Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Introdução
Com o passar dos anos, a TI tem ganhado importância no ambiente organizacional,
aumentando assim a necessidade dos gestores realizarem monitoramento e avaliação dos
processos, para que assim possa utilizá-la de forma mais eficiente. Diante disso, foram criados
métodos e práticas para gerenciar processos de TI, surgindo o conceito de governança de TI,
que tem como finalidade organizar, monitorar e controlar os processos, de forma que fique
mais transparente possível o seu papel dentro da organização perante os stakeholders, fazendo
com que a TI possa cada vez mais estar alinhada aos objetivos da organização. A partir disso,
foram desenvolvidas ferramentas como o COBIT (Control Objectives for Information and
Related Technology).
Nas últimas décadas, o conceito de auditoria de TI tem sido muito discutido em
organizações públicas e privada. No caso das organizações públicas, existe uma grande
necessidade de controle e monitoramento da utilização da TI, o que as obriga a fazerem uso
de auditorias, para verificar os aspectos relativos à confiabilidade, integridade, eficácia,
eficiência, confidencialidade, disponibilidade, e conformidade, das informações geridas pela
TI dentro da organização (MONTEIRO, 2008).
Auditoria de TI é um tipo de averiguação na qual se analisa sistemas, ambiente
computacional, infraestrutura de TI, segurança das informações, e controle interno da
organização identificando as fraquezas e pontos fortes (DIAS, 2000). Para realizar uma
auditoria de TI é preciso conhecer os seus processos existentes na organização a ser auditada.
Como parâmetro deve-se utilizar a documentação do COBIT, normas de governança, serviços
e manuais de auditorias de TI, para que se possa ter uma direção de como proceder
(HANASHIRO, 2009).
Segundo Hanashiro (2009), o assunto auditoria de TI é muito amplo, pois existem
vários tipos, como: Auditoria de Infraestrutura; Auditoria de Gestão; Auditoria de Segurança;
Auditoria de Licitações e Contratos; e Auditoria de Softwares. É importante ressaltar que o
presente trabalho irá abordar a Auditoria de Infraestrutura de forma mais detalhada. Esse tipo
de auditoria foi escolhido, pois segundo Weill e Ross (2006), a infraestrutura é a base da
capacidade da TI, tida como serviços compartilhados pela organização e coordenados
centralmente. Além disso, o conjunto de sistemas de infraestrutura fornece a capacidade
2. Infraestrutura e Auditoria de TI
Weill e Ross (2006) consideram a infraestrutura de TI a base tecnológica de uma organização,
a qual tem por objetivo subsidiar componentes tecnológicos para disponibilizar serviços
confiáveis, que são compartilhados em uma organização. Concordando com Miglioli (2006) e
Albertin (2005), que afirmam que a infraestrutura de TI é organizada e formada por hardware,
software, banco de dados, redes de computadores e pessoas. Através desses componentes é
possível manipular, gerar, distribuir dados e informações para toda organização.
Visto que cada vez mais processos dependem da TI para serem executados, a
realização de auditorias por parte dos órgãos mostra-se essencial para garantir que a gestão de
TI colabore para o atendimento dos objetivos da organização. Assim como favoreça a
avaliação correta de riscos de TI (MONTEIRO, 2008). Outro fato relevante para a realização
de auditorias é que hoje as informações que transitam nas organizações são geridas, em sua
maioria, por ferramentas de TI (HANASHIRO, 2007).
Segundo Hanashiro (2009) a auditoria de TI tem o objetivo de verificar a
conformidade e a operacionalidade dos controles dos processos, que se baseiam em
Tecnologia da Informação. Albertin (2002) complementa informando que a auditoria está
baseada em confiança e controles internos, visando confirmar se tais controles existem, foram
implementados e se são confiáveis. Esta pesquisa está direcionada à infraestrutura, escolha
que se fundamenta no estudo de Weill e Ross (2006), onde afirmam que a infraestrutura é a
base da capacidade da TI, que alavanca a capacidade humana e técnica e consequentemente a
capacidade do negócio, que é necessária para o posicionamento competitivo da organização
no mercado.
Para realizar uma auditoria de TI é necessário cumprir etapas, e cada etapa tem seu
objetivo. Monteiro (2008) orienta que ela seja realizada em quatro etapas, sendo:
planejamento, execução, relatório e acompanhamento.
Planejamento: onde o auditor independente estabelece a estratégia de execução, definindo
o objetivo geral, o objeto a ser auditado, e os procedimentos gerais (TCU, 2010; CFC, 2008;
HANASHIRO, 2007). Esta etapa é composta pelas seguintes atividades (TCU, 2010): análise
preliminar do objeto de auditoria, definição do objetivo e escopo da auditoria, especificação
dos critérios de auditoria, elaboração da matriz de planejamento, validação da matriz de
planejamento, elaboração de instrumentos de coleta de dados, e elaboração do projeto de
auditoria;
Execução: consiste em executar o planejamento elaborado a fim de se obter evidências. As
principais atividades realizadas são: desenvolvimento dos trabalhos de campo, análise dos
dados coletados, elaboração da matriz de achados, validação da matriz de achados, elaboração
da análise de riscos (TCU, 2010);
Relatório: Todas as atividades realizadas serão registradas, para que seja possível extrair
evidências e informações de como está o desempenho das atividades executas e também obter
feedback (TCU, 2010);
Acompanhamento: Nesta etapa o principal ponto é o monitoramento de tudo que foi
implantado e executado, utilizando para isso métricas para mensurar o andamento das
atividades (TCU, 2010).
5. Resultado e Discussões
5.1. Caracterização da Instituição Estudada
A instituição escolhida para a realização do estudo de caso constitui-se em uma unidade de
um Órgão do Governo do Estado do Tocantins, que visa prestar serviços relacionados à área
agropecuária. Dentre os serviços prestados pode-se citar fiscalização de lojas agropecuárias e
de vacinação dos animais em áreas de riscos, entre outros serviços, Nesse contexto a TI
mostra-se um recurso muito importante para atingir a realização dos serviços propostos.
A instituição possui uma Coordenação de TI, com objetivo de criar ferramentas e gerir
os equipamentos computacionais, para a eficiência da realização das atividades dos
funcionários. Um dos principais sistemas utilizados pela instituição foi desenvolvido por tal
coordenação. Para que as unidades de atendimento, que compõem esse órgão, possam utilizar
o sistema em questão e usufruir dos seus benefícios, deve-se ter uma infraestrutura de TI
composta por no mínimo: computador, impressora, modem roteador, linha telefônica, acesso à
internet e funcionários capacitados para operar o sistema.
Arquivos importantes
Realizar
Perda total de poderão não ser
backup mensal
Perda total de arquivos recuperados caso o
Provável Alta dos arquivos
arquivos. armazenados nos computador
utilizando
computadores. apresente um
acesso remoto.
problema grave.
O computador fica
indisponível para uso
Computador pode no atendimento ao Realizar
apresentar muitos público, uma vez que manutenção
Erros e falhas no problemas, por é preciso desloca-lo preventiva por
Provável Alta
computador. falta de para o setor de meio de
manutenções suporte de TI, a fim assistência
preventivas. de executar remota.
manutenção
corretiva.
Estruturar e
Desorganização no
Quantidade Aumento organizar
ambiente, e
excessiva de excessivo de cabos de rede
Muito provável Média probabilidade de
cabos rede de utilização de cabos ou adquirir
acontecer problemas
internet. ethernet. dispositivo
nos cabos.
WI-FI.
Falhas de
Choques elétricos,
equipamentos e
equipamentos podem
curto- circuito na Falta de Implantar um
Pouco provável Alta não funcionar
rede elétrica aterramento. aterramento.
corretamente, risco
(conforme
de incêndio.
ISO/IEC27002:
6. Considerações Finais
O presente trabalho foi direcionado para auditoria de infraestrutura de TI, através do COBIT e
de livros na área foi possível desenvolver questionários para extrair informações que deram
embasamento para conquistar o objetivo deste trabalho, ou seja, avaliar a infraestrutura de TI
de uma organização pública.
References
Albertin, Alberto Luiz. Administração de Informática: funções e fatores críticos de sucesso;
colaboração de Rosa Maria de Moura. 4 ed. São Paulo: Atlas, 2002.
Albertin, Alberto Luiz. Beneficio do uso de tecnologia da informação no desempenho
empresarial. GV pesquisa, 2005.
Associação Brasileira de Normas e Técnicas ABNT. NBR ISO/IEC 27002: Tecnologia da
informação: Técnicas de segurança: Código de prática para a gestão de segurança da
informação. Rio de Janeiro, 2005
CFC. Manual de Auditoria de Sistemas. Disponível
em:<http://portalcfc.org.br/wordpress/wpcontent/uploads/2013/01/Manual_auditoria_site.p
df>. Acesso em: 21 de Mar. 2014.
COBIT 4.1 The IT Governance Institute. 2007. Disponível em: <
http://www.isaca.org/knowledge-center/cobit/pages/overview.aspx >. Acesso em: 06Abr.
2014.
Dias, Cláudia. Segurança e Auditoria da Tecnologia da Informação.1.ed. Rio de Janeiro:
Axcel Books, 2000.
Hanashiro, Maíra. Metodologia Para Desenvolvimento De Procedimentos E Planejamento De
Auditorias De Ti Aplicada à Administração Pública Federal. 2007. 168 p. Dissertação
(Mestrado em Engenharia Elétrica). Faculdade de Tecnologia, Universidade de Brasília,
Brasília/DF, 2007. Disponível em:<
http://portal2.tcu.gov.br/portal/pls/portal/docs/2053984.PDF>. Acesso em: 09 Abr. 2014.
Hanashiro, Maíra. Auditoria de TI na CGU. 2009. 95 p. Relatório técnico cientifico
(especialização em auditoria interna). TCU, Brasília/DF, 2009. Disponível
em:<http://portal2.tcu.gov.br/portal/pls/portal/docs/2053984.PDF>. Acesso em: 02 Abr.
2014.
Miglioli, Afrânio Maia. Tomada de Decisão na Pequena Empresa. 2006. 107p.
Dissertação (Mestre em engenharia da produção). Escola de Engenharia de São Carlos, São
Carlos-SP, 2006. Disponível