A Importância da Auditoria de TI: Estudo de Caso em um Órgão

do Governo do Estado do Tocantins

Fabricio da Silva Rodrigues1, Brunna Caroline do Carmo Mourão1, Thatiane de
Oliveira Rosa1
1
Curso de Gestão da Tecnologia da Informação - Instituto Federal de Educação, Ciência e
Tecnologia do Tocantins, Campus Paraíso (IFTO)
Distrito Agroindustrial, BR 153, KM 480 – Caixa Postal 151 – 77.600-000 – Paraíso do
Tocantins – TO – Brasil
fabriciosilvarodrigues@hotmail.com, brunnacharming@gmail.com,
thatiane@ifto.edu.br
Resumo. A TI tem se demonstrado um fator de sucesso dentro das organizações,
devido às vantagens que ela proporciona. Diante disso, o controle dos processos de
TI se faz importante, além de ser necessário que ela esteja alinhada com os
objetivos da organização e por isso precisa de um planejamento e monitoramento.
Logo, os gestores devem ter um olhar estratégico sobre a TI e sempre avaliar os
seus processos para que assim confirme se os seus objetivos estão conforme os do
negócio. Diante deste contexto, o objetivo deste trabalho é avaliar a infraestrutura
de TI de uma organização pública, por meio do procedimento de auditoria de TI.

1. Introdução
Com o passar dos anos, a TI tem ganhado importância no ambiente organizacional,
aumentando assim a necessidade dos gestores realizarem monitoramento e avaliação dos
processos, para que assim possa utilizá-la de forma mais eficiente. Diante disso, foram criados
métodos e práticas para gerenciar processos de TI, surgindo o conceito de governança de TI,
que tem como finalidade organizar, monitorar e controlar os processos, de forma que fique
mais transparente possível o seu papel dentro da organização perante os stakeholders, fazendo
com que a TI possa cada vez mais estar alinhada aos objetivos da organização. A partir disso,
foram desenvolvidas ferramentas como o COBIT (Control Objectives for Information and
Related Technology).
Nas últimas décadas, o conceito de auditoria de TI tem sido muito discutido em
organizações públicas e privada. No caso das organizações públicas, existe uma grande
necessidade de controle e monitoramento da utilização da TI, o que as obriga a fazerem uso
de auditorias, para verificar os aspectos relativos à confiabilidade, integridade, eficácia,
eficiência, confidencialidade, disponibilidade, e conformidade, das informações geridas pela
TI dentro da organização (MONTEIRO, 2008).
Auditoria de TI é um tipo de averiguação na qual se analisa sistemas, ambiente
computacional, infraestrutura de TI, segurança das informações, e controle interno da
organização identificando as fraquezas e pontos fortes (DIAS, 2000). Para realizar uma
auditoria de TI é preciso conhecer os seus processos existentes na organização a ser auditada.
Como parâmetro deve-se utilizar a documentação do COBIT, normas de governança, serviços
e manuais de auditorias de TI, para que se possa ter uma direção de como proceder
(HANASHIRO, 2009).
Segundo Hanashiro (2009), o assunto auditoria de TI é muito amplo, pois existem
vários tipos, como: Auditoria de Infraestrutura; Auditoria de Gestão; Auditoria de Segurança;
Auditoria de Licitações e Contratos; e Auditoria de Softwares. É importante ressaltar que o
presente trabalho irá abordar a Auditoria de Infraestrutura de forma mais detalhada. Esse tipo
de auditoria foi escolhido, pois segundo Weill e Ross (2006), a infraestrutura é a base da
capacidade da TI, tida como serviços compartilhados pela organização e coordenados
centralmente. Além disso, o conjunto de sistemas de infraestrutura fornece a capacidade

XVII Encoinfo – Congresso de Computação e Sistemas de Informação

ISSN: 2447-0767 25
humana e técnica que alavanca a capacidade do negócio, que é necessária para o
posicionamento competitivo da organização.
Diante do contexto apresentado, esta pesquisa visa avaliar a infraestrutura de uma
organização pública no Estado do Tocantins, utilizando procedimento de auditoria baseado
em modelos e normas.

2. Infraestrutura e Auditoria de TI
Weill e Ross (2006) consideram a infraestrutura de TI a base tecnológica de uma organização,
a qual tem por objetivo subsidiar componentes tecnológicos para disponibilizar serviços
confiáveis, que são compartilhados em uma organização. Concordando com Miglioli (2006) e
Albertin (2005), que afirmam que a infraestrutura de TI é organizada e formada por hardware,
software, banco de dados, redes de computadores e pessoas. Através desses componentes é
possível manipular, gerar, distribuir dados e informações para toda organização.
Visto que cada vez mais processos dependem da TI para serem executados, a
realização de auditorias por parte dos órgãos mostra-se essencial para garantir que a gestão de
TI colabore para o atendimento dos objetivos da organização. Assim como favoreça a
avaliação correta de riscos de TI (MONTEIRO, 2008). Outro fato relevante para a realização
de auditorias é que hoje as informações que transitam nas organizações são geridas, em sua
maioria, por ferramentas de TI (HANASHIRO, 2007).
Segundo Hanashiro (2009) a auditoria de TI tem o objetivo de verificar a
conformidade e a operacionalidade dos controles dos processos, que se baseiam em
Tecnologia da Informação. Albertin (2002) complementa informando que a auditoria está
baseada em confiança e controles internos, visando confirmar se tais controles existem, foram
implementados e se são confiáveis. Esta pesquisa está direcionada à infraestrutura, escolha
que se fundamenta no estudo de Weill e Ross (2006), onde afirmam que a infraestrutura é a
base da capacidade da TI, que alavanca a capacidade humana e técnica e consequentemente a
capacidade do negócio, que é necessária para o posicionamento competitivo da organização
no mercado.
Para realizar uma auditoria de TI é necessário cumprir etapas, e cada etapa tem seu
objetivo. Monteiro (2008) orienta que ela seja realizada em quatro etapas, sendo:
planejamento, execução, relatório e acompanhamento.
 Planejamento: onde o auditor independente estabelece a estratégia de execução, definindo
o objetivo geral, o objeto a ser auditado, e os procedimentos gerais (TCU, 2010; CFC, 2008;
HANASHIRO, 2007). Esta etapa é composta pelas seguintes atividades (TCU, 2010): análise
preliminar do objeto de auditoria, definição do objetivo e escopo da auditoria, especificação
dos critérios de auditoria, elaboração da matriz de planejamento, validação da matriz de
planejamento, elaboração de instrumentos de coleta de dados, e elaboração do projeto de
auditoria;
 Execução: consiste em executar o planejamento elaborado a fim de se obter evidências. As
principais atividades realizadas são: desenvolvimento dos trabalhos de campo, análise dos
dados coletados, elaboração da matriz de achados, validação da matriz de achados, elaboração
da análise de riscos (TCU, 2010);
 Relatório: Todas as atividades realizadas serão registradas, para que seja possível extrair
evidências e informações de como está o desempenho das atividades executas e também obter
feedback (TCU, 2010);
 Acompanhamento: Nesta etapa o principal ponto é o monitoramento de tudo que foi
implantado e executado, utilizando para isso métricas para mensurar o andamento das
atividades (TCU, 2010).

26 XVII Encoinfo – Congresso de Computação e Sistemas de Informação

ISSN: 2447-0767
3. COBIT
O COBIT é um modelo que contém todos os domínios e processos de governança de TI,
tendo como objetivo auxiliar os auditores de sistemas, gerentes de TI e administradores em
geral a visar um melhor direcionamento tecnológico para a organização através de métodos e
práticas de excelência. Ele propõe uma série de objetivos e de boas práticas a serem seguidos
(COBIT 4.1, 2007).
O COBIT possui quatro domínios, os quais permitem que gestores e auditores de TI
definam melhor as medições e controlem a governança, que são: Planejar e Organizar,
Adquirir e Implementar, Entregar e Suportar e Monitorar e Avaliar. Cada domínio possui seus
processos, totalizando 34 (COBIT 4.1, 2007). Alguns dos processos que se mostram
relevantes para esta pesquisa, são elencados a seguir.
 Planejar e Organizar: PO1 - Definir o plano estratégico de TI; PO4 - Definir a organização
de TI e seus relacionamentos; PO5 - Gerenciar os investimentos de TI; PO6 - Gerenciar a
comunicação das direções de TI; PO9 - Avaliar os Riscos;
 Adquirir e Implementar: AI1 - Identificar soluções automatizadas; AI4 - Manter operação
em uso; AI6 - Gerenciar mudanças; AI7 - Instalar e certificar soluções e mudanças;
 Entregar e Suportar: ES1 - Definir e manter os acordos de níveis de serviços; ES4 -
Assegurar a continuidade dos serviços; ES5 - Garantir a segurança dos serviços; ES10 -
Gerenciar problemas e incidentes; ES12 - Gerenciar a infraestrutura física; ES13 - Gerenciar
as operações;
 Monitorar e Avaliar: MA1 - Monitorar e avaliar o desempenho; MA2 - Monitorar e avaliar
os controles internos; MA4 - Prover a governança de TI.
O COBIT possui um modelo de maturidade, composto por seis níveis, que visa
identificar o grau de maturidade atual da organização (Tabela 1).
Tabela 1. Níveis de Maturidade (COBIT 4.1, 2007).
Nível Maturidade
0 – Inexistente Não existe um processo definido, a organização não reconhece um gerenciamento a ser iniciado.
A organização reconhece que precisa ser resolvido alguns problemas, mas não inicia um processo
1 – Inicial/Ad hoc
padronizado, mostrando muita desorganização desses processos.
2 – Repetível, porém Os processos neste estágio são reconhecidos e padronizados, mas não há uma comunicação e um
Intuitivo treinamento formal dos procedimentos, a reponsabilidade fica mais por parte de cada indivíduo.
Neste estágio os procedimentos já são definidos, padronizados, documentados e comunicados,
3 – Processo Definido
aqui é feito um treinamento.
4 – Gerenciado e É realizado um controle contínuo do que já foi implementado, e é analisado o feedback, buscando,
Mensurável através disso, melhorias ou mudanças nos processos já definidos.
Neste estágio, grande parte dos processos estão bem refinados, buscando sempre a otimização para
5 – Otimizado
aprimorar a qualidade e efetividade da organização.
Após compreender o COBIT de forma genérica, a próxima seção realiza uma
explanação sobre a norma ISO NBR 27002, que dispõe sobre a segurança da informação e
possui alguns procedimentos relacionados à auditoria de infraestrutura de TI.

4. ISO/IEC NBR 27002

A norma NBR ISO/IEC 27002, dispõe sobre a segurança da informação, estabelecendo
diretrizes e princípios para planejar, organizar, implementar, monitorar e melhorar a
segurança da informação em uma organização. Esta norma contém 11 seções de controle
de segurança da informação, sendo que cada seção tem sua categoria e cada categoria
principal tem a sua definição e os objetivos a serem alcançados. A Tabela 2 apresenta os
Controles de Segurança da Informação (CSI) e seus objetivos.
Tabela 2. Controles de Segurança da Informação (NBR ISO/IEC 27002, 2005).
Controle Objetivo
Estabelecer um planejamento de segurança da informação, alinhada com os
CSI 1. Política de Segurança da
objetivos da organização. Elaborar um documento contendo diretrizes e
Informação
métodos relacionados à segurança da informação.

XVII Encoinfo – Congresso de Computação e Sistemas de Informação

ISSN: 2447-0767 27
 CSI 2. Organizando a Segurança da A segurança da informação deve ser gerenciada, para iniciar e controlar a
Informação implementação de sua segurança dentro da organização.
CSI 3. Gestão de Ativos Administrar, manter e proteger todos os ativos da organização.
Conscientizar e assegurar que todo o pessoal envolvido na organização,
CSI 4. Segurança em Recursos
entenda suas responsabilidades e assinem acordos sobre os seus papéis e
Humanos
responsabilidades.
CSI 5. Segurança Física e do A proteção das instalações físicas se faz necessária para proteção dos dados
Ambiente lógicos, prevenção ao acesso físico não autorizado, danos e interferências.
Administrar as operações e comunicações garantindo a operação segura e
CSI 6. Gestão das Operações e correta dos recursos de processamento da informação, definir procedimentos
Comunicações e responsabilidades pela gestão e operação de todos os recursos de
processamento das informações.
Controlar o acesso à informação e protegê-la de modo que somente pessoas
CSI 7. Controle de Acesso
autorizadas possam ter acesso, de acordo com seu privilégio.
CSI 8. Aquisição, Desenvolvimento
e Manutenção dos Sistemas de Garantir que a segurança é parte integrante dos sistemas de informação
Informação
CSI 9. Gestão de Incidentes de As fragilidades e eventos de segurança da informação encontrados devem
Segurança da Informação ser comunicados, permitindo a ação corretiva em tempo hábil.
CSI 10. Gestão da Continuidade do A continuidade do negócio não deve ser interrompida, para isso, deve-se
Negócio proteger os processos críticos contra erros ou desastres significativos.
O projeto, o sistema, a operação, o uso, e a gestão devem estar em
CSI 11. Conformidade
conformidade com os requisitos legais.
Vale ressaltar que a seção “Segurança física e do ambiente” será adotada como base
para realizar a análise de segurança da informação, na organização estudada. Esta seção
da norma NBR ISO/IEC 27002 dispõe sobre a segurança dos equipamentos e do ambiente.
Assim parte do pressuposto de que toda informação lógica está inserida em ambiente físico,
ou em um equipamento. Portanto, para que seja possível proteger os dados lógicos, é
necessário proteger e prevenir possíveis riscos relacionados às instalações físicas (NBR
ISO/IEC 27002, 2005). Diante disso, a norma apresenta as seguintes recomendações:
Proteção do acesso ao ambiente, Proteção contra ameaças externas e do meio ambiente,
Proteção dos equipamentos de TI, Segurança do cabeamento e Manutenção dos
equipamentos.

5. Resultado e Discussões
5.1. Caracterização da Instituição Estudada
A instituição escolhida para a realização do estudo de caso constitui-se em uma unidade de
um Órgão do Governo do Estado do Tocantins, que visa prestar serviços relacionados à área
agropecuária. Dentre os serviços prestados pode-se citar fiscalização de lojas agropecuárias e
de vacinação dos animais em áreas de riscos, entre outros serviços, Nesse contexto a TI
mostra-se um recurso muito importante para atingir a realização dos serviços propostos.
A instituição possui uma Coordenação de TI, com objetivo de criar ferramentas e gerir
os equipamentos computacionais, para a eficiência da realização das atividades dos
funcionários. Um dos principais sistemas utilizados pela instituição foi desenvolvido por tal
coordenação. Para que as unidades de atendimento, que compõem esse órgão, possam utilizar
o sistema em questão e usufruir dos seus benefícios, deve-se ter uma infraestrutura de TI
composta por no mínimo: computador, impressora, modem roteador, linha telefônica, acesso à
internet e funcionários capacitados para operar o sistema.

5.2. Procedimentos Realizados

No contexto deste trabalho o objeto de auditoria constitui-se da Infraestrutura de TI da
unidade adotada para o estudo de caso. O objetivo da realização da auditoria em questão é
analisar a infraestrutura de TI do ambiente, esclarecendo como esta é composta e utilizada e
quais práticas os gestores poderão seguir para se ter um melhor aproveitamento da
infraestrutura de TI.

28 XVII Encoinfo – Congresso de Computação e Sistemas de Informação

ISSN: 2447-0767
 O responsável pela realização da simulação de auditoria em questão foram os autores
deste trabalho. Portanto, para executar tal simulação e avaliar a infraestrutura da unidade, os
procedimentos realizados foram os seguintes:
 1º procedimento: Análise de infraestrutura de rede, envolvendo elementos como
cabeamento, dispositivos, estrutura e problemas da rede;
 2º procedimento: Análise dos sistemas operacionais e softwares instalados nas máquinas,
sendo verificada a compatibilidade com programas essenciais e problemas no sistema
operacional;
 3º procedimento: Análise da segurança física do ambiente, examinando extintores de
incêndio, aterramento dos equipamentos e sistemas de alarmes e proteção;
 4º procedimento: Análise do mecanismo de armazenamento de arquivos, sendo
averiguados os procedimentos e equipamento de backup;
 5º procedimento: Aplicação de um questionário subjetivo no formato de entrevista oral
com o responsável técnico em TI da unidade, e na aplicação do questionário objetivo para o
chefe geral da unidade, para que fosse possível avaliar o controle interno da unidade.

5.3. Resultados Encontrados

A partir da aplicação dos questionários e do estudo feito no processo de avaliação de riscos
(PO09) relacionado ao domínio de planejamento e organização do COBIT tornou-se possível
realizar uma análise de riscos de TI encontrados na organização. Os resultados encontrados
são apresentados na Tabela 3.
Tabela 3. Análise de Riscos
Nome Descrição Probabilidade Magnitude Impacto Mitigação

Acesso à internet e à Adquirir um

Acesso à rede Alcance de rede local só pode ser dispositivo de
Altamente
somente via cobertura de rede Baixa realizado por meio de modem
provável
cabo. limitada. computadores ou roteador WI-
dispositivos via cabo. FI.

Arquivos importantes
Realizar
Perda total de poderão não ser
backup mensal
Perda total de arquivos recuperados caso o
Provável Alta dos arquivos
arquivos. armazenados nos computador
utilizando
computadores. apresente um
acesso remoto.
problema grave.
O computador fica
indisponível para uso
Computador pode no atendimento ao Realizar
apresentar muitos público, uma vez que manutenção
Erros e falhas no problemas, por é preciso desloca-lo preventiva por
Provável Alta
computador. falta de para o setor de meio de
manutenções suporte de TI, a fim assistência
preventivas. de executar remota.
manutenção
corretiva.
Estruturar e
Desorganização no
Quantidade Aumento organizar
ambiente, e
excessiva de excessivo de cabos de rede
Muito provável Média probabilidade de
cabos rede de utilização de cabos ou adquirir
acontecer problemas
internet. ethernet. dispositivo
nos cabos.
WI-FI.
Falhas de
Choques elétricos,
equipamentos e
equipamentos podem
curto- circuito na Falta de Implantar um
Pouco provável Alta não funcionar
rede elétrica aterramento. aterramento.
corretamente, risco
(conforme
de incêndio.
ISO/IEC27002:

XVII Encoinfo – Congresso de Computação e Sistemas de Informação

ISSN: 2447-0767 29
2005)
Incêndio
Adquirir
(conforme Falta de extintor de Risco de vida dos
Pouco provável Alta extintor de
ISO/IEC27002: incêndio. funcionários.
incêndio.
2005)
Além da análise dos riscos, realizou-se um diagnóstico da infraestrutura de TI do
ambiente utilizando como base as respostas obtidas a partir dos questionários e das
observações in loco. Os resultados dessa análise são exibidos na Tabela 4.
Tabela 4. Análise das Observações
Processo de TI Resultados encontrados
- Falta de equipamentos reservas (nobreak, modem, impressora e switch);
- Falta de manutenção preventiva de hardware;
- Pouca memória RAM instalada em um dos computadores;
- Desligamento inesperado de computadores devido a bateria de o nobreak estar desgastada.
Recomendações:
Hardware - Adotar políticas de manutenções preventivas: Fazer averiguações nos equipamentos de TI para
acompanhar se estão funcionando corretamente;
- Incentivo de planejamento e investimento em novos hardwares: Adquirir equipamentos que
resultem na melhor execução dos processos, realizar um levantamento de quais equipamentos
estão em desuso e quais precisam ser trocados, investir na compra de mais equipamentos de
hardware para serem substitutos caso venha acontecer algum problema.
- Softwares instalados nos computadores estão em perfeito funcionamento.
- O software denominado de Kurupira mostrou-se interessante, pois proporciona bloqueio de sites
proibidos, no entanto foi observado que um dos computadores encontra-se sem esse software
instalado, permitindo assim o acesso a sites proibidos por parte do usuário.
- Foi encontrado um problema de um dos computadores está instalado o sistema operacional
Windows 7 de 32 bits, sendo que o computador possui 4GB de memória RAM, ocasionado assim
a perda de 1GB, ou seja, o computador está utilizando somente 3 GB da memória RAM.
Software
Recomendações:
- Adotar políticas de manutenção preventiva de software: verificar periodicamente se todos os
softwares dos computadores estão em perfeita configuração e funcionamento;
- Adotar políticas de legalidade: Verificar se os softwares proprietários instalados nos
computadores estão todos licenciados;
- Instalar um sistema operacional de 64 bits no computador que possui mais de 4GB de memória,
a fim de aproveitar toda a memória RAM instalada neste computador.
- Limitação da rede;
- Perda do sinal DSL;
- Velocidade da internet lenta;
- Falta de compartilhamento dos arquivos;
- Acesso à internet somente via cabo;
- Cabos de rede instados sem estruturação.
A conexão da rede é cabeada, sendo observados problemas de limitação, pois o alcance não chega
a todos dentro da organização. Além disso, existem problemas constantes de queda do sinal de
Redes de internet e velocidade lenta. Outro problema identificado, é que os arquivos dos computadores não
Computadores estão compartilhados em rede, dificultando assim o acesso rápido pelos funcionários, fazendo com
que tenham que se descolar de um computador para outro.
Recomendações:
- Reestruturar a rede da unidade a fim de ter melhor gerenciamento dos recursos e a
disponibilização de serviços de melhor qualidade;
- Adquirir um modem roteador WI-FI
- Aumentar velocidade contratada da internet;
- Ativar o compartilhamento de rede do Windows;
- Reestruturar cabos de rede, instalando-os em caneletas.
- Existem 8 funcionários na unidade, sendo 3 da área administrativa, 2 fiscais, 1 inspetor, 1
motorista e 1auxiliar de serviços gerais;
- Não existe um cargo na área de informática dentro da organização, mas um dos administrativos
responde pela área da informática;
- Falta de treinamento dos servidores que utilizam a TI para realizar suas atividades, muitas vezes
Servidores alguns servidores não sabem lidar com um software novo instalado nos computadores e também
(funcionários) não sabe lidar com equipamentos de hardware novos.
Recomendações:
- Realizar treinamento dos usuários que utilizam a TI, para que assim possam ter conhecimento de
como utilizar a tecnologia corretamente e novas tendências da TI. Uma vez que um usuário com
conhecimento evita problemas futuros na organização, cada usuário tem que saber com qual
tecnologia está lidando no dia a dia.

30 XVII Encoinfo – Congresso de Computação e Sistemas de Informação

ISSN: 2447-0767
 - Foram encontrados muitos arquivos importantes armazenados nos computadores, mas não há
procedimento de backup dos mesmos, representando um grande risco de perda dos dados
armazenados nos computadores.
Recomendações:
Backup
- Adotar políticas de backup: realizar o procedimento de guardar os arquivos em outros
dispositivos, como pendrives, HD externos, CDs, DVDs e servidores da nuvem e uma cópia
desses arquivos, em pelos menos em dois computadores da organização, já que não existe um
servidor instalado.
- Falta de proteção na sala dos equipamentos de TI;
- Falta de sistema de alarmes instalados;
- Pouca proteção contra roubo de periféricos internos do computador;
- Não existe extintor de incêndio;
- Não existe aterramento devidamente instalado.
- Não adotar políticas de segurança, representa um problema sério à organização, como visto a
organização não possui nem o mínimo exigido para garantir a segurança do ambiente.
Segurança do ambiente Recomendação:
- Adotar políticas de segurança conforme a norma ISO/IEC NBR 27002;
- Adquirir uma trava de cabo para os computadores;
- Adquirir cadeados e chaveamento por senhas para dificultar a entrada de pessoas não autorizadas
à sala de equipamentos da unidade;
- Instalar sistema de alarmes no prédio;
- Adquirir urgentemente um extintor de incêndio;
- Realizar o aterramento para proteção dos equipamentos de TI e dos usuários.
- Foi encontrada uma documentação sobre controle de equipamentos patrimonial denominado de
guia dos bens patrimoniais, contendo todos os bens da organização, incluindo os equipamentos de
TI. Entretanto, não existe uma documentação específica dos equipamentos de TI;
- Não existe um planejamento estratégico direcionado à tecnologia da informação na organização;
- Pouco espaço para acomodação dos equipamentos de TI.
Recomendação:
- Alocar os equipamentos de TI para um espaço maior;
Planejamento e
- Adotar políticas de planejamento e controle de TI: desenvolver um documento contendo todas as
controle de TI
informações da Infraestrutura de TI atual, e também desenvolver um manual com os
procedimentos corretos para seu uso.
- Implementação de um sistema de inventários de TI, que possibilite cadastrar todos os
equipamentos de TI, softwares, contratos, arquivos, problemas e incidentes encontrados na
unidade local. Com esse sistema é possível manter o controle da infra de TI, pois possibilita o
acesso a todas as informações cadastradas sobre a infraestrutura tecnológica da organização, e
encontrar melhores soluções para cada tipo de problema tratado.
De maneira geral foi visto que a infraestrutura de TI da unidade analisada está fora das
recomendações descritas nos manuais e normas apresentados neste trabalho. Dentre os
problemas identificados, pode-se destacar a não realização de um planejamento estratégico de
TI, e consequentemente não execução de investimentos mínimos na melhoria da
infraestrutura, a não realização de manutenções periódicas tanto em hardwares como em
softwares. A rede não é gerenciada, e a infraestrutura existente hoje é precária. Atualmente
não existe mecanismo de backup de arquivos. Os funcionários não recebem treinamento para
utilização correta e mais eficiente da TI. Além disso, foram identificados sérios problemas de
segurança, não existindo equipamentos considerados básicos, como extintor.
Tais problemas dificultam que os objetivos da organização sejam atendidos, sendo,
portanto imprescindível que aconteça uma mudança na forma de gerenciamento da
infraestrutura de TI. A situação encontrada prejudica a organização local e a matriz, os seus
funcionários, os usuários dos serviços (como proprietário e produtores rurais), e a
comunidade, que de forma indireta necessita que esses serviços funcionem plenamente.
Com isso é possível constatar que o nível de maturidade (de acordo com as
recomendações do COBIT) da organização analisada é 0, uma vez que verificou-se que não
existe um processo definido, e a organização não reconhece um gerenciamento a ser iniciado.

6. Considerações Finais
O presente trabalho foi direcionado para auditoria de infraestrutura de TI, através do COBIT e
de livros na área foi possível desenvolver questionários para extrair informações que deram
embasamento para conquistar o objetivo deste trabalho, ou seja, avaliar a infraestrutura de TI
de uma organização pública.

XVII Encoinfo – Congresso de Computação e Sistemas de Informação

ISSN: 2447-0767 31
 Com a execução do estudo de caso foi possível perceber a realidade de como a
infraestrutura da unidade analisada é organizada. Neste caso, constatou-se uma situação
precária, não existindo procedimentos regulares de manutenção preventiva de hardware,
software e rede. Além de não existir um planejamento estratégico e consequentemente falta de
investimento na infraestrutura de TI, o que por sua vez afeta diretamente na qualidade dos
serviços oferecidos pela unidade.
Através da avaliação foram realizadas algumas recomendações de práticas a serem
seguidas pelos gestores, para o melhor aproveitamento dos processos de TI existentes e para
sanar os problemas encontrados.
O chefe responsável pela unidade reconheceu os problemas existentes, e explicou que
não depende dele para realizar as mudanças necessárias na infraestrutura de TI, e sim de
superiores, mas afirma estar disposto a mudar isso, levando os resultados encontrados nesta
pesquisa ao diretor regional, a fim de discutirem e definirem estratégias para resolução dos
problemas detectados.
Ficam aqui recomendações para outras pesquisas no assunto, bem como outras formas
de avaliar uma infraestrutura de tecnologia da informação em uma organização. Sendo assim,
como trabalhos futuros propõe-se que este estudo seja ampliado, a fim de verificar se a
realidade encontrada nesta unidade é a mesma de outras no Estado do Tocantins.

References
Albertin, Alberto Luiz. Administração de Informática: funções e fatores críticos de sucesso;
colaboração de Rosa Maria de Moura. 4 ed. São Paulo: Atlas, 2002.
Albertin, Alberto Luiz. Beneficio do uso de tecnologia da informação no desempenho
empresarial. GV pesquisa, 2005.
Associação Brasileira de Normas e Técnicas ABNT. NBR ISO/IEC 27002: Tecnologia da
informação: Técnicas de segurança: Código de prática para a gestão de segurança da
informação. Rio de Janeiro, 2005
CFC. Manual de Auditoria de Sistemas. Disponível
em:<http://portalcfc.org.br/wordpress/wpcontent/uploads/2013/01/Manual_auditoria_site.p
df>. Acesso em: 21 de Mar. 2014.
COBIT 4.1 The IT Governance Institute. 2007. Disponível em: <
http://www.isaca.org/knowledge-center/cobit/pages/overview.aspx >. Acesso em: 06Abr.
2014.
Dias, Cláudia. Segurança e Auditoria da Tecnologia da Informação.1.ed. Rio de Janeiro:
Axcel Books, 2000.
Hanashiro, Maíra. Metodologia Para Desenvolvimento De Procedimentos E Planejamento De
Auditorias De Ti Aplicada à Administração Pública Federal. 2007. 168 p. Dissertação
(Mestrado em Engenharia Elétrica). Faculdade de Tecnologia, Universidade de Brasília,
Brasília/DF, 2007. Disponível em:<
http://portal2.tcu.gov.br/portal/pls/portal/docs/2053984.PDF>. Acesso em: 09 Abr. 2014.
Hanashiro, Maíra. Auditoria de TI na CGU. 2009. 95 p. Relatório técnico cientifico
(especialização em auditoria interna). TCU, Brasília/DF, 2009. Disponível
em:<http://portal2.tcu.gov.br/portal/pls/portal/docs/2053984.PDF>. Acesso em: 02 Abr.
2014.
Miglioli, Afrânio Maia. Tomada de Decisão na Pequena Empresa. 2006. 107p.
Dissertação (Mestre em engenharia da produção). Escola de Engenharia de São Carlos, São
Carlos-SP, 2006. Disponível

32 XVII Encoinfo – Congresso de Computação e Sistemas de Informação

ISSN: 2447-0767
 em:<http://www.teses.usp.br/teses/disponiveis/18/18140/tde01062006111443/publico/MI
GLIOLI_A_M_Dissertacao_de_mestrado.pdf>. Acesso em: 31 mai. 2015.
Monteiro, Gustavo Bastos. Auditoria de tecnologia da informação na administração pública
no âmbito dos municípios do estado do rio de janeiro. 2008. 132 p. Dissertação
(Mestrado em administração pública). Escola
Brasileira de Administração Publica , Fundação Getúlio Vargas, Rio de Janeiro, 2008. Disp
onível em:< http://www.ecg.tce.rj.gov.br/dissertacoes>. Acesso em: 28 Mar. 2015.
TCU. Manual de Auditoria Operacional. 2010. Disponível
em:<http://portal2.tcu.gov.br/portal/pls/portal/docs/2058980.PDF>. Acesso em: 20 mar.
2015.
Weill; Peter; ROSS; Jeanne W. Governança de TI: Tecnologia da Informação. São Paulo: M.
Books Brasil Editora Ltda. 2006.

XVII Encoinfo – Congresso de Computação e Sistemas de Informação

ISSN: 2447-0767 33