Projetos Auditoria Ti

PROJETOS DE AUDITORIA EM TI
Professor André Campos
Mantenha-se informado
Livro: Sistemas de Segurança da Informação – Controlando os riscos

Editora Visual Books.
Autor André Campos
Site: www.nisst.com
PROJETOS DE AUDITORIA DE TI
Pós-graduação da Universidade Estácio de Sá

Auditoria em Tecnologia da Informação
Elaborado pelo professor André Campos
Uma visão mais ampla sobre segurança da informação poderá

ser obtida no livro Sistema de Segurança da Informação –
Controlando os riscos, de André Campos, Editora Visual
Books.
Iniciando a auditoria
A auditoria é conduzida por um líder, ou

auditor líder, que é designado pelo gerente
responsável pelo programa de auditoria.
Quando acontecem auditorias conjuntas é

importante que as organizações envolvidas na
auditoria cheguem a um consenso quanto a
que será o auditor líder e qual será sua
autoridade sobre a equipe de auditoria, que
neste caso será mista.
Não podem haver dois auditores líderes para a

mesma auditoria.
Professor André Campos 1

Cada auditoria deve possuir uma definição dos

objetivos, escopo e critério de auditoria,
documentados. Os objetivos podem ser:
1 – Avaliação de conformidade (compliance);
2 – Avaliação da capacidade do Sistema de

Gestão;
3 – Avaliação da eficácia do Sistema de

Gestão;
4 – Identificação de áreas do Sistema de

Gestão para potencial melhoria.
O escopo da auditoria determina a

abrangência e os limites da auditoria,
envolvendo inclusive os limites físicos, da
estrutura hierárquica formal ou informal, dos
processos, e do período de auditoria.
O critério de auditoria é a referência contra a

qual a conformidade será determinada,
podendo ser políticas, normas, procedimentos,
leis, regulamentos, requisitos do Sistema de
Gestão, requisitos contratuais, entre outros.

Os objetivos da auditoria são definidos pelo

cliente, e o escopo e critério de auditoria são
acordados entre o cliente e o auditor líder.
Qualquer eventual mudança de objetivos,

escopo ou critério após o início da auditoria,
deve ser devidamente documentado e
assinado pelo cliente e pelo auditor líder.
Nos casos de auditorias combinadas é

especialmente importante que o auditor líder
garanta que os objetivos, escopo e critério
sejam adequados para a auditoria em
questão.
É importante, antes de executar um projeto de

auditoria, determinar a viabilidade deste
projeto.
Existem informações suficientes para suportar

a auditoria? O auditado está disposto a
cooperar ou é resistente ao processo? O
tempo e os recursos planejados são realmente
suficientes?
Não vale a pena começar um projeto que não

poderá ser concluído. O cliente, o auditado e o
auditor líder devem garantir a viabilidade.

Após o estudo de viabilidade, o próximo passo

é definir a equipe de auditores. É importante
que a equipe, coletivamente, possua os
conhecimentos e as habilidades necessárias
para conduzir a auditoria em questão. Devem

ser considerados aspectos tais como: a)
objetivos, escopo e critério da auditoria; b) se
a auditoria é simples, combinada ou conjunta;
c) requisitos legais, regulamentares,
certificações, etc; d) a garantia de
independência e imparcialidade; e) bom
relacionamento inter-pessoal do grupo); f) o
idioma da auditoria, se for o caso.
Se a equipe de auditores não for suficiente

para garantir o conjunto de conhecimentos e
habilidades necessárias, será necessário
convidar (contratar) especialistas que
atendam a esta demanda.
Membros da equipe poderão ser substituídos

a pedido do cliente ou do auditado, caso haja
conflito de interesses ou relato de conduta
inapropriada de um dos auditores ou
especialistas.

No início da auditoria, é adequado que o

contato inicial com o cliente seja
estabelecido de maneira formal (apesar de não
ser obrigatório), onde são definidos:
a) Canais de comunicação;
b) Confirmar a autoridade;
c) Detalhamento do projeto de auditoria;
d) Solicitação de acessos a informação;
e) Definição das regras de segurança física e
lógica pertinentes;
f) Explicitar se haverão observadores e e guias.
Análise crítica de documentos
Na fase de execução da auditoria, antes das

atividades no local, é importante fazer uma
análise crítica dos documentos, que podem
incluir documentos e registros específicos do
Sistema de Gestão e relatórios de auditorias

anteriores.
No caso da ISO 27.001 é importante avaliar o

documento de definição de escopo e a
declaração de aplicabilidade, além do registro
de incidentes de segurança da informação.

Análise crítica de documentos
Caso a documentação não se encontre nas

condições mínimas necessárias para o início
da auditoria, é provável que a auditoria seja
interrompida até que a documentação seja
providenciada.
Esta decisão deve ser tomada entre o auditor

líder e o cliente da auditoria.
Preparando atividades no local
O auditor líder deve apresentar para o cliente

e para o auditado um plano de auditoria, que
sirva de base central para a comunicação
entre todos os participantes e interessados no
projeto.
Este plano deve ser detalhado e dar uma idéia

clara do escopo, do tempo, dos recursos e dos
resultados esperados par ao projeto. Uma
prática adequada é construir um cronograma
do projeto que inclua todas estas informações.
Uma ferramenta muito utilizada é o MS

Project.

O plano de auditoria deve conter pelo menos

as seguintes informações:
1 – Os objetivos da auditoria;
2 – O critério de auditoria selecionado;

3 – O escopo da auditoria;
4 – As datas e locais onde ocorrerão as
atividades de auditoria;
5 – O tempo estimado das atividades;
6 – As funções e responsabilidades dos
envolvidos;

Continuação...
7 – A alocação de recursos;
8 – A identificação dos stakeholders (partes
interessadas);
9 – O idioma vigente para auditoria, se for

diferente do idioma nativo;
10 – As principais entregas, a serem
apresentadas no relatório de auditoria;
11 – Questões de logística (viajens, etc);
12 – Termos de sigilo e confidencilidade;
13 – Termos sobre ações de
acompanhamento.

É essencial que o plano de auditoria seja

avaliado pelos principais envolvidos, ou seja,
a equipe de auditoria, o cliente e o auditado.
O cliente deverá expressar formalmente sua

aprovação para o plano de auditoria, através
de um documento assinado por ele.
Eventuais alterações no plano de auditoria

deverão ser aprovadas novamente, também
de maneira formal.
O auditor líder, conhecendo melhor o

auditado, tendo analisado os documentos da
organização ou área, tendo avaliado a
viabilidade da auditoria, e tendo elaborado o
plano de auditoria, agora tem totais condições

de dividir o trabalho da auditoria para sua
equipe.
Ele considerará a competência de cada

auditor frente à demanda de cada tarefa, além
de observar a questão da independência dos
auditores.

O auditor líder conduzirá sua equipe na

preparação dos documentos para trabalho.
Este documentos são compostos basicamente

de listas de verificação (check-lists) e

eventualmente formulários para o registro de
informações de suporte, tais como evidências
e constatações, entre outros.
Os documentos de trabalho devem ser

preservados, pelo menos, até a conclusão da
auditoria.
Conduzindo projeto de auditoria
A reunião de abertura é importante, e deve

ser conduzida com a alta direção da
organização auditado e envolver as lideranças
das áreas, funções e processos a serem
auditados. Esta reunião tem os seguintes

objetivos:
1 – Confirmar o plano de auditoria;
2 – Fornecer informações sobre como será

conduzida a auditoria;
3 – Confirmar os canais de comunicação;
4 – Abrir espaço para perguntas.

A comunicação durante a auditoria é um fator

chave de sucesso, e deve ser feita
adequadamente. É impressionante o fato de
que todos os envolvidos em projetos, de
qualquer espécie, estão cientes da

importância da comunicação. No entanto, um
grande número de problemas ocorrem durante
o projeto exatamente em decorrência de
falhas ligadas a comunicação.
Um plano formal de comunicação precisa ser

elaborado. Os stakeholders são identificados e
comunicados do andamento da auditoria, tanto
no que se refere aos resultados positivos
quanto aos resultados negativos.
Problemas que estejam inviabilizando ou

prejudicando a auditoria precisam ser levadas
ao cliente imediatamente, para que as devidas
providências sejam tomadas. Caso contrário, o
inteiro projeto de auditoria poderá fracassar.

Caso, durante a auditoria, sejam encontradas

falhas graves, que possam gerar prejuízo para
a organização, devem ser comunicados
imediatamente ao cliente e ao auditado, e
não aguardar a conclusão da auditoria para

isso.
Qualquer necessidade de mudança de escopo

durante a auditoria, deve ser devidamente
documentada e amplamente comunicada para
todos os stakeholders.
É comum que as auditorias contem com

observadores e guias. Estes indivíduos não
devem interferir de maneira alguma na
auditoria.
O guia pode ser designado pelo auditado para

cumprir as seguintes responsabilidades:
1 – Estabelecer contados e programar visitas;
2 – Organizar as visitas;
3 – Garantir o respeito às normas e regras;
4 – Testemunhar a auditoria;
5 – Ajudar na coleta de informações.

De acordo com os objetivos,

Informações
disponíveis
escopo e critério da auditoria,
serão coletadas informações
por amostragem.
Coletar por
amostragem
Isto inclui informações sobre

Evidências
funções, processos e
da auditoria atividades. Apenas
informações verificáveis são
Avaliar contra válidas.
critério
Constatações Analisar Conclusões

da auditoria criticamente da auditoria
Informações Os métodos mais utilizados para

disponíveis
a coleta de informações são:
Coletar por
amostragem 1 – Entrevistas;
2 – Observação das atividades;

Evidências
da auditoria
3 – Análise de documentos.
Avaliar contra
critério


As evidências da auditoria serão

Informações
disponíveis
avaliadas contra o critério de
auditoria.
Coletar por
amostragem Esta avaliação demonstrará
conformidade ou não
Evidências
conformidade com o critério.
da auditoria
As não conformidades serão

Avaliar contra oportunidades de melhoria.
critério

A identificação das
Informações
disponíveis
conformidades, não
conformidades, e oportunidades
de melhoria são chamadas de
Coletar por
amostragem constatações da auditoria.
Evidências
A equipe de auditoria, durante o
da auditoria projeto, deverá se reunir para
avaliar as constatações de
Avaliar contra auditoria.
critério


Se for objeto da auditoria, todas

Informações
disponíveis
a conformidades individuais
serão registradas, e com elas, o
registro da evidência
Coletar por
amostragem (verificável) que a suporta.
Evidências
Deve estar claro em que local,
da auditoria ativo, função, ou processo a
conformidade foi encontrada.
Avaliar contra
critério

Do mesmo modo, e
Informações
disponíveis
principalmente, as não
conformidades devem ser
registradas. Estas não
Coletar por
amostragem conformidades podem ser
graduadas, se for o caso.
Evidências
da auditoria O auditado deve estar ciente e
concordar com a constatação
Avaliar contra da auditoria.
critério


Caso haja qualquer divergência

Informações
disponíveis
entre o auditado e a equipe de
auditoria, deve ser feito todo o
esforço possível para se chegar
Coletar por
amostragem a um consenso.
Evidências
Não sendo possível, um registro
da auditoria detalhado da divergência deverá
fazer parte dos registros da
Avaliar contra auditoria.
critério

Após toda a atividade de coleta

Informações
disponíveis
de informações e avaliação das
evidências, é a hora de analisar
todo este material e gerar as
Coletar por
amostragem conclusões da auditoria.
Evidências
Geralmente, isto é feito em uma
da auditoria longa reunião com todos os
membros da equipe de auditoria.
Avaliar contra
critério



O objetivo da reunião é:
Informações 1 – Analisar todas as
disponíveis
constatações da auditoria, e
qualquer informação adicional;
Coletar por
amostragem 2 – Acordar sobre as conclusões
da auditoria;
Evidências
3 – Preparar recomendações (se
da auditoria
for o caso);
4 – Discutir eventuais ações de
Avaliar contra
critério
acompanhamento.

Ao final da auditoria o auditor líder conduzirá

uma reunião de encerramento, onde
participarão a equipe de auditoria, o auditado,
o cliente, e eventualmente outros
stakeholders.
O objetivo é deixar claro todas as

constatações da auditoria e eventualmente
definir prazos para que o auditado alcance a
conformidade.
Estes prazos não devem ser definidos sem a

presença e concordância do auditado.

Este é o momento para que as divergências

entre a equipe de auditoria e o auditado sejam
trazidas à tona, e que haja um esforço
conjunto no sentido de resolver estas
divergências.
Se constar dos objetivos da auditoria, as

recomendações de melhoria poderão ser
apresentadas também neste momento, bem
como a proposta de ações de
acompanhamento.
O relatório de auditoria
Ao final da auditoria o auditor líder

providenciará a elaboração do relatório de
auditoria.
Não há um modelo oficial para este tipo de

relatório, mas é importante que ele garanta um
registro completo, preciso, conciso e claro
da auditoria.
No entanto, é importante que pelo menos

alguns elementos fundamentais componham
este relatório.

Entre estes elementos podemos citar:

1 – Os objetivos da auditoria;
2 – O escopo da auditoria;
3 – A identificação do cliente;
4 – A identificação do auditor líder;
5 – As datas e locais onde as atividades foram
realizadas;
6 – O critério de auditoria;
7 – As constatações da auditoria;
8 – As conclusões da auditoria.
Outras informações opcionais:

1 – O plano de auditoria;
2 – Lista de representantes do auditado;
3 – Resumo do processo de auditoria;

4 – Retorno sobre o atendimento dos objetivos;
5 – Áreas planejadas mas não cobertas;
6 – Divergências não resolvidas;
7 – Recomendações para melhoria;
8 – Plano de ação para acompanhamentos;
9 – Lista de distribuição do relatório.

Geralmente, o relatório de auditoria é

entregue em uma data posterior à conclusão
da mesma. Caso haja qualquer tipo de
atraso, isto deve ser informado ao cliente e
ao auditado e também constar como registro

no próprio relatório.
Este relatório é de propriedade do cliente, e a

confidencialidade dele deve ser amplamente
respeitada.
Qualquer registro ou documento referente a

auditoria deve ser devolvido ou destruído
completamente.
Concluindo a auditoria
Quando todas estas atividades foram realizadas
e o plano de auditoria seguido até o fim, a
auditoria é data por encerrada.
Caso tenham havido contratações de qualquer

tipo ou o estabelecimento de acordos para
viabilizar a realização da auditoria, este é o
momento para encerrar estes contratos e
acordos de maneira formal.
Todos os envolvidos, incluindo terceiros,

deverão assinar termos de sigilo e
confidencialidade a fim de preservar o cliente e
o auditado.

PROJETOS DE
AUDITORIA DE TI
Professor André
Campos
BIBLIOGRAFIA
ABNT. Norma ABNT NBR ISO/IEC 19011:2002 – Diretrizes para auditorias

de sistema de gestão da qualidade e/ou ambiental; Associação Brasileira de
Normas Técnicas (ABNT), Brasil, 2002.
ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação

– Técnicas de segurança – Código de práticas para a gestão da segurança
da informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.
Campos, André. Sistema de Segurança da Informação – Controlando o

Risco; Editora Visual Books, Brasil, 2005.
Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP
Exam; Estados Unidos, 2003.
NIST. An Introduction to Computer Security: The NIST handbook; National

Institute of Standards and Technology; Estados Unidos, 2003.
PMI. Project Management Book of Knowledge – PMBOK; Project Management

Institute, Estados Unidos, 2005.

Projetos Auditoria Ti

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Projetos Auditoria Ti

Enviado por

Direitos autorais:

Formatos disponíveis

PROJETOS DE AUDITORIA EM TI

Professor André Campos

Livro: Sistemas de Segurança da Informação – Controlando os riscos

Pós-graduação da Universidade Estácio de Sá

Elaborado pelo professor André Campos

Uma visão mais ampla sobre segurança da informação poderá

A auditoria é conduzida por um líder, ou

Quando acontecem auditorias conjuntas é

Não podem haver dois auditores líderes para a

Professor André Campos 1

Cada auditoria deve possuir uma definição dos

1 – Avaliação de conformidade (compliance);

2 – Avaliação da capacidade do Sistema de

3 – Avaliação da eficácia do Sistema de

4 – Identificação de áreas do Sistema de

O escopo da auditoria determina a

processos, e do período de auditoria.

O critério de auditoria é a referência contra a

Professor André Campos 2

Os objetivos da auditoria são definidos pelo

Qualquer eventual mudança de objetivos,

Nos casos de auditorias combinadas é

É importante, antes de executar um projeto de

Existem informações suficientes para suportar

Não vale a pena começar um projeto que não

Professor André Campos 3

Após o estudo de viabilidade, o próximo passo

para conduzir a auditoria em questão. Devem

Se a equipe de auditores não for suficiente

atendam a esta demanda.

Membros da equipe poderão ser substituídos

Professor André Campos 4

No início da auditoria, é adequado que o

Análise crítica de documentos

Na fase de execução da auditoria, antes das

Sistema de Gestão e relatórios de auditorias

No caso da ISO 27.001 é importante avaliar o

Professor André Campos 5

Análise crítica de documentos

Caso a documentação não se encontre nas

Esta decisão deve ser tomada entre o auditor

Preparando atividades no local

O auditor líder deve apresentar para o cliente

Este plano deve ser detalhado e dar uma idéia

Uma ferramenta muito utilizada é o MS

Professor André Campos 6

Preparando atividades no local

O plano de auditoria deve conter pelo menos

2 – O critério de auditoria selecionado;

Preparando atividades no local

9 – O idioma vigente para auditoria, se for

Professor André Campos 7

Preparando atividades no local

É essencial que o plano de auditoria seja

O cliente deverá expressar formalmente sua

Eventuais alterações no plano de auditoria

Preparando atividades no local

O auditor líder, conhecendo melhor o

plano de auditoria, agora tem totais condições

Ele considerará a competência de cada

Professor André Campos 8

Preparando atividades no local