Auditoria de sistemas

Prévia do material em texto

Auditoria de sistemas 
 
Com o processo da globalização e a velocidade dos avanços tecnológicos, a busca por informação se tornou alvo 
comum de toda a sociedade. As grandes empresas não mais sobrevivem sem o uso de um sistema bem formulado, e 
com eles podem surgir muitos problemas de vulnerabilidades, lentidão, falhas e distorções nas informações das 
empresas, em conseqüência de sistemas mal testados, documentação deficiente e, em certos casos, da pouca 
importância dada ao emprego da tecnologia de informação (TI). 
Para assegurar a integridade, confiabilidade, confidencialidade e disponibilidade das informações, tornam-se 
necessárias medidas de controle e segurança de sistemas de informação em operação. 
Cabe à auditoria de sistemas de informação validar e avaliar os resultados gerados pelos sistemas informatizados, a 
eficiência dos processos envolvidos e a segurança das informações. 
Nesse contexto, a disciplina apresenta os conceitos básicos que se aplicam a uma auditoria de sistemas de 
informação e destaca as etapas necessárias para realização da auditoria, bem como os controles a serem verificados 
em um processo real de trabalho. 
 
Aula 1 – Auditoria de sistemas de informação – abordagem inicial 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Posicionamento da Auditoria de Sistemas nas organizações 
 
Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar 
distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de 
conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não 
só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve 
ser logo abaixo da direção executiva da empresa. Como exemplo, mostramos o seguinte organograma: 
 
 
 
Perfil do auditor de Sistemas 
 
O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação. Deve também ter visão 
abrangente da empresa, pois irá verificar se os sistemas que estará auditando suportam adequadamente os usuários 
do mesmo. Com isto não afirmo que o auditor de Sistemas deva conhecer tudo da empresa, mas o suficiente para 
saber o que perguntar a quem, quando no exercício de sua função, ou seja, consultar especialistas quando o assunto 
fugir de seu domínio tal como assuntos legais. 
Seu comportamento deve ser condizente com quem tem autoridade no assunto. 
 
E o auditor de Sistemas a tem, entretanto, não precisa apregoar isto a ninguém, as pessoas sabem do poder de um 
auditor!!! (as vulnerabilidades encontradas em um sistema, se não corrigidas a tempo, poderão retirar o sistema de 
operação gerando demissões dos responsáveis). Da mesma forma que o comportamento adequado, deve ser sua 
maneira de vestir. Nada de extravagâncias. O auditor não precisa chamar atenção com roupas de um colorido 
berrante, barba por fazer ou bijuterias parecendo árvore de natal. Seu domínio no assunto impressionará mais que 
qualquer adorno fora de contexto. E, principalmente, nada de gírias. Observe que elas não cairiam bem na figura de 
alguém em tão alto posto no organograma da empresa. 
 
Recomendação!!! 
 
Nada de Agradinhos. 
 
Lembro-me que quando comecei a trabalhar na auditoria do banco, meu chefe disse que eu não poderia aceitar 
presentes, almoços ou jantares dos auditados. Com certeza, isso poderia sugerir um agrado para eu não mencionar 
alguma vulnerabilidade encontrada nos sistemas. 
 
Equipe De Auditoria 
 
Há dois grandes meios de se ter uma equipe de auditoria: 
Interna: Na auditoria interna, quando os auditores são colaboradores da empresa, a equipe é treinada conforme 
objetivos de segurança da empresa. Uma metodologia de auditoria deve ser adquirida ou desenvolvida em casa. Não 
é um trabalho trivial, mas há recompensas quando a auditoria evita impactos desastrosos (como, por exemplo, 
perda financeira ou quebra de imagem da empresa) que poderiam ser causados por sistemas ou procedimentos 
 com falhas de segurança, tais como fraude, contabilização indevida de dados contábeis, indisponibilidade de 
sistemas, acessos (lógico e/ou físico) indevidos e por aí afora. 
 
O recrutamento e o treinamento de pessoal neste caso podem ser um desafio! 
 
Externa: Na auditoria externa, a empresa contrata uma firma de consultores para procederem à auditoria de alguma 
área ou sistema específico. Os métodos de condução da auditoria são pertinentes à empresa contratada. Neste caso, 
há a possibilidade de se perder o controle sobre trabalhos realizados. 
 
 
 
Programa De Desenvolvimento De Carreira De Auditor De Tecnologia Da Informação 
 
O treinamento de auditor de tecnologia da informação é dividido em duas partes: 
 
 
 
O treinamento da categoria que tem pouca ou nenhuma experiência em tecnologia da informação deve incluir: 
 
- Conceitos de tecnologia da informação; 
- Fundamentos de arquitetura de sistemas, Input/Output, processamento lógico, unidade de memória principal e 
auxiliar, visando auditoria; 
- Rede de computadores, teleprocessamentos, internet, intranet e extranet, com configurações pertinentes, 
- Programação de computação, incluindo os conceitos de flowchart e Diagrama de Fluxo de Dados; 
- Tabelas de decisão e sua aplicação nas principais linguagens de programação. Observe-se que o auditor devera 
aprender somente os itens necessários para atividades do dia a dia; 
- Introdução aos controles gerais de computadores (operação, aquisição, desenvolvimento e manutenção de 
sistemas; controles de acesso, hardware, controles organizacionais e suporte técnico); 
- Estudo de caso que exemplifique cada situação (jogo de negócios) é desejável. 
 
 
 
O treinamento para aqueles que possuem experiência em tecnologia da informação deve incluir: 
 
- Revisão dos controles gerais (operações, aquisição, desenvolvimento e manutenção, controles de acesso, 
hardware, controles organizacionais e suporte técnico). Auditoria de sistemas aplicativos, princípios e práticas de 
auditoria com ênfase nos controles gerenciais e organizacionais, monitoramento e emissão de relatórios; 
- Gerenciamento de riscos, privacidade, desenvolvimento e implementação de políticas e estratégias de segurança 
da informação; 
- Avaliação dos sistemas on line com relação ao processamento em tempo real, controles de recall e identificação de 
programas, verificação das autenticações e autorizações de acessos e registros (contabilização) das transações. 
Também inclui correção, detecção e manutenção de diários (journaling) das operações; 
- Transmissão de dados, proteção de informações, segurança associada ao uso dos sistemas, teleprocessamentos, 
redes internet, intranet e extranet; 
- Controles de operações, processamento interativo em atividades de negócios e e-commerce; 
Iniciação de trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, abordagens aos 
métodos existentes e supervisões necessárias; 
- Controles de acesso à biblioteca de dados ou programas, armazenamento e recuperação dos mesmos a partir de 
bases hierárquicas, relacionais ou Data Warehouse, plano de contingência (de backup, emergência e recuperação) 
de desastres; 
- Software de auditoria, distinguindo-se os softwares generalistas dos específicos, como apoio dos especialistas em 
tecnologia da informação para desenvolver softwares que atentem para metodologias próprias. 
 
Biblioteca Técnica 
 
 
 
Auditoria Da Tecnologia Da Informação 
 
A auditoria convencional sempre foi conhecida por sua responsabilidade nos testes de confiabilidade dos registros, 
de acordo com os documentos-fonte (os documentos que geram as transações econômicas, financeiras e contábeis) 
disponíveis através de quaisquer dados intermediários que possam existir e para os quais são produzidos relatóriospara a tomada de decisões gerenciais. Porém, devido à evolução da tecnologia da informação, que interfere nas 
tecnologias gerenciais, geração a geração, é necessário guardar as informações para que estejam disponíveis para a 
auditoria, quando solicitadas. Sabe-se que devido à complexidade dos ambientes e expansão dos negócios que 
atingiram implementações em ambientes de internet, intranet e extranet, há grandes problemas quanto à 
vulnerabilidade de computadores e casos de fraude. 
 
Dependendo da sofisticação do sistema computadorizados, podemos ter três tipos de abordagens de auditoria de 
sistemas. 
 
 
 
 
 
 
 
 
 
 
 
 
Padrões e Código de Ética para a Auditoria de Sistemas de Informação 
 
Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de tecnologia de Informação dos 
estados Unidos, os padrões são: 
 
 
 
 
 
 
 
 
 
Código De Ética Profissional (ISACA) 
 
A Associação de Auditores de Sistemas e Controles (ISACA, USA), estabeleceu o código de ética profissional para 
guiar seus membros na condução de suas atividades profissionais. De acordo com o disposto no Código, os membros 
da ISACA devem: 
 
Livro 1 
 
Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informações e 
encorajar o seu cumprimento 
 
Livro 2 
 
Exercer suas funções com objetividade, diligência e zelo profissional de acordo com os padrões profissionais e 
melhores práticas 
 
Livro 3 
 
Servir aos interesses dos stakeholders (toda e qualquer pessoa que esteja de uma forma ou de outra ligada ao objeto 
da auditoria) de forma legal e honesta, atentando para a manutenção de alto padrão de conduta e caráter 
profissional, e não encorajar atos de descrédito à profissão; 
 
Livro 4 
 
Manter a privacidade e a confidencialidade das informações obtidas no decurso de suas funções, exceto quando 
exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a pessoas 
desautorizadas; 
 
Livro 5 
 
 
Livro 6 
 
 
 
Livro 7 
 
 
 
Para saber mais sobre os tópicos estudados nesta aula, pesquise na internet sites, vídeos 
e artigos relacionados ao conteúdo visto. Se ainda tiver alguma dúvida, fale com seu 
professor online utilizando os recursos disponíveis no ambiente de aprendizagem. Leia o 
artigo no link abaixo sobre segurança para aplicativos 
móveis. http://www.modulo.com.br/comunidade/noticias/1674-seguranca-8-questoes-
sobre-aplicativos-moveis 
Qualificação Profissional 
Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus 
conhecimentos estão atualizados e compatíveis com os padrões profissionais. Algumas 
organizações certificadoras: 
Information Systems Audit and Control Association (ISACA) - Certificado de Auditor de 
Sistemas de Informação (ISACA Certified Information Systems Auditor – CISA) 
British Computer Society – Exame da Sociedade Britânica de Informática 
Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional (IIA 
Qualification in Computer Auditing)