Instituto de Cincias Exatas Departamento de Cincia da Computao Curso de Especializao em Gesto da Segurana da Informao e Comunicaes

ANTONIO AUGUSTO SILVA PRATES

AVALIAO DA SEGURANA EM TRANSAES ELETRNICAS COM APLICAO DE FERRAMENTAS CAAT

Braslia 2011

Antonio Augusto Silva Prates

AVALIAO DA SEGURANA EM TRANSAES ELETRNICAS COM APLICAO DE FERRAMENTAS CAAT

Braslia 2011

Antonio Augusto Silva Prates

AVALIAO DA SEGURANA EM TRANSAES ELETRNICAS COM APLICAO DE FERRAMENTAS CAAT

Monografia apresentada ao Departamento de Cincia da Computao da Universidade de Braslia como requisito parcial para a obteno do ttulo de Especialista em Cincia da Computao: Gesto da Segurana da Informao e Comunicaes. Orientador: Prof. ME. Domingos Svio Apolnio Santos Universidade de Braslia Instituto de Cincias Exatas Departamento de Cincia da Computao

Braslia Outubro de 2011

Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da Metodologia Brasileira de Gesto da Segurana da Informao e Comunicaes - CEGSIC 2009/2011. 2011 Antonio Augusto Silva Prates. Qualquer parte desta publicao pode ser reproduzida, desde que citada a fonte.

Prates, Antonio Augusto Silva Avaliao da segurana em transaes eletrnicas com aplicao de ferramentas CAAT / Antonio Augusto Silva Prates. Braslia: O autor, 2011. 54 p.; Ilustrado; 25 cm. Monografia (especializao) Universidade de Braslia. Instituto de Cincias Exatas. Departamento de Cincia da Computao, 2011. Inclui Bibliografia. 1. Auditoria. 2. Transaes eletrnicas. 3. Ferramentas CAAT. I. Ttulo. CDU 004.056

Dedicatria

A Pryscila, companheira inseparvel e Ana Lia, filha querida, duas dedicadas lutadoras.

Agradecimentos

A Deus, por permitir-me fazer o possvel reservando para Si as tarefas impossveis. A minha esposa e filha, pela pacincia, compreenso e apoio nas horas em que necessitei de tempo para dedicar-me ao estudo. Obrigado tambm aos demais familiares que sempre me incentivaram durante a jornada. Ao meu orientador, Prof. Domingos Svio, minha gratido pelo empenho e dedicao nesse processo de aprendizagem e pesquisa. Meu agradecimento pela amizade e pelas valiosas e qualificadas sugestes de melhorias. Aos colegas do curso de especializao que me apoiaram constantemente. Aos professores e funcionrios da Universidade de Braslia pelo empenho em superar as dificuldades. Aos colegas da Auditoria Interna do Banco do Brasil pelas sugestes de pesquisa e subsdios fornecidos. Ao Banco do Brasil S.A. pelo suporte financeiro. Ao Gabinete de Segurana Institucional da Presidncia da Repblica e ao Departamento de Segurana da Informao e Comunicaes por promoverem em conjunto com a Universidade de Braslia o Programa de Formao de Especialistas para a Elaborao da Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes, sem os quais este curso no existiria. Meu agradecimento pela ajuda que cada um prestou na construo deste trabalho.

Quanto melhor adquirir a sabedoria do que o ouro! E quanto mais excelente escolher o entendimento do que a prata! Provrbios 16:16

Lista de Figuras

Figura 1: Fases da Auditoria por Anlise de Dados. .................................................25 Figura 2: Ciclo de utilizao indevida de transaes.................................................29 Figura 3: Relao entre regras de negcio e uso indevido de transaes................30 Figura 4: Ficha de avaliao de transaes do Sistema A .....................................49 Figura 5: Ficha de avaliao de transaes do Sistema B .....................................50 Figura 6: Ficha de avaliao de transaes do Sistema C .....................................51 Figura 7: Ficha de avaliao de transaes do Sistema D .....................................52

Sumrio

Ata de Defesa de Monografia......................................................................................3 Dedicatria ..................................................................................................................4 Agradecimentos ..........................................................................................................5 Lista de Figuras...........................................................................................................7 Sumrio .......................................................................................................................8 Resumo .....................................................................................................................11 Abstract .....................................................................................................................12 1 Delimitao do Problema .......................................................................................13 1.1 Introduo........................................................................................................13 1.2 Formulao da questo de pesquisa...............................................................15 1.3 Objetivos e escopo ..........................................................................................15 1.3.1 Objetivo Geral ...........................................................................................15 1.3.2 Objetivos Especficos ................................................................................15 1.3.3 Escopo ......................................................................................................15 1.4 Justificativa ......................................................................................................15 1.5 Hiptese...........................................................................................................16 2 Reviso de Literatura e Fundamentos ...................................................................17 2.1 Risco, Controle e Auditoria ..............................................................................17 2.2 Segurana da Informao................................................................................18 2.2.1 Segurana da informao .........................................................................18

2.2.2 Princpios bsicos de segurana da informao .......................................18 2.2.3 Segurana da informao e auditoria em TI .............................................21 2.3 Auditoria de Tecnologia da Informao ...........................................................21 2.3.1 Consideraes sobre auditoria..................................................................21 2.3.2 Objetivos da auditoria de TI ......................................................................22 2.3.3 Atividades bsicas da auditoria de TI........................................................23 2.4 Auditoria em Transaes Eletrnicas por meio de Anlise de Dados .............24 2.4.1 Fases da auditoria por anlise de dados...................................................24 2.4.2 Ferramentas CAAT ...................................................................................26 2.4.3 Auditoria em transaes eletrnicas .........................................................27 3 Metodologia............................................................................................................31 3.1 Abordagem e tipo de pesquisa ........................................................................31 3.2 Delineamento da Pesquisa ..............................................................................31 3.3 Mtodos e tcnicas de pesquisa......................................................................32 3.3.1 Para definio da metodologia a ser aplicada...........................................32 3.3.2 Para aplicao da metodologia escolhida .................................................32 3.4 Delimitao do caso ........................................................................................35 3.5 Limitaes da pesquisa ...................................................................................35 4 Resultados .............................................................................................................36 4.1 Definio da metodologia ................................................................................36 4.2 Aplicao da metodologia................................................................................37 4.2.1 Avaliao do Sistema A ..........................................................................37 4.2.2 Avaliao do Sistema B ..........................................................................38 4.2.3 Avaliao do Sistema C..........................................................................38 4.2.4 Avaliao do Sistema D..........................................................................39 5 Discusso...............................................................................................................40 5.1 Metodologia Adotada .......................................................................................40

5.2 Aplicao da Metodologia................................................................................40 5.2.1 Identificao das Transaes Eletrnicas .................................................41 5.2.2 Existncia, Clareza e Disponibilidade das Regras de Negcio .................42 5.2.3 Classificao da Transao Eletrnica .....................................................42 5.2.4 Restrio de Acesso da Transao Eletrnica..........................................42 5.2.5 Restrio de Uso da Transao Eletrnica (TE) .......................................43 5.2.6 Acompanhamento e Monitoramento da Transao Eletrnica..................43 6 Concluses e Trabalhos Futuros............................................................................44 6.1 Concluses ......................................................................................................44 6.2 Trabalhos Futuros............................................................................................45 Referncias e Fontes Consultadas ...........................................................................46 Apndice ...................................................................................................................49

Resumo

O presente trabalho trata da auditoria de segurana em transaes eletrnicas com o emprego de ferramentas CAAT. O objetivo principal mostrar como avaliar com agilidade a segurana de transaes eletrnicas por meio da utilizao desse tipo de ferramenta. Dessa forma, foi realizado estudo de caso, constitudo inicialmente por ampla reviso terica sobre auditoria, risco e controle, segurana da informao, anlise de dados e transaes eletrnicas. Foram correlacionados estudos que convergiram para o desenvolvimento de uma metodologia de auditoria em transaes eletrnicas com uso de CAAT. Para aplicao dessa metodologia, foram escolhidos quatro sistemas financeiros contbeis totalizando quarenta e uma transaes eletrnicas. Aps delimitado o escopo, efetuou-se a coleta e anlise de dados por meio de ferramenta CAAT seguida de entrevistas, com a finalidade de identificar riscos segurana da informao. Os achados obtidos foram relatados aos gestores para adoo de providncias cabveis. Ao final, conclui-se que a associao de ferramentas eletrnicas de anlise de dados, com tcnicas de auditoria, possibilita identificar falhas e fragilidades com brevidade, agilizando a adoo de medidas corretivas para reduo de riscos relacionados segurana da informao. Palavras-chave: Auditoria, Anlise de Dados, CAAT, Segurana da Informao, Transaes Eletrnicas.

Abstract

This work describes the security audit of electronic transactions with the use of CAAT tools. The main objective is to show how to evaluate with agility, the security of electronic transactions by use of this tool. To that end, was conducted a case study initiated by extensive theoretical review about audit, risk and control, information security, data analysis and electronic transactions. Were correlated studies that converged on the development of an audit methodology in electronic transactions with the use of CAAT. For application of this methodology, were chosen four financial accounting systems totaling forty-one electronic transactions. After defined the scope, performed the data collection and analysis using CAAT tool and followed by interviews, with the purpose of identify threats to information security. The findings were reported for managers to adopt appropriate measures. At the end, it is concluded that the combination of electronic tools for data analysis with audit techniques, allows identify faults and weaknesses with briefness, speeding the adoption of corrective measures to reduce risks associated to information security. Keywords: Auditing, Data Analysis, CAAT, Information Security, Electronic Transactions

13

1 Delimitao do Problema

O uso crescente da tecnologia da informao nas diversas reas da administrao pblica federal proporciona aos rgos de controle a necessidade de adequar as ferramentas utilizadas em seus procedimentos de auditoria. Novas opes esto sendo desenvolvidas para auxiliar e aprimorar os trabalhos executados pelos auditores (ARRIAL, 2009, p. 7). Nesse sentido, estudos so conduzidos no campo da auditoria de TI, especificamente na rea de anlise de dados, para o aperfeioamento das tcnicas de auditoria assistidas por computador (TAAC). As TAAC ou CAAT (do ingls, Computer Assisted Audit Techniques) empregam o computador como ferramenta operacional para extrao e anlise de dados, conferindo maior eficincia e eficcia aos trabalhos das equipes de auditoria (ARRIAL, 2009, p.7). Na Unidade de Auditoria Interna onde se desenvolveu o presente estudo, observa-se a utilizao dessas tcnicas por parte de sua equipe de auditores, notadamente aps a implementao de treinamentos internos sobre o assunto ao longo dos anos de 2009 a 2011.

1.1 Introduo
A utilizao de aplicaes tecnolgicas em organizaes tem se baseado no desenvolvimento de transaes eletrnicas que reproduzem as situaes reais no ambiente virtual, com vistas a substituir dispendiosos processos manuais por processos eletrnicos (PINTO, 2009, p. 28). Uma transao eletrnica pode ser definida como um conjunto de comandos programados para consultar, inserir, excluir ou alterar um ou mais registros em um

14

banco de dados, sendo um atributo pertencente ao processo/negcio/atividade que a comporta (SANTOS, 2009). A informao sobre a execuo dessas transaes armazenada sob a forma de registros em banco de dados. Tais registros acabam por gerar grande volume de dados e representam um desafio tanto para armazenamento quanto para o tratamento e a gerao de informaes (PINTO, 2009, p. 13). A questo que se apresenta como este volume de dados pode ser utilizado pelos gestores para tomar decises, descobrir novas relaes entre fenmenos que, em um primeiro momento, no so evidentes, bem como identificar padres de comportamentos. A soluo desse desafio no nica, mas com certeza a cincia estatstica e da computao estaro presentes em muitas das propostas que sero apresentadas (PINTO, 2009, p. 13). No ambiente de auditoria, essa questo tambm est presente. Prover mecanismos que possibilitem transformar uma profuso de dados em informaes relevantes de forma clere e com qualidade fundamental em todos os trabalhos do gnero. Nesse contexto, a Auditoria por Anlise de Dados, por meio de ferramentas CAAT, apresenta-se como abordagem alternativa frente aos desafios dos cenrios organizacionais (HANASHIRO, 2007) seja pela profuso de dados como pela dificuldade em avaliao in-loco de evidncias. Em linhas gerais, a metodologia de auditoria prev inicialmente o entendimento do processo, seus principais riscos passveis de monitorao e os investimentos necessrios para auditoria de aspectos relevantes. Os mtodos utilizados atualmente para auditoria variam desde a verificao de relatrios e demais documentos at a utilizao de sistemas de monitoramento informatizados com parmetros definidos previamente. Aps a definio dos riscos, aprofundado o entendimento das informaes disponveis para elaborao dos futuros testes. Depois de os testes serem definidos, testados e aprovados os testes, elaboram-se os procedimentos de acesso, captura, tratamento e verificao de integridade dos dados, para permitir o clculo e o relato. Neste momento, as ferramentas computacionais (CAAT) assumem um papel relevante, pois permitem, alm da execuo dos testes, a captura e verificao de integridade sobre grandes bases de dados por vezes de origens distintas, e contemplando os relacionamentos de causa-efeito existentes ou simulados (IMONIANA, 2005).

15

1.2 Formulao da questo de pesquisa

Como avaliar de forma gil os aspectos de segurana de transaes eletrnicas?

1.3 Objetivos e escopo

1.3.1 Objetivo Geral Este trabalho objetiva mostrar como avaliar com agilidade a segurana de transaes eletrnicas em seus aspectos de confidencialidade, integridade e disponibilidade, por meio da utilizao de ferramentas CAAT. 1.3.2 Objetivos Especficos So objetivos especficos deste trabalho acadmico: 1. Relacionar os principais aspectos inerentes aos controles internos, segurana da informao e auditoria de tecnologia da informao em sistemas financeiros; 2. Analisar os procedimentos usualmente empregados em auditoria e sua execuo com a utilizao de ferramentas computacionais de anlise de dados; 3. Auxiliar os gestores na identificao de riscos segurana da informao, inerentes ao uso de transaes eletrnicas em sistemas corporativos. 1.3.3 Escopo Em virtude da complexidade e caractersticas distintas de outras organizaes da Administrao Pblica Federal, este trabalho est circunscrito anlise do ambiente interno de um Banco, seus sistemas corporativos e metodologia de auditoria interna.

1.4 Justificativa
A utilizao de transaes eletrnicas, em substituio a procedimentos manuais, largamente empregada nas organizaes, especialmente financeiras. Seguindo esta prtica, o Banco tem desenvolvido sistemas corporativos e de negcios com nmero cada vez maior de transaes com o intuito de obter qualidade nos produtos e servios, agilidade no atendimento e satisfao dos usurios (clientes, fornecedores, funcionrios ou a comunidade em geral).

16

O emprego dessas transaes traz, alm dos benefcios citados, os riscos de segurana inerentes ao processo de automatizao. Avaliar as transaes eletrnicas, a fim de prover subsdios para minimizao do risco, torna-se oportuno e relevante para a organizao, contribuindo para a segurana de seus ativos. Aliado ao exposto, os aspectos regulatrios, tais como os normativos do Banco Central do Brasil (Bacen), Comisso de Valores Mobilirios (CVM) e a legislao brasileira, ressaltam a importncia da pesquisa realizada como forma de auxlio na preveno a eventos que possam gerar restries ou penalidades instituio e elevao dos riscos.

1.5 Hiptese
Este trabalho prope verificar a hiptese de que a utilizao de tcnicas de auditoria assistidas por computador, em conjunto com outras tcnicas usualmente empregadas, permite avaliar com agilidade aspectos de confidencialidade, integridade e disponibilidade em transaes eletrnicas dos sistemas informatizados de uma organizao.

17

2 Reviso de Literatura e Fundamentos

2.1 Risco, Controle e Auditoria

Na quase totalidade das empresas, as atividades de negcios so suportadas por processos automatizados. O sucesso de uma dada organizao est cada vez mais dependente do funcionamento ininterrupto e adequado dos processos de negcios amparados pela Tecnologia da Informao (ROSSI et al, 2004, p.9). Segundo Hanashiro (2007, p 39), os controles so definidos pela totalidade das polticas, procedimentos e prticas institudas pela Administrao, para assegurar que os riscos inerentes s atividades da instituio sejam identificados e gerenciados adequadamente, com a finalidade maior de fornecer razovel garantia Administrao de que os objetivos do negcio esto sendo continuamente alcanados. So, portanto, mecanismos de gesto que devem permear as operaes e atividades crticas de forma ampla, gerenciada e eficaz, e devem ser adaptveis s necessidades prprias de cada organizao (HANASHIRO, 2007, p. 39). Assim, o sucesso de uma organizao passa, fundamentalmente, por um sistema de controles internos que permita identificar e gerenciar os riscos operacionais, bem como adequar polticas e procedimentos internos para atenderem s regulamentaes com as quais esto submetidas (HANASHIRO, 2007, p. 39). Em um processo de Auditoria, o Auditor Interno deve atuar em todos os aspectos de TI para avaliar os riscos e os controles aos quais os ativos da organizao estejam submetidos (ROSSI et al, 2004, p. 9).

18

2.2 Segurana da Informao

2.2.1 Segurana da informao Em meados de 1960, os sistemas computacionais passaram a substituir os procedimentos manuais, por meio de ferramentas destinadas tanto para o gerenciamento de informaes quanto ao processamento de dados corporativos. Desde aquela poca, os avanos tecnolgicos vm contribuindo para o crescimento do mundo dos negcios, seja com o aumento da capacidade de armazenamento e de processamentos dos computadores de grande porte, com a ampliao do uso dos microcomputadores e das redes de sistemas distribudos ou mesmo com a presena de usurios cada vez mais conhecedores das ferramentas computacionais (DIAS, 2000, p. 9). Por essa razo a informao vem se transformando no principal ativo das organizaes que tm a Tecnologia da Informao (TI) como suporte aos negcios e/ou como seu prprio produto. medida que aumenta a dependncia das empresas em relao TI, cresce tambm a preocupao com a segurana de suas informaes (ativos), devido a sua importncia para o alcance da misso e dos objetivos organizacionais. De acordo com Beal (2008, p. 1), as informaes crticas para o negcio precisam ser protegidas, como qualquer outro ativo importante para a organizao, contra as ameaas que podem levar sua destruio, indisponibilidade, alterao ou divulgao no autorizada. Nesse contexto, a segurana da informao pode ser entendida como o processo de proteger informaes das ameaas para a sua integridade, disponibilidade e confidencialidade (BEAL, 2008, p. 1) e que visa, com isso, preservar os ativos de informao de uma dada organizao. O profissional requerido para atuar na rea de segurana da informao deve trabalhar em sintonia com a atividade fim da empresa e ouvir as pessoas, de modo a compreender e saber como aplicar as tecnologias de acordo com as suas necessidades, estratgias de negcios e segurana (NAKAMURA E GEUS, 2007). 2.2.2 Princpios bsicos de segurana da informao A segurana da informao tem como propsito preservar ativos de informao, considerando trs objetivos essenciais: confidencialidade, integridade e disponibilidade, detalhados por Beal (2008, p. 1):

19

Confidencialidade: garantia de que o acesso informao restrito aos seus usurios legtimos. Integridade: garantia da criao legtima e da consistncia da informao ao longo do seu ciclo de vida, em especial, preveno contra acesso, alterao ou destruio no autorizada de dados e informaes. O objetivo de autenticidade da informao englobado pelo de integridade, quando se assume que este visa a garantir no s que as informaes permaneam completas e precisas, mas tambm que a informao capturada do ambiente externo tenha sua fidedignidade verificada e que a criada internamente seja produzida apenas por pessoas autorizadas e atribuda unicamente ao seu autor legtimo. Disponibilidade: garantia de que a informao e os ativos associados estejam disponveis para os usurios legtimos de forma oportuna. Beal (2008, p. 3) destaca que nem todos os objetivos da segurana da

informao so aplicados, ao mesmo tempo e com a mesma intensidade, a todo tipo de informao e em todas as etapas do ciclo de vida da informao, bem como ao longo do tempo. A nfase dada a cada objetivo vai depender do propsito da informao. Por exemplo, uma informao estratgica da organizao requerer controles rgidos quanto confidencialidade da informao durante a sua fase de elaborao. Esses esforos, no entanto, sero dirimidos a partir do momento que a estratgia for executada e divulgada para a comunidade em geral. Sendo a maior parte da informao armazenada em computadores, um impacto produzido pela ocorrncia de eventos que coloquem em xeque a confiana nesses dados resultar, em ltima instncia, a continuidade ou no do sistema (BEAL, 2008, p. 8). Uma organizao deve, portanto, preocupar-se com a segurana dos componentes de TI e das informaes neles armazenados por quatro razes principais (Beal, 2008, p. 8): Dependncia da tecnologia da informao. Sistemas que ofeream servios adequados e no tempo certo so a chave para a sobrevivncia da maioria das organizaes contemporneas. Sem seus computadores e sistemas de comunicao, as organizaes seriam incapazes de fornecer servios, processar faturas, contatar fornecedores e clientes ou efetuar pagamentos. Os sistemas de informao tambm armazenam dados

20

sigilosos, que, se tornados pblicos, poderiam causar prejuzos e em alguns casos o fracasso da organizao. Vulnerabilidade da infra-estrutura tecnolgica. Hardware e software exigem um ambiente estvel, podendo ser danificados por desastres naturais, como fogo, inundao ou terremotos, falhas no controle da temperatura ou do suprimento da energia eltrica, acidentes ou sabotagens. Muitos equipamentos de TI so alvos de ladres por serem portteis, apresentarem uma relao valor/peso bastante elevada e por serem facilmente vendidos. Alto valor da informao armazenada. Os sistemas baseados em TI so as chaves para o acesso a vastas quantidades de dados corporativos, tornando-se um alvo atraente para hackers, espies e at mesmo empregados dispostos a usar de seus privilgios em troca de dinheiro ou vantagem oferecida por um concorrente. Pouca ateno dada segurana nos estgios iniciais do desenvolvimento de software. Muitos sistemas de informao sejam desenvolvidos internamente, ou por terceiros, no so projetados tendo em vista a segurana como uma de suas prioridades. comum que caractersticas de segurana (por exemplo, relacionadas definio de nveis de permisso de acesso a funcionalidades, segregao de atividades no sistema etc.) sejam adicionadas nas etapas finais de desenvolvimento, quando sua eficcia j pode ter sido prejudicada por decises de projeto tomadas sem levar em conta os requisitos de segurana. As ameaas a que esto submetidas as informaes corporativas no so eliminadas somente por meio da segurana da informao baseada em TI. O mapeamento das informaes crticas na organizao, contidas fora dos sistemas informatizados, proporcionar aos responsveis pela segurana desses ativos planejar e implementar aes necessrias para a sua proteo (BEAL, 2008, p. 9). Para manter os ativos de informao protegidos, as organizaes devem adotar controles de segurana que garantem a proteo de seus recursos (BEAL, 2008, p. 10). A fim de obter xito nesse empreendimento, toda organizao precisa adquirir uma viso sistmica das suas necessidades de segurana, dos recursos a serem protegidos e das ameaas s quais est sujeita, para ento poder identificar

21

as medidas de proteo mais adequadas, economicamente viveis e capazes de reduzir ou eliminar os principais riscos para o negcio (BEAL, 2008, p. 10). 2.2.3 Segurana da informao e auditoria em TI Beal (2008, p.10) destaca que a preocupao com os controles e mecanismos de proteo dos ativos de TI deve permear todos os trabalhos de auditoria, requerendo do auditor, especial ateno quanto efetividade dos procedimentos adotados pela organizao em relao ao objeto que est avaliando em seu trabalho (processo, servio, sistema, atividade etc.), observando, mesmo que indiretamente, os aspectos relacionados segurana. Em relao segurana dos componentes de TI, devem ser realizadas auditorias peridicas, por indivduos no vinculados s atividades auditadas, com o intuito de verificar o atendimento aos princpios e diretrizes estabelecidos pela poltica de segurana da informao. Beal (2008, p.10) sugere, ainda, a realizao de auditorias internas e externas para garantir a independncia das anlises.

2.3 Auditoria de Tecnologia da Informao

2.3.1 Consideraes sobre auditoria Para compreender o papel da auditoria nas organizaes, e em especial o da auditoria de tecnologia da informao, faz-se necessrio, inicialmente, identificar as suas caractersticas e formas de atuao. A auditoria auxilia a organizao a alcanar seus objetivos adotando uma abordagem sistemtica e disciplinada para a avaliao e melhoria da eficcia dos processos de gerenciamento de riscos, de controle, e governana corporativa (IIA, 2004, p. 9). As categorias mais comuns so: auditoria interna; auditoria externa e auditoria articulada (DIAS, 2000, p.11). A auditoria interna uma atividade de avaliao independente, de assessoramento e consultoria administrao das empresas pblicas e privadas, realizada por funcionrios do prprio quadro da organizao. Segundo o Institute of Internal Auditors (IIA, 2004, p. 9), auditoria interna uma atividade independente, e objetiva que presta servios de avaliao (assurance) e de consultoria e tem como objetivo adicionar valor e melhorar as operaes de uma organizao.

22

A auditoria externa, de acordo com Dias (2000, p. 11), realizada por instituio externa e independente da entidade fiscalizada, com o objetivo de emitir um parecer sobre a gesto de recursos da entidade, sua situao financeira, a legalidade e regularidade de suas operaes. Os trabalhos desenvolvidos pelas auditorias internas e externas so semelhantes. As duas categorias, dentre outros aspectos comuns, fazem uso das mesmas tcnicas de auditorias; e tem os controles internos da organizao como direcionadores de seus trabalhos alm de apresentam sugestes de melhorias frente s fragilidades observadas (DIAS, 2000, p.11). A terceira categoria a articulada, que resulta do trabalho conjunto de auditorias internas e externas (DIAS, 2000, p. 11). 2.3.2 Objetivos da auditoria de TI O processo de auditoria de TI, busca o entendimento do objeto auditado com o intuito de conhecer os riscos a que est sujeito e suas principais medidas de controles adotadas - avaliando a sua adequao, o seu funcionamento, sua efetividade e suas potenciais e reais conseqncias, na ocorrncia de um evento no desejado, da mesma maneira que a auditoria em geral. Assim, a auditoria de TI permite realizar avaliao dos controles institudos pela organizao, possibilitando identificar fragilidades e estimular a correo dos problemas ou das no conformidades apuradas (HANASHIRO, 2007, p.78). Atuando em todos os sistemas de informao da organizao, nos nveis estratgicos, gerencial e operacional, a auditoria de TI tem como linhas mestras de atuao: Auditoria de sistemas em produo: abrange os procedimentos e resultados dos sistemas de informao j implantados (caractersticas: preventiva, detectiva e corretiva). Auditoria durante o desenvolvimento de sistemas: abrange todo o processo de construo de sistemas de informao, desde a fase de levantamento do sistema a ser informatizado at o teste e implantao (caracterstica preventiva). Auditoria do ambiente de tecnologia da informao: abrange a anlise do ambiente de informtica em termos de estrutura orgnica, contratos de

23

software e hardware, normas tcnicas e operacionais, custos, nvel de utilizao dos equipamentos e planos de segurana e de contingncia. Auditoria de eventos especficos: abrange a anlise da causa, da conseqncia e da ao corretiva cabvel, de eventos localizados que no se encontram sob auditoria, detectados por outros rgos e levados ao seu conhecimento (caracterstica corretiva) (SCHMIDT; SANTOS; ARIMA, 2006, p. 22-23). 2.3.3 Atividades bsicas da auditoria de TI De acordo com Hanashiro (2007, p. 31), as principais reas Auditoria de TI so: Auditoria de Dados: Aes de controle cujo objeto uma base de dados a ser analisada com o auxlio de um software de anlise de dados (ex. ACL1) utilizando-se critrios estabelecidos em funo da informao presente na base de dados. Auditoria de Infra-Estrutura: Aes de controle cujo objeto a infraestrutura tecnolgica (ex. sistema operacional, redes, etc.), exigindo conhecimento tcnico aprofundado da rea. Auditoria de Gesto de TI: Aes de controle cujo objeto a prpria Gesto da TI, envolvendo anlise das atividades de planejamento, execuo e controle dos processos de TI da Unidade examinada. Auditoria de Segurana: Aes de controle envolvendo anlise ou contratos cujos objetos so bens ou servios de TI. Auditoria de Aplicativos: Aes de controle envolvendo a anlise de software tanto do ponto de vista operacional quanto do ponto de vista legal (HANASHIRO, 2007, p. 31). Essa diversidade de reas de atuao exige que o auditor tenha amplos conhecimentos em TI ou que se formem equipes com componentes que possuem conhecimentos requeridos pelas reas que compem o escopo do trabalho de auditoria a ser realizado.

ACL (Audit Command Language - http://www.acl.com/) uma ferramenta utilizada para extrao e anlise de dados, deteco de fraudes e monitoramento, desenvolvida no Canad pela empresa ACL Service.

24

2.4 Auditoria em Transaes Eletrnicas por meio de Anlise de Dados

2.4.1 Fases da auditoria por anlise de dados As etapas da auditoria por anlise de dados seguem os mesmos princpios adotados pelas demais reas de auditoria. A seguir, sero apresentados os passos necessrios para realizao de um trabalho com essa abordagem. Todo trabalho de auditoria comea de uma necessidade previamente identificada e relevante para a organizao, que passa a ser o fato direcionador para sua realizao. Um exemplo seria o aumento da ocorrncia de fraudes utilizando o autoatendimento via internet de uma dada organizao financeira. Uma vez apresentada uma necessidade da organizao, definido o objeto de trabalho que ser analisado. Um exemplo relacionado a uma instituio financeira seria anlise da evoluo da ocorrncia de fraudes via internet em um determinado perodo. O passo seguinte o estabelecimento, de forma clara, dos objetivos e do escopo almejados. Segundo Pinto (2009, p. 39), enquanto os objetivos esto vinculados com os resultados esperados ao final da anlise de dados, o escopo define a abrangncia e os delimitadores do trabalho, devendo ser suficiente para atender aos objetivos da demanda de auditoria. Definidos objeto, objetivo e escopo do trabalho, na etapa seguinte sero elaborados os testes utilizados na obteno de informaes que suportaro as concluses do trabalho. Estabelecidos os testes, o prximo passo a modelagem (definio) de bases de dados (atributos, formatos, periodicidade, filtros etc.) que sero extradas dos repositrios corporativos. A escolha da ferramenta que ser utilizada na anlise de dados dever considerar a dimenso do arquivo gerado, os testes que sero realizados (sua complexidade: anlise estatstica, relacionamento de arquivos com muitos registros etc.), a experincia do auditor, bem como questes relacionadas documentao dos procedimentos de anlise (registros das que suportaro as concluses). Definida a ferramenta, o passo seguinte a preparao da base que ser analisada. Um momento importante no trabalho de auditoria por anlise de dados a validao da base solicitada. O auditor no deve partir do princpio de que dados

25

extrados de ambientes computacionais, por si s, so confiveis. Para serem utilizados, os dados devem ser completos (sem omisses ou incluses indevidas capazes de distorcer as anlises) e exatos (sem incorrees significativas nos valores atribudos), bem como representativos. A determinao da confiabilidade dos dados deve ocorrer independentemente do responsvel pela sua gerao, e ser iniciada ainda na fase de planejamento da auditoria. Caso os dados que sero utilizados no forem suficientemente confiveis para o alcance dos objetivos da auditoria, eles no podero ser utilizados como evidncia (TCU, 1998, p.16). Uma vez validada a base de dados, o prximo passo a aplicao dos testes previamente elaborados para o trabalho, cujos resultados devero suportar as concluses e atender os objetivos propostos da auditoria. Os resultados dos testes e demais evidncias que subsidiaram o trabalho de Auditoria por Anlise de Dados devem ser adequadamente registrados, permitindo a pesquisa de quaisquer informaes quando for requerida. A finalizao do trabalho de Auditoria por Anlise de Dados ocorre no momento da comunicao dos seus resultados, com a confeco do relatrio de auditoria, com a emisso das recomendaes ou mesmo por meio de informe para outras reas de auditoria relatando os seus achados. As fases da Auditoria por Anlise de dados so descritas na Figura 1.
Motivadores do Trabalho Objeto Objetivos

Escopo

Elaborao dos Testes

Especificao das bases de dados

Obteno dos dados

Escolha da ferramenta e prep. dos dados

Validao das bases de dados

Aplicao dos testes

Documentao

Comunicao dos resultados

Figura 1: Fases da Auditoria por Anlise de Dados (Fonte: Pinto, 2009, p. 39).

26

2.4.2 Ferramentas CAAT O excesso de informaes uma realidade que ao invs de contribuir para o nosso entendimento sobre o ambiente que nos cerca, pode, ao contrrio, atrapalharnos se no dispormos de uma ferramenta capaz de filtrar e customizar essa profuso de dados em atendimento aos nossos propsitos. Nesse sentido, pode-se afirmar que impossvel viver sem os computadores e que no momento precisamos de softwares com capacidade necessria para auxiliar-nos na rdua tarefa de tratamento das informaes (DELOITTE, 2001, p. 47). No contexto da auditoria essa constatao tambm est presente. Por isso, o uso de tcnicas de auditoria com auxlio do computador, torna-se cada vez mais indispensvel, pois propicia economia de tempo e, conseqentemente, reduo de custos (DELOITTE, 2001, p. 47). As tcnicas de auditoria auxiliadas por computador possibilitam a realizao de um conjunto de procedimentos teis na execuo de auditorias, podendo ser aplicadas em testes de controles gerais, testes de detalhes de transaes, testes analticos e substantivos, e amostragem. Alm disso, elas auxiliam na extrao, sorteio, seleo de dados e transaes, atentando para discrepncias (duplicidades, dados ausentes, formatos invlidos) e desvios (HANASHIRO, 2007). De acordo com Imoniana (2006) e Hanashiro (2007), as ferramentas CAATs podem ser classificadas em generalistas, especialistas e utilitrias. As generalistas possuem aplicaes variadas como extrao de dados, sumarizao, testes globais, apontamento de duplicidades, seleo de amostra. Alm disso, existem aquelas voltadas para os processos e fases da auditoria, contemplando desde a etapa de planejamento at a gerao de relatrio. So exemplos de aplicaes generalistas o ACL (ACL, 2011), o PICALO (PICALO, 2011) e o SAS (SAS, 2011). As vantagens principais vantagens dessas aplicaes so permitir o processamento conjunto de diversos com formatos diferentes de bases (EBCDIC ou ASCII, por exemplo) e fazer integrao sistmica com vrios tipos de softwares e hardwares. Contudo, apresentam a desvantagem de envolver a gravao de dados (arquivos) em separado para anlise e a carncia de aplicaes para ambiente online. Os aplicativos especialistas, por sua vez, so aqueles desenvolvidos especialmente para atender as necessidades do auditor no desenvolvimento de

27

suas atividades, construdo por ele prprio, pelos especialistas da entidade auditada ou por profissionais contratados pelo auditor (IMONIANA, 2005). As desvantagens desses aplicativos esto no uso restrito ao cliente ou atividade avaliada e a complexidade e altos custos de manuteno e atualizao. Em relao aos aplicativos utilitrios, pode-se dizer que so todos aqueles que no foram desenvolvidos especificamente para atender as demandas da rea de auditoria, no entanto, auxiliam no processo (IMONIANA, 2005; HANASHIRO, 2007). So exemplo, as planilhas eletrnicas, os editores de textos e os sistemas de bancos de dados. A vantagem desses softwares que eles podem ser utilizados como alternativas na ausncia de outros recursos, ou at mesmo como auxiliares no processo. Alm disso, esto presentes na maioria dos computadores, como parte dos pacotes de aplicativos disponibilizados. Como desvantagem, destaca-se a sua limitao quanto aos recursos e aplicabilidade frente s necessidades dos trabalhos de auditoria, bem como a presena de mecanismos que garantam segurana e confiabilidade na execuo das atividades do auditor. O uso das ferramentas CAATs na auditoria, e em especial na auditoria por anlise de dados, oferece inmeros benefcios: possibilidade de auditar a distncia e a totalidade dos dados; reduo do tempo de permanncia na unidade auditada; reduo de custos; preparao prvia de auditorias (gerao de amostras ou identificao de fragilidades que demandem atuaes tempestivas); utilizao de dados mais recentes, tornando o trabalho mais atualizado e com maior relevncia; e diminuio dos riscos de auditoria em decorrncia da automao dos procedimentos (BRAGA, 2008; FEBRABAN ; DELOITTE, 2003; TREVISAN AUDITORES, 1999). 2.4.3 Auditoria em transaes eletrnicas A transao eletrnica considerada como uma ao ou sequncia de aes executadas como se fosse uma unidade atmica. Por meio das transaes eletrnicas que so efetivadas as consultas e alteraes de dados nos sistemas informatizados. Sob viso orgnica, as transaes eletrnicas estariam presentes nas atividades sistematizadas e automatizadas, permeando todas as funes vitais da instituio (SANTOS, 2011). As transaes devem apresentar funcionalidade coerente com as regras de negcio, sob pena de perda da confiabilidade na base de dados e consequente

28

comprometimento das relaes existentes entre a instituio, os usurios e seus clientes. A auditoria em transaes eletrnicas deve abranger todas as fases de uma transao (criao/alterao, operao e monitoramento) identificando riscos inerentes operao e considerando as caractersticas. Conforme Santos (2011), a auditoria em transaes eletrnicas busca avaliar se as normas esto expressamente registradas, se os mecanismos de controle so suficientes para seu monitoramento e acompanhamento e se as funcionalidades do sistema, em suas restries de acesso e de uso, contemplam as regras de negcio. Denomina-se de restrio de acesso a medida que restringe o direito de acesso de um usurio a determinado sistema ou transao (SANTOS, 2011). A restrio de acesso uma das medidas de segurana da informao adotadas pelas organizaes, aplicada s transaes eletrnicas. Considerando as fraudes e falhas em servio, que acontecem mediante o acesso legtimo ou no, determinada transao, a suficincia de segurana da transao no pode ser determinada somente pela aplicao de restries de acesso. Nessas situaes (falhas e fraudes), a utilizao da transao pode ocorrer em situao atpica, no prevista nas instrues ou em passo de desobedincia quelas existentes. A forma como ocorrer esse uso que pode comprometer a segurana da ao. Entende-se por restrio de uso aquela em que um usurio, possuindo acesso transao, fica temporariamente impedido de oper-la devido a caracterstica do usurio, do cliente, do local onde est sendo realizada a transao ou outros parmetros estabelecidos pelo gestor de negcio (SANTOS, 2011). A ausncia de regras de negcio implementadas em transaes e sistemas indica um nvel de controle inadequado, uma vez que permite novas ocorrncias de utilizao indevida de transaes eletrnicas. A aplicao de restrio de uso em transaes eletrnicas, de forma que sua manipulao esteja automaticamente limitada s condies previstas nas regras de negcio, poderia minimizar esta fragilidade (Figura 2). Para tanto, imprescindvel conhecer o ambiente onde a transao operada (local e intervenientes), em todo seu contexto: criao, operao, monitoramento, restries de acesso, restries de uso.

29

Figura 2: Ciclo de utilizao indevida de transaes (Fonte: Santos, 2011). Santos (2011) afirma que o contexto de atuao da transao eletrnica definido e restrito a regras de negcio, normalmente presentes nos normativos internos, nos contratos estabelecidos entre a organizao seus clientes/usurios, na legislao atinente atividade da empresa, e em diversas outras fontes internas e externas, tais como: especificaes, manuais, planos de negcio, relatrios internos, atas de reunies, correspondncias, padres definidos por organizaes oficiais, cdigos de prtica e padres de referncia. As transaes eletrnicas utilizadas em negcios necessitam da ao humana para produzir determinado resultado alm de estarem sempre vinculadas alguma regra de negcio, as quais definem ou restringem algum aspecto do negcio(SANTOS, 2011). Dessa forma, o risco de uso indevido de determinada transao eletrnica seria inversamente proporcional ao contedo de regras de negcio implementadas ao sistema. Quanto maior a quantidade de regras de negcio, maior o custo de implementao do sistema e menor a possibilidade de uso indevido da transao eletrnica, pois depende menos da condio do usurio (Figura 3). Sendo assim, deve-se observar a criticidade da informao acessada bem como os riscos envolvidos quando do planejamento da adoo dos controles em um sistema.

30

Figura 3: Relao entre regras de negcio e uso indevido de transaes (Fonte: Santos, 2011).

31

3 Metodologia

3.1 Abordagem e tipo de pesquisa

Este trabalho caracteriza-se pela pesquisa descritiva abordando a organizao e a sistematizao do conhecimento sobre auditoria e controle, segurana da informao, transaes eletrnicas, tcnicas e ferramentas de anlise de dados, bem como suas inter-relaes. Em se tratando de tipologia, a pesquisa pode ser classificada como estudo de caso por meio do qual se avaliou a aplicao da auditoria em transaes eletrnicas com foco na segurana. A escolha baseou-se no aproveitamento da prtica obtida ao longo das tarefas realizadas nas disciplinas do curso, na atividade profissional do autor e no ambiente necessrio para realizao da pesquisa. Yin (2010, p. 38) destaca que os contextos a serem analisados podem ser escolhidos conforme a finalidade. Essa metodologia prev o entendimento do processo e seus principais riscos passveis de monitorao, a aplicao de testes e promoo de resultados com confiabilidade por ser um mtodo amplamente praticado em grandes organizaes.

3.2 Delineamento da Pesquisa

A pesquisa foi delineada por uma sequncia lgica interligando os objetivos do trabalho, s questes propostas, aos dados coletados e finalmente s concluses obtidas. Contemplou inicialmente uma reviso bibliogrfica compreendendo a leitura de teses, artigos, livros, documentos internos da instituio e a consulta a stios de Internet. A metodologia foi definida e aplicada por meio de coleta e anlise de dados que envolveram testes computacionais e entrevistas. Os resultados foram analisados fornecendo subsdios s concluses.

32

3.3 Mtodos e tcnicas de pesquisa

3.3.1 Para definio da metodologia a ser aplicada O mtodo planejado para definir a metodologia consistiu do seguinte: Reviso da literatura. Correlao dos trabalhos. Consolidao dos aspectos relevantes em cada fonte analisada. Definio da metodologia usada no estudo de caso.

3.3.2 Para aplicao da metodologia escolhida Aps definida, a metodologia foi aplicada por meio de estudo de caso na anlise de transaes eletrnicas de sistemas contbeis da organizao em que o autor trabalha. Tais sistemas so considerados crticos para a empresa e a identificao de possveis fragilidades foi realizada nas dependncias da auditoria interna, para preservao da confidencialidade das informaes. Para identificar possveis fragilidades foi elaborado questionrio, como previsto na metodologia de auditoria, contemplando vinte e uma perguntas agrupadas conforme segue: Bloco 1: Identificao da Transao Eletrnica (TE): 1.1 Informe a quantidade de usurios com acesso TE sob anlise. Bloco 2: Existncia, clareza, e disponibilidade das regras de negcio vinculadas direta ou indiretamente TE: 2.1 As normas indicam quem o Gestor responsvel pelas informaes acessadas pela TE? 2.2 Existe regra de negcio publicada nas instrues internas vigentes vinculadas informao acessada pela TE? 2.3 Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4 As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? Bloco 3: Classificao da Transao Eletrnica: 3.1. Qual classe de confidencialidade foi atribuda TE? 3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? 3.3. Qual a categoria de acesso a dados foi atribuda TE?

33

3.4. A categoria de acesso a dados atribuda a TE no aplicativo Gerenciador de Acessos est compatvel com a funcionalidade da transao? 3.5. O gestor adota procedimento para reviso das caractersticas da TE? Bloco 4: Restries de acesso aplicadas TE: 4.1. Existe restrio de acesso aplicada TE? 4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? 4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada? 4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? 4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE? 4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE? Bloco 5: Restries de uso aplicadas TE 5.1. Existe restrio de uso aplicada TE? 5.2. Existe segregao de uso para efetivao da TE? Bloco 6: Acompanhamento e Monitoramento 6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise? 6.3. Existe opo de consulta de log/histrico da TE em sistema corporativo? A fim de responder s questes, foram utilizados procedimentos de coleta de dados e testes computacionais com ferramentas CAAT blocos 1 5) em conjunto com entrevistas semi-estruturadas com os gestores dos sistemas (questes do bloco 6). Os dados referentes s transaes estudadas foram coletados por meio de consulta ao aplicativo corporativo de controle de acesso e transaes, com o uso de Soluo Automatizada de Captura de Informaes (SACI). Esta soluo utiliza-se de bibliotecas que combinam a linguagem VBA (Visual Basic for Applications) presente no software MS-Access, com o emulador de terminal IBM 3270, para acesso ao ambiente Mainframe. Dessa forma, obteve-se a captura das informaes em tela e armazenou-se em banco de dados para posterior utilizao.

34

Aos dados gerados foram aplicados procedimentos de validao que consistiram na verificao e eliminao de duplicidades e comparao de amostra de registros com os sistemas de origem. Posteriormente, para responder aos quesitos, foram realizados testes por meio de operaes de classificao, sumarizao e cruzamento de dados com as seguintes bases corporativas: Tabela de descrio e caracterizao de usurios contemplando cargo, funo e setor de trabalho; Tabela descritiva de tipos de restrio de acesso; Tabela descritiva de gestor responsvel e confidencialidade da informao. Os procedimentos de validao e de testes foram executados, com a ferramenta ACL devido a sua capacidade de realizar operaes de anlise de dados com agilidade mesmo para grandes volumes de dados, alm de possuir uma ampla gama de funcionalidades aplicveis auditoria. O equipamento utilizado nas tarefas foi um microcomputador de mesa com processador Intel Core 2 Duo 3 GHz com memria RAM de 4 Gb e disco rgido de 500 Gb, utilizando sistema operacional MS-Windows Vista Business/Service Pack 1, e soluo de automao de escritrio MS-Office 2002. Esta configurao similar aos equipamentos usados pelas reas de auditoria, segurana e gesto de negcios da empresa. As entrevistas seguiram um roteiro caracterizado com a apresentao do trabalho e das questes referentes ao acompanhamento e monitoramento (bloco 6). Geralmente participavam cerca de dois analistas, dentre aqueles funcionrios diretamente envolvidos com a especificao e aprimoramento dos sistemas avaliados, de cada uma das quatro reas de negcios. Os participantes apresentaram suas consideraes cerca dos requisitos de segurana que considerassem mais relevantes nos sistemas avaliados e, ao final, registraram a atividade em documentos denominados memria de reunio. Esses documentos possuem carter sigiloso e encontram-se arquivados digitalmente na Intranet da organizao, na rea reservada a Auditoria Interna.

35

3.4 Delimitao do caso

As atividades, realizadas entre os meses de maio e julho de 2011, contemplaram a anlise de quatro sistemas contbeis da organizao que tiveram quarenta e uma transaes analisadas. Estes sistemas foram escolhidos por sua importncia no processo de apurao do resultado financeiro da empresa correspondendo a 50% dos sistemas contbeis corporativos. As transaes selecionadas para teste representam cerca de 80% das existentes nos sistemas avaliados que, por sua vez, correspondem a um quarto de todas as transaes corporativas para apurao contbil. Por motivos de sigilo, os nomes da empresa, dos sistemas e transaes foram descaracterizados. No foi objeto de avaliao o processo de desenvolvimento das transaes eletrnicas, devido impossibilidade de acesso s documentaes de projeto dos sistemas. A infraestrutura de TI que suporta as aplicaes composta por equipamentos de rede e servidores compartilhados com outros sistemas, no objetos do trabalho.

3.5 Limitaes da pesquisa

Segundo Yin (2010, p.35), o mtodo de estudo de caso por vezes considerado deficiente pelos pesquisadores sociais, pois os resultados obtidos no podem ser generalizados. O autor afirma que os fatos cientficos so normalmente baseados em vrios experimentos, que replicam o mesmo fenmeno sob diferentes condies. Assim, para que lgica semelhante pode ser aplicada aos estudos de caso, os experimentos devem ser generalizveis para proposies tericas e no para populaes ou universos. Devido quantidade limitada de transaes e sistemas avaliados, podero ocorrer resultados distintos se a metodologia for aplicada para anlise de um nmero maior de transaes e sistemas. Outra limitao trata de possvel influncia do pesquisador nos resultados, quando utilizando o mtodo estudo de caso. Para minimizar tal influncia, foi seguido roteiro de auditoria padro, utilizado corporativamente para o tipo de anlise realizada.

36

4 Resultados

4.1 Definio da metodologia

Durante a fase de reviso bibliogrfica, foram avaliados, dentre outros, os trabalhos de Arrial (2009), Hanashiro (2007), Pinto (2009) e Santos (2011). Nos trs primeiros, foram demonstradas as possibilidades de utilizao de ferramentas computacionais como alternativa para realizao de testes de auditoria com maior agilidade. O trabalho de Santos, por sua vez, avaliou os aspectos de segurana em transaes eletrnicas, notadamente aqueles envolvendo identificao e classificao, adequao s regras de negcio, restries de acesso e uso, e acompanhamento e monitoramento de transaes. Ao se buscar uma forma gil de avaliar a segurana de transaes eletrnicas, correlacionou-se os trabalhos, obtendo-se uma proposta convergente que consistiu, resumidamente, da utilizao do mtodo corporativo de auditoria de anlise de dados para avaliao das transaes eletrnicas com auxlios de ferramentas CAAT do seguinte modo: Aplicao de ferramentas CAAT em conjunto com a avaliao de aspectos de segurana das transaes eletrnicas. Delimitao do escopo das anlises com a escolha dos sistemas e transaes. Elaborao dos quesitos de avaliao de segurana. Obteno e validao dos dados dos sistemas. Aplicao dos testes computacionais. Comunicao dos resultados.

37

Nessa etapa da pesquisa, deve-se considerar a influncia que a experincia profissional do autor exerceu na formulao da proposta dada sua atuao h trs anos em auditoria por anlise de dados.

4.2 Aplicao da metodologia

Aps definida a metodologia, partiu-se para a seleo dos sistemas e transaes. Foram escolhidos quatro sistemas crticos com funes contbeis totalizando quarenta e uma transaes eletrnicas. A seguir, passou-se execuo da atividade de captura automatizada conforme detalhado no item 3.3.2. Foram gerados quatro arquivos em formato Microsoft Access (um para cada sistema avaliado) contendo o resultado das consultas ao sistema de gerenciamento e controle de transaes eletrnicas. As questes referentes identificao e classificao, adequao s regras de negcio, restries de acesso e uso foram respondidas com a anlise dos dados capturados e das operaes de ordenamento, sumarizao e cruzamento de dados com as bases corporativas, por meio da ferramenta ACL. J as respostas relativas ao bloco acompanhamento e monitoramento foram obtidas por meio das entrevistas. Destaca-se que, sem a utilizao de ferramentas CAAT, a durao aproximada de trabalhos semelhantes foi de quinhentas horas, porm o estudo de caso realizado consumiu cerca de quarenta horas. O apndice apresenta os resultados detalhados para as transaes dos sistemas A, B, C, e D. As fichas so compostas por colunas contendo as questes aplicadas seguidas dos resultados dos testes. As respostas negativas indicam possveis falhas ou fragilidades dos sistemas avaliados. Os resultados, consolidados por sistema, esto descritos a seguir. 4.2.1 Avaliao do Sistema A O sistema A apresentou respostas negativas nos quesitos referentes s restries de uso e segregao de uso das transaes. Isto significa que as restries de uso das transaes so insuficientes para impedir os usurios de atualizarem o sistema com informaes incorretas. Alm desse fato, a ausncia de segregao de uso permite que uma atualizao indevida possa sensibilizar o sistema A podendo inclusive produzir reflexos em outros aplicativos corporativos. Outro fato constatado refere-se s restries de acesso previstas nos normativos

38

das trs transaes e que esto parcialmente implantadas permitindo que usurios no envolvidos com o processo consultem ou executem transaes indevidamente. Os demais aspectos analisados apresentaram respostas positivas para as transaes avaliadas. 4.2.2 Avaliao do Sistema B Para o sistema B, foi avaliada a totalidade do aplicativo compreendendo seis transaes. Por meio do quesito 2.4 evidenciou-se a inexistncia de regras de negcio que determinassem restries de uso da informao acessada pelas transaes. A incerteza quanto s regras de negcio prejudica os desenvolvedores durante a implementao de restries de uso que tem por objetivo minimizar incorrees na atualizao de informaes corporativas O quesito 5.1 apresentou resultado negativo para a existncia de restries de uso nas transaes eletrnicas, cujo impacto foi descrito no item 4.2.1. O sistema B apresentou ainda, respostas negativas nos quesitos referentes restrio de acesso, notadamente para as transaes B3-Em validao, B4Validar e B5-Fechar implicando no risco de execuo por usurios no envolvidos com servio. Os outros aspectos analisados no apresentaram respostas negativas. 4.2.3 Avaliao do Sistema C O sistema C possui um total de doze transaes ativas sendo todas avaliadas. Os testes apresentaram respostas negativas quanto compatibilidade entre a funcionalidade e a categorizao das transaes (3.4 - categoria de acesso) para onze transaes. A exceo ocorreu para a transao C02-Autorizar. O fato de apresentar classificao incorreta quanto categoria de acesso possibilita que usurios com perfil de desenvolvedores tenham permisso para atualizar informaes corporativas, em divergncia com a funo lhes atribuda pelos normativos internos. Os quesitos de avaliao de restries de acesso apresentaram respostas negativas para dez transaes. As transaes C06-Log e C11-Abertos foram excees nesses quesitos por apresentarem respostas positivas s avaliaes. Os demais itens testados no apresentaram respostas negativas aos testes.

39

4.2.4 Avaliao do Sistema D O estudo do sistema D contemplou vinte transaes avaliadas. Em dez transaes, obtiveram-se respostas negativas ao teste que trata da compatibilidade entre a funcionalidade e a categorizao da transao (quesito 3.4). Igual nmero de transaes avaliadas resultou em no positivos para dois quesitos que tratam da conformidade de restries de acesso. O impacto de tais inconformidades j foi tratado no item 4.2.3. Os demais testes referentes restrio de uso, acompanhamento e monitoramento, identificao da transao e existncia de regras de negcio apresentaram respostas positivas. No item classificao da transao, destaca-se que o gestor adota procedimentos de reviso das transaes.

40

5 Discusso

5.1 Metodologia Adotada

A proposta de unir os conceitos com o objetivo de prover maior agilidade trouxe uma nova perspectiva de abordagem para a auditoria de transaes eletrnicas. Em termos prticos, um processo que antes demoraria dias ou semanas se executado manualmente, agora pode ser concludo em cerca de 10% do tempo com o auxlio das ferramentas CAAT. A opo pelo uso de questionrio para verificao da segurana das transaes procurou avaliar os principais riscos inerentes identificao e classificao, adequao s regras de negcio, restries de acesso e uso, e acompanhamento e monitoramento de transaes eletrnicas, por meio de questes usualmente empregadas em atividades de auditoria. Ao se utilizar dessa abordagem, este trabalho integra-se aos anteriormente realizados na instituio contribuindo para a anlise global da segurana dos sistemas corporativos.

5.2 Aplicao da Metodologia

A escolha das ferramentas computacionais dependeu dos dados analisados e da infraestrutura disponvel. Nesse estudo, optou-se por utilizar o software MSAccess para captura das informaes e o ACL para os testes. A razo para escolha do MS-Access decorre da facilidade do autor com a programao em linguagem VBA e a disponibilidade de automatizar a consulta aos sistemas corporativos. J a opo pelo ACL para realizao dos testes deveu-se necessidade de se relacionar bases de dados com origens distintas, alm da experincia do autor com o software. Para bases de dados com grande volume de registros, torna-se relevante a

41

combinao de aplicativos (ACL e SAS, por exemplo) e equipamentos que as suportem. Uma caracterstica desse trabalho que os mesmos testes executados pela ferramenta ACL poderiam ser realizados com o uso do prprio MS-Access (utilizado para captura) ou do MS-Excel. Tal fato deveu-se quantidade reduzida de sistemas e transaes envolvidos. Para que fosse possvel a substituio do ACL, haveria a necessidade de converso das bases corporativas, o que implicaria em novas etapas consumindo mais recursos e tempo. Isso sugere que pacotes de automao de escritrio instalados em computadores pessoais podem ser utilizados para execuo de anlise de dados em ampla gama de organizaes sejam pblicas ou privadas com investimentos reduzidos em ferramentas e infraestrutura. Outra observao destaca o benefcio do uso das ferramentas CAAT. Quando realizados manualmente, os testes tendem a durar semanas at a finalizao das consultas aos sistemas corporativos. Contudo, observou-se um tempo notadamente menor usando as ferramentas. Quanto s entrevistas com os gestores destacam-se a importncia da participao dos analistas responsveis pelos projetos dos sistemas na elucidao das questes referentes ao monitoramento e acompanhamento, e a receptividade dos mesmos aos requisitos de segurana da informao. As consideraes sobre os resultados dos testes de segurana esto descritas a seguir. 5.2.1 Identificao das Transaes Eletrnicas A atividade de identificao das transaes eletrnicas teve como objetivo averiguar a qualidade do registro das caractersticas bsicas de uma transao (nome, descrio, responsvel e etc.). Pode-se constatar que todas as transaes avaliadas possuam cdigo, descrio correspondente, classificao da criticidade da informao e a definio do responsvel. Tambm foi possvel avaliar a quantidade de usurios com acesso s transaes. Percebem-se em determinadas transaes, notadamente de confirmao, o reduzido nmero de usurios com acesso (menor que dez). Isso denota o emprego da prtica do privilgio mnimo quando da concesso dos acessos colaborando com a minimizao dos riscos segurana da informao.

42

5.2.2 Existncia, Clareza e Disponibilidade das Regras de Negcio Alm da identificao das caractersticas bsicas das transaes, foram observadas se as regras definidas pelo gestor do negcio estavam aplicadas s transaes. Neste quesito, todas as TE apresentavam algum tipo de condio negocial restritiva. Por opo dos gestores, algumas transaes no possuam, em seus normativos, restries de acesso ou uso explcitas, fato verificado no exame das instrues e ratificado durante a entrevista. Analisado sob a tica de um usurio, este fato pode sugerir que no estando impedido de praticar um ato inseguro ou ilcito, ele assim o possa fazer. Isso contraria os aspectos de segurana da informao, para o qual aquilo que no est expressamente permitido, por princpio impedido. Sendo assim, a omisso nas regras de negcio denota uma fragilidade na segurana dos sistemas avaliados. Esta fragilidade no maior devido ao comprometimento dos usurios (em grande parte funcionrios de carreira), o que no impede possveis falhas operacionais no intencionais. 5.2.3 Classificao da Transao Eletrnica Ao se avaliar a classificao das transaes eletrnicas tinha-se por princpio verificar a criticidade e a categorizao das mesmas. Observou-se que a classificao quanto criticidade foi adotada corretamente mantendo-se coerncia entre as informaes acessadas e seu grau de confidencialidade. Nenhuma transao avaliada foi classificada como pblica, sendo maioria atribuda o nvel de restrita ou confidencial. Por outro lado, a categorizao das transaes apresentou considervel nmero de divergncias. Transaes classificadas indevidamente como de manuteno tcnica ou consulta possuam funo de atualizao. Tal inconformidade permite que desenvolvedores de sistemas possam executar procedimentos unicamente autorizados aos usurios com perfil negocial, contrariando os normativos de segurana da instituio. Esta falha, apontada nos sistemas C e D, pode gerar incidentes de segurana com conseqncias para os clientes externos empresa. No obstante, percebe-se que o risco de classificao incorreta poderia ser minimizado se os gestores praticassem a reviso peridica dos atributos, recomendada pelas instrues normativas internas da instituio. 5.2.4 Restrio de Acesso da Transao Eletrnica Durante a aplicao dos testes no se observou quaisquer tipo de restrio de acesso s transaes. Foi constatada a existncia de usurios autorizados a

43

executar transaes cujas atribuies no estavam em conformidade com as normas internas. Esta fragilidade pode resultar na execuo indevida de transaes gerando incidentes de segurana e expondo a organizao a riscos. 5.2.5 Restrio de Uso da Transao Eletrnica (TE) De forma semelhante ao quesito anterior, os testes demonstraram insuficincia de restries de uso em diversas transaes. Para as transaes de consulta, o risco de uso indevido estava limitado ao identificado no quesito de restrio de acesso tratado anteriormente. Porm, quando avaliadas as transaes de atualizao, torna-se evidente que o risco de utilizao indevida potencialmente maior. Para minimizar este risco, alguns gestores fazem uso da segregao de funes com um mnimo de dois usurios. Esta prtica, embora adequada sob a tica da restrio de uso, por si s no suficiente, j que no impede que dados incorretos sejam armazenados nos sistemas corporativos intencionalmente ou por falha operacional. Da anlise das restries de acesso e uso pode-se concluir que combinao adequada das restries pode minimizar os riscos de incidentes de segurana da informao, contudo, suas falhas quanto somadas podem potencializar um incidente. 5.2.6 Acompanhamento e Monitoramento da Transao Eletrnica Quanto ao monitoramento das transaes eletrnicas, evidenciou-se que aquelas em que o gestor determinou a necessidade de registro de utilizao, este existia e possua opo de consulta, no se constatando qualquer falha ou fragilidade de segurana no processo. Entretanto, quanto ao quesito acompanhamento, foram percebidas fragilidades no tratadas pelos gestores motivadas pela existncia de usurios com perfis de acesso indevido a transaes de criticidade restrita ou confidencial. Demonstrou-se com os testes a carncia de melhorias no processo a fim de minimizar os riscos de incidentes decorrentes de falhas no acompanhamento da utilizao das transaes.

44

6 Concluses e Trabalhos Futuros

6.1 Concluses
As informaes decorrentes do relacionamento dos principais aspectos inerentes aos controles internos, segurana da informao e auditoria de TI descritos na pesquisa bibliogrfica, em conjunto com os resultados obtidos no estudo de caso, convergem para o entendimento de que a adoo de ferramentas computacionais de anlise de dados prov agilidade na verificao de requisitos de segurana da informao em transaes eletrnicas. Conclui-se que a anlise de dados pode ser executada com utilizao de ferramentas computacionais como ACL, MS-Access e MS-Excel e em equipamentos usualmente presentes nas empresas, estando seu uso condicionado ao volume de dados em analise. A anlise dos procedimentos usualmente empregados em auditoria e sua execuo com a utilizao de ferramentas computacionais demonstrados nesse trabalho demonstraram que o tempo necessrio para aplicao dos testes foi sensivelmente menor (cerca de 10%) quando comparado a trabalhos sem a utilizao de ferramentas CAAT. A identificao das falhas e fragilidades nos sistemas contribuiu para os gestores adotarem providncias tempestivas visando minimizar a exposio aos riscos. O resultado das anlises dos quatro sistemas corporativos validou a hiptese de que a utilizao de tcnicas de auditoria assistidas por computador, em conjunto com outras tcnicas usualmente empregadas, permite avaliar com agilidade os principais aspectos de uma transao eletrnica quanto sua identificao e

45

classificao, restries de acesso e uso, adequao s regras de negcio e acompanhamento e monitoramento. Entende-se que os resultados positivos obtidos em curto intervalo de tempo e com o emprego de recursos computacionais menos dispendiosos, demonstram o potencial de aplicao da tcnica em outras reas da empresa.

6.2 Trabalhos Futuros

Pelo fato de diferentes combinaes de aplicativos e equipamentos poderem apresentar medies de tempo distintas, prope-se a avaliao de desempenho das principais ferramentas existentes no mercado, frente a grandes volumes de dados. Outra proposta de pesquisa a utilizao de ferramentas CAAT para realizao de auditorias contnuas, isto , aquela que produz, a partir de indicadores, resultados em um pequeno intervalo aps a ocorrncia de um evento. Entende-se que as ferramentas automatizadas possibilitam criar e avaliar uma grande quantidade de indicadores com rapidez, provendo subsdios para aprimoramento dos instrumentos de tomada de deciso dos gestores. Por fim, espera-se que estudos envolvendo anlise de dados com a aplicao de tcnicas computacionais, utilizando Redes Neurais, Lgica Fuzzy e Computao Evolucionria, possam agregar acuidade e consequente melhoria dos processos de segurana da informao e comunicaes.

46

Referncias e Fontes Consultadas

ACL. Disponvel em: <http://www.acl.com/support> Acesso em: 18 jun. 2011. ARRIAL, Christian Ternes. Ferramentas Computacionais Aplicadas aos

Trabalhos de Auditoria Interna. 2009. 78 f. Monografia de Concluso de Curso (Especializao) Escola da AGU, da Advocacia-Geral da Unio, Centro de Formao, Treinamento e Aperfeioamento (Cefor), da Cmara dos Deputados, Secretaria Federal de Controle Interno (SFC), da Controladoria Geral da Unio e Instituto Serzedello Corra (ISC), do Tribunal de Contas da Unio, Curso de Especializao em Auditoria Interna e Controle Governamental, Braslia, 2009. BEAL, Adriana. Segurana da informao: princpios e melhores prticas para proteo dos ativos de informaes nas organizaes. So Paulo: Atlas, 2008. BRAGA, Carlos Renato Araujo. Utilizao de ferramentas CAAT em Auditorias de grandes bases de dados. In: CNASI: XVII Congresso Latino-Americano de Auditoria de TI, Segurana da Informao e Governana, So Paulo, 2008. Disponvel em: <http://www.ticontrole.gov.br/portal/page/portal/TCU/comunidades/ tecnologia_informacao/sefti_eventos/apresentacoes/2008/Cnasi-2008-taac-v1.pdf>. Acesso em: 15 mai. 2011. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books, 2000.

47

DELOITTE. Tcnicas de auditoria com uso do computador. In: SILVA JUNIOR, Jos Barbosa da (Coord.). Auditoria em ambiente de internet. So Paulo: Atlas, 2001. p. 47-57. FEBRABAN; DELOITTE. Principais ferramentas utilizadas na auditoria interna. In:__. Metodologia de auditoria interna com foco em riscos. So Paulo: IBCB, 2003. p. 49-90. HANASHIRO, Mara. Metodologia para desenvolvimento de procedimentos e planejamentos de auditorias de TI aplicada Administrao Pblica Federal. 2007. 166 f. Dissertao (Mestrado). Departamento de Engenharia Eltrica, Faculdade de Tecnologia, Universidade de Braslia, Braslia, 2007. IIA. Normas internacionais para o exerccio profissional da auditoria interna. Traduo do Instituto dos Auditores Internos do Brasil AUDIBRA. So Paulo: AUDIBRA, 2004. Ttulo original: The Professional Pratices Framework. Disponvel em: <http://www.audibra.org.br/arquivos/Normas%20Internacionais %20Auditoria%20-%20Codigo%20de%20Etica.pdf>. Acesso em: 27 mai. 2011. IMONIANA, Joshua Onome. Auditoria de sistemas de informao. So Paulo: Atlas, 2005. NAKAMURA, Emilio Tissato; GEUS, Paulo Lcio de. Segurana de redes em ambientes cooperativos. So Paulo: Novatec, 2007. PICALO. Disponvel em: <http://www.picalo.org/> Acesso em: 15 jun. 2011. PINTO, Luciano Soares. Auditoria de tecnologia da informao: um enfoque da auditoria por anlise de dados utilizando ferramentas CAAT. 2009. 50 f. Monografia de Concluso de Curso (Especializao) Centro Universitrio do Distrito Federal - UDF, Braslia, 2009. ROSSI, Luiz Cludio et al. Novos conceitos de auditoria de sistemas em bancos. So Paulo: FEBRABAN/Deloite/IBC, 2004.

48

SANTOS, Rudinei. Auditoria de Transaes Eletrnicas - Prevenindo a Fraude Bancria. Disponvel em: <http://www.felaban.com/archivos_actividades_ Acesso congresos/4.%20Rudinei%20Dos%20Santos%20-%20PORTUGUES.pptx> em: 10 jun. 2011. SAS. Disponvel em: <http://www.sas.com/> Acesso em: 15 jun. 2011. SCHMIDT, Paulo; SANTOS, Jos Luiz dos; ARIMA, Carlos Hideo. Fundamentos de auditoria de sistemas. So Paulo: Atlas, 2006. TCU. Manual de auditoria de sistemas. Braslia: TCU/Secretaria de Auditoria e Inspees, 1998. Disponvel em: <http://www.das.ufsc.br/~wangham/auditoria/ AuditSistemas.pdf>. Acesso em: 01 mai. 2011. TREVISAN AUDITORES. O processo de auditoria informatizado. In: IBRACON. Auditoria por meios eletrnicos. So Paulo: Atlas, 1999. p. 69-76. (Coleo Seminrios CRC-SP/Ibracon). YIN, Robert K. Estudo de Caso: Planejamento e Mtodos. 4. ed. Porto Alegre: Bookman. 2010.

49

Apndice

Aplicativo Transao Descrio Data da captura Quesito 1. Identificao da Transao Eletrnica (TE) 1.1. Informe a quantidade de usurios com acesso TE sob anlise 2. Existncia, clareza, e disponibilidade das regras de negcio vinculadas direta ou indiretamente TE 2.1. As normas indicam quem o Gestor responsvel pelas informaes acessadas pela TE? 2.2. Existe regra de negcio publicada nas instrues internas vigentes vinculadas informao acessada pela TE? 2.3. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 3. Classificao da Transao Eletrnica 3.1. Qual classe de confidencialidade foi atribuda TE? 3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? 3.3. Qual a categoria de acesso a dados foi atribuda TE? 3.4. A categoria de acesso a dados atribuda a TE no aplicativo Gerenciados de Acessos est compatvel com a funcionalidade da transao? 3.5. O gestor adota procedimento para reviso das caractersticas da TE? 4. Restries de acesso aplicadas TE 4.1. Existe restrio de acesso aplicada TE? 4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? 4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada? 4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? 4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE? 4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE? 5. Restries de uso aplicadas TE 5.1. Existe restrio de uso aplicada TE? 5.5. Existe segregao de uso para efetivao da TE? 6. Acompanhamento e Monitoramento 6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise? 6.3. Existe opo de consulta de log/histrico da TE em sistema corporativo?

A A00 Operador do Sistema 25/5/2011

A A01 Executante 25/5/2011

A A02 Homologador 25/5/2011

270

126

SIM. SIM. SIM. SIM.

SIM. SIM. SIM. SIM.

SIM. SIM. SIM. SIM.

CONFIDENCIAL SIM. ATUALIZAO SIM. SIM. SIM. PARCIALMENTE

RESTRITA SIM. ATUALIZAO SIM. SIM SIM. PARCIALMENTE

CONFIDENCIAL SIM. ATUALIZAO SIM. SIM SIM. PARCIALMENTE

SIM

SIM

SIM

SIM.

SIM

SIM

SIM.

SIM.

SIM.

SIM.

SIM

SIM

NO NO SIM SIM SIM.

NO NO SIM SIM SIM.

NO NO SIM SIM SIM.

Figura 4: Ficha de avaliao de transaes do Sistema A

50

Aplicativo B Transao B00 Descrio Operador do Sistema Data da captura 25/5/2011 Quesito 1. Identificao da Transao Eletrnica (TE) 1.1. Informe a quantidade de usurios com acesso TE sob anlise. 2. Existncia, clareza, e disponibilidade das regras de negcio vinculadas direta ou indiretamente TE 2.1. As normas indicam quem o Gestor responsvel pelas informaes acessadas pela TE? 2.2. Existe regra de negcio publicada nas instrues internas e vigente, vinculada informao acessada pela TE? 2.3. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 3. Classificao da Transao Eletrnica 3.1. Qual classe de confidencialidade foi atribuda TE? 3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? 3.3. Qual a categoria de acesso a dados foi atribuda TE? 3.4. A categoria de acesso a dados atribuda a TE no aplicativo Gerenciados de Acessos est compatvel com a funcionalidade da transao? 8

B B01 Enviar 25/5/2011

B B02 Autorizar 25/5/2011

B B03 Em validacao 25/5/2011

B B04 Validar 25/5/2011

B B05 Fechar 25/5/2011

141

37

14

11

10

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM. NO.

SIM. NO.

SIM. NO.

SIM. NO.

SIM. NO.

SIM. NO.

RESTRITA

RESTRITA

RESTRITA

RESTRITA

RESTRITA

RESTRITA

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

ATUALIZAO

ATUALIZAO

ATUALIZAO

ATUALIZAO

ATUALIZAO

ATUALIZAO

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

3.5. O gestor adota procedimento para reviso das caractersticas da TE? 4. Restries de acesso aplicadas TE 4.1. Existe restrio de acesso aplicada TE? 4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? 4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada? 4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? 4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE? 4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE? 5. Restries de uso aplicadas TE 5.1. Existe restrio de uso aplicada TE? 5.2. Existe segregao de uso para efetivao da TE? 6. Acompanhamento e Monitoramento 6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise? 6.3. Existe opo de consulta de log/histrico da TE em sistema corporativo?

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

NO.

NO.

NO.

SIM.

SIM.

SIM.

NO.

NO.

NO.

SIM.

SIM.

SIM.

NO.

NO.

NO.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

NO. SIM.

NO. SIM.

NO. SIM.

NO. NO.

NO. SIM.

NO. NO.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

Figura 5: Ficha de avaliao de transaes do Sistema B

51
C C00 Excluir 25/5/2011 C C01 Consultar 25/5/2011 C C02 Autorizar 25/5/2011 C C03 Publicar 25/5/2011 C C04 Consulta por Data 25/5/2011 C C05 Publica Mov. 25/5/2011 C C06 Comparar 25/5/2011 C C07 Eliminar 25/5/2011 C C08 Log 25/5/2011 C C09 Receber 25/5/2011 C C10 Concluir 25/5/2011 C C11 Abertos 25/5/2011

Aplicativo Transao Descrio Data da captura

Quesito

1. Identificao da Transao Eletrnica (TE) 28 39 12 40 40 39 40 39 6 26 22 17

SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

1.1. Informe a quantidade de usurios com acesso TE sob anlise 2. Existncia, clareza, e disponibilidade das 2.1. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.2. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 2.3. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 3. Classificao da Transao Eletrnica 3.1. Qual classe de confidencialidade foi atribuda TE? INTERNA INTERNA INTERNA INTERNA INTERNA INTERNA INTERNA INTERNA RESTRITA INTERNA INTERNA CONFIDENCIAL SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.

3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? ATUALIZAO

3.3. Qual a categoria de acesso a dados foi atribuda TE?

SIM.

MANUTENO MANUTENO MANUTENO TCNICA TCNICA TCNICA NO. NO. NO. TRANSAO TRANSAO TRANSAO DEVERIA SER DEVERIA SER DEVERIA SER CLASSIFICADA CLASSIFICADA CLASSIFICADA COMO COMO COMO ATUALIZAO. ATUALIZAO. ATUALIZAO. NO. NO. NO. NO. NO. NO.

MANUTENO TCNICA NO. TRANSAO DEVERIA SER CLASSIFICADA COMO ATUALIZAO.

MANUTENO TCNICA NO. TRANSAO DEVERIA SER CLASSIFICADA COMO ATUALIZAO.

MANUTENO MANUTENO TCNICA TCNICA NO. NO. TRANSAO TRANSAO DEVERIA SER DEVERIA SER CLASSIFICADA CLASSIFICADA COMO COMO CONSULTA. ATUALIZAO. NO.

MANUTENO MANUTENO TCNICA TCNICA NO. NO. TRANSAO TRANSAO DEVERIA SER DEVERIA SER CLASSIFICADA CLASSIFICADA COMO COMO ATUALIZAO. CONSULTA. NO. NO.

MANUTENO MANUTENO TCNICA TCNICA NO. NO. TRANSAO 3.4. A categoria de acesso a dados atribuda a TRANSAO DEVERIA SER TE no aplicativo Gerenciados de Acessos DEVERIA SER CLASSIFICADA est compatvel com a funcionalidade da CLASSIFICADA COMO transao? COMO ATUALIZAO. CONSULTA. 3.5. O gestor adota procedimento para NO. NO. reviso das caractersticas da TE? 4. Restries de acesso aplicadas TE NO. NO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. NO. NO. NO. NO. NO. NO. NO. PREJUDICADO. SIM SIM

4.1. Existe restrio de acesso aplicada TE?

NO.

NO. PREJUDICADO. PREJUDICADO.

SIM. SIM.

4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO.

4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada?

PREJUDICADO.

SIM

PREJUDICADO. PREJUDICADO.

SIM.

4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? SIM. SIM. SIM. SIM. SIM. SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE?

SIM.

SIM.

4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE?

NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.

NO. CARGOS NO. CARGOS NO NO SIM. AUTORIZADOS AUTORIZADOS COM ACESSO A COM ACESSO A TRANSAO. TRANSAO. NO. NO. NO. DEPENDNCIAS DEPENDNCIAS DEPENDNCIAS NO NO NO AUTORIZADAS AUTORIZADAS AUTORIZADAS COM ACESSO. COM ACESSO. COM ACESSO.

NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO.

NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO.

NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM.

NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM.

SIM.

NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM. SIM. SIM.

NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM.

SIM.

5. Restries de uso aplicadas TE 5.1. Existe restrio de uso aplicada TE?

SIM. SIM.

SIM. SIM. SIM. SIM. SIM. SIM. SIM.

SIM.

SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

SIM. SIM. SIM.

5.2. Existe segregao de uso para efetivao da TE? 6. Acompanhamento e Monitoramento 6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise?

6.3. Existe opo de consulta de log/histrico da TE em sistema corporativo?

Figura 6: Ficha de avaliao de transaes do Sistema C

52
D D4 Depurao 26/5/2011 D D5 Movimento 26/5/2011 D D6 Demonstrativo 26/5/2011 D D7 Comp. Global 26/5/2011 D D8 Bal. Global 26/5/2011 D D9 Incluso 26/5/2011 D D10 Livro 26/5/2011 D D14 Acerto 26/5/2011 D D15 Cronograma 26/5/2011 D D16 Manut. Tabela 26/5/2011 D D17 Exposio 26/5/2011 D D18 Ocorncias 26/5/2011 D D19 Excl.Grupos 26/5/2011 D D20 Total Global 26/5/2011 D D21 Vis. Global 26/5/2011 D D22 Vis. Demons. 26/5/2011 D D23 Abertos 26/5/2011

Aplicativo Transao Descrio Data da captura

D D1 Balancete 26/5/2011

D D2 Saldo 26/5/2011

D D3 Previa 26/5/2011

Quesito

1. Identificao da Transao Eletrnica (TE) 33 35 30 18 295 206 31 34 378 15 41 44 32 80 149 336 92 53

1.1. Informe a quantidade de usurios com acesso TE sob anlise.

27

33

2. Existncia, clareza, e disponibilidade das regras de negcio vinculadas direta ou indiretamente TE SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM

SIM

SIM

SIM

SIM

SIM

SIM

2.1. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.2. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 2.3. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE?

SIM

SIM

3. Classificao da Transao Eletrnica RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA INTERNA RESTRITA CONFIDENCIAL

RESTRITA

RESTRITA

RESTRITA

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM

SIM

SIM

SIM

SIM

SIM

SIM.

SIM

SIM

MANUTENO TCNICA CONSULTA CONSULTA CONSULTA SIM. SIM. NO SIM. SIM. SIM. NO NO NO NO NO NO SIM.

CONSULTA

MANUTENO CONSULTA CONSULTA TCNICA

MANUTENO TCNICA

MANUTENO TCNICA

MANUTENO TCNICA

MANUTENO TCNICA

MANUTENO TCNICA

MANUTENO TCNICA

CONSULTA

MANUTENO TCNICA NO

MANUTENO TCNICA NO

CONSULTA

CONSULTA

CONSULTA

NO

SIM.

SIM

SIM

SIM

3.1. Qual classe de confidencialidade foi atribuda TE? 3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? 3.3. Qual a categoria de acesso a dados foi atribuda TE? 3.4. A categoria de acesso a dados atribuda a TE no aplicativo Gerenciados de Acessos est compatvel com a funcionalidade da transao? 3.5. O gestor adota procedimento para reviso das caractersticas da TE? SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

4. Restries de acesso aplicadas TE SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.

SIM.

SIM.

4.1. Existe restrio de acesso aplicada TE? 4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.

SIM.

SIM.

4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada?

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

SIM.

4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? 4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE? SIM. SIM. SIM. SIM. SIM. SIM. SIM. NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIAS NO AUTORIZADAS SIM. SIM. SIM. NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIAS NO AUTORIZADAS NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIA S NO AUTORIZADAS NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIAS NO AUTORIZADAS

SIM.

SIM.

SIM.

SIM.

SIM.

4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE?

NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIAS NO AUTORIZADAS

SIM.

NO. NO. NO. FUNCIONRIOS FUNCIONRIOS FUNCIONRIOS NO NO NO AUTORIZADOS AUTORIZADOS AUTORIZADOS NO. EXISTEM NO. EXISTEM NO. EXISTEM DEPENDNCIAS DEPENDNCIAS DEPENDNCIAS NO NO NO AUTORIZADAS AUTORIZADAS AUTORIZADAS

SIM.

NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIAS NO AUTORIZADAS

NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIAS NO AUTORIZADAS

SIM.

SIM.

SIM.

5. Restries de uso aplicadas TE SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM

5.1. Existe restrio de uso aplicada TE?

SIM

SIM

5.2. Existe segregao de uso para efetivao da TE?

SIM

SIM

6. Acompanhamento e Monitoramento SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM

SIM

SIM

6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise?

SIM

SIM

6.3. Existe opo de consulta de log/histrico da TE em sistema corporativo?

SIM

SIM

Figura 7: Ficha de avaliao de transaes do Sistema D