadores sem


documentação completa.

 Actualização da documentação ao mesmo tempo que as mudanças


e modificações de sistemas.

 A existência de documentação de sistemas, de programas, de


operações e de utilizadores para cada aplicação já implantada.

Controlo de backup e recuperação

 Existência de procedimentos de backup e recuperação de


documentos.

 Procedimentos escritos para a transferência de matérias e


documentos de backup entre o centro de processamento de dados
(C.P.D.) principal e o sítio de backup (centro alternativo).
Manutenção de um inventário destas matérias.

 Existência de um plano de contingência.

 Identificação de aplicações e ficheiros de dados para o plano de


contingência.

 Rever os contratos do plano de contingência e backup para


determinar sua adequação e actualização.

 Testes de aplicações críticas em torno de backup, com as matérias


de plano de contingência (suportes magnéticos, documentação,
pessoas, etc.).

 Determinar para cada aplicação que se revê se é um sistema crítico


e se deverá incluir no plano de contingência.
AUDITORIA E SEGURANÇA INFORMÁ

 Gravações de todas as transacções executadas por


teleprocessamento em cada dia; para facilitar a reconstrução de
ficheiros actualizados durante o dia em caso de falha do sistema.

 Existência de processos manuais para sistemas críticos em caso de


falha de contingência.

 Actualização do plano de contingência quando necessário; testes


anuais.

Controlo de programas de auditoria

 Distribuição de políticas e procedimentos escritos a auditores e


responsáveis de áreas sobre aquisição, desenvolvimento e uso de
software de auditoria.

 Uso de software de auditoria unicamente por pessoas autorizadas.

 Participação de auditor na aquisição, modificação/adaptação,


instalação de pacotes de software de auditoria.
 Participação do auditor na planificação, desenho, desenvolvimento
e implantação de software de auditoria desenvolvido internamente.

 Formação apropriada para os auditores que manuseiam software de


auditoria.

 Participação do auditor em todas as modificações e adaptações de


software de auditoria, que seja de fora ou de iniciativa própria.
Actualização da documentação de software.

 Verificação de que os programas de utilidade se utilizam


correctamente.

 Revisão de tabelas de senhas para assegurar que não se guardem


identificações e senhas de pessoas que têm causado baixas.

Controlo da satisfação dos utilizadores

 Disponibilidade de políticas e procedimentos sobre o acesso e uso


da informação.

 Resultados fiáveis, completos, pontuais e exactos de aplicações


(integridade de dados).

31
32 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

 Utilidade da informação de saída da aplicação em torno da decisão


por utilizadores.

 Compressão por utilizadores de relatórios e informações de saída


de aplicações.

 Satisfação de utilizadores com a informação produzida pela


aplicação.

 Revisão de controlos de recepção, arquivos, protecção e acesso de


dados guardados sobre todo tipo de suporte.

 Participação activa dos utilizadores na elaboração de requisitos de


utilizadores, especificações de desenho de programas e revisão de
resultados de testes.

 Controlos por utilizadores na transferência de informações por


troca de documentos.

 Resolução fácil de problemas, erros, irregularidades e omissões por


bons contactos entre utilizadores e o pessoal do C.P.D.
 Revisões regulares de processos que poderiam ser melhorados por
automatização de aspectos particulares ou reforço de processos
manuais.

Relatório

Segundo Gentil (2008), nos relatórios de auditoria, o grupo de trabalho (os


auditores), apresentam os seus resultados e conclusões, bem como os
factos sobre a entidade auditada, comprovações, recomendações e proposta
de acções.

As recomendações são razoáveis, verificáveis, interessantes


economicamente e tem em conta o tamanho da organização.
Para ser efectivo, o relatório dá crédito ao pessoal da área revista quando
se corrigem as fraquezas por eles encontradas.

O relatório deve possuir um tom construtivo, e dar ênfase em pontos


fortes.
A linguagem utilizada deverá conter um mínimo de termos técnicos, isto
é, a linguagem utilizada em relatórios deve ser objectiva e compatível com
quem irá recebê-los. Para a sua distribuição, se prepara um resumo de
relatório.

Relatório preliminar
AUDITORIA E SEGURANÇA INFORMÁ

Antes de iniciar com os trabalhos de campo, na fase do planeamento da


auditoria, são colectadas informações importantes e preliminares sobre a
entidade que será auditada, seus sistemas, os recursos necessários, a
composição da equipa de auditoria, metodologias a serem usadas, os
objectivos do controlo e os procedimentos a serem aplicados. Neste ponto
é definida a estrutura de relatório e todas essas informações devem ser
incluídas no relatório.
Durante os trabalhos de campo, é importante anotar (documentar) tudo o
que foi feito, observado e dito.
O grupo de trabalho deve comprovar os factos relatados e apresentar aos
entrevistados, antes de se fazer a revisão final do relatório. O objectivo
dessa comprovação é evitar mal-entendidos ou má interpretação dos
factos.

Ao terminar as investigações de cada área, é apresentado um relatório


preliminar contendo as deficiências encontradas.

Relatório final

O relatório final deve ser revisto por toda a equipa de auditores, com o
objectivo de evitar ou eliminar inconsistências, erros ou lacunas em
relação aos padrões e cultura da organização auditada.

O relatório final deve conter as seguintes informações (Gentil, 2008) e


(Sánchez, 2001):

 Dados da entidade auditada – nome, endereço, etc.

 Um breve resumo do conteúdo do relatório.

 Dados da auditoria – objectivos, período em que o trabalho


decorreu, composição da equipa de trabalho, metodologia utilizada,
e os objectivos.

 Introdução – história da entidade auditada, conclusões de auditorias


anteriores, estrutura do departamento de sistemas de informação e
sua relação com os outros departamentos, descrição do ambiente
computacional, evolução tecnológica, principais sistemas e
projectos.

 Falhas detectadas.

 Conclusão.

 Parecer da gestão superior – a gestão superior pode dar o seu


parecer em relação às descobertas e recomendações da auditoria,

33
34 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

concordando parcialmente, completamente ou discordando


completamente.

Depois da revisão de relatório final com os responsáveis da área revista,


distribui-se a outras pessoas autorizadas.
A área auditada tem a possibilidade de aceitar ou recusar cada ponto de
controlo. Todos os pontos recusados se explicam por escrito. A área aceita
os riscos implícitos de fragilidade encontrada pelo auditor.
Deve-se monitorar a implementação das recomendações, para assegurar-se
que o trabalho de revisão produz resultados concretos.

3.3. O PLANO DE AUDITORIA INFORMÁTICA

É o esquema metodológico mais importante de auditor informático. Neste


documento deve-se descrever tudo sobre esta função e o trabalho realizado
pela entidade. Deve estar em sintonia com o plano auditor do resto dos
auditores da entidade.

As partes de um plano de auditoria informática devem ter pelo menos os


seguintes itens (Zubieta, 2008):

 Funções. Localização da empresa em um organograma. Segundo


Mourão (2005), é preciso conhecer bem o ambiente a ser auditado,
levantando-se os dados acerca do ambiente computacional (fluxo
de trabalho, recursos humanos, os materiais envolvidos, arquivos
processados, etc.). Deve existir uma clara segregação de funções
com a informática e de controlo interno informático e este deve
auditar-se a si mesmo. Devem descrever-se as funções de forma
precisa, e a organização interna do departamento, com todos os
seus recursos.

 Procedimentos para as tarefas distintas de auditorias. Entre eles


estão o procedimento de abertura, a entrega e discussão de
fraquezas, entrega de relatório preliminar, encerramento da
auditoria, redacção do relatório final, etc.

 Tipos de auditoria que realizam. Metodologias e questionários


das mesmas. Exemplo: revisão da aplicação de facturação, revisão
da segurança física, revisão de controlo interno, etc. Existem três
tipos de auditorias segundo seu alcance (Zubieta, 2008): Full ou
completa de uma área (exemplo: controlo interno informático),
limitada a um aspecto (exemplo: uma aplicação, a segurança
lógica, o software de base de dados, etc.), a Corrective Action
Review (CAR) que é a comprovação das acções correctivas de
auditores anteriores.

 Sistema de avaliação e os distintos aspectos que avalia,


independentemente do que existia no plano de acções no relatório
AUDITORIA E SEGURANÇA INFORMÁ

final. Deve haver o esforço de definir vários aspectos a avaliar


como nível de gestão económica, gestão de recursos humanos,
cumprimento de normas, etc. E deverá realizar uma avaliação
global de resumo para toda a auditoria. Esta avaliação final servirá
para definir o encerramento da repetição da mesma auditoria num
futuro próximo, segundo o nível de exposição que é dado ao tipo
de auditoria em questão (vide figura 3.1.).

Figura 3.1. Ciclo da Auditoria.


Fonte: Zubieta (2008).

 Nível de exposição

Como se pode ver na figura 3.1., o nível de exposição é neste caso um


número de um a dez definido subjectivamente e que é a base da
avaliação final da última auditoria realizada sobre este tema, e define o
encerramento da repetição da auditoria. Este número não convém
confundir com nenhum dos parâmetros utilizados em análise de risco
que o foco está na probabilidade de ocorrência. Neste caso o valor do
nível de exposição significa a soma de factores como impacto, peso da
área, situação de controlo em área.

 Seguimento de acções correctivas.

35
36 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

 Plano quinquenal
Todas as áreas devem corresponder-se com questionários
metodológicos e devem repetir em quatro ou cinco anos de trabalho.

 Plano de trabalho anual


Deve estimar-se tempos de maneira racional e compor um calendário
que uma vez terminado nos dará um resultado de horas de trabalhos
previstos e portanto os recursos que são necessários.

3.4. FUNÇÕES E ORGANIZAÇÃO DO DEPARTAMENTO DE AUDITORIA


INFORMÁTICA

Para qualquer que seja a organização, pública ou privada, e


independentemente do seu tamanho ou localização geográfica, que tenha
ou possui a intenção de criar um departamento de sistemas de informação
(SI), é necessário conhecer a estrutura e as responsabilidades desse
departamento bem como os aspectos chave para poder desenvolver essas
responsabilidades (Vidal, 2008).

De acordo com Díez (2001), se queremos que um sistema cumpra com os


seus objectivos, deve haver uma função de gestão desses sistemas, dos
recursos que gerem e dos investimentos que se colocam a disposição
desses recursos, para que o funcionamento e os resultados sejam os
esperados. Essa função é conhecida por departamento de sistemas de
informação.

Face ao que foi exposto, conclui-se que deve existir uma função de
controlo da gestão de sistemas de informação e um departamento de
sistemas de informação. A essa função, chamamos auditoria informática
ou função de controlo informático.

Em geral, as etapas cronológicas de criação do departamento de auditoria


de sistemas de informação são as seguintes (Vidal, 2008):

 Estabelecimento da missão e responsabilidades do departamento de


auditoria de SI;

 Definição da organização do departamento de auditoria de SI;

 Elaboração dos planos de trabalho do departamento de auditoria de


SI

 Estabelecimento de uma metodologia para a execução dos trabalhos


de auditoria de SI
AUDITORIA E SEGURANÇA INFORMÁ

 Considerações sobre os recursos humanos que compõem o


departamento de auditoria de SI.

3.4.1. Missão do departamento de auditoria informática


A missão principal da função de auditoria dos sistemas é prover aos
gestores de uma organização de uma segurança razoável que os sistemas
de controlo interno dos recursos de informação dessa organização estão
bem definidos e efectivamente administrados, e que apoiam e ajudam na
criação do valor da organização.
Na definição da missão, há três aspectos a ter em conta:
 Para quem se está a criar a função de auditoria de SI (órgãos do
governo da organização, órgãos da gestão, etc.);
 Quem deve realizar (quais os sistemas de controlo interno);
 Sobre o que deve actuar (recursos de informação).

3.4.2. Organização do departamento de auditoria informática


Uma vez definida a missão, devemos estabelecer os objectivos, funções
e/ou responsabilidades da função do departamento de auditoria de SI.

Objectivos
Podemos resumir os objectivos de um departamento de auditoria
informática de seguinte modo:
 Rever a existência e suficiência do controlo dos recursos de
informação que suportam os processos de negócio;
 Validar que os recursos de informação apoiam os objectivos de
negócio e cumprem os requisitos estabelecidos;
 Analisar os novos riscos derivados de novas tecnologias e novos
negócios;
 Informar e divulgar os riscos e ameaças que derivam da inadequada
utilização dos recursos de informação.

Localização do departamento dentro da Organização

Dado que o auditor de SI deve rever o controlo interno dos recursos de


informação e esta afecta à toda a organização, deve portanto localizar-se
em um ponto do organigrama da organização que adopte de total
independência das restantes unidades, e ainda possuir de autoridade
suficiente para exercer as suas funções. Por esta razão a função de
auditoria de SI não deve ser incluída no departamento de sistemas de
informação de uma organização, posto que limitaria a sua independência
durante a execução dos seus trabalhos de auditoria.

A localização da função de auditoria de SI dentro de uma organização


deve estar ao nível da função de auditoria interna dessa organização.

37
38 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

As figuras 3.2. e 3.3. mostram exemplo das posições da auditoria de SI e


unidade de auditoria interna de uma organização respectivamente.

Figura 3.2. Posição de auditoria de SI.


Fonte: Vidal (2008).

Figura 3.3. Posição da unidade de auditoria interna na organização.


Fonte: Vidal (2008).

Destas figuras pode-se observar o seguinte:


 A função de auditoria interna é um órgão dependente do conselho
de administração;
 O pessoal de auditoria interna não assume responsabilidades
operacionais, e actua com independência em relação às outras
unidades da organização;
AUDITORIA E SEGURANÇA INFORMÁ

 A função de auditoria interna tem acesso total: aos registos,


arquivos, documentos e fontes de informação da organização
necessários para o adequado exercício da sua tarefa.

Recursos necessários
Os recursos necessários para o adequado funcionamento do departamento
de auditoria de sistemas de informação podem ser classificados em:
 Recursos humanos. Pessoal da unidade para desenvolver a missão
definida para o departamento;
 Recursos técnicos. São os recursos necessários para que o pessoal
do departamento de auditoria possa de SI possa trabalhar;
 Recursos económicos.

O auditor deve entender o ambiente do processo que está a ser analisado,


identificar os seus aspectos chave, avaliar o desenho estabelecido, provar
se os controlos existentes operam satisfatoriamente e por último informar
sobre suas descobertas.

Estrutura do departamento de auditoria informática


Para dimensionar e estruturar o departamento de auditoria de SI, devemos
tomar os parâmetros da organização donde o departamento será
implementado, alguns dos quais são:
 Tamanho da organização;
 Dependência dos negócios da organização das tecnologias de
informação (TI);
 Tecnologia dos sistemas de informação. Deve-se considerar o grau
de centralização/descentralização dos sistemas, as diferentes
tecnologias usadas, número e localização de provedores, e
importância dos processos externalizados;
 Localização geográfica. Localização geográfica dos diferentes
centros produtivos ou de gestão da organização, e sua importância
relativa aos processos de negócio;
 Dimensão do departamento. Número de pessoas que devem fazer
parte dele;
 Localização do departamento.

Cada entidade deve analisar sua própria organização e decidir como e onde
estabelecer a função de auditoria de SI.

Em relação à localização é necessário ter em conta o seguinte:


 É importante que a função de auditoria esteja presente em
localizações geográficas que sejam importantes para o negócio da
empresa. Concentrar totalmente a função de auditoria pode
provocar perda de conhecimento sobre a realidade destas
localizações;

39
40 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

 A localização dos recursos do departamento de auditoria de SI deve


estar alinhada com a estrutura topológica dos SI da organização;
 Os aspectos relacionados com a metodologia e ferramentas
empreender os trabalhos de auditoria de SI devem ser únicos e por
tanto podem ser definidos e geridos a partir de uma única
localização.

O estatuto de auditoria de SI

Para poder desenvolver a missão e funções definidas para o departamento


de auditoria de SI esta deve contar com um estatuto ou norma que
proporcione autoridade sobre toda a organização e independência dos seus
órgãos de gestão e direcção. Estes atributos são essenciais para o correcto
e adequado desempenho dos trabalhos que devem ser desenvolvidos pelo
auditor de sistemas, e sua inexistência pode fracassar a função de auditoria
dos SI, ou limitar de modo que a sua actividade não tenha sentido dentro
da organização.

Segundo Vidal (2008), as normas internacionais para o exercício


profissional da auditoria interna estabelecem que “O propósito, a
autoridade e a responsabilidade da actividade da auditoria interna devem
estar formalmente definidos num estatuto o qual deve ser aprovado pelo
conselho de administração da organização”

O estatuto deve estabelecer a posição da função de auditoria interna dentro


da organização, autorizar o acesso a toda informação da organização
necessária e relevante para o exercício da sua função e estabelecer o
alcance ou âmbito de actuação da auditoria interna. Deve especificar que
no exercício de suas funções actua por delegação do conselho e do comité
de auditoria.
O estatuto deve ser público dentro da organização e suficientemente
divulgado entre os membros da direcção para garantir o entendimento do
trabalho assim como as responsabilidades da auditoria interna, e para
promover sua adequada e necessária colaboração.

3.4.3. Planificação do trabalho de auditoria de SI


Para poder estabelecer quais são os trabalhos a realizar, assim como
critérios para sua priorização, devemos contar com alguma metodologia
que sirva de guião. A figura 3.4. mostra o exemplo de uma metodologia
para a planificação do trabalho de auditoria de SI.
AUDITORIA E SEGURANÇA INFORMÁ

Figura 3.4. Planificação do trabalho de auditoria de SI.


Fonte: Vidal (2008).

Definir o universo de TI
Nesta fase deve-se definir, enumerar o que se deve auditar. O universo de
TI inclui os seguintes componentes:
 Dados
 Software de aplicações
 Tecnologia
 Instalações
 Pessoas
Para além dos componentes anteriormente listados (recursos de
informação), é preciso ter em conta os processos operativos necessários
para a produção da informação da organização (figura 3.5.):
 Planificação e organização;
 Desenvolver, implementar e manter aplicações;
 Exploração e suporte
 Supervisão e controlo

Figura 3.5. Processos de TI.


Fonte: Vidal (2008).

Análise de riscos
Uma vez se tenha definido o universo de TI, é necessário estabelecer uma
medida de importância relativa de cada um dos elementos desse universo,
em relação aos riscos de cada um dos itens do universo. A técnica usada
consiste em realizar análise de riscos de cada elemento mediante uma

41
42 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

metodologia de análise de riscos de TI.


No momento de caracterizar os riscos dos elementos do universo de TI é
conveniente ter em conta o seguinte:
 Riscos de negócio; são aqueles que afectam o normal
desenvolvimento da actividade avaliada. Podem ser riscos de
ambiente (regulamento, ambiental, competência), operativos
(tecnológicos, de execução ou exploração, financeiros), de
informação (operacional, financeira, estratégica);
 Risco de auditoria; são relativos ao controlo interno do item
avaliado. Constituem riscos de auditoria, aspectos tais como:
gestão de fundos, complexidade da função, mudanças recentes,
fraude, etc.

Planificação a longo prazo


Uma vez estabelecido o universo de TI assim como determinado qual é o
risco de cada elemento desse universo (localização que ocupa numa matriz
de riscos), o passo seguinte é definir um plano para avaliar se os sistemas
de controlo estabelecidos são adequados e suficientes para mitigar os
riscos identificados.
O primeiro passo a realizar é estabelecer, para cada item do universo de
TI, quais são os trabalhos de auditoria necessários para avaliar se os riscos
estabelecidos para esse item se mantém dentro dos limites definidos pela
organização (figura 3.6.). Para cada um dos trabalhos ou auditorias, é
preciso definir quais são os seus objectivos principais e sobre quais riscos
dos identificados para esse elemento do universo de TI.

Figura 3.6. Conjunto de trabalhos de auditoria.


Fonte: Vidal (2008).

Para realizar esta tarefa usamos a metodologia COBIT, abordada


anteriormente.

Planificação a curto prazo


A planificação a curto prazo define os trabalhos a realizar em um período
AUDITORIA E SEGURANÇA INFORMÁ

dado de tempo e portanto se descompõe em diferentes auditorias, cada


uma das quais tem seus objectivos estabelecidos, seu alcance e os recursos
alocados.
Um plano a curto prazo pode variar de dois a cinco anos.

3.4.4. Metodologia do trabalho de auditoria de SI


Os responsáveis de auditoria interna devem estabelecer políticas e
procedimentos para guiar a actividades de auditoria interna. Existem
normas internacionais de exercício profissional de auditoria interna que
determinam diferentes procedimentos.
Um exemplo de metodologia a implementar num departamento de
auditoria informática é mostrado na figura 3.7.

Figura 3.7. Metodologia para implementar num departamento de auditoria. Fonte: Vidal
(2008)

Como se pode ver na figura anterior, a metodologia proposta contém duas


principais divisões:
 Administração de actividade de auditoria. Englobam-se todos os
aspectos relacionados com a gestão diária da função de auditoria de
SI (organização da função, informação que a função produz,
procedimentos para realizar o controlo da qualidade interna,
desenvolvimento profissional do pessoal do departamento);
 Trabalho de auditoria. Conjunto de procedimentos que marcam as
actividades relacionadas com o desenvolvimento do trabalho de
auditoria de SI (planificação do trabalho, desenvolvimento do
trabalho, resultado do trabalho).

43
44 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

3.5. ÉTICA DE UM AUDITOR DE SI

As organizações constituem um ambiente em que podemos encontrar


diferentes tipos de indivíduos. Estes indivíduos apresentam características
diferentes: modo de viver e pensamentos as vezes completamente
diferentes. Muitas vezes este comportamento influencia negativamente ou
positivamente nos resultados que a organização pretende alcançar.

O que é ética

Ética é o nome dado ao ramo da filosofia dedicado aos assuntos morais. A


palavra ética é derivada do grego, e significa aquilo que pertence ao
carácter. Ética é diferente de moral, pois moral se fundamenta na
obediência à normas, costumes ou mandamentos culturais, hierárquicos ou
religiosos, e a ética busca fundamentar o modo de viver pelo pensamento
humano.

O que é ética profissional

Ética profissional é o conjunto de normas morais pelas quais um indivíduo


deve orientar seu comportamento profissional (Gentil, 2008). A ética é
importante em todas as profissões e para todo ser humano, para que todos
possam viver bem em sociedade.

Pode-se afirmar que a ética é o conjunto de normas e preceitos que


orientam a actuação das pessoas tanto no seu ambiente profissional quanto
no seu convívio social.

Pelo facto de o auditor ter acesso a informações da empresa que em alguns


casos são confidenciais e restritas a apenas alguns membros da alta gestão
da empresa, ele não pode, sob hipótese alguma (Gentil, 2008):

 Divulgar, fora dos canais competentes, factos que ele tenha


identificado no curso de seus trabalhos;

 Utilizar estas informações em seu próprio benefício ou de terceiros.

O auditor, para desenvolver seu papel, tem que trabalhar sem sofrer
qualquer influência dos membros da empresa auditada ou de outras
pessoas, para que seu relatório seja completamente imparcial.

O auditor deve seguir boas práticas no que concerne ao seu trabalho, para
tal este não deve ser influenciado por membros da organização, para obter
um relatório transparente, ou seja completamente imparcial.
Segundo Gentil (2008), para evitar possíveis problemas posteriores, o
auditor deve seguir algumas recomendações:
AUDITORIA E SEGURANÇA INFORMÁ

 Deverá ser discreto e humilde;


 Evitar falar em demasia;
 Ter objectividade;
 Estudar a literatura pertinente às suas acções.

Gentil (2008) acrescenta que código de conduta do profissional auditor


trata dos seguintes tópicos:

 Comprometimento técnico-profissional, somente aceitando


trabalhos que julgue estar capacitado totalmente de recursos para
desenvolvê-los, recusando os serviços que não tiver capacidade de
execução;

 Independência total no desenvolvimento dos trabalhos em todas as


fases, não se deixar influenciar por factores estranhos que
caracterizem a perda de imparcialidade;

 Cobrança de honorários compatíveis com os trabalhos


desenvolvidos,

 Avaliar a relevância e o vulto do serviço a ser executado;

 Sigilo total das informações colectadas nos trabalhos de campo,


somente divulgando-as a terceiros mediante autorização expressa
da entidade, ou salvo quando houver obrigação legal.

Princípios éticos de um auditor informático

Estes princípios devem ser consistentes com outros profissionais e para


aqueles em cujas actividades apresentam maior relacionamento com a
auditoria.
Todos os códigos de ética profissional trazem em seu texto a maioria dos
seguintes princípios (Mana e Trivino, 2008):

1) Princípio de benefício ao auditado


A actividade do auditor deve ser orientada em todos os momentos para
ganhar o máximo proveito do cliente. Qualquer atitude que coloca os
interesses pessoais do auditor ao auditado deve ser considerado antiético.
O auditor deve evitar estar de alguma forma ligado aos interesses de
marcas específicas, produtos ou equipamentos do auditado com outros
fabricantes. Neste caso, o auditor deve abster-se de recomendar acções que
geram risco desnecessário ou indevido ao auditado.

2) Princípio de qualidade
Em casos dos recursos locais impedirem ou dificultar a realização da
auditoria, o auditor deve recusar-se a realizá-lo até que sejam garantidas

45
46 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

um mínimo de condições técnicas que não comprometam a qualidade de


seus serviços.
Se o auditor considera adequado fazer o relatório de outros técnicos mais
qualificados em um aspecto que vai além de sua formação profissional
deve ser encaminhado a um especialista para melhorar a qualidade das
auditorias.

3) Princípio da capacidade
O auditor deve ser totalmente qualificado para realizar a auditoria, onde o
auditor pode influenciar a decisão da maioria de seus clientes com um alto
grau de liberdade, dada a dificuldade prática da entidade auditada.
Deve estar consciente da extensão de seus conhecimentos e sua capacidade
e aptidão. O auditor deve assegurar que suas habilidades evoluem com o
desenvolvimento das tecnologias da informação.

4) Princípio da precaução
Suas recomendações devem ser baseadas na experiência. O auditor deve
estar ciente do desenvolvimento das tecnologias da informação e informar
ao auditado de sua evolução. Ele deve exercer com algum grau de
humildade e evitar dar a impressão de estar consciente de informação
privilegiada.

5) Princípio de comportamento profissional


O auditor deve agir de acordo com as regras implícitas ou explícitas da
dignidade da profissão. Deve cuidar da exposição de seus julgamentos ou
opiniões sem cair no exagero ou medo. Ele deve transmitir uma imagem
de precisão e exactidão em seus comentários. Também deve mostrar
respeito para a política empresarial da entidade auditada.

6) Princípio da concentração de trabalho


O auditor deve evitar o excesso de trabalho além de seus meios de
concentração e precisão em cada tarefa. Ele deve calcular as possíveis
consequências do acúmulo de trabalho.

7) Princípio da confiança
O auditor deve facilitar e aumentar a confiança do desempenho do
auditado com base em uma transparência em seu trabalho. Esta confiança
exige a disposição de diálogo para esclarecer as dúvidas de ambas as
partes.
Deve adaptar a sua linguagem para o nível de compreensão da entidade
auditada, e se necessário fazer explicação detalhada.

8) Princípio de critério próprio


Este princípio está relacionado com o princípio da independência. O
auditor deve agir com discrição e não permitir a si mesmo que ainda conta
com outros profissionais de reconhecido prestígio. Se ele aprecia as
diferenças de opinião com outros profissionais deve reflectir sobre essas
AUDITORIA E SEGURANÇA INFORMÁ

diferenças.

9) Princípio da economia
O auditor deve proteger os direitos económicos do auditado evitando
custos desnecessários. Deve procurar evitar atrasos desnecessários na
conclusão da auditoria. Também deve definir concretamente o alcance e os
limites da auditoria.

10) O reforço da profissão e respeito


O auditor deve cuidar do reconhecimento do valor de seu trabalho. A
remuneração para suas actividades profissionais deve ser compatível com
a preparação do auditor. O auditor deve evitar concorrência desleal com os
seus pares, baixando os seus preços a limites impróprios.

11) Princípio de integridade moral


Requer que o auditor seja honesto, leal e diligente no cumprimento de sua
missão.
Intencionalmente ou inconscientemente evitar participar de qualquer acto
de corrupção pessoal ou de terceiros.

12) Princípio da legalidade


O auditor deve evitar usar sua expertise para fornecer auditoria de terceiros
ou a desobediência da lei, sem o consentimento ou ajudar na remoção de
dispositivos de segurança ou tentar obter os códigos e senhas para acessar
áreas restritas de informação. Ele deve se abster de intervir em linhas de
comunicação ou controlar as actividades que geram violações.

13) Princípios de verdade


Relacionada com o princípio de qualidade, exige que o auditor conclua os
seus trabalhos para não ser convencido. Na exposição de suas conclusões
deve ser crítico.

14) Teoria de responsabilidade


O auditor deve ser responsável por aquilo que faz, diz ou recomenda.
Ele é obrigado a cuidar de dano ou prejuízo que pode resultar de uma
acção culpada.

15) Princípio do segredo


O segredo e a confiança são características essenciais da relação entre o
auditor e o auditado.
O auditor não deve divulgar qualquer informação a terceiros durante o
curso de seu trabalho. Imposição de medidas de segurança e mecanismos
para assegurar que o auditado tem documentado informações estarão
seguros.

16) Princípio da verdade


O auditor deve sempre garantir a veracidade das suas afirmações com os

47
48 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

limites impostos pelos deveres de precisão, respeito e confidencialidade.

EXERCÍCIOS

1) Qual é o objectivo das metodologias de controlo geral?

2) Na sua opinião, quais são os aspectos a ter em conta numa metodologia


de auditoria de uma aplicação?

3) Qual é o propósito de um relatório de auditoria?

4) Quais informações devem constar num relatório de auditoria?

5) Quais aspectos a ter em conta num plano de auditoria informática?


6) Indique as etapas cronológicas de criação do departamento de auditoria
de sistemas de informação numa organização.

7) Qual é a missão principal da função de auditoria de sistemas?

8) Em que posição deve localizar-se a função de auditoria de informática


numa organização?

9) Quais são os elementos que constituem o universo de TI?

10) Quais são as recomendações que um auditor deve seguir para evitar
problemas no decurso da sua actividade?

RESPOSTAS
1) O objectivo das auditorias de controlo gerais é dar uma opinião sobre a
fiabilidade dos dados do computador para a auditoria financeira”.

2) O programa de revisão (identificar a área a rever, os sistemas, etc.),


controlo de entrada de dados, controlo de saída de dados, controlo de
tratamento e actualização de dados, controlo de documentação,
controlo de backup e recuperação, controlo de programas de auditoria,
controlo de satisfação dos utilizadores, e relatório.

3) Apresentar os resultados e conclusões, bem como os factos sobre a


entidade auditada, comprovações, recomendações e proposta de
acções.

4)
 Dados da entidade auditada.
 Um breve resumo do conteúdo do relatório.
AUDITORIA E SEGURANÇA INFORMÁ

 Dados da auditoria.
 Introdução
 Falhas detectadas
 Conclusão
 Parecer da gestão superior

5) Conhecer o ambiente auditado, procedimentos para as tarefas distintas


de auditoria, tipo de auditoria, sistema de avaliação e os distintos
aspectos que avalia, nível de exposição, seguimento de acções
correctivas,
6)

 Estabelecimento da missão e responsabilidades do departamento de


auditoria de SI;

 Definição da organização do departamento de auditoria de SI;

 Elaboração dos planos de trabalho do departamento de auditoria de SI

 Estabelecimento de uma metodologia para a execução dos trabalhos de


auditoria de SI

 Considerações sobre os recursos humanos que compõem o


departamento de auditoria de SI.

7) A missão principal da função de auditoria dos sistemas é prover aos


gestores de uma organização de uma segurança razoável que os
sistemas de controlo interno dos recursos de informação dessa
organização estão bem definidos e efectivamente administrados, e que
apoiam e ajudam na criação do valor da organização.

8) Deve localizar-se em um ponto do organigrama da organização que


adopte de total independência das restantes unidades, e ainda possuir
de autoridade suficiente para exercer as suas funções.

9) Recursos de informação (Dados, Software de aplicações, Tecnologia,


Instalações, Pessoas) e processos operativos (Planificação e
organização; Desenvolver, implementar e manter aplicações;
Exploração e suporte; Supervisão e controlo)

Deverá ser discreto e humilde, evitar falar em demasia, ter objectividade


e estudar a literatura pertinente às suas acções.

QUADRO SINÓPTICO
Conjunto de regras básicas para desenvolver uma

49
50 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

experiência a fim de produzir novo


Método conhecimento, bem como corrigir e integrar
conhecimentos existentes

Conjunto de métodos que são seguidos em


uma investigação científica em conformidade
Metodologia
com os objectivos traçados no contexto onde
se aplica o assunto

Normas, a organização, os objectivos de


Factores que
controlo, os procedimentos de controlo,
compõem uma
tecnologia de segurança, as ferramentas de
contramedida
controlo
Uma estratégia planificada de acções e projectos
Plano de segurança que levam a um sistema de informação e seus
centros de processo de uma situação inicial
determinada a uma situação melhorada
 Tem diferentes versões para diferentes
sistemas operativos;
Software  Pode ser transportado entre dois ou mais
transportável sistemas operativos ou ;
 Pode ser facilmente convertido de um
sistema operativo para outro.
 uma pessoa ou coisa vista como uma
possível fonte de perigo ou catástrofe
Ameaça (inundação, incêndio, roubo de dados,
sabotagem, falhas de segurança
publicadas, etc.)
A situação criada pela falta de um ou mais
controlos, com a qual a ameaça pode trazer e,
Vulnerabilidade portanto, afectar o ambiente de TI (falta de
controlo de acesso lógico, controlo de versões, a
ausência de um controlo magnético, etc.).
A probabilidade de uma ameaça acontecer por
Risco
uma vulnerabilidade

Exposição Impacto e avaliação do impacto do risco

Principais
CRAMM, PRIMA, MELISA, OCTAVE,
metodologias de
MARION, RISCKPAC,
análise de risco
Plano de Um plano de contingência tem o objectivo de
contingência descrever as medidas a serem tomadas por uma
empresa como prevenção de um evento
desconhecido, que pode ser prejudicial para a
empresa. Um plano de contingência deve ter em
conta o seguinte:
AUDITORIA E SEGURANÇA INFORMÁ

 Recursos de backup
 Organização de emergência
 Procedimentos operacionais
 Restabelecimento progressivo de serviços
de negócios ágil por uma paralisia total ou
parcial da capacidade operacional da
empresa
 Análise e desenho
Fases do plano de
 Desenvolvimento do plano
contingência
 Teste e manutenção
O grupo de trabalho (os auditores), apresentam
Relatório de os seus resultados e conclusões, bem como os
auditoria factos sobre a entidade auditada, comprovações,
recomendações e proposta de acções.
A missão principal da função de auditoria dos
sistemas é prover aos gestores de uma
organização de uma segurança razoável que os
Missão do
sistemas de controlo interno dos recursos de
departamento de
informação dessa organização estão bem
auditoria de SI
definidos e efectivamente administrados, e que
apoiam e ajudam na criação do valor da
organização.
 Rever a existência e suficiência do
controlo dos recursos de informação que
suportam os processos de negócio;
 Validar que os recursos de informação
Objectivos do apoiam os objectivos de negócio e
departamento de cumprem os requisitos estabelecidos;
auditoria de SI  Analisar os novos riscos derivados de
novas tecnologias e novos negócios;
 Informar e divulgar os riscos e ameaças
que derivam da inadequada utilização dos
recursos de informação.
Deve localizar-se em um ponto do organigrama
Localização do da organização que adopte de total
departamento de independência das restantes unidades, e ainda
auditoria de SI possuir de autoridade suficiente para exercer as
suas funções
Recursos
 Recursos humanos;
necessários para o
 Recursos técnicos;
departamento de
auditoria de SI  Recursos económicos.
Etapas de  Definir o universo de TI
planificação do  Análise de riscos
trabalho de  Plano a longo prazo
auditoria  Plano a curto prazo

51
52 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

É o conjunto de normas morais pelas quais um


Ética profissional indivíduo deve orientar seu comportamento
profissional
 Deverá ser discreto e humilde;
Algumas
 Evitar falar em demasia;
recomendações a
 Ter objectividade;
serem seguidas pelo
auditor de SI  Estudar a literatura pertinente às suas
acções.
AUDITORIA E SEGURANÇA INFORMÁ

BIBLIOGRAFIA
 Anaguano (s.d.) Auditoria Informática.
 Díez, R. R. (2001). “Organización del Departamento de Auditoría
Infomatica” in Piattini, M. G, e Peso, E. (coord.) Auditoria
Informática Un enfoque Prático. Madrid: Alfaomega.
 FFIEC (2004). Information Security.
 Garcia, J.A.E (s.d.). Auditoria En Informática, 2ª edição. México:
McGraw-Hill.
 Gentil, F. A. S. (2008) Auditoria de Sistemas. Universidade
Tiradentes.
 Mana, J.P, Trivino, J.P. (2008) ” Etica del Auditor de los Sistemas
de Informacion” in Velthuis, M. P., Navaro, E.P., Peso, M (coord.)
Auditoría de Tecnologías y Sistemas de Información. México:
Alfaomega Grupo Editor.
 Sánchez, J. P. (2001). ”El Informe de Auditoría” in Piattini, M. G,
e Peso, E. (coord.). Auditoria Informática Un enfoque Prático.
Madrid: Alfaomega.
 Silva, P,T., Carvalho, H., Torres, C.B. (2003). Segurança dos
Sistemas de Informação. Portugal: Centro atlântico.
 Troitiño, M. T., Sánchez C. M. F. (2008) “Auditoría de SI vs.
Normas de buenas prácticas” in Velthuis, M. P., Navaro, E.P.,
Peso, M (coord.) Auditoría de Tecnologías y Sistemas de
Información. México: Alfaomega Grupo Editor.
 Valriberas, G. S. (2008) “Control Interno y Auditoría de Sistemas
de Información” in Velthuis, M. P., Navaro, E.P., Peso, M (coord.)
Auditoría de Tecnologías y Sistemas de Información. México:
Alfaomega Grupo Editor.
 Vidal, F. H. (2008) “El Departamento de Auditoría del los SI:
Organizaciones Y Funciones” in Velthuis, M. P., Navaro, E.P.,
Peso, M (coord.) Auditoría de Tecnologías y Sistemas de
Información. México: Alfaomega Grupo Editor.
 Zubieta, J. M.G. (2008) “Control Interno y Auditoría de Sistemas
de Información” in Velthuis, M. P., Navaro, E.P., Peso, M (coord.)
Auditoría de Tecnologías y Sistemas de Información. México:
Alfaomega Grupo Editor.

Referências on-line:

 Crepaldi, S. A. (2006) “Contabilidade - Auditoria: Origem,


evolução e desenvolvimento da auditoria” in Revista Contábil e
Contabilidade, disponível em
http://www.netlegis.com.br/indexRC.jsp?
arquivo=/detalhesDestaques.jsp&cod=8157, acedido a 20.10.2011.
 Mourão, A. D. (2005). Auditoria e Segurança de Sistemas.
Faculdade Cenecista de Vagilha, disponível em

53
54 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

www.faceca.br/bsi/documentos/sas_completa.doc, acedido a
07.12.2011

Outros sítios na Internet:


http://www.filecrop.com
http://www.dbebooks.com
http://www.4shared.com
http://books.google.com

AVALIAÇÃO DA DISCIPLINA DE AUDITORIA E SEGURANÇA INFORMÁTICA


AUDITORIA E SEGURANÇA INFORMÁ

ATENÇÃO – TESTE DE AVALIAÇÃO

Avaliação NOME: __________________________________________________________

Nº DE MATRÍCULA ________________ NOTA _________________

N.B: Envie-nos este teste já resolvido, para correcção.

Teste da 2ª Unidade – Duração 2 horas

Leia atentamente as questões apresentadas neste teste. Resolva-o na


folha de teste em anexo e envie ao ISM para correcção. A cotação
para cada questão está entre parênteses.

1) O que é Risco em Sistemas de Informação? (1.0)

2) Marque a alternativa abaixo que Não faz parte dos passos de avaliação de
controlos internos (2.0):
a) Implementar melhorias identificadas pela auditoria externa
b) Identificação do ciclo operacional a avaliar
c) Testar procedimentos em vigor
d) Fazer entrevistas, observações e manuais
e) Avaliar o controlo interno

3) As afirmações abaixo, se referem aos princípios da auditoria. Marque


com um “X”, sobre a letra da alternativa que é falsa. (2.0)

A ( ) Relevância, itens de maior importância, geralmente aqueles ligados à


área financeira.

B ( ) Responsabilidade, para com a organização e responsabilidade legal


(civil).

C ( ) Investigação minuciosa, relacionada a desconfiança, intuição, baseia-se


em documentos.

D ( ) Relatividade, itens de menor ou maior risco, situações organizacionais.

E ( ) Ética, com independência, imparcialidade, confiabilidade e idoneidade

4) Sobre processos de metodologia de auditoria, marque V para as


verdadeiras e F para as falsas. (2.5)

55
56 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

A ( ) Verificação de suprimentos e estoque.

B ( ) Correlação, verificação das ligações.

C ( ) Não deve-se verificar o facturamento.

D ( ) Investigação minuciosa, relacionada a desconfiança e intuição. Não é


necessário basear-se em documentos.

E (V) Exame de eventos subsequentes.

5) A aplicação das técnicas de avaliação de sistemas está descrita em uma


das afirmativas abaixo (2.0):

( ) Desenvolvimento e implantações de sistemas, auditoria de sistemas,


definições de sistemas e análise do risco.
( ) Suas senha devem ser estruturadas.
( ) Analisa somente as pessoas correctas que possuem acesso liberado.
( ) Verifica se as informações apresentadas são correctas
( ) Combate ataques inesperados de vírus.

6) Qual o principal objectivo de se elaborar um plano de contingência para


sua empresa? (2.0)
a) ( ) Prever possíveis invasões físicas e lógicas e para tanto tomar
medidas de segurança para evitar que essa situação aconteça.
b) ( ) Manter actualizadas as medidas de segurança
c) ( ) Manter a continuidade dos processos e informações vitais a empresa
com o objectivo de minimizar os impactos através de estratégias definidas
conforme a necessidade e os recursos da empresa.
d) ( ) Montar uma infra-estrutura física e lógica para reduzir os impactos
causados por um desastre a todo custo, mantendo a continuidade de todos
os processos.
e) ( ) Fazer a análise dos riscos de um processo implementando melhorias
para minimizá-los

7) Os princípios da auditoria são (2.5v):

a) ( ) Ética(Imparcialidade, Confiabilidade, Idoneidade.), Responsabilidade


(Para com a organização, Idoneidade) Relevância (Itens de maior
importância, geralmente aqueles ligados à área financeira), Relatividade
(Itens de menor risco ou maior risco, situações organizacionais).

b) ( ) Ética(Imparcialidade, Confiabilidade, Idoneidade.), Responsabilidade


(Para com a organização, Idoneidade) Relevância (Itens de maior
importância, geralmente aqueles ligados à área financeira).

c) ( ) Relevância (Itens de maior importância, geralmente aqueles ligados à


AUDITORIA E SEGURANÇA INFORMÁ

área financeira), Relatividade (Itens de menor risco ou maior risco, situações


organizacionais), Criatividade (ser criativo nas soluções para os problemas
encontrados), Agilidade (agilidade na implementação das soluções
encontradas).

d) Criatividade (ser criativo nas soluções para os problemas encontrados),


Agilidade (agilidade na implementação das soluções encontradas),
Ética(Imparcialidade, Confiabilidade, Idoneidade.), Responsabilidade (Para
com a organização, Idoneidade)

e) ( ) Ética(Imparcialidade, Confiabilidade, Idoneidade.), Responsabilidade


(Para com a organização, Idoneidade) Relevância (Itens de maior
importância, geralmente aqueles ligados à área financeira), Relatividade
(Itens de menor risco ou maior risco, situações organizacionais), Criatividade
(ser criativo nas soluções para os problemas encontrados), Agilidade
(agilidade na implementação das soluções encontradas).

8) Quais são os objectivos de um departamento de auditoria informática?


(2.0)

9) Qual deve ser a localização (no organograma de empresa) do


departamento de auditoria se SI? (2.0)

10) Fale da metodologia de trabalho de auditoria de SI. (2.0)

Bom Trabalho!

57
58 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA

ANEXO I - QUESTIONÁRIO DE
AVALIAÇÃO DA SATISFAÇÃO
DO ESTUDANTES