Capítulo 6 Metodologia

Capítulo 6 Metodologia

Auditoria de Sistemas ComputacionaisProfessora Jaciara S. Carosia

As técnicas são específicas para cada auditoria, mas a filosofia metodológica normalmente é a mesma.

Metodologia...

Metodologia e Auditoria.

Metodologia - Introdução

Capítulo 6- Metodologia

1ª. Fase - Auditoria de Posição: Etapas:

◦ Planejamento e controle do projeto de auditoria.◦ Levantamento do ambiente e/ou sistema a ser auditado.◦ Identificação e inventário dos pontos de controle.◦ Priorização e seleção dos pontos de controle.◦ Revisão e avaliação dos pontos de controle.◦ Conclusão.

2ª. Fase – Auditoria de Acompanhamento: Etapa:

◦ Acompanhamento da auditoria.

Metodologia – Fases e etapas


Objetivo: Identificação dos instrumentos indispensáveis a sua execução.◦ Definir as necessidades de recursos humanos, tecnológicos, materiais e

financeiros para desenvolvimento do projeto. ◦ Tais recursos devem ser dimensionados em função do enfoque, abrangência e

delimitação do sistema a ser auditado, e em relação ao prazo estabelecido pela alta administração.

Definição preliminar do recursos humanos:◦ Grupo de coordenação: composto pelo gerente de auditoria, coordenador de

auditoria, gerente da área responsável pelo sistema a ser auditado e gerente da área de informática. O presidente/diretor da empresa (patrocinador) deve participar das atividades

relacionadas a decisões mais importantes e acompanhar os resultados destas decisões.

◦ Grupo de execução: composto por auditores e técnicos da área de sistemas de informação, os quais efetuarão a auditoria propriamente dita. A execução desta auditoria deverá obedecer às normas e aos procedimentos estabelecidos pelo grupo de coordenação.

Auditoria de Posição - 1ª Etapa: Planejamento e controle do projeto de auditoria


Levantamento prévio da entidade auditada e de seu ambiente de TI ◦ Conhecer as características gerais da empresa (visão macro).◦ Conhecer seu ambiente de TI (plataforma de hardware, sistemas operacionais,

tipo de processamento, metodologia de desenvolvimento, principais sistemas, softwares de segurança, pessoas responsáveis, etc.).

Lema: “Sem conhecer é impossível gerenciar”

Primeira etapa do gerenciamento de projetos: PLANEJAMENTO!!! Permite ao auditor ter uma noção do grau de complexidade de seus sistemas e,

então, estabelecer os recursos e os conhecimentos técnicos necessários à equipe de auditoria.

Exemplo: Suponha que o auditor identifique que a entidade auditada possua em seu ambiente de tecnologia computadores de grande porte, rodando um determinado sistema operacional, com software de controle de acesso e banco de dados. Certamente a equipe de auditoria deverá contar com pessoas que entendam desse ambiente operacional – redefinição do grupo de execução.

Principais fontes de informações: relatórios de auditorias anteriores, bases de dados, documentos ou páginas na internet, notícias veiculadas na empresa, visitas anteriores à entidade e relatórios de auditoria interna.

Planejamento e controle do projeto de auditoria (continuação)


Definição do campo, âmbito e área (ou sub-áreas) Campo:

◦ Natureza: auditoria da tecnologia da informação ou operacional (exame dos aspectos econômicos, de eficiência e eficácia, etc.).

◦ Objeto: pode englobar um sistema computacional específico, uma ou várias seções do departamento de informática, ou até mesmo toda a organização (em termos de políticas de informática e de segurança ou nos casos em que o negócio da organização resume-se à prestação de serviços computacionais).

◦ Período: diretamente do âmbito (grau de profundidade das verificações) e das sub-áreas de sistemas escolhidas pela equipe.


Campo Objeto

Período

Natureza


Natureza (tipo de auditoria):

◦ Auditoria de programa de governo.◦ Auditoria de planejamento estratégico.◦ Auditoria administrativa.◦ Auditoria contábil.◦ Auditoria financeira (auditoria de contas).◦ Auditoria da legalidade (auditora da regularidade ou de conformidade).◦ Auditoria operacional : Auditoria que incide em todos os níveis de gestão, nas

fases de programação, execução e supervisão, sob o ponto de vista da economia, eficiência e eficácia. É também conhecida como auditoria da eficiência, de gestão, de resultados ou de prática de gestão, onde são auditados todos os sistemas e métodos utilizados pelo gestor em tomadas de decisões. Analisa a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos.

◦ Auditoria integrada.



Âmbito : constitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados, isto é, o âmbito define até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência e a amplitude.

Área ou sub-áreas: conjunto formado por campo e âmbito de auditoria, delimita de modo muito preciso os temas da auditoria em função da entidade a ser fiscalizada e da natureza da auditoria e pode ser subdividida em sub-áreas.


Área de Verificação

Âmbito

Sub1

Sub2

Sub3

Campo Objeto

Período

Natureza


Exemplo de campo, âmbito e área.

Área de Verificação

Âmbito: verificação da eficácia dos

controles

Sub1: BackupSub2: Controle

de acesso lógico

Sub3: Controle de acesso físico

CampoObjeto: Sistemas e procedimentos de segurança de informações da empresa

Período: De 01/09/2008 a 01/09/2009

Natureza: Auditoria de TI



Definição dos recursos necessários

A equipe deve analisar os requisitos:◦ Tamanho dos sistemas.◦ Grau de sofisticação e a complexidade do ambiente computacional

auditado.◦ Nível de experiência necessário para executar cada tarefa.◦ Necessidade de utilização de ferramentas ou técnicas mais sofisticadas

de auditoria de TI. ◦ Se anteriormente foram identificadas irregularidades ou falhas graves no

ambiente de informática. ◦ Se há um histórico de fraudes, erros ou quebras de segurança nos

sistemas computacionais.



Recursos Humanos: Maior dificuldade: determinar o grau técnico da equipe.

Recursos Econômicos: Com relação a recursos econômicos, a equipe deve fazer uma previsão de

despesas, especialmente se a auditoria envolver viagens e contratação de mão-de-obra externa.

Recursos Técnicos: Os recursos técnicos para realização da auditoria devem também ser

identificados neste momento, tais como recursos de hardware, software (ferramentas de auditoria ou extração de dados, por exemplo), manuais técnicos sobre o ambiente operacional e sistemas da entidade auditada.



Processo de levantamento: grupo de execução.

“O levantamento deve ser executado em caráter macro, suficiente e abrangente para o atendimento pleno e global das características do sistema”.

Técnicas e métodos de levantamentos: entrevistas e análise de documentação existente, colocando as informações de forma descritiva e/ou gráfica.

Outras ferramentas: Diagrama de Fluxo de Dados (DFD), Dicionário de Dados (DD), Modelo Entidade Relacionamento (MER) e UML.

Limitar o sistema e identificar seus pontos de integração com outros sistemas: ◦ facilita a determinação da abrangência da auditoria.◦ impede a execução de auditoria em áreas não pertencentes ao escopo do

trabalho.

Auditoria de Posição - 2ª Etapa: Levantamento do ambiente e/ou sistema a ser auditado.


Inventário dos pontos de controle: identificação de diversos pontos de controle que merecem ser avaliados (grupo de execução).

Os pontos de controle podem ser definidos e identificados pelos documentos de entrada, relatórios de saídas, telas, arquivos, rotinas e/ou programas de computador, pontos de integração e demais elementos que compõem um sistema de informação.

Para cada ponto de controle, especificar:

◦ seus objetivos;◦ as funções que exercem;◦ sua influência no sistema como um todo;◦ parâmetros ou especificações de controles internos mais afetados em função da

sua fraqueza;◦ técnicas de auditoria que podem ser aplicadas para sua validação.

Este levantamento deverá ser encaminhado para o grupo de coordenação para fins de triagem e realização da etapa seguinte.

Auditoria de Posição - 3ª Etapa: Identificação e inventário dos pontos de controle.


Priorizar e selecionar os pontos de controle que devem ser auditados: grupo de coordenação.

Analise de risco: identificar as ameaças prováveis em um SI e verificar os prejuízos que poderão ser acarretados pelo sistema a curto, médio e longo prazo.

Prioridade [importância, ameaça, impacto]◦ Importância: relevância do ponto de controle para o sistema.◦ Ameaça: riscos que o ponto tem de possuir fraquezas.◦ Impacto: conseqüências para o sistema como um todo.

O fato de um determinado ponto de controle ser prioritário não implica em despender esforços para sua execução, é necessário considerar os recursos disponíveis.

Tamanho da amostragem: deve ser satisfatória para a formação de uma opinião dos auditores e demais componentes do grupo de coordenação.

Auditoria de Posição - 4ª Etapa: Priorização e seleção dos pontos de controle


“A definição clara dos itens a serem auditados facilita o trabalho da equipe de auditoria e evita as falsas expectativas, tanto dos membros da equipe

como de sua gerência”. Exemplo de insatisfação: Quando a gerência da equipe de auditoria espera um trabalho de

verificação breve, sucinto e preliminar de um sistema de informática e a equipe executa um a auditoria extremamente detalhada e aprofundada:◦ A gerência tende a cobrar insistentemente a conclusão do trabalho, por

considerá-lo apenas uma análise superficial.◦ A equipe de auditoria se dedica a completar todas as suas tarefas dentro

do prazo reduzido.

Esse problema de falsas expectativas pode acontecer em qualquer auditoria, não necessariamente em auditorias da TI.

Priorização e seleção dos pontos de controle (continuação)


Auditoria propriamente dita: aplicar técnicas de auditoria que

evidenciem falhas ou fraquezas de controle interno.

O objetivo da auditoria e as características do ponto de controle definem as técnicas a serem utilizadas.

Ao longo desta fase, a equipe deve reunir evidências suficientemente confiáveis, relevantes e úteis para a construção do relatório.

As evidências podem ser :◦ Evidência física: observações de atividades desenvolvidas pelos funcionários e

gerentes, sistemas em funcionamento, local, equipamentos, etc.◦ Evidência documentária geradas pelo auditor: transcrições de entrevistas, atas

de reuniões, resultados de extração de dados, registros de transações, listagens, etc.

◦ Evidência fornecida pelo auditado:, cópias de documentos cedidos pelos auditado, fluxogramas, políticas internas, e-mails trocados com a gerência da entidade, justificativas, relatórios publicados pelo auditado (impressos ou on-line), etc.

◦ Evidência analítica: comparações, cálculos e interpretações de documentos de entidades similares ou da mesma entidade em períodos de tempo diferentes.

Auditoria de Posição - 5ª Etapa: Revisão e avaliação dos pontos de controle


“O auditor apresenta seus achados e conclusões na forma de um relatório escrito”.

Relatório Final de Auditoria: contém os resultados da auditoria, sejam eles quais forem, descrevendo o diagnóstico ou situação atual em que se encontram os pontos de controle e apontando as fraquezas do controle interno (comprovações, conclusões e recomendações/solicitações de melhoria).

Linguagem utilizada:◦ Utilizar uma linguagem clara, objetiva e simples.◦ Evitar o uso de jargões técnicos ou siglas. ◦ Anexar um glossário de termos técnicos (se necessário). ◦ Apresentar uma estrutura bem organizada.◦ Abranger todas as informações relevantes para análise pela gerência ou entidade

que solicitou a realização da auditoria.

Auditoria de Posição - 6ª Etapa: Conclusão


Relatório deve ser encaminhado:◦ à diretoria da organização: auditoria solicitada para identificar falhas em sua

própria administração.◦ ao organismo que financia a auditoria: auditoria como forma de proteger seus

investimentos (acionistas, comprador, etc.).◦ ao organismo responsável pelo controle: auditoria de sistemas solicitada como

parte de uma auditoria contábil, financeira, de regularidades, etc.

Os tipos de informação e a estrutura do Relatório:◦ Mudam de uma instituição para outra.◦ Dependem do objetivo da auditoria.◦ Dependem para quem o relatório será apresentado, deve ser adaptado às

necessidades do público alvo.

Revisão: o relatório final deve ser revisado pela equipe de execução e coordenação para verificar sua conformidade com os padrões e práticas da organização auditora e a inexistência de inconsistências, erros ou lacunas.

Conclusão (continuação)


Itens constantes em um Relatório Final:

◦ Dados da entidade auditada: nome e endereço da entidade auditada, sua natureza jurídica (órgão do governo, empresa pública, autarquia, empresa privada, etc.), relação de responsáveis pela entidade (presidente, diretores, gerentes, ministrados, etc.) e outras informação consideradas relevantes pela equipe.

◦ Síntese: breve resumo do conteúdo do relatório. Visão geral dirigida a alta administração.

◦ Dados da Auditoria: objetivo, período de fiscalização, composição da equipe, metodologia adotada, natureza da auditoria (da TI, operacional, financeira, de regularidades, etc.), e objeto (controles gerais da organização, desenvolvimento de sistemas, um sistema aplicativo específico, etc.).

◦ Introdução: pode conter um breve histórico sobre a entidade e mencionar conclusões de auditorias anteriores feitas na mesma área. No caso de auditoria de TI é recomendável incluir a descrição hierárquica do departamento de informática, sua relação com outros departamentos e com os níveis hierárquicos superiores, descrição do ambiente computacional, evolução tecnológica, principais sistema e projetos.



o Falhas detectadas: é a parte mais importante do relatório, pois apresenta em detalhes as falhas e irregularidades detectadas durante a auditoria.

o Para cada ponto de controle com fraqueza - ponto de auditoria:o nome do ponto de controle auditado;o descrição sucinta do ponto de controle;o problemas detectados;o evidências;o impacto;o recomendações.

o Conclusão: são sintetizados os pontos principais do relatório e descritos os pareceres dos auditores.

o Pareceres da gerência superior: em alguns casos, as gerências superiores dão seu parecer a respeito dos achados e recomendações da equipe de auditoria, concordando ou não com os resultados.



1ª. Fase - Auditoria de Posição: Etapas:

◦ Planejamento e controle do projeto de auditoria.◦ Levantamento do ambiente e/ou sistema a ser auditado.◦ Identificação e inventário dos pontos de controle.◦ Priorização e seleção dos pontos de controle do ambiente e/ou

sistema de auditoria.◦ Revisão e avaliação dos pontos de controle.◦ Conclusão.

2ª. Fase – Auditoria de Acompanhamento: Etapa:

◦ Acompanhamento da auditoria.

Metodologia – Fases e etapas


Acompanhamento da auditoria (follow-up): revisar e avaliar os pontos de auditoria elencados no Relatório de Auditoria, ou seja, acompanhar a implementação das recomendações de melhoria.

Deve ser efetuado até que todos os requisitos das especificações do controle interno sejam atendidos e o parecer conclusivo seja satisfatório.

A atividade de acompanhamento tem por finalidade:◦ identificar se os problemas foram resolvidos;◦ identificar se medidas estão sendo adotadas no sentido de eliminar as

deficiências apontadas na auditoria de posição;◦ adequar e atualizar as recomendações em face de novas realidades tecnológicas

e de mudanças na organização empresarial;◦ avaliar o comprometimento da administração frente aos parâmetros de controle

interno determinados no início do projeto de trabalho da auditoria.

Auditoria de Acompanhamento - Etapa: Acompanhamento da Auditoria (follow-up)


O retorno da auditoria deve ser dado em função dos seguintes fatores:◦ grau de importância do cumprimento das especificações de controle interno

determinado pelo sistema de informação;◦ dinâmica e freqüência de manutenção ocorrida durante um determinado período

de tempo;◦ disponibilidade de recursos financeiros, humanos e tecnológicos.

“Qualquer que seja o resultado do trabalho de auditoria, ou seja, apontando ou não falhas, é importante que os sistemas sejam reavaliados periodicamente, de

modo a assegurar proteção e manutenção permanentes”.

Sistemas de informação normalmente sofrem mudanças em função da dinâmica do ambiente em que eles estão operando (mudança de estrutura, aplicação de novas políticas da alta administração, adequação às exigências legais, desenvolvimento organizacional, novas estratégias de negócios, etc. ) isso faz com que todos os sistemas envolvidos sofram alterações localizadas ou em forma global.

Acompanhamento da Auditoria (continuação)


ARIMA, Carlos Hideo; SANTOS, José Luiz e SCHMIDT, Paulo. Fundamentos de Auditoria de Sistemas. São Paulo: ATLAS, 2006.

DIAS, C. Segurança e Auditoria Da Tecnologia da Informação. Rio de janeiro: Axcel Books, 2000.

Bibliografia


Documents

Capítulo 6 Metodologia