universidade candido mendes pÓs-graduaÇÃo … · de acordo com lopes de sá (1998) ... também...
TRANSCRIPT
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
INSTITUTO A VEZ DO MESTRE
A IMPORTÂNCIA DA AUDITORIA DE SISTEMAS COMO
FORMA DE GARANTIR A CONTINUIDADE DA
ORGANIZAÇÃO
Por: Tereza Raquel de Almeida Leonardo Borges
Orientador
Prof. Vilson Sérgio de Carvalho
Rio de Janeiro
2008
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
INSTITUTO A VEZ DO MESTRE
A IMPORTÂNCIA DA AUDITORIA DE SISTEMAS COMO
FORMA DE GARANTIR A CONTINUIDADE DA
ORGANIZAÇÃO
Apresentação de monografia à Universidade
Cândido Mendes como requisito parcial para
obtenção do grau de especialista em Auditoria e
Controladoria.
Por: . Tereza Raquel de Almeida Leonardo Borges.
3
AGRADECIMENTOS
Agradeço a Deus por todas as
oportunidades, possibilidades e
realizações que ele sempre me
concedeu.
4
DEDICATÓRIA
Dedico este trabalho a meus familiares,
por estarem sempre presente e
participando de minhas conquistas, meus
amigos de trabalho, por toda a ajuda
empenhada, aos professores pela
dedicação em especial o professor
orientador Vilson Sérgio.
5
RESUMO
Este estudo pretende salientar a necessidade da Auditoria de Sistemas
nas organizações, sua importância e contribuição afim de conscientizar,
organizar e estabelecer os parâmetros que podem levar as empresas a serem
competitivas e seguras em suas tomadas de decisão. Os conceitos aqui
apresentados, tem a finalidade de demonstrar a necessidade dos controles nas
organizações. O presente estudo foi realizado através de pesquisas aos
autores consagrados nas áreas de auditoria e contabilidade.
6
METODOLOGIA
A metodologia utilizada neste estudo, baseia-se em consultas e
pesquisas a livros de consagrados autores, onde se destacam: Imoniana,
Joshua Onome – Auditoria de Sistemas de Informação; Schmidt, Paulo –
Santos, José Luiz dos – Arima, Carlos Hideo – Fundamentos de Auditoria de
Sistemas; Sá, Antônio Lopes de entre outros.
7
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I
AUDITORIA 10
CAPÍTULO II
CONTROLES 19
CAPÍTULO III
AUDITORIA DE SISTEMAS E A EMPRESA 27
CONCLUSÃO 47
BIBLIOGRAFIA 49
WEBGRAFIA 50
ÍNDICE 51
8
INTRODUÇÃO
O mundo globalizado transforma a vida empresarial a todo momento.
Não pode-se mais entender uma organização que não tenha como seu
objetivo, estar entre as maiores, melhores e excelentes empresas para
negociar. Enquanto muitas empresas já trilham por estes caminhos, outra
tentam se organizar e entrar nesse mercado competitivo, mutante e
globalizado. Concorrência, altos impostos, falta de preparo dos gestores, falta
de planejamento, funcionários desqualificados, ex-colaboradores insatisfeitos,
vários são os fatores que levam muitas empresas a fecharem as portas e se
retirar do mundo dos negócios prematuramente. E se esses eventos
independem da organização? E se simplesmente a empresa “sofre” algum
grande abalo, um atentado terrorista, por exemplo e é obrigada a encerrar
suas atividades?
Para citar apenas um exemplo, entre muitos, nos Estados Unidos da
América, houve uma grande catástrofe natural, o furacão Katrina, a cidade de
Nova Orleans foi totalmente ou quase totalmente arrasada em agosto de 2005.
Quantas empresas foram obrigadas a encerrar suas atividades? Quantos
projetos não puderam ser implementados? Quantos desempregados? Por
outro lado, muitas empresas nesse mesmo evento, fisicamente foram
destruídas, mas puderam continuar seus negócios quase que normalmente, se
assim pudermos avaliar, em face aos terríveis acontecimentos. Muitos gestores
prevenidos, pensaram nessas possibilidades e em outras que podem
acontecer a qualquer momento, prejudicando a permanência dos negócios.
O investimento em tecnologia somente, não garante a continuidade do
negócio, deve-se pensar sempre no potencial humano, nas mudanças internas
9
e externas, no mercado consumidor, em tudo e qualquer coisa que pode afetar
a “saúde” da empresa.
A auditoria de sistemas deve sempre de acordo com as normas, atuar
dentro da realidade da organização, identificando os pontos sensíveis à falhas,
antes mesmo que esses aconteçam. Ajudando preventivamente a
organização, identificando os pontos vulneráveis e falhos, se tornando assim,
uma importante ferramento para a empresa. A auditoria de sistemas, poderá
ser um dos principais fatores que garantirão a continuidade da empresa, aliado
a tecnologia e o capital humano, etc.
Neste estudo, vamos procurar identificar os pontos sensíveis que
podem corroborar para que acontecimentos imprevisto levem as organizações
a algum tipo de prejuízo, prejuízo esse, que pode ser apenas de âmbito
material e até mesmo definitivo para a vida organizacional.
Vamos estudar os efeitos e a importância da auditoria de sistemas na
organização.
No capítulo I são apresentados os conceitos e a história da auditoria, o
papel do auditor os tipo de auditorias e o conceito e objetivos da auditoria de
sistemas.
No capítulo II o foco são os controles, como o rigor em realiza-los torna
a vida da organização mais eficiente e segura.
O capítulo III apresenta a auditoria dentro da empresa, o surgimento
da NBR ISO/IEC 17799 e o conceito e a abrangência do Cobit. Os cuidados
em se adquirir novos softwares para a organização e a vital importância em se
arquitetar um plano de contingência para momentos críticos.
A conclusão apresenta a importância das organizações a se
questionarem, pensarem que se em eventuais adversidades, estariam seguras.
10
CAPÍTULO I
AUDITORIA
1.1 - Conceito
Segundo Aurélio Buarque de Holanda Ferreira (2008), “Auditoria”
significa:
“1 – Cargo de auditor.
2 – Lugar onde ele exerce suas funções.
3 – Exame de operações financeiras ou registros
contábeis, visando determinar sua correção ou
legalidade.”
A palavra auditoria é originária do latim, vem de “Audire”, que significa
ouvir.
Podemos então, conceituar auditoria como: técnica de exames e
certificação de informações, sendo elas, contábil-financeira, trabalhista,
tecnologia da informação, entre outras.
A auditoria auxilia a organização a alcançar seus objetivos através de
uma abordagem sistemática e disciplinada para a avaliação e melhoria da
eficácia dos processos de gerenciamento de risco, controle e governança
corporativa.
Ao longo dos tempos a auditoria passou a ser percebida com uma
importante ferramenta de gestão, possibilitando aos administradores um maior
controle e segurança nas informações. A auditoria, muitas vezes, teve o status
11
de punitiva, de ferramenta destinada a localizar erros, esse pensamento já está
defasado, pois entendemos a auditoria hoje em dia como aliada, parceira das
organizações, um instrumento de apoio e prevenção.
1.2 – História da Auditoria
É difícil determinar uma data ou período onde começa a história da
auditoria, pois toda pessoa com a função de verificar a legitimidade dos fatos
econômicos ou financeiros, e que posteriormente prestava contas a um
superior, pode ser considerado auditor.
Em Mateus, 25, 14-24, na parábola dos dez talentos, temos um relato
de auditoria, nos versículos 19 a 22, os funcionários tinham que relatar ao
senhor como seus bens foram aplicados. Mostrando desta forma mais um
exemplo de auditoria.
A importância da auditoria, é reconhecida desde a antiga Suméria.
Existem relatos de práticas de auditoria nas províncias romanas,
documentadas nas cartas de Trajano (97 – 117 d.C), escritas por Plínio – o
jovem – (61 – 112 d.C). As cartas de Plínio, revelam que com um império tão
vasto, poderoso e culto, as práticas de auditoria já eram um eficiente
instrumento, além de uma escrita contábil evoluída e considerada.
Exemplos não faltam, ao longo a história, os imperadores romanos, por
exemplo, tinham funcionários que eram encarregados de supervisionar as
operações financeiras de seus administradores provinciais e lhes prestar
contas verbalmente.
No século III, os barões franceses tinham que realizar leitura pública das
contas de seus domínios, perante funcionários designados pela Coroa.
12
O rei Eduardo I, tinha seus funcionários com as mesmas atribuições dos
romanos. Ele próprio mandou verificar as contas do testamento de sua falecida
esposa. Um dos primeiros documentos de auditoria, foram os relatórios
elaborados por esses auditores, que foi denominado “probatur sobre as
contas”.
De acordo com Lopes de Sá (1998)
“Existem provas arqueológicas de inspeções e
verificações de registros realizadas entre a família real de
Urukagina e o templo sacerdotal sumeriano e que datam
de mais de 4.500 anos antes de Cristo.
Também antes de Cristo existem normas de
auditoria inseridas como textos do livro Arthasastra, de
Kautilya, na Índia.
No ano 977 d.C., na obra de Abu-Abdallah Al-
Khawarismi, denominada Mafatih Al-Ulum (As chaves da
ciência), são feitas referências sobre práticas de revisão
que o autor apresenta como tradicionais, no reinado de
Eduardo I”. (p.21)
As auditorias são de vital importância, uma vez que os detentores do
capital, muitas vezes precisam delegar a outros a administração de seus bens
e para isto, contratam auditorias afim de certificar-se da veracidade das
informações prestadas.
Ainda alguns continuam com a velha máxima que auditoria apenas
serve para confrontar a escrita com as provas do fato, ou ainda, que trata-se
de uma atividade desvendadora de fraudes e ilícitos, mas sabemos que o seu
sentido é muito mais abrangente, de não somente verificar e atestar o
13
cumprimento das diretrizes da organização, fatos ocorridos, mas também, com
a nobre finalidade de orientar a mesma na melhor condução de seus negócios,
de modo a ajudar a sua manutenção e continuidade.
1.3 – O Papel do Auditor
Segundo Sá (1998)
“O termo auditor, no latim, como substantivo, tinha o
sentido apenas de significar aquele que ouve, ou ouvinte,
nada podendo configurar com o que viria ser adotado
para representar aquele que daria opinião sobre algo que
comprovou ser verdade ou não.” (p. 21)
Na Europa, na idade média, já existiam associações de profissionais
com competência em auditorias, com destaque:
ü 1310 – os Conselhos Londrinos;
ü 1581 – o Collegio dei Raxonati (cidade de Veneza);
ü 1640 – o Tribunal de Contas (Paris);
ü 1658 – a Academia dei Ragionieri (cidades de Milão e Bolonha).
Com a Revolução Industrial (século XVIII), as exigências contábeis se
intensificaram. As grandes empresas começaram a surgir. Os investidores, não
participavam diretamente da condução dos negócios, mas precisavam de
pareceres fidedignos e imparciais de todas as demonstrações financeiras, o
papel do auditor passou a ser primordial e de suma importância.
O auditor interno ou externo deverá ser independente em relação aos
assuntos do trabalho a realizar. Deverá se reportar a alta administração, com
suas avaliações, conclusões e recomendações. O auditor atua com descrição,
isenção e integridade, pois suas avaliações poderão afetar o andamento da
14
organização, mudanças e punições em caso de fraudes ou ilícitos apurados
pelo mesmo.
A figura do auditor, passou a ser mais percebida, após escândalos, por
exemplo, Enron. Sua isenção, transparência, ética, responsabilidade,
descrição, etc, que sempre foram atributos importantes e esperados, passaram
a ser mais observados e cobrados. O Instituto dos Auditores Internos do Brasil
(Audibra) e o Instituto Brasileiro de Auditores Independentes (Ibracon) adotam
alguns princípios básicos para a profissão de Auditor:
ü Honestidade
ü Objetividade
ü Diligência
ü Lealdade
ü Independência profissional
ü Independência de atitudes e de decisões
ü Eficiência técnica
ü Integridade
ü Sigilo e discrição
ü Imparcialidade
ü Lealdade de classe
1.4 – Tipos de Auditoria
ü Auditoria das Demonstrações Contábeis:
Este tipo de auditoria tem por objetivo emitir parecer sobre as
demonstrações contábeis da organização em determinada data.
15
ü Auditoria Empresarial:
Possui a característica de avaliar a eficácia e eficiência das atividades
operacionais e dos processos administrativos, visando o cumprimento
contínuo da eficiência e eficácia operacional contribuindo com soluções.
ü Compliance Audit ou Auditoria de Cumprimento Normativo:
O Compliance faz a verificação do cumprimento de normas e
procedimentos implantados pela organização e também observa as leis
regulamentadas pelos órgãos reguladores das atividades.
ü Auditoria de Gestão:
Analisa planos e diretrizes das empresas, objetivando mensurar a
eficiência da gestão das operações e sua consistência com os planos e
metas provados.
ü Auditoria Fiscal e Tributária:
Faz a análise da eficiência e eficácia dos procedimentos adotados para
a apuração, controle e pagamento dos tributos que incidem nas
atividades comerciais e operacionais da empresa.
ü Auditoria Ambiental:
Avalia os processos operacionais e produtivos das empresas visando a
identificação de danos ao meio ambiente e qualificação de
contingências e preparação da empresa para receber o certificado
I.S.O. 14000 – Meio Ambiente.
16
ü Auditoria nos Processos de Compras e Vendas de Empresas e
Restruturações Societárias – Incorporações, Fusões, Cisões e
Formação de Joint Venture:
Auditoria das demonstrações contábeis das empresas envolvidas,
assessoria na avaliação das empresas objetos de negociação
societária, identificação de contingências fiscais, trabalhistas,
ambientais, cíveis, etc nas empresas envolvidas.
ü Auditoria Externa:
Tem por objetivo a emissão de parecer sobre a adequação das
demonstrações contábeis consoante os Princípios Fundamentais e às
Normas Brasileiras de Contabilidade.
ü Auditoria Interna:
Atividade de avaliação independente dentro da organização, para a
revisão da contabilidade, finanças e outras operações, como base para
servir à administração. Trata-se de um controle administrativo, que
mede e avalia a eficiência de todos os controles.
ü Auditoria Governamental:
É um conjunto de técnicas que visa avaliar a gestão pública, pelos
processos e resultados gerenciais, e a aplicação de recursos públicos
por entidades de direito público e privado, mediante a confrontação
entre uma situação encontrada com determinado critério técnico,
operacional ou legal. Neste contexto temos: auditoria governamental de
gestão, programas, operacional, contábil, sistema e especial.
17
1.5 – Auditoria de Sistemas
A auditoria de sistemas tem por finalidade examinar a qualidade do
sistema de computação de dados e dos controles existentes no ambiente de
tecnologia de informação, otimizando a utilização de recursos de computação
de dados, minimizar os riscos que envolvam os processos e garantir a geração
de informações e dados confiáveis, em tempo, ao menor custo possível.
1.5.1 – Objetivos da Auditoria de Sistemas
A auditoria de sistemas estará presente em todos os sistemas de
informação da empresa. Atuando em todas as áreas, avaliando se os planos
anteriormente estabelecidos, estão sendo seguidos e sua eficácia e relevância.
Todo o sistema de informação da organização, estará sujeito a avaliação da
auditoria de sistemas.
A auditoria de sistemas promove a adequação, revisão, avaliação e
recomendação para o aprimoramento dos controles internos nos sistemas de
informação da empresa.
Segundo Schmidt, Santos e Arima (2006)
“A auditoria de sistemas deve atuar em qualquer sistema
de informação da empresa, quer no nível estratégico,
quer no gerencial, quer no operacional. Podem-se
agrupar os trabalhos a serem desenvolvidos para
alcançar os objetivos anteriormente definidos em quatro
linhas de atuação.
18
ü Auditoria de sistemas em produção: abrange os
procedimentos e resultados dos sistemas de
informação já implantados (características
preventiva, detectiva e corretiva);
ü Auditoria durante o desenvolvimento de sistemas:
abrange todo processo de construção de sistemas
de informação desde a fase de levantamento do
sistema a ser informatizado até o teste e
implantação (característica preventiva);
ü Auditoria do ambiente de tecnologia da informação:
abrange a análise do ambiente de informática em
termos de estrutura orgânica, contratos de software
e hardware, normas técnicas e operacionais,
custos, nível de utilização dos equipamentos e
planos de segurança e de contingência;
ü Auditoria de eventos específicos: abrange a
análise da causa, da conseqüência e da ação
corretiva cabível, de eventos localizados que não
se encontram sob auditoria, detectados por outros
órgãos e levados ao seu conhecimento
(característica corretiva)”.(p.22)
19
CAPÍTULO II
CONTROLES
A Auditoria de Sistemas aliada a Controles Internos consistentes tem
por finalidade proteger os bens da organização; checar se os ativos estão
seguros; determinar se os recursos estão sendo usados adequadamente;
conferir a exatidão e fidelidade dos dados; garantir a obediência às normas e
padrões da organização; observar se a legislação esta sendo cumprida; revisar
a integridade, confiabilidade e eficiência dos sistemas.
2.1 – Sistemas
Imoniana 2008, conceitua sistemas:
“O sistema é um conjunto de elementos inter-
relacionados com um objetivo: produzir relatórios que
nortearão a tomada de decisões gerenciais. Neste
percurso, pode-se identificar o processo que transforma
dados de entrada, agregados aos comandos gerenciais,
em saídas. Assim, o feedback do sistema faz com que, no
meio da manutenção do ciclo operacional, sejam ativadas
novas estratégias empresariais visando à geração de
informações qualitativas ou quantitativas para suportar o
alcance do sucesso absoluto”.(p.16)
20
2.2 – Controles Internos
Segundo o Conselho Federal de Contabilidade – Resolução nº 820 que
aprova a NBC T11 – item 11.2.5.1):
“Controle Interno compreende o plano de
organização e o conjunto integrado de métodos e
procedimentos adotados pela entidade na proteção de
seu patrimônio, promoção de confiabilidade e
tempestividade dos seus registros e demonstrações
contábeis, e da sua eficácia operacional.”
Do original em inglês: (IFAC)
“Sistema de controle interno significa todas as
políticas e procedimentos (controle interno) adotados pela
administração de uma entidade para auxiliá-la a atingir os
objetivos administrativos de segurança, e tanto quanto
possível à conduta eficiente e ordenada de seus
negócios, incluindo a obediência às políticas gerenciais de
salvaguarda dos ativos , de prevenção e detecção de
fraudes e erros, a precisão e integridade dos registros
contábeis e a oportuna preparação de demonstrações
financeiras fidedignas.” (p.268)
Atividades de alinhamento periódico da estrutura de controles da
organização em relação aos riscos (internos e externos) inerentes às suas
atividades. Deve ser exercida através da análise do custo benefício desta
21
estrutura de controles, de forma a evitar situações de excesso ou insuficiência
de controles.
Sabemos que a informatização acelerou imensamente os processos
existentes dentro as organizações, tornando os processos mais ágeis e
eficientes e muitas vezes frágeis que sempre poderão deixar a organização a
merce de falhas, mau uso dos recursos, erros e situações imprevistas. Os
riscos podem comprometer a integridade da empresa, interromper ou atrasar
os processos.
Controles Internos eficientes, precisos, consistentes e aderentes
deverão estar incorporados a cultura de toda a empresa. O envolvimento do
ambiente empresarial deverá ser total desde a alta administração abrangendo
até aos níveis operacionais. Devem sempre ser avaliados e modificados para
melhor adequação.
Para Imoniana (2008)
“O conceito de Controle Intermo em um sistema
de informação, conforme declaração do Instituto
Americano de Contadores Públicos, significa planos
organizacionais e coordenação de um conjunto de
métodos e medidas adotado numa empresa, a fim de
salvaguardar o ativo, verificar a exatidão e veracidade de
registros contábeis, promover a efetividade de sistema de
informação contábil e eficiência operacional, assim como
fomentar uma grande adesão às políticas da
organização”. (p. 40)
2.2.1 - Controles Preventivos
22
Executados no início do processo. Previnem o acontecimento de erros
ou irregularidades e minimizam os riscos na fonte. Controle pró-ativo.
2.2.2 – Controles Detectivos
Executados ao longo do processo. Detectam erros que são difíceis de
definir ou prever. Controle reativo.
2.2.3 – Controles Automatizados
Controles executados por sistemas automatizados, não dependendo
de julgamentos pessoais. Sua consistência, precisão e tempestividade, são
garantidos por um sistema seguro e confiável.
2.2.4 – Controles Manuais
Controles executados por pessoas.
2.3 - Paradigmas de Controles Internos Consistentes e
Inconsistentes
Controles Internos Consistentes Controles Internos Inconsistentes
Reduz potencial para fraudes Aumenta a exposição a fraudes
Conquista a confiança dos investidores
Impacto negativo nos valores das ações
Observa leis e regulamentações Publicidade desfavorável
Reduz o risco de perda de recursos Perda de ativos
Otimiza decisões de negócio com maior qualidade
Informações financeiras imprecisas
23
Identifica operações ineficientes Reduz risco de retrabalho
2.4 – Controles Internos e Auditorias
Todo bom trabalho de auditoria deverá ser baseado nos controles
internos, quanto mais consistentes e confiáveis forem, mais eficiente e rápidos
serão os resultados.
O relacionamento entre controle interno e auditoria deverá ocorrer
desde a implantação dos controles até a finalização de todo processo. De
acordo com a natureza das especificações dos itens da definição de controle
interno e para permitir melhor identificação dos seus parâmetros. A
classificação será em dois subconjuntos: controle interno contábil e controle
interno administrativo, os dois de relevante importância para a organização. A
divisão em dois subgrupos e importante para que sejam delimitadas as
responsabilidades e os objetivos na área entre auditoria interna e externa.
A auditoria externa atuará com mais ênfase no controle interno
contábil, por outro lado a auditoria interna se preocupará mais com o controle
interno administrativo. Mas as áreas poderão relacionar-se e realizar exames
sob outras óticas para fins de complementação dos trabalhos de auditoria
como um todo.
A área de auditoria deve efetuar a revisão e a avaliação do controle
interno, que consiste em uma combinação de procedimentos manuais e
programados
O auditor de sistemas será responsável pela integridade dos controles
internos, este deverá acompanhar todo o processo e avaliar se os controles
estão sendo eficazes e se os seus benefícios são relevantes.
24
2.5 – Controle Interno Contábil
O controle interno representa em uma organização os procedimentos,
métodos ou rotinas cujos objetivos são proteger os ativos, produzir os dados
contábeis confiáveis e ajudar a a administração da condução ordenada dos
negócios da empresa.
Controle interno contábil é o sistema de conferência, aprovação e
autorização, segregação de funções; controles físicos sobre os ativos; auditoria
interna de uma organização.
2.5.1 – Fidelidade da informação em relação aos dados: verifica se
as saídas das informações de um determinado sistema computadorizado estão
corretas e se são provenientes dos dados que originaram a entrada.
2.5.2 – Segurança física: avalia os recursos materiais e humanos
aplicados ao ambiente de sistemas da informação sobre os seguintes
aspectos:
ü ambiente de processamento de dados, tais como: CPD, fitoteca,
depósito de suprimentos;
ü equipamentos de processamento de dados, como: CPU, unidade de
disco magnético, unidade de fita magnética, terminal, impressoras;
ü suprimentos, tais como: disquetes, discos magnéticos, fita magnética,
formulários contínuos;
ü recursos humanos, como: analistas de sistemas, programadores,
operadores de computador e usuários.
25
2.5.3 – Segurança lógica: avalia o nível de segurança e controle
empregados com recursos tecnológicos nos processos de um determinado
sistema de informação. Tais processos correspondem aos programas de
computador, bem como aos procedimentos mecanizados ou manuais que se
compõem das rotinas operacionais e dos controles do sistema de informação.
2.5.4 – Confidencialidade (privacy): mostra o grau de sigilo que um
determinado sistema de informação consegue manter perante acessos de
terceiros ou pessoas não autorizadas, na obtenção de informações privativas.
2.5.5 – Obediência à legislação em vigor: como o próprio título diz,
observa se a legislação está sendo aplicada e verifica se os processos ou
rotinas de sistemas de informação estão de acordo com o que determina as
leis vigentes no país, Estados, Municípios e entidades externas responsáveis
pelo estabelecimento de normas e procedimentos.
2.6 – Controle Interno Administrativo
O controle interno administrativo é o responsável pelo estabelecimento
do sistema de controle interno, pela verificação de seu cumprimento pelos
colaboradores e por suas modificações, visando adaptá-los às novas
circunstâncias.
2.6.1 – Eficácia: vincula o atendimento adequado dos objetivos e
necessidades da empresa ou organização, utilizando os recursos tecnológicos
de informação, os produtos oferecidos deverão ter condições de atender
adequadamente as necessidades dos usuários.
26
2.6.2 – Eficiência: representa a otimização na aplicação dos recursos
tecnológicos, humanos e materiais, implicando na agilização do seu processo
produtivo, para a geração de resultados corretos, no tempo programado e pelo
custo esperado.
De acordo com Schmidt, Santos e Arima (2006):
“Tanto a eficiência quanto a eficácia estão
intimamente interligadas para formar o seu conjunto, mas
uma não é sinônima da outra. Isto significa que um
sistema de informação pode ser eficiente e eficaz ao
mesmo tempo, bem como pode acontecer de ser eficiente
e não eficaz. Medir a eficiência de um sistema de
informação implica em avaliar o seu processo, como
programas de computador, rotinas e atividades
operacionais e gerenciais, enquanto a eficácia verifica se
o conjunto de resultados atinge os objetivos traçados para
o sistema de informação.” (p.18)
2.6.3 – Obediência às diretrizes da alta administração: refere-se ao
sistema de informação e ao cumprimento das normas e dos procedimentos
determinados pelos diversos setores operacionais e administrativos da
empresa. Trata dos aspectos internos de normatização. Representa a
avaliação da adequação dos processos e resultados do sistema às políticas e
normas estabelecidas pela alta administração.
27
CAPÍTULO III
AUDITORIA DE SISTEMAS E A EMPRESA
3.1 - I S O – International Stardardization Organization
Não é de agora que as pessoas buscam melhorias no sentido de
proteger suas informações mais importantes. As empresas, estão mais do que
nunca preocupadas com as informações, em como proteger, guardar e utilizar
de forma segura. Com o avanço a cada dia, da rede mundial de informações, a
internet, as informações trafegam cada vez mais velozmente e muitas
informações importantes estão “viajando” por diversas partes. Enquanto muitos
preocupam-se em proteger as informações, outros empenham-se em como
acessar, como burlar os sistemas de proteção existentes e utilizar as
informações conseguidas em benefício próprio ou de outros.
Com esforços relacionados com a busca de mecanismos mais eficazes
de salvaguardar as informações, em 2000 tivemos a homologação da Norma
Internacional de Segurança da Informação (ISO/IEC 17799).
Esta norma preocupa-se com a segurança das informações e não
somente com os dados que trafegam pela grande rede ou que estejam dentro
de um sistema computacional.
A norma origina-se do esforço do governo britânico, que em 1987,
através do Departamente of Trade Center criou o Comercial Computer Security
Centre (CCSC), com o objetivo de criar critérios para a avaliação da segurança
e de um código de segurança para os usuários das informações, de uma forma
geral. Em 1989 a primeira versão do código foi publicada e na época foi
28
denominada PD0003 – Código de Gerenciamento de Segurança da
Informação.
Em 1995 o código foi revisado, ampliado e publicado como uma norma
britânica (BS), BS7799-1:1995 (Information Technology – Code of Pratic for
Information Security Management). A norma foi submetida a I.S.O., para sua
homologação, mas foi rejeitada. Nesta mesma época o documento estava
sendo ampliado, somente em novembro de 1997, levada para consulta e
avaliação pública. Em 1998 foi publicado como BS7799-2:1998 (Information
Security Management Systems).
No ano seguinte as normas BS7799-1:1995 e BS7799-2:1998 já eram
adotadas por países como Austrália, África do Sul, República Checa,
Dinamarca, Coréia, Suíça e Nova Zelândia, além da Inglaterra. As BS7799 já
foram traduzidas para várias línguas, podendo destacar o francês, alemão e o
japonês. Neste mesmo ano a primeira parte do documento foi novamente
submetida a I.S.O., para homologação, sobre o mecanismos de “Fast Track”.
Em maio de 2000 houve a homologação da primeira parte da norma BS7799,
em outubro do mesmo ano em reunião o comitê da I.S.O em Tóquio, no
Japão, a norma foi votada e aprovada pela maioria do representantes.
Representantes de países ricos, rejeitaram a norma, por entenderem que a
mesmo possuía aspectos que só se aplicavam a padrões britânicos, a norma
foi novamente avaliada e revisada para padrões internacionais, tais como a
I.S.O.9001 e a I.S.O.14001, anexos foram adicionados.
Após vários estudos e discussões, o importante é perceber que a norma
permitiu a criação de mecanismos de certificação das organizações
semelhantes as já existentes na I.S.O., essa nova certificação afirma que a
organização manipula os seus dados e o dos seus clientes de forma segura,
independente da forma como eles estão armazenados. Possuir este certificado
29
I.S.O/I.E.C. 17799 é um diferencial que está sendo almejado por várias
organizações, pois ao ser certificada, a organização, atesta estar apta a tratar
dados de forma sigilosa e segura. O sigilo e a integridade das informações é o
objeto de desejo de todo o mercado consumidor, que está cada vez mais
preocupado com a segurança das suas informações.
A ABNT (Associação Brasileira de Normas Técnicas) é a responsável
pelo Fórum Nacional de Normalização, em abril de 2001, disponibilizou para
consulta pública o Projeto 21:204.01-010, que deu origem a norma nacional de
segurança da informação: NBR ISO/IEC 17799:2000. A versão final, é uma
tradução literal da norma internacional. Sua homologação em setembro de
2001 e publicação, inclui oficialmente o Brasil no conjunto de países que, de
certa forma, adotam e apóiam o uso da norma de Segurança da Informação
ABNT 2001.
3.1.1 - Os 10 Macros Controles da Norma:
ü Política de Segurança:
Tem por objetivo prover uma orientação e apoio a segurança da
informação de acordo com os requisitos do negócio e com as leis e
regulamentação relevantes.
ü Segurança Organizacional:
O seu objetivo é gerenciar a segurança da informação dentro da
organização.
ü Classificação e Controle dos Ativos da Informação:
30
Alcançar e manter a proteção adequada dos ativos da organização é
seu principal objetivo.
ü Segurança em Pessoas ou Recursos Humanos:
Tem por finalidade assegurar que os funcionários, fornecedores e
terceiros atendam suas responsabilidades e estejam de acordo com os
seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.
ü Segurança Física do Ambiente:
Seu objetivo é prevenir o acesso físico não autorizado, danos e
interferências com as instalações e informações da organização.
ü Gerenciamento de Operações e Comunicações:
Objetiva-se por garantir a operação segura e correta dos recursos de
processamento da informação.
ü Controle de Acesso:
O objetivo é controlar o acesso à informação.
ü Aquisição, Desenvolvimento e Manutenção da Segurança de Sistemas:
Tem por objetivo garantir que segurança é parte integrante de sistemas
de informação.
ü Gestão da Continuidade do Negócio:
O seu principal objetivo é não permitir a interrupção das atividades do
negócio e proteger aos processos críticos contra efeitos de falhas ou
desastres significativos, a assegurar a sua retomada em tempo hábil, se
for o caso.
31
ü Conformidade:
Tem por objetivo evitar violação de qualquer lei criminal ou civil,
estatutos, regulamentações ou obrigações contratuais e de quaisquer
requisitos de segurança da informação.
A Norma não é um padrão de gestão, ela constitui-se de padrões
flexíveis e adaptáveis às empresas. A norma não vai guiar os gestores a utilizar
uma politica em detrimento de outra, ela vai nortear os administradores e
ajudá-los a buscar a melhor atitude dentro da realidade de sua empresa.
A ISO 17799, veio para arrematar os procedimentos de controles das
organizações, constitui-se em normas e padrões adequados. A norma é uma
coletânea de recomendações para melhores práticas de segurança, que
podem ser aplicadas por empresas, independente de qual o seu segmento de
negócio.
3.2 – Cobit (Control Objectives for Information and
Related Technology)
Com a repercussão negativa em 2002 dos escândalos financeiros
envolvendo as gigantes norte-americanas WorldCom e Enron o governo
americano promulgou a Sarbanes-Oxley, com a finalidade de trazer a de volta
a confiança dos investidores e adequar as empresas para que fraudes como
as ocorridas, não sejam tão fáceis de serem executadas.
32
O Cobit, provê boas práticas para o gerenciamento dos processos de TI
em uma estrutura lógica e gerenciável. O Cobit habilita o desenvolvimento de
uma política clara e de boas práticas para o controle de TI da organização,
onde amplas recomendações de segurança da informação são previstas. Os
auditores no Brasil o utilizam muito em suas práticas de auditorias em especial
nas realizadas no setor bancário.
Sua missão é pesquisar, desenvolver, publicar e promover um conjunto
de normas atualizado, seu principal foco é o controle, assim nos afirma a
ISACA.
Administradores de TI, tem nesta ferramenta um auxílio na ponderação
de riscos e investimento em controles na gestão do ambiente de TI, já os
administradores de Segurança, terão a certificação da segurança e dos
controles dos serviços de TI fornecidos internamente ou por terceiros. Os
auditores de sistemas, tem subsídios às opiniões e aconselhamentos aos
administradores de TI sobre controles internos.
3.3 – Auditoria de Sistemas e a Qualidade nas
Organizações
A auditoria dever ser realizada contra os procedimentos existentes sobre
o sistema, atestando assim, a garantia da qualidade dos mesmos. O seu
enfoque deve ser o programa e não o indivíduo. Esta deverá ser planejada e
elabora-se uma lista de verificações com base nos procedimentos.
3.3.1 – Auditoria de Controles Organizacionais e
Operacionais
33
Controles organizacionais e operacionais são controles administrativos
voltados aos processos de fluxo das transações econômicas e financeiras dos
sistemas de informações, que irão auxiliar a organização a realizar seu
negócio.
O fluxo de controles organizacionais, entre outras apresenta as
seguintes tarefas:
ü delineamento das responsabilidades operacionais;
ü coordenação de orçamento de capital de informática e bases;
ü desenvolvimento e implementação das políticas globais e informática;
ü intermediação com terceiros;
ü gerenciamento de suprimentos;
ü desenvolvimento de plano de capacitação.
Cabe aos gestores, identificar as funções e responsabilidades das
tarefas realizadas na organização, afim, de amenizar conflitos e prejuízos à
organização. Segregar funções é importante e eficaz, pois ameniza conflitos
que surgem no dia-a-dia das operações.
Imoniana (2008) diz:
“... Para que os controles organizacionais sejam efetivos,
deve haver lealdade e confiança mútua entre a empresa e
os funcionários. Os funcionários devem ser tratados com
respeito, justiça e, sobretudo, honestidade; deve-se fazer
com que eles percebam que assim é a cultura da
empresa, evitando-se percepção da falta de motivação
que fomenta ingerência. Salários baixos e condições
subumanas de trabalho podem propiciar o
34
descumprimento dos controles organizacionais da área de
informática que, normalmente, devido à natureza das
atividades, tem acesso privilegiado às informações
estratégicas da empresa”. (p. 77)
3.3.2 – Políticas Organizacionais
Por ser o ambiente computacional complexo, os investimentos em
tecnologia por si só não garantem total segurança para a organização se não
forem implementados e seguidos com rigor, fraudes e ilícitos para ocorrer
terão necessariamente a conivência de dois ou mais colaboradores. As
políticas organizacionais e operacionais inibirão, dificultarão que ocorram, mas
não podem evitar plenamente. Erra a organização que faculta todas as
operações nas mãos de apenas um colaborador. Ao passo que, quando
segregamos funções, cada colaborador terá autonomia até certo ponto,
passando a etapa seguinte para outro, tornando assim, as ocorrências de
fraudes mais difícil.
Aos gerentes cabe a administração e definição das funções que cada
colaborador exercerá, os mesmos devem detalhar as definições e princípios de
cada cargo, afim, de evitar distorções, falta de entendimento e redundâncias.
Neste detalhamento, cada procedimento administrativo deverá definir quais as
entradas do ciclo operacional, o procedimento a ser feito e os resultados que
este deverá apresentar ao próximo ciclo.
3.3.3 – Descrição dos Cargos
35
Cada organização deverá de acordo com o seu tipo de negócio, elaborar
a descrição dos cargos, essa descrição possibilita uma implementação
consistente de controles organizacionais.
Todos os cargos devem ser minuciosamente explicados e descritos,
para que todos entendam seu papel dentro da organização.
3.4 – Aquisição, Desenvolvimento e Manutenção e
Documentação de Sistemas
Segundo Imoniana (2008):
“As funções de aquisição, desenvolvimento, manutenção
e documentação de sistemas são atribuídas aos
indivíduos que têm competências para conceber e
implantar sistemas. Isso é feito naturalmente junto com os
usuários com o propósito de atender aos objetivos dos
negócios e, assim, cumprir obrigações da área de
desenvolvimento de sistemas e garantir também as
funções de pós-implantação de sistemas.
De forma analítica, as funções de aquisição,
desenvolvimento, manutenção e documentação de
sistemas incluem, entre outras, as seguintes:
ü planejamento de sistemas de informações;
ü aquisição de sistemas;
ü especificação, programação, teste e
implementação de sistemas novos;
ü modificação dos programas das aplicações
existentes;
ü manutenção preventiva dos sistemas aplicativos;
36
ü documentação e controle sobre versões de
programas em produção.
A função de desenvolvimento bem controlada tem
procedimentos estabelecidos para a aquisição e o
desenvolvimento de novos sistemas. Também permitem
alteração dos sistemas existentes, inclusive teste e
documentação de sistemas novos. Quando os usuários
não estão familiarizados com operação de um sistema
novo ou com os relatórios, encontrarão dúvidas
freqüentes de processamento ou dificuldades para
sugestão de modificações nos sistemas que podem ter
deficiências significativas no seu controle”. (p.92)
A equipe de auditoria deve reavaliar os controles sobre a aquisição,
desenvolvimento e modificações de sistemas sempre que ocorrer, atentando
para seu impacto sobre os negócios. A auditoria de sistemas estará junto aos
colaboradores, afim de observar as modificações, sugerir melhores, atentar
para o treinamento e qualificação de todo pessoal envolvido.
Quando um novo software é desenvolvido, mudanças ocorrem e os
controles também são modificados, a participação da auditoria é fundamental,
pois para desenvolver um novo software, tempo, conhecimento, valores são
empregados e seria muito tarde e dispendioso para a organização uma
alteração sugerida após todo o processo concluído, nesta fase a auditoria
atuará de forma preventiva, opinando, testando o novo produto, mesmo que
esse tenha as características do antigo.
37
A alta administração estará envolvida neste desenvolvimento, um comitê
poderá ser criado, afim de acompanhar o andamento do projeto e informar a
administração e como a ligação entre a administração e os desenvolvedores. É
importante a organização saber em detalhares o que esta adquirindo, que
mudanças deverão ocorrer, significativas ou não.
Segundo Imoniana (2008) na fase de desenvolvimento, a tendência é
que mudanças ocorram, as mudanças propostas devem ser descritas e
aprovadas pela auditoria e a alta administração, algumas regras devem ser
seguidas:
“ a) quando da modificação do programa em ambiente de
produção, o mesmo deve ser redesenhado; observa-se
que, até sua conclusão, o programa em operação não
deve ser alterado. No entanto, a documentação de
sistemas deve ser revisada quando da transferência final;
b) mudanças no programa devem ser testadas pelo
usuário e auditor interno, quando existe atentando para
um controle independente; recomenda-se que um
funcionário que não era envolvido na projeção das
mudanças faça a análise dos resultados;
c) aprovação da mudança dever ser documentada e o
resultado de testes deveria ser aprovado por um gerente
de sistemas. A mudança e os resultados do teste devem
ser aceitos pelo usuário;
d) mudanças de programa sem autorização não podem
ser implementadas em ambiente de produção.
Conseqüentemente, tais modificações indevidas devem
ser descobertas por meio de comparação de versões. A
38
versão documentada deve ser comparada com aquela em
uso e, periodicamente, com uma cópia controlada pelos
auditores. Software pode ser usado para executar este
procedimento”. (p.94)
A documentação dos sistemas é tão importante quanto o próprio
sistema, é um conjunto de documentos que apóiam e explicam aplicações dos
programas, sevem para orientar o funcionamento do programa. Neste
“manuais” funcionários, auditores, programadores, novos colaboradores,
usuários em geral poderão conhecer o funcionamento do sistema.
A documentação deverá ser guardada e controlada seu manuseio, pois
nela estarão todos os procedimentos relacionados aos sistemas, funções,
planos de registro, de rastreabilidade, dados de testes, arquivos, conferência e
correção de erros, planos de contingência, enfim, tudo que compete ao
programa. Uma documentação operacional também deverá ser criada, que
conterá procedimentos de realizações, restrições e permissões de cada cargo,
tempos necessários de procedimentos, procedimentos de recuperação, etc.
3.5 – Plano de Contingências
Segundo Dias, (2000):
“Muitas organizações não seriam capazes de sobreviver
no mercado sem seus computadores, tamanha a
dependência, hoje em dia, dos sistemas computacionais.
Não que isso seja reprovável, mas não deixa de ser um
grande risco que merece toda a atenção da alta gerência.
A perda dos equipamentos e, consequentemente, das
39
informações neles armazenadas, pode significar a perda
de fatias do mercado para a concorrência ou até a
dissolução da organização. Em grande parte das
empresas, os computadores não são apenas ferramentas
para armazenamento de dados financeiros, mas são
também imprescindíveis nas transações comerciais
diárias e processos industriais. Até as atividades mais
corriqueiras ou puramente administrativas dependem dos
computadores.
As empresas européias e americanas, depois de vários
incidentes ocorridos em Londres (atentados a bomba em
vários prédios da cidade) e a famosa explosão no World
Trade Center em Nova Iorque em 1993, passaram a dar
mais atenção a planos de contingência, não só
relacionados ao ambiente computacional, como também
envolvendo toda a empresa. No caso do World Trade
Center, por exemplo, 43% das empresas afetadas pela
bomba decretaram falência. Talvez, se essas empresas
tivessem um plano de continuidade de negócio adequado,
essa porcentagem de falidos teria sido bem menor.
Segundo a Safetynet PLC, 80% das empresas sem
planos de continuidade de negócio não conseguem
reabrir seus negócios após um desastre, 5% decretam
falência em 5 anos e apenas 8% sobrevivem.
As instituições brasileiras, com raras exceções, ainda não
acordaram para esse problema, optando pelo
pensamento de que os desastres só acontecem a casa do
40
vizinho. Infelizmente, isso não é verdade. Vale lembrar
que, quando o desastre acontece, já é tarde demais para
pensar em planos de contingência”. (p. 109)
3.5.1 – Comprometimento da Alta Administração
A alta administração será o mantenedor direto do plano, cabe a alta
administração a responsabilidade e execução do mesmo. A auditoria interna,
assim como a equipe de segurança das informações devem auxiliar no
desenvolvimento do plano. A alta administração traçará os planos, para que
não hajam falta de recursos na elaboração, cuidará da manutenção,
divulgação e coordenação do plano de contingência. Empresas e profissionais
externos poderão auxiliar na elaboração do plano de contingência.
3.5.2 – Impacto
A análise de impacto tem como objetivo identificar funções, sistemas e
classificá-los de acordo com a importância para a organização. Essas
informações irão ajudar a alta organização em como e quanto pretende investir
em medidas de segurança para proteger seus bens e manter suas atividades
normais. Assim como os gestores, os colaboradores deverão ser entrevistados
para que possam contribuir com suas experiências vividas, podendo assim
apontar vulnerabilidades.
Dias (2000) classifica impacto:
“O impacto, na verdade, é o dano potencial que uma
ameaça pode causar, ao ser concretizada. Cada sistema
ou recurso é afetado por ameaças diferentes e em
diferentes níveis de exposição. É conveniente determinar
41
até que ponto a organização pode ficar sem determinado
sistema ou recurso e por quanto tempo”. (p. 114)
Os impacto em termos administrativos podem ser classificados em:
ü Diretos: envolvem perdas financeiras, diminuição de receitas, aumento
de custos ou penalidades financeiras pelo descumprimento de prazos
de contratos por exemplo.
ü Indiretos: a perda financeira é indireta pois esta relacionado com a
imagem da organização, reputação e credibilidade.
3.5.3 – Tempo Limite
O tempo tolerável de indisponibilidade dos recursos será definido pela
alta administração, isto é, serão estabelecidos prazos para que as operações
sejam reiniciada, também serão estabelecidos a ordem em que a recuperação
se dará, das atividades mais relevantes para as menos relavantes, salientando
que todas são importantes para a organização.
3.5.4 – Alternativas de Recuperação
Com a identificação das fragilidades do sistema, a alta administração,
deve analisar quais as melhores alternativas de recuperação e traçar as
medidas a serem tomadas em caso de necessidade.
42
ü Prevenção de acidentes: serão identificados as ameaças que podem
comprometer as atividades, são controles simples mas eficazes, que
vão auxiliar a prevenção e detecção de acidentes:
û Equipamentos de detecção e extinção de fogo;
û Manutenção preventiva de equipamentos;
û Políticas de backup, armazenamento e recuperação de sistemas
computacionais e dados;
û Controles de acesso ao prédio e sistemas de alarme para detecção
de intrusos;
û Proteção aos documentos não magnéticos (papéis, microfichas,
microfilmes);
û Política de pessoal adequada (tanto na contratação como na
demissão de funcionários);
û Campanha de conscientização dos funcionários quanto à segurança
de recursos materiais e informações;
û Outros que a organização considere importante.
ü Backup: um dos itens mais importantes em um plano de contingência,
pois se não houver dados para recuperar, não faz sentido um plano de
recuperação. Os backups devem ser completos e sofrer atualização
diária, pois a organização não tem como mensurar um problema, até
que ele ocorra. Os funcionários envolvidos nesta atividade devem ter a
cultura da importância de sua eficaz realização para que a organização
esteja protegida e resguardada.
û Estabelecimento da rotina dos backups;
û Que dados devem ser copiados;
43
û Backups parciais e completos (a alta administração definirá o grau
de importância);
û Testar os backups, para que se possa atestar que ele funcionará em
uma eventual necessidade;
û Identificar os arquivos, de modo que sejam localizados rapidamente;
û Os sistemas críticos, devem ter pelo menos duas cópias, mantidas
em locais distintos, uma delas de preferência, em local fora das
instalações da empresa, para que seja usada em caso de destruição
das instalações, incêndio, inundações, etc.
3.5.5 – Cuidados Adicionais
Um plano de continuidade deve abranger toda a empresa
indiscriminadamente, entende-se que alguns setores são estratégicos e devem
ter prioridades sobre outros, mas todos devem estar resguardados neste
plano, obedecendo sua complexidade e prioridade.
Dias (2000) classifica assim cuidados adicionais:
“O plano de contingências não deve se voltar
exclusivamente para aspectos de informática. Existem
outros recursos tão importantes quanto equipamentos e
programas. Para retornar à normalidade após um
desastre, é necessário ter cuidados adicionais com:
ü Retirada de Pessoal: o plano de contingências
deve prever a retirada dos funcionários de todas as
áreas sob ameaça. Os serviços de manutenção do
prédio e os órgãos e utilidade pública, tais como a
polícia e os bombeiros, precisam ser consultados
44
quanto ao estabelecimento de saídas de
emergência e áreas de evacuação adequadas.
ü Documentos em papel: apesar de estarmos
tratando de informações armazenadas em
computadores, muitas informações essenciais para
as atividades da organização podem estar
armazenadas em papel, tais como contratos,
correspondências, cheques para pagamento de
funcionários e fornecedores, apólices de seguro e
outros documentos legais. O próprio plano de
contingências deve estar em papel guardado em
local seguro. Para garantir a segurança dessas
informações, podem ser feitas cópias desse
material crítico e armazená-las em um local remoto
ou em reservatórios seguros, à prova de fogo e
água, por exemplo.
ü Documentos em meios magnéticos: os meios
magnéticos (discos, fitas ou memória de
computador) que armazenam informações
confidenciais da instituição devem ser protegidos,
na medida do possível, contra acesso de qualquer
pessoa durante o período de recuperação do
desastre. Mesmo que seus dispositivos estejam
danificados, em algumas circunstâncias é possível
recuperar os dados neles contidos. É
recomendável, portanto, adotar medidas seguras
45
de remoção desses dispositivos para reparo ou
destruição adequada.
O plano de contingências, por conter informações
confidenciais, tais como fragilidades da instituição,
nem sempre é distribuído na íntegra,
indiscriminadamente. É recomendável que seja
entregue, a cada funcionário, uma cópia resumida
e comentada do plano de contingências com
orientações sobre como agir em casos de
contingências. Os funcionários devem saber a
quem seguir e contatar, no caso de uma situação
emergencial, e as simulações de desastres devem
contar com a participação de todos”. (p. 125)
3.5.6 – Recuperação em Casos de Desastres
Um plano de contingência ou de recuperação em desastre, não abrange
somente a área de tecnologia da informação, este deve envolver toda
empresa, seus “braços” se estendem por todos os lados, em todas as
direções, por exemplo: acidentes ambientais, que muitas vezes afeta toda a
comunidade, como percebemos, as medidas não acontecem somente no
âmbito organizacional, ele se estende aos colaboradores, meio ambiente, aos
fornecedores e clientes. Portanto, o plano deve ser pensado e concebido para
que todos sejam contemplados por suas ações e providências.
Imoniama (2008):
46
“Ao implementá-lo efetivamente, deve-se estabelecer os
responsáveis pela consecução das ações de
contingência, normalmente as pessoas designadas a
assumir ações de contingências no momento de
desastres são pessoas diferentes daquelas que executam
funções operacionais no dia-a-dia em ambiente de
tecnologia de informação. Para evitar conflitos, as
responsabilidades são delineadas e documentadas e
colocadas à disposição do grupo chamado de equipe de
contingência.
A disponibilização dos dados é de vital importância para o
workflow dos sistemas das empresas; por isso, a adoção
de um plano de contingência visa garantir a busca e
transformação dos mesmos sem causar descontinuidade
operacional da empresa, em caso da quebra de
equipamentos ou ocorrência de algum sinistro”.
É importante que cada usuário conheça o nível de risco a que está
sujeito, pois assim saberá avaliar a importância de sua atividade para as
funções críticas do negócio. Os riscos se dividem em categorias: alto risco,
risco intermediário, baixo risco.
Um plano de contingência para que seja eficiente, deve ser testado. A
organização deve se questionar se:
ü Os planos estabelecidos abrangem todas as necessidades?
ü Todos os aspectos físicos, lógicos, de redes, de propriedade
intelectuais, de pessoal, transacionais, e outros são suficientes?
ü Em caso de eventualidades, nossa equipe está preparada?
47
ü Nossos planos são testados periodicamente?
ü Nossos backups são atualizados? Podemos recuperá-los?
ü Os relatórios gerenciais estão sendo feitos e estes facilitam o
acompanhamento dos procedimentos?
ü Os relatórios estão confiáveis?
CONCLUSÃO
A informação é um ativo extremamente importante para a organização.
Assim como os bens tangíveis, a informação, precisa ser resguardada de
forma a contribuir com o meio organizacional, proteger a organização e
agregar valores a mesma.
Devemos entender que tudo que pode comprometer a “saúde” da
empresa, torna a mesma vulnerável e se traduz em riscos.
A auditoria de sistemas entende que segurança é minimizar riscos.
Todos os risco possíveis devem ser pensados, de forma a garantir a
continuidade da organização. Aqueles que não estavam previstos, devem ser
vistos como exemplo e gerar medidas para preveni-los futuramente e
assegurar que outras falhas que possam ocorrer sejam minimizadas antes que
se tornem um problema.
Tempo, investimento, mudança de culturas e hábitos, conscientização,
devem ser implementados, controlados e seguidos por toda organização. Uma
vez entendido que os controles são importantes e imprescindíveis, toda a
organização se empenhará em torná-los eficazes.
Erros são passiveis de ocorrer em qualquer tipo de atividade, no
cotidiano das empresas, fraudes, má fé, tudo compromete a organização das
48
mais variadas formas, muitas vezes as empresas esbarram na falta de
conhecimento das pessoas, na falta de investimentos em tecnologia e
treinamento de pessoal, na não observância à leis vigentes, na prática de
fraude, etc.
A auditoria de sistemas exerce função de ação preventiva, saneadora
e moralizadora, afim de atestar a veracidade dos registros e a confiabilidade do
que foi verificado. O seu objetivo é dar uma opinião sobre a situação
encontrada. Se a situação for de conformidade, cabe ao auditor apontar se
todos os controles são necessários ou se alguns podem ser descartados ou
trocados por outros. Em se encontrando situações de anormalidades, este
deverá apontar que controles não estão eficazes e mostrar em que momento
(se possível) o controle torna-se ineficaz.
Avaliações, questionamentos devem fazer parte da cultura da
organização, pois somente questionando-se, ela poderá se conhecer, um
procedimento adotado com muito sucesso em determinada época, por
exemplo, pode se mostrar obsoleto em outra, portanto, o auto conhecimento
será muito importante. Os gestores, colaboradores, cliente e fornecedores são
os responsáveis por estes questionamentos. Questionamentos simples que
podem ser criados pela própria organização, tais como, por exemplo:
ü Utilizo meus sistemas de forma correta?
ü Será que conheço todas as suas funcionalidades?
ü Meu negócio é bem alimentado com as informações que precisa?
ü Minhas informações são eficazes?
ü As informações agregam valores a minha organização?
ü Será que obtenho as informações que preciso de forma rápida e
eficiente?
49
ü Será que com os sistemas que possuo atualmente, estou pronto a
realizar as modificações necessárias ao ambiente de negócio?
ü Será que estou preparado para assumir novos custos com
investimentos que se façam necessários?
Uma vez toda a organização envolvida e consciente da necessidade dos
controles, deve-se ter como foco que um controle eficiente torna o dia-a dia
mais produtivo e competitivo, assim toda a organização, colaboradores,
clientes, acionistas, fornecedores estarão amparados e seguros da
continuidade da organização.
BIBLIOGRAFIA
FERREIRA, Aurélio Buarque de Holanda - Míni Aurélio O Dicionário da
Língua Portuguesa. Curitiba, 2008, 6ª edição
ALMEIDA, João Ferreira de – Bíblia Sagrada, Edição de Promessas. Brasil,
2006, 6ª edição
IMONIANA, Joshua Onome – Auditoria de Sistemas de Informação – 2ª
edição – São Paulo 2008
SCHMIDT, Paulo – SANTOS, José Luiz dos – ARIMA, Carlos Hideo –
Fundamentos de Auditoria de Sistemas – São Paulo 2006
SÁ, Antônio Lopes de – Curso de Auditoria. São Paulo, 1998 . 8ª edição
50
JUND, Sergio – Auditoria: Conceitos, Normas Técnicas e Procedimentos:
Teorias e 900 questões – Rio de Janeiro, 2006, 8ª edição
DIAS, Cláudia – Segurança e Auditoria da Tecnologia da Informação – Rio
de Janeiro, 2000
WEBGRAFIA
www.blbbrasil.com.br – Origem da palavra auditoria, acesso em 24/6/2008
www.audibra.org – Normas Internacionais Para o Exercício Profissional da
Auditoria Interna, acesso em 25/6/2008
www.cfc.org.br - Resolução nº 820 – CFC que aprova a NBC T 11, acesso em
24/6/2008
www.senac.br – Auditoria de Sistemas – Boletim Fiscal – Ano 2 - Nº 9 –
setembro/dezembro – 2003, acesso em 07/6/2008
www.acep.org.br – Conceito de Auditoria – acesso em 09/9/2008
51
www.compustreamsecurity.com.br – Política de Segurança da Informação: A
norma ISO17799., acesso em 12/5/2008
www.tcu.gov.br – Manual de Auditoria de Sistemas., acesso em 9/5/2008
ÍNDICE
INTRODUÇÃO 08
CAPÍTULO I 10
AUDITORIA 10
1.1 – Conceito 10
1.2 – História da Auditoria 11
1.3 – O Papel do Auditor 13
1.4 – Tipos de Auditoria 14
1.5 – Auditoria de Sistemas 17
1.5.1 – Objetivos da Auditoria de Sistemas 17
CAPÍTULO II 19
CONTROLES 19
2.1 – Sistemas 19
52
2.2 – Controles Internos 20
2.2.1 – Controles Preventivos 21
2.2.2 – Controles Detectivos 22
2.2.3 – Controles Automatizados 22
2.2.4 – Controles Manuais 22
2.3 – Paradigmas de Controles Internos Consistentes e Inconsistentes 22
2.4 – Controles Internos e Auditorias 23
2.5 – Controle Interno Contábil 24
2.5.1 – Fidelidade da Informação em Relação aos Dados 24
2.5.2 – Segurança Física 24
2.5.3 – Segurança Lógica 25
2.5.4 – Confidencialidade (privacy) 25
2.5.5 – Obediência à Legislação em Vigor 25
2.6 – Controle Interno Administrativo 25
2.6.1 – Eficácia 25
2.6.2 – Eficiência 26
2.6.3 – Obediência às Diretrizes da Alta Administração 26
CAPÍTULO III 27
AUDITORIA DE SISTEMAS E A EMPRESA 27
3.1 – I S O – International Stardardization Organization 27
3.1.1 – Os 10 Macros Controles da Norma 29
3.2 – Cobit (Control Objectives for Information and Related Technology 31
3.3 – Auditoria de Sistemas e a Qualidade nas Organizações 32
3.3.1 – Auditoria de Controles Organizacionais e Operacionais 32
3.3.2 – Políticas Organizacionais 34
3.3.3 – Descrição de Cargos 34
53
3.4 – Aquisição, Desenvolvimento e Manutenção e Documentação de
Sistemas 35
3.5 – Plano de Contingência 38
3.5.1 – Comprometimento da Alta Administração 40
3.5.2 – Impacto 40
3.5.3 – Tempo Limite 41
3.5.4 – Alternativas de Recuperação 41
3.5.5 – Cuidados Adicionais 43
3.5.6 – Recuperação em Casos de Desastres 45
CONCLUSÃO 47
BIBLIOGRAFIA 49
WEBGRAFIA 50
ÍNDICE 51
54