Objetivos do Curso Paradigma da Auditoria · 3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas 5. Auditoria do Ambiente 6. Auditoria de Sistemas em Produção

1

Segurança e Auditoria

Profo. Dr. Carlos Hideo ArimaDoutor e Mestre em Controladoria-Contabilidade pela FEA-USP

Professor Assistente-Doutor do Programa de Mestrado em Ciências Contábeis da PUC-SPProfessor Pleno do Departamento de Processamento de Dados da FATEC-SP

Sócio-Diretor da Arima e Associados, consultoria e auditoria de sistemas, e gestão de RH

FATEC-SP – Faculdade de Tecnologia de São PauloCurso de Especialização em Análise e Projeto de Sistemas

Fevereiro/20112

1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em

Pontos de Controle

Apresentação do Programa

3

Objetivos do Curso

• Avaliar o impacto da auditoria de tecnologia da informaçãopara maximizar resultado e alcançar os objetivos daempresa

• Identificar os componentes mais vulneráveis de seusistema de informação

• Agregar valor à gestão de tecnologia de informação que dásuporte aos processos dos negócios

• Detectar novos riscos e ameaças que surgem no uso daInternet

4

Paradigma da Auditoria

Um homem muito bem vestido para aquela cidade, chegana única agência bancária do município e dirige-se aofuncionário.- Onde é a sala do gerente? Pergunta rispidamente.O funcionário indica o caminho e mais do que rápido ligapara o gerente e informa que um homem mal encarado evestido de terno e gravata estava indo ao seu encontro.O gerente recebe o camarada e pergunta-lhe o que deseja.A resposta veio curta e grossa:- Quero todo o dinheiro da agência, isso é um assalto !!!O gerente olha com uma cara de alívio e responde:- Ufa! Ainda bem! Eu juro que pensei que o senhor fosse daauditoria!!!

5

Paradigma da Auditoria

Qual é a moral da estória anterior?

Os funcionários tem mais receio da auditoria doque dos elementos que podem causar desastresà organização.

6

Discussão

O que podemos dizer sobre a afirmação abaixo?

O termo auditoria tornou-se um sinônimo de“caça às bruxas”, o que na verdade não é, oupelo menos não deveria ser.

2

7


Pontos de Controle

Agenda

8

Plano de organização e todos os métodose medidas coordenadas, aplicadas emuma organização a fim de proteger seusbens, conferir a exatidão e a fidelidade deseus dados contábeis, promover aeficiência operacional e estimular aobediência às diretrizes administrativasestabelecidas.

Controle Interno

9

Planejamento

Execução

Controle

Ciclo Gerencial

Padrão

Medida

PadrãoDesvios = x

Medida

10

Contábil

• Fidelidade da informação em relação aodado• Segurança física• Segurança lógica• Confidencialidade• Obediência à legislação em vigor

Administrativo

• Eficácia• Eficiência• Obediência às diretrizes administrativas

Parâmetros de Controle Interno

11

• Verifica se as saídas das informações estãocorretas e são provenientes dos dados deentrada.

• Pode detectar e evidenciar o grau de falhaou erro existente no sistema de informação.

• Mede o efeito de um determinado processode sistema.

• Valida os resultados: banco de dados,arquivos, documentos, relatórios etc.

Fidelidade da Informaçãoem Relação ao Dado

12

• Avalia os recursos materiais e humanosaplicados ao ambiente de sistemas deinformação.

• Segurança do ambiente de tecnologia deinformação.

• Ferramentas: procedimentos de controle,dispositivos de segurança etc.

• Valida o grau de segurança proporcionadoaos recursos envolvidos no ambiente desistemas em relação às ameaças existentes eprováveis sinistros que podem ocorrer.

Segurança Física

3

13

• Avalia o nível de segurança e controleempregados com recursos tecnológicos nosprocessos de um sistema: programas decomputador, procedimentos mecanizados oumanuais etc.

• Revisa e avalia procedimentos operacionaise de controle para transformação dos dadosem informação.

Segurança Lógica

14

• Avalia o grau de sigilo que um sistemaconsegue manter perante acessos deterceiros ou pessoas não autorizadas.

• Revisa e avalia os recursos tecnológicosempregados: criptografia, senhas etc, bemcomo fator humano.

• Estabelecimento de nível deconfidencialidade é estabelecido pela análisede dados a ser feita pelos administradores dedados e usuários finais.

Confidencialidade

15

Verifica se os processos ou rotinas desistemas estão processando de acordocom as leis vigentes no país, estado,

município e entidades externasresponsáveis pelo estabelecimento de

normas e procedimentos.

Obediência à Legislação em Vigor

16

• Verifica o atendimento adequado dosobjetivos e necessidades da empresa ouorganização, através do seu recursotecnológico.

• Revisa e avalia os dados e as informaçõesprocessadas pelo sistema e utilizados pelosusuários.

Eficácia

17

• Verifica o aumento da produtividadeproporcionado pela melhoria de umdeterminado processo.

• Revisa e avalia a forma ótima de utilizaçãodos recursos em geral.

Eficiência

18

• Verifica o cumprimento das normas eprocedimentos determinados pelos diversossetores da organização.

• Avalia a adequação dos processos eresultados do sistema às políticas e normasestabelecidas pela alta administração.

Obediência às Diretrizes Administrativas

4

19 20

1) Assinale ( 1 ) para controle interno contábil e( 2 ) para controle interno administrativo:

( ) Eficiência

( ) Segurança física

( ) Fidelidade da informação em relação aos dados

( ) Obediência às diretrizes administrativas

( ) Confidencialidade (Privacy)

( ) Obediência à legislação

( ) Eficácia

( ) Segurança lógica

Exercícios de Assimilação - 1

21

2) Assinale com ( X ) os parâmetros de controle internoconsiderados para implantação das senhas de acesso aosistema de informação:

( ) segurança lógica

( ) obediência à legislação em vigor

( ) eficiência

( ) confidencialidade (privacy)

( ) eficácia

( ) fidelidade de informação em relação ao dado

Exercícios de Assimilação - 2

22


Pontos de Controle

Agenda

23

Papel do Auditor de SistemasAuditoria tradicional:

Identificar anomalias e recomendar aimplementação ou aprimoramento deControles Preventivos e Detectivos;Caso encontre, apontar indícios depossíveis fraudes.

Fraudes generalizadas:• Estimar prejuízos;• Levantar evidências;• Apontar vulnerabilidades;

• Relatar extensão do problema.24

Definição de Fraude

Ação que traz prejuízos emativos causada porprocedimentos realizados poralgum agente, com o objetivode obter benefícios própriospor motivo de satisfaçãopsicológica, necessidadefinanceira ou material.Ataca os princípios deSegurança Lógica eSigilosidade da Informação.

5

25

Algumas Estatísticas76% das empresas já foi vítima de fraudes48% das fraudes foram provenientesde funcionários64% dos executivos acreditam que taisnúmeros devam crescer50% dos executivos consideram isso(tendência de crescimento de fraudes)uma séria ameaça para sua empresa

“Hoje aparecem mais casos de fraude, não porque existam maisque antigamente, e sim porque há mais investigações.”

Fonte: Pesquisa nacional sobre fraudes corporativas – by KPMG – abril/2003 260%

10%

20%

30%

40%

50%

60%

70%

Algumas Estatísticas

Fonte: Pesquisa nacional sobre fraudes corporativas – By KPMG – abril/2003

AB

C

D

E

F

A. Perda de valores morais e sociais

B. Insuficiência no sistema de Controles

C. Impunidade

D. Problemas econômicos

E. Alterações na organização da empresa

F. Globalização

Quais os principais fatores queviabilizam a ocorrência de Fraudes?

270%

10%

20%

30%

40%

50%

60%

70%

80%

90%

Algumas Estatísticas

Fonte: Pesquisa nacional sobre fraudes corporativas – By KPMG – abril/2003

A. Melhorias nos Controles Internos

B. Treinamento de pessoal

C. Confecção de manuais de conduta

D. Investigações específicas

E. Aumento no orçamento da auditoria interna

F. Sensibilização dos gerentes

G. Rodízio de pessoal

A

BC

D E F

G

O que as empresas praticam paraminimizar as ocorrências de Fraudes?

28

Conseqüências

� Comprometimento da Imageme Credibilidade da Empresa;

� Impacto nos Negócios daOrganização;

� Baixa qualidade operacional;� Implicações Legais;� Perdas Financeiras;� Concordatas e Falências.

� Comprometimento da Imageme Credibilidade da Empresa;

� Impacto nos Negócios daOrganização;

� Baixa qualidade operacional;� Implicações Legais;� Perdas Financeiras;� Concordatas e Falências.

29

Agentes Fraudadores

� Classificação quanto à origem:� Internos,� Externos ou� Ambos (quadrilhas com suporte do pessoal

interno).

� Classificação quanto à forma de ação:� Consciente ou Inconsciente;� Direta ou Indireta.

30

Agentes Fraudadores

� Interferência em processos ouresultados;

� Chantagem a profissionais;� Sabotagem contra ativos

intangíveis;� Engenharia social;� Inclusão de rotinas e informações

em desacordo com padrões epolíticas organizacionais.

Formas de Atuação

6

31

Fatores que Motivam a Fraude

� Insatisfação da não ascensãoprofissional;

� Insatisfação salarial;

� Preceitos de Ideologia;

� Desacordo com políticasempresariais;

� Solidariedade a profissionais“injustiçados” pela Organização.

Satisfação Psicológica do Fraudador

32


� Doença familiar;

� Perdas em jogo;

� Realização de negócios errados;

� Padrão de vida além de seusalário.

Necessidades Financeiras do Fraudador

33


� Dificuldades materiais em termos demoradia, transporte e alimentação;

� Desastres, catástrofes e acidentes;� Desagregação ou má situação

familiar;� Estar sofrendo chantagem;� Envolvimento com drogas ou tóxicos;� Alcoolismo.

Necessidades Pessoais do Fraudador

34


� Má formação cultural;

� Personalidade fraca.

Outras Razões do Fraudador

� Momentos empresariais deaquisições, fusões,incorporações, falências ouconcordatas constituem umcenário atrativo para execuçãode fraudes.

35

Pontos Vulneráveis� Profissionais Polivalentes atuando em

diversas áreas da Organização;� Terceirização ou Quarteirização de

processos chaves;� Fragilidade de Controles Lógicos face a

necessidade de menores custos eprazos para desenvolvimento deatividades operacionais;

� Contratos Comerciais, principalmentecláusulas financeiras, administrativas etécnico-operacionais.

36

� Controles incompatíveis à natureza dos processos para os quais são destinados;

� Erros sistemáticos no processamento;

� Descumprimento de Normas ou Padrões Operacionais;

� Totais de Controle não fechados;� Uso excessivo de procedimentos

de exceção.

Fontes de Indícios

7

37

Fontes de Indícios

� Padrão de consumo incompatível comseus vencimentos;

� Demasiada preocupação emacompanhar, contribuir ou retardar ostrabalhos de auditoria;

� Mudança de conduta repentina;� Muita Motivação para Pouco Salário.

Especificamente para o Agente Fraudador

38

Medidas Preventivas e Detectivas

� Riscos existentes;

� Relação custo-benefício;

� Disponibilidade de recursos;

� Natureza dos Controles:� Linhas de Negócios� Sistemas Aplicativos� Infra-Estrutura e Ambiente de TI

� Cultura organizacional;

Variáveis para Adoção de Medidas Preventivas

39

� Aperfeiçoamento dos Controles Internos;

� Sensibilização dos gerentes;

� Confecção de manuais de conduta;

� Segregação de funções;

� Estrutura por células de trabalho;

� Rodízio de pessoal;

� Concessão de férias;

Relacionadas a Linhas de Negócio


40

� Banco de Dados: implementação detrilhas de auditoria, registro deexceções, totais de controle egerencia sob transações nãoconcluídas;

� Geração de Backup;� Procedimentos para concessão e

manutenção das permissões deacesso aos sistemas informatizados;

� Confidencialidade do Negócio ouAplicativo.

Relacionadas a Sistemas Aplicativos


41

� Geração de LOG: acesso ao Bancode Dados direta ou indiretamente (viasistema);

� Institucionalização de Normas eProcedimentos;

� Segregação de Funções.

Relacionadas à Infra-Estrutura e Ambiente de TI


42

Exemplos de FraudesAcesso Direto ao Banco de Dados

Fazendo uso de ferramentas específicas, funcionários acessavam as tabelas do Banco de Dados, e alteravam informações de saldos de clientes.Haja vista que o acesso era extra-sistema, as alterações não ficavam registradas, dificultando o rastreamento da Fraude.

8

43

Exemplos de FraudesSistema de Folha de Pagamento

Um mesmo funcionário era responsável pelo processamento da Folha, geração e encaminhamento dos Arquivos Remessa, Recepção e Guarda dos Arquivos Retorno, e baixa dos pagamentos no sistemaResultado: Os arquivos Bancários estavam sendo manipulados, implicando em pagamentos maiores do que o funcionário teria direito.

44

Exemplos de FraudesSistema de Compras

O comprador da empresa tinha acesso a vários módulos do sistema: Cadastro de Fornecedores, Cadastro de Pedidos, Cadastro de Materiais, Necessidades de Compras, Aprovação e Baixa Manual de Pagamentos. Resultado: � Fornecedores Fantasmas� Compras superfaturadas e mal

dimensionadas� Condições comerciais incompatíveis com as

disponibilidades da empresa.

45

Exemplos de FraudesSistema de Contas a Receber

Não havia qualquer sistemática para tratamento das exceções de baixas de pagamento;Todos os funcionários da cobrança tinham autonomia para cadastrar e alterar os valores de pagamentos.Resultados:� Divergências entre os valores pagos e

efetivamente baixados no sistema;� Pagamentos efetuados, mas não

registrados;� Clientes devedores com saldo zerado.

46

Exemplos de FraudesOrdens de Pagamento Eletrônicas

Os Agentes estavam tendo acesso a informações privilegiadas de OP’s (Quem? Irá receber quanto? A partir de quando?).

De posse dessas informações, documentos eram falsificados, e os Agentes compareciam aos Bancos para receber os valores.

47

Exemplos de FraudesInternet Banking

Clonagem de sites bancários;

Engenharia social;

Programas espiões;

Ataques de Força Bruta;

Ataques de Dicionário;

Senhas presumíveis.

48

9

49

O que leva ao indivíduo cometer as fraudes?Que medidas preventivas e corretivaspoderiam ser tomadas para minimizar oimpacto?

Questões para discussão

50

1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em

Pontos de Controle

Agenda

51

Segurança

Estado, qualidade ou condição de seguro,protegido, livre de perigos ou causas de ameaças.

SEGURANÇA FÍSICA: proteção dos recursoshumanos e materiais.

SEGURANÇA LÓGICA: proteção de rotinas.

AMEAÇA: efeito de uma causa possível deocorrência.

O fogo não é uma ameaça - ameaça é a destruiçãoque o fogo pode causar.

52

Conceitos e Princípios fundamentais da Segurança

ConfidencialidadePrincipio da manutenção do segredo ou sigilo ou daprivacidade das informações.

IntegridadePrincípio da manutenção do estado das informaçõesda mesma forma que foram geradas.

DisponibilidadePrincipio de garantia da possibilidade de acessocontínuo, ininterrupto, constante a atemporal asinformações.

Conformidade(legalidade)

Principio que determina que as transações e asinformações devem estar em conformidade com asleis, normas, regulamentações contratuais egovernamentais do país.

Irrevogabilidade(não repúdio)

Princípio que garante que as transações einformações não possam ser negadas (repudiadas)por qualquer um dos participantes de umacomunicação legítima.

53

ITIL - Information Technology Infrastructure Library

• Melhores práticas abertas para a Administração de Serviços de TI.

• Patrocinada pelo Governo do Reino Unido.• Escrito por consultores, fornecedores e usuários.• Administrado Independentemente pelo ITSM Fórum.• Vários países: Reino Unido, Holanda, EUA, África do

Sul, Austrália.• Treinamento e esquema de certificação acreditados.• Mais de 60,000 livros vendidos.• http://www.ogc.gov.uk/guidance_itil.asp• Usado por centenas de Corporações e Governos,

incluindo: ABN AMRO, Shell, Chevron, Capital One, Philips etc.

54

CoBit - Control Objectives for Information Technology

• CoBit : é um padrão desenvolvido pelo IT Governance Institute com o objetivo de pesquisar, desenvolver, publicar e promover um conjunto de Controle de TI par o uso no dia-a-dia por gerentes, consultores de segurança, controlers e auditores.

• ISACA Information Systems Audit and Control Association.

• http://www.isaca.org/cobit

10

55

Norma ISO 17799:2005 (27002)

� A norma ISO 17799:2005, também conhecida como ISO 27002, possui 11 seções de controles

� Cada seção especifica as melhores práticas de controles de segurança

� Política de segurança, Organização da Segurança, Gestão de ativos, Segurança em recursos humanos, Segurança física e do ambiente, Gestão das operações e comunicações, Controle de acesso, Aquisição, desenvolvimento e manutenção de sistemas de informação, Gestão de incidentes, Gestão de continuidade e Conformidade

� A certificação ocorre com base na norma ISO 27001

� Serve de base para auditorias de segurança, análises de riscos e planejamento de segurança da informação

56

Aplicação dos padrões ITIL, Cobit e ISO 27002.

Estrutura e Papéis

Tecnologia

CobitITIL

ISO 27002

ITILCobit - limitado

ISO 27002 - limitada

CobitISO 27002

ITIL - limitado

ITILPMI

Cobit (futura ISO 27004 )

57

ITIL / Cobit / ISO 27002Onde aplicar os padrões e frameworks

ITIL é forte nos Processo de TI, mas é limitado em segurança e no desenvolvimento de sistemasCobit é indicado para Controles de TI e Métricas de TI, mas não diz como (ex. fluxo dos processos) e não é m uito forte em segurançaISO 27002 é forte e adequado para Controles de SegurançaConclusões:

� Não há contradições ou sobreposições reais

� Nenhum especifica requerimentos de pessoas

� Não são fortes no lado organizacional (structure & roles)

� Não são orientadas ou fortes em tecnologias58

DetectivoPreventivo Corretivo Restauração

Plano de Contingência

Plano de Segurança

Gestão de Segurança

Gestão de Segurança em TI

Plano de Continuidade de

Negócio

59

Qual é o grau de sigilo requerido nosPlanos de Segurança, Contingência eContinuidade de Negócio do Ambientede Tecnologia da Informação

Questão para discussão

60

Controle

Procedimentos executados com a finalidade de garantirque determinadas normas e/ou especificações pré-estabelecidas, sejam adequadamente cumpridas.

RELAÇÃO CONTROLE / TEMPO

PRÉ-CONTROLE: Reduz erros e/ou falhas na execuçãode uma tarefa/operação. Não é intransponível.

CONTROLE CORRENTE: Age como guia para que certastarefas/operações, se desenvolvam na forma desejada.

PÓS-CONTROLE: Reduz a propagação de resultadoscom erros e/ou falhas advindos da execução detarefas/operações.

11

61

Controle

PROCESSO

MODELOMODELO

Pré-Controle Pós-ControleControle Corrente

ENTRADAS SAÍDAS

62

Trilha de Auditoria

----------------------------------------

--------Tn

----------------------------------------------------------------

BANCO DE DADOS

CRÍTICA ECONSISTÊNCIA

CÁLCULO EATUALIZAÇÃO

CONSULTA EEMISSÃO DERELATÓRIOS

------- T1------ T2------ Tn/ Tt

------- Tt-------------- Tw

------- Tw------- Ty-------- Tz

T1 Tt TwT2

Tn Tw T2

--------------------------------------------------------------------------------

T1

--------------------

T2

--------------------------

63

ContratoValor

1.000,00

2.000,00

3.000,00

Header

2

Total Valor1

2

Total Registros

3.000,00

Nº

Totais de Controle de arquivos

64

Relatório de Gestão

BANCO DE DADOS

* INDICADORES DE QUALIDADE- quantidade de registros - m- registros inconsistentes - x%- registros de exceção - y %

* CURVA “ABC”- faixa A - R$ 999 mil- faixa B - R$ 99mil- faixa C- R$ 9 mil

65

Controle Interno

FAIXAACEITÁVEL Eficiência,

Eficácia

Integridade,Segurança

Custo

.

Controles66

12

67

Assinale para as alternativas abaixo relacionadas, ( V ) verdadeira e ( F ) falsa:( ) Auditores não precisam dedicar em desenvolvimento de sistemas, pois,

qualquer que seja o sistema, os analistas asseguram a implantação de todosos controles que forem possíveis.

( ) Quando os controles são inadequados, pode fazer com que o processamentode dados torne-se inútil.

( ) Controles podem ser incluídos no sistema, posteriormente, com facilidade e,

não durante o desenvolvimento do mesmo.( ) Quando os controles forem excessivos e assíduos, acabam prejudicando o

processamento do sistema de informação.( ) Face aos objetivos e responsabilidades da área de auditoria, a auditoria

externa está mais relacionada ao controle interno administrativo e a internacom o contábil.

Exercícios para Assimilação - 3

68

1. Controle Interno2. Fraudes Informatizadas3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas5. Auditoria do Ambiente6. Auditoria de Sistemas em Produção7. Auditoria de Dados8. Roteiro de Avaliação Baseado em Pontos

de Controle

Agenda

69

• Promover a adequação dos controlesinternos nos sistemas de informação.

• Promover a adequação na utilização derecursos humanos, materiais e

tecnológicos envolvidos no ambiente desistemas de informação.

Objetivos da Auditoria de Sistemas

70

• Sistemas em operação normal

• Sistemas em desenvolvimento

• Administrativo e operacional do ambiente

• Eventos específicos

Trabalhos de Auditoria de Sistemas

71

A auditoria de sistemas em operaçãonormal consiste na revisão e na avaliaçãode procedimentos e resultados dossistemas de informação.

Característica preventiva, detectiva ecorretiva.

Sistemas em Operação Normal

72

A auditoria de sistemas emdesenvolvimento consiste na revisãoe na avaliação do processo deconstrução de sistemas deinformação.

Característica preventiva.

Sistemas em Desenvolvimento

13

73

Abrange todo o ambiente de tecnologia dainformação em termos de infra-estrutura,normas e procedimentos, custos, nível deutilização de recursos, planos desegurança e de contingência etc.

Administrativo e Operacional do Ambiente

74

Abrange a análise da causa, daconseqüência e da ação corretivacabível de eventos específicos elocalizados, detectado por outrosórgãos e levados para seuconhecimento.

Característica corretiva.

Eventos Específicos

75

Uma situação levantada que merece ser validadapela auditoria, segundo determinadosparâmetros de controle interno.

Processo

Rotina operacional, rotina de controle, etapas dedesenvolvimento ou manutenção de sistemas,procedimentos administrativos etc.

Resultado

Documentos, relatórios, arquivos, pontos deintegração, estrutura lógica / física de sistema,modelo entidade-relacionamento etc.

Pontos de Controle

76

Ponto de controle já validado queapresentou fraqueza e que constará norelatório de avaliação do controle interno.

Caracterização

a) Documentação comprobatóriab) Descrição do tipo de fraquezac) Alternativa de solução recomendada

Pontos de Auditoria

77

Ciclo de Vida de Pontos de Controle e de Auditoria

CARACTERIZAÇÃO E INVENTÁRIO DOS

PONTOS DE CONTROLE

AVALIAÇÃO DOS PONTOS DE CONTROLE

SELECIONADOS

CARACTERIZAÇÃO DO PONTO DE

AUDITORIA

APRESENTOU FRAQUEZA?

IMPLEMENTAÇÃO DA SOLUÇÃO

RECOMENDADA

FIM

SIM

NÃO

78

Ciclo de Auditoria de Sistemas

AUDITORIA DE POSIÇÃO AUDITORIA DE ACOMPANHAMENTO

AVALIAÇÃO DOS PONTOS DE CONTROLE

AVALIAÇÃO DOS PONTOS DE AUDITORIAPONTOS DE

CONTROLE CARACTE-RIZADOS

PONTOS DE CONTROLE NÃO SELECIONADOS

PONTOS DE CONTROLE TESTADOS

NÃO APRESENTARAM

FRAQUEZAS

APRESENTARAM FRAQUEZAS

PONTOS DE AUDITORIA

14

79

Ciclo do Projeto de Auditoria

Auditoria de Posição

1. Levantamento

2. Inventário de Pontos de Controle

3. Eleição e Seleção dos Pontos Inventariados

4. Revisão e Avaliação

5. Conclusão (relatório de auditoria)

Auditoria de Acompanhamento

6. Follow-Up

Planejam

ento e Controle

80

Planejamento e Controle

Definição das necessidades de recursoshumanos, tecnológicos, materiais efinanceiros, em função do enfoque,abrangência e delimitação do sistema a serauditado em relação ao prazo estabelecidopela alta administração.Formação das equipes de trabalho:coordenação e execução.Elaboração de cronogramas, quadro derecursos, orçamentos etc.

81

Fase de Levantamento

Caracterização em nível macro,suficiente e abrangente para oentendimento pleno e global dascaracterísticas da tecnologia deinformação.Pode ser promovido por meio de:� entrevistas, análise da documentação etc.

� descrição narrativa, gráficos, tabelas etc.

82

Inventário de Pontos de Controle

Identificação dos diversos Pontos quepoderão vir a ser avaliados pelo auditor, eque podem agrupar-se da seguinte forma:� Processos Informatizados,� Processos Manuais e

� Resultados de Processamento

83

Eleição dos Pontos Inventariados

Consiste em estabelecer prioridades paraavaliação dos Pontos inventariados.São aspectos comumente observados parapriorização desses Pontos:� Análise de risco;� Disponibilidade de recursos;

� Prazos e cronogramas de trabalho;� Decisão gerencial;� Relevância dos aspectos a serem avaliados;� Natureza da avaliação; ou� Foco dos trabalhos de auditoria

84

Revisão e AvaliaçãoConsiste em executar testes de validação dos Pontos deControle, segundo parâmetros de controle interno determinadopara auditoria do sistema de informação.Aplicam-se as técnicas de auditoria que evidenciem as falhasou fraquezas de controle interno.Detectando falhas ou fraquezas, elabora-se o relatório defraqueza de controle interno, apontando e recomendando asalternativas de solução, que minimizem ou até eliminem asfraquezas.O ponto de controle transforma-se em ponto de auditoria, o qualdeverá acompanhar em função do prazo dado para correçãopor parte dos analistas e usuários responsáveis pelamanutenção.Uma vez solucionado, volta ao processo de um novo inventárioou segunda auditoria.

15

85

Conclusão

Consiste em apresentar através do Relatóriode Auditoria, a opinião final sobre a situaçãodo controle interno do sistema de informação:� Satisfatório ou não.� Baixo, médio ou alto risco.

86

Follow-Up

Consiste em revisar e avaliar, dentro deum novo projeto de auditoria, os pontosde auditoria, ou seja, os pontos decontrole que apresentaram fraquezasde controle interno em trabalhosanteriores.

87 88

1) Planejamento e controle ( ) Caracterização dos pontos de controle

2) Levantamento ( ) Técnicas de auditoria de sistemas

3) Inventário ( ) Alocação de recursos e elaboração de cronogramas

4) Priorização e seleção ( ) Relatórios de auditoria

5) Revisão e avaliação ( ) Análise de risco

6) Conclusão e acompanhamento

( ) DFD – Diagrama de Fluxo de Dados, DD – Dicionário de Dados, MER –Modelo Entidade-Relacionamento, DHF – Diagrama Hierárquico de Funções

Correlacione as duas colunas:


89

1) Auditoria de sistemas em produção ( ) Situação levantada que merece ser validada

2) Auditoria durante o desenvolvimento de sistemas

( ) Ponto de controle já validado que apresentou fraqueza de controle interno

3) Auditoria administrativa e operacional do ambiente de T.I.

( ) Abrange os procedimentos e resultados dos sistemas de informação

4) Auditoria de eventos específicos ( ) Avaliação de pontos de auditoria

5) Pontos de controle ( ) Rotinas operacionais e de controle

6) Pontos de auditoria ( ) Abrange contratos de hardware e software, utilização de equipamentos etc

7) Auditoria de posição ( ) Abrange o processo de construção de sistema de informação

8) Auditoria de acompanhamento ( ) Documentos, relatórios e arquivos magnéticos

9) Processo ( ) Abrange análise da causa, conseqüência e da ação corretiva cabível

10) Resultado ( ) Avaliação de pontos de controle

5 - Correlacione as duas colunas:

90

Assinale para as alternativas abaixo relacionadas, ( V ) verdadeira e ( F ) falsa:

( ) Banco de dados corresponde ao processo de um sistema.

( ) Durante o desenvolvimento de sistema, não existem dados e informações

tratados pelo mesmo para serem auditados.

( ) Rotina de emissão de relatórios corresponde ao resultado de um sistema de

informação.

( ) Devido a falta de dados e informações do sistema durante a fase da sua

construção, torna-se impossível avaliar o sistema sob a ótica deeficácia.

( ) Uma vez adotada uma das alternativas de solução sobre o ponto de controle

fraco, este se transforma em ponto de auditoria.

( ) A formação de equipes de coordenação e de execução da auditoria corresponde

a uma das atividades de planejamento do trabalho proposto pela metodologia

em questão.

( ) Revisão e avaliação dos pontos de controle corresponde à auditoria de sistemas

propriamente dita.


16

91

Assinale ( 1 ) para processo e ( 2 ) para resultado:

( ) Consulta aos arquivos

( ) Documentos de entrada de dados

( ) Preparação de dados de entrada

( ) Crítica e consistência de dados

( ) Telas e relatórios

( ) Controle de qualidade

( ) Manutenção de arquivos

( ) Emissão de relatórios

( ) Arquivo de transação

( ) Atualização de banco de dados

( ) Banco de dados


92


Pontos de Controle

Agenda

93

Auditoria do Ambiente deTecnologia da Informação

� Revisão e avaliação dos recursos comuns utilizados no processamento dos diversos sistemas de informação.

� Etapas da auditoria do ambiente:1. Planejamento e controle2. Levantamento e caracterização do ambiente3. Inventário dos pontos de controle4. Eleição dos pontos de controle5. Revisão e avaliação dos pontos de controle eleitos6. Conclusão (Relatório de Auditoria)7. Acompanhamento das recomendações (follow-up)

94

Pontos de Controle do Ambiente deTecnologia da Informação

1 Instalação Físicas - Detectores2 Instalação Físicas - Sistemas de Alarme3 Instalação Físicas - Extintores4 Localização Física5 Instalação Elétrica6 Sala do Computador / Servidor7 Fator Humano8 Segurança Ambiental e Contingência9 Controle de Acesso Físico10 Mídia de Segurança11 Procedimentos de Backup12 Plano de Segurança

95

13 Plano de Contingência14 Microinformática15 Rede de Microcomputadores16 Controle de Operação e Uso de Recursos Computa cionais17 Controle de Acesso Lógico - Senhas18 Critérios de Classificação de Sistemas e de In formações19 Teleprocessamento20 Ambiente “WEB” - Internet / Intranet21 Manutenção de Sistemas de Informação22 Segregação de Funções23 Documentação24 Planejamento e Controle

Pontos de Controle do Ambiente deTecnologia da Informação

96

Revisão e Avaliação dos Pontos de Controle do Ambiente de Tecnologia da Informação

1 Instalação Físicas - Detectores•••• Detectores de fumaça, aumento de calor,

umidade, temperatura.•••• Painel de controle de detecção de sinistro.•••• Teste de detectores.

2 Instalação Físicas - Sistemas de Alarme•••• Teste do Sistema de Alarme.

3 Instalação Físicas - Extintores•••• Tipos de extintor.•••• “Sprinklers”.•••• Treinamento para utilização.

17

97

4 Localização Física•••• Áreas de risco.

5 Instalação Elétrica•••• Luz de emergência.•••• Instalação elétrica independente dos

cabos de transmissão.•••• Fio-terra.

6 Sala do Computador / Servidor•••• Limpeza da sala.


98

7 Fator Humano•••• Programa de conscientização de segurança.•••• Treinamento de pessoal.•••• Esquema rotativo de tarefas.•••• Seleção e avaliação de novos funcionários.

8 Segurança Ambiental e Contingência•••• Rondas; Sala do computador fechada.•••• Inventário periódico de chaves.•••• Acesso ao pessoal de segurança.•••• Conhecimento e revisão periódica de planos

para emergência e desastres.•••• Seguros; contratos de garantia.


99

9 Controle de Acesso Físico•••• Controle de acesso às instalações; crachás.•••• Saídas de emergência.•••• Controle de entrada e saída de pacotes.

10 Mídia de Segurança•••• Mídia fora das instalações do ambiente.•••• Identificação e armazenamento de mídias.

11 Procedimentos de Backup•••• Armazenamento de fitas backup.•••• Sistema de controle de backup.•••• Teste de programas e arquivos backup.•••• Garantia de recuperação e prazo de validade.


100

12 Plano de Segurança•••• Prevenção e detecção de sinistros.•••• Controle do plano.•••• Revisão e teste do plano.

13 Plano de Contingência•••• Compatibilidade das instalações.•••• Prioridades.•••• Correção e restauração do ambiente.•••• Revisão e teste do plano.•••• Responsáveis pela aplicação.


101

14 Microinformática•••• Proteção dos componentes•••• Estabilizadores e “no-break”.•••• Seguros e contrato de manutenção.•••• Controle patrimonial.•••• Programas alternativos.•••• Antivirus.•••• Backup dos dados.•••• Procedimentos de utilização de micros

(classificação, eliminação de arquivos, senhas).


102

15 Rede de Microcomputadores•••• Estabilização da rede elétrica e “no-break”.•••• Manutenção preventiva e computador backup da rede.•••• Cabos de transmissão de dados.•••• Proteção do servidor; “drive”, entrada de software.•••• Mapeamento de nós; backup periódico.•••• Sistema detector e eliminador de arquivos estranhos .•••• Controle de sobrecarga de winchester do servidor.•••• Direcionamento para diretórios específicos aos usuá rios.•••• Topologia da rede e procedimentos de uso.


18

103

16 Controle de Operação e Uso de Recursos Computa cionais•••• Acompanhamento do uso pela análise de “log”.•••• Detecção de possíveis problemas.•••• Possibilidade de intervenção por outro periférico.•••• Análise e acompanhamento da utilização de recursos

computacionais.

17 Controle de Acesso Lógico - Senhas•••• Medidas de segurança com terminais remotos e uso de

terminais para transmissão e recepção de dados.•••• Mudança, manutenção e cancelamento de senhas.•••• Criptografia de senhas.•••• Linhas abertas e níveis de acesso em sistemas.


104

18 Critérios de Classificação de Sistemas e de In formações•••• Grau de importância e responsabilidade sobre os dad os.

19 Teleprocessamento•••• Controle de transmissão de dados.•••• Proteção na transmissão de dados sigilosos.•••• Rodízio de responsabilidades e help-desk.

20 Ambiente “WEB” - Internet / Intranet•••• Proteção contra acesso indevido de hackers e cracke rs.•••• Controle de recepção e envio de arquivos e programa s.•••• Monitoração do ambiente “WEB”.


105

21 Manutenção de Sistemas de Informação•••• Controle de manutenção e teste de programas.

22 Segregação de Funções•••• Programadores / analistas x usuários.

23 Documentação•••• Adequação.•••• Atualização.•••• “Help on-line”.

24 Planejamento e Controle•••• Monitoramento do Plano Diretor de Informática.


106

107

O Centro de Processamento de DadosSUPERSEGURO, esteve em funcionamento por váriosanos. Finalmente foi fechado, não devido a um ataque,mas por decisão da diretoria de Empresa.

Enquanto esteve em operação, a segurança físicafoi enfaticamente alardeada por palavras e por manuaiscorporativos.

A planta apresentada na figura subseqüente, ilustrao mecanismo de entrada.

Caso: CPD Superseguro

108


Estacionamento

Porta

Porta

Escritórios

CPD

Janela

Janela

Casa dos

Guardas

Área

Check deSegurança

Hall de Entrada

Porta Porta

Depósito de Formulários

Porta

Porta

19

109

Caso: CPD SuperseguroO Hall de entrada era o único ponto regular utilizado para a entrada

a partir do exterior. Era constantemente monitorado a partir da Casa dosGuardas, por um sistema de Televisão de Circuito Fechado, via umacâmera instalada acima da porta de entrada do Depósito de Formulários.

A porta de acesso à área de Check de Segurança não poderia seraberta por qualquer dos lados, a menos que um dos guardas acionasse afechadura eletromagnética.

O acesso aos Escritórios ou ao CPD, a partir da área de Check deSegurança, exigia a utilização de crachá magnético, lido por equipamentoapropriado instalado nas portas.

Tanto a área de Check de Segurança, como o CPD eram visíveisaos guardas, através de janelas com vidros à prova de balas.

A porta dupla de acesso ao Estacionamento era, na realidade, umaporta de emergência, anti-pânico, para casos de incêndio. Não podia seraberta pelo lado de fora e, além disso, estava conectada por meios decabos elétricos a um sistema de alarmes.

110


Havia também, uma central de alarmes sonoros e luminosos,instalada na Casa dos Guardas, que concentrava um conjunto deSensores de fogo, fumaça e água, além de diversas câmeras detelevisão que monitoravam o Hall de entrada, os acessos aoselevadores, e a casa de máquinas de força e ar condicionado. TalCentral de Alarmes era constantemente observada pelos guardas.

Todos os guardas eram ex-policiais da Polícia Local,adequadamente treinados para as funções a que foram designados.

Entretanto, uma vez, uma tentativa de acesso não autorizado,revelou algumas vulnerabilidades de tal sofisticado sistema.

O intruso conseguiu entrar na área de Check de Segurança, eos guardas tiveram de detê-lo, mas não lograram consegui-lo.

111


Pergunta-se:1) Como os guardas poderiam deter o intruso? Foi fácil e rápido ou não?2) Um funcionário que estivesse saindo dos Escritórios naquele momentocorreria algum risco? Por que? Como ele poderia evitar correr tal risco?Que risco era esse?3) O intruso poderia escapar dos guardas? Como? Por onde? Por que?4) No caso de um funcionário do CPD comportar-se violentamente, osguardas deveriam acorrer ao local para segurá-lo. Quão rápida seria achegada dos guardas ao CPD? Por que?5) Além das fraquezas relacionadas com os dois casos acima, vocêdetectou outras?6) Relacione todas as vulnerabilidades detectadas e sugira medidassimples para reduzi-las ou eliminá-las. Comente como taisvulnerabilidades poderiam ter sido evitadas, quando da instalação de talsistema de controle de acesso físico.

112


Pontos de Controle

Agenda

113

AUDITORIA DE SISTEMAS EM PRODUÇÃO

OBJETIVO PRINCIPAL:

• Promover a adequação dos controles internosnos sistemas de informação.

ATIVIDADES:

Revisar e avaliar os procedimentos e resultadosdos sistemas de informação.

Característica preventiva, detectiva e corretiva.

114

Etapas da Auditoria de Sistemas

Parecer Final

Apresentou

fraqueza?

Revisão e Avaliação

Planejamento e controle

Recomendação

Seleção

sim

não

Levantamento Inventário

20

115

Como todo projeto, um trabalho de auditoria desistemas deve ser bem planejado.O planejamento deve estabelecer:

• recursos necessários para execução dotrabalho;• área de verificação;• metodologias;• objetivos de controle; e,• procedimentos a serem adotados.

PLANEJAMENTO E CONTROLE

116

ETAPAS TÉCNICOS QTDEHORAS

MÊS 1 MÊS 2 MÊS 3

1 2 3 4 1 2 3 4 1 2 3 4a) Planejamento do projeto de auditoriade sistema de informação

Luís 32

b) Levantamento do sistema a serauditado

MarcoNei

8080

c) Identificação e inventário dos pontosde controle

MarcoNei

2424

d) Priorização e seleção dos pontos decontrole do sistema em auditoria

LuísMarco

1616

e) Revisão e avaliação dos pontos decontrole

MarcoNei

120120

f) Acompanhamento e/ou conclusão deauditoria

LuísMarco

Nei

402424

TOTAL GERAL 3 técnicos 600

EXEMPLO DE CRONOGRAMA DE EXECUÇÃO

117

1. LEVANTAMENTO

Caracterização em nível macro, suficiente eabrangente para o entendimento pleno e globaldas características do sistema.

• Entrevistas, análise da documentação etc.

• Diagrama de fluxo de dados, dicionário dedados, modelo entidade-relacionamento,diagrama hierárquico de funções etc.

118

• Consiste em reuniões entre o auditor e osresponsáveis pelos elementos a seremauditados:

• Aspectos a serem considerados para umaentrevista produtiva:

a) Escolha do entrevistadob) Definição dos objetivosc) Identificação dos elementos que estãosendo avaliadosd) Elaboração prévia do questionárioe) Postura do auditor

Entrevista

119

Observação pessoal do auditor sobre oselementos que estão sendo auditados.

•Sala dos Servidores•Rotinas Operacionais de Trabalho

ObservaçõesLembrar que a presença do auditor influencia e modifica o comportamento das pessoas

Verificação In-Loco

120

Conjunto de perguntas a serem encaminhadassimultaneamente para várias pessoas, de tal sorte quedeterminadas informações sejam levantadas numintervalo menor de tempo;

Quesitosa) Identificação criteriosa dos entrevistados;b) Clareza e objetividade das perguntas;c) Conduzir as questões de forma a proporcionar respostas claras e tabuláveis (sugestão: múltipla escolha)d) Definição de prazos para respostas ee) Controles de envios e recebimentos.

Questionário

21

121

Estudar e analisar os documentos relacionados aosobjetivos da auditoria.

Quesitosa) Senso crítico para identificar os documentosrelevantes, separando-os daqueles menosconsistentes ou que não estão relacionados aostrabalhos;b) Gerenciar as solicitações, recebimentos,devoluções e arquivo dos mesmos;

Regra para Análise de DocumentosNão existe relação entre volume de informação equalidade dos trabalhos.

Análise de Documentos

122

FATURAMENTO

1CADASTRAMENTO

ECONTABILIZAÇÃO

BANCOS

CLIENTES

CLIENTES

ATUALIZAÇÃO

DE DALDOSLIMITE DE

CRÉDITO4

ATUALIZAÇÃODE

CRÉDITO

2REMESSA DEDUPLICATAS

PARACOBRAN’ÇA

3ATUALIZAÇÃO

DECOBRANÇA

BORDERÔ

C?DUPLICATASP/COBRANÇA

DUPLICATAS

P/ COBRANÇA

BAIXA

DUPLICATAS

ABERTAS

CONTABILIZAÇÃO

DUPLICTAS A RECEBER

SOLICITAÇÃODE CRÉDITO EINFORMAÇÕESDO CLIENTE

RELAÇÃO DE COBRANÇA

NUMERÁRIOS

DUPLICATASQUITADAS

DUPLICATAS

A RECEBER

(Ponto de Integração)

DAS DUPLICATAS

Diagrama de Fluxo de Dados - DFD

123

2. INVENTÁRIO DE PONTOS DE CONTROLE

Identificação dos pontos de controle:

• documentos de entrada,

• relatórios e telas,

• arquivos magnéticos,

• rotinas ou programas de computador,

• pontos de integração etc.

124

P R E P A R A Ç Ã OD E D A D O S

C O N V E R S A Ç Ã OD E E N T R A D A D E

D A D O S

C R ÍT I C A EC O N S IS T Ê N C IA

D E D A D O S

C Á L C U L O E A T U A L I Z A Ç Ã OD E A R Q U I V O S

A C E R T O S

M A N U T E N Ç Ã OD E

A R Q U IV O S

E M IS S Ã OD E

R E L A T Ó R IO S

C O N T R O L E D EQ U A L ID A D E E

D IS T R IB U I Ç Ã O

R E L A T Ó R IO S

D O C U M E N T O S

A R Q U IV OM E S T R E A R Q U IV O D E

T R A N S A Ç Ã O

R E L A T Ó R I O S D EC O N S IS T Ê N C IA

E A T U A L I Z A Ç Ã O

U S U Á R I O S

U S U Á R I O S

SISTEMAS EM BATCH

125

PONTOS DE CONTROLE – SISTEMAS EM BATCH

• Documentos de entrada• Rotina de preparação de dados• Rotina de conversão e entrada de dados• Rotina de crítica e consistência de dados• Rotina de cálculo e atualização de arquivos• Rotina de acerto de erros de consistência e atualização• Arquivo mestre• Arquivo de transação• Rotina de manutenção de arquivos• Rotina de emissão de relatórios• Rotina controle de qualidade e distribuição de relatórios• Relatórios de saída 126

E N T R A D A D ED A D O S

C R ÍT IC A EC O N S IS T Ê N C IA D E D A D O S

C Á L C U L O EA T U A L IZ A Ç Ã O D E D A D O S

C O N S U L T A

E M IS S Ã O D ER E L A T Ó R IO S

B A N C O D ED A D O S

A R Q U IV O“L O G ”

M A N U T E N Ç Ã O D EB A N C O D E D A D O S

E A R Q U IV O S

T E R M IN A ISR E M O T O S

( s e nh a d e au to r iz aç ã o )T ra n s a ç ã o e A tu ali z aç ã o

d e b an c o d e d ad o s

(s e n h a d e a c es s o)R ec u p er aç ã o d e in f orm a ç ã o

SISTEMA ON-LINE REAL TIME

22

127

PONTOS DE CONTROLE DO

SISTEMA ON-LINE REAL TIME

• Rotina de senha de autorização - acesso ao banco de dados

• Rotina de transação e atualização de banco de dados

• Banco de dados

• Arquivo log

• Rotina de manutenção de banco de dados

• Rotina de consulta e/ou emissão de relatórios

• Telas e relatórios

128

3. ELEIÇÃO E SELEÇÃO

Consiste em estabelecer prioridades e selecionaros pontos de controle inventariados.

A seleção pode ser efetuada através da aplicaçãoda análise de risco.

A análise de risco é um método de apurar comantecedência, quais as ameaças ou eventos futurosnão desejáveis e incertos, cuja ocorrência causamperdas dos ativos.

129

Risco

Conceitos

É a possibilidade de uma ameaça explorar avulnerabilidade de um bem, causando perda ou dano

ao mesmo.Análise de RiscoUma avaliação dos pontos de interesse da auditoria desistemas, quanto aos riscos que podem enfrentar.

Exposição aos Riscos

A medida de exposição aos riscos pode ser avaliadapor um conjunto de critérios baseados nas suas

probabilidades de ocorrência e nos níveis deseveridade dos impactos. 130

Tipos de Ameaças mais Comuns

Oscilações de energia, falhas de climatização, instalações inadequadas, danos físicos

Hardware

Falhas de controle, backups insuficientes / inadequados, desmagnetização, falhas no transporte, falhas no armazenamento

Dados/meios de armazenamento

Furto, alterações indevidas, vírus, falta de controle de acesso

Software

Sabotagem, espionagem, modificação, fraudes, quedas / interrupções

Redes de Comunicação

Insuficiência de equipamentos, falhas técnicas, oscilações elétricas, falta de energia / água / combustível

Infra-estrutura técnica

Fogo, raios, água, furtos / roubos, espionagem, terrorismo / sabotagem

Local/edifício

Exemplos de ameaçasCampos de risco

131

AMEAÇAS VULNERABILIDADES

CONTROLES RISCOS ATIVOS

NECESSIDADESDE SEGURANÇA

VALORES E IMPACTO

POTENCIAL A ATIVOS

EXPLORAM

EXPÕEMPROTEGEM CONTRA

TEMIMPLEMENTADAS COM

Elementos do Risco

132

Identificação e valorização de ativos

Avaliação de vulnerabilidades

Avaliação de ameaças

Identificação dos controles existentes e planejados

Análise de Riscos

Análise de Risco

23

133

Pontos de Controle

1) Rotina de Consistência de Dados 2) Rotina de Atualização de Arquivos

3) Arquivo Mestre

4) Arquivo de Transação

5) Rotina de Emissão de Relatório

2

3

3

1

1

3

2

2

2

1

3

2

2

6

8

7

5

412

Folha de Pontuação para Priorização de Pontos de Controle

Antônio José Luís Total

Grau de importância e impacto: 1 – baixo2 – médio3 – alto

134

4. REVISÃO E AVALIAÇÃO

Consiste em executar testes de validação dospontos de controle, segundo parâmetros decontrole interno determinado para auditoriado sistema de informação.

Aplicam-se as técnicas de auditoria queevidenciem as falhas ou fraquezas decontrole interno, tais como, “ao redor”,“através de” ou “com” computador.

135

Técnicas de Verificação das Fases de Processamento

Técnicas de Verificação dos Resultados de Processamento

Ao Redor de Computador

Através de Computador

Verificação econfrontação deoutput em relação ao input

Teste-deck

Facilidade de teste integrado

Tracing

Mapeamento do programa

Snapshot

Processamento simultâneo

Simulação paralela

Análise de job accounting / log

Análise de instruções do programa

Com Computador

Programas desenvolvidos pelo usuário

Software geral de auditoria

Gerenciador de banco de dados

Adaptado de ARIMA, Carlos H. Metodologia de Auditoria de Sistemas. São Paulo: Érica, 1994. p. 68

Técnicas de Auditoria de SistemasFerramentas para Suporte aos Trabalhos de Auditoria

136

Ferramentas para Suporte à Auditoria

Softwares para gerenciamento de cronogramasFacilidades para trabalho em equipe� E-Mail� Grupos de Trabalho� Videoconferência� Compartilhamento de documentos

Controles e documentação do projetoSoftwares específicos para auditoria

137

TÉCNICA DE AUDITORIA“AO REDOR” DO COMPUTADOR

Análise comparativa dos dados de entrada e dasinformações de saída dos processos do computador com aelaboração da mesma tarefa por meio manual.

Conveniente para sistemas simples e menores.

138

Técnicas Manuais para Avaliação

Entrevistas

Verificação “in-loco”

Questionários

“Check-list”

Análise de Documentos

Diagrama de Causa e Efeito

Diagrama de Pareto

Método 5W1H

24

139

TÉCNICA DE AUDITORIA“ATRAVÉS” DO COMPUTADOR

Consiste na identificação, análise e teste dos pontos decontrole interno do sistema de informação em nívelcomputadorizado.Exemplos:• “Test-Deck”• “Mapping”• “Tracing”• “Snapshot”• Análise de “Job Accounting” / “ Log”• Simulação Paralela• Análise de instruções do programa

140

• Envolve o conceito de massa de dados, ondeinformações fictícias são submetidas ao processamentonos programas informatizados.

• A massa de dados em questão deverá apresentar umadiversidade de combinações extrema, que nem sempreserá encontrada no ambiente original.

• Após o processamento, em análise aos resultadosobtidos, é possível aferir a segurança lógica e/ou aeficiência do sistema auditado.

Observação

Embora não observado na prática, o presente teste deveser apontado como obrigatório para homologação denovos sistemas

Test-Deck

141

MAPPING

Verifica-se a freqüência em que cada linha de código está sendo executada.

TRACING

Verifica-se quais instruções do programa estão sendo executadas, e em que ordem.

SNAPSHOT

Verifica-se os diferentes valores que estão sendo atribuídos as variáveis auditadas.

Mapping, Tracing e Snapshot

142

• Desenvolve-se um programa independente que simuleas funcionalidades do sistema/módulo que está sendoauditado;

• Idealmente, o programa em questão deverá utilizartecnologia (linguagem e ambiente) distintos do sistemaoriginal;

• Ao submeter-se dados idênticos para processamentonos dois sistemas (paralelo e original), confronta-se assaídas, aferindo-se dessa forma a confiabilidade dosistema informatizado.

Exemplo

Programa paralelo para simular contabilizaçãoautomática.

Simulação Paralela

143

TÉCNICA DE AUDITORIA“COM” COMPUTADOR

Consiste no uso do computador para verificar e testar os

dados processados pelo sistema de informação

computadorizado.

O método implica na elaboração de programas de

computador que executam testes de prolongamentos e

condições, seleção e impressão para confirmações e

amostras para auditoria, comparação de dados da

auditoria com registros do sistema e análise das amostras

da auditoria.144

TÉCNICA DE AUDITORIA“COM” COMPUTADOR

Ferramentas:

• Software geral da auditoria. Ex: ACL, IDEA.

• Programas específicos desenvolvidos para auditoria.

• Programas utilitários ou desenvolvidos pelos usuários.

• Gerenciador de banco de dados. Ex: Oracle, SQL.

25

145

5. CONCLUSÃO

Consiste em apresentar através do relatório de auditoria, aopinião final sobre a situação do controle interno do sistemade informação.

• Satisfatório ou não satisfatório.

• Baixo, médio ou alto risco.

Há possibilidade de alguns Pontos elencados não seremavaliados na sua totalidade, ou o processo de avaliação aindanão fornecer elementos que possam dar suporte a opinião doauditor. Especificamente para esses casos, o Status do Parecerserá “Não Avaliado”, e na seqüência apresenta-se os motivospelos quais o mesmo ocorreu.

146

A equipe de auditoria normalmente apresentaseus achados e conclusões na forma de umrelatório escrito, o qual inclui fatos sobre aentidade auditada, comprovações, conclusões erecomendações e / ou determinações.

As informações contidas neste relatório devemser satisfatórias e bem estruturadas.

Relatório de Auditoria

147

• Objetivos

• Trabalhos realizados

• Pontos de controle que apresentaram fraquezas decontrole interno (para cada ponto de controle)- Nome do ponto de controle auditado- Descrição sucinta do ponto de controle- Problemas detectados- Impacto- Recomendações

• Considerações Gerais

• Opinião

RELATÓRIO DE AUDITORIA

148

O processo de auditoria é cíclico, ele não seencerra com o relatório de auditoria.Após a emissão do relatório, a área que sofreuauditoria terá um período de implantação dasrecomendações, e posteriormente as seguintesatividades devem ser tomadas pela auditoria:

• revisão dos pontos relevantes• revisão das conclusões e recomendações

6. FOLLOW-UP (ACOMPANHAMENTO)

149

Atividades de Follow-Up

Consiste em revisar, dentro de um novoprojeto de auditoria, os Pontos de Controleque apresentaram deficiências em trabalhosanteriores.A atividade de Follow-Up tem por finalidade:� Identificar se os problemas foram resolvidos;� Identificar se medidas estão sendo adotadas no

sentido de eliminar tais deficiências;� Adequar e atualizar as recomendações face a

novas realidades tecnológica e organizaçãoempresarial; e

� Avaliar o comprometimento da administraçãofrente a segurança computacional.

150

26

151


Identifique os momentos em que se apresentam os pontos de controleabaixo, assinalando:( 1 ) auditoria de sistemas em operação normal( 2 ) auditoria de sistemas durante o desenvolvimento( 3 ) auditoria do ambiente de tecnologia de informação

( ) banco de dados de materiais( ) contratos de hardware e software( ) utilização de recursos tecnológicos( ) especificação do sistema( ) rotina de consulta a banco de dados( ) rotina de consistência e atualização de arquivos( ) plano de segurança e de contingência( ) metodologia de desenvolvimento de sistemas( ) telas e relatórios de saída( ) administração do projeto

152

Assinale ( 1 ) técnica de auditoria ao redor do computador( 2 ) técnica de auditoria através de computador( 3 ) técnica de auditoria com computador

( ) test-deck- teste simulado( ) programa de computador para auditoria( ) mapping- mapeamento de programa( ) questionário de controle interno( ) software de auditoria( ) análise dejob accounting/log( ) tracing- rastreamento de instruções dos programas( ) verificação e confrontação de saídas em relação a entradas( ) snapshot- fotografia das partes da memória do computador( ) programa de análise e confronto de arquivos


153

Conforme os ítens abaixo, identifique os parâmetros de controle interno(fidelidade, segurança física e lógica, confidencialidade, obediência à legislação,eficácia, eficiência e obediência às diretrizes administrativas) e as técnicas (“aoredor”, “através de”, “com” computador) aplicadas para fins de auditoria:

1) Verificação da consistência de dados dos cadastros de clientes e defornecedores, conforme as regras de domínio pré-definidos nos respectivossistemas de gestão, utilizando programas de computador.

2) Criação da massa de dados de teste de duplicatas a receber para realizaçãoda transação de entrada e baixa, com a submissão dos programas de crítica econsistência de dados de transação de títulos.

3) Simulação dos programas de acesso e recuperação de informações da basede dados de contas correntes para checar o tempo de resposta requerido pelosusuários finais.

4) Confrontação de duplicatas a pagar com os saldos contidos no cadastro defornecedores.


154


Pontos de Controle

Agenda

155

Auditoria de DadosTrabalho de auditoria onde a principal“matéria-prima” são as informaçõescontidas em registros magnéticos.O auditor promove os testesacessando diretamente o banco dedados dos sistemas auditados.Permite que se avalie uma quantidademaior de registros (espaço amostral de100%).Oferece maior precisão sobre osresultados.

Banco de

Dados

Sistemas de InformaçãoSistemas de Informação

156

Auditoria de DadosA auditoria geralmente é executada porum auditor com perfil técnico:� Desenvolvimento de rotinas eletrônicas

para extração e confronto de dados,geração de gráficos e confecção derelatórios.

� Análise criteriosa sobre o modelo dedados, com vistas a identificar asinformações mais relevantes e plausíveisde avaliação.

� Confecção de uma documentaçãoextremamente técnica, objetivando atendereventuais questionados sobre osprogramas de auditoria utilizados naavaliação

27

157

Auditoria de Dados

ProcessamentoProcessamentoEntradaEntrada SaídaSaída

Banco de

Dados Auditoria de Dados

Auditoria de Processos

Auditoria de Resultados

No conceito de Auditoria de Sistemas podemos afirmar que aAuditoria de Dados representa um segmento da Auditoria deResultados.

158

Principais Etapas1. Localização das informações a serem testadas;2. Obtenção dessas informações:

� Acesso direto a Tabelas do Banco de Dados;� Acionamento de rotinas específicas para geração de

arquivos a Auditoria;� Interceptação dos Buffers para Impressão;� Recepção de arquivos disponibilizados pelos próprios

analistas da entidade auditada.

3. Pré-validação e refinamento dos dados obtidos;4. Padronização dos campos segundo critérios de

auditoria (nomenclatura, tipo, tamanho eformato)

159

Principais Etapas5. Aplicação dos testes:

� Integridade implícita (ex. campos de preenchimentoobrigatório e código verificador do CPF);

� Regras de negócio (ex. cliente inadimplente não devepossuir autorização para pagamento a prazo);

� Cruzamento e confronto de dados (ex. saldo docontas a receber contra saldo da contabilidade).

6. Validação e refinamento dos testes:� Confronto com os documentos fontes;� Circularizações;� Entrevistas, questionamentos, indagações e

reprocessamentos dos testes.

7. Confecção do relatório de auditoria.160

Situações em que se aplica� Bancos x Financeiro

� Todos os clientes devedores estão sendo cobrados?� Todos os recebimentos estão sendo baixados?� Há divergências entre os valores pagos e baixados no

sistema?� Financeiro x Contabilidade

� Todos os eventos financeiros estão sendo devidamenteregistrados na contabilidade?

� Almoxarifado x Contabilidade� Folha de Pagamento� Módulo de Patrimônio� Qualidade das Informações Cadastrais� Sistema Informatizado de Comércio Eletrônico

161

Bancos x Financeiro

Arquivos Remessa

Arquivos Retorno

Boleto p/ Cobrança

Pagamento do Cliente

Empresa AuditadaBancoCliente

Auditores

Sistemas de Informação

Cliente Final

Registros de Movimentação Financeira

Relatório de Auditoria

162

Bancos x Financeiro - Cobrança

Entendendo o processo de cobrança1. Sistema de Informações (SI) seleciona registros

de clientes cobráveis2. SI gera o arquivo remessa3. Empresa envia o arquivo remessa ao Banco4. Banco remete arquivos retorno a Empresa

28

163


Etapas da avaliação do processo de cobrança1. Levantamos e unificamos os arquivos remessa

encaminhados ao Banco dentro do período queestava sendo auditado;

2. Por meio de rotinas eletrônicas, promovemos aleitura do arquivo gerado na etapa anterior, einserimos seus registros na tabela Tbl_Cobrados;

3. A partir do sistema informatizado, efetuamos aleitura dos clientes cobráveis no período queestava sendo avaliado, e inserimos seus registrosna tabela Tbl_Cobráveis;

164


Etapas da avaliação do processo de cobrança4. Com o auxílio de rotinas eletrônicas,

promovemos o cruzamento entre as tabelasTbl_Cobrados e Tbl_Cobráveis, onde apuramosas seguintes situações:� Clientes cobráveis que não estavam sendo cobrados;

� Clientes cobrados em duplicidade;

165

Bancos x Financeiro - Recebimento

Entendendo o processo de recebimento1. Cliente paga o título no Banco2. Banco gera arquivo retorno e encaminha para a

Empresa3. SI efetua a leitura do arquivo retorno, promove a

baixa automática dos recebimentos e apontaeventuais divergências

4. Usuários efetuam ajustes manuais nos saldos declientes

166


Avaliação das Baixas BancáriasO procedimento de avaliação consistebasicamente no cruzamento entre duastabelas, que são:

Tbl_Baixados

Informações extraídas do BD do módulo financeiro, contendo todos os registros de baixas efetuadas no período que estava sendo auditado.

Tbl_Baixados

Informações extraídas do BD do módulo financeiro, contendo todos os registros de baixas efetuadas no período que estava sendo auditado.

Tbl_Pagos

Informações extraídas dos arquivos retorno, contendo todos os registros de pagamentos efetuados pelos clientes.

Tbl_Pagos

Informações extraídas dos arquivos retorno, contendo todos os registros de pagamentos efetuados pelos clientes.

167


Parte I - Geração da Tbl_Pagos1. Levantamos todos os arquivos retorno recebidos

dentro do período que estava sendo auditado.2. Por meio de rotinas eletrônicas, transformamos em

01 os 284 arquivos bancários levantados na etapaanterior.

3. Também com o auxílio de rotinas eletrônicas,promovemos a leitura dos registros contidos noarquivo unificado, e transferimos seus dados para atabela Tbl_Pagos.

168


Parte II - Geração da Tbl_Baixados1. No Banco de Dados do Sistema Financeiro,

identificamos a tabela onde estavam contidos osregistros de movimentação financeira de clientes.

2. Por meio de rotinas eletrônicas, extraímos osregistros de baixas de pagamentos que foramefetuadas no período que estava sendo auditado.

3. Os registros provenientes da etapa acima tiveremseus campos formatados e nomeados segundopadrões de auditoria, e posteriormente foraminseridos na tabela Tbl_Baixados.

29

169

Bancos x Financeiro - RecebimentoParte III – Tbl_Pagos x Tbl_Baixados� Por meio de rotinas eletrônicas, cruzamos as

informações contidas nas duas tabelas, eapuramos as seguintes situações:

1. Incidência de Baixas sem a correspondente justificativabancária;

2. Pagamentos baixados mas que não foram baixados nosistema;

3. Divergências entre valores pagos e baixados nosistema;

4. Grande incidência de lançamentos e ajustes manuais nosistema;

5. Defasagem entre as datas que o pagamento foiefetuado e baixado no sistema.

170

171

Caso: Auditoria de Crédito e Cobrança

Objetivo do Sistema de Crédito e Cobrança:Controlar a situação do limite de crédito e de contas a receber dos clientes daempresa, em função do faturamento e da liquidação de títulos, mantendo o setoratualizado em nível de saldos e relação de títulos vencidos ea vencer, nãoliquidados.

Documentos de entrada de dados:

Folha de cadastramento de clientes- utilizada para cadastrar clientes novos,que passaram a efetuar compras de produtos do estabelecimento, e registrar olimite de crédito, determinado pelo analista de crédito, a ser concedido aorespectivo cliente.Folha de transação de títulos- utilizada para registrar todos os tipos deoperações de débito e crédito no saldo de clientes, provenientes das vendas deprodutos e pagamento efetuado sobre os títulos gerados nestas vendas,respectivamente.

172


Telas:· Entrada de dados:- cadastramento de clientes- transação de títulos· Consulta:- limite de crédito e saldo devedor do cliente- relação de títulos em carteira do clienteRelatórios de saída:· Diários- borderôs de cobrança- relação de títulos emitidos- relação de títulos liquidados· Mensais- relação de limite de crédito e saldo devedor por cliente- títulos em carteira por cliente- títulos em carteira por data de vencimento- resumo dos valores de títulos em carteira por data de vencimento

173


Banco de Dados:

Clientes- código do cliente (chave)- CNPJ/CPF- nome do cliente- ramo de atividade- endereço completo do cliente- limite de crédito- saldo de títulos- total de débitos- total de créditos- títulos em atraso- cheques devolvidos

Títulos- código do cliente (chave)- código do título (chave)- portador- praça de pagamento- modalidade de cobrança- vendedor- data de emissão- data de vencimento sem desconto- data de vencimento com desconto- taxa de desconto- valor de título- valor do desconto- número do documento- data de pagamento- desconto efetuado- abatimento- líquidos recebidos- liquidação parcial 174


Terminal de Entradade Dados e Consulta

Cadastramento de Cliente

Consulta ao Cliente eTítulos

Transação de Títulos

Clientes Títulos

Emissão de Relatórios

Diários Mensais

Modalidade de processamento:

· Módulo de atualização e consultade cadastro em “on-line” “realtime”;

Módulo de emissão de relatóriosem “batch”.

Fluxograma do sistema:

30

175


Pontos de controle inventariados:

1. Documentos de entrada de dados;2. Rotina de cadastramento de clientes;3. Rotina de transação de títulos e da respectiva

atualização de saldos;4. Rotina de consulta ao cliente e títulos;5. Banco de dados de clientes e de títulos;6. Rotina de emissão de relatórios;7. Relatórios de saída; e,8. Telas de entrada de dados e de consulta.

176


Eleição dos pontos de controle sob a ótica de segurança física,segurança lógica e fidelidade da informação em relação aos dados:

PONTOS DE CONTROLE Audito-ria

Gerente de TI

Tesoura-ria

Contabili-dade

TOTAL

1. Documentos de entrada de dados 2 2 2 2 8

2. Rotina de cadastramento clientes 2 2 3 3 10

3. Rotina transação títulos atualização 3 2 3 3 11

4. Rotina de consulta clientes e títulos 1 2 1 2 6

5. Banco de dados clientes e títulos 3 3 3 3 12

6. Rotina de emissão de relatórios 1 1 1 1 4

7. Relatórios de saída 2 2 1 2 7

8. Telas entrada de dados e consulta 2 1 1 1 5

Prioridade do exame de auditoria: pontos 5, 3, 2, 1 , 7, 4, 8 e 6.Elabore o programa de auditoria dos pontos 5, 3 e 2 .

177


Pontos de Controle

Agenda

178

Ambiente dos Servidores

Restrição de Acesso FísicoLimpeza e OrganizaçãoDispositivos para Monitoramento 7x24Equipamentos para Combate a Sinistros

Segregação de AmbientesLocalização Física das InstalaçõesCondições Ambientais (ruído, temperatura, umidade etc.)

179

Ambiente dos Servidores

180

Infra-Estrutura para as Estações

Infra-Estrutura� Rede elétrica estabilizada� Cabeamento estruturado� Identificação e proteção dos dispositivos de rede:

Hubs, Roteadores, Cabos...

Estações de Trabalho� Mobília Adequada (princípios ergonômicos)� Equipamentos protegidos com lacres ou

cadeados� Limpeza� Configuração compatível com a carga de trabalho

31

181

Infra-Estrutura para Estações

182

Restrição de Acesso aos Sistemas

Política de Senhas: � Tamanho Mínimo, � Periodicidade para Troca e � Senhas Frágeis.

Níveis de Acesso Diferenciados por UsuárioProcedimentos para Concessão e Manutenção das Permissões de AcessoNível de FormalizaçãoConscientização dos UsuáriosExemplos de Teste: � Funcionários Ativos x Acessos Concedidos� Acessos Concedidos e Pouco Utilizados

183

Prevenção e Combate a Sinistros

Equipamentos de Segurança� Alarmes;

� Extintores;

� Splinkers

Treinamentos e SimulaçõesPortas para Saída de EmergênciaFormalização� Quem? Fará o Que? Em que Momento?

184

Plano de Continuidade de Negócios

Quais são as atividades críticas?Quais os possíveis riscos?Quais os mecanismos contingenciais?Há um plano formal e claro?� Nível de Atualização

� Coerência dos Controles Implementados

� Grau de Envolvimento de Pessoas

185

LOG de Operações dos Sistemas

Facilidades de Acesso ao LOG OperacionalDiferentes Níveis de LOGMecanismos para Integridade do LOGPeríodo Mínimo de RetençãoFacilidades para ConfiguraçãoSistemática para Avaliação Contínua das Transações Registradas

186

Cópias de Segurança - Backup

PeriodicidadeTempo de RetençãoCiclos de BackupLocal de GuardaRestrição de AcessoBackup dos Arquivos dos UsuáriosNível de Formalização dos ProcedimentosAnálise do LOG de Backup

32

187

Banco de Dados

Tecnologia Utilizada x Criticidade dos Dados

Versão do Software

Parâmetros de Configuração

Regras de Negócios

Normalização de Tabelas em BD Relacionais

Documentação: Dicionário de Dados, MER etc.

Segregação de Ambientes para Testes e Desenvolvimento de Programas

188

Prevenção e Controles contra Vírus

Instalação e Configuração de SoftwaresAnti-vírus: atualização da lista de vírusConhecimento e conscientização por parte dos usuáriosNível de Formalização das RegrasAvaliação por amostragem de alguns equipamentos

189

Documentação dos Sistemas

Padronização dos DocumentosNível de Detalhamento e AbrangênciaGrau de AtualizaçãoFacilidade de Acesso e ManuseioFerramentas CASEExemplos: � Diagrama de Fluxo de Dados� Modelo Entidade Relacionamento� Fluxogramas

190

Manuais dos Usuários

Padronização dos DocumentosNível de Detalhamento e AbrangênciaGrau de AtualizaçãoFacilidade de Acesso e Manuseio (helpon-line)Facilidade de Entendimento

Os usuários estão efetivamente utilizando esses manuais?

191

Formalização de Atividades Críticas

Critérios para seleção e eleição das atividadesPadronização dos DocumentosNível de Detalhamento e AbrangênciaGrau de AtualizaçãoFacilidade de Acesso e Manuseio (help on-line)Facilidade de EntendimentoExemplos� Conciliação Bancária� Conciliação Contábil� Processos de Compras e Pagamentos� Análise Crítica de Clientes para Concessão de

Crédito192

Controles Mantidos pelos Usuários

Inventário dos Controles: Quais são e quem são os responsáveis

Tecnologia Utilizada x Criticidade do ControleHá padrões para desenvolvimento?São adotados procedimentos básicos de segurança? Ex. Backup.Os mesmos são realmente necessários?

33

193

Relatórios Impressos

Sistemática para emissão, manuseio, transporte, guarda e destruição

Padrões de lay-out (cabeçalho e rodapé)Análise do Conteúdo x FinalidadeConhecimento e conscientização por parte dos usuáriosNível de formalização das regras

194

Softwares Alternativos

Padrões para instalação de programasControles que permitam avaliar irregularidadesRecursos que impedem a instalação de programas não autorizadosConhecimento e conscientização por parte dos usuáriosNível de formalização das regras

195

Inventário de Software e Hardware

Grau de AtualizaçãoFacilidades para Acesso e AtualizaçãoNível de detalhe das informações� Hardware: configuração, modelo,

periféricos, componentes etc.� Software: nome, versão, licença etc.

� Ambos: nota fiscal, fornecedor, departamento, data de compra etc.

Ferramentas para Inventário On-Line196

Política para Investimentos em TI

PDI - Plano Diretor de InformáticaCenário atual e expectativas para médio e longo prazoParâmetros formais e criteriosos para identificar onde e quanto investir em tecnologia:� Hardware e Software,

� Peopleware e Consultoria,

� Segurança.

197

Grau de Integração entre Sistemas

Incidência de lançamentos manuais que poderiam ser promovidos de forma automática

Capacidade dos Sistemas compartilharem um mesmo Banco de DadosRecursos para Geração e Importação de Arquivos de Dados

198

Auditabilidade dos Sistemas

Pontos de Auditoria

Totais de Controle

Relatórios de Consistência

Ferramentas para Extração de Dados p/ Auditoria

Módulos para Cruzamento de Informações

Documentação Técnica

Qualidade e Precisão do Código Fonte dos Programas

34

199

Homologação de Novos Sistemas

Critérios para Aplicação dos TestesCritérios para Homologação de cada SistemaHistórico de AvaliaçõesAmbientes distintos para Desenvolvimento, Testes e OperaçãoControle de Versões

200

201

BANCO DE DESENVOLVIMENTO RURAL NACIONAL S/A

Você foi contratado pelo BADERNA para efetuar uma avaliação dasituação geral da área de informática, nas áreas de:

Organização e GerênciasDesenvolvimento de SistemasManutenção de SistemasSegurança

Nos trabalhos de revisão e levantamento que foram efetuadosidentificaram-se os seguintes aspectos:

1. As atividades da área de informática obedecem a um planoformal, de longo prazo, que não é revisto há aproximadamente 5(cinco) anos.

2. Em cada área do CPD existem procedimentos formalmentedefinidos e geralmente seguidos pelos profissionais.

CASO BADERNA S/A

202

3. O plano de treinamento do pessoal não é definido em funçãodas características do quadro do pessoal e dos objetivos do Banco.

4. O CPD está vinculado à Diretoria Comercial.

5. Em caso de problemas com a qualidade da documentaçãofonte recebida dos usuários, é permitido ao pessoal do CPD alteraros elementos de dados que eventualmente estejam ilegíveis, malidentificados ou que o pessoal de digitação julgue que estão errados.

6. Os novos sistemas do BADERNA são desenvolvidos combase em metodologia orientadas por objeto, sendo que a elaboraçãodos modelos e programas, bem como, o levantamento dos requisitosdos usuários é efetuado com base na experiência dos analistasenvolvidos. Os usuários são considerados um mal necessário esomente são contactados pelos analistas novatos no banco. Alémdisso, são contactados, obviamente, quando solicitam um novosistema.

CASO BADERNA S/A

203

7. Para todos os sistemas é constituído um Comitê de Projeto,formado pelos diversos representantes das áreas envolvidas que,sempre aprovam as decisões tomadas. Não há calendário pré-estabelecido para as reuniões do Comitê.

8. Os testes são executados com todos os sistemas com osquais o novo sistema manterá interface. São realizados no ambientenormal de operação e com os arquivos reais de produção, pois,assim, o usuário entende melhor os resultados.

9. Os usuários são comunicados dos resultados dos testes,embora não haja uma aprovação formal, dos resultados obtidos.

10.A documentação dos sistemas é produzida após a implantação emantida em biblioteca específica. Sua retirada é controlada por umfuncionário que tem também uma enorme gama de outrasatividades.

CASO BADERNA S/A

204

11.Cada analista decide o que é importante em termos de segurançapara o sistema sob sua responsabilidade.

12.Todas as modificações são centralizadas pela gerência do CPD.Há normas que definem a formalização das solicitações demodificações, embora nem sempre sejam obedecidas, pois a maioriadas alterações solicitadas são urgentes.

13.No que tange à segurança existem algumas regras corporativas.Entretanto, o gerente não cobra o seu cumprimento.

14.A instalação possui um Software de Biblioteca para manter asegurança dos programas fontes e executáveis. Há procedimentosdefinidos para solicitar, alterar e recadastrar um programa.

CASO BADERNA S/A

35

205

15.A área não possui um registro das manutenções efetuadas.Segundo estimativas chegam a 150 por mês. O back-log não éconhecido.

16.Os testes das modificações, quando não são significativas, sãoexecutados por estagiários. Quem decide se as instalações são ounão significativas é o programador responsável pela manutenção.

17.Em caso de problemas à noite, o pessoal de operação podealterar os programas ou chamar o analista responsável pelosistema.

18.Há um software de segurança, mas à noite os operadores odesativa, pois se houver problemas ele complica os trabalhosnecessários à sua solução.

CASO BADERNA S/A

206

19.Normalmente o LOG está ativado, mas como ocupa muitoespaço em disco, os operadores deletam o arquivo que o LOGproduz. Quando ocorre algum problema mais sério, tenta-sereproduzir o evento para verificar os registros de LOG, deaccounting e do software de segurança.

20.Até o momento, contam as pessoas, poucos casos de acessoindevido às informações ocorreram.

21.As senhas não são alteradas há mais ou menos 3 anos e, nesseperíodo muitos funcionários já foram demitidos a admitidos noBanco.

CASO BADERNA S/A

207

Pede-se:Preparar um quadro relacionando:

Os 21 (vinte e um) Pontos de Controle com os seguintesparâmetros de Controle Interno:

Segurança Lógica,Confidencialidade,Fidelidade de Informação em relação aos dados,Eficiência eEficácia.

Preparar um relatório apontando:Fraquezas (vulnerabilidades) mais significativas.Ameaças a que as informações estão expostas.Riscos mais significativos.Medidas saneadoras para aumentar o nível de segurança e

confiabilidade das informações.Sua opinião final.

CASO BADERNA S/A

208

Fontes para PesquisaARIMA, Carlos Hideo. Metodologia de auditoria de sistemas. São

Paulo : Érica, 1994.

CARUSO, Carlos A.A. & STEFFEN, Flávio Deny. Segurança eminformática e de informações. 2a. ed. São Paulo: EditoraSENAC, 1999.

DIAS, Cláudia. Segurança e auditoria da tecnologia dainformação. Rio de Janeiro: Axcel Books, 2000.

FONTES, Edson Luiz Gonçalves. Vivendo a segurança dainformação: orientações práticas. São Paulo:Sicurezza:Brasiliano & Associados, 2000.

GIL, Antonio de Loureiro. Auditoria de computadores. São Paulo: Atlas 2000.

GIL, Antonio de Loureiro. Segurança em Informática. São Paulo: Atlas 2000.

209

Fontes para PesquisaGIL, Antonio de Loureiro. Fraudes Informatizadas. São Paulo: Atlas

1996.

NAKAMURA, Emilio T., GEUS, Paulo Lício. Segurança de redes em ambientes corporativos São Paulo: Ed. Berkeley, 2002

OLIVEIRA, Wilson José de. Segurança da informação: técnicas esoluções. Florianópolis: Visual Books, 2001.

SAWICKI, Ed. Segurança: seu guia para o uso seguro em redes locais Rio de Janeiro: Editora Campus, 1993

SCHMIDT, Paulo; SANTOS, José Luiz dos; ARIMA, Carlos Hideo.Fundamentos de auditoria de sistemas. São Paulo: Atlas, 2006.

SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre aproteção na vida digital. Rio de Janeiro: Editora Campus, 2001.

210

Fontes para PesquisaThe Computer Security Institute

http://www.gocsi.com

Infosecurity

http://www.infosec.co.uk/page.cfm

The Institute of Internal Auditors (The IIA)

http://www.theiia.org

INTOSAI - International Organization of Supreme Audit Institutions

http://www.intosai.org

ISACA - The Information Systems Audit and Control Association & Foundation

http://www.isaca.org

UK National Audit Office

http://www.nao.gov.uk

36

211

Fontes para PesquisaInstitute of Electrical and Electronics Engineers

http://www.ieee.org

IEEE Computer Society

http://www.computer.org

CERT Coordination Center

http://www.cert.org

The SANS Institute - System Administration, Networking and Security

http://www.sans.org

Instituto dos Auditores Internos do Brasil

http://www.audibra.org

Information Security Policies & Computer Security Policy Directory

http://www.information-security-policies-and-standards.com212

Fontes para PesquisaABNT - Associação Brasileira de Normas Técnicas

http://www.abnt.org.br (NBR-ISO 17799)

ISO 17799 Service & Software Directory

http://www.iso17799software.com

Contingency Planning and Business Continuity World: ContingencyPlanning & Disaster Recovery

http://www.business-continuity-world.com

Portal ISO 17799

http://www.iso17799.hpg.ig.com.br

213

Dados para Contato

Arima e Associados [email protected]

Tel: (11) 5085-5828

Profo. Dr. Carlos Hideo Arima

Documents

Objetivos do Curso Paradigma da Auditoria · 3. Padrões de Segurança e Controle 4. Metodologia de Auditoria de Sistemas 5. Auditoria do Ambiente 6. Auditoria de Sistemas em Produção