Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITORIA DE SISTEMAS Prof. Alessandro Larangeiras CONTEÚDO 1. CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO 1.1 Fundamentos de auditoria 1.2 Tipos de auditoria 1.3 Equipe de auditoria 1.4 Desenvolvimento da carreira do auditor 2. FASES PARA REALIZAÇÃO DE UMA AUDITORIA 2.1 Planejamento 2.2 Execução 2.3 Emissão e divulgação de relatórios 2.4 Follow-up 2 / 134 CONTEÚDO (cont.) 3. FERRAMENTAS DE AUDITORIA 3.1 Software generalista de auditoria de Tecnologia da Informação 3.2 Softwares especializados de auditoria 3.3 Programas Utilitários de auditoria 4. TÉCNICAS DE AUDITORIA 4.1 Dados de teste 4.2 Facilidade de teste integrado 4.3 Simulação paralela 4.4 Lógica de auditoria embutida nos sistemas 4.5 Rastreamento e mapeamento 4.6 Análise da lógica de programação 3 / 134 CONTEÚDO (cont.) 5. TIPOS DE AUDITORIA 5.1 Auditoria de redes de computadores 5.2 Auditoria de controles de hardware 5.3 Auditoria de controles de acesso 5.4 Auditoria na aquisição, desenvolvimento, documentação e manutenção de sistemas 5.5 Auditoria de sistemas de informação em produção 5.6 Auditoria de eventos 5.7 Outras 6. EMISSÃO DE RELATÓRIOS DE AUDITORIA 6.1 Carta de encaminhamento do rascunho preliminar do relatório de auditoria 6.2 Relatórios padrões de conclusão da auditoria de sistemas 4 / 134 CONTEÚDO (cont.) 7. AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS 7.1 Pré-requisitos 7.2 Metodologia de seleção 7.3 Principais pacotes disponíveis no mercado 7.4 Ferramentas de análise de dados 7.5 Avaliação de pacotes de auditoria de sistemas 8. AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO 8.1 Informação como valor para o negócio 8.2 O que é e como acontece uma Auditoria em Segurança da Informação 8.3 Auditoria e Política de Segurança de TI 5 / 134 BIBLIOGRAFIA Básica: • CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro: SESES, 2016. • ATTIE, William. Auditoria: Conceitos e Aplicações. 7. ed. Rio de Janeiro: Atlas, 2018. • IMONIANA, Joshua O. Auditoria de Sistemas de Informação. 3. ed. Rio de Janeiro: Atlas, 2016. 6 / 134 CONTEÚDO 1. CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO 1.1 Fundamentos de auditoria 1.2 Tipos de auditoria 1.3 Equipe de auditoria 1.4 Desenvolvimento da carreira do auditor 7 / 134 1 CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO 8 / 134 AUDITORIA DE SISTEMAS Auditoria é a «fiscalização da legalidade ou da conformidade de uma atividade, de um serviço, de um sistema, de um processo, etc. [...].» (AUDITORIA, 2021, acep. 3). «A atividade de auditoria [...] tem como principal produto formal um parecer, expressando a opinião do auditor sobre a adequação, ou não, com que as demonstrações contábeis representam a posi- ção patrimonial e financeira da entidade auditada [...], tomando como base de comparação os princípios fundamentais, ou geral- mente aceitos, de contabilidade. Para suportar sua opinião, o auditor independente deve coletar evidências suficientes e apro- priadas de auditoria, através de um conjunto de procedimentos técnicos.» (RAMIRES; KALINOWSKI; SPÍNOLA, 2010, p. 26-27). 9 / 134 AUDITORIA DE SISTEMAS (cont.) Assista ao vídeo Você Sabe como Funciona uma Auditoria? (<https://www.youtube.com/watch?v=AYvTlentXJM>), do canal Contabilizando (YouTube), para conhecer alguns aspectos relacionados à atividade de auditoria. 10 / 134 https://www.youtube.com/watch?v=AYvTlentXJM AUDITORIA DE SISTEMAS (cont.) «Para muitas organizações, a informação e a tecnologia que suportam o negócio representa o seu mais valioso recurso. Além disso, num ambiente de negócio altamente competitivo e dinâmico é requerida uma excelente habilidade gerencial, onde a TI deve suportar as tomadas de decisões de forma rápida, constante e com custos cada vez mais baixos.» (RAMIRES; KALINOWSKI; SPÍNOLA, 2010, p. 27). 11 / 134 AUDITORIA DE SISTEMAS (cont.) «O bom funcionamento, a confiabilidade e a segurança aplicada [aos sistemas de informação relacionados] [...] são de fundamental importância para que as informações colhidas sejam de grande valia para o auxílio à tomada de decisão por parte dos gestores das organizações.» (CASATI, 2016, p. 11, grifos nossos). Sistemas de Informação funcionando corretamente, confiáveis e seguros produzem informações válidas e, consequentemente, com alto valor agregado. 12 / 134 AUDITORIA DE SISTEMAS (cont.) «O uso de sistemas informatizados é abrangente [e algumas em- presas] [...] não conseguem funcionar nem poucas horas sem a utilização deste recurso. A auditoria de sistemas é estimulada e cresce à medida que as organizações ficam mais dependentes da informação de qualidade, e, portanto, do uso de sistemas informatizados [...].» (CASATI, 2016, p. 11). Depósito da Amazon em Melbourne, Austrália. 13 / 134 AUDITORIA DE SISTEMAS (cont.) Assista ao vídeo O Que uma Auditoria de TI Verifica (<https://www.youtube.com/watch?v=24C8INjVvmQ>), do canal Galeria WeAudit (YouTube), para conhecer alguns aspectos relacionados à atividade de auditoria de sistemas. 14 / 134 https://www.youtube.com/watch?v=24C8INjVvmQ AUDITORIA DE SISTEMAS (cont.) «A auditoria de sistemas engloba as operações de uma organiza- ção, os processos envolvidos com estas operações, os sistemas que geram as informações e por fim a responsabilidade gerencial. Ela também se atém à verificação da conformidade destes itens com os objetivos, normas, padrões, regras, orçamento e a política de uma organização. Garantir a segurança da informação, a dis- ponibilidade e a qualidade de recursos e serviços também é papel da auditoria de sistemas.» (CASATI, 2016, p. 11). «Pode-se definir auditoria de sistemas como uma verificação de conformidade dos processos com os padrões de uma organização [...].» (CASATI, 2016, p. 13). 15 / 134 AUDITORIA DE SISTEMAS (cont.) «As funções administrativas da auditoria de sistemas passam por três fases: • planejamento: em que são definidas as expectativas de comportamento, os padrões a serem seguidos, as políticas da organização, as previsões orçamentárias, entre outras definições. O cronograma de execução da auditoria também é definido nesta fase; 16 / 134 AUDITORIA DE SISTEMAS (cont.) • execução: medidas das operações e processos da organi- zação. Nesta fase o auditor deve verificar minuciosamente cada processo a ser auditado e colher informações suficien- tes para que se possa analisar as operações em relação ao planejamento; • controle: nesta fase as medidas adquiridas são confrontadas com os padrões definidos na fase de planejamento, a fim de verificar se as operações estão em conformidade com estes padrões. Em caso de desvios, deve-se definir quais ações serão tomadas para que as discrepâncias não sejam repe- tidas.» (CASATI, 2016, p. 11-12). 17 / 134 AUDITORIA DE SISTEMAS (cont.) Fases da auditoria de sistemas (CASATI, 2016, p. 12). 18 / 134 TIPOS DE AUDITORIA DE SISTEMAS «Existem basicamente dois tipos de auditoria: a auditoria interna e a externa. Na auditoria interna, a organização tem em seu qua- dro de colaboradores uma equipe de profissionais qualificados e habilitados em auditoria de sistemas, que são treinados especifi- camente para as necessidades e os objetivos de segurança da própria organização. Auditoria externa é a contratação de uma empresa especializada que presta serviços de auditoria. A equipe desta empresa contratada irá atuar sob demanda na organização.» (CASATI, 2016, p. 15). 19 / 134 IMPORTÂNCIA E DIFICULDADES DA AUDITORIA DE SISTEMAS Assista ao vídeo Auditoria e Segurança de Sistemas (<https://www.youtube.com/watch?v=x99qRbAhHlw>), do canal Marcos Assi (YouTube), para uma reflexão sobre a importância da auditoria de sistemas para as organizações. 20 / 134 https://www.youtube.com/watch?v=x99qRbAhHlw IMPORTÂNCIA E DIFICULDADES DA AUDITORIA DE SISTEMAS (cont.) Assista ao vídeo Dez Insights para Auditores de Sistemas (<https://www.youtube.com/watch?v=gbqhEw8BJiA>), do canal ATSG – Academia Tecnológica de Sistemas de Gestão (YouTube), para uma reflexão sobrea importância da auditoria de sistemas e algumas dificuldades da sua execução. 21 / 134 https://www.youtube.com/watch?v=gbqhEw8BJiA ÁREAS DA AUDITORIA DE SISTEMAS «As áreas de auditoria de sistemas são basicamente as seguintes: segurança da informação, TI e Aplicativos. Não há uma regra fixa para determinar como as organizações devem classificar sua área de auditoria; isto fica a critério da própria organização. Na área de segurança da informação, é necessário avaliar a con- formidade com as políticas de segurança da organização, efetuar controles ambientais e plano de contingência e continuidade dos serviços. Os controles de segurança da informação a serem implantados são: • confidencialidade: controles de acesso (físico e lógico); • integridade: gravação e atualização autorizadas [...]; • disponibilidade: sistema disponível sempre que necessário; • consistência: sistema funcionando dentro dos requisitos especificados; • confiabilidade: sistema atua conforme esperado. 22 / 134 ÁREAS DA AUDITORIA DE SISTEMAS (cont.) Na área de tecnologia da informação, o auditor deve manter co- nhecimento sobre as mudanças organizacionais, operações de sistemas, hardware, computação em nuvem (Cloud Computing), sistemas ERP (Enterprise Resource Planning), data warehousing, entre outras. É desejável também que o auditor desta área tenha certificações (ITIL, Cobit, entre outras) a fim de agregar valor à entrega do serviço. A área de aplicativos controla o desenvolvimento de software, a entrada, o processamento e a saída dos dados, o conteúdo e o funcionamento dos aplicativos.» (CASATI, 2016, p. 17-18). 23 / 134 ABORDAGENS DA AUDITORIA DE SISTEMAS A auditoria de sistemas pode ser conduzida por meio de três abordagens: a) ao redor do computador: antiga e obsoleta, não envolve o uso de computador em momento algum da auditoria. Carac- terístas: emprego de rotinas manuais, requer pouco conheci- mento de Tecnologia da Informação, analisa apenas a entra- da e a saída dos documentos-fonte, viável para a auditoria de sistemas pequenos e pouco complexos; b) através do computador: melhoria da abordagem anterior, en- volve o uso parcial do computador na auditoria. Característi- cas: maior confiabilidade nas medições, possibilita diferentes modos de verificação dos documentos-fonte, apresenta maior custo; 24 / 134 ABORDAGENS DA AUDITORIA DE SISTEMAS (cont.) c) com o computador: auditoria completamente assistida por computador. Características: uso do computador para cálcu- los aritméticos e lógicos (de impostos, depreciação de bens, taxas etc.), cálculos estatísticos e amostrais (para compara- ções e confirmações), compilação dos resultados de proces- sos manuais e automatizados, ordenação e seleção de regis- tros (varredura em banco de dados, estritamente com infor- mações relevantes), desenvolvimento de softwares para a equipe de auditoria, adoção de TAAC – Técnicas de Auditoria Assistidas por Computador (CAAT – Computer-Assisted Audit Techniques). (CASATI, 2016, p. 18-20). 25 / 134 ATIVIDADE DE FIXAÇÃO 1 1. (Gran Cursos Online | Concurso Analista Legislativo Municipal · Área Controladoria · 2017) Nos trabalhos de auditoria interna, para que haja inde- pendência organizacional, o executivo chefe de auditoria deve reportar-se a um nível dentro da organização que permita à atividade de auditoria interna cumprir suas responsabilidades. A independência dentro da organização se alcança de forma efetiva quando o executivo chefe de auditoria se reporta funci- onalmente ao Conselho de Administração. Nesse contexto, dos exemplos de reporte funcional do executivo chefe da au- ditoria ao Conselho de Administração, o que poderia prejudi- car a independência dentro da organização é a aprovação do(a): a) estatuto de auditoria interna. b) escopo da auditoria interna. c) planejamento de auditoria baseado em riscos. d) orçamento de auditoria e do plano de recursos. e) remuneração do executivo chefe de auditoria. 26 / 134 ATIVIDADE DE FIXAÇÃO 1 (cont.) 2. (Aprova Concursos | Q786393 · VUNESP · 2015 · TCE-SP · Agente de Fiscalização Financeira · Sistemas, Gestão de Projetos e Governança de TI) Considerando as definições apresentadas na literatura a respeito da auditoria de sistemas, é correto afirmar que a auditoria de sistemas de informação: a) pode ser feita por profissionais internos à empresa proprietária dos sistemas b) não abrange os sistemas de bancos de dados da empresa. c) não pode ser feita por profissinais externos à empresa proprietária dos sistemas. d) não se importa com o tipo de controles existentes nos sistemas de informação. e) somente deve ser feita uma vez a cada dois anos. 27 / 134 ATIVIDADE DE FIXAÇÃO 1 (cont.) 3. (Gran Cursos Online | Concurso Auditor · 2018) Um relatório de auditoria interna deve apresentar o resultado dos trabalhos de forma a expressar, claramente, suas conclusões, recomendações e providências a serem tomadas pela administração da entida- de. Entre os requisitos de um relatório de auditoria, NÃO é recomendável que seja(m): a) descrita a metodologia adotada no trabalho. b) descritas as evidências encontradas e os fatos constatados. c) apresentados os riscos associados aos fatos constatados. d) incluídos em anexo todos os papéis de trabalho correntes e permanentes. e) reveladas eventuais limitações ao alcance dos procedimentos de auditoria. 28 / 134 ATIVIDADE DE FIXAÇÃO 1 (cont.) 4. (Gran Cursos Online) Na auditoria realizada na companhia distribuidora de peças e acessórios para veículos leves e pesados, o auditor registrou as seguintes constatações: i. Descontos obtidos pelo pagamento de duplicatas a fornecedores contabilizados como receitas de aplicações financeiras. ii. Adulteração para mais de valores de créditos de ICMS registrados no livro apuração do ICMS referente a compras para comercialização. iii. Por desatenção de funcionário da tesouraria recém contratado foi concedido desconto no pagamento com atraso de duplicatas a receber efetuado pelo cliente. iv. Registro de notas fiscais fictícias de despesas, com o objetivo de justificar saque na tesouraria da empresa. 29 / 134 ATIVIDADE DE FIXAÇÃO 1 (cont.) Segundo as Normas de Auditoria, as constatações re- gistradas pelo auditor caracterizam, respectivamente: a) erro, fraude, erro e fraude. b) fraude, fraude, erro e erro. c) erro, fraude, fraude e erro. d) fraude, erro, fraude e fraude. e) fraude, erro, fraude e fraude. 30 / 134 A EQUIPE DE AUDITORIA «A equipe de auditoria de sistemas deve ter autonomia para execução do trabalho nas organizações. O acesso aos dados, softwares e computadores deve ser permitido para que o auditor possa colher informações suficientes, executar os testes e colher medidas, para posteriormente comparar estas medidas com os padrões adotados pela organização. Para que isso ocorra, é necessário que a equipe de auditoria seja diretamente ligada à presidência da organização, não podendo esta equipe estar subordinada aos departamentos a serem auditas (sic), garantindo assim a isenção dela diante do órgão auditado [...].» (CASATI, 2016, p. 16). 31 / 134 A EQUIPE DE AUDITORIA (cont.) Organograma com adição da equipe de auditoria (CASATI, 2016, p. 17). 32 / 134 A EQUIPE DE AUDITORIA (cont.) «Obedecendo a esta estrutura organizacional, o auditor tem liberdade e acesso às informações para trabalhar e apontar as distorções visando a melhorar os processos da organização. A equipe de auditoria de sistemas pode esbarrar em algumas dificuldades para que o trabalho possa ser bem executado. As principais dificuldades encontradas pela auditoria de sistemas, indentificadas por Benetti (2015), são: • defasagem tecnológica; • falta de bons profissionais; • falta de cultura da empresa; • tecnologia variada e abrangente.» (CASATI, 2016, p. 17). 33 / 134 O PERFIL DO AUDITOR DE SISTEMAS «O auditor de sistemas é um verificador do trabalho realizado. É ele quem confronta as medidas obtidas no processo de auditoria com os padrões previamente estabelecidos, afim de verificar a conformidade daquilo que se tem como expectativa com aquilo que vem sendo executado no ambiente da organização auditada. O profissional de auditoria atua nas seguintes ações: • validação: é a etapa em que o auditor executa testes a fim de validar o processo que foi definido. • avaliação: o auditor julga a medida adquirida em relação aos padrões previamente estabelecidos e emite uma opinião por meio de relatório de auditoria. 34 / 134 O PERFIL DO AUDITOR DE SISTEMAS (cont.) O perfil de um auditor de sistemas deve estar em conformidade ou muito próximo aos seguintes itens: • conhecimento teórico em Sistemas de Informação: conhecer normas e funcionamento de sistemas computacionais; • conhecimento prático em sistemas de informação: conhecer metodologias de desenvolvimento, boas práticas, problemas comuns, é necessário que tenha experiência trabalhando diretamente com sistemas; • visão abrangente da empresa: conhecer as áreas de atuação, o planejamento estratégico, políticas adotadas em diversas áreas, principalmente no que se refere aos dados e informações; 35 / 134 O PERFIL DO AUDITOR DE SISTEMAS (cont.) • vestir-se adequadamente: passar a imagem de um profis- sional de alto escalão; • comportamento de liderança: criar sinergia, não entrar em conflitos, demonstrar conhecimento e agregação de valor; • utilizar palavreado formal: não utilizar-se de gírias e linguajar exageradamente coloquial, a fim de transparecer confiança e segurança; • não aceitar presentes: o auditor não deve aceitar qualquer tipo de agrado para passar a imagem de isenção e ética.» (CASATI, 2016, p. 13-14). 36 / 134 O PERFIL DO AUDITOR DE SISTEMAS (cont.) Assista ao vídeo Dez Competências Fundamentais para um Auditor Interno de Sucesso (<https://www.youtube.com/watch?v=j9G88HcH8UU>), do canal ProdutividadeMaxima (YouTube), para mais uma reflexão sobre o perfil profissional do auditor de sistemas. 37 / 134 https://www.youtube.com/watch?v=j9G88HcH8UU A CARREIRA DO AUDITOR DE SISTEMAS «Ser um auditor de sistemas não significa que o profissional não necessite da qualificação que o designa auditor, além dos conhe- cimentos específicos em sistemas de informação e computação [...].» (CASATI, 2016, p. 14). 38 / 134 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) «A carreira do auditor de sistemas passa por uma certificação, que pode ser emitida por três instituições: • ISACA: Certified Information System Auditor (CISA)[, asso- ciação internacional de profissionais de governança de TI]; • British Computer Society: Exame da Sociedade Britânica de Informática; • Institute of Internal Auditors (IIA): Qualificação em Auditoria Computacional. Ao adquirir uma destas certificações, o profissional torna-se habilitado a executar auditorias em sistemas.» (CASATI, 2016, p. 14). 39 / 134 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) «O programa de desenvolvimento da carreira de auditor de siste- mas pode ser dividida em duas diferentes necessidades. A primeira é quando o auditor tem pouca ou nenhuma experiência na área de TI. Neste caso, os profissionais devem se especializar nas seguintes áreas: • conceitos de TI; • tabelas de decisões aplicadas em linguagens de programa- ção; • aquisição de equipamentos (hardware); • aquisição de programas de computador (software); • metodologias e normas para desenvolvimento de soluções tecnológicas; • controles de acesso; 40 / 134 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) • operação e manutenção de sistemas; • fundamentos de arquitetura de sistemas; • entrada e saída de dados; • redes de computadores (internet, intranet e extranet); • programação de computadores; • modelagem de sistemas; • sistemas gerenciadores de bancos de dados; • processamento lógico; • unidades de memória (auxiliar e principal); • estudos de caso que exemplifiquem cada situação (jogos de negócio). 41 / 134 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) Para o profissional que tem conhecimento na área de TI, o treina- mento deve ser direcionado para os seguintes objetivos: • auditoria de sistemas aplicativos; • princípios de práticas de auditoria, enfatizando os controles organizacionais e gerenciais; • monitoramento; • emissão de relatórios; • gerenciamento de riscos; • políticas de segurança da informação; • avaliação dos sistemas on-line; 42 / 134 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) • processamento em tempo real; • identificação de programas; • verificação das autenticações e autorizações; • registros das transações; • detecção e manutenção de diários das operações. • softwares de auditoria; • controles de acesso aos dados e programas; • propriedade intelectual; • plano de contingência. 43 / 134 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) O auditor de sistemas deve também possuir uma biblioteca de consulta. Esta biblioteca deve conter informações pertinentes à área de TI da organização, documentos e informações sobre auditorias passadas. É também de suma importância manter uma biblioteca técnica para consulta sobre conceitos tecnológicos e de auditoria, assim como manter-se atualizado em relação a novas tecnologias que surgem no mercado.» (CASATI, 2016, p. 15-16). 44 / 134 NORMAS DE AUDITORIA Normas de auditoria são regulações, competências e condutas do exercício desta profissão, estabelecidas pelos órgãos regula- dores da área de Contabilidade. Veja algumas normas de auditoria divulgadas pelo Conselho Federal de Contabilidade: <https://cfc.org.br/tecnica/ normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/>. 45 / 134 https://cfc.org.br/tecnica/normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/ https://cfc.org.br/tecnica/normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/ NORMAS DE AUDITORIA (cont.) Assista ao vídeo Bate-Papo sobre Normas de Auditoria (<https://www.youtube.com/watch?v=Zeh1mgeMzMk>), do canal Grupo Portal de Auditoria (YouTube), para conhecer alguns aspectos sobre normas de auditoria. 46 / 134 https://www.youtube.com/watch?v=Zeh1mgeMzMk PADRÕES E CÓDIGO DE ÉTICA PARA AUDITORIA DE SISTEMAS Além das normas de auditoria, estabelecidas pelos órgãos regu- ladores oficiais, há também padrões ou códigos de ética, insti- tuídos por associações do segmento de Auditoria, que servem de referência para o exercício da profissão (CASATI, 2016, p. 20). «O comitê de padrões da Associação de Controle e Auditoria de Tecnologia de Informação dos Estados Unidos define os seguintes padrões: • responsabilidade, autoridade e prestação de contas; • independência profissional; • ética profissional e padrões; • competência; • planejamento; 47 / 134 PADRÕES E CÓDIGO DE ÉTICA PARA AUDITORIA DE SISTEMAS (cont.) • emissão de relatório; • atividades de follow-up (acompanhamento). Já a Associação de Auditores de Sistemas & Controles (ISACA) define o código de ética profissional contendo os seguintes itens: 1. apoiar a implementação de padrões sugeridos para procedi- mentos e controles dos sistemas de informação e encorajar seu cumprimento; 2. exercer suas funções com objetividade e zelo profissional, seguindo padrões profissionais e melhores práticas; 3. servir aos interesses dos stakeholders de forma legal e ho- nesta, com alto padrão de conduta e caráter profissional e desencorajar atos de descrédito à profissão; 48 / 134 PADRÕES E CÓDIGO DE ÉTICA PARA AUDITORIA DE SISTEMAS (cont.) 4. manter a privacidade e a confidencialidade das informações obtidas, exceto quando exigido legalmente. Estas informa- ções não devem ser utilizadas em benefício próprio ou com- partilhadas com pessoas não autorizadas; 5. manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade sufici- ente; 6. informar os stakeholders sobre os resultados de seus tra- balhos, expondo os fatos significativos desde que em seu alcance; e 7. apoiar a conscientização profissional das partes envolvidas para auxiliar sua compreensão dos sistemas de informação,segurança e controle.» (CASATI, 2016, p. 20-21, grifos nossos). 49 / 134 ATIVIDADE DE FIXAÇÃO 2 1. (Gran Cursos Online | Concurso CGE/CE Auditor de Controle Interno · Área Audito- ria Governamental · 2019) A atividade de auditoria interna deve ser independente e os auditores internos, objetivos em seus tra- balhos. Independência é a imunidade às condições que ame- açam a capacidade da atividade de auditoria interna de con- duzir suas responsabilidades de modo imparcial. Assim, pode ser considerada situação de prejuízo à independência ou à objetividade do auditor interno a prestação de serviço de: a) consultoria em operações às quais ele tenha sido responsável anteriormente. b) avaliação de operações que anteriormente contaram com sua consultoria objetiva. c) avaliação de operações às quais o chefe de auditoria é ou foi responsável. d) consultoria sob demanda do conselho de administração. e) avaliação de operações que ele mesmo avaliou no ano anterior. 50 / 134 ATIVIDADE DE FIXAÇÃO 2 (cont.) 2. (Universidade Federal da Bahia) O auditor deve ser discreto em suas atividades, suas ações não devem chamar a aten- ção das áreas auditadas, não devem gerar incômodos ou desgastes na rotina. É notório que, em determinados trabalhos, as solicitações da auditoria atrapalhem a rotina da área, ou coloquem os auditados em uma situação desconfortável. Nesse sentido, o auditor deve atuar na organização de forma: a) Valorosa e sem critérios. b) Ética e respeitosa. c) Criteriosa e sentimental. d) Mandatória e insensata. e) Superior e autárquica. 51 / 134 ATIVIDADE DE FIXAÇÃO 2 (cont.) 3. Pesquise, na máquina de busca Google Scholar, o artigo: Re- gulação da Auditoria em Sistemas Bancários: Análise do Cenário Internacional e Fatores Determinantes, leia-o, sob a ótica das normas de auditoria, e formule 3 perguntas re- lacionadas. Estas perguntas serão submetidas a votação de todos os alunos e as melhores, debatidas em aula. 52 / 134 CONTEÚDO 2. FASES PARA REALIZAÇÃO DE UMA AUDITORIA 2.1 Planejamento 2.2 Execução 2.3 Emissão e divulgação de relatórios 2.4 Follow-up 53 / 134 2 FASES PARA REALIZAÇÃO DE UMA AUDITORIA 54 / 134 PROCESSO DE AUDITORIA DE SISTEMAS Como mencionado anteriormente, o processo de auditoria de sis- temas ocorre inicialmente em três fases: planejamento, execução e controle. Na fase de planejamento, são definidos os objetivos, regras, padrões e normas organizacionais; na fase de execução, são medidas as operações, sistemas, processos e responsabili- dades gerenciais; na fase de controle, as medições realizadas são confrontadas com os padrões planejados (CASATI, 2016, p. 37-38). Ainda na fase de controle, o processo segue para a avaliação , na qual se emite um parecer, na forma de relatórios, para a toma- da de ações que aproximem as medições dos padrões (CASATI, 2016, p. 38). 55 / 134 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) Elementos das principais fases do processo de auditoria de sistemas (adaptado de CASATI, 2016, p. 37). 56 / 134 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) Ao término da fase de controle, com a emissão do relatório fi- nal (parecer), o processo de auditoria segue para a última fase, o acompanhamento (follow-up), na qual são implementadas as ações de correção das falhas indicadas no parecer final (CASATI, 2016, p. 43). 57 / 134 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) O processo de auditoria de sistemas (adaptado de CASATI, 2016, p. 44). 58 / 134 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) «O dia a dia de uma auditoria de sistemas pode ser dividido em 17 ações ou etapas básicas a serem executadas. São elas: 1. Preparar a análise de risco: definir quais áreas ou objetos são passíveis de auditoria. Neste caso, fatores ambientais também são levados em consideração. No final desta etapa, tem-se um escore de priorização para que se auditem as áreas que demandam tal ação. 2. Fazer revisões dos projetos e produtos: são revisões detalha- das dos processos da organização com o objetivo de verificar o escore de risco e estabelecer quais áreas devem ser priori- zadas, uma vez que auditar todos os sistemas da organiza- ção é inviável, devido ao custo. 59 / 134 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) 3. Familiarizar-se com a área de sistemas: compreender os produtos, serviços e processos da área de TI, adquirir conhecimento sobre o ambiente e os sistemas que serão auditados por meio de documentação e levantamento. 4. Estabelecer a estratégia: definição das ferramentas (estas ferramentas podem ser softwares) a serem utilizadas, con- siderando o sistema que será auditado. 5. Estabelecer os objetivos: definir os controles internos e os processos, que devem estar sempre alinhados ao negócio e definir também o que será verificado. 6. Definir preocupações: definir quais os itens que mais preocu- pam a equipe de auditoria, ou seja, os itens aos quais os au- ditores precisam prestar mais atenção, previamente indicados como necessários. 60 / 134 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) 7. Fazer avaliação preliminar dos controles internos: verificar os controles que estão implantados no sistema e definir quais controles serão utilizados. Apenas controles gerais são con- siderados nesta fase. 8. Finalizar os procedimentos de planejamento: determinar o tempo da auditoria, qual a equipe de auditores, quais são os recursos necessários e qual a data provável de emissão do relatório final. 9. Preparar um documento de aviso: normalmente um memo- rando, assinado pelo diretor da auditoria, deve ser emitido ao gerente da área de sistemas, ao diretor e ao diretor da área para qual o sistema dá suporte. Este documento tem objeti- vos, cronograma e intenções da auditoria que será executada. 61 / 134 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) 10. Reunião inicial: uma reunião inicial deve ser realizada com os auditados, sua gerência e diretoria, informando sobre as in- tenções da auditoria e pedindo colaboração para que o forne- cimento de informações e acessos seja garantido. 11. Elaboração de testes: uma massa de testes deve ser elabo- rada, com definição de escopo de teste, geração de dados de teste e determinação dos resultados que serão esperados. 12. Aplicação dos testes: aplica-se a massa de testes elabora- da anteriormente e colhem-se os resultados. Estes testes podem ser executados com simulação em laboratório ou em campo. Os testes têm como objetivo a aprovação da efetividade dos processos e resultados. 62 / 134 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) 13. Análise das simulações: as simulações efetuadas devem ser analisadas a fim de se detectar discrepâncias. Em caso posi- tivo, o auditado deve ser avisado verbalmente e por formulário próprio, emitindo a opinião quanto aos resultados ou do ambi- ente auditado, com recomendações e solicitação de prazo pa- ra correção das falhas encontradas. 14. Emissão de relatório provisório: ao término do trabalho de campo, deve-se emitir um relatório provisório com todas as falhas encontradas e que não foram solucionadas durante o período da auditoria. Um carimbo escrito "RASCUNHO" deve ser utilizado neste relatório para que não se confunda com o relatório final da auditoria. 63 / 134 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) 15. Discussão de relatório provisório: pode-se utilizar de uma reunião para a discussão do relatório. Neste momento os auditados e sua gerência devem concordar ou discordar do relatório provisório por escrito, explicando os motivos. 16. Emissão e distribuição do relatório final: o relatório final de- ve conter a "nota" do relatório, que é a parte do relatório que contém as falhas encontradas e que não foram solucionadas, além de estabelecer uma data para o acerto das falhas. Os auditados podem concordar com o relatório ou não. Em caso de negativa, justificar o motivo por escrito. 17. Follow-up (acompanhamento): acompanhamento das datas de acerto das falhas indicadas na auditoria e que constam no relatório final.» (CASATI, 2016, p. 38-40). 64 / 134 CONTROLESINTERNOS «O Portal da Auditoria (2015) define controle interno como: "[o] planejamento organizacional e todos os métodos e procedimen- tos adotados dentro de uma empresa , a fim de salvaguardar seus ativos, verificar a adequação e o suporte dos dados contá- beis, promover a eficiência operacional e encorajar a aderência às políticas definidas pela direção, com o objetivo de evitar FRAU- DES, ERROS, INEFICIÊNCIAS e CRISES nas empresas."» (CASATI, 2016, p. 41, grifos nossos). «A implementação de controles internos é uma das medidas de segurança mais importantes da organização.» (CASATI, 2016, p. 40). 65 / 134 CONTROLES INTERNOS (cont.) «Imoniana (2008) define que controles internos em sistemas de informação seguem os conceitos básicos de auditoria, porém com abordagens modificadas devido ao uso de sistemas informatiza- dos. Champlain (2003) afirma que muitos problemas de ordem legal enfrentados pelas organizações ocorrem devido a controles internos mal implementados.» (CASATI, 2016, p. 40). 66 / 134 CONTROLES INTERNOS (cont.) «Os controles internos, segundo Imoniana (2008), têm uma série de princípios e objetivos: • supervisão: a gerência deve manter um controle que permita uma supervisão efetiva no ambiente de TI; • registro e comunicação: a gerência deve manter registros de responsabilidades e autorização na disseminação, criação e processamento de informações de dados; • segregação das funções: funções incompatíveis devem estar segregadas,com o objetivo de minimizar a perpetuação de fraudes, erros e falha na operação normal; 67 / 134 CONTROLES INTERNOS (cont.) • classificação de informação: deve ser estabelecido pela ge- rência um plano de classificação da informação seguindo as normas e necessidades da organização; • tempestividade: a gerência monitora os registros das transa- ções, processando-as e comunicando os resultados a quem for necessário em tempo hábil; • auditoriabilidade: de acordo com as políticas da organização, os procedimentos operacionais devem permitir a programa- ção e a verificação periódica em relação à precisão no pro- cessamento de dados e emissão de relatórios; • controle independente: os sistemas em operação devem ter procedimentos que permitam correções de erro no fluxo de processamento; 68 / 134 CONTROLES INTERNOS (cont.) • monitoramento: a gerência deve ter acesso total ao sistema e ao controle de uso para que possa acompanhar as transa- ções; • implantação: planejamento por parte da gerência do desen- volvimento, manutenção, documentação e aquisição do sis- tema; • contingência: deve-se elaborar plano de controle de preven- ção de falhas nas fases pré e pós implantação do sistema (desenvolvimento e operação); • custo efetivo: planejamento dos investimentos em tecnologia da informação.» (CASATI, 2016, p. 41-42). 69 / 134 CONTROLES INTERNOS (cont.) «As organizações devem, segundo Champlain (2003), implemen- tar controles internos para que os riscos possam ser gerenciados de maneira viável. Os principais tipos de controles internos que são passíveis de auditoria de sistemas são os seguintes: 1. Integridade de dados e processos: trata do acesso aos da- dos, da confidencialidade, dos controles de arquivos e tabelas e dos controles de mudanças no sistema. 2. Segurança de sistemas: trata da segurança do acesso físi- co e lógico ao sistema, segurança do banco de dados, uso de criptografia e assinatura digital. 3. Legibilidade operacional: plano de recuperação de desas- tres, plano de backup, plano de contingência, treinamento de pessoal, documentação, desempenho e capacitação. 70 / 134 CONTROLES INTERNOS (cont.) 4. Conformidade: trata de aspectos legais, da política da orga- nização, dos padrões e normas estabelecidos pela organiza- ção e por órgãos competentes, se cumpre normas regulató- rias e se tem seguro. 5. Guarda de registros: trata dos logs do sistema, da retenção de arquivos e do registro de tudo aquilo que ocorre no âmbito de TI, para que se possa averiguar posteriormente. 6. Guarda de ativos: trata do inventário da organização. 7. Programas de sistemas: manter o monitoramento dos pro- gramas e sistemas operacionais. 71 / 134 CONTROLES INTERNOS (cont.) 8. Organização e administração: trata da segregação de fun- ções (verifica se as funções estão sendo corretamente exe- cutadas), da organização dos projetos, verificação se normas de gerenciamento de projeto são aplicadas, se existe PMO (Project Management Office). 9. Processo de desenvolvimento: trata do desenvolvimento de software. Estes controles visam checar se o processo de de- senvolvimento está utilizando de padrões e procedimentos corretos, se o software está sendo devidamente documenta- do, entre outros fatores relacionados ao processo de desen- volvimento, inclusive a respeito do treinamento de pessoal e de testes unitários e de integração. 72 / 134 CONTROLES INTERNOS (cont.) 10. Ambiente da TI: trata da segurança física e lógica do ambi- ente, das bibliotecas da organização. Pode englobar a utili- zação do ITIL (Information Technology Infrastructure Library). 11. Contrato de serviços: os serviços contratados pela organi- zação também são objetos da auditoria. 12. Procedimentos e padrões: as definições feitas pela organi- zação devem ser cumpridas no âmbito da TI, portanto, esta checagem também e alvo da auditoria.» (CASATI, 2016, p. 42-43, grifos nossos). 73 / 134 FASES DA AUDITORIA DE SISTEMAS PLANEJAMENTO «A primeira etapa da fase de planejamento é definir qual o tipo de auditoria que será executado [(contábil e financeira, fiscal, ope- racional, de compliance, de sistemas, de qualidade etc.)]. No caso de auditoria de sistemas, segue-se um escore de risco [, um cál- culo de pesos e medidas que define] [...] qual área ou sistema é mais crítico e, assim, mais propício para que seja auditado [...]. Os dados a serem analisados [no escore de risco] [...] são: custo do sistema; valor diário das transações; volume diário das transa- ções; visibilidade do cliente; impacto; extensão do sistema; capa- citação da equipe. Estes dados recebem [...] um valor numérico de peso, [...] definido pela organização. Os sistemas mais críticos ou importantes, na visão da organização, recebem valores mai- ores de pesos.» (CASATI, 2016, p. 44-45). 74 / 134 FASES DA AUDITORIA DE SISTEMAS (cont.) PLANEJAMENTO Escore de risco de um sistema (CASATI, 2016, p. 45). 75 / 134 FASES DA AUDITORIA DE SISTEMAS (cont.) PLANEJAMENTO «Após a escolha do sistema a ser auditado, deve-se [conhecer profundamente] [...] seu funcionamento e seus detalhes.» (CASATI, 2016, p. 46). Em seguida, é preciso identificar os pontos de controle (controles internos, processos críticos e controles de negócio) que serão ve- rificados na auditoria (CASATI, 2016, p. 46). «Caso um ponto de contro- le apresente falhas durante a auditoria, deve-se informar ao audi- tado para que elas sejam corrigidas.» (CASATI, 2016, p. 46). «Define-se também [...] a amplitude e o [...] nível de detalhe em que o sistema será testado[, além do cronograma,] [...] com data de início, datas das diversas etapas e ações da auditoria e a data de emissão do relatório final[, conforme] [...] a complexidade e tempo estimado para a verificação de cada ponto de controle da auditoria.» (CASATI, 2016, p. 46). 76 / 134 FASES DA AUDITORIA DE SISTEMAS (cont.) PLANEJAMENTO Determinar corretamente os pontos de controle e os critérios para análise de risco é fundamental para o sucesso da auditoria de sistemas. 77 / 134 FASES DA AUDITORIA DE SISTEMAS EXECUÇÃO Com o término do planejamento, inicia-se a fase de execução. «[...] [Nesta fase] são executados os processos que preparam o ambiente para ser auditado. O auditor deve informar à área audi- tada qual o sistema eleito para auditoria, e então um aviso deve ser emitido aos interessados, com o cronograma e as definições previamente planejadas. [...] Também ocorrem as reuniões entre os envolvidos da área a ser auditada com os auditores. Estas re- uniões tem o objetivode esclarecer pontos do planeamento da auditoria aos interessados. 78 / 134 FASES DA AUDITORIA DE SISTEMAS (cont.) EXECUÇÃO O corpo administrativo da área a ser auditada precisa preparar as atividades de apoio à equipe de auditoria, visto que informações e acessos serão requisitados. Após a reunião inicial, a informação por parte dos auditores do que será investigado, a data de início da auditoria, a data de emis- são do relatório final, o pedido de colaboração por parte do audita- do para que sejam fornecidos acessos e informações à equipe de auditoria, o trabalho de auditoria propriamente dito pode ser inicia- do. 79 / 134 FASES DA AUDITORIA DE SISTEMAS (cont.) EXECUÇÃO No início do trabalho de campo, o chefe (diretor) da auditoria faz as solicitações por escrito para o representante setor auditado (BENETTI, 2015). A equipe de auditoria deve, neste momento, verifi- car a existência dos controles internos, processos e controles de negócios [(pontos de controle)]. [E,] após esta verificação, testar e avaliar sua eficiência e eficácia. Ao identificar fraquezas, vulnerabilidades, inconsistências e irregu- laridades do sistema, o auditor deve informar o fato verbalmente e solicitar a correção, com data prevista.» (CASATI, 2016, p. 46). 80 / 134 FASES DA AUDITORIA DE SISTEMAS CONTROLE «Ao término do trabalho de campo [(fim da fase de execução)], o auditor se prepara para a pós-auditoria, que consiste basicamen- te na [confrontação e na] [...] emissão do relatório final [(fase de controle)]. Este relatório apresenta uma "nota" contendo todas as falhas do sistema e as datas para que sejam corrigidas. O papel do auditor não é corrigir as falhas, e sim apresentar as re- comendações para que sejam corrigidas. Em hipótese alguma o auditor deve corrigi-las.» (CASATI, 2016, p. 47). 81 / 134 FASES DA AUDITORIA DE SISTEMAS ACOMPANHAMENTO «[Após a fase de controle, ocorre a fase de acompanhamento (follow-up).] Nesta fase, a auditoria deve acompanhar a solução das falhas encontradas e que constam na nota do relatório final e também a solução das falhas alertadas durante o trabalho de campo. Estas falhas têm datas para que sejam corrigidas, portan- to, tornam-se um compromisso do auditado com a auditoria. A resposta do auditado ao relatório final contendo as soluções e as justificativas é avaliada pela equipe de auditoria, que por sua vez deve assegurar o cumprimento das ações executadas e anali- sar as tendências de correção das falhas [...].» (CASATI, 2016, p. 47). 82 / 134 FASES DA AUDITORIA DE SISTEMAS Assista ao vídeo Etapas de uma Auditoria (<https://www.youtube.com/watch?v=7hCpZArDKdQ>), do canal MD Consultoria (YouTube), para conhecer mais sobre as fases e atividades do processo de auditoria de sistemas. 83 / 134 https://www.youtube.com/watch?v=7hCpZArDKdQ CONTEÚDO 3. FERRAMENTAS DE AUDITORIA 3.1 Software generalista de auditoria de Tecnologia da Informação 3.2 Softwares especializados de auditoria 3.3 Programas Utilitários de auditoria 84 / 134 3 FERRAMENTAS DE AUDITORIA 85 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS A TAAC – Técnica de Auditoria Assistida por Computador (abor- dagem de auditoria de sistemas com o computador) emprega as seguintes categorias de testes: • controle de versão: verifica se toda a organização utiliza a mesma versão do sistema auditado; • transações: simula e calcula a sobrecarga das operações de processamento no sistema auditado; • análise de dados: verifica inconsistências nos dados proces- sados e armazenados pelo sistema auditado; • simulação: produz amostras de dados para realização dos testes no sistema auditado. 86 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS (cont.) «A auditoria de sistemas pode ser executada tanto em sistemas que estão em desenvolvimento quanto em sistemas em operação [(em uso)]. No caso de sistemas em desenvolvimento, a auditoria foca sua atenção no planejamento dos controles internos, proces- sos e controles de negócio. Já no caso de sistemas em operação é verificada a existência de pontos de controle e são executados testes para verificação destes pontos.» (CASATI, 2016, p. 48, grifos nossos). 87 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS SOFTWARES GENERALISTAS Software generalista é uma classe de ferramentas de software pa- ra auditoria de sistemas em operação que realiza processamento e simulação paralela para extração de dados de amostra, geração de dados estatísticos, detecção de duplicidade de registros, detec- ção de sequências incorretas, testes globais etc. (CASATI, 2016, p. 48). 88 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS (cont.) SOFTWARES GENERALISTAS Alguns produtos de mercado (softwares de prateleira) desta classe são: • ACL – Audit Command Language: faz extração e análise de dados; • IDEA – Interactive Data Extraction & Analysis: faz extração e análise de dados; • Galileo: faz gestão de auditoria, incluindo gestão de riscos, documentação e emissão de relatórios; • Pentana: faz planejamento estratégico de auditoria, diferentes formas de controles etc.; • Audimation: faz monitoramento contínuo da gestão de riscos. 89 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS (cont.) SOFTWARES GENERALISTAS Assista ao vídeo IDEA Data Analysis Software (<https://www.youtube.com/watch?v=1MQZTxyTX0o>), do canal CaseWare IDEA (YouTube), para conhecer alguns recursos do software IDEA – Interactive Data Extraction & Analysis. 90 / 134 https://www.youtube.com/watch?v=1MQZTxyTX0o FERRAMENTAS PARA AUDITORIA DE SISTEMAS (cont.) SOFTWARES GENERALISTAS «[...] [Para Imoniana,] como vantagens, pode-se citar: • poder de processamento de vários arquivos ao mesmo tempo; • poder de integração com outros softwares e hardwares; • não é necessário que o auditor seja especialista em informá- tica para que desenvolva aplicativos de testes de dados, ape- nas utiliza-se do aplicativo já desenvolvido. [E] como desvantagens, tem-se (IMONIANA, 2008): • não se pode fazer aplicações online, pois os softwares uti- lizam-se de arquivos que são analisados separadamente; • impossibilidade de rodar cálculos complexos e específicos devido ao seu caráter generalista.» (CASATI, 2016, p. 49). 91 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS SOFTWARES ESPECIALISTAS Software especialista é uma classe de ferramentas de software para auditoria de sistemas em operação que realiza tarefas de auditoria especializadas (CASATI, 2016, p. 49). «Ao contrário dos softwares generalistas, que visam abranger um maior número de usuários e soluções, os softwares especialistas [buscam] [...] resolver problemas pontuais e específicos da área ou sistema auditado.» (CASATI, 2016, p. 49). 92 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS (cont.) SOFTWARES ESPECIALISTAS «Como vantagens do uso deste tipo de software, pode-se citar (IMONIANA, 2008): • inclusão de testes e verificadores de controles internos espe- cíficos do sistema auditado; • desenvolvimento de soluções para auditar áreas mais com- plexas e específicas, podendo se utilizar disto como vanta- gem competitiva. 93 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS (cont.) SOFTWARES ESPECIALISTAS Apesar de o uso de softwares especializados ser de grande valia quando a auditoria é feita em um sistema mais complexo, algumas desvantagens são destacadas por Imoniana (2008): • o auditor deve estar familiarizado com desenvolvimento de software; • o custo do desenvolvimento de softwares especializados pode não compensar.» (CASATI, 2016, p. 49-50). 94 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS SOFTWARES UTILITÁRIOS Software utilitário é uma classe de ferramentas de software para auditoria de sistemas em operação que realiza tarefas de auditoria básicas, tais como concatenação, classificação e geração de gráficos (CASATI, 2016, p. 50). «Normalmente, os sistemas operacionais e os sistemas gerencia- dores de bancos de dados possuem softwares que podem ser uti- lizados como auxílio a auditoria, como, por exemplo, para efetuar cálculos, geração de relatórios,entre outras funcionalidades auxi- liares.» (CASATI, 2016, p. 50). 95 / 134 FERRAMENTAS PARA AUDITORIA DE SISTEMAS (cont.) SOFTWARES UTILITÁRIOS «Uma vantagem apontada por Imoniana (2008) no uso deste ti- po de software é que, na falta de outros recursos, pode-se atingir bons resultados utilizando softwares de apoio. Como desvanta- gem, é citado que sempre necessitará do auxílio do auditado pa- ra o uso da ferramenta.» (CASATI, 2016, p. 50). 96 / 134 CONTEÚDO 4. TÉCNICAS DE AUDITORIA 4.1 Dados de teste 4.2 Facilidade de teste integrado 4.3 Simulação paralela 4.4 Lógica de auditoria embutida nos sistemas 4.5 Rastreamento e mapeamento 4.6 Análise da lógica de programação 97 / 134 4 TÉCNICAS DE AUDITORIA 98 / 134 TÉCNICAS DE AUDITORIA «As técnicas utilizadas em uma auditoria de sistemas não preci- sam ser sempre as mesmas. Cada auditoria pode necessitar [...] de determinadas técnicas, que são definidas considerando o es- copo da auditoria. Este escopo compreende o conjunto de con- troles internos, os processos e os controles de negócios do sis- tema que será auditado.» (CASATI, 2016, p. 55). Algumas técnicas são: • software para auditoria: uso de ferramentas de software para automatizar, padronizar e aumentar a exatidão da execução de processos, cálculos e manuseio de conteúdos de auditoria; • questionário: uso de questionário comum, com perguntas norteadoras e um campo para assinalar se o sistema auditado está de acordo com o ponto de controle em questão; 99 / 134 TÉCNICAS DE AUDITORIA (cont.) • visita in loco: visita pessoal do auditor ao local em que será realizada a auditoria, para coleta de dados mediante observação, teste e documentação; • entrevista: sequência lógica de questionamentos aos auditados, realizada pessoalmente, por telefone ou por videoconferência, para identificar a ocorrência de divulgação de informações de modo indevido; • teste de observância ou teste de aderência: procedimento de observação direta sem o conhecimento do auditado, para verificar se os controles internos da organização estão sendo cumpridos; • teste substantivo: obtenção de provas convincentes sobre as operações auditadas, para embasamento do parecer. (CASATI, 2016, p. 55-60). 100 / 134 TÉCNICAS DE AUDITORIA (cont.) Outras técnicas de auditoria são: • dados de teste; • teste integrado; • simulação paralela; • lógica de auditoria embutida nos sistemas; • rastreamento dos programas; • mapeamento estatístico dos programas; • análise da lógica de programação; • análise de log. 101 / 134 DADOS DE TESTE «Esta técnica também é conhecida como test data ou test deck e consiste em [...] preparar um conjunto de dados que são utilizados para testar os controles do sistema auditado (IMONIANA, 2008). Este conjunto de dados (massa de dados) deve ser preparado com os dados de entrada e os dados de saída esperados, para que se possa fazer as comparações entre a saída desejada (que consta na massa de dados) e a saída que o sistema produziu. Outro ponto importante destacado por Imoniana (2008) é que a massa de dados deve ser preparada com o objetivo de testar uma grande quantidade de possibilidades e combinações de [...] transações, a fim de que se possa simular o ambiente real de uso do sistema. 102 / 134 DADOS DE TESTE (cont.) Como vantagens, Imoniana (2008) destaca a possibilidade de utilizar softwares de geração de dados para execução da tarefa de forma mais eficiente, além da possiblidade de que a criação desta massa de dados seja feita por pessoas com pouco conhecimento em informática. Já a grande desvantagem que pode ser citada é a dificuldade de prever as possibilidades de transações do sistema com seus respectivos dados de saída desejados.» (CASATI, 2016, p. 60-61). 103 / 134 TESTE INTEGRADO «Esta técnica é normalmente conhecida como ITF (Integrated Test Facility) [e utilizada] [...] com o sistema [ativo,] rodando em produção. Sua execução consiste na aplicação de entidades fictícias no sistema, para que se possa testar as funcionalidades sem precisar manipular os dados reais da aplicação (IMONIANA, 2008). O confronto dos dados reais com os dados de teste é o trabalho do auditor ao executar esta técnica, que acontece sem o consentimento do operador do computador. Esta técnica não atualiza as bases de dados reais da organização, pois são criados arquivos separados para os dados fictícios (IMONIANA, 2008).» (CASATI, 2016, p. 61). 104 / 134 SIMULAÇÃO PARALELA «A utilização desta técnica consiste no desenvolvimento de um programa pelo auditor que simula as funções do sistema auditado, focando nos pontos de controle. Ao contrário da técnica de dados de teste, em que simulamos a massa de dados com o programa em produção, nesta técnica o programa é simulado e executado com a massa de dados real (IMONIANA, 2008).» (CASATI, 2016, p. 61). 105 / 134 LÓGICA DE AUDITORIA EMBUTIDA EM SISTEMAS «A técnica de inclusão da lógica de auditoria nos sistemas informatizados consiste em desenvolver funcionalidades que permitam o próprio sistema emitir relatórios de auditoria. Esta técnica deve ser implantada com o sistema em desenvolvimento. Como vantagem do uso desta técnica pode-se citar o monitoramento permanente das atividades do sistema. Como desvantagens, há o custo adicional de desenvolvimento do sistema e perda no desempenho (IMONIANA, 2008).» (CASATI, 2016, p. 62). 106 / 134 RASTREAMENTO E MAPEAMENTO ESTATÍSTICO DE PROGRAMAS «[Rastreamento de programas é a técnica que] [...] possibilita ao auditor efetuar o rastreamento das transações durante o seu processamento. Isto significa que os passos seguidos por uma operação do sistema são registrados, com o objetivo de fornecer um caminho percorrido pela transação executada. Isto permite ao auditor detectar rotinas fraudulentas e caminhos incorretos das transações (GIL, 2000).» (CASATI, 2016, p. 62). «[Mapeamento estatístico de programas é a técnica] [...] utilizada para a verificação de ações como: • rotinas obsoletas ou não utilizadas; • frequência de utilização de rotinas; • rotinas existentes em programas já desativados ou de uso esporádico; 107 / 134 RASTREAMENTO E MAPEAMENTO ESTATÍSTICO DE PROGRAMAS (cont.) • rotinas mais utilizadas, normalmente a cada processamento do programa; • rotinas fraudulentas e de uso em situações irregulares; • rotinas de controle acionadas a cada processamento; Para que se aplique esta técnica, existem alguns pré-requisitos, como a necessidade de utilização de software de apoio e a necessidade de inclusão de instruções especiais junto aos programas em produção, acarretando em custo e perda de desempenho do programa.» (CASATI, 2016, p. 62). 108 / 134 ANÁLISE LÓGICA E ANÁLISE DE LOG DE PROGRAMAS «[A técnica de] análise da lógica de programação [visa] [...] determinar se a lógica das funcionalidades do sistema está em conformidade com a documentação e a efetividade dos controles programados (IMONIANA, 2008). Obviamente, para poder executar esta técnica, o auditor deve ser um conhecedor da linguagem de programação utilizada no desenvolvimento do sistema. 109 / 134 ANÁLISE LÓGICA E ANÁLISE DE LOG DE PROGRAMAS (cont.) [Na técnica de] análise dos arquivos de log do sistema, o auditor pode verificar quando e como o sistema está sendo utilizado. Com isto, Gil (2000) cita que o auditor pode: determinar erros de programas; flagrar o uso de programas fraudulentos; captar tentativas de acesso indevido a arquivos; monitorar a rede. Esta análise, segundo Gil (2000), pode gerar: • indicadores de qualidade; • indicadores para estudo e planejamento da capacidade da tecnologia da informação, buscando maior rendimento e segurança;» (CASATI, 2016, p. 63). 110 / 134 VÍDEO Assista ao vídeo Sped Fiscal: Cruzamento com os Arquivos XML (<https://www.youtube.com/watch?v=KG4pjhDuNvg>), do canal SAAM Auditoria (YouTube), para conhecer um sistema que emprega a técnica de software para auditoria. 111 / 134 https://www.youtube.com/watch?v=KG4pjhDuNvg VÍDEO (cont.) Assista ao vídeoVotação Paralela para Auditoria das Urnas Eletrônicas (<https://www.youtube.com/watch?v=wzzYjsUOBgA>), do canal TVE RS (YouTube), para conhecer um exemplo de uso da técnica de teste integrado. 112 / 134 https://www.youtube.com/watch?v=wzzYjsUOBgA CONTEÚDO 5. TIPOS DE AUDITORIA 5.1 Auditoria de redes de computadores 5.2 Auditoria de controles de hardware 5.3 Auditoria de controles de acesso 5.4 Auditoria na aquisição, desenvolvimento, documentação e manutenção de sistemas 5.5 Auditoria de sistemas de informação em produção 5.6 Auditoria de eventos 5.7 Outras 113 / 134 5 TIPOS DE AUDITORIA 114 / 134 AUDITORIAS DE SISTEMAS DIRECIONADAS «As auditorias direcionadas visam à verificação de controles específicos [conforme a finalidade, tais como] [...] as auditorias direcionadas à rede, ao hardware, aos controles de acesso, à aquisição, [ao] desenvolvimento, documentação e manutenção de sistemas, à operação, ao suporte técnico, aos aplicativos e aos eventos. Cada uma destas direções tem suas especificidades [e, ao se responder questionários de sondagem], [...] é possível conhecer alguns controles comuns e importantes para cada tipo de auditoria.» (CASATI, 2016, p. 74). 115 / 134 AUDITORIA DE REDES DE COMPUTADORES «A rede de uma organização é de grande importância, pois nela habitam e trafegam as informações que alimentam as transações [(operacionais, financeiras, contábeis etc.)] [...]» e os processos de negócio (CASATI, 2016, p. 75). A auditoria de redes avalia a concepção da rede e de suas operações, buscando testar se suas atividades estão fornecendo aos usuários os serviços esperados. 116 / 134 AUDITORIA DE REDES DE COMPUTADORES (cont.) «Categorizando a rede de uma organização, têm-se três tipos: Intranet; Internet; Extranet. A intranet é a rede interna da organização, aquela que só pode ser acessada pelos colaboradores internos. A extranet é quando se concede acesso a uma parte da intranet para público externo (clientes, parceiros etc) [de modo] [...] controlado. A internet é a rede mundial de computadores e geralmente as informações disponibilizadas nesta rede podem ser acessadas por qualquer pessoa. [...] [No processo de auditoria de sistemas, os riscos] referentes a intranets são: interceptação de mensagens, acesso às bases de dados da organização e privilégio de acesso indevido a funcionários. Já no ambiente da internet, [avalia-se os] [...] principais riscos: falsificação de IP (IP Spoofing) [e] ataque de negação de serviço.» (CASATI, 2016, p. 75). 117 / 134 AUDITORIA DE REDES DE COMPUTADORES (cont.) «Sobre a implantação de redes, os conceitos que são avaliados no processo de auditoria [...] são: • planejamento da rede com visão estratégica (integração ao plano diretor de informática); • desenho das arquiteturas e da topologia da rede; • implantação dos projetos físicos e lógicos; • monitoramento do desempenho da rede; • monitoramento de possíveis interceptações; • replanejamento de capacidade; • levantamento dos problemas operacionais visando sua solução.» (CASATI, 2016, p. 76). 118 / 134 AUDITORIA DE REDES DE COMPUTADORES (cont.) «O principal objetivo da auditoria de redes, de acordo com Imoniana (2008), é certificar que a rede é confiável.» (CASATI, 2016, p. 76). Assim, quatro aspectos são considerados na avaliação: • segurança física: a arquitetura e a construção e distribuição da rede, bem como os hardwares nela presentes (equipamentos e periféricos); • segurança lógica: os recursos de software em geral, os rendimentos da rede, o acompanhamento e a avaliação de desempenho operacional; • segurança de enlace: garantia de que os canais de transmis- são e as transmissões entre os pontos remotos da rede estejam obedecendo os limites previamente estabelecidos; • segurança de aplicação: garantia de disponibilidade da rede, para manutenção da sua confiabilidade do ponto de vista dos usuários. (CASATI, 2016, p. 76). 119 / 134 AUDITORIA DE REDES DE COMPUTADORES (cont.) «No programa de auditoria de redes é necessário que se utilize de um questionário, que deve ser documentado e arquivado em pasta própria do projeto de auditoria. Estes documentos também são conhecidos como working papers. A importância desta documentação se dá pelo fato de que todo o trabalho do auditor deve ser documentado e ser baseado em fatos, não em opiniões pessoais.» (CASATI, 2016, p. 76). 120 / 134 AUDITORIA DE REDES DE COMPUTADORES (cont.) Questionário de Auditoria de Redes (CASATI, 2016, p. 77). 121 / 134 AUDITORIA DE CONTROLES DE HARDWARE «A auditoria de hardware visa implantar os procedimentos de segurança física nos equipamentos instalados em ambientes de informática. Estes procedimentos controlam os contatos físicos e o monitoramento do uso adequado (IMONIANA, 2008). Os inventários de hardware são de extrema importância para que os controles destes sejam efetivos, assim como sua padronização na aquisição e montagem, como, por exemplo, aquisição de servi- dores que funcionam com os mesmos sistemas operacionais ou da mesma marca (IMONIANA, 2008).» (CASATI, 2016, p. 78). 122 / 134 AUDITORIA DE CONTROLES DE HARDWARE (cont.) «Algumas características da auditoria de hardware apresentadas por Gil (2000) no tocante à verificação de contratos são, em caso de aquisição: • intermediação da transação; • apólices de seguros; • cobertura do seguro. Em caso de manutenção, Gil (2000) cita que é necessário verificar: • prazo de atendimento dos chamados; • o tempo máximo para se resolver um problema; • os períodos cobertos pelo contrato (madrugada, finais de semana, feriados, entre outros).» (CASATI, 2016, p. 78-79). 123 / 134 AUDITORIA DE CONTROLES DE HARDWARE (cont.) «Os principais objetivos da auditoria de controles de hardware, de acordo com Imoniana (2008), são divididos em dois eixos. O primeiro garante a proteção dos equipamentos, como terminais, unidade central de processamento (CPU), servidores, unidade de conversão de dados, entre outros. O segundo eixo verifica se há equipamentos que restrinjam os acessos físicos de pessoas alheias ao ambiente, isto é, pessoas que têm interesse nas informações da organização e não têm permissão de acesso.» (CASATI, 2016, p. 79). 124 / 134 AUDITORIA DE CONTROLES DE HARDWARE (cont.) Itens do questionário de sondagem de controles de hardware: C1 - Controles de acesso físico ao ambiente de informática: P1 - Verificar se a segurança física sobre o hardware e os dados é adequada em relação ao uso dos computadores. C2 - Controles de acionamento e desligamento de máquinas: P2 - Avaliar, por meio de observação, se o acesso ao CPD (Centro de Processamento de Dados) é permitido somente a pessoas da área para acionar e desligar equipamentos. P3 - Verificar se, no desligamento de pessoas, há procedimentos específicos com relação à retenção de identificação e eliminação da senha de acesso. 125 / 134 AUDITORIA DE CONTROLES DE HARDWARE (cont.) C3 - Controle de acesso físico a equipamentos de hardware: P4 - Verificar se há um controle efetivo de entrada e saída de equipamentos da área do CPD. P5 - Verificar se um inventário completo e atualizado dos equipa- mentos de informática é efetuado periodicamente. C4 - Localização e infraestrutura do CPD: P6 - Verificar se há um sistema alternativo de alimentação de energia elétrica (por exemplo: no-break, gerador). 126 / 134 AUDITORIA DE CONTROLES DE HARDWARE (cont.) C5 - Controle de backup e off-site: P7 - Verificar se o backup, armazenado em local externo, está disponível para utilização 24 horas por dia. P8 - Verificar se as cópias armazenadas por longos períodos são testadas e substituídas periodicamente. C6 - Controles de aquisição e disposição do equipamento: P9 - Verificar se existe procedimento periódico para: efetuar inventário de todos os equipamentos; verificar as condições ambientais dos equipamentos. 127 / 134 AUDITORIA DE CONTROLES DE HARDWARE (cont.) C7 - Controles sobre o ambiente e informações com relação à definição da plataforma de hardware, software,sistema operacional e riscos inerentes: P10 - Avaliar se a plataforma adotada está de acordo com os padrões e as necessidades da empresa. C8 - Controles sobre os recursos instalados: P11 - Verificar se existe um procedimento formal e consistente para monitorar a obediência à política corporativa. C9 - Garantia de integridade de transmissão: P12 - Identificar os equipamentos que permitam upload/download. (CASATI, 2016, p. 79-82). 128 / 134 VÍDEO Assista ao vídeo Comandos Para Auditoria De Redes: ethtool (<https://www.youtube.com/watch?v=eliwhcUjv40>), do canal mundotecnauta (YouTube), para conhecer um comando de terminal (Bash), para Sistema Operacional Linux, que exibe características e atividades de rede, favorecendo a auditoria de redes. 129 / 134 https://www.youtube.com/watch?v=eliwhcUjv40 CONTEÚDO 6. EMISSÃO DE RELATÓRIOS DE AUDITORIA 6.1 Carta de encaminhamento do rascunho preliminar do relatório de auditoria 6.2 Relatórios padrões de conclusão da auditoria de sistemas 130 / 134 CONTEÚDO 7. AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS 7.1 Pré-requisitos 7.2 Metodologia de seleção 7.3 Principais pacotes disponíveis no mercado 7.4 Ferramentas de análise de dados 7.5 Avaliação de pacotes de auditoria de sistemas 131 / 134 CONTEÚDO 8. AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO 8.1 Informação como valor para o negócio 8.2 O que é e como acontece uma Auditoria em Segurança da Informação 8.3 Auditoria e Política de Segurança de TI 132 / 134 133 / 134 "Treine enquanto eles dormem, estude enquanto eles se divertem, persista enquanto eles descansam e então viva o que eles sonham." – Muhammad Ali. REFERÊNCIAS AUDITORIA. In: DICIONÁRIO Priberam da Língua Portuguesa online. S.l.: s.n., 2021. Disponível em: <https://dicionario.priberam.org/auditoria>. Acesso em: 09 fev. 2021. CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro: SESES, 2016. RAMIRES, Anderson Carlos S.; KALINOWSKI, Marcos; SPÍNOLA, Rodrigo O. Auditoria de Sistemas. In: . Engenharia de Software Magazine. 28. ed. [S.l.: s.n.], 2010. v. 3, p. 26–37. 134 / 134 https://dicionario.priberam.org/auditoria CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO Fundamentos de auditoria Tipos de auditoria Equipe de auditoria Desenvolvimento da carreira do auditor FASES PARA REALIZAÇÃO DE UMA AUDITORIA Planejamento Execução Emissão e divulgação de relatórios Follow-up FERRAMENTAS DE AUDITORIA Software generalista de auditoria de Tecnologia da Informação Softwares especializados de auditoria Programas Utilitários de auditoria TÉCNICAS DE AUDITORIA Dados de teste Facilidade de teste integrado Simulação paralela Lógica de auditoria embutida nos sistemas Rastreamento e mapeamento Análise da lógica de programação TIPOS DE AUDITORIA Auditoria de redes de computadores Auditoria de controles de hardware Auditoria de controles de acesso Auditoria na aquisição, desenvolvimento, documentação e manutenção de sistemas Auditoria de sistemas de informação em produção Auditoria de eventos Outras EMISSÃO DE RELATÓRIOS DE AUDITORIA Carta de encaminhamento do rascunho preliminar do relatório de auditoria Relatórios padrões de conclusão da auditoria de sistemas AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS Pré-requisitos Metodologia de seleção Principais pacotes disponíveis no mercado Ferramentas de análise de dados Avaliação de pacotes de auditoria de sistemas AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO Informação como valor para o negócio O que é e como acontece uma Auditoria em Segurança da Informação Auditoria e Política de Segurança de TI
Compartilhar