Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Informatizados
Auditoria
Almir Feliciano Neto
08
Auditoria
de
Sistemas
Informatizados
Universidade do Estado de Minas Gerais
Faculdade de Polticas Pblicas Tancredo Neves
Curso Superior de Tecnologia em Gesto de Finanas
Pblicas e Auditoria Governamental
Belo Horizonte - MG
2008
Almir Neto
Pgina 2 de 49
EMENTA
Controle interno; Auditoria de Sistemas; Metodologia de auditoria de sistemas; Controle e
segurana ambiental de tecnologia da informao sob a tica da auditoria de sistemas; Tecnologia
de informao; Controle e segurana lgica em sistemas de informao; Auditoria de sistemas em
produo; Informatizao dos processos governamentais. Sistemas corporativos Estaduais: SIAFI,
SIAD, SIGPLAN, SIARE, SISAP, SIPRO; propsitos, principais mdulos, estrutura de
gerenciamento; Emisso de relatrios de auditoria de sistemas de informaes.
OBJETIVOS:
Apresentar conceitos e noes fundamentais das principais metodologias de auditoria de sistemas
informatizados:
Entender conceitos de auditoria em sistemas de informao, controles gerenciais e de
aplicaes;
Fundamentar os conceitos de Controle Interno, Pontos de Controle e Pontos de Auditoria;
Conhecer as etapas comumente observadas num trabalho de Auditoria de Sistemas;
Entender as principais abordagens de um trabalho de auditoria, momento em que se
relacionam a aplicabilidade a situaes prticas;
Identificar mecanismos que propiciem um trabalho contnuo de avaliao da segurana do
ambiente computacional;
Planejar um trabalho de auditoria de sistemas utilizando os Sistemas corporativos do
Governo de Estado de Minas Gerais;
Almir Neto
Pgina 3 de 49
Apresentao
1. CONTROLE INTERNO
1.1. Conceitos Bsicos
1.2. Definio de Controle Interno
1.3. Relacionamento entre controle interno e auditoria
1.4. Controle interno e auditoria de sistemas
2. AUDITORIA DE SISTEMAS
2.1. Objetivos da auditoria de sistemas
2.2. Ciclo de vida de um sistema de informao e atuao da auditoria de sistemas
2.3. Pontos de controle e pontos de auditoria
2.4. Ciclo de vida de auditoria de sistemas
3. METODOLOGIA E AUDITORIA DE SISTEMAS
3.1. Etapas da metodologia de auditoria de sistemas
4. CONTROLE E SEGURANA AMBIENTAL DE TECNOLOGIA DA INFORMAO
SOB A TICA DE AUDITORIA DE SISTEMAS
4.1. Aspectos Gerais
4.2. Medidas e contramedidas de proteo por rea de controle
5. TECNOLOGIA DA INFORMAO
5.1. Aspectos gerais
5.2. Planejamento do projeto de auditoria no ambiente de informtica
5.3. Levantamento e caracterizao do ambiente de informtica
5.4. Inventrio e eleio dos pontos de controle
5.5. Avaliao dos pontos de controle eleitos
5.6. Concluso e acompanhamento das recomendaes
6. CONTROLE E SEGURANA LGICA EM SISTEMAS DE INFORMAO
6.1. Aspectos gerais
6.2. Controles em operaes e dados de entrada
6.3. Controle em operaes de processamento
6.4. Controles em operaes e dados de sada
6.5. Controles em ambientes de sistemas em rede, teleprocessamento e banco de dados
6.6. Medidas que amenizam a ocorrncia de ameaas em geral
Almir Neto
Pgina 4 de 49
Propsitos
8.1.1.2.
Principais mdulos
8.1.1.3.
Estrutura de gerenciamento
Propsitos
8.1.2.2.
Principais mdulos
8.1.2.3.
Estrutura de gerenciamento
Propsitos
8.1.3.2.
Principais mdulos
8.1.3.3.
Estrutura de gerenciamento
Propsitos
8.1.4.2.
Principais mdulos
8.1.4.3.
Estrutura de gerenciamento
Almir Neto
8.1.5.1.
Propsitos
8.1.5.2.
Principais mdulos
8.1.5.3.
Estrutura de gerenciamento
Pgina 5 de 49
Almir Neto
8.1.6.1.
Propsitos
8.1.6.2.
Principais mdulos
8.1.6.3.
Estrutura de gerenciamento
Pgina 6 de 49
SISTEMA DE AVALIAO:
Ms
Almir Neto
Pontos
Critrios
Fevereiro
10
Avaliao Mensal
Maro
10
Avaliao Mensal
Abril
20
Avaliao Mensal
Maio
15
Junho
15
Julho
30
Prova Final
TOTAL
100
Aprovao
Trabalho em Grupo
Pgina 7 de 49
RECURSOS
o
o
o
o
o
o
o
MTODO
Almir Neto
Pgina 8 de 49
Objetivo
Revisar e avaliar o controle interno2 de Sistema3 de Informao4 em Processamento Eletrnico de
Dados PED5
1-Definio de problema;
2-Estudo de viabilidade;
3-Anlise;
4-projeto de sistema;
5-projeto detalhado;
6-implementao e definio;
4
Almir Neto
Pgina 9 de 49
Pgina 10 de 49
Levantamento das necessidades da empresa, problemas atuais e descrio das reas afetadas com os
procedimentos atuais;
Anlise das atividades, apresentando a soluo e priorizando seu desenvolvimento;
Dimensionamento dos recursos necessrios para desenvolver os projetos (custo de hardware, software, linhas de
comunicao, treinamento, etc.), e
Cronograma financeiro com as etapas de desembolso ms a ms, durante a fase de desenvolvimento do projeto.
Almir Neto
Pgina 11 de 49
Almir Neto
Pgina 12 de 49
Auditoria de
Sistema de Informao
Almir Neto
Pgina 13 de 49
Almir Neto
Pgina 14 de 49
Almir Neto
Pgina 15 de 49
Almir Neto
Pgina 16 de 49
Almir Neto
Pgina 17 de 49
PLANEJAMENTO DA AUDITORIA
Materialidade
Relevncia
Criticidade
A materialidade refere-se ao montante de recursos oramentrios ou financeiros alocados por uma gesto,
em um especfico ponto de controle (unidade organizacional, sistema, rea, processo de trabalho, programa
de governo ou ao) objeto dos exames pelos empregados auditores internos. Essa abordagem leva em
considerao o carter relativo dos valores envolvidos.
A relevncia significa a importncia relativa ou papel desempenhado por uma determinada questo,
situao ou unidade organizacional, existentes em um dado contexto.
A criticidade representa o quadro de situaes crticas efetivas ou potenciais a ser controlado, identificadas
em uma determinada unidade organizacional ou programa de governo. Trata-se da composio dos
elementos referenciais de vulnerabilidade, das fraquezas, dos pontos de controle com riscos operacionais
latentes, etc.
Deve-se levar em considerao o valor relativo de cada situao indesejada. A criticidade ainda, a
condio imprpria, por no conformidade s normas internas, por ineficcia ou por ineficincia, de uma
situao de gesto. Expressa a no-aderncia normativa e os riscos potenciais a que esto sujeitos os
recursos utilizados. Representa o perfil organizado, por rea, dos pontos fracos de uma organizao.
Almir Neto
Pgina 18 de 49
- [ uma das
Padro de Auditoria de SI
Cdigo de Auditoria
Doc #S1
O Conselho Federal de Contabilidade CFC emitiu em 24 de julho de 2005 a NBCT 11.12 que se refere
ao processamento eletrnico de dados PED. A referida norma contempla temas relacionados
capacidade e competncia, planejamento dos trabalhos, avaliaes de risco e procedimentos de auditoria.
Almir Neto
Pgina 19 de 49
Independncia profissional
Em todos os aspectos relacionados auditoria, o auditor de SI
deve ser independente do auditado, tanto em relao atitude
quanto aparncia.
Independncia organizacional
A funo de auditoria de SI deve ser independente da rea ou
atividade que est sendo revista para permitir a concluso do
objetivo da tarefa de auditoria.
o
o
Almir Neto
Pgina 20 de 49
Outros. www.isaca.org
A estrutura para os padres de auditoria de SI apresenta diversos nveis de
orientao
Padres
Definem requisitos obrigatrios para auditoria e relatrio de SI
Diretrizes
Pgina 21 de 49
Procedimentos
Fornecem exemplos de procedimentos que um auditor de SI pode
seguir durante a realizao de uma auditoria.
Certificaes
Os auditores certificados se adquam a esses procedimentos sob pena de
investigao de conduta
Certificao ISACA - CISA - Certified Information Systems Auditor
[Auditor Certificado em Sistemas de Informao]
Certificao IIA - The Institute of Internal Auditors CIA [Certified
Internal Auditor)
COBIT "Control OBjectives for Information and related Technology"
"Objetivos de Controles relacionados ao uso de Tecnologia da Informao COBIT"
Guia de Gesto de TI
Guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit
and Control Foundation, www.isaca.org)
O COBIT fornece um conjunto detalhado de controles e tcnicas de controle
para o ambiente de gerenciamento de SI
Almir Neto
Pgina 22 de 49
1 - Ambiente de Controle
Postura determinante da alta administrao
Clareza nas polticas, procedimentos, cdigo de tica, cdigo de
conduta a serem adotados
3 - Atividade de Controle
Atividades que, quando executadas a tempo e maneira
adequados, permitem a reduo ou administrao dos riscos
Principais atividades de controle
Preveno Busca evitar que fatos indesejveis ocorram
Almir Neto
Pgina 23 de 49
Almir Neto
Pgina 24 de 49
4 - Informao e Comunicao
Informaes sobre planos, ambiente de controle, riscos, atividade
de controle e desempenho
Devem ser transmitidas toda entidade
importante para obteno das informaes necessrias
identificao de riscos de oportunidades
Processo formal
Acontece atravs dos sistemas internos de comunicao,
sistemas computacionais e reunies de equipes de trabalho
Sistemas computacionais, reunies de equipes de trabalho
Processo informal
Almir Neto
Pgina 25 de 49
5 - Monitoramento
a avaliao dos controles internos ao longo do tempo.
Ele o melhor indicador para saber se os controles internos
esto sendo efetivos ou no.
O monitoramento feito atravs do acompanhamento contnuo
das atividades, quanto por avaliaes pontuais, tais como autoavaliao, revises eventuais e auditoria interna
A funo do monitoramento verificar se os controles internos
so adequados e efetivos.
Controle adequado aquele em que os cinco elementos do
controle esto presentes e funcionando conforme
planejado.
Controle so eficientes quando a alta administrao tem uma
razovel certeza:
Do grau de atingimento dos objetivos operacionais
De que as informaes fornecidas pelos relatrios e
sistemas corporativos so confiveis; e
Leis, regulamentos e normas pertinentes esto
sendo cumpridos.
Almir Neto
Pgina 26 de 49
Almir Neto
Introduo
Escopo dos trabalhos
Administrao de consideraes
Estimativa de Horas
Pgina 27 de 49
AUDITORIA DE POSIO
[PRIMEIRA FASE]
1 - LEVANTAMENTO DO SISTEMA A SER AUDITADO
Reviso
preliminar
organizacionais
das
(Nvel Macro)
informaes
Pgina 28 de 49
11
"Trilha de auditoria" - rotinas de controle que permitem recuperar de forma inversa as informaes processadas,
atravs da reconstituio.
Rotinas especficas programadas nos sistemas para fornecerem informaes de interesse da auditoria.
Conjunto cronolgico de registros que proporcionam evidncias do funcionamento do sistema. Estes registros podem
ser utilizados para reconstruir, revisar e examinar transaes desde a entrada de dados at a sada dos resultados
finais, bem como para rastrear o uso di sistema, detectando e identificando usurios no autorizados
Almir Neto
Pgina 29 de 49
Arquivo interno
Relatrio e documento interno
Ponto de integrao relatrio de sada
Ponto de integrao arquivo de sada
documentos de entrada
relatrios de sadas
telas
arquivos magnticos
rotinas e/ou programas de computador
pontos de integrao e demais elementos que compem o sistema de
informao
Processo
"Rotinas operacionais e/ou controle, procedimentos administrativos etc."
Resultado
"Documentos, relatrios, arquivos, pontos de integrao, estrutura lgica/fsica,
modelo conceitual"
Almir Neto
Pgina 30 de 49
Documentos de entrada
Rotina de preparao de dados
Rotina de converso e entrada de dados
Rotina de crtica e consistncia de dados
Rotina de clculo e atualizao de arquivos
Rotina de acerto de erros de Consistncia e atualizao
Arquivo13 mestre
Arquivo de transao
Rotina de manuteno de arquivos
Rotina de emisso de relatrios
Rotina de controle de qualidade e de distribuio de relatrios
Relatrios de sada
13
Arquivo: Coleo organizada de informaes, preparada para ser usada com finalidade especfica e identificada por
um nome.
Todo sistema de computao manipula informaes com certa regularidade. Essas informaes so guardadas em
discos ou fitas que so denominadas arquivo. Um exemplo, ento, um banco de dados que pode ser acessado pelo
computador para que o usurio faa pesquisa e/ou consultas. Um arquivo pode ser visto como um conjunto de
registros armazenados em memria auxiliar. Cada registro contm informaes que, por sua vez, constituem-se de
dados. Um dado sozinho pode ser definido como um fato isolado ou constitui uma informao que depende s dele.
Campos so reas que contm os dados e que so representados por variveis na memria. Caracteres, por sua vez,
so os smbolos usados para campos de dados.
14
ONLINE: o mtodo de tratamento de dados que age ao invs do BATCH. Neste caso, cada nova informao
passada ao sistema que atualiza o arquivo. Contudo, o processamento s ser feito quando chegar a vez da tarefa
correspondente "na fila de espera" e s ento o resultado ser devolvido ao usurio.
REALTIME: o processamento em tempo real um tipo especial de ONLINE porque todo dado obtido chamado ao
sistema alm de atualizar o arquivo, permite que o processamento seja feito na hora e em seguida o resultado
devolvido ao usurio. Exemplo: quando num terminal de um banco requerido o depsito ou retirado, o novo saldo
processado instantaneamente. No existe REALTIME sem ONLINE
Almir Neto
Pgina 31 de 49
Banco de dados15
Arquivo log16
Rotina de manuteno de banco de dados
Rotina de consulta e/ou emisso de relatrios
Telas de relatrios
controle;
15
Banco ou base de dados: Coleo de dados organizados. Conjunto de todas as informaes armazenadas em um
sistema de computao.
Grandes conjuntos de arquivos que contm informaes completas sobre determinado assunto recebem o nome de
banco de dados. Esses banco so formados a partir de processamento BATCH e depois podem ser manipulados
atravs de mtodos ONLINE, REALTIME e TELEPROCESSAMENTO. Para que a atualizao possa ser feita atravs desses
sistemas citados, os arquivos devem estar em disco pela vantagem da velocidade de acesso e, tambm, pela sua
organizao. Os bancos de dados so gerenciados por bases de dados. Exemplos: cadastro e movimento de contas
bancrias, cadastro imobilirio, etc. existem 4 principais modelos de banco de dados: modelo relacional de entidades,
modelo relacional, modelo em rede, modelo hierrquico.
16
Log: arquivo em disco ou fita no qual so registrados todos os fatos relevantes relativos ao processamento de uma
transao. Muito til para a recuperao de informaes para fins de auditoria ou recuperao de falhas.
O log o dirio de bordo do sistema. So registros de atividades no computador, geralmente so gravados em arquivos
no formato texto, de forma abreviada e algumas so at codificadas, de qualquer forma a informao est l, so
registros de ocorrncia que podem facilmente serem interpretados por quem conhece e lida com o sistema, pode acessar
diretamente, converter para outros formatos, utilizar ferramentas amigveis e tcnicas que variam de acordo com o
conhecimento de cada um.
17
Anlise de risco uma metodologia adotada pelos auditores de TI para saber, com antecedncia, quais as ameaas
puras ou provveis em um ambiente de tecnologia de informao de uma organizao. Essas ameaas puras, ou
provveis , constituem eventos futuros no desejveis e incertos, cuja ocorrncia resulta em perdas. IMONIANA
(2005. P. 52)
Risco: efeito latente resultante da exposio de uma sistema a uma situao qual este vulnervel.
Almir Neto
Pgina 32 de 49
Risco tecnolgico
informao).
(equipamentos;
sistemas;
confiabilidade
da
Identificar os riscos
Faa as perguntas para cada objetivo elencado, anotando as respostas que
representam ameaas.
Avaliar os riscos
Selecionar os riscos com maior probabilidade de ocorrncia e que causem
perdas, no caso de sua consumao.
Anotar os riscos no quadro de risco, Matriz de Risco18 para cada
objetivo.
18
Almir Neto
Pgina 33 de 49
Grau de Risco
1 Muito fraco
2 Fraco
3- Regular
4 Forte
5 Muito Forte
Selecionar pontos de controle
Selecionar em funo do grau de risco existente no ponto em relao a todo
o sistema
19
Tcnicas de Auditoria: As variadas metodologias usadas para auditar sistema de informao podem ser chamadas
de tcnicas. As mais utilizadas atualmente so:
Programas de computador
Questionrio
Simulao de dados
Visita in loco
Mapeamento estatstico
Rastreamento de programas
Entrevista
Anlise de relatrios / telas
Simulao paralela
Anlise de log / accounting
Anlise de programa fonte
Exibio parcial de memrias snap shot
Almir Neto
Pgina 34 de 49
Segurana fsica
Segurana lgica
Confidencialidade
Enquanto o walk-truth um caminho que contm rotinas operacionais, o audit-trail refere-se s rotinas de controle
com os respectivos resultados que garantem a integridade e a correta transformao dos dados em informao.
Almir Neto
Pgina 35 de 49
Eficincia
Pgina 36 de 49
Almir Neto
Pgina 37 de 49
Entrevista
Reunio entre o auditor de sistemas e pessoas envolvidas no ponto de
controle a ser auditado
Analisar o ponto de controle a ser auditado e identificar as
pessoas envolvidas
Elaborar "Chekclist" [ lista de verificao] ou roteiro para
realizao da entrevista
Marcar, antecipadamente, a data, hora e local com as
pessoas que sero entrevistadas
Anotar as respostas e comentrios dos entrevistados a
cada questo apresentada
Elaborar um ata da reunio realizada, ressaltando os
principais pontos discutidos
Analisar e avaliar os resultados obtidos, caso contrrio
voltar ao segundo item
Mtodo de Auditoria "atravs" do computador
Consiste na identificao, anlise e teste dos pontos de controle interno
do SI, ao nvel computadorizado.
Tracing, mapping e snapshot podem ser usada separadamente ou em
conjunto de que esteja integrado no Sistema Operacional.
Tcnicas de aplicao no mtodo atravs do computador
Test-deck - (Simulao de dados)
Objetiva obter evidncias materiais de que o sistema e seus
controles esto operando conforme a documentao SI.
[Necessita de conhecimentos em PED e procedimentos e
controles de operao].
Verificar e testar os procedimentos contidos nos programas
componentes do SI
Identificar e caracterizar o ponto de controle do sistema a
ser auditado
Entender os procedimentos do ponto de controle do
sistema, atravs da anlise de sua documentao
Almir Neto
Pgina 38 de 49
Almir Neto
Pgina 39 de 49
21
Almir Neto
Pgina 40 de 49
Almir Neto
Pgina 41 de 49
22
Almir Neto
Pgina 42 de 49
denominados
de
Pgina 43 de 49
Ponto de Auditoria
Pgina 44 de 49
Almir Neto
Pgina 45 de 49
4 CONCLUSO
Elaborar relatrio final de auditoria e documentao do sistema auditado - [Anlise e
concluso]
Emitir Relatrio de Auditoria com caracterizao dos pontos de auditoria
[Confeco/emisso de relatrio]
Objetivos
Trabalhos realizados
Pontos de controle que apresentaram fraquezas de controle interno
Consideraes gerais]
Opinio e/ou parecer
Relatrio detalhado25
O auditor pode apresentar um relatrio com nveis de detalhes.
Modelo de um relatrio detalhado sobre reviso de um procedimento de
controle:
Imoniana, Joshua Onome. Auditoria de Sistemas de Informao. So Paulo: Atlas, 2005. Pag. 196,197.
Almir Neto
Pgina 46 de 49
Almir Neto
Pgina 47 de 49
AUDITORIA DE ACOMPANHAMENTO
[SEGUNDA FASE]
ACOMPANHAMENTO DA AUDITORIA
Monitoramento
Avaliar o comprometimento da administrao frente aos parmetros de "CI"
determinados no incio do projeto de auditoria.
Indicadores de produtividade
Indicadores de desempenho
Indicadores de qualidade
Almir Neto
Pgina 48 de 49
REFERNCIAS BIBLIOGRFICAS:
Disponvel em:
http://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.Re
portingStandard_PB.pdf. Acesso em 29/01/2008
Information Systems Audit and Control Association. Padro de Auditoria de SI Atividades de Acompanhamento.
Disponvel:
em
www.isaca.org/.../Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_PB
.pdf acesso em 29/01/2008
Information Systems Audit and Control Association. Padro de Auditoria de SI. Independncia. Disponvel em
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentF
ileID=7290. Acesso em 29/01/2008
Information Systems Audit and Control Association Padro de Auditoria de SI tica e Padres Profissionais.
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentF
ileID=7291 acesso em 29/01/2008
Information Systems Audit and Control Association Padro de Auditoria de SI. Desempenho do Trabalho de Auditoria.
Disponvel em:
http://www.itgi.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFil
eID=7294. Acesso em 29/01/2008
Information Systems Audit and Control Association Padro de Auditoria de SI. Competncia Profissional. Disponvel
em:
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentF
ileID=7292. Acesso em 29/01/2008
Information Systems Audit and Control Association Padro de Auditoria de SI. Cdigo de Auditoria. Disponvel em:
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentF
ileID=7289. Acesso em 29/01/2008
Almir Neto
Pgina 49 de 49
Almir Neto
Pgina 50 de 49