Aula 2 - Direito, auditoria e qualidade na TI

Prévia do material em texto

Governança de Tecnologia da Informação
Aula 02
Direito, auditoria e qualidade na TI
Objetivos Específicos
• Entender os fundamentos de direito, auditoria e qualidade na TI.
Temas
Introdução
1 Fundamentos do Direito
2 A auditoria em Tecnologia da Informação
3 Elementos da auditoria de sistemas
4 Qualidade em Tecnologia da Informação
Considerações finais
Referências
Professores Autores
Bruno Domingos Rodrigues / Ricardo Mathias de Castro
Senac São Paulo - Todos os Direitos Reservados
Governança de Tecnologia da Informação
2
Introdução
Quando tratamos de temas relacionados à Tecnologia da Informação, muitas vezes 
nos esquecemos de aspectos de controle. Uma das práticas que vem impactando, cada vez 
mais, em nosso dia a dia é o atendimento a leis nacionais e, por vezes, internacionais no 
desenvolvimento de aplicações e na criação de soluções. 
Dessa forma, é importante que conheçamos a influência que leis, regulamentos, normas e 
boas práticas de mercado exercem sobre o nosso dia a dia. Devemos, então, questionar: quais 
são os fundamentos do direito e como ele influencia as relações mediadas pela informática e 
pela internet? Como garantir conforto das corporações, dos órgãos reguladores e auditores 
independentes em suas avaliações periódicas de riscos e controles internos em TI? Quais os 
fatores a serem considerados nas questões relacionadas à qualidade de TI?
1 Fundamentos do Direito
O Direito, enquanto processo de resolução de conflitos, delimita problemas e os resolve. 
Podemos enxergá-lo como um procedimento silogístico, ou seja, de maneira lógica, para 
que se possa deduzir uma conclusão a partir de premissas. Os problemas são delimitados 
enquanto pontos controvertidos surgidos no processo judicial e são resolvidos por meio de 
decisões tomadas pelo juiz. 
A resolução final do conflito ocorre por meio da aplicação do Direito. De modo 
simplificado, a decisão é um ato no qual uma possibilidade é escolhida e outras são descartadas 
(FERREIRA, 2012). O juiz, então, irá escolher uma versão para os fatos narrados (que pode ser 
a versão de uma das partes, uma mescla de ambas ou uma versão do próprio juiz com base 
na apresentação das provas obtidas), selecionar as leis aplicáveis, delimitar seus significados 
por meio de uma interpretação e, por fim, transformar o texto legal em um texto sentencial 
(FERREIRA, 2012).
Nos últimos anos, houve um aumento significativo nas ações judiciais envolvendo 
aspectos da tecnologia, por exemplo, as que visam à identificação de usuários, as relacionadas 
à recuperação de evidências eletrônicas, a empresas que cometeram atos ilícitos, e até devido 
a crimes na internet (BLUM; FERRÃO, 2008).
Um aspecto importante que destacamos é que toda interação efetuada no âmbito 
informático gera registros, seja nos provedores e servidores responsáveis pelo acesso 
ou conteúdo, seja nas aplicações de negócio. Esses rastros (ou evidências) viabilizam a 
identificação do usuário responsável por determinada conduta indevida, concluindo-se que 
os ilícitos e crimes digitais sempre deixam vestígios (BLUM; FERRÃO, 2008).
Senac São Paulo - Todos os Direitos Reservados
Governança de Tecnologia da Informação
3
1.1 O Direito em Tecnologia da Informação
Um grande equívoco que, por vezes, se verifica é a afirmação da inexistência de leis que 
regulem a internet e o uso dos recursos tecnológicos, como se o ambiente informático fosse 
um mundo sem leis, no qual se admitiria qualquer conduta, ainda que ofensiva a empresas e 
pessoas (BLUM; FERRÃO, 2008).
No mercado global atual, impulsionado pela internet e pelas tecnologias avançadas, as 
organizações são levadas a cumprir um crescente número de exigências legais e regulatórias. 
Devido a escândalos corporativos e a crises financeiras nos últimos anos, há uma maior 
conscientização dos membros da Alta Administração da existência e implicações de leis e 
regulamentos mais rigorosos. As partes interessadas exigem uma maior garantia de que 
as organizações atuem conforme as leis e os regulamentos e em conformidade com boas 
práticas de Governança Corporativa em seu mercado (BLUM; FERRÃO, 2008).
Ocorre que a legislação vigente pode ser aplicada para regular os conflitos originados do 
uso das novas tecnologias. Assim, inúmeras condutas enquadram-se no conceito de ato ilícito 
(âmbito civil) ou até mesmo no conceito de crime (âmbito penal), quando previsto na norma 
para que exista o crime (BLUM; FERRÃO, 2008).
Nessa linha, é possível afirmar que, aos profissionais e às empresas de tecnologia, são 
assegurados os direitos constitucionais vigentes relacionados à proteção à marca, propriedade 
intelectual, privacidade, honra, imagem, nome, liberdade de manifestação do pensamento, 
sendo proibido o anonimato. Logo, a violação desses direitos é passível de indenização por 
danos morais e materiais (BLUM; FERRÃO, 2008).
No ano de 2013, a empresa brasileira Embraer fez um acordo milionário com a 
Microsoft para evitar um processo judicial internacional relativo ao uso de software 
sem licença. A denúncia foi feita pela Microsoft no estado de Washington (EUA) com 
base no “Unfair Competition Act”, lei que proíbe a venda de qualquer produto fabricado 
com o uso de TI pirata. Um processo judicial internacional envolvendo uso de software 
ilegal com base nessa lei acarretaria o impedimento da venda de aeronaves em 37 dos 
50 estados americanos, caso a Embraer fosse condenada em tribunal (FELLICI, 2013)..
Além disso, devido ao fato de a TI ter viabilizado processos de negócios pervasivos 
integrados entre organizações, existe uma crescente necessidade de assegurar que os contratos 
incluam importantes requisitos de TI em áreas tais como privacidade, confidencialidade, 
propriedade intelectual e segurança (BLUM; FERRÃO, 2008).
A Alta Administração deve garantir que o cumprimento dos requisitos regulatórios 
Senac São Paulo - Todos os Direitos Reservados
Governança de Tecnologia da Informação
4
externos seja tratado como parte de um planejamento estratégico ao invés de se materializar 
em uma reação tardia e custosa. Os membros da Alta Direção também devem dar o tom 
do alto escalão e estabelecer políticas e procedimentos para seus gerentes e equipes, 
para garantir que os objetivos corporativos sejam alcançados, o risco seja minimizado e a 
conformidade seja atingida. A alta gerência deverá encontrar o equilíbrio adequado entre 
desempenho e conformidade, garantindo que as metas de desempenho não coloquem em 
risco a conformidade e, de forma recíproca, que o regime de conformidade seja adequado e 
não restrinja excessivamente a operação do negócio (BLUM; FERRÃO, 2008).
Dessa forma, a conformidade com as leis e os regulamentos externos é um dos objetivos 
estratégicos de negócio para a maioria das corporações, o qual, no contexto de tecnologia, 
deve ser apoiado adequadamente por sistemas de informação para uma conveniente redução 
de riscos negativos para o negócio e para as partes interessadas (ISACA, 2012).
O COBIT® 5 (ISACA, 2012) mapeia os objetivos corporativos nas dimensões do balanced 
scorecard e os vincula a objetivos de TI para que se garanta a conformidade com as leis e os 
regulamentos externos, a saber:
Quadro 1 – Objetivos de TI que viabilizam o atendimento da conformidade de requisitos externos
Dimensão Financeira Dimensão Cliente Dimensão Interna
• Conformidade de TI e apoio 
para a conformidade do 
negócio com as leis e os 
regulamentos externos
• Gestão do risco 
organizacional de TI
• Transparência dos custos, 
benefícios e riscos de TI
• Prestação de serviços de 
TI em consonância com os 
requisitos de negócio
• Segurança da informação, 
infraestrutura de 
processamento e aplicativos
• Disponibilidade de 
informações úteis e 
confiáveis para a tomada de 
decisão
Fonte: ISACA (2012, p. 52).
Aprofundando mais a aplicação de processos de Gestão e Governança de TI e sua 
contribuição e para a conformidade com as leis e os regulamentos externos do COBIT® 5 
(ISACA, 2012), temos:• APO02 Gerenciar a estratégia: ajuda a garantir a existência de um alinhamento 
entre o plano de TI e os objetivos gerais da organização, inclusive as exigências de 
governança.
• MEA02 Monitorar, avaliar e analisar o sistema de controle interno: permite que 
a diretoria avalie se os controles são adequados para cumprir os requisitos de 
conformidade.
• MEA03 Monitorar, avaliar e analisar a conformidade com os requisitos externos: 
ajuda a garantir que os requisitos de conformidade externos sejam identificados, a 
Alta Direção estabeleça a orientação para a conformidade e a conformidade de TI em 
Senac São Paulo - Todos os Direitos Reservados
Governança de Tecnologia da Informação
5
si seja monitorada, avaliada e informada como parte da conformidade geral com os 
requisitos da organização.
O guia de auditoria do COBIT® 5 (ISACA, 2012) explica como os auditores podem fornecer 
uma garantia independente da conformidade e aderência às políticas derivadas de diretivas 
internas ou de exigências legais, regulatórias ou contratuais externas, confirmando que todas 
as ações corretivas para tratar de qualquer falha na conformidade tenham sido tomadas 
tempestivamente pelo responsável pelo processo.
2 A auditoria em Tecnologia da Informação
As descobertas das auditorias regulares sobre desempenho de TI ou relatórios de 
problemas com a qualidade atuam, geralmente, como motivadoras de mudança na cultura 
de controles das grandes corporações, principalmente quando relacionadas a riscos de não 
atendimento à conformidade regulamentar (SCHMIDT; SANTOS; ARIMA, 2006).
A Auditoria de Sistemas de Informação é parte de uma disciplina maior no processo 
de auditoria, que é reconhecido como um dos facilitadores da boa governança corporativa. 
Schmidt, Santos e Arima (2006, p. 27) definiram Auditoria de Sistemas de Informação como 
“[...] o processo de coleta e avaliação de evidências para determinar se um sistema de 
computador (ou de informação) salvaguarda os ativos, mantém a integridade dos dados, 
atinge as metas organizacionais com efetividade e consome recursos de forma eficiente”. 
Os Sistemas de Informação são a força vital das maiores organizações (AKABANE, 
2012). Em um passado recente, os sistemas computadorizados eram meros registradores 
de transações; entretanto, hoje direcionam os processos-chave empresariais. Nesse 
cenário, existe real preocupação dos mais altos cargos da administração sobre o 
ambiente sistêmico. O propósito da Auditoria de Sistemas é revisar e proporcionar 
informação, garantias e sugestões. De forma simplista, podemos afirmar que sua 
principal contribuição é dar opinião sobre um determinado ambiente analisado (ISACA, 
2012).
Ademais, segundo Schmidt, Santos e Arima (2006), podemos agrupar as principais 
preocupações da administração em três categorias básicas:
• Disponibilidade: os sistemas de informação, cujos negócios estão altamente 
dependentes, estarão disponíveis sempre que necessário? Os sistemas estão 
protegidos contra todo tipo de perda e desastre?
Senac São Paulo - Todos os Direitos Reservados
Governança de Tecnologia da Informação
6
• Confidencialidade: as informações estarão disponíveis apenas àquelas pessoas que 
precisam e devem ter acesso e a mais ninguém?
• Integridade: a informação fornecida pelos sistemas será sempre precisa, confiável e 
atualizada? O que garante que nenhuma modificação não autorizada pode ser feita 
nos dados e no software em um sistema?
3 Elementos da auditoria de sistemas
Os elementos da auditoria de sistemas são complexos e têm muitos componentes juntos 
que formam uma solução de negócio. Podem representar um sistema de informação não 
limitado ao computador (AKABANE, 2012). A garantia dos controles só pode ser obtida se 
todos os componentes forem analisados e segurados, tendo em mente o provérbio: “o elo 
mais fraco da corrente compromete o todo”. 
Os principais elementos da Auditoria de Sistemas podem ser classificados de forma 
ampla em (SCHMIDT; SANTOS; ARIMA, 2006):
• Revisão física e de ambiente: inclui segurança física, suprimento de energia, 
condicionamento de ar, controle de umidade e outros fatores de ambiente. 
• Revisão da administração de sistemas: inclui revisão de segurança dos sistemas 
operacionais, gestão de banco de dados, procedimentos de administração e sua 
aderência a normas internas e externas. 
• Revisão da segurança de rede: revisão das conexões internas e externas do sistema, 
segurança perimetral, revisão de firewall, listas de controle de roteamento, port 
scanning e detecção de intrusão são algumas áreas a serem abordadas. 
• Revisão da continuidade de negócios: inclui a existência e manutenção de hardware 
redundante e tolerante a falhas, procedimentos de backup e armazenamento, e 
planos de continuidade de negócios/recuperação de desastres documentados e 
testados. 
• Revisão da integridade de dados: o propósito dessa profunda análise dos dados é 
verificar a adequacidade dos controles e impactos das vulnerabilidades verificadas 
em qualquer das avaliações anteriores feitas. Esses testes substantivos podem ser 
feitos usando ferramenta específica de auditoria. 
• Revisão dos sistemas aplicativos: os sistemas aplicativos podem ser de folha de 
pagamento, contas a pagar, processamento de pedidos com base em web ou um ERP 
que apoiam o negócio. A revisão de tais sistemas aplicativos inclui os controles de 
acesso e autorização, validação, tratamento de erros e exceções, fluxo do processo 
de negócio na aplicação e os controles e procedimentos manuais complementares à 
operação. Adicionalmente, também deve ser feita uma avaliação no ciclo de vida do 
sistema. 
Senac São Paulo - Todos os Direitos Reservados
Governança de Tecnologia da Informação
7
Todos esses elementos devem ser tratados para apresentar à administração uma 
avaliação clara do ambiente de sistemas. Por exemplo, um sistema aplicativo pode ser bem 
desenhado e implementado com todas as características de segurança, mas a senha padrão 
do administrador usada no sistema operacional pode não ter sido trocada, permitindo, 
dessa forma, que alguém acesse diretamente os arquivos de dados. Tal situação burla todos 
os controles de segurança da aplicação. Da mesma forma, firewalls e outros sistemas de 
proteção podem ter sido bem implementados, mas a definição do controle de acesso do 
sistema aplicativo pode ter sido tão mal desenhada que com o próprio user ID, o usuário pode 
ter acesso à informação considerada crítica e sensível, além da sua necessidade e autorização 
(ISACA, 2012).
As práticas de auditoria em Tecnologia da Informação são tratadas pela associação 
internacional, Information Systems Audit and Control Association (ISACA), que possui 
certificações profissionais e diversos padrões vinculados ao tema de auditoria e avaliação de 
controles informáticos. Acesse o material disponibilizado na Midiateca.
É importante que você entenda que cada auditoria pode avaliar um ou mais elementos 
em uma única empreitada ou em trabalhos distintos. Isso ocorre seja por falta de qualificação 
técnica específica em cada um desses assuntos, seja pela determinação de uma limitação 
de escopo na análise. Cada componente, entre os descritos anteriormente necessita de 
experiência e qualificação técnica distinta. Contudo, todos os componentes devem ser olhados 
de forma ampla e relacionados de forma a serem complementares. Essa visão possibilita 
tanto ao auditor quanto à administração terem uma visão total dos problemas. Assim, essa 
visão torna-se crítica para o sucesso das avaliações (SCHMIDT; SANTOS; ARIMA, 2006).
4 Qualidade em Tecnologia da Informação
Apesar de existirem sólidas metodologias de desenvolvimento de projeto de software 
no mercado, muitas vezes os problemas com aplicações geram problemas operacionais 
no cotidiano da organização (MOLINARO; RAMOS, 2010). Uma pesquisa da IBM (2009) 
mostrou que os membros da equipe de desenvolvimento e a administração são avaliados e 
recompensados com base na pontualidadeda entrega, dentro do orçamento, de seus projetos. 
Eles não são necessariamente avaliados por critérios de qualidade ou critérios de benefícios 
para a organização. Consequentemente, eles se concentram diligentemente no prazo de 
entrega e na redução de custos durante o desenvolvimento, por exemplo, tempo dos testes. 
A pesquisa mostrou, também, que o cumprimento da metodologia e dos procedimentos 
estabelecidos praticamente não existe, uma vez que ela exigiria um pouco mais de tempo no 
desenvolvimento do orçamento (em favor da qualidade) (IBM, 2009).
Senac São Paulo - Todos os Direitos Reservados
Governança de Tecnologia da Informação
8
Além disso, a estrutura organizacional se apresenta de tal forma que o envolvimento 
da área de desenvolvimento cessa uma vez que o desenvolvimento é transferido para a 
equipe de operações. A partir daí, o envolvimento com a área de desenvolvimento é somente 
indireto, por meio dos processos criados para controle de incidentes e controle de problemas. 
Além disso, a estrutura organizacional se apresenta de tal forma que o envolvimento da área 
de desenvolvimento cessa uma vez que o desenvolvimento é transferido para a equipe de 
operações (MOLINARO; RAMOS, 2010).
O objetivo da Gestão da Qualidade no contexto da Governança de TI visa a definir e 
comunicar os requisitos de qualidade de todos os processos, procedimentos e resultados 
corporativos relacionados, inclusive controles, monitoramento contínuo e o uso de práticas e 
padrões comprovados nos esforços de melhoria e eficiência contínuos (ISACA, 2012).
As práticas de Gestão de Qualidade em Governança Corporativa de TI, bem como sua 
relação com outros processos e atividades de TI e suas principais métricas são descritas, 
detalhadamente, no documento COBIT® 5: Processos Habilitadores, disponível na Midiateca.
Neste contexto, algumas das práticas-chave de controle para a garantia da qualidade 
podem ser expressas em seis atividades básicas (ISACA, 2012):
1. Criar um sistema de gerenciamento da qualidade: criar e manter um Sistema de 
Gestão da Qualidade (SGQ) que disponibilize uma abordagem padronizada, formal e 
contínua para o gerenciamento da qualidade da informação, facilitando os processos 
do negócio e de tecnologia alinhados aos requisitos do negócio e ao gerenciamento 
da qualidade da empresa.
2. Definir e gerenciar padrões, práticas e procedimentos da qualidade: identificar e 
manter requisitos, padrões, procedimentos e práticas dos principais processos para 
orientar a empresa no cumprimento da intenção do Sistema de Gerenciamento da 
Qualidade definido.
3. Focar o gerenciamento da qualidade sobre os clientes: determinar os requisitos 
de gerenciamento de qualidade sobre os clientes e garantir o alinhamento com as 
práticas de gerenciamento da qualidade.
4. Monitorar, controlar e analisar a qualidade: monitorar a qualidade dos processos e 
serviços continuamente, conforme definido pelo SGQ. Definir, planejar e implementar 
medidas para monitorar a satisfação do cliente com a qualidade e com o valor 
agregado pelo SGQ. As informações reunidas devem ser usadas pelo responsável 
pelo processo para melhoria da qualidade.
Senac São Paulo - Todos os Direitos Reservados
Governança de Tecnologia da Informação
9
5. Integrar o gerenciamento da qualidade às soluções para o desenvolvimento e 
prestação de serviço: incorporar as práticas de gerenciamento da qualidade 
pertinentes na definição, no monitoramento, relatório e gerenciamento contínuo do 
desenvolvimento de soluções e ofertas de serviços.
6. Manter a melhoria contínua: manter e comunicar regularmente um plano geral da 
qualidade que promova a melhoria contínua, o qual deve incluir a necessidade e os 
benefícios da melhoria contínua; coletar e analisar os dados sobre o SGQ e aumentar 
sua eficácia; corrigir não conformidades a fim de evitar recorrências; e promover uma 
cultura da qualidade e melhoria contínua.
Com a adequada aplicação e monitoração de controles em um SGQ, busca-se garantir a 
execução consistente das soluções e serviços a fim de cumprir os requisitos de qualidade da 
empresa e atender às necessidades do participante (ISACA, 2012).
Considerações finais
Os desafios no atendimento de exigências regulamentares, de controle e qualidade em 
tecnologia tornam-se mais evidentes, uma vez que, cada vez mais, é indissociável a TI das 
práticas cotidianas de comunicação e negócios.
Nesta aula, foram apresentados conceitos relacionados ao Direito e sua influência nas 
relações mediadas pela informática e pela internet, além de algumas de suas consequências 
para prática profissional. 
Vimos, também, os fundamentos da Auditoria de Sistemas de Informação, seus 
principais elementos e preocupações da administração envolvendo a qualidade dos sistemas 
de controles internos das organizações.
Além disso, exploramos os componentes do Sistema de Controle de Qualidade (SGQ), 
relacionados à produção de soluções de sistemas de informação, divididos em seis atividades 
básicas.
Referências
AKABANE, Getúlio Kazue. Gestão estratégica da tecnologia da informação: conceitos, 
metodologias, planejamento e avaliações. São Paulo: Atlas, 2012.
BLUM, Renato Opice; FERRÃO, Rubia Maria. A aplicabilidade das leis em TI. Âmbito Jurídico, Rio 
Grande, v. 11, n. 55, jul. 2008. Disponível em: <http://www.ambito-juridico.com.br/site/index.
php?n_link=revista_artigos_leitura&artigo_id=2862>. Acesso em: 22 jun. 2015.
FELLICI, Chico. Acordo milionário encerra disputa de Embraer e Microsoft nos EUA. Folha de S. 
Paulo, 19 abr. 2013. Disponível em: <http://www1.folha.uol.com.br/mercado/2013/04/1265143-
acordo-milionario-encerra-disputa-de-embraer-e-microsoft-nos-eua.shtml>. Acesso em: 22 
http://www.ambito-juridico.com.br/site/index
http://www1.folha.uol.com.br/mercado/2013/04/1265143-
Senac São Paulo - Todos os Direitos Reservados
Governança de Tecnologia da Informação
10
jun. 2015.
FERREIRA, Adriano de Assis. Postagens de Introdução ao Direito. 2012. Disponível em: <http://
introducaoaodireito.info/wpid/>. Acesso em: 22 jun. 2015.
IBM. Sala de Imprensa: Press release: Estudo da IBM indica que 60% dos projetos corporativos 
destinados a implementar mudanças não atingiram seu real objetivo. São Paulo, 6 jul. 2009. 
Disponível em: <https://www-03.ibm.com/press/br/pt/pressrelease/27946.wss>. Acesso em: 
22 jun. 2015.
ISACA. COBIT 5 Modelo de Negócios para Governança e Gestão de TI da Empresa. EUA. 2012. 
Disponível em: <http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx>. Acesso em: 22 
jun. 2015.
MOLINARO, Luís Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de Tecnologia da 
Informação e Governança de TI: arquitetura e alinhamento entre sistemas de informação e o 
negócio. São Paulo: LTC (GEN), 2010. 
SCHMIDT, Paulo; SANTOS, José Luiz dos; ARIMA, Carlos Hideo. Fundamentos de Auditoria de 
Sistemas. São Paulo: Atlas, 2006. v. 9. (Coleção resumos de Contabilidade).
https://www-03.ibm.com/press/br/pt/pressrelease/27946.wss
http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx
	Introdução
	1 Fundamentos do Direito
	2 A auditoria em Tecnologia da Informação
	3 Elementos da auditoria de sistemas
	4 Qualidade em Tecnologia da Informação
	Considerações finais
	Referências