Auditoria de Segurança da Informação

ESCOLA ESTADUAL DE MONTE AZUL
CURSO TÉCNICO EM INFORMÁTICA / PRONATEC
2
CONCEITOS E ORGANIZAÇÃO DA AUDITORIA
Auditoria:
- exame comprobatório relativo às atividades contábeis e financeiras de uma empresa ou instituição;
auditagem.
Auditor:
- que ou aquele que ouve; ouvinte;
- técnico ou pessoa com conhecimento suficiente para emitir parecer sobre assunto de sua
especialidade;
- perito de contabilidade a quem se dá a incumbência de examinar minuciosamente e dar parecer sobre
as operações contábeis de uma empresa ou instituição, atestando a correção ou incorreção das mesmas
e a veracidade do balanço geral;
- magistrado, juiz togado com jurisdição privativa ou cumulativa na Justiça Militar.
Conceitos de básicos
A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades
gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e
políticas institucionais, orçamentos, regras, normas ou padrões.
A atividade de auditoria pode ser divida em três fases: planejamento, execução e relatório.
Campo, âmbito e área.
O campo da auditoria compõe-se de aspectos como: objeto a ser fiscalizado, período e natureza da auditoria.
Objeto: entidade a ser auditada (completa ou parcialmente, órgão ou função).
Período: espaço de tempo sobre o qual a auditoria irá atuar.
Natureza: o tipo de auditoria executada numa entidade.
O âmbito da auditoria constitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma
limitação racional dos trabalhos a serem executados, nível de aprofundamento e grau de abrangência.
A área de verificação é o conjunto formado por campo e âmbito de auditoria. A área delimita de modo preciso
os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria.
Sub 1 Sub 3Sub 2
Âmbit
o
Camp
o
Objeto
Período
Natureza
Área de
Verificação

3
CONCEITOS DE AUDITORIA DE SEGURANÇA
Auditoria é um exame cuidadoso e sistemático das atividades desenvolvidas em determinada empresa ou
setor, cujo objetivo é averiguar se elas estão de acordo com as disposições planejadas e/ou estabelecidas
previamente, se foram implementadas com eficácia e se estão adequadas (em conformidade)
à consecução dos objetivos.
As auditorias podem ser classificadas em: auditoria externa e auditoria interna. Enquanto a primeira é
realizada por um profissional sem vínculos empregatícios com a empresa, a segunda é feito por um
profissional da própria empresa com o propósito de monitorar e avaliar os controles internos.
A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa
ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação
todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar
guardada para uso restrito ou exposta ao público para consulta ou aquisição.
Portanto os atributos básicos, segundo os padrões internacionais são os seguintes:
Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas,
ou seja, àquelas autorizadas pelo proprietário da informação.
Integridade - propriedade que garante que a informação manipulada mantenha todas as
características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e
garantia do seu ciclo de vida (nascimento, manutenção e destruição).
Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso
legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que
não foi alvo de mutações ao longo de um processo.
Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em
relação a uma transação anteriormente feita
Para a montagem desta política, deve-se levar em conta:
Riscos associados à falta de segurança;
Benefícios;
Custos de implementação dos mecanismos.
MECANISMOS DE SEGURANÇA
O suporte para as recomendações de segurança pode ser encontrado em:
Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a
infraestrutura (que garante a existência da informação) que a suporta.
Existem mecanismos de segurança que apoiam os controles físicos:
Portas / trancas / paredes / blindagem / guardas / etc. ..
Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em
ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada
por elemento mal intencionado.

4
Existem mecanismos de segurança que apoiam os controles lógicos:
Mecanismos de cifração ou encriptação: Permitem a transformação reversível da informação de
forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta
para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados.
A operação inversa é a decifração.
Assinatura digital: Um conjunto de dados criptografados, associados a um documento do qual são
função, garantindo a integridade e autenticidade do documento associado, mas não a sua confidencialidade.
Mecanismos de garantia da integridade da informação: Usando funções de "Hashing" ou de
checagem, é garantida a integridade através de comparação do resultado do teste local com o divulgado pelo
autor.
Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartões
inteligentes.
Mecanismos de certificação: Atesta a validade de um documento.
Integridade: Medida em que um serviço/informação é genuíno, isto é, está protegido contra a
personificação por intrusos.
Honeypot: É uma ferramenta que tem a função de propositalmente simular falhas de segurança de
um sistema e colher informações sobre o invasor enganando-o, fazendo-o pensar que esteja de fato
explorando uma vulnerabilidade daquele sistema. É uma espécie de armadilha para invasores. O HoneyPot
não oferece nenhum tipo de proteção.
Protocolos seguros: Uso de protocolos que garantem um grau de segurança e usam alguns dos
mecanismos citados aqui.
Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns
exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais, filtros anti-spam, fuzzers,
analisadores de código etc.

5

6

7

8
Questão não é apenas um problema tecnológico; é fator de desenvolvimento
A informação é o combustível do progresso nesta era do conhecimento. Neste sentido a sua segurança deve
ser tratada com maior zelo e responsabilidade, pois um mero descuido é capaz de quebrar empresas, afetar a
economia de países, exporem pessoas e empresas, interromper negócios, entre outros riscos que estamos
sujeitos.
Sob o ponto de vista pessoal, e sem querer fazer terrorismo, estamos à mercê de uma série de
vulnerabilidades em nosso dia-a-dia e que a maioria não entende a dimensão das ameaças.
Usamos diariamente a Internet para recebimento e envio de mensagens eletrônicas, usamos aplicativos de
conversação on-line, realizamos compras e transações bancárias e realizamos downloads de arquivos, e com
isso estamos vulneráveis a situações como o vazamento de informações e exposição de uso indevido de
nossos dados pessoais.
Numa visão empresarial, a segurança da informação é um fator essencial para o funcionamento de uma
empresa. Todas precisam trabalhar a cada dia mais com informações em formato digital, especialmente as
informações fiscais.
A correspondência está sendo substituída por correio eletrônico. Poucas empresas poderiam funcionar hoje
em dia sem computadores ou comunicação.
Socialmente falando, a administração pública e empresas privadas estão transferindo seus serviços para a
Internet com o objetivo de ampliar a disponibilidade e capilaridade de seus serviços e naturalmente reduzindo

9
custos. Entretanto, os serviços da Internet só beneficiam aos cidadãos que sabem utilizar as tecnologias da
informação e têm a oportunidade de acessá-las.
Os países mais desenvolvidos do ponto de vista técnico desfrutam de uma vantagem competitiva com respeito
a outros. As guerras futuras serão travadas por armas da informação. Protestos e manifestações serão feitos
por meio eletrônico, como estamos presenciando atualmente. É um dos mais eficazes veículos de
comunicação, bem mais veloz, com repercussão maior, de fácil acesso e mais barato.
Naturalmente, uma sociedade cujo funcionamento se apóie nas tecnologias da informação e comunicação é
mais vulnerável a ataques técnicos. Por isso todos devem tomar as medidas necessárias para que o risco possa
ser amenizado. E digo amenizado pelo fato da segurança da informação tratar dos riscos que precisam ser bem
administrados.
Ou você minimiza esses riscos, ou deve aceitá-los com suas conseqüências. Embora você ainda pode até
transferi-los. Mas a que custo?
A segurança da informação não é uma tecnologia e sim um processo que precisa ser trabalhado de forma
constante. Infelizmente, neste ambiente de Internet não se trata de "se" e sim de "quando" você ou sua
empresa será atacada.
A segurança da informação está relacionada aos pilares da confidencialidade, integridade e disponibilidade. O
que estamos presenciando atualmente com esta onda de ataques a vários sítios digitais é uma falha à
segurança da informação, pois, mesmo que as informações confidenciais não tenham sido capturadas ou
modificadas, eles tornam-se indisponíveis às pessoas que precisam acessar aquela fonte.
De fato é verdadeira a célebre frase: "Não existe segurança 100%". O elo mais fraco da corrente de
vulnerabilidade por estar numa tecnologia mal implementada, numa pessoa mal intencionada, desmotivada e
sem o devido preparo e treinamento. E até mesmo num processo mal definido, mal estruturado e mal
disseminado.
Existem muitos mitos e realidades sobre este aspecto, mas o pior é ter aquela falsa sensação de segurança ao
pensar que plugado na internet, que é tão vasta e complexa, nada lhe acontecerá e também achar que o
computador é o mais importante, pois a tecnologia é apenas uma ferramenta que se mal utilizada poderá
acarretar em danos piores.
Não podemos ficar reféns da miopia do iceberg, onde conseguimos ver somente o que está a nossa frente de
fácil percepção. Existem muito mais aspectos a serem considerados no que se refere à segurança da
informação.
À primeira vista, o que é mais difícil no entendimento por parte dos administradores é que segurança não dá
diretamente retorno de lucros para a empresa, porém, investir em segurança evita futuros transtornos, como
ataques e invasões, o que acarretaria em publicidade negativa da imagem da empresa e até indisponibilidade

10
da informação.
Todos devem estar atentos ao que está acontecendo neste momento, pois a responsabilidade por prejuízos a
terceiros e à sociedade, por culpa no desempenho de suas funções, também recai sobre os ombros do
administrador que seja gestor de um determinado processo com falhas, segundo nosso novo código civil. A
ação deste gestor não deve ser somente preventiva, mas também reparatória. A negligência, imprudência e
imperícia serão punidas com o rigor da lei.
Estejamos preparados para este novo desafio relativo à segurança das informações, pois não é só um
problema tecnológico, mas também comportamental, humano, econômico e social.
Controles, objetivos de controle, procedimentos, achados de auditoria, papéis de trabalho e recomendações
de auditoria.
O controle é a monitoração, fiscalização ou exame minucioso, que obedece a determinadas expectativas,
normas, convenções sobre as atividades de pessoas, órgãos, ou sobre produtos a fim de não haver se
desviarem das normas preestabelecidas.
Podemos classificar os controles em três tipos:
 Controles preventivos: prevenção de erros, omissões ou fraudes (previne, evita, antes da
ocorrência).
 Controles detectivos: detecção de erros, omissões ou fraudes e ainda relatar sua ocorrência (por
exemplo, software de controle de acesso e relatórios de tentativas de acesso não autorizado a um
determinado sistema).
 Controles corretivos: usado para reduzir impacto ou corrigir erros, uma vez detectados (por
exemplo, planos de contingência).
Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados,
para atingirmos esses objetivos, são traduzidos em procedimentos de auditoria.
Os procedimentos de auditoria formam um conjunto de ações (verificações e averiguações) que permitem
obter e analisar as informações necessárias à formulação do parecer do auditor.
É recomendado, que, antes de iniciar a auditoria, seja definida a lista de procedimento, ou seja, a relação dos
pontos a serem verificados. Entidades fiscalizadoras (RF, TCU) costumam ter manuais de auditoria contendo
objetivos de controle e procedimentos de auditoria preestabelecidos para cada área de verificação ou
natureza de auditoria.
Os achados de auditoria são fatos significativos observados pelo auditor durante a execução da auditoria.
Esses fatos, não necessariamente, erros, falhas ou fraudes, podem ser pontos fortes da instituição, órgão,
função ou produto devem ser relevantes e baseados em dados e evidências incontestáveis.
Os papéis de trabalho são registros que evidenciam atos e fatos observados pelo auditor (documentos,
tabelas, planilhas, listas de verificações, arquivos informatizados, etc.). Esses papéis dão suporte ao relatório
de auditoria, neles estão o registro da metodologia adotada, procedimentos, verificações, fontes de
informações, testes e outras informações relacionadas ao trabalho executado pelo auditor.

11
As recomendações de auditoria são feitas na fase de relatório, são medidas corretivas possíveis, a fim de
corrigir deficiências detectadas durante a auditoria. Dependendo da competência ou posição hierárquica do
órgão de controle em relação à entidade auditada, as recomendações podem se transformar em
determinações a serem cumpridas.
Natureza da auditoria
Não existe padrão classificatório (tipologia) dos diversos tipos de auditoria existentes, a seguir apresentamos
alguns tipos mais comuns, classificados de acordo com os seguintes aspectos:
 Órgão fiscalizador
o Auditoria interna
 Realizada por órgão interno da entidade, tem como objetivo reduzir as
probabilidades de fraudes, erros, práticas ineficientes ou ineficazes. Deve ser
independente e prestar contas diretamente à direção da instituição.
o Auditoria externa
 Realizada por instituição externa e independente da entidade fiscalizada, com
objetivo de emitir parecer sobre gestão de recursos, situação financeira, a
legalidade de suas operações.
o Auditoria articulada
 Trabalho conjunto de auditorias internas e externas caracteriza-se pelo uso de
recursos e comunicações recíprocas dos resultados.
 Forma de abordagem do tema
o Auditoria horizontal
 Aborda tema específico, realizada em várias entidades ou serviços paralelamente.
o Auditoria orientada
 Focada em uma atividade específica qualquer ou em atividade com fortes indícios
de erros ou fraudes.
 Tipo ou área envolvida
o Auditoria de programas do governo
 Acompanhamento, exame e avaliação da execução de programas e projetos
governamentais específicos (efetividade das medidas governamentais).
o Auditoria do planejamento estratégico
 Verifica se os principais objetivos da entidade são atingidos e se as políticas e
estratégias de aquisição, utilização e alienação de recursos são respeitadas.
o Auditoria administrativa
 Engloba o plano da organização, seus procedimentos e documentos de suporte à
tomada de decisão.
o Auditoria contábil
 Auditoria tem objetivo de garantir a correção das contas da instituição, conforme
as devidas autorizações.
o Auditoria financeira
 Ou auditoria das contas, análise das contas, da situação financeira, da legalidade e
regularidade das operações e aspectos contábeis financeiros, orçamentários e
patrimoniais, verificando se todas as operações foram corretamente autorizadas,
liquidadas, ordenadas, pagas e registradas.
o Auditoria de legalidade
 Analise da legalidade ou regularidade das atividades, funções, operações ou
gestão de recursos, verificando se estão em conformidade com a legislação em
vigor.

12
o Auditoria operacional
 Analisa todos os níveis de gestão, nas fases de programação, execução e
supervisão, sob o ponto de vista da economia, eficiência e eficácia. Também
conhecida como auditoria de eficiência, de gestão, de resultados ou de práticas de
gestão. São auditados todos os sistemas e métodos utilizados pelo gestor pata a
tomada de decisão, analisa a execução das decisões a aprecia até que ponto os
resultados pretendidos foram atingidos.
o Auditoria integrada
 Inclui auditoria financeira e a operacional.
o Auditoria da tecnologia da informação
 Analisa os sistemas de informação, o ambiente computacional, a segurança de
informações, e o controle interno da entidade, identificando deficiências e pontos
fortes. É essencialmente operacional, conhecida como auditoria informática,
computacional ou de sistemas.
AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO
A Auditoria da TI é uma auditoria operacional, isto é, que analisa a gestão de recursos, com o foco nos
aspectos de eficiência, eficácia, economia e efetividade. A abrangência desse tipo de auditoria pode ser o
ambiente de informática como um todo ou a organização do departamento de informática:
 Ambiente de informática:
o Segurança dos outros controles;
o Segurança física;
o Segurança lógica;
o Planejamento de contingências;
o Operação do centro de processamento de dados.
 Organização do departamento de informática:
o Aspectos administrativos da organização;
o Políticas, padrões, procedimentos, responsabilidades organizacionais, gerência
pessoal e planejamento de capacidade;
o Banco de dados;
o Redes de comunicação e computadores;
o Controle sobre aplicativos:
 Desenvolvimento,
 Entradas, processamento e saídas.
Embora não exista tipologia das sub-áreas da Auditoria da TI, apresentamos:
Auditoria da tecnologia da informação
É abrangente, engloba todos os controles que podem influenciar a segurança de informação e o correto
funcionamento dos sistemas de toda a organização:
 Controles organizacionais;
 De mudança;
 De operação de sistemas;
 Sobre Banco de Dados;
 Sobre microcomputadores;
 Sobre ambiente cliente-servidor.

13
Auditoria da segurança de informações
Determina a postura da organização com relação à segurança. Avalia a política de segurança e controles
relacionados com aspectos de segurança institucional mais globais, faz parte da auditoria da TI. Seu escopo
envolve:
 Avaliação da política de segurança;
 Controles de acesso lógico;
 Controles de acesso físicos;
 Controles ambientais;
 Planos de contingência e continuidade de serviços.
Auditoria de aplicativos
Segurança e controle de aplicativos específicos, incluindo aspectos intrínsecos à área a que o aplicativo
atende:
 Controles sobre o desenvolvimento de sistemas aplicativos;
 Controles de entradas, processamento e saída de dados;
 Controle sobre conteúdo e funcionamento do aplicativo, com relação à área por ele
atendida.
EQUIPE DE AUDITORIA E CONHECIMENTOS
Gerente da equipe:
Habilidade para recrutar ou formar profissionais com nível adequado de capacitação técnica em auditoria e TI;
determinar forma de atingir a capacitação e os métodos de treinamento mais eficazes.
Conhecimento necessários
Conhecimento na área (se possível experiência anterior)
Cpd, desenvolvimento de sistemas, pesquisa aplicada, fornecedor de hardware, software ou serviços de
consultoria técnica de informática.
Conhecimentos computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado.
Avaliação da necessidade de um nível de conhecimento mais especializado e aprofundado pra a realização da
auditoria.
Dependendo do âmbito (abrangência, profundidade) diferentes níveis de conhecimento podem ser exigidos,
supridos pela equipe básica (interna) com treinamentos ou contratação de mão-de-obra especializada.
Conhecimentos técnicos:
 Sistemas operacionais,
 Software básico,
 Banco de dados,
 Processamento distribuído,
 Software de controle de acesso,
 Segurança de informações,
 Plano de contingência, e de recuperação e
 Metodologias de desenvolvimento de sistemas.

14
Conhecimentos em auditoria:
 Técnicas de auditoria,
 Software de auditoria e extração de dados,
Outras capacidades relevantes:
 Princípios Éticos,
 Bom relacionamento,
 Comunicação oral e escrita,
 Senso crítico,
 Conhecimento específico na área (finanças, pessoal, estoque...)
Composição da equipe
Na composição da equipe de auditoria, a chefia tem três opções.
Opções para a formação da equipe:
 Consultoria externa
 Desenvolver a capacidade técnica de TI nos auditores
 Desenvolver técnicas de auditagem no pessoal de TI
Dependendo do tamanho da organização, capacidade dos profissionais, prazos, objetivos e relação custo -
beneficio uma das alternativas será eleita.
Consultoria externa
Analise (custo, alta capacidade, independência, duração, investimento pessoal, extensão do trabalho)
Consultores externos somente para tarefas específicas (conhecimento especializado).
Pontos críticos: custos, contrato e controle sobre atividades.
 Definição de objetivos precisos e pontos de controle.
Recomendável: bom relacionamento, transferência de conhecimentos.
Ao término da auditoria: avaliação dos serviços (opiniões dos consultores, dos membros da equipe
e da gerencia da organização), com o objetivo de evitar as mesmas falhas no futuro.
A possibilidade de contratação de serviços externos de auditoria deve ser considerada desde as primeiras
fases do planejamento da auditoria. A partir do momento em que são definidos o campo da auditoria, seu
âmbito e as sub-áreas a serem auditadas. Decidir contratar consultoria externa depois de ter iniciado a
auditoria dificilmente trará bons resultados.
A consultoria externa, antes de ser contratada, deve saber exatamente o que se espera de seu trabalho, os
objetivos a serem atingidos e o grau de profundidade dos conhecimentos requeridos, podendo assim verificar
se estão aptos.

15
Categorias de consultoria externa:
Firma ou organização especializada em auditoria (mais recursos, mais serviços)
Profissional ou grupo de profissionais envolvidos em pesquisas ou atividades acadêmicas na área a
ser auditada, especializados em determinadas técnicas e ferramentas de auditoria, ou com
especialização no objeto da auditoria. (Atuam tanto no planejamento estratégico como nas
verificações específicas em campo.)
Tanto as firmas de consultoria como os especialistas autônomos podem ser de grande utilidade no
planejamento da auditoria, na condução de entrevistas com o auditado, na avaliação de controles, na
captação de dados dos sistemas, na revisão dos resultados e nas recomendações finais do relatório de
auditoria.
Analisando os Candidatos ao Serviço de Consultoria Externa
Uma das maneiras de se contratar o serviços de consultoria externa é promover um estudo de propostas onde
sejam detalhados os custos do serviço, os recursos humanos oferecidos pela consultoria, suas habilidades
técnicas, seu plano de trabalho. Antes de confrontar as propostas, é aconselhável fazer uma seleção inicial dos
possíveis candidatos, é importante também decidir, antecipadamente, os critérios que serão utilizados na
análise das propostas dos consultores.
Relacionamento com os Consultores Externos
Para a realização de qualquer trabalho de qualidade, é essencial o bom entrosamento na equipe, ainda mais se
alguns de seus componentes não fizerem parte do quadro de funcionários da organização. Em auditorias com
a participação de consultoria externa é imprescindível que todos os aspectos relevantes estejam sob o
controle do auditor coordenador da equipe, que deverá ser sempre funcionário da organização.
Avaliando o trabalho realizado
Ao final do trabalho, é importante avaliar seus resultados, em uma discussão franca entre os consultores
externos, membros da equipe de auditoria, coordenador e gerência da organização contratante. O objetivo
dessa discussão é destacar seus pontos fortes e fracos e relatar as dificuldades encontradas ao longo do
trabalho para que, no futuro, sejam realizadas auditorias mais produtivas, eficientes e eficazes.
Comparar os objetivos esperados e os resultados alcançados, o orçamento previsto e custo real, os prazos
estimado e real, e os níveis de qualidade esperado e alcançado. Verificar se houve cooperação entre a
consultoria externa e o resto da equipe, se há sugestões para o aprimoramento das futuras auditorias.
Capacitando Auditores para atuarem como Auditores de Sistemas
Para muitos, a informática pode ser difícil de compreender. É uma área recheada de jargões técnicos e que
enfrenta transformações constantes de produtos e tecnologias. O auditor com formação básica em
contabilidade e auditoria geral se depara com uma dificuldade adicional: muitos profissionais de informática,
ao serem auditados, não se propõem a explicar os assuntos técnicos ao auditor que não tenha os
conhecimentos básicos necessários para realizar auditoria naquele departamento. Muitas vezes o auditor nem
sequer entende o que é respondido pelo auditado, pois este utiliza vocabulário técnico e siglas, dificilmente
compreendidos por quem não é da área.

16
Capacitando Profissionais de Informática em Auditorias
Pode-se obter resultados mais efetivos e com maior rapidez se, nos quadros da organização, existirem
profissionais de informática para serem treinados na área de auditoria.
Treinamento
O treinamento constante dos auditores de sistema é imprescindível para que estejam preparados para realizar
auditorias de qualidade com grau de profundidade técnica adequada. Todos os auditores especialistas ou não
em sistemas deveriam receber treinamento básico de auditoria da tecnologia da informação, já que
dificilmente auditarão entidades que não utilizam informática em seus processos e controles. As técnicas e
métodos básicos de auditoria de sistemas computadorizados devem ser disseminados a todos os auditores da
organização.
Participação em Seminários e Cursos de Especialização
Faz-se necessário estimular a participação dos auditores em seminários, cursos de especialização, workshops e
congressos.
Qualificação Profissional
Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus conhecimentos
estão atualizados e compatíveis com os padrões profissionais.
Alguns exemplos de organizações certificadoras:
Information System Audit and Control Association (ISACA) – Certificado de Auditor de Sistemas de
Informação
Bristish Computer Society - Exame da Sociedade Britânica de Informática
Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional (IIA Qualition in
Computer Auditing)
A IIA e ISACA desempenham um papel ativo no desenvolvimento de padrões de auditoria e controle de
sistemas de informação.
Como a tecnologia da informação está em constante evolução, é essencial que o treinamento do auditor de
sistemas acompanhe essa evolução, incluindo em seu currículo novas técnicas de auditoria e aspectos de
informática de tecnologias mais avançadas. O desenvolvimento profissional contínuo não é apenas desejável,
mas essencial.
Manuais de Auditoria da Tecnologia da Informação
A equipe de especialistas em auditoria da TI, para orientar o trabalho dos auditores e difundir o conhecimento
nessa área, deve ser responsável pela elaboração de uma ou mais manuais contendo instruções para a
condução de auditorias de sistemas, exemplos de objetivos de controle e procedimentos de auditoria,
explanações técnicas sobre alguns tópicos considerados importantes na área de informática, técnicas e
metodologias de auditoria, instruções sobre o uso de ferramentas de informática de apoio à auditoria.
Biblioteca Técnica
Os auditores devem ter, à sua disposição, uma biblioteca técnica para consulta. Dessa forma poderão orientar
seus trabalhos de acordo com os padrões conhecidos na área, se manter atualizados com relação às novas
tecnologias e utilizar publicações técnicas como fonte de consulta durante a auditoria e na elaboração do
relatório.

17
Organização da Equipe Especializada
Dada a complexidade e a extensão dos conhecimentos necessários em auditoria da tecnologia da informação,
dificilmente uma única pessoa deterá todos esses conhecimentos. É comum encontrar, em equipes de
auditoria da TI de várias organizações, auditores com formação e especialização em diferente áreas. Cabe à
gerência desenvolver as especializações que faltam e administrar o grupo como um time coeso que se
complementa tecnicamente. Através de treinamento adequado, a equipe deve tentar cobrir todas as áreas de
auditoria da tecnologia da informação utilizadas pela instituição.
Administrando Recursos Humanos Escassos
Na maioria das organizações dedicadas a auditoria, controle e segurança, os auditores de sistemas são
considerados recursos escassos e seu tempo é administrado criteriosamente. Suas atividades são definidas
apenas nos casos em que sua atuação é realmente necessária.
Além do grupo de especialistas em auditoria da TI, uma boa alternativa para difundir esse conhecimento é
treinar alguns auditores para atuarem como suporte básico de informática nas equipes de auditoria de caráter
genérico, sendo este denominado auditor generalista. Ele executará análise preliminar de ambientes de
informática ou sistemas considerados pouco complexos para determinar a estratégia de auditoria mais
adequada e avalia os controles genéricos do ambiente computacional que não exijam experiência técnica mais
apurada.
É recomendável que a chefia estabeleça claramente as responsabilidades de cada tipo de auditor, o suporte
técnico a ser dado pelos auditores especialistas, os limites de atuação e o relacionamento entre auditores de
sistemas e especialistas e generalistas, para evitar omissão ou duplicidade de trabalho.
A gerência deve estabelecer um plano de auditorias de sistemas, de preferência anual, relacionando os
recursos disponível (generalistas e especialistas) e as prioridades dos trabalhos.
Planejamento de Atividades
Em organizações de auditoria, geralmente as atividades são planejadas em três níveis, baseados em períodos
de tempo diferentes. Cada nível de planejamento gera um documento, denominado plano, com atividade e
detalhes para o período de tempo.
Plano Estratégico de Longo Prazo
O plano estratégico de longo prazo é estabelecido, normalmente, para um período de 3 a 5 anos. Seus
objetivos são mais amplos, atingem toda a instituição e são aprovados pela gerência superior. Seus conteúdo
define as metas da gerência de auditoria da TI, seu modo de atuação, os recursos necessários (pessoal,
equipamentos e recursos financeiros) e as necessidades de treinamento. É aconselhável revisar e atualizar o
plano anualmente.
Plano Estratégico de Médio Prazo
Este traduz o plano de longo prazo em um programa de atividades para o ano que se inicia. Em geral procura
atender à demanda das equipes de auditoria genérica por especialistas na área de informática para realizarem,
no ano seguinte, em conjunto ou não, auditorias da TI em entidades previamente escolhidas. Esse plano,
normalmente aprovado pela gerência intermediária, define os objetivos macro das principais auditorias do
próximo ano e é suficientemente flexível para aceitar as alterações que se façam necessárias.

18
Plano Operacional
Baseia-se em auditorias individualizadas e contém detalhes exatos dos objetivos a serem atingidos, as áreas a
serem auditadas, os recursos necessários e em que prazo, os objetivos de controle e os procedimentos de
auditoria a serem seguidos. O plano operacional nada mais é do que o plano específico de uma determinada
auditoria.
Envolvimento com Outros Auditores
Ao estabelecer uma equipe mista para realização de uma auditoria genérica, isto é, sem o enfoque de
auditoria da TI, é conveniente dividir o trabalho em várias fases para que os auditores atuem, conforme sua
especialização, apenas nas fases em que seus conhecimentos sejam necessários. Em uma auditoria genérica,
normalmente os auditores de sistemas participam das seguintes fases:
Levantamento de auditoria - o auditor de sistemas pode ser requisitados para analisar um sistema da
entidade auditada, explicando, em seu relatório, seu funcionamento e fornecendo informações
básicas para auditoria principal.
Coleta de dados – o auditor de sistemas pode auxiliar na coleta e transferência de dados do
computador do órgão auditado para o computador da equipe de auditoria.
Análise de dados – após a coleta de dados, o auditor de sistemas pode ser solicitado a analisar os
dados coletados e entrevistar o auditado em relação a seu conteúdo.
Opinião técnica – o auditor de sistemas pode ser requisitado a dar sua opinião técnica sobre o
desempenho e a utilidade de determinado sistema ou conjunto de dados.
Já o envolvimento entre auditores de sistemas generalistas e especialista é bem mais próximo. No caso de
auditorias da TI feitas por auditores generalista, a equipe de especialistas em TI deve dar todo o suporte
necessário, seja elaborando manuais de orientação, repassado os conhecimentos técnicos básicos,
esclarecendo suas dúvidas ou atendendo às solicitações de consultoria, quando for preciso. A troca de
experiências deve ser estimulada pela gerência.
PLANEJAMENTO E EXECUÇÃO
PLANEJAMENTO
A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua realização. Além de
estabelecer os recursos necessários à execução dos trabalhos de auditoria, a área de verificação, as
metodologias, os objetivos de controle e os procedimentos a serem adotados, o auditor realiza um trabalho de
pesquisa de fontes de informação sobre o objeto a ser auditado e negocia todos esses aspectos com sua
gerência.
Pesquisa de Fontes de Informações
Na fase de planejamento da auditoria, a equipe deve reunir a maior quantidade possível de informações sobre
a entidade auditada e seu ambiente de informática (plataforma de hardware, sistemas operacionais, tipo de
processamento, metodologia de desenvolvimento, principais sistemas, etc.). Com essas informações poderá
esboçar seu plano de auditoria e partir para a fase de delimitação dos trabalhos.
Esse conhecimento prévio do ambiente de informática da entidade auditado permite ao auditor ter uma
noção do grau de complexidade de seus sistemas e, então, estabelecer os recursos e os conhecimentos
técnicos necessários à equipe da auditoria.
Saber com antecedência o tipo de ambiente computacional com o qual o auditor vai se deparar é, sem dúvida,
bastante vantajoso, já que haverá mais tempo para se preparar tecnicamente ou para incluir um especialista
na equipe.
A equipe precisará manter contato e entrevistar pessoas-chaves da entidade.

19
As principais fontes de informações sobre a entidade auditada são relatórios de auditorias anteriores, base de
dados, documentos ou páginas da entidade na Internet, notícias veiculadas na imprensa, visitas anteriores à
entidade e relatórios da auditoria interna.
Definindo Campo, Âmbito e Sub-áreas
A partir do momento em que foi decidida a realização de uma auditoria e já existem informações suficientes
sobre a entidade e seu ambiente computacional, a equipe delimita sua atuação, definindo o campo, o âmbito
e as sub-áreas a serem auditadas. O campo da auditoria é composto por objeto, período de fiscalização e
natureza.
No caso de auditorias de informática, a natureza é auditoria da tecnologia da informação, quase sempre com
enfoque operacional (exame dos aspectos econômicos, de eficiência e eficácia). O objeto auditado pode
englobar um sistema computacional específico; uma, várias ou todas as seções do departamento de
informática; ou até mesmo toda a organização (em termos de políticas de informática e segurança de
informações ou nos casos em que o negócio da organização resume-se à prestação de serviços
computacionais). O período de uma auditoria da TI depende diretamente do âmbito (grau de profundidade
das verificações) e das sub-áreas de sistemas escolhidas pela equipe.
Além da definição do campo, são determinadas a amplitude e a exaustão dos processos de auditoria, incluindo
uma limitação racional dos trabalhos a serem executados.
Tendo sido definido o conjunto campo e âmbito da auditoria, é fixada, então, a área de verificação. Essa área
delimita de modo muito preciso os temas da auditoria e, em função do objeto a ser fiscalizado e da natureza
da auditoria, pode ser subdividida em sub-áreas.
É aconselhável coordenar o número de sub-áreas a serem auditadas com a magnitude ou complexidade do
objeto da auditoria, isto é, para ambientes extensos ou de grande complexidade, convém limitar a quantidade
de controles a serem verificados para que a equipe realize um trabalho de qualidade.

20
Após a definição das áreas e sub-áreas a serem auditadas, o auditor retorna à fase de pesquisa para relacionar
as fontes de consulta especializadas necessárias durante a auditoria, tais como livros técnicos, manuais de
auditoria, artigos especializados, sites na Internet especializados em segurança ou outras áreas específicas de
informática.
NEGOCIANDO COM A GERÊNCIA
A definição dos aspectos citados no item anterior facilita o trabalho da equipe de auditoria e evita as falsas
expectativas, tanto nos membros da equipe como de sua gerência.
Evitando Falsas Expectativas
Quando a gerência da equipe de auditoria espera um trabalho de verificação breve, sucinto e preliminar de um
sistema de informática e a equipe executa uma auditoria extremamente detalhada e aprofundada, ninguém
fica satisfeito. A gerência tende a cobrar insistentemente a conclusão do trabalho, por considerá-lo apenas
uma análise superficial, enquanto a equipe de auditoria se exaspera para completar todas as suas tarefas
dentro do prazo exíguo.
Esse problema de falsas expectativas pode acontecer em qualquer tipo de auditoria, não necessariamente em
auditorias da TI. Antes de iniciar a execução propriamente dita da auditoria, é recomendável que a equipe
sempre discuta e defina claramente, com sua gerência, o campo da auditoria, o grau de profundidade de sua
verificações e o nível de capacitação técnica e profissional necessário para auditar as sub-áreas escolhidas.
Dando assim uma noção próxima da realidade dos resultado da auditoria e permite à equipe definir as
metodologias a serem utilizadas, os objetivos de controle a serem atingidos e os procedimentos de auditoria
mais adequados para garantir a realização de um trabalho de auditoria compatível com as expectativas da
gerência.
Definindo os Recursos Necessários
● Recursos humanos
● Recursos econômicos
● Recursos técnicos
METODOLOGIAS
 Entrevistas
o Entrevistas de apresentação
- Apresentação da equipe, cronograma das atividades, objetivos, áreas, período,
metodologias. Estrutura do relatório (resultado da auditoria).
o Entrevistas de coleta de dados
- Coleta de dados sobre os sistemas ou ambiente de informática. Nessa entrevista podem ser
identificados os pontos fortes e fracos de controle, falhas e possíveis irregularidades. O
entrevistado deve saber de antemão como serão usados esses dados e conhecer o relatórios a
cerca da entrevista.
o Entrevistas de discussão de deficiências encontradas
- Ao término das investigações são apresentadas as deficiências encontradas. Ao discuti-las
podem ser apresentadas justificativas para essas deficiências, podendo ser desconsiderada as
falhas ou relatadas as justificativas.
o Entrevista de encerramento

21
É apresentado o resumo dos resultados (pontos fortes, falhas mais relevantes,
comentários, recomendações).
Uso de Técnica ou Ferramentas de Apoio (Catas)
 Técnicas Para Análise de Dados
o dados coletados e auditados com auxílio de softwares de extração de dados, de amostragem,
de análise de logs e módulos ou trilhas de auditoria embutidas nos próprios sistemas
aplicativos da entidade.
 Técnicas Para Verificação de Controles de Sistemas
o testar a efetividade dos controles dos sistemas do auditados. Analisar sua confiabilidade,
determinar se estão operando corretamente a ponto de garantir a fidedignidade dos dados.
o Massa de dados de teste, simulações, software de comparação de programas e rastreamento
de processamento.
 Outras Ferramentas
o planinhas eletrônicas, editores de texto, bancos de dados e softwares para apresentações.
OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA
Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados,
para atingirmos esses objetivos, são traduzidos em procedimentos de auditoria.
Os objetivos de controle norteiam a auditoria, para realizar uma avaliação, é necessário um modelo
normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita.
Este modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em cada área
específica.
Os objetivos de controle podem ter vários enfoques e podem ser motivados por diversas razões:
Segurança – dados e sistemas importantes para a organização, onde a confidencialidade,
integridade e a disponibilidade são essenciais.
Atendimento a solicitações externas – verificação de indícios de irregularidade motivados
por denúncia ou solicitação de órgão superior.
Materialidade – alto valor econômico-financeiro dos sistemas computacionais.
Altos custos de desenvolvimento – sistemas de alto custos envolvem altos riscos.
Grau de envolvimento dos usuários – o não envolvimento dos usuários no
desenvolvimento de sistemas, acarreta sistemas que em geral não atendem
satisfatoriamente às suas necessidades.
Outsourcing/Terceirização – efeitos da terceirização no ambiente de informática.
Os procedimentos de auditoria formam um conjunto de ações (verificações e averiguações) que permitem
obter e analisar as informações necessárias à formulação do parecer do auditor.
Enquanto os objetivos de controle abrangem uma área mais ampla, os procedimentos de auditoria descrevem
padrões individualizados, mais detalhados, dentro de cada objetivo de controle.

22
A partir do momento em que foram definidas a área de verificação e as sub-áreas a serem auditadas, a equipe
seleciona os objetivos de controle mais apropriados e, por fim, utiliza procedimentos de auditoria para testar
se os respectivos objetivos de controles estão sendo seguidos pela entidade.
EXECUÇÃO
No transcurso da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis para a consecução
dos objetivos da auditoria. Os resultados da auditoria (achados e conclusões) devem ser suportados pela
correta interpretação e análise dessas evidências.
Evidência física – observações de atividades desenvolvidas pelos funcionários e gerentes,
sistemas em funcionamento, local equipamentos, etc.
Evidência documentária – resultado da extração de dados, registro de transações,
listagens, etc.
Evidência fornecida pelo auditado - transcrições de entrevistas, cópias de documentos
cedidos, fluxogramas, políticas internas, e-mails trocados com a gerência, justificativas,
relatórios, etc.
Evidência analítica - comparações, cálculos e interpretações de documentos.
Toda essa documentação, geralmente organizada em papéis de trabalho, deve estar disponível para auxiliar a
equipe na elaboração do relatório. Nem todas as evidências podem ser investigadas detalhadamente e
descritas no relatório final, o auditor deve analisar cada caso segundo a sua importância para a consecução
dos objetivos, tempo e esforço necessários para esclarecer todos seus pontos nebulosos.
Uma evidência considerada incompatível com a auditoria em execução, pode servir como indicativo para outra
auditoria. A manutenção dos papéis de trabalho é essencial tanto para a elaboração do relatório da auditoria
em questão, como para o planejamento de futuras auditorias.
RELATÓRIO
Nos relatórios da auditoria, a equipe, apresenta seus achados e conclusões, bem como os fatos sobre a
entidade auditada, comprovações recomendações e determinações. A linguagem utilizada nos relatórios deve
ser compatível com quem irá recebê-los.
A quem se Dirige o Relatório?
Dependendo do motivo que levou à realização da auditoria, o relatório pode se encaminhado à diretoria da
organização, ao organismo que financia a entidade auditada ou ao organismo responsável pelo controle de
auditoria geral da entidade. Faz-se necessário identificar os pontos mais relevantes e adaptar o relatórios de
acordo com o público alvo.
Relatórios preliminares
Antes mesmo de iniciar os trabalhos de campo, na fase do planejamento da auditoria, são coletadas
informações preliminares sobre a entidade, seus sistemas, os recursos necessários, a composição da equipe,
metodologias, objetivos de controle e procedimentos a serem adotados. Uma estrutura de relatório deve ser
definida e todas essas informações devem ser transcritas para o relatório.

23
Durante os trabalhos de campo, é importante documentar tudo que foi feito, observado e dito pelos
entrevistados. Os textos referentes a cada entrevista podem ser utilizados no relatório. A equipe deve
confirmar os fatos relatados e apresentar ao entrevistado, antes da revisão final do relatório os assuntos
tratados durante a entrevista, evitando mal-entendidos ou desvios de interpretação.
Ao término das investigações de cada área, um relatório parcial deve ser apresentado contendo as deficiências
encontradas (entrevista para discussão de deficiências encontradas). As justificativas apresentadas podem ser
anexadas ao parecer.
Relatório final
O relatório final deve se revisado por toda a equipe de auditores, a fim de evitar inconsistências, erros ou
lacunas em relação aos padrões e práticas da organização auditada. Uma crítica externa, também e
conveniente nesse ponto.
Estrutura
Dados da entidade auditada - nome, endereço, natureza jurídica, relação de responsáveis,
etc.
Síntese - um breve resumo do conteúdo. É útil para a alta direção obter uma visão geral e
rápida dos principais pontos da auditoria.
Dados da auditoria - objetivos, período de fiscalização, composição da equipe,
metodologia adotada, natureza da auditoria, e objeto (controles gerais, desenvolvimento
de sistemas, aplicativo específico, etc.).
Introdução - histórico da entidade, conclusões de auditorias anteriores, estrutura
hierárquica do departamento de informática, sua relação com outros departamentos,
descrição do ambiente computacional, evolução tecnológica, principais sistemas e
projetos.
Falhas detectadas - apresenta em detalhes, as falhas e irregularidades detectadas durante
a auditoria. Além das descrições, são apresentados comentários iniciais, justificativa do
auditado e o parecer final da equipe para cada falha (preferências e recomendações). É
aconselhável dividi-la por sub-áreas fiscalizadas, para haver um encadeamento lógico de
idéias.
Conclusão - síntese dos pontos principais do relatório e as recomendações ou
determinações finais da equipe para a correção das falhas ou irregularidades encontradas.
Pareceres da gerência superior - as gerências superiores podem dar seu parecer a respeito
dos achados e recomendações da equipe de auditores, concordando integralmente ou em
partes com os pontos de vista da auditoria, ou ainda discordando inteiramente.

24
AUDITORIA – PLANEJAMENTO E EXECUÇÃO
Organização do trabalho da auditoria
Planejamento
1. Passo - conhecer o ambiente: levantamento de dados do ambiente, fluxos de processamento,
recursos humanos, materiais, arquivos, relatórios, telas, etc.
2. Passo - determinar pontos de controle (processos críticos)
3. Passo - definir objetivos da auditoria: técnicas, prazos, custos, nível de tecnologia a ser
utilizada.
4. Passo - estabelecer critérios para a análise de risco.
5. Passo - análise de risco.
6. Passo - hierarquização dos pontos de controle.
Definição da equipe
1. Passo - escolher equipe: perfil e histórico profissional, experiência na atividade,
conhecimentos específicos, formação acadêmica, línguas estrangeiras, disponibilidade para
viagem, etc.
2. Passo - programar a equipe: gerar programas de trabalho, selecionar procedimentos
apropriados, incluir novos procedimentos, classificar trabalho por visita, orçar tempo e
registrar o realizado.
3. Passo - executar trabalho - dividir as tarefas de acordo com a formação, experiência e
treinamento dos auditores, efetuar supervisão para garantir a qualidade do trabalho e
certificar que as tarefas foram feitas corretamente.
4. Passo - revisar papéis: verificar pendências e rever o papel de cada auditor para suprir as
falhas encontradas.
5. Passo - avaliação da equipe: avaliar o desempenho, elogiando os pontos fortes e auxiliando no
reconhecimento e superação de fraquezas do auditor, ter um sistema de avaliação de
desempenho automatizado.
Documentação do trabalho
1. Relatório de fraquezas de controle interno
Objetivo do projeto de auditoria, pontos de controle auditados, conclusão alcançada a cada
ponto de controle, alternativas de solução propostas.
2. Certificado de controle interno
Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de
controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.
3. Relatório de redução de custos
Explicita as economias financeiras a serem feitas coma a aplicação das recomendações
efetuadas. Base para a realização das análises de retorno de investimento e do custo/benefício
da auditoria de sistemas.
4. Manual da auditoria do ambiente auditado
Armazena o planejamento da auditoria, os pontos de controle testados e serve como
referência para futuras auditorias. Compõe-se de toda a documentação anterior já citada.
5. Pastas contendo a documentação da auditoria de sistemas

25
Contem toda a documentação do ambiente e dos trabalhos realizados como: relação de
programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de
reuniões, etc.
Apresentação dos resultados
Objetividade na transmissão dos resultados
Esclarecimento das discussões realizadas entre a auditoria e os auditados
Clareza nas recomendações das alternativas de solução
Coerência da atuação da auditoria
Apresentação da documentação gerada
Explicação do conteúdo de cada documento
Técnicas de auditoria em programas de computador
Correlação de arquivos e análise dos dados
1. Análise do fluxo do sistema
2. Identificação do arquivo a ser auditado
3. Entrevista com o analista / usuário
4. Identificação do código / layout do arquivo
5. Elaboração do programa para auditoria
6. Cópia do arquivo a ser auditado
7. Aplicação do programa de auditoria
8. Análise dos resultados
9. Emissão de relatórios
10. Documentação
Simulação de dados
Elaboração de massa de teste a ser submetida ao programa ou rotina, deve prever as seguintes situações:
1. Transações com campos inválidos,
2. Transações com valores no limite,
3. Transações incompletas,
4. Transações incompatíveis,
5. Transações em duplicidade.
Passos:
1. Compreensão da lógica do programa
2. Simulação dos dados (pertinentes ao teste a ser realizado)
3. Elaboração dos formulários de controle
4. Transcrição dos dados para o computador
5. Preparação do ambiente de teste
6. Processamento do teste
7. Avaliação dos resultados
8. Emissão de opinião sobre o teste

26
AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO
CONTROLES ORGANIZACIONAIS
Os controles organizacionais são políticas, procedimentos e estrutura organizacional estabelecidos para definir
as responsabilidades de todos os envolvidos nas atividades relacionadas à área da informática. Abrangem
todos os controles adotados pela gerência em termos administrativos e institucionais.
Os controles organizacionais são os pontos de partida da maioria das auditorias de sistemas, é a partir deles
que se pode ter uma idéia das políticas adotadas pela instituição e como os aspectos de segurança são
considerados pela alta administração.
É necessário que durante o planejamento da auditoria, o auditor, analise a estrutura adotada pela entidade
auditada, seus diversos componentes e o relacionamento do departamento com outros setores da
organização. De acordo com a estrutura, o auditor deve adaptar os objetivos de controle e os procedimentos a
serem adotados e, posteriormente, verificar se os controles organizacionais são adequados.
É importante que o auditor determine se as medidas administrativas estabelecidas pelo auditado são
suficientes para garantir o controle adequado das atividades do departamento de informática e se essas
atividades satisfazem os objetivos de negócio da organização.
Responsabilidades Organizacionais
O departamento de informática deve ter uma estrutura organizacional bem definida, com as
responsabilidades de suas unidades claramente estabelecidas, documentadas e divulgadas. É aconselhável que
o departamento de informática seja suficientemente importante na estrutura hierárquica para que possa
estabelecer seus objetivos estratégicos e ter certa independência dos demais departamentos.
Dependendo do tamanho da organização, pode existir uma gerência para controle de qualidade e uma
gerência, ou departamento, responsável por segurança da informações, geralmente com estreitas ligações
com o setor de informática.
As unidades internas do departamento devem ser bem definidas, com níveis de autoridade e
responsabilidades. As descrições dos cargos no departamento e as habilidades técnicas necessárias para
exerce-las devem ser estabelecidas e documentadas, podendo ser utilizadas, posteriormente, na avaliação de
desempenho dos funcionários.
É necessário que o auditor verifique, primeiramente, se existe uma gerência superior de informática, com
influência junto ao comitê executivo da organização. A inexistência dessa gerência, por si só, já pode sinalizar
uma falta de prestígio ou de reconhecimento dos serviços prestados pelo departamento de informática. Nesse
caso, há maior probabilidade de o departamento não receber os recursos e atenção necessários para atingir
seus objetivos. A falta de recursos pode causar maiores riscos de segurança e baixa qualidade de sistemas.
A equipe de auditoria deve também verificar se os funcionários do departamento têm conhecimento de suas
responsabilidades e seu papel na organização. È aconselhável que essas definições sejam documentadas
formalmente.
Políticas, Padrões e Procedimentos
Políticas, padrões e procedimentos são a base para o planejamento gerencial, o controle e a avaliação das
atividades do departamento de informática. A experiência tem demonstrado que pelo menos as políticas e os
padrões devem ser estabelecidos pela alta gerência para que sejam considerados na prática pelas gerências
intermediarias. É importante ter em mente que as políticas definem as diretrizes institucionais e o
relacionamento entre os diversos departamentos.

27
Portanto, é essencial que as políticas, para merecerem a atenção das gerências intermediárias e de todos os
funcionários, sejam estabelecidas pelo nível hierárquico superior da organização e divulgada a todos. A partir
das políticas, são estabelecidos os padrões que, no caso do departamento de informática, podem ser padrões
para aquisição de recursos; projetos, desenvolvimentos, alteração e documentação de sistemas; operação do
centro de informática e prestação de serviços de informática.
O passo seguinte é a definição de procedimentos mais detalhados que atendam às políticas e aos padrões
preestabelecidos. Os procedimentos descrevem a forma como as atividades deverão ser executadas e, muitas
vezes, são definidos pelo departamento de informática e aprovadas pela alta gerência.
Para o auditor, as políticas delineiam os controles gerenciais da organização. A partir delas, surgem padrões,
procedimentos e controles mais específicos, relacionados a uma determinado assunto. Quando mais efetivo o
cumprimento às políticas da organização, maior a probabilidade de os controles organizacionais serem
também eficazes.
Entretanto, é importante que o auditor leve em consideração que cada entidade tem objetivos gerenciais e
organizacionais diferentes e, consequentemente, as políticas, os padrões e procedimentos também serão
diferentes. O auditor deve ser flexível e considerar as particularidades de cada entidade para que suas
recomendações sejam realmente aplicáveis em cada caso. Recomendações absurdas depõem contra a
qualidade da auditoria e o bom nome do auditor.
Estratégia de Informática
O comitê de informática ou a alta gerência, após inúmeras discussões, formaliza a estratégia de informática à
organização em um documento conhecido como plano diretor de informática ou estratégia de informática.
Esse documento serve como base para qualquer investimento na área de informática, já que traça os objetivos
e projetos futuros da organização.
O maior risco associado à falta ou ineficiência de uma estratégia de informática é o desenvolvimento de
sistemas que não satisfaçam os objetivos de negócio da organização, acarretando perdas econômicas e
investimentos sem resultado.
É interessante que a equipe de auditoria tenha conhecimento do plano estratégico da entidade para reunir
informações importantes ao planejamento de futuras auditorias. A equipe poderá saber o direcionamento que
será dado ao ambiente computacional da entidade nos próximos anos.
Em sua análise, é necessário que o auditor considere o tamanho da organização e a importância da informática
para a continuidade de seus negócios e sua sobrevivência no mercado. Com relação ao plano estratégico, o
auditor deve analisar o relacionamento entre a estratégia de informática e a estratégia de negócios da
organização e as previsões de mudanças a curto e médio prazos. É importante também verificar a forma de
divulgação do plano e seu nível de aprovação. Por se tratar de um plano estratégico, normalmente deve ser
aprovado pela alta gerência.
Política Sobre Documentação
É recomendável que a organização defina uma política sobre documentação, estabelecendo padrões de
qualidade e classificação quanto à confidencialidade (documentos secretos, confidenciais, de uso interno, de
uso restrito). A documentação de todos os sistemas computacionais deve ser completa, atualizada e pelo
menos uma cópia deve ser mantida em local seguro. A classificação dos documentos pretende restringir o
acesso não autorizado a informações cruciais para a organização.

28
A política de documentação estabelece padrões para edição, formatação, apresentação visual e estrutura
básica de documentação e ainda regras para classificação, aprovação e alterações na documentação já
existentes.
Sem uma documentação adequada e atualizada, identificar as causa de erros nos aplicativos pode se tornar
uma tarefa complexa e demorada. Com uma política de documentação correta, pode-se ainda evitar a
repetição de erros e práticas não autorizadas pela equipe de desenvolvimento de sistemas.
Para a equipe de segurança e auditoria, a documentação também é muito importante, pois é por meio dela
que consegue muitas informações sobre os sistemas auditados ou ambiente computacional, relevantes para as
investigações de segurança. A falta de documentação adequada pode dificultar os trabalhos da equipe.
Gerência de Recursos Humanos
As causas mais frequentes de acesso não autorizado, perda de dados ou pane nos sistemas informatizados são
erros, omissões, sabotagem, extorsão ou invasões criminosas provocados por pessoas contratadas pela
própria organização. Os acidentes ambientais, as falhas de hardware e software e os invasores externos
aparecem em segundo plano.
Os funcionários mal intencionados têm tempo disponível e liberdade de vasculhar as mesas de outros
funcionários, ler e copiar documentos e informações internas ou confidenciais. Sabem como a organização
funciona e que tipo de informações seriam valiosa para a concorrência. A espionagem industrial, por exemplo,
costuma utilizar funcionários insatisfeitos como mão-de-obra.
Os ex-funcionários são igualmente interessantes para a concorrência. Muitas vezes essas pessoas prejudicam
sua antiga instituição de maneira não intencional, simplesmente pelo fato de saberem o que sabem. Apesar de
não terem mais acesso direto às informações internas, eles conhecem os procedimentos de segurança, a
forma de atuação da empresa, seus hábitos e vulnerabilidades.
Para reduzir os riscos de erros humanos ou atos criminosos por parte dos usuários internos, é aconselhável
que a organização estabeleça políticas, controles e procedimentos enfocando a área de pessoal. As atividades
dos funcionários devem ser controladas por meio de procedimentos de operação e supervisão documentados,
e políticas adequadas de seleção, treinamento, avaliação de desempenho, segregação de funções e
interrupção de contratos de trabalho.
Plano de Contratação e Desenvolvimento de Pessoal
A gerência de informática deve traçar um plano de contratação e desenvolvimento de pessoal, visando manter
uma equipe tecnicamente preparada para atender aos objetivos do departamento, com capacidade para
operar o ambiente computacional atual e acompanhar os avanços tecnológicos na área de informática. É
essencial que a gerência anteveja as futuras necessidades do departamento em termos técnicos e
quantitativos.
Seleção de Pessoal
As políticas de seleção de pessoal devem ser definidas de tal maneira que a equipe seja composta de pessoas
confiáveis, com nível técnico compatível com sua atividades, de preferência, satisfeitas profissionalmente. Essa
atitude gerencial tem como objetivo garantir a qualidade do trabalho desenvolvido, reduzindo os riscos de
erros. As políticas podem se aplicadas tanto na contratação temporária de prestadores de serviços ou
consultores. Em alguns casos, a contratação de pessoal deve ainda atender a requerimentos legai, tais com
exigência de concursos públicos para quadros do governo e apresentação de certificados técnicos emitidos por
associações profissionais.

29
Nas contratações de novos funcionários, normalmente são analisadas suas referências, incluindo empregos
anteriores, formação profissional, experiência técnica e ficha criminal. É recomendável instituir um acordo de
confidencialidade e códigos de conduta. Os novos contratados devem ter conhecimento de suas
responsabilidade e de seu papel na organização. O mesmo cuidado deve ser tomado na contratação de
consultores ou prestadores de serviços.
Treinamento
A gerência deve manter seu quadro de profissionais tecnicamente atualizado e apto a desempenhar suas
funções atuais e futuras, de acordo com o plano estratégico de informática. É importante estimular a toca de
experiências e o repasse de conhecimentos adquiridos a outros membros da equipe, dessa forma, a
capacitação profissional se multiplica internamente na organização e o conhecimento não fica restrito a uma
única pessoa ou grupo.
Avaliação de Desempenho
Deve ser regularmente avaliado de acordo com as responsabilidade do cargo ocupado e padrões
preestabelecidos. Toda avaliação é intrinsecamente subjetiva, pois, envolve aspectos emotivos e de
relacionamento entre avaliador e avaliado. Para vencer essa subjetividade, é aconselhável que o processo
avaliativo se baseie em critérios mais objetivos, levando em consideração formação profissional, nível de
responsabilidade, experiência, treinamento, conduta e consecução de metas.
Rodízio de Cargos e Férias
O rodízio de cargos e a instituição de férias regulares podem atuar como controles preventivos contra fraudes
ou atividades não autorizadas. O funcionário, sabendo que outra pessoa pode, de uma hora para outra,
exercer suas funções e detectar irregularidades por ele cometidas, ficará menos inclinado a praticar atos não
autorizados ou fraudulentos. Essas medidas não são infalíveis, é claro, mas podem reduzir os riscos de atos
não autorizados por um longo período de tempo.
Segregação de Funções
A segregação de funções tem como objetivo evitar que um indivíduo detenha o controle de todas as fases de
um processo qualquer e caia na tentação de praticar algum ato ilícito, fraudulento ou não autorizado.
Segregação significa basicamente que os estágio de uma transação ou processo são distribuídos a pessoas
diferentes, de forma que uma única pessoa não seja capaz de ter controle do início ao fim. A divisão de
responsabilidades, entre grupos ou funcionários distintos dentro do departamento, de certa forma promove o
controle mútuo das atividades desempenhadas por cada grupo ou funcionário. Com isso, aumenta a
probabilidade de serem detectados erros, omissões e fraudes.
Dependendo do risco associado, do tamanho da organização e de sua estrutura hierárquica, a segregação de
funções pode ser mais, ou menos, rígida, específica ou detalhada. Quanto menor a organização, mais difícil é
separar suas funções. Normalmente as atividades que envolvem recursos financeiros são as mais críticas para
a organização e, conseqüentemente, as mais controladas. Em geral, essas atividades são distribuídas a vários
indivíduos e sujeitas a um controle mais rígido. A supervisão gerencial é imprescindível para que a política de
segregação de funções tenha resultados satisfatórios.
Na época em que começaram a ser feitas auditorias de sistemas, os auditores costumavam verificar apenas se
os operadores dos computadores não tinham acesso aos programas e se os programadores não operavam os
equipamentos. Isso fazia sentido e era suficiente naquele tempo. Hoje, com a complexidade dos sistemas
operacionais modernos e as diferentes plataformas de hardware e software, o auditor deve avaliar a
segregação de funções sob outro prisma, já que novas funções foram introduzidas no modelo organizacional
do departamento de informática.

30
O acesso aos recursos computacionais e às informações sobre bases de dados, programas, controles internos
das aplicações, etc. só deve ser dado a quem realmente necessita desses recursos e informações para
desempenhar suas funções. Se todos tiverem o conhecimento e os meios para alteração de dados, por
exemplo, basta haver um motivo para que ocorram fraudes contra a organização.
A segregação de funções pretende assegurar que as transações e os processos são autorizados e registrados
adequadamente e os recursos (equipamentos, software e informação) estão protegidos.
Pode também ser uma forma de controle de qualidade e detecção de erros por inabilidade ou incompetência
técnica.
Na prática, no entanto, com os constantes cortes de investimentos nas organizações, o quadro de pessoal do
departamento de informática tem sido cada vez mais reduzido. Em algumas organizações, devido à diminuição
do quadro, pode ser difícil implementar a segregação de funções. Se o auditor se deparar com um caso
semelhante, é aconselhável adaptar sua análise e suas recomendações de acordo com a problemática da
organização e buscar outros controles que possam compensar os riscos da falta de segregação de funções.
Interrupção do Contrato de Trabalho
Assim como as políticas de contratação de pessoal, são igualmente importantes as políticas e os
procedimentos para lidar com o afastamento, voluntários ou não, de funcionários. Essas políticas devem
definir as medidas a serem adotadas no caso do término de um contrato de trabalho, principalmente no que
diz respeito ao acesso aos sistemas, dados e recursos patrimoniais da organização. Seu objetivo é a proteção
dos recursos computacionais e das informações da organização contra ex-funcionários insatisfeitos.
Normalmente, ao interromper o contrato de trabalho, os ex-funcionários são solicitados a devolver crachás de
identificação, chaves e quaisquer equipamentos ou material da organização (bips, laptops, calculadoras,
microcomputadores, impressoras, livros). Além disso são desativadas as rotinas de pagamento de pessoal,
senhas e privilégios de acesso lógico aos recursos computacionais e informações.
Gerência de Recursos
Os recursos computacionais devem ser gerenciados de tal forma que atendam às necessidades e objetivos da
organização com relação à informática, levando em consideração os aspectos de economicidade, eficiência e
eficácia.
Aquisição de Equipamentos e Softwares
É recomendável que o departamento estabeleça um plano de equipamentos e softwares, baseado na análise
de desempenho do ambiente atual, na demanda reprimida de serviços de informática, no planejamento de
capacidade e no plano estratégico de informática. Deve seguir os padrões de contratação adotados na
organização, as regras estabelecidas em leis, se for o caso (obrigatoriedade de processo licitatório, por
exemplo), e comparar preços e requisitos técnicos de produtos de fornecedores diferentes. É importante ter
em mente que nem sempre o mais barato é o melhor ou o mais adequado para atender às suas necessidades.
Os critérios de seleção devem aliar aspectos econômicos, de eficiência, de eficácia, efetividade e qualidade.
Manutenção e Hardware e Software
Para reduzir a possibilidade de ocorrência de falhas e interrupções inesperadas que possam causar impacto no
funcionamento normal dos sistemas computacionais, é aconselhável que a manutenção preventiva de
hardware ocorra de acordo com os padrões de cada equipamento (normalmente sugeridos pelo próprio
fabricante).
Também os pacotes de software devem sofrer manutenções, tais como aplicação de correções (distribuídas
pelo fornecedor) e atualizações de releases ou versões mais seguras e confiáveis).

31
Outsourcing, Terceirização e Contratação de Consultoria Externa
A terceirização ou prestação de serviços de informática ocorre quando uma empresa independente presta
qualquer tipo de serviço relacionado à informática para outra organização. Essa prestação de serviços pode
envolver alguns ou todos os estágios de processamento e desenvolvimento dos sistemas, e utilização de mão-
de-obra especializada, em ambiente computacional de propriedade da empresa contratada ou da organização
contratante. Normalmente, os motivos que levam uma organização a optar pela contratação de serviços
externos de informática são custos, problemas de espaço físico para instalação dos equipamentos e quadro
reduzido de especialistas em informática.
O termo outsourcing é usado quando o cliente contrata uma empresa especializada para prover por completo
todos os serviços de informática necessários para a organização. Local, equipamentos, software e pessoal são
da empresa contratada. Com o outsourcing, a organização pode concentrar esforços em sua área de negócios
e apenas gerenciar os serviços de informática providos pela empresa contratada.
A organização pode restringir a prestação de serviços de informática em algumas áreas específicas,
contratando a melhor opção no mercado para desempenhar as atividades especializadas. As áreas do
departamento de informática geralmente terceirizadas são manutenção de hardware e software,
desenvolvimento de sistemas, operação do centro de processamento de dados (CPD) e suporte técnico a
microcomputadores.
Mesmo quando a organização decide manter um ambiente computacional próprio, pode necessitar de
serviços externos providos por consultores especializados para desempenhar atividades bem definidas. Isso
ocorre quando o quadro de funcionários do departamento de informática não está suficientemente
capacitado ou treinado para desempenhar tais atividades e a gerência considerou a contratação de consultoria
externa uma opção melhor do que o investimento em treinamento de pessoal.
Os trabalhos de auditoria em uma organização que optou pela terceirazação de alguns serviços, outsourcing
ou contratação de consultoria externa devem enfocar as cláusulas contratuais, as políticas e os procedimentos
de segurança de informações de organização. Eventualmente, dependendo do tipo de terceirização, pode ser
necessário auditar a própria instalação do prestador de serviços, para verificar os controles aplicados.
Principais Motivos
Os principais motivos que levam uma organização a decidir pela terceirização, outsourcing ou contratação de
consultoria técnica externa são:
● Custos (pode ser mais barato contratar outsourcing do que comprar equipamentos, software e manter
um quadro técnico de profissionais de informática).
● Restrições de fluxo de caixa (a compra de equipamentos pode envolver quantias muito altas, acima
das possibilidades da organização, por outro lado o pagamento pela prestação de serviços
terceirizados pode ser bem inferior).
● Mão-de-obra especializada (a organização pode necessitar de serviços de um especialista apenas por
um determinado período de tempo. Manter esse especialista em sua folha de pagamento pode ser
mais oneroso, considerando que seus serviços sejam utilizados ocasionalmente).
● Resolução de problemas (quando um prestador de serviços é contatado, assume todas as
responsabilidades de entregar o serviço dentro do prazo e de acordo com os padrões e preços
predefinidos. Caso ocorram problemas, a responsabilidade de solucioná-los é inteiramente do
prestador de serviços. A organização apenas cobra o cumprimento do contrato sem se envolver na
resolução dos problemas).

32
● Rapidez no desenvolvimento de sistemas (geralmente os sistemas desenvolvidos por prestadores de
serviços são entregues em prazos menores, devido às exigências contatuais e à sua maior experiência
prática na área).
Riscos Envolvidos
A contratação de serviços externos sempre envolve alguns riscos. É importante que a equipe de auditoria
revise o contrato e certifique-se de que a gerência detém controle adequado sobre o serviço propriamente
dito e sobre informação institucional manipulada por pessoas externas à organização. Independentemente de
o processamento ser efetuado nas instalações da organização ou da firma prestadora de serviços, o auditor
deve ter acesso a todas as informações de controle. Em alguns casos, para que o auditor possa atuar na firma
prestadora de serviços, é necessária a inclusão de cláusula específica no contrato de prestação de serviços.
Entre outros aspectos, a organização deve se assegurar de que os controles de segurança praticados pelo
prestador de serviços são compatíveis com os padrões e os procedimentos adotados internamente. Para
reduzir esse risco, são recomendadas cláusulas contratuais que responsabilizem o contratado a garantir a
segurança dos dados de seu cliente.
Outro risco que vale a pena ser lembrado é a possibilidade de a organização, com o passar dos anos, tornar-se
dependente do prestador de serviços, a tal ponto de comprometer seus negócios caso o prestador de serviços
interrompa suas atividades ou faça exigências descabidas pra dar continuidade a seu trabalho. Além disso, a
experiência adquirida pelo prestador de serviços nos sistemas da organização dificulta a troca de prestador de
serviços ao término do contrato. Podem se passar meses até que um novo contratado assuma as mesmas
atividades com qualidade equivalente. Para reduzir esse risco, devem ser incluídas cláusulas contratuais que
definam o repasse de informações e documentação do prestador de serviços para o cliente ou para um novo
contratado.
É essencial que a organização ainda tome o cuidado de incluir cláusulas contratuais que permitam alterações
nos sistemas ou outros serviços, de acordo com as novas diretrizes traçadas pela organização. Essas cláusulas
são especialmente importantes no caso de entidades do setor público, onde as mudanças das chefias de
Governo implicam em mudanças de metas e estratégias das instituições governamentais.
Com a contratação de serviços técnicos externos corre-se o risco de perder ou diminuir a experiência e a
habilidade técnicas de seus próprios profissionais. Isso acaba reduzindo também a capacidade de o cliente
lidar com problemas técnicos futuros ou negociar os aspectos especializados com o prestador de serviços, por
desconhecimento dos termos técnicos e de novas tecnologias.
Além disso, a contratação de técnicos fora do quadro do departamento de informática pode originar
ressentimentos na equipe interna, por ter sido considerada incapaz para executar as mesmas atividades. Pode
surgir um clima de descontentamento, queda de produtividade ou boicote dos profissionais do quadro com
relação aos prestadores de serviços, dando origem a um ambiente propício para atos não autorizados, fraudes,
erros, omissões e sabotagem.
Por experiência prática, pode-se dizer que uma vez terceirizados os serviços de informática, dificilmente a
organização retornará essa atividade. A probabilidade de continuarem sendo terceirizados é muito maior.
Portanto, é uma decisão relativamente definitiva a ser tomada com todo o cuidado, face à quantidade de
riscos envolvidos.
Contratos
Toda prestação de serviços deve ser formalizada por um contrato. É imprescindível que esse contrato seja
revisado pelo departamento jurídico da organização e apresentado ao auditor, quando solicitado. A
organização, na definição do contrato, deve atentar para os seguintes detalhes:

33
● Custos básicos e taxas adicionais – o contrato deve apresentar claramente todos os custos envolvidos.
● Direitos de ambas as partes ao término do contrato – especialmente importante quando a organização
não detém conhecimento suficiente para executar os mesmos serviços sem contar com o prestador de
serviços.
● Possíveis indenizações, no caso de perdas provocadas por uma das partes – quebra de segurança de
acesso a informações confidenciais, violação de direitos de copyright ou de propriedade intelectual,
etc.
● Direitos de propriedade sobre os dados – é essencial que fique bem claro no contrato que os dados
pertencem à organização e não ao prestador de serviços.
● Direitos de propriedade intelectual – deve ser estabelecido quem terá direitos sobre o software
desenvolvido ou mantido pelo prestador de serviços.
● Repasse de informações técnicas e documentação – cláusula particularmente importante quando há
troca de prestador de serviços ou extinção do contrato.
● Possibilidade de alterações – quanto mais longo o contrato, maior a probabilidade de os sistemas
precisarem de alterações. É necessário que o contrato estabeleça quando, como e que tipo de
alterações serão aceitas.
● Padrões de segurança – deve ser especificado que o prestador de serviços é obrigado a se adequar aos
padrões de segurança definidos pela organização.
● Padrões de qualidade – o contrato deve descrever os padrões de qualidade esperados pela
organização (tempo de resposta, disponibilidade dos serviços, documentação padronizada, tempo de
processamento, prazo de entrega de sistemas desenvolvidos, suporte técnico, etc.).
Riscos Inerentes ao Controle
Organizacional Inadequado
A alta gerência tem a responsabilidade de salvaguardar os recursos que compõem o patrimônio da
organização. Para tanto, é necessário estabelecer políticas que assegurem o controle organizacional
adequado, compatível com os riscos envolvidos.
Os riscos mais comuns são a violação da segurança de aceso a recursos computacionais e dados, implicando
em fraudes, erros, perda de dados e roubo de equipamentos; e o planejamento inadequado do crescimento
computacional, podendo acarretar desperdício de investimento ao subutilizar os recursos de informática ou,
por outro lado, sobrecarregar o sistema atual, degradando ou tornando indisponíveis os serviços
computacionais oferecidos aos usuários. Uma equipe insatisfeita ou ressentida com a gerência, capaz de
sabotar o sistema computacional, ou uma equipe ineficiente que não cumpre com suas responsabilidades
(falha causada por políticas de seleção de pessoal e treinamento inadequado), podem aumentar o risco de
ocorrência de erros e fraudes. A perda de dados e informações sobre os dados e aplicativos manipulados por
prestadores de serviços, são outros riscos freqüentes.
Lista de Verificações
Os aspectos apresentados a seguir podem ser utilizados como uma lista de verificações, tanto pela gerência de
sistemas, quanto pela equipe de auditoria. Para essa gerência, a lista pode servir como um conjunto de tarefas
a serem realizadas para implementar os controles organizacionais. Para a equipe de auditoria, essas mesmas
verificações podem ser traduzidas em procedimentos de auditoria a serem adotados.

34
A lista proposta a seguir não tem a pretensão de cobrir todos os pontos a serem verificados. Seu objetivo é dar
uma noção ao leitor dos conceitos básicos e tipos de itens que podem fazer parte dessa lista. Cabe ao gerente
de sistemas e ao auditor utilizá-la como um ponto de partida na elaboração de suas próprias listas de
verificações.
Lista de Verificações
Controles organizacionais:
✔ Estabelecer e divulgar um plano estratégico de informática compatível com as estratégias de negócios
da instituição, o qual deve ser periodicamente traduzido em planos operacionais que estabeleçam
metas claras de curto prazo.
✔ Estabelecer, documentar e divulgar, a todos os funcionários, as políticas de informática e os padrões a
serem adotados na instituição.
✔ Atender às obrigações legais e contratuais, em relação a aspectos administrativos e de segurança.
✔ Definir as responsabilidades de cada unidade organizacional e seus cargos hierárquicos para que os
serviços de informática possam ser prestados adequadamente.
✔ Instituir política de contratação e treinamento de pessoal.
✔ Monitorar e avaliar o desempenho dos funcionários.
✔ Evitar a centralização excessiva de poderes e atividades.
✔ Instituir segregação de funções.
✔ Estabelecer procedimentos de controle de trabalho de funcionários.
✔ Na constatação de serviços terceirizados, estabelecer critérios rígidos para seleção, treinamento,
controle de acesso a informações corporativas, controle de atividades e aceitação de produtos.
✔ Estabelecer claramente em contrato os direitos e os deveres do prestador de serviços, os padrões de
qualidade e de segurança a serem seguidos.
✔ Definir uma política sobre documentação, estabelecendo padrões de qualidade e classificação quanto
à confidencialidade.
✔ Manter documentação atualizada dos sistemas, aplicativos e equipamentos utilizados.
✔ Elaborar manuais de instrução para o desempenho das atividades no departamento de informática.
✔ Elaborar plano de aquisição de equipamentos baseado na análise de desempenho dos sistemas atuais,
na demanda reprimida dos usuários e nos avanços tecnológicos imprescindíveis para a continuidade
dos negócios da instituição.
✔ Obedecer aos prazos recomendados de manutenção preventiva dos equipamentos e aplicar as
correções necessárias nos pacotes de software.
✔ Estabelecer acordos de nível de serviço quanto à disponibilidade dos recursos computacionais e seu
desempenho em condições normais e emergenciais.

35
✔ Revisar e incorporar as listas de verificações propostas nos outros tópicos de caráter genérico, tais
como segurança de informações, controles de acesso, planejamento de contingências e continuidade
de serviços.
Controles de Mudanças
Uma vez instalado um ambiente computacional e desenvolvido um aplicativo, é quase certo que será
necessário, de tempos em tempos, atualizar a plataforma de hardware, a versão do sistema operacional ou
incorporar melhorias no código das aplicações desenvolvidas internamente. Para minimizar os riscos de erros
nessas mudanças ou detectar fraudes durante a fase de transição, é importante controlar o processo de
mudanças. Todas as alterações devem ser autorizadas, documentadas, testadas e implementadas de forma
controlada. Para tanto, as organizações devem definir um procedimento padrão de mudanças, o qual norteará
todo o processo. É imprescindível garantir que a mudança não comprometa a funcionalidade do sistema além
dos limites previamente definidos.
O que Pode Provocar uma Mudança?
Raramente um ambiente computacional se mantém inalterado por um longo período de tempo. As mudanças
tecnológicas, muitas vezes, são as responsáveis por mudanças mais radicais, como troca de equipamentos,
metodologia de trabalho ou sistema operacional. A seguir serão apresentados alguns fatores que levam a uma
mudança no ambiente de informática.
 Atualização tecnológica do parque computacional.
 Maior demanda por capacidade de processamento ou de armazenamento (troca ou atualização de
hardware – computador, discos, memória) identificada pela gerência de planejamento de capacidade
e desempenho.
 Manutenção periódicas (troca de componentes de hardware, troca de versão de software, aplicação
de correções).
 Identificação de problemas com o sistema a partir dos constantes registros feitos pelo help-desk.
 Insatisfação dos usuários com aspectos do sistema, tais como: telas de interface pouco amigáveis,
navegação confusa entre as diversas telas, baixo tempo de resposta, constante indisponibilidade,
dados incorretos nos relatórios gerados, etc.
 Identificação de vulnerabilidades do sistema em termos de segurança.
 Operação ineficiente ou complicada – uma mudança poderá facilitar o trabalho dos operadores,
administradores de bancos de dados, gerente de rede, atendentes do help-desk, etc.
 Mudança dos objetivos do sistema, incluindo alterações na legislação ou norma a que o sistema
atende.
Procedimentos de Controle de Mudanças
Os procedimentos de controle de mudanças podem variar de uma organização a outra e dependem do tipo de
mudança envolvida. Abaixo será apresentado um exemplo de possíveis procedimentos relacionados com
mudanças em aplicativos.
1. Uma solicitação de mudança é feita por um ou mais usuários.

36
2. É feito um registro da solicitação, análise de sua factibilidade e dos possíveis impactos que a mudança
pode acarretar no sistema e em outros sistemas relacionados.
3. Uma especificação da alteração de programa é feita e submetida à aprovação gerencial.
4. Em um ambiente de teste, o programador efetua alterações ou desenvolve um novo sistema.
5. São definidos procedimentos de retorno.
6. As modificações são testadas em um ambiente controlado de desenvolvimento.
7. Durante o teste, é verificado se as modificações seguem os padrões de programação e documentação
da organização.
8. É feita uma simulação no ambiente de produção, fora do horário normal de funcionamento.
9. São feitos acertos em função dos resultados dos testes.
10. Depois de todos esses passos e de sua documentação, o programa está pronto para ser colocado em
produção.
Os controles sobre a modificação de programas aplicativos ajudam a garantir que somente modificações
autorizadas sejam implementadas.
Sem um controle apropriado, existe o risco de que características de segurança sejam omitidas ou
contornadas, intencionalmente ou não, e que processamentos errôneos ou ameaças programadas sejam
introduzidos. Por exemplo, um programador pode modificar o código de um programa para burlar os
controles e obter acesso a dados confidenciais; a versão errada de um programa pode ser implantada,
ocasionando processamentos errados ou desatualizados; ou ainda um vírus pode ser introduzido,
prejudicando o processamento.
Mudanças de Emergência
De tempos em tempos ocorrem problemas com os sistemas em produção, ou com os equipamentos de
informática, que precisam ser somados o mais rápido possível. Nesses casos, é necessário executar mudanças
de emergência. Essas mudanças não podem aguardar o procedimento normal de controle de mudanças e
devem ser implementadas o quanto antes.
Mesmo sendo uma emergência, é recomendável que a organização se planeje para esse tipo de situação e seja
capaz de controlá-la. Provavelmente muitos passos do procedimento normal não serão seguidos de imediato,
como documentação, por exemplo. Porém, assim que a situação emergencial estiver resolvida, deve ser
retomado o processo normal de controle, complementando o que já foi feito durante a emergência.
Controle de Versão
Os procedimentos de controle de versão são importantes porque garantem que todos os usuários utilizam a
versão correta do pacote de software ou aplicativo. A utilização indiscriminada de versões diferentes de
software pode acarretar problemas sérios, já que as transações são processadas de forma diferente, a partir
de dados diferentes e gerando resultados diversos. Os dados resultantes perdem, assim, sua compatibilidade e
confiabilidade.
A versão atual de software ou aplicativo pode ser colocada em uma biblioteca de programas, distribuída ou
acessada por todos da organização. Essa biblioteca deterá informações sobre as alterações feitas e um
histórico de versões.

37
Riscos Associados a Controles de Mudanças Inadequados
Os principais riscos associados a controles de mudanças inadequados são:
 Uso de software ou hardware não autorizado, gerando incompatibilidade no sistemas e dados.
 Processamento e relatórios incorretos, levando, por exemplo, a decisões gerenciais de negócios
totalmente equivocadas, pagamentos errôneos ou registro incorreto de transações.
 Insatisfação do usuário, acarretando perda de produtividade, entrada de dados incorretos, etc.
 Dificuldades de manutenção por falta de documentação adequada.
 Mudanças acidentais ou deliberadas, sem devida autorização, causando, por exemplo, erros de
processamento e liberação de informações confidenciais a usuários não autorizados.
 Mudanças de emergência não controladas, acarretando perda de dados e corrupção de arquivos.
Controles de Operação dos Sistemas
A operação dos sistemas está relacionada com aspectos de infra-estrutura de hardware e software. Seu
objetivo é liberar os usuários de atividades repetitivas e das responsabilidades de garantir a disponibilidade
dos sistemas e seu funcionamento adequado.
A equipe de operação requer certos procedimentos ou instruções específicas para processar cada aplicativo,
além de procedimentos gerais relacionados com o ambiente operacional em que esses aplicativos são
executados. É aconselhável que o auditor reveja tanto os procedimentos gerais quanto os específicos de cada
aplicação.
Mudanças na Operação de Sistemas em Função das Novas Tecnologias
A maioria das organizações está sofrendo transformações tecnológicas que acarretam mudanças significativas
na operação dos sistemas, inclusive redução de pessoal. Além disso, muitas delas, com vários centros de
processamento, estão optando pelo processamento e controle remoto das operações a partir de uma única
localidade, já que a tecnologia de rede de comunicação já possibilita essa facilidade.
Os softwares de automação já substituem algumas atividades dos operadores, como a colocação de cartuchos
de fita nas unidades ou ativação de rotinas a partir de certas condições de processamento ou de tempo. Esses
softwares eliminaram, em grande parte, os riscos de erros e fraudes na operação. No entanto, os operadores
ainda são necessários para checar a correta ativação dessas rotinas automáticas.
A impressão de relatórios, antes feita somente na sala do computador, hoje, com o processamento
distribuído, é efetuada nos departamentos dos usuários. Não há a necessidade de distribuição de relatórios
aos usuários solicitantes. Mesmo em organizações que optaram pela impressão centralizada, a intervenção
dos operadores é menor, graças a inovações tecnológicas no hardware e no software de controle de
impressão.
Na antiga organização de processamento de dados, a área de operações era a principal preocupação da
auditoria. O operador tinha controle quase que total do processamento de dados e aplicações, podendo burlar
controles de acesso, adulterar seqüências de processamento de programas ou inserir dados incorretos. Apesar
de algumas dessas atividades não autorizadas ainda serem possíveis, o controle sobre a atuação dos

Auditoria de Segurança da Informação

Auditoria de Segurança da Informação

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Auditoria de Segurança da Informação

Similar to Auditoria de Segurança da Informação (20)

Auditoria de Segurança da Informação