Auditoria da Tecnologia da informação

A auditoria da tecnologia da informação tem por objetivo abranger os controles que podem influenciar a segurança da informação e o correto funcionamento dos sistemas de toda a organização.

Segundo Dias (2000), alguns padrões e políticas que devem ser verificados: recursos organizacionais;

disponibilidade e manutenção do ambiente computacional; utilização de recursos computacionais;

gerência de banco de dados e rede; de operação de sistemas;

sobre banco de dados; sobre microcomputadores; sobre ambiente cliente-servidor;

continuidade dos serviços de informática; aspectos físicos, lógicos e ambientais.

3.7.1.1 Controles Organizacionais

―Os controles organizacionais são as políticas, procedimentos e estrutura organizacional estabelecidos para responsabilidade dos envolvidos […]‖. (DIAS, 2000).

Para Dias (2000), esses controles são de extrema importância para a auditoria, pois servem como ponto de partida. É através deles que se sabem as políticas adotadas pela organização e como a segurança é realizada. Isto permite certa aproximação das possíveis evidências.

Os riscos mais comuns são a violação da segurança de acesso a recursos computacionais e dados, implicando em fraudes, erros, perda de dados e roubo de

equipamentos; e o planejamento inadequado do crescimento computacional, podendo acarretar desperdício de investimento ao sub-utilizar os recursos de informática ou, por outro lado, sobrecarregar o sistema atual, degradando ou tornando indisponíveis os serviços computacionais oferecidos aos usuários. (RISCO, 2005).

Lista de Controles organizacionais, segundo Risco (2005):

estabelecer e divulgar um plano estratégico de informática compatível com as estratégias de negócios da instituição, o qual deve ser periodicamente traduzido em planos operacionais que estabeleçam metas claras de curto prazo;

estabelecer, documentar e divulgar a todos os funcionários as políticas de informática e os padrões a serem adotados na instituição;

atender às obrigações legais e contratuais, em relação a aspectos administrativos e de segurança;

definir as responsabilidades de cada unidade organizacional e seus cargos hierárquicos para que os serviços de informática possam ser prestados adequadamente;

instituir política de contratação e treinamento de pessoal; monitorar e avaliar o desempenho dos funcionários; evitar a centralização excessiva de poderes e atividades;

instituir segregação de funções (evitar ter uma única pessoa em uma cadeia de funções);

estabelecer procedimentos de controle na interrupção de contratos de trabalho de funcionários;

na contratação de serviços terceirizados, estabelecer critérios rígidos para seleção, treinamento, controle de acesso a informações corporativas, controle de atividades e aceitação de produtos;

estabelecer claramente em contrato os direitos e os deveres do prestador de serviços, os padrões de qualidade e de segurança a serem seguidos;

definir uma política sobre documentação, estabelecendo padrões de qualidade e de classificação quanto à confiabilidade;

manter documentação atualizada dos sistemas, aplicativos e equipamentos utilizados; elaborar manual de instrução para o desempenho das atividades no departamento de

elaborar planos de aquisição de equipamentos baseado na análise de desempenho dos sistemas atuais, na demanda reprimida dos usuários e nos avanços tecnológicos imprescindíveis para a continuação dos negócios da instituição;

obedecer aos prazos recomendados da manutenção preventiva dos equipamentos e aplicar as correções necessárias nos pacotes de software;

estabelecer acordos a nível de serviço quanto à disponibilidade dos recursos computacionais e de seu desempenho em condições normais e emergenciais.

3.7.1.2 Política, padrões e procedimentos.

Faz-se necessária a existência da política, dos padrões e procedimentos, e deve-se saber por quem devem ser estabelecidos, para que haja o devido seguimento dessas.

Conforme Dias (2000), padrões e procedimentos devem ser estabelecidos pela alta gerência para haver um envolvimento em todas as áreas inferiores a esta. Como demonstrado, a gerencia tem grande participação na área de auditoria.

Para Dias (2000), a partir das políticas, devem-se estabelecer os padrões para aquisição de recursos computacionais, como, por exemplo:

projetos;

desenvolvimento; alteração;

documentação de sistemas;

operação do centro de informática e prestação de serviços de informática.

Por fim, são definidos os procedimentos que irão atender tanto às políticas quanto aos padrões. Segundo Dias (2000), é necessário definir todas as atividades que serão executadas, com o intuito de facilitar o entendimento dos padrões.

―Quanto mais efetivo o cumprimento às políticas da organização, maior a probabilidade de os controles organizacionais serem eficientes.‖ (Dias, 2000, p. 139).

Conforme Dias (2000), para a realização da auditoria, é importante lembrar que cada entidade tem objetivos gerenciais e organizacionais diferentes. Com isso, o auditor tem que ser totalmente flexível ao considerar entidades diferentes.

Seguindo esse raciocínio, política, procedimentos e padrões, por mais parecidos que sejam, possuem suas particularidades e devem ser analisados com seus devidos cuidados.

3.7.1.3 Gerência de Recursos Computacionais

De acordo com Dias (2000), deve haver uma gerência sobre os recursos computacionais com intuito de atender as necessidades da organização, quanto à economicidade, à eficiência e à eficácia.

Muito importante, na hora da aquisição de softwares e hardwares, é conhecer o funcionamento do produto adquirido para uma garantia de funcionamento e, se possível, uma economia.

Cabe lembrar que muitas falhas, que ocasionam grandes perdas financeiras, são em relação aos softwares e hardwares que a gerência escolhe por economia na hora da compra dos produtos e acabam por arrepender-se, pois acarretam falhas e interrupções dos processos.

Há casos em que a falta de manutenção, também, acarreta problemas. Deve-se seguir as normas estabelecidas pelo fornecedor para que os devidos problemas possam ser prevenidos.