ALESSANDRO MARTINELLI WOLF

LEANDRO ALVES LOLI

PREVENÇÃO DE FRAUDES A SISTEMAS DE SOFTWARES DE

ADMINISTRAÇÃO E GESTÃO PÚBLICA

São Caetano do Sul/SP

2015
 ALESSANDRO MARTINELLI WOLF

LEANDRO ALVES LOLI

PREVENÇÃO DE FRAUDES A SISTEMAS DE SOFTWARES DE

ADMINISTRAÇÃO E GESTÃO PÚBLICA

Trabalho de Conclusão de Curso

apresentado à Faculdade de Tecnologia de
São Caetano do Sul, sob a orientação do
Professor Msc. Adilson Ferreira da Silva,
como requisito parcial para obtenção do
diploma de Graduação no Curso de
Segurança da Informação.

São Caetano do Sul/SP

2015
 ADRECIMENTOS DE LEANDRO ALVES LOLI

Agradeço primeiramente a Deus, por ter me mostrado o caminho e

segurado minha mão quando o chão parecia não estar mais lá.

Agradeço aos meus pais – Natalina e Rupercio – por terem me ensinado a

caminhar, pelas orações nos momentos difíceis, pela vida e educação que me
deram, por me empurrarem quando eu quis parar de andar e não me deixarem
desistir dos meus sonhos e objetivos. Eu amarei vocês sempre!

Agradeço enormemente à pessoa que escolhi para chamar de amor –

Beatriz – pelos quase 10 anos de parceria, amor e amizade. Por ter-me
reensinado a viver, por ter me mostrado o lado bom do mundo, das pessoas e da
vida. Por não ter desistido de mim quando eu mesmo quis desistir de tudo ao meu
redor e sempre ter me dado à palavra de conforto que eu precisava. Obrigado
minha amiga e companheira por compartilhar e viver nossos sonhos, eu te amo
demais.

Agradeço especialmente a meu melhor amigo e dupla neste trabalho, -

Alessandro-. Obrigado por entrar nesta empreitada e me ajudado a chegar ao fim
deste trabalho. Obrigado também pelos longos anos de amizade e
companheirismo em todos os lugares que passamos desde a ETEC. Obrigado
irmão, sem seu apoio não seria igual.

Agradeço ao nosso orientador – Adilson – por ter nos ajudado com sua
experiência e conhecimento na contribuição deste trabalho e a todos os
professores da FATEC São Caetano do Sul, especialmente ao professor e amigo
Marcos Cabral pelo incentivo de sempre e sua contribuição com este trabalho.

Agradeço também ao meu analista – Marcelo–pelo grande trabalho que

juntos efetuamos na mudança fundamental do meu comportamento e vida.
Obrigado por te me ajudado a continuar firme e repensar todas as minhas
atitudes.

Agradeço aos meus sogros – Amélia e Júlio – por terem me acolhido como
filho e serem meus segundos pais, o apoio de vocês em diversos aspectos da
minha vida foram fundamentais.

Por fim, agradeço aos meus familiares e amigos, em especial Felipe, Hans
e Bia por suas sempre motivadoras palavras ainda que num momento distante,
serão sempre especiais e queridos.
 AGRADECIMENTOS ALESSANDRO

Agradeço minha mãe e pai Aparecida e Mauricio por sempre me darem o

incentivo do estudar e por darem toda base de ensinamento que hoje uso para
este trabalho e para a vida. Sem vocês nada disso teria começado.

Agradeço a minha namorada Livia pelo apoio incondicional dado nesses

dias de trabalho para realizar o TCC. Obrigado por sempre estar comigo em todos
os momentos e sempre me apoiar.

Agradeço ao meu colega de trabalho e amigo para a vida toda Leandro por
estar comigo tantos anos na área de TI e pelos anos de grande amizade que
temos. Estaremos sempre juntos nessa caminhada da vida.

Agradeço ao professor Adilson por toda orientação dada neste trabalho e

por ser um profissional competente em sua área. Obrigado pelas dicas e pelo
apoio.
 “Senhor Deus, essa noite eu não queria pedir nada, porque
eu já pedi tanto e tanta coisa me foi dada... Saúde pra correr e
proteção pelas calçadas, fui invisível pra cada alma mal
intencionada [...] Se a vontade era minha eu não sei só sei que no
vale da sombra e da morte eu fechei meus olhos e passei!”
Rashid.

“Cada sonho que você deixa pra trás, é um pedaço do seu futuro que deixa
de existir.” Steve Jobs
 RESUMO

WOLF,Alessandro Martinelli; LOLI, Leandro Alves. Prevenção De Fraudes a

Sistemas De Softwares De Administração e Gestão Publica. 52 f. Trabalho de
Graduação – Faculdade de Tecnologia de São Caetano do Sul, São Caetano do
Sul, 2015.

A Tecnologia da Informação (TI) vem se tornando nas últimas décadas uma

ferramenta indispensável para instituições públicas. Com isso, a busca por novos
meios de aumentar a produtividade e disponibilidade vem sendo a principal
exigência das instituições. Contudo, com o aumento da complexidade dos
sistemas, aumentou também o número de vulnerabilidades dos sistemas.

A fraude em sistemas informatizados de gestão publica vem crescendo

cada vez mais ao longo dos anos e as informações que são processadas por
estes sistemas são de extrema importância para gestão de processos, impostos e
serviços públicos em grande escala.

Será realizado neste trabalho um estudo de caso baseado na reportagem

de German Oliveira para o site O GLOBO que visa analisar as falhas ocorridas na
Prefeitura Municipal de São Paulo que foi denunciada por um esquema de desvio
de verbas.

No decorrer deste trabalho serão abordados tipos existentes de fraudes e

serão definidos conceitos de segurança que podem ajudar a amenizar as fraudes
em softwares de gestão publica, preparando assim uma cartilha de melhores
praticas.

Palavras-Chave: Software de Gestão Publica; Fraude; Segurança; Software de

Administração
 Abstract

WOLF,Alessandro M.; LOLI, Leandro Alves. Prevenção De Fraudes a Sistemas

De Softwares De Administração e Gestão Publica. 50 p. Trabalho de
Graduação – Faculdade de Tecnologia de São Caetano do Sul, São Caetano do
Sul, 2015.

The Information Technology (IT) has become in recent decades an

indispensable tool for public institutions. Thus, the search for new ways to increase
productivity and availability has been the main demand of the institutions.
However, with the increased complexity of the systems also increased the number
of system vulnerabilities.
Fraud in computerized management systems public is growing
increasingly over the years and which information is processed by these systems
are extremely important for process management, taxes and public services on a
large scale.
Will be performed this work a case study based on the German Oliveira
report to the site O GLOBO that aims to analyze the failures that occurred in the
City of São Paulo which was terminated by a funds diversion scheme.
In the course of this work will be covered existing types of fraud and
security concepts will be defined that can help mitigate fraud management
software publishing, preparing a handbook of best practices.

Key-Words: management software publishing; fraud; security; Administration

Software
.
LISTRA DE ILUSTRAÇÕES

Figura 1 - Fraud Tree 19

Figura 2 - Triângulo da Fraude 21

Figura 3 - Ciclo de Vida do Habite-se 30

Figura 4 - Tela do sistema com menus completamente desbloqueados31

Figura 5 - Tela do Calculo do Habite-se 32

Figura 6 - Boleto Original com valores corretos 32

Figura 7 - Funcionario “A” Fazendo alteração de Lançamentos 33

Figura 8 - Boleto com Valor Alterado 34

Figura 9 - Arquivo de Texto do Banco 35

Figura 10 - Tela de Processamento da Baixa 35

Figura 11 - Tela de Lançamentos Baixados 36

Figura 12 - Modelo Gerencial de Segurança da Informação 37

Figura 13 - Bloqueio Aplicado após Metodos de Segurança 40

Figura 14 - Sistema de Gestão de Acessos e Logs 40

Figura 15 - Liberação de Sistema para Alteração de Lançamentos 41

Figura 16 - Arquivo do Banco Criptografado 43

LISTA DE TABELAS

Tabela I – Lista de Causas x Efeitos 40

Tabela II - soluções apresentadas 48

LISTA DE ABREVIATURAS E SIGLAS

ACFE – Association of Certified Fraud Examiners

CGM – Controladoria Geral do Município

CNPJ – Cadastro de Pessoa Jurídica

CPF – Cadastro de Pessoa Física

CTM – Código Tributário Municipal

IPTU – Imposto Predial e Territorial Urbano

ISS – Imposto Sobre Serviço

PSI – Politica de Segurança da Informação

TI – Tecnologia da Informação

TCU – Tribunal de Contas da União

Sumário
INTRODUÇÃO.........................................................................................................11
1 CONCEITO DE FRAUDES E MÉTODOS DE SEGURANÇA UTILIZADOS......18
1.1 O QUE SÃO FRAUDES?.............................................................................................18
1.2 TIPOS DE FRAUDES...................................................................................................18
1.3 POR QUE AS FRAUDES OCORREM?...........................................................................22
1.4 DIFERENCIAÇÃO DE FRAUDE CORPORATIVA E FRAUDE DE SERVIÇO
PUBLICO....................................................................................................................................23
1.4.1FRAUDE CORPORATIVA...........................................................................................24
1.4.2 FRAUDE DE SERVIÇO PÚBLICO............................................................................24
1.5 CONTROLE DE ACESSO.................................................................................................25
1.6 MELHORES PRÁTICAS....................................................................................................26
1.7 AUDITORIA EM TEMPO REAL (AUDITORIA CONTINUA).........................................28
1.8 SEGREGAÇÃO DE FUNÇÃO...........................................................................................28
1.9 CRIPTOGRAFIA.................................................................................................................29
1.10 POLÍTICA DE SEGURANÇA..........................................................................................29
2 CASO DE APLICAÇÃO – SISTEMA PARA OBTENÇÃO DE HABITE-SE.......31
3 APLICAÇÃO DE MÉTODOS PARA PREVENÇÃO DE FRAUDES...................41
3.1 ANÁLISE DOS RESULTADOS.........................................................................................48
CONCLUSÃO..........................................................................................................49
REFERÊNCIAS BIBLIOGRÁFICAS.......................................................................50
INTRODUÇÃO

Com o crescimento dos municípios brasileiros e o avanço da tecnologia,

faz-se necessário a utilização de sistemas informatizados por parte dos órgãos
públicos para dar suporte às ações do município, por exemplo, seria inviável fazer
manualmente o cálculo de IPTU de cada imóvel, bem como, do ISS de cada
empresa. Para a construção e desenvolvimento de sistemas da informação são
consideradas as necessidades dos usuários, as facilidades oferecidas para
aqueles que o acessam e a segurança, que pode ser definida como proteção ao
acesso indevido, garantia da integridade e disponibilidade dos sistemas e das
informações neles contidas. Como todo local que possui sistemas informatizados,
os órgãos de administração e tais sistemas estão suscetíveis a fraudes e
irregularidades no uso de seus sistemas. Este trabalho tem por objetivo analisar
sistemas de informação e apontar falhas reais de utilização, parametrização e
segurança que podem ocorrer, bem como, apontar pontos onde tais falhas podem
ser corrigidas evitando assim as fraudes.

O conceito de segurança da informação esta associado com garantir a

proteção dos dados de uma pessoa física ou uma organização. Seus principais
fundamentos são a integridade, disponibilidade, confidencialidade. Informações
sempre foram bens valiosos, porém, com o avanço da tecnologia elas têm sido
ainda mais valorizadas e o valor de um determinado produto é infimamente menor
se comparado ao valor das informações sobre tal produto. Como exemplo pode-se
citar a fórmula da Coca-Cola.

Podemos afirmar que não só os órgãos públicos, mas, todas as

organizações dependem da tecnologia, e com isso o interesse em buscar essas
informações aumenta, dando espaço para a criação das fraudes as quais
abordaremos neste trabalho.
A norma NBR ISO/IEC 17799 (2005, p. ix) classifica Segurança da Informação
como algo que é:

Especialmente importante no ambiente dos negócios,

cada vez mais interconectado. Como um resultado
deste incrível aumento da interconectividade, a
informação está agora exposta a um crescente
número e a uma grande variedade de ameaças e
vulnerabilidades.

Quando passamos ao foco dos ambientes de Administração Pública, muitas

vezes, o interesse por tais informações cresce. Um órgão como uma prefeitura,
por exemplo, possui dados sobre valores gastos pelo município, que são dados
públicos e podem ser verificados no TCU (Tribunal de Contas da União), porém,
quando alterados de forma indevida geram grandes problemas para o município
no momento da prestação de contas com o Tribunal de Contas da União.

Além das informações sobre arrecadação, as prefeituras ainda armazenam

os dados dos contribuintes como: Nome, CPF, dados empresariais, dados
imobiliários etc. Os dados do cadastro imobiliário de um município são de extrema
valia para uma especulação imobiliária indevida por exemplo. Caso um
determinado contribuinte sem autorização tenha acesso ao cadastro de isenções
de impostos da prefeitura, pode fazer uma alteração inibindo a cobrança de
impostos de si mesmo por longos anos, ou, até que uma determinada auditoria
seja implantada. Dessa forma podemos concluir que tais informações necessitam
de grande proteção, porém, será que esses dados estão realmente seguros
quando transitam pelos sistemas que o gerenciam? Esse será o foco deste
trabalho que veremos a seguir quando será abordado quais as brechas que um
sistema real de gerenciamento de informações pode conter, bem como, sugerir
métodos para que possam ser feitas as mitigações de tais riscos de fraudes.
Uma prefeitura dispõe de diversos sistemas para dar suporte à
administração do município, dentre eles pode-se citar alguns como:
 I – Sistemas de Tributação: o sistema de tributação tem a função de dar
suporte à arrecadação de impostos do município. Ele armazena os dados dos
imóveis situados no município e também os dados de empresas estabelecidas ou
prestadoras de serviço no município. A partir de tais cadastros, geram-se os
impostos de acordo com as leis e valores de referencia do município, tais impostos
quando pagos geram-se arrecadações aos sistemas de contabilidade. Caso os
impostos não sejam pagos, a prefeitura tem a opção de tornar os débitos casos de
Divida Ativa, bem como, solicitar execução fiscal junto ao cartório e negativar os
CNPJ/CPF do devedor. Tais funções são básicas de todos os sistemas de
tributação municipal;

II – Sistemas Contábeis: Os sistemas contábeis têm a função de dar

suporte ao controle financeiro da prefeitura. Os valores arrecadados pelos
sistemas de tributação são diretamente inseridos no sistema contábil através de
dados bancários (arquivos de texto), analisados e distribuídos conforme a
necessidade das contas bancárias e contábeis do município. O sistema faz a
função de arrecadar e distribuir os fundos da prefeitura, ou seja, os valores
arrecadados para a Saúde devem ser destinados às contas do setor de Saúde e
assim por diante com educação, trânsito, melhorias municipais etc.;

III – Sistemas de Protocolo: Os sistemas de protocolo visam criar e distribuir

remessas de processos e solicitações efetuadas às Prefeituras. Quando
necessária alguma solicitação por parte de um contribuinte, por exemplo, o
contribuinte deve dirigir-se ao setor de protocolo para criar um processo para sua
solicitação e assim poder acompanhá-lo com segurança. Os processos devem ser
tramitados via sistemas e física entre os setores envolvidos, sendo assim, fica
comprovado o suporte que os sistemas dão aos usuários.

Existem diversos outros sistemas que podem ser citados a caráter de

conhecimento como: Controle de Frota, que visa armazenar e movimentar os
dados dos veículos de patrimônio da prefeitura. Sistema de Compras, que visam
controlar as licitações necessárias no município. Sistemas de educação, que
visam controlar os dados das escolas municipais, entre outros.

Estes sistemas, assim como outros diversos, estão altamente sujeitos à

tentativa de acesso por fraudadores, dada a importância dos dados que contem.
Tais fraudadores têm a intenção de alterar os dados (quebra de integridade), ou
ter acesso indevido aos dados de um determinado contribuinte (quebra de
confidencialidade) ou simplesmente tirar um destes sistemas do ar (quebra de
disponibilidade) a fim de obter algum tipo de vantagem.

Este trabalho tem por objetivo demonstrar falhas que comprometem o tripé
de segurança da informação para com as informações contidas nos sistemas de
gerenciamento e administração pública, bem como, apontar quais as melhorias
necessárias para mitigar os riscos de fraudes nestes sistemas reduzindo assim o
desvio de verbas e ações indevidas nos governos.

No ano de 2013, foi descoberta na Prefeitura Municipal de São Paulo – SP,

através da Operação Necator, um esquema de desvio de verbas do ISS / Habite-
se. O habite-se é calculado sobre o valor total das obras realizadas por
empreiteiras/arquitetos onde é gerada uma guia para pagamento. A operação de
geração da guia com base no cálculo do valor da obra é feita utilização uma
parametrização dos valores no sistema da prefeitura. A partir dessa mesma
operação, foi descoberto outro esquema envolvendo o IPTU (Imposto Predial e
territorial urbano) realizando alterações nas áreas de terrenos e construções, bem
como, no padrão construtivo dos imóveis. Abaixo segue notícia retirada do site da
Fazenda pelo jornalista German Oliveira (2014):

Quatro auditores fiscais da prefeitura de São Paulo na

gestão do ex-prefeito Gilberto Kassab (PSD) foram presos na
manhã de ontem em uma operação montada pelo Ministério
Público Estadual e a Controladoria Geral do Município (CGM), com
ajuda da Polícia Civil de São Paulo, para desbaratar um esquema
 de corrupção que pode ter causado prejuízo de pelo menos R$
200 milhões aos cofres públicos somente nos últimos três anos.
Como a quadrilha agia desde 2007, os prejuízos podem subir para
R$ 500 milhões, segundo os promotores do caso. O chefe da
quadrilha, segundo o MP, Rolilson Bezerra Rodrigues, ex-
subsecretário da Receita de Kassab, foi nomeado em janeiro, já na
gestão do prefeito Fernando Haddad, diretor financeiro da
SPTrans, empresa municipal de transportes.
A ação também bloqueou cerca de R$ 80 milhões em bens dos
presos, entre eles, apartamentos, flats, prédios, barcos e
automóveis de luxo, e até uma pousada em Visconde de Mauá, no
Rio de Janeiro. Grande quantidade de dinheiro e joias foi
apreendida, mas os promotores não souberam precisar os valores
confiscados ontem.1

Como identificar e prevenir tais fraudes?

Há diversas formas de se mitigar as chances de uma fraude ocorrer nos

sistemas de administração publica, porém, adotaremos duas abordagens
fundamentais para que possamos agir diretamente na raiz do problema. Ei-las:

I – Conscientização: É necessária a conscientização dos governantes sobre

segurança da informação. É necessário apresentar-lhes as formas existentes de
se fraudar um software de administração publica, porém, isso não basta. Faz-se
necessário a apresentação de relatórios e noticias que lhes mostrem outras
ocorrências de fraudes em órgãos públicos e como tais fraudes foram prejudiciais
aos cofres públicos;

II – A aplicação e adoção de procedimentos de segurança da informação

para manutenção, desenvolvimento e entrega de sistemas de gestão pública para
contribuir com a prevenção contra tais fraudes. Como procedimentos
interessantes a serem adotados, podemos destacar, entre outros:
1
NOTÍCIA COLHIDA DO SITE O GLOBO, EM 26 DE SETEMBRO DE 2014.
 a) Adoção de uma politica de segurança da informação;
b) Adoção de um ambiente de gestão de Segurança da informação;
c) Controle de acessos;
d) Segregação de funções;
e) Desenvolvimento seguro;
f) Classificação da Informação.

Um órgão público que faz uso de sistemas para controle geral do município
governado necessita tomar medidas cabíveis e suficientes para garantir a
confidencialidade, integridade e disponibilidade das informações financeiras e dos
contribuintes do município.

Como metodologia para construção deste trabalho, empregaremos como

método principal:

I. Demonstração de um sistema real: Iremos apresentar falhas conhecidas,

formas conhecidas de corrigir tais falhas e um descritivo dos métodos
utilizados;

Ao final deste trabalho, espera-se ter conseguido demonstrar formas de

conscientizar os governantes sobre a importância de se adotar segurança da
informação nos órgãos públicos, bem como, espera-se ter conseguido demonstrar
técnicas que ajudem a prevenir que as fraudes aos sistemas de gestão pública
possam ocorrer.
1 CONCEITO DE FRAUDES E MÉTODOS DE SEGURANÇA UTILIZADOS

O capítulo a seguir traz definições do que são fraudes e quais tipos

existentes além de métodos de segurança utilizados para prevenir ações
fraudulentas que serão utilizados posteriormente neste trabalho.

1.1 O QUE SÃO FRAUDES?

Segundo Wells (2008) fraude trata-se de um ato ilícito cometido com a

finalidade de se obter vantagem usando-se de truques ou enganações.

Um exemplo simples de fraude é o ato de solicitar a um colega de trabalho

que registre seu ponto em um período em que você não se encontra realmente na
empresa.

1.2 TIPOS DE FRAUDES

Fraudes podem ser cometidas contra organizações (públicas ou privadas) e

também contra pessoas de forma individual. No âmbito organizacional uma fraude,
em geral, é oriunda de funcionários, gerentes, diretores ou proprietários no caso
de organizações privadas, ou podem ser oriundas de clientes (contribuintes no
caso do nosso estudo).

I - Fraude ocupacional (Fraude Interna)

Trata-se de uma fraude cometida contra uma organização valendo-se de
um cargo dentro desta mesma organização como modus operandi dela. A ACFE
classifica uma fraude interna como “O uso de uma ocupação (cargo) para o
enriquecimento pessoal através do mau uso deliberado ou má aplicação de
recursos da organização ou ativos”.

O intuito deste trabalho é abordar a fraude tendo a tecnologia como modus

operandi, porém, quando tratamos de uma fraude interna por mais que a
tecnologia evolua e os fraudadores estejam sempre procurando novos métodos de
enganar o seu alvo, normalmente, as formas de se cometer uma atitude
fraudulenta partem de mecanismos ou metodologias que já são conhecidas há
tempos. Pensando nisso a ACFE definiu um padrão para ajudar a identificar e
delimitar os esquemas conhecidos de fraudes conhecida como FraudTree (Arvore
de Fraudes).

Os três principais tipos de fraudes internas são a corrupção, inapropriação

indébita e declarações fraudulentas, porém, a árvore abaixo mostra uma
classificação completa de fraude interna:
 Figura 1. Fraud Tree

Fonte: ACFE Association of Certified Fraud Examiners, 2014

II - Fraude Externa
As fraudes externas são fraudes em que o fraudador não se vale de um
cargo na organização para cometer seus atos ilícitos. A fraude externa pode ser
cometida por um fornecedor, por um cliente ou até mesmo por alguém que não
tenha nenhum tipo de relação estreita com a empresa. Dentre as fraudes externas
conhecidas podemos citar o pagamento das contas efetuadas com cheques sem
fundo por parte dos clientes, roubo de propriedade intelectual além das ameaças
hackers.
No caso da Fraude mencionada na problematização deste trabalho, a
Operação Necator identificou a fraude partindo de dentro da Prefeitura de São
Paulo, sendo assim, trata-se de uma fraude interna, porém, não há como provar
se as empreiteiras flagradas no esquema eram coniventes ao esquema por
“obrigação” ou por vontade própria.

III - Fraudes Contra Indivíduos

As fraudes não são um problema exclusivo das organizações, indivíduos

simples (pessoas físicas) também estão altamente suscetíveis às fraudes. Com o
crescente uso da tecnologia estão se tornando cada vez mais frequentes o uso da
“ignorância” dos leigos a respeito dos golpes praticados. Hoje em dia é normal
recebermos em nossos celulares alguns SMS dando prêmios em troca de créditos
ou emails solicitando que informemos os dados de nossa conta no banco.

O site ActionFraud coordenado pela Policia Federal do Reino Unido fez

uma lista de A-Z dos tipos de fraudes conhecidas:

a) Esquema de Ponzi – O fraudador cria um anuncio falso de investimento que

oferece um grande retorno financeiro em pouco tempo.
 b) Fraude do Namoro – O fraudador se passa por uma pessoa interessada em
um relacionamento sério com a vítima, porém, utilizam-se desse romance
para pedir dinheiro, contas de banco etc.
c) Engenharia Social – Método de fraude utilizado pela fraude do namoro.

1.3 POR QUE AS FRAUDES OCORREM?

Após tomarmos um breve conhecimento sobre o que são as fraudes e

quais os tipos de fraudes, a grande questão que surge é “porque elas
acontecem?”. A resposta para essa pergunta parece obvia “Para que eu possa
tirar vantagem de algo que eu queira”, porém, a resposta pode ser mais completa
e complexa valendo-se de um estudo feito por Donald Cressey(1973). Cressey
entrevistou cerca de 250 criminosos fraudadores para que pudesse traçar um
perfil de tais criminosos e descobrir o que os levaram a cometer tal ato ilícito. Com
esta entrevista Cressey concluiu que existiam três motivos principais para isso,
formou-se, portanto um triângulo.

1) Problemas financeiros não compartilháveis

2) Oportunidade
3) Racionalização
O modelo do triângulo foi definido por Cressey da seguinte forma:
 Figura 2. Triângulo da Fraude

Fonte: DonaldR. Cressey, 1973

1.4 DIFERENCIAÇÃO DE FRAUDE CORPORATIVA E FRAUDE DE SERVIÇO

PUBLICO

As fraudes em empresas e em órgãos públicos são denunciadas

constantemente nos veículos de comunicação e se tornam cada vez mais
constantes. O numero alarmante de casos de fraude de todos os tipos não parece
tender a diminuir ao longo do tempo.

Alguns estudos são realizados para tentar entender as fraudes. No campo

de Estudos Organizacionais, os estudos produzidos sobre o tema têm procurado
responder a questões relacionadas a "quando a fraude ocorre" e "por que a fraude
ocorre" (e.g, HILL e outros, 1992; SCHNATTERLY, 2003). Entretanto, conforme
apontado por Ashforth e outros (2008), parecem faltar estudos que tratem de
"como a fraude ocorre".
1.4.1FRAUDE CORPORATIVA

A fraude corporativa consiste em ações voluntárias de omissão e

manipulação de transações e operações, adulteração de documentos,
registros, relatórios e demonstrações contábeis, tanto em termos físicos
quanto monetários associados a empresas que fazem com que ela tenha
uma grande perde lucro ou de imagem relacionada ao mercado.
Não se sabe ao certo o motivo exato de um indivíduo cometer uma
fraude corporativa. Segundo Baucus (1994), o comportamento ilegal
intencional ou não intencional resulta tanto das pressões quanto das
necessidades, ambas criadas por determinadas características
organizacionais e ambientais, de modo isolado ou em combinação.

1.4.2 FRAUDE DE SERVIÇO PÚBLICO

A fraude pública não está relacionada somente à perda de lucro ou imagem

como na fraude corporativa, mas também por burla de normas públicas,
beneficiamento em atos públicos (campanhas eleitorais ou decretos) e
recebimento de rendimentos ilícitos de corporações que se beneficiaram da fraude
realizada.

A fraude é um início para o que é mais noticiado no ramo do setor público.

A corrupção, segundo Verillo, (2009) “É tão fácil, tão comum culturalmente a
corrupção que quase todos os prefeitos fazem algo errado. É a institucionalização
da corrupção”

1.5 CONTROLE DE ACESSO

 Toda e qualquer informação deve ser controlada para que sejam
respeitados os princípios básicos de segurança da informação: Confidencialidade,
Integridade e Disponibilidade. Este controle deve ser feito de maneira inteligente
para não prejudicar os processos existentes, entre tanto deve ter uma segurança
eficaz para estes processos não serem prejudicados por falta de controle.

A norma ISSO 17.799, item II trata de controle de acesso com muita ênfase
recomendando medidas de proteção, de acesso, etc. O professor Mauricio Rocha
Lyra (2008) ressalta que, A norma tem como premissa que nada deve ser
permitido! Tudo é proibido, a menos que expressamente permitido.

Existem vários recursos a serem verificados quando se fala em controle de

acesso lógico. Entre os principais estão: Banco de Dados, softwares, sistemas
operacionais, entre outros. Para cada tipo de ativo temos um controle básico muito
utilizado no seguimento de TI: A conta de usuário.

A conta de usuário é o método único e exclusivo que visa identificar quem

fez tal operação e quando fez através de ferramentas de log. Esta conta é
vinculada a pessoa para verificação da identidade e deve ser pessoal e
intransferível. A conta deve conter uma senha forte de difícil dedução, deve ter
bloqueio após certo numero de tentativas.

É aconselhável que seja agregado a conta um sistema me Token, como

cartão magnético, smartcard, cartão com chip, etc. ou, utilizar-se de um sistema
de biometria como impressão digital, reconhecimento fácil, voz, Iris, etc. Todos os
procedimentos devem passar por processos formais e com acompanhamento de
um profissional de segurança para auxilio do usuário.

Após criada sua conta, deverá ser feita uma administração de privilégios do
usuário (Segregação de Função) baseado nos procedimentos diários realizados
por ele. Estes usuários devem ter seus perfis cadastrados e ter um gerenciamento
de cada procedimento que o usuário possa realizar, sempre realizando revisões
dos perfis cadastrados.
 Todo procedimento realizado deve ser registrado através de logs, com
informações como data, hora, IP que realizou nome de usuário, duração dos
procedimentos, entre outros.

A informação, segundo Fontes (2000, p.34)

É um bem da organização e possui valor para a organização, para

seus concorrentes, para os funcionários insatisfeitos, para os
ladrões eletrônicos e para os não eletrônicos. Portanto ela deve ter
um processo de segurança compatível com seu porte, que
gerencie, estruture e responsabilize o seu uso.

O controle de acesso físico deve ser aplicado em locais onde existem ativos
que tenham alta importância para a organização. Estes devem controles
apropriados como crachá de identificação para acesso ao local, cartão com PIN,
senha de acesso nas portas, etc.

1.6 MELHORES PRÁTICAS

Nos últimos tempos, vem surgindo diversos modelos de melhores práticas

para TI, que parecem ajustar-se às aspirações dos acionistas e do mercado, em
geral, de garantir que as ações de TI estejam alinhadas com a estratégia das
organizações, contribuindo para atingir os objetivos dos investidores. Segundo
PRAIRIE (1996,p.242)“As melhores práticas relativas ao alinhamento estratégico
da TI podem ser verificadas de benchmarking resultante de um levantamento
efetuado em grandes empresas”.

Alguns desses modelos são originais e outros, derivados, tendo evoluído a

partir de outros modelos. É importante ressaltar que a expressão melhores
práticas, frequentemente adotada é uma forma de referir-se a procedimentos
padronizados incorporados em sistemas organizacionais. Essas práticas estão em
constante atualização e evolução, e nem sempre representam, necessariamente,
a melhor forma de fazer algo, mas a forma daqueles que tiveram suas práticas
sistematizadas primeiro.

Logo, a expressão deve ser entendida, a partir dessa perspectiva, como

sinônimo de práticas padronizadas, independentemente de serem melhores do
que outras práticas passíveis de serem utilizadas. Estão exemplificadas baixo
algumas melhores praticas existente atualmente

I. ITIL

A ITIL (Information Technology Infrastructure Library) é um guia de

melhores práticas para gerenciar os serviços e a infraestrutura de TI. Trata-se da
metodologia mais difundida no mundo para o gerenciamento de serviços de TI.

Foi criada pela Central Computer and Telecommunications Agency (CCTA)

em 1980 e transferida em abril de 2001 para o Office of Government Commerce
(OGC), do governo britânico;

II. COBIT

O COBIT (Control Objectives for Information and Related Technology) foi

criado em 1994 pela Information Systems Auditand Control Foundation (ISACF), a
partir de seu conjunto inicial de objetivos de controle, e vem se difundindo por
meio de padrões internacionais técnicos para processos de TI. O COBIT fornece
um detalhado conjunto de procedimentos e diretrizes que são aplicados na
auditoria dos processos de TI em diversas instituições e corporações tanto
privadas como publicas, bem como uma avaliação dos riscos e probabilidades de
ocorrência.

1.7 AUDITORIA EM TEMPO REAL (AUDITORIA CONTINUA)

 A auditoria contínua é uma técnica de auditoria que realiza comparações
utilizando bases de dados informatizadas, fazendo uso de ferramentas de
extração, análise e mineração de dados, tendo como base a avaliação de riscos e
controles internos.

O risco usualmente é definido como a incerteza de um evento que gera um

resultado. Ele pode ser tanto a uma ameaça quanto a uma oportunidade que vale
assumir um risco. Porém, perdas significativas e também podem gerar grandes
prejuízos, neste contesto é importante que os riscos sejam avaliados com
exatidão, calculando-se a probabilidade dos resultados assim como seu impacto.
Tudo, nos dias de hoje, pode gerar um risco, pois operam em um ambiente de
incertezas que colocam qualquer atividade como provável alvo de diversos
agentes. Assim, toda atividade deve ter um sistema implantado para administrar
esses resultados. Isso envolve identificação, da melhor maneira possível, dos
riscos potenciais e do provável impacto deles em sua atividade.

Segundo o Prof. Miklos Vasarhelyi(KPMG,AICPA, RutgersUniversity),”Auditoria

Continua é o tipo de auditoria que produz resultados simultaneamente ou em um
pequeno período de tempo após a ocorrência de um evento relevante”. Ou seja,
realizar testes de controles nos processos continuamente, aproveitando
ferramentas de tecnologia disponíveis, de forma a identificar inconformidades,
tendências e indicadores de riscos.
 

1.8 SEGREGAÇÃO DE FUNÇÃO

                É uma técnica que tem como base à redução de riscos deliberados ou

propositais, quando as funções conflitam com as informações que estão sendo
tratadas, capazes de interferir nas tomadas de decisões. É necessária, portanto, a
separação das funções a serem executadas, quando são realizadas pelo mesmo
indivíduo e forem capazes de interferir na produção das informações ou serviços.
 A definição do termo segregação de funções, utilizada pelo Tribunal de
Contas da União, conforme a Portaria nº 63/96, de 27/2/96, que aprova o Manual
de Auditoria do TCU², como:  “[...] segregação de funções é princípio básico do
sistema de controle interno que consiste na separação de funções,
nomeadamente de autorização, aprovação, execução, controle e contabilização
das operações”.

1.9 CRIPTOGRAFIA

A criptografia surgiu da junção das palavras "kryptós" e "gráphein", que

significam "oculto" e "escrever", respectivamente. É o conjunto de técnicas que
codifica uma informação restringindo ao emissor e ao receptor o acesso a tal
informação, evitando que qualquer usuário consiga decifra-la.

Segundo Stallings (2008) “A criptografia é a ciência que trata de proteger

informações de pessoas não autorizadas. Essa proteção se dá, atualmente, com o
desenvolvimento e aprimoramento de algoritmos que conseguem cifrar a
informação de forma eficiente e viável computacionalmente, e que, no entanto,
sejam difíceis de transpor”

Para isso, varias técnicas são usadas, como o DES que é um tipo de cifra
que transforma um texto de tamanho fixo em um texto cifrado de mesmo tamanho,
ou seja, uma substituição monoalfabética dos caracteres digitados do texto limpo
ou o RIJNDAEL que faz a permutação das letras do texto limpo, embaralhando o
texto para criptografá-lo.

1.10 POLÍTICA DE SEGURANÇA

Política de Segurança é um conjunto de normas, padrões e procedimentos

cuja finalidade é o tratamento da Segurança da Informação. Na visão de Marciano
e Marques (2006, p. 89) “[...] as políticas de segurança da informação são, via de
regra, apresentadas como códigos de conduta aos quais os usuários dos sistemas
computacionais devem se adequar integralmente”.

É a formalização de todos os itens considerados relevantes por uma

organização para a proteção, controle e monitoramento de seus ativos para
garanti-los legalmente e instruir os usuários como devem proceder a gestão de
seus bens.
2 CASO DE APLICAÇÃO – SISTEMA PARA OBTENÇÃO DE HABITE-SE

Neste capítulo iremos demonstrar em um sistema real qual foi o

comportamento dos fraudadores da prefeitura do município de São Paulo para
fraudar o recebimento das guias de habite-se junto às construtoras e
incorporadoras acusadas.

O fundamento de tal cobrança é individual e varia de acordo com qual

município estamos lidando, cada município possui o seu próprio CTM – Código
Tributário Municipal. Tal CTM descreve passo a passo como e quanto deve ser
cobrado em cada tributo municipal (IPTU, ISS, Taxas, Habite-se etc.).

No caso que vamos estudar a seguir, iremos tratar especificamente do

Habite-se. Segundo Custodio (1977, p.491 )

Habite-se é o ato administrativo emanado da autoridade

competente que autoriza o inicio da utilização efetiva de
construções ou edificações destinadas a habitação. Trata-se de
um documento que comprova que um empreendimento ou imóvel
foi construído seguindo-se as exigências estabelecidas pela
prefeitura para a aprovação de projetos. O documento é emitido
pela prefeitura da cidade onde o empreendimento ou móvel
encontra-se localizado. Enquanto isso o inicia da obra é autorizado
por uma licença para construção, o habite-se atesta sua conclusão
de acordo com a licença inicialmente dada.

Com base na lei do município é cobrado um valor, normalmente por metro

quadrado, e somente após o pagamento deste valor é liberado o habite-se.
Quando se trata de construções residenciais individuais uma casa, por exemplo, o
habite-se não costuma ser caro, porém, para imóveis e empreendimentos grandes
como condomínios ou prédios o valor pode ser alto.
 Foi com base nessa diferença de valores que os servidores públicos mal
intencionados se beneficiaram. O esquema descoberto na Operação Necator
verificou que tais servidores se aproveitavam de brechas no sistema de
Administração Pública onde eram feitas alterações muito grandes nos valores a
serem cobrados, por exemplo, o valor a ser cobrado era de R$1.000.000,00,
porem, o servidor gerava uma guia (boleto) no valor simbólico de R$15.000,00 e
em troca deste “Favor” a construtora pagava R$500.000,00 diretamente a tal
servidor.

Na sequencia deste capitulo iremos demonstrar passo a passo como isso é

possível de ocorrer e posteriormente iremos oferecer um pacote de boas práticas
que visa impedir que isto ocorresse. Na demonstração através de imagens
daremos foco em uma análise baseada na fraude da Operação Necator, porém,
nossa expectativa é a de que tais práticas supra todo o sistema de Administração
Publica. Salientamos que os dados utilizados abaixo são falsos e visam apenas
demonstrar quais as brechas encontradas neste sistema.

A figura 3 demonstra o ciclo de como acontece o procedimento desde a

necessidade até a real emissão do documento de liberação do Habite-Se:

I) Necessidade de Construção: Uma determinada construtora A inaugura um

novo projeto de empreendimento, sendo assim, é necessário que seja liberado
o habite-se. Faz-se necessário que um representante da construtora dirija-se a
prefeitura para realizar a solicitação;

II) No setor competente a emissão deste Habite-se, um fiscal realiza o cálculo de

acordo com a metragem do projeto dado em planta assinada pelo arquiteto do
projeto. Gera-se o cálculo e um boleto com o valor a ser pago pela construtora;

III) O documento oficial do Habite-se só é liberado após o final da obra, porém,

para que a obra seja autorizada um fiscal da prefeitura dirige-se ao
 empreendimento e estando de acordo com as leis faz a emissão da Licença
Provisória de Construção;
IV) A construtora realiza o pagamento do boleto efetuado na etapa II diretamente
em uma instituição bancária;

V) O setor competente à atividade de arrecadação da Prefeitura recebe um

arquivo texto do banco cujo qual possui convenio e com modulo correto lê este
arquivo que contém o pagamento da construtora além de outros pagamentos;

.
VI) Após a leitura deste arquivo o setor de arrecadação processa a baixa dos
recebimentos contidos nestes arquivos de texto, dando como pago o
lançamento efetuado no item II;

VII) O setor responsável pela análise da arrecadação verifica se o pagamento

realmente foi efetuado e este pronto para a emissão do habite-se;

VIII) Novamente no setor de fiscalização a construtora recebe o documento que

licencia oficialmente seu empreendimento e afirma que tal imóvel esta pronto
para uso.

Figura 3: Ciclo de Vida do Habite-se

 Dado o ciclo de vida de um habite-se, demonstraremos como este sistema
pode ser fraudado caso não tenha os procedimentos de Segurança da Informação
corretamente adotados. Daremos inicio a demonstração a partir do passo II do
ciclo do habite-se, quando o representante esta na prefeitura para o inicio do
projeto. A figura 4 mostra a tela de um sistema simulado no acesso de um
colaborador, note que todos os menus encontram-se abertos na barra lateral,
sendo assim, caso este colaborador esteja mal intencionado, poderá acessar os
dados livremente.

Figura 4 – Tela do Sistema com Menus Completamente Desbloqueados

Na figura 5, podemos ver que corretamente o funcionário mal intencionado

acessa o menu do sistema para gerar o cálculo. As informações foram todas
preenchidas de forma fictícia para gerar o lançamento. O valor a ser cobrado é
definido no CTM – Código Tributário Municipal, para o caso que estamos
estudando o valor a ser cobrado para construções acima de 15000m² é de
R$125.000,00 x R$2,75 (Unidade de Valor de Referencia do Município), sendo
assim, o valor a ser cobrado da construtora em questão (Leandro Alves Loli) é de
R$343.750,00. Este valor é pré-definido, portanto, não pode ser alterado durante a
geração do cálculo. A figura 6 mostra o boleto que foi emitido pelo funcionário com
o valor correto, note que há uma identificação para este boleto e que no código de
barras (Febraban) esta colocado o valor correto.

Figura 5 – Tela Do Calculo do Habite-se

 Figura 6 – Boleto Original Com Valores Corretos

Para a fraude que visamos demonstrar, semelhante à Operação Necator,

este valor não é interessante para o funcionário A, sendo assim, ele precisa que
este valor seja alterado. Como o sistema este completamente desbloqueado, o
mesmo funcionário tem acesso aos menus de alterações dos lançamentos já
existente. A figura 7 demonstra o funcionário A alterando o valor para R$500,00,
além de mudar a data do vencimento para dar prazo maior a construtora. Como
fruto desta alteração de lançamento na Figura 8 podemos ver o boleto alterado
com os valores que interessam ao fiscal. Este boleto será entregue à construtora
para pagamento e posteriormente a construtora pagará um parte do valor correto
ao Grupo de funcionários fraudulentos.
Figura 7 – Funcionário A Fazendo Alteração De Lançamentos

Figura 8 – Boleto com valor alterado

 A partir do momento em que este boleto for entregue à construtora o
esquema muda de mãos e passa à mão do segundo e último funcionário envolvido
no esquema, o funcionário B é responsável por recepcionar e aprovar este
pagamento. Em uma estrutura mal montada de cargos o funcionário que
recepciona o arquivo é o mesmo que processa a baixa e confere os lançamentos
que foram baixados (pagos). A figura 6 demonstra um arquivo de texto que
retornou do Banco Itaú com o pagamento da guia (boleto) lançado e alterado pelo
funcionário A. Como arquivo de texto claro poderia ser facilmente alterado, porém,
como o boleto já foi alterado pelo funcionário A, a única coisa que o funcionário B
precisa fazer daqui pra frente é vista grossa para o fato, porém, caso fosse
necessário o funcionário B que possui total conhecimento dos dados contidos no
arquivo (Data de Vencimento, Data de Processamento No Banco, Código de
Barras, Valor e Convenio Bancário) poderia alterar os dados.

Figura 9 – Arquivo de Texto do Banco

 A partir do recebimento deste arquivo que é obtido através de download no
site do banco, o funcionário B parte para o processamento deste arquivo conforme
podemos verificar na Figura 10. O procedimento consiste apenas em indicar no
sistema a pasta do local do arquivo e processar. O sistema fará o processamento
e baixará os débitos.

Figura 10 – Tela de Processamento da Baixa

 Feito o procedimento de recebimento do movimento bancário, o funcionário
B precisa verificar se o lançamento efetuado pelo funcionário A foi corretamente
baixado (pago) para que possa informar ao funcionário A que o procedimento foi
feito corretamente. A figura 11 demonstra o lançamento corretamente pago e
comprovando que o procedimento de fraude na parte do sistema foi completado. A
partir deste momento o funcionário A ira contatar a construtora com o Alvará de
Habite-se em mãos e liberando para que a construtora faça o depósito do valor
outrora combinado em uma conta laranja.

Figura 11 – Tela De Lançamentos Baixados

 Neste capítulo demonstramos através da simulação de um sistema fictício
um dos métodos que pode ter sido usado para fraudar o recebimento dos valores
para liberação do Habite-se na Operação Necator. Outros métodos podem ter sido
utilizados para tal, porém, estamos demonstrando aqui como uma simples má
configuração da Segurança da Informação pode permitir facilmente a ação
fraudulenta.

No próximo capítulo demonstraremos como podemos usar algumas

técnicas aprendidas neste curso de Segurança da Informação para impedir que
exatamente esta operação de fraude possa ocorrer.
3 APLICAÇÃO DE MÉTODOS PARA PREVENÇÃO DE FRAUDES

Nos capítulos anteriores vimos como dois funcionários podem facilmente

fraudar um sistema de informação visando seu lucro próprio e vimos também
algumas técnicas conhecidas que podem ajudar a prevenir que tais atos ocorram.
Neste capítulo pretendemos demonstrar como tais técnicas podem impedir que
estas fraudes ocorram.

No ultimo capítulo levantamos possíveis problemas e/ou brechas nos

sistemas e/ou procedimentos da prefeitura que facilitaram a fraude por parte dos
fraudadores da Operação Necator:

Tabela I – Lista de Causas x Efeitos

Causa
Menus Desbloqueados
Funcionário faz e confere seu próprio
Múltiplas Funções
Troca Insegura de Arquivos
Falta de validação de dados
Falta de Gestão de Acessos
Efeito
Funcionário Pode Alterar o Valor do
Habite-se
trabalho
Funcionário pode ver informações
bancárias desprotegidas
Funcionário altera dado e nenhum
auditor fica sabendo
Nenhuma fraude é gravada em logs

Para que a Prefeitura Municipal possa manter os controles e procedimentos

que iremos citar neste capítulo, primeiramente sugerimos que seja criado um
“time” de segurança da informação. Sugerimos a criação de uma estrutura
conforme demonstrado na figura 12
 Figura 12 – Modelo Gerencial de Segurança da Informação

Fo
nte: Material apresentado em aula pelo professor Marcos Aurélio Cabral, durante o ano letivo de
2012.

O Cobit sugere ainda a adequação de um conjunto de controles para

garantir a segurança dos sistemas, o conjunto de controles possui o nome de
DS5. O DS5 visa manter a integridade da informação e proteger os ativos de TI.
Se faz necessário implementar um processo de gestão de segurança. Esse
processo inclui o estabelecimento e a manutenção de papéis, responsabilidades,
políticas, padrões e procedimentos de segurança de TI.
A gestão de segurança inclui o monitoramento, o teste periódico e a
implementação de ações corretivas das deficiências ou dos incidentes de
segurança.A gestão eficaz de segurança protege todos os ativos de TI e minimiza
o impacto sobreos negócios de vulnerabilidades e incidentes de segurança.
Sugerimos também a criação de uma Política de Segurança da Informação
que permita estabelecer diretrizes aos colaboradores da Prefeitura em questão
seguirem padrões de comportamento relacionados à segurança da informação
adequados às necessidades do nicho de mercado e da proteção legal da
prefeitura e de seu colaborador. A política visa criar diretrizes para dizer o que o
colaborador pode/deve ou não fazer como, por exemplo, uso de e-mail
coorporativo, internet da prefeitura, comprimento e força de senhas, etc. A PSI
serve também para informar aos colaboradores que eles poderão ser gravados e
monitorados com aviso prévio de acordo com as leis brasileiras.

Tendo a prefeitura adequado seus fatos de gestão conforme citados acima,

podemos passar aos controles específicos dos sistemas que temos enfoque, os
sistemas de Administração Pública.

Vimos que o funcionário A aproveita-se de uma falha de administração do

sistema onde todos os menus encontravam-se aberto e a sua disposição para
uso. Esta falha é a porta de entrada para que o funcionário A consiga dar inicio a
fraude, sendo assim, daremos inicio por ela. Para esta falha sugerimos duas
ferramentas que citamos no capítulo anterior:

I – Controle de Acesso: Sugerimos que o setor de segurança da informação

adeque-se ao controle de acesso lógico (visando sistemas) utilizando-se da
política de segurança da informação para estabelecer que tais contas de usuário
tenham senhas fortes e seguras e que as mesmas sejam de uso pessoal e
intransferível. Sugerimos a adoção do procedimento de Token visando que cada
acesso seja concedido com um código individual e diferente para cada
colaborador que seja utilizado através de um dispositivo eletrônico “de bolso”;

II – Segregação de Função: Após a criação das contas de usuário,

sugerimos que o setor de SI junto às áreas envolvidas defina para cada usuário ou
grupo as atribuições necessárias visando à concessão de privilégios restritos a
cada procedimento necessário;

III – Criação de um Sistema de gestão de acessos e logs que facilite a

equipe de SI delegar estas permissões e consultar os passos do sistema;

Utilizando estes dois métodos, o funcionário A deixará de ter acesso à

alteração de lançamentos, menu onde ele alterava o valor total para um valor
simbólico para efeito de registro nos sistemas, ainda que ele consiga de alguma
forma alterar estes lançamentos os logs de registro do sistema detectaram esta
ação dentro do sistema. A figura 13 demonstra a tela de lançamento aberta ao
funcionário A, porem, os demais menus bloqueados para que o mesmo não tenha
acesso. A figura 14 demonstra um sistema modelo de gestão de acessos e logs
para ajudar a administrar estes conceitos de SI.

Figura 13 – Bloqueio Aplicado Após Métodos de Segurança

Figura 14 – Sistema de Gestão de Acessos e Logs

 A partir da implementação destes três itens citados acima a principal porta
de entrada para a fraude foi fechada, porém, podem existir casos em que haja a
real necessidade de se alterar um lançamento, por exemplo, uma guia emitida
errada ou um vencimento fora do padrão. Este fato abre a brecha para que os
funcionários A e B citados no esquema no capítulo II incluam um terceiro
funcionário no esquema da fraude, funcionário este que teria acesso a esta
necessidade de acesso. A segregação de função adotada no passo acima deverá
bloquear o funcionário C de fazer lançamentos e tenha acesso apenas a alterar
lançamentos já efetuados, conforme mostra a figura 15. Se os funcionários tiverem
trabalhando em equipe, o funcionário C poderá alterar o lançamento efetuado pelo
funcionário A e dar novamente inicio a fraude, porém, com outras atividades.

Figura 15 – Liberação de Sistema Para Alteração de Lançamentos

Com base nesta abertura ainda possível de fraudes, passamos para nossa
próxima sugestão de controle, esta sugestão tem como base envolver o setor de
auditoria de Segurança da Informação e monitorar as atitudes deste funcionário C
durante alterações deliberadas de lançamento.

IV – Auditoria Continua ou Em Tempo Real: Utilizando-se de sistemas

específicos como o IDEA e o Scielo. Estes sistemas consistem em fazer a
mineração (extração) de dados em uma base de dados de preferência com base
em parâmetros pré-definidos pelo auditor que o opera. Tendo em vista esta função
o auditor deverá posicionar este software para que ele monitore as alterações de
lançamentos, além de outras atividades de sua preferência. O sistema deverá
monitorar um range de alteração conforme necessidade da prefeitura, por
exemplo, o auditor deseja que o range seja de R$10.000,00, portanto, caso haja
alguma alteração em que o valor aumente ou diminua mais do que este valor o
sistema irá disparar um alerta no e-mail do auditor e do gestor da área informando
que tal alteração foi realizada. No exemplo citado na nossa simulação de fraude a
alteração foi de R$375.000,00 para R$500,00 esta alteração estaria dentro do
nosso range de valores desejados e seria alertado ao auditor evitando que tal
fraude ocorresse.

Com a adoção deste quarto método esperamos bloquear mais uma vez a
porta de entrada da fraude ao sistema de administração pública, porém, ainda faz-
se necessário que tomemos algumas atitudes para evitar que o funcionário B,
responsável pela parte do processamento final ou recepção das baixas.

O arquivo da baixa oriundo do site do banco vem em texto (.txt) com

informações claras e passíveis de alteração por parte do funcionário que o
recepciona, no caso, o funcionário B. Para evitar algum tipo de alteração este
arquivo deveria ser bloqueado de edição, porém, este fato impediria que o sistema
lesse este arquivo, sendo assim, o método mais consistente seria que o
funcionário não tivesse os dados tão claros em sua tela. Para isto sugerimos os
métodos abaixo:

V – Criptografia: Sugerimos que o arquivo de retorno do banco esteja

criptografado ao menos nos registros que trazem a informação dos dados
bancários, para tal, faz-se necessário que o sistema possua a chave para
descriptografar este arquivo. A Figura 16 mostra o arquivo de texto do pagamento
da nossa fraude, porém, criptografado com uma linguagem (chave) que não é
disponibilizada ao usuário, apenas ao desenvolvedor e ao sistema.

VI – Segregação de Funções: Ainda que receba o arquivo criptografado o

funcionário B ainda é responsável por recepcionar o arquivo, processar a baixa e
conferir o lançamento pago. Sugerimos novamente aplicar a segregação de
função, retirando a função de conferência do pagamento do funcionário B e
passando ela a um novo funcionário. Esta alteração faz-se necessária também no
sistema, ou seja, a tela para conferência do pagamento não deve ficar aberta ao
funcionário B, bem como, a opção de recepção e processamento da baixa não
deve estar disponível ao funcionário D. A partir de então o funcionário D é quem
irá liberar de volta ao funcionário A para que este libera em definitivo o Habite-se a
construtora interessada.

Figura 16 – Arquivo do Banco Criptografado

3.1 ANÁLISE DOS RESULTADOS

Causa
Menus Desbloqueados
Múltiplas Funções
Troca Insegura de Arquivos
Falta de validação de dados
Falta de Gestão de Acessos
Efeito
Funcionário Pode Alterar o Valor do
Habite-se
Funcionário faz e confere seu próprio
trabalho
Funcionário pode ver informações
bancárias desprotegidas
Funcionário altera dado e nenhum
auditor fica sabendo
Nenhuma fraude é gravada em logs

Tabela II- soluções apresentadas

Causa Efeito Solução Apresentada

Funcionário Pode Alterar
Menus Desbloqueados Controle de Acesso
o Valor do Habite-se
Funcionário faz e confere
Múltiplas Funções Segregação de Funções
seu próprio trabalho
Funcionário pode ver
Troca Insegura de Criptografia do Arquivo de
informações bancárias
Arquivos Dados Bancários
desprotegidas
Funcionário altera dado e
Falta de validação de
nenhum auditor fica Auditoria Continua
dados
sabendo
Criação de Sistema de
Falta de Gestão de Nenhuma fraude é
Gestão de Acessos e
Acessos gravada em logs
Logs

Com estas intervenções espera-se ter conseguido bloquear por completo a

fraude que outrora ocorreu na operação Necator, os funcionários A e B citados no
exemplo da nossa fraude não terão mais as brechas, no sistema, para realizar
suas atividades ilícitas. Estas intervenções tem por base o sistema de
arrecadação, sendo assim, elas deverão afetar também outras atividades como:

1. Emissão de Guias
2. Parcelamento de Débitos
3. Lançamentos de IPTU e Taxas
4. Controle de Arrecadação
5. Controle dos Cadastros Municipais

CONCLUSÃO

Concluímos que, com as medidas corretas de segurança e os

procedimentos aplicados neste trabalho, o sistema de gestão publica tem uma
proteção maior e fica menos suscetível a fraudes intencionais ou não intencionais
geradas pelos funcionários. Estas medidas auxiliam a diminuir os riscos de fraude,
porem não eliminam a possibilidade de a mesma ocorrer, tendo que sempre ser
feita uma auditoria e acompanhamento dos processos realizados para uma maior
garantia dos resultados.

REFERÊNCIAS BIBLIOGRÁFICAS
AMARAL, Luis. Da Gestão ao Gestor de Sistemas de Informação: Expectativas
Fundamentais no Desempenho da Profissão. In: AMARAL, Luís.et.al.Sistemas de
Informação Organizacionais.Lisboa:Silabo, 2005.

ACFE – Association of Certified Fraud Examiners. What is fraud?.Disponível em

http://www.acfe.com/content.aspx?id=4294975444. Acesso em 10 de outrubro de
2014

CARVALHO, Daniel Balparda de. Segurança de Dados com

Criptografia:Métodos e Algoritmos. Rio de Janeiro: Book Express, 2000.

CUSTÓDIO, Helita Barreira; Habite-se, in Enciclopédia Saraiva do Direito,

Volume 40, Saraiva, São Paulo, 1977.

LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação.Rio

de Janeiro: Editora Ciência Moderna Ltda., 2008

MARCIANO, JoãoLuiz; MARQUES, Mamede Lima. O enfoque social da

segurança da informação. Ciência daInformação, Brasília, v. 35, n. 3, p. 89-98,
set./dez. 2006. Disponível em: <http://www.scielo.br/pdf/ci/v35n3/v35n3a09.pdf >.
Acesso em 21/04/2015

MINISTÉRIO PÚBLICO DE SANTA CATARINA. Planejamento Estratégico do

Ministério Público de Santa Catarina – 2004 / 2009. [Santa Catarina]: MPSC,
[s.d.].

OKOT-UMA, R. Electronic Governance: Re-inventing Good Governace. London:

Commonwealth Secretariat London, 2001.

OLIVEIRA, Germano. Fraude desviou R$ 200 milhões da prefeitura de SP.

Disponível em http://oglobo.globo.com/brasil/fraude-desviou-200-milhoes-da-
prefeitura-de-sp-10600373. Acesso em 26 de Setembro de 2014
POLLONI, Erico Giulio Franco. Administrando Sistemas de Informação. São
Paulo:Futura, 2000.

POLIZELLI, Dmeerval L; OZAKI, Adalton M. Sociedade da Informação: os

desafios na era da colaboração e da gestão do conhecimento.São Paulo:
Saraiva, 2008.

PRAIRIE, P.: "Benchmarking IT Strategic Alignment". In: LUFTMAN, J.N.

(ed.) Competing in the Information Age: Strategic Alignment in Practice. New
York. Oxford University Press. p.242-290, 1996. 

RIBEIRO, A.;RODRIGUES, L. Sistemas de Informação na Administração

Pública. Rio de Janeiro:Revan, 2004.

ROSINI, Alessandro Marco; PALMISANO, Angelo. Administração de sistemas

de informação e a gestão do conhecimento. São Paulo: Thomson, 2003.

TAIT, Tania Fatima Calvi; PACHECO, Roberto C. S. Um modelo de arquitetura

de sistemas de informação para o setor público estudo em empresas
estatais prestadoras de serviços de informática. Santa Catarina:
UNIVERSIDADE FEDERAL DE SANTA CATARINA/Centro Tecnológico.
Florianópolis, 2000.

TAROUCO, HiuryHakim;GRAEML, Alexandre Reis. Governança de tecnologia

da informação: um panorama da adoção de modelos de melhores práticas por
empresas brasileiras usuárias. Disponível em
http://www.revistas.usp.br/rausp/article/view/44521/48141. Acesso em 19 de
Março de 2015

VERILLO, Lizete. Diretora da ONG Associação dos Amigos de Ribeirão

Bonito (Amarribo), 2009