Youblisher.com 519613-an lisis-matem_tico_i_para_estudiantes_de_ingenier_a
Youblisher.com-269725-Auditoria e Seguran a Inform Tica Unidade I
-
Upload
analide-saka-fizzy -
Category
Documents
-
view
27 -
download
0
description
Transcript of Youblisher.com-269725-Auditoria e Seguran a Inform Tica Unidade I
AUDITORIA E SEGURANÇA
INFORMÁTICA
Unidade I
CONTROLO INTERNO E AUDITORIA
INFORMÁTICA
Instituto Superior Monitor
Outubro 2011
AUDITORIA E SEGURANÇA INFORMÁTICA
Ficha Técnica:
Título: AUDITORIA E SEGURANÇA INFORMÁTICA – CONTROLO INTERNO E AUDITORIA
INFORMÁTICA
Autor: Joseph Rafael Katame
Revisor: Edias Jambaia
Execução gráfica e paginação: Instituto Superior Monitor
1ª Edição: 2011
© Instituto Superior Monitor
Todos os direitos reservados por:
Instituto Superior Monitor
Av. Samora Machel, nº 202 – 2.º Andar
Caixa Postal 4388 Maputo
MOÇAMBIQUE
Nenhuma parte desta publicação pode ser reproduzida ou transmitida
por qualquer forma ou por qualquer processo, electrónico, mecânico
ou fotográfico, incluindo fotocópia ou gravação, sem autorização
prévia e escrita do Instituto Superior Monitor. Exceptua-se a
transcrição de pequenos textos ou passagens para apresentação ou
crítica do livro. Esta excepção não deve de modo nenhum ser
interpretada como sendo extensiva à transcrição de textos em
recolhas antológicas ou similares, de onde resulte prejuízo para o
interesse pela obra. Os transgressores são passíveis de procedimento
judicial
ii
ii
Índice
INTRODUÇÃO ............................................................................................................... iv
ESTRUTURA DA UNIDADE I ....................................................................................... 6
CONTEXTUALIZAÇÃO ................................................................................................ 6
RESULTADOS DE APRENDIZAGEM DA UNIDADE I ............................................. 8
CAPÍTULO I – INTRODUÇÃO À AUDITORIA INFORMÁTICA .............................. 9
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO .................................................... 9
1.1 A AUDITORIA INFORMÁTICA .................................................................... 9
1.2 A ORIGEM DA AUDITORIA NOS PAÍSES DESENVOLVIDOS ................ 9
1.3 EVOLUÇÃO HISTÓRICA DA AUDITORIA ............................................... 10
1.4 AUDITORIA NA ERA DA INFORMAÇÃO ................................................ 10
1.5 OBJECTIVOS DE UMA AUDITORIA INFORMÁTICA ............................ 11
1.6 TIPOS DE AUDITORIA ................................................................................ 12
1.7 PERFIL E QUALIFICAÇÕES DO AUDITOR .............................................. 13
EXERCÍCIOS ....................................................................................................... 14
CAPÍTULO II – FUNÇÕES DE CONTROLO INTERNO E AUDITORIA
INFORMÁTICA ............................................................................................................. 15
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO: ................................................. 15
2.1 CONTROLO INTERNO DE INFORMÁTICA .............................................. 15
2.2 CONTROLO INTERNO E AUDITORIA INFORMÁTICA: CAMPOS
ANÁLOGOS ......................................................................................................... 17
2.3 COBIT (Control Objectives for Information and Related Technology) ......... 18
2.4 CONVERGÊNCIA DE AUDITORIA DE SI E COBIT ................................. 22
EXERCÍCIOS ....................................................................................................... 23
RESPOSTAS ......................................................................................................... 23
CAPÍTULO III – SISTEMA DE CONTROLO INTERNO INFORMÁTICO .............. 24
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO .................................................. 24
3.1 DEFINIÇÃO E TIPOS DE CONTROLOS INTERNOS ................................ 24
3.2 IMPLEMENTAÇÃO DE UM SISTEMA DE CONTROLO INTERNO
INFORMÁTICO ................................................................................................... 25
EXERCÍCIOS ....................................................................................................... 39
CAPÍTULO IV – AUDITORIA DE SISTEMAS DE GESTÃO DAS TECNOLOGIAS
DE INFORMAÇÃO E COMUNICAÇÃO ..................................................................... 40
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO: ................................................ 40
4.1 IMPLEMENTAÇÃO DE SISTEMA DE GESTÃO DE TICs ....................... 41
AUDITORIA E SEGURANÇA INFORMÁTICA
4.2 AUDITORIA INTERNA ................................................................................ 42
4.3 PROCESSO DE CERTIFICAÇÃO DOS SISTEMAS DE GESTÃO DAS
TICs ....................................................................................................................... 42
EXERCÍCIOS ....................................................................................................... 43
QUADRO SINÓPTICO ................................................................................................. 44
BIBLIOGRAFIA ............................................................................................................ 46
AVALIAÇÃO DA DISCIPLINA DE AUDITORIA E SEGURANÇA INFORMÁTICA47
ANEXO I - QUESTIÓNARIO DE AVALIAÇÃO DA SATISFAÇÃO DO
ESTUDANTES 48
iv
iv
INTRODUÇÃO
Caro Estudante,
Seja Bem-vindo(a) à unidade I da disciplina de Auditoria e Segurança
Informática.
Para ter sucesso nesta unidade necessita de estudar com atenção todo o
manual, não deixando de rever as unidades anteriores.
Para complementar os seus conhecimentos recomenda-se que realize uma
leitura pelos recursos auxiliares recomendados ao longo desta unidade,
não só pela bibliografia indicada como pelos websites sugeridos. Para
aceder a outras bibliotecas faça-se acompanhar do seu cartão de estudante.
A biblioteca virtual do ISM inclui livros digitalizados, artigos, websites e
outras referências importantes para esta e outras disciplinas, que deverá
utilizar na realização de casos práticos. A biblioteca virtual pode ser
consultada em http://www.ismonitor.ac.mz/.
O aluno pode ainda recorrer a outras bibliotecas virtuais, como por exemplo
em:
www.saber.ac.mz
www.books.google.com
Recomenda-se que o aluno não guarde as suas dúvidas para si e que as
apresente ao tutor, sempre que achar pertinente. Recomenda-se que entre
em contacto com a respectiva faculdade através do e-mail
[email protected] ou pelo contacto telefónico 82 36 99 885
Os exercícios práticos têm como objectivo a consolidação do
conhecimento dos temas apresentados nesta unidade. O Instituto Superior
Monitor fornece as soluções de muitos desses exercícios de forma a facilitar
o processo de aprendizagem, mas atenção caro estudante, você deve
resolver os exercícios de auto-avaliação antes de consultar as soluções
fornecidas.
No final desta unidade encontra-se o teste de avaliação. A avaliação deve
ser submetida ao Instituto Superior Monitor até 30 (trinta) dias após a
recepção da unidade. A avaliação da unidade pode ser submetida por e-mail
([email protected]), fax, carta, entrega directa na instituição ou usando
outros meios de comunicação.
Esta unidade pressupõe que a realização de 37,5 horas de aprendizagem,
distribuídas da seguinte forma:
Tempo para leituras da unidade: 22 horas;
Tempo para trabalhos de pesquisa: 5 horas;
Tempo para realização de exercícios práticos: 8,5 horas;
Tempo para realizar avaliações: 2 horas.
AUDITORIA E SEGURANÇA INFORMÁTICA
A presente unidade é válida por 12 (doze) meses. Os estudantes que não
tenham obtido aproveitamento na disciplina (por terem interrompido o curso
ou reprovado) devem contactar o Instituto Superior Monitor. Esta
recomendação deve-se ao facto de os materiais serem periodicamente revistos
e actualizados, de forma a se adaptarem às mudanças do mundo actual e às
dinâmicas da produção de conhecimento no seio da própria disciplina.
6
6 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
ESTRUTURA DA UNIDADE I
A presente unidade é composta por quatro capítulos e tem como
propósito dotar aos estudantes de conceitos indispensáveis para a
compreensão dos mecanismos de controlo dos sistemas informáticos nas
organizações e a realização de auditoria informática.
O primeiro capítulo introduz aos estudantes os conceitos relacionados
com auditoria informática, sua origem, evolução histórica e objectivos.
O segundo capítulo aborda as funções de controlo interno e COBIT, e a
convergência de SI e COBIT.
O capítulo três, sistema de controlo interno, descreve o sistema de
controlo interno, tipos de controlo interno e auditoria informática, e por
fim a implementação de um sistema de controlo interno.
Finalmente, no quarto capítulo, aborda sobre auditoria de sistemas de
gestão de tecnologias de informação e comunicação, e o processo de
certificação desses sistemas.
CONTEXTUALIZAÇÃO
Com a ploriferação de Sistemas de Informação (SI) nas organizações,
surge a necessidade de obtenção de qualidade dos mesmos. Estando na era
da informação, esta constitui o alicerce das organizações, pois facilita a
gestão das actividades dos diversos níveis e sectores da organização.
Auditoria e segurança dos sistemas de Informação constituem elementos
chaves para manter sistemas de informação a funcionar plenamente
durante muito tempo.
Cannon (2008), considera o termo auditar como sendo uma revisão da
história passada. O auditor segue os processos definidos de auditoria,
estabelece critérios de auditoria, reúne provas significativas, e torna
independente a opinião sobre controlos internos.
Segundo FFIEC (2004), segurança da informação é o processo pelo qual
uma organização protege seus sistemas, meios de comunicação e
instalações que processam e mantêm informações vitais para suas
operações.
Portanto, a auditoria deverá procurar encontrar possíveis problemas e
sugerir soluções para os mesmos, ou comprovar que o sistema se encontra
em perfeito estado e após auditado deverá manter o rumo. Enquanto, a
segurança deve ser um processo contínuo a ser observado na organização,
estabelecendo todos padrões recomendados sobre segurança de
AUDITORIA E SEGURANÇA INFORMÁTICA
7
informação.
A presente disciplina pretende dotar ao estudante de princípios, teorias,
procedimentos e técnicas de Auditoria e Segurança Informática, que lhe
permitirão empregar na vida profissional, mais concretamente nas
organizações, para solucionar e prevenir problemas relacionados com os
sistemas de informação.
A disciplina foi dividida em quatro unidades para as quais se
estabeleceram os seguintes objectivos específicos:
- A presente unidade denominada Controlo interno e auditoria
informática tem como propósito dotar aos estudantes de conceitos
indispensáveis para a compreensão dos mecanismos de controlo dos
sistemas informáticos nas organizações e a realização de auditoria
informática. Nesta unidade pretende-se que os alunos aprendam os
conceitos fundamentais relacionados com a auditoria informática, as
funções de controlo interno, sistemas de controlo interno e auditoria de
sistemas de gestão de tecnologias de informação e comunicação;
- A segunda unidade será relativa à metodologias de controlo interno e
segurança informática. Nesta unidade pretende-se que os estudantes
consigam descrever as metodologias de avaliação de sistemas e as
metodologias de auditoria informática; pretende-se ainda, que o
estudante seja dotado de conhecimentos sobre como elaborar o plano e o
relatório de uma auditoria informática;
- Na unidade 3, ferramentas para auditoria de sistemas de informação,
pretende-se que os alunos conheçam algumas ferramentas para a
auditoria de sistemas de informação de acordo com as suas funções,
finalidade, localização, produtividade e por cobertura;
- Finalmente, a última unidade trata das principais áreas de auditoria
informática. Pretende-se que o aluno conheça as principais áreas de
auditoria informática tais como auditoria de “outsourcing”, auditoria
física, auditoria de base de dados, auditoria de segurança, auditoria de
redes, auditoria de aplicações e auditoria de Internet.
O sucesso do aluno depende em grande medida da forma como planifica
e organiza as tarefas de estudo. À medida que o aluno for
experimentando sucesso na aprendizagem sentirá uma maior satisfação e
interesse pelos conteúdos programáticos. Por isso, siga os conselhos que
lhe são propostos para sair bem-sucedido na disciplina!
8
8 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
RESULTADOS DE APRENDIZAGEM DA UNIDADE I
No final da primeira unidade os alunos deverão ser capazes de:
Compreender os conceitos relacionados com auditoria
informática, sua história e evolução.
Descrever as funções de controlo interno e auditoria informática.
Compreender os sistemas informáticos de controlo interno.
Compreender o processo de auditoria de sistemas de gestão de
tecnologias de informação e comunicação.
.
AUDITORIA E SEGURANÇA INFORMÁTICA
9
UNIDADE I – CONTROLO INTERNO E AUDITORIA
INFORMÁTICA
CAPÍTULO I – INTRODUÇÃO À AUDITORIA INFORMÁTICA
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO
No final deste capítulo, o estudante deverá ser capaz de:
Compreender o conceito auditoria, sua origem e evolução;
Compreender a forma de auditoria na era de informação;
Compreender os objectivos de uma auditoria informática;
Descrever os tipos de auditoria informática e o perfil de um auditor;
1.1 A AUDITORIA INFORMÁTICA
Segundo Gentil (2008), pode-se conceituar auditoria como sendo o acto de
examinar as operações, processos, sistemas e responsabilidades de gestão
de uma organização com o intuito de verificar o cumprimento das normas,
objectivos e metas prefixadas pela mesma. Portanto, a auditoria visa
examinar de forma crítica as actividades de uma organização ou outra
entidade com o objectivo de avaliar a sua eficiência e eficácia.
1.2 A ORIGEM DA AUDITORIA NOS PAÍSES DESENVOLVIDOS
Segundo Crepaldi (2006), o termo auditor originou-se no final do século
XIII, na Inglaterra, sob o poder do rei que mencionava o termo auditor
sempre que se referia ao exame das contas, alegando que se estas não
estivessem correctas, iria punir seus responsáveis.
Posteriormente, nos Estados Unidos da América, como exemplo, as
grandes empresas de transporte ferroviário criaram unidades fiscais
chamadas “Travelling Auditors” (Auditores Viajantes), que tinham a
função de visitar as estações rodoviárias e assegurar que todo produto da
venda de passagens e de fretes de carga estavam sendo arrecadados e
contabilizados correctamente. E após a fundação do The Institute of
10
10 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
Internal Auditors (Instituto de Auditores Internos), em Nova York, a
auditoria interna passou a ser vista de forma diferente. De um corpo de
funcionários de linha, subordinados a contabilidade, aos poucos passou a
ter um enfoque de controle administrativo, com a finalidade de avaliar a
eficácia e a efectividade dos controles internos.
Logo o seu campo de acção funcional estendeu-se para todas as áreas e
para manter sua independência, passou a subordinar-se directamente à alta
administração.
1.3 EVOLUÇÃO HISTÓRICA DA AUDITORIA
Ainda de acordo com Crepaldi (2006), a causa da evolução da auditoria,
que é decorrente da evolução da contabilidade, foi a do desenvolvimento
econômico dos países, do crescimento das empresas e expansão das
actividades produtoras, gerando crescente complexidade na administração
dos negócios e de práticas financeiras.
Por meio destes factos históricos, verifica-se que o surgimento da auditoria
apoiou-se na indispensável necessidade de confirmação, por parte dos
utilizadores, sobre a realidade econômica e financeira do patrimônio das
empresas investigadas, essencialmente, no surgimento de grandes
empresas multigeograficamente distribuídas e simultaneamente ao
desenvolvimento econômico que permitiu a participação accionária na
formação do capital de muitas empresas, gerando crescente complexidade
na administração dos negócios e de práticas financeiras.
Porém, como a auditoria provém da contabilidade, ainda é indicado o
conjunto de dados históricos que permitem a comparação entre estas duas
actividades. Com o conhecimento da evolução dos factos criadores do
trabalho de auditoria, verifica-se que esta se estabeleceu pelo exame
científico e sistêmico dos registos, documentos, livros, contas, inspecções,
obtenção de informações e confirmações internas e externas, sujeitos as
normas apropriadas de procedimentos para investigar a veracidade das
demonstrações contábeis e o cumprimento não somente das exigências
fiscais como dos princípios e normas de contabilidade e sua aplicação
uniforme.
1.4 AUDITORIA NA ERA DA INFORMAÇÃO
No decorrer das últimas décadas, o ritmo das mudanças, no mundo, se
caracterizou por extraordinária rapidez. Estas mudanças afectaram
profundamente as organizações, seja em sua estrutura, cultura ou
AUDITORIA E SEGURANÇA INFORMÁTICA
11
comportamento. As organizações passaram por três fases durante o século
XX: a era industrial clássica, a era industrial neoclássica e a era da
informação.
Enquanto nas duas primeiras foram destacadas as tarefas, as pessoas, a
tecnologia e o ambiente, na última e actual era, devido às mudanças e
transformações, ocorre em um contexto globalizado e dinâmico, em que a
competitividade se dá em nível mundial, as relações comerciais ignoram
fronteiras e culturas nacionais e a informação imediata faz com que as
organizações necessitem ser ágeis, flexíveis e rápidas em suas respostas
aos desafios cada vez mais complexos e, ainda, provoca diversidade em
relação à composição humana dentro das organizações e incentiva a
modificação nas funções das pessoas que nelas trabalham, de forma directa
ou indirecta.
Segundo Velthuis (2007), a partir dos anos 50 a informática se converteu
em uma área muito importante na área de auditoria financeira, e permite
levar a cabo de forma rápida e precisa, operações que manualmente
consumiam demasiados recursos.
Notou-se também que as organizações tornaram-se dependentes de
sistemas de informação, assim surge a necessidade de verificar se estes
funcionam correctamente. Nos finais dos anos 60, descobriu-se vários
casos de fraude cometidos com ajuda de computador. É neste contexto que
surgiu nova área denominada Auditoria Informática, cujo objectivo é
precisamente verificar o funcionamento correcto, eficaz e eficiente das
tecnologias e sistemas de informação.
Na actualidade a informação se converte em um dos activos principais nas
empresas, representados por tecnologias e sistemas relacionados com a
informação. Podemos afirmar que as empresas investem enormes valores e
tempo na aquisição e desenvolvimento de soluções tecnológicas com
intuito de flexibilizar a gestão de suas actividades. Daí que os temas
relacionados com auditoria informática tenham maior relevância mundial.
1.5 OBJECTIVOS DE UMA AUDITORIA INFORMÁTICA
Nas organizações informatizadas é imprescindível que as tecnologias
envolvidas respondam as necessidades da organização, por exemplo os
computadores devem estar disponível a qualquer tempo para responder as
necessidades dos utilizadores, os sistemas implantados na organização
devem fornecer uma segurança, de modo que os utilizadores acedem
somente informações que lhes dizem respeito.
Segundo Cannon (2008), a auditoria consiste em rever o passado. O
12
12 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
auditor de SI deve seguir o processo de auditoria definido, estabelecer o
critério de auditoria, obter evidências significativas e providenciar uma
opinião independente em relação ao controlo interno. A auditoria envolve
o uso de várias técnicas de colecta de evidências significativas, e efectua a
comparação entre evidências da auditoria e referências de padrões.
De acordo com Anaguano (s.d.), a auditoria informática tem os seguintes
objectivos:
1. O controlo da função informática;
2. A análise da eficiência dos sistemas informáticos;
3. A revisão da gestão eficaz dos recursos informáticos;
4. A verificação do cumprimento dos padrões e normas.
1.6 TIPOS DE AUDITORIA
Segundo Cannon (2008), a auditoria interna consiste em auditar sua
própria organização para descobrir evidências sobre o que está a ocorrer na
organização. Este tipo de auditoria permite acompanhar a forma de
efectivação de actividades, com intuito de verificar possíveis erros no
funcionamento das tecnologias envolvidas na organização, por exemplo o
funcionamento das aplicações e segurança de sistemas. Este autor afirma
ainda que auditoria externa envolve clientes ou fornecedores auditando a
organização. A finalidade é garantir o nível esperado de performance
conforme os seus contratos. Este tipo de auditoria não é realizado para
detectar anomalias no funcionamento do sistema de informação na
organização. Naturalmente, no decorrer do processo de auditoria, o auditor
pode encontrar fraudes ou erros, mas o seu objectivo é emitir um parecer.
Tendo em conta as áreas de actuação, podemos encontrar os seguintes
tipos de auditoria (Anaguano, s.d.):
Financeira. Trata da veracidade dos estados financeiros. Preparação de
informes de acordo com os princípios contábeis;
Operacional. Avalia a eficiência, eficácia e economia dos métodos e
procedimentos que originam um processo numa organização;
Sistemas. Se preocupa com a função informática;
Fiscal. Se preocupa em observar o cumprimento das leis fiscais;
AUDITORIA E SEGURANÇA INFORMÁTICA
13
Administrativa. Analisa o desempenho das funções administrativas;
Qualidade. Trata dos métodos, medições e controlo de bens e serviços;
Social. Revê a contribuição da sociedade bem como a participação em
actividades socialmente orientadas.
A auditoria informática, por sua vez, é composta pelas seguintes áreas:
Auditoria de gestão;
Auditoria dos dados;
Auditoria de segurança física;
Auditoria de segurança lógica;
Auditoria das comunicações;
Auditoria de segurança na produção.
1.7 PERFIL E QUALIFICAÇÕES DO AUDITOR
Uma boa auditoria carece de um auditor com qualificações mínimas para
poder auditar sistemas de Informação. Num processo de auditoria devemos
garantir que esta seja feita de uma forma adequada. Não se pode admitir
um auditor sem qualificações necessárias para prestar auditoria, neste caso,
auditoria em informática.
Segundo Fantinatti (1988) e Cannon (2008), o auditor deve ter
objectividade, imparcialidade, confidencialidade raciocínio lógico bem
como o sentimento de independência.
Consideremos que a empresa XYZ, usa sistema de informação baseado
em computador, onde esta necessita comunicar-se com outras sucursais em
outras regiões do país. Assumindo que a empresa localiza-se em Maputo,
com sucursais nas províncias de Nampula, Manica e Tete, o auditor deve
conhecer no mínimo a forma de comunicação existente, as tecnologias
usadas nas aplicações usadas, conhecimento sobre a segurança
implamentada na mesma, entre outros.
Portanto, perfil e qualificações de um auditor são requisitos indispensáveis
para a realização de um processo de auditoria informática, e contribuem
para a qualidade da auditoria influenciando desta forma na tomada de
decisão dos agentes do nível mais alto da organização.
14
14 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
EXERCÍCIOS
1.O que é Auditoria Informática?
2. Explique a evolução de Auditoria nos países desenvolvidos.
3. O que motivou a evolução da Auditoria?
4. O que motivou o surgimento da Auditoria Informática?
5.Indique tipos de auditoria que conheces?
6. Indique algumas qualidades de um auditor.
RESPOSTAS
1.O que é Auditoria Informática?
Resp: Pode-se conceituar auditoria como sendo o acto de examinar as operações,
processos, sistemas e responsabilidades gerências de uma organização com o
intuito de verificar o cumprimento das normas, objectivos e metas prefixados pela
mesma.
2.Explique a evolução de Auditoria nos países desenvolvidos.
Resp: Vide secção 1.3.
3. O que motivou a evolução da Auditoria?
Resp: A causa da evolução da auditoria, que é decorrente da evolução da
contabilidade, foi a do desenvolvimento econômico dos países, do crescimento
das empresas e expansão das actividades produtoras, gerando crescente
complexidade na administração dos negócios e de práticas financeiras.
4. O que motivou o surgimento da Auditoria Informática?
Resp: Nos finais dos anos 60, descobriu-se vários casos de fraude cometidos com
ajuda de computador. Face a essa situação surgiu outro ramo da Auditoria
denominada Auditoria Informática.
5.Indique tipos de auditoria que conheces?
Resp: Vide secção 1.6.
6.Indique algumas qualidades de um auditor.
Resp: o auditor deve ter objectividade, imparcialidade, confidencialidade,
raciocínio logico e sentimento de independência.
AUDITORIA E SEGURANÇA INFORMÁTICA
15
CAPÍTULO II – FUNÇÕES DE CONTROLO INTERNO E AUDITORIA
INFORMÁTICA
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO:
No final deste capítulo o estudante será capaz de:
Identificar as funções básicas de controlo interno de informática;
Compreender que controlo interno e auditoria informática são campos
análogos;
Compreender o funcionamento e o objectivo da tecnologia COBIT;
Descrever a convergência entre a auditoria de SI e COBIT;
2.1 CONTROLO INTERNO DE INFORMÁTICA
A área de informática tornou-se um dos requisitos muito importante na
efectivação de tarefas rotineiras nas organizações. Tem-se investido muito
na informática devido ao seu impacto na tomada das decisões em todos
níveis que constituem uma organização.
O ideal é ter um retorno directamente proporcional com valores gastos na
aquisição das tecnologias de informação, que são matéria-prima para o
desenvolvimento de sistemas de informação tecnológicos, ou seja,
sistemas de informação baseados em computador.
O controlo interno de informática é uma parte da informática que responde
as necessidades de cumprimento dos requisitos exigidos sobre o
funcionamento das tecnologias envolvidas na organização. É através dela
que obtemos o “feedback” sobre a viabilidade de uso das tecnologias de
informação nas organizações.
O Controlo interno visa verificar o funcionamento de todas actividades
efectuadas nas organizações através do sistema de informação. Este
controlo avalia a efectivação dos procedimentos e normas estabelecidas
pela Direcção ou Departamento de Informática.
O controlo interno tem os seguintes objectivos (Valriberas, 2008):
16
16 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
Controlar e garantir que todas as actividades sejam realizadas de
acordo com os procedimentos e normas fixadas e assegurar o
cumprimento das normas;
Assessoria no conhecimento das normas;
Colaborar e apoiar o trabalho de auditoria informática, assim como
as auditorias externas;
Definir, implementar e executar mecanismos e controlo para
verificar a realização adequada de serviços de informática, no qual
devemos considerar que a implementação dos mecanismos de
medida e a responsabilidade de realização seja exclusivamente da
função de controlo interno;
Para além dos objectivos descritos acima, é necessário efectuar em
diferentes sistemas (central, departamentos, redes, computadores pessoais,
etc.) e ambientes informáticos (produção, desenvolvimento ou teste) o
controlo de diferentes actividades operativas sobre:
O cumprimento de procedimentos e normas;
Controlo sobre produção diária;
Controlo sobre a qualidade e eficiência do desenvolvimento e
manutenção de software e de serviços informáticos.
Controlo de redes de comunicação;
Controlo sobre o software de base;
Controlo de sistemas de microinformática;
A segurança informática;
Utilizadores, responsabilidades e perfis de uso de ficheiros e bases
de dados;
Normas de segurança;
Licenças e relações contratuais com terceiros
AUDITORIA E SEGURANÇA INFORMÁTICA
17
Assessorar e transmitir cultura sobre o risco informático.
.
Auditoria informática é processo de revogar, agrupar e avaliar evidências
para determinar se o sistema informatizado salvaguarda os activos,
mantendo a integridade dos dados, levando a cabo eficazmente os fins da
organização e utiliza eficazmente os recursos. Deste modo a auditoria
informática sustenta e confirma a execução dos objectivos tradicionais da
auditoria:
Objectivos de protecção de activos e integridade de dados;
Objectivos de gestão que abarcam apenas na protecção de activos,
mas também na eficácia e eficiência;
O auditor é responsável em rever e informar a direcção da organização
sobre o desenho e o funcionamento do sistema de controlo implantado e
sobre a finalidade da informação produzida.
Podem se estabelecer três grupos de funções a realizar por um auditor
informático (Valriberas, 2008):
Participar em revisões durante e depois do desenho, realização,
implementação e exploração de aplicações informáticas, assim
como as fases análogas de realização de mudanças importantes;
Rever e julgar os controlos implantados em sistemas informáticos
para verificar sua adequação as ordens e instruções da direcção,
requisitos legais, protecção de confidencialidade e cobertura entre
erros e fraudes;
-
Rever e julgar o nível de eficácia, utilidade, fiabilidade e segurança
de equipas de informática.
2.2 CONTROLO INTERNO E AUDITORIA INFORMÁTICA:
CAMPOS ANÁLOGOS
Controlo interno e auditoria informática são campos análogos, visto que há
semelhanças, conforme ilustrado na tabela 1. Como pode-se ver, temos a
semelhança no pessoal interno, este deve ter experiência em tecnologias de
informação, verificação da conformidade com controlos internos entre
outros. Tabela 1: Comparação entre Controlo Interno e Auditoria Informática. Fonte: Valriberas
18
18 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
(2008)
CONTROLO INTERNO
INFORMÁTICO
AUDITOR
INFORMÁTICO
SEMELHANÇAS Pessoal Interno
Experiência em tecnologia da informação,
verificação da conformidade com controlos
internos, normas e procedimentos estabelecidos
pelo departamento de Informática e direcção geral
da Organização.
DIFERENÇAS Análise de controlos no dia-a-
dia.
Informar ao departamento
sobre o pessoal interno
somente de suas funções sobre
o departamento de TI
Análise de um
tempo
determinado
Informar a
direcção geral da
organização sobre
como o pessoal
Interno e / ou
externo tem
coberto em todos
os componentes
de organização de
sistemas de
informação
2.3 COBIT (Control Objectives for Information and Related
Technology)
Metodologia é o conjunto de métodos e técnicas aplicadas para um
determinado fim. Dependendo da sua utilização pode gerar resultados
positivos para organização. O controlo de informática deve basear-se numa
metodologia.
A filosofia de uma metodologia baseada em Informática, consiste em gerir
recursos de tecnologias de informação, a fim de fornecer informações
pertinentes que a organização precisa.
COBIT é um modelo/conjunto estruturado de boas práticas e metodologias
para sua aplicação, cujo objectivo é facilitar a Governança de Tecnologias
de Informação (TI). É um modelo de controlo, que visa atender as
necessidades de TI, e garantir a integridade de informação e sistemas de
informação, ajudando a diminuir os riscos do negócio.
AUDITORIA E SEGURANÇA INFORMÁTICA
19
Segundo Troitino e Sanches (2008), COBIT aponta e sustenta a
Governança de TI, proporcionando uma marca de referência que assegura
que:
A tecnologia de informação está aliada com o negócio,
contribuindo ao mesmo tempo para a maximização dos
benefícios;
Os recursos de TI (humanos e técnicos) são usados de forma
responsável;
Os riscos de TI são geridos e dirigidos adequadamente.
Outra característica interessante de COBIT é a sua estruturação ou
esquema de apresentação. Está estruturado com critérios práticos em uma
ordem lógica e racional do mais alto nível ao menor nível na gestão e
direcção de TI.
Figura 1. Os quatros domínios de COBIT. Fonte: Fagundes (2011)
O COBIT (versão 4.0) está estruturado em 34 objectivos de controlo de
alto nível para os processos de TI, que estão agrupados em 4 domínios de
actividades típicas do governo de TI (o que qualquer governo de TI deverá
incluir para ser realista e eficiente).
20
20 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
Os quatros domínios de actividades são seguintes:
Domínio Característica
Planeamento e Organização (PO) Cobre aspectos estratégicos e
tácticos organizacionais;
Identifica a melhor forma através da
qual a TI possa contribuir para o
alcance dos objectivos do negócio;
A realização da visão estratégica
precisa ser planeada, comunicada e
gerido por diferentes perspectivas;
Este domínio preocupa-se com
questões de gestão como:
• A TI e o negócio estão
estrategicamente alinhados? A
empresa está maximizando o uso de
seus recursos?
• As pessoas compreendem os
objectivos da TI?
• Os riscos são compreendidos e
geridos de forma apropriada?
• A qualidade dos sistemas está de
acordo com a necessidade dos
negócios?
Aquisição e Implementação (AI)
• Para realizar a estratégia da TI,
soluções de TI precisam ser
identificadas, desenvolvidas ou
adquiridas, como também
implementadas e integradas ao
processo do negócio;
• Modificações e manutenção de
sistemas existentes são cobertas
neste domínio, para que continuem
alinhados aos objectivos do negócio.
• Este domínio preocupa-se com
questões de gestão como:
• Os novos projectos estão aptos à
prover as soluções que o negócio
requer no prazo e sem falhas? Os
novos sistemas implementados estão
operando apropriadamente quando
implementados?
Prestação e Suporte (DS)
Focado na prestação dos serviços
AUDITORIA E SEGURANÇA INFORMÁTICA
21
requeridos, incluindo:
Prestação de serviços, gestão de
segurança e continuidade do
negócio, suporte aos utilizadores, e
gestão de dados e estruturas
operacionais.
• Este domínio preocupa-se com
questões de gestão como:
Os serviços de TI estão sendo
entregues de acordo com as
prioridades do negócio? Os custos
da TI estão optimizados? A mão-de-
obra está apta a utilizar os sistemas
produtivamente e com segurança? A
integridade, confidencialidade e
disponibilidade dos dados está de
acordo?
Monitoramento e Avaliação (ME)
Os processos de TI precisam ser
regularmente testados para garantir
sua qualidade e conformidade com
os requisitos de controlo. Este
domínio trata da gestão de
desempenho, monitoramento de
controlos internos, conformidade
com as normas e provimento de
governança em TI.
Este domínio preocupa-se com
questões da gestão como:
A TI está preparada para identificar
os problemas em tempo útil? A
gestão assegura que os controlos
internos decorram normalmente?
COBIT inclui outros elementos a considerar que estão relacionados com os
requisitos de negócio com os respectivos serviços e recursos de TI:
Requisitos de negócio com respeito a TI: efectividade, eficácia,
eficiência, integridade, disponibilidade e confiabiliade;
Recursos de TI afectados: Aplicações, informação, infra-estrutura e
pessoas;
Áreas centrais para o Governo de TI: alinhamento estratégico;
gestão de recursos; gestão de risco e medição de rendimento;
22
22 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
Objectivos de controlo de detalhe: enumeração de objectivos de
detalhe com suas explicações sobre seu propósito e alcance, por
objectivo de alto nível;
Directrizes de gestão: guia sobre as inter-relações com outros
domínios e objectivos de controlo de alto nível apontando tanto a
relação de recepção (input) de outros objectivos de controlo
exclusivos externos ao esquema COBIT, como na saída (output)
para outros;
Responsabilidade por distintos níveis de direcção e gerência:
incluem tanto alta gerência, como a unidade de negócio para a
auditoria de TI;
Quadro de objectivos e métricas aplicadas: objectivos e métricas
aplicadas para o objectivo do controlo de que se trata, e os
indicadores para a respectiva medição;
Modelo de maturidade: critérios para considerar em cada nível.
2.4 CONVERGÊNCIA DE AUDITORIA DE SI E COBIT
Pretende-se nesta secção descrever a convergência entre auditoria de
sistemas de informação e a metodologia COBIT. O auditor de SI deve
actuar de forma a implementar COBIT, como em qualquer outra auditoria.
Para Troitino e Sanches (2008), auditor de SI não se limitará em contestar
a um questionário, mas:
Analisar os riscos dentro do alcance e objectivo da auditoria em
questão;
Identificar o modelo e controlos que supostamente mitigam os
riscos identificados;
Realizar testes sobre os controlos e impacto de diferenças de
controlo;
Obter suas conclusões e emitir seu relatório e opinião
independente, indicando fundamentalmente os riscos para o
negócio.
AUDITORIA E SEGURANÇA INFORMÁTICA
23
Podemos destacar convergência entre auditoria informática e COBIT, por
exemplo, as normas de auditoria de TI seguintes são totalmente aplicáveis
dentro do contexto COBIT:
S1- estatuto de auditoria;
S2- Independência;
S3- ética profissional e normas aplicadas;
S4- competência profissional;
S5- planificação;
S6- realização de trabalho de auditoria (supervisão, evidência e
documentação)
S7- Relatórios;
S8- Actividades de seguimento;
S9- irregularidades e actos legais.
S10- Governo de TI;
S11- Uso de avaliação de riscos com a planificação de
auditoria;
S12- materialidade
S12- uso de trabalhos de “experts”
S13- evidência de auditoria.
EXERCÍCIOS
1. Qual é o objectivo da auditoria interna?
2. O que é risco em sistemas de informação?
3. O que é segurança lógica?
4. Quais são os princípios da auditoria, tanto externa como interna?
5. O que entendes por COBIT?
RESPOSTAS
1. Assessorar a administração da empresa no efectivo desempenho de sua
função
2. Probabilidade de que agentes que são ameaças, explorem
vulnerabilidades, expondo os activos a perdas de confidencialidade,
integridade e disponibilidade, e causando impactos nos negócios
3. Acção que está ligada à parte de acessos de utilizadores, determinação
de hierarquia, controlo de acesso electrónico, integridade de base de dados,
ligações do sistema e sua gestão, tecnologias de invasões e defesa
4. Independência, imparcialidade, confiabilidade e Idoneidade.
5. É um modelo de controlo, que visa atender as necessidades de TI, e
garantir a integridade de informação e sistemas de informação, ajudando a
diminuir os riscos do negócio.
24
24 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
CAPÍTULO III – SISTEMA DE CONTROLO INTERNO
INFORMÁTICO
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO
No final deste capítulo o estudante deverá ser capaz de:
Compreender conceitos e tipos de sistemas de controlo interno;
Compreender os mecanismos de implementação de um sistema de
controlo interno informático;
Descrever o processo de aquisição, exploração, qualidade e controlo
de sistemas informáticos;
3.1 DEFINIÇÃO E TIPOS DE CONTROLOS INTERNOS
Podemos definir o controlo interno como sendo qualquer actividade
realizada manualmente ou automaticamente para prevenir, corrigir erros
irregulares que podem afectar o funcionamento de um sistema para atingir
seus objectivos.
Controlos internos que utilizam campo de informática continuam
evoluindo, na medida que os sistemas de informação evoluem. A evolução
de tecnologias de suporte físico e de software está modificando a maneira
significativa nos procedimentos que se aplicam no controlo de processos
de aplicações e gestão de sistemas de informação.
Para garantir qualidade de sistemas requer mecanismos completos de
controlo, a maioria dos quais são automáticos, muitos dependem da
combinação de elementos de software e procedimentos.
Historicamente, os objectivos de controlo informático são classificados em
seguintes categorias (Troitino e Sanches, 2008):
Os controlos de prevenção
Estes controlos, também conhecidos por controlos dissuasores, têm como
finalidade o estabelecimento de condições que permitam a diminuição da
ocorrência de causas de erros estabelecendo, dessa forma, as condições
necessárias para a não ocorrência de erros.
AUDITORIA E SEGURANÇA INFORMÁTICA
25
Os controlos de correcção Estes controlos ajudam a investigar quais as causas de erros e, dessa
forma, permitem que sejam aplicadas medidas correctivas a essas causas.
Os controlos de detecção Estes controlos têm como principal objectivo a detecção rápida das causas
de risco e de erros. São frequentemente considerados os de maior
importância para o auditor. Nestes controlos de detecção podemos
evidenciar os controlos de supervisão.
3.2 IMPLEMENTAÇÃO DE UM SISTEMA DE CONTROLO
INTERNO INFORMÁTICO
Torna-se importante conhecer toda organização de recursos de tecnologia
de informação, sistemas de informações baseados em computador,
estrutura da rede e respectiva segurança. Este conhecimento é fundamental
para implementar o sistema de controlo interno.
Segundo Troitino e Sanches (2008), para conhecer a configuração do
sistema é necessário documentar os detalhes de rede, assim como os
distintos níveis de controlo e elementos relacionados:
Entorno da rede: esquema da rede, descrição da configuração de
hardware de comunicações, descrição de software que se utiliza como
acesso das telecomunicações, controlo de rede, situação geral dos
computadores que suportam aplicações críticas e considerações
relativas da segurança de rede;
Configuração de computador base: configuração do suporte físico,
entorno de sistema operativo, software com partições, bibliotecas de
programas e conjunto de dados;
Entorno de aplicações: processos transaccionais, sistemas de gestão
de base de dados e entorno de processos distribuídos;
Produtos e ferramentas: software para desenvolvimento de
programas, software de gestão de bibliotecas e para operações
automáticas;
Segurança de computadores: identificar e verificar utilizadores,
controlo de acesso, registo de informação, integridade de sistema,
controlo de supervisões.
26
26 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
Para a implementação de um sistema de controlo interno informático deve-
se definir (Piattini e del Peso, 2001):
Gestão de sistemas de informação: Um sistema de informação é
composto por todos os componentes que recolhem, manipulam e
disseminam dados ou informação. Neste caso, podemos encontrar
hardware, software, pessoas, redes de computadores, e os dados
propriamente ditos.
Num sistema de informação são realizadas tarefas como introdução de
dados, processamento dos dados em informação, armazenamento de
ambos, e a produção de resultados, como relatórios de gestão. Diante dessa
situação, é preciso conhecer políticas, directrizes e normas técnicas que
servem de base para desenho e implementação dos sistemas de informação
e de outros correspondentes.
Administração de sistemas: Administração de sistema é uma área
específica de administração de um sistema de informação tecnológico.
Neste caso podemos encontrar as seguintes actividades de administração;
administração de utilizadores, administração de sistema de ficheiro,
administração de software, administração de serviços, entre outros.
Segurança: A segurança de sistemas é composta de medidas de prevenção
contra ataques internos e externos, passando pela engenharia social e
chegando inclusive a acções práticas por intermédio de softwares e
hardwares. A segurança inclui as três classes de controlo fundamental
implementado em software de sistema: integridade do sistema,
confiabilidade (controlo de acesso) e disponibilidade.
Gestão de mudança: separação de testes e a produção a nível de software,
controlo e procedimentos de migração de programas de software aprovado
e testado.
AUDITORIA E SEGURANÇA INFORMÁTICA
27
Figura 2. Implementação de política e cultura de segurança. Fonte: Piattini e del Peso
(2001).
A implementação de uma política e cultura sobre segurança requer que se
realize por fases, como podemos ver na figura 2. Cada fase desempenha
um papel importante:
Direcção de negócio ou direcção de sistemas de Informação:
deve-se definir a política e/ou directrizes para os sistemas de
informação com base nas exigências do negócio, que poderá ser
interno ou externo.
Direcção de informação: deve-se definir as normas de
funcionamento em torno informático e cada uma das funções
de informática mediante a criação e publicação de
procedimentos e padrões, metodologias e normas, aplicáveis a
todas áreas de informática.
Controlo interno informático: deve-se definir os diferentes
controlos periódicos a realizar em cada uma da funções
informáticas, de acordo ao nível de risco de uma delas,
desenhar conforme aos objectivos de negócio e dentro do
marco legal aplicável. Na figura 3 está ilustrado
detalhadamente o funcionamento do controlo interno
informático.
28
28 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
Figura 3. Funcionamento de controlo interno Informático. Fonte: Piattini e del Peso
(2001)
Auditor informático interno/externo: deve-se rever os diferentes
controlos internos definidos em cada uma das funções informáticas e o
cumprimento de normas internas e externas, de acordo com o nível de
risco, conforme os objectivos definidos pela direcção de negócio e
direcção de informática.
Importa descrever controlos internos importantes para sistemas
informáticos, agrupados por secções funcionais, e que o controlo interno
informático e auditoria informática deveriam verificar para determinar o
seu cumprimento e validez (Piattini e del Peso, 2001):
1. Controlos gerais organizativos
Políticas: devem servir de base para a planificação, controlo e
avaliação pela direcção de informática.
Planificação:
Plano estratégico de informática, realizado pelos
órgãos de alta direcção da empresa donde se define os
processos corporativos e se considera o uso das diversas
tecnologias de informação assim como as ameaças e
oportunidades de seu uso.
Plano geral de segurança (física e lógica), garante a
confiabilidade, integridade e disponibilidade da
informação.
AUDITORIA E SEGURANÇA INFORMÁTICA
29
Plano de emergência anti-desastre, garante a
disponibilidade dos sistemas.
Padrões: que regula a aquisição de recursos, a decisão,
desenvolvimento, modificação e exploração de sistemas;
Procedimentos: que descreve a forma e as responsabilidades
de execução para regular as relações entre o departamento de
informática e os departamentos de utilizadores;
Organizar o departamento de informática em nível
suficientemente superior de estrutura organizativa para
assegurar sua independência dos departamentos de utilizadores.
Descrição das funções e responsabilidades dentro dos
departamentos como uma clara separação entre as mesmas.
Políticas do pessoal: selecção, plano de formação, plano de
vocações, avaliação e protecção;
Assegurar que a direcção reveja todos os relatórios de controlo
e resumir as excepções que ocorrem;
Assegurar que exista uma política de classificação da
informação para saber dentro da organização que pessoas estão
autorizadas a aceder a determinadas informações;
Designar oficialmente a figura de controlo informático e de
auditoria.
2. Controlo de desenvolvimento, aquisição e manutenção de
sistemas de informação
Para permitir alcançar a eficiência do sistema, economia, integridade
dos dados, protecção dos recursos e cumprimento das leis e padrões.
Metodologia de ciclo de vida de desenvolvimento de sistemas: sua
implementação poderá garantir a alta direcção a alcançar os objectivos
definidos para o sistema. Estes são alguns controlos que devem existir
em metodologia:
30
30 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
A alta direcção deve publicar uma norma sobre o uso de
metodologia de ciclo de vida de desenvolvimento de sistemas e
rever esta metodologia periodicamente;
A metodologia deve estabelecer os papeis e responsabilidades
das distintas áreas do departamento de informática e dos
utilizadores, assim como a composição e responsabilidade da
equipe do projecto;
As especificações do novo sistema devem ser definidas pelos
utilizadores e documentadas e aprovadas antes de começar o
processo de desenvolvimento;
Deve estabelecer um estudo de viabilidade de tecnologia em
que se formulam formas alternativas de alcançar os objectivos
do projecto acompanhado de uma análise de custo-benefício de
cada alternativa;
Quando se selecciona uma alternativa deve realizar-se o plano
director do projecto. Neste plano deverá existir uma
metodologia de controlo de custo;
Procedimentos para a definição e documentação de
especificações de: desenho, de entrada, de saída de ficheiros, de
processos, de programas, de controlo de segurança, de pastas de
auditoria.
Plano de validação, verificação e testes.
Padrões de testes de programas e teste de sistemas;
Plano de conversão; testes de aceitação final;
Os procedimentos de aquisição de software deverão seguir as
políticas de aquisição da organização e esses produtos deverão
ser aprovados e revistos antes de uso;
A contratação de serviços de programação deve ser justificada
mediante uma petição escrita de um director de projecto;
Deverão preparar-se manuais de operações e manutenção como
parte de todo projecto de desenvolvimento, modificação de
sistemas de informação, assim como manuais de utilizadores.
AUDITORIA E SEGURANÇA INFORMÁTICA
31
Exploração e manutenção: o estabelecimento de controlos
assegurará que os dados sejam tratados de forma congruente e
exacta e que apenas será modificado o conteúdo de sistema,
mediante a autorização adequada. A seguir apresentamos
alguns controlos que devem ser implementados:
o Procedimento de controlo de exploração;
o Sistema de contabilidade para assinatura de utilizadores dos
custos associados com a exploração de sistema de
informação;
o Procedimentos para realizar um seguimento e controlo de
mudanças de sistema de informação.
3. Exploração de sistema de informação
Planificação e gestão de recursos: definir o orçamento
operativo do departamento, plano de aquisição de
equipamentos e gestão da capacidade da equipe;
Controlo para usar, de maneira efectiva, os recursos de
computadores:
o Calendário de carga de trabalho;
o Programação do pessoal;
o Manutenção preventiva do material;
o Gestão de problemas e mudanças;
o Procedimentos de facturação de utilizadores;
o Sistemas de gestão de bibliotecas e suporte.
Procedimentos de selecção de software de sistema, de
instalação, de manutenção, de segurança e controlo de
mudanças.
Segurança Física e Lógica:
o Definir um grupo de segurança de informação, sendo uma
das funções de administração e gestão de software de
segurança, rever periodicamente os relatórios de violências
e actividades de segurança para identificar e resolver
incidentes;
o Controlo físico para assegurar o acesso das instalações do
departamento de informática.
32
32 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
o As pessoas externas à organização deverão ser
acompanhadas por um membro da organização quando
tiver a intenção de visitar as instalações.
o Instalação de medidas de protecção contra incêndios.
o Formação em procedimentos de segurança e evacuação de
edifícios.
o Controlo de acesso restringindo os computadores mediante
a designação de um identificador de utilizador com
palavra-chave intransmissível.
o Normas que regulam o acesso dos recursos informáticos.
o Existência de um plano de contingência para “backup” de
recursos de computadores e para recuperação dos serviços
depois de uma interrupção dos mesmos.
4. Controlo de aplicações
Cada aplicação deve levar controlo incorporado para garantir a
entrada, actualização, validação e manutenção completa de
dados exactos.
As questões mais importantes em controlo de dados são:
o Controlo de entrada de dados: procedimentos de
conversão de entrada, validação e correcção de dados.
o Controlo de tratamento de dados para assegurar que não
se faça muita modificação ou exclusão não autorizada
dos mesmos mediante processos não autorizados.
o Controlo de saída de dados: sobre o quadro e
reconciliação de saídas, procedimentos de distribuição
das saídas e de gestão de erros nas saídas.
5. Controlo específico de certas tecnologias
Controlo de sistemas de gestão de base de dados:
AUDITORIA E SEGURANÇA INFORMÁTICA
33
o O software de gestão de base de dados para prever o
acesso a estrutura de controlo sobre dados partilhados
deve instalar-se e manter-se de modo tal que assegure a
integridade de software, as base de dados e as instruções
de controlo;
o Devem ser definidas as responsabilidades sobre a
planificação, organização, adopção de controlo de
activos de dados e decidir um administrador de base
dados.
o Garantir que existam procedimentos para a descrição e
mudanças de dados assim como para a manutenção do
dicionário de dados.
o Controlo sobre o acesso a dados e concorrência.
o Controlo para minimizar falhas, recuperar em ambiente
de base de dados ao ponto de saída e minimizar o tempo
necessário para a recuperação.
Controlo informático distribuído e rede:
o Planos adequados de implementação, conversão e teste
de aceitação para a rede.
o Existência de um grupo de controlo de rede.
o Controlo para assegurar a compatibilidade de conjunto
de dados entre aplicações quando a rede é distribuída.
o Procedimentos que definem as medidas e controlo de
segurança a serem usados em rede.
o Que se identifique todos os conjuntos de dados
sensíveis da rede e que se tenha determinado as
especificações para sua segurança.
o Existência de inventário de todos activos de rede.
o Procedimentos de “backup” de hardware e de software
de rede.
o Existência de manutenção preventiva de todos activos.
34
34 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
o Que exista controlo que verifique que todas as
mensagens de saída se validam de forma rotineira para
assegurar que contêm direcções de destino válidos.
o Controlo de segurança lógica: controlo de acesso da
rede, estabelecimento de perfís de utilizador.
o Procedimentos de criptografia de informática sensíveis
que se transmitem através da rede.
o Procedimentos automáticos para resolver fechamentos
do sistema.
o Monitorização para medir a eficiência da rede.
o Desenhar “layout” físico e as medidas de segurança das
linhas de comunicação local dentro da organização.
o Detectar a correcta ou má recepção de mensagens.
o Identificar as mensagens por uma chave individual de
utilizador, por terminal e pelo número de sucessão de
mensagens.
o Rever os contratos de manutenção e o tempo médio do
serviço acordado com o provedor com objecto de obter
uma cifra de controlo constante.
o Assegurar que haja procedimentos de recuperação e
reinício.
o Assegurar que existam pistas de auditoria que podem se
usar na reconstrução de ficheiros de dados e de
transacções dos diversos terminais. Deve existir a
capacidade de rastrear os dados entre o terminal e
utilizador.
o Considerar circuitos de comutação que usam rotas
alternativas para diferentes destinos da mesma
mensagem; isso oferece uma forma de segurança em
caso de alguém interceptar a mensagem.
AUDITORIA E SEGURANÇA INFORMÁTICA
35
o Controlo sobre computadores pessoais e rede local:
Políticas de aquisição e utilização.
Normas e procedimentos de
desenvolvimento e aquisição de software de
aplicações.
Procedimentos de controlo de software de
contrato de baixa licença.
Controlo de acesso a redes, mediante
palavra-chave.
Revisão periódica de uso de computadores
pessoais.
o Políticas que contemplam a selecção, aquisição e
instalação de rede local.
o Procedimentos de segurança física e lógica.
o Departamento que realce a gestão e suporte técnico da
rede. Controlo para evitar modificar a configuração de
uma rede. Recolher informação detalhada sobre meios
existentes: arquitectura (CPU, Discos, Memória,
Streamers, Terminais, etc.), conectividade (LAN),
software (sistema operativo, utilitários, linguagens,
aplicações, etc), serviços suportados.
o Inventário actualizado de todas aplicações;
o Política referente a organização de equipamento e
utilização de disco duro de, assim como para a
nomenclatura dos ficheiros que contém, criação de
subdirectórios por utilizador, assim como criação de
subdirectórios públicos que conte todas aplicações em
uso para os distintos utilizadores;
o Implementar ferramentas de gestão da rede com o fim
de valorizar seu rendimento, planificação e controlo;
o Procedimento de controlo de transferência de
ficheiros e controlo de acesso para equipamentos com
possibilidade de comunicação. Políticas que obrigam
36
36 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
a desconexão dos equipamentos quando não se faz o
uso deles.
o Adoptar os procedimentos de controlo e gestão
adequados para integridade, privacidade,
confiabilidade e segurança de informação contida na
rede local.
o Quando existe conexão PC-HOST, verificar se opera
sub controle, para evitar a carga/extracção de dados de
forma não autorizadas;
Contratos de manutenção (tanto preventivo como correctivo ou
detenção)
Quando a acção de manutenção requer a acção de terceiros a
saída dos equipamentos dos limites da oficina deverá ser
mediante procedimentos para evitar a divulgação de
informação confidencial.
Manter um registo documental das acções de manutenção
realizadas, incluindo a descrição do problema e a solução do
mesmo.
Os computadores deverão estar conectados a equipamentos
estabilizadores (UPS-Uninterruptible Power Supply).
Protecção contra incêndios, inundações ou electricidade.
Controlo de acesso físico dos recursos de microinformática:
chaves de PC. Áreas restringidas, localização de impressoras
(locais e de rede). Prevenção de roubos de dispositivos.
Autorização para deslocamento de equipamentos. Acesso físico
fora do horário normal;
Controlo de acesso físico a dados e aplicações: armazenamento
de discos com cópias de backup de informação. Procedimentos
de destruição de dados e relatórios confidenciais, identificação
de discos, inventário completo de discos armazenados,
armazenamento de documentação;
AUDITORIA E SEGURANÇA INFORMÁTICA
37
Em computadores em que se processam aplicações de dados
sensíveis deve-se instalar protectores de oscilação de linha
eléctrica e sistemas de alimentação ininterrupta.
Implementar na rede local produtos de segurança assim como
ferramentas e utilitários de segurança.
Identificação adequada de utilizadores quanto a seguintes
operações: modificações, troca de password, exploração de logs
de sistema.
Controlar as conexões remotas (in/out): Modems e Gateways;
Procedimentos para a instalação ou modificação de software e
assegurar que a direcção esteja ciente do risco de vírus
informáticos e outros softwares maliciosos, assim como fraude
por modificações não autorizadas de software e danos;
Controlo para evitar a introdução de um sistema operativo
através de disquete que poderá levar vulnerabilidade do sistema
de segurança estabelecida.
6. Controlo de qualidade
Existência de um plano geral de qualidade baseado em plano de
entidade a longo prazo e o plano a longo prazo de tecnologia.
Este plano geral de qualidade deve promover a filosofia de
melhorar continuamente e deve dar respostas a perguntas
básicas como “o que”, “quem” e “como”;
Esquema de garantia de qualidade da direcção de Informática
deve estabelecer uma norma que estabeleça um esquema de
garantia de qualidade que se refira tanto as actividades de
desenvolvimento de projectos, como as demais actividades para
garantir qualidade (como revisões, auditorias, inspecções, etc.)
que deverá ser realizada para procedimentos habituais em
distintas funções de informática;
Metodologia de desenvolvimento de sistemas: a direcção de
informática da entidade deve definir e implementar normas
para o desenvolvimento de sistemas e adoptar uma metodologia
de desenvolvimento de sistemas para administrar e gerir esse
processo com base ao tipo de sistemas de cada entidade;
38
38 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
Actualização da metodologia de desenvolvimento de sistemas
respeitando a troca de tecnologia;
Coordenação e comunicação: a direcção de Informática deve
estabelecer um procedimento para assegurar esta coordenação e
comunicação com utilizadores da organização e informática.
Este processo deve fazer-se mediante métodos estruturados,
utilizando a metodologia de desenvolvimento de sistemas para
assegurar a obtenção de soluções de informática de qualidade
que cumprem as necessidades da organização;
Relações com provedores de desenvolvimento de sistemas:
existência de um processo que assegure boas relações laborais
com provedores que desenvolvem sistemas para entidade. Este
processo deve fazer com que o utilizador e o provedor do
sistema acordem critérios de aceitação e administração de
mudanças e problemas durante o desenvolvimento, funções de
utilizador, ferramentas, software, normas e procedimentos;
Normas de documentação de programas: existência de normas
de documentação de programas as quais devem ser
comunicadas e impostas ao pessoal pertinente. A metodologia
deve assegurar que a documentação criada durante o
desenvolvimento do sistema ou projecto respeite normas;
Normas de teste de programas: a metodologia de
desenvolvimento de sistemas da organização deve incorporar
normas que se referem aos requisitos de testes de programas,
documentação e retenção de material, para provar cada uma das
unidades de software a ser colocada em produção;
Normas respeitando o teste de sistema: a metodologia de
desenvolvimento de sistemas da entidade deve incorporar
normas que se referem aos requisitos de teste de sistemas,
documentação e retenção de material, para provar a maneira
global do funcionamento de cada sistema colocado na
produção;
Testes pilotos em paralelo: a metodologia de desenvolvimento
de sistemas da entidade deve definir as circunstâncias nas quais
se efectuarão testes pilotos ou em paralelo de programas de
sistema;
Documentação de teste de sistema: a metodologia de
desenvolvimento de sistemas da entidade deve estabelecer,
AUDITORIA E SEGURANÇA INFORMÁTICA
39
como parte de cada desenvolvimento, implementação ou
modificação, que se documentam os resultados de testes de
sistema;
Avaliação do cumprimento de garantia de qualidade das
normas de desenvolvimento.
EXERCÍCIOS
1. Quais são as categorias de controlo informático?
2. Quais são os componentes para a implementação de uma política de
segurança?
3. Liste os controlos internos importantes para os sistemas informáticos
4. Defina o entorno de rede
RESPOSTAS
1. Controlos de prevenção, controlos de correcção e controlos de detecção
2. Direcção de negócio ou direcção de sistemas de Informação, Direcção
de informação, Controlo interno informático e Auditor informático
interno/externo
3. Controlos gerais organizativos, Controlo de desenvolvimento, aquisição
e manutenção de sistemas de informação, Exploração de sistema de
informação, Controlo de aplicações, Controlo específico de certas
tecnologias e Controlo de qualidade
4. Esquema da rede, descrição da configuração de hardware de
comunicações, descrição de software que se utiliza como acesso das
telecomunicações, controlo de rede, situação geral dos computadores que
suportam aplicações críticas e considerações relativas da segurança de
rede;
40
40 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
CAPÍTULO IV – AUDITORIA DE SISTEMAS DE GESTÃO DAS
TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO
OBJECTIVOS ESPECÍFICOS DO CAPÍTULO:
No final deste capítulo o estudante será capaz de:
Compreender o processo de implementação de sistemas de gestão
de TICs (SGSI)
Compreender o processo de certificação de SGSI
O planeamento dos sistemas de gestão pretende concentrar-se em análise
dos mesmos, começando pela perspectiva de gestão de conhecimento.
O ciclo de Deming – com acrónimo PDCA – é um ciclo de melhoramento,
que tem por princípio tornar mais claros e ágeis os processos envolvidos
na execução da gestão, donde cabe distinguir os seguintes passos:
Plan (Planificação): planificação de objectivos e processos
necessários para alcançar os resultados de acordo com políticas da
empresa.
DO (Execução): implementação dos processos.
Check (Verificação): monitorar e avaliar periodicamente os
resultados, avaliar processos e resultados, confrontando-os com o
planeado, objectivos, especificações e estado desejado,
consolidando as informações, eventualmente confeccionando
relatórios.
Act (Acção): Agir de acordo com o avaliado e de acordo com os
relatórios, eventualmente determinar e confeccionar novos planos
de acção, de forma a melhorar a qualidade, eficiência e eficácia,
aprimorando a execução e corrigindo eventuais falhas.
O PDCA pode considerar-se como um autêntico motor e o conhecimento
das TICs : vai desde a segurança de sistemas de informação, passando pela
auditoria de software, para a qualidade dos serviços de TIC.
AUDITORIA E SEGURANÇA INFORMÁTICA
41
4.1 IMPLEMENTAÇÃO DE SISTEMA DE GESTÃO DE TICs
O processo de implementação do SGSI possui as fases de um PDCA, como
podemos observar figura 4.1, seguindo os pontos da norma ISO 27001:2007. É de
especial ênfase na análise e gestão de riscos e alocação de controlo que
minimizam riscos utilizando uma das metodologias de análise de risco que
existem no mercado, e aplicando os controlos que são adequados da ISO 27002.
Figura 4. Implementação de Sistema de Gestão de TICS (ISO 27001).
42
42 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
4.2 AUDITORIA INTERNA
Auditoria interna de SGSI se define como sendo uma revisão independente
de SGSI. Esta independência supõe obviamente a exigência de que a
pessoa que leva a cabo a auditoria interna não pode estar vinculada em
forma alguma na implementação de Gestão de SGSI.
4.3 PROCESSO DE CERTIFICAÇÃO DOS SISTEMAS DE GESTÃO
DAS TICs
Se pode considerar o processo de certificação como sendo o
reconhecimento formal por parte de um órgão independente de um
determinado sistema de gestão, como podemos ver na Figura 5.
Na certificação de um sistema de gestão das TICs podemos notar que, as
empresas que adoptam a certificação, mantêm seus sistemas de gestão com
uma maior dedicação no ciclo de melhoria contínua e sua busca por
alcançar a excelência.
Figura 5. Modelo de certificação de SIGSI. Fonte: Troitino e Sanches (2008).
O resultado dessa auditoria será reflectido em um relatório de auditoria
inicial. Em caso de não existir conformidade de importância, a certificação
poderia ser suspensa ou pendente para rectificação.
Em caso de se detectar inconformidades menores, se emitirá uma
certificação com reservas, com as rectificações pendentes, cujas
rectificações deverão ser constatadas pelo auditor no seguimento da
auditoria. Uma vez feita a certificação, o organismo certificador levará a
AUDITORIA E SEGURANÇA INFORMÁTICA
43
cabo anualmente auditorias de seguimento para determinar se o seu
sistema de gestão das TICs segue as normas.
EXERCÍCIOS
1. Explique o conceito de Deming, e descreva as suas fases.
2. O que entendes por processo de certificação e como é que as empresas que
possuem certificação devem se comportar?
RESPOSTAS
1. O ciclo de Deming (PDCA) é um ciclo de melhoramento, que tem por
princípio tornar mais claros e ágeis os processos envolvidos na execução
da gestão, donde cabe distinguir os seguintes passos:
Plan (Planificação): planificação de objectivos e processos
necessários para alcançar os resultados de acordo com políticas da
empresa.
DO (Execução): implementação dos processos.
Check (Verificação): monitorar e avaliar periodicamente os
resultados, avaliar processos e resultados, confrontando-os com o
planeado, objectivos, especificações e estado desejado,
consolidando as informações, eventualmente confeccionando
relatórios.
Act (Acção): Agir de acordo com o avaliado e de acordo com os
relatórios, eventualmente determinar e confeccionar novos planos
de acção, de forma a melhorar a qualidade, eficiência e eficácia,
aprimorando a execução e corrigindo eventuais falhas.
2. É o reconhecimento formal por parte de um órgão independente de um
determinado sistema de gestão. Na certificação de um sistema de gestão
das TICs, as empresas mantêm seus sistemas de gestão com uma maior
dedicação no ciclo de melhoria contínua e sua busca por alcançar a
excelência
44
44 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
QUADRO SINÓPTICO
Auditoria
O acto de examinar as operações, processos, sistemas e
responsabilidades de gestão de uma organização com o
intuito de verificar o cumprimento das normas, objectivos
e metas prefixadas pela mesma
Auditoria
informática
É uma área da auditoria que visa examinar o andamento
das actividades ligadas com tecnologias de informação e
comunicação envolvidas na organização. Torna-se
necessário valorizar a auditoria de informática, uma vez
que muitas organizações investem valores avultados em
tecnologias de informação e comunicação
Objectivos
da auditoria
informática
4. O controlo da função informática;
5. A análise da eficiência dos sistemas informáticos;
6. A revisão da gestão eficaz dos recursos
informáticos;
7. A verificação do cumprimento dos padrões e normas
Tipos de
auditoria
Financeira.
Operacional.
Sistemas.
Fiscal
Administrativa.
Qualidade.
Social.
Tipos de
auditoria
informática
Auditoria de gestão;
Auditoria dos dados;
Auditoria de segurança física;
Auditoria de segurança lógica;
Auditoria das comunicações;
Auditoria de segurança na produção.
Perfil e
qualificações
do auditor
Objectividade, imparcialidade, confidencialidade
raciocínio logico bem como o sentimento de
independência
Controlo
interno de
informática
É uma parte da informática que responde as necessidades
de cumprimento dos requisitos exigidos sobre o
funcionamento das tecnologias envolvidas na organização
COBIT
É um modelo/conjunto estruturado de boas práticas e
metodologias para sua aplicação, cujo objectivo é facilitar
a Governança de Tecnologias de Informação (TI). É um
modelo de controlo, que visa atender as necessidades de
AUDITORIA E SEGURANÇA INFORMÁTICA
45
TI, e garantir a integridade de informação e sistemas de
informação, ajudando a diminuir os riscos do negócio
Controlo
interno
Qualquer actividade realizada manualmente ou
automaticamente para prevenir, corrigir erros irregulares
que podem afectar o funcionamento de um sistema para
atingir seus objectivos.
Ciclo de
Deming
É um ciclo de melhoramento, que tem por princípio tornar
mais claros e ágeis os processos envolvidos na execução
da gestão, donde cabe distinguir os seguintes passos:
Plan (Planificação): planificação de objectivos e
processos necessários para alcançar os resultados
de acordo com políticas da empresa.
DO (Execução): implementação dos processos.
Check (Verificação): monitorar e avaliar
periodicamente os resultados, avaliar processos e
resultados, confrontando-os com o planeado,
objectivos, especificações e estado desejado,
consolidando as informações, eventualmente
confeccionando relatórios.
Act (Acção): Agir de acordo com o avaliado e de
acordo com os relatórios, eventualmente
determinar e confeccionar novos planos de acção,
de forma a melhorar a qualidade, eficiência e
eficácia, aprimorando a execução e corrigindo
eventuais falhas.
46
46 UNIDADE I – CONTROLO INTERNO E AUDITORIA INFORMÁTICA
BIBLIOGRAFIA Anaguano (s.d.) Auditoria Informática.
Cannon, D. L. (2008) CISA – Certified Information Systems
Auditor Study Guide, 2nd
edition. Wiley Publishing, Inc.
FFIEC (2004). Information Security.
Gentil, F. A. S. (2008) Auditoria de Sistemas. Universidade
Tiradentes.
Piattini, M. G, e Peso, E. (2001) Auditoria Informática Un enfoque
Prático. Madrid: Alfaomega.
Troitiño, M. T., Sánchez C. M. F. (2008) “Auditoría de SI vs.
Normas de buenas prácticas” in Velthuis, M. P., Navaro, E.P.,
Peso, M (coord.) Auditoría de Tecnologías y Sistemas de
Información. México: Alfaomega Grupo Editor.
Valriberas, G. S. (2008) “Control Interno y Auditoría de Sistemas
de Información” in Velthuis, M. P., Navaro, E.P., Peso, M (coord.)
Auditoría de Tecnologías y Sistemas de Información. México:
Alfaomega Grupo Editor.
Velthuis, M. P., Navaro, E.P., Peso, M (2008) Auditoria de
Tecnologias y Sistemas de Informacion. México: Alfaomega
Grupo Editor.
Referências on-line:
Crepaldi, S. A. (2006) “Contabilidade - Auditoria: Origem,
evolução e desenvolvimento da auditoria” in Revista Contábil e
Contabilidade, disponível em
http://www.netlegis.com.br/indexRC.jsp?arquivo=/detalhesDesta
ques.jsp&cod=8157, acedido a 20.10.2011.
Fagundes, E. M. (2011) COBIT (Control Objectives for
Information and related Technology), disponível em
http://www.efagundes.com/artigos/cobit.htm, acedido a
14.10.2011.
Fantinatti, J. M. (1988) Auditoria em Informática – Metodologia
e Prática, disponível em
http://joaomarcosfantinatti.wordpress.com/category/auditoria-
em-informatica, acedido a 12.10.2011.
Outros sítios na Internet:
http://www.filecrop.com
http://www.dbebooks.com
http://www.4shared.com
http://books.google.com
AUDITORIA E SEGURANÇA INFORMÁTICA
47
AVALIAÇÃO DA DISCIPLINA DE AUDITORIA E SEGURANÇA
INFORMÁTICA
Avaliação
ATENÇÃO – TESTE DE AVALIAÇÃO
Teste da 1ª Unidade – Duração 2 horas
Leia atentamente as questões apresentadas neste teste. Resolva-o na
folha de teste em anexo e envie ao ISM para correcção. A cotação
para cada questão está entre parênteses.
1. Quais são os tipos de auditoria que conheces? (1.5v)
2. Quais são os objectivos da auditoria externa? E da auditoria interna?
(1.5v)
3. Como é que podemos medir o funcionamento de informática numa
organização? (3.0v)
4. Quais são os objectivos do controlo interno? (2.0v)
5. Diferencie os conceitos Auditoria e Auditoria Informática? (2.0v)
6. Fale da importância de COBIT na auditoria Informática. (2.0v)
7. Explique em que medida pode se tornar mais claros e ágeis os
processos envolvidos na execução da gestão de sistemas de
informação. (4.0v)
8. Descreva em suas palavras a convergência entre Cobit e auditoria
informática. (2.0v)
9. Como é que classificam os objectivos de controlo informático. (2.0v)
Bom Trabalho!
NOME: __________________________________________________________
Nº DE MATRÍCULA ________________ NOTA _________________
N.B: Envie-nos este teste já resolvido, para correcção.