Fundamentos em Auditoria de Sistemas de Informação – Aula 13
Profa Janniele Aparecida Soares Araujo
CSI463 – Segurança e Auditoria de Sistemas
2
Fundamentos em Auditoria de SI
3
Fundamentos em Auditoria de SI
● Importância● Altos investimentos das organizações em sistemas computadorizados● Necessidade de garantir a segurança dos computadores e seus
sistemas● Garantia do alcance da qualidade dos sistemas computadorizados● Auxiliar a organização a avaliar e validar o ciclo administrativo
4
Fundamentos em Auditoria de SI
● Dificuldades encontradas pela Auditoria de Sistemas na Empresa● Defasagem tecnológica● Falta de bons profissionais● Falta de cultura da empresa● Tecnologia variada e abrangente
5
Fundamentos em Auditoria de SI
● Necessidades na área de auditoria de sistemas● Fortalecimento das técnicas de auditoria de sistemas para atuação
em ambientes computacionais complexos● Criação de metodologias de auditoria de sistemas● Estudo do custo / benefício● Ampliação do campo de atuação da auditoria de sistemas
6
Fundamentos em Auditoria de SI
● Objetivos● Promover a adequação, revisão avaliação e recomendações para o
aprimoramento dos controles internos nos SI● Avaliar a utilização dos recursos humanos, materiais e tecnológicos
envolvidos no processamento dos mesmos● Atua em todos os sistemas das organização nos níveis operacional,
tático ou estratégico
7
Fundamentos em Auditoria de SI
● Tipos de auditoria● Auditoria durante o desenvolvimento de sistemas● Auditoria de sistemas de produção● Auditoria no ambiente tecnológico● Auditoria em eventos específicos
8
Tipos de Auditoria
● Auditoria durante o desenvolvimento de sistemas● Auditar todo o processo de construção de SI, desde a fase de
levantamento de requisitos até a sua implantação, bem como o próprio processo ou metodologia de desenvolvimento
9
Tipos de Auditoria
● Auditoria de sistemas de produção● Preocupa-se com os procedimentos e resultados dos sistemas já
implantados, sua segurança, integridade e tolerância à falhas
10
Tipos de Auditoria
● Auditoria no ambiente tecnológico● Compreende a análise do ambiente de informática em termos de
estrutura organizacional, contratos, normas técnicas, custos, nível de utilização de equipamentos e planos de segurança e de contingência
11
Tipos de Auditoria
● Auditoria em eventos específicos● Compreende a análise das causas, consequências e ações corretivas
cabíveis em eventos não cobertos pelas auditorias anteriores
12
Metodologia de Auditoria de SI
● Planejamento e controle do projeto de auditoria de SI● Estabelece-se o planejamento inicial das ações e recursos necessários● Leva-se em consideração
● A abrangência das ações● O enfoque que se deseja● A quantidade de sistemas a serem auditados
13
Metodologia de Auditoria de SI
● Planejamento e controle do projeto de auditoria de SI● Grupo 1: definem procedimentos a serem utilizados, escolhem
alternativas para realização dos trabalhos, acompanham e controlam os resultados obtidos e outras atividades gerenciais● Gerente de auditoria, gerente de área usuária dos SI, gerente ou responsável
técnico do sistema e gerente da área de informática
14
Metodologia de Auditoria de SI
● Planejamento e controle do projeto de auditoria de SI● Grupo 2: responsável por realizar a auditoria propriamente dita
● Auditores e técnicos da área de informática e usuária● Ferramentas e métodos de planejamento (PMBoK devem ser utilizados para o
planejamento das atividades)
15
Metodologia de Auditoria de SI
● Levantamento do Sistema de Informação a ser auditado● Identificar claramente o escopo e determinar a abrangência da
auditoria● Iniciar o processo de levantamento das informações relevantes sobre
o sistema
16
Metodologia de Auditoria de SI
● Levantamento do Sistema de Informação a ser auditado● Técnicas de entrevista e análise de documentação existentes
colocando as informações de forma gráfica ou descritiva● Diagrama de fluxo de dados, modelo entidade relacionamento, dicionário de dados,
casos de uso, diagramas de classe e sequência, diagramas de integração de sistemas explicam o comportamento do sistema e de seus relacionamentos
17
Metodologia de Auditoria de SI
● Identificação e inventário dos pontos de controle● É uma situação do ambiente computacional considerada pelo auditor
como sendo de interesse para validação e avaliação● Podem ser encontrados nos documentos de entrada, relatórios de
saída, telas, arquivos, banco de dados, pontos de integração e demais elementos relevantes para o sistema
18
Metodologia de Auditoria de SI
● Identificação e inventário dos pontos de controle● Cada ponto de controle deve ser relacionado, e seus objetivos,
descritos em termos de controle interno, assim como as funções que eles exercem no sistema como um todo
● Devem ser identificados os seus parâmetros, suas fraquezas e técnicas de auditorias mais adequadas à sua validação
● O resultado deste levantamento deve ser encaminhado ao grupo de coordenação para uma validação de pertinência e eventual triagem, para que possamos assegurar que o foco da auditora será atingido
19
Metodologia de Auditoria de SI
● Priorização e seleção dos pontos de controle do sistema auditado● Grau de risco existente no ponto
● Verificação dos prejuízos que poderão ser acarretados pelo sistema a curto, médio e longo prazo, prevê com antecedência quais ameaças prováveis de um ponto
● Existências de ameaças● Podemos auditar primeiramente os pontos que se encontram sob forte ameaça, e
depois, aqueles sob menos pressão
● Disponibilidade de recursos● Escolha dos pontos que possam ser auditados com os recursos destinados
20
Metodologia de Auditoria de SI
● Avaliação dos pontos de controle● Realizar testes de validação, segundo as especificações e parâmetros
determinados nas etapas anteriores● Aplicar técnicas de auditoria que evidenciem falhas ou fraquezas do
controle interno● Para cada objetivo e característica do ponto de controle existe uma técnica de
auditoria e ferramenta mais eficiente
21
Metodologia de Auditoria de SI
● Conclusão da auditoria● Elaboração de relatório de auditoria contendo o resultado
encontrado● Relatório deve conter o diagnóstico da situação atual dos pontos de
controle e, caso existam, as fraquezas do controle interno segundo as especificações determinadas nas etapas anteriores● Um ponto de controle com fraqueza é transformado em um Ponto de Auditoria,
sendo necessário apontar no relatório de auditoria recomendações para solução ou mitigação dessa fraqueza
22
Metodologia de Auditoria de SI
● Acompanhamento da auditoria (follow-up)● Deve ser efetuado até que todas as recomendações tenham sido
executadas e as fraquezas tenham sido eliminadas ou atinjam um nível tolerável pela organização
23
Conceitos de auditoria de tecnologia de Informação
● Atividades de auditoria de tecnologia de informação● Além de tentar utilizar os recursos de informática para auditar o
próprio computador, também visam automatizar todos os processos de auditora
● Auditoria de TI x Auditoria de controles por meio de TI● Verificação controles de acesso para alteração da base de dados de
um ERP x Verificação de acessos para testes de segregação de função● Mais realizados por externas e auditorias especializadas x Mais
realizado por auditorias internas
24
Auditoria de Sistemas de Informação
● Abordagem de auditoria● Dependendo da sofisticação do sistema computadorizado, em que se
supõe que o auditor seja operativo, e considerando as características do auditor de tecnologia de informações, este pode usar:● Abordagem ao redor do computador● Abordagem através do computador● Abordagem com o computador
25
Abordagens de Auditoria de SI
● Abordagem ao redor do computador● Auditoria de documentos fonte com as funções de entradas
subjacentes e dominando as funções de saída, que se encontram em formatos de linguagem legível por leigos em informática
● Pouca ou nenhuma atenção é prestada às funções de processamento● Gerar “query”, rastrear dados entrados no sistema, sem tocar nos
programas propriamente ditos
26
Abordagens de Auditoria de SI
● Vantagens da abordagem ao redor do computador● Não exige conhecimento extenso de tecnologia de informação para
que o auditor possa operar convenientemente este método● Sua aplicação envolve custos baixos e diretos
27
Abordagens de Auditoria de SI
● Desvantagens da abordagem ao redor do computador● Restrição operacional quanto ao conhecimento de como os dados são
atualizados● A eficiência operacional de auditoria pode ser avaliada com maior
dificuldade● O sistema pode ser enquadrado em limites de grande risco, quando
houver uma evolução e os documentos fonte saírem de seu controle● Não podemos afirmar que tal abordagem de auditoria tenha sido
representativa e global de toda tecnologia de informação daquela organização
28
Abordagens de Auditoria de SI
● Abordagem através do computador● Envolve mais do que mera confrontação de documentos fonte com os
resultados esperados● Alerta quanto ao manuseio de dados, aprovação e registro de
transações comerciais sem deixar evidências documentais razoáveis através dos controles de programas construídos junto aos sistemas
● Uso de test data, processamento de um dispositivo capaz de simular todas as transações possíveis
29
Abordagens de Auditoria de SI
● Vantagens da abordagem através do computador● Capacita melhor o auditor a respeito de habilidade profissional no que
tange a conhecimento de processamento eletrônico de dados● Capacita o auditor a verificar com maior frequência as áreas que
necessitam de revisão constante
30
Abordagens de Auditoria de SI
● Desvantagens da abordagem através do computador● Se a operação for efetuada incorretamente, pode levar a perdas
incalculáveis● O uso da abordagem pode ser caro (treinamento de auditores,
aquisição e manutenção dos pacotes de software)● Técnicas manuais podem ser necessárias como complemento● Há risco de que os pacotes possam estar contaminados pelo uso
frequente na auditoria organizacional
31
Abordagens de Auditoria de SI
● Abordagem com o computador● Firmas de auditoria e pesquisadores da área contábil propuseram um
meio de auditar as tecnologias de informação com a maior perfeição possível, utilizando a abordagem com o computador completamente assistida
32
Abordagens de Auditoria de SI
● Abordagem com o computador● Capacidades lógicas e aritméticas do computador para verificar se os
cálculos das transações econômicas e financeiras ou aqueles que dizem respeito às responsabilidades
● Capacidades de cálculos estatísticos e de geração de amostras que facilitam confirmações de saldos necessárias para aferir a integridade de dados
● Capacidades de edição e classificação do sistema computadorizado● Capacidades matemáticas do computador para analisar e fornecer
listas de amostras de auditoria ou confirmação dos resultados de auditoria executada manualmente
33
Abordagens de Auditoria de SI
● Abordagem com o computador● Disponibilidade e uso vantajoso de
● Capacidade de auditoria de aplicar Técnicas de Auditoria Assistida por Computador (TAAC)
● Possibilidades de desenvolver programas específicos para serem usados pelo auditor quando da necessidade de evidenciar uma opinião sobre o processo contábil
● Ganhar tempo sobre os passos aplicados com o uso de pacote generalizado de auditoria de tecnologia de informação
34
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Consignações no SIAPE● Controles e procedimentos relacionados à consignação de valores na
folha de pagamento, apurando as falhas que propiciaram● O débito de valores em montante superior às margens consignáveis● A consignação de despesas de natureza não prevista nos normativos● O acesso ilimitado das consignatárias ao sistema● A exclusão fraudulenta de valores consignados nas folhas dos servidores● A eficiência das medidas eventualmente implementadas pela Administração para
sanar as irregularidades (Acórdão no 3.197/2005 – 1a Câmara – TCU).
35
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Consignações no SIAPE● Siape: Sistema de Recursos Humanos que processa e controla a folha
de pagamento dos servidores, aposentados e pensionistas civis do Poder Executivo
● Lei no 8.112/90: Art. 45. Salvo por imposição legal, ou mandado judicial, nenhum desconto incidirá sobre a remuneração ou provento. Parágrafo único. Mediante autorização do servidor, poderá haver consignação em folha de pagamento a favor de terceiros, a critério da administração e com reposição de custos, na forma definida em regulamento. Regulamentação (à época): Decreto no 4.961/2004.
36
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Consignações no SIAPE● Sistemática de consignações em folha de pagamento: consiste na
prestação de serviços aos servidores, aposentados e pensionistas civis do Poder Executivo por entidades devidamente cadastradas e autorizadas a efetuarem descontos na folha de pagamento
● Atores: consignado, consignatário e consignante● Margem consignável: valor que se pode descontar facultativamente
da remuneração do consignado, observado os limites definidos em legislação
● Rubricas: linhas do contracheque associadas a valores monetários
37
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Planejamento e metodologia adotada● Na fase de planejamento, foram formuladas 4 questões de auditoria
que abrangeram as quatro perguntas constantes do Acórdão no 3.197/2005 – 1a Câmara – TCU
● Avaliação da sistemática de consignações do Siape por meio de mapeamento do processo
● Necessidade de aplicação de testes de sistemas, o que foi feito no ambiente de homologação do Siape e do Siapenet, nas dependências do Serpro
38
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Consignações no SIAPE● A partir da identificação de falhas na sistemática de consignações,
foram requisitados processos que confirmaram a ocorrência de irregularidades.
● Milhares de servidores, aposentados e pensionistas estavam sendo lesados devido a essas falhas
● Principal conclusão: não há controles que permitam afirmar, categoricamente, que o Parágrafo Único do Artigo 45 da Lei 8.112/90 está sendo respeitado, isto é, que o desconto se dá mediante autorização do servidor
39
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Achados da Auditoria● Acesso ilimitado das consignatárias ao sistema
● Falta de controles no início do fluxo das consignações● Ocorrência de inclusão de consignações sem autorização do consignado● Reinclusão indevida de consignações já excluídas ou finalizadas● Ausência de critérios para punição de consignatário que age de modo irregular ou
ilegal● Inadequação da redação do Decreto no 4.961/04 em relação à exclusão de
consignações não autorizadas
40
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Achados da Auditoria● Débito de valores em montante superior às margens consignáveis
● Testes de sistema indicaram que o Siape faz as críticas relativas às regras de margens consignáveis definidas no Decreto 4.961/04, que regula a matéria
● Inclusão de consignações facultativas em rubricas de consignações compulsórias
41
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Achados da Auditoria● Consignação de despesas de natureza não prevista nos normativos
● Existência de rubrica de consignação não prevista legalmente● Inclusão de despesas não legalmente previstas em rubricas de mensalidades
● Exclusão fraudulenta de valores consignados● Exclusão indevida de consignações
42
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Achados da Auditoria● Outros achados
● Alteração de valores a serem repassados aos consignatários● Não cobrança de taxa de utilização de sistema para rubrica de consignação
facultativa● Ausência de instrumento contratual entre os consignatários e o Órgão Central do
Sistema de Pessoal Civil da Administração Federal (Sipec)
43
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Determinações● Foram propostas 21 determinações e 11 recomendações à Secretaria
de Recursos Humanos do Ministério do Planejamento, Orçamento e Gestão (SRH/MP)
● Objetivo de adequar a sistemática de consignações à legislação e de melhorar o controle e a transparência da sistemática de consignações do Siape
44
Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)
● Benefícios efetivos● Revogação do Decreto no 4.961/2004, que foi substituído pelo
Decreto no 6.386/2008, o primeiro previa que, caso ocorresse uma consignação indevida, o consignado deveria comprovar a irregularidade junto à consignatária para cancelá-la
● Interrupção de cobrança de taxa ilegal. Benefício financeiro estimado: R$ 2.482.056,72
● Não cobrança de taxa de utilização. Benefício financeiro estimado: R$ 59.108,43
45
Artigo
● A aplicação de auditoria de sistemas e o apoio da gestão da informação para a melhoria do uso de tecnologia de informação nas organizações: um estudo de caso em uma instituição de arrecadação tributária.● Dê sua opinião sobre o artigo.● O artigo apresenta uma auditoria efetiva para o problema? Foram
alcançados bons resultados?● Os autores levantaram os controles necessários? Vocês identificariam
outros?
46
Bibliografia básica
● IMONIANA, Joshua Onome. Auditoria de sistemas de informação. 2.ed./3.ed São Paulo: Atlas, 2008/2016.
● LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008.
● JÚNIOR, Antônio Martins. Auditoria de Sistemas Tribunal de Contas da União. Secretaria da Fiscalização de Tecnologia da Informação, 2009.