da Informação
Luiz Otávio Botelho Lento
Márcio Ghisi Guimarães
Reitor
Ailton Nazareno Soares Vice-Reitor Sebastião Salésio Heerdt Chefe de Gabinete da Reitoria Willian Corrêa Máximo Pró-Reitor de Ensino e Pró-Reitor de Pesquisa, Pós-Graduação e Inovação Mauri Luiz Heerdt
Pró-Reitora de Administração Acadêmica
Miriam de Fátima Bora Rosa Pró-Reitor de Desenvolvimento e Inovação Institucional Valter Alves Schmitz Neto Diretora do Campus Universitário de Tubarão Milene Pacheco Kindermann Diretor do Campus Universitário da Grande Florianópolis Hércules Nunes de Araújo Secretária-Geral de Ensino Solange Antunes de Souza Diretora do Campus Universitário UnisulVirtual Jucimara Roesler Equipe UnisulVirtual Diretor Adjunto Moacir Heerdt
Secretaria Executiva e Cerimonial
Jackson Schuelter Wiggers (Coord.)
Marcelo Fraiberg Machado Tenille Catarina
Assessoria de Assuntos Internacionais
Murilo Matos Mendonça
Assessoria de Relação com Poder Público e Forças Armadas
Adenir Siqueira Viana Walter Félix Cardoso Junior
Assessoria DAD - Disciplinas a Distância
Patrícia da Silva Meneghel (Coord.)
Carlos Alberto Areias Cláudia Berh V. da Silva Conceição Aparecida Kindermann Luiz Fernando Meneghel Renata Souza de A. Subtil
Assessoria de Inovação e Qualidade de EAD
Denia Falcão de Bittencourt (Coord.)
Andrea Ouriques Balbinot Carmen Maria Cipriani Pandini
Assessoria de Tecnologia
Osmar de Oliveira Braz Júnior (Coord.)
Felipe Fernandes Felipe Jacson de Freitas Jefferson Amorin Oliveira Phelipe Luiz Winter da Silva Priscila da Silva Rodrigo Battistotti Pimpão Tamara Bruna Ferreira da Silva
Coordenação Cursos
Coordenadores de UNA
Diva Marília Flemming Marciel Evangelista Catâneo
Coordenadores Graduação
Aloísio José Rodrigues Ana Luísa Mülbert Ana Paula R.Pacheco Artur Beck Neto Bernardino José da Silva Charles Odair Cesconetto da Silva Dilsa Mondardo
Diva Marília Flemming Horácio Dutra Mello Itamar Pedro Bevilaqua Jairo Afonso Henkes Janaína Baeta Neves Jorge Alexandre Nogared Cardoso José Carlos da Silva Junior José Gabriel da Silva José Humberto Dias de Toledo Joseane Borges de Miranda Luiz G. Buchmann Figueiredo Marciel Evangelista Catâneo Maria Cristina Schweitzer Veit Maria da Graça Poyer Mauro Faccioni Filho Moacir Fogaça Nélio Herzmann Onei Tadeu Dutra Patrícia Fontanella Roberto Iunskovski Rose Clér Estivalete Beche
Vice-Coordenadores Graduação
Adriana Santos Rammê Bernardino José da Silva Catia Melissa Silveira Rodrigues Horácio Dutra Mello Jardel Mendes Vieira Joel Irineu Lohn
José Carlos Noronha de Oliveira José Gabriel da Silva José Humberto Dias de Toledo Luciana Manfroi Rogério Santos da Costa Rosa Beatriz Madruga Pinheiro Sergio Sell
Tatiana Lee Marques Valnei Carlos Denardin Sâmia Mônica Fortunato (Adjunta)
Coordenadores Pós-Graduação
Aloísio José Rodrigues Anelise Leal Vieira Cubas Bernardino José da Silva Carmen Maria Cipriani Pandini Daniela Ernani Monteiro Will Giovani de Paula Karla Leonora Dayse Nunes Letícia Cristina Bizarro Barbosa Luiz Otávio Botelho Lento Roberto Iunskovski Rodrigo Nunes Lunardelli Rogério Santos da Costa Thiago Coelho Soares
Vera Rejane Niedersberg Schuhmacher
Gerência Administração
Acadêmica
Angelita Marçal Flores (Gerente)
Fernanda Farias
Secretaria de Ensino a Distância
Samara Josten Flores (Secretária de Ensino)
Giane dos Passos (Secretária Acadêmica)
Adenir Soares Júnior Alessandro Alves da Silva Andréa Luci Mandira Cristina Mara Schauffert Djeime Sammer Bortolotti Douglas Silveira Evilym Melo Livramento Fabiano Silva Michels Fabricio Botelho Espíndola Felipe Wronski Henrique Gisele Terezinha Cardoso Ferreira Indyanara Ramos
Marilene de Fátima Capeleto Patricia A. Pereira de Carvalho Paulo Lisboa Cordeiro Paulo Mauricio Silveira Bubalo Rosângela Mara Siegel Simone Torres de Oliveira Vanessa Pereira Santos Metzker Vanilda Liordina Heerdt
Gestão Documental
Lamuniê Souza (Coord.)
Clair Maria Cardoso Daniel Lucas de Medeiros Jaliza Thizon de Bona Guilherme Henrique Koerich Josiane Leal
Marília Locks Fernandes
Gerência Administrativa e Financeira
Renato André Luz (Gerente)
Ana Luise Wehrle Anderson Zandré Prudêncio Daniel Contessa Lisboa Naiara Jeremias da Rocha Rafael Bourdot Back Thais Helena Bonetti Valmir Venício Inácio
Gerência de Ensino, Pesquisa e Extensão
Janaína Baeta Neves (Gerente)
Aracelli Araldi
Elaboração de Projeto
Carolina Hoeller da Silva Boing Vanderlei Brasil
Francielle Arruda Rampelotte
Reconhecimento de Curso
Maria de Fátima Martins
Extensão
Maria Cristina Veit (Coord.)
Pesquisa
Daniela E. M. Will (Coord. PUIP, PUIC, PIBIC)
Mauro Faccioni Filho (Coord. Nuvem)
Pós-Graduação
Anelise Leal Vieira Cubas (Coord.)
Biblioteca
Salete Cecília e Souza (Coord.)
Paula Sanhudo da Silva Marília Ignacio de Espíndola Renan Felipe Cascaes
Gestão Docente e Discente
Enzo de Oliveira Moreira (Coord.)
Capacitação e Assessoria ao Docente
Alessandra de Oliveira (Assessoria)
Adriana Silveira Alexandre Wagner da Rocha Elaine Cristiane Surian (Capacitação)
Elizete De Marco Fabiana Pereira Iris de Souza Barros Juliana Cardoso Esmeraldino Maria Lina Moratelli Prado Simone Zigunovas
Tutoria e Suporte
Anderson da Silveira (Núcleo Comunicação)
Claudia N. Nascimento (Núcleo Norte-Nordeste)
Maria Eugênia F. Celeghin (Núcleo Pólos) Andreza Talles Cascais
Daniela Cassol Peres Débora Cristina Silveira
Ednéia Araujo Alberto (Núcleo Sudeste) Francine Cardoso da Silva Janaina Conceição (Núcleo Sul) Joice de Castro Peres
Patrícia de Souza Amorim Poliana Simao Schenon Souza Preto
Gerência de Desenho e Desenvolvimento de Materiais Didáticos
Márcia Loch (Gerente)
Desenho Educacional
Cristina Klipp de Oliveira(Coord. Grad./DAD)
Roseli A. Rocha Moterle (Coord. Pós/Ext.)
Aline Cassol Daga Aline Pimentel Carmelita Schulze Daniela Siqueira de Menezes Delma Cristiane Morari Eliete de Oliveira Costa Eloísa Machado Seemann Flavia Lumi Matuzawa Geovania Japiassu Martins Isabel Zoldan da Veiga Rambo João Marcos de Souza Alves Leandro Romanó Bamberg Lygia Pereira Lis Airê Fogolari
Luiz Henrique Milani Queriquelli Marcelo Tavares de Souza Campos Mariana Aparecida dos Santos Marina Melhado Gomes da Silva Marina Cabeda Egger Moellwald Mirian Elizabet Hahmeyer Collares Elpo Pâmella Rocha Flores da Silva Rafael da Cunha Lara Roberta de Fátima Martins Roseli Aparecida Rocha Moterle Sabrina Bleicher
Verônica Ribas Cúrcio
Acessibilidade
Vanessa de Andrade Manoel (Coord.)
Letícia Regiane Da Silva Tobal Mariella Gloria Rodrigues Vanesa Montagna
Avaliação da aprendizagem
Claudia Gabriela Dreher Jaqueline Cardozo Polla Nágila Cristina Hinckel Sabrina Paula Soares Scaranto Thayanny Aparecida B. da Conceição
Gerência de Logística
Jeferson Cassiano A. da Costa (Gerente)
Logísitca de Materiais
Carlos Eduardo D. da Silva (Coord.)
Abraao do Nascimento Germano Bruna Maciel
Fernando Sardão da Silva Fylippy Margino dos Santos Guilherme Lentz Marlon Eliseu Pereira Pablo Varela da Silveira Rubens Amorim Yslann David Melo Cordeiro
Avaliações Presenciais
Graciele M. Lindenmayr (Coord.)
Ana Paula de Andrade Angelica Cristina Gollo Cristilaine Medeiros Daiana Cristina Bortolotti Delano Pinheiro Gomes Edson Martins Rosa Junior Fernando Steimbach Fernando Oliveira Santos Lisdeise Nunes Felipe Marcelo Ramos Marcio Ventura Osni Jose Seidler Junior Thais Bortolotti
Gerência de Marketing
Eliza B. Dallanhol Locks (Gerente)
Karine Augusta Zanoni Marcia Luz de Oliveira Mayara Pereira Rosa Luciana Tomadão Borguetti
Assuntos Jurídicos
Bruno Lucion Roso Sheila Cristina Martins
Marketing Estratégico
Rafael Bavaresco Bongiolo
Portal e Comunicação
Catia Melissa Silveira Rodrigues Andreia Drewes
Luiz Felipe Buchmann Figueiredo Rafael Pessi
Gerência de Produção
Arthur Emmanuel F. Silveira (Gerente)
Francini Ferreira Dias
Design Visual
Pedro Paulo Alves Teixeira (Coord.)
Alberto Regis Elias Alex Sandro Xavier Anne Cristyne Pereira Cristiano Neri Gonçalves Ribeiro Daiana Ferreira Cassanego Davi Pieper
Diogo Rafael da Silva Edison Rodrigo Valim Fernanda Fernandes Frederico Trilha Jordana Paula Schulka Marcelo Neri da Silva Nelson Rosa Noemia Souza Mesquita Oberdan Porto Leal Piantino
Multimídia
Sérgio Giron (Coord.)
Dandara Lemos Reynaldo Cleber Magri
Fernando Gustav Soares Lima Josué Lange
Conferência (e-OLA)
Carla Fabiana Feltrin Raimundo (Coord.)
Bruno Augusto Zunino Gabriel Barbosa
Produção Industrial
Marcelo Bittencourt (Coord.) Gerência Serviço de Atenção Integral ao Acadêmico
Maria Isabel Aragon (Gerente)
Ana Paula Batista Detóni André Luiz Portes Carolina Dias Damasceno Cleide Inácio Goulart Seeman Denise Fernandes Francielle Fernandes Holdrin Milet Brandão Jenniffer Camargo Jessica da Silva Bruchado Jonatas Collaço de Souza Juliana Cardoso da Silva Juliana Elen Tizian Kamilla Rosa Mariana Souza Marilene Fátima Capeleto Maurício dos Santos Augusto Maycon de Sousa Candido Monique Napoli Ribeiro Priscilla Geovana Pagani Sabrina Mari Kawano Gonçalves Scheila Cristina Martins Taize Muller Tatiane Crestani Trentin
Auditoria de Segurança
da Informação
Livro Digital
qualquer meio sem a prévia autorização desta instituição.
Edição – Livro Digital Professor Conteudista
Márcio Ghisi Guimarães Luiz Otávio Botelho Lento
Coordenação de Curso
Luiz Otávio Botelho Lento
Design Instrucional
Delma Cristiane Morari
Projeto Gráfico e Capa
Equipe Design Visual
Diagramação
Jordana Paula Schulka
Revisão
Amaline Mussi
005.8
L59 Lento, Luiz Otávio Botelho
Auditoria de segurança da informação : livro digital / Luiz Otávio Botelho Lento, Márcio Ghisi Guimarães ; design instrucional Delma Cristiane Morari. – Palhoça : UnisulVirtual, 2012.
116 p. : il. ; 28 cm.
Inclui bibliografia.
1. Proteção de dados - Auditoria. 2. Sistemas de recuperação da informação – Medidas de segurança. I. Guimarães, Márcio Ghisi. II. Morari, Delma Cristiane. III. Título.
Auditoria de Segurança
da Informação
Livro Digital
Designer Instrucional
Delma Cristiane Morari
7
Apresentação
9
Palavras dos professores
11
Plano de estudo
15
Unidade 1
Auditoria e sua importância em uma organização
43
Unidade 2
Auditoria da tecnologia da informação
69
Unidade 3
Auditoria de segurança da informação
89
Unidade 4
Auditoria de sistemas de gestão de segurança da informação
105
Para concluir os estudos
107
Minicurrículos
109
Respostas e comentários das atividades de autoaprendizagem
e colaborativas
Caro/a estudante,
O livro digital desta disciplina foi organizado didaticamente, de modo a oferecer a você, em um único arquivo pdf, elementos essenciais para o desenvolvimento dos seus estudos.
Constituem o livro digital:
• Palavras dos professores (texto de abertura);
• Plano de estudo (com ementa, objetivos e conteúdo programático da disciplina);
• Objetivos, Introdução, Síntese e Saiba mais de cada unidade; • Leituras de autoria do professor conteudista;
• Atividades de autoaprendizagem e gabaritos; • Enunciados das atividades colaborativas; • Para concluir estudos (texto de encerramento); • Minicurrículos dos professores conteudistas; e • Referências.
Lembramos, no entanto, que o livro digital não constitui a totalidade do material didático da disciplina. Dessa forma, integram o conjunto de materiais de estudo: webaulas, objetos multimídia, leituras complementares (selecionadas pelo
professor conteudista) e atividades de avaliação (obrigatórias e complementares), que você acessa pelo Espaço UnisulVirtual de Aprendizagem.
Tais materiais didáticos foram construídos especialmente para este curso, levando em consideração as necessidades da sua formação e aperfeiçoamento profissional. Atenciosamente,
Caro/a estudante,
Seja bem-vindo/a à disciplina Auditoria de Segurança da Informação.
Como você já deve saber, o Sistema de Gestão de Segurança da Informação (SGSI) é estratégico para o sucesso do negócio de uma organização.
Neste mundo globalizado, a necessidade de manter o SGSI adequado às
necessidades da organização passou a constituir prioridade entre a alta direção e os gestores de segurança das organizações. Por sua vez, o processo de auditoria tornou-se uma ferramenta eficaz aí, pois suas constatações e conclusões podem ajudar a manter o sistema de gestão dentro das expectativas da organização. Esta disciplina tem como objetivo apresentar a você, na perspectiva dos autores, uma primeira visão do que vem a ser Auditoria de Segurança da Informação. Buscando ressaltar, igualmente, a sua importância para o negócio de uma organização.
Na atualidade, as empresas dependem dos recursos da Tecnologia da Informação para terem competitividade nos negócios. Não existe mais espaço para
processamento de dados manualmente. Todas as informações estão gravadas em banco de dados e as regras de negócios estão implementadas em sistemas de informação. Sem os recursos de TI, a grande maioria das empresas deixa de operar. Nesse contexto, a segurança das informações é vital para a continuidade dos negócios das empresas.
Mas será que as informações estão seguras nas empresas?
A resposta a essa pergunta pode ser encontrada pela auditoria de segurança das informações. Somente realizando constantes auditorias nos recursos de TI é que se pode afirmar estarem as informações realmente seguras, ou não.
um auditor independente.
Este livro abordará alguns tópicos relevantes de TI que devem ser auditados e as razões para a realização da auditoria.
Bom estudo a todos!
O plano de estudo visa a orientá-lo/a no desenvolvimento da disciplina. Possui elementos que o/a ajudarão a conhecer o contexto da disciplina e a organizar o seu tempo de estudos.
O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos que se articulam e se complementam, portanto a construção de competências se dá sobre a articulação de metodologias e por meio das diversas formas de ação/mediação.
São elementos desse processo: • o livro digital;
• o Espaço UnisulVirtual de Aprendizagem (EVA);
• as atividades de avaliação (a distância, presenciais e de autoaprendizagem); • o Sistema Tutorial.
Objetivo geral
Compreender as principais estratégias que norteiam a realização de uma auditoria computacional e desenvolver habilidades para a sua execução em ambientes corporativos.
Ementa
Conceito e organização de auditoria. Controles organizacionais. Controle de mudanças. Controle de operação de sistemas. Controle sobre o ambiente de rede.
A seguir, as unidades que compõem o livro digital desta disciplina e os seus respectivos objetivos. Estes se referem aos resultados que você deverá alcançar ao final de uma etapa de estudo. Os objetivos de cada unidade definem o conjunto de conhecimentos que você deverá possuir para o desenvolvimento de habilidades e competências necessárias a este nível de estudo.
Unidades de estudo:
4Unidade 1 – Auditoria e sua importância em uma organização
Pode-se afirmar que a auditoria é a atribuição responsável por fiscalizar os processos de uma organização. Sua principal função é revelar se os processos estão sendo executados corretamente, constantemente, de forma preventiva ou corretiva, e, principalmente, independente. A auditoria pode ser classificada por tipos, como: interna, externa, administrativa, contábil, financeira, operacional e de tecnologia da informação.
Unidade 2 – Auditoria de tecnologia da informação
Esta unidade estuda a importância da auditoria na área de TI, pois ela compreende todas as áreas relacionadas à TI. Todos os processos podem e devem ser
auditados, desde a decisão sobre tecnologias a ser adotadas, desenvolvimento de sistemas, integração entre sistemas, comunicação entre máquinas, mudanças de sistemas e tecnologias, equipes de desenvolvimentos, prioridades, controles organizacionais, legalidade jurídica, bem como os resultados. A auditoria no setor TI é imprescindível, haja vista que, hoje, muitas organizações param de operar pelo fato de a respectiva tecnologia de TI adotada deixar de funcionar.
Atualmente, uma organização não consegue mais operar sem sistemas de informação que operam de forma integrada entre si, pois isto é vital para assegurar a continuidade de funcionamento das organizações. A operação de sistemas revela o resultado de todo um trabalho de análise e implantação de sistemas. Auditando a operação de sistemas, pode-se concluir que as regras de negócio foram implantadas e executadas corretamente. Os níveis de auditoria devem aprofundar, de acordo com a segurança crítica das informações, por meio dos controles de acesso lógico e físico.
Unidade 4 – Auditoria de sistemas de gestão de segurança da
informação
Esta unidade trata da importância de se ter um sistema de gestão de segurança da informação (SGSI) implementado em uma organização, o que permite ao responsável pela segurança das informações visualizar, com muito mais eficiência e em tempo real, a situação dos sistemas integrados.
Auditoria e sua importância
em uma organização
Objetivos de aprendizagem
•Compreender a necessidade de realização de auditoria nas organizações. •Distinguir os tipos de auditoria e sua aplicabilidade.
•Perceber a contribuição da constante aplicação de auditoria para a segurança das informações de uma organização.
•Conhecer o planejamento da auditoria e a importância do planejamento na aplicação da auditoria.
Introdução
A globalização e a dinâmica na composição e realização de negócios entre as organizações no país e no mundo é uma realidade crescente a cada dia. A necessidade do uso contínuo de sistemas computacionais em seus negócios assegurou às organizações oferecerem produtos com mais qualidade e competitividade.
Esse novo cenário passou a prover uma nova demanda de técnicas e soluções de monitoramento e controle dos processos de negócio. Isso porque a necessidade, cada vez maior, de minimizar falhas e impactos no negócio da organização, como por exemplo, riscos de investimentos, boa imagem junto aos seus stakeholders, veio a tornar-se uma das prioridades de seus gerentes.
Dentre os diversos mecanimos existentes que podem prover o monitoramento e controle dos processos do negócio de uma organização, pode-se citar a auditoria. É que a auditoria consiste em um importante instrumento do processo de gestão de Tecnologia da Informação (TI) de uma organização.
Conceito, tipos e características de auditoria
Luiz Otávio Botelho LentoNo decorrer dos anos, o mundo empresarial cresceu de forma significativa, integrando universos diversos, compostos por organizações de vários segmentos de mercado, e oferecendo um leque amplo de produtos, com variedade de formatos referentes à aquisição e utilização. A competitividade no mercado globalizado está mais voraz. Fatores como a interação das economias (ex: MERCOSUL, Europa e NAFTA), as constantes alterações geopolíticas e sociais, em conjunto com a evolução tecnológica, reforçam a competitividade. As organizações que fazem parte dessa nova realidade estão cada vez mais vulneráveis perante esse mercado, pois necessitam manter uma constante
atualização em relação às diversas demandas emergentes. Uma solução para esse problema é juntar esforços.
Em virtude disto, as organizações se unem, de forma cooperativa, com o objetivo de atender uma determinada demanda de negócio. Com isso, novas estruturas interorganizacionais, criadas e distribuídas com base na ajuda mútua, são, atualmente, uma realidade e uma solução cabível ante as obrigatoriedades estabelecidas por um novo mercado.
A busca constante por novas soluções e produtos deve-se a essa crescente evolução do mercado, cada vez mais
competitivo e volátil, que, junto à globalização da tecnologia e da economia, é fator influente na busca de soluções mais eficientes, com custos mais acessíveis. As empresas que estão vivenciando esta realidade vêm buscando unir forças para minimizar custos e obter soluções que atendam de forma objetiva os seus clientes.
Nesse contexto, vem crescendo a utilização de organizações virtuais como solução, em conjunto com o conceito de Cloud
Computing, pois asssegura uma saída para esta questão,
possibilitando:
• coordenar recursos compartilhados de forma descentralizada (sem controle centralizado);
• fazer uso de protocolos e interfaces padrões, de propósito geral e aberta; e
• proporcionar qualidades de serviços não triviais.
Cloud Computing
É a designação aceita para redes independentes, formadas dinamicamente por meio de empresas e organizações convencionais de um modo geral, distribuídas geograficamente, com objetivos comuns, compartilhando tecnologia de informação e comunicação, trabalhando de forma cooperativa, de modo a possibilitar uma melhor qualidade de serviço e competências na solução de problemas comuns. (ZHANG; GU, 2003). Organizações visuais
Um estilo de computação escalável de recursos de TI é identificado como um fornecimento de “serviço” para clientes externos, por meio da tecnologia da internet. Os consumidores desses serviços visualizam-nos apenas para utilização, sem se preocupar com a arquitetura de implementação ou programação desses. Saiba mais em: <http://www.gartner.com>.
Em paralelo, novas vulnerabilidades e ameaças foram criadas, tornando os negócios das organizações mais suscetíveis a ataques. Tal possibilidade forçou os administradores, em conjunto com a sua equipe de Tecnologia da Informação, a buscar alternativas de proteção com a finalidade de mitigar essas vulnerabilidades e, assim, reduzir a chance de ocorrer ataques ao seu negócio.
Dessa forma, conforme citado em Sêmola (2010), a importância da Gestão da Segurança da Informação é hoje um fator fundamental para o sucesso do negócio de qualquer organização, independente de seu tamanho ou área de atuação. A implantação de um Sistema de Gestão de Segurança da Informação (SGSI), em conformidade com os requisitos descritos na norma ISO 27001, é fator estratégico e de sucesso para o negócio da organização. Em paralelo, a aplicação de boas práticas de segurança da informação, conforme citadas na ISO 27002, também deve ser adotada no projeto de segurança de informação da organização. A norma ISO 27001, responsável em estabelecer os requisitos do SGSI de uma organização, baseia-se no modelo de processo PDCA (Plan – Do – Check – Act), conforme pode ser visualizado na Figura 1.
Parceiros Interessados Parceiros Interessados Expectativas e necessidades de segurança da informação Segurança da informação gerenciada Plan
Modelo PDCA aplicado ao processo do SGSI
Do
Check
Especifíca o SGSI Implementa e
opera o SGSI monitora o SGSIManutenção e Monitora e
revisa o SGSI
Act
Figura 1 -- Modelo de Processos PDCA Fonte: ISO 27001 (2005).
Como pode ser visto, o ciclo PDCA é representado por quatro fases: •Planejamento: nesta, de forma geral, são planejadas e projetadas
as atividades referentes ao SGSI, como por exemplo, políticas e procedimentos de segurança;
•Execução: aqui, são implantadas e operacionalizadas as políticas, controles, processos e procedimentos do SGSI;
•Verificação: de uma forma geral, nessa etapa audita-se o SGSI, analisando e avaliando a eficiência, por exemplo, de suas políticas, procedimentos e controles;
•Ações corretivas: com base na etapa de verificação, são tomadas ações que previnam ou que venham a corrigir as atividades referentes ao SGSI, especificadas na fase de planejamento e implantadas na fase de execução.
O sucesso da implantação e manutenção do SGSI está baseado na verificação constante das suas atividades. A auditoria dos seus componentes possibilita que o SGSI esteja sempre alinhado às necessidades de segurança da informação do negócio da organização. Esse fato torna a auditoria, de forma ampla, uma ferramenta
fundamental à manutenção e adequação do SGSI à estratégia do negócio.
Conceituar auditoria pode ser considerado um tanto quanto fácil, pois existem algumas definições em torno desse assunto. Todavia a NBR ISO 19011 define auditoria como um processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las objetivamente de modo a determinar a extensão na qual os critérios de auditoria são atendidos.
Outra definição interessante de auditoria está em UFERSA (2010): são exames, análises, avaliações, levantamento e comprovações, metodologicamente estruturados para a avaliação da integridade, adequação, eficiência, eficácia e economicidade dos processos, dos sistemas de informações e de controles internos integrados da organização, visando a atingir o cumprimento de seus objetivos.
Segundo Mello (2005), a auditoria pode ser definida como uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar a sua
conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Poderiam ser mencionadas, ainda, algumas definições mais: acredita-se, entretanto, que essas duas atendam às expectativas deste estudo. Ressalta-se que uma auditoria caracteriza-se pela confiança e princípios, tornando-se ferramenta eficiente e confiável. Dessa forma, contribui para as políticas de gestão e controle, provendo as organizações de informações que possibilitem melhorar os seus processos de negócio.
A NBR ISO 19011 apresenta alguns desses princípios, relacionados aos auditores, possibilitando que sejam fornecidas conclusões de auditoria relevantes e suficientes e permitindo que auditores trabalhem de forma independente e Evidência de auditoria
Evidências de auditoria: são registros, apresentação de fatos ou outras informações, pertinentes aos critérios de auditoria. A auditoria pode ser quantitativa ou qualitativa. Critérios de auditoria
Critérios de auditoria: consiste em um conjunto de políticas, procedimentos ou requisitos. Os critérios de auditoria são usados como uma referência contra a qual a evidência da auditoria é comparada.
Conduta ética: consiste na alma do profissional, confiança, integridade,
confidencialidade e discrição. A ética consiste em uma característica inerente às ações do ser humano, tornando-se um componente fundamental à sociedade.
Obrigação: existe a obrigação de reportar com veracidade e exatidão todas as
informações pertinentes à auditoria, relacionadas com as constatações e as conclusões da auditoria e seus respectivos relatórios.
Consciência profissional: os auditores devem ter a preocupação de realizar as
tarefas da forma mais profissional, de acordo com a importância e a confiança depositada em uma auditoria.
Independência: é a base para a imparcialidade e objetividade das conclusões de uma
auditoria, porque os auditores são independentes em relação ao que será auditado, assim como não se ligam aos interesses e às tendências apresentadas.
Evidência: a evidência de auditoria pode ser verificada, pois ela é realizada com base
em amostras de informações que se encontram disponíveis.
Sendo assim, pode-se dizer que a auditoria é talvez um mal/bem necessário a qualquer organização. Saber até quanto o seu processo de negócio é eficiente, ou mesmo, até quanto o seu sistema de informações é seguro, é uma necessidade estratégica para o negócio. Logo, se for perguntado por que auditar, a resposta pode ser imediata: é uma necessidade estratégica para o negócio da organização, o qual pode ser validado pela auditoria.
Tipos de auditoria
As auditorias podem estar em conformidade com diversos critérios, como por exemplo, o objetivo, a periodicidade e o posicionamento do auditor/órgão fiscalizador. O objetivo de uma auditoria pode estar relacionado à necessidade de se verificarem falhas em um processo e, assim, poder corrigi-lo. A periodicidade de uma auditoria pode estar relacionada à necessidade ou ao tipo de negócio.
Sendo assim, Neto e Solonca (2007) apresentam um quadro com os tipos de auditoria, separando-os em 3 classes abrangentes: forma de abordagem; órgão fiscalizador e área envolvida. Com isso, oferecem uma ampla visão dos diversos tipos de auditoria que podem existir.
Classificação Tipos de auditoria Descrição
Quanto à forma de abordagem:
Auditoria horizontal Auditoria com tema específico, realizada em várias entidades ou serviços, paralelamente.
Auditoria orientada Foca em uma atividade específica qualquer ou atividades com fortes indícios de fraudes ou erros.
Quanto ao órgão fiscalizador:
Auditoria interna Auditoria realizada por um departamento interno, responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade. Um de seus objetivos é reduzir a probabilidade de fraudes, erros, práticas ineficientes ou ineficazes. Esse serviço deve ser independente e prestar contas diretamente à classe executiva da corporação.
Auditoria externa Auditoria realizada por uma empresa externa e independente da entidade que está sendo fiscalizada, com o objetivo de emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a legalidade e regularidade de suas operações.
Auditoria articulada Trabalho conjunto de auditorias internas e externas, devido à superposição de responsabilidades dos órgãos fiscalizadores, caracterizado pelo uso comum de recursos e comunicação recíproca dos resultados.
Quanto à área envolvida:
Auditoria de programas de governo
Acompanhamento, exame e avaliação da execução de programas e projetos governamentais.
Auditoria do planejamento estratégico – verifica se os principais objetivos da entidade são atingidos e se as políticas e estratégias são respeitadas.
Auditoria administrativa
Engloba o plano da organização, seus procedimentos, diretrizes e documentos de suporte à tomada de decisão.
Auditoria contábil É relativa à fidedignidade das contas da instituição. Essa auditoria, consequentemente, tem como finalidade fornecer alguma garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações.
Classificação Tipos de auditoria Descrição
Quanto à área envolvida:
Auditoria financeira Conhecida também como auditoria das contas. Consiste na análise das contas, da situação financeira, da legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais, verificando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade – conhecida como auditoria de conformidade. Consiste na análise da legalidade e regularidade das atividades, funções, operações ou gestão de recursos, verificando se estão em conformidade com a legislação em vigor.
Auditoria operacional Incide em todos os níveis de gestão, nas fases de programação, execução e supervisão, sob a ótica da economia, eficiência e eficácia. Analisa também a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos.
Auditoria da Tecnologia da Informação
Tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informática, o ambiente computacional, a segurança de informações e o controle interno da entidade fiscalizada, identificando seus pontos fortes e deficiências.
Quadro 1 – Classificação das auditorias Fonte: Neto e Solonca (2007).
Auditoria interna/externa
A classificação quanto ao órgão fiscalizador/posicionamento do auditor destaca 2 tipos de auditoria aplicados, em sua maioria, nas organizações, independente da área de atuação ou forma de abordagem. Essa terminologia é utilizada pela grande maioria dos auditores para classificar um processo de auditoria. Desta forma, este item busca um maior detalhamento das características das auditorias internas e externas, dando maior atenção à auditoria interna, tendo em vista a sua aplicabilidade dentro das organizações.
Segundo CONAB e COAUD (2008, p. 5), a auditoria interna é
o conjunto de técnicas que visa avaliar, de forma amostral, a gestão da companhia, pelos processos e resultados gerenciais, mediante a confrontação entre uma situação encontrada com um determinado critério técnico, operacional ou normativo. Trata-se de um importante componente de controle das corporações na busca da melhor alocação dos recursos do contribuinte, não só atuando para corrigir os desperdícios, as impropriedades/ disfunções, a negligência e a omissão, mas, principalmente, antecipando-se a essas ocorrências, buscando garantir os resultados pretendidos, além de destacar os impactos e benefícios sociais advindos, em especial sob a dimensão da equidade, intimamente ligada ao imperativo de justiça social.
A necessidade de realizar auditorias internas vai de encontro com os objetivos de controle, controle de processos, processos e procedimentos do sistema de gestão. Logo, qualquer organização deverá garantir que as auditorias sejam realizadas em intervalos de tempo planejados, de acordo com os elementos citados.
Quanto à auditoria externa, são encontradas algumas definições, principalmente relacionadas à questão financeira/contábil da organização, como a citada no portal da auditoria, que a trata como o exame das demonstrações financeiras feitas, com o propósito de expressar uma opinião sobre a propriedade com que estas apresentam a situação patrimonial e financeira da empresa e o resultado das operações no período do exame. Entretanto uma definição mais genérica de auditoria externa ocorreria quando se audita um fornecedor ou quando se é auditado por um cliente, por exemplo. Um exemplo simples é quando uma organização sofre uma auditoria de segurança da informação com base na norma ISO 27001. O auditor externo, de forma macro, verifica se todos os controles de segurança da informação necessários estão implantados.
Iniciação de uma auditoria
Para que uma auditoria seja iniciada, os seus objetivos globais devem estar alinhados aos objetivos do programa de auditoria, bem como o escopo de abrangência e os seus critérios.
Objetivos
•determinar a extensão da conformidade dos documentos da organização contra os critérios de auditoria;
•avaliar a capacidade da documentação da organização de garantir conformidade com requisitos legais, contratuais e regulamentares; •determinar a eficácia da documentação da organização em atender os
objetivos especificados;
•identificar as possíveis melhorias da documentação.
Escopo
O escopo de uma auditoria está relacionado à descrição da extensão e limites da auditoria em termos de localização física, unidades organizacionais, atividades, processos, ativos de informação, avaliações de risco.
Critérios
Os critérios podem incluir políticas e procedimentos aplicáveis à organização, normas, requisitos legais (leis), regulamentos, requisitos contratuais, sistema de gestão, e práticas, entre outros.
Atributos e responsabilidades de um auditor
Um auditor deve possuir alguns atributos, como: •possuir capacidade de decisão;
•ser rígido e possuir autoconfiança; •ser ético, educado e instruído;
•ser versátil, ter a mente aberta, ser diplomático, perceptivo e observador (BSI, 2008);
•estar sempre em conformidade com os requisitos da organização; •participar na confecção da agenda da auditoria, bem como conduzi-la de
forma adequada;
•registrar e relatar as constatações;
•manter a independência e confidencialidade, bem como manter os registros de auditoria.
Boas práticas de uma auditoria
Conforme citado em BSI 2008, Curso Auditor Interno, algumas boas práticas durante uma auditoria devem ser observadas:
•notifique sempre e com antecedência a realização de uma auditoria, seja ela externa ou interna, e também informe a importância dela para a organização;
•faça as perguntas às pessoas responsáveis pela área que está sendo auditada. Não se esqueça de que as perguntas devem ser claras e objetivas. Evite realizar várias perguntas ao mesmo tempo;
•seja imparcial durante todo o processo de auditoria, buscando sempre evidências: com isso, você evita quaisquer conclusões precipitadas; •seja sempre atencioso e educado, procure usar uma linguagem polida,
não argumente com qualquer pessoa ou segmento da organização; não discuta, não faça críticas; e
•procure sempre apresentar as suas constatações durante o processo da auditoria.
Terminologia adotada em uma auditoria
Este item visa a apresentar alguns conceitos, considerados como gerais,
utilizados, normalmente, durante um processo de auditoria, independente de sua classificação. Conceitos como campo, âmbito e natureza são básicos para qualquer tipo de auditoria.
Campo: está relacionado ao objeto (pode ser uma instituição pública ou privada ou
um determinado setor da mesma) a ser fiscalizado, período e o tipo da auditoria (operacional, financeira, etc.).
Âmbito: define o grau de abrangência e a profundidade das tarefas.
Área de verificação: delimita de modo preciso os temas da auditoria, em função da
entidade a ser fiscalizada e da natureza da auditoria.
Controle: consiste na fiscalização exercida sobre as atividades das pessoas,
departamentos, produtos, etc., de forma que as atividades executadas ou produtos mantenham-se dentro das normas preestabelecidas.
Três tipos de controle são exercidos:
• Preventivo - previne erros e invasões, por exemplo, identificação e autenticação de usuários do sistema via a utilização de senhas; • Detector - detecta erros, tentativas de invasões, etc. (arquivos logs,
realização de controle de acesso de usuários);
• Corretivo - minimiza o impacto causado por falhas ou erros, corrigindo-os (política de segurança, plano de contingência).
Objetivos de controle: são metas de controle a serem alcançadas, ou aspectos
negativos a ser evitados em cada transação, atividade ou função fiscalizada.
Procedimentos de auditoria: é um conjunto de verificações e averiguações que
permite obter e analisar as informações necessárias ao parecer do auditor. Esses procedimentos devem ser de conhecimentos dos auditores antes do início da auditoria.
Achados de auditoria: são fatos a ser considerados como importantes para o
auditor. Para que esses dados constem no relatório, eles devem estar baseados em fatos e evidências.
Papéis de trabalho: são registros que evidenciam atos e fatos observados pelo
auditor (planilhas, documentos, etc.).
Recomendações de auditoria: realizada na fase de relatório, isto é, são medidas
corretivas exequíveis, sugeridas para corrigir as falhas detectadas (DIAS, 2000).
Programa de auditoria
Um programa de auditoria, segundo a NBR ISO 19011, consiste em uma ou um conjunto de auditorias planejado para um determinado período de tempo e com um propósito específico. A quantidade de auditorias que irão compor um programa de auditoria está diretamente relacionada ao escopo de abrangência, à natureza (ex.: corretiva ou punitiva) e ao tipo de negócio da organização, o nível de complexidade da organização que será auditada.
O programa de auditoria é responsável, também, por estabelecer todas as atividades que possibilitam o planejamento e organização, execução e
manutenção de todas as auditorias que fazem parte do programa, independente do tipo, fornecendo todos os recursos necessários para que sejam executadas de forma eficiente, em um determinado período de tempo (NBR, 2002).
Desta forma, pode-se dizer que o programa de auditoria é um plano de ação, detalhado, com o objetivo de dar ao auditor as diretivas necessárias à realização de seu trabalho. Possui objetivos, escopo de abrangência, um conjunto de procedimentos necessários à equipe de auditoria na realização de seu trabalho. O programa de auditoria deverá ser estruturado, com base em um padrão, e poderá conter elementos como:
•características do sistema organizacional a ser auditado; •áreas/segmentos de negócio envolvidos;
•período de realização da auditoria; •objetivos da auditoria;
•cronograma dos trabalhos; •equipe de auditores;
•custos envolvidos para a realização da auditoria; •procedimentos para a realização da auditoria; •questionários de coleta de informações; •campo para observações dos auditores; •orientações gerais (CONAB; COAUD, 2008).
Vale a pena ressaltar que o programa de auditoria deve ser flexível o suficiente para sofrer alterações, no caso de situações não previstas ou intempestivas durante o processo de auditoria. Ele também deve apoiar-se no processo de decisão da equipe de auditoria, caso exista a necessidade de ampliar a coleta de informações, análises e/ou realizações de teste de auditoria.
A gerência de um programa de auditoria
O modelo de gerência do programa de auditoria segue as prerrogativas descritas pelo modelo de processos do ciclo PDCA, conforme pode ser visualizado na Figura 2. Normalmente, em uma auditoria interna, a autoridade da gerência do programa de auditoria é delegada pela alta direção da organização ao seu respectivo
responsável, o gerente do programa. Esse gerente é responsável em estabelecer, implantar, monitorar, analisar e melhorar o programa de auditoria, além de identificar e garantir que todos os recursos necessários a sua execução sejam providos (NBR, 2002). No caso de uma auditoria externa, o auditor chefe será o responsável em conduzir todo o processo que está relacionado a ela, do início ao
Implementar o programa de auditoria Monitorar e analisar o programa de auditoria Gerente Alta direção Responsabilidade
Gestão do programade auditori a Verificar Processo de Gestão Agir Planejar Executar Melhorar o programa de auditoria Estabelecer o programa de auditoria
Figura 2 – Processo de gestão do programa de auditoria Fonte: Elaboração do autor (2011).
Referências
AUDITORIA externa ou auditoria independente. Portal da auditoria. nov. 2011. Disponível em: <http://www.portaldeauditoria.com.br/sobreauditoria/o-que-e-Auditoria-Externa.asp>. Acesso em: 14 dez. 2011.
ÀVILA, Rafael. Imagem de lupa sobre gráficos financeiros: auditoria. Blog luz loja de
consultoria. 2 nov. 2011. Disponível em: <http://blog.lojadeconsultoria.com.br/inspiracao/
conheca-as-10-empresas-mais-sustentaveis-do-mundo-sera-mesmo/attachment/imagem-de-lupa-sobre-graficos-financeiros-auditoria-luz-loja-de-consultoria/>. Acesso em: 7 dez. 2011.
BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001:2005 Sistema de Gestão de Segurança da Informação – BSI Learning, 2008.
BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001: 2005 SGSI, BSI Learning, 2008.
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Excel Books, 2000.
ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Necessidades ISO/IEC, 2005. ISO/IEC 27002. Information technology, Security techniques, Code of practice for information security management, Redesignation of ISO/IEC 17799: 2005.
MANUAL de auditoria interna. 2ª versão. Companhia Nacional de Abastecimento – CONAB; Coordenadoria de Auditoria Interna (COAUD), 2008. Disponível em: <http://www.conab. gov.br/downloads/regulamentos/ManualdeAuditoriaInterna.pdf>. Acesso em: 9 dez. 2011. MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organização
básica da auditoria interna. Biblioteca Técnica de Auditoria Interna, 2005.
NBR ISO 19011. Diretrizes para auditorias de sistema de gestão da qualidade, NBR. 2002. NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoça: UnisulVirtual, 2007.
SÊMOLA, Marcos. A importância da gestão da segurança da informação. 2010. Disponível em: <http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformacao.pdf>. Acesso em: 9 dez. 2011.
SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual Organization, The Eighth International Conference on Computer Supported Cooperative Work in Design, Xiamen, China, 2003.
UNIDADE de auditoria interna. Definições de auditoria interna. Universidade Federal Rural do Semi-Árido (UFERSA), 05 mar. 2009. Disponível em: <http://www2.ufersa.edu.br/portal/ divisoes/audint/1315>. Acesso em: 9 dez. 2011.
Planejameto da auditoria
Luiz Otávio Botelho Lento Márcio Ghisi Guimarães
O planejamento é a peça fundamental para o sucesso da auditoria, sendo o tempo alocado para a etapa de planejamento compatível com a sua realização. Desta forma, não se deve reduzir o tempo de realização dessa etapa, pois isso poderá incorrer em erros durante a execução da auditoria, provenientes de um mau planejamento.
Durante a fase de planejamento, o programa de auditoria é estabelecido, e, então, o gerente se preocupa, basicamente, com três aspectos:
•os objetivos e o escopo de abrangência do programa de auditoria; •os recursos (orçamentos) necessários para a realização da auditoria; •as responsabilidades e a importância relativa ou papel desempenhado
para cada situação ou segmento de negócio em um determinado momento/contexto;
•os procedimentos, como por exemplo: as possíveis situações críticas que devem ser controladas, identificadas em um determinado segmento de negócio da organização, por exemplo. Referem-se às vulnerabilidades, aos riscos operacionais latentes, entre outros (NBR, 2002; CONAB; COAUD, 2008).
Objetivos/escopo de abrangência
Os objetivos do programa de auditoria são estabelecidos para direcionar tanto o planejamento quanto a realização das auditorias. Esses objetivos estão
principalmente relacionados com:
•a prioridade da alta direção e suas perspectivas de negócio; •os requisitos e necessidades do sistema de gestão da organização; •os estatutos, regulamentos e contratos;
•a necessidade do cliente, dos parceiros (fornecedores), ou seja, dos “stakeholders”; •os riscos referentes ao negócio da organização.
Stakeholders
São as partes interessadas, qualquer grupo ou indivíduo que pode afetar ou ser afetado pela realização dos objetivos da empresa. (FREEMANN, 1984).
Quanto à abrangência do programa de auditoria, ela é estabelecida em conformidade com o tipo de negócio, tamanho da empresa, entre outros aspectos. Ressalta-se que os objetivos determinados na fase de planejamento estão diretamente relacionados à abrangência, bem como a sua duração. Questões como a diversidade dos segmentos de negócio, filiais e/ou
departamentos influenciam na abrangência, pois se pode determinar que ela esteja fisicamente relacionada a um departamento e/ou filial, ou logicamente relacionada a um ou a mais segmentos de negócio dentro da organização.
Recursos
Um programa de auditoria necessita de vários elementos para a sua realização, sendo que a alocação de recursos para a execução está diretamente relacionada ao seu sucesso. Recursos financeiros são primordiais, pois eles possibilitam que as atividades da auditoria sejam desenvolvidas, implantadas, gerenciadas e melhoradas. Questões como viagens, hospedagens, aquisição de dispositivos necessários à execução do programa de auditoria devem ser alocadas nessa fase do planejamento.
A equipe de auditores é outro elemento fundamental. Ter uma equipe qualificada e competente para realizar as tarefas de auditoria é essencial na obtenção do resultado final com qualidade, confiável e compatível com as expectativas do cliente.
Responsabilidades
Além da figura do gerente do programa de auditoria designado pela alta direção em uma auditoria interna, ou o auditor chefe, devem existir outros componentes, capazes tecnicamente (auditores), que também irão assumir responsabilidades. Esses auditores poderão assumir responsabilidades como:
•estabelecer os objetivos e a abrangência do programa de auditoria; •garantir que os recursos sejam fornecidos;
•garantir que o modelo de gestão do programa de auditoria seja executado de forma eficiente;
•garantir que todas as informações coletadas e analisadas, bem como as conclusões (ex: relatórios), sejam armazenadas e mantidas de forma segura e pelo tempo necessário.
Procedimentos
O programa de auditoria, como citado, é um plano de ação, e esse, por conseguinte, é composto por um conjunto de procedimentos. Esses
procedimentos abrangem um leque de tarefas, especificadas durante a etapa de planejamento, responsáveis pelas diretrizes de todo o processo de auditoria. Conforme citado na NBR (2002), os procedimentos devem tratar de aspectos como:
•planejar e programar as auditorias; •executar as auditorias;
•selecionar auditores em conformidade com as atividades a serem realizadas, bem como especificar as suas funções e responsabilidades; •realizar monitoramento das atividades da auditoria como também
manter os seus registros de controle;
•elaborar relatórios a serem apresentados posteriormente ao cliente; •monitorar a eficiência da auditoria.
Exemplos de produtos da fase de planejamento
Pode-se ver que a etapa de planejamento é substancial para o sucesso do processo de auditoria. Para resumir e prover um melhor entendimento desta etapa, detalham-se algumas decisões que lhe são específicas:
I. determinar e acordar o escopo; II. firmar os objetivos da auditoria; III. estabelecer os critérios da auditoria;
IV. planejar a frequência com que ela será executada, bem como a sua importância;
V. fixar o tempo de duração;
VI. definir a equipe de auditoria e o planejamento dos custos envolvidos. Acompanhe no Quadro 1 o exemplo de um programa de auditoria em que é descrito o departamento que será auditado entre os meses de janeiro a dezembro. X – auditoria programada somente com base na importância
Departamento Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez Financeiro X S Projeto X S Pesquisa X S Vendas X S Jurídico X Pessoal (RH) S X Administrativo X Produção S X S Marketing X
Quadro 1 – Programa de auditoria Fonte: BSI (2008).
Os principais pontos de uma agenda de auditoria a ser desenvolvidos durante a fase de planejamento são:
•reunião de abertura/apresentações;
•análise do escopo da auditoria e dos processos que estarão envolvidos; •responsabilidades;
•conformidade e aspectos legais;
•especificação dos pontos que farão parte da auditoria (correção de processos de venda);
•resumo/reunião de encerramento.
Executar
Durante esta etapa, o programa de auditoria é implementado e as partes interessadas são apresentadas a esse programa. Iniciam-se todas as tarefas de coordenação e planejamento do programa de auditoria; a equipe de auditoria é escolhida; os recursos são disponibilizados para a realização desse processo, entre outras tarefas. Sendo assim, pode-se dizer que a implementação da auditoria consiste basicamente na sua execução, referida no que foi planejado.
Nessa fase do processo de gestão do programa de auditoria, faz-se necessário manter registros referentes à:
•execução da auditoria – planos de auditoria, relatórios de auditoria, relatórios de não conformidade, relatórios de ação corretiva e preventiva;
•análise do programa de auditoria;
•pessoal da auditoria – seleção da equipe, competência de seus membros; avaliação de desempenho da equipe (NBR, 2002).
Verificar
Nesta etapa, o programa de auditoria sofre um monitoramento em intervalos de tempo adequados, e também é avaliado se os objetivos da auditoria foram alcançados.
A análise crítica do programa de auditoria deve considerar algumas questões, como resultados e tendências do monitoramento; conformidade com os procedimentos; evolução e expectativas dos “stakeholders”; registros do programa de auditoria e consistência no desempenho entre as equipes de auditoria em situações semelhantes (NBR, 2002).
Agir
Esta etapa busca melhorar o programa de auditoria, com base nas informações que foram monitoradas e analisadas na etapa anterior. Tais resultados podem prover uma oportunidade de melhoria do programa, possibilitam que ações corretivas possam ser planejadas e conduzidas, provendo melhorias ao processo de auditoria.
Os resultados obtidos durante e após a implantação das melhorias no programa de auditoria podem ser apresentados à alta direção.
Atividades de uma auditoria
A auditoria é composta por um conjunto de atividades, conforme pode ser visualizado na Figura 1, e que serão descritas a seguir.
Iniciar a auditoria
Realizar a análise e crítica dos documentos
Preparar as atividades da auditoria Executar as atividades de auditoria Relatórios da auditoria Conclusão e acompanhamento da auditoria
Figura 1 - Atividades de consultoria Fonte: NBR (2002).
Iniciar a auditoria
Escolhido o líder da equipe de auditoria, são definidos os objetivos, o escopo e os critérios dela. Os objetivos da auditoria, normalmente definidos pelo cliente, podem incluir: o quanto o sistema auditado deve estar em conformidade com os critérios de auditoria; a avaliação da capacidade do sistema em concordância com os requisitos, regulamentos e contratos; a avaliação da eficácia do sistema em alcançar os seus objetivos; e a identificação dos módulos do sistema que podem sofrer melhorias (NBR, 2002).
O escopo está relacionado à abrangência e aos limites da auditoria como localizações físicas (filiais, departamentos, etc.), atividades e processos a serem auditados, bem como o tempo de sua execução. No caso do critério de auditoria, trata-se de uma referência utilizada para verificar a conformidade do sistema com as políticas, normas, regulamentos, etc.
Escolhida a equipe de auditoria, é estabelecido o contato inicial com o cliente. Esse contato busca: estabelecer canais de comunicação entre o auditor e o auditado; apresentar o líder da auditoria; fornecer informações sobre o tempo de duração e a equipe da auditoria; solicitar acesso aos documentos que serão utilizados
Análise crítica dos documentos
Antes do início da auditoria, os documentos do auditado devem ser analisados de forma criteriosa, com o objetivo de verificar a conformidade do sistema, como documento, com o critério da auditoria. A documentação fornecida pode ser composta por registros referentes ao sistema e/ou documentos de auditorias anteriores, por exemplo.
Vale a pena ressaltar que a análise deve levar em consideração o tipo, a complexidade e a abrangência do negócio da organização. No caso da
documentação ser considerada inadequada, o líder da equipe da auditoria informa ao cliente o problema, e é decidido se ela será interrompida ou suspensa, até que o problema referente à documentação seja resolvido. (NBR, 2002).
Preparar as atividades de auditoria (fonte 13)
Dentre as atividades da auditoria, existe a confecção do seu plano. Esse plano é um acordo entre a auditoria e o auditado para fornecer uma base referente à realização do processo. O plano deverá conter, basicamente: os objetivos da auditoria; o critério e qualquer documento de referência; o escopo da auditoria; as datas e lugares onde as atividades serão realizadas; a duração da atividade no local (reuniões com o auditado e com a equipe de auditoria); as funções e responsabilidades dos membros da equipe de auditoria; e, a alocação dos recursos para a realização da auditoria. (NBR, 2002).
Executar as atividades de auditoria (fonte 13)
A primeira atividade é realizar a reunião de abertura com a direção e os responsáveis pelas funções ou processos do auditado. Essa reunião visa a: confirmar o plano de auditoria; apresentar as atividades que serão executadas; confirmar os canais de comunicação; e, ouvir questionamentos do auditado e dar respostas.
Durante a realização da auditoria, é importante manter a comunicação entre os membros da equipe, como também com o cliente auditado. Essa comunicação dá uma visão do andamento da auditoria e das preocupações ao auditado sobre as constatações negativas, bem como as evidências que proporcionem um risco evidente e significativo. (NBR, 2002).
As informações coletadas durante o processo de auditoria devem ser feitas por amostragem e verificadas (objetivos, escopo, critério, atividades e processos). Somente essas informações averiguadas é que podem ser evidências de auditoria, sendo, inclusive, registradas. Vale ressaltar que as evidências são informações verificadas, obtidas por amostragem, geram uma incerteza, que deve ser tratada/ relembrada por aqueles que atuam baseados nas conclusões. Essas informações podem ser coletadas via entrevistas, com os membros dos segmentos de negócio a serem auditados; ou, por observação das atividades realizadas na organização; ou, também, por meio da análise crítica dos documentos do sistema de gestão, fornecidos pelo auditado.
As constatações da auditoria são geradas com base na análise das evidências, de acordo com o critério da auditoria. As constatações, segundo a NBR 2002, podem indicar tanto conformidade quanto não conformidade com o critério da auditoria. Por exemplo, quando um controle de segurança não foi implantado, ele pode estar em não conformidade com a norma ISO 27001. As constatações também podem ser utilizadas como uma oportunidade de melhoria para o sistema de gestão da organização, pois uma falha ou problema foi constatado durante o processo de auditoria.
As conclusões da auditoria devem, antes de apresentadas, ser discutidas entre a equipe de auditoria. As discussões têm de levar em consideração algumas questões, por exemplo: análise crítica das constatações, bem como quaisquer outras informações coletadas durante o processo de auditoria; acordo fechado em relação às conclusões, sem se esquecer das incertezas do processo de auditoria; recomendações especificadas. Dessa forma, na reunião de encerramento, todas as constatações e conclusões são apresentadas ao auditado, para que ele possa, além de ter a ciência dos fatos, compreender o relatório final da auditoria. Lembra-se que o relatório final deve ser entregue, exclusivamente, para quem encomendou a auditoria, e não ao auditado (NBR, 2002).
A NBR 2002 apresenta um fluxo geral do processo de auditoria desde a coleta das informações até a sua conclusão da auditoria, como pode ser visto na Figura 2.
Fontes de Informação
Coleta de informações por amostragem e verificação
Avaliação com base no critério da auditoria
Analisando Criticamente
Conclusões da Auditoria Evidência da Auditoria
Constatações da Auditoria
Figura 2 - Processo de auditoria Fonte: NBR (2002).
Relatórios de auditoria
Os relatórios de auditoria são de responsabilidade do líder da equipe, o qual deve fornecer todas as informações do processo de auditoria, de modo preciso, resumido e claro, além de todos os elementos que fizeram parte do processo de auditoria (critério, constatações, conclusões, etc.).
O relatório da auditoria é de propriedade de quem a solicitou, devendo ser mantido o grau de confidencialidade necessária, emitido dentro de um prazo acordado entre auditor e cliente, bem como datado e assinado.
Conclusão e acompanhamento da auditoria
Pode-se dizer que uma auditoria foi concluída quando todas as atividades descritas no programa dela foram concluídas e o relatório aprovado e distribuído. Todos os documentos referentes ao processo devem ser guardados de forma adequada, ou, então, destruídos de acordo com o que foi combinado entre o auditor e o cliente, bem como o descrito no programa de auditoria.
As conclusões da auditoria podem levar a ações corretivas, preventivas ou de melhorias pela organização. Essas ações são realizadas pelo auditado dentro de um determinado prazo, acordado entre ambas as partes, para que posteriormente seja verificado se foram todas realizadas e de forma eficiente. Pode-se acrescentar que essa verificação é chamada de auditoria subseqüente (NBR, 2002).
Referências
AUDITORIA externa ou auditoria independente. Portal da auditoria. nov. 2011. Disponível em: <http://www.portaldeauditoria.com.br/sobreauditoria/o-que-e-Auditoria-Externa.asp>. Acesso em: 14 dez. 2011.
ÁVILA, Rafael. Imagem de Lupa sobre Gráficos Financeiros: auditoria. Blog luz loja de
consultoria. 2 nov. 2011. Disponível em: <http://blog.lojadeconsultoria.com.br/inspiracao/
conheca-as-10-empresas-mais-sustentaveis-do-mundo-sera-mesmo/attachment/imagem-de-lupa-sobre-graficos-financeiros-auditoria-luz-loja-de-consultoria/>. Acesso em: 7 dez. 2011. BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001: 2005 Sistema de Gestão de Segurança da Informação – BSI Learning, 2008.
BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001:2005 SGSI, BSI Learning, 2008.
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. São Paulo: Excel Books, 2000.
FREEMAN, R. E. Strategic management: a stakeholder approach. Massachusetts: Pitman, 1984.
ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Necessidades, ISO/IEC, 2005. ISO/IEC 27002. Information technology, Security techniques, Code of practice for information security management, Redesignation of ISO/IEC 17799: 2005.
MANUAL de auditoria interna. 2ª versão. Companhia Nacional de Abastecimento – CONAB; Coordenadoria de Auditoria Interna (COAUD), 2008. Disponível em: <http://www.conab. gov.br/downloads/regulamentos/ManualdeAuditoriaInterna.pdf>. Acesso em: 9 dez. 2011. MCAFEE compra de empresa de gestão da segurança da informação. Notícias do setor. Multidata: tecnologia, gestão, resultados. 5 out. 2011. Disponível em: <http://www. multidata.com.br/noticia-do-setor/mcafee-compra-de-empresa-de-gestao-da-seguranca-da-informacao.html> Acesso em: 8 dez. 2011.
MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organização
básica da auditoria interna. Biblioteca Técnica de Auditoria Interna. 2005.
NBR ISO 19011. Diretrizes para auditorias de sistema de gestão da qualidade, 2002. NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoça: UnisulVirtual, 2007.
SÊMOLA, Marcos. A importância da gestão da segurança da informação. 2010. Disponível em: <http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformacao.pdf>. Acesso em: 9 dez. 2011.
SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual Organization, The Eighth
International Conference on Computer Supported Cooperative Work in Design, Xiamen,
China, 2003.
UNIDADE de auditoria interna. Definições de auditoria interna. Universidade Federal Rural do Semi-Árido (UFERSA). 05 mar. 2009. Disponível em: <http://www2.ufersa.edu.br/portal/ divisoes/audint/1315>. Acesso em: 9 dez. 2011.
Atividades de autoaprendizagem
1. Considerando o conteúdo estudado nesta unidade, assinale as alternativas corretas.
a. ( ) Uma auditoria caracteriza-se pela confiança e pelos princípios de conduta ética, obrigação, consciência profissional, independência e evidência.
b. ( ) As auditorias são únicas e integrais, não podendo ser classificadas por tipos.
c. ( ) A auditoria interna é realizada por uma empresa externa e independente da entidade que está sendo fiscalizada.
d. ( ) A auditoria da tecnologia da informação audita o ambiente computacional sempre em conjunto com o departamento contábil. e. ( ) O auditor deve ser independente de quem encomendou a auditoria,
para não haver influência no relatório.
f. ( ) O planejamento da auditoria é a fase mais importante do processo. g. ( ) O escopo de uma auditoria representa os seus limites e deve ser
alterado durante a execução da auditoria.
h. ( ) É recomendável que o relatório da auditoria seja entregue primeiramente a quem a encomendou.
2. A partir dos estudos sobre auditoria da tecnologia da informação, analise as proposições a seguir, marcando V para as sentenças verdadeiras e F para as falsas, com relação à auditoria da tecnologia da informação:
a. ( ) Restringe-se ao ambiente computacional do departamento de TI. b. ( ) Relaciona-se com o departamento financeiro e o departamento
contábil.
c. ( ) Pode também auditar a equipe de desenvolvimento de sistemas. d. ( ) Pode ter no âmbito da auditoria apenas um sistema específico.
Atividades colaborativas
Com base no que você estudou nesta unidade, responda às perguntas abaixo na ferramenta Fórume comente as respostas dos seus colegas.
1. Qual é a diferença entre auditoria interna e externa?
2. Por que é importante estabelecer os objetivos da auditoria na fase de planejamento do programa de auditoria?
3. Por que razão o auditor deve ser independente?
Síntese
A necessidade de realização de auditoria na área da tecnologia da informação faz-se presente pela importância que os sistemas integrados de informação têm para com uma organização. Como os sistemas na atualidade são vitais para a continuidade e competitividade de uma organização, não é aconselhável e seguro deixá-los sem constantes auditorias.
Em muitos casos, os erros e deficiências nos sistemas computacionais só são percebidos quando ocorrem, gerando, certamente, prejuízos que poderiam ser evitados por auditorias.
As auditorias podem ser classificadas em diversos tipos, como interna, externa, operacional, contábil, financeira ou relacionada à tecnologia da informação. A auditoria está relacionada diretamente à segurança da informação, ou seja, quanto mais crítica for a informação, mais intensa e constante devem ser realizadas as auditorias.
É fundamental que cada auditoria tenha inicialmente o seu planejamento, pois a sua execução deve seguir o que foi planejado, não se afastando do que fora estabelecido.
Caso ocorra, durante uma auditoria, um achado importante, esse pode
desencadear outra, para que a auditoria inicial não saia do âmbito estabelecido no planejamento.
Por fim, é fundamental que o auditor seja completamente independente, para que os resultados não sejam encomendados ou distorcidos. E, ainda: o relatório final da auditoria deve ser entregue primeiramente a quem a encomendou, pois os resultados desse processo, na maioria dos casos, são sigilosos e não devem ser conhecidos por terceiros.
Saiba mais
MONTEIRO, Emiliano Soares. Segurança em ambientes corporativos. Florianópolis: VisualBooks, 2003.
FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003.
