5 AuditoriadeSistemas

Prévia do material em texto

Auditoria de Sistemas
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
 
SST
Schirigatti, Jackson Luis
Auditoria de Sistemas / Jackson Luis Schirigatti 
Ano: 2020
nº de p. : 10
Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
Auditoria de Sistemas
3
Apresentação
Neste momento, estudaremos os fundamentos de auditoria de sistemas, a 
importância da segurança dos ativos da informação nas organizações, os tipos de 
crimes e as medidas de segurança da informação. Em segundo momento, veremos 
os tipos de auditoria quanto à abordagem e ao órgão fiscalizador e de forma 
combinada ou articulada. Por fim, compreenderemos as atribuições de um auditor.
Fundamentos de auditoria de sistemas
A comunicação sobre os riscos inicialmente ficava a cargo de pessoas ou de um 
grupo de pessoas restrito à área. Ocasionava, em muitos casos, que parte do 
conhecimento ficasse perdido. Nos dias de hoje, é necessário selecionar o que 
realmente é importante, útil e relevante no que diz respeito às informações às 
quais nos expomos diariamente. Com a gama de recursos cada vez mais versáteis 
e com a flexibilidade que a tecnologia nos fornece, nossos dados, informações e 
conhecimentos são mediados pela tecnologia da informação e tornaram-se mais 
dependentes dos sistemas e, consequentemente, mais vulneráveis. 
A informação é um ativo intangível da organização. Assim como 
os ativos tangíveis e financeiros, a organização deve dedicar sua 
atenção à segurança desse recurso, que é a informação de que 
dispõem. Falhas e desastres em sistemas de informação podem 
levar a grandes prejuízos e até mesmo à falência de uma empresa.
Reflita
Gordon e Ford (2006) definem como crime cibernético qualquer crime facilitado ou 
realizado com utilização de computadores, redes ou hardware. Os autores propõem 
que haja dois grandes tipos de crimes:
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
4
Tipo I
Requer um número limitado de eventos e muitas vezes é facilitado pelo uso de 
keyloggers ou cavalos de troia. Esse tipo de crime tem o objetivo de ganhos 
financeiros por meio de captura de informações confidenciais dos usuários, quando 
os criminosos podem utilizar essas informações para realizar as fraudes.
Tipo II
Esse tipo requer múltiplos eventos e não raras vezes são realizados com a utilização 
de softwares não maliciosos, como os programas de mensagens instantâneas. Atores 
do tipo II tendem a ter um motivo pessoal ou político, como perseguição ou terrorismo 
cibernético. Esse tipo de crime pode causar perdas financeiras às suas vítimas. 
Na análise de riscos, observa-se o resultado das pesquisas realizadas por setores, 
em que empresas são requeridas a escolher três principais medidas de segurança 
da informação no seu planejamento anual, conforme com o quadro a seguir.
Medidas em segurança da informação de acordo com a 10ª Pesquisa Nacional de Segurança da 
Informação (2010).
Comércio
• Política de segurança;
• Análise de riscos no ambiente de TI;
• Capacitação da equipe técnica.
Financeiro
• Adequação às normas;
• Regulamentações e legislação;
• Análise de riscos no ambiente de TI; 
• Certificado digital.
Governo
• Campanha de sensibilização e 
responsabilização de funcionários;
• Análise de riscos no ambiente de TI; 
• Adequação às normas;
• Regulamentações e legislação.
Indústria
• Análise de vulnerabilidades;
• Análise de riscos no ambiente de TI; 
• Campanha de sensibilização e 
responsabilização de funcionários.
Serviços
• Análise de riscos no ambiente de TI; 
• Análise de vulnerabilidades;
• Política de segurança.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
5
Telecomunicações
• Adequação às normas;
• Regulamentações e legislação;
• Análise de riscos no ambiente de TI; 
• Plano de continuidade.
Fonte: Módulo Technology for Risk Management ([s.d.], [s.p.]).
Como resultado dessas pesquisas, a tecnologia da informação contribui para 
minimizar as perdas e potencializar os investimentos na corporação. A auditoria de 
sistemas da informação, juntamente com seu planejamento, deixou de ser apenas 
técnica e requer comprometimento com a informação também dos demais gestores. 
É com esse trabalho de equipe e uma cultura de controle de riscos em todos os 
setores da organização que se encontram as melhores alternativas para manter a 
segurança da informação de forma compatível com seu valor dentro da organização 
(Freitas, 2000).
Tipos de Auditoria
As auditorias estão em entendimento com diversos critérios, como o objetivo, a 
periodicidade e o posicionamento do auditor e órgão fiscalizador. A finalidade das 
auditorias pode estar relacionada à necessidade de verificar falhas em processos 
para que possam ser corrigidos. A frequência com que são feitas as auditorias está 
relacionada à necessidade ou ao tipo de negócio.
Bueno Neto e Solonca (2007) apresentam um quadro com três tipos de classes 
inclusivas de auditoria, separando-as em forma de abordagem, de órgão fiscalizador 
e área envolvida. Assim, oferecem uma extensa visão de diversos tipos de auditoria 
existentes. 
Quanto à forma de abordagem temos:
Auditoria horizontal – auditoria de tema específico, realizada em várias entidades ou 
serviços, simultaneamente.
Auditoria orientada – enfatiza uma atividade específica ou atividades com fortes 
indicativos de fraudes ou erros.
Quanto ao órgão fiscalizador:
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
6
Auditoria interna
Com a crescente demanda de operações e negociações, aumentou, também, a 
necessidade da utilização de normas e procedimentos para controles internos das 
empresas. Uma vez que o proprietário ou administrador não teria tempo ou não 
poderia cumprir essa tarefa, nomeia-se um auditor interno, cuja principal função 
é verificar se essas normas vêm sendo cumpridas. Juntamente a essa função, 
o auditor interno, frequentemente um funcionário da empresa, executa auditoria 
contábil e operacional. 
Geralmente, em empresas de grande porte, é criado um departamento interno, 
responsável pela verificação e avaliação dos sistemas e procedimentos para 
que seja feita a auditoria interna frequentemente, com o objetivo de reduzir a 
probabilidade de fraudes, erros, práticas ineficientes, ineficazes ou desnecessárias. 
É necessário que o auditor tenha independência dentro da entidade para que 
tenha acesso a todos os setores da empresa e preste contas diretamente à classe 
executiva da corporação.
Auditoria externa 
Essa auditoria é realizada por um profissional ou uma entidade externa e 
independente da empresa auditada. Ela tem como objetivo emitir um parecer sobre a 
gestão de recursos da entidade, de como está sua situação financeira, a legalidade e 
a regularidade de operações e negociações.
Como o objetivo dessa auditoria é o de emitir uma resposta sobre as demonstrações 
contábeis, observa-se que a auditoria externa não é realizada para detectar 
fraudes, erros ou que seja de uso para interferir na administração da empresa, nem 
reorganizar o processo produtivo ou mesmo demitir pessoas ineficientes. 
O auditor poderá encontrar fraudes ou erros no decorrer do processo de auditoria, 
porém não é esse o seu objetivo. Seu objetivo é emitir um retorno da avaliação em 
forma de laudo técnico.
Auditoria articulada
Trabalha em conjunto com auditorias internas e externas. Normalmente utilizada 
quando há grande demanda de responsabilidades por parte dos órgãos auditores. 
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
7
Pode ser bastante eficiente, uma vez que se caracteriza pelo uso comum de recursos 
e comunicação bilateral dos resultados. Em seu livro, Lyra (2008) apresenta as 
vantagens e as desvantagens encontradas tanto no escritório quanto no comitê de 
segurança da informação: 
No escritório de segurança da informação, podemos encontrar vantagens como a 
disponibilidade da equipe em um local fixo, a disponibilidadeda equipe em tempo 
integral e as atribuições da equipe estarem focadas em segurança da informação. 
Segurança da informação.
Fonte: Plataforma Deduca (2020).
E como desvantagens há o custo com local físico e equipamentos e o custo com 
pagamento de pessoal específico para segurança de informação. 
Em um comitê de segurança da informação encontramos como vantagens o custo 
inexistente de pagamento para pessoal específico de segurança da informação e o 
custo inexistente com local físico. 
Entre as desvantagens, não há disponibilidade de tempo integral da equipe e há o 
fato de a equipe dispor de diversas atribuições além de segurança da informação. 
Dentre as áreas que poderão ser envolvidas dentro das auditorias, podemos citar:
• Auditoria para os programas de governo: realiza o acompanhamento, exame 
e a avaliação da execução de programas e projetos governamentais. Também 
verifica se os principais objetivos da entidade são atingidos e se as políticas e 
estratégias estão sendo respeitadas.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
8
• Auditoria administrativa: engloba o plano da organização, os procedimentos 
adotados, bem como diretrizes e documentos de suporte à tomada de deci-
são.
• Auditoria contábil: relativa à fidelidade das contas da entidade, essa auditoria 
pode fornecer certa garantia de que as operações e o acesso aos ativos sejam 
efetuados de acordo com as autorizações previamente acertadas.
• Auditoria financeira: consiste em analisar as contas, a situação financeira, a 
legalidade e regularidade das operações e questões contábeis, financeiras, 
orçamentários e patrimoniais. Deve verificar se todas as operações foram cor-
retamente autorizadas, finalizadas, ordenadas, pagas e registradas. 
• Auditoria operacional: reflete em todos os níveis de gestão, desde as fases 
de programação, execução e supervisão, sob uma visão econômica, eficiente 
e produtiva. Analisa, também, a execução das decisões tomadas e considera 
se os resultados pretendidos foram atingidos.
• Auditoria da tecnologia da informação: esse tipo de auditoria é basicamente 
operacional. É com ela que os auditores analisam os sistemas de informática, 
o local informatizado, a segurança de informações  e o controle interno da 
entidade, identificando seus pontos fortes e fracos (NBC TA 200) (CFC, 2012).
Atribuições do auditor
Um auditor deve dominar alguns atributos. Dele espera-se que:
• seja capaz de tomar decisões;
• tenha rigidez e autoconfiança;
• seja ético, educado e bem instruído;
• tenha versatilidade, diplomacia, seja perceptivo e observador e tenha a mente 
aberta;
• esteja sempre de acordo com os requisitos da organização;
• participe na produção da programação da auditoria e conduza-a de forma 
apropriada;
• registre e relate as constatações, conclusões e relatórios;
• também mantenha a independência, confidencialidade e os registros de audi-
toria.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
9
É de sua responsabilidade aplicar práticas de auditoria com imparcialidade na sua 
execução, considerando que seu objetivo não é complicar os processos dentro da 
organização, mas facilitá-los.
Precisa lidar com responsabilidade e princípios éticos perante os clientes, 
verificando a eficiência e onde será analisada a utilização dos recursos de 
computação reservados aos sistemas. Esses recursos são compreendidos por 
softwares, hardwares e profissionais envolvidos, observando o resultado correto no 
tempo programado.
De acordo com Henrique (2011), deve-se agir com independência no que se refere 
à investigação e produção do relato, atestando a segurança física e lógica, quando 
são avaliados a segurança física e o ambiente no qual está estruturado o Sistema de 
Informação (SI), além da confiabilidade das pessoas que o usam. No que diz respeito 
à segurança lógica, compreende avaliar o nível de segurança empregado com 
recursos tecnológicos nos processos de determinados sistemas, como a utilização 
de firewalls, antivírus, antispam e outros. 
Fechamento
Chegamos ao final do estudo sobre auditoria de sistemas e compreendemos que a 
atividade de auditoria é vital para a garantia da segurança dos ativos de segurança 
da informação. Vimos que a auditoria é necessária para a verificação de falhas 
em processos e para que estes possam ser corrigidos. Compreendemos que as 
auditorias podem ser classificas por abordagens como a horizontal e orientada, 
por órgão fiscalizador, como a auditoria interna, externa e articulada. Por último, 
vimos as principais atribuições do auditor, como capacidade de decisão, ética e 
versatilidade, de acordo com os requisitos da organização.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
10
Referências
BUENO NETO, A.; SOLONCA, D. Auditoria de sistemas informatizados. Palhoça: 
UnisulVirtual, 2007. 
CONSELHO FEDERAL DE CONTABILIDADE (CFC). Normas Brasileiras de 
Contabilidade: NBC TA 200 – de auditoria independente: NBC TA estrutura
conceitual, NBC TA 200 a 810. Brasília: Conselho Federal de Contabilidade, 2012.
FREITAS, H. As tendências em Sistemas de Informação com base em recentes 
congressos. ReAd, Porto Alegre, n. 13, fev. 2000. Disponível em: http://read.adm.
ufrgs.br. Acesso em: 13 nov. 2017.
GORDON, S.; FORD, R. On The Definition And Classification Of Cybercrime. Journal in 
Computer Virology, p. 13-20, 2006.
HENRIQUE, F. Profissão TI: Auditor de Sistemas. 2011. Disponível em: https://
dominioti.wordpress.com/2011/03/26/profissao-ti-auditor-de-sistemas/. Acesso 
em: 13 nov. 2017.
LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro: 
Ciência Moderna, 2008. 
MÓDULO TECHNOLOGY FOR RISK MANAGEMENT. 10ª Pesquisa Nacional da 
Segurança da Informação. [S.l.], [s.d.]. Disponível em: https://pt.scribd.com/
document/44878779/10a-Pesquisa-Nacional-1. Acesso em: 16 out. 2020.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
http://read.adm.ufrgs.br
http://read.adm.ufrgs.br
https://dominioti.wordpress.com/2011/03/26/profissao-ti-auditor-de-sistemas/
https://dominioti.wordpress.com/2011/03/26/profissao-ti-auditor-de-sistemas/
https://pt.scribd.com/document/44878779/10a-Pesquisa-Nacional-1
https://pt.scribd.com/document/44878779/10a-Pesquisa-Nacional-1