Вы находитесь на странице: 1из 52

Professor Andr Campos

Fundamentos em auditoria

Professor Andr Campos

Uma viso mais ampla sobre segurana da informao poder


ser obtida no livro Sistema de Segurana da Informao
Controlando os riscos, de Andr Campos, Editora Visual
Books.

Professor Andr Campos

Fundamentos em auditoria
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com Tecnologia da Informao.
O uso permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
ou seja, que os crditos sejam mantidos.
Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.
Diversas figuras foram obtidas a partir do acesso em sites de imagens.
Estas imagens foram utilizadas em seu estado original, com 72DPI.
Algumas imagens foram obtidas da obra "Sistema de Segurana da
Informao Controlando Riscos".
Todas as imagens so utilizadas para fins exclusivamente acadmicos e no
visam a obteno de lucro.
Informaes especficas sobre segurana da informao podem ser obtidas
na obra Sistemas de segurana da informao Controlando Riscos;
Campos, Andr; Editora Visual Books, 2007.

Professor Andr Campos

A auditoria
O objetivo de uma auditoria garantir a
efetividade dos processos e ativos de uma
determinada organizao.
A auditoria poder dedicar-se a comprovar a
eficcia, a comprovar a eficincia, ou a
comprovar a efetividade.

Professor Andr Campos

A auditoria
Consiste basicamente da comparao do
estado dos processos e dos ativos contra um
critrio de auditoria.
Desta comparao, so possveis os
seguintes resultados:
Conforme
No conforme (Oportunidade de Melhoria)

Em ambos os casos, possvel haver


observaes.

Professor Andr Campos

A auditoria
As conformidades e no conformidades so
aplicadas com base nas evidncias de
auditoria, ou seja, em registros, apresentao
de fatos ou outras informaes que
corroborem as evidncias.

A auditoria no pode ser baseada em opinies


ou avaliaes pessoais dos indivduos
envolvidos na auditoria.

Professor Andr Campos

A auditoria
Os personagens de uma auditoria so o
auditado, que a organizao que recebe a
auditoria, os auditores, que so os que
realizam a auditoria, os especialistas, que so
as pessoas que fornecem conhecimento ou
experincia especficos para a equipe de
auditoria, e o cliente de auditoria, que nem
sempre o auditado; muito comum em caso
de qualificao de fornecedores.

Professor Andr Campos

A auditoria
Para a realizao de uma auditoria,
importante haver um programa de auditoria
que preveja a realizao de diversas
auditorias, integradas ou no a outros
sistemas auditores, e para cada auditoria um
plano de auditoria. A equipe de auditores
precisa ter a competncia adequada para a
auditoria.

Professor Andr Campos

A auditoria
Existem basicamente 3 tipos de auditoria;

Auditoria de primeira parte a auditoria


interna, que objetiva garantir a implementao
correta de controles.
Auditoria de segunda parte a auditoria
contratada para verificar se a auditoria interna
foi realizada adequadamente.
Auditoria de terceira parte a auditoria
contrata para aferir certificao com base em
determinado critrio de auditoria.

Professor Andr Campos

A auditoria
Uma auditoria deve basear-se em alguns
elementos essenciais, que proporcionaro
confiabilidade a todo o processo.
importante que a auditoria seja pautada pela
tica, pela justia, pelo zlo profissional, pela
imparcialidade, e por uma abordagem
baseada em evidncias.

Professor Andr Campos

A auditoria
A conduta tica do profissional de auditoria
far com que ele seja uma pessoa confivel,
ntegra, discreta e que mantm a
confidencialidade das informaes as quais
tem acesso.

Professor Andr Campos

A auditoria
A apresentao justa refere-se a obrigao
de informar verazmente e precisamente a
respeito das constataes de auditoria, dos
relatrios e das concluses. Mesmo as
divergncias entre a equipe de auditoria e o
auditado que no forem resolvidas, devem ser
claramente relatadas.

Professor Andr Campos

A auditoria
O cuidado profissional refere-se ao trabalho
zeloso e a aplicao do julgamento correto na
atividade de auditoria, considerando a
relevncia e a responsabilidade que um
auditor tem.

Professor Andr Campos

A auditoria
A independncia refere-se ao trabalho
imparcial que deve ser realizado pela equipe
de auditoria. Para tanto, os auditores no
podem ser subordinados ou dependentes do
auditado direto.

Os auditores precisam manter a mente aberta


e estarem livres da tendncia de conflito de
interesses.

Professor Andr Campos

A auditoria
A abordagem baseada em evidncias
refere-se ao mtodo cientfico para gerar as
concluses de auditoria, de modo que estas
sejam confiveis e reproduzveis.
A utilizao de amostragem aceitvel para
reduzir o tempo de auditoria, mas deve
garantir a confiabilidade necessria aos
resultados obtidos.

Professor Andr Campos

Critrios de auditoria
Existem diversos critrios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critrio de auditoria um conjunto de
polticas, procedimentos ou requisitos.
Vejamos alguns destes critrios e seus
principais objetivos.

Professor Andr Campos

Critrios de auditoria
Existem diversos critrios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critrio de auditoria um conjunto de
polticas, procedimentos ou requisitos.
Vejamos alguns destes critrios e seus
principais objetivos.

Professor Andr Campos

Critrios de auditoria
A ISO 27.001 um critrio especfico para
auditorias de segurana da informao.
O objetivo deste critrio garantir que a
informao na organizao esteja preservada
quanto a sua confidencialidade,
disponibilidade e integridade.
Ela aborda temas tais como Poltica de
Segurana, Classificao da Informao,
Segurana Fsica, Segurana de Acesso
Lgico, Segurana em Sistemas, entre outros.

Professor Andr Campos

Critrios de auditoria
A Sarbanes-Oxley (SARBOX / SOX) um
critrio especfico para auditorias de
segurana relacionadas com as atividades
financeiras da organizao.
Trata-se de uma lei americana criada por Paul
Sarbanes e Michael Oxley com o objetivo de
garantir transparncia das operaes
financeiras altamente baseadas em sistemas
de informao. Ela estabelece regras de
segurana e auditoria, que inclui a criao de
comits e comisses de superviso.

Professor Andr Campos

Critrios de auditoria
Sarbanes-Oxley (SARBOX / SOX)
Seo

Seo 302

Seo 404

Seo 409

Requisitos

A seo Corporate
Responsibility for Financial
Reports determina que
CEOs e CFOs devem
assinar documentos
trimestralmente e
anualmente certificando
que seus relatrios
financeiros esto corretos
e precisos.

A seo management
assessment of internal
controls determina que a
organizao documente, teste
e relatorie sua estrutrua
interna de controles;
Auditories externos devem
atestar a qualidade destes
controles.

A seo real-time issuer


disclosures determina que a
organizao elabore um
relatrio claro sobre
material changes to the
financial condition or
operations em no mximo
48 horas.

Aspectos
principais

Garante que os executivos


tenham avaliado a
efetivadade dos controles
internos 90 dias antes do
relatrio atual.

Garante a existncia de
controles internos para os
sistemas finaceiros existentes
e outros grandes sistemas
corporativos.

Garante que o
monitoramento financeiro
est altamente
automatizado e suportado
por um grande nmero de
diferentes sistemas.

Principais
preocupaoes
dos executivos

Quem na organizao
responsvel por garantir a
integridade e a
disponibilidade dos
sistemas financeiros?

Entre os controles internos,


esto inclusos o Plano de
Continuidade de Negcio e as
respectivas consideraes de
recuperao de desastres?

Quanto ser a material


changes monitorada quando
os sistemas de
monitoramento estiverem
for a do ar para manuteno
ou upgrade?

Professor Andr Campos

Critrios de auditoria
A metodologia ITIL um critrio especfico
itSMF, ou simplesmente, Gerenciamento de
servios de TI. Contm os seguintes livros:
Service Delivery, Service Support, The Business
Perspective - the IS View of Delivering Services to the
Business, Planning to Implement IT Service
Management, Software Asset Management, Security
Management, ITIL Small-scale Implementation,
Applications Management, ICT Infrastructure
Management, Gerenciamento de Servios de TI na
Prtica - Uma abordagem com base na ITIL

Professor Andr Campos

Critrios de auditoria
A metodologia COBIT um critrio especfico
para gesto de TI.
Grande foco no alinhamento estratgico, no
planejamento e acompanhamento dos planos
e retorno sobre os investimentos em
Tecnologia da Informao.

Professor Andr Campos

Critrios de auditoria
A norma ISO 12.207 um critrio especfico
sobre o ciclo de vida do software.
A norma se preocupa com a aquisio ou
desenvolvimento do software, seu suporte
durante o perodo de uso, e os processos de
gesto e melhoria contnua.
H ainda foco na questo dos treinamentos e
infra necessrios para utilizao adequada do
software.

Professor Andr Campos

Critrios de auditoria
A norma ISO 9.126 um critrio especfico
sobre a qualidade do software.
A norma se preocupa com aspectos tais como
funcionalidade adequada, confiabilidade,
usabilidade, eficincia, manutenibilidade, e
portabilidade.
A ISO 14.598 uma norma de apoio a
avaliao da qualidade de software.

Professor Andr Campos

Critrios de auditoria
O modelo CMMI um critrio especfico para
a melhoria contnua do processo de
desenvolvimento de software.
Trata-se de um modelo de maturidade, ou
seja, que permite a organizao evoluir ao
passo que implementa os procedimentos
propostos.

Professor Andr Campos

Critrios de auditoria
Naturalmente existem outras normas e
metodologias que podem ser adotadas como
critrio de uma auditoria. As normas e
metodologias apresentadas neste documento
so meramente ilustrativos.

Professor Andr Campos

Competncia dos auditores


Boa parte da estabilidade e dos resultados
obtidos pela atividade de auditoria dependem
da competncia do auditor.
Esta competncia uma composio entre os
atributos pessoais, os conhecimentos e
habilidades, e a educao e experincia
profissional.
O auditor precisa ter competncia em
auditoria, e competncia especfica para o tipo
de auditoria que pretende conduzir.

Professor Andr Campos

Competncia dos auditores


Os atributos pessoais esto muito
relacionados com os princpios essenciais de
uma auditoria, que j foi visto.
Portanto, o auditor precisa ser tico, ter a
mente aberto, ser diplomtico, observador,
perceptivo, verstil, persistente, racional, e
auto confiante.
Estes atributos no so todos facilmente
encontrados em uma s pessoa, mas podem
ser desenvolvidos.

Professor Andr Campos

Competncia dos auditores


Quanto aos conhecimentos e habilidades,
isto tem a ver com uma grande diversidade de
aspectos.
importante possuir conhecimentos gerais,
tais como tcnicas de auditoria, sistema de
gesto, conhecimento de negcio, leis e
regulamentos.
Competncia para liderar equipes de auditoria
necessrio.
Conhecer o critrio de auditoria especfico
fundamental.

Professor Andr Campos

Competncia dos auditores


A educao e experincia profissional, se
relacionam com a competncia para cada
autor da auditoria.
O auditor precisa ter treinamento em auditoria
e conhecer bem o critrio de auditoria.
O auditor lder precisa ter uma competncia
superior a dos demais auditores, em
conhecimento e em experincia.

Professor Andr Campos

Competncia dos auditores


Parmetro

Auditor

Auditor Lder

Educao

Mnimo: nvel
mdio.

Idem.

Experincia
total

5 anos para NM Idem.


e 1 ano para
NS.

Experincia
especfica

Mnimo de 2
anos.

Idem.

Treinamento
em auditoria

40h.

Idem.

Experincia
em auditoria

4 auditorias,
mnimo 20
dias.

3 auditorias,
mnimo 15
dias, como
lder.

Professor Andr Campos

Competncia dos auditores


A competncia do auditor precisa ser sempre
melhorada, e que mesmo as competncias
existentes sejam mantidas atravs da
participao regular em auditorias.
Os auditores pode se certificar pelo RAC (Registro de
Auditores Certificados). Visite o site
http://www.cic.org.br.
Nveis de certificao:
Auditor
Auditor Aspirante
Auditor Interno
Auditor Lder

Professor Andr Campos

Programa de auditoria
Um programa de auditoria pode envolver
uma ou mais auditorias, e estas auditorias
pode ser combinadas ou em conjunto.
Quando diferentes sistemas de gesto
(qualidade, segurana da informao,
ambiente) so auditados juntos, isto
chamado de auditoria combinada.
Quando duas ou mais organizaes de
auditoria cooperam para auditar um nico
auditado, isto chamado de auditoria
conjunta.

Professor Andr Campos

Programa de auditoria
A aes fundamentais que contribuem para o
xito das estratgias de negcio da
organizao devem ser fortemente apoiadas e
patrocinadas pela Alta Direo.
No diferente no caso do programa de
auditoria em Tecnologia da Informao,
Segurana da Informao, Governana em TI,
Gesto de Servios em TI, ou qualquer outra
considerada estratgica.

Professor Andr Campos

Programa de auditoria
De fato, os programas de auditoria precisam
ser geridos, e para tal, a organizao deve
estabelecer um processo contnuo para este
fim.
Como todos os processos de qualidade, o de
auditoria tambm precisa garantir a melhoria
contnua, e para tanto, um ciclo P-D-C-A,
demonstrado no prximo slide.

Professor Andr Campos

Programa de auditoria
Existe uma norma especfica que estabelece
uma proposta de P-D-C-A para o programa de
auditoria.
Esta mesma norma prope uma metodologia
para as atividades de auditoria, e para as
competncias dos auditores.
Esta norma a NBR ISO 19.011 Diretrizes
para auditorias.

Monitorando e analisando
- Monitorao e anlise crtica
- Necessidade de aes corretivas
- Necessidade de aes
preventivas
- Oportunidades de melhoria

ACT
PLAN

Melhorando o programa de
auditoria

Estabelecendo o programa
- Objetivos e abrangncia
- Responsabilidades
- Recursos
- Procedimentos

CHECK
DO

Professor Andr Campos

Programa de auditoria

Implementando o programa
- Programando auditorias
- Avaliando auditores
- Selecionando equipes
- Dirigindo auditorias
- Mantendo registros

Professor Andr Campos

Estabelecendo o programa
Um primeiro passo definir o objetivo do
programa de auditoria, que pode estar
relacionado com questes estratgicas,
aspectos comerciais, requisitos do prprio
SGSI, dos clientes, ou das leis e
regulamentos, entre outros.
Por exemplo, Satisfazer requisitos da norma
X, Conformidade com contratos, e Ober
confiana do cliente seriam objetivos
vlidos.

Professor Andr Campos

Estabelecendo o programa
Em seguida deve-se definir a
abrangncia deste programa, que ser
influenciado pelo tamanho e complexidade
da organizao, frequncia das auditorias,
requisitos normativos, preocupaes das
partes interessadas, mudanas
significativas na organizao, entre outros.

Professor Andr Campos

Estabelecendo o programa
O prximo passo definir as
responsabilidades do programa de
auditoria.
O programa de auditoria deve ser
gerenciado por um ou mais colaboradores
que compreendam os princpios de
auditoria, que possam avaliar os auditores,
e que tenham compreenso tcnica e
capacidade gerencial, especialmente da
gesto de projetos.

Professor Andr Campos

Estabelecendo o programa
Os recursos necessrios para o programa
de auditoria precisam ser reservados.
importante lembrar que os recursos se
referem no apenas aos aspectos
financeiros, mas tambm aos recursos
tcnicos, ao processo de obteno
manuteno das competncias dos
auditores, recursos humanos
(disponibilidade), tempo e dinheiro para
viagens, hospedagens e coisas do gnero.

Professor Andr Campos

Estabelecendo o programa
Os procedimentos de auditoria deve ser
definidos, e podem fazer parte da Poltica de
Segurana da Informao (PSI).
Devem abranger o planejamento das
auditorias, a manuteno das competncias,
a seleo das equipes, a realizao das
auditorias, as aes de acompanhamento, o
registro, a monitoramento do programa, e o
processo de comunicao com a Alta Direo
a respeito dos resultados.

Professor Andr Campos

Implementando o programa
Implementar o programa , de fato,
fazer acontecer tudo o que foi planejado.
Isto envolve comunicar as partes
interessadas, coordenar as auditorias,
avaliar continuamente a competncia
dos auditores, selecionar e monitorar as
equipes, garantir os recursos,
gerenciar o cronograma de auditoria,
analisar os riscos, e manter a
qualidade do programa.

Professor Andr Campos

Implementando o programa
Em qualquer processo de auditoria, os
registros so de fundamental
importncia. So a evidncia de que o
programa existe.
Sendo assim, so trs as principais
categorias de registro:

1 Relativos a auditoria;
2 Relativos a anlise crtica do
programa;
3 Relativos ao pessoal de auditoria.

Professor Andr Campos

Implementando o programa
Os registros relativos as auditorias
incluem:
1 - Planos de auditoria;
2 - Relatrios de auditoria;
3 - Relatrios de no conformidade;

4 - Relatrios de ao corretiva;
5 - Relatrios de acompanhamento.

Professor Andr Campos

Implementando o programa
Os registros relativos as anlise crtica
incluem:
1 Atas de reunio;
2 Registro de informaes consideradas;

3 Relatrio de propostas.

Professor Andr Campos

Implementando o programa
Os registros relativos a equipe de
auditoria incluem:
1 Competncia do auditor;
2 Avaliao de desempenho;
3 Seleo das equipes;

4 Experincia adquirida;
5 Treinamentos realizados.

Professor Andr Campos

Monitorando o programa
A prpria implementao do programa
precisa ser monitorada. Pode parecer
estranho, j que o programa criado para
auditar precisa tambm ser auditado.
As informaes obtidas neste
monitoramente devem ser estruturadas
de maneira didtica e repassadas para a
Alta Direo.

Professor Andr Campos

Monitorando o programa
Mas como monitorar a implantao de
um programa de auditoria?
O acompanhamento do cronograma de
implantao uma bom comeo. Os
resultados obtidos em termos de
documentos gerados, procedimentos
escritos, e implementados, devem ser
considerados.

Professor Andr Campos

Monitorando o programa
No entanto, um mtodo efetivo criar
indicadores de desempenho que
possam monitorar caractersticas tais
como:
A habilidade da equipe de auditoria em
implementar o plano de auditoria;
A conformidade com o programa de
auditoria e as programaes;

A realimentao dos clientes de auditoria,


auditados e auditores.

Professor Andr Campos

Melhorando o programa
O objetivo da anlise crtica do
programa de auditoria considerar
todas as informaes possveis a
respeito do programa, de modo que seja
possvel avaliar a situao atual, definir
uma situao futura desejada, e propor
melhorias que garantam o
preenchimento da lacuna entre a
situao atual e a desejada.

Professor Andr Campos

Melhorando o programa
A anlise crtica deve considerar, por
exemplo:
1 - resultados e tendncias apresentadas
pelo monitoramento;
2 - A conformidade com os
procedimentos;
3 - A evoluo de necessidades e
expectativas das partes interessadas;
4 - Os registros do programa de auditoria
(j mencionados);

5 - A consistncia no desempenho entre


equipes de auditoria.

Professor Andr Campos

BIBLIOGRAFIA
ABNT. Norma ABNT NBR ISO/IEC 17799:2005 Tecnologia da informao
Tcnicas de segurana Cdigo de prticas para a gesto da segurana da
informao; Associao Brasileira de Normas Tcnicas (ABNT), Brasil, 2005.

ABNT. Norma ABNT NBR ISO/IEC 17799:2005 Tecnologia da informao


Tcnicas de segurana Cdigo de prticas para a gesto da segurana da
informao; Associao Brasileira de Normas Tcnicas (ABNT), Brasil, 2005.
Campos, Andr. Sistema de Segurana da Informao Controlando o
Risco; Editora Visual Books, Brasil, 2005.
Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP
Exam; Estados Unidos, 2003.
NIST. An Introduction to Computer Security: The NIST handbook; National
Institute of Standards and Technology; Estados Unidos, 2003.
PMI. Project Management Book of Knowledge PMBOK; Project Management
Institute, Estados Unidos, 2005.

Вам также может понравиться