Fundamentos em auditoria Uma visão mais ampla sobre segurança da informação poderá ser obtida no livro Sistema de Segurança da Informação Controlando os riscos, de André Campos, Editora Visual Books.
Fundamentos em auditoria Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação. O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos. Este material não pode ser vendido. Seu uso é permitido sem qualquer custo. Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI. Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos". Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro. Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.
A auditoria O objetivo de uma auditoria é garantir a efetividade dos processos e ativos de uma determinada organização. A auditoria poderá dedicar-se a comprovar a eficácia, a comprovar a eficiência, ou a comprovar a efetividade.
A auditoria Consiste basicamente da comparação do estado dos processos e dos ativos contra um critério de auditoria. Desta comparação, são possíveis os seguintes resultados: Conforme Não conforme (Oportunidade de Melhoria) Em ambos os casos, é possível haver observações.
A auditoria As conformidades e não conformidades são aplicadas com base nas evidências de auditoria, ou seja, em registros, apresentação de fatos ou outras informações que corroborem as evidências. A auditoria não pode ser baseada em opiniões ou avaliações pessoais dos indivíduos envolvidos na auditoria.
A auditoria Os personagens de uma auditoria são o auditado, que é a organização que recebe a auditoria, os auditores, que são os que realizam a auditoria, os especialistas, que são as pessoas que fornecem conhecimento ou experiência específicos para a equipe de auditoria, e o cliente de auditoria, que nem sempre é o auditado; muito comum em caso de qualificação de fornecedores.
A auditoria Para a realização de uma auditoria, é importante haver um programa de auditoria que preveja a realização de diversas auditorias, integradas ou não a outros sistemas auditores, e para cada auditoria um plano de auditoria. A equipe de auditores precisa ter a competência adequada para a auditoria.
A auditoria Existem basicamente 3 tipos de auditoria; Auditoria de primeira parte é a auditoria interna, que objetiva garantir a implementação correta de controles. Auditoria de segunda parte é a auditoria contratada para verificar se a auditoria interna foi realizada adequadamente. Auditoria de terceira parte é a auditoria contrata para aferir certificação com base em determinado critério de auditoria.
A auditoria Uma auditoria deve basear-se em alguns elementos essenciais, que proporcionarão confiabilidade a todo o processo. É importante que a auditoria seja pautada pela ética, pela justiça, pelo zêlo profissional, pela imparcialidade, e por uma abordagem baseada em evidências.
A auditoria A conduta ética do profissional de auditoria fará com que ele seja uma pessoa confiável, íntegra, discreta e que mantém a confidencialidade das informações as quais tem acesso.
A auditoria A apresentação justa refere-se a obrigação de informar verazmente e precisamente a respeito das constatações de auditoria, dos relatórios e das conclusões. Mesmo as divergências entre a equipe de auditoria e o auditado que não forem resolvidas, devem ser claramente relatadas.
A auditoria O cuidado profissional refere-se ao trabalho zeloso e a aplicação do julgamento correto na atividade de auditoria, considerando a relevância e a responsabilidade que um auditor tem.
A auditoria A independência refere-se ao trabalho imparcial que deve ser realizado pela equipe de auditoria. Para tanto, os auditores não podem ser subordinados ou dependentes do auditado direto. Os auditores precisam manter a mente aberta e estarem livres da tendência de conflito de interesses.
A auditoria A abordagem baseada em evidências refere-se ao método científico para gerar as conclusões de auditoria, de modo que estas sejam confiáveis e reproduzíveis. A utilização de amostragem é aceitável para reduzir o tempo de auditoria, mas deve garantir a confiabilidade necessária aos resultados obtidos.
Critérios de auditoria Existem diversos critérios de auditoria, dependendo do tipo da auditoria e dos resultados esperados. Um critério de auditoria é um conjunto de políticas, procedimentos ou requisitos. Vejamos alguns destes critérios e seus principais objetivos.
Critérios de auditoria Existem diversos critérios de auditoria, dependendo do tipo da auditoria e dos resultados esperados. Um critério de auditoria é um conjunto de políticas, procedimentos ou requisitos. Vejamos alguns destes critérios e seus principais objetivos.
Critérios de auditoria A ISO 27.001 é um critério específico para auditorias de segurança da informação. O objetivo deste critério é garantir que a informação na organização esteja preservada quanto a sua confidencialidade, disponibilidade e integridade. Ela aborda temas tais como Política de Segurança, Classificação da Informação, Segurança Física, Segurança de Acesso Lógico, Segurança em Sistemas, entre outros.
Critérios de auditoria A Sarbanes-Oxley (SARBOX / SOX) é um critério específico para auditorias de segurança relacionadas com as atividades financeiras da organização. Trata-se de uma lei americana criada por Paul Sarbanes e Michael Oxley com o objetivo de garantir transparência das operações financeiras altamente baseadas em sistemas de informação. Ela estabelece regras de segurança e auditoria, que inclui a criação de comitês e comissões de supervisão.
Critérios de auditoria Sarbanes-Oxley (SARBOX / SOX) Seção Seção 302 Seção 404 Seção 409 Requisitos A seção Corporate Responsibility for Financial Reports determina que CEOs e CFOs devem assinar documentos trimestralmente e anualmente certificando que seus relatórios financeiros estão corretos e precisos. A seção management assessment of internal controls determina que a organização documente, teste e relatorie sua estrutrua interna de controles; Auditories externos devem atestar a qualidade destes controles. A seção real-time issuer disclosures determina que a organização elabore um relatório claro sobre material changes to the financial condition or operations em no máximo 48 horas. Aspectos principais Garante que os executivos tenham avaliado a efetivadade dos controles internos 90 dias antes do relatório atual. Garante a existência de controles internos para os sistemas finaceiros existentes e outros grandes sistemas corporativos. Garante que o monitoramento financeiro está altamente automatizado e suportado por um grande número de diferentes sistemas. Principais preocupaçoes dos executivos Quem na organização é responsável por garantir a integridade e a disponibilidade dos sistemas financeiros? Entre os controles internos, estão inclusos o Plano de Continuidade de Negócio e as respectivas considerações de recuperação de desastres? Quanto será a material changes monitorada quando os sistemas de monitoramento estiverem for a do ar para manutenção ou upgrade?
Critérios de auditoria A metodologia ITIL é um critério específico itsmf, ou simplesmente, Gerenciamento de serviços de TI. Contém os seguintes livros: Service Delivery, Service Support, The Business Perspective - the IS View of Delivering Services to the Business, Planning to Implement IT Service Management, Software Asset Management, Security Management, ITIL Small-scale Implementation, Applications Management, ICT Infrastructure Management, Gerenciamento de Serviços de TI na Prática - Uma abordagem com base na ITIL
Critérios de auditoria A metodologia COBIT é um critério específico para gestão de TI. Grande foco no alinhamento estratégico, no planejamento e acompanhamento dos planos e retorno sobre os investimentos em Tecnologia da Informação.
Critérios de auditoria A norma ISO 12.207 é um critério específico sobre o ciclo de vida do software. A norma se preocupa com a aquisição ou desenvolvimento do software, seu suporte durante o período de uso, e os processos de gestão e melhoria contínua. Há ainda foco na questão dos treinamentos e infra necessários para utilização adequada do software.
Critérios de auditoria A norma ISO 9.126 é um critério específico sobre a qualidade do software. A norma se preocupa com aspectos tais como funcionalidade adequada, confiabilidade, usabilidade, eficiência, manutenibilidade, e portabilidade. A ISO 14.598 é uma norma de apoio a avaliação da qualidade de software.
Critérios de auditoria O modelo CMMI é um critério específico para a melhoria contínua do processo de desenvolvimento de software. Trata-se de um modelo de maturidade, ou seja, que permite a organização evoluir ao passo que implementa os procedimentos propostos.
Critérios de auditoria Naturalmente existem outras normas e metodologias que podem ser adotadas como critério de uma auditoria. As normas e metodologias apresentadas neste documento são meramente ilustrativos.
Competência dos auditores Boa parte da estabilidade e dos resultados obtidos pela atividade de auditoria dependem da competência do auditor. Esta competência é uma composição entre os atributos pessoais, os conhecimentos e habilidades, e a educação e experiência profissional. O auditor precisa ter competência em auditoria, e competência específica para o tipo de auditoria que pretende conduzir.
Competência dos auditores Os atributos pessoais estão muito relacionados com os princípios essenciais de uma auditoria, que já foi visto. Portanto, o auditor precisa ser ético, ter a mente aberto, ser diplomático, observador, perceptivo, versátil, persistente, racional, e auto confiante. Estes atributos não são todos facilmente encontrados em uma só pessoa, mas podem ser desenvolvidos.
Competência dos auditores Quanto aos conhecimentos e habilidades, isto tem a ver com uma grande diversidade de aspectos. É importante possuir conhecimentos gerais, tais como técnicas de auditoria, sistema de gestão, conhecimento de negócio, leis e regulamentos. Competência para liderar equipes de auditoria é necessário. Conhecer o critério de auditoria específico é fundamental.
Competência dos auditores A educação e experiência profissional, se relacionam com a competência para cada autor da auditoria. O auditor precisa ter treinamento em auditoria e conhecer bem o critério de auditoria. O auditor líder precisa ter uma competência superior a dos demais auditores, em conhecimento e em experiência.
Competência dos auditores Parâmetro Auditor Auditor Líder Educação Experiência total Experiência específica Treinamento em auditoria Experiência em auditoria Mínimo: nível médio. 5 anos para NM e 1 ano para NS. Mínimo de 2 anos. Idem. Idem. Idem. 40h. Idem. 4 auditorias, mínimo 20 dias. 3 auditorias, mínimo 15 dias, como líder.
Competência dos auditores A competência do auditor precisa ser sempre melhorada, e que mesmo as competências existentes sejam mantidas através da participação regular em auditorias. Os auditores pode se certificar pelo RAC (Registro de Auditores Certificados). Visite o site http://www.cic.org.br. Níveis de certificação: Auditor Auditor Aspirante Auditor Interno Auditor Líder
Programa de auditoria Um programa de auditoria pode envolver uma ou mais auditorias, e estas auditorias pode ser combinadas ou em conjunto. Quando diferentes sistemas de gestão (qualidade, segurança da informação, ambiente) são auditados juntos, isto é chamado de auditoria combinada. Quando duas ou mais organizações de auditoria cooperam para auditar um único auditado, isto é chamado de auditoria conjunta.
Programa de auditoria A ações fundamentais que contribuem para o êxito das estratégias de negócio da organização devem ser fortemente apoiadas e patrocinadas pela Alta Direção. Não é diferente no caso do programa de auditoria em Tecnologia da Informação, Segurança da Informação, Governança em TI, Gestão de Serviços em TI, ou qualquer outra considerada estratégica.
Programa de auditoria De fato, os programas de auditoria precisam ser geridos, e para tal, a organização deve estabelecer um processo contínuo para este fim. Como todos os processos de qualidade, o de auditoria também precisa garantir a melhoria contínua, e para tanto, um ciclo P-D-C-A, demonstrado no próximo slide.
Programa de auditoria Existe uma norma específica que estabelece uma proposta de P-D-C-A para o programa de auditoria. Esta mesma norma propõe uma metodologia para as atividades de auditoria, e para as competências dos auditores. Esta norma é a NBR ISO 19.011 Diretrizes para auditorias.
Programa de auditoria Melhorando o programa de auditoria Monitorando e analisando - Monitoração e análise crítica - Necessidade de ações corretivas - Necessidade de ações preventivas - Oportunidades de melhoria CHECK ACT DO PLAN Estabelecendo o programa - Objetivos e abrangência - Responsabilidades - Recursos - Procedimentos Implementando o programa - Programando auditorias - Avaliando auditores - Selecionando equipes - Dirigindo auditorias - Mantendo registros
Estabelecendo o programa Um primeiro passo é definir o objetivo do programa de auditoria, que pode estar relacionado com questões estratégicas, aspectos comerciais, requisitos do próprio SGSI, dos clientes, ou das leis e regulamentos, entre outros. Por exemplo, Satisfazer requisitos da norma X, Conformidade com contratos, e Ober confiança do cliente seriam objetivos válidos.
Estabelecendo o programa Em seguida deve-se definir a abrangência deste programa, que será influenciado pelo tamanho e complexidade da organização, frequência das auditorias, requisitos normativos, preocupações das partes interessadas, mudanças significativas na organização, entre outros.
Estabelecendo o programa O próximo passo é definir as responsabilidades do programa de auditoria. O programa de auditoria deve ser gerenciado por um ou mais colaboradores que compreendam os princípios de auditoria, que possam avaliar os auditores, e que tenham compreensão técnica e capacidade gerencial, especialmente da gestão de projetos.
Estabelecendo o programa Os recursos necessários para o programa de auditoria precisam ser reservados. É importante lembrar que os recursos se referem não apenas aos aspectos financeiros, mas também aos recursos técnicos, ao processo de obtenção manutenção das competências dos auditores, recursos humanos (disponibilidade), tempo e dinheiro para viagens, hospedagens e coisas do gênero.
Estabelecendo o programa Os procedimentos de auditoria deve ser definidos, e podem fazer parte da Política de Segurança da Informação (PSI). Devem abranger o planejamento das auditorias, a manutenção das competências, a seleção das equipes, a realização das auditorias, as ações de acompanhamento, o registro, a monitoramento do programa, e o processo de comunicação com a Alta Direção a respeito dos resultados.
Implementando o programa Implementar o programa é, de fato, fazer acontecer tudo o que foi planejado. Isto envolve comunicar as partes interessadas, coordenar as auditorias, avaliar continuamente a competência dos auditores, selecionar e monitorar as equipes, garantir os recursos, gerenciar o cronograma de auditoria, analisar os riscos, e manter a qualidade do programa.
Implementando o programa Em qualquer processo de auditoria, os registros são de fundamental importância. São a evidência de que o programa existe. Sendo assim, são três as principais categorias de registro: 1 Relativos a auditoria; 2 Relativos a análise crítica do programa; 3 Relativos ao pessoal de auditoria.
Implementando o programa Os registros relativos as auditorias incluem: 1 - Planos de auditoria; 2 - Relatórios de auditoria; 3 - Relatórios de não conformidade; 4 - Relatórios de ação corretiva; 5 - Relatórios de acompanhamento.
Implementando o programa Os registros relativos as análise crítica incluem: 1 Atas de reunião; 2 Registro de informações consideradas; 3 Relatório de propostas.
Implementando o programa Os registros relativos a equipe de auditoria incluem: 1 Competência do auditor; 2 Avaliação de desempenho; 3 Seleção das equipes; 4 Experiência adquirida; 5 Treinamentos realizados.
Monitorando o programa A própria implementação do programa precisa ser monitorada. Pode parecer estranho, já que o programa criado para auditar precisa também ser auditado. As informações obtidas neste monitoramente devem ser estruturadas de maneira didática e repassadas para a Alta Direção.
Monitorando o programa Mas como monitorar a implantação de um programa de auditoria? O acompanhamento do cronograma de implantação é uma bom começo. Os resultados obtidos em termos de documentos gerados, procedimentos escritos, e implementados, devem ser considerados.
Monitorando o programa No entanto, um método efetivo é criar indicadores de desempenho que possam monitorar características tais como: A habilidade da equipe de auditoria em implementar o plano de auditoria; A conformidade com o programa de auditoria e as programações; A realimentação dos clientes de auditoria, auditados e auditores.
Melhorando o programa O objetivo da análise crítica do programa de auditoria é considerar todas as informações possíveis a respeito do programa, de modo que seja possível avaliar a situação atual, definir uma situação futura desejada, e propor melhorias que garantam o preenchimento da lacuna entre a situação atual e a desejada.
Melhorando o programa A análise crítica deve considerar, por exemplo: 1 - resultados e tendências apresentadas pelo monitoramento; 2 - A conformidade com os procedimentos; 3 - A evolução de necessidades e expectativas das partes interessadas; 4 - Os registros do programa de auditoria (já mencionados); 5 - A consistência no desempenho entre equipes de auditoria.
Fundamentos em auditoria Uma visão mais ampla sobre segurança da informação poderá ser obtida no livro Sistema de Segurança da Informação Controlando os riscos, de André Campos, Editora Visual Books.