Prof. Evelacio R.

Kaufmann
Auditoria e Segurana
de Sistemas
A atividade de auditoria

O maior risco crer que no h

riscos. (Caruso & Steffen)
A Atividade de Auditoria de

Prof. Evelacio R. Kaufmann

Sistemas

PONTOS TEMTICOS

- Conceito e organizao de auditoria;

- Planejamento, execuo e documentao
gerada em auditoria de sistemas;
- Equipe de auditoria conhecimentos e
competncias;
- Programao da auditoria baseada na
avaliao de riscos.
Conceito e organizao de

Prof. Evelacio R. Kaufmann

auditoria
Auditoria: uma atividade que engloba o exame
das operaes, processos, sistemas e responsabilidades
gerenciais de uma determinada entidade, com o intuito
de verificar sua conformidade com certos objetivos e
polticas institucionais, oramentos, regras, normas ou
padres.

Organizao da auditoria
Presidncia
Executiva

Auditoria de
Sistemas

Diretoria Diretoria Diretoria de Diretoria de

Administrativa Financeira Vendas Informtica

3
 Prof. Evelacio R. Kaufmann
Conceito e organizao de auditoria
Continuao...

Razes
Antigamente, existia a auditoria de sistemas que
avaliava dados financeiros e contbeis.

Com a evoluo, surgiu a necessidade de auditar no

s a massa de dados dos sistemas, mas tambm o
prprio ambiente de informtica, para garantir a
fidedignidade dos dados manipulados por sistemas de
computao.

As mudanas tecnolgicas constantes e a carncia de

normas, metodologias e procedimentos na rea de
auditoria em ambientes informatizados so alguns dos
obstculos mais comuns realizao de auditorias da TI.

4
Conceito e organizao de auditoria

Prof. Evelacio R. Kaufmann

Continuao...
Contexto da Auditoria de Sistemas
Auditoria de SI instrumento da direo, dos
acionistas, do ambiente externo, do povo para:
Opinar, avaliar, validar a qualidade dos dados e da
informao e dos sistemas que a geram e mantm, em
termos de segurana, confiabilidade, conformidade e
eficincia.
Interna e Externa;
Absoro crescente da tecnologia por auditores
contbeis ou operacionais.
Problema da auditoria de Sistemas
Defasagem tecnolgica da A.S. em relao ao ambiente
computacional da organizao;
Falta de bons profissionais em auditoria, a exemplo da
carncia no ambiente computacional: necessidade de
adaptao dos profissionais de auditoria contbil-financeira;
Educao de executivos para a transformao da auditoria;
5
Complexidade do ambiente computacional.
Conceito e organizao de auditoria

Prof. Evelacio R. Kaufmann

Continuao...
reas Distintas da Auditoria de Sistemas
A rea de Auditoria de Sistemas (computadores)
compreende terminologia, conceituao e tcnicas
de trs reas distintas de conhecimento:
Auditoria;
Sistemas de informao;
Processamento eletrnico de Dados.

Auditoria

Processamento Sistema
Eletrnico de de
Dados Informao

6
Fonte: (GIL, 2000, p. 20)
 Prof. Evelacio R. Kaufmann
Conceito e organizao de auditoria
Continuao...
Abrangncia de Auditoria
Campo
mbito rea de Verificao
Natureza da Auditoria e
rea de Verificao (entidade completa, uma parte, ou uma funo)

mbito Campo

(amplitude, aprofundamento e
grau de abrangncia)
Objeto Perodo Natureza

Sub 1 Sub 2 Sub 3

7
 Conceito e organizao de auditoria
Continuao...
Exemplo
A Figura mostra um exemplo envolvendo os conceitos
campo, mbito e sub-reas.

Objeto Segurana de Informaes da Empresa

Campo Perodo De dd/mm/aaaa a dd/mm/aaaa
Natureza Auditoria da TI
rea de
Verificao

mbito Avaliao da eficcia dos controles

Sub 1 Controles de acesso fsico

Sub 1 Controles de acesso lgico

Sub 1 Backup
 Prof. Evelacio R. Kaufmann
Conceito e organizao de auditoria
Continuao...
Termos Importantes
Controles: a fiscalizao exercida sobre as
atividades de pessoas, rgos, departamentos para
que tais atividades, ou produtos, no se desviem
das normas preestabelecidas.

Tipos de Controle
Controle Preventivo prevenir erros, omisses e atos
fraudulentos;
Controle Detectivos detectar erros, omisses ou atos
fraudulentos;
Controles Corretivos reduzir impactos ou corrigir
erros detectados.

9
 Prof. Evelacio R. Kaufmann
Conceito e organizao de auditoria

Termos Importantes Continuao...

Objetivos de Controle: So metas de controle

a serem alcanadas, ou efeitos negativos a serem
evitados, para cada atividade de auditoria.
Procedimentos de Auditoria: Lista de
pontos a serem verificados durante a auditoria e
que correspondem aos aspectos quantitativos e
qualitativos da avaliao.
Achados de Auditoria: Fatos significativos
observados pelo auditor durante a execuo da
auditoria. (pontos fracos ou fortes);
Conforme sugere o nome, um achado de auditoria
geralmente est associado a eventos
imprevisveis. 10
 Prof. Evelacio R. Kaufmann
Conceito e organizao de auditoria

Termos Importantes Continuao...

Papis de Trabalho: Registro de todas as

informaes relacionadas ao trabalho de auditoria
executado. Esses documentos, que podem ser
planilhas, listas e procedimentos, do suporte ao
relatrio de auditoria.

Recomendaes de Auditoria: Na fase de

relatrio, so feitas as recomendaes. Essas
recomendaes so medidas corretivas possveis,
sugeridas pelo auditor, para conduzir falhas ou
deficincias detectadas durante a auditoria.

11
 Prof. Evelacio R. Kaufmann
Natureza da Auditoria

Os tipos mais comuns de auditoria, so qualificados

de acordo com os seguintes aspectos: orgo
fiscalizador; forma de abordagem; rea envolvida.

Orgo fiscalizador:
Auditoria Interna: realizada por departamento interno
responsvel pela verificao e avaliao dos sistemas e
procedimentos internos de uma entidade. O objetivo
reduzir as probabilidades de fraudes, erros, prticas
ineficientes ou ineficazes.
Auditoria Externa: realizada por instituio externa e
independente da entidade fiscalizada, com o objetivo de
emitir pareceres sobre a gesto de recursos da entidade,
dentre outros.
Auditoria Articulada: Trabalho conjunto com as internas
e externas. 12
 Prof. Evelacio R. Kaufmann
Natureza da Auditoria
Continuao...

Forma de Abordagem:
Auditoria Horizontal: com tema especfico realizada
em vrias entidades paralelamente;
Auditoria Orientada: focada em uma atividade
especfica com fortes indcios de erros ou fraudes.
rea Envolvida:
Auditorias de Programa de Governo
Auditoria do Planejamento Estratgico
Auditoria Administrativa
Auditoria Contbil
Auditoria Financeira
Auditoria de Legalidade
Auditoria Operacional
Auditoria Integrada
Auditoria da Tecnologia da Informao 13
 Auditoria da Tecnologia da

Prof. Evelacio R. Kaufmann

Informao
Auditoria Operacional ou, de Eficincia, de Gesto
ou de Resultados incide em todos os nveis de
gesto, nas fases de programao, execuo e
superviso, sob o ponto de vista da economia,
eficincia e eficcia.
Auditoria Integrada inclui, simultaneamente, a
financeira e a operacional.

Tipo de auditoria, essencialmente operacional, por meio

da qual os auditores analisam os sistemas de
computao, o ambiente computacional, a segurana de
informaes e o controle interno da entidade fiscalizada,
identificando seus pontos fortes e/ou deficincias.
Conhecida tambm como auditoria de sistemas.
14
 Auditoria da Tecnologia da

Prof. Evelacio R. Kaufmann

Informao Continuao...

Alm de todos os aspectos relacionados com a auditoria de

segurana de informaes, a auditoria de TI abrange ainda outros
controles que podem influenciar a segurana de informaes e o
bom funcionamento dos sistemas da organizao, tais como:
Organizacionais;
De mudanas;
De operao dos sistemas;
Sobre banco de dados;
Sobre microcomputadores;
Sobre ambientes cliente/servidor.

O escopo da auditoria de TI envolve ainda:

Avaliao da poltica de segurana;
Controles de acesso lgico;
Controles de acesso fsico;
Controles ambientais;
Plano de contingncias e continuidade de servios. 15
O Futuro da Auditoria da

Prof. Evelacio R. Kaufmann

Tecnologia da Informao

Novas funes no ambiente:

Analista de Segurana (security officer);
Analista de Qualidade;
Analista de conformidade (compliance
officer)

Auditoria de segurana e qualidade;

Maior automao do processo de auditoria,
atravs de suporte intrnseco dos sistemas;
Anlise de custo/benefcio da auditoria;
Gesto e qualidade da auditoria.
16
 Prof. Evelacio R. Kaufmann
EXERCCIOS

Contexto e Razes da Auditoria

1)Em que consiste a auditoria de sistemas?
2) Quais as diretrizes que justificam a existncia da auditoria
de sistemas? Discuta o papel desta rea de atividade
perante a coletividade (entidades pblicas e privadas).
3) Quanto a natureza da auditoria, quais so os principais
aspectos em que ela quantificada?

Problemticas da Auditoria de Sistemas

4) Discuta a problemtica da auditoria de sistemas, quais
suas principais caractersticas e impactos para as
organizaes? Quais os principais problemas que a
auditoria de Sistemas pode/deve identificar? 17
 Prof. Evelacio R. Kaufmann
FASES DA AUDITORIA

Planejamento
Execuo
Relatrio

Pode ficar sossegado. Est

tudo sob controle! (Caruso & Steffen).
 Prof. Evelacio R. Kaufmann
Fases da Auditoria
Continuao...

Planejamento - (Pr-Auditoria)
A fase de planejamento da auditoria identifica
os instrumentos indispensveis sua
realizao.
O planejamento deve estabelecer:
Os recursos necessrios para a execuo da
auditoria;
A rea de verificao;
As metodologias;
Os objetivos de controle;
Os procedimentos a serem adotados e
Um trabalho de pesquisa de fontes de informao
sobre o objeto a ser auditado.
19
 Prof. Evelacio R. Kaufmann
Fases da Auditoria
Planejamento - (Pr-Auditoria) Continuao...
Definindo os Recursos: Recursos Humanos; Recursos Econmicos;
RecursosTcnicos

Definindo Campo, mbito e Sub-reas: No caso de auditorias de

informtica, a natureza auditoria da TI, quase sempre com enfoque
operacional (exame dos aspectos econmicos, de eficincia e eficcia). Tendo
definido o campo (objeto, perodo e natureza) fixada, ento, a rea de
verificao que pode ser dividida em sub-reas.

Metodologias: Vrias metodologias podem ser utilizadas em uma

auditoria da TI: Simples observao, em visitas entidade; Entrevistas com
seus funcionrios e dirigentes e; Uso de tcnicas ou ferramentas de apoio.

Objetivos de Controle e Procedimentos de Auditoria: A partir

de padres ou normas (como as atividades devem ser feitas) so definidos os
objetivos de controle a serem avaliados pelo auditor. Esses objetivos de
controle so detalhados em procedimentos de auditoria.

Pesquisa de Fontes de Informao: Na fase de planejamento da

auditoria, a equipe deve reunir a maior quantidade possvel de informaes
sobre a entidade auditada e seu ambiente de informtica (hardware, SO, SI,
dentre outros). As principais fontes de informao sobre a entidade auditada
so: relatrios de auditoria anteriores; bases de dados; documentos ou pginas
da entidade na Internet e; relatrios de auditoria interna. 20
 Prof. Evelacio R. Kaufmann
Fases da Auditoria
Continuao...
Planejamento - (Pr-Auditoria)
Objetivos de Controle e Procedimentos de Auditoria:
Os objetivos de controle podem ter vrios enfoques e podem ser motivados por
diversas razes:
- Segurana (informaes...);
- Atendimento a solicitaes externas (denncia...);
- Altos custos de desenvolvimento (riscos...);
- Grau de envolvimento dos usurios (necessidades atendidas...);
- Outsourcing (efeito da terceirizao...).

Exemplo:
Na rea de segurana, um dos objetivos de controle pode ser:
"estabelecimento de regras de acesso aos recursos
computacionais"
Um procedimento relacionado a esse objetivo pode ser: "verificar
se existem procedimentos que definam os recursos
computacionais que podem ser acessados".
21
 Prof. Evelacio R. Kaufmann
Fases da Auditoria
Continuao...

Execuo
Na execuo, a equipe deve reunir
evidncias confiveis, relevantes e teis
para os objetivos da auditoria.
Tipos:
Evidncia fsica
Evidncia documentria
Evidncia fornecida pelo auditado
Evidncia analtica
Todas essas evidncias devem estar
organizadas nos papis de trabalhos, para
facilitar a elaborao do relatrio.
22
 Prof. Evelacio R. Kaufmann
Fases da Auditoria
Continuao...

Relatrio
A forma como o auditor apresenta seus achados e
concluses, com comprovaes, incluindo
recomendaes e, conforme o caso, determinaes.

Deve ser claro, objetivo, sem uso exagerado de termos

tcnicos.
Glossrio ao final, caso haja uso de termos e siglas.
Bem organizado.
Relatrios preliminares podem ser apresentados e
discutidos com a parte auditada e/ou com a autoridade
contratante.
O relatrio final deve ser revisado por todos os
membros da equipe, para verificar sua consistncia,
omisses como tambm uma reviso gramatical. 23
 Prof. Evelacio R. Kaufmann
Fases da Auditoria
Continuao...

Relatrio - Estrutura:
Dados da entidade auditada.
Sntese breve resumo do relatrio
Dados da auditoria objetivos, perodo, equipe,
metodologia, etc..
Introduo breve histrico, resumo de audit. Anteriores,
estrutura hierrquica dos dept auditados, etc...
Falhas detectadas Detalhamento das falhas e
irregularidades, com comentrios e justificativas e parecer
da equipe.
Concluso Resumo dos principais pontos e
recomendaes finais para correo das falhas e apontar
pontos fortes.
Pareceres Quando necessrio, de instncias
superiores 24
 Prof. Evelacio R. Kaufmann
Equipe da Auditoria

O gerente da equipe de auditoria deve ter

habilidade suficiente para recrutar ou formar
profissionais com nvel adequado de capacitao
tcnica para a auditoria de ambiente informatizado.

Conhecimentos Necessrios
Todos os membros da equipe devem ter conhecimento
na rea e, se possvel, experincia anterior.
Segundo o padro internacional de auditoria, o auditor
deve ter conhecimento suficiente de sistemas
computacionais para planejar, dirigir, supervisionar e
revisar o trabalho executado.

25
 Prof. Evelacio R. Kaufmann
Equipe da Auditoria
Conhecimentos Necessrios (Continuao...)
Tipos de conhecimentos necessrios
para auditoria da TI:
Sistemas Operacionais;
Banco de Dados;
Processamento Distribudo;
Software de Controle de Acesso e Segurana de
Informaes;
Plano de Contingncias e de Recuperao;
Metodologias de Desenvolvimento de Software;
Processos de Desenvolvimento de Software;
Outros (ambiente...)
26
 Prof. Evelacio R. Kaufmann
Equipe da Auditoria
Conhecimentos Necessrios (Continuao...)
O auditor da TI, como os demais, devem
obedecer aos princpios ticos de auditoria e
possuir outras habilidades, como:
Bom relacionamento;
Capacidade de comunicao oral e escrita;
Senso crtico e
Conhecimentos especficos na rea relacionada ao
sistema a ser auditado.
Composio da Equipe - Opes
Contratar consultoria externa;
Desenvolver a capacidade tcnica em informtica de
auditores em contabilidade e auditoria e
Desenvolver tecnicamente, em auditoria, funcionrios
com formao em informtica. 27
EXERCCIOS

Prof. Evelacio R. Kaufmann

 Prof. Evelacio R. Kaufmann
EXERCCIOS

Equipe de Auditoria
Quais as opes para se compor uma equipe de
auditoria de TI?
Quais as habilidades necessrias a um auditor de TI?

Planejamento da Auditoria

Relacione e comente brevemente as fases da auditoria.

O que um planejamento de auditoria deve estabelecer?
A partir de que so estabelecidos os objetivos de
controle?
Como esses objetivos de controle so detalhados? D
exemplos. 29