fundamentos em auditoria de sistemas de informação – aula...

Fundamentos em Auditoria de Sistemas de Informação – Aula 13

Profa Janniele Aparecida Soares Araujo

CSI463 – Segurança e Auditoria de Sistemas

2

Fundamentos em Auditoria de SI

3

Fundamentos em Auditoria de SI

● Importância● Altos investimentos das organizações em sistemas computadorizados● Necessidade de garantir a segurança dos computadores e seus

sistemas● Garantia do alcance da qualidade dos sistemas computadorizados● Auxiliar a organização a avaliar e validar o ciclo administrativo

4

Fundamentos em Auditoria de SI

● Dificuldades encontradas pela Auditoria de Sistemas na Empresa● Defasagem tecnológica● Falta de bons profissionais● Falta de cultura da empresa● Tecnologia variada e abrangente

5

Fundamentos em Auditoria de SI

● Necessidades na área de auditoria de sistemas● Fortalecimento das técnicas de auditoria de sistemas para atuação

em ambientes computacionais complexos● Criação de metodologias de auditoria de sistemas● Estudo do custo / benefício● Ampliação do campo de atuação da auditoria de sistemas

6

Fundamentos em Auditoria de SI

● Objetivos● Promover a adequação, revisão avaliação e recomendações para o

aprimoramento dos controles internos nos SI● Avaliar a utilização dos recursos humanos, materiais e tecnológicos

envolvidos no processamento dos mesmos● Atua em todos os sistemas das organização nos níveis operacional,

tático ou estratégico

7

Fundamentos em Auditoria de SI

● Tipos de auditoria● Auditoria durante o desenvolvimento de sistemas● Auditoria de sistemas de produção● Auditoria no ambiente tecnológico● Auditoria em eventos específicos

8

Tipos de Auditoria

● Auditoria durante o desenvolvimento de sistemas● Auditar todo o processo de construção de SI, desde a fase de

levantamento de requisitos até a sua implantação, bem como o próprio processo ou metodologia de desenvolvimento

9

Tipos de Auditoria

● Auditoria de sistemas de produção● Preocupa-se com os procedimentos e resultados dos sistemas já

implantados, sua segurança, integridade e tolerância à falhas

10

Tipos de Auditoria

● Auditoria no ambiente tecnológico● Compreende a análise do ambiente de informática em termos de

estrutura organizacional, contratos, normas técnicas, custos, nível de utilização de equipamentos e planos de segurança e de contingência

11

Tipos de Auditoria

● Auditoria em eventos específicos● Compreende a análise das causas, consequências e ações corretivas

cabíveis em eventos não cobertos pelas auditorias anteriores

12

Metodologia de Auditoria de SI

● Planejamento e controle do projeto de auditoria de SI● Estabelece-se o planejamento inicial das ações e recursos necessários● Leva-se em consideração

● A abrangência das ações● O enfoque que se deseja● A quantidade de sistemas a serem auditados

13

Metodologia de Auditoria de SI

● Planejamento e controle do projeto de auditoria de SI● Grupo 1: definem procedimentos a serem utilizados, escolhem

alternativas para realização dos trabalhos, acompanham e controlam os resultados obtidos e outras atividades gerenciais● Gerente de auditoria, gerente de área usuária dos SI, gerente ou responsável

técnico do sistema e gerente da área de informática

14

Metodologia de Auditoria de SI

● Planejamento e controle do projeto de auditoria de SI● Grupo 2: responsável por realizar a auditoria propriamente dita

● Auditores e técnicos da área de informática e usuária● Ferramentas e métodos de planejamento (PMBoK devem ser utilizados para o

planejamento das atividades)

15

Metodologia de Auditoria de SI

● Levantamento do Sistema de Informação a ser auditado● Identificar claramente o escopo e determinar a abrangência da

auditoria● Iniciar o processo de levantamento das informações relevantes sobre

o sistema

16

Metodologia de Auditoria de SI

● Levantamento do Sistema de Informação a ser auditado● Técnicas de entrevista e análise de documentação existentes

colocando as informações de forma gráfica ou descritiva● Diagrama de fluxo de dados, modelo entidade relacionamento, dicionário de dados,

casos de uso, diagramas de classe e sequência, diagramas de integração de sistemas explicam o comportamento do sistema e de seus relacionamentos

17

Metodologia de Auditoria de SI

● Identificação e inventário dos pontos de controle● É uma situação do ambiente computacional considerada pelo auditor

como sendo de interesse para validação e avaliação● Podem ser encontrados nos documentos de entrada, relatórios de

saída, telas, arquivos, banco de dados, pontos de integração e demais elementos relevantes para o sistema

18

Metodologia de Auditoria de SI

● Identificação e inventário dos pontos de controle● Cada ponto de controle deve ser relacionado, e seus objetivos,

descritos em termos de controle interno, assim como as funções que eles exercem no sistema como um todo

● Devem ser identificados os seus parâmetros, suas fraquezas e técnicas de auditorias mais adequadas à sua validação

● O resultado deste levantamento deve ser encaminhado ao grupo de coordenação para uma validação de pertinência e eventual triagem, para que possamos assegurar que o foco da auditora será atingido

19

Metodologia de Auditoria de SI

● Priorização e seleção dos pontos de controle do sistema auditado● Grau de risco existente no ponto

● Verificação dos prejuízos que poderão ser acarretados pelo sistema a curto, médio e longo prazo, prevê com antecedência quais ameaças prováveis de um ponto

● Existências de ameaças● Podemos auditar primeiramente os pontos que se encontram sob forte ameaça, e

depois, aqueles sob menos pressão

● Disponibilidade de recursos● Escolha dos pontos que possam ser auditados com os recursos destinados

20

Metodologia de Auditoria de SI

● Avaliação dos pontos de controle● Realizar testes de validação, segundo as especificações e parâmetros

determinados nas etapas anteriores● Aplicar técnicas de auditoria que evidenciem falhas ou fraquezas do

controle interno● Para cada objetivo e característica do ponto de controle existe uma técnica de

auditoria e ferramenta mais eficiente

21

Metodologia de Auditoria de SI

● Conclusão da auditoria● Elaboração de relatório de auditoria contendo o resultado

encontrado● Relatório deve conter o diagnóstico da situação atual dos pontos de

controle e, caso existam, as fraquezas do controle interno segundo as especificações determinadas nas etapas anteriores● Um ponto de controle com fraqueza é transformado em um Ponto de Auditoria,

sendo necessário apontar no relatório de auditoria recomendações para solução ou mitigação dessa fraqueza

22

Metodologia de Auditoria de SI

● Acompanhamento da auditoria (follow-up)● Deve ser efetuado até que todas as recomendações tenham sido

executadas e as fraquezas tenham sido eliminadas ou atinjam um nível tolerável pela organização

23

Conceitos de auditoria de tecnologia de Informação

● Atividades de auditoria de tecnologia de informação● Além de tentar utilizar os recursos de informática para auditar o

próprio computador, também visam automatizar todos os processos de auditora

● Auditoria de TI x Auditoria de controles por meio de TI● Verificação controles de acesso para alteração da base de dados de

um ERP x Verificação de acessos para testes de segregação de função● Mais realizados por externas e auditorias especializadas x Mais

realizado por auditorias internas

24

Auditoria de Sistemas de Informação

● Abordagem de auditoria● Dependendo da sofisticação do sistema computadorizado, em que se

supõe que o auditor seja operativo, e considerando as características do auditor de tecnologia de informações, este pode usar:● Abordagem ao redor do computador● Abordagem através do computador● Abordagem com o computador

25

Abordagens de Auditoria de SI

● Abordagem ao redor do computador● Auditoria de documentos fonte com as funções de entradas

subjacentes e dominando as funções de saída, que se encontram em formatos de linguagem legível por leigos em informática

● Pouca ou nenhuma atenção é prestada às funções de processamento● Gerar “query”, rastrear dados entrados no sistema, sem tocar nos

programas propriamente ditos

26

Abordagens de Auditoria de SI

● Vantagens da abordagem ao redor do computador● Não exige conhecimento extenso de tecnologia de informação para

que o auditor possa operar convenientemente este método● Sua aplicação envolve custos baixos e diretos

27

Abordagens de Auditoria de SI

● Desvantagens da abordagem ao redor do computador● Restrição operacional quanto ao conhecimento de como os dados são

atualizados● A eficiência operacional de auditoria pode ser avaliada com maior

dificuldade● O sistema pode ser enquadrado em limites de grande risco, quando

houver uma evolução e os documentos fonte saírem de seu controle● Não podemos afirmar que tal abordagem de auditoria tenha sido

representativa e global de toda tecnologia de informação daquela organização

28

Abordagens de Auditoria de SI

● Abordagem através do computador● Envolve mais do que mera confrontação de documentos fonte com os

resultados esperados● Alerta quanto ao manuseio de dados, aprovação e registro de

transações comerciais sem deixar evidências documentais razoáveis através dos controles de programas construídos junto aos sistemas

● Uso de test data, processamento de um dispositivo capaz de simular todas as transações possíveis

29

Abordagens de Auditoria de SI

● Vantagens da abordagem através do computador● Capacita melhor o auditor a respeito de habilidade profissional no que

tange a conhecimento de processamento eletrônico de dados● Capacita o auditor a verificar com maior frequência as áreas que

necessitam de revisão constante

30

Abordagens de Auditoria de SI

● Desvantagens da abordagem através do computador● Se a operação for efetuada incorretamente, pode levar a perdas

incalculáveis● O uso da abordagem pode ser caro (treinamento de auditores,

aquisição e manutenção dos pacotes de software)● Técnicas manuais podem ser necessárias como complemento● Há risco de que os pacotes possam estar contaminados pelo uso

frequente na auditoria organizacional

31

Abordagens de Auditoria de SI

● Abordagem com o computador● Firmas de auditoria e pesquisadores da área contábil propuseram um

meio de auditar as tecnologias de informação com a maior perfeição possível, utilizando a abordagem com o computador completamente assistida

32

Abordagens de Auditoria de SI

● Abordagem com o computador● Capacidades lógicas e aritméticas do computador para verificar se os

cálculos das transações econômicas e financeiras ou aqueles que dizem respeito às responsabilidades

● Capacidades de cálculos estatísticos e de geração de amostras que facilitam confirmações de saldos necessárias para aferir a integridade de dados

● Capacidades de edição e classificação do sistema computadorizado● Capacidades matemáticas do computador para analisar e fornecer

listas de amostras de auditoria ou confirmação dos resultados de auditoria executada manualmente

33

Abordagens de Auditoria de SI

● Abordagem com o computador● Disponibilidade e uso vantajoso de

● Capacidade de auditoria de aplicar Técnicas de Auditoria Assistida por Computador (TAAC)

● Possibilidades de desenvolver programas específicos para serem usados pelo auditor quando da necessidade de evidenciar uma opinião sobre o processo contábil

● Ganhar tempo sobre os passos aplicados com o uso de pacote generalizado de auditoria de tecnologia de informação

34

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Consignações no SIAPE● Controles e procedimentos relacionados à consignação de valores na

folha de pagamento, apurando as falhas que propiciaram● O débito de valores em montante superior às margens consignáveis● A consignação de despesas de natureza não prevista nos normativos● O acesso ilimitado das consignatárias ao sistema● A exclusão fraudulenta de valores consignados nas folhas dos servidores● A eficiência das medidas eventualmente implementadas pela Administração para

sanar as irregularidades (Acórdão no 3.197/2005 – 1a Câmara – TCU).

35

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Consignações no SIAPE● Siape: Sistema de Recursos Humanos que processa e controla a folha

de pagamento dos servidores, aposentados e pensionistas civis do Poder Executivo

● Lei no 8.112/90: Art. 45. Salvo por imposição legal, ou mandado judicial, nenhum desconto incidirá sobre a remuneração ou provento. Parágrafo único. Mediante autorização do servidor, poderá haver consignação em folha de pagamento a favor de terceiros, a critério da administração e com reposição de custos, na forma definida em regulamento. Regulamentação (à época): Decreto no 4.961/2004.

36

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Consignações no SIAPE● Sistemática de consignações em folha de pagamento: consiste na

prestação de serviços aos servidores, aposentados e pensionistas civis do Poder Executivo por entidades devidamente cadastradas e autorizadas a efetuarem descontos na folha de pagamento

● Atores: consignado, consignatário e consignante● Margem consignável: valor que se pode descontar facultativamente

da remuneração do consignado, observado os limites definidos em legislação

● Rubricas: linhas do contracheque associadas a valores monetários

37

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Planejamento e metodologia adotada● Na fase de planejamento, foram formuladas 4 questões de auditoria

que abrangeram as quatro perguntas constantes do Acórdão no 3.197/2005 – 1a Câmara – TCU

● Avaliação da sistemática de consignações do Siape por meio de mapeamento do processo

● Necessidade de aplicação de testes de sistemas, o que foi feito no ambiente de homologação do Siape e do Siapenet, nas dependências do Serpro

38

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Consignações no SIAPE● A partir da identificação de falhas na sistemática de consignações,

foram requisitados processos que confirmaram a ocorrência de irregularidades.

● Milhares de servidores, aposentados e pensionistas estavam sendo lesados devido a essas falhas

● Principal conclusão: não há controles que permitam afirmar, categoricamente, que o Parágrafo Único do Artigo 45 da Lei 8.112/90 está sendo respeitado, isto é, que o desconto se dá mediante autorização do servidor

39

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Achados da Auditoria● Acesso ilimitado das consignatárias ao sistema

● Falta de controles no início do fluxo das consignações● Ocorrência de inclusão de consignações sem autorização do consignado● Reinclusão indevida de consignações já excluídas ou finalizadas● Ausência de critérios para punição de consignatário que age de modo irregular ou

ilegal● Inadequação da redação do Decreto no 4.961/04 em relação à exclusão de

consignações não autorizadas

40

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Achados da Auditoria● Débito de valores em montante superior às margens consignáveis

● Testes de sistema indicaram que o Siape faz as críticas relativas às regras de margens consignáveis definidas no Decreto 4.961/04, que regula a matéria

● Inclusão de consignações facultativas em rubricas de consignações compulsórias

41

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Achados da Auditoria● Consignação de despesas de natureza não prevista nos normativos

● Existência de rubrica de consignação não prevista legalmente● Inclusão de despesas não legalmente previstas em rubricas de mensalidades

● Exclusão fraudulenta de valores consignados● Exclusão indevida de consignações

42

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Achados da Auditoria● Outros achados

● Alteração de valores a serem repassados aos consignatários● Não cobrança de taxa de utilização de sistema para rubrica de consignação

facultativa● Ausência de instrumento contratual entre os consignatários e o Órgão Central do

Sistema de Pessoal Civil da Administração Federal (Sipec)

43

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Determinações● Foram propostas 21 determinações e 11 recomendações à Secretaria

de Recursos Humanos do Ministério do Planejamento, Orçamento e Gestão (SRH/MP)

● Objetivo de adequar a sistemática de consignações à legislação e de melhorar o controle e a transparência da sistemática de consignações do Siape

44

Auditoria de Sistemas Tribunal de contas da união - TCU (Secretaria de Fiscalização de Tecnologia da Informação)

● Benefícios efetivos● Revogação do Decreto no 4.961/2004, que foi substituído pelo

Decreto no 6.386/2008, o primeiro previa que, caso ocorresse uma consignação indevida, o consignado deveria comprovar a irregularidade junto à consignatária para cancelá-la

● Interrupção de cobrança de taxa ilegal. Benefício financeiro estimado: R$ 2.482.056,72

● Não cobrança de taxa de utilização. Benefício financeiro estimado: R$ 59.108,43

45

Artigo

● A aplicação de auditoria de sistemas e o apoio da gestão da informação para a melhoria do uso de tecnologia de informação nas organizações: um estudo de caso em uma instituição de arrecadação tributária.● Dê sua opinião sobre o artigo.● O artigo apresenta uma auditoria efetiva para o problema? Foram

alcançados bons resultados?● Os autores levantaram os controles necessários? Vocês identificariam

outros?

46

Bibliografia básica

● IMONIANA, Joshua Onome. Auditoria de sistemas de informação. 2.ed./3.ed São Paulo: Atlas, 2008/2016.

● LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008.

● JÚNIOR, Antônio Martins. Auditoria de Sistemas Tribunal de Contas da União. Secretaria da Fiscalização de Tecnologia da Informação, 2009.