Академический Документы
Профессиональный Документы
Культура Документы
Braslia 2011
Braslia 2011
Monografia apresentada ao Departamento de Cincia da Computao da Universidade de Braslia como requisito parcial para a obteno do ttulo de Especialista em Cincia da Computao: Gesto da Segurana da Informao e Comunicaes. Orientador: Prof. ME. Domingos Svio Apolnio Santos Universidade de Braslia Instituto de Cincias Exatas Departamento de Cincia da Computao
Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da Metodologia Brasileira de Gesto da Segurana da Informao e Comunicaes - CEGSIC 2009/2011. 2011 Antonio Augusto Silva Prates. Qualquer parte desta publicao pode ser reproduzida, desde que citada a fonte.
Prates, Antonio Augusto Silva Avaliao da segurana em transaes eletrnicas com aplicao de ferramentas CAAT / Antonio Augusto Silva Prates. Braslia: O autor, 2011. 54 p.; Ilustrado; 25 cm. Monografia (especializao) Universidade de Braslia. Instituto de Cincias Exatas. Departamento de Cincia da Computao, 2011. Inclui Bibliografia. 1. Auditoria. 2. Transaes eletrnicas. 3. Ferramentas CAAT. I. Ttulo. CDU 004.056
Dedicatria
A Pryscila, companheira inseparvel e Ana Lia, filha querida, duas dedicadas lutadoras.
Agradecimentos
A Deus, por permitir-me fazer o possvel reservando para Si as tarefas impossveis. A minha esposa e filha, pela pacincia, compreenso e apoio nas horas em que necessitei de tempo para dedicar-me ao estudo. Obrigado tambm aos demais familiares que sempre me incentivaram durante a jornada. Ao meu orientador, Prof. Domingos Svio, minha gratido pelo empenho e dedicao nesse processo de aprendizagem e pesquisa. Meu agradecimento pela amizade e pelas valiosas e qualificadas sugestes de melhorias. Aos colegas do curso de especializao que me apoiaram constantemente. Aos professores e funcionrios da Universidade de Braslia pelo empenho em superar as dificuldades. Aos colegas da Auditoria Interna do Banco do Brasil pelas sugestes de pesquisa e subsdios fornecidos. Ao Banco do Brasil S.A. pelo suporte financeiro. Ao Gabinete de Segurana Institucional da Presidncia da Repblica e ao Departamento de Segurana da Informao e Comunicaes por promoverem em conjunto com a Universidade de Braslia o Programa de Formao de Especialistas para a Elaborao da Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes, sem os quais este curso no existiria. Meu agradecimento pela ajuda que cada um prestou na construo deste trabalho.
Quanto melhor adquirir a sabedoria do que o ouro! E quanto mais excelente escolher o entendimento do que a prata! Provrbios 16:16
Lista de Figuras
Figura 1: Fases da Auditoria por Anlise de Dados. .................................................25 Figura 2: Ciclo de utilizao indevida de transaes.................................................29 Figura 3: Relao entre regras de negcio e uso indevido de transaes................30 Figura 4: Ficha de avaliao de transaes do Sistema A .....................................49 Figura 5: Ficha de avaliao de transaes do Sistema B .....................................50 Figura 6: Ficha de avaliao de transaes do Sistema C .....................................51 Figura 7: Ficha de avaliao de transaes do Sistema D .....................................52
Sumrio
Ata de Defesa de Monografia......................................................................................3 Dedicatria ..................................................................................................................4 Agradecimentos ..........................................................................................................5 Lista de Figuras...........................................................................................................7 Sumrio .......................................................................................................................8 Resumo .....................................................................................................................11 Abstract .....................................................................................................................12 1 Delimitao do Problema .......................................................................................13 1.1 Introduo........................................................................................................13 1.2 Formulao da questo de pesquisa...............................................................15 1.3 Objetivos e escopo ..........................................................................................15 1.3.1 Objetivo Geral ...........................................................................................15 1.3.2 Objetivos Especficos ................................................................................15 1.3.3 Escopo ......................................................................................................15 1.4 Justificativa ......................................................................................................15 1.5 Hiptese...........................................................................................................16 2 Reviso de Literatura e Fundamentos ...................................................................17 2.1 Risco, Controle e Auditoria ..............................................................................17 2.2 Segurana da Informao................................................................................18 2.2.1 Segurana da informao .........................................................................18
2.2.2 Princpios bsicos de segurana da informao .......................................18 2.2.3 Segurana da informao e auditoria em TI .............................................21 2.3 Auditoria de Tecnologia da Informao ...........................................................21 2.3.1 Consideraes sobre auditoria..................................................................21 2.3.2 Objetivos da auditoria de TI ......................................................................22 2.3.3 Atividades bsicas da auditoria de TI........................................................23 2.4 Auditoria em Transaes Eletrnicas por meio de Anlise de Dados .............24 2.4.1 Fases da auditoria por anlise de dados...................................................24 2.4.2 Ferramentas CAAT ...................................................................................26 2.4.3 Auditoria em transaes eletrnicas .........................................................27 3 Metodologia............................................................................................................31 3.1 Abordagem e tipo de pesquisa ........................................................................31 3.2 Delineamento da Pesquisa ..............................................................................31 3.3 Mtodos e tcnicas de pesquisa......................................................................32 3.3.1 Para definio da metodologia a ser aplicada...........................................32 3.3.2 Para aplicao da metodologia escolhida .................................................32 3.4 Delimitao do caso ........................................................................................35 3.5 Limitaes da pesquisa ...................................................................................35 4 Resultados .............................................................................................................36 4.1 Definio da metodologia ................................................................................36 4.2 Aplicao da metodologia................................................................................37 4.2.1 Avaliao do Sistema A ..........................................................................37 4.2.2 Avaliao do Sistema B ..........................................................................38 4.2.3 Avaliao do Sistema C..........................................................................38 4.2.4 Avaliao do Sistema D..........................................................................39 5 Discusso...............................................................................................................40 5.1 Metodologia Adotada .......................................................................................40
5.2 Aplicao da Metodologia................................................................................40 5.2.1 Identificao das Transaes Eletrnicas .................................................41 5.2.2 Existncia, Clareza e Disponibilidade das Regras de Negcio .................42 5.2.3 Classificao da Transao Eletrnica .....................................................42 5.2.4 Restrio de Acesso da Transao Eletrnica..........................................42 5.2.5 Restrio de Uso da Transao Eletrnica (TE) .......................................43 5.2.6 Acompanhamento e Monitoramento da Transao Eletrnica..................43 6 Concluses e Trabalhos Futuros............................................................................44 6.1 Concluses ......................................................................................................44 6.2 Trabalhos Futuros............................................................................................45 Referncias e Fontes Consultadas ...........................................................................46 Apndice ...................................................................................................................49
Resumo
O presente trabalho trata da auditoria de segurana em transaes eletrnicas com o emprego de ferramentas CAAT. O objetivo principal mostrar como avaliar com agilidade a segurana de transaes eletrnicas por meio da utilizao desse tipo de ferramenta. Dessa forma, foi realizado estudo de caso, constitudo inicialmente por ampla reviso terica sobre auditoria, risco e controle, segurana da informao, anlise de dados e transaes eletrnicas. Foram correlacionados estudos que convergiram para o desenvolvimento de uma metodologia de auditoria em transaes eletrnicas com uso de CAAT. Para aplicao dessa metodologia, foram escolhidos quatro sistemas financeiros contbeis totalizando quarenta e uma transaes eletrnicas. Aps delimitado o escopo, efetuou-se a coleta e anlise de dados por meio de ferramenta CAAT seguida de entrevistas, com a finalidade de identificar riscos segurana da informao. Os achados obtidos foram relatados aos gestores para adoo de providncias cabveis. Ao final, conclui-se que a associao de ferramentas eletrnicas de anlise de dados, com tcnicas de auditoria, possibilita identificar falhas e fragilidades com brevidade, agilizando a adoo de medidas corretivas para reduo de riscos relacionados segurana da informao. Palavras-chave: Auditoria, Anlise de Dados, CAAT, Segurana da Informao, Transaes Eletrnicas.
Abstract
This work describes the security audit of electronic transactions with the use of CAAT tools. The main objective is to show how to evaluate with agility, the security of electronic transactions by use of this tool. To that end, was conducted a case study initiated by extensive theoretical review about audit, risk and control, information security, data analysis and electronic transactions. Were correlated studies that converged on the development of an audit methodology in electronic transactions with the use of CAAT. For application of this methodology, were chosen four financial accounting systems totaling forty-one electronic transactions. After defined the scope, performed the data collection and analysis using CAAT tool and followed by interviews, with the purpose of identify threats to information security. The findings were reported for managers to adopt appropriate measures. At the end, it is concluded that the combination of electronic tools for data analysis with audit techniques, allows identify faults and weaknesses with briefness, speeding the adoption of corrective measures to reduce risks associated to information security. Keywords: Auditing, Data Analysis, CAAT, Information Security, Electronic Transactions
13
1 Delimitao do Problema
O uso crescente da tecnologia da informao nas diversas reas da administrao pblica federal proporciona aos rgos de controle a necessidade de adequar as ferramentas utilizadas em seus procedimentos de auditoria. Novas opes esto sendo desenvolvidas para auxiliar e aprimorar os trabalhos executados pelos auditores (ARRIAL, 2009, p. 7). Nesse sentido, estudos so conduzidos no campo da auditoria de TI, especificamente na rea de anlise de dados, para o aperfeioamento das tcnicas de auditoria assistidas por computador (TAAC). As TAAC ou CAAT (do ingls, Computer Assisted Audit Techniques) empregam o computador como ferramenta operacional para extrao e anlise de dados, conferindo maior eficincia e eficcia aos trabalhos das equipes de auditoria (ARRIAL, 2009, p.7). Na Unidade de Auditoria Interna onde se desenvolveu o presente estudo, observa-se a utilizao dessas tcnicas por parte de sua equipe de auditores, notadamente aps a implementao de treinamentos internos sobre o assunto ao longo dos anos de 2009 a 2011.
1.1 Introduo
A utilizao de aplicaes tecnolgicas em organizaes tem se baseado no desenvolvimento de transaes eletrnicas que reproduzem as situaes reais no ambiente virtual, com vistas a substituir dispendiosos processos manuais por processos eletrnicos (PINTO, 2009, p. 28). Uma transao eletrnica pode ser definida como um conjunto de comandos programados para consultar, inserir, excluir ou alterar um ou mais registros em um
14
banco de dados, sendo um atributo pertencente ao processo/negcio/atividade que a comporta (SANTOS, 2009). A informao sobre a execuo dessas transaes armazenada sob a forma de registros em banco de dados. Tais registros acabam por gerar grande volume de dados e representam um desafio tanto para armazenamento quanto para o tratamento e a gerao de informaes (PINTO, 2009, p. 13). A questo que se apresenta como este volume de dados pode ser utilizado pelos gestores para tomar decises, descobrir novas relaes entre fenmenos que, em um primeiro momento, no so evidentes, bem como identificar padres de comportamentos. A soluo desse desafio no nica, mas com certeza a cincia estatstica e da computao estaro presentes em muitas das propostas que sero apresentadas (PINTO, 2009, p. 13). No ambiente de auditoria, essa questo tambm est presente. Prover mecanismos que possibilitem transformar uma profuso de dados em informaes relevantes de forma clere e com qualidade fundamental em todos os trabalhos do gnero. Nesse contexto, a Auditoria por Anlise de Dados, por meio de ferramentas CAAT, apresenta-se como abordagem alternativa frente aos desafios dos cenrios organizacionais (HANASHIRO, 2007) seja pela profuso de dados como pela dificuldade em avaliao in-loco de evidncias. Em linhas gerais, a metodologia de auditoria prev inicialmente o entendimento do processo, seus principais riscos passveis de monitorao e os investimentos necessrios para auditoria de aspectos relevantes. Os mtodos utilizados atualmente para auditoria variam desde a verificao de relatrios e demais documentos at a utilizao de sistemas de monitoramento informatizados com parmetros definidos previamente. Aps a definio dos riscos, aprofundado o entendimento das informaes disponveis para elaborao dos futuros testes. Depois de os testes serem definidos, testados e aprovados os testes, elaboram-se os procedimentos de acesso, captura, tratamento e verificao de integridade dos dados, para permitir o clculo e o relato. Neste momento, as ferramentas computacionais (CAAT) assumem um papel relevante, pois permitem, alm da execuo dos testes, a captura e verificao de integridade sobre grandes bases de dados por vezes de origens distintas, e contemplando os relacionamentos de causa-efeito existentes ou simulados (IMONIANA, 2005).
15
1.4 Justificativa
A utilizao de transaes eletrnicas, em substituio a procedimentos manuais, largamente empregada nas organizaes, especialmente financeiras. Seguindo esta prtica, o Banco tem desenvolvido sistemas corporativos e de negcios com nmero cada vez maior de transaes com o intuito de obter qualidade nos produtos e servios, agilidade no atendimento e satisfao dos usurios (clientes, fornecedores, funcionrios ou a comunidade em geral).
16
O emprego dessas transaes traz, alm dos benefcios citados, os riscos de segurana inerentes ao processo de automatizao. Avaliar as transaes eletrnicas, a fim de prover subsdios para minimizao do risco, torna-se oportuno e relevante para a organizao, contribuindo para a segurana de seus ativos. Aliado ao exposto, os aspectos regulatrios, tais como os normativos do Banco Central do Brasil (Bacen), Comisso de Valores Mobilirios (CVM) e a legislao brasileira, ressaltam a importncia da pesquisa realizada como forma de auxlio na preveno a eventos que possam gerar restries ou penalidades instituio e elevao dos riscos.
1.5 Hiptese
Este trabalho prope verificar a hiptese de que a utilizao de tcnicas de auditoria assistidas por computador, em conjunto com outras tcnicas usualmente empregadas, permite avaliar com agilidade aspectos de confidencialidade, integridade e disponibilidade em transaes eletrnicas dos sistemas informatizados de uma organizao.
17
18
19
Confidencialidade: garantia de que o acesso informao restrito aos seus usurios legtimos. Integridade: garantia da criao legtima e da consistncia da informao ao longo do seu ciclo de vida, em especial, preveno contra acesso, alterao ou destruio no autorizada de dados e informaes. O objetivo de autenticidade da informao englobado pelo de integridade, quando se assume que este visa a garantir no s que as informaes permaneam completas e precisas, mas tambm que a informao capturada do ambiente externo tenha sua fidedignidade verificada e que a criada internamente seja produzida apenas por pessoas autorizadas e atribuda unicamente ao seu autor legtimo. Disponibilidade: garantia de que a informao e os ativos associados estejam disponveis para os usurios legtimos de forma oportuna. Beal (2008, p. 3) destaca que nem todos os objetivos da segurana da
informao so aplicados, ao mesmo tempo e com a mesma intensidade, a todo tipo de informao e em todas as etapas do ciclo de vida da informao, bem como ao longo do tempo. A nfase dada a cada objetivo vai depender do propsito da informao. Por exemplo, uma informao estratgica da organizao requerer controles rgidos quanto confidencialidade da informao durante a sua fase de elaborao. Esses esforos, no entanto, sero dirimidos a partir do momento que a estratgia for executada e divulgada para a comunidade em geral. Sendo a maior parte da informao armazenada em computadores, um impacto produzido pela ocorrncia de eventos que coloquem em xeque a confiana nesses dados resultar, em ltima instncia, a continuidade ou no do sistema (BEAL, 2008, p. 8). Uma organizao deve, portanto, preocupar-se com a segurana dos componentes de TI e das informaes neles armazenados por quatro razes principais (Beal, 2008, p. 8): Dependncia da tecnologia da informao. Sistemas que ofeream servios adequados e no tempo certo so a chave para a sobrevivncia da maioria das organizaes contemporneas. Sem seus computadores e sistemas de comunicao, as organizaes seriam incapazes de fornecer servios, processar faturas, contatar fornecedores e clientes ou efetuar pagamentos. Os sistemas de informao tambm armazenam dados
20
sigilosos, que, se tornados pblicos, poderiam causar prejuzos e em alguns casos o fracasso da organizao. Vulnerabilidade da infra-estrutura tecnolgica. Hardware e software exigem um ambiente estvel, podendo ser danificados por desastres naturais, como fogo, inundao ou terremotos, falhas no controle da temperatura ou do suprimento da energia eltrica, acidentes ou sabotagens. Muitos equipamentos de TI so alvos de ladres por serem portteis, apresentarem uma relao valor/peso bastante elevada e por serem facilmente vendidos. Alto valor da informao armazenada. Os sistemas baseados em TI so as chaves para o acesso a vastas quantidades de dados corporativos, tornando-se um alvo atraente para hackers, espies e at mesmo empregados dispostos a usar de seus privilgios em troca de dinheiro ou vantagem oferecida por um concorrente. Pouca ateno dada segurana nos estgios iniciais do desenvolvimento de software. Muitos sistemas de informao sejam desenvolvidos internamente, ou por terceiros, no so projetados tendo em vista a segurana como uma de suas prioridades. comum que caractersticas de segurana (por exemplo, relacionadas definio de nveis de permisso de acesso a funcionalidades, segregao de atividades no sistema etc.) sejam adicionadas nas etapas finais de desenvolvimento, quando sua eficcia j pode ter sido prejudicada por decises de projeto tomadas sem levar em conta os requisitos de segurana. As ameaas a que esto submetidas as informaes corporativas no so eliminadas somente por meio da segurana da informao baseada em TI. O mapeamento das informaes crticas na organizao, contidas fora dos sistemas informatizados, proporcionar aos responsveis pela segurana desses ativos planejar e implementar aes necessrias para a sua proteo (BEAL, 2008, p. 9). Para manter os ativos de informao protegidos, as organizaes devem adotar controles de segurana que garantem a proteo de seus recursos (BEAL, 2008, p. 10). A fim de obter xito nesse empreendimento, toda organizao precisa adquirir uma viso sistmica das suas necessidades de segurana, dos recursos a serem protegidos e das ameaas s quais est sujeita, para ento poder identificar
21
as medidas de proteo mais adequadas, economicamente viveis e capazes de reduzir ou eliminar os principais riscos para o negcio (BEAL, 2008, p. 10). 2.2.3 Segurana da informao e auditoria em TI Beal (2008, p.10) destaca que a preocupao com os controles e mecanismos de proteo dos ativos de TI deve permear todos os trabalhos de auditoria, requerendo do auditor, especial ateno quanto efetividade dos procedimentos adotados pela organizao em relao ao objeto que est avaliando em seu trabalho (processo, servio, sistema, atividade etc.), observando, mesmo que indiretamente, os aspectos relacionados segurana. Em relao segurana dos componentes de TI, devem ser realizadas auditorias peridicas, por indivduos no vinculados s atividades auditadas, com o intuito de verificar o atendimento aos princpios e diretrizes estabelecidos pela poltica de segurana da informao. Beal (2008, p.10) sugere, ainda, a realizao de auditorias internas e externas para garantir a independncia das anlises.
22
A auditoria externa, de acordo com Dias (2000, p. 11), realizada por instituio externa e independente da entidade fiscalizada, com o objetivo de emitir um parecer sobre a gesto de recursos da entidade, sua situao financeira, a legalidade e regularidade de suas operaes. Os trabalhos desenvolvidos pelas auditorias internas e externas so semelhantes. As duas categorias, dentre outros aspectos comuns, fazem uso das mesmas tcnicas de auditorias; e tem os controles internos da organizao como direcionadores de seus trabalhos alm de apresentam sugestes de melhorias frente s fragilidades observadas (DIAS, 2000, p.11). A terceira categoria a articulada, que resulta do trabalho conjunto de auditorias internas e externas (DIAS, 2000, p. 11). 2.3.2 Objetivos da auditoria de TI O processo de auditoria de TI, busca o entendimento do objeto auditado com o intuito de conhecer os riscos a que est sujeito e suas principais medidas de controles adotadas - avaliando a sua adequao, o seu funcionamento, sua efetividade e suas potenciais e reais conseqncias, na ocorrncia de um evento no desejado, da mesma maneira que a auditoria em geral. Assim, a auditoria de TI permite realizar avaliao dos controles institudos pela organizao, possibilitando identificar fragilidades e estimular a correo dos problemas ou das no conformidades apuradas (HANASHIRO, 2007, p.78). Atuando em todos os sistemas de informao da organizao, nos nveis estratgicos, gerencial e operacional, a auditoria de TI tem como linhas mestras de atuao: Auditoria de sistemas em produo: abrange os procedimentos e resultados dos sistemas de informao j implantados (caractersticas: preventiva, detectiva e corretiva). Auditoria durante o desenvolvimento de sistemas: abrange todo o processo de construo de sistemas de informao, desde a fase de levantamento do sistema a ser informatizado at o teste e implantao (caracterstica preventiva). Auditoria do ambiente de tecnologia da informao: abrange a anlise do ambiente de informtica em termos de estrutura orgnica, contratos de
23
software e hardware, normas tcnicas e operacionais, custos, nvel de utilizao dos equipamentos e planos de segurana e de contingncia. Auditoria de eventos especficos: abrange a anlise da causa, da conseqncia e da ao corretiva cabvel, de eventos localizados que no se encontram sob auditoria, detectados por outros rgos e levados ao seu conhecimento (caracterstica corretiva) (SCHMIDT; SANTOS; ARIMA, 2006, p. 22-23). 2.3.3 Atividades bsicas da auditoria de TI De acordo com Hanashiro (2007, p. 31), as principais reas Auditoria de TI so: Auditoria de Dados: Aes de controle cujo objeto uma base de dados a ser analisada com o auxlio de um software de anlise de dados (ex. ACL1) utilizando-se critrios estabelecidos em funo da informao presente na base de dados. Auditoria de Infra-Estrutura: Aes de controle cujo objeto a infraestrutura tecnolgica (ex. sistema operacional, redes, etc.), exigindo conhecimento tcnico aprofundado da rea. Auditoria de Gesto de TI: Aes de controle cujo objeto a prpria Gesto da TI, envolvendo anlise das atividades de planejamento, execuo e controle dos processos de TI da Unidade examinada. Auditoria de Segurana: Aes de controle envolvendo anlise ou contratos cujos objetos so bens ou servios de TI. Auditoria de Aplicativos: Aes de controle envolvendo a anlise de software tanto do ponto de vista operacional quanto do ponto de vista legal (HANASHIRO, 2007, p. 31). Essa diversidade de reas de atuao exige que o auditor tenha amplos conhecimentos em TI ou que se formem equipes com componentes que possuem conhecimentos requeridos pelas reas que compem o escopo do trabalho de auditoria a ser realizado.
ACL (Audit Command Language - http://www.acl.com/) uma ferramenta utilizada para extrao e anlise de dados, deteco de fraudes e monitoramento, desenvolvida no Canad pela empresa ACL Service.
24
25
extrados de ambientes computacionais, por si s, so confiveis. Para serem utilizados, os dados devem ser completos (sem omisses ou incluses indevidas capazes de distorcer as anlises) e exatos (sem incorrees significativas nos valores atribudos), bem como representativos. A determinao da confiabilidade dos dados deve ocorrer independentemente do responsvel pela sua gerao, e ser iniciada ainda na fase de planejamento da auditoria. Caso os dados que sero utilizados no forem suficientemente confiveis para o alcance dos objetivos da auditoria, eles no podero ser utilizados como evidncia (TCU, 1998, p.16). Uma vez validada a base de dados, o prximo passo a aplicao dos testes previamente elaborados para o trabalho, cujos resultados devero suportar as concluses e atender os objetivos propostos da auditoria. Os resultados dos testes e demais evidncias que subsidiaram o trabalho de Auditoria por Anlise de Dados devem ser adequadamente registrados, permitindo a pesquisa de quaisquer informaes quando for requerida. A finalizao do trabalho de Auditoria por Anlise de Dados ocorre no momento da comunicao dos seus resultados, com a confeco do relatrio de auditoria, com a emisso das recomendaes ou mesmo por meio de informe para outras reas de auditoria relatando os seus achados. As fases da Auditoria por Anlise de dados so descritas na Figura 1.
Motivadores do Trabalho Objeto Objetivos
Escopo
Documentao
Figura 1: Fases da Auditoria por Anlise de Dados (Fonte: Pinto, 2009, p. 39).
26
2.4.2 Ferramentas CAAT O excesso de informaes uma realidade que ao invs de contribuir para o nosso entendimento sobre o ambiente que nos cerca, pode, ao contrrio, atrapalharnos se no dispormos de uma ferramenta capaz de filtrar e customizar essa profuso de dados em atendimento aos nossos propsitos. Nesse sentido, pode-se afirmar que impossvel viver sem os computadores e que no momento precisamos de softwares com capacidade necessria para auxiliar-nos na rdua tarefa de tratamento das informaes (DELOITTE, 2001, p. 47). No contexto da auditoria essa constatao tambm est presente. Por isso, o uso de tcnicas de auditoria com auxlio do computador, torna-se cada vez mais indispensvel, pois propicia economia de tempo e, conseqentemente, reduo de custos (DELOITTE, 2001, p. 47). As tcnicas de auditoria auxiliadas por computador possibilitam a realizao de um conjunto de procedimentos teis na execuo de auditorias, podendo ser aplicadas em testes de controles gerais, testes de detalhes de transaes, testes analticos e substantivos, e amostragem. Alm disso, elas auxiliam na extrao, sorteio, seleo de dados e transaes, atentando para discrepncias (duplicidades, dados ausentes, formatos invlidos) e desvios (HANASHIRO, 2007). De acordo com Imoniana (2006) e Hanashiro (2007), as ferramentas CAATs podem ser classificadas em generalistas, especialistas e utilitrias. As generalistas possuem aplicaes variadas como extrao de dados, sumarizao, testes globais, apontamento de duplicidades, seleo de amostra. Alm disso, existem aquelas voltadas para os processos e fases da auditoria, contemplando desde a etapa de planejamento at a gerao de relatrio. So exemplos de aplicaes generalistas o ACL (ACL, 2011), o PICALO (PICALO, 2011) e o SAS (SAS, 2011). As vantagens principais vantagens dessas aplicaes so permitir o processamento conjunto de diversos com formatos diferentes de bases (EBCDIC ou ASCII, por exemplo) e fazer integrao sistmica com vrios tipos de softwares e hardwares. Contudo, apresentam a desvantagem de envolver a gravao de dados (arquivos) em separado para anlise e a carncia de aplicaes para ambiente online. Os aplicativos especialistas, por sua vez, so aqueles desenvolvidos especialmente para atender as necessidades do auditor no desenvolvimento de
27
suas atividades, construdo por ele prprio, pelos especialistas da entidade auditada ou por profissionais contratados pelo auditor (IMONIANA, 2005). As desvantagens desses aplicativos esto no uso restrito ao cliente ou atividade avaliada e a complexidade e altos custos de manuteno e atualizao. Em relao aos aplicativos utilitrios, pode-se dizer que so todos aqueles que no foram desenvolvidos especificamente para atender as demandas da rea de auditoria, no entanto, auxiliam no processo (IMONIANA, 2005; HANASHIRO, 2007). So exemplo, as planilhas eletrnicas, os editores de textos e os sistemas de bancos de dados. A vantagem desses softwares que eles podem ser utilizados como alternativas na ausncia de outros recursos, ou at mesmo como auxiliares no processo. Alm disso, esto presentes na maioria dos computadores, como parte dos pacotes de aplicativos disponibilizados. Como desvantagem, destaca-se a sua limitao quanto aos recursos e aplicabilidade frente s necessidades dos trabalhos de auditoria, bem como a presena de mecanismos que garantam segurana e confiabilidade na execuo das atividades do auditor. O uso das ferramentas CAATs na auditoria, e em especial na auditoria por anlise de dados, oferece inmeros benefcios: possibilidade de auditar a distncia e a totalidade dos dados; reduo do tempo de permanncia na unidade auditada; reduo de custos; preparao prvia de auditorias (gerao de amostras ou identificao de fragilidades que demandem atuaes tempestivas); utilizao de dados mais recentes, tornando o trabalho mais atualizado e com maior relevncia; e diminuio dos riscos de auditoria em decorrncia da automao dos procedimentos (BRAGA, 2008; FEBRABAN ; DELOITTE, 2003; TREVISAN AUDITORES, 1999). 2.4.3 Auditoria em transaes eletrnicas A transao eletrnica considerada como uma ao ou sequncia de aes executadas como se fosse uma unidade atmica. Por meio das transaes eletrnicas que so efetivadas as consultas e alteraes de dados nos sistemas informatizados. Sob viso orgnica, as transaes eletrnicas estariam presentes nas atividades sistematizadas e automatizadas, permeando todas as funes vitais da instituio (SANTOS, 2011). As transaes devem apresentar funcionalidade coerente com as regras de negcio, sob pena de perda da confiabilidade na base de dados e consequente
28
comprometimento das relaes existentes entre a instituio, os usurios e seus clientes. A auditoria em transaes eletrnicas deve abranger todas as fases de uma transao (criao/alterao, operao e monitoramento) identificando riscos inerentes operao e considerando as caractersticas. Conforme Santos (2011), a auditoria em transaes eletrnicas busca avaliar se as normas esto expressamente registradas, se os mecanismos de controle so suficientes para seu monitoramento e acompanhamento e se as funcionalidades do sistema, em suas restries de acesso e de uso, contemplam as regras de negcio. Denomina-se de restrio de acesso a medida que restringe o direito de acesso de um usurio a determinado sistema ou transao (SANTOS, 2011). A restrio de acesso uma das medidas de segurana da informao adotadas pelas organizaes, aplicada s transaes eletrnicas. Considerando as fraudes e falhas em servio, que acontecem mediante o acesso legtimo ou no, determinada transao, a suficincia de segurana da transao no pode ser determinada somente pela aplicao de restries de acesso. Nessas situaes (falhas e fraudes), a utilizao da transao pode ocorrer em situao atpica, no prevista nas instrues ou em passo de desobedincia quelas existentes. A forma como ocorrer esse uso que pode comprometer a segurana da ao. Entende-se por restrio de uso aquela em que um usurio, possuindo acesso transao, fica temporariamente impedido de oper-la devido a caracterstica do usurio, do cliente, do local onde est sendo realizada a transao ou outros parmetros estabelecidos pelo gestor de negcio (SANTOS, 2011). A ausncia de regras de negcio implementadas em transaes e sistemas indica um nvel de controle inadequado, uma vez que permite novas ocorrncias de utilizao indevida de transaes eletrnicas. A aplicao de restrio de uso em transaes eletrnicas, de forma que sua manipulao esteja automaticamente limitada s condies previstas nas regras de negcio, poderia minimizar esta fragilidade (Figura 2). Para tanto, imprescindvel conhecer o ambiente onde a transao operada (local e intervenientes), em todo seu contexto: criao, operao, monitoramento, restries de acesso, restries de uso.
29
Figura 2: Ciclo de utilizao indevida de transaes (Fonte: Santos, 2011). Santos (2011) afirma que o contexto de atuao da transao eletrnica definido e restrito a regras de negcio, normalmente presentes nos normativos internos, nos contratos estabelecidos entre a organizao seus clientes/usurios, na legislao atinente atividade da empresa, e em diversas outras fontes internas e externas, tais como: especificaes, manuais, planos de negcio, relatrios internos, atas de reunies, correspondncias, padres definidos por organizaes oficiais, cdigos de prtica e padres de referncia. As transaes eletrnicas utilizadas em negcios necessitam da ao humana para produzir determinado resultado alm de estarem sempre vinculadas alguma regra de negcio, as quais definem ou restringem algum aspecto do negcio(SANTOS, 2011). Dessa forma, o risco de uso indevido de determinada transao eletrnica seria inversamente proporcional ao contedo de regras de negcio implementadas ao sistema. Quanto maior a quantidade de regras de negcio, maior o custo de implementao do sistema e menor a possibilidade de uso indevido da transao eletrnica, pois depende menos da condio do usurio (Figura 3). Sendo assim, deve-se observar a criticidade da informao acessada bem como os riscos envolvidos quando do planejamento da adoo dos controles em um sistema.
30
Figura 3: Relao entre regras de negcio e uso indevido de transaes (Fonte: Santos, 2011).
31
3 Metodologia
32
3.3.2 Para aplicao da metodologia escolhida Aps definida, a metodologia foi aplicada por meio de estudo de caso na anlise de transaes eletrnicas de sistemas contbeis da organizao em que o autor trabalha. Tais sistemas so considerados crticos para a empresa e a identificao de possveis fragilidades foi realizada nas dependncias da auditoria interna, para preservao da confidencialidade das informaes. Para identificar possveis fragilidades foi elaborado questionrio, como previsto na metodologia de auditoria, contemplando vinte e uma perguntas agrupadas conforme segue: Bloco 1: Identificao da Transao Eletrnica (TE): 1.1 Informe a quantidade de usurios com acesso TE sob anlise. Bloco 2: Existncia, clareza, e disponibilidade das regras de negcio vinculadas direta ou indiretamente TE: 2.1 As normas indicam quem o Gestor responsvel pelas informaes acessadas pela TE? 2.2 Existe regra de negcio publicada nas instrues internas vigentes vinculadas informao acessada pela TE? 2.3 Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4 As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? Bloco 3: Classificao da Transao Eletrnica: 3.1. Qual classe de confidencialidade foi atribuda TE? 3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? 3.3. Qual a categoria de acesso a dados foi atribuda TE?
33
3.4. A categoria de acesso a dados atribuda a TE no aplicativo Gerenciador de Acessos est compatvel com a funcionalidade da transao? 3.5. O gestor adota procedimento para reviso das caractersticas da TE? Bloco 4: Restries de acesso aplicadas TE: 4.1. Existe restrio de acesso aplicada TE? 4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? 4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada? 4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? 4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE? 4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE? Bloco 5: Restries de uso aplicadas TE 5.1. Existe restrio de uso aplicada TE? 5.2. Existe segregao de uso para efetivao da TE? Bloco 6: Acompanhamento e Monitoramento 6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise? 6.3. Existe opo de consulta de log/histrico da TE em sistema corporativo? A fim de responder s questes, foram utilizados procedimentos de coleta de dados e testes computacionais com ferramentas CAAT blocos 1 5) em conjunto com entrevistas semi-estruturadas com os gestores dos sistemas (questes do bloco 6). Os dados referentes s transaes estudadas foram coletados por meio de consulta ao aplicativo corporativo de controle de acesso e transaes, com o uso de Soluo Automatizada de Captura de Informaes (SACI). Esta soluo utiliza-se de bibliotecas que combinam a linguagem VBA (Visual Basic for Applications) presente no software MS-Access, com o emulador de terminal IBM 3270, para acesso ao ambiente Mainframe. Dessa forma, obteve-se a captura das informaes em tela e armazenou-se em banco de dados para posterior utilizao.
34
Aos dados gerados foram aplicados procedimentos de validao que consistiram na verificao e eliminao de duplicidades e comparao de amostra de registros com os sistemas de origem. Posteriormente, para responder aos quesitos, foram realizados testes por meio de operaes de classificao, sumarizao e cruzamento de dados com as seguintes bases corporativas: Tabela de descrio e caracterizao de usurios contemplando cargo, funo e setor de trabalho; Tabela descritiva de tipos de restrio de acesso; Tabela descritiva de gestor responsvel e confidencialidade da informao. Os procedimentos de validao e de testes foram executados, com a ferramenta ACL devido a sua capacidade de realizar operaes de anlise de dados com agilidade mesmo para grandes volumes de dados, alm de possuir uma ampla gama de funcionalidades aplicveis auditoria. O equipamento utilizado nas tarefas foi um microcomputador de mesa com processador Intel Core 2 Duo 3 GHz com memria RAM de 4 Gb e disco rgido de 500 Gb, utilizando sistema operacional MS-Windows Vista Business/Service Pack 1, e soluo de automao de escritrio MS-Office 2002. Esta configurao similar aos equipamentos usados pelas reas de auditoria, segurana e gesto de negcios da empresa. As entrevistas seguiram um roteiro caracterizado com a apresentao do trabalho e das questes referentes ao acompanhamento e monitoramento (bloco 6). Geralmente participavam cerca de dois analistas, dentre aqueles funcionrios diretamente envolvidos com a especificao e aprimoramento dos sistemas avaliados, de cada uma das quatro reas de negcios. Os participantes apresentaram suas consideraes cerca dos requisitos de segurana que considerassem mais relevantes nos sistemas avaliados e, ao final, registraram a atividade em documentos denominados memria de reunio. Esses documentos possuem carter sigiloso e encontram-se arquivados digitalmente na Intranet da organizao, na rea reservada a Auditoria Interna.
35
36
4 Resultados
37
Nessa etapa da pesquisa, deve-se considerar a influncia que a experincia profissional do autor exerceu na formulao da proposta dada sua atuao h trs anos em auditoria por anlise de dados.
38
das trs transaes e que esto parcialmente implantadas permitindo que usurios no envolvidos com o processo consultem ou executem transaes indevidamente. Os demais aspectos analisados apresentaram respostas positivas para as transaes avaliadas. 4.2.2 Avaliao do Sistema B Para o sistema B, foi avaliada a totalidade do aplicativo compreendendo seis transaes. Por meio do quesito 2.4 evidenciou-se a inexistncia de regras de negcio que determinassem restries de uso da informao acessada pelas transaes. A incerteza quanto s regras de negcio prejudica os desenvolvedores durante a implementao de restries de uso que tem por objetivo minimizar incorrees na atualizao de informaes corporativas O quesito 5.1 apresentou resultado negativo para a existncia de restries de uso nas transaes eletrnicas, cujo impacto foi descrito no item 4.2.1. O sistema B apresentou ainda, respostas negativas nos quesitos referentes restrio de acesso, notadamente para as transaes B3-Em validao, B4Validar e B5-Fechar implicando no risco de execuo por usurios no envolvidos com servio. Os outros aspectos analisados no apresentaram respostas negativas. 4.2.3 Avaliao do Sistema C O sistema C possui um total de doze transaes ativas sendo todas avaliadas. Os testes apresentaram respostas negativas quanto compatibilidade entre a funcionalidade e a categorizao das transaes (3.4 - categoria de acesso) para onze transaes. A exceo ocorreu para a transao C02-Autorizar. O fato de apresentar classificao incorreta quanto categoria de acesso possibilita que usurios com perfil de desenvolvedores tenham permisso para atualizar informaes corporativas, em divergncia com a funo lhes atribuda pelos normativos internos. Os quesitos de avaliao de restries de acesso apresentaram respostas negativas para dez transaes. As transaes C06-Log e C11-Abertos foram excees nesses quesitos por apresentarem respostas positivas s avaliaes. Os demais itens testados no apresentaram respostas negativas aos testes.
39
4.2.4 Avaliao do Sistema D O estudo do sistema D contemplou vinte transaes avaliadas. Em dez transaes, obtiveram-se respostas negativas ao teste que trata da compatibilidade entre a funcionalidade e a categorizao da transao (quesito 3.4). Igual nmero de transaes avaliadas resultou em no positivos para dois quesitos que tratam da conformidade de restries de acesso. O impacto de tais inconformidades j foi tratado no item 4.2.3. Os demais testes referentes restrio de uso, acompanhamento e monitoramento, identificao da transao e existncia de regras de negcio apresentaram respostas positivas. No item classificao da transao, destaca-se que o gestor adota procedimentos de reviso das transaes.
40
5 Discusso
41
combinao de aplicativos (ACL e SAS, por exemplo) e equipamentos que as suportem. Uma caracterstica desse trabalho que os mesmos testes executados pela ferramenta ACL poderiam ser realizados com o uso do prprio MS-Access (utilizado para captura) ou do MS-Excel. Tal fato deveu-se quantidade reduzida de sistemas e transaes envolvidos. Para que fosse possvel a substituio do ACL, haveria a necessidade de converso das bases corporativas, o que implicaria em novas etapas consumindo mais recursos e tempo. Isso sugere que pacotes de automao de escritrio instalados em computadores pessoais podem ser utilizados para execuo de anlise de dados em ampla gama de organizaes sejam pblicas ou privadas com investimentos reduzidos em ferramentas e infraestrutura. Outra observao destaca o benefcio do uso das ferramentas CAAT. Quando realizados manualmente, os testes tendem a durar semanas at a finalizao das consultas aos sistemas corporativos. Contudo, observou-se um tempo notadamente menor usando as ferramentas. Quanto s entrevistas com os gestores destacam-se a importncia da participao dos analistas responsveis pelos projetos dos sistemas na elucidao das questes referentes ao monitoramento e acompanhamento, e a receptividade dos mesmos aos requisitos de segurana da informao. As consideraes sobre os resultados dos testes de segurana esto descritas a seguir. 5.2.1 Identificao das Transaes Eletrnicas A atividade de identificao das transaes eletrnicas teve como objetivo averiguar a qualidade do registro das caractersticas bsicas de uma transao (nome, descrio, responsvel e etc.). Pode-se constatar que todas as transaes avaliadas possuam cdigo, descrio correspondente, classificao da criticidade da informao e a definio do responsvel. Tambm foi possvel avaliar a quantidade de usurios com acesso s transaes. Percebem-se em determinadas transaes, notadamente de confirmao, o reduzido nmero de usurios com acesso (menor que dez). Isso denota o emprego da prtica do privilgio mnimo quando da concesso dos acessos colaborando com a minimizao dos riscos segurana da informao.
42
5.2.2 Existncia, Clareza e Disponibilidade das Regras de Negcio Alm da identificao das caractersticas bsicas das transaes, foram observadas se as regras definidas pelo gestor do negcio estavam aplicadas s transaes. Neste quesito, todas as TE apresentavam algum tipo de condio negocial restritiva. Por opo dos gestores, algumas transaes no possuam, em seus normativos, restries de acesso ou uso explcitas, fato verificado no exame das instrues e ratificado durante a entrevista. Analisado sob a tica de um usurio, este fato pode sugerir que no estando impedido de praticar um ato inseguro ou ilcito, ele assim o possa fazer. Isso contraria os aspectos de segurana da informao, para o qual aquilo que no est expressamente permitido, por princpio impedido. Sendo assim, a omisso nas regras de negcio denota uma fragilidade na segurana dos sistemas avaliados. Esta fragilidade no maior devido ao comprometimento dos usurios (em grande parte funcionrios de carreira), o que no impede possveis falhas operacionais no intencionais. 5.2.3 Classificao da Transao Eletrnica Ao se avaliar a classificao das transaes eletrnicas tinha-se por princpio verificar a criticidade e a categorizao das mesmas. Observou-se que a classificao quanto criticidade foi adotada corretamente mantendo-se coerncia entre as informaes acessadas e seu grau de confidencialidade. Nenhuma transao avaliada foi classificada como pblica, sendo maioria atribuda o nvel de restrita ou confidencial. Por outro lado, a categorizao das transaes apresentou considervel nmero de divergncias. Transaes classificadas indevidamente como de manuteno tcnica ou consulta possuam funo de atualizao. Tal inconformidade permite que desenvolvedores de sistemas possam executar procedimentos unicamente autorizados aos usurios com perfil negocial, contrariando os normativos de segurana da instituio. Esta falha, apontada nos sistemas C e D, pode gerar incidentes de segurana com conseqncias para os clientes externos empresa. No obstante, percebe-se que o risco de classificao incorreta poderia ser minimizado se os gestores praticassem a reviso peridica dos atributos, recomendada pelas instrues normativas internas da instituio. 5.2.4 Restrio de Acesso da Transao Eletrnica Durante a aplicao dos testes no se observou quaisquer tipo de restrio de acesso s transaes. Foi constatada a existncia de usurios autorizados a
43
executar transaes cujas atribuies no estavam em conformidade com as normas internas. Esta fragilidade pode resultar na execuo indevida de transaes gerando incidentes de segurana e expondo a organizao a riscos. 5.2.5 Restrio de Uso da Transao Eletrnica (TE) De forma semelhante ao quesito anterior, os testes demonstraram insuficincia de restries de uso em diversas transaes. Para as transaes de consulta, o risco de uso indevido estava limitado ao identificado no quesito de restrio de acesso tratado anteriormente. Porm, quando avaliadas as transaes de atualizao, torna-se evidente que o risco de utilizao indevida potencialmente maior. Para minimizar este risco, alguns gestores fazem uso da segregao de funes com um mnimo de dois usurios. Esta prtica, embora adequada sob a tica da restrio de uso, por si s no suficiente, j que no impede que dados incorretos sejam armazenados nos sistemas corporativos intencionalmente ou por falha operacional. Da anlise das restries de acesso e uso pode-se concluir que combinao adequada das restries pode minimizar os riscos de incidentes de segurana da informao, contudo, suas falhas quanto somadas podem potencializar um incidente. 5.2.6 Acompanhamento e Monitoramento da Transao Eletrnica Quanto ao monitoramento das transaes eletrnicas, evidenciou-se que aquelas em que o gestor determinou a necessidade de registro de utilizao, este existia e possua opo de consulta, no se constatando qualquer falha ou fragilidade de segurana no processo. Entretanto, quanto ao quesito acompanhamento, foram percebidas fragilidades no tratadas pelos gestores motivadas pela existncia de usurios com perfis de acesso indevido a transaes de criticidade restrita ou confidencial. Demonstrou-se com os testes a carncia de melhorias no processo a fim de minimizar os riscos de incidentes decorrentes de falhas no acompanhamento da utilizao das transaes.
44
6.1 Concluses
As informaes decorrentes do relacionamento dos principais aspectos inerentes aos controles internos, segurana da informao e auditoria de TI descritos na pesquisa bibliogrfica, em conjunto com os resultados obtidos no estudo de caso, convergem para o entendimento de que a adoo de ferramentas computacionais de anlise de dados prov agilidade na verificao de requisitos de segurana da informao em transaes eletrnicas. Conclui-se que a anlise de dados pode ser executada com utilizao de ferramentas computacionais como ACL, MS-Access e MS-Excel e em equipamentos usualmente presentes nas empresas, estando seu uso condicionado ao volume de dados em analise. A anlise dos procedimentos usualmente empregados em auditoria e sua execuo com a utilizao de ferramentas computacionais demonstrados nesse trabalho demonstraram que o tempo necessrio para aplicao dos testes foi sensivelmente menor (cerca de 10%) quando comparado a trabalhos sem a utilizao de ferramentas CAAT. A identificao das falhas e fragilidades nos sistemas contribuiu para os gestores adotarem providncias tempestivas visando minimizar a exposio aos riscos. O resultado das anlises dos quatro sistemas corporativos validou a hiptese de que a utilizao de tcnicas de auditoria assistidas por computador, em conjunto com outras tcnicas usualmente empregadas, permite avaliar com agilidade os principais aspectos de uma transao eletrnica quanto sua identificao e
45
classificao, restries de acesso e uso, adequao s regras de negcio e acompanhamento e monitoramento. Entende-se que os resultados positivos obtidos em curto intervalo de tempo e com o emprego de recursos computacionais menos dispendiosos, demonstram o potencial de aplicao da tcnica em outras reas da empresa.
46
ACL. Disponvel em: <http://www.acl.com/support> Acesso em: 18 jun. 2011. ARRIAL, Christian Ternes. Ferramentas Computacionais Aplicadas aos
Trabalhos de Auditoria Interna. 2009. 78 f. Monografia de Concluso de Curso (Especializao) Escola da AGU, da Advocacia-Geral da Unio, Centro de Formao, Treinamento e Aperfeioamento (Cefor), da Cmara dos Deputados, Secretaria Federal de Controle Interno (SFC), da Controladoria Geral da Unio e Instituto Serzedello Corra (ISC), do Tribunal de Contas da Unio, Curso de Especializao em Auditoria Interna e Controle Governamental, Braslia, 2009. BEAL, Adriana. Segurana da informao: princpios e melhores prticas para proteo dos ativos de informaes nas organizaes. So Paulo: Atlas, 2008. BRAGA, Carlos Renato Araujo. Utilizao de ferramentas CAAT em Auditorias de grandes bases de dados. In: CNASI: XVII Congresso Latino-Americano de Auditoria de TI, Segurana da Informao e Governana, So Paulo, 2008. Disponvel em: <http://www.ticontrole.gov.br/portal/page/portal/TCU/comunidades/ tecnologia_informacao/sefti_eventos/apresentacoes/2008/Cnasi-2008-taac-v1.pdf>. Acesso em: 15 mai. 2011. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books, 2000.
47
DELOITTE. Tcnicas de auditoria com uso do computador. In: SILVA JUNIOR, Jos Barbosa da (Coord.). Auditoria em ambiente de internet. So Paulo: Atlas, 2001. p. 47-57. FEBRABAN; DELOITTE. Principais ferramentas utilizadas na auditoria interna. In:__. Metodologia de auditoria interna com foco em riscos. So Paulo: IBCB, 2003. p. 49-90. HANASHIRO, Mara. Metodologia para desenvolvimento de procedimentos e planejamentos de auditorias de TI aplicada Administrao Pblica Federal. 2007. 166 f. Dissertao (Mestrado). Departamento de Engenharia Eltrica, Faculdade de Tecnologia, Universidade de Braslia, Braslia, 2007. IIA. Normas internacionais para o exerccio profissional da auditoria interna. Traduo do Instituto dos Auditores Internos do Brasil AUDIBRA. So Paulo: AUDIBRA, 2004. Ttulo original: The Professional Pratices Framework. Disponvel em: <http://www.audibra.org.br/arquivos/Normas%20Internacionais %20Auditoria%20-%20Codigo%20de%20Etica.pdf>. Acesso em: 27 mai. 2011. IMONIANA, Joshua Onome. Auditoria de sistemas de informao. So Paulo: Atlas, 2005. NAKAMURA, Emilio Tissato; GEUS, Paulo Lcio de. Segurana de redes em ambientes cooperativos. So Paulo: Novatec, 2007. PICALO. Disponvel em: <http://www.picalo.org/> Acesso em: 15 jun. 2011. PINTO, Luciano Soares. Auditoria de tecnologia da informao: um enfoque da auditoria por anlise de dados utilizando ferramentas CAAT. 2009. 50 f. Monografia de Concluso de Curso (Especializao) Centro Universitrio do Distrito Federal - UDF, Braslia, 2009. ROSSI, Luiz Cludio et al. Novos conceitos de auditoria de sistemas em bancos. So Paulo: FEBRABAN/Deloite/IBC, 2004.
48
SANTOS, Rudinei. Auditoria de Transaes Eletrnicas - Prevenindo a Fraude Bancria. Disponvel em: <http://www.felaban.com/archivos_actividades_ Acesso congresos/4.%20Rudinei%20Dos%20Santos%20-%20PORTUGUES.pptx> em: 10 jun. 2011. SAS. Disponvel em: <http://www.sas.com/> Acesso em: 15 jun. 2011. SCHMIDT, Paulo; SANTOS, Jos Luiz dos; ARIMA, Carlos Hideo. Fundamentos de auditoria de sistemas. So Paulo: Atlas, 2006. TCU. Manual de auditoria de sistemas. Braslia: TCU/Secretaria de Auditoria e Inspees, 1998. Disponvel em: <http://www.das.ufsc.br/~wangham/auditoria/ AuditSistemas.pdf>. Acesso em: 01 mai. 2011. TREVISAN AUDITORES. O processo de auditoria informatizado. In: IBRACON. Auditoria por meios eletrnicos. So Paulo: Atlas, 1999. p. 69-76. (Coleo Seminrios CRC-SP/Ibracon). YIN, Robert K. Estudo de Caso: Planejamento e Mtodos. 4. ed. Porto Alegre: Bookman. 2010.
49
Apndice
Aplicativo Transao Descrio Data da captura Quesito 1. Identificao da Transao Eletrnica (TE) 1.1. Informe a quantidade de usurios com acesso TE sob anlise 2. Existncia, clareza, e disponibilidade das regras de negcio vinculadas direta ou indiretamente TE 2.1. As normas indicam quem o Gestor responsvel pelas informaes acessadas pela TE? 2.2. Existe regra de negcio publicada nas instrues internas vigentes vinculadas informao acessada pela TE? 2.3. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 3. Classificao da Transao Eletrnica 3.1. Qual classe de confidencialidade foi atribuda TE? 3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? 3.3. Qual a categoria de acesso a dados foi atribuda TE? 3.4. A categoria de acesso a dados atribuda a TE no aplicativo Gerenciados de Acessos est compatvel com a funcionalidade da transao? 3.5. O gestor adota procedimento para reviso das caractersticas da TE? 4. Restries de acesso aplicadas TE 4.1. Existe restrio de acesso aplicada TE? 4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? 4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada? 4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? 4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE? 4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE? 5. Restries de uso aplicadas TE 5.1. Existe restrio de uso aplicada TE? 5.5. Existe segregao de uso para efetivao da TE? 6. Acompanhamento e Monitoramento 6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise? 6.3. Existe opo de consulta de log/histrico da TE em sistema corporativo?
270
126
SIM
SIM
SIM
SIM.
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM
SIM
50
Aplicativo B Transao B00 Descrio Operador do Sistema Data da captura 25/5/2011 Quesito 1. Identificao da Transao Eletrnica (TE) 1.1. Informe a quantidade de usurios com acesso TE sob anlise. 2. Existncia, clareza, e disponibilidade das regras de negcio vinculadas direta ou indiretamente TE 2.1. As normas indicam quem o Gestor responsvel pelas informaes acessadas pela TE? 2.2. Existe regra de negcio publicada nas instrues internas e vigente, vinculada informao acessada pela TE? 2.3. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 3. Classificao da Transao Eletrnica 3.1. Qual classe de confidencialidade foi atribuda TE? 3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? 3.3. Qual a categoria de acesso a dados foi atribuda TE? 3.4. A categoria de acesso a dados atribuda a TE no aplicativo Gerenciados de Acessos est compatvel com a funcionalidade da transao? 8
141
37
14
11
10
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM. NO.
SIM. NO.
SIM. NO.
SIM. NO.
SIM. NO.
SIM. NO.
RESTRITA
RESTRITA
RESTRITA
RESTRITA
RESTRITA
RESTRITA
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
ATUALIZAO
ATUALIZAO
ATUALIZAO
ATUALIZAO
ATUALIZAO
ATUALIZAO
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
3.5. O gestor adota procedimento para reviso das caractersticas da TE? 4. Restries de acesso aplicadas TE 4.1. Existe restrio de acesso aplicada TE? 4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? 4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada? 4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? 4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE? 4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE? 5. Restries de uso aplicadas TE 5.1. Existe restrio de uso aplicada TE? 5.2. Existe segregao de uso para efetivao da TE? 6. Acompanhamento e Monitoramento 6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise? 6.3. Existe opo de consulta de log/histrico da TE em sistema corporativo?
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
NO.
NO.
NO.
SIM.
SIM.
SIM.
NO.
NO.
NO.
SIM.
SIM.
SIM.
NO.
NO.
NO.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
NO. SIM.
NO. SIM.
NO. SIM.
NO. NO.
NO. SIM.
NO. NO.
51
C C00 Excluir 25/5/2011 C C01 Consultar 25/5/2011 C C02 Autorizar 25/5/2011 C C03 Publicar 25/5/2011 C C04 Consulta por Data 25/5/2011 C C05 Publica Mov. 25/5/2011 C C06 Comparar 25/5/2011 C C07 Eliminar 25/5/2011 C C08 Log 25/5/2011 C C09 Receber 25/5/2011 C C10 Concluir 25/5/2011 C C11 Abertos 25/5/2011
Quesito
SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
1.1. Informe a quantidade de usurios com acesso TE sob anlise 2. Existncia, clareza, e disponibilidade das 2.1. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.2. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 2.3. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 3. Classificao da Transao Eletrnica 3.1. Qual classe de confidencialidade foi atribuda TE? INTERNA INTERNA INTERNA INTERNA INTERNA INTERNA INTERNA INTERNA RESTRITA INTERNA INTERNA CONFIDENCIAL SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.
3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? ATUALIZAO
SIM.
MANUTENO MANUTENO MANUTENO TCNICA TCNICA TCNICA NO. NO. NO. TRANSAO TRANSAO TRANSAO DEVERIA SER DEVERIA SER DEVERIA SER CLASSIFICADA CLASSIFICADA CLASSIFICADA COMO COMO COMO ATUALIZAO. ATUALIZAO. ATUALIZAO. NO. NO. NO. NO. NO. NO.
MANUTENO MANUTENO TCNICA TCNICA NO. NO. TRANSAO TRANSAO DEVERIA SER DEVERIA SER CLASSIFICADA CLASSIFICADA COMO COMO CONSULTA. ATUALIZAO. NO.
MANUTENO MANUTENO TCNICA TCNICA NO. NO. TRANSAO TRANSAO DEVERIA SER DEVERIA SER CLASSIFICADA CLASSIFICADA COMO COMO ATUALIZAO. CONSULTA. NO. NO.
MANUTENO MANUTENO TCNICA TCNICA NO. NO. TRANSAO 3.4. A categoria de acesso a dados atribuda a TRANSAO DEVERIA SER TE no aplicativo Gerenciados de Acessos DEVERIA SER CLASSIFICADA est compatvel com a funcionalidade da CLASSIFICADA COMO transao? COMO ATUALIZAO. CONSULTA. 3.5. O gestor adota procedimento para NO. NO. reviso das caractersticas da TE? 4. Restries de acesso aplicadas TE NO. NO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. NO. NO. NO. NO. NO. NO. NO. PREJUDICADO. SIM SIM
NO.
SIM. SIM.
4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO. PREJUDICADO.
4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada?
PREJUDICADO.
SIM
PREJUDICADO. PREJUDICADO.
SIM.
4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? SIM. SIM. SIM. SIM. SIM. SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE?
SIM.
SIM.
4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE?
NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.
NO. CARGOS NO. CARGOS NO NO SIM. AUTORIZADOS AUTORIZADOS COM ACESSO A COM ACESSO A TRANSAO. TRANSAO. NO. NO. NO. DEPENDNCIAS DEPENDNCIAS DEPENDNCIAS NO NO NO AUTORIZADAS AUTORIZADAS AUTORIZADAS COM ACESSO. COM ACESSO. COM ACESSO.
NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO.
NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO.
NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM.
NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM.
SIM.
NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM. SIM. SIM.
NO. CARGOS NO AUTORIZADOS COM ACESSO A TRANSAO. NO. DEPENDNCIAS NO AUTORIZADAS COM ACESSO. SIM. SIM.
SIM.
SIM. SIM.
SIM.
SIM.
5.2. Existe segregao de uso para efetivao da TE? 6. Acompanhamento e Monitoramento 6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise?
52
D D4 Depurao 26/5/2011 D D5 Movimento 26/5/2011 D D6 Demonstrativo 26/5/2011 D D7 Comp. Global 26/5/2011 D D8 Bal. Global 26/5/2011 D D9 Incluso 26/5/2011 D D10 Livro 26/5/2011 D D14 Acerto 26/5/2011 D D15 Cronograma 26/5/2011 D D16 Manut. Tabela 26/5/2011 D D17 Exposio 26/5/2011 D D18 Ocorncias 26/5/2011 D D19 Excl.Grupos 26/5/2011 D D20 Total Global 26/5/2011 D D21 Vis. Global 26/5/2011 D D22 Vis. Demons. 26/5/2011 D D23 Abertos 26/5/2011
D D1 Balancete 26/5/2011
D D2 Saldo 26/5/2011
D D3 Previa 26/5/2011
Quesito
27
33
2. Existncia, clareza, e disponibilidade das regras de negcio vinculadas direta ou indiretamente TE SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM
SIM
SIM
SIM
SIM
SIM
SIM
2.1. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.2. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE? 2.3. Existe regra de negcio relativa restrio de acesso TE sob anlise? 2.4. As regras de negcio determinam alguma restrio de uso da informao acessada pela TE?
SIM
SIM
3. Classificao da Transao Eletrnica RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA RESTRITA INTERNA RESTRITA CONFIDENCIAL
RESTRITA
RESTRITA
RESTRITA
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM
SIM
SIM
SIM
SIM
SIM
SIM.
SIM
SIM
MANUTENO TCNICA CONSULTA CONSULTA CONSULTA SIM. SIM. NO SIM. SIM. SIM. NO NO NO NO NO NO SIM.
CONSULTA
MANUTENO TCNICA
MANUTENO TCNICA
MANUTENO TCNICA
MANUTENO TCNICA
MANUTENO TCNICA
MANUTENO TCNICA
CONSULTA
MANUTENO TCNICA NO
MANUTENO TCNICA NO
CONSULTA
CONSULTA
CONSULTA
NO
SIM.
SIM
SIM
SIM
3.1. Qual classe de confidencialidade foi atribuda TE? 3.2. A classe de confidencialidade atribuda TE est compatvel com a confidencialidade da informao acessada pela TE? 3.3. Qual a categoria de acesso a dados foi atribuda TE? 3.4. A categoria de acesso a dados atribuda a TE no aplicativo Gerenciados de Acessos est compatvel com a funcionalidade da transao? 3.5. O gestor adota procedimento para reviso das caractersticas da TE? SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
4. Restries de acesso aplicadas TE SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.
SIM.
SIM.
4.1. Existe restrio de acesso aplicada TE? 4.2. As restries de acesso previstas nos normativos esto aplicadas na TE, no aplicativo Gerenciador de Acessos? SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM. SIM.
SIM.
SIM.
4.3. As restries de acesso aplicadas TE so suficientes para garantir que a transao seja utilizada de forma adequada?
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
4.4. Os tipos de usurio com acesso transao esto compatveis com a confidencialidade da informao acessada pela TE? 4.5. As atribuies da funo do usurio que acessa a TE so compatveis com aquelas determinadas nas rotinas da atividade onde inserida a TE? SIM. SIM. SIM. SIM. SIM. SIM. SIM. NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIAS NO AUTORIZADAS SIM. SIM. SIM. NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIAS NO AUTORIZADAS NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIA S NO AUTORIZADAS NO. FUNCIONRIOS NO AUTORIZADOS NO. EXISTEM DEPENDNCIAS NO AUTORIZADAS
SIM.
SIM.
SIM.
SIM.
SIM.
4.6. As reas autorizadas a acessar a TE executam atividades relacionadas informao acessada pela TE?
SIM.
NO. NO. NO. FUNCIONRIOS FUNCIONRIOS FUNCIONRIOS NO NO NO AUTORIZADOS AUTORIZADOS AUTORIZADOS NO. EXISTEM NO. EXISTEM NO. EXISTEM DEPENDNCIAS DEPENDNCIAS DEPENDNCIAS NO NO NO AUTORIZADAS AUTORIZADAS AUTORIZADAS
SIM.
SIM.
SIM.
SIM.
5. Restries de uso aplicadas TE SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM
SIM
SIM
SIM
SIM
6. Acompanhamento e Monitoramento SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM SIM
SIM
SIM
6.1. Existe monitoramento do uso da TE pelo Gestor? 6.2. Existe registro de log/histrico para a TE sob anlise?
SIM
SIM
SIM
SIM