Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas

Transcrição

1 1. Conceitos e Organização da Auditoria Universidade do Estado de Minas Gerais 1.1 Conceitos Auditoria é uma atividade que engloba o exame de operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. A atividade de auditoria pode ser dividida em três fases: planejamento, execução e relatório. O campo da auditoria é composto pelo objeto a ser fiscalizado, período e natureza da auditoria. O objeto pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma função dessa entidade, e o período a ser fiscalizado pode ser de um mês, um ano ou até mesmo corresponder ao período completo da gestão de determinado adminis trador. O âmbito da auditoria constitui-se da amplitude e exaustão dos processos de auditoria. Define até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência. A área de verificação é o conjunto formado pelo campo e âmbito de auditoria. A área delimita os tempos, em função da entidade a ser fiscalizada e da natureza da auditoria. Área de Verificação Sub1 Sub2 Sub3 Campo Âmbito Objeto Período Natureza Controle é a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos ou produtos para que as atividades ou produtos não se desviem das normas preestabelecidas. Os controles podem ser: Preventivos: previnem erros, omissões ou atos fraudulentos. Detectivos: detectam erros, omissões ou atos fraudulentos e ainda relatam sua ocorrência. Corretivos: usados para reduzir impactos ou corrigir erros uma vez detectados. 1.2 Natureza da Auditoria Os tipos mais comuns são classificados de acordo com os seguintes aspectos: quanto ao órgão fiscalizador, à forma de abordagem do Tema e ao tipo ou área envolvida Quanto ao órgão fiscalizador Auditoria interna: realizada pelo departamento interno responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade. Objetivo: reduzir as probabilidades de fraudes, erros, práticas ineficientes ou ineficazes. Auditoria externa: realizada por instituição externa e independente daquela fiscalizada. Objetivo: emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a legalidade e a regularidade de suas operações. Auditoria articulada: trabalho conjunto de auditorias internas e externas Quanto à forma de abordagem do Tema Auditoria horizontal: auditoria com tema específico realizada em várias entidades ou serviços paralelamente. Auditoria orientada: auditoria focada em uma atividade específica qualquer ou em atividades com fortes indícios de erros ou fraudes Quanto ao tipo ou área envolvida Auditoria de programas de governo: acompanhamento, exame e avaliação da execução de programas e projetos governamentais específicos. Auditoria do planejamento estratégico: verifica se os principais objetivos da entidade são atingidos e se as políticas e estratégias de aquisição, utilização e alienação de recursos são respeitadas.

2 Auditoria administrativa: engloba o plano da organização, seus procedimentos e documentos de suporte à tomada de decisão. Auditoria contábil: relativa à salvaguarda dos ativos e à fidedignidade das contas da instituição. Tem como finalidade fornecer uma certa garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações. Auditoria financeira ou Auditoria das contas: consiste na análise das contas, da situação financeira, da legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais, verificando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade: também conhecida como auditoria de regularidade ou de conformidade. Consiste na análise da legalidade e regularidade das atividades, funções, operações ou gestão de recursos, verificando se estão em conformidade com a legislação em vigor. Auditoria operacional: incide em todos os níveis da gestão, nas fases de programação, execução e supervisão, sob o ponto de vista da economia, eficiência e eficácia. Analisa a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos. Auditoria integrada: inclui simultaneamente a auditoria financeira e a operacional. Auditoria da tecnologia da informação: essencialmente operacional. Os auditores analisam os sistemas de informática, o ambiente computacional, a segurança de informações e o controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficiências. É também conhecida como auditoria informática, computacional ou de sistemas Auditoria de Sistemas Analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade. Pode abranger o ambiente de informática como um todo (analisando aspectos como segurança física e lógica, planejamento de contingências e operação do CPD) ou a organização do departamento de informática (analisando aspectos administrativos da organização como políticas, padrões e procedimentos, responsabilidades, organizacionais, gerência de pessoal e planejamento de capacidade). Pode ainda envolver controles sobre banco de dados, redes de comunicação e de microcomputadores e controles sobre os aplicativos (desenvolvimento de sistemas, entrada, processamento e saída de dados). Classificação de sub-áreas: Auditoria da segurança de informações determina a postura da organização com relação à segurança. Envolve: a) Avaliação da política de segurança b) Controles de acesso lógico c) Controles de acesso físico d) Controles ambientais e) Plano de contingências e continuidade de serviços Auditoria da tecnologia de informação além dos aspectos citados anteriormente, esta abrange outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas de toda a organização, tais como: a) Controles organizacionais b) Controles de mudanças c) Controles de operação dos sistemas d) Controles sobre bancos de dados e) Controles sobre microcomputadores f) Controles sobre ambientes cliente-servidor Auditoria de aplicativos esta voltada para a segurança e o controle de aplicativos específicos. Compreende: a) Controles sobre o desenvolvimento de sistemas aplicativos b) Controles de entrada, processamento e saída de dados c) Controles sobre conteúdo e funcionamento do aplicativo, com relação à área por ele atendida 1.3 Equipe de Auditoria O gerente da equipe deve ter habilidade suficiente para recrutar ou formar profissionais com nível adequado de capacitação técnica para a realização de auditoria em um ambiente informatizado. Ele precisa determinar os níveis de conhecimento necessários de sua equipe.

3 1.3.1 Conhecimentos necessários Todos os membros da equipe de auditoria de sistemas deve ter certo conhecimento da área e experiência prática anterior, tendo trabalhado em centros de processamento de dados, de desenvolvimento de sistemas, de pesquisa aplicada, ou para fornecedores de hardware, software ou serviços de consultoria na área de informática. O auditor deve ter conhecimento suficiente de sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. O tipo de conhecimento necessário em uma auditoria de TI depende do tipo de ambiente computacional da entidade a ser auditada. Os conhecimentos básicos em informática englobam desde sistemas operacionais, software básico, bancos de dados e processamento distribuído, até software de controle de acesso, segurança de informações, plano de contingências e de recuperação, metodologias de desenvolvimento de sistemas, etc. Em uma auditoria mais detalhada, é provável que sejam necessários conhecimentos adicionais de técnicas como CAATs (Computer Assisted Audit Techniques), software de auditoria e extração de dados, linguagens de programação específicas, planejamento de capacidade e avaliação de custos de equipamentos, e serviços de consultoria em informática. O auditor de TI deve ainda obedecer os princípios éticos de auditoria e ter bom relacionamento, capacidade de comunicação oral e escrita, senso crítico e conhecimentos específicos na área a ser auditada Composição da equipe Para a formação da equipe, existem três opções: Contratar consultoria externa Desenvolver a capacidade técnica em informática de auditores com formação básica em contabilidade e auditoria Desenvolver tecnicamente, em auditoria, funcionários com formação em análise de sistemas, processamento de dados, engenharia de software, ciência da computação, etc. Consultoria externa É viável para: Sistemas de alta complexidade. Tarefas específicas, isto é, em pontos em que seus conhecimentos sejam realmente indispensáveis. Pontos críticos: custos, controle sobre suas atividades e as cláusulas contratuais. É importante estabelecer objetivos rígidos, orçamento adequado e pontos de controle durante a auditoria, supervisionando o trabalho dos consultores até a conclusão do serviço. Ao término da auditoria, normalmente se avalia o serviço, reunindo opiniões dos consultores, dos membros da equipe de auditoria e da gerência, com o objetivo de evitar as mesmas falhas no futuro. A contratação de uma auditoria externa deve ser feita logo no início do trabalho, assim que forem defin idos o campo, o âmbito e as sub-áreas a serem auditadas e que for verificado que ninguém da equipe interna tem condições de realizar o trabalho. Capacitação de auditores par atuarem com Auditores de Sistemas Dificuldades: Transformações constantes de produtos e tecnologias Termos técnicos utilizados pelos profissionais de informática. Capacitação de profissionais de informática em Auditoria Alternativa mais natural O potencial do profissional deve ser avaliado para a nova função Deve-se avaliar também sua capacidade de adaptação Treinamento O treinamento constante de auditores de sistemas é imprescindível. Eles devem participar em Seminários, Congressos, Workshops e Cursos de Especialização para adquirir e manter os conhecimentos atualizados Qualificação Profissional Existem organizações em alguns países que promovem certificação de qualificação profissional de auditores de sistemas. Entre elas:

4 Information Systems Audit and Control Association (ISACA) Certificado de Auditor de Sistemas de informação (CISA) Bristish Computer Society Exame da Sociedade Britânica de Informática Institute of Internal Auditors (IIA) Qualificação em Auditoria Computacional. O desenvolvimento profissional contínuo não é apenas desejável, mas essencial. Planejamento de atividades As atividades são planejadas em três níveis. Cada nível de planejamento gera um documento, denominado plano, com atividades e detalhes para o respectivo período de tempo. Plano Estratégico de Longo Prazo: tem objetivos amplos que atingem toda a instituição. É feito para um período de 3 a 5 anos Plano Estratégico de Médio Prazo: programa de atividades para o ano que se inicia. Plano Operacional: baseia-se em auditorias individualizadas e contém detalhes exatos dos objetivos a serem atingidos, áreas a serem auditadas, recursos necessários e em que prazos, etc. 1.4 Planejamento e Execução A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua realização. Pesquisa de fontes de informação A equipe deve reunir a maior quantidade possível de informações sobre a entidade a ser auditada e seu ambiente de informática (plataforma de hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento, principais sistemas, etc). As principais fontes de informação são relatórios de auditorias anteriores, bases de dados, documentos ou páginas da entidade na Internet, visitas, etc. Definindo Campo, Âmbito e Sub-áreas Em auditorias de informática, a natureza é auditoria de TI, quase sempre com enfoque empresarial. O objeto pode englobar um sistema computacional específico; um, várias ou todas as seções do departamento de informática; ou até mesmo toda a organização. O período depende do âmbito (grau de profundidade das verificações) e das sub-áreas de sistemas escolhidas pela equipe. São determinadas também a amplitude e a exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados. A área de verificação delimita de modo muito preciso os temas da auditoria e, em função do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-áreas. Veja o exemplo abaixo: Objeto Segurança de Informações da empresa Área de Verificação Campo Período Natureza De 01/01/2005 a 01/07/2005 Auditoria de TI Âmbito Avaliação da eficácia dos controles Sub1 Sub2 Sub3 Controles de acesso físico Controles de acesso lógico Backup Para ambientes extensos ou de grande complexidade, convém limitar a quantidade de controles a serem verificados para que a equipe realiza um trabalho de qualidade. Definindo recursos necessários Recursos humanos Recursos econômicos Recursos técnicos: hardware, software, manuais.

5 Metodologias 1 Entrevistas Entrevistas de apresentação Entrevistas de coleta de dados Entrevistas de discussão das deficiências encontradas Entrevistas de encerramento 2 Uso de Técnicas ou Ferramentas de Apoio (CAATs) Técnicas para análise de dados Técnicas para verificação de Controles de Sistemas Outras ferramentas: editores de texto, planilhas eletrônicas, bancos de dados e softwares para apresentação. Objetivos de Controle e Procedimentos de Auditoria Para realizar uma avaliação da atuação de outros profissionais, é necessário que o avaliador tenha um modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita. Esse modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em cada área específica. Enquanto os objetivos de controle abrangem uma área mais ampla, os procedimentos de auditoria descrevem padrões individualizados, mais detalhados dentro de cada objetivo. Por exemplo: na área de segurança, um dos objetivos pode ser o estabelecimento de regras para acesso aos recursos computacionais. Um dos procedimentos de auditoria relacionado a esse objetivo pode ser: verificar se existem procedimentos que definam os recursos computacionais que poderão ser acessados e os tipos de transações que poderão ser executadas por cada usuário autorizado. Os objetivos de controle podem ter vários enfoques: Segurança Atendimento a solicitações externas Materialidade Altos custos de desenvolvimento Grau de envolvimento dos usuários Outsourcing Execução Ao longo da execução da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis para a consecução dos objetivos da auditoria. As evidências podem ser divididas em quatro tipos: Evidência física Evidência documentária Evidência fornecida pelo auditado Evidência analítica Uma evidência considerada incompatível com auditoria em execução pode servir como indicativo para outra auditoria. A manutenção dos papéis de trabalho é essencial tanto para a elaboração do relatório da auditoria em questão, como para o planejamento de futuras auditorias. 1.5 Relatório O auditor apresenta seus achados e conclusões na forma de um relatório, o qual inclui fatos sobre a entidade auditada, comprovações, conclusões e, eventualmente, recomendações e/ou determinações. A linguagem utilizada no relatório deve ser clara, objetiva e simples, evitando-se o uso de termos técnicos e siglas. Se o uso desses termos e siglas forem necessários, então o relatório deve conter um glossário ou explanações ao longo do texto. A estrutura deve ser bem organizada e abranger todas as informações relevantes para análise pela chefia ou entidade que solicitou a realização da auditoria. Dependendo do motivo que levou à realização da auditoria, o relatório pode ser encaminhado à diretoria da organização, ao organismo que financia a entidade auditada ou ao organismo responsável pelo controle e auditoria geral da entidade. A equipe de auditoria pode começar a compor o relatório antes mesmo de iniciar os trabalhos de campo ou durante a fase de planejamento. No planejamento já foram coletadas informações preliminares sobre a entidade e seus sistemas computacionais e já foram definidos os recursos necessários para a execução dos trabalhos, composição da equipe, campo da auditoria, metodologias, objetivos de controle e procedimentos a serem adotados. Todos esses dados compõem o relatório. Durante os trabalhos de

6 campo, é aconselhável documentar tudo que foi observado pela equipe e dito pelos entrevistados. A equipe deve confirmar os fatos relatados e apresentar ao entrevistado partes do texto referentes a assuntos tratados com ele durante a entrevista para que não haja qualquer mal-entendido ou desvios de interpretação. Ao término das investigações, é recomendável apresentar, aos responsáveis da área auditada, um relatório parcial contendo as deficiências encontradas. Os responsáveis expõem seus motivos e justificam as falhas. Suas justificativas podem ser anexadas ao parecer da equipe e incluídas no relatório final. A apresentação de relatórios intermediários evita quaisquer constrangimentos, erros ou inconsistências, que poderão ser identificados, corrigidos ou eliminados antes da apresentação do relatório final. Relatório final Deve ser revisado por todos os membros da equipe de auditoria com intuito de verificar sua conformidade com os padrões e práticas da organização auditora e a inexistência de inconsistências, erros ou lacunas. É conveniente fazer uma revisão em termos gramaticais e estilísticos para garantir clareza e objetividade do texto. Estrutura Os tipos de informação e a estrutura do relatório são variáveis. A equipe deve identificar os pontos mais relevantes e adaptar o relatório de acordo com seu público alvo. Tópicos normalmente abordados em um relatório dirigido a órgãos de auditoria: Dados da entidade auditada: nome, endereço, natureza jurídica (órgão do governo, empresa pública, autarquia, empresa privada, etc.), relação de responsáveis e outras informações consideradas relevantes pela equipe. Síntese: breve resumo do conteúdo do relatório. Dados da auditoria: objetivo, período de fiscalização, composição da equipe, metodologia adotada, natureza da auditoria e objeto (controles gerais da organização, desenvolvimentos de sistemas, aplicativos específicos, etc.). Introdução: pode conter um breve histórico da entidade e mencionar, se existirem, as conclusões de auditorias anteriores feitas na mesma área. No caso de auditoria de TI é recomendável incluir descrição da estrutura hierárquica do departamento de informática, sua relação com outros departamentos e com os níveis hierárquicos superiores, descrição do ambiente computacional, evolução tecnológica, principais sistemas e projetos. Falhas detectadas: esta é a parte mais importante do relatório, pois apresenta, em detalhes, as falhas e irregularidades detectadas. É aconselhável dividi-la em sub-áreas fiscalizadas, para haver um encadeamento lógico de idéias. A equipe pode apresentar a descrição da falha, seus comentários iniciais, a justificativa do auditado e o parecer final da equipe para cada falha, incluindo suas recomendações. Conclusão: são sintetizados os pontos principais e as recomendações ou determinações finais da equipe para a correção das falhas ou irregularidades encontradas. Pareceres da Gerência Superior: em alguns casos, as gerências superiores dão seu parecer a respeito dos achados e recomendações da equipe de auditoria. Os superiores poderão concordar integralmente ou em parte com os pontos de vista da equipe ou ainda discordar integralmente. A inclusão desses pareceres depende das práticas adotadas pela organização auditora ou para quem se dirige o relatório. Referência bibliográfica: DIAS, C. Segurança e auditoria da tecnologia da informação. 1. ed. Axcel Books. Rio de Janeiro, 2000.