Unidade VII - Introdução e Conceitos Básicos de Auditoria da Tecnologia da Informação

1. Definições:

• Auditoria (Dias, 2000):

  "A auditoria é uma atividade que engloba o exame das operações , processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas e padrões."

• Auditoria de Sistemas (S.E.I., 1986):

  "A auditoria de sistemas é o ramo da auditoria que revisa e avalia os controles internos informatizados, visando:

  • "proteger os ativos da organização;
  • "manter a integridade dos dados;
  • "atingir eficaz e eficientemente os objetivos da organização."

• Controle Interno:

Todos os procedimentos internos instituídos pela empresa com o objetivo de evitar a ocorrência de falhas, involuntárias ou dolosas, são chamados de controles internos. Ao conjunto, dá-se o nome de sistema de controle interno.

2. Conceituação Básica:

• Auditoria da Tecnologia da Informação - é um tipo de auditoria operacional, isto é, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade. As áreas de verificação podem abranger desde o ambiente de informática como um todo (analisando aspectos que influenciam a segurança dos outros controles, como segurança física e lógica, planejamento de contingências e operação do centro de processamento de dados) ou a organização do departamento de informática (analisando aspectos administrativos da organização, tais como, políticas, padrões e procedimentos, responsabilidades organizacionais, gerência de pessoal e planejamento de capacidade). Pode ainda envolver controles sobre bancos de dados, redes de comunicação e controles sobre os aplicativos.

• Sistemas de Informações - correspondem a todos os processos exercidos e resultados apurados, segundo objetivos e necessidades operacionais do ser humano.

"Sistemas de Informações compreendem um conjunto de recursos humanos, materiais, tecnológicos e financeiros, combinados segundo uma seqüência lógica para transformar dados em informações."

No ambiente de auditoria de sistemas:

• recursos humanos: usuários e profissionais de computação;
• recursos materiais: suprimentos, equipamentos, instalações e utensílios;
• recursos tecnológicos: correspondem ao intangível dos sistemas de informações; são os softwares e as informações geradas;
• recurso financeiro: é a transformação dos recursos humanos, materiais e tecnológicos, segundo o denominador comum moeda;
• dados / informações: parte estática dos sistemas, representando os estados inicial (dados) e final dos mesmos, ou sejam, os resultados (informações) dos processos executados.

A área de auditoria implica a validação e avaliação do controle interno de sistemas de informações em processamento eletrônico de dados.

O controle interno envolve um ou mais dos seguintes parâmetros ("alvos" de auditoria):

• Fidelidade da informação em relação ao dado: certificar-se de que não foram inseridos nem perdidos dados ou informações semi-elaboradas durante o processo de transformação do dado em informação.
• Segurança física: corresponde à constatação do bom estado operacional dos recursos humanos e materiais que compõem ou dão sustentação aos sistemas de informações computadorizados.
• Segurança lógica: diz respeito às alterações, modificações ou erros dos recursos tecnológicos (processos e resultados) componentes de certo sistema computadorizado.
• Confidencialidade: precaver-se contra quebras de sigilo do sistema computadorizado, seu processo e informações. Impedir acesso a entidades não autorizadas aos recursos tecnológicos.
• Segurança ambiental: validação e avaliação das condições de operacionalidade dos recursos humanos, materiais e tecnológicos componentes da infra-estrutura de computação [é normalmente revisada e avaliada em conjunto com as condições de segurança física]. Ex.: ameaças de incêndio, assaltos; acidentes causados por operação inadequada ou falta de treinamento, etc.
• Obediência à legislação em vigor: atendimento às leis federais, estaduais e municipais, por parte dos sistemas informatizados.
• Eficiência: combinação ótima dos recursos humanos, materiais e tecnológicos, maximizando a relação custo / benefício dos processos computacionais.
• Eficácia: nível de satisfação do usuário. O sistema atende às suas especificações?
• Obediência às políticas da alta administração: verificar se o sistema atende às normas vigentes, às diretrizes e políticas traçadas pela alta administração da empresa.

Ambiente de auditoria
Palavras - chave:

• recurso humano;
• recurso material;
• recurso tecnológico;
• recurso financeiro;
• dados;
• informações;
• fidelidade da informação em relação ao dado;
• segurança física;
• segurança lógica;
• segurança ambiental;
• confidencialidade;
• obediência à legislação em vigor;
• eficiência;
• eficácia;
• obediência às políticas da alta administração da empresa.

3. Outros Conceitos Importantes (Gil; 1998)

Ponto de Controle: é a situação do ambiente computacional caracterizada pelo auditor como de interesse para validação e avaliação.

Exemplos: sistema de folha de pagamento (ponto de controle abrangente), banco de dados de materiais (menos abrangente).

O objetivo de auditoria do Ponto de Controle tanto pode ser sob a ótica do parâmetro de controle interno - segurança lógica, eficiência, confidencialidade, etc. - quanto sob a ótica da fraqueza possível - erro, omissão, falha, falta, omissão de procedimentos, etc.

Auditoria de Posição: ocorre desde o momento em que o Ponto de Controle é identificado até o instante em que, pela avaliação dos resultados de sua validação, ele é determinado como apresentando fraquezas.

Ponto de Auditoria: Ponto de Controle que foi objeto de uma Auditoria de Posição, cujo resultado determinou fraquezas no mesmo.

Auditoria de Acompanhamento: reflete as etapas e momentos em que, uma vez caracterizado o Ponto de Auditoria, alternativas de solução são apresentadas e discutidas pela auditoria com o auditado, até o momento em que as correções são efetuadas, tornando o Ponto de Auditoria novamente um Ponto de Controle.

4. Função do Auditor de Sistemas:

"A função do auditor de sistemas é buscar a otimização do emprego dos recursos de P.E.D. e a melhoria das atividades empresariais com a aplicação desses recursos." (Gil; 1998).

5. Bibliografia:

• GIL, Antônio de L. Segurança em Informática. 2ª ed. Atlas, São Paulo, 1998.

• DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Axcel Books do Brasil, Rio de Janeiro, 2000.