1
UNIVERSIDADE CANDIDO MENDES AVM – FACULDADE INTEGRADA PÓS-GRADUAÇÃO LATO SENSU
A SOLIDEZ DA BASE DE DADOS ATRAVÉS DA AUDITORIA DE SISTEMAS
Michael Jonatas Ribeiro Pinto
ORIENTADOR:
Prof. Luciana Madeira
Rio de Janeiro 2016
DOCUMENTO PROTEGID
O PELA
LEI D
E DIR
EITO AUTORAL
UNIVERSIDADE CANDIDO MENDES AVM – FACULDADE INTEGRADA PÓS-GRADUAÇÃO LATO SENSU
Apresentação de monografia à AVM Faculdade Integrada como requisito parcial para obtenção do grau de especialista em Auditoria e Controladoria. Por: Michael Jonatas Ribeiro Pinto
A SOLIDEZ DA BASE DE DADOS ATRAVÉS DA AUDITORIA DE SISTEMAS
Rio de Janeiro 2016
AGRADECIMENTOS
Aos familiares e amigos que constantemente me
apoiam em minhas atividades, quer seja no
âmbito pessoal ou profissional.
DEDICATÓRIA
Dedico a Deus e a minha esposa Anny Karem
que me inspiraram e incentivaram a seguir cada
vez mais no caminho ao conhecimento.
RESUMO
O estudo em questão refere-se a um tema bastante sensível para
qualquer empresa: a Auditoria de Sistemas. Os bancos de dados que fazem
parte dela suportam conteúdos críticos e, devido a isso, são considerados
ferramentas de importantíssimas na gestão estratégica de conhecimento das
organizações. Estes sistemas são os grandes responsáveis pela maior fluidez
nos processos e confiabilidade das informações.
Neste trabalho é proposta a auditoria de sistemas das organizações,
destacando a necessidade das mesmas oferecerem informações confiáveis
aos tomadores de decisão. Essa segurança nas informações, dados, registros
e sistemas podem ser maximizadas através da utilização de ferramentas de
auditoria de sistemas.
Palavras Chave: Auditoria, Sistemas de Informação e Banco de Dados.
METODOLOGIA
O presente trabalho constitui-se em uma análise detalhada das
características de auditoria especificamente na área de sistemas da informação
e suas bases de dados.
Para tanto, o estudo que ora se apresenta foi levado a efeito a partir
do método da pesquisa bibliográfica, num horizonte de tempo dos dez últimos
anos, em que se buscou fontes de informações através de autores
conceituados da área, dentre os quais destaca-se: Marcos Aurelio Pchek
Laureano (Gestão de segurança da informação), Isabel Martins (Auditoria
interna - Função e Processo) e Tiago Squinzani Tonetto (Auditoria dos
Sistemas de Informação Aliada à Gestão Empresarial).
SUMÁRIO
INTRODUÇÃO 10
CAPÍTULO I 12
ENTENDENDO A AUDITORIA
1.1 História da Auditoria 12
1.2 Objetivo 13
1.3 Definição 13
1.4 Materialidade em Auditoria 16
CAPÍTULO II 18
AUDITORIA DE SISTEMAS
2.1 Auditoria de Sistemas 18
CAPÍTULO III 20
FERRAMENTAS
3.1 Ferramentas Utilizadas para Auditar Sistemas/Base de Dados 20
3.2 Ferramentas generalistas 20
3.3 Ferramentas generalistas principais 21
3.4 Sobre as ferramentas especializadas 26
3.5 Ferramentas de uso geral 26
CAPÍTULO IV 28
Executando Auditoria de Sistemas na Base de Dados
4.1 O Início da Auditoria de Sistemas 28
4.2 Planejamento da auditoria dos sistemas em operação 28
4.3 Verificação dos sistemas e das operações 30
4.4 Metodologias para auditoria em bases de dados 31
4.5 A metodologia tradicional 32
4.6 Riscos em exclusão 33
4.7 Tempo de duração de uma base de dados 34
4.8 As bases de dados e a escolha da equipe 35
4.9 Os diagramas as bases de dados e o seu conteúdo 35
4.10 Técnicas de Auditoria em Sistemas de Informação 36
4.11 A Auditoria e sua Execução 39
4.12 A Auditoria e suas Funções 40
4.13 Procedimentos e normas 42
4.14 As Fraudes nos Sistemas Informatizados 42
4.15 Elementos que contribuem para a existência de fraudes 43
4.16 Vestígios de fraudes 43
4.17 Possíveis causas de fraudes 44
4.18 Manutenção dos recursos de segurança 45
4.19 Pós-implantação/revisão 45
4.20 Negociação e concepção do relatório 45
CONCLUSÃO 47
BIBLIOGRAFIA 49
ÍNDICE 51
10
INTRODUÇÃO
As entidades jurídicas brasileiras, cada vez mais se utilizam dos
sistemas de informação para poder controlar operações nos diversos
seguimentos de uma organização.
Segundo Marcos Aurelio Pchek Laureano (2005) a auditoria não
serve somente para apontar os defeitos e problemas encontrados dentro de
uma organização, o processo de auditoria deve ser considerado como uma
forma de ajudar as operações da organização.
A obrigatoriedade da realização de auditoria, nas organizações
serve para verificar e garantir que as regras e procedimentos das operações
dentro da base de dados sejam realizadas de acordo com o estabelecido na
legislação vigente e nos princípios que regem a perfeita harmonia de seus
sistemas.
Na última década houve uma expressiva expansão, dentro das
organizações, dos sistemas de informação, no entanto, a capacitação de
profissionais para operarem estes sistemas, na plenitude dos mesmos, não tem
sido a mais adequada, por este fato, nota-se uma grande defasagem na
alimentação dos bancos de dados, comprometendo a autenticidade e a
confiabilidade dos sistemas.
Para garantir essa confiabilidade, primeiramente, deve-se entender o
conceito de auditoria de um modo geral, entender qual o objetivo da auditoria
de sistemas, quais ferramentas utilizar e como implementar ou executar a
auditoria de sistemas em uma base de dados.
11
CAPÍTULO I
ENTENDENDO A AUDITORIA
1.1. História da Auditoria
Os primeiros relatos dos indícios de trabalhos de auditoria foram no
antigo Oriente na civilização do povo sumério, aonde muitas pessoas
guardavam e verificavam os bens de outras.
Há indícios da existência de funções de auditoria com o sentido similar ao atual datam de muitos séculos, no tempo da civilização suméria (povo do Antigo Oriente, do Vale do Rio Eufrates) em que os proprietários que confiavam seus bens a guarda de terceiros e que conferiam ou mandavam conferir os rendimentos auferidos com as suas atividades econômicas estavam, na verdade, praticando função de auditoria. (MOTTA, 1988, p.13)
Avançando mais à frente no tempo, no início da Revolução Industrial
no século XVIII, no Reino Unido, houve um elevado crescimento das atividades
e, por consequência, uma procura muito maior por recursos. Por este fato,
muitos problemas administrativos complexos começaram a acontecer, até que
se concluiu que era imprescindível realizar controles internos com a finalidade
de localizar erros e fraudes que eventualmente poderiam estar ocorrendo.
Com o aumento do capitalismo em 1900, essa prática se agravou
em demasia. Em 1934, com o início do Exchange Security Commission, nos
Estados Unidos, o profissional de auditoria ganhou destaque, uma vez que as
organizações que possuíam capital aberto (ações) nas Bolsas de Valores se
obrigaram a utilizar os recursos de auditoria para dar confiabilidade as
informações extraídas das demonstrações financeiras, por exemplo, que eram
fidedignas a realidade e com isso os investidores pudessem adquirir suas
ações de maneira sem qualquer receio quanto a vida financeira da organização
de interesse.
No Brasil, as atividades de auditoria foram inicialmente organizadas
em março de 1957 diante da formação do Instituto Público de Contadores do
12
Brasil, em São Paulo, contudo, ela só foi devidamente reconhecida em 1968
por um ato do Banco Central. Esse ato aconteceu, também, pelo surgimento e
aumento das grandes filiais de organizações estrangeiras no Brasil, onde a
cede passava a obrigar auditorias nestas filiais. Além disso, com o aumento
das organizações brasileiras e a acessão do mercado de capitais, verificou-se
a necessidade de se criarem normas e condutas de auditoria. Para assegurar a
atividade eficiente e regular os mercados de bolsa e de balcão foi iniciado a
Comissão de Valores Mobiliários (CVM).
1.2. Objetivo
O objetivo da auditoria é verificar as bases de dados a ela atribuídos
e validar a sua aplicação referente aos princípios de conformidade,
possibilitando a emissão de uma opinião coerente.
O objeto da auditoria é o conjunto de todos os elementos de controle do patrimônio administrativo, os quais compreendem registros contábeis, papéis, documento, ficha, arquivos e anotações que comprovem a veracidade dos registros e a legitimidade dos atos da administração, bem como sua sinceridade na defesa dos interesses patrimoniais. A auditoria pode ter por objeto, inclusive, fatos não registrados documentalmente, mas relatados por aqueles que exercem atividades relacionadas com o patrimônio administrativo, cuja informação mereça confiança, desde que tais informações possam se admitidas como seguras pela evidência, ou por indícios convincentes. Franco (1982 apud BECKER, 2004, p 21)
Afim de atender as necessidades de cada organização a auditoria foi
fragmentada possibilitando uma melhoria na adequação das necessidades dos
administradores e aplicações conforme o objetivo que se espera.
A auditoria consiste naquela efetuada por indivíduos ou membros de
instituição. A finalidade principal é de validar os procedimentos e verificar a
qualidades dos dados por eles gerados para auxiliar as áreas de gestão na
tornada de decisão. As atividades são realizadas devido a necessidade e a
disponibilidade de cada função operacional.
13
1.3. Definição
De modo geral, pode-se definir auditoria como sendo uma atividade de
verificação e validação de procedimentos, processos, sistemas, registros e
documentos com a finalidade de seguir o cumprimento de planos, metas,
objetivos e políticas da empresa. A auditoria é considerada como um método
para validar a integridade de dados e informações de uma organização.
Segundo o dicionário Aurélio, auditoria é “o exame analítico e pericial que
segue o desenvolvimento das operações contábeis desde o início até o
balanço”.
1.3.1. A auditoria possui duas vertentes:
Auditoria Operacional: é aquela em que o auditor é
pertencente a organização e a revisão das atividades é
constante.
Auditoria Independente: é aquela onde em que auditor é
pertencente a uma organização terceirizada e independente,
e o exame dos dados comprobatórios das informações
provenientes dos diferentes sistemas da empresa, em
questão, é periódica, geralmente trimestral, semestral ou
anual.
Embora existam dois direcionamentos na auditoria, as atividades
desempenhadas dentro destas duas vertentes são iguais. Os mesmos
executam suas atividades mediante as técnicas de auditoria, fazendo avaliação
das informações provenientes da empresa e, por consequência, criam
sugestões para a melhoria mediante os erros localizados.
1.3.2. Características e Aptidões de um Auditor
Conforme o que fora descrito anteriormente, o crescimento da
auditoria em organizações brasileiras se deu por consequência do aumento
das atividades econômicas, ligadas ao montante de empresas que começaram
a se estabelecer no território brasileiro. Diante deste fato o profissional de
14
auditoria foi se destacando, e ganhando grande espaço no mercado além de se
desenvolver em diferentes áreas de especialização.
Este profissional de possuir certas características e habilidades que são
indispensáveis no desempenhar de suas atividades. Logo abaixo está
detalhada cada uma delas:
1.3.2.1. Independência
De acordo com o NBC P 1.2 (2005, p. 30).
Entende-se como independência o estado no qual as obrigações ou os interesses das entidades de auditoria são suficientemente isento dos interesses dos clientes para permitir que os serviços sejam prestados com objetividade.
Esta é um dos aspectos mais relevantes para a prática deste
profissional. O auditor, com a finalidade de assegurar sua independência, deve
ser imparcial em seu julgamento em todas as áreas do processo de auditorial,
desde a elaboração do planejamento, passando pela a implementação até a
projeção de seu parecer. Para tal, cabe ao profissional de auditoria evitar
relacionar-se, de modo pessoal, com a empresa auditada, com o objetivo de
resguardar sua independência e explicitar sua opinião sem ser persuadido por
circunstâncias externas e que comprometam sua avaliação como um
profissional de auditoria.
Determinadas acontecimentos que caracterizam perda de independência
em relação a organização auditada. De acordo com Bendoraytes (2004, p. 16),
As situações citadas abaixo são exemplos que caracterizam essa quebra de independência:
Envolvimento financeiro, inclusive com um não-cliente que possua relação de investidor – ou empresas coligadas ou controladas – com o cliente;
O exercício de cargo, qualquer que seja, dentro do período sob auditoria ou imediatamente antes a contratação;
A prestação de serviços que envolvam funções administrativas;
15
A existência de relacionamentos pessoais e familiares com o cliente;
A aceitação de bens e serviços, salvo em condições de negócios que não sejam mais favoráveis do que os disponíveis de maneira geral para terceiros.
1.3.2.2. Integridade
A fim de que a seriedade seja seguida, o profissional de auditoria
precisa cumprir suas atividades com integridade, responsabilidade, observar a
os princípios e normas, respeitar e auxiliar para que haja legalidade e ética nos
objetivos da instituição.
Certas medidas que excluiriam esta característica são:
Eliminar algum fato importante que se tenha conhecimento,
não expor os dados cuja a exposição seja indispensável;
Deixar de explanar ou acobertar irregularidades, informações
ou dados incoerentes que estejam contidos nos dados
analisados;
Negligenciar efeitos relevantes na realização de qualquer
trabalho profissional e no seu específico relato;
Não agregar fatos relevantes suficientes para esclarecer a
expressão da opinião exposta;
Omitir a realidade de desvios importantes ou não evidenciar
qualquer falha relevante as normas legais ou regras que
façam parte dos procedimentos da organização.
1.3.2.3. Eficiência
Intentando ao escopo do trabalho a ser desempenhado, o
profissional de auditoria deve realizar uma pesquisa para mensurar sua aptidão
e julgar sua viabilidade técnica para o seu exercício. Com essa propensão o
16
rendimento será consideravelmente elevado. Desse modo, diminui-se os
gastos operacionais e otimiza qualidade dos serviços realizados.
1.3.2.4. Confidencialidade
Tendo o auditor acesso a certos dados, muitas vezes confidencias, o
mesmo é forçado a utilizar informações que estão ao seu acesso unicamente
durante a execução do serviço que lhe foi proporcionado. Salvo em situações
em que os profissionais de alto calão, de uma determinada organização,
mediante a autorização direta permita a exposição de alguma informação. De
outro modo, a regra é mandatória que, nenhum dado, informação, documento
ou evidência seja, utilizado para proveito próprio ou de outros.
Embora um profissional de auditoria tenha que ter determinadas
qualidades e capacidades desenvolvidas para exercer seu ofício, o mesmo
deve dispor de certos requisitos pessoais desenvolvidos, como: prudência,
raciocínio lógico e, principalmente, um sentimento real de autonomia.
1.4. Materialidade na Auditoria
De acordo com a SAS nº 47 (AU 312.08),
O auditor deve considerar em conjunto o risco de auditoria e materialidade no planejamento da auditoria e no desenho dos procedimentos de auditoria e avaliando se os dados revisados, tomados como um todo, estão apresentados de forma imparcial e honesta e em conformidade com as normas vigente aos exercícios das atividades.
Como faz nota o FASB na SFAC nº 2,
A materialidade refere-se “à magnitude de uma omissão ou relato errado da informação que à luz das circunstâncias envolventes, torne provável que o julgamento de uma pessoa razoável e confiante nessa informação possa ser alterado ou influenciado pela omissão ou erros”; em outras palavras, o FASB considera que a informação é relevante se tiver uma capacidade de fazer a diferença nas decisões de investidores e demais stakeholders.
Esta concepção de materialidade é significativa, pois não
necessariamente os dados precisam ser analisados em um procedimento de
17
auditoria, mas sim aqueles que suportam dados relevantes, isto é, aqueles que
possam causar repercussões significativas dentro da empresa.
No capítulo seguinte será abordada a auditoria de sistemas para
entendermos o conceito da sua utilidade dentro dos sistemas de informação.
18
CAPÍTULO II
AUDITORIA DE SISTEMAS
Nesse capítulo serão apresentadas informações sobre a auditoria de
sistemas no âmbito organizacional.
2.1 Auditoria de Sistemas
A auditoria de sistemas é um processo realizado por especialistas da
área capacitados e consiste em juntar, agrupar e analisar evidências para
definir se um sistema de informação suporta, satisfatoriamente, um ativo de
transação, conservando a inteireza das informações, e realiza as intensões
esperadas, utiliza eficazmente os recursos e cumpre com as regulamentações
e normas estabelecidas.
Dispõe detectar, de maneira automática, o uso dos recursos e dos
fluxos de dados dentro de uma organização e definir qual dado é crítico para a
efetivação da sua atividade e objetivos, identificando demandas, processos
duplicados, gastos, valor e barreiras que abalam os fluxos de informação
efetiva.
O auditor deve conhecer não somente as ferramentas de
processamento de dados ou algum procedimento essencial, mas, também,
suas entradas, processos, controles, arquivos, segurança e extratores de
informações, ademais, deve analisar todo o ambiente envolvido:
Equipamentos, Área de processamento de dados e Programas.
Auditar consiste, especialmente, em analisar instrumentos de
controle que estão implantados em uma organização ou empresa,
estabelecendo se os mesmos são adequados e cumprem com suas finalidades
ou estratégias, estabelecendo mudanças essenciais para a aquisição dos
mesmos. Os instrumentos de controle podem ser de precaução, detecção,
reparo ou recuperação após uma imprevisibilidade.
19
As finalidades da auditoria de sistemas são a projeção de um
parecer (ou uma nota) sobre:
A administração da Área de Tecnologia;
A verificação da competência dos Sistemas de Informação;
A análise da efetivação das legislações e normas ao qual
estão sujeitos;
A gestão eficiente dos recursos de tecnologia da informação.
No capítulo seguinte será abordada quais ferramentas utilizar para
auditar os sistemas, e a as descrições destas mesmas ferramentas.
20
CAPITULO III
FERRAMENTAS
3.1 Ferramentas Utilizadas para Auditar Sistemas/Base de Dados
Além de estratégia e da metodologia utilizadas na auditoria de
sistemas temos outras ferramentas que combinadas com um bom programa de
trabalho otimizam a auditoria.
Os estudos exploratórios permitem ao investigador aumentar sua experiência em torno de determinado problema. O pesquisador parte de uma hipótese e aprofunda seu estudo nos limites de uma realidade específica, buscando antecedentes, maior conhecimento [...] planeja um estudo exploratório para encontrar elementos necessários que lhe permitam, em contato com determinada população, obter os resultados que deseja. Um estudo exploratório, por outro lado, pode servir para levantar possíveis problemas de pesquisa (TRIVIÑOS,1987, p.109).
Em toda a análise da auditoria as ferramentas utilizadas no
cumprimento de seus objetivos, são baseadas nos instrumentos criados e
aplicados na auditoria. As ferramentas de auditoria, portanto, são recursos que
o auditor possui para obter suas metas, definidas dentro do planejamento de
auditoria, independentemente do perfil de auditoria executada.
As ferramentas de auditoria podem ser categorizadas em
generalistas, especializadas ou ferramentas de uso geral. Essas classificações
são expostas a seguir.
3.2 Ferramentas generalistas
As ferramentas generalistas para auditoria são programas que
podem processar, reproduzir, verificar amostras, conceber dados estatísticos,
extrair, apontar dualidade e outras funcionalidades que o profissional de
auditoria desejar.
21
3.2.1 Vantagens do uso desse tipo de recurso são:
O programa pode demandar vários arquivos de uma só vez;
Pode demandar inúmeros tipos de arquivos em diversos
formatos;
Dispõe de integração sistêmica com diversos tipos de
programas e hardwares;
Minimiza a sujeição do auditor em relação ao profissional de
informática.
3.2.2 Desvantagens:
Como o processamento das aplicações contém gravação de
dados em separado para serem avaliados em âmbito
distintos, menos aplicações poderiam ser realizadas em
ambiente online;
Se o profissional de auditoria tiver necessidade de rodar
cálculos mais complexos, o programa não será capaz de dar
essa base, uma vez que tal sistema, para dar subsídio
generalista a todos os auditores, evita enraizar as lógicas e
matemáticas complexas em demasia.
3.3 Ferramentas generalistas principais
Dentre as principais ferramentas generalistas destaca-se abaixo as
mais utilizadas na auditoria de sistemas de informação.
3.3.1 Audit Command Language (ACL)
Com base na própria informação da empresa detentora dos diretos
sobre o software Audit Command Language (ACL) através de seu site
http://www.acl.com este programa facilita o auditor na realização de análise em
22
arquivos de dados. O programa foi criado e é disponibilizado pela empresa
canadense ACL Business Assurance.
É um dos recursos mais atuais para extração de informações de
base de dados, tratamento e verificação, visando localizar erros e riscos
diversos do negócio associados a dados transacionais incompletos, imperfeitos
e improcedentes.
O diferencial em relação a programas como Excel e Access é que a
ACL pode analisar grandes quantidades de informações distribuídas em
diversas operações e em sistemas diversificados. De acordo com a empresa
detentora dos direitos sobre o software, a ACL permite verificar populações
inteiras de dados, mencionar tendências, exceções e distinguir as áreas
potenciais que requerem cuidado, localiza, também, incoerências e fraudes
potenciais, identifica problemas de controle e proporciona o cumprimento das
normas da empresa e regulação, analisa operações diversas ou outras
sensíveis ao tempo, além de depurar e normalizar os dados para assegurar
consistência e resultados mais precisos.
3.3.2 Interactive Data Extraction & Analisys (IDEA)
Com base na própria informação da empresa detentora dos diretos
sobre o software Interactive Data Extraction & Analisys (IDEA) através de seu
site http://www.audimation.com este programa serve para extração e
verificação de dados utilizado para controles e detecção de fraudes.
O IDEA consegue ler, apresentar, verificar e modificar amostra ou
extrato de arquivos da base de dados a partir de praticamente qualquer fonte
desde um mainframe até um micro comum, incluindo relatórios impressos em
um determinado arquivo.
Dentre as vantagens, deste programa, podem ser descritos os
seguintes:
Cria um registro de todas as modificações realizadas em um
arquivo (banco de dados) e mantém uma trilha de auditoria ou
23
registro de todas o que fora realizado, incluindo a importação
de dados e todos os testes realizados de auditoria, oriundos
da própria base;
Cada entrada é distinguida com o ID de usuário a partir do
seu login do Windows;
Proporciona importação e exportação de dados em uma
diversidade de formatos, incluindo formatos para
computadores de grande porte e programas financeiros;
Consegue ler e demandar milhões de discos em alguns
segundos;
Não há limite para o número de registros que a programa
pode demandar;
Confronta, junta, acrescenta, e conecta diversos arquivos de
inúmeras fontes.
3.3.3 IDEA/Audimation
Com base na própria informação da empresa detentora dos diretos
sobre o software Audimation que é uma variante americana do IDEA
desenvolvida pela Caseware/Audimation Services, Inc, cujo o site também é
http://www.audimation.com este programa ajuda profissionais de auditoria a
aumentar suas capacidades analíticas de auditor, detectando fraudes e
atendendo os padrões de documentação. Permite importar velozmente, junta,
analisa a amostra e extrai dados de quase qualquer uma fonte, incluindo
relatórios impressos em um de determinados arquivos.
Dispõe de recursos para localizar fraudes, analisar riscos, testar
controles internos em conformidade com as políticas e regulamentações
organizacionais.
Esse recurso dispõe de uma interface com o operador projetada com
assistentes para funções específicas. É fundamentado em particularidades do
24
padrão do sistema operacional Windows, o que sugere que não precisa ser um
profissional especializado para obter resultados satisfatórios.
A aquisição de uma licença de IDEA/Audimation contém 12 meses
de suporte e manutenção para os clientes. A Audimation Services fornece
versões beta online do produto e CDs de exemplo, que permitem testar a o
fluxo de uma versão totalmente operacional do IDEA em arquivos de dados
com chegando até 1.000 registros.
3.3.4 Galileo
Com base na própria informação da empresa detentora dos diretos
sobre o software Galileo, este é um aplicativo de gestão de auditoria. Contém
gestão de risco de auditoria, documentação e projeção de relatórios para
auditoria.
Também é um gerenciador de auditoria, criado pela Risk &
Assurance, uma organização que presta serviços de auditoria. O Galileo
destaca-se por oferecer um sistema de documentação/informação que pode
ser combinado às demandas peculiares de uma auditoria, análise,
compatibilidade com as leis etc.
Esse recurso fornece um método baseado em auditoria completa
dos riscos e dispõem de:
O planejamento estratégico, que assegura a direção das
áreas de elevado risco, conservando a cobertura;
Operação de monitoramento e garantia de que adversidades
sejam localizados; e
Atendimento com a maior rapidez;
Verificação de auditoria para atingir um feedback, sobre o
processamento de auditoria, indicadores de desempenho e
gestão de informações para as operações realizadas pela
área específica em sua totalidade.
25
O modo off-line do sistema suporta a execução operacional de
auditoria em que a conectividade não está acessível.
3.3.5 Pentana
Com base na própria informação da empresa detentora dos diretos
sobre o software Pentana, este é um programa que permite a execução de
planejamento de auditoria, planejamento e acompanhamento de recursos,
gestão de horas, registro de check-lists, aplicativos de auditoria, desenho e
gestão de plano de ação etc. E um aplicativo adequado para governança,
gestão de riscos e ajustamento das leis.
As principais particularidades desse recurso são:
Exibe resultados em gráficos com muita coloração e com alta
resolução;
Gera relatórios significativos ao contexto, além de gerar
automaticamente documentos MS Office com base em
relatórios de auditoria e formulários;
Dispõe de relatórios em online em todas as linhas de
operações;
Oferece acesso simultaneamente a todos as operações de
auditoria para verificação do auditor, para que o mesmo
possa controlar e validar sem a necessidade de
movimentação do documento;
Oferece compatibilidade com padrões internacionais de verific
ação de riscos na auditoria; contendo Sarbanes, Oxley,
AS/NZS 4360, Basiléia II e COSO;
Substitui planilhas muito carregadas por um notável e flexível
sistema de base de dados, escalável e descomplicadamente
acessível.
26
Todas estas ferramentas generalistas possuem características em
comuns pois ambas são desenvolvidas em uma única plataforma afim de
atender diferentes organizações em auditar ou gerenciar seus mais variados
bancos de dados.
3.4 Sobre as ferramentas especializadas
Estes recursos especializados de auditoria, são aplicativos criados
especialmente para realizar certas atividades em uma circunstância
determinada. O programa pode ser desenvolvido pelo próprio profissional de
auditoria, pelos especialistas da organização auditada ou por um outro
indivíduo contratado pelo profissional de auditoria.
A primordial vantagem do uso desse tipo de recurso é que ele
atende a necessidades mais características, como crédito sobre imóveis
(imobiliário), leasing, cartão de crédito e outras funcionalidades que exijam
funções específicas no segmento de mercado. Outro benefício, é que o auditor
que realiza o desenvolvimento do programa característico em uma área muito
complexa, podendo manipular, tendo uma vantagem mais competitiva.
3.4.1 Principais desvantagens desse recurso:
Pode possuir um elevado valor, uma vez que seu uso será
restrito ou limitado a apenas um usuário; e
As atualizações deste aplicativo podem convertessem em um
grande problema.
3.5 Ferramentas de uso geral
Outros aplicativos, embora não específicos para o trabalho de
auditoria, também vêm sendo empregados com esse propósito, sendo possível
citar como exemplos as planilhas eletrônicas, como Excel, programas de
gestão de banco de dados, como Access e MySQL, ferramentas de Business
Intelligence, como Business Objects, programas estatísticos etc.
27
Segundo Imoniana (2008), e Lyra, as ferramentas de utilidade geral são softwares utilitários utilizados para executar algumas funções muito comuns de processamento, como sortear arquivos, sumarizar, concatenar, gerar relatórios etc. Esses programas não foram desenvolvidos para executar trabalhos de auditoria, portanto, não tem recursos tais como verificação de totais de controles, ou gravação das trilhas de auditoria.
Uma notável vantagem desse tipo de ferramenta é que elas podem
ser empregadas como “quebra-galho” na inexistência de outros recursos.
Na execução da auditoria as ferramentas são recursos que o auditor
possui para objetivar suas metas, definidas no planejamento de auditoria,
independentemente do tipo de auditoria praticada. São de grande importância
para agilizar a execução da auditoria por meio da automatização de operações,
execução de cálculos complexos, auxilio na verificação de resultados e
geração de relatórios.
No capítulo seguinte será abordada a implementação/execução da
auditoria de sistemas na base de dados e como essa atividade pode dar
confiabilidade nos diferentes sistemas de informação dentro de uma
organização.
28
CAPITULO IV
Executando Auditoria de Sistemas na Base de Dados
4.1 O Início da Auditoria de Sistemas
Com o surgimento dos sistemas computacionais as organizações
passaram a entregar seus dados à área de TI. Ela se tornou encarregada pela
segurança e garantia da consistência dos dados.
“Podemos definir segurança da informação como uma área do conhecimento dedicada a proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade” SÊMOLA (2003, p.43).
Essas informações ficam guardadas no banco de dados, aonde o
mesmo é responsável pelo ponto de partida para inicializar uma auditoria ou
análise, nos dados recebidos e encaminhados pelas empresas de softwares e
sistemas organizacionais.
4.2 Planejamento da auditoria dos sistemas em operação
A primeira ação a ser aplicada no planejamento de auditoria de
sistemas em operação é entender o ambiente do sistema, isto é, tomar
conhecimento das ferramentas:
Aplicativos e hardware;
Programadores, execução de atividades e apoio;
Infraestrutura organizacional do CPD;
Atividades gerais realizadas na organização pela equipe de
TI.
Uma tática de auditoria indicada para compreender o ambiente dos
sistemas em atividade é o contato com a gestão desses por intermédio de
29
interação. O registro desta atividade pode ser realizado com a aplicação de
questionários.
Esses mesmos questionários visam aclarar situações nas atividades
desempenhadas pelo sistema, como: planejamento de procedimento
direcionado a equipe de TI; sistemas, programas batch em execução; sistemas
on-line em operação; microinformática no ambiente do cliente; segurança
lógica dos sistemas em execução; ambiente de base de dados; ambiente de
auditoria de sistema.
A operação consecutiva é a verificação de risco, que servirá de base
para delimitação do escopo da auditoria do sistema em exercício e para a
análise da relação custo/benefício.
A verificação de risco é realizada por meio de análise os controles
internos, quando se poderão localizar as possíveis fragilidades e seu correto
cumprimento.
A verificação do controle interno deve preocupar-se com:
constatação dos eventos; design de formas; gestão de recepção de lotes;
inputs on-line; estatísticas de falha; segurança de funcionalidades;
peculiaridade de programação.
Estes dados serão obtidos pela verificação de: documentação dos
sistemas no ciclo de aperfeiçoamento; relatórios de auditoria anteriores dos
sistemas em aperfeiçoamento e em operações; manuais de desenvolvimento
de software; estrutura física da equipe de TI; diagramação dos sistemas em
operação.
A razão em desenvolver o planejamento é conduzir e coordenar a
realização da auditoria dos sistemas em exercício.
O planejamento realizado pelo profissional auditor inclui a apuração
dos "setores de risco" verificados na auditoria, seguindo parâmetros que
podem definir o aperfeiçoamento e amplificação das práticas de auditoriais,
como, por exemplo: análises de aderência e análises de detalhes.
30
Esses parâmetros desenvolvidos pelo auditor são: fidelidade da
informação perante as informações concedidas; segurança estrutural;
segurança de sistemas; confidencialidade; segurança no quesito ambiental;
observância à legislação; competência; validez; e obediência às políticas
organizacionais.
Este planejamento, também, permeia todo o procedimento de
auditoria, desde a ciência do ambiente, implantação de estratégias, aplicação
das práticas, verificação de etapas concluídas, negociação e os relatórios
conclusos. Será evidenciado pelas atividades que engloba: Plano Distinto de
Auditoria, em que são determinados os setores de risco e principais pontos de
controle; as prioridades de exercício; as operações; o tempo de realização; a
equipe de profissionais que auxiliam na auditoria; as ferramentas
metodológicas; e os gastos referente aos serviços de auditoria.
Segundo Franco e Marra (2009, p.297): O programa de auditoria consiste no plano de trabalho para exame de área especifica. Ele prevê os procedimentos que deverão ser aplicados para que se possa alcançar o resultado desejado. Deve, entretanto, ser bastante amplo e flexível, para permitir alterações durante o andamento das verificações, segundo aconselham as circunstâncias, isto é, a maior ou menor eficiência dos controles internos do cliente.
4.3 Verificação dos sistemas e das operações
Compreende a verificação de documentos, relatórios e telas de
programas em operação, referentes a: nível de utilidade pelo utilizador;
esquema de ordenamento e número de vias geradas; grau de segurança de
seu conteúdo; forma de utilidade e integração entre relatórios/documentos/
telas; layout de disposição.
O propósito dessas verificações implica no cumprimento das
seguintes ações:
Especificar, por cada utilizador do sistema, os documentos, as
telas e demais relatórios de cada ponto de execução de
atividades;
31
Adquirir cópia ou modelo de cada relatório, distintamente, de
cada tela, de qualquer tipo de documento que venha compor
comprovações das atividades desempenhadas;
Efetuar um questionário para realização das análises de
relatórios, documentos e telas;
Efetuar entrevistas com os usuários e registrar observações e
informações; e
Verificar as respostas.
A principal funcionalidade dessa técnica é legitimar a eficiência do
sistema.
4.4 Metodologias para auditoria em bases de dados
Uma das atribuições da auditoria é monitorar quando e como o dado
foi colocado, a fim de evitar e localizar divergências no cumprimento das
normas organizacionais. Pode-se definir tabelas para guardar logs com
informações a referente da utilização do banco de dados. Isso vai se
desenvolver à medida que o banco for sendo utilizado pela a equipe de
auditoria que poderão delimitar quais tabelas, colunas, etc, valem devem
realmente ser considerados para a verificação, em acordo com as demandas
da organização. Os métodos para realizar a auditoria no banco de dados
podem ser elaborados pela própria organização. De acordo com suas
particularidades, elas se divergem em duas vertentes: tradicional e exclusão de
riscos.
Segundo Lyra (2008, p.109) “é possível pensar em uma metodologia de trabalho que seja flexível e aderente a todas as modalidades de auditoria em sistemas de informação...”.
Segundo Imoniana (2005, p.37) as fundações da capacitação de um bom auditor de sistemas da informação estão nos conhecimentos técnicos de TI que ele adquirir, podendo assim o auditor evoluir para outros níveis de atuação.
32
4.5 A metodologia tradicional
Através a colaboração de uma listagem de verificação (checklist) o
profissional de auditoria obtém informações a referente a política de bancos de
dados, referente aos usuários de que possuem acesso, permissões,
autorizações etc, autorizando a localização de erros. Exemplo de itens que
fazem parte de um checklist em um relatório de auditoria:
As competências da administração do banco de dados estão
determinadas e documentadas?
Que dispositivos são utilizado na segurança e nos
procedimentos de permissão de acesso as informações no
banco de dados?
Há algum controle sobre as modificações realizadas no banco
de dados?
O desempenho da base de dados é verificado?
O sistema é verificado periodicamente?
As operações são armazenadas em log para verificação?
O método de instalação e configuração do Sistema
Gerenciador de Banco de Dados (SGBD) foi feito em
conformidade com as normas de segurança relacionadas?
Existem mecanismos de backup e restore do banco de
dados?
Em síntese, o checklist deve compor questões correlacionadas às
operações que devem ser exercidas para garantir a confiabilidade e
consistência dos dados. É uma verificação dos procedimentos que estão ou
não realizados.
33
4.6 Riscos em exclusão
Esse método tem uma peculiaridade principal de localizar os riscos
que ocorrem uma determinada base de dados, com o objetivo de eliminá-los ou
minimiza-los. Consiste em encontrar o objetivo do controle e estabelecer
técnicas para que o mesmo seja alcançado. Exemplificando, no caso de o
objetivo ser o resguardo da segurança dos dados, as técnicas para atingir esse
objetivo poderiam ser retratadas com base na estipulação de perfis de
característica de usuários e permissões necessárias para controlar o ingresso
as bases de dados.
Para Imoniana (2008) “ a análise de riscos é uma metodologia adotada pelos auditores de TI para saber, com antecedência, quais são as ameaças puras ou prováveis em um ambiente de tecnologia da informação de uma organização. Essas ameaças puras ou prováveis constituem eventos futuros não desejáveis ou incertos. Cuja ocorrência resulta em perdas.”
Cada objetivo pode ter diversas maneiras de serem alcançados, isto
é, podemos definir inúmeras técnicas para alcançar o objetivo proposto. Essas
técnicas podem ser de prevenção ou de correção.
Segundo Adriana (2005) gerenciar o risco é um conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.
A partir dos objetivos definidos e das técnicas aclaradas para cada
tipo de objetivo, é possível analisar se realmente funcionam através das provas
de execução. Dependendo da obtenção do resultado alcançado, pode vir ser
essencial a comprovação de outros resultados através de outras verificações,
como a prova substantiva.
Todos os envolvidos das áreas afetadas pela análise de riscos
devem ter ciência do resultado e das conclusões nas provas referentes ao
resultado obtido através da auditoria. O profissional de auditoria é responsável
por formalizar as situações, os riscos e os problemas que detectou nos
processos expostos.
34
4.7 Tempo de duração de uma base de dados
Para conduzir a operação de auditoria de maneira eficiente, é
importante que o auditor saiba o tempo de duração de uma base de dados
aonde contém toda a parte de verificação até a fase de sua operacionalidade.
A fase de análise prévia e planejamento, por exemplo, dentro do
ciclo de duração, é importante e necessita de uma verificação tecnológica de
viabilidade em que se observa diferentes vertentes para atingir os resultados
do projeto englobando uma verificação de custo-benefício para cada uma
destas vertentes. Deve-se levar em consideração a vertente de não se levar a
adiante o projeto, da mesma forma como a diferença entre adquirir um produto
já existente no mercado, com suas diferenças e soluções adversas ou criar
uma aplicação mais atual.
A auditoria deve validar que o seguimento da organização possui
dados de análises de viabilidade, e que é ela é quem decide criar ou não um
novo projeto. Apenas o conhecimento dos técnicos não é o bastante para se
levar um projeto à diante. Precisa estar amplamente amparado pela diretoria da
organização ou corre o risco de não dar certo.
Neste contexto destaca-se o COBIT (Control Objectives for
Information and related Technology), um conjunto de informações e recursos
para padrões de gestão que demonstra a importância do controle de riscos,
informando que é de suma importância um plano-diretor e que o profissional de
auditoria é o responsável por analisar se o mesmo está sendo seguido dentro
dos seguimentos da gestão aprovados na empresa.
Além disso, quaisquer outras atividades devem ser documentadas
com o aval dos administradores de sistemas e dos administradores das bases
de dados. Podem até ser realizadas pelo mesmo indivíduo, contudo, devem ser
divididas por funcionalidades com novos controles optativos que
posteriormente serão desenvolvidos.
35
Entendendo o ciclo da base de dados, suas fases e seu
funcionamento o auditor de TI poderá construir uma estratégia de operação
mais efetiva afim de dar maior consistência as verificações realizadas dentro da
organização em seus diferentes sistemas em nas suas respectivas bases de
dados.
4.8 As bases de dados e a escolha da equipe
As bases de dados são criadas a partir de diagramas e informações
adquiridas dos futuros usuários dos sistemas que vão posteriormente
manusear estes mesmos dados. Tudo deve ser formalizado compreendendo os
padrões estabelecidos pela organização. Os profissionais de auditoria verificam
que inúmeras vezes, essas operacionalidades são deixadas de lado, gerando
um gasto maior do que se tivessem sido realizadas efetivamente na fase inicial
do projeto. Para detectar esta situação, o auditor deve ter ciência dos padrões
da organização referentes à documentação e validar se foram perfeitamente
exercidos. Ressaltando, a formalização documental do banco de dados deve
englobar no mínimo um padrão lógico e físico, importando, também, que
contenha a parte conceitual.
O COBIT recomenda que o setor de tecnologia tenha suficiente
prudência para optar pelos aplicativos e pela equipe que vai gerenciar os
bancos de dados. Eles devem ter ciência dos recursos, e estes, no que lhe
concerne, precisam responder às perspectivas técnicas descritas nos modelos
de dados.
4.9 Os diagramas as bases de dados e o seu conteúdo
O profissional de auditoria vai verificar se o estado atual das bases
de dados está em comum acordo com o que foi exposto nos diagramas:
exposição de dados, infraestruturas, relacionamentos, restrições e informações
armazenadas. Todos os tipos de dados serão analisados: tabelas, índices, etc.
As informações cadastradas pelos usuários também vão ser
auditadas, a fim de analisar se o banco de dados os trata e armazena da forma
36
como foi estabelecido. É uma forma de averiguar, também, o papel dos
usuários na preservação do aspecto e confiabilidade dos dados.
4.10 Técnicas de Auditoria em Sistemas de Informação
Tratando-se das diversas técnicas de auditoria, é muito significativo
o conhecimento construído por um agrado de especialidades com colocação de
capacidades em: normas e práticas administrativas; normas técnicas;
mecanismos operacionais; funcionalidades operacionais dos setores de
processamento eletrônico de dados (PED) e do centro de processamento de
dados (CPD); contratos de programas e de hardware. É evidente como alvo
principal a metodologia e as práticas de auditoria do CPP, assim como a
confiabilidade física da área computacional, validando, entretanto, a provável
infraestrutura de manutenção dos sistemas.
4.10.1 Nesta infraestrutura de sistemas compreende:
Recursos Humanos – Análise dos recursos humanos à
disposição, para analisar se são aceitáveis quantitativa e
qualitativamente para o implemento das atribuições, devendo
ser detectadas possíveis distorções (exageração, má
ordenamento, falta de capacitação etc.) e fragilidade em
função de operações substanciais não estarem sendo
gerenciadas por pessoal-chave da própria organização, como
por exemplo os setores de normas e fiscalização. Localizar se
existe indivíduo cedido ou emprestado por outros setores da
própria organização ou de outras, evidenciando a proporção
entre o recurso humano utilizado nas operações meio e fim.
Estrutura Física e Equipamentos - Análise das ferramentas
materiais à disposição, para verificar se são pertinentes e
confiáveis de modo a assegurar a ininterrupção das
operações da organização sem causarem dependência diante
de seus fornecedores, devendo analisar a disponibilidade dos
recursos associados à atividade fim; sua aplicação e a
37
proporção entre os sem uso e em estado de conservação
crítica com o total estando disponível; identificação do nível
de posse e terceirização da base de dados; existência de
dados-chave que estão fora do gestor técnico-operacional da
organização, bem como a fragilidade de perda ou extravio de
dados por outros;
Aplicativos de Sistema - é o conjunto de aplicativos projetados
para operar e gerenciar as operações de processamento de
um recurso computacional. Frequentemente, um programa de
sistema é utilizado para dar apoio e gerenciar uma
diversidade de programas que possam ser executados num
mesmo hardware. O aplicativo de sistema auxilia a gerenciar
e coordenar o ingresso, processamento, saída e
armazenamento significativo de dados referentes a todas as
programações executadas no sistema. Alguns programas de
sistema podem alterar dados e códigos de software em
arquivos, sem deixar uma comprovação devida para a
auditoria. Por conseguinte, o controle sobre as permissões e
a alteração do aplicativo de sistema é essencial para
conceder uma confiabilidade aceitável de que os
gerenciadores de segurança fundamentados nos sistemas
operacionais não estão envolvidos.
Se os gerenciadores nessa área forem desapropriados, indivíduos
sem autorização podem manusear o aplicativo de sistema para contornar os
gestores de segurança, bem como identificar, modificar ou excluir dados e
programas críticos ou fragilidades. Aplicativos de sistema com gestores
ineficazes podem ser manuseados, ainda, para anular gestores presentes em
aplicativos e demais softwares, minimizando significativamente a confiabilidade
dos dados produzidos pelos programas existentes no sistema computacional, e
elevando o risco de fraude.
38
Os cuidados com o gestor de aplicativo de sistema são bem
parecidos às de controle de permissões e de controle de modificação de
aplicativo. No entanto, por causa do elevado nível de risco afiliado com as
operações do aplicativo de sistema, a maioria das organizações dispõe de um
grupo separado de procedimentos de gestão para essas operações.
4.10.2 Os controles de aplicativo de sistema são analisados mediante os seguintes elementos críticos:
Permissão restrita ao aplicativo de sistema de sistema;
Permissão e manuseio supervisionado do aplicativo de
sistema de sistema;
Gestão das modificações do aplicativo de sistema;
Comunicação/Redes – para o ajustamento local;
Comunicação/Redes - para Teleprocessamento;
Planejamento de Integração – planejamento de inserção e
percepção das informações envolvidas no sistema;
Planejamento Técnicos – existência e execução das práticas
adequadas; e
Planejamento de Contingência – comprovação positiva em
termos de segurança.
4.10.3 Quanto a confiabilidade física no setor computacional, o auditor irá se valer de práticas rotineiras de auditoria de sistema que compõe:
Vistoria ao CPD - para as inspeções adequadas e
averiguações;
Conversação com a equipe de operacional/suporte, podendo
encontrar alguma menção que lhe mostre fraude ou erro.
39
Perguntas/Questionários – Desenvolve-los de forma
minuciosa em que se averigue os dados informados.
4.10.4 Ainda quanto á confiabilidade física, a auditoria de sistema tem o objetivo de analisar o âmbito computacional, como por exemplo:
Sistema de energia elétrica – Nobreaks/Estabilizadores
Segurança contra incêndio – Extintores com a manutenção
devidamente em dia.
Gestão de permissão ao ambiente - Restringir a assiduidade
somente aos interessados.
Confiabilidade das construções – Se facilita risco de
desabamento etc.
Confiabilidade dos recursos e instalações – contra incêndio,
umidade, inundações e interpéries.
Confiabilidade do recurso humano – Cautela apropriada.
4.11 A Auditoria e sua Execução
Antes de começar, o profissional de auditoria deve ter ciência do
SGBD em funcionamento para que consiga averiguar como podem ser
preservados a integridade, confiabilidade e gestão das informações inseridas
nas bases. Deve, também, analisar a função da aplicação, ter ciência do papel
de cada dado da base referenciada e sua serventia no contexto.
Para SCHIMIDT (2006) a auditoria de sistema de informação deve atuar em qualquer sistema de informação da empresa, quer no nível estratégico, quer no gerencial, quer no operacional. Com isso, o enfoque de auditoria teria que mudar para assegurar que essas informações, hoje em formato eletrônica, sejam confiáveis.
Alguns programas de auditoria podem ser usados para dar facilidade
nas ações do auditor. Eles extraem informações das bases, descrevem o trilho
das negociações, etc. Outros sistemas coordenam e melhoram as bases de
40
dados, dando facilidade a resolução de distúrbios, principalmente no
funcionamento do sistema.
O ponto crucial para criar bases de dados íntegras e confiáveis é
relacionar as informações de daqueles que usam o sistema, analistas de
sistemas, programadores, administradores de dados e administradores de
bancos de dados, de modo a formalizar em documento o andamento para
todos os envolvidos. O corpo de usuários deve ser treinado para usufruir dos
programas selecionados e deve ter ciência das regras das atividades que serão
de incumbência do SGBD ou do programa. As falhas dos usuários devem ser
pressupostas e experimentadas. O controle de riscos é imprescindível para
localizar falhas em todas as operações ligadas a base de dados.
4.12 A Auditoria e suas Funções
A auditoria das funcionalidades descreve a verificação de funções da
estrutura da disposição do CPD e da fluidez das informações de operações do
âmbito computacional. Sendo que para o profissional de auditoria auditar as
funcionalidades do CPD faz-se imprescindível o seguinte:
Finalidade – proporcionar a eficiência, que verdadeiramente
atenda à exigência esperada; a produtividade, que demonstre
crescimento adequado; sendo eficaz, e que dê bons frutos.
Modelos de atuação – verificação da descrição da
funcionalidade; verificação do processamento administrativo
em frente aos níveis da organização, se possui alguma
interação pertinente. É essencial uma estrutura empresarial
em que as obrigações de suas filiais estejam notoriamente
definidas, formalizadas e divulgadas, e políticas de recursos
humanos adequadas, quanto à escolha, segregação de
funcionalidades, capacitação e análise de desempenho. Essa
estrutura deve controlar logicamente as ferramentas
computacionais da empresa, de maneira a compor as
demandas de dados de maneira eficiente e sem muito custo,
41
evitando que um usuário venha a gerenciar todas as fases
críticas de um sistema (por exemplo, um analista de TI com
acesso para autonomamente redigir, experimentar e validar
modificações de um software). Rotineiramente, o
desmembramento de funcionalidades é atingido pela
separação de competências entre dois ou mais aglomerados
organizacionais. Com essa separação, a possibilidade de que
falhas e ações não desejáveis sejam detectadas aumenta
consideravelmente, em razão das operações de um grupo ou
um único usuário irão ajudar a averiguar as operações do
outro.
A ausência ou inadequação da segregação de funções de
informática aumenta o risco de ocorrência de transações errôneas ou
fraudulentas, alterações impróprias de programa e danos em recursos
computacionais.
A proporção da segregação de funcionalidades a serem aplicadas
irão depender de sua magnitude e do risco vinculado às suas estruturas e
operações. Uma empresa de grande porte terá mais versatilidade em dividir
funcionalidades-chave que empresas pequenas, que dependem de um número
reduzido de indivíduos para exercer suas operações. Do mesmo modo, as
operações que se relacionam com outras negociações de valor elevado, ou
que de certa forma são bem arriscadas, devem ser separadas entre vários
indivíduos e submetidos a uma verificação mais rigorosa.
Devido à natureza da operacional dos computadores, a segregação
de funcionalidades por si só não assegura que unicamente operações
habilitadas pelos gestores sejam implementadas pela equipe, principalmente
usuário de computador. Para ajudar na precaução e localização de ações não
habilitadas ou incorretas, faz-se também indispensável uma coordenação
gerencial fundamentada e instruções formais de atividades desempenhadas.
42
4.13 Procedimentos e normas
4.13.1 A auditoria dos procedimentos e normas tem como objetivo analisar:
As finalidades das normas: validar a divulgação e o manuseio
de informações relativos a:
- Política e procedimentos do PED e do CPD;
- Ordenação formal das atividades;
- Capacitação e treinamento do recurso humano.
Formas de ação: verificar a presença e qualidade de normas
formais e de junção de normas formais.
Práticas: as mais usuais são: questionários; inspeções;
entrevistas e verificações constantes.
4.14 As Fraudes nos Sistemas Informatizados
Uma fraude constitui-se de uma atuação de indivíduos mal-
intencionados que podem trazer graves problemas a uma organização por
procedimentos executados com a finalidade de encontrar proveitos para si
próprios por razões de contentamento financeiro, mental ou material.
Esses indivíduos mal-intencionados podem vir a ser de dentro ou
fora da organização. Todavia, em face da dificuldade e das ferramentas de
gestão de segurança que devem existir no setor de TI, é bem difícil acontecer o
incidente de fraude de procedência específica de indivíduos de fora da
organização mal-intencionados.
A maior parte das fraudes verificadas na área de TI tem tido
participação de indivíduos da própria empresa, tanto de forma consciente
quanto inconsciente, sendo que em algumas situações, são ex-funcionários
ligados à área de TI.
43
4.15 Elementos que contribuem para a existência de fraudes
São destacados a abaixo alguns dos principais elementos que
contribuem para a existência de fraudes:
União dos sistemas de TI, de dentro da organização com
outras empresas, enfraquecendo o propósito da concepção
de segregação de funcionalidades;
Delegar competência a empresas terceirizadas ou
quarteirizadas com a finalidade de unir os ambientes de TI
entre as organizações parceiras.
Indivíduos versáteis exercendo funções em diversos setores
da empresa concedendo permissões a dados exclusivas de
cada uma destas empresas; e
Vulnerabilidade de controles de TI diante da necessidade de
baixos gastos e prazos para o avanço de operações da
própria empresa.
4.16 Vestígios de fraudes
Algumas situações podem indicar vestígios de fraude, são elas:
Falhas sistemáticas na execução dos sistemas;
Retirada ou desabilitarão de certas análises de realizadas
pelos controles automatizados;
Inadimplência com as normas;
Controle de segurança não bloqueados;
Descumprimento de padrões de operação;
Uso massivo de mecanismos de restrição;
44
Constatação da existência de movimentações unificadas não
correspondidas.
4.17 Possíveis causas de fraudes
Inúmeras são as ocorrências que podem formar uma fraude, sendo
as de maior ocorrência:
Contentamento mental do indivíduo mal-intencionado em
promover prejuízos à empresa, em virtude de
descontentamento de não reconhecimento profissional,
descontentamento salarial, preceitos de valores, insatisfação
com políticas organizacionais, e/ou em reciprocidade a
companheiro de trabalho considerados injustiçados pela
empresa;
Por necessidade do indivíduo mal-intencionado para obter
capital afim de atender doença de parentes, perdas em jogos
de azar, efetuação de negociações erradas e/ou, mesmo,
ostentar um padrão de vida mais elevado;
Por anseios particulares do indivíduo mal-intencionado para
atender problemas materiais em termos de habitação,
alimentos, desastres climáticos que geram perda, acidentes,
problemas familiares com envolvimento de drogas e outros
tóxicos além de alcoolismo; e
Por diferentes motivos, também, referentes à má instrução do
indivíduo, em que, o mesmo, entende ser normal ou
insignificante ações fraudulentas com atos de sabotagem;
períodos organizacionais de aquisições, integrações,
incorporações, concordatas, falências, além de possuir
personalidade fraca.
45
4.18 Manutenção dos recursos de segurança
Essa etapa assegura que houve um bom avanço no que já foi
determinado para obter segurança nos bancos de dados, em que os
especialistas estão de prontidão para modificar, reparar ou mesmo mudar e os
outros colaboradores, também, de prontidão para manuseá-las de modo
adequada.
Segundo DIAS (2000) a política de segurança é um mecanismo preventivo de proteção dos dados e processos importantes a uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais.
Aqui são determinadas as condutas que cada usuário deve possuir
para manter os bancos de dados seguros e confiáveis.
Segundo Rocha (2008) é preciso entender como os modelos e metodologias de gestão de segurança da informação e comunicações estão sendo repassados aos gestores, se tais metodologias têm aplicabilidade e suporte necessário para uma real utilização pelos gestores e se estes, por sua vez, entendem que o tema é de grande relevância para a gestão pública moderna.
4.19 Pós-implantação/revisão
Por possuir de tempo apertado ou recursos bem limitados, algumas
organizações não instituem um planejamento de revisão posteriormente a
implantação do banco de dados. Seria importante se conseguissem revisar se
atingiram os objetivos esperados, se as demandas dos usuários foram
satisfatórias ou se os custos-benefícios compatibilizaram com as expectativas.
4.20 Negociação e concepção do relatório
Essa é uma faze da atividade de auditar que é
operacionalizada ao finalizar de cada trabalho, e também
antes da concepção do relatório final, e que pode ser
implementado em auditoria financeira, em auditoria dos
46
sistemas de informação em desenvolvimento e em auditoria
de sistemas em execução/operação.
É a momento em que o profissional de auditoria deve debater
com os usuários, com os analistas de sistemas, ou mesmo
com os coordenadores, sobre as situações diagnosticadas
durante as etapas da realização da auditoria para legitima-las
ou acerta-las, se for o caso, a uma situação pretendida.
A finalidade da transação é debater o teor da recomendação
e/ou compactuar suas resoluções.
Terminadas todas as transações que o profissional de
auditoria julgar essenciais, poderá, então, julgar a tarefa e/ou
a atividade terminada, elaborando e apresentando o relatório,
que deve ser preciso, consistente e confiável.
A organização das operações realizadas desde o planejamento até a
revisão do que fora executado, é de suma importância, pois realçam os
pareceres de auditoria, mecanismos, testes e analises organizados por área.
Os resultados satisfatórios do esforço são o produto do trabalho do profissional
de auditoria e da sua equipe, assim como o relatório final consistente é o
produto formal de tudo o que fora proposto realizar dentro da organização.
Finalmente podemos dizer que associar normas, ferramentas e
técnicas é uma tarefa que requer organização e muita dedicação. Reunir todos
esses elementos de forma peculiar representando cada caso concreto,
suprimindo os riscos de auditoria e encontrando o maior número de risco que a
organização está exposta com maior materialidade, criticidade e relevância na
contemporaneidade do exame de auditoria, gerando valor a atividade e
garantindo retorno direto e indireto para a organização em que a auditoria está
sendo executada.
47
CONCLUSÃO
Podemos afirmar que é possível estabelecer a solidez da base de
dados através da auditoria de sistemas conduzindo as operações de auditoria
de sistemas e segurança da informação através de um modelo baseado nos
métodos e estratégias aqui explicitados.
Os dados contextuais foram de uma notável valia para podermos
distinguir o estado das bases de dados dos sistemas de informação no
contexto da organização e o porquê das adequações entre as propostas e a
metodologia verificada. Articular normas, ferramentas e técnicas são ações que
requerem conhecimento, pois cada operação necessita de uma seleção dessas
de forma particular. Entretanto o conhecimento da equipe melhorará
constantemente os resultados, buscando aplicações metodológicas excelentes,
dentro das limitações de tempo, experiências e recursos.
Conclui-se o trabalho com a convicção de que é possível realizar o
mesmo processo de operações em diversas auditorias de sistemas de
informação através de uma metodologia madura, que continuamente deve ser
melhorada. A cada atividade as coletas de evidências se tornam mais sólidas,
os papeis de trabalho mais estruturados e consequentemente há maior
credibilidade nos resultados.
Através da pesquisa verificou-se que é importante a coleta de várias
fontes de informação das diferentes áreas da organização para uma maior
percepção do ambiente de auditoria de sistemas. Bem como a importância da
capacidade de sintetizar as conclusões nos relatórios. Assim, dizemos que o
esforço conjunto, a unidade e a continuidade são os fatores que promovem os
melhores resultados. Sendo importante elevar o respeito ao auditado, não nos
referimos aqui ao respeito interpessoal, que também é muito significativo e não
deve ser o foco específico nas auditorias, mas sim, ao respeito as condições de
trabalho do auditado no ato da prática de seus atos. A sensatez e a afinidade
48
sempre são fundamentais para produzir pareceres que realmente irão ser úteis
para a empresa.
Sensibilizar a alta administração da organização é o papel da área
de auditoria, no que tange a solidez da base de dados dentro da auditoria de
sistemas, e nesse sentido ela deve estar sempre idealizando o melhor para a
organização, dentro de um ambiente onde todas os setores convergem dentro
do objetivo de proteger e enriquecer, com informações consistentes, a base de
dados da organização.
Muito se perde empregando recursos desproporcionais entre
operação e controle. Pois, baseado nesta pesquisa, conclui-se que
investimentos organizacionais necessitam de uma direção específica, uma
forma de sensibilizar à alta administração as condições reais e resultados de
forma técnica, sintética, inteligente e consolidada.
49
BIBLIOGRAFIA
ACL. ACL Desktop Edition. Disponível em: <http://www.acl.com/products
/desktop.aspx>. Acesso em: 09 jul 2010.
ANTUNES, Jerônimo. Contribuição ao estudo da avaliação de risco e controles
internos na auditoria de demonstrações contábeis no Brasil. São Paulo, 2005.
ASSOCIACAO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
17799:2005 – Tecnologia da informação – Técnicas de segurança – Código de
prática para a gestão da segurança da informação. Rio de Janeiro: ABNT,
2005.
AUDIMATION. About IDEA. Disponível em: <http://www.audimation.com
/about.cfm>. Acesso em: 09 jul 2010.
AURELIO, M. Gestão de segurança da informação, 01 Junho 2005. 96-99.
BEAL, Adriana. Segurança da Informação: Princípio e Melhores Práticas para a
proteção dos Ativos de Informação nas Organizações. 1º edição. São Paulo:
Atlas, 2005.
BECKER, A. Auditoria externa aplicada às sociedades cooperativas: aspectos
patrimoniais, formais e sociais. São Paulo: I0B Tomson, 2004.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º edição.
Rio de Janeiro: Axcel Books, 2000.
FRANCO, Hilário; MARRA, Ernesto. Auditoria Contábil: 4ª ed. atual. São Paulo:
Atlas, 2009.
GAIA. MailMarshal Exchange. Disponível em: <http://www.gaia.inf.br/>. Acesso
em: 09 jul 2010.
GALILEO. Audit Management System. Disponível em:
<http://www.galileoontheweb.com/hsl/hslwebsite.nsf/w2_Galileo.html>. Acesso
em: 09 jul 2010.
GOVERNANÇA de TI: comparativo entre CobiT e ITIL. trainning. Disponivel
em: <http://www.trainning.com.br/download/Apostila_ITIL_Cobit.pdf>. Acesso
em: 08 Novembro 2011.
IDEA. IDEA has many unique features and functions not found in other audit
software. Disponível em: <http://www.caseware.com/products/idea?change
Lang=es&cl=es>. Acesso em: 09 jul 2010.
50
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º edição.
São Paulo: Atlas, 2005.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2ª ed. São
Paulo: Atlas, 2008.
LAUREANO, Marcos Aurelio Pchek. Firewall com IPTABLES no LINUX, 2002.
Disponível em: http://www.ppgia.pucpr.br/~laureano/guias/
GuiaFirewallIptables.htm. Acessado em: 24/09/2004. "
LYRA, Mauricio Rocha. Segurança e Auditoria em Sistemas de Informação. Rio
de Janeiro: Ciência Moderna, 2008.
MARTINS, I.; MORAIS, G. Auditoria interna - Função e Processo. ipv, 1999.
Disponivel em: <http://www.ipv.pt/millenium/ect13_3.htm>. Acesso em: 27 nov.
2011.
MOTTA, João Maurício. Auditoria. Princípios técnicas. S. Paulo: Atlas, 1988.
NIÉLI, A. et al. Fundamentos da auditoria: uma abordagem analítica. netlegis,
2011. Disponivel em: <http://www.netlegis.com.br/indexRC.jsp?arquivo=
detalhesArtigosPublicados.jsp&cod2=574>. Acesso em: 28 Setembro 2011.
PENTANA. Benefits of the Pentana Audit Work System. Disponível em:
<http://www.pentana.com/paws.asp>. Acesso em: 09 jul 2010.
RAFAEL, M.; SQUINZANI, T. Auditoria dos Sistemas de Informação Aliada à
Gestão Empresarial. Revista Contábeis, Santa Maria, Outubro 2088.
ROCHA, R. X. Proposta de procedimento simplificado de auditoria de gestão
em segurança da informação em órgãos do Poder Executivo Federal. [S.l.], 12
2008.
SÊMOLA, Marcos. Gestão da Segurança da Informação – Uma visão
Executiva. Editora Campus. Rio de Janeiro, 2003.
TRIVIÑOS, A. N. S. - Introdução à pesquisa em ciências sociais: a pesquisa
qualitativa em educação. São Paulo, Atlas, 1987. 175p.
51
ÍNDICE
FOLHA DE ROSTO 02 AGRADECIMENTOS 03 DEDICATÓRIA 04 RESUMO 05 METODOLOGIA 06 SUMÁRIO 07 INTRODUÇÃO 10 CAPÍTULO I 12 ENTENDENDO A AUDITORIA 1.1 História da Auditoria 12 1.2 Objetivo 13 1.3 Definição 13 1.3.1 A auditoria possui duas vertentes 13 1.3.2 Características e Aptidões de um Auditor 13 1.3.2.1 Independência 14 1.3.2.2 Integridade 15 1.3.2.3 Eficiência 15 1.3.2.4 Confidencialidade 16 1.4 Materialidade em Auditoria 16 CAPÍTULO II 18 AUDITORIA DE SISTEMAS 2.1 Auditoria de Sistemas 18 CAPÍTULO III 20 FERRAMENTAS 3.1 Ferramentas Utilizadas para Auditar Sistemas/Base de Dados 20 3.2 Ferramentas generalistas 20 3.2.1 Vantagens do uso desse tipo de recurso são 21 3.2.2 Desvantagens 21 3.3 Ferramentas generalistas principais 21 3.3.1 Audit Command Language 21 3.3.2 Interactive Data Extraction & Analisys 22 3.3.3 IDEA/Audimation 23 3.3.4 Galileo 24 3.3.5 Pentana 25 3.4 Sobre as ferramentas especializadas 26 3.4.1 Principais desvantagens desse recurso 26 3.5 Ferramentas de uso geral 26 CAPÍTULO IV 28 Executando Auditoria de Sistemas na Base de Dados 4.1 O Início da Auditoria de Sistemas 28 4.2 Planejamento da auditoria dos sistemas em operação 28 4.3 Verificação dos sistemas e das operações 30 4.4 Metodologias para auditoria em bases de dados 31 4.5 A metodologia tradicional 32 4.6 Riscos em exclusão 33
52
4.7 Tempo de duração de uma base de dados 34 4.8 As bases de dados e a escolha da equipe 35 4.9 Os diagramas as bases de dados e o seu conteúdo 35 4.10 Técnicas de Auditoria em Sistemas de Informação 36 4.10.1 Nesta infraestrutura de sistemas compreende 36 4.10.2 Os controles de aplicativo de sistema são analisados 38 4.10.3 Quanto a confiabilidade física no setor computacional 38 4.10.4 Ainda quanto á confiabilidade física 39 4.11 A Auditoria e sua Execução 39 4.12 A Auditoria e suas Funções 40 4.13 Procedimentos e normas 42 4.13.1 A auditoria dos procedimentos e normas 42 4.14 As Fraudes nos Sistemas Informatizados 42 4.15 Elementos que contribuem para a existência de fraudes 43 4.16 Vestígios de fraudes 43 4.17 Possíveis causas de fraudes 44 4.18 Manutenção dos recursos de segurança 45 4.19 Pós-implantação/revisão 45 4.20 Negociação e concepção do relatório 45 CONCLUSÃO 47 BIBLIOGRAFIA 49 ÍNDICE 51