AUDITORIA 9

Universidade do Sul de Santa Catarina

Palhoa

UnisulVirtual

2007

Auditoria de Sistemas Informatizados

Disciplina na modalidade a distncia

auditoria_de_sistemas_informatiz1 1auditoria_de_sistemas_informatiz1 1 22/12/2006 12:17:0022/12/2006 12:17:00

Apresentao

Parabns, voc est recebendo o livro didtico da disciplina Auditoria de Sistemas Informatizados.O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos que se articulam e se complementam, portanto, a construo de competncias se d sobre a articulao de metodologias e por meio das diversas formas de ao/mediao.So elementos desse processo:

O livro didtico;O EVA (Espao UnisulVirtual de Aprendizagem);Atividades de avaliao (complementares, a distncia e presenciais).

Os materiais didticos foram construdos especialmente para este curso, levando em considerao o seu per l e as necessidades da sua formao. Como os materiais estaro, a cada nova verso, recebendo melhorias, pedimos que voc encaminhe suas sugestes, sempre que achar oportuno, via professor tutor ou monitor.Recomendamos que antes de voc comear os seus estudos, veri que as datas-chave e elabore o seu plano de estudo pessoal, garantindo assim a boa produtividade no curso. Lembre-se: voc no est s nos seus estudos. Conte com o Sistema Tutorial da UnisulVirtual sempre que precisar de ajuda ou alguma orientao.Desejamos que voc tenha xito neste curso!Equipe UnisulVirtual


Ablio Bueno Neto

Davi Solonca

Palhoa

UnisulVirtual

2007

Design instrucional

Dnia Falco de Bittencourt

Viviane Bastos

3 edio


Livro didtico


Copyright UnisulVirtual 2006

Nenhuma parte desta publicao pode ser reproduzida por qualquer meio sem a prvia autorizao desta instituio.

Ficha catalogrfi ca elaborada pela Biblioteca Universitria da Unisul

005.8B94 Bueno Neto, Ablio

Auditoria de sistemas informatizados : livro didtico / Ablio Bueno Neto, Davi Solonca ; design instrucional Dnia Falco de Bittencourt, Viviane Bastos. 3. ed. rev. e atual. Palhoa : UnisulVirtual, 2007.

190 p. : il. ; 28 cm.

Inclui bibliografi a.

1. Sistemas de segurana. 2. Computadores Medidas de segurana. I. Solonca, Davi. II. Bittencourt, Dnia Falco de. III. Bastos, Viviane. IV. Ttulo.

CrditosUnisul - Universidade do Sul de Santa CatarinaUnisulVirtual - Educao Superior a Distncia

Campus UnisulVirtualRua Joo Pereira dos Santos, 303Palhoa - SC - 88130-475Fone/fax: (48) 3279-1541 e3279-1542E-mail: [email protected]: www.virtual.unisul.br

Reitor UnisulGerson Luiz Joner da Silveira

Vice-Reitor e Pr-Reitor AcadmicoSebastio Salsio Heerdt

Chefe de gabinete da ReitoriaFabian Martins de Castro

Pr-Reitor AdministrativoMarcus Vincius Antoles da Silva Ferreira

Campus SulDiretor: Valter Alves Schmitz NetoDiretora adjunta: Alexandra Orsoni

Campus NorteDiretor: Ailton Nazareno SoaresDiretora adjunta: Cibele Schuelter

Campus UnisulVirtualDiretor: Joo VianneyDiretora adjunta: Jucimara Roesler

Equipe UnisulVirtual

AdministraoRenato Andr LuzValmir Vencio Incio

BibliotecriaSoraya Arruda Waltrick

Cerimonial de FormaturaJackson Schuelter Wiggers

Coordenao dos CursosAdriano Srgio da CunhaAna Luisa MlbertAna Paula Reusing PachecoCtia Melissa S. Rodrigues (Auxiliar)Charles CesconettoDiva Marlia FlemmingItamar Pedro BevilaquaJanete Elza Felisbino Jucimara RoeslerLilian Cristina Pettres (Auxiliar)Lauro Jos BallockLuiz Guilherme Buchmann FigueiredoLuiz Otvio Botelho LentoMarcelo CavalcantiMauri Luiz HeerdtMauro Faccioni FilhoMichelle Denise Durieux Lopes DestriMoacir HeerdtNlio HerzmannOnei Tadeu DutraPatrcia AlbertonPatrcia PozzaRaulino Jac BrningRose Clr E. Beche

Design Gr coCristiano Neri Gonalves Ribeiro (coordenador) Adriana Ferreira dos SantosAlex Sandro XavierEvandro Guedes MachadoFernando Roberto Dias ZimmermannHigor Ghisi LucianoPedro Paulo Alves TeixeiraRafael PessiVilson Martins Filho

Equipe Didtico-PedaggicaAngelita Maral FloresCarmen Maria Cipriani PandiniCaroline BatistaCarolina Hoeller da Silva BoeingCristina Klipp de OliveiraDaniela Erani Monteiro Will

Dnia Falco de BittencourtEnzo de Oliveira MoreiraFlvia Lumi MatuzawaKarla Leonora Dahse NunesLeandro Kingeski PachecoLigia Maria Soufen TumoloMrcia LochPatrcia MeneghelSilvana Denise GuimaresTade-Ane de AmorimVanessa de Andrade ManuelVanessa Francine CorraViviane BastosViviani Poyer

Logstica de Encontros PresenciaisMarcia Luz de Oliveira (Coordenadora) Aracelli AraldiGraciele Marins LindenmayrGuilherme M. B. PereiraJos Carlos TeixeiraLetcia Cristina BarbosaKnia Alexandra Costa HermannPriscila Santos Alves

Logstica de MateriaisJeferson Cassiano Almeida da Costa (coordenador)Eduardo Kraus

Monitoria e SuporteRafael da Cunha Lara (coordenador)Adriana SilveiraCaroline MendonaDyego RachadelEdison Rodrigo ValimFrancielle ArrudaGabriela Malinverni BarbieriJosiane Conceio LealMaria Eugnia Ferreira CeleghinRachel Lopes C. PintoSimone Andra de CastilhoTatiane SilvaVincius Maycot Sera m

Produo Industrial e SuporteArthur Emmanuel F. Silveira (coordenador)Francisco Asp

Projetos CorporativosDiane Dal MagoVanderlei Brasil

Secretaria de Ensino a DistnciaKarine Augusta Zanoni(secretria de ensino)Ana Lusa Mittelztatt Ana Paula Pereira Djeime Sammer Bortolotti Carla Cristina SbardellaFranciele da Silva BruchadoGrasiela MartinsJames Marcel Silva RibeiroLamuni SouzaLiana Pamplona Marcelo PereiraMarcos Alcides Medeiros JuniorMaria Isabel AragonOlavo LajsPriscilla Geovana PaganiSilvana Henrique SilvaVilmar Isaurino Vidal

Secretria ExecutivaViviane Schalata Martins

TecnologiaOsmar de Oliveira Braz Jnior(coordenador)Ricardo Alexandre BianchiniRodrigo de Barcelos Martins

Edio Livro Didtico

Professores ConteudistasAblio Bueno NetoDavi Solonca

Design InstrucionalDnia Falco de BittencourtViviane Bastos

Projeto Gr co e CapaEquipe UnisulVirtual

DiagramaoVilson Martins FilhoEvandro Guedes Machado(3 edio)

Reviso Ortogr caRevisare


Palavras dos professores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 09Plano de estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

UNIDADE 1 Introduo auditoria de sistemas informatizados . . . . . 15UNIDADE 2 Organizao da auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53UNIDADE 3 Poltica de segurana de informaes . . . . . . . . . . . . . . . . . . 81UNIDADE 4 Plano de contingncia e de continuidade de negcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111UNIDADE 5 Auditoria de sistemas informao . . . . . . . . . . . . . . . . . . . . 141

Para concluir o estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179Referncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181Sobre os professores conteudistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185Respostas e comentrios das atividades de auto-avaliao . . . . . . . . . . . . 187

Sumrio


Palavras dos professores

A pro sso de auditor j existe h um bom tempo, mas com o passar dos tempos muitas mudanas ocorreram no mundo dos negcios, fazendo com que a pro sso de auditor tambm sofresse algumas alteraes. O auditor de sistemas informatizados uma pessoa que acima de tudo deve estar atenta s novidades de mercado, pois todos os dias so descobertas novas formas de se invadir os computadores e redes. So vrios os desa os que devem ser ultrapassados por um auditor, pois com os constantes avanos tecnolgicos, auditar sistemas torna-se cada dia mais difcil.Um dos objetivos deste livro minimizar de alguma forma, parte da carncia de informao nesta rea, que nova, mas desde seu incio muito promissora.Um dos desa os de se escrever sobre este assunto que os livros que tratam de segurana de informaes so muito tcnicos, o que pode di cultar o aprendizado. De outra parte, os livros que tratam sobre auditoria deixam, muito a desejar no que diz respeito a atualizaes tecnologicas. Este desa o foi o principal motivador para se escrever a respeito deste assunto.Esperamos que este trabalho sirva de fonte de consulta para auditores iniciantes, para analistas de sistemas de informao que passaram a ser auditores e para executivos que pretendem formar a sua equipe de auditores.Seja bem-vindo disciplina Auditoria de Sistemas Informatizados.


Plano de estudo

O plano de estudo tem por objetivo orientar voc no desenvolvimento da disciplina. Ele possui elementos que o ajudaro a conhecer o seu contexto e a organizar o seu tempo de estudo.

Ementa da disciplina

Fundamentos. Responsabilidades legais. Classi cao de servios. Procedimentos genricos e espec cos para exames e seus respectivos relatrios e certi cados. Aspectos de auditoria de controle geral, segurana, aplicaes, desempenho, fraude, uso do sistema e equipamentos. Pontos de controle e trilhas de auditoria. Controle pr-operacional, operacional, de processamento e documental. Relatrio de auditoria de sistemas. Auditoria computadorizada: validao de valores, programas espec cos de auditoria, veri cao lgica dos programas, monitoria on-line do sistema.Crditos: 4

Objetivo(s)

Geral

Desenvolver habilidades para realizao de auditoria de sistemas nos diversos campos de atuao.

Espec cos

Estudar os conceitos que envolvem a auditoria.Conhecer a organizao de um trabalho de auditoria.


12

Conhecer os diversos componentes de uma poltica de segurana.Identi car a necessidade e as caractersticas de um plano de continuidade de negcios.Identi car os passos necessrios de um trabalho de auditoria de sistemas de informao.

Agenda de atividades

Veri que com ateno o cronograma no EVA e organize-se para acessar periodicamente o espao das disciplinas cursadas. Lembre-se que o sucesso nos seus estudos depende da priorizao do tempo para a leitura, da realizao de anlises e snteses do contedo e da interao com os seus colegas e professor tutor. Antes de iniciar a realizao das atividades de avaliao, leia com ateno os critrios de avaliao apresentados pelo professor tutor no plano de ensino da disciplina no EVA.No perca os prazos das atividades. Registre no espao, a seguir, as datas-chave com base no cronograma disponibilizado no EVA.


13

Atividades

Avaliao a distncia 1 (AD 1)

Avaliao presencial (AP)

Avaliao nal (AF)

Demais atividades (registro pessoal)

Habitue-se a usar o quadro para agendar e programar as atividades relativas ao desenvolvimento da disciplina.


14


UNIDADE 1

Introduo auditoria de sistemas informatizados

Objetivos de aprendizagem

Ao fi nal desta unidade, voc ter subsdios para:

contextualizar a evoluo dos sistemas computacionais e da necessidade da segurana da informao.

entender o conceito de auditoria e, mais especifi camente, da auditoria de sistemas informatizados.

compreender a importncia da auditoria de sistemas informatizados.

conhecer os desafi os ticos e sociais da tecnologia da informao.

Sees de estudo

Apresentamos, a seguir, as sees para voc estudar.

Seo 1 Evoluo dos sistemas computacionais e de segurana da informao

Seo 2 Quais so os conceitos bsicos da auditoria?

Seo 3 Qual o tipo da auditoria objeto deste estudo?

Seo 4 Por que auditar?

Seo 5 Quais so os desafi os ticos da auditoria de sistemas informatizados?

Aps a leitura dos contedos, realize as atividades de auto-avaliao propostas no fi nal da unidade e no EVA.

1


16


Para incio de estudo

Para voc que est prestes a iniciar os estudos na rea de auditoria, algumas consideraes so necessrias.Esta unidade pretende conceituar a auditoria de sistemas informatizados. Para que o seu conceito e importncia quem claros, na primeira seo ser abordada a evoluo dos sistemas de informao.Nas terceira e quarta sees so enfocados os desa os ticos que permeiam a tecnologia de informao e a importncia da auditoria nos sistemas informatizados.Bom estudo!

Seo 1 Evoluo dos sistemas computacionais e dos de segurana da informao

Nem sempre o bem mais precioso de uma empresa se encontra no nal da sua linha de produo, na forma de um produto acabado ou de algum servio prestado Ele pode estar nas informaes relacionadas a este produto ou servio.A crescente utilizao de solues informatizadas nas diversas reas de servios exige nveis de segurana adequados e maior exposio dos valores e informaes. A evoluo da tecnologia de informao, migrando de um ambiente centralizado para um ambiente distribudo, interligando redes internas e externas, somada revoluo da Internet, mudou a forma de se fazer negcios. Isto fez com que as empresas se preocupassem mais com o controle de acesso s suas informaes bem como a proteo dos ataques, tanto internos quanto externos.Na poca em que as informaes eram armazenadas apenas em papel, a segurana era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso fsico quele local. Com as mudanas tecnolgicas e o uso de computadores de grande porte, a estrutura de segurana j cou um pouco


17


Unidade 1

mais so sticada, englobando controles lgicos, porm ainda centralizados. (CRONIN, 1996)Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a necessidade de desenvolvimento de equipes cada vez mais especializadas para a sua implementao e gerncia. Paralelamente, os sistemas de informao tambm adquiriram uma importncia vital para a sobrevivncia da maioria das organizaes modernas, j que, sem computadores e redes de comunicao, a prestao de servios de informao pode se tornar invivel.A esta constatao, voc pode adicionar o fato de que hoje em dia no existem mais empresas que no dependam da tecnologia da informao, num maior ou menor grau. Pelo fato de que esta mesma tecnologia permitiu o armazenamento de grande quantidade de informaes em um local restrito e centralizado, criou-se a uma grande oportunidade ao acesso no autorizado.

A segurana da informao tornou-se estratgica, pois interfere na capacidade das organizaes de realizarem negcios e no valor de seus produtos no mercado.

Em tempos de economia nervosa e racionalizao de investimentos, a utilizao de recursos deve estar focada naquilo que mais agrega ao valor do negcio.Visando minimizar as ameaas, a ISO (International Standardization Organization) e a ABNT (Associao Brasileira de Normas Tcnicas), em sintonia com a ISO, publicaram uma norma internacional para garantir a segurana das informaes nas empresas, a ISO 17799:1. As normas ISO e ABNT so resultantes de um esforo internacional que consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurana e ciente e universal.


18


Quais so as ameaas?

Este modelo tem como caracterstica principal tentar preservar a disponibilidade, a integridade e o carter con dencial da informao.

O comprometimento do sistema de informaes, por problemas de segurana, pode causar grandes prejuzos organizao. Diversos tipos de incidentes podem ocorrer a qualquer momento, podendo atingir a informao con dencial, a integridade e disponibilidade.Problemas de quebra de con dncia, por vazamento ou roubo de informaes sigilosas, podem expor para o mercado ou concorrncia as estratgias ou tecnologias da organizao, eliminando um diferencial competitivo, comprometendo a sua e ccia, podendo perder mercado e at mesmo ir falncia.Problemas de disponibilidade podem ter um impacto direto sobre o faturamento, pois deixar uma organizao sem matria-prima ou sem suprimentos importantes ou mesmo, o impedimento de honrar compromissos com clientes, prejudicam sua imagem perante os clientes, gerando problemas com custos e levando a margem de lucro a car bem comprometida.Problemas de integridade, causados por invaso ou fatores tcnicos em dados sensveis, sem uma imediata percepo, iro impactar sobre as tomadas de decises. Decises erradas fatalmente reduziro o faturamento ou aumentaro os custos, afetando novamente a margem de lucros.A invaso da pgina de Internet de uma empresa, com modi cao de contedo, ou at mesmo a indisponibilidade de servios on-line, revela a negligncia com a segurana da informao e causa perdas nanceiras a quem sofreu algum tipo de ataque.


19


Unidade 1

Contudo, voc pode inferir que elementos fundamentais para a sobrevivncia das empresas esto relacionados com segurana da informao, a qual contribui muito para a sua lucratividade e sobrevivncia, ou seja, agrega valor ao negcio e garante o retorno do investimento feito.Agora que voc pode entender a importncia para uma organizao de tomar medidas para salvaguardar suas informaes, acompanhe, na prxima seo, conceitos bsicos para quem comea a estudar auditoria.

Seo 2 Quais so os conceitos bsicos da auditoria?

Alguns conceitos bsicos relacionados com a auditoria so: campo, mbito e rea de veri cao.

O campo compe-se de aspectos como: objeto, perodo e natureza da auditoria. O objeto de nido como o alvo da auditoria, pode ser uma entidade completa (corporaes pblicas ou privadas, por exemplo). Perodo a ser scalizado pode ser um ms, um ano ou, em alguns casos, poder corresponder ao perodo de gesto do administrador da instituio. A natureza da auditoria poder ser operacional, nanceira ou de legalidade, por exemplo. Na seqncia, voc estudar com mais detalhes a natureza (ou tipo) da auditoria. O mbito da auditoria pode ser de nido como a amplitude e exausto dos processos de auditoria, ou seja, de ne o limite de aprofundamento dos trabalhos e o seu grau de abrangncia.A rea de veri cao pode ser conceituada como sendo o conjunto formado pelo campo e mbito da auditoria.


20


A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o objetivo de verifi car sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres.

Os procedimentos de auditoria formam um conjunto de veri caes e averiguaes que permite obter e analisar as informaes necessrias formulao da opinio do auditor.

Controle a scalizao exercida sobre as atividades de pessoas, rgos, departamentos ou sobre produtos, para que estes no se desviem das normas ou objetivos previamente estabelecidos. Existem trs tipos de controles.

Preventivos usados para prevenir fraudes, erros ou vulnerabilidades. (senhas de acesso a algum sistema informatizado, por exemplo)

Detectivos usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventos de tentativas de acesso a um determinado recurso informatizado)

Corretivos usados para corrigir erros ou reduzir impactos causados por algum sinistro (planos de contingncia, por exemplo)

Um dos objetivos desses controles , primeiramente, a manuteno do investimento feito pela corporao em sistemas informatizados, tendo em vista que os sistemas de informao interconectados de hoje desempenham um papel vital no sucesso empresarial de um empreendimento.

A internet e as redes internas similares, ou intranets, e as redes interorganizacionais externas, as chamadas extranets, podem fornecer a infra-estrutura de informao que uma empresa necessita para operaes e cientes, administrao e caz e vantagem competitiva. Entretanto, os sistemas de informao tambm precisam apoiar as estratgias de negcios, os processos empresariais e as estruturas organizacionais e culturais de um empreendimento.


21


Unidade 1

Esses controles tambm tm como objetivo evitar que algum sinistro venha a ocorrer; no conseguindo evitar, tentar fazer com que o impacto seja pequeno e, se mesmo assim, o impacto for grande, ter em mos processos que auxiliem a reconstruo do ambiente.

O que precisa ser controlado?

Em geral, um check-list que contempla os itens a serem veri cados durante a auditoria. A concepo desses procedimentos antes do incio dos processos de auditoria de suma importncia porque garantir um aumento da produtividade e da qualidade do trabalho. Como exemplo, pode-se citar que, para o bom andamento de uma partida de futebol, no aconselhvel mudar as regras do jogo enquanto o mesmo estiver acontecendo; faz-se isto antes de comear a partida.

Os chamados achados de auditoria so fatos importantes observados pelo auditor durante a execuo dos trabalhos.

Apesar de que geralmente so associados a falhas ou vulnerabilidades, os achados podem indicar pontos fortes da corporao auditada. Para que eles faam parte do relatrio nal de auditoria, os mesmos devem ser relevantes e baseados em fatos e evidncias incontestveis.

Os papis de trabalho so registros que evidenciam atos e fatos observados pelo auditor.

Esses registros podem estar em forma de documentos, tabelas, listas de veri caes, planilhas, arquivos, entre outros. Estes documentos so a base para o relatrio de auditoria, pois contm registro da metodologia utilizada, procedimentos, fontes de informao, en m, todas as informaes relacionadas ao trabalho de auditoria.


22


J na fase da concepo do relatrio, so feitas as recomendaes de auditoria.

Elas so medidas corretivas possveis, sugeridas pela instituio scalizadora ou pelo auditor em seu relatrio, para corrigir as de cincias detectadas durante o trabalho de veri cao de vulnerabilidades ou de cincias. Dependendo da competncia ou posio hierrquica do rgo scalizador, essas recomendaes podem se transformar em determinaes a serem cumpridas. (DIAS, 2000)

Seo 3 Qual o tipo de auditoria objeto deste estudo?

Vrios autores fazem uma classi cao ou denominao formal sobre a natureza ou sobre os diversos tipos de auditorias existentes. Os tipos mais comuns so classi cados quanto: forma de abordagem, ao rgo scalizador e rea envolvida. Acompanhe, a seguir, quais so elas:

Tabela 1 Classi cao dos tipos de auditoria

Classi cao Tipos de auditoria Descrio

Quanto forma de abordagem:

Auditoria horizontal auditoria com tema espec co, realizada em vrias entidades ou servios paralelamente.

Auditoria orientada focaliza uma atividade espec ca qualquer ou atividades com fortes indcios de fraudes ou erros.

Quanto ao rgo scalizador:

Auditoria interna

auditoria realizada por um departamento interno, responsvel pela veri cao e avaliao dos sistemas e procedimentos internos de uma entidade. Um de seus objetivos reduzir a probabilidade de fraudes, erros, prticas ine cientes ou ine cazes. Este servio deve ser independente e prestar contas diretamente classe executiva da corporao.

Auditoria externa

auditoria realizada por uma empresa externa e independente da entidade que est sendo scalizada, com o objetivo de emitir um parecer sobre a gesto de recursos da entidade, sua situao nanceira, a legalidade e regularidade de suas operaes.

Auditoria articulada

trabalho conjunto de auditorias internas e externas, devido superposio de responsabilidades dos rgos scalizadores, caracterizado pelo uso comum de recursos e comunicao recproca dos resultados.


23


Unidade 1

Quanto rea envolvida

Auditoria de programas de governo

Acompanhamento, exame e avaliao da execuo de programas e projetos governamentais.Auditoria do planejamento estratgico veri ca se os principais objetivos da entidade so atingidos e se as polticas e estratgias so respeitadas.

Auditoria administrativa engloba o plano da organizao, seus procedimentos, diretrizes e documentos de suporte tomada de deciso.

Auditoria contbil

relativa dedignidade das contas da instituio. Esta auditoria, consequentemente, tem como nalidade fornecer alguma garantia de que as operaes e o acesso aos ativos se efetuem de acordo com as devidas autorizaes.

Auditoria nanceira

conhecida tambm como auditoria das contas. Consiste na anlise das contas, da situao nanceira, da legalidade e regularidade das operaes e aspectos contbeis, nanceiros, oramentrios e patrimoniais, veri cando se todas as operaes foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas.Auditoria de legalidade conhecida como auditoria de conformidade. Consiste na anlise da legalidade e regularidade das atividades, funes, operaes ou gesto de recursos, veri cando se esto em conformidade com a legislao em vigor.

Auditoria operacional

incide em todos os nveis de gesto, nas fases de programao, execuo e superviso, sob a tica da economia, e cincia e e ccia. Analisa tambm a execuo das decises tomadas e aprecia at que ponto os resultados pretendidos foram atingidos.

Auditoria de sistemas informatizados

tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informtica, o ambiente computacional, a segurana de informaes e o controle interno da entidade scalizada, identi cando seus pontos fortes e de cincias.

Destas auditorias, qual delas o seu objeto de estudo?

a auditoria de sistemas informatizados. E como j foi conceituada, a auditoria de sistemas informatizados um tipo de auditoria operacional, ou seja, analisa a gesto de recursos, focalizando os aspectos de e cincia, e ccia, economia e efetividade.


24


Dependendo da rea de veri cao escolhida, este tipo de auditoria pode abranger:

todo o ambiente de informtica ou a organizao do departamento de informtica. Alm disso, pode ainda contemplar:os controles sobre banco de dados, redes de comunicao e de computadores e controles sobre os aplicativos.

Deste modo, sob o ponto de vista dos tipos de controles citados, a auditoria pode ser separada em duas grandes reas:

Auditoria de segurana de informaes - este tipo de auditoria em ambientes informatizados determina a postura ou situao da corporao em relao segurana. Avalia a poltica de segurana e os controles relacionados com aspectos de segurana, en m, controles que in uenciam o bom funcionamento dos sistemas de toda a organizao. So estes:

Avaliao da poltica de segurana.Controles de acesso lgico.Controles de acesso fsico.Controles ambientais.Plano de contingncia e continuidade de servios.Controles organizacionais.Controles de mudanas.De operao dos sistemas.Controles sobre o banco de dados.Controles sobre computadores.Controles sobre ambiente cliente-servidor.


25


Unidade 1

Auditoria de aplicativos - este tipo de auditoria est voltado para a segurana e o controle de aplicativos espec cos, incluindo aspectos que fazem parte da rea que o aplicativo atende, como: oramento, contabilidade, estoque, marketing, RH, etc. A auditoria de aplicativos compreende:

Controles sobre o desenvolvimento de sistemas aplicativos.Controles de entrada, processamento e sada de dados.Controles sobre o contedo e funcionamento do aplicativo com relao rea por ele atendida.

Esses tipos de auditoria so comumente usados para se alcanarem altos padres de qualidade no desenvolvimento de softwares: o mais famoso desses modelos o CMM. (DIAS, 2000)Uma vez compreendida a abrangncia e o escopo da auditoria dos sistemas informatizados, compreenda, na seo seguinte, por que auditar.

Seo 4 Por que auditar?

Um ditado popular diz que nenhuma corrente mais forte que seu elo mais fraco; da mesma forma, nenhuma parede mais forte que a sua porta ou janela mais fraca, de modo que voc precisa colocar as trancas mais resistentes possveis nas portas e janelas. De forma similar o que acontece quando voc implementa segurana em um ambiente de informaes. Na realidade, o que se procura fazer eliminar o mximo possvel de pontos fracos ou garantir o mximo de segurana possvel para os mesmos. Acima de tudo, o bem mais valioso de uma empresa pode no ser o produzido pela sua linha de produo ou o servio prestado, mas as informaes relacionadas com este bem de consumo ou servio. Ao longo da histria, o ser humano sempre buscou o controle das


26


informaes que lhe eram importantes de alguma forma; isto verdadeiro mesmo na mais remota antiguidade. O que mudou desde ento foram as formas de registros e armazenamento das informaes; se na pr- histria e at mesmo nos primeiros milnios da idade antiga o principal meio de armazenamento e registro de informaes era a memria humana, com o advento dos primeiros alfabetos isto comeou a mudar. Mas foi somente nos ltimos dois sculos que as informaes passaram a ter importncia crucial para as organizaes humanas.Atualmente, no h organizao humana que no seja altamente dependente da tecnologia de informaes, em maior ou menor grau. E o grau de dependncia agravou-se muito em funo da tecnologia de informtica, que permitiu acumular grandes quantidades de informaes em espaos restritos. O meio de registro , ao mesmo tempo, meio de armazenamento, meio de acesso e meio de divulgao.Esta caracterstica traz conseqncias graves para as organizaes, por facilitar os ataques de pessoas no-autorizadas.

Por exemplo, um banco no trabalha exatamente com dinheiro, mas com informaes fi nanceiras relacionadas com valores seus e de seus clientes. A maior parte destes dados de natureza sigilosa, por fora de determinao legal ou por se tratarem de informaes de natureza pessoal, que controlam ou mostram a vida econmica dos clientes, os quais podem vir a sofrer danos, caso elas sejam levadas a pblico.

Independente do setor da economia em que a empresa atue, as informaes esto relacionadas com seu processo de produo e de negcios, polticas estratgicas, de marketing, cadastro de clientes, etc. No importa o meio fsico em que as informaes esto armazenadas, elas so de valor inestimvel no s para a empresa que as gerou, como tambm para seus concorrentes. Em ltimo caso, mesmo que as informaes no sejam sigilosas, na maioria das vezes elas esto relacionadas com atividades dirias da empresa que, sem elas, poderia ter di culdades.


27


Unidade 1

Tradicionalmente, as empresas dedicam grande ateno de seus ativos fsicos e nanceiros, mas pouca ou at mesmo nenhuma ateno aos ativos de informao que possuem; esta proteo tradicional pode nem mesmo visar um bem valioso. Da mesma forma que seus ativos tangveis, as informaes envolvem trs fatores de produo tradicionais: capital, mo-de-obra e processos. Assim, ainda que as informaes no sejam passveis do mesmo tratamento sco-contbil que os outros ativos, do ponto de vista do negcio, elas so um ativo da empresa e, portanto, devem ser protegidas. Isto vale tanto para as informaes como para seus meios de suporte, ou seja, para todo o ambiente de informaes. (O`BRIEN, 2002).A gura 1.1 mostra os fatores econmicos de uma organizao, onde o capital, a mo-de-obra e os processos geram os ativos de uma empresa, ou seja, os produtos, os bens e a informaes.

Figura 1.1 Fatores econmicos de produo.Fonte: Caruso&Ste en (1999)

Numa instituio nanceira, o ambiente de informaes no est apenas restrito rea de informtica, ele chega a mais longnqua localizao geogr ca onde haja uma agncia ou representao de qualquer tipo. Enquanto na rea de informtica os ativos de informao esto armazenados, em sua maior parte, em meios magnticos, nas reas fora deste ambiente eles ainda esto representados em grande parte por papis, sendo muito tangveis e de entendimento mais fcil por parte de seres humanos.

importante ressaltar que muitas empresas no sobrevivem mais que poucos dias a um colapso do fl uxo de informaes, no importando o meio de armazenamento das informaes.


28


E, dada caracterstica de tais empreendimentos, que no caso de bancos essencialmente uma relao de con ana, fcil prever que isto acarretaria completo descontrole sobre os negcios e at uma corrida ao caixa. A atual dependncia das instituies nanceiras em relao informtica est se estendendo por toda a economia, tornando aos poucos todas as empresas altamente dependentes dos computadores e, conseqentemente, cada vez mais sensveis aos riscos representados pelo eventual colapso do uxo de informaes de controle gerencial.Os riscos so agravados em progresso geomtrica medida que informaes essenciais ao gerenciamento dos negcios so centralizadas e, principalmente, com o aumento do grau de centralizao. Ainda que estes riscos sejam srios, as vantagens dessa centralizao so maiores, tanto sob aspectos econmicos, quanto sob aspectos de agilizao de processos de tomada de deciso em todos os nveis. Esta agilizao tanto mais necessria, quanto maior for o uso de facilidades de processamento de informao pelos concorrentes. preciso, antes de qualquer coisa, cercar o ambiente de informaes com medidas que garantam sua segurana efetiva a um custo aceitvel, pois impossvel obter-se segurana total j que, a partir de um determinado nvel, os custos envolvidos tornam-se cada vez mais onerosos e superam os benefcios obtidos. Estas medidas devem estar claramente descritas na poltica global de segurana da organizao, delineando as responsabilidades de cada grau da hierarquia e o grau de delegao de autoridade e, muito importante, estarem claramente sustentadas pela alta direo.A segurana, mais que estrutura hierrquica, os homens e os equipamentos envolvem uma postura gerencial, que ultrapassa a tradicional abordagem da maioria das empresas.

Dado ao carter altamente dinmico que as atividades relacionadas com o processamento de informaes adquiriram ao longo do tempo, a poltica de segurana de informaes deve ser a mais ampla e mais simples possvel.


29


Unidade 1

Como conseqncia da informatizao, outros aspectos comeam a ser levantados, o acmulo centralizado de informao, causando um srio problema para a segurana. Os riscos inerentes ao processo agravaram-se e um estudo mais detalhado sobre eles teve que ser realizado.Uma pesquisa realizada pela Mdulo Security Solutions aponta os potenciais riscos aos quais a informao est sujeita. A gura 2 mostra que a principal ameaa s organizaes o vrus de computador.

Figura 1.2 Principais ameaas s informaes nas organizaesFonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)

As ameaas podem ser defi nidas como sendo agentes ou condies incidentes que comprometem as informaes e seus ativos, por meio da explorao de vulnerabilidades.

F


30


O que caracteriza as vulnerabilidades?

As vulnerabilidades podem ser conceituadas como sendo fragilidades presentes ou associadas a ativos que manipulam e/ou processam informaes, que podem ser exploradas por ameaas, permitem a ocorrncia de um incidente de segurana, afetando negativamente um ou mais princpios da segurana da informao: carter con dencial, integridade e disponibilidade.As vulnerabilidades por si s no provocam incidentes de segurana, porque so elementos passivos. Porm, quando possuem um agente causador, como ameaas, esta condio favorvel causa danos ao ambiente.As vulnerabilidades podem ser:

Fsicas

instalaes prediais fora do padro;

salas de CPD mal planejadas;

a falta de extintores, detectores de fumaa e outros para combate a incndio em sala com armrios e chrios estratgicos;

risco de exploses, vazamentos ou incndio.

Naturais os computadores so suscetveis a desastres naturais, como incndios, enchentes, terremotos, tempestades, e

outros, como falta de energia, o acmulo de poeira, o aumento de umidade e de temperatura, etc.

Hardware falha nos recursos tecnolgicos (desgaste, obsolescncia, m utilizao) ou erros durante a instalao.

Software erros na aquisio de softwares sem proteo ou na con gurao podem ter como conseqncia uma maior quantidade de acessos indevidos, vazamentos de informaes, perda de dados ou indisponibilidade do recurso quando necessrio.

Mdias discos, tas, relatrios e impressos podem ser perdidos ou dani cados. A radiao eletromagntica pode afetar diversos tipos de mdias magnticas.

Comunicao acessos de intrusos ou perda de comunicao.

Humanas

rotatividade de pessoal,

falta de treinamento,

compartilhamento de informaes con denciais na execuo de rotinas de segurana,

erros ou omisses;

ameaa de bomba, sabotagens, distrbios civis, greves, vandalismos, roubos, destruio da propriedade ou dados, invases ou guerras.


31


Unidade 1

O que ser Hacker?

O termo genrico para identi car quem realiza ataques em um sistema de computadores hacker. Porm, esta generalizao possui diversas rami caes, pois cada ataque apresenta um objetivo diferente. Por de nio, hacker so aqueles que utilizam seus conhecimentos para invadir sistemas, sem a inteno de causar danos s vtimas, mas como um desa o s suas habilidades. Os hackers possuem grande conhecimento de sistemas operacionais e linguagens de programao. Constantemente buscam mais conhecimento, compartilham o que descobrem e jamais corrompem dados intencionalmente. O termo hacker tambm de nido pela RFC-2828 (2000) como sendo alguma pessoa com um grande interesse e conhecimento em tecnologia, no utilizando eventuais falhas de seguranas descobertas em benefcio prprio. Como se tornou um termo genrico para invasores de redes, o termo hacker freqentemente usado para designar os elementos que invadem sistemas para roubar informaes e causar danos. O termo correto para este tipo de invasor seria cracker ou intruder, que tambm utilizado para designar queles que decifram cdigos e destroem protees de softwares.O termo cracker ou intruder de nido pela RFC-2828 como sendo algum que tenta quebrar a segurana ou ganhar acesso a sistemas de outras pessoas sem ser convidado, no sendo, obrigatoriamente, uma pessoa com grande conhecimento de tecnologia como o hacker.


32


O termo hacker existe desde o ano de 1960. A palavra comeou a ser usada pelos membros do Tech Model Rail Club, do Instituto de Tecnologia de Massachusetts (MIT), e indicava pessoas com capacidades tcnicas para proezas que ningum mais conseguia. Na rea de informtica, este termo foi usado para designar programadores prodigiosos, de tcnica apurada, visivelmente superior. Podemos classi car essas pessoas em vrias categorias:

Carders Aqueles que fazem compras com carto de crdito alheio ou gerado, ou seja, os carders tm grande facilidade em fazer compras via internet ou em outro meio.Hackers Pessoas com um grande interesse e conhecimento em tecnologia, no utilizando eventuais falhas de seguranas em benefcio prprio. Porm, no destroem dados.Crackers Os crackers so como os hackers, porm gostam de ver a destruio. Eles invadem e destroem s para ver o caos formado. Eles apagam todo o sistema sempre deixando a sua marca registrada.Phreacking So os piratas da telefonia. Eles fazem tudo o que relativo aos telefones, convencionais ou celulares. (SPYMAN, 2002).

Existem muitas maneiras de se atacar os sistemas de informao de uma organizao. Na gura 3 est disponibilizada uma pesquisa mostrando um balano dos tipos de ataques mais usados nos cinco ltimos anos. Esta pesquisa foi realizada pelo departamento de crimes de computador do FBI.


33


Unidade 1

Figura 3 Tipos de ataques mais utilizadosFonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)

As mais famosas tcnicas de ataques s redes corporativas so:Quebra de Senha O quebrador de senha, ou cracker, um programa usado pelo hacker para descobrir uma senha do sistema. Uma das formas de quebra so os testes de exausto de palavras, a decodi cao criptogr ca, etc.Denial of Service Tambm conhecido como DoS, estes ataques de negao de servio so aborrecimentos semelhantes aos mails bomba, porm muito mais ameaadores porque eles podem incapacitar temporariamente uma rede corporativa ou um provedor de acesso. um ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitaes de servios. Sua nalidade no o roubo de dados, mas a indisponibilidade de servio. Existem variantes deste ataque, como o DoS distribudo, chamado DDoS, ou seja, a tentativa de sobrecarregar o I/O de algum servio feita de vrios locais ao mesmo tempo.


34


Cavalo de tria um programa disfarado que executa alguma tarefa maligna. Um exemplo, o usurio roda um jogo qualquer que foi pego na internet. O jogo instala o cavalo-de-tria, que abre uma porta TCP (Transmission Control Protocol) no micro para a invaso. Este software no propaga a si mesmo de um computador para outro. H tambm o cavalo-de-tria dedicado a roubar senhas e outros dados.Mail Bomb considerado como dispositivo destrutivo. Utiliza a tcnica de inundar um computador com mensagens eletrnicas. Em geral, o agressor usa um script para gerar um uxo contnuo de mensagens e abarrotar a caixa postal de algum. A sobrecarga tende a provocar uma negao de servio, ou um DoS no servidor de correio eletrnico. No h perda de dados na maioria dos casos.Phreacking o uso indevido das linhas telefnicas, xas e celulares. No passado, os phreackers empregavam gravadores de ta e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia. Conforme as companhias telefnicas foram reforando a segurana, as tcnicas foram cando cada vez mais difceis. Hoje em dia uma atividade muito elaborada, que poucos conhecem.Scanners de Porta So programas que buscam portas TCP abertas por onde pode ser feita uma invaso. Para que a varredura no seja percebida pela vtima, alguns scanners testam as portas de um computador durante muitos dias, em horrios aleatrios.Smurf outro tipo de ataque de negao de servio. O agressor envia uma rpida seqncia de solicitaes de ping (um teste para veri car se um servidor est acessvel) para um endereo de brodcast. Usando spoo ng, o cracker faz com que o servidor de broadcast encaminhe as respostas no para o seu endereo, mas para o da vtima. Assim o computador alvo inundado pelo Ping.


35


Unidade 1

Spoo ng a tcnica de se fazer passar por outro computador da rede para conseguir acesso a um sistema. H muitas variantes, como o spoo ng de IP. Para execut-lo, o invasor altera o cabealho dos pacotes IP, de modo que parea estar vindo de uma outra mquina, possivelmente, uma que tenha cesso liberado.Sni er um programa ou dispositivo que analisa o trfego na rede. Sni ers so teis e usados normalmente para o gerenciamento de redes. Porm nas mos erradas, uma ferramenta poderosa no roubo de informaes sigilosas.Vrus So programas desenvolvidos para alterar softwares instalados em um computador, ou mesmo apagar todas as informaes existentes no computador. Possuem comportamento semelhante ao vrus biolgico, multiplicam-se, precisam de hospedeiros, esperam o momento certo para o ataque e tentam se esconder para no serem exterminados. A internet e o correio eletrnico so hoje os principais meios de propagao de vrus. A RFC-2828 de ne vrus como sendo um software com a capacidade de se duplicar, infectando outros programas. Um vrus no pode se auto-executar, requer que o programa hospedeiro seja executado para ativ-lo.Worm So programas auto-replicantes que no alteram arquivos, mas residem na memria ativa e se duplicam por meio de redes de computador. Os worms utilizam recursos do sistema operacional para ganhar acesso ao computador e, ao se replicarem, usam recursos do sistema, tornando as mquinas lentas e interrompendo outras funes. Um worm um programa de computador que pode se auto-executar, propagar-se pelos computadores de uma rede, podendo consumir os recursos do computador destrutivamente (RFC-2828, 2000).


36


Aps ter acompanhado esta srie de possveis vulnerabilidades, acreditamos que voc esteja convencido de que auditar preciso, no mesmo?Auditar preciso porque o uso inadequado dos sistemas informatizados pode impactar uma sociedade. Informao com pouca preciso pode causar a alocao precipitada de recursos dentro das corporaes e as fraudes podem ocorrer devido falta de sistemas de controle.Ento, para garantir que os investimentos feitos em tecnologia da informao retornem para a empresa na forma de lucros, custos menores e um menor custo total de propriedade que o auditor de sistemas informatizados ir atuar. De posse dos objetivos, normas ou padres da corporao o auditor ir veri car se tudo est funcionando como deveria.Ainda para ilustrar a importncia da atuao do auditor, acompanhe, na seqncia, algumas estatsticas sobre os ataques aos sistemas de informao.A Tabela 2 mostra quais so as medidas tomadas pelas organizaes no que diz respeito segurana no ano de 2003. Tabela 2 As medidas de segurana mais utilizadas pelas empresas brasileiras no ano de 2003.

TOP 10 MEDIDAS DE SEGURANA MAIS IMPLEMENTADAS

Ranking 2003 Medidas de Segurana %

1 Antivrus 90

2 Sistema de backup 76,5

3 Firewall 75,5

4 Poltica de segurana 72,5

5 Capacitao tcnica 70

6 Software de controle de acesso 64

7 Segurana fsica na sala de servidores 63

8 Proxy server 62

9 Criptogra a 57

10 Anlise de riscos 56

Fonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)


37


Unidade 1

O maior investimento em TI por pro ssionais da rea foi em antivirus, j que uma grande quantidade de empresas tem sofrido ataques ou at mesmo deixou de car com seus servios disponveis. Logo em seguida, a maior preocupao so os sistemas de backup. E veja que a poltica de segurana est em quarto lugar.Nota-se pela pesquisa da gura 5 que o roubo de informaes e a negao de servio, ou seja, parar de disponibilizar dados, informaes e aplicaes so os ataques que mais do prejuzos para as organizaes.

Figura 5 Perdas nanceiras relacionadas com os tipos de ataques realizadosFonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)


38


Apesar das vulnerabilidades, no so todas as empresas que prontamente investem em sistemas de segurana de informaes, porque os responsveis por manter o ambiente funcionando enfrentam algumas di culdades para conseguir estes recursos.

Figura 6 Principais obstculos para a implementao da SeguranaFonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)

Falta de conscincia dos executivos (23%), di culdade em demonstrar o retorno (18%) e custo de implementao (16%) foram considerados os trs principais obstculos para implementao da segurana nas empresas, como ilustrado na gura 7. (MDULO, 2003)Quando questionados sobre a fonte de informaes para se obter discernimento a respeito do que fazer quando se trata de segurana, os entrevistados se mostraram bastante informados a respeito, e apontaram as referncias, normas e legislaes que falam sobre o assunto.


39


Unidade 1

Figura 7 Adequao a legislao / Normas e RegulamentaoFonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)

Sobre as legislaes, normas e regulamentaes de segurana que norteiam suas organizaes, 63,5% dos entrevistados apontaram a ISO 17799; 37% as publicaes do Governo Federal (decreto 4553 e outros); 30% as publicaes do Banco Central (resoluo 2554 e outras); 27% a Regulamentao da ICP-Brasil; 20% o COBIT e 20% as Publicaes da CVM (Resoluo 358 e outras).Voc compreendeu a importncia de realizar auditoria de sistemas informatizados, conheceu as principais vulnerabilidades que ameaam estes sistemas, bem como entendeu as funes de um auditor. A seo seguinte prope que voc estude e re ita sobre os desa os ticos da auditoria de sistemas informatizados.


40


Seo 5 Quais so os desa os ticos da auditoria de sistemas informatizados?

Esta seo, convida voc a realizar uma leitura e uma re exo sobre assuntos que lhe faro entender melhor os desa os ticos do auditor de sistemas informatizados. Para iniciar, realize uma breve re exo sobre o dito por Aristteles e a questo dos atos justos:

Sendo os atos justos e injustos tais como os descrevemos, um homem age de maneira justa ou injusta sempre que pratica tais atos voluntariamente. Quando os pratica involuntariamente, seus atos no so justos nem injustos, salvo por acidente, isto , porque ele fez muitas coisas que redundam em justias ou injustias. o carter voluntrio ou involuntrio do ato que determina se ele justo ou injusto, pois, quando voluntrio, censurado, e pela mesma razo torna-se um ato de injustia; de forma que existem coisas que so injustas, sem que, no entanto sejam atos de injustia, se no estiver presente tambm a voluntariedade.

Pois , dentro das corporaes, questes ticas esto envolvidas em muitas decises estratgicas, como por exemplo, no desenvolvimento de novos produtos, em questes ambientais ou at mesmo no salrio de seus funcionrios. Essas decises podem, em alguns casos, afetar diretamente o desempenho da empresa. Por conseqncia, essas oportunidades podem envolver um verdadeiro desa o tica, no mesmo?S para direcion-lo mais no assunto em questo, considere que estamos no meio de uma revoluo da informao, onde nossa capacidade de adquirir, manipular, armazenar e transmitir informaes foi fortemente ampliada. Com a tecnologia da internet, atualmente possvel conseguir vrias informaes dos mais variados cantos do mundo em uma frao de segundos. Em contrapartida, graas a esta mesma tecnologia, vrias oportunidades de prticas ticas ou no vieram tona, no concorda? oportuno voltarmos nossa ateno para os


41


Unidade 1

fundamentos los cos das questes ticas. Segundo OBrien (2002), quatro loso as ticas so bsicas:

Egosmo o que melhor para um determinado indivduo o correto.Lei natural os homens devem promover sua prpria vida, propagar-se, buscar conhecimento do mundo, buscar relaes ntimas com outras pessoas e submeter-se autoridade legtima.Utilitarismo so corretas as aes que produzem o bem mximo para o maior nmero de pessoas.Respeito pelas pessoas as pessoas devem ser tratadas como m e no como meio para um m; e as aes so corretas se todos adotarem a regra moral pressuposta pela ao.

Afi nal o que tica?

A tica uma caracterstica inerente a toda ao humana e, por esta razo, um elemento vital na produo da realidade social. Todo homem possui um senso tico, uma espcie de conscincia moral, estando constantemente avaliando e julgando suas aes para saber se so boas ou ms, certas ou erradas, justas ou injustas.A tica est relacionada opo, ao desejo de realizar a vida, mantendo com os outros relaes justas e aceitveis. Normalmente, est fundamentada nos ideais de bem e virtude, que so valores perseguidos por todo ser humano e cujo alcance se traduz numa existncia plena e feliz. Hoje, mais do nunca, a atitude dos pro ssionais em relao s questes ticas pode ser a diferena entre o seu sucesso ou fracasso. Ser tico nada mais do que agir direito, proceder bem, sem prejudicar os outros. Ser tico , tambm, agir de acordo com os valores morais de uma determinada sociedade. Essas regras morais so o resultado da prpria cultura de


42


uma comunidade. Elas variam de acordo com o tempo e sua localizao no mapa. A regra tica uma questo de atitude, de escolha. J a regra jurdica no prescinde de convico ntima - as leis tm que ser cumpridas independentemente da vontade das pessoas. A tica no algo superposto conduta humana, pois todas as nossas atividades envolvem uma carga moral. A pessoa e a organizao so mais e cientes quando h congruncia entre valores e as crenas a respeito de como o trabalho deve ser feito e as expectativas e exigncias da organizao em relao ao sucesso. (JACOMINO, 2000)A empresa que almeje ser tica deve divulgar declaraes precisas, de nindo as regras e deve criar procedimentos de veri cao para assegurar que todos na organizao as esto cumprindo.

Por que importante saber a importncia das dimenses ticas na utilizao da tecnologia da informao?

Um ponto de vista quando voc percebe, por exemplo, que o impacto causado pela tecnologia da informao sobre o emprego uma preocupao tica muito importante e est diretamente relacionada ao uso dos computadores para se conseguir um determinado grau de automao. No h dvidas que ao advento dos sistemas informatizados veio aumentar a produtividade, ao mesmo tempo em que diminuiu a oferta de determinadas oportunidades de trabalho. Aplicaes, computadores e mquinas automatizadas realizam tarefas que antes eram realizadas por vrios trabalhadores. O que existe hoje uma procura por habilidades diferentes, formando o grupo de usurios de computadores e o grupo de administradores de computadores, de forma que, se voc no tem uma ou outra habilidade, as chances de conseguir uma oportunidade de trabalho diminuem bastante.Esta questo um problema a ser superado no Brasil, onde 50% das vagas na rea de tecnologia da informao no so preenchidas por falta de mo-de-obra quali cada. Apenas 11% dos jovens na faixa etria entre 18 e 24 anos cursam o ensino


43


Unidade 1

superior e 64% da populao empregada nem sequer completou o primeiro grau. Se o panorama nacional nos faz crer que a demanda por recursos humanos no ser preenchida a curto prazo, est mais do que na hora das empresas baseadas no Brasil proporem solues que visem minimizar este cenrio e sejam capazes de transformar bits e bytes em poderosa vantagem competitiva para todos.Nesta perspectiva, em contrapartida, surge a possibilidade da gesto do conhecimento, a qual, com uma coleo de processos, governa a criao, disseminao e utilizao do conhecimento para atingir plenamente os objetivos da organizao. A gesto do conhecimento lida principalmente com os aspectos que so crticos para a adaptao e sobrevivncia da empresa diante de um ambiente de mudana crescente e descontnua. O conhecimento a chave para o poder nos negcios e as empresas que se voltam para a gesto do conhecimento, necessitam de uma abordagem que veja a organizao como uma comunidade humana, cujo conhecimento coletivo representa um diferencial competitivo em relao concorrncia.

no conhecimento coletivo que se baseiam as competncias competitivas essenciais.

A Tecnologia da Informao tem um papel fundamental que muitas vezes tem sido negligenciado ou at mesmo tem passado despercebido na maioria das empresas e rgos de informtica.

As competncias essenciais e o conhecimento coletivo baseiam-se em informaes de negcio: conhecimento e experincia. O papel a ser desempenhado pela TI estratgico: ajudar o desenvolvimento coletivo e o aprendizado contnuo, tornando mais fcil para as pessoas na organizao compartilharem problemas, expectativas, idias e solues. E em meio a este ambiente competitivo do mundo contemporneo, o principal desa o das organizaes est em estabelecer os padres ticos nas relaes entre pessoas e empresas.


44


Como aplicar a tica no campo de novas tecnologias?

No podemos ser inocentes e pensar que empresas so apenas entidades jurdicas. Empresas so formadas por pessoas e s existem por causa delas. Por trs de qualquer deciso, de qualquer erro ou imprudncia esto seres de carne e osso. E so eles que vo viver a glria ou o fracasso da organizao. Por isso, quando falamos de empresa tica, estamos falando de pessoas ticas. Uma poltica interna mal de nida por um funcionrio de qualquer nvel pode denegrir dois dos maiores patrimnios de uma empresa: a marca e a imagem.Alm de ser individual, qualquer deciso tica tem por trs um conjunto de valores fundamentais. Muitas dessas virtudes nasceram no mundo antigo e continuam vlidas at hoje. Eis algumas das principais: ser honesto em qualquer situao, ter coragem para assumir as decises, ser tolerante e exvel, ser ntegro e ser humilde.A internet tem modi cado o comportamento humano, incentivando a paixo pelo conhecimento, educao e cultura. A sociedade contempornea valoriza comportamentos que praticamente excluem qualquer possibilidade de cultivo de relaes ticas. fcil veri car que o desejo obsessivo na obteno, possesso e consumo da maior quantidade possvel de bens materiais o valor central na nova ordem estabelecida no mundo e que o prestgio social concedido para quem consegue esses bens. Esse desejo se tornou mais voluptuoso e de acesso mais fcil depois da ascenso do comrcio eletrnico na internet. A pessoa que antes devia fazer um mnimo esforo para uma compra ou aquisio, hoje se v diante de um mar de ofertas da tela do seu computador. O sucesso material passou a ser sinnimo de sucesso social e o xito pessoal deve ser adquirido a qualquer custo.


45


Unidade 1

Um dos campos mais carentes, no que diz respeito aplicao da tica, o das novas tecnologias e nisto inclui-se a internet.

No existe uma legislao prevendo condutas ou regras e com isso ca muito perto o limite da tica no trabalho e exerccio pro ssional. Uma das principais e mais evidentes realidades da internet o individualismo extremo. Este fator, muitas vezes associado falta de tica pessoal, tem levado alguns pro ssionais a defender seus interesses particulares acima dos interesses das empresas em que trabalham, colocando-as em risco. Este quadro nos remete diretamente questo da formao de recursos humanos, pois as pessoas so a base de qualquer tentativa de iniciar o resgate da tica nas empresas e nas relaes de trabalho e gesto do conhecimento.tica, alm de ser a cincia que estuda o comportamento moral das pessoas na sociedade, um investimento. Um investimento que traz bons frutos a longo prazo. importante entender que o conceito de que estender benefcios sociedade um meio concreto de abraar a tica e criar uma boa imagem para a empresa. Na internet, por exemplo, extremamente necessrio se ter credibilidade para que a empresa possa sobreviver no comrcio eletrnico. (SROUR, R. H., 1998)O ambiente organizacional sob a tica da tica na gesto do conhecimentoO conhecimento antropolgico nos ensina que no se deve confundir normas morais, socialmente praticadas, com pautas abstratas, universais e anistricas, pois elas so padres sociais convencionados que espelham condies histricas bem determinadas.

Voc deve distinguir, entretanto, normas jurdicas (leis, regulamentos) e normas morais.


46


Ambas as normas regulamentam as relaes sociais, postulam condutas obrigatrias, assumem a forma de imperativos e visam a garantir a coeso social. A moral um discurso de justi cao e se encontra no corao da ideologia. um dos mais poderosos mecanismos de reproduo social, porque de ne o que permitido e proibido, justo e injusto, lcito e ilcito, certo e errado. H inmeras situaes carentes de normalizao que no remetem s confortveis dicotomias do tipo branco e preto. Diante delas, as opinies se dividem, exacerbadas porque os interesses subjacentes convivem em frontal oposio.

Quem ser benefi ciado e quem sair prejudicado?

Eis a justi cativa de uma competente re exo tica. Vale a pena distinguir entre: racionalizaes, que so situaes em que o agente sabe o que certo fazer, mas deixa de fazer mediante justi caes e dilemas, que so situaes em que o agente no sabe o que certo fazer e patina na incerteza moral.

Como ser tico num mundo em que se confrontam valores e fi ns que, por sua prpria pluralidade, sustentam a irracionalidade tica do mundo?

Toda tomada de deciso processa-se num contexto em que interesses contraditrios se movimentam, tenham ou no conscincia os agentes envolvidos. Tal ou qual curso de ao bene cia quem? Quais interesses esto em jogo? Os interesses gerais, nacionais, pblicos ou comunitrios? Os interesses universais, coletivos, sociais ou os interesses paroquiais, familiares e pessoais? Qualquer sistema de normas morais pe em cena crenas e valores, ns e meios, a partir de um conjunto de informaes que procuram descrever uma situao.


47


Unidade 1

Ele supe tambm as conseqncias provveis das aes que podero vir a ser adotadas e ainda sugere os interesses que sustentam o edifcio todo. Ora, toda moral palpita no corao de uma ideologia e, de maneira aparentemente paradoxal, reivindica um carter universalista.A chave da discusso contempornea gira em torno do egosmo tico em choque com as morais socialmente orientadas. Assim que nos pases latinos e, em particular no Brasil, rastreia-se uma dupla moral social: uma moral da integridade, que a moralidade o cial, edi cante e convencional, compondo uma retrica pblica que se difunde nas escolas, nas igrejas, nos tribunais e na mdia; e uma moral do oportunismo, que a moral o ciosa, pragmtica e dissimulada, furtivamente praticada como ao entre amigos e muitas vezes celebrada pela esperteza de seus procedimentos.Os valores da moral da integridade so a honestidade, a lealdade, a idoneidade, o respeito verdade e legalidade, o compromisso com a retido. Tais virtudes desenham o per l do homem de carter, con vel, decente e digno, cumpridor de suas obrigaes e el palavra empenhada, sujeito eminentemente virtuoso e in exvel na preservao dos valores consagrados. Quaisquer decises e aes deveriam orientar-se por princpios que, por de nio, valem para todos os homens. Em contrapartida, a moral do oportunismo funciona com base em procedimentos cnicos como o jeitinho, o calote, a falta de escrpulo, o desprezo irresponsvel pelas conseqncias dos atos praticados, o vale-tudo, o engodo, a trapaa, a exaltao da malandragem, o siologismo e a bajulice. Esta moral valoriza o enriquecimento rpido e o egosmo, consagra a esperteza e acredita que o proveito pessoal move o mundo. Assim, desde que a nalidade seja alcanada, a ao se justi ca, no importam os meios, lcitos ou no.Ora, queiram ou no, as empresas convivem com os padres morais que suas contrapartes partilham. Ferir tais padres signi ca estimular a deslealdade individual aos interesses da empresa. Em razo disto, preciso convencionar um cdigo de honra que ligue as organizaes a seus funcionrios. Ademais, as empresas tm uma imagem a resguardar, patrimnio essencial para a continuidade do prprio negcio. A imagem da empresa


48


no pode ser desprezada impunemente, nem pode ser reduzida mera moeda publicitria, porque ela representa um ativo econmico sensvel credibilidade que inspira.A tica est amplamente constituda de regras de sobrevivncia, regras de comportamento associadas pro sso, regras de relacionamento que possibilitem harmonia na convivncia social e assim por diante. As atitudes devem ser rpidas e certeiras, mas sempre seguindo estratgias globais; estas sim, capazes de diferenciar as empresas e garantir resultados consistentes no que diz respeito sobrevivncia das organizaes. As empresas hoje buscam pro ssionais com um per l diferenciado.

A era da informao implacvel: joga para escanteio quem no tm instruo adequada e coloca no pice os mais preparados.

Os sistemas formais da organizao correspondem aos mtodos, s polticas e aos procedimentos que claramente identi cam qual o negcio, quando, como, onde e por que ele se realiza. Quando os sistemas formais contm um direcionamento tico claro, os funcionrios tm uma compreenso correta das expectativas e exigncias. Quando estes sistemas no so claros ou quando a mensagem tica varia entre os sistemas, os indivduos buscam outro ponto de referncia para uma orientao de nitiva, uma dimenso tipicamente de liderana. Quando os sistemas no se referem questo tica, a mensagem transmitida de que no existe um padro tico. Isto deixa os funcionrios totalmente dependentes de seus

valores pessoais e do comportamento observvel dos outros.


49


Unidade 1

Falhas ticas arranham a imagem da empresa e as levam a perder clientes e fornecedores importantes, di cultando o estabelecimento de parcerias, pois na hora de se dar as mos, alm de levantar as a nidades culturais e comerciais, as empresas tambm veri cam se existe compatibilidade tica entre elas.

fundamental criar relacionamentos mais ticos no mundo dos negcios para poder sobreviver e, obviamente, obter vantagens competitivas.

E assim, com as ferramentas e o saber a postos, o quadro no to ruim assim, pois sem sombra de dvida, a tecnologia criou um verdadeiro mundo de oportunidades de emprego, para a fabricao de computadores e perifricos, desenvolvimento de softwares e outros sistemas de informao. E junto com isto, criou uma gama maior ainda de servios para quem trabalha com tecnologia.Uma vez que voc nalizou a leitura criteriosa desta unidade, realize, a seguir, as atividades propostas e pratique os novos conhecimentos.

O que fazer para andar com um pouco mais de segurana nesse terreno nebuloso?

saiba exatamente quais so os seus limites ticos; avalie detalhadamente os valores da sua empresa; trabalhe sempre com base em fatos; avalie os riscos de cada deciso que tomar saiba que, mesmo ao optar pela soluo mais tica, poder se envolver em situaes delicadas; ser tico signifi ca, muitas vezes, perder dinheiro, status e benefcios.


50


Atividades de auto-avaliao

Efetue as atividades de auto-avaliao e acompanhe as respostas e comentrios a respeito no fi nal do livro didtico. Para melhor aproveitamento do seu estudo, realize a conferncia de suas respostas somente depois de fazer as atividades propostas.

Leia com ateno os enunciados e realize, a seguir, as atividades:

1) Basicamente, descreva quais ao os riscos que as informaes em meio digital ou no correm dentro das empresas?

2) Por que auditar? Explique.


51


Unidade 1

3) Considerando os aspectos fi nanceiros, sociais e tecnolgicos envolvidos na gesto de TI, descreva a seguir qual o maior desafi o tico na rea de tecnologia?

Sntese

Com o estudo desta primeira unidade, voc conferiu os conceitos que permeiam o assunto de auditoria de sistemas informatizados.Constatou que o crescente uso de solues informatizadas dentro das empresas cresceu muito nos ltimos anos. Um novo mundo de oportunidades surgiu com o uso descontrolado dos sistemas de informao, havendo a necessidade iminente de controle e as empresas optaram por um plano de auditoria.Esta auditoria tem como objetivo a manuteno do investimento feito sobre as solues de tecnologia da informao, fazendo com que o custo total de propriedade da soluo se mantenha baixo.Deste modo, voc entendeu os motivos pelos quais a auditoria em sistemas informatizados se faz necessria dentro das corporaes.Por m, estudou tambm que essas lacunas abertas nos levam a verdadeiros desa os em nossa pro sso, pois tendo em mos informaes, programas e dados de maneira to fcil e to rpida, um verdadeiro desa o tica surge e nos coloca em cheque na hora de decidir como agir.


52


Saiba mais

Para aprofundar as questes abordadas nesta unidade, voc poder pesquisar os seguintes materiais:

http://www.gocsi.com CSI/FBI 2003. Pesquisa do FBI a respeito de crimes de internet.http://www.modulo.com.br site da empresa Mdulo, empresa lder de mercado em solues de segurana.http://www.bsibrasil.com.br/ - site da organizao que gerencia a norma BS 7799.


UNIDADE 2

Organizao da auditoria

Objetivos de aprendizagem

Ao fi nal desta unidade, voc ter subsdios para:

compreender os atributos mais comuns das atividades dos auditores e os aspectos relacionados as suas responsabilidades;

conhecer os principais componentes de um planejamento de auditoria;

conhecer o que uma concluso de auditoria.

Sees de estudo

A seguir, apresentamos as sees para voc estudar:

Seo 1 A origem da auditoria

Seo 2 O auditor e os sistemas informatizados

Seo 3 Quais so as responsabilidades do auditor?

Seo 4 Como ocorre o planejamento da auditoria?

Seo 5 ocorre a concluso da auditoria?

Aps a leitura dos contedos, realize as atividades de auto-avaliao propostas no fi nal da unidade e no EVA.

2


54


Para incio de estudo

A auditoria de suma importncia para os negcios, independente de sua origem, seja ela contbil ou de tecnologia de informao. O termo auditoria relacionado com diversas reas de nossa sociedade. Nesta unidade, voc vai estudar a organizao da auditoria em seu mbito geral e resgatar a relao dela com as diversas reas dos negcios. Bom estudo!

Seo 1 A origem da auditoria

A auditoria sempre foi muito relacionada com a contabilidade e tambm surgiu numa poca bem remota. Este fato di culta a pesquisa de matrias para estudos acadmicos que falam com propriedade a respeito do assunto, j que a literatura disponvel, em sua grande maioria, trata de eventos de auditorias nanceiras. Porm, muitos dos conceitos utilizados so muito bem-vindos pelo fato de que somente o objeto de auditoria est sendo mudado.

No Egito antigo, autoridades providenciavam veri caes independentes nos registros de arrecadaes de impostos. Na Grcia, eram realizadas inspees nas contas de funcionrios pblicos atravs da comparao de gastos com autorizaes de pagamentos. J os nobres castelos medievais ingleses indicavam auditores que revisavam os registros contbeis e relatrios preparados pelos criados.

Como surgiu a auditoria de empresas?

A auditoria de empresas comeou com a legislao britnica promulgada durante a revoluo industrial, em meados do sculo XIX. Avanos na tecnologia industrial e de transporte provocaram novas economias de escala, empresas maiores, o advento de administradores pro ssionais e o crescimento


55


Unidade 2

da incidncia de situaes em que os donos de empresas no estavam presentes nas aes dirias da corporao. No advento da auditoria, este servio tinha que ser feito por acionistas que no eram administradores das empresas e que recebiam a delegao dos demais acionistas. (PURPURA, 1998)

Voc sabia?

Na Inglaterra encontram-se as empresas de auditorias mais bem conceituadas, tais como: Deloitte & Co., Peat Marwick & Mitchell e Price Waterhouse & Co. Tanto eles so pioneiros na rea, que foi de l, de estudos acadmicos, que surgiu o padro de segurana de informaes que os auditores de sistemas informatizados utilizam: o padro BS 7799 que tem suas variaes na ISO (ISO 27001) e na ABNT, onde se encontra a NBR ISO/IEC 17799:1 (2005).

A in uncia britnica foi essencial para os Estados Unidos, no nal do sculo XIX, na mesma proporo em que investidores escoceses e ingleses enviavam seus prprios auditores para a veri cao na contas das empresas norte-americanas, nas quais tinham investido muito dinheiro.No nal do sculo XIX, Nova Iorque tornou-se o primeiro estado norte-americano a aprovar uma legislao sobre a pro sso de auditor. Vinte anos mais tarde, todos os Estados Americanos j tinham aprovado lei semelhante. No incio do sculo XX, a demanda de servios na rea aumentou exponencialmente, em razo, a princpio, da venda de ttulos ao pblico. Esta situao deixou clara a necessidade de uma maior linearidade na apresentao de demonstraes contbeis.

Voc sabia?

Para se ter uma noo do crescimento da profi sso de auditor, observe que em 1900 eram apenas 250 auditores autorizados a exercer a profi sso nos Estados Unidos e hoje so mais de 500.000. (Fonte: Wise, 2002).


56


Continuando a trajetria histrica, voc vai perceber que a complexidade dos negcios foi aumentando. Na dcada de 40, j eram observadas trs importantes mudanas na prtica da auditoria:

a veri cao contbil passou a ser realizada por amostragem, em sua maioria;foi desenvolvida a prtica de vincular os testes realizados avaliao dos controles internos da entidade auditada; e, por m,a nfase na deteco de fraudes com o objetivo de uma auditoria foi reduzida. Esta ltima alterao gera controvrsia at hoje, pois no mbito contbil de interesse pblico que os auditores detectem fraudes e no apenas no-conformidades. Esta alterao est prestes a ser mudada.

Durante a dcada de 80 e 90, a tnica nos campos pro ssionais era o conhecimento exigido e, assim, a pro sso de auditor deu um outro passo no sentido de assegurar a prestao de servios de qualidade. Cursos de capacitao e reciclagem comearam a ser exigidos, bem como a certi cao, pois pro ssionais certi cados eram mais bem conceituados.

Seo 2 O auditor e os sistemas informatizados

Quando os sistemas de computadores surgiram, muitos auditores estavam preocupados com a essncia da auditoria que poderia mudar para poder lidar com a nova tecnologia. Agora est claro que no este o caso. Os auditores devem prover uma avaliao competente e independente indicando se um conjunto de atividades econmicas tem sido registrado de acordo com os padres e critrios estabelecidos.

Os sistemas informatizados tm afetado duas funes bsicas dos auditores: coleta e avaliao das evidncias.


57


Unidade 2

Coletar evidncias sobre a segurana em um sistema informatizado muito mais complexo do que em um sistema manual, sem automao, justamente devido diversidade e complexidade da tecnologia de controle interno. Os auditores devem entender estes controles e ter know-how para coletar evidncias corretamente.Tecnologias como hardware ou software evoluem muito rapidamente, o que torna o entendimento sobre o controle muito complicado e difcil, pois existem intervalos de surgimento de tecnologias e entendimento da mesma.

Por exemplo, num equipamento de hardware, os famosos appliances que fazem o papel de Firewall so considerados somente bloqueadores de portas lgicas. Uma nova verso deste equipamento possui um software que permite, alm de bloquear portas lgicas, fazer o servio de deteco de intrusos, o que o torna mais efi caz no momento de avaliar a segurana de dispositivos de rede que fazem este papel.

Em alguns casos, no possvel detectar evidncias de forma manual. Nesse caso, o auditor ter que recorrer outros recursos como, por exemplo, sistemas informatizados que possibilitem a coleta das evidncias necessrias. Novas ferramentas de auditoria podem ser requeridas devido evoluo da tecnologia, e infelizmente aqui tambm ocorre um intervalo entre as necessidades da auditoria e as implantaes das mesmas.Devido crescente complexidade dos sistemas informatizados, tambm mais difcil avaliar as conseqncias das vulnerabilidades existentes. Primeiramente, os auditores devem entender quando um controle est agindo de forma segura ou no. Erros em programas de computador tendem a ser deterministas: um programa errado sempre executar incorretamente. Alm disto, erros so gerados em grande velocidade e corrigi-los pode custar caro. Assim, controles internos que garantam que sistemas de computadores de alta qualidade sejam projetados, implementados, operados e mantidos so crticos.


58


O nus sobre os auditores garantir que estes controles sejam sufi cientes para manter a proteo dos ativos de informao da corporao, integridade dos dados, efetividade e efi cincia dos sistemas, alm de disponibiliz-los para que eles sejam operados de forma segura.

Os sistemas de informao passaram a disponibilizar mais informaes para os que detm o poder decisrio das empresas. Os auditores desenvolveram uma fama de entenderem tanto de contabilidade quanto dos fatores que afetam a competitividade de um negcio ou setor de atuao. Contudo, esta pro sso tem sido alvo de crticas por no utilizar o know-how adquirido para agregar valor a seu servio. Pode-se, inclusive, comparar com a rea de sistemas informatizados, pois um auditor pode, alm de detectar uma no-conformidade, dar alguma sugesto imediata para resolver esta no-conformidade. Esta situao permite uma discusso bastante interessante:

Primeiro refl ita sobre a questo, aps escreva suas concluses:

O auditor deve simplesmente detectar as no-conformidades e dar a nota ao objeto auditado ou, alm disso, ele pode ajudar a corporao a aumentar o nvel de segurana dos seus sistemas de informao?

Utilize o espao, a seguir, para registrar suas refl exes.


59


Unidade 2

Deste modo, servios de auditoria deslocam-se na cadeia de valores na mesma proporo que o auditor traduz as informaes obtidas com seu trabalho para informaes crticas camada executiva da empresa.

Por exemplo, com seu conhecimento do negcio, o auditor pode reconhecer que uma companhia no est utilizando adequadamente os seus ativos de informao e pode fazer recomendaes sobre como outras empresas o fazem ou, at mesmo, como as normas e padres de segurana mais conceituados no mercado o fariam.

O auditor ocupa posio privilegiada em nossa sociedade por entender o funcionamento de vrias organizaes e saber de que forma elas utilizam os recursos de tecnologia para atingir seus objetivos.O desa o desta pro sso est em compartilhar o conhecimento de maneira que ajude o cliente a atingir seus objetivos alm de manter a independncia. interessante que este pro ssional saiba a grande diferena entre fazer recomendaes e implantar decises, respeitando a tica pro ssional.

Quais so os principais valores de um auditor?

possvel resumir, em trs caractersticas, os principais valores de um auditor:

manter princpios ticos;possuir integridade;possuir objetividade.

Apesar de simples, encontra-se no mercado de auditoria, apesar de vasto, poucas empresas prestadoras de servio de auditoria que respeitam estas propriedades.


60


importante, na hora de contratar tais servios, procurar por empresas com tenham sua reputao baseada nas caractersticas acima mencionadas.A incessante procura por atualizaes das normas e mtodos de auditoria devem tambm fazer parte do dia-a-dia da pro sso de auditor, pois vulnerabilidades e ameaas so lanadas todos os dias.Nosso cenrio de muita crtica aos auditores pelo fato de que esta pro sso muitas vezes vista como a de relatores de problemas e no como a de solucionadores de situaes de no-conformidade.

Quais so as necessidades para ser um pro ssional auditor?

Auditores necessitam de grande capacidade de comunicao, pois o servio pede que ao levantar-se questes relacionadas com o objeto auditado, a discusso seja levada para a camada executiva da empresa e os resultados deste trabalho tambm. Como a tecnologia in uencia diretamente a forma como os auditores se comunicam, deve-se recorrer a modelos padronizados que possam passar a extenso, concluso e observaes do trabalho realizado. A capacidade de pensar crtica e estrategicamente essencial ao auditor.

Por exemplo, o auditor deve ser capaz de analisar e avaliar o P.D.I. (Plano Diretor de Informtica) de um cliente e avaliar se os recursos de TI que existem na corporao manipulam as informaes de forma concisa e coerente e atendem aos objetivos previamente defi nidos para estes sistemas.

O auditor deve procurar fazer com que suas competncias no somente sejam ditadas por normas, mas decorram de foco no cliente e no mercado.


61


Unidade 2

Quais so os servios prestados pelo auditor?

Os principais servios prestados por auditores so: assurance; consultoria gerencial;planejamento;certi cao de normas.

Assim, os servios de assurance so as tradues de informaes provindas dos recursos encontrados no objeto auditado, melhorando o contexto e a qualidade para que a camada executiva possa tomar suas decises.Os servios de consultoria gerencial abrangem as recomendaes sobre como utilizar os sistemas de informao do cliente de uma forma mais proveitosa e que atenda aos objetivos de negcio da empresa auditada.Os servios de certi cao de normas so aqueles em que o auditor ir prover um check-list apontando conformidades e no-conformidades segundo determinada norma e ir emitir uma parecer sobre a emisso

Documents

AUDITORIA 9