Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
A IMPORTÂNCIA DA IMPLANTAÇÃO DA AUDTORIA DE
SISTEMAS NA CONCESSÃO METROVIÁRIA
DO RIO DE JANEIRO
Por: Ricardo Gurgel Mendes Carneiro Junior
Orientador
Prof. Dr. Luciano Gerard
Rio de Janeiro
2010
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
PROJETO A VEZ DO MESTRE
A IMPORTÂNCIA DA IMPLANTAÇÃO DA AUDTORIA DE
SISTEMAS NA CONCESSÃO METROVIÁRIA
DO RIO DE JANEIRO
Apresentação de monografia à Universidade
Candido Mendes como requisito parcial para
obtenção do grau de especialista em Auditoria e
Controladoria.
Por: Ricardo Gurgel Mendes Carneiro Junior
3
AGRADECIMENTOS
Agradeço a Deus por todas as
oportunidades, possibilidades e
realizações que ele sempre me
concedeu.
4
DEDICATÓRIA
A família, especialmente aos meus pais
por todo apoio e educação que
possibilitou minha formação pessoal e
profissional.
A Patrícia que sempre me fez acreditar
que sou capaz, podendo concluir todas
as minhas metas.
Aos amigos que sempre me apoiaram.
5
RESUMO
Este estudo de caso pretende ressaltar a necessidade da implantação
da Auditoria de Sistemas na Concessão Metroviária do Rio de Janeiro,
demonstrando a sua importância na organização e os métodos utilizados para
garantir uma maior segurança no ambiente informatizado lógico e físico,
mitigando os riscos relacionados a disponibilidade, integridade e
confidencialidade dos dados. O presente estudo de caso foi realizado através
de pesquisas aos autores consagrados nas áreas de Auditoria Interna e de
Sistemas, além de pesquisar a história e evolução do Metrô na cidade do Rio
de Janeiro.
6
METODOLOGIA
A metodologia utilizada neste estudo de caso baseia-se em consultas e
pesquisas a livros de consagrados autores, onde se destacam: Attie, William –
Auditoria Interna; Imoniana, Joshua Onome – Auditoria de Sistemas de
Informação; Schmidt, Paulo – Santos, José Luiz dos – Arima, Carlos Hideo –
Fundamentos de Auditoria de Sistemas; entre outros.
Outro processo importante para desenvolvimento deste estudo de caso
foi a vivência cotidiana na empresa como funcionário do departamento de
Auditoria Interna e conhecimento da estrutura organizacional, além de estudos
e pesquisas da história, evolução e investimentos em Infraestrutura e
tecnologia no Metrô-Rio.
7
SUMÁRIO
INTRODUÇÃO 8
CAPÍTULO I - Uma Breve História do Metrô-Rio 10
CAPÍTULO II - Implantação dos Principais Sistemas de Informações
Gerenciais 14
CAPÍTULO III – Auditoria Interna 16
CAPÍTULO IV – Auditoria Interna no Metrô-Rio 24
CAPÍTULO V – Segurança da Informação e Auditoria de Sistemas 27
CONCLUSÃO 42
BIBLIOGRAFIA 43
WEBGRAFIA 45
ÍNDICE 46
FOLHA DE AVALIAÇÃO 48
8
INTRODUÇÃO
No primeiro contrato de concessão, firmado em abril de 1998, os
serviços de administração, operação e manutenção da rede metroviária do Rio
de Janeiro foram concedidos, por um período de 20 anos a uma instituição
privada, porém os projetos e as obras de expansão permaneceram sob a
responsabilidade do Estado. Nesse período os sistemas informatizados eram
simples e precários.
Devido ao constante crescimento da companhia, em março de 2006, a
alta administração com o objetivo de aprimorar os controles internos e
identificar riscos, implantou o departamento de Auditoria Interna. As principais
atividades são: auditoria Gestacional focada em processos e auditoria
operacional nas estações metroviárias.
Ao renovar o contrato de concessão em dezembro de 2007 por mais
30 anos, a concessionária assumiu um pacote de metas cujo investimento foi
de R$ 1,5 bilhão. Para implantar esse projeto foi necessário realizar
investimentos em infraestrutura e na modernização dos sistemas
informatizados.
Em 2008, para aprimorar os processos de negócios, foi implantando o
novo sistema de bilhetagem eletrônica e em 2009 o Oracle E-Business Suíte,
um sistema gerenciador de banco de dados, além de outros sistemas paralelos
e integrados aos dois principais sistemas da empresa.
Neste estudo de caso são apresentados os conceitos, efeitos e a
importância da implantação da Auditoria de Sistemas para complementar o
trabalho da Auditoria Interna no Metrô-Rio.
9
No capítulo I são a apresentados um resumo da história e evolução do
Metrô do Rio de Janeiro.
Na capítulo II apresenta os principais aspectos dos dois sistemas de
gerenciamento de dados implantados em 2008 na companhia.
No capítulo III o foco é a apresentação dos conceitos, objetivos e as
modalidades de trabalho da Auditoria Interna, de acordo com os autores mais
consagrados do assunto.
No capítulo IV apresenta um resumo da implantação, objetivos e
principais atividades da Auditoria Interna no Metrô-Rio.
No capítulo V apresenta o conceito e abrangência da ISO 17799 e do
COBIT, além do processo de segurança da Informação, o conceito de Auditoria
de Sistemas, os métodos de trabalho e os principais softwares utilizados.
A conclusão ressalta a importância da implantação da Auditoria de
Sistemas aliada a aquisição dos softwares de extração e análise de dados.
10
CAPÍTULO I
UMA BREVE HISTÓRIA DO METRÔ-RIO
1.1 – O início
O intenso e acelerado crescimento com que a cidade do Rio de Janeiro
vinha experimentando desde o final do século XIX, fez com que o século XX
começasse com a cogitação de um sistema de transporte rápido, eficiente e de
grande capacidade. Em 1913, Buenos Aires inaugurava a sua primeira linha,
demonstrando a viabilidade do sistema inclusive para as cidades da América
Latina. Contudo, os altíssimos recursos necessários para a implantação do
metrô sempre foram um grande empecilho.
Atento aos problemas que ameaçavam surgir, o governo do então
Estado da Guanabara, na gestão do governador Negrão de Lima determinou,
em 1966, a constituição de um grupo de trabalho para estudar a implantação
de um sistema metroviário. Através de concorrência pública, foi formado um
consórcio composto pela Companhia Construtora Nacional S.A., Hocthief
Aktiengesellschaft für Hoch – und Tiefbauten vorm. Gergr. Helfmann e Deutche
Elsenbahn Consulting GmbH, para o qual foi encomendado um estudo mais
detalhado. Completo e pormenorizado, o estudo estabeleceu a prioridade da
construção inicial de 37,4 km de linhas.
Visando construir, implantar e operar o sistema metroviário no Rio de
Janeiro, foi criada em 14 de novembro de 1968 pela Lei Estadual 1736, a
Companhia do Metropolitano do Rio de Janeiro – METRÔ / RJ. Através do
Decreto Lei 35 de março de 1975, a Companhia passou efetivamente a existir.
Estatal vinculada à SECTRAN – Secretaria de Estado de Transportes, o Metrô
foi constituído como sociedade de economia mista, sendo regulada pela Lei
Federal 6404/76. Numa cerimônia no dia 23 de junho de 1970, foi cravada a
11
primeira estaca na Praça Paris, no bairro da Glória, marcando o início das
obras. As obras prosseguiram até 1971, quando foram paralisadas por falta de
recursos. Somente em 1975 as obras foram retomadas definitivamente,
começando novamente na Glória.
Com a presença das autoridades federais e estaduais na Estação
Central, o Metrô do Rio de Janeiro foi inaugurado em uma grande cerimônia no
dia 05 de março de 1979. A bordo de um trem, os governadores Chagas
Freitas e o presidente João Figueiredo, inauguraram na seqüência as Estações
Praça Onze (onde havia um trem em exposição para conhecimento da
população), Presidente Vargas, Cinelândia e Glória. Era o começo da Linha 1.
Muitas inaugurações ocorreram em 1981. No mês de junho (dia 14), a
Carioca, a principal estação do metrô do Rio foi inaugurada. Em setembro (dia
18), o trecho sul foi inaugurado com as Estações Catete, Flamengo e,
enquanto a Estação Largo do Machado vinha a funcionar somente em 23 de
dezembro daquele ano.
A Linha 2 veio a ser inaugurada apenas com 3 estações em 19 de
novembro de 1981. Partindo da estação Estácio, de onde vinham os
passageiros da linha 1, a nova linha contava com as Estações São Cristóvão e
Maracanã, permitindo acesso privilegiado aos dias de jogos no estádio do
Maracanã, bem como ao Campus Universitário da UERJ.
A bilhetagem automática passou a funcionar em janeiro de 1981,
permitindo controle do acesso dos passageiros, além das estatísticas de
tráfego. A integração com as linhas de ônibus, veio em dezembro, ligando a
Estação Estácio à Zona Norte.
Maio de 1982 trouxe mais novidades para o metrô carioca. Além da
inauguração do trecho norte (dia 27), com as estações Afonso Pena, São
Francisco Xavier e Saens Peña, a Linha 1 passou a contar com sistema de
12
Piloto Automático, que controla a aceleração e frenagem do trem, cabendo
apenas ao operador do trem a abertura e fechamento das portas e anúncio
das estações.
A partir de 1996, o governo Marcelo Alencar deu atenção especial para
o Metrô, retomando obras que permitiram a expansão da Linha 1 para
Copacabana e da Linha 2 para a Pavuna. Em setembro daquele ano, as
estações Tomás Coelho e Vicente de Carvalho foram inauguradas na Linha 2.
1.2 – Concessão
O governo de Marcelo Alencar iniciou em 1995 um processo de
transferência dos serviços públicos do Estado para a iniciativa privada. Em
1997 foi a vez do metrô. Em de Dezembro de 1997, os serviços de operação e
manutenção do sistema metroviário foram leiloados na Bolsa de Valores do
Rio de Janeiro. Num leilão muito disputado, venceu o consórcio Opportrans,
que ofereceu o segundo maior ágio na história do país (921%), no valor de R$
291 milhões, para operar o metrô carioca até 2018.
A Opportrans Concessão Metroviária S/A é um consórcio composto
pelas empresas Cometrans, Banco Opportunity e Valia.
A Opportrans adotou o nome fantasia de Metrô Rio, e assumiu o
controle operacional e de manutenção do sistema no dia 05 de Abril de 1998.
A propriedade sobre o patrimônio físico (túneis, estações, trens, etc.), contudo,
permanece sob responsabilidade do Estado.
Ainda à Companhia do Metropolitano do Rio de Janeiro coube
inicialmente a função de elaborar projetos e construção de futuras linhas e
estações e a fiscalização da nova concessionária Metrô Rio, bem como era a
proprietária direta dos bens do sistema.
13
Após o controle da Metrô Rio, ainda em 1998, foram inauguradas as
estações (na linha 1) Cardeal Arcoverde (dia 02 de julho), (e na linha 2)
Pavuna (dia 31 de agosto), Irajá (31 de agosto), Acari-Fazenda Botafogo e
Engenheiro Rubens Paiva (24 de setembro), Coelho Neto e Colégio (dia 29 de
setembro).
No dia 1º de Março de 2003 foi inaugurada a Estação Siqueira
Campos. Exatos 4 anos depois foi inaugurada a Estação Cantagalo (novo
terminal no extremo sul da linha 1).
1.3 – Renovação do contrato de concessão
Inicialmente, a concessionária tinha sob seu controle a administração e
a operação do Metrô Rio, ficando as expansões da rede metroviária e
aquisição de novos trens a cargo da Rio Trilhos (Governo do Estado). No final
de dezembro de 2007, a concessão foi renovada até 2038. O investimento de
1,15 bilhão contempla a construção da Linha 1A, que ligará a linha 2 à Linha 1,
acabando com a necessidade de transferência em Estácio, a compra de 114
carros e construção das Estações Uruguai e Cidade Nova.
Os sistemas de controle, sinalização, ventilação e energia também
serão ampliados e modernizados. O fornecimento de energia para a operação
do metrô será reforçado com duas novas subestações próprias, nas estações
Uruguaiana e Largo do Machado, e com a reforma das subestações de São
Cristóvão e Central. Já a sinalização será automatizada nas duas linhas. O
Metrô Rio vai aprimorar a ventilação nas estações e vai modernizar todo o
equipamento do Centro de Controle de Operações, de onde é monitorada toda
a operação diária. Juntas, essas medidas, a expansão das Linhas 1 e 2 e a
compra dos novos trens vão permitir mais que dobrar a capacidade do metrô
carioca, que poderá transportar mais de 1,1 milhão de passageiros/dia.
14
CAPÍTULO II
IMPLANTAÇÃO DOS PRINCIPAIS SISTEMAS DE
INFORMAÇÕES GERENCIAIS
Ao renovar o contrato de concessão em dezembro de 2007 por mais 30
anos, a concessionária assumiu um pacote de metas cujo investimento foi de
R$ 1,5 bilhão. Para aprimorar os controles internos foi necessário realizar
investimentos na modernização dos sistemas de informações gerenciais (SIG).
Em 2008 foi implantando o novo sistema de bilhetagem eletrônica e em
2009 um sistema gerenciador de banco de dados (Oracle E-Business Suite),
além de outros sistemas paralelos.
2.1 – Sistema de bilhetagem eletrônica
O sistema de bilhetagem eletrônica foi implantado para proporcionar
maior eficiência no planejamento operacional do sistema de transporte
metroviário, através da automatização de coleta de informações.
Este sistema integra e consolida os dados operacionais e financeiros
com outros sistemas paralelos, alimentando o processo de tomada de
decisões com informações gerenciais e estratégicas.
O sistema substituiu os bilhetes magnéticos de papel por cartões
inteligentes dotados de chips eletrônicos, chamados de "smart cards", os quais
já são utilizados em sistemas metroviários de Hong Kong e Cingapura, por
exemplo.
.
15
2.2 – Oracle E-Business Suite
O sistema Oracle E-Business Suíte foi implantado para permitir ao
Metrô-Rio aprimorar os processos de negócios, tomar decisões mais bem-
informadas e reduzir despesas.
Com esta implantação, a companhia metroviária é capaz de obter
acesso a informações de forma mais rápida e econômica em uma única
instância global, automatizar os processos de negócios em toda a empresa e
realizar o gerenciamento com base em fatos, através do uso de um sistema
integrado de Business Intelligence. Os seguintes módulos foram implantados
no Metrô-Rio em julho de 2009:
� Compras;
� Contratos;
� Estoque;
� Manutenção;
� Financeiro; e
� Contabilidade.
Os acessos às informações são realizados através de menus
parametrizados com utilização de senhas individuais, permitindo que se
controle quais os utilizadores que têm acesso a que tipo de informações. Além
disso, os menus são customizados de forma que cada utilizador visualize e
tenha acesso somente às operações que atendam aos objetivos específicos de
seu interesse.
16
CAPÍTULO III
AUDITORIA INTERNA
3.1 – Finalidade
A Auditoria Interna tem por finalidade desenvolver um plano de ação
que auxilie a organização a alcançar seus objetivos adotando uma abordagem
sistêmica e disciplinada para a avaliação e melhora da eficácia dos processos
de gerenciamento de riscos com o objetivo de adicionar valor e melhorar as
operações e resultados de uma organização. Conforme Attie:
“A auditoria interna é uma atividade em franco
desenvolvimento e de grande importância para a
administração de uma companhia. Tanto isto é verdade
que a existência de uma auditoria interna eficiente e
atuante é considerada como um ponto forte para efeito de
controle interno ” (ATTIE, 1985, p.52).
3.2 – Objetivo e Alcance
De acordo com Lisboa (2007), o objetivo geral da Auditoria Interna é
avaliar e prestar ajuda a alta Administração e desenvolver adequadamente
suas atribuições, proporcionando-lhes análises, recomendações e comentários
objetivos, acerca das atividades examinadas.
O auditor interno deve, portanto, preocupar-se com qualquer fase das
atividades da empresa na qual possa ser de utilidade à Administração. Para
conseguir o cumprimento deste objetivo geral de serviços à administração, há
necessidades de desempenhar atividades tais como:
17
� Revisar e avaliar a eficácia, suficiência e aplicação dos controles contábeis,
financeiros e operacionais.
� Determinar a extensão do cumprimento das normas, dos planos e
procedimentos vigentes.
� Determinar a extensão dos controles sobre a existência dos ativos da
empresa e da sua proteção contra todo tipo de perda.
� Determinar o grau de confiança, das informações e dados contábeis e de
outra natureza, preparados dentro da empresa.
� Avaliar a qualidade alcançada na execução de tarefas determinadas para o
cumprimento das respectivas responsabilidades.
� Avaliar os riscos estratégicos e de negócio da organização.
3.3 – Padrões de conduta
De acordo com Crepaldi (2004), é imprescindível que o auditor interno
adote padrões de conduta próprios de sua função. Tais padrões constituem a
ética do exercício profissional. Como padrões éticos do auditor interno cumpre
destacar:
� Bom senso no procedimento de revisão e sugestão;
� Autoconfiança
� Sigilo profissional
� Discrição profissional;
� Capacidade prática;
� Sentido objetivo;
� Liberdade de pensamento e ação;
� Meticulosidade e correção
� Perspicácia nos exames;
� Pertinácia nas ações;
� Pesquisa permanente;
� Finura de trato e humanidade.
18
3.4 – Autoridade e responsabilidade
A Auditoria Interna é mais uma função assessorial que de linha. Por
isso, o Auditor Interno não exerce autoridade direta sobre os outros membros
da organização, cujo trabalho revisa.
O Auditor Interno deve ter liberdade para revisar e avaliar as normas, os
planos, procedimentos e registros; mas seu trabalho de modo algum isenta os
demais membros da Organização das responsabilidades que lhes foram
designadas.
3.5 – Independência
Independência é condição essencial para se obter resultados positivos
nos trabalhos desenvolvidos pela Auditoria Interna. Segundo Attie:
“A independência em auditoria interna é problemática,
uma vez que ela estará subjugada à administração da
empresa. Entretanto, se houver uma segregação entre o
departamento de auditoria interna e os demais
departamentos da empresa, reportando-se diretamente à
administração e com total liberdade de investigação, de
seleção de suas atividades e de execução propriamente
dita, ocorrerá, inevitavelmente, o mais alto grau de
independência em auditoria interna. ” (ATTIE, 1985,
p.55).
A categoria de Auditor Interno dentro da Organização e o apoio que lhe
delega a administração são fatores determinantes do valor e da amplitude dos
serviços que a mesma obterá da função de Auditoria Interna.
19
Por conseguinte, o Gerente da área de Auditoria Interna deverá atuar
sob as ordens de um administrador de grau suficiente dentro da empresa que
lhe assegure um amplo campo de ação e atenção adequada aos resultados de
suas investigações e recomendações, e a efetivação das medidas sugeridas
pelo Auditor.
Já que a mais completa objetividade é essencial à função de Auditoria,
os Auditores Internos não devem planejar nem implantar procedimentos,
escriturar registros, ou ter participação em atividades que, normalmente,
devem revisar e avaliar.
3.6 – Planejamento do trabalho
De acordo com Attie (1985), O planejamento do trabalho pode ser
determinado através de um plano de auditoria que cobre um espaço de tempo,
que tal sorte que sejam cobertos pela auditoria interna todas as possíveis
áreas de trabalho ou então voltado unicamente para as áreas de maior risco.
De qualquer forma o planejamento do trabalho envolve:
� Definição do trabalho: é a parte inicial do planejamento que identifica o
trabalho a ser realizado.
� Período de execução: indica quando o trabalho será realizado.
� Pessoal envolvido: determinação de qual é o pessoal envolvido na
execução do trabalho a ser realizado.
� Conhecimento das operações: estabelece o conhecimento prévio das
operações a serem auditadas, para dar o embasamento total dos reflexos
operacionais e contábeis destas operações.
� Avaliação do controle interno: Determinação da efetividade do controle
interno existente e análise de suas possíveis deficiências quanto aos
riscos envolvidos e sugestões propostas.
20
� Escopo do trabalho: indicação dos objetivos de auditoria a serem
digeridos, os procedimentos de auditoria detalhados a serem seguidos e
o tempo estimado de execução destes.
� Execução do trabalho: Consecução do trabalho baseado nos
procedimentos de auditoria definidos no programa de trabalho, e
supervisão adequada ao pessoal de campo.
� Controle da realização: Manutenção do sistema permanente de registro
do trabalho já realizado e o a realizar em conjunto com o tempo estimado
e execução dos trabalhos.
� Finalização do trabalho: Análise adequada de que os objetivos e
procedimentos de auditoria previamente traçados foram cumpridos e de
revisão de todos os papéis de trabalho elaborados quanto a sua
adequação e evidências necessárias de suporte ao relatório final.
� Relatório final: memorando conciso do trabalho realizado, descrevendo as
observações encontradas no transcorrer do trabalho, suas implicações,
as recomendações e melhorias ou das conclusões obtidas.
3.7 – Papeis de trabalho
Conforme Sá diz:
“Os papéis utilizados para transcrever dados, fazer
anotações, analisar contas, demonstrar cálculos, relatar
situações, espelhar levantamentos, em suma, executar a
tarefa de auditoria são denominados papéis de trabalho
ou rascunhos de serviços.” (Sá, 1993, p.165).
Os Papéis de Trabalho de auditoria constituem um registro permanente
do trabalho efetuado pelo auditor, dos fatos e informações obtidos, bem como
das suas conclusões sobre os exames. É com base nos Papéis de Trabalho
que o auditor irá relatar suas opiniões, criticas e sugestões.
Os Objetivos dos papéis de trabalho são:
21
� Auxiliar na execução de exames;
� Evidenciar o trabalho feito e as conclusões emitidas;
� Servir de suporte aos relatórios;
� Constituir um registro que possibilite consultas posteriores, a fim de se
obter detalhes relacionados com a auditoria;
� Fornecer um meio de revisão por Supervisores;
� Determinar se o serviço foi feito de forma adequada e eficaz, bem como
julgar sobre a solidez das conclusões emitidas;
� Considerar possíveis modificações nos procedimentos de auditoria
adotados, bem como no programa de trabalho para o exame subseqüente.
Os Papéis de Trabalho devem ser preparados tendo-se em mente seu
completo entendimento por outro auditor que não teve ligação direta com o
trabalho. É comum a consulta aos Papéis de Trabalho em anos posteriores
para se prestar esclarecimentos ou informações sobre algum aspecto a área
auditada. De acordo com a conclusão de Sá:
“O conjunto dos papéis de trabalho, portanto, é que
determina a conclusão do auditor e descreve o processo
da auditoria, exigindo cuidado durante todo o período de
execução porque qualquer descuido originaria uma
conclusão falsa.” (Sá, 1993, p.168).
3.8 – Modalidades de Auditoria Interna
A Auditoria Interna, visando adequar a essas novas necessidades
desenvolveu Modalidades de Auditorias, que sucintamente podemos assim
catalogar:
� Auditoria Contábil e Financeira:
22
Visa assegurar a autenticidade das demonstrações financeiras da
empresa, através da avaliação dos procedimentos e controles contábeis e
respectiva aderência aos princípios contábeis geralmente aceitos.
� Auditoria Operacional:
Visa melhorar a eficiência dos sistemas operacionais, bem como minimizar
custos, através da avaliação quanto aderência aos objetivos traçados pela
Direção da empresa e verificação dos controles e procedimentos
aplicados.
� Auditoria Fiscal:
Visa assegurar se os controles internos são eficientes para assegurar um
bom relacionamento entre fisco e o contribuinte, buscando a maior
otimização na aplicação da legislação fiscal, evitando-se possíveis
contingências com passivos tributários, trabalhistas e previdenciários.
� Auditoria de Gestão:
Trata-se da aplicação de procedimentos de auditoria onde o fator sistêmico
assume uma importância secundária, ficando concentrada nos resultados
obtidos em cada sistema. Nesta linha de atuação, a ação da auditoria de
gestão tem como enfoque preponderante as análises sobre fatores como
custo/ benefício, riscos e processo decisório dos administradores.
� Auditoria Trabalhista:
Tem por objetivo prevenir irregularidades e possibilidades de desvios,
erros e fraudes na área trabalhista, evitando punições do fisco e os
problemas gerados por ações propostas tanto na Justiça do Trabalho
quanto na Cível.
� Compliance Audit ou Auditoria de Cumprimento Normativo:
23
O Compliance faz a verificação do cumprimento de normas e
procedimentos implantados pela organização e também observa as leis
regulamentadas pelos órgãos reguladores das atividades.
� Auditoria em Sistemas e Processamento Eletrônico de Dados:
Convencionada como auditoria “através de computador”, sua sistemática
vem sendo orientada para avaliar a amplitude do controle interno contido
no Sistema de PED, aquilatar o grau de segurança quanto à
completabilidade confidencialidade, qualidade e eficiência dos dados
processados e, ainda, a avaliação prévia de sistemas em fase de
implantação ou implantados.
� Outras Auditorias:
São todos os outros tipos de auditorias, que atendem particularidades das
empresas, como por exemplo, Auditoria Técnica, onde existem grandes
obras; Auditoria de Qualidade Industrial, onde haja necessidade de avaliar
o conjunto geral das atividades da qualidade a fim de preservar o Sistema
de Qualidade, impedindo a sua degradação.
24
CAPÍTULO IV
AUDITORIA INTERNA NO METRÔ-RIO
4.1 – A Implantação
Devido ao constante crescimento da companhia, em março de 2006, a
alta administração com o objetivo de aprimorar os controles internos e
identificar riscos, implantou o departamento de Auditoria Interna.
4.2 – Objetivos
A função da Auditoria Interna do Metrô-Rio consiste em apoiar aos
membros da empresa no desempenho de suas atividades, proporcionando
análises, avaliações, recomendações, assessoria e informação concernente às
atividades revisadas. Os membros da organização a quem a Auditoria Interna
apoia, inclui as Diretorias e as Gerências.
A Auditoria Interna do Metrô oferece um serviço de apoio que consiste
em avaliar o cumprimento dos objetivos, políticas e normas estabelecidas pela
Alta Direção da empresa na formulação e execução dos planos e programas
da Gerência Geral e suas Divisões de coordenação. Também é responsável
pela avaliação do funcionamento de todos os controles normais de operação e
pela adequação da informação que se oferece à Alta Direção e Gerência
Geral, acerca das deficiências detectadas em suas observações, a efeitos de
assegurar que se possam atingir os objetivos da Organização.
Portanto a Auditoria Interna do Metrô é responsável frente à Alta
Direção de proporcionar juízos, opiniões e informação acerca da adequação,
idôneidade e efetividade do sistema de controle interno da empresa, assim
como sobre a qualidade da gestão.
25
O processo de implementação das melhorias apontadas pela Auditoria
Interna poderá depender da designação de recursos de pessoal, tecnologia de
informações e financeiros, os quais deverão ser avaliados, visando a sua
adequada aplicação.
Além disso, é imprescindível o comprometimento e patrocínio da Alta
Administração, no sentido de viabilizar a concretização das ações de forma
objetiva e com a devida coordenação dos esforços, que se constituem nos
fatores-chaves de sucesso de um processo de implantação.
4.3 – Posicionamento Hierárquico
Com objetivo de obter maior autonomia e independência, o
departamento de Auditoria Interna se reporta ao Diretor Presidente da
Concessão Metroviária do Rio de Janeiro.
4.4 – Principais atividades
As principais atividades realizadas pela Auditoria Interna do Metrô-Rio
são:
� Auditoria de Gestão focada em processos: Trabalhos realizados nos
departamentos da empresa, com exceção da área de TI, com objetivo de
avaliar a eficácia dos controles internos quanto à prevenção e detecção de
erros e recomendação de melhorias. Algumas das áreas que tiveram seus
processos revisados foram: Suprimentos, Financeiro, Recursos Humanos,
Manutenção, Prestação de Serviços, Material em Poder de Terceiros, entre
outras.
26
� Auditoria Operacional: Execução de revisões de auditoria interna
relacionadas com os procedimentos e controles internos nas estações do
Metrô-Rio. Esta revisão abrange a aplicação de uma lista de verificações
(check list ) para verificar se as atividades praticados estão em
conformidade com os regulamentos e políticas da companhia.
27
CAPÍTULO V
SEGURANÇA DA INFORMAÇÃO E
AUDITORIA DE SISTEMAS
5.1 – ISO (International Stardardization Organization)
Com o avanço da rede mundial de informações, as empresas estão
mais do que nunca preocupadas em como protegê-las, guardá-las e utilizá-las
de forma segura. Enquanto muitos preocupam-se em proteger as
informações, outros empenham-se em como acessar, como burlar os
sistemas de proteção existentes e utilizar as informações conseguidas
em benefício próprio ou de outros.
Com esforços relacionados com a busca de mecanismos mais eficazes
de salvaguardar as informações, em 2000 tivemos a homologação da
Norma Internacional de Segurança da Informação (ISO/IEC 17799). Esta
norma preocupa-se com a segurança das informações e não somente
com os dados que trafegam pela grande rede ou que estejam dentro de um
sistema computacional.
A norma permitiu a criação de mecanismos de certificação das
organizações semelhantes as já existentes na I.S.O., essa nova
certificação afirma que a organização manipula os seus dados e o dos
seus clientes de forma segura, independente da forma como eles estão
armazenados. Possuir este certificado I.S.O/I.E.C. 17799 é um diferencial
que está sendo almejado por várias organizações, pois ao ser certificada, a
organização, atesta estar apta a tratar dados de forma sigilosa e segura. O
sigilo e a integridade das informações é o objeto de desejo de todo o
mercado consumidor, que está cada vez mais preocupado com a
segurança das suas informações.
28
5.2 – Cobit (Control Objectives for Information and Related
Technology)
Com a repercussão negativa em 2002 dos escândalos financeiros
envolvendo as gigantes norte-americanas WorldCom e Enron o governo
americano promulgou a Sarbanes-Oxley, com a finalidade de trazer a de volta
a confiança dos investidores e adequar as empresas para que fraudes
como as ocorridas, não sejam tão fáceis de serem executadas.
O Cobit provê boas práticas para o gerenciamento dos processos de TI
em uma estrutura lógica e gerenciável. O Cobit habilita o
desenvolvimento de uma política clara e de boas práticas para o controle
de TI da organização, onde amplas recomendações de segurança da
informação são previstas.
Sua missão é pesquisar, desenvolver, publicar e promover um conjunto de
normas atualizado. Seu principal foco é o controle, assim nos afirma a
ISACA.
Administradores de TI tem nesta ferramenta um auxílio na ponderação
de riscos e investimento em controles na gestão do ambiente de TI, já
os administradores de Segurança, terão a certificação da segurança e
dos controles dos serviços de TI fornecidos internamente ou por
terceiros. Os auditores de sistemas, tem subsídios às opiniões e
aconselhamentos aos administradores de TI sobre controles internos.
5.3 – A segurança da informação
Segundo o conceito para Fontes:
“A informação é um bem da organização e como tal deve
ser gerenciado, protegido, possuir regras e políticas de
utilização. Na medida em que a informação está
29
armazenada no ambiente computacional, ela é cada vez
mais necessária para a realização e lucro dos negócios. ”
(Fontes, 2000, p.21).
Um processo de segurança da informação na organização deve ter
como objetivos:
� Disponibilidade da informação:
A informação deve estar acessível para o funcionamento da empresa e a
realização do negócio.
� Integridade da informação:
A informação deve estar correta, ser verdadeira e nã oestar corrompida.
� Confidencialidade da informação:
A informação deve ser acessada e utlizada exclusivamente pelos usuários
autorizados.
� Legalidade do uso da informação.
O acesso à informação deve estar de acordo com as leis aplicáveis,
regulamentos, licenças e contratos para o negócio, bem como os princípios
éticos que devem ser seguidos pela organização.
� Auditabilidade dos acessos e uso da informação:
O acesso e o uso da informação devem ser registrados, possibilitando
assim, o uso posterior desses registros em procedimentos de auditorias.
� Não repúdio de uso da informação:
Quando um usuário utiliza ou envia uma informação, deve-se garantir que
ele não possa negar sua responsabilidade pelo uso ou envio da mesma.
30
� Continuidade:
O processo de segurança deve ser permanente e fazer parte da vida da
organização.
� Apoio da direção:
O processo de segurança deve ter apoio formal e real da diereção da
organização. Este apoio deve representar a vontade dos acionistas de
terem seu investimento preservado.
� Conscientização:
Os usuários devem ser conscientizados e esclarecidos das suas
responsabilidades e dos seus direitos.
� Disponibildiade de Recursos:
O processo de segurança exige recursos: dinheiro, tempo, pessoas,
procedimentos entre outros.
Conforme Fontes, conclui que:
“A segurança da informação é semelhante a uma
corrente, cujo nível de qualidade vai ser expresso pela
robustez do seu elo mais frágil. Por isso é fundamental
que a segurança seja implementada na organização
como um processo. Esse processo deve proteger o
negócio da organização. Não deve ser apenas um
processo de segurança do ambiente computacional da
organização. ” (Fontes, 2000, p.21).
31
5.4 – Auditoria de Sistemas
De acordo com Brasil (2000) a Auditoria de sistemas é um tipo de
auditoria através da qual os auditores recorrem ao estudo dos sistemas
e em especial ao estudo do controle interno da entidade fiscalizada e à
identificação dos eventuais pontos fortes e/ou deficiências desse controle
interno, com o fim de definir o local, a natureza e o âmbito dos trabalhos de
auditoria que julguem necessários para formularem o seu parecer.
Segundo Dias (2000) na auditoria da tecnologia da informação são
analisados um conjunto de controles gerenciais e procedimentos que afetam
todo o ambiente de tecnologia da informação. Neste tipo de auditoria são
verificados os padrões e políticas adotadas pela organização, a operação
sobre sistemas e dados, o controle interno da entidade auditada e todos os
aspectos relacionados à segurança de informações.
5.4.1 – Função do auditor de sistemas
De acordo com Lyra (2009), O auditor de sistemas verifica a eficácia dos
controles e procedimentos de segurança existentes, a eficiência dos processos
em uso, a correta utilização dos recursos disponíveis, assessorando a
administração na elaboração de planos e definição de metas, colaborando no
aperfeiçoamento dos controles internos, apontando deficiências e
irregularidades que possam comprometer a segurança e o desempenho
organizacional.
Conforme entendimento de Attie:
“O cargo de auditor de sistemas consiste no
desenvolvimento de amplo plano de trabalho de
verificação dos sistemas computadorizados,
32
desenvolvidos e em desenvolvimento, e em conduzir os
trabalhos para avaliar a adequação e a efetividade dos
controles mantidos, de acordo com os padrões de
auditoria. O cargo visa, de forma ampla, ao estudo e à
avaliação do controle interno no ambiente de
processamento de dados; tem como objetivo ainda ser
suporte para a auditoria convencional, procurando, além
de subsidiar, desenvolver atividades que permitam uma
auditoria indireta sobre as operações e negócios
praticados. ” (Attie, 1992, p.53).
5.4.2 – Controle interno e sistemas de procedimento eletrônico de
dados (PED)
Neste sentido, Attie (1998) declara que a crescente aplicação de
meios eletrônicos de processamento de dados nos sistemas de informação
das empresas surgem como conseqüência de novos aspectos de controle
interno nesses sistemas.
Controle interno pode ser entendido como a parte integrante de
cada segmento da organização e cada procedimento corresponde a uma
parte do conjunto do controle interno. Para cumprir os seus objetivos, o
controle interno deve compreender todos os meios planejados numa
empresa para dirigir, restringir, governar e conferir suas várias atividades.
A importância do controle interno fica notória a partir do momento em
que se torna impossível conceber uma empresa que não disponha de
controles que possam garantir a continuidade do fluxo de operações e
informações propostas.
Segundo Boytnon, Johnson e Kell (2001) as técnicas de auditoria
computadorizada testam controles e aplicativos, o auditor pode considerar
33
vantajoso utilizar o computador em testes de controle quando uma parte
significativa dos controles internos está embutida em um programa de
computador; existem vazios significativos na parte visível da trilha de
auditoria; e quando existem volumes de registros a serem testados.
Com as informações armazenadas de maneira correta, o teste de
controle utilizando o computador é considerado viável e útil, caso este
armazenamento de dados seja efetuado de maneira incorreta pode criar
um risco que futuramente comprometerá o controle da empresa. A
utilização de computador para testes de controle se torna proveitosa
quando os dados utilizados estão disponíveis e confiáveis no sistema.
O Conselho Federal de Contabilidade – CFC emitiu em 24 de julho de
2005 a NBCT 11.12 que se refere ao processamento eletrônico de dados –
PED. A referida norma contempla temas relacionados à capacidade e
competência, planejamento dos trabalhos, avaliações de risco e
procedimentos de auditoria.
No que diz respeito à capacidade e competência, auditor deve ter
conhecimento suficiente do ambiente de PED para planejar, executar,
supervisionar e revisar o trabalho realizado pela equipe de auditoria.
O planejamento dos trabalhos deverá contemplar a relevância e a
complexidade do processamento informatizado em cada aplicativo
significativo. Um sistema informatizado pode ser considerado complexo
quando, por exemplo: o volume de transações é tão grande, que os usuários
considerariam difícil identificar e corrigir erros no processamento ou o
programa aplicativo gera, ou a disponibilidade de dados, tais como
documentos-fonte, certos arquivos informatizados e outras documentações
comprobatórias, necessários ao trabalho do auditor, ou também o potencial de
utilização de técnicas de auditoria com o auxílio do computador, as quais
34
propiciam maior eficiência na aplicação dos procedimentos de auditoria aos
saldos de contas ou transações.
Outro fator a ser levado em consideração é a avaliação do risco, que
deverá compreeder a natureza dos riscos e as características do controle
interno nos ambientes de PED, dentre os quais podemos destacar:
� Falta de trilhas de transação, pode não existir uma trilha completa, na
qual um programa aplicativo complexo desempenhe muitas etapas
de processamento;
� Processamento uniforme das transações, o sistema informatizado
processa, uniformemente, todas as transações com as mesmas
instruções de processamento;
� Falta de segregação de funções, muitos procedimentos de controle
que seriam exercidos por vários indivíduos, podem estar
concentrados no PED;
� Possibilidade de erros e irregularidades, a existência de erros
humanos no desenvolvimento, manutenção e execução de PED pode ser
maior do que em sistemas manuais; e
� Reduzido envolvimento humano, o manuseio das transações
processadas pelo PED pode reduzir a capacidade de detecção de
erros e irregularidades.
Os procedimentos de auditoria devem considerar também: o início
ou execução das transações, onde o PED pode incluir a capacidade de
iniciar e executar certos tipos de transações, automaticamente;
dependência de outros controles sobre o processamento informatizado, o
35
processamento informatizado pode produzir relatórios e outras informações
que são utilizados na execução de procedimentos de controle manual.
Na capacidade crescente para supervisão gerencial, o ambiente de
PED pode oferecer à administração uma variedade de ferramentas
analíticas úteis à revisão e à supervisão das operações da entidade. A
capacidade para utilizar as técnicas de auditoria com o auxílio do
computador, também deve ser considerada, nela o processamento e a
análise de grandes quantidades de dados com a utilização de recursos
informatizados oferece ao auditor oportunidades para aplicar técnicas de
auditoria ou utilizar ferramentas informatizadas, gerais ou especializadas
para a execução de testes de auditoria.
5.4.3 – Métodos de Auditorias de Sistemas
De acordo com Schmidt, Arima e Santos (2006), o controle e a
segurança ambiental envolvem tanto a segurança física quanto a lógica e
abrangem uma grande gama de recursos a serem protegidos perante uma
grande diversidade de ameaças existentes no ambiente de tecnologia da
informação.
Segundo Schmidt, Arima e Santos (2006), existem medidas e
contramedidas de proteção por área de controle que poderão servir de
referência à avaliação de controle interno por parte da auditoria de sistemas.
Os principais itens para análise e avaliação de controle interno são:
� infra-estrutura física;
� organização funcional e tecnológica do ambiente;
� segurança ambiental e fatores humanos;
� planos de segurança e de contingência;
� segurança física e lógica de mídias magnéticas;
36
� redes, teleprocessamento e microinformática;
� ambiente Web;
� controle de operação e de uso de recursos tecnológicos;
� controle de acesso físico e lógico; e
� banco de dados e sistemas de informação.
No item infra-estrutura física a auditoria deverá examinar os
detectores, sistemas de alarme, extintores, localização física, instalação
elétrica, sala de computador principal ou servidor como aspectos de
segurança.
A organização funcional e tecnológica do ambiente envolve os
subitens de organização da segurança, política da segurança e
planejamento estratégico em informática.
A segurança ambiental e fatores humanos contemplam os subitens
correspondentes à segurança física e lógica do ambiente de tecnologia
da informação, contingência e fatores humanos de segurança em informática.
A segurança de tecnologia da informação contempla duas medidas
que permitem manter a proteção dos bens. Essa proteção é formalizada
através do plano de segurança, constituído de normas e procedimentos de
segurança preventiva e detectiva, e do plano de continência, que contém
instruções de segurança corretiva e de restauração do ambiente de tecnologia
da informação.
A segurança física e lógica de mídias magnéticas consiste em
proteger as mídia magnéticas, como programas e arquivos de sistemas vitais,
tanto em termos de segurança física quanto lógica. Deve ser destacados o
armazenamento de mídia magnética de segurança e os procedimentos de
backup.
37
Redes, teleprocessamento e microinformática consistem em
assegurar a proteção de redes de microcomputadores, teleprocessamento
e microinformática. Esta rede estabiliza os servidores dos
microcomputadores com no-break para que haja tempo suficiente para o
término das operações.
O ambiente Web tem sido o ponto mais vulnerável de todo o
contexto da tecnologia de informação. Este item se divide em ambiente
tecnológico da rede e aplicação de comércio eletrônico.
O controle de operação e de uso de recursos tecnológicos
consiste em verificar a melhor forma de distribuição de recursos tecnológicos
no ambiente face à necessidade de utilização intensa ou não de
determinados usuários, cujo desbalanceamento pode provocar problemas
de segurança operacional dos sistemas de informação.
O Controle de acesso ao ambiente de tecnologia da informação é
apresentado em duas situações; controle de acesso físico e controle de
acesso lógico. Sendo que o físico controla a existência de rotinas e o
lógico impede o acesso às instalações com terminais remotos.
O item banco de dados e sistemas de informação tratam dos
controles de estabelecimento de critérios de classificação de informação e
de sistemas, monitoramento de manutenção de sistemas de informação e
controle da documentação de forma global das aplicações existentes no
ambiente de informática. Destacamos os aspectos:
� critérios de classificação de informação de sistemas;
� manutenção de sistemas de informação; e
� documentação.
38
Segundo Imoniana (2005) as variadas metodologias de Auditoria de
Sistemas podem ser chamadas técnicas. Embora existam várias técnicas,
algumas merecem destaque porque são mais utilizadas atualmente:
� dados de teste;
� facilidade de teste integrado;
� simulação paralela;
� lógica de auditoria embutida nos sistemas;
� rastreamento e mapeamento; e
� análise da lógica de programação.
A técnica dado de testes abrange o uso de conjunto de dados de
entrada especialmente preparado com o objetivo de testar os controles
programados e os controles de sistemas aplicativos.
Facilidade de teste integrado é uma técnica onde os dados são
integrados aos ambientes reais de processamento, a execução técnica
envolve a aplicação de entidades fictícias, tais como funcionários fantasmas
na folha de pagamento ou cliente inexistente nas contas a receber
A técnica simulação paralela envolve o uso de um programa
especialmente desenvolvido que atenda a todas as lógicas necessárias
para um aplicativo devidamente testado. O auditor desenvolve o próprio
programa para fazer execução paralela de dados atuais.
A lógica de auditoria embutida nos sistemas envolve a inclusão de
auditoria nos sistemas quando são desenvolvidos. Os relatórios de
auditoria são emitidos para a revisão e o acompanhamento dos
procedimentos operacionais.
A técnica rastreamento e mapeamento envolve desenvolvimento e
implementação de uma trilha de auditoria para acompanhar certos pontos da
39
lógica do processamento de algumas transações. O mapeamento da
execução de transações em programas dá-se com o apontamento de alguns
dados estatísticos, tais como algumas funções não executadas.
A análise da lógica de programação é uma técnica que envolve a
verificação da lógica de programação para certificar que as instruções
dadas ao computador são as mesmas já identificadas nas documentações
dos sistemas aplicativos. Essa técnica pode ser feita manualmente e
possibilita a conformação da efetividade dos controles programados.
De acordo com Boytnon, Johnson e Kell (2001) importantes
técnicas de auditoria computadorizadas utilizadas para testar a operação
de controles programados específicos incluem: simulação paralela, dados
de teste, abordagem de teste e monitoração contínua de sistemas on-line e
em tempo real.
A eficácia da utilização dos métodos de auditoria de sistemas
dependerá da capacidade da equipe de auditoria em julgar a qualidade dos
controles do sistema e a extensão e forma do teste dos dados. Em
algumas circunstâncias, o auditor poderá concluir ser necessária a presença
de um especialista na área de sistemas informatizados para auxiliá-lo no
trabalho.
Segundo Imoniana :
“Na execução dos trabalhos de auditoria de tecnologia de
informações, as técnicas mais convencionais, como de
questionários, indagação corroborativa, observação,
exames documentais e da reexecução de tarefas,
também se aplicam neste ambiente.” (Imoniana, 2005,
p.54).
40
O objetivo da utilização de métodos de auditoria de sistemas é
auxiliar o auditor aproveitando os recursos de software e as técnicas de
auditoria no ambiente da computação. As técnicas de auditoria assistida
por computador podem ser aplicadas em testes de controles gerais, em
testes de detalhamento de transações, em testes analíticos e substantivos e,
em amostragem que alimentam os programas de auditoria.
5.4.4 – Softwares de Auditoria de Sistemas
A utilização de software de auditoria de tecnologia de informação
envolve o uso de um conjunto de programas para processar e fazer
simulação paralela de funções de auditoria. O uso deste software é vantajoso
porque ele pode processar vários arquivos ao mesmo tempo. Os softwares
generalistas são:
� ACL (Audit Command Language):
É um software para extração e análise de dados desenvolvido no Canadá;
� IDEA (Interactive Data Extraction & Analysis):
Software para extração e análise de dados, também desenvolvido no
Canadá;
� Audimation:
É a versão norte-americana de IDEA, da Casaware-IDEA que desenvolve
consultoria e dá suporte sobre o produto;
� Galileo: é um software integrado de gestão de auditoria. Inclui
gestão de riscos de auditoria, documentação e emissão de relatórios
para auditoria interna.
41
� Pentana: sostware de planejamento estratégico de auditoria, sistemas
de planejamento e monitoramento de recursos, controle de horas,
registro de checklists e programas de auditoria.
Os softwares especializados de auditoria podem ser desenvolvidos
pelo próprio auditor, pelos especialistas da empresa auditada ou por
terceiros. Uma vantagem da utilização de software especializado é que o
auditor pode utilizá-lo como vantagem competitiva, uma desvantagem é que a
atualização deste software pode ser problemática por falta de recursos que
acompanhem as novas tecnologias. Nos programas utilitários a execução
de processamento, como gerar relatórios e sortear arquivos, são realizados
por este software. Possui a vantagem de poder ser utilizados na ausência de
outros recursos, e pode ser desvantajoso porque necessita de auxílio de um
funcionário da empresa auditada para operação.
O auditor pode aplicar procedimentos de auditoria com ou sem
auxílio de sistemas informatizados, ou ainda uma combinação de ambos,
a fim de obter evidências suficientes. Em alguns sistemas infomatizados,
que utilizam no processamento programas aplicativos relevantes, pode ser
difícil ou impraticável para o auditor obter certos dados para inspeção,
indagação ou confirmação sem o auxílio de sistemas informatizados.
42
CONCLUSÃO
A informação é o bem mais precioso e estratégico do século XXI. A era
da informação disponibiliza este bem em um volume significativo e sem
precedentes na história. A preocupação com as ameaças à confidencialidade,
integridade e disponibilidade também é crescente e o assunto tem sido tratado
nas reuniões dos CIOs e CSOs das grandes corporações.
A concessionária assumiu um pacote de metas cujo investimento foi de
R$ 1,5 bilhão para expansão do negócio. Foram implantados os sistemas de
informações gerenciais mais modernos do mundo para proporcionar maior
eficiência no planejamento operacional do sistema de transporte e aprimorar o
processo de tomada de decisões com informações gerenciais e estratégicas.
Sendo assim, por que não implantar uma área de Auditoria de Sistemas
no Metrô para complementar os trabalhos da Auditoria Interna direcionados no
aprimoramento dos controles internos e garantir uma maior segurança desses
ambientes informatizados, mitigando os riscos relacionados a disponibilidade,
integridade e confidencialidade dos dados?
A auditoria de sistemas minimizaria os riscos relacionados a segurança
da informação neste novo ambiente em que a informação trafega em uma
quantidade e velocidade incalculáveis. Todos os riscos possíveis devem ser
pensados, de forma a garantir a continuidade da organização, além de gerar
medidas para prevenir os riscos futuramente e assegurar que outras falhas que
possam ocorrer sejam minimizadas antes que se tornem um problema.
É de suma importância também a aquisição de um software de auditoria
de extração e análise de dados, visto que o crescente volume de dados
gerados por esses sistemas vem tornando impraticável o manuseio dos
mesmos sem o auxilio desses softwares adequados.
43
BIBLIOGRAFIA
ARIMA, Carlos Hideo. Implantação de Controle e Segurança para Auditoria
durante o desenvolvimento de Sistemas. São Paulo, 1995.
ATTIE, William. Auditoria: Conceitos e Aplicações. São Paulo: Atlas, 1992.
ATTIE, William. Auditoria Interna. São Paulo: Atlas, 2007.
BOENTE, Alfredo Nazareno Pereira. Segurança em Sistemas de informação:
Auditoria e Administração de Recursos e Tecnologias Disponíveis. São Paulo,
2000.
BOYNTON, Willian C., JOHNSON Raymond N. e KELL Walter G. Auditoria.
São Paulo: Atlas, 2002.
BRASIL. Tribunal de Contas da União. Manual de Auditoria e de
Processamentos. Brasília: TCU. 2000.
CREPALDI, Silvio Aparecido. Auditoria Contábil. São Paulo: Atlas, 2004
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de
Janeiro: Editora Axcel Books, 2000.
FONTES, Edison. Vivendo a Segurança da Informação. São Paulo: Sicurezza,
2000.
GIL, Antônio de Loureiro. Auditoria Operacional e de Gestão. São Paulo: Atlas,
2006.
44
LAROSA, Marco Antônio e AYRES, Fernando Arduini. Como produzir uma
monografia. Rio de Janeiro, 2009.
LYRA, Maurício Rocha. Segurança e Auditoria em Sistema de Informação. Rio
de Janeiro: Ciência Moderna, 2009.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. São Paulo:
Atlas, 2005.
MARTINS, Isabel e MORAIS Georgina. Auditoria Interna: Função e Processo.
São Paulo, 2006.
SÁ, A. Lopes de. Curso de Auditoria. São Paulo: Atlas, 1993.
SCHMIDT, Paulo, ARIMA Carlos Hídeo e SANTOS José Luiz dos.
Fundamentos de Auditoria de Sistemas. São Paulo: Atlas, 2006.
.
45
WEBGRAFIA
www.avezdomestre.com.br – Modelo de Monografia, acesso em 20/01/2009.
www.metrorio.com.br – Site oficial do Metrô, acesso em 23/01/2010.
www.skyscapercity.com – A História do Metrô Carioca, acesso em
08/01/2010.
www.tcu.gov.br – Manual de Auditoria de Sistemas, acesso em 15/01/2010.
www.senac.br – Boletim Fiscal 09: A Importância da Auditoria de Sistemas no
Brasil, acesso em 15/01/2010.
www.senac.br – Boletim Fiscal 9: A Importância da Auditoria de Sistemas no
Brasil, acesso em 10/02/2010.
www.contabeis.uc.br – A Importância da Auditoria de Sistemas na
Conformidade das Demonstrações Contábeis, acesso em 18/02/2010.
46
ÍNDICE
INTRODUÇÃO 8
CAPÍTULO I 10
UMA BREVE HISTÓRIA DO METRÔ-RIO 10
1.1 – O Início 10
1.2 – Concessão 12
1.3 – Renovação do contrato de concessão 13
CAPÍTULO II 14
IMPLANTAÇÃO DOS PRINCIPAIS SISTEMAS DE INFORMÇÕES
GERENCIAIS 14
2.1 – Sistema de Bilhetagem Eletrônica 14
2.2 – Oracle E-Business Suite 15
CAPÍTULO III 16
AUDITORIA INTERNA 16
3.1 – Finalidade 16
3.2 – Objetivo e Alcance 16
3.3 – Padrões de Conduta 17
3.4 – Autoridade e Responsabilidade 18
3.5 – Independência 18
3.6 – Planejamento do Trabalho 19
3.7 – Papéis de Trabalho 20
3.8 – Modalidades de Auditoria Interna 21
47
CAPÍTULO IV 24
AUDITORIA INTERNA NO METRÔ-RIO 24
4.1 – A implantação 24
4.2 – Objetivos 24
4.3 – Posicionamento hierárquico 25
4.4 – Principais atividades 25
CAPÍTULO V 27
SEGURANÇA DA INFORMAÇÃO E AUDITORIA DE SISTEMAS 27
5.1 – ISO (International Stardardization Organization) 27
5.2 – Cobit (Control Objectives for Information and Related Technology ) 28
5.3 – A Segurança da informação 28
5.4 – Auditoria de Sistemas 31
5.4.1 – Função do auditor de sistemas 31
5.4.2 – Controle Interno e sistema de procedimento eletrônico de dados
(PED) 32
5.4.3 – Métodos de auditoria de sistemas 35
5.4.4 – Softwares de auditoria de sistemas 40
CONCLUSÃO 42
BIBLIOGRAFIA 43
WEBGRAFIA 45
ÍNDICE 46