Auditoria de sistemas

Auditoria de Sistemas de Informtica ou Riscos Tecnolgicos uma atividade independente que tem como misso o Gerenciamento de risco Operacional envolvido e avaliar a adequao das tecnologias e sistemas de informao utilizados na organizao atravs da reviso e avaliao dos controles, desenvolvimento de sistemas, procedimentos de TI, infraestrutura, operao, desempenho e Segurana da informao que envolve o processamento de informaes crticas para a tomada de deciso.

Objetivos
A auditoria de sistemas um processo realizado por profissionais capacitados e consiste em reunir, agrupar e avaliar evidncias para determinar se um sistema de informao suporta adequadamente um ativo de negcio, mantendo a integridade dos dados, e realiza os objetivos esperados, utiliza eficientemente os recursos e cumpre com as regulamentaes e leis estabelecidas. Permite detectar de forma automtica o uso dos recursos e dos fluxos de informao dentro de uma empresa e determinar qual informao crtica para o cumprimento de sua misso e objetivos, identificando necessidades, processos repetidos, custos, valor e barreiras que impactam fluxos de informao eficientes. Deve compreender no somente os equipamentos de processamento de dados ou algum procedimento especfico, mas sim suas entradas, processos, controles, arquivos, segurana e extratores de informaes, alm disso, deve avaliar todo o ambiente envolvido: Equipamentos, Centro de processamento de dados e Software. Auditar consiste principalmente em avaliar mecanismos de controle que esto implantados em uma empresa ou organizao, determinando se os mesmos so adequados e cumprem com seus determinados objetivos ou estratgias, estabelecendo as mudanas necessrias para a obteno dos mesmos. Os mecanismos de controle podem ser de preveno, deteco, correo ou recuperao aps uma contingncia. Os objetivos da auditoria de sistemas so a emisso de um parecer (ou uma nota) sobre:

O controle da rea de Tecnologia; A anlise da eficincia dos Sistemas de Informao; A verificao do cumprimento das legislaes e normativos a qual esto sujeitos; A gesto eficaz dos recursos de informtica.

A Auditoria de sistemas contribui para a melhoria constante do negcio suportado pela Tecnologia, nos seguintes aspectos:

Desempenho; Confiabilidade; Integridade; Disponibilidade; Segurana;

Confidencialidade; Privacidade.

Geralmente pode-se desenvolv-la em foco ou em combinao entre as seguintes reas:

Governana Corporativa; Administrao do Ciclo de Vida dos Sistemas; Servios de Entrega e Suporte; Proteo de Dados e Segurana da Informao; Planos de Continuidade de Negcio e Recuperao de Desastres.

O auditor de sistemas
O auditor de sistemas verifica a eficcia dos controles e procedimentos de segurana existentes, a eficincia dos processos em uso, a correta utilizao dos recursos disponveis, assessorando a administrao na elaborao de planos e definio de metas, colaborando no aperfeioamento dos controles internos, apontando deficincias e irregularidades que possam comprometer a segurana e o desempenho organizacional. Com a larga utilizao da tecnologia para o armazenamento das informaes contbeis, financeiras e operacionais, o auditor de sistemas tem de se aprimorar no campo de atuao (processos) da organizao para extrair, analisar banco de dados envolvidos e suportar decises das demais reas de auditoria. A necessidade global de referncias nesse assunto, para o exerccio dessa profisso, promoveram a criao e desenvolvimento de melhores prticas como COBIT, COSO, ISO 27001 e ITIL Atualmente a certificao CISA Certified Information Systems Auditor, oferecida pela ISACA Information Systems and Control Association uma das mais reconhecidas e avaliadas por organismos internacionais, j que o processo de seleo consta de uma prova extensa que requer conhecimentos avanados, alm de experincia profissional e a necessidade de manter-se sempre atualizado, atravs de uma poltica de educao continuada (CPE) na qual o portador da certificao deve acumular carga horria de treinamento por perodo estabelecido. A formao acadmica do auditor de sistemas pelos motivos acima acaba sendo multidisciplinar: anlise de sistemas, cincia de computao, administrao com nfase em TI, advocacia com foco em Direito da informtica - direito digital e correlatos.

Tipos de auditoria
Existem diversos tipos de Auditorias de Sistemas, sendo os principais, mas no se limitando a: Auditoria de Planejamento e Gesto:

Contratao de bens e servios de TI, documentaes, oramentos, projetos, etc.

Auditoria Legal ou Regulatria:

Atendimento a regulamentaes locais e internacionais, exemplos: Lei SarbanesOxley, Basileia II, Comisso de Valores Mobilirios, etc.

Auditoria de Integridade de Dados:

Classificao dos dados, atualizao, bancos de dados, aplicativos, acessos, estudo dos fluxos (entradas e sadas) de transmisso, controles de verificao qualidade e confiabilidade das informaes.

Auditoria em segurana da informao:

Mtodos de autenticao, autorizao, criptografia, gesto de certificados digitais, segurana de redes, gesto dos usurios, configurao de antivrus, atualizaes, polticas, normas, manuais operacionais.

Auditoria de Segurana Fsica:

Avaliao de localidades e riscos ambientais: vidas (capital intelectual), furto/roubo, acesso, umidade, temperatura, acidentes, desastres, etc. e as protees: permetros de segurana, cmeras, sensores, guardas, dispositivos, protees do ambiente.

Auditoria de Desenvolvimento de Sistemas:

Validao dos processos de gesto de projetos, cumprimento de metodologia de qualidade, oramentos previstos e realizados e avaliao de desvios.

Auditoria da Infra Estrutura e Operaes de TI:

Processos para averiguar disponibilidade e robustez do ambiente a erros, acidentes e fraudes das operaes em servidores, estaes, software, hardware e canais de comunicao.

Materialidade, GRC e Anlise de Risco

Enquanto planeja o calendrio anual e cada trabalho de auditoria o auditor-chefe decide o nvel de risco de auditoria (ou seja, o risco de chegar a uma concluso indevida baseada nas evidncias) que est disposto a aceitar. Quanto mais efetivo e extensivo o trabalho de auditoria for, menor o risco de uma fraqueza no processo passar despercebida no relatrio final de auditoria. O Risco de auditoria dependente da anlise dos nveis de risco inerentes ao processo, ou seja, a possibilidade de impacto material ao processo: financeiro, operacional ou imagem, se a rea auditada cometer erros por controles ineficazes ou inexistentes. Estes riscos so determinados quando o auditor realiza ou obtm a anlise de risco da organizao. Adicionalmente, para avaliar se uma auditoria de TI obteve o xito esperado, o auditor deve primeiro identificar o escopo e objetivos de teste, para verificar o grau de aderncia aos processos e sistemas avaliados. Para atender aos objetivos da auditoria e

garantir que os recursos empregados para seu trabalho so utilizados de forma eficiente, o auditor dever definir nveis de materialidade. O auditor deve considerar aspectos qualitativos e quantitativos para determinar a materialidade. A avaliao do risco deve ser realizada para prover certo grau de conforto que todos os itens de materialidade relevante sero devidamente cobertos pelos trabalhos de auditoria. Essa anlise deve identificar reas que tm alto risco de existncia de problemas com materialidade relevante ao negcio.

Materialidade
Avaliando impacto material, o Auditor de Sistemas deve considerar:

O nvel de erros aceitveis gesto do processo, auditorias internas, auditorias externas, agncias reguladoras e legislaes. O potencial de efeito cumulativo de pequenos erros ou fraquezas tornarem-se materiais, nesse caso, de relevncia significativa.

Enquanto estabelece a materialidade o auditor pode estar realizando auditorias de itens no-financeiros, como Controle de acesso fsico, lgico, sistemas de gesto de pessoas, gesto de recursos, desenvolvimento, controle de qualidade, gerao de senhas. Nesse caso, deve-se identificar materialidade, com foco nos objetivos esperados do processo de negcio avaliado para que este atinja seus objetivos de controle interno. Quando no existem transaes financeiras envolvidas, pode se utilizar outras formas de medir a materialidade:

Nvel de criticidade do processo suportado pelas operaes ou sistemas avaliados. Custo do sistema ou operao (hardware, software, contratos com fornecedores). Custo potencial de erros ou falhas aos quais sistemas ou operao esto sujeitos. Nmero de acessos/transaes/requisies processadas por perodo. Multas por falhas no cumprimento de requisitos legais e contratuais.

GRC e Anlise de Risco

O acrnimo GRC tem origem na unio dos termos governana, riscos e cumprimento, ou em ingls, governance, risk and compliance. Uma tendncia recente, de integrao das reas de conhecimento de Gesto de Riscos, Governana Corporativa e prticas de auditoria e controle que visa garantir a conformidade com leis, regulamentos, imposies de padres consolidando-os dentro de um nico modelo, integrado inteligentemente e tendo como um dos seus objetivos a unificao dos interesses comuns e conciliao de interesses opostos de cada uma destas funes. Nesse contexto o Risco pode ser definido como o efeito das incertezas nos objetivos, relacionado ento probabilidade de um evento ocorrer e a possveis impactos do evento nos objetivos de negcio. Atravs da Gesto dos Riscos a organizao procura antecipar-se a perdas resultantes de falhas nos procedimentos, seja estas causadas acidentalmente ou no, ameaas externas, econmicas, ambientais, de mercado ou qualquer evento que possa prejudicar interesses da organizao ou impedir que oportunidades importantes ao sucesso da empresa sejam aproveitadas

Um risco qualquer evento ou ao, gerada interna ou externamente, que impede uma organizao a atingir seus objetivos. Os riscos afetam os objetivos de controle em diversas reas da informao: integridade, preciso, temporalidade para tomada de deciso, habilidade de acesso ao sistema e confidencialidade/privacidade das informaes, apenas para enumerar alguns impactos relacionados. A Anlise de Risco permite que o auditor determine o escopo da auditoria e avalie o nvel de risco de auditoria e risco de erros (o risco de erros que ocorrem na rea sendo auditada). Adicionalmente, a anlise de risco, ou anlise de impacto ao negcio (BIA) auxiliar em decises como:

A natureza, escopo e cronograma dos trabalhos. As reas de negcio a serem auditadas. Tempo e recursos necessrios associados a cada trabalho de auditoria planejado.

Documentao da Anlise de Risco

Uma vez analisado o nvel de risco, o auditor deve documentar essa anlise em seus papis de trabalho:

Descrio da tcnica de Anlise de Risco utilizada A identificao dos riscos com maior significncia Os riscos que a auditoria ir abordar As evidncias de auditoria utilizadas para suportar a anlise de risco do auditor.

Ciclo de Vida
A auditoria de sistemas obedece s mesmas etapas que Auditorias tradicionais, abaixo:

Planejamento Global (Anual)

Identificar reas de risco na organizao: financeiro, operacional, regulatrio; Entender a dependncia de Tecnologia da informao nos processos crticos; Acompanhamento da implantao de Recomendaes das auditorias passadas; Estabelecer cronograma de atuao.

Planejamento

Obter informaes sobre o processo: fluxos, polticas, normas e procedimentos; Visualizar pontos de controle s vulnerabilidades identificadas; Estabelecer planos de testes para abrang-los; Obter referncias de boas prticas para a confeco de testes; Definir responsveis pelas frentes de trabalho.

Realizao

Executar planos de testes; Obter evidncias de controles adequados ou no;

Validar itens levantados com o auditado; Formalizar mtodos de testes e concluses em documentao de trabalho; Reunir principais incidncias de controles para discusso. Melhoria continua

Concluso

Discutir planos de ao com o Auditado; Estabelecer datas-limite para a resoluo dos problemas de acordo com o risco e impacto envolvidos; Submeter relatrio final aprovao da Alta Administrao; Arquivar para acompanhamento da implantao.

Acompanhamento

Monitorar datas-limite acordadas; Reavaliar a situao atual; Emitir opinio sobre a nova situao do controle frente ao requerido para a manuteno de nvel aceitvel de risco.

Anlise de Dados e Ferramentas

Para a execuo dos testes de auditoria, utilizados pelo auditor na obteno de evidncias para suportar suas concluses, deve-se observar padres geralmente aceitos como o ISACA S6 Desempenho do trabalho de Auditoria #REDIRECT [1] Evidncia: durante o curso da auditoria, o auditor de SI deve obter evidncia suficiente, confivel e relevante para atingir os objetivos da auditoria. Os resultados e as concluses da auditoria devem ser suportados pela anlise e interpretao apropriadas dessa evidncia. Um Auditor deve desenhar selecionar, avaliar e documentar amostras de evidncias para que seu trabalho seja suficiente, confivel e relevante e mais importante: que apoie as concluses obtidas durante os trabalhos de campo.

Amostragem de auditoria
Uma auditoria de sistemas pode ser desempenhada de modo massificado: ou seja, 100% de todos os documentos e dados disponveis ou atravs de amostragem dessa populao. A amostragem de auditoria a aplicao de procedimentos para utilizar um percentual inferior a 100% da populao, a fim de possibilitar ao Auditor de Sistemas avaliar evidncias que o possibilite formular uma concluso a respeito dessa populao. Ao desenhar o tamanho e a estrutura da amostra, o Auditor de Sistemas deve considerar os objetivos da auditoria determinados no planejamento, a natureza da populao e mtodos de seleo de Amostras.

Selecionando a amostra

O Auditor deve selecionar item de amostragem de forma a serem representativos na populao. Os tipos mais comuns de amostragem so:

Amostragem Estatstica

Amostragem Aleatria permite que todas as combinaes da amostra na populao tm uma chance igual de seleo. Amostragem Sistemtica permite a seleo de ocorrncias na amostra, utilizando intervalos de selees com o primeiro intervalo iniciando de forma aleatria.

Amostragem no Estatstica

Amostragem por Escolha o auditor seleciona a amostra sem uma tcnica estruturada. Anlise Julgamental o auditor estabelece um critrio para a amostra. Por exemplo, selecionar somente unidades acima de um determinado valor.

A seleo do tamanho da amostra afetada pelo nvel de risco ou materialidade que essa amostra representa no processo avaliado. O Risco da amostra o risco que uma amostra mal escolhida poder influenciar na opinio final do auditor, em comparao se esse tivesse utilizado a populao inteira. Uma vez que as amostras foram selecionadas para testes, estes procedimentos devem ser adequadamente documentados nos papis de trabalho.

Tcnica de amostragem utilizada Percentuais considerados Layout de Arquivos, Sistemas considerados Rotinas, cdigos fontes, ferramentas de CAAT utilizadas Parmetros de seleo

O auditor pode iniciar os testes de auditoria atravs de Tcnicas de Auditoria Auxiliadas por Computador (CAATs) ou TAACs, discutidos brevemente abaixo.

Tcnicas de Auditoria auxiliadas por Computador (CAATs) ou TAACs

Mais informaes: Anlise de dados, Audit Command Language, Computer Aided Audit Tools Tcnicas (ou Ferramentas) de Auditoria Auxiliadas por Computador (CAATs) ou TAACs so tcnicas ou programas de computador especializados para gerar amostras, importar dados, sumarizar e testar os controles, condies e processos implantados nos sistemas atravs das amostras que selecionamos. Tipos de CAATs incluem:

Software Especializado para Auditoria (SEA) permitem ao auditor realizar testes em arquivos e bancos de dados, exemplos: ACL, IDEA, etc. Software de Auditoria Adaptado (SAA) geralmente desenvolvidos por auditores para desempenhar tarefas especficas, so necessrios quando os sistemas da empresa no so compatveis aos SEA, ou quando o auditor quer

realizar testes no possveis com os SEA, exemplos rotinas em: Easy Trieve, SQL+, SAS, etc. Teste de Dados ou Reclculo de Operaes O auditor testa os dados para verificar os controles empregados no sistema atravs de validao nestes dados, alm disso, observa-se a preciso destes dados processados pelo sistema. Essa tcnica utilizada para validao de dados e rotinas de deteco de erros, processamento de controles lgicos e clculos aritmticos, apenas para numerar algumas possibilidades. Simulao em Paralelo - O auditor utiliza as informaes do sistema para mapear e construir os passos a serem simulados em outra ferramenta a fim de chegar ao mesmo resultado do sistema. Testes integrados-o auditor submete parmetros de teste com dados reais, sem impactar na rotina normal de processamento do sistema.

Coleta de Evidncias
Atravs do uso de CAATs, o auditor ser capaz de obter evidncias suficientes para suportar suas concluses finais de auditoria de sistemas. A evidncia de auditoria deve ser suficiente, confivel, relevante e capaz de auxiliar o auditor a formular a opinio e concluses sobre o processo avaliado. Se o auditor no ter dados suficientes para tal, ele/ela deve sair a campo para obter mais evidncias. Procedimentos para isso variam dependendo do sistema sendo auditado. O auditor deve selecionar o teste mais adequado para alcaar o objetivo da auditoria. Alguns listados abaixo podem ser considerados:

Entrevistas e/ou Observao Inspees adicionais Re-teste Monitorao

As evidncias de auditoria obtidas devem ser documentadas e organizadas para suportar os levantamentos e concluses do auditor. Por fim, quando o auditor crer que estes no so possveis de ser obtidos por qualquer razo, esse fato deve ser documentado no Relatrio de Auditoria como limitao de escopo do trabalho.