Apostila de Auditoria

Prévia do material em texto

AUDITORIA E CONTROLES DE SEGURANÇA DA INFORMAÇÃO 
 
O papel da área de Controles Internos nas 
organizações 
 
 
 
A necessidade constante de um excelente desempenho empresarial, leva à 
busca da qualidade e confiabilidade da informação para o auxílio à decisão. O 
mercado globalizado e o acesso fácil a todo tipo de informação tem 
formado clientes cada vez mais seletivos e criteriosos. Em função disso 
as empresas encontram-se levadas a desenvolver cada vez mais estratégias 
de melhoria contínua que assegurem a busca pela excelência de produtos e 
processos. 
 
As organizações necessitam assegurar que os processos internos executados 
pelos agentes humanos e computacionais não sofrerão desvios. Este elemento 
interno responsável pelo controle dos processos da organização é chamado de 
controle interno. O controle interno compreende todo o conjunto de 
controles, implementados sob responsabilidade da gestão da organização. 
 
 
Assim como a tecnologia evoluiu, ao longo do tempo o conceito de controles 
internos também evoluiu nas organizações. O que era antes conhecido como 
simplesmente procedimentos de controle modificou-se para uma estrutura de 
controles internos. A estrutura de controles internos de uma organização pode 
ser definida como os processos executados para apoiar e orientar a organização 
no cumprimento dos objetivos da instituição quanto à eficiência e eficácia nas 
operações e sua gestão. 
 
 
 
 
 
 
 
 
 
As funções principais do controle interno estão relacionadas ao cumprimento 
dos objetivos da entidade. Desta forma a existência de objetivos e metas é 
condição principal para a existência dos controles internos. Ele será efetivo 
quando as pessoas da organização souberem quais são suas responsabilidades, 
seus limites de autoridade e sua competência. 
 
 
Podemos então concluir que para a organização atingir seu objetivo deverá 
realizar a avaliação contínua dos controles internos com o objetivo de identificar 
e analisar os riscos associados ao não-cumprimento das metas e objetivos 
operacionais. A identificação e gerenciamento dos riscos é uma ação proativa, 
que permite evitar surpresas desagradáveis nas organizações. São os 
administradores que devem definir os níveis de riscos operacionais e de 
informação que estão dispostos a assumir. 
 
 
Aspectos de controle e Segurança 
 
Na sociedade da informação, ao mesmo tempo em que as informações são 
consideradas o principal patrimônio de uma organização, estão também sob 
constante risco, como nunca estiveram antes. 
 
 
Orientação 
 
Fiscalização 
 
Auditoria 
Controle Interno 
 
Com isso, a segurança da informação tornou-se um ponto crucial para a 
sobrevivência das instituições. Neste sentido um dos focos das fiscalizações de 
Tecnologia da Informação (TI), realizadas pelas organizações é a verificação da 
conformidade e do desempenho das ações organizacionais em aspectos de 
segurança de tecnologia da informação, utilizando critérios fundamentados com 
o objetivo de contribuir para o aperfeiçoamento da gestão organizacional, 
assegurando que a tecnologia da informação agregue valor ao negócio da 
organização. 
 
 
A auditoria de segurança da informação só tem sentido por permitir melhoria do 
tratamento da informação na organização. Ela cumpre basicamente as mesmas 
funções de uma auditoria de sistemas de informação, tais como descritos por 
Imoniana (2004) e por Schmidt, dos Santos e Arima (2005). 
 
A informação é produzida, identificada, armazenada, distribuída, usada e 
processada em todos os níveis da organização, visando o alcance dos objetivos 
de negócio,suas práticas definidas pelos sistemas de informação que apoiam os 
processos de trabalho na organização, sejam eles manuais ou automáticos. 
 
A gestão da informação tem fundamentos na administração, na contabilidade, 
na arquivologia, nas tecnologias da informação e da comunicação, nas ciências 
da informação e da computação, entre outras. 
 
 Como ferramenta de segurança, a gestão da informação lança mão de 
elementos organizacionais, humanos, físicos e tecnológicos, integrados por meio 
de arquitetura e engenharia de sistemas, ou de forma mais geral através de 
uma abordagem cibernética. 
 
 
 
 
 
 
 
Metodologia de auditoria em TI; 
 
 
A auditoria em ambiente de tecnologia da informação não muda a formação 
exigida para a profissão de auditor. A diferença está nas informações até então 
disponíveis em forma de papel são agora guardadas em forma eletrônica. 
 
O enfoque de auditoria teve que se modificar para assegurar que essas 
informações agora em formato eletrônica sejam confiáveis antes do auditor 
emitir seu relatório, já que ele está calcado na confiança e controle interno. 
 
Podemos então definir à auditoria como: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Desta forma, visam confirmar se os controles internos foram implementados e 
se existem e em caso afirmativo, se são efetivos. Neste contexto, as auditorias 
podem apresentar diferentes objetivos: 
 
Um exame sistemático e independente 
para determinar se as atividades e 
seus resultados estão de acordo com 
as disposições planejadas, se estas 
foram implementadas com a eficácia e 
se são adequadas à consecução dos 
objetivos.” 
 
 
 
 
 
 
 
Segundo Lyra, é possível pensarmos em uma metodologia de trabalho que seja 
flexível e aderente a todas as modalidades de auditoria em sistemas de 
informação. Esta metodologia é composta basicamente pelas seguintes fases: 
 
Planejamento e controle do projeto de auditoria 
 
Estabelece-se o planejamento inicial das ações e recursos necessários para a 
execução da auditoria. Nesta fase leva-se em consideração a abrangência das 
ações, o enfoque que se deseja, a definição dos procedimentos a serem 
utilizados durante o trabalho de auditoria, a escolha de alternativas para a 
realização dos trabalhos, acompanhamento e controle dos resultados obtidos. 
 
Devem ser utilizados ferramentas e métodos de planejamento, como por 
exemplo, o PMBOK e também deve ser formado o grupo de trabalho. Nesta fase 
deverá ser elaborado o plano da auditoria onde deve ficar claro: 
 
 As expectativas de quem pediu a auditoria; 
 Os critérios da auditoria: padrões e confidencialidade; 
 As necessidades e interesses do auditado; 
 A documentação que deve estar disponível; 
 A agenda proposta para auditoria 
Conformidade com 
padrões 
Melhoria do 
sistema de gestão 
Compliance Certificação 
Melhoria de 
Processo 
 
 
 
Levantamento das informações 
 
Uma vez delimitado o escopo do trabalho, inicia-se o processo de levantamento 
das informações relevantes para a auditoria. Este levantamento deverá ocorrer 
de forma abrangente, mas que se tenha o entendimento do objeto da auditoria. 
Podemos nesta fase utilizar técnicas de entrevista e análise da documentação 
existente, colocando as informações de forma gráfica ou descritiva. O 
importante aqui é identificar claramente o escopo. Esta fase é essencial para 
evitar a possibilidade de execução de trabalho em áreas não pertencentes ao 
escopo. 
 
Identificação e inventário dos pontos de controles 
 
Nesta etapa busca-se identificar os diversos pontos de controles que merecem 
ser validados no contexto do escopo da auditoria. Cada ponto de controle deve 
ser relacionado, seus objetivos descritos, assim como as suas funções, 
parâmetros, fraquezas e técnicas de auditoria mais adequadasà sua validação. 
O resultado deste levantamento deve ser encaminhado ao grupo de 
coordenação da auditoria para uma validação quanto a sua pertinência para 
garantir que o objetivo da auditoria será atingido. 
 
Priorização e seleção dos pontos de controle 
 
Esta etapa consiste na seleção e priorização dos pontos de controle que foram 
inventariados na etapa anterior e que devem fazer parte da auditoria a ser 
realizada. Podem ser considerados os seguintes critérios: 
 Grau de risco existente no ponto de controle 
 Existência de ameaças 
 Disponibilidade de recursos 
 
Avaliação dos pontos de controles 
 
 
Esta etapa consiste na realização de testes de validação dos pontos de controle, 
Segundo as especificações e parâmetros determinados nas etapas anteriores. É 
a auditoria propriamente dita. Devem ser utilizadas técnicas de auditoria que 
evidenciem falhas ou fraquezas dos pontos de controles auditados. 
Normalmente existe uma técnica de auditoria e ferramenta mais eficiente para 
cada objetivo e característica do ponto de controle. 
 
Conclusão da auditoria 
 
Nesta etapa é realizada a elaboração do relatório de auditoria contendo o 
resultado encontrado, qualquer que seja ele. Este relatório deve conter o 
diagnóstico da situação atual, dos pontos de controle, caso existam, e as 
fraquezas dos controles, segundo as especificações das etapas anteriores. 
 
O fato de um ponto de controle apresentar uma fraqueza transforma-o em 
ponto de auditoria, e, portanto deve constar no relatório de auditoria 
recomendações para solução ou mitigação dessa fraqueza. Cada ponto de 
auditoria deverá sofrer revisão e avaliação, após um prazo dado para tomada 
de medidas corretivas. 
 
 Nesta fase ocorre também o encerramento da auditoria com a apresentação do 
relatório. O auditor Líder deverá apresentar um breve resumo do processo e 
objetivo da auditoria. Deverá ser apresentado parecer por área auditada, assim 
como as recomendações. 
 
Neste momento deverão ser acordadas as datas para as ações corretivas e 
distribuídas cópias do relatório entre todos os participantes. 
 
Acompanhamento da auditoria 
 
 O acompanhamento da auditoria (follow-up) deve ser efetuado até que todas 
as recomendações tenham sido executadas e as fraquezas tenham sido 
eliminadas ou atinjam um nível tolerável pela organização. 
 
 
Uma auditoria bem planejada aperfeiçoa a utilização do tempo da auditoria, 
tornando as auditorias mais significativas, além de mostrar ao auditado que o 
auditor está preparado e também demonstrar uma atitude profissional. 
Documentação: papéis de trabalho, Relatórios de 
Auditoria e Pareceres 
 
Os Papéis de Trabalho de auditoria constituem um registro permanente do 
trabalho efetuado pelo auditor, dos fatos e informações obtidos, bem como as 
conclusões sobre os exames. É com base nos papéis de trabalho que o 
auditor irá relatar suas opiniões, criticas e sugestões. Eles servem de suporte 
para a elaboração dos relatórios de auditoria. 
 
Os Papéis de trabalho auxiliam o auditor na execução de exames, evidenciando 
o trabalho feito e as conclusões emitidas. É através deste artefato que poderá 
ser verificado se o serviço de auditoria foi feito de forma adequada e eficaz, 
assim como a solidez das conclusões emitidas. 
 
É importante que apresentem os detalhes do trabalho realizado, tais como: os 
fatos e informações importantes, escopo do trabalho efetuado, fonte das 
informações obtidas, opiniões e conclusões. 
 
Devemos ter em mente que este será um material que poderá ser 
posteriormente consultado por outros auditores, portanto o quanto mais 
completos melhor será seu entendimento por outro auditor. 
 
 
 
 
 
 
 
 
 
 
 
Produtos gerados pela 
auditoria 
Relatório de fraquezas de 
controle interno 
Manual de auditoria do 
ambiente a ser auditado 
Certificado de controle 
interno 
Pastas contendo a 
documentação obtida 
 
 
 
 
 
 
 
O Relatório de Fraquezas de controle interno apresenta o objetivo do projeto 
de auditoria, a lista dos pontos de controle auditados, a conclusão alcançada a 
cada ponto de controle, além das alternativas de solução propostas. 
 
O Certificado de Controle Interno indica se o ambiente está em boa, 
razoável ou má condição em relação aos parâmetros de controle interno e 
apresenta o parecer da auditoria em termos globais e sintéticos. 
 
O manual de auditoria do ambiente auditado armazena o planejamento da 
auditoria, os pontos de controle testados e serve como referência para futuras 
auditorias. É composto por toda a documentação anterior já citada. 
 
AS pastas contendo a documentação da auditoria de sistemas irão conter toda 
a documentação do ambiente e dos trabalhos realizados como: relação de 
programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, 
atas de reunião, etc. 
 
 
 
Papéis e responsabilidades 
 
Existem diferentes papéis em um processo de auditoria. 
 
 
 
 
O auditor é quem realiza as auditorias propriamente dita. Ele deve planejar e 
realizar suas atribuições de forma eficaz e com competência, comunicar aos 
clientes e esclarecer os requisitos da auditoria, quando necessário. 
 
É primordial que ele documente as observações durante a realização da 
auditoria, relate os resultados da auditoria e verifique a eficácia das ações 
corretivas, quando solicitado. 
 
É o cliente quem solicita a auditoria e determina o seu propósito. Ele deve 
informar aos colaboradores envolvidos no processo de auditoria os objetivos e 
escopo da auditoria, assim como indicar as pessoas guias responsáveis. É de 
sua responsabilidade também receber o relatório de auditoria, realizar análise 
crítica, determinar as ações de acompanhamento e informar ao auditado. 
 
O papel do auditado é informar aos funcionários sobre a auditoria, indicar 
acompanhantes e prover recursos à equipe de auditoria, assim como acesso 
aos meios e ao material comprobatório. Deve cooperar com os auditores e após 
a realização da auditoria deverá definir e iniciar ações corretivas. 
 
O auditor líder é responsável em última instância por todas as fases da 
auditoria. Participa da seleção da equipe e prepara o plano de auditoria. É ele 
quem representa a equipe frente à Administração do auditado e entregar o 
relatório de auditoria. 
A auditoria na Tecnologia da Informação 
 
Com a dependência das organizações nos processos de Tecnologia da 
Informação e nas informações geradas, nos investimentos realizados na área 
Auditor 
Cliente 
Auditado 
Auditor Líder 
 
de TI e na necessidade da garantia da segurança das informações críticas existe 
a necessidade da aplicação correta e gerenciada dos recursos, de forma que a 
TI atenda às necessidades de negócio de cada entidade, ou seja, que agregue 
valor às suas funções finalísticas. 
 
Assim, à medida que a tecnologia se confunde com os produtos da 
organização, a TI e as informações geradas por meio dela deixam de ser uma 
questão meramente operacional e administrativa para se tornar uma questão 
estratégica. 
 
Neste contexto, a Governança de TI é aplicada de forma a alinhar o uso da 
Tecnologia da informação aos objetivos de negócio de cada organização 
possibilitando que se garanta: 
 continuidade dos serviços 
 atendimento a marcos regulatórios 
 definição clara do papel da TI dentro da organização 
 alinhamento dos processos operacionais e de gestão a padrões que 
atendam a necessidade do negócio 
 definição de regras claras acerca de responsabilidadessobre 
decisões e ações dentro da organização 
 
 
Existem diversos modelos que podem ser implementados em diferentes níveis 
organizacionais de forma complementares: 
• Planos 
• Políticas 
Dirigir 
• Propostas 
Avaliar 
• Desempenho 
• Conformidade 
Monitorar 
 
 
 
 
 
 
 
 
 
 
 
 
Desenvolvido pela ISACA, o COBIT é um modelo abrangente aplicável para a 
auditoria e controle de processos de TI, desde o planejamento da 
tecnologia até a monitoração e auditoria de todos os processos. Fornece 
um modelo abrangente que auxilia as organizações a atingirem seus objetivos 
de governança e gestão de TI e na versão atual apresenta 5 princípios: 
 
 
Entre seus objetivos está a garantia de que, na organização, a informação é 
protegida contra exposição indevida (confidencialidade), alterações 
impróprias (integridade) e impedimento de acesso (disponibilidade). 
Cobit 
ITIL 
ISO 
27002 
CMMI /MPS-
BR 
PMBOK 
 
No atual modelo de referência os processos de governança e gestão de TI da 
organização são divididos em dois domínios de processo principais, conforme 
figura: 
 
 
 
O Processo de Governança é constituído por um domínio com cinco processos 
de governança: 
 
Governança • Avaliar, Dirigir e Monitorar 
Gestão 
• Alinhar, planejar e organizar 
• Construir, adquirir e 
implementar 
• Entregar, Serviço e Suporte 
• Monitorar, Analisar e Avaliar 
Governança 
Avaliar, Dirigir e 
Monitorar 
Definição e 
atualização da 
estrutura de 
governança 
Entrega de valor 
Otimização dos riscos 
Otimização dos 
Recursos 
Transparência das 
partes interessadas 
 
 
Construir, Adquirir e Implementar 
(BAI) 
Análise de Negócio 
Gerenciamento de Projetos 
Avaliação de usabilidade 
Definição e gestão de requisitos 
Programação 
Ergonomia do sistema 
Desativação de software 
Gestão de capacidade 
O processo de Gestão contém quatro domínios que estão em consonância 
com as áreas responsáveis por planejar, construir, executar e monitorar, 
oferecendo cobertura de TI de ponta a ponta. As figuras abaixo identificam as 
principais habilidades de TI tratadas em cada domínio: 
 
 
 
 
Alinhar, Planejar e Organizar 
(APO) 
Formulação da 
política de TI 
Estratégia de TI 
Arquitetura 
coporativa 
Inovação 
Gestão financeira 
Gestão de portfólio 
 
 
 
 
 
 
 
 
 
 
 
Entregar, Serviços e Suporte (DSS) 
Gestão de disponibilidade 
Gestão de problemas 
Central de atendimento e gestão 
incidentes 
Administração da segurança 
Operações de TI 
Administração de banco de dados 
Monitorar, Avaliar e Analisar (MEA) 
Análise de Conformidade 
Monitoramento de desempenho 
Auditoria de controles 
 
O ITIL foi desenvolvido pelo atual OGC (Office of Government Commerce), 
órgão público que busca otimizar e melhorar os processos internos do governo 
britânico. O ITIL é uma biblioteca de melhores práticas voltada para a área de 
TI, mais especificamente para a ares de infraestrutra. 
 
O ITIL surgiu em 1986 com o desenvolvimento do conjunto de mais de 40livros 
que abordavam uma variedade de melhores práticas de TI. A partir de 1999, 
foram acrescentados sete livros principais que tratamos processos amplamente 
aceitos como um framework de melhores práticas para Gerenciamento de 
Serviços de TI (IT Service Management - ITSM). Em 2007, transcorridos 21 
anos, em sua Versão 3, foi reorganizado para cinco livros principais e um livro 
oficial de introdução. 
 
 
 
 
 
 
 
 
 
 
 
 
 
O PMBOK (Project Management Body of Knowledge) é um conjunto de 
conhecimentos gerenciado pela organização Project Management Institute 
(PMI). Tornou-se um padrão, de fato, em diversas indústrias. Não se trata de 
uma metodologia de gerenciamento de projetos, e sim, de uma padronização 
que identifica e nomeia processos, áreas de conhecimento, técnicas, regras e 
métodos. Áreas de conhecimento do PMBOK: 
 Integração 
 Escopo 
 Tempo 
 Custo 
 Qualidade 
 Recursos humanos 
 
 Comunicações 
 Riscos 
 Aquisição 
 Partes Interessadas 
 
O CMMI é um modelo internacional desenvolvido pelo Software Engineering 
Institute-SEI em 1992. O modelo utiliza o conceito de constelação e são 
apresentados três constelações: 
 
 
 
 
 
 
 
 
Uma constelação é um conjunto de componentes CMMI utilizados para construir 
modelos, materiais de treinamento e documentos de avaliação relacionados a 
uma área de interesse. 
 
Possui representação: estágios (5 níveis) ou contínua (6 níveis). Na 
representação contínua a organização escolhe uma determinada área de 
processo e trabalha na melhoria desses processos. Já na representação por 
estágio é utilizado conjuntos predefinidos de área de processo para 
estabelecer um caminho de melhoria para a organização. 
 
O processo de auditoria de Tecnologia da Informação deverá tomar como 
referência os padrões e modelos já adotados pelas organizações. Existem 
diversos modelos e padrões, como vimos acima, que podem ser utilizados em 
diferentes momentos e área tecnológica. No caso da inexistência de tal modelo 
na organização, deverá ser adotado modelos de referência já utilizados no 
mercado de TI. 
 
Diretrizes para monitorar, 
mensurar e gerenciar processos de 
desenvolvimento 
Diretrizes para Suportar as 
decisões relacionadas à 
aquisição de produtos e 
 serviços
Diretrizes para entrega de 
serviços dentro das organizações 
e para clientes externos. 
 
A auditoria de tecnologia da informação como já estudaos anteriormente é um 
exame sistêmico dos controles internos dentro do ambiente computacional da 
organização. O objetivo de uma auditoria de TI é levantar e documentar 
"evidências" das práticas e operações no âmbito da tecnologia da informação 
e realizar uma avaliação sobre a conformidade destas ações. 
 
Ela verifica se estas operações e ações da organização estão sendo realizadas 
de forma eficaz e eficiente para alcançar os objetivos de negócio da 
organização. São utilizadas para avaliar a capacidade da organização para 
proteger seus ativos de informação e dispensar corretamente as informações 
para as partes autorizadas. 
 
Desta forma, a auditoria poderá avaliar o risco das informações mais valiosas 
para as organizações e estabelecer métodos de minimizar os riscos. Neste caso 
a auditoria de TI tem como objetivo avaliar: 
 
 Se os sistemas de computador da organização estão disponíveis para o 
negócio em todos os momentos, quando necessário. (Disponibilidade) 
 Que as informações da organização estão sendo divulgadas apenas para 
usuários autorizados. (Confidencialidade) 
 Se as informações fornecidas estão exatas, confiáveis e em tempo 
oportuno. (Integridade) 
 
 
 
 
Auditoria de sistemas 
 
O Objetivo da auditoria de sistemas é proporcionar através da inspeção e 
elaboração de relatório de auditoria a adequação, revisão, avaliação e 
recomendação para o aprimoramento dos controles internos nos sistemas de 
informação das organizações. Neste contexto são avaliados a utilização dos 
recursos humanos, materiais e tecnológicos envolvidos nos processamento dos 
Auditoria 
Controles 
organizacionais e 
operacionais 
Aquisição, 
Desenvolvimento, 
Manutenção e 
Documentação de 
sistemas 
Controles de hardware 
Controles de acesso 
Operação e 
computador 
Suporte técnico 
Sistemas Aplicativo 
Plano de contingência 
e de recuperação de 
desastresRedes de 
computadores 
 
mesmos e desta forma devem ocorrer em todos os sistemas da organização 
seja no nível estratégico, tático ou operacional. 
Para a realização desta verificação é necessário um processo sistêmico que 
envolve os seguintes passos: 
 Metodologia 
 Planejamento 
 Levantamento do sistema 
 Identificação e inventário dos pontos de controle 
 Priorização e seleção dos pontos de controle 
 Avaliação dos pontos de controle 
 Conclusão da auditoria 
 Acompanhamento 
 
Devido à complexidade dos sistemas informatizados, existem diferentes 
momentos para a realização das auditorias de sistemas: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
A auditoria durante o desenvolvimento de sistemas compreende auditar 
todo o processo de construção do sistema: fase de requisitos até a sua 
implantação, assim como o processo e metodologia. Já a auditoria de 
sistemas em produção preocupa-se com os procedimentos e resultados dos 
sistemas já implantados: segurança, corretude e tolerância a falhas. 
Auditoria Sistemas 
de Informação 
Auditoria durante 
o desenvolvimento 
de sistemas 
Auditoria de 
sistemas em 
produção 
Auditoria no 
ambiente 
tecnológico 
Auditoria em 
eventos 
específicos 
 
A Auditoria no ambiente tecnológico preocupa-se com a estrutura 
organizacional, contratos, normas técnicas, custos, nível de utilização dos 
equipamentos e planos de segurança e contingência. A auditoria em eventos 
específicos tem como foco a análise das causas, consequências e ações 
corretivas cabíveis em eventos não cobertos pelas auditorias anteriores. 
 
Técnicas de auditoria de 
sistemas 
 
As técnicas de auditoria tem como objetivo auxiliar os auditores em seus 
processos de trabalho de forma a diminuir os custos envolvido no processo de 
auditoria, melhorar a qualidade do trabalho realizado, além de melhorar a 
produtividade. Existem diferentes técnicas que podem ser utilizadas juntas ou 
separadas. 
 
Test deck 
Conjunto de dados de entrada especialmente preparado com o objetivo de 
testar os controles programados e os controles dos sistemas aplicativos 
 
Simulação paralela 
Elaboração de um programa de computador para simular as funções de rotina 
do sistema sob auditoria. Enquanto no test-deck simulamos dados e os 
submetemos ao programa de computador, na simulação paralela simulamos o 
programa e submetemos aos mesmos dados que foram utilizados pelo 
programa auditado em sua rotina de processamento. 
 
Questionários à distância 
Verifica a adequação do ponto de controle aos parâmetros de controle interno 
(segurança física, lógica, eficácia, eficiência, etc). 
 
Visita in loco 
Consiste na atuação do equipe de auditoria junto ao pessoal de sistemas e 
instalações 
 
 
Rastreamento e mapeamento 
Desenvolvimento e implementação de trilha de auditoria para acompanhar 
certos pontos da lógica do processamento de algumas transações 
 
Análise da lógica de programação 
Verificação da lógica de programação para certificar que as instruções dadas ao 
computador são as mesmas já identificadas nas documentações dos sistemas 
aplicativos. 
 
Lógica de auditoria embutida no sistema 
Inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. 
Periodicamente, os relatórios de auditoria são emitidos para a revisão e o 
acompanhamento dos procedimentos operacionais. 
 
Rastreamento de programas 
Possibilita seguir o caminho de uma transação durante o processamento do 
programa. Objetiva identificar as inadequações e ineficiência na lógica de um 
programa. 
 
Entrevistas no ambiente computacional 
Realização de reuniões entre o auditor e o auditado. Existem diversas técnicas 
que podemos utilizar para a realização de entrevistas como por exemplo, 
5W+1H (What, Who, Where,When, Why e How). 
 
Análise de relatórios / telas 
Analise de relatórios e tela no que se refere ao nível de utilização pelo usuário, 
ao grau de confidencialidade, forma de utilização de integração com outras telas 
/ relatórios, padronização dos layouts e distribuição das informações. 
 
Análise de log / accounting 
Permite verifica a utilização de todos os ativos de TI envolvidos no objeto da 
auditoria. 
 
 
 
Análise do programa fonte 
Consiste na análise visual do programa e na comparação da versão do objeto 
que está sendo executado com o objeto resultante da última versão do 
programa fonte compilado. 
 
Exibição parcial da memória snap shot 
Técnica que fornece uma listagem ou gravação do conteúdo do programa 
(acumuladores, chaves, áreas de armazenamento), quando determinado 
registro está sendo processado (dump parcial de memória). 
 
Ferramentas de auditoria 
 
Dentro do contexto tecnológico atual é necessário que o auditor utilize 
ferramentas. Em todo e qualquer trabalho de auditoria seja interna ou externa, 
é importante que o auditor utilize instrumentos que auxilie e agilize o 
desenvolvimento dos trabalhos. Neste sentido existem ferramentas que apoiam 
os auditores a conseguir alcançar suas metas, tal como elas foram definidas no 
planejamento prévio da auditoria. 
 
Existem diferentes modalidades de ferramentas assistidas por computador com 
objetivo e funcionalidades diferentes e que podem ser utilizadas em conjunto ou 
separadas. 
 
 
 
 
 
 
 
 
 
 
 
 
Ferramentas 
de Auditoria 
Generalista 
Especializadas 
Utilidade geral 
 
Uma ferramenta generalista envolve o uso de software aplicativo ou um 
conjunto de programas e podem realizar as seguintes funções: 
 Simulação paralela 
 Extração de dados de amostra 
 Testes globais 
 Geração de dados estatísticos 
 Sumarização 
 Composição de arquivo 
 Apontamento de duplicidade de registro 
 Sequência incorreta de registro 
São ferramentas com capacidade de processar, analisar e simular amostras, 
sumarizar, apontar possíveis duplicidades, gerar dados estatísticos, e diversas 
outras funções. 
 
As ferramentas especialistas ou especializadas são programas 
desenvolvidos especificamente para executar certas tarefas numa circunstância 
definida. Pode ser desenvolvida pelo próprio auditor, por algum especialista ou 
por alguém contratado para este fim. A vantagem na sua utilização está no 
atendimento a demandas específicas de auditoria a segmentos especializados 
de mercado ou de alta complexidade onde as ferramentas generalistas de 
auditoria não atendem. A grande desvantagem está no alto custo para seu 
desenvolvimento. 
Já os programas utilitários são utilizados para executar funções comuns de 
processamento, como por exemplo, ordenar sumarizar, concatenar e gerar 
relatório. Sua grande vantagem está na capacidade que possuem de servir 
como substitutos na ausência de ferramentas de auditoria mais completas. 
 
Controles de Segurança da Informação 
 
 
A Norma ABNT NBR ISO 27001 é uma norma de segurança que oferece um 
modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, 
manter e melhorar um Sistema de Gestão de Informação (SGSI). Oferece um 
 
anexo com controles de segurança baseados e definidos na norma ISO 27002 
(norma de melhores práticas em segurança da informação): 
 
 Política de segurança 
 Organizando a segurança da informação 
 Gestão de ativos 
 Segurança em recursos humanos 
 Segurança física e do ambiente 
 Segurança nas operações e comunicações 
 Controle de acessos 
 Aquis., desenv. e manut. de sistemas 
 Gestão de incidentes de segurança da informação 
 Gestão dacont. do negócio 
 Conformidade 
 
O COBIT apresenta orientações sobre como manter os riscos das organizações 
em níveis aceitáveis, a disponibilidade de sistemas e serviços e ainda estar em 
conformidade com a regulamentação vigente. Com a sua implementação 
garante que, na organização, a informação será protegida contra exposição 
indevida (confidencialidade), alterações impróprias (integridade) e impedimento 
de acesso (disponibilidade). Apresenta 12 princípios : 
 
 Foco no negócio 
 Entregar qualidade e valor às partes interessadas 
 Estar em conformidade com os requisitos legais e regulatórios relevantes 
 Prover informação tempestiva e precisa sobre o desempenho da 
segurança da Informação 
 Avaliar ameaças atuais e futuras à informação 
 
 Promover melhorias contínuas na informação 
 Promover melhorias contínuas na informação 
 Adotar uma abordagem baseada em risco 
 Proteger informação classificada 
 Concentrar-se em aplicações críticas de negócio 
 Desenvolver sistemas de forma segura 
 Atuar de uma maneira profissional e ética 
 Promover uma cultura de Segurança da Informação positiva 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
O Processo APO 13 – Gerenciar a segurança, pertence ao domínio Alinhar, 
planejar e Organizar. Tem como objetivo definir, operar e monitorar um sistema 
de gestão de segurança da informação (SI). Manter o impacto e ocorrências de 
incidentes de SI dentro dos níveis aceitáveis de risco na organização. Define as 
seguintes ações: 
 
 Estabelecer e manter um ISMS 
APO 13 
Gerenciar a Segurança 
DSS 05 
Gerenciar Serviços de 
Segurança 
 
 Definir e gerenciar um plano de tratamento para o risco de SI 
 Monitorar e revisar o ISMS 
 
O processo DSS - 05 Gerenciar Serviços de Segurança, pertence ao 
domínio Monitorar, Avaliar e Analisar. Tem como objetivo proteger as 
informações da organização para manter o nível de risco aceitável para a 
segurança da informação da organização, de acordo com a política de 
segurança. Ele estabelece e mantém as funções de segurança da informação, 
os privilégios de acesso e realiza o monitoramento. São ações definidas pelo 
processo DSS 05: 
 
 Proteger contra malware 
 Gerenciar segurança de rede e conectividade 
 Gerenciar segurança de endpoints 
 Gerenciar identidade e acesso lógico e de usuários 
 Gerenciar acesso físico a ativos de TI 
 Gerenciar documentos e dispositivos de saída sensíveis 
 Monitorar a infraestrutura quanto a eventos relacionados a segurança 
 
O SANS Institute, mantém uma lista com os 20 controles de segurança mais 
críticos para as organizações. O objetivo é apresentar os principais controles 
que todas as empresas e entidades devem priorizar no momento de criar e 
investir em sua infraestrutura de segurança: 
 
 Controles de Segurança críticos 
 Inventário de dispositivos autorizados e não autorizados 
 Inventário de Software autorizados e não autorizados 
 Configurações de segurança para hardware e software 
 
 Avaliação e correção contínuas de vulnerabilidades 
 Defesas contra Malware 
 Segurança de software de aplicação 
 Controle de acesso Wireless 
 Recurso de recuperação de dados 
 Avaliação de habilidades de segurança e treinamento adequado para 
corrigir falhas 
 Configurações seguras para dispositivos de rede 
 Limitação e controle de portas de rede, protocolos e serviços 
 Uso controlado de privilégios administrativos 
 Defesa de limites 
 Manutenção, monitoramento e análise de registros de auditoria 
 Acesso controlado com base na necessidade de saber 
 Monitoramento e Controle de Conta 
 Proteção de dados 
 Resposta a incidentes e gerenciamento 
 Engenharia de rede segura 
 Testes de Penetração e Exercícios da equipe vermelha 
 
Matriz RACI 
 
 
No contexto da segurança da informação e do controle é essencial que as 
atribuições e responsabilidades estejam formalizadas e documentadas a fim de 
evitar dúvidas e posteriores conflitos entre os membros das equipes envolvidas. 
 
 
 
 
 
 
 
Neste sentido a matriz de responsabilidades ou matriz de designação de 
responsabilidades, também conhecida como Matriz RACI é um eficiente 
instrumento cujo principal objetivo é a atribuição de funções e 
responsabilidades dentro de um determinado processo, projeto, serviço ou 
departamento/função. 
 
A sigla RACI significa: 
 
 R 
Responsible - Responsável por executar uma atividade (o 
executor); 
A 
Accountable - Quem deve responder pela atividade, o dono (apenas 
uma autoridade pode ser atribuída por atividade); 
C 
Consult - quem deve ser consultado e participar da decisão ou 
atividade no momento que for executada; 
I 
Inform - quem deve receber a informação de que uma atividade ou 
ação foi executada. 
 
 
 
Na construção de uma tabela RACI devemos atribuir às responsabilidades R, A, 
C e I em tarefas de um processo, serviço ou departamento. Desta forma 
devemos criar uma tabela, onde as linhas correspondem as atividades e as 
colunas os responsáveis envolvidos. Cada célula desta tabela deverá ser 
preenchida com um ou mais letras (R, A, C e/ou I) associando cada atividade 
da linha com os responsáveis descritos em cada coluna, conforme a tabela 
abaixo: 
 
Pessoas 
Quem faz o 
quê 
Quem decide 
o quê 
 
 
 
 Dono do 
Processo 
Usuário1 Usuário2 Área A 
Atividade 1 A/R C I C 
Atividade 2 A R I C 
Atividade 3 A R I I 
Atividade 4 A C I R 
Matriz RACI de um processo de segurança qualquer. 
 
 
 
Existem duas regras básicas que devem ser seguidas na construção de qualquer 
tabela RACI: 
 Para toda atividade, deve existir pelo menos 01 um responsável em 
executá-la (R) e um dono (A); 
 Não pode existir mais de um dono para uma mesma atividade (A). 
 
 
Referências: 
 
SCHMIDT, Paulo; Santos, Jose Luiz dos; Arima, Carlos Hideo. Fundamentos de 
Auditoria de Sistemas. Rio de Janeiro, Atlas, 2006 
 
FERREIRA, Fernando N. Freitas ; ARAÚJO, Márcio T. Política de Segurança da 
Informação. Ciência Moderna, 2006. 
 
PEIXOTO, Mario Cesar Pintaudi. Engenharia Social e Segurança da Informação. 
Brasport, 2006. 
 
CAMPOS, Andre L.N. Sistema de Segurança da Informação: Controlando os 
Riscos. São Paulo, Visual Books, 2005. 
 
Cobit for assurancce: http://www.isaca.org/COBIT/Pages/Assurance-product-
page.aspx , última consulta em 24/10/2015. 
 
 
COBIT 5 for security: http://www.isaca.org/COBIT/Pages/Information-Security-
Product-Page.aspx , última consulta em 24/10/2015. 
 
Daychoum, Merhi 40 + 8 ferramentas e técnicas de gerenciamento / Merhi 
Daycoum; prefácio Ana Cláudia Baumotte. – 4. Ed. – Rio de Janeiro: Barsport, 
2012. 
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de 
Janeiro, Axcel Books, 2000. 
 
GIL, Antonio de Loureiro. Auditoria de Computadores. SAO PAULO: ATLAS, 
1998. CISA, Review Manual. Edição 2014, ed. ISACA 
 
Imoniana, Joshua Onome, Auditoria e Sistemas de Informação, 2. Ed. – São 
Paulo: atlas, 2008. 
 
Lyra, Maurício Rocha Segurança e Auditoria em Sistemas de Informação Rio de 
Janeiro: Editora Ciência Moderna Ltda. , 2008. 
 
MARTINS, José Carlos Cordeiro. Gestão de Projetos de segurança da 
Informação. Brasport. 2003. 
 
Matriz RAcI: http://www.portalgsti.com.br/2013/04/matriz-raci.html , acessado 
em 20/11/2015. 
Portal de Auditoria: http://www.portaldeauditoria.com.br/auditoria-interna/A-
importanciia-da-auditoria-interna.asp,última consulta em 24/10/2015 
 
San institute: https://www.sans.org/media/critical-security-controls/fall-2014-
poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstit
ute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Securit
y+Controls+ , última consulta em 24/10/2015