Aula 03 - Controles Internos

Prévia do material em texto

Auditoria de 
Sistemas de 
Informação
Aula 3- Controle Interno
Agenda do dia
➔ Controles Internos
Definições e exemplos
➔ Estudo de Caso
Neste ponto, faremos um breve estudo 
de caso em implementação de 
controles internos.
➔ Exemplos em SI
Veremos com mais detalhes o tópico 
aplicado em Sistemas de Informações.
Controles Internos
A auditoria de SI…
Riscos Controle Interno
Algo indesejável que pode acontecer
Mantém os processos da empresa 
funcionando como projetado
O que são Controles Internos?
Segundo o Instituto Americano dos Contadores 
Públicos Certificados:
“Plano de organização e todos os métodos e 
medidas coordenados, aplicados em uma 
empresa a fim de proteger seus bens, conferir 
exatidão e a fidelidade de seus dados contábeis, 
promover a eficiência e estimular a obediência às 
diretrizes administrativas estabelecidas pela 
gestão.”
Foto: Rodeo Project Management Software / Unsplash
O que são Controles Internos?
Os controles internos são mecanismos 
corporativos que, quando aplicados em uma 
empresa, têm o objetivo de proteger os ativos 
empresariais.
Foto: Rodeo Project Management Software / Unsplash
Redução de risco
Quais os objetivos a serem 
alcançados?
Imagem de PublicDomainPictures por Pixabay
➔ Proteção de bens
➔ Combate a desperdícios
➔ Melhoria da eficiência 
organizacional
➔ Obediência das diretrizes 
administrativas estabelecidas
➔ Observância às leis e 
regulamentos
https://pixabay.com/pt/users/publicdomainpictures-14/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=163464
https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=163464
Quais os objetivos a serem 
alcançados?
Imagem de PublicDomainPictures por Pixabay
➔ Segurança Física
◆ Proteção de bens, ativos e 
recursos contra perda, mau uso, 
dano ou utilização indevida.
➔ Segurança Lógica
◆ Manutenção da integridade e 
confiabilidade da informação 
produzida e sua disponibilidade.
https://pixabay.com/pt/users/publicdomainpictures-14/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=163464
https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=163464
Mais sobre o como a gestão de risco se relaciona 
com os conceitos de controles internos
Ouçam o podcast 
“Propósito” que entrevista 
Francisco Bessa quanto aos 
riscos em organizações. 
Este material é parte da série de 
podcasts “Riscos e Controles 
Internos” realizada em 2022 
pelo Serpro - Serviço Federal de 
Processamento de Dados. 
Disponível em: 
https://www.youtube.com/watch?v=xq8kTjDy28Q
https://www.youtube.com/watch?v=xq8kTjDy28Q
http://www.youtube.com/watch?v=xq8kTjDy28Q
Que mecanismos são esses?
Foto: AbsolutVision / Unsplash
● Políticas internas
○ Troca periódica de senhas de acesso
○ Abertura de ticket
○ Commit de código em repositório de versionamento de arquivos ao final do dia
○ Reunião periódica da equipe para alinhamento de objetivos
● Procedimentos
○ Envio de e-mail solicitando troca de senha
○ Apresentação presencial no departamento de TI para cadastro da senha
○ Destruição física de HD’s antigos
Que mecanismos são esses?
Foto: AbsolutVision / Unsplash
● Prática
○ Mencionar o número do ticket ao commitar código
○ Identar corretamente o código
○ Implementar teste unitário ao escrever um módulo novo
● Leis e regulamentações
○ Legislação Interna (mais comum no serviço público)
○ Regulamentação de órgãos fiscalizadores
○ Leis como o Marco Civil da Internet e a LGPD
Dúvidas?
? ?
? ?
?
?
?
?
?
Considerando o risco de Incêndio, liste 10 medidas (controles) 
que poderiam ser implementadas para diminuir o risco de 
incêndio em um local.
Exemplos:
● Instalação de extintores de incêndio
● Formação de brigada de incêndio
Atividade - Controles Internos (Teams)
1. extintores de incêndio 
2. brigada de incêndio
3. não sobrecarregar tomadas
4. hidrantes/ mangotinhos
5. armazenamento correto de materiais
6. licença de bombeiros
7. políticas para fumo em locais adequados
8. verificação e manutenção periódica da rede elétrica interna
9. alarmes e detectores de fumaça
10. manutenção predial e materiais
11. treinamento dos funcionários
12. ventilação dos ambientes
13. saída de emergência
14. manutenção de mangueiras e extintores
15. manter materiais inflamáveis longe de áreas com fogo
16. adequação às leis
17. conscientização dos usuários
18. sinalização de áreas perigosas
19. iluminação de emergência
20. porta corta-fogo
Atividade - Controles Internos (Teams)
1. extintores de incêndio 
2. brigada de incêndio
3. detector de fumaça 
4. manter os produtos inflamáveis contidos
5. instituir uma cipa
6. proibição de fumo em locais de risco
7. ventilar o ambiente
8. sinalizar as saídas de emergência
9. sinalizar as áreas perigosas
10. campanha de conscientização
11. serviços na nuvem
12. instalação de sprinklers
13. criar uma cultura de prevenção
14. bomba de incêndio /hidrante/mangueira de água
15. iluminação de emergência
16. remover equipamentos não relevantes
17. plano de evacuação
18. posicionar equipamentos longe de materiais inflamáveis
19. treinamento e simulação de incêndios
20. controle de acesso a lugares que armazenam produtos inflamáveis
Atividade - Controles Internos (Teams)
Exemplos de controles 
preventivos:
➔ instalação de fechadura 
em uma porta
➔ uso de cinto de segurança
➔ criptografia de conexão 
entre dois sistemas
Controles preventivos
Previne um risco antes que 
ele aconteça ou diretamente 
diminui suas consequências 
caso o risco se concretize.
Exemplos de controles 
detectivos:
➔ instalação de detector de 
fumaça
➔ SMS de aviso de compra 
no cartão de crédito
➔ log de tentativas de 
acesso a um serviço.
Controles detectivos
Usado para identificar quando 
um risco acontece enquanto 
ele está em curso 
(preferencialmente) ou após 
acontecer.
Exemplos de controles 
preventivos:
➔ plano de contingência
➔ contratação de seguro
➔ restauração de backup
Controles corretivos
Atua no reparo dos impactos 
causados por algum risco 
materializado.
1. extintores de incêndio 
2. brigada de incêndio
3. 
4. 
5. 
6. 
7. 
8. 
9. 
10. 
11. 
12. 
13. 
14. 
15.
16. 
17. 
18. 
19. 
20.
Atividade - Controles Internos (Teams)
Resultado final:
● Quantos controles de cada tipo foram mapeados?
● O que isso nos diz sobre o caráter principal da auditoria de 
sistemas?
Atividade - Controles Internos (Teams)
Dúvidas?
Mais exemplos de controle interno:
Implantação de um software de criptografia
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Implantação de um software de criptografia
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Implantação de um software de criptografia
Qual o risco endereçado?
Acesso não autorizado às 
informações.
Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Job Rotation
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Job Rotation
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Job Rotation
Qual o risco endereçado?
Restrição do conhecimento das 
funções a apenas um (ou poucos) 
funcionários.
Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Pair programming
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Pair programming
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Pair programming
Qual o risco endereçado?
Ocorrência de bugs no sistema por 
ignorância ou imperícia
Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplosde controle interno:
Backup e restauração de dados
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Backup e restauração de dados
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Backup e restauração de dados
Qual o risco endereçado?
Perda de dados
Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Implementação de senhas de acesso
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Implementação de senhas de acesso
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Implementação de senhas de acesso
Qual o risco endereçado?
Acesso a recursos não autorizados
Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Log de sistema
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Log de sistema
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Log de sistema
Qual o risco endereçado?
Usuários efetuarem ações indevidas 
no sistema.
Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Seminários em boas práticas de Segurança da Informação
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Seminários em boas práticas de Segurança da Informação
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Seminários em boas práticas de Segurança da Informação
Qual o risco endereçado?
Introdução acidental de brechas de 
segurança no código.
Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Instalação de Circuito Interno de TV
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Instalação de Circuito Interno de TV
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Instalação de Circuito Interno de TV
Qual o risco endereçado?
Ocorrência de atividades suspeitas 
nas dependências da empresa.
Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Envio de confirmação de endereço de e-mail e/ou número de telefone celular
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Envio de confirmação de endereço de e-mail e/ou número de telefone celular
Qual o risco endereçado?Caráter:
● Preventivo
● Detectivo
● Corretivo
Mais exemplos de controle interno:
Envio de confirmação de endereço de e-mail e/ou número de telefone celular
Qual os riscos endereçados?
● Entrada de dados incorretos 
pelo usuário.
● Uso de endereços ou números 
que não pertencem ao usuário.
Caráter:
● Preventivo
● Detectivo
● Corretivo
Dúvidas?
? ?
? ?
?
?
?
?
?
Veja a seguir a apresentação de 
Jefferson Carvalho para o GRCI em 
Webinar - Gestão de Riscos e 
Controles Internos realizada pelo 
SERPRO - Serviço Federal de 
Processamento de Dados em 
abril/2022.
https://www.youtube.com/live/aj
1BM8xfMzg?feature=share&t=265
Controles Internos na prática
https://www.youtube.com/live/aj1BM8xfMzg?feature=share&t=265
https://www.youtube.com/live/aj1BM8xfMzg?feature=share&t=265
http://www.youtube.com/watch?v=aj1BM8xfMzg&t=266
Revisão
Os Controles internos são mecanismos que mantêm os 
processos das empresas rodando conforme desenhado 
pela alta administração. Além disso, têm a missão de 
manter os ativos empresariais à salvo tanto fisicamente 
quanto de maneira lógica. Por fim, contribuem para 
melhoria contínua de processos tanto do ponto de vista 
de eficiência operacional como da eficácia dos processos.
Práticas, políticas, procedimentos e 
legislação são geradores de controle.
Revisão
Os Controles internos se classificam, quanto ao seu 
caráter de endereçamento dos riscos, em 3 categorias:
● Preventivos, quando se prestam a tentar evitar 
que um risco se materialize.
● Detectivos, quando detectam a ocorrência de 
um impacto em curso ou já ocorrido
● Corretivos, quando agem na reparação dos 
danos causados pela ocorrência de um sinistro.
Dúvidas?
? ?
? ?
?
?
?
?
?
Referências
GIL, Antonio Loureiro. ARIMA, Carlos Hideo. Auditoria de 
Negócio com TI. 1a Edição. São Paulo: Saraiva Educação. 
2018.
SCHMIDT,Paulo. SANTOS, José Luiz. ARIMA, Carlos Hideo. 
Introdução à Auditoria de Sistemas de Informação. 2006.
CASATI, João. Auditoria de Sistemas. Rio de Janeiro: 
SESES, 2016.
UNIVERSIDADE ESTÁCIO DE SÁ. Auditoria e controles de 
seg. e classificação da informação
UNIVERSIDADE DE CIÊNCIA E TECNOLOGIA DE HONG 
KONG. Information Systems Auditing, Controls and 
Assurance. 2023. In: coursera.org
NAGATA, Hiromassa. GOMES, Estela Maria. Fundamentos 
de Auditoria e Auditoria de Sistemas.
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA 
(ENAP). Técnicas de Auditoria Interna Governamental.