Auditoria de sistemas

Auditoria de Sistemas de Informática ou Riscos Tecnológicos é uma atividade independente que tem como missão o gerenciamento de risco operacional envolvido e avaliar a adequação das tecnologias e sistemas de informação utilizados na organização através da revisão e avaliação dos controles, desenvolvimento de sistemas, procedimentos de TI, infraestrutura, operação, desempenho e segurança da informação que envolve o processamento de informações críticas para a tomada de decisão.

Objetivos[editar | editar código-fonte]

A auditoria de sistemas é um processo realizado por profissionais capacitados e consiste em reunir, agrupar e avaliar evidências para determinar se um sistema de informação suporta adequadamente um ativo de negócio, mantendo a integridade dos dados, e realiza os objetivos esperados, utiliza eficientemente os recursos e cumpre com as regulamentações e leis estabelecidas.

Permite detectar de forma automática o uso dos recursos e dos fluxos de informação dentro de uma empresa e determinar qual informação é crítica para o cumprimento de sua missão e objetivos, identificando necessidades, processos repetidos, custos, valor e barreiras que impactam fluxos de informação eficientes.

Deve compreender não somente os equipamentos de processamento de dados ou algum procedimento específico, mas sim suas entradas, processos, controles, arquivos, segurança e extratores de informações, além disso, deve avaliar todo o ambiente envolvido: Equipamentos, Centro de processamento de dados e Software.

Auditar consiste principalmente em avaliar mecanismos de controle que estão implantados em uma empresa ou organização, determinando se os mesmos são adequados e cumprem com seus determinados objetivos ou estratégias, estabelecendo as mudanças necessárias para a obtenção dos mesmos. Os mecanismos de controle podem ser de prevenção, detecção, correção ou recuperação após uma contingência.

Os objetivos da auditoria de sistemas são a emissão de um parecer (ou uma nota) sobre:

O controle da Área de Tecnologia;
A análise da eficiência dos Sistemas de Informação;
A verificação do cumprimento das legislações e normativos a qual estão sujeitos;
A gestão eficaz dos recursos de informática.

A Auditoria de sistemas contribui para a melhoria constante do negócio suportado pela Tecnologia, nos seguintes aspectos:

Desempenho;
Confiabilidade;
Integridade;
Disponibilidade;
Segurança;
Confidencialidade;
Privacidade.

Geralmente pode-se desenvolvê-la em foco ou em combinação entre as seguintes áreas:

Governança Corporativa;
Administração do Ciclo de Vida dos Sistemas;
Serviços de Entrega e Suporte;
Proteção de Dados e Segurança da Informação;
Planos de Continuidade de Negócio e Recuperação de Desastres.

O auditor de sistemas[editar | editar código-fonte]

O auditor de sistemas verifica a eficácia dos controles e procedimentos de segurança existentes, a eficiência dos processos em uso, a correta utilização dos recursos disponíveis, assessorando a administração na elaboração de planos e definição de metas, colaborando no aperfeiçoamento dos controles internos, apontando deficiências e irregularidades que possam comprometer a segurança e o desempenho organizacional.

Com a larga utilização da tecnologia para o armazenamento das informações contábeis, financeiras e operacionais, o auditor de sistemas tem de se aprimorar no campo de atuação (processos) da organização para extrair, analisar banco de dados envolvidos e suportar decisões das demais áreas de auditoria.

A necessidade global de referências nesse assunto, para o exercício dessa profissão, promoveram a criação e desenvolvimento de melhores práticas como COBIT, COSO, ISO 27001 e ITIL

Atualmente a certificação CISA – Certified Information Systems Auditor, oferecida pela ISACA – Information Systems and Control Association é uma das mais reconhecidas e avaliadas por organismos internacionais, já que o processo de seleção consta de uma prova extensa que requer conhecimentos avançados, além de experiência profissional e a necessidade de manter-se sempre atualizado, através de uma política de educação continuada (CPE) na qual o portador da certificação deve acumular carga horária de treinamento por período estabelecido.

A formação acadêmica do auditor de sistemas pelos motivos acima acaba sendo multidisciplinar: análise de sistemas, ciência de computação, administração com ênfase em TI, advocacia com foco em Direito da informática - direito digital e correlatos.

Tipos de auditoria[editar | editar código-fonte]

Existem diversos tipos de Auditorias de Sistemas, sendo os principais, mas não se limitando a:

Auditoria de Planejamento e Gestão:

Contratação de bens e serviços de TI, documentações, orçamentos, projetos, etc.

Auditoria Legal ou Regulatória:

Atendimento a regulamentações locais e internacionais, exemplos: Lei Sarbanes-Oxley, Basileia II, Comissão de Valores Mobiliários, etc.

Auditoria de Integridade de Dados:

Classificação dos dados, atualização, bancos de dados, aplicativos, acessos, estudo dos fluxos (entradas e saídas) de transmissão, controles de verificação qualidade e confiabilidade das informações.

Auditoria em segurança da informação:

Métodos de autenticação, autorização, criptografia, gestão de certificados digitais, segurança de redes, gestão dos usuários, configuração de antivírus, atualizações, políticas, normas, manuais operacionais.

Auditoria de Segurança Física:

Avaliação de localidades e riscos ambientais: vidas (capital intelectual), furto/roubo, acesso, umidade, temperatura, acidentes, desastres, etc. e as proteções: perímetros de segurança, câmeras, sensores, guardas, dispositivos, proteções do ambiente.

Auditoria de Desenvolvimento de Sistemas:

Validação dos processos de gestão de projetos, cumprimento de metodologia de qualidade, orçamentos previstos e realizados e avaliação de desvios.

Auditoria da Infra Estrutura e Operações de TI:

Processos para averiguar disponibilidade e robustez do ambiente a erros, acidentes e fraudes das operações em servidores, estações, software, hardware e canais de comunicação.

Padrões de Auditoria[editar | editar código-fonte]

Podemos classificar os diferentes tipos de auditoria de segurança em três grandes blocos, dependendo do objeto a auditar e das técnicas aplicadas. Sendo estes^[1]:

Auditorias de boas práticas em Segurança da informação:
- Uso de quadros de referência ou frameworks a nível nacional ou internacional caracterizados por cobrir de forma eficaz cada aspeto que possa implicar para os ativos de uma entidade, como os mais conhecidos: International Organization for Standardization (ISO 27000),National Institute of Standards and Technology (NIST) e Esquema Nacional de Segurança (ENS). É normal a definição de quadros de referência próprios adaptados às necessidades da própria entidade.
Auditorias de cumprimento legal e regulamentar em Segurança da Informação:
- A realização deste tipo de auditorias, avalia-se o cumprimento de leis e regulamentos relacionados com a segurança, como as mais importantes:
  - Lei Orgânica de Proteção de Dados de Carácter Pessoal ;
  - Regulamento Geral de Proteção de Dados;
  - Lei de Serviços da Sociedade da Informação;
  - Lei de Propriedade Intelectual;
  - Lei de Proteção de Infraestruturas Críticas;
  - Lei de Prevenção de Riscos Laborais;
  - Esquema Nacional de Segurança.
- Nesse tipo de auditoria, ela simula o comportamento dos brincalhões da rede de forma realista e por meio de ferramentas e meios técnicos para testar a robustez da infraestrutura técnica, principalmente a robustez do sistema de informação.
Auditorias de Hacking Ético^[1]:
- Podemos diferenciar entre; auditorias de vulnerabilidades, testes de intrusão e exercícios de Red Team. Sendo estes com suas especificações e restrições características, tais como o alcance ou o tipo de meios técnicos a utilizar. O objetivo destes é encontrar possíveis vulnerabilidades ou falhas de segurança na infraestrutura tecnológica da organização;
- Neste tipo de auditorias, conta-se com metodologias e normas para assegurar resultados eficazes. Sendo utilizadas metodologias como; Open Source Security Methodology Manual (OSSTMM), Center for Internet Security (CIS), Open Web Application Security Project (OWASP) e MITRE ATT&CK;
- Para este tipo de auditoria, sõa necessáriops de profissionais de TI especializados em cybersegurança, com perfis elevados de conhecimento em programação e segurança de sistemas.

Auditores podem ser destinados a nichos específicos da organização e segurança de uma empresa, como a auditoria em^[1]:

Processo de inovação tecnológica;
Inovação comparada;
Auditoria de posição técnologica;
Sistemas e aplicativos;
Instalações de processamento de informações;
Gestão de TI e arquitetura;
Cliente, servidores, telecomunicações, intra e extranet.

Materialidade, GRC e Análise de Risco[editar | editar código-fonte]

Enquanto planeja o calendário anual e cada trabalho de auditoria o auditor-chefe decide o nível de risco de auditoria (ou seja, o risco de chegar a uma conclusão indevida baseada nas evidências) que está disposto a aceitar. Quanto mais efetivo e extensivo o trabalho de auditoria for, menor o risco de uma fraqueza no processo passar despercebida no relatório final de auditoria. O Risco de auditoria é dependente da análise dos níveis de risco inerentes ao processo, ou seja, a possibilidade de impacto material ao processo: financeiro, operacional ou imagem, se a área auditada cometer erros por controles ineficazes ou inexistentes. Estes riscos são determinados quando o auditor realiza ou obtém a análise de risco da organização.

Adicionalmente, para avaliar se uma auditoria de TI obteve o êxito esperado, o auditor deve primeiro identificar o escopo e objetivos de teste, para verificar o grau de aderência aos processos e sistemas avaliados. Para atender aos objetivos da auditoria e garantir que os recursos empregados para seu trabalho são utilizados de forma eficiente, o auditor deverá definir níveis de materialidade. O auditor deve considerar aspectos qualitativos e quantitativos para determinar a materialidade. A avaliação do risco deve ser realizada para prover certo grau de conforto que todos os itens de materialidade relevante serão devidamente cobertos pelos trabalhos de auditoria. Essa análise deve identificar áreas que têm alto risco de existência de problemas com materialidade relevante ao negócio.

Materialidade[editar | editar código-fonte]

Avaliando impacto material, o Auditor de Sistemas deve considerar:

O nível de erros aceitáveis à gestão do processo, auditorias internas, auditorias externas, agências reguladoras e legislações.
O potencial de efeito cumulativo de pequenos erros ou fraquezas tornarem-se materiais, nesse caso, de relevância significativa.

Enquanto estabelece a materialidade o auditor pode estar realizando auditorias de itens não-financeiros, como Controle de acesso físico, lógico, sistemas de gestão de pessoas, gestão de recursos, desenvolvimento, controle de qualidade, geração de senhas.

Nesse caso, deve-se identificar materialidade, com foco nos objetivos esperados do processo de negócio avaliado para que este atinja seus objetivos de controle interno. Quando não existem transações financeiras envolvidas, pode se utilizar outras formas de medir a materialidade:

Nível de criticidade do processo suportado pelas operações ou sistemas avaliados.
Custo do sistema ou operação (hardware, software, contratos com fornecedores).
Custo potencial de erros ou falhas aos quais sistemas ou operação estão sujeitos.
Número de acessos/transações/requisições processadas por período.
Multas por falhas no cumprimento de requisitos legais e contratuais.

GRC e Análise de Risco[editar | editar código-fonte]

O acrônimo GRC tem origem na união dos termos governança, riscos e cumprimento, ou em inglês, governance, risk and compliance. Uma tendência recente, de integração das áreas de conhecimento de Gestão de Riscos, Governança Corporativa e práticas de auditoria e controle que visa garantir a conformidade com leis, regulamentos, imposições de padrões consolidando-os dentro de um único modelo, integrado inteligentemente e tendo como um dos seus objetivos a unificação dos interesses comuns e conciliação de interesses opostos de cada uma destas funções.

Nesse contexto o Risco pode ser definido como o efeito das incertezas nos objetivos, é relacionado então à probabilidade de um evento ocorrer e a possíveis impactos do evento nos objetivos de negócio. Através da Gestão dos Riscos a organização procura antecipar-se a perdas resultantes de falhas nos procedimentos, seja estas causadas acidentalmente ou não, ameaças externas, econômicas, ambientais, de mercado ou qualquer evento que possa prejudicar interesses da organização ou impedir que oportunidades importantes ao sucesso da empresa sejam aproveitadas

Um risco é qualquer evento ou ação, gerada interna ou externamente, que impede uma organização a atingir seus objetivos. Os riscos afetam os objetivos de controle em diversas áreas da informação: integridade, precisão, temporalidade para tomada de decisão, habilidade de acesso ao sistema e confidencialidade/privacidade das informações, apenas para enumerar alguns impactos relacionados. A Análise de Risco permite que o auditor determine o escopo da auditoria e avalie o nível de risco de auditoria e risco de erros (o risco de erros que ocorrem na área sendo auditada). Adicionalmente, a análise de risco, ou análise de impacto ao negócio (BIA) auxiliará em decisões como:

A natureza, escopo e cronograma dos trabalhos.
As áreas de negócio a serem auditadas.
Tempo e recursos necessários associados a cada trabalho de auditoria planejado.

Documentação da Análise de Risco[editar | editar código-fonte]

Uma vez analisado o nível de risco, o auditor deve documentar essa análise em seus papéis de trabalho:

Descrição da técnica de Análise de Risco utilizada
A identificação dos riscos com maior significância
Os riscos que a auditoria irá abordar
As evidências de auditoria utilizadas para suportar a análise de risco do auditor.

Ciclo de Vida[editar | editar código-fonte]

A auditoria de sistemas obedece às mesmas etapas que Auditorias tradicionais, abaixo:

Planejamento Global (Anual)[editar | editar código-fonte]

Identificar áreas de risco na organização: financeiro, operacional, regulatório;
Entender a dependência de Tecnologia da informação nos processos críticos;
Acompanhamento da implantação de Recomendações das auditorias passadas;
Estabelecer cronograma de atuação.

Planejamento[editar | editar código-fonte]

Obter informações sobre o processo: fluxos, políticas, normas e procedimentos;
Visualizar pontos de controle às vulnerabilidades identificadas;
Estabelecer planos de testes para abrangê-los;
Obter referências de boas práticas para a confecção de testes;
Definir responsáveis pelas frentes de trabalho.

Realização[editar | editar código-fonte]

Executar planos de testes;
Obter evidências de controles adequados ou não;
Validar itens levantados com o auditado;
Formalizar métodos de testes e conclusões em documentação de trabalho;
Reunir principais incidências de controles para discussão.
Melhoria continua

Conclusão[editar | editar código-fonte]

Discutir planos de ação com o Auditado;
Estabelecer datas-limite para a resolução dos problemas de acordo com o risco e impacto envolvidos;
Submeter relatório final à aprovação da Alta Administração;
Arquivar para acompanhamento da implantação.

Acompanhamento[editar | editar código-fonte]

Monitorar datas-limite acordadas;
Reavaliar a situação atual;
Emitir opinião sobre a nova situação do controle frente ao requerido para a manutenção de nível aceitável de risco.

Análise de Dados e Ferramentas[editar | editar código-fonte]

Para a execução dos testes de auditoria, utilizados pelo auditor na obtenção de evidências para suportar suas conclusões, deve-se observar padrões geralmente aceitos como o ISACA “S6 – Desempenho do trabalho de Auditoria” #REDIRECT [1]

“Evidência: durante o curso da auditoria, o auditor de SI deve obter evidência suficiente, confiável e relevante para atingir os objetivos da auditoria. Os resultados e as conclusões da auditoria devem ser suportados pela análise e interpretação apropriadas dessa evidência.”

Um Auditor deve desenhar selecionar, avaliar e documentar amostras de evidências para que seu trabalho seja suficiente, confiável e relevante e mais importante: que apoie as conclusões obtidas durante os trabalhos de campo.

Amostragem de auditoria[editar | editar código-fonte]

Uma auditoria de sistemas pode ser desempenhada de modo massificado: ou seja, 100% de todos os documentos e dados disponíveis ou através de amostragem dessa população.

A amostragem de auditoria é a aplicação de procedimentos para utilizar um percentual inferior a 100% da população, a fim de possibilitar ao Auditor de Sistemas avaliar evidências que o possibilite formular uma conclusão a respeito dessa população. Ao desenhar o tamanho e a estrutura da amostra, o Auditor de Sistemas deve considerar os objetivos da auditoria determinados no planejamento, a natureza da população e métodos de seleção de Amostras.

Selecionando a amostra[editar | editar código-fonte]

O Auditor deve selecionar item de amostragem de forma a serem representativos na população. Os tipos mais comuns de amostragem são:

Amostragem Estatística[editar | editar código-fonte]

Amostragem Aleatória – permite que todas as combinações da amostra na população têm uma chance igual de seleção.
Amostragem Sistemática – permite a seleção de ocorrências na amostra, utilizando intervalos de seleções com o primeiro intervalo iniciando de forma aleatória.

Amostragem não Estatística[editar | editar código-fonte]

Amostragem por Escolha – o auditor seleciona a amostra sem uma técnica estruturada.
Análise Julgamental – o auditor estabelece um critério para a amostra. Por exemplo, selecionar somente unidades acima de um determinado valor.

A seleção do tamanho da amostra é afetada pelo nível de risco ou materialidade que essa amostra representa no processo avaliado. O Risco da amostra é o risco que uma amostra mal escolhida poder influenciar na opinião final do auditor, em comparação se esse tivesse utilizado a população inteira.

Uma vez que as amostras foram selecionadas para testes, estes procedimentos devem ser adequadamente documentados nos papéis de trabalho.

Técnica de amostragem utilizada
Percentuais considerados
Layout de Arquivos, Sistemas considerados
Rotinas, códigos fontes, ferramentas de CAAT utilizadas
Parâmetros de seleção

O auditor pode iniciar os testes de auditoria através de Técnicas de Auditoria Auxiliadas por Computador (CAATs) ou TAACs, discutidos brevemente abaixo.

Técnicas de Auditoria auxiliadas por Computador (CAATs) ou TAACs[editar | editar código-fonte]

Mais informações: Análise de dados, Audit Command Language, Computer Aided Audit Tools

Técnicas (ou Ferramentas) de Auditoria Auxiliadas por Computador (CAATs) ou TAACs são técnicas ou programas de computador especializados para gerar amostras, importar dados, sumarizar e testar os controles, condições e processos implantados nos sistemas através das amostras que selecionamos. Tipos de CAATs incluem:

Software Especializado para Auditoria (SEA) – permitem ao auditor realizar testes em arquivos e bancos de dados, exemplos: Arbutus Analyzer, IDEA, etc.
Software de Auditoria Adaptado (SAA) – geralmente desenvolvidos por auditores para desempenhar tarefas específicas, são necessários quando os sistemas da empresa não são compatíveis aos SEA, ou quando o auditor quer realizar testes não possíveis com os SEA, exemplos rotinas em: Easy Trieve, SQL+, SAS, etc.
Teste de Dados ou Recálculo de Operações – O auditor testa os dados para verificar os controles empregados no sistema através de validação nestes dados, além disso, observa-se a precisão destes dados processados pelo sistema. Essa técnica é utilizada para validação de dados e rotinas de detecção de erros, processamento de controles lógicos e cálculos aritméticos, apenas para numerar algumas possibilidades.
Simulação em Paralelo - O auditor utiliza as informações do sistema para mapear e construir os passos a serem simulados em outra ferramenta a fim de chegar ao mesmo resultado do sistema.
Testes integrados-o auditor submete parâmetros de teste com dados reais, sem impactar na rotina normal de processamento do sistema.

Coleta de Evidências[editar | editar código-fonte]

Através do uso de CAATs, o auditor será capaz de obter evidências suficientes para suportar suas conclusões finais de auditoria de sistemas. A evidência de auditoria deve ser suficiente, confiável, relevante e capaz de auxiliar o auditor a formular a opinião e conclusões sobre o processo avaliado. Se o auditor não ter dados suficientes para tal, ele/ela deve sair a campo para obter mais evidências. Procedimentos para isso variam dependendo do sistema sendo auditado. O auditor deve selecionar o teste mais adequado para alcançar o objetivo da auditoria. Alguns listados abaixo podem ser considerados:

Entrevistas e/ou Observação
Inspeções adicionais
Re-teste
Monitoração

As evidências de auditoria obtidas devem ser documentadas e organizadas para suportar os levantamentos e conclusões do auditor. Por fim, quando o auditor crer que estes não são possíveis de ser obtidos por qualquer razão, esse fato deve ser documentado no Relatório de Auditoria como limitação de escopo do trabalho.

Referências bibliográficas[editar | editar código-fonte]

AUDITORIA DE SISTEMAS - CURSO PRATICO, Alessandro Manotti, Editora CIENCIA MODERNA, 2010, ISBN 8573939400, 9788573939408

Entidades de Classe[editar | editar código-fonte]

ISACA - Information Systems Audit and Control Association
ISSA - Information Systems Security Association
IIA BRASIL - Instituto dos Auditores Internos do Brasil- [2]

Referências

↑ ^a ^b ^c White, Sarah K (6 de março de 2019). «Auditor de TI: Um papel vital para a avaliação de risco». Consultado em 10 de março de 2021

[:0-1] White, Sarah K (6 de março de 2019). «Auditor de TI: Um papel vital para a avaliação de risco». Consultado em 10 de março de 2021

[1]