NOME DO TUTOR | TURMA

“ Segurança da informação
Unidade 3

Fonte: https://resultadosdigitais.com.br/blog/seguranca-da-informacao/
Segurança da Informação
» Bem vindos ao encontro virtual de Segurança da Informação

» Neste encontro conversaremos sobre Auditoria de segurança da informação.

“ A auditoria de sistemas de informação visa verificar a
conformidade não dos aspectos contábeis da
organização, mas sim do próprio ambiente
informatizado, garantindo a integridade dos dados
manipulados pelo computador. Assim, ela estabelece e
mantém procedimentos documentados

da empresa, verificando aspectos de segurança e

qualidade.
Fonte: https://www.significados.com.br/politica/
“
para
planejamento e utilização dos recursos computacionais
“
O trabalho da auditoria de sistemas acontece
com o estabelecimento de metodologias,
objetivos de controle e procedimentos a
serem adotados por todos aqueles que
operam ou são responsáveis por
equipamentos de TI e/ou sistemas dentro da
organização.
“
Fonte: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-introducao-controles-organizacionais-e-operacionais
 Atividade de auditoria
» As atividades de auditoria de tecnologia de informações, além de tentar utilizar os
recursos de informática para auditar o próprio computador, também visam automatizar
todos os processos de auditoria. Como em qualquer outra atividade, as empresas de
auditoria também buscam um diferencial competitivo. Entre outros objetivos, consideram-
se:

» melhorar a eficiência e reduzir os custos;

» melhorar a qualidade do trabalho de auditoria, reduzindo, assim, os níveis de risco de
auditoria;
» atender às expectativas dos clientes, que esperam de seus auditores o mesmo grau de
automatização que utilizam em seu próprio negócio;
» preparar-se para a globalização dos negócios, que vem exigindo uma globalização dos
auditores;
» manter-se entre as maiores e mais reconhecidas pelo mercado.
UNIDICA - Lei Sarbanes-Oxley (SOx )

» O objetivo da SOx é o de identificar, combater e prevenir

fraudes que impactam no desempenho financeiro das
organizações, garantindo o compliance.
» Todas as empresas, sejam americanas ou não, com ações
na SEC (Securities and Exchange Comission, o que
equivale a nossa CVM - Comissão de Valores
Mobiliários – CVM brasileira) devem seguir as
definições da SOx.
 UNIDICA - Lei Sarbanes-Oxley (SOx )
• Importante destacar que a Lei Sarbanes-Oxley não é um conjunto de práticas
de negócios e não especifica como uma empresa deve armazenar registros.
Em vez disso, define quais registros devem ser armazenados e por quanto
tempo.

• Por esse motivo, não é apenas o lado financeiro das empresas que é
afetado, mas também os departamentos de TI, que são encarregados
de armazenar os registros eletrônicos. De acordo com a SOx, todos
os registros comerciais, incluindo registros eletrônicos e mensagens
eletrônicas, devem ser salvos por não menos de cinco anos. As
consequências para o não cumprimento do ato variam desde multas
até prisão.
ABORDAGEM DE AUDITORIA DE SISTEMAS DE INFORMAÇÕES
• Para auditar as informações em ambiente de
tecnologia de informação, o auditor poderá desenhar
as abordagens que lhe convêm. As abordagens mais
comuns são:
• abordagens ao redor do computador;
• através do computador;
• e com o computador.
ABORDAGEM DE AUDITORIA DE SISTEMAS DE INFORMAÇÕES
• A auditoria tradicional sempre foi conhecida por sua
responsabilidade nos testes de confiabilidade dos
registros de acordo com os documentos-fonte (os
documentos que geram todas as transações
econômicas, financeiras e contábeis) disponíveis
através de quaisquer dados intermediários que possam
existir e para os quais são produzidos relatórios para a
tomada de decisões gerenciais.
ABORDAGEM DE AUDITORIA DE SISTEMAS DE INFORMAÇÕES
• Porém, devido à evolução da tecnologia da informação,
que interfere nas tecnologias gerenciais, geração a
geração, é necessário guardar as informações para que
sejam acessíveis para auditoria quando forem
requisitadas. Sabe-se que, devido à complexidade dos
ambientes e expansão dos negócios que atingiram
implementações em ambiente de intranet e internet, há
grandes problemas quanto à vulnerabilidade de
computadores e alguns casos comuns de fraudes.
ABORDAGEM AO REDOR DO COMPUTADOR

• Auditoria ao redor do computador no passado era uma

abordagem muito solicitada pelos auditores, devido ao
não envolvimento de muito tecnologia de informação. A
abordagem requer que o auditor exame os níveis de
anuência associados à aplicação dos controles
organizacionais, no que concerne à tecnologia de
informação.
VANTAGENS DA ABORDAGEM AO REDOR DO COMPUTADOR

• não se exige conhecimento extenso de tecnologia de

informação para que o auditor possa operar
convenientemente este método, e isto faz com que as
técnicas e ferramentas de auditoria sejam válidas;
• também sua aplicação envolve custos baixos e diretos;
DESVANTAGENS DA ABORDAGEM AO REDOR DO COMPUTADOR

• restrição operacional quanto ao conhecimento de como os dados são atualizados faz

com que a auditoria seja incompleta e inconsistente, uma vez que o processo
operacional é dinâmico, atendendo às necessidades sociais;
• a eficiência operacional de auditoria pode ser avaliada com maior dificuldade, visto que
não há parâmetros claros e padronizados;
• uma vez não sendo necessário que o auditor possua maior capacidade profissional
adequada no que se refere à tecnologia de informação , e para capacitá-lo a executar
uma revisão mais lógica , o sistema pode ser enquadrado em limites de grande risco,
quando houver uma evolução e os documentos-fonte saírem de seu controle;
• as avaliações de tecnologia de informações, seja ambiente de uso pequeno, significativo
ou complexo, não importa, se executar algum procedimento de auditoria que exclua as
Unidades Centrais de Processameto (CPU) e suas funções aritmética e lógica , não se
pode afirmar que tal abordagem de auditoria tenha sido representativa e global de toda
tecnologia da informação daquela organização. Assim, as decisões tomadas baseadas
em relatórios de tais auditorias podem ser distorcidas
ABORDAGEM ATRAVÉS DO COMPUTADOR

• O uso desta abordagem envolve mais do que mera confrontação de

documentos-fonte com os resultados esperados, uma vez que os sistemas
têm evoluído muito. No entanto, este método alerta quanto ao manuseio de
dados, aprovação e registro de transações comerciais, sem deixar
evidências documentais razoáveis através dos controles de programas
construídos junto aos sistemas. Por esta razão, o auditor precisa
acompanhar o processamento através e dentro do computador.
• Assim, auditando com esse método, uma pessoa poderia requisitar, de
muitas maneiras, como é praticado na abordagem ao redor do computador, a
verificação dos documentos-fonte com dados intermediários; porém,
estabelece o auditor maior ênfase em todas as técnicas que utilizam o
computador como uma ferramenta para testar a si próprio e, também, testar
a entrada de dados.
VANTAGEM DA ABORDAGEM ATRAVÉS DO COMPUTADOR

• capacita melhor o auditor a respeito de habilidade

profissional no que tange a conhecimento de
processamento eletrônico de dados;
• capacita o auditor a verificar com maior frequência as
áreas que necessitam de revisão constante
DESVANTAGEM DA ABORDAGEM ATRAVÉS DO COMPUTADOR

• se a operação for efetuada incorretamente, pode levar a perdas

incalculáveis;
• o uso da abordagem pode ser caro, principalmente no que diz
respeito ao treinamento de auditores, aquisição e manutenção dos
pacotes de software;
• partindo do pressuposto de que os pacotes são completos, podem
estar errados. As técnicas manuais podem ser necessárias como
complementos para que a abordagem funcione efetivamente;
• há risco de que os pacotes possam estar contaminados pelo uso
frequente na auditoria organizacional.
ABORDAGEM COM O COMPUTADOR

A abordagem ao redor do computador, não é eficiente devido ao fato de

que negligencia algumas das qualidades dos controles internos dos sistemas
e propicia falta de disponibilidade de testes substantivos convincentes que
visam ajudar na conclusão sobre os sistemas.
A abordagem através do computador, preferida como superior à primeira,
pode também produzir registros incompletos. Ao invés de efetuar uma
verificação de equilíbrio com as ferramentas, ela tende a negligenciar os
procedimentos manuais, deixando incompleta a maioria das tarefas
normalmente efetuadas manualmente.
Devido às razões citadas, as firmas de auditoria e pesquisadores da área
contábil propuseram um meio de auditar as tecnologias de informações
com a maior perfeição possível, utilizando a abordagem com o computador
completamente assistida.
ABORDAGEM O COMPUTADOR

• A utilização das capacidades lógicas e aritméticas do computador para verificar se os

cálculos das transações econômicas e financeiras ou aqueles que dizem respeito às
responsabilidades, como, por exemplo, o cálculo das depreciações, taxas e impostos,
multiplicações e contabilizações, são feitos corretamente;
• A utilização das capacidades de cálculos estatísticos e de geração de amostras que
facilitem confirmações de saldos necessários para aferir a integridade de dados de contas a
receber , estoques imobilizados, advogados, entre outros;
• a utilização de capacidades de edição e classificação do sistema computadorizado, a fim de
ordenar e selecionar os registros de contabilidade. Por exemplo, através da varredura de
base de dados de sistema de estoque, um auditor pode ser capaz de apontar com precisão
os itens de movimento mais vagaroso, obsoletos, e isolá-los dos itens de movimento rápido,
para facilitar análises mais complexas e substantivas;
• a utilização das capacidades matemáticas do computador para analisar e fornecer listas de
amostras de auditoria. Pode, também, incluir a confirmação dos resultados de auditoria
executada manualmente, como dos cálculos globais.
ABORDAGEM O COMPUTADOR

• Uma grande facilidade do uso desta abordagem é a disponibilidade e

uso vantajoso de:

• capacidades de auditoria de aplicar Técnicas de Auditoria Assistida

por Computador (TACC), em outros momentos chamadas de CAAT
(Computer Assisted Audit Techniques);
• possibilidades de desenvolver programas específicos para serem
usados pelo auditor quando da necessidade de evidenciar uma
opinião sobre o processo contábil;
• ganhar tempo sobre os passos aplicados com o uso de pacote
generalizado de auditoria de tecnologia de informação
Planejamento da
auditoria
Auditoria
• A atividade de planejamento em auditoria de sistemas de
informações é imprescindível para melhor orientar o
desenvolvimento dos trabalhos. Como o trabalho de auditoria
representa processo contínuo de avaliação de risco ao qual se
adicionam as experiências individuais dos profissionais e a
evolução da prática e metodologias, aliadas aos resultados dos
trabalhos e processos de negócio anteriormente, objetos de
avaliação dos auditores , o planejamento é caracterizado para
evitar quaisquer surpresas que possam acontecer tanto nas
atividades empresariais, objeto de auditoria, como também em
relação à responsabilidade dos auditores.
Auditoria
• Desde os primeiros trabalhos deve ser desenhada uma "Matriz
de Risco" que seja permanentemente atualizada a partir dos
resultados obtidos nos testes e nas avaliações dos auditores,
assim como do impacto das mudanças ocorridas no negócio
resultantes de alterações de estratégias empresariais,
evoluções tecnológicas, concorrência, mudanças estatutárias,
legislações, mudanças nas leis ambientais, social e econômica
ou qualquer outro fator que tenha reflexo nas demonstrações
financeiras, continuidade operacional , qualidade dos controles
e, sobretudo, nos processos operacionais.
“ Segurança da informação

Fonte: https://resultadosdigitais.com.br/blog/seguranca-da-informacao/
NOME DO TUTOR | TURMA