Departamento de Cincias Econmicas e Empresariais

Licenciatura em Informtica de Gesto

Auditoria Informtica

Proposta de Prestao Dos Trabalhos de Auditoria (Instituto Nacional de Previdncia Social)

Fernando Salazar Francs Rosa Helena Delgado Zego

in 17 Dezembro 2011

4 Ano Licenciatura 1 Semestre Ano Lectivo 2011/2012

Proposta de Prestao Dos Trabalhos de Auditoria

NDICE I. PROPOSTA TCNICA 1. Breve Apresentao .......................................................................................... 2 2. Razes para se efectuar a auditoria. .................................................................. 3 3. Factores que podero afectar a auditoria ........................................................... 4 4. Determinao dos riscos .................................................................................... 4 5. Objectivos pretendidos com a realizao da Auditoria ....................................... 5 6. mbito e mtodo da auditoria ............................................................................. 5 7. Recursos necessrios ...................................................................................... 12 8. Equipa de Auditoria .......................................................................................... 15 9. Calendrio/Plano detalhado para realizao da auditoria ................................ 19 II. PROPOSTA FINANCEIRA 1. Oramento relativos a custos dos trabalhos de acordo com prazo/hora ......... 22 2. Modalidade de pagamento ............................................................................... 22 3. Forma de Pagamento ....................................................................................... 22 4. Honorrios para trabalhos adicionais ............................................................... 22

I. PROPOSTA TCNICA 1. Breve Apresentao A ASI Auditoria em Sistemas de Informao, Lda., constituda em Mindelo em 2000, desenvolve a sua actividade fundamentalmente na Prestao de Servios de Auditoria para Empresas e Instituies a nvel Nacional. A nvel nacional so j mais de 80 Empresas e 10 Instituies que solicitaram os servios da ASI. Temos desenvolvido a nossa actividade, com o intuito de proporcionar solues profissionais, inovadoras, de uso fcil e cada vez mais potenciadoras do trabalho dos nossos utilizadores e clientes. Especialmente no campo das Empresas, com grande satisfao que temos sentido que a produtividade e satisfao dos nossos clientes tm melhorado significativamente com a adopo das nossas solues. Paralelamente ao desenvolvimento deste tipo de actividade a ASI est tambm apta a apresentar e fornecer solues em diversas outras reas para as Empresas e Instituies: 1. Auditoria de Organizao informtica. 2. Auditoria dos Investimentos Informticos. 3. Auditoria de Segurana Informtica. 4. Formao
Estamos a aceitar agentes em diversas zonas do pas. Para qualquer pedido de informao contacte-nos em www.asi.cv, asi@asi.cv e pelos telefones 2323232, 9883084 e 9576410. ASI - Auditoria em Sistemas de Informao, Lda. Escritrio: Rua 5 de Julho, 100 Mindelo Correspondncia: Caixa Postal 512 Mindelo

2. Razes para se efectuar a auditoria. Razes adicionais para as auditorias o crescente interesse na incorporao da questo dos Sistemas de Informao na gesto das empresas; como o progresso em relao a objectivos e o relativo impacto de seus produtos. As auditorias formam parte integral dos sistemas de gesto, tanto como feedback do controle interno quanto para contribuir com os objectivos da anlise crtica pela administrao. A crescente vigilncia sobre as credenciais dos Sistemas de Informao das empresas, tanto interna quanto externa, requer da administrao um bom sistema de monitoramento e de informaes, que as auditorias podem fornecer. As empresas impulsionadas em divulgar sua imagem e seus produtos necessitam de algo mais concreto na questo confiana no mercado, para que isto ocorra no basta que os prprios executores de suas tarefas sejam os responsveis por resposta de grande proporo. Cria-se ento a Auditoria em Sistemas de Informao como fundamento de anlise, avaliao e credibilidade nas informaes a serem divulgadas e Considerando a complexidade dos negcios e cada vez mais a variao nas transaces, visa-se assegurar o cumprimento de normas.

Conjunto de factores que formam as necessidades da criao de uma Auditoria em Sistemas de Informao: 1 - Ambiente empresarial contemporneo em mudanas; 2 - Grau de organizao; 3 - Disperso geogrfica da empresa; 4 - Aumento da complexidade organizacional; 5 Globalizao; 6 Avano tecnolgico; 7 Competitividade; 8 Economicidade.
3

3. Factores que podero afectar a auditoria A falta regular de auditoria interna que dificultar uma fiscalizao sobre as actividades, pessoas, rgos, departamentos para que no desviem dos objectivos previamente estabelecidos. Com a auditoria interna mais fcil prevenir, detectar erros, fraudes ou vulnerabilidades dos sistemas informatizados. Outros factores: A falta de planos de contingncia; Estrutura interna no organizada nos vrios sectores da empresa; No existncia de Log de eventos de tentativas de acesso a um determinado recurso informatizado; Sistema de controlo de acesso ao edifcio; Avaliao da poltica de segurana. Controles de acesso lgico. Controles de acesso fsico. Controles ambientais. Plano de contingncia e continuidade de servios. Controles organizacionais. Controles de mudanas de operao dos sistemas. Controles sobre a base de dados. Controles sobre computadores. Controles sobre ambiente cliente-servidor. 4. Determinao dos riscos O estudo da anlise de risco constitui-se parte integrante de um dos objectivos estratgicos. Dessa forma, o seu desenvolvimento se reveste de carcter fundamental no processo de tomada de deciso na fase de implementao da programao das reas auditveis, principalmente na diminuio de erros,
4

quando da elaborao do planeamento global, devido manipulao automtica de grande volume de dados. Cabe assinalar os benefcios oriundos da anlise formal e sistemtica na utilizao de factores de risco e que podem ser assim sistematizados: Facilidade no processo de tomada de decises; Trilhas de anlise lgica documentadas; Treinamento facilitado devido documentao; Facilidade de reviso e consulta; Facilidade de incluso de novos dados de anlise; Aumento de consistncia oriundo da combinao de factores subjectivos com factores calculados e utilizao de mltiplos avaliadores; Mtodos quantitativos so mais facilmente compreendidos perante os escales superiores; Julgamentos quantitativos auxiliando na elaborao dos trabalhos, prevenindo erros devidos a falhas no planeamento de trabalho especfico por super estimao ou subestimao. 5. Objectivos pretendidos com a realizao da Auditoria:

Assegurar que as polticas estabelecidas pela Gesto esto a ser seguidas. Promover a mxima eficincia e segurana na gesto da organizao. Ponto de situao do sistema de informao. Deteco de falhas.

6. mbito e mtodo da auditoria Planearemos e executaremos procedimentos de auditoria para obter evidncia de auditoria suficiente e apropriada para fornecer uma base razovel para a sua opinio. Para a realizao dos objectivos pretendidos pela vossa empresa, com esta auditoria pretendemos obter durante os trabalhos factos que nos permitiro
5

cumpri-los, e para isso sero necessrios, visitas a empresa, fazer uma anlise detalhada do sistema funcional de todos os departamentos existentes: Direco Comercial, Informtica, Secretaria, Direco de Produo, Diviso Administrativa e Financeira. Para isso ser necessrio visitar as instalaes no perodo normal de funcionamento.

rea Encontro Geral Presidente, Directores, Administradores e Responsveis dos vrios sectores Gabinete de Estudos, Estratgia e Comunicao Gabinete de Auditoria e Qualidade de Servio Gabinete Jurdico Direco Administrativa e Financeira Direco de Sistemas de Informao Direco de Recursos Humanos e Desenvolvimento Organizacional Direco das UPS Direco de Contribuies Direco de Prestaes Sociais Direco de Assistncia na Doena Direco de Fiscalizao Sistemas a avaliar e a testar

Dia 02/Mai/2012 04/Mai/2012 07/Mai/2012 09/Mai/2012 11/Mai/2012 14/Mai/2012 16/Mai/2012 18/Mai/2012 21/Mai/2012 27/Mai/2012 25/Mai/2012 28/Mai/2012

Hora 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00

Software SIPS Sistema Integrado de Previdncia Social; Sistema de controlo de acesso ao edifcio; Base de dados para o controlo da Gesto Documental; Sistema de acesso remoto; Sistema Wireless; Funcionalidade dos servidores; Sistema de Backup;
6

Tcnicas de Auditoria Previstas Programas/Softwares Diversos; Anlise do fluxo do sistema; Identificao dos ficheiros a serem auditados; Entrevistas com os analistas e utilizadores; Identificao do cdigo e do Layout dos ficheiros; Elaborao do programa para a auditoria; Cpia dos ficheiros a serem auditados; Aplicao do programa de auditoria; Anlise dos resultados; Emisso de relatrios; Formulao da documentao. Questionrios; Segurana (fsica, lgica, em redes, do CPD, etc.); Condies do Ambiente de Explorao; Satisfao dos Utilizadores; Eficincia no uso de recursos computacionais; Eficcia de sistemas operativos e dos softwares aplicacionais. Anlise do Ponto de Controlo; Elaborao do questionrio; Seleco dos utilizadores q iro responder aos questionrios; Elaborao de instrues; Distribuio dos formulrios; Controlo de recebimento pelos utilizadores; Recolha, Anlise e Tratamento das respostas; Formulao de opinio quanto s respostas; Elaborao do relatrio.

Simulao de dados; Compreenso da lgica do programa; Simulao dos dados (pertinentes ao teste a ser realizado); Elaborao dos formulrios de controlo; Transcrio dos dados p o computador; Preparao do ambiente de teste; Processamento do teste; Avaliao dos resultados; Emisso de opinio sobre o teste. Visita in loco; Marcao das datas e horas p as visitas; Preparao dos procedimentos; Anotao dos nomes das pessoas envolvidas, datas e horas das visitas; Observao directa; Anotao de procedimentos e acontecimentos; Recolha de opinies e fundamentaes; Recolha de documentao; Analise das opinies e da documentao obtida; Formulao de opinio p a emisso via relatrio. Entrevistas; Analisar os pontos de controlo; Agendar reunies Planear reunies; Elaborar os questionrios e guies p as entrevistas; Realizar as reunies; Elaborar acta das reunies; Analisar as entrevistas; Emitir relatrio da auditoria.

Anlise de reports (relatrios)/ecrs; Obter modelo ou cpia de todos os ecrs/relatrios; Relacionar ecrs e relatrios por utilizador; Elaborar um check-list p levantamento; Marcar data e hora para obter opinies dos utilizadores; Realizar entrevistas e anotar opinies; Analisar as respostas; Emitir opinio. Simulao paralela; Identificao das rotinas a serem auditadas; Elaborao de programa com a mesma lgica; Preparao do ambiente; Aplicao da rotina; Elaborao de relatrio. Anlise de log/accounting; Entrevistar Planeamento responsveis e Controlo pelos da softwares p Bsicos e pelo do Produo conhecimento

software/hardware existentes, layout do log accounting, etc; Decidir a respeito dos parmetros p a utilizao do log/accounting (tipos de verificao, perodo de tempo p auditoria, data do teste, etc); Aplicar o log/accounting; Analisar os resultados e emitir opinio de auditoria.

Anlise do programa fonte; Se o programador cumpriu as normas de padronizao do cdigo (tabelas de rotinas, ficheiros, programas, etc.); Qualidade de estruturao do programa fonte. Esta tcnica requer um grande conhecimento de informtica. Rastreamento de programas;
9

Amostras previstas A. Procedimentos de auditoria apropriados; B. Analisar qualquer erro detectado na amostra; C. Extrapolar os erros encontrados na amostra para a populao; D. Reavaliar o risco de amostragem;

Fiabilidade e Sigilo Os elementos da poltica de segurana devem ser considerados: A Disponibilidade: o sistema deve estar disponvel de forma que quando o usurio necessitar, possa usar. Dados crticos devem estar disponveis ininterruptamente. A Legalidade. A Integridade: o sistema deve estar sempre ntegro e em condies de ser usado. A Autenticidade: o sistema deve ter condies de verificar a identidade dos usurios, e este ter condies de analisar a identidade do sistema. A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado. Depois de identificado o potencial de ataque, a organizao tem que decidir o nvel de segurana a estabelecer para uma rede ou sistema os recursos fsicos e lgicos a necessitar de proteco. No nvel de segurana devem ser quantificados os custos associados aos ataques e os associados implementao de mecanismos de proteco para minimizar a probabilidade de ocorrncia de um ataque.

10

Segurana fsica Considera as ameaas fsicas como incndios, desabamentos, relmpagos, alagamento, acesso indevido de pessoas, forma inadequada de tratamento e manuseio do material.

Segurana lgica Atenta contra ameaas ocasionadas por vrus, acessos remotos rede, backup desactualizados, violao de senhas, etc. Segurana lgica a forma como um sistema protegido no nvel de sistema operacional e de aplicao. Normalmente considerada como proteco contra ataques, mas tambm significa proteco de sistemas contra erros no intencionais, como remoo acidental de importantes arquivos de sistema ou aplicao.

Recomenda-se a adopo das seguintes regras para minimizar o problema, mas a regra fundamental a consciencializao dos colaboradores quanto ao uso e manuteno das senhas. Senha com data para expirao Adopta-se um padro definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usurio a renovar sua senha.

Inibir a repetio Adopta-se atravs de regras predefinidas que uma senha uma vez utilizada no poder ter mais que 60% dos caracteres repetidos, p. ex: senha anterior 123senha nova senha deve ter 60% dos caracteres diferentes como 456seuse, neste caso foram repetidos somente os caracteres s e os demais diferentes.

11

Obrigar a composio com nmero mnimo de caracteres numricos e alfabticos Define-se obrigatoriedade de 4 caracteres alfabticos e 4 caracteres numricos, por exemplo: 1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numricos e os 4 subsequentes alfabticos por exemplo: 1432seus. Criar um conjunto com possveis senhas que no podem ser utilizadas.

7. Recursos necessrios Os recursos da empresa podem ser teis agrupados sob diversas categorias:

Recursos financeiros Recursos financeiros dizem respeito capacidade da empresa para "financiar" a estratgia escolhida. Tal estratgia precisa ser cuidadosamente gerenciado de um financiamento de ponto-de-vista. Capacidade de levantar novos fundos A fora e a reputao da equipa de gesto e os negcios em geral; Fora de relaes com investidores existentes e os credores; Atractividade do mercado em que a empresa opera;

Recursos Humanos O corao do problema com o Recursos Humanos a base de habilidades do negcio. Quais as habilidades que a empresa j possui? Eles so suficientes para atender s necessidades da estratgia escolhida? Poderiam o habilidades-base ser flexionado / esticado para atender s novas exigncias? Da a incluir a avaliao dos seguintes factores:

12

Recursos humanos existentes Nmeros de pessoal por funo, localizao, grau, experincia, qualificao de remunerao; Taxa de perda de pessoal existente ("desgaste natural"); Padro geral de treinamento e normas de formao especfica em papis-chave; Avaliao da chave "intangveis" - por exemplo, a moral, a cultura empresarial;

Recursos fsicos A categoria de recursos fsicos cobre uma ampla gama de recursos operacionais em causa com a capacidade fsica para proporcionar uma estratgia. Estes incluem:

Instalaes Localizao das instalaes existentes, capacidade, necessidades de investimento e de manuteno; Processos de desempenho actual - de qualidade, mtodo e organizao; At que ponto os requisitos de estratgia podem ser entregue por instalaes existentes; Processo de gesto de marketing Os canais de distribuio

Tecnologia da informao Sistemas de TI Integrao com clientes e fornecedores

13

Recursos intangveis fcil ignorar os recursos intangveis de uma empresa para avaliar como entregar uma estratgia - mas pode ser crucial. Intangveis incluem:

Boa vontade A diferena entre o valor dos activos tangveis da empresa e do valor real do negcio (o que algum estaria disposto a pagar por isso)

Reputao O negcio tem um histrico de realizao dos seus objectivos estratgicos? Se assim for, isso poderia ajudar a reunir o apoio necessrio dos funcionrios e fornecedores.

Marcas Marcas fortes so muitas vezes o factor chave para ver se uma estratgia de crescimento um sucesso ou fracasso

14

8. Equipa de Auditoria

CURRICULUM VITAE

NOME: Fernando Salazar Francs FILIAO: Salazar Afonso Francs Maria Madalena Delgado Francs DATA DE NASCIMENTO: 04 de Maio de 1971 NATURALIDADE: Luanda-Angola NACIONALIDADE: Cabo-verdiana ESTADO CIVIL: Divorciado B.I. N: 173296 RESIDNCIA: Ribeira Bote HABILITAES LITERRIAS: Bacharelato em Engenharia Informtica e Automao / Licenciatura em Informtica de Gesto CURSOS: Formao Pedaggica Inicial de Formadores A Pessoa Humana no Centro; Pedagogia de Projectos Proposta Educativa; Educar para os Valores; Escola e Famlia (Misso, Valores e Viso); Projecto Educativo de Escola; Planificao e Sala de Aula; e Sistema Preventivo na Educao da Juventude Introduo Informtica Introduo Msica Aprofundamento Musical Animador Juvenil Teatro e Expresso Corporal. EXPERINCIA PROFISSIONAL: Tcnico/Monitor Informtico. (Inforjovem, CAAJ, Escola Salesiana, Gerao Nova) Coordenador Informtico
15

Tcnico de Manuteno Coordenador Escola de Animadores Comunitrios Encarregado de Biblioteca Escola Salesiana de Artes e Ofcios: Tcnico de Manuteno Docente - Leccionando e coordenando a Disciplina de Utilizao de Computadores do 2 Ciclo (Ano Lectivo 2002 a 2011) TIC Docente do 1 e 2 Ciclo (Plano Modular) Docente na Escola Secundria Willy - Leccionou a Disciplina de Utilizao de Computadores e Matemtica do 3 Ciclo Docente na Escola Secundria Cruzeiro - Leccionou a Disciplina de Utilizao de Computadores do 3 Ciclo. Auditoria Informtica. Auditoria de Gesto. Auditoria Financeira. Certificao CISA

WORKSHOPS: Trabalho de Projectos Expresso Dramtica.

Responsabilidades como Auditor-lder:

Responsvel por todas as fases da auditoria; Participar da seleco dos outros membros da equipe auditora; Preparar o plano de auditoria; Representar a equipe auditora junto administrao do auditado; Definir junto ao cliente o escopo da auditoria; Obter informaes fundamentais; Determinar se os requisitos necessrios para realizao de uma auditoria foram atendidos;
16

Conduzir a auditoria de acordo com as normas; Comunicar o plano a todos os envolvidos; Coordenar a preparao da documentao de trabalho e instruir a equipe; Solucionar problemas surgidos; Reconhecer objectivos inatingveis e relatar as razes ao cliente e ao auditado; Representar a equipe em discusses; Notificar imediatamente o auditado casos de no-conformidades crticas; Relatar os resultados da auditoria de forma clara, conclusiva e dentro do prazo acordado; Apresentar para apreciao o relatrio da auditoria.

NOME: Rosa Helena Delgado Zego FILIAO: Simo Antnio Zego Juliana das Dores Delgado Zego DATA DE NASCIMENTO: 06 de Junho de 1980 NATURALIDADE: Santo Anto NACIONALIDADE: Cabo-verdiana ESTADO CIVIL: Solteira B.I. N: 174258 RESIDNCIA: Ch de Alecrim HABILITAES LITERRIAS: Bacharelato em Planeamento e Administrao dos Transportes Martimos / Licenciatura em Informtica de Gesto CURSOS: Formao Pedaggica Inicial de Formadores Sistemas de Informao Segurana de Informao Certificao CISA

17

EXPERINCIA PROFISSIONAL: Professora de Matemtica no Liceu Janurio Leite Auditoria de sistemas WORKSHOPS: Gesto de Projectos

Responsabilidades como Auditor: Agir de acordo com os requisitos de auditoria aplicveis; Comunicar e esclarecer os requisitos da auditoria; Planear e realizar sua atribuio eficaz e competentemente; Relatar os resultados da auditoria; Verificar a eficcia das aces correctivas adoptadas como resultado da auditoria (caso seja solicitado); Cooperar e apoiar o auditor lder. Seguir instrues do auditor-lder; Colectar e analisar evidncias de auditoria relevantes e em quantidade suficiente para chegar s concluses da auditoria; Preparar documentos de trabalho; Documentar cada constatao da auditoria; Resguardar os documentos da auditoria; Auxiliar na redaco do relatrio de auditoria.

18

9. Calendrio/Plano detalhado para realizao da auditoria Data Horrio reas da Empresa Reunio Geral 02/Mai/2012 04/Mai/2012 07/Mai/2012 09/Mai/2012 11/Mai/2012 14/Mai/2012 16/Mai/2012 18/Mai/2012 21/Mai/2012 23/Mai/2012 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 10:00 12:00 Todas Sala de Reunies Local

Contactos/Recolha de Informaes Gabinete Gab.de Estudos, Estratgia e Comunicao Gabinete Gabinete de Auditoria e Qualidade de Servio Gabinete Jurdico Direco Administrativa e Financeira Direco de Sistemas de Informao Dir. de Rec. Hum .e Desenv. Organizacional Direco das UPS Direco de Contribuies Direco de Prestaes Sociais Gabinete Direco Direco Direco UPS Balces de Atendimento Seco de Inscries Seco de Registos Seco de Subsdios Seco de Penses Seco de Evacuaes e Marcao de Consultas Seco de Reembolsos Seco de Fiscalizao Seco de Gesto da Dvida e Cobrana
19

25/Mai/2012

10:00 12:00

Direco de Assistncia na Doena

28/Mai/2012

10:00 12:00

Direco de Fiscalizao

Execuo dos Trabalhos 8:00 12:00 04/Jun/2012 14:00 16:00 8:00 12:00 06/Jun/2012 08/Jun/2012 11/Jun/2012 14:00 16:00 8:00 12:00 8:00 12:00 Gabinete de Auditoria e Qualidade de Servio Gabinete de Estudos, Estratgia e Comunicao Gabinete Jurdico Direco Administrativa e Financeira Direco de Recursos Humanos e Desenvolvimento Organizacional Direco das UPS Direco de Contribuies Direco de Prestaes Sociais Direco de Assistncia na Doena Direco de Fiscalizao Gabinete

Gabinete Gabinete Direco

13/Jun/2012

8:00 12:00

Direco

15/Jun/2012 18/Jun/2012 20/Jun/2012 22/Jun/2012 25/Jun/2012

10:00 12:00 8:00 12:00 8:00 12:00 8:00 12:00 8:00 12:00

UPS Balces de Atendimento Seco de Inscries Seco de Registos Seco de Subsdios Seco de Penses Seco de Evacuaes e Marcao de Consultas Seco de Reembolsos Seco de Fiscalizao Seco de Gesto da Dvida e Cobrana
20

27/Jun/2012 28/Jun/2012

8:00 13:00 8:00 13:00

Direco de Sistemas de Informao

Direco

16/Julho/2012 31/Julho/2012

Apresentao do Relatrio Concluso dos Trabalhos

21

II. PROPOSTA FINANCEIRA 1. Oramento relativos a custos dos trabalhos de acordo com prazo/hora

Total Horas Auditor lder Auditor Total 76 76

Custo/Hora 8.000$00 6.000$00

Total 608.000$00 456.000$00 1.064.000$00

Custo de deslocao/Transporte 12.000$00 Preparao e Elaborao dos Relatrios 50.000$00 Total a receber 1.126.000$00 2. Modalidade de pagamento Transferncia bancria (BCA): conta ASI, Lda. n 67222457 3. Forma de Pagamento Em modalidade de prestaes: 1 Prestao Inicio da Auditoria (363.500$00) 2 Prestao Depois da entrega do Relatrio (363.500$00)

4. Honorrios para trabalhos adicionais

Custo/Hora Auditor lder Auditor 8.000$00 6.000$00

Custo de deslocao/Transporte 300$00/deslocao Preparao e ajustes dos Relatrios 20.000$00

22