Академический Документы
Профессиональный Документы
Культура Документы
Fundamentos em auditoria
Fundamentos em auditoria
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com Tecnologia da Informao.
O uso permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
ou seja, que os crditos sejam mantidos.
Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.
Diversas figuras foram obtidas a partir do acesso em sites de imagens.
Estas imagens foram utilizadas em seu estado original, com 72DPI.
Algumas imagens foram obtidas da obra "Sistema de Segurana da
Informao Controlando Riscos".
Todas as imagens so utilizadas para fins exclusivamente acadmicos e no
visam a obteno de lucro.
Informaes especficas sobre segurana da informao podem ser obtidas
na obra Sistemas de segurana da informao Controlando Riscos;
Campos, Andr; Editora Visual Books, 2007.
A auditoria
O objetivo de uma auditoria garantir a
efetividade dos processos e ativos de uma
determinada organizao.
A auditoria poder dedicar-se a comprovar a
eficcia, a comprovar a eficincia, ou a
comprovar a efetividade.
A auditoria
Consiste basicamente da comparao do
estado dos processos e dos ativos contra um
critrio de auditoria.
Desta comparao, so possveis os
seguintes resultados:
Conforme
No conforme (Oportunidade de Melhoria)
A auditoria
As conformidades e no conformidades so
aplicadas com base nas evidncias de
auditoria, ou seja, em registros, apresentao
de fatos ou outras informaes que
corroborem as evidncias.
A auditoria
Os personagens de uma auditoria so o
auditado, que a organizao que recebe a
auditoria, os auditores, que so os que
realizam a auditoria, os especialistas, que so
as pessoas que fornecem conhecimento ou
experincia especficos para a equipe de
auditoria, e o cliente de auditoria, que nem
sempre o auditado; muito comum em caso
de qualificao de fornecedores.
A auditoria
Para a realizao de uma auditoria,
importante haver um programa de auditoria
que preveja a realizao de diversas
auditorias, integradas ou no a outros
sistemas auditores, e para cada auditoria um
plano de auditoria. A equipe de auditores
precisa ter a competncia adequada para a
auditoria.
A auditoria
Existem basicamente 3 tipos de auditoria;
A auditoria
Uma auditoria deve basear-se em alguns
elementos essenciais, que proporcionaro
confiabilidade a todo o processo.
importante que a auditoria seja pautada pela
tica, pela justia, pelo zlo profissional, pela
imparcialidade, e por uma abordagem
baseada em evidncias.
A auditoria
A conduta tica do profissional de auditoria
far com que ele seja uma pessoa confivel,
ntegra, discreta e que mantm a
confidencialidade das informaes as quais
tem acesso.
A auditoria
A apresentao justa refere-se a obrigao
de informar verazmente e precisamente a
respeito das constataes de auditoria, dos
relatrios e das concluses. Mesmo as
divergncias entre a equipe de auditoria e o
auditado que no forem resolvidas, devem ser
claramente relatadas.
A auditoria
O cuidado profissional refere-se ao trabalho
zeloso e a aplicao do julgamento correto na
atividade de auditoria, considerando a
relevncia e a responsabilidade que um
auditor tem.
A auditoria
A independncia refere-se ao trabalho
imparcial que deve ser realizado pela equipe
de auditoria. Para tanto, os auditores no
podem ser subordinados ou dependentes do
auditado direto.
A auditoria
A abordagem baseada em evidncias
refere-se ao mtodo cientfico para gerar as
concluses de auditoria, de modo que estas
sejam confiveis e reproduzveis.
A utilizao de amostragem aceitvel para
reduzir o tempo de auditoria, mas deve
garantir a confiabilidade necessria aos
resultados obtidos.
Critrios de auditoria
Existem diversos critrios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critrio de auditoria um conjunto de
polticas, procedimentos ou requisitos.
Vejamos alguns destes critrios e seus
principais objetivos.
Critrios de auditoria
Existem diversos critrios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critrio de auditoria um conjunto de
polticas, procedimentos ou requisitos.
Vejamos alguns destes critrios e seus
principais objetivos.
Critrios de auditoria
A ISO 27.001 um critrio especfico para
auditorias de segurana da informao.
O objetivo deste critrio garantir que a
informao na organizao esteja preservada
quanto a sua confidencialidade,
disponibilidade e integridade.
Ela aborda temas tais como Poltica de
Segurana, Classificao da Informao,
Segurana Fsica, Segurana de Acesso
Lgico, Segurana em Sistemas, entre outros.
Critrios de auditoria
A Sarbanes-Oxley (SARBOX / SOX) um
critrio especfico para auditorias de
segurana relacionadas com as atividades
financeiras da organizao.
Trata-se de uma lei americana criada por Paul
Sarbanes e Michael Oxley com o objetivo de
garantir transparncia das operaes
financeiras altamente baseadas em sistemas
de informao. Ela estabelece regras de
segurana e auditoria, que inclui a criao de
comits e comisses de superviso.
Critrios de auditoria
Sarbanes-Oxley (SARBOX / SOX)
Seo
Seo 302
Seo 404
Seo 409
Requisitos
A seo Corporate
Responsibility for Financial
Reports determina que
CEOs e CFOs devem
assinar documentos
trimestralmente e
anualmente certificando
que seus relatrios
financeiros esto corretos
e precisos.
A seo management
assessment of internal
controls determina que a
organizao documente, teste
e relatorie sua estrutrua
interna de controles;
Auditories externos devem
atestar a qualidade destes
controles.
Aspectos
principais
Garante a existncia de
controles internos para os
sistemas finaceiros existentes
e outros grandes sistemas
corporativos.
Garante que o
monitoramento financeiro
est altamente
automatizado e suportado
por um grande nmero de
diferentes sistemas.
Principais
preocupaoes
dos executivos
Quem na organizao
responsvel por garantir a
integridade e a
disponibilidade dos
sistemas financeiros?
Critrios de auditoria
A metodologia ITIL um critrio especfico
itSMF, ou simplesmente, Gerenciamento de
servios de TI. Contm os seguintes livros:
Service Delivery, Service Support, The Business
Perspective - the IS View of Delivering Services to the
Business, Planning to Implement IT Service
Management, Software Asset Management, Security
Management, ITIL Small-scale Implementation,
Applications Management, ICT Infrastructure
Management, Gerenciamento de Servios de TI na
Prtica - Uma abordagem com base na ITIL
Critrios de auditoria
A metodologia COBIT um critrio especfico
para gesto de TI.
Grande foco no alinhamento estratgico, no
planejamento e acompanhamento dos planos
e retorno sobre os investimentos em
Tecnologia da Informao.
Critrios de auditoria
A norma ISO 12.207 um critrio especfico
sobre o ciclo de vida do software.
A norma se preocupa com a aquisio ou
desenvolvimento do software, seu suporte
durante o perodo de uso, e os processos de
gesto e melhoria contnua.
H ainda foco na questo dos treinamentos e
infra necessrios para utilizao adequada do
software.
Critrios de auditoria
A norma ISO 9.126 um critrio especfico
sobre a qualidade do software.
A norma se preocupa com aspectos tais como
funcionalidade adequada, confiabilidade,
usabilidade, eficincia, manutenibilidade, e
portabilidade.
A ISO 14.598 uma norma de apoio a
avaliao da qualidade de software.
Critrios de auditoria
O modelo CMMI um critrio especfico para
a melhoria contnua do processo de
desenvolvimento de software.
Trata-se de um modelo de maturidade, ou
seja, que permite a organizao evoluir ao
passo que implementa os procedimentos
propostos.
Critrios de auditoria
Naturalmente existem outras normas e
metodologias que podem ser adotadas como
critrio de uma auditoria. As normas e
metodologias apresentadas neste documento
so meramente ilustrativos.
Auditor
Auditor Lder
Educao
Mnimo: nvel
mdio.
Idem.
Experincia
total
Experincia
especfica
Mnimo de 2
anos.
Idem.
Treinamento
em auditoria
40h.
Idem.
Experincia
em auditoria
4 auditorias,
mnimo 20
dias.
3 auditorias,
mnimo 15
dias, como
lder.
Programa de auditoria
Um programa de auditoria pode envolver
uma ou mais auditorias, e estas auditorias
pode ser combinadas ou em conjunto.
Quando diferentes sistemas de gesto
(qualidade, segurana da informao,
ambiente) so auditados juntos, isto
chamado de auditoria combinada.
Quando duas ou mais organizaes de
auditoria cooperam para auditar um nico
auditado, isto chamado de auditoria
conjunta.
Programa de auditoria
A aes fundamentais que contribuem para o
xito das estratgias de negcio da
organizao devem ser fortemente apoiadas e
patrocinadas pela Alta Direo.
No diferente no caso do programa de
auditoria em Tecnologia da Informao,
Segurana da Informao, Governana em TI,
Gesto de Servios em TI, ou qualquer outra
considerada estratgica.
Programa de auditoria
De fato, os programas de auditoria precisam
ser geridos, e para tal, a organizao deve
estabelecer um processo contnuo para este
fim.
Como todos os processos de qualidade, o de
auditoria tambm precisa garantir a melhoria
contnua, e para tanto, um ciclo P-D-C-A,
demonstrado no prximo slide.
Programa de auditoria
Existe uma norma especfica que estabelece
uma proposta de P-D-C-A para o programa de
auditoria.
Esta mesma norma prope uma metodologia
para as atividades de auditoria, e para as
competncias dos auditores.
Esta norma a NBR ISO 19.011 Diretrizes
para auditorias.
Monitorando e analisando
- Monitorao e anlise crtica
- Necessidade de aes corretivas
- Necessidade de aes
preventivas
- Oportunidades de melhoria
ACT
PLAN
Melhorando o programa de
auditoria
Estabelecendo o programa
- Objetivos e abrangncia
- Responsabilidades
- Recursos
- Procedimentos
CHECK
DO
Programa de auditoria
Implementando o programa
- Programando auditorias
- Avaliando auditores
- Selecionando equipes
- Dirigindo auditorias
- Mantendo registros
Estabelecendo o programa
Um primeiro passo definir o objetivo do
programa de auditoria, que pode estar
relacionado com questes estratgicas,
aspectos comerciais, requisitos do prprio
SGSI, dos clientes, ou das leis e
regulamentos, entre outros.
Por exemplo, Satisfazer requisitos da norma
X, Conformidade com contratos, e Ober
confiana do cliente seriam objetivos
vlidos.
Estabelecendo o programa
Em seguida deve-se definir a
abrangncia deste programa, que ser
influenciado pelo tamanho e complexidade
da organizao, frequncia das auditorias,
requisitos normativos, preocupaes das
partes interessadas, mudanas
significativas na organizao, entre outros.
Estabelecendo o programa
O prximo passo definir as
responsabilidades do programa de
auditoria.
O programa de auditoria deve ser
gerenciado por um ou mais colaboradores
que compreendam os princpios de
auditoria, que possam avaliar os auditores,
e que tenham compreenso tcnica e
capacidade gerencial, especialmente da
gesto de projetos.
Estabelecendo o programa
Os recursos necessrios para o programa
de auditoria precisam ser reservados.
importante lembrar que os recursos se
referem no apenas aos aspectos
financeiros, mas tambm aos recursos
tcnicos, ao processo de obteno
manuteno das competncias dos
auditores, recursos humanos
(disponibilidade), tempo e dinheiro para
viagens, hospedagens e coisas do gnero.
Estabelecendo o programa
Os procedimentos de auditoria deve ser
definidos, e podem fazer parte da Poltica de
Segurana da Informao (PSI).
Devem abranger o planejamento das
auditorias, a manuteno das competncias,
a seleo das equipes, a realizao das
auditorias, as aes de acompanhamento, o
registro, a monitoramento do programa, e o
processo de comunicao com a Alta Direo
a respeito dos resultados.
Implementando o programa
Implementar o programa , de fato,
fazer acontecer tudo o que foi planejado.
Isto envolve comunicar as partes
interessadas, coordenar as auditorias,
avaliar continuamente a competncia
dos auditores, selecionar e monitorar as
equipes, garantir os recursos,
gerenciar o cronograma de auditoria,
analisar os riscos, e manter a
qualidade do programa.
Implementando o programa
Em qualquer processo de auditoria, os
registros so de fundamental
importncia. So a evidncia de que o
programa existe.
Sendo assim, so trs as principais
categorias de registro:
1 Relativos a auditoria;
2 Relativos a anlise crtica do
programa;
3 Relativos ao pessoal de auditoria.
Implementando o programa
Os registros relativos as auditorias
incluem:
1 - Planos de auditoria;
2 - Relatrios de auditoria;
3 - Relatrios de no conformidade;
4 - Relatrios de ao corretiva;
5 - Relatrios de acompanhamento.
Implementando o programa
Os registros relativos as anlise crtica
incluem:
1 Atas de reunio;
2 Registro de informaes consideradas;
3 Relatrio de propostas.
Implementando o programa
Os registros relativos a equipe de
auditoria incluem:
1 Competncia do auditor;
2 Avaliao de desempenho;
3 Seleo das equipes;
4 Experincia adquirida;
5 Treinamentos realizados.
Monitorando o programa
A prpria implementao do programa
precisa ser monitorada. Pode parecer
estranho, j que o programa criado para
auditar precisa tambm ser auditado.
As informaes obtidas neste
monitoramente devem ser estruturadas
de maneira didtica e repassadas para a
Alta Direo.
Monitorando o programa
Mas como monitorar a implantao de
um programa de auditoria?
O acompanhamento do cronograma de
implantao uma bom comeo. Os
resultados obtidos em termos de
documentos gerados, procedimentos
escritos, e implementados, devem ser
considerados.
Monitorando o programa
No entanto, um mtodo efetivo criar
indicadores de desempenho que
possam monitorar caractersticas tais
como:
A habilidade da equipe de auditoria em
implementar o plano de auditoria;
A conformidade com o programa de
auditoria e as programaes;
Melhorando o programa
O objetivo da anlise crtica do
programa de auditoria considerar
todas as informaes possveis a
respeito do programa, de modo que seja
possvel avaliar a situao atual, definir
uma situao futura desejada, e propor
melhorias que garantam o
preenchimento da lacuna entre a
situao atual e a desejada.
Melhorando o programa
A anlise crtica deve considerar, por
exemplo:
1 - resultados e tendncias apresentadas
pelo monitoramento;
2 - A conformidade com os
procedimentos;
3 - A evoluo de necessidades e
expectativas das partes interessadas;
4 - Os registros do programa de auditoria
(j mencionados);
BIBLIOGRAFIA
ABNT. Norma ABNT NBR ISO/IEC 17799:2005 Tecnologia da informao
Tcnicas de segurana Cdigo de prticas para a gesto da segurana da
informao; Associao Brasileira de Normas Tcnicas (ABNT), Brasil, 2005.