A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos contábeis da organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos dados manipulados pelo computador.

Resumo: A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos contábeis da organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos dados manipulados pelo computador. Assim, ela estabelece e mantém procedimentos documentados para planejamento e utilização dos recursos computacionais da empresa, verificando aspectos de segurança e qualidade. O trabalho da auditoria de sistemas acontece com o estabelecimento de metodologias, objetivos de controle e procedimentos a serem adotados por todos aqueles que operam ou são responsáveis por equipamentos de TI e/ou sistemas dentro da organização.

Palavras-chave: Auditoria. COSO. Cobit 5. ISACA. CISA.

Sumário

1.      INTRODUÇÃO.. 3

2.      DESENVOLVIMENTO.. 3

2.1.       Conceito de sistemas. 3

2.2.       Conceitos de auditoria de tecnologia da informação. 4

2.3.       ABORDAGEM DE AUDITORIA DE SISTEMAS DE INFORMAÇÕES. 4

2.3.1.        Abordagem ao redor do computador 5

2.3.2.        Abordagem através do Computador. 6

2.3.3.        Abordagem com o computador 6

2.4.       ORGANIZAÇÃO DE TRABALHO DE AUDITORIA DE TI. 7

2.4.1.        Planejamento. 8

2.4.2.        Escolha da Equipe. 8

2.4.3.        Programar a equipe. 8

2.4.4.        Execução de trabalhos e supervisão. 9

2.4.5.        Revisão dos Papeis de trabalhos. 9

2.4.6.        Atualização do conhecimento permanente. 9

2.4.7.        Avaliação da Equipe. 10

2.4.8.        Documentação dos papeis de trabalho. 10

2.5.       CONTROLES ORGANIZACIONAIS E OPERACIONAIS. 11

2.5.1.        Políticas organizacionais. 12

2.5.1.1.        Políticas de Responsabilidades. 12

2.5.2.        Politicas de continuidade dos negócios ( Business Continuity Plan – BCP) 13

2.5.3.        Descrição dos cargos. 13

2.6.       OBJETIVOS DE AUDITORIA.. 18

3.      CONCLUSÃO.. 19

4.      REFERÊNCIAS BIBLIOGRÁFICAS. 20

1.      INTRODUÇÃO

A civilização provou que, sem sombra de dúvida, o homem começou a usar auxílios mecânicos para apoiar exercícios de contagens e cálculos no ano 5000 A.C. Época notável deu-se quando da inovação dos cartões perfurados (punch cards) oir Herman Hollerith (o pai dos cartões perfurados) a a subsequente invenção do tubo a vácuo, o “diodo”, por Ambrose Fleming, em 1904.

A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à tecnologia de informação. Foi a primeira vez que um computador pode ser produzido para uso no tubo à vácuo, na época conhecido por Calculador e Integrador Numérico Eletrônico (Eletronic Numerical Integrated Calculator) – ENIAC. Custou US$ 400,000, pesava 30 toneladas e executava 5.000 cálculos por segundo, trabalhando num espaço confiável de tempo de 20 minutos sem apresentar falhas operacionais. Continha 18.000 tubos a vácuo que dissipavam 150 quilowatts de calor.

Em 1950, mudanças foram provocadas em todos os ambientes de negócios. As instituições e as empresas comerciais começaram a expandir-se rapidamente. Grupos de companhias, conglomerados, organizações multinacionais e estabelecimentos governamentais não se constituíram em exceções. As complexidades das empresas aumentaram tão exponencialmente, que os métodos tradicionais de processamento de dados e de sistemas de controle internos não puderam conviver com a mesma situação por muito mais tempo, uma vez que os equipamentos que agilizavam ou auxiliavam nas operações começaram a ser aplicados nas atividades simples e de maior complexidade, inclusive de guarda-livros. Desde então, as maquinas receberam grandes retoques, visando a sua adequação aos padrões de computadores complexos, até os aplicados hoje.

Entretanto, os custos e o aumento de vulnerabilidade do sistema de processamento eletrônico de dados emanados do uso difundido de Tecnologia de Informação geraram a necessidade de os auditores internos e independentes possuírem habilidade em processamento eletrônico de dados, bem como a necessidade de aumentar as técnicas e as ferramentas de avaliação de sistemas, assegurando aos acionistas, investidores, órgãos governamentais e outros usuários das demonstrações financeiras de se defrontarem com situações embaraçosas ou incomuns.

Ademais, a questão não é somente selecionar uma gama de computadores e gerar um contrato de fornecimento, pedindo ao Diretor Geral (CEO) que acenda o sinal verde para a implantação de tecnologia de informação, uma vez que os problemas relativos a informações incorretas, incompletas, inoportunas, inseguras e inauditáveis, que prejudiquem as operações da empresa, vão continuar a criar barreiras para o alcance dos objetivos de negócio.

2.      DESENVOLVIMENTO

2.1.   CONCEITO DE SISTEMAS

O sistema é um conjunto de elementos inter-relacionados com um objetivo: produzir relatórios que nortearão a tomada de decisões gerenciais. Neste percurso, pode-se identificar o processo de transforma dados de entrada, agregados aos comandos gerenciais, em saídas. Assim, o feedback do sistema faz com que, no meio da manutenção do ciclo operacional, sejam ativadas novas estratégias empresariais visando à geração de informações qualitativas ou quantitativas para suportar o alcance do sucesso absoluto.

Os sistemas são abertos ou fechados. Os sistemas abertos podem receber dados controlados ou não controlados, uma vez que recebem influência do ambiente interno e externo onde operam, enquanto os sistemas fechados, devido à sua natureza, não têm interferência do ambiente e somente poderiam receber os dados controlados. As delimitações dos sistemas são feitas propositadamente durante seu desenho simplesmente para fomentara segregação das funções dos sistemas incompatíveis. Podem ser tanto adaptáveis, quando implantados para produzir um resultado desejado em um ambiente de grandes mudanças rotineiras, como também corretivos, implantados para produzir um resultado específico e não rotineiro.

2.2.   CONCEITOS DE AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

A auditoria em ambiente de tecnologia de informação não muda a formação exigida para a profissão de auditor, apenas percebe que as informações até então disponíveis em forma de papel são agora guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar para se assegurar de que essas informações em forma eletrônica sejam confiáveis antes de emitir sua opinião.

A filosofia de auditoria em tecnologia de informação está calcada em confiança e em controles internos. Estes visam confirmar e os controles internos foram implementados e se existem; caso afirmativo, se são efetivos.

As atividades de auditoria de tecnologia de informações, além de tentar utilizar os recursos de informática para auditar o próprio computador, também visam automatizar todos os processos de auditoria. Como em qualquer outra atividade, as empresas de auditoria também buscam um diferencial competitivo. Entre outros objetivos, consideram-se:

a)melhorar a eficiência e reduzir os custos;

b)melhorar a qualidade do trabalho de auditoria, reduzindo, assim, os níveis de risco de auditoria;

c)atender às expectativas dos clientes, que esperam de seus auditores o mesmo grau de automatização que utilizam em seu próprio negócio;

d)preparar-se para a globalização dos negócios, que vem exigindo uma globalização dos auditores;

e)manter-se entre as maiores e mais reconhecidas pelo mercado.

Os benefícios da automação compreendem, entre outros:

  • treinamento de pessoal e superação de resistências à tecnologia;
  • decisão de quais tarefas devem ser automatizadas primeiro;
  • avaliação, escolha e implantação de softwares e hardwares;
  • gerenciamento dos arquivos eletrônicos: dispositivos de segurança e backup;
  • disponibilização de equipamentos para toda a equipe de auditores, podendo trabalhar em redes;
  • instalação e manutenção de uma malha de comunicações;
  • maior transferência de conhecimento entre os membros da equipe e entre trabalhos de equipes diferentes;
  • independência das limitações impostas pelos arquivos de auditoria em papel;
  • economia de tempo nas atualizações;
  • melhor qualidade na apresentação;
  • liberação de funcionários mais experientes para que se dediquem a áreas mais técnicas e de maior risco;
  • agregação de valor ao trabalho de auditoria;
  • formação de equipes virtuais (groupware), maximizando a especialização;
  • fluxo de informações mais rápido;
  • maior satisfação profissional;
  • maior respeito pelo auditado;
  • maior produtividade;
  • realização das tarefas sem a automatização pelos profissionais menos experientes. Antes somente poderiam ser executadas por profissionais mais experientes

2.3.   ABORDAGEM DE AUDITORIA DE SISTEMAS DE INFORMAÇÕES

Para auditar as informações em ambiente de tecnologia de informação, o auditor poderá desenhar as abordagens que lhe convêm. As abordagens mais comuns são: abordagens ao redor do computador; através do computador; e com o computador.

A auditoria tradicional sempre foi conhecida por sua responsabilidade nos testes de confiabilidade dos registros de acordo com os documentos-fonte (os documentos que geram todas as transações econômicas, financeiras e contábeis) disponíveis através de quaisquer dados intermediários que possam existir e para os quais são produzidos relatórios para a tomada de decisões gerenciais. Porém, devido à evolução da tecnologia da informação, que interfere nas tecnologias gerenciais, geração a geração, é necessário guardar as informações para que sejam acessíveis para auditoria quando forem requisitadas. Sabe-se que, devido à complexidade dos ambientes e expansão dos negócios que atingiram implementações em ambiente de intranet e internet, há grandes problemas quanto à vulnerabilidade de computadores e alguns casos comuns de fraudes.

Dependendo da sofisticação do sistema computadorizado, em que se supõe que o auditor seja operativo, e considerando as características do auditor de tecnologia de informações, este pode usar qualquer das três abordagens nomeadas a seguir : (1) a abordagem ao redor do computador; (2) a abordagem através do computador; e (3) a abordagem com o computador.

2.3.1.     Abordagem ao redor do computador

Auditoria ao redor do computador no passado era uma abordagem muito solicitada pelos auditores, devido ao não envolvimento de muito tecnologia de informação. A abordagem requer que o auditor exame os níveis de anuência associados à aplicação dos controles organizacionais, no que concerne à tecnologia de informação.

Isso significa a auditoria de documentos-fonte com as funções de entrada subjacentes e dominando as funções de saída, que se encontram em formatos de linguagem legível por leigos em informática; pouca ou nenhuma atenção é prestada às funções de processamento. O sistema de processamento eletrônico de dados nesta era foi somente usado para tarefas menores, tais como obtenção de níveis de estoque e sugestões para realimentação quando forem reais. As operações simples, tais como o isolamento de estoques com pouca movimentação e estoques obsoletos, também são executadas pelos computadores às funções de impressão dos relatórios.

Há geralmente um questionamento quanto à operação deste método no qual se indaga uma boa prática de auditoria. Todavia, a dificuldade para decidir-se deu-se devido à capacidade de tais sistemas serem programados para executarem operações contábeis simples e os auditores conduzirem como tarefas, avaliando simples entradas e saídas dos sistemas. Deve-se notar que, apesar de essa abordagem não ser tão apropriada para ambiente complexos, ela ainda é bastante conveniente para sistemas menores, onde a maior parte das atividades de rotina é executada manualmente.

Conforme cita Milko[1970], “esta abordagem é baseada na asserção de que os inputs de sistemas podem ser tidos como corretos se os resultados do sistema refletirem com precisão todos os dados-fonte. Então o output também deve ser correto e as formas pelas quais o sistema processou os dados têm pouca consequência”. Ressalta-se que, até o presente , utilizando-se desta abordagem , os auditores tomaram pouco ou nenhum envolvimento com os registros gerados pelo computador. O que os faz gerar “query”; rastrear dados etc. entrados no sistema, sem tocar nos programas propriamente ditos.

Certas vantagens são associadas ao uso desta abordagem. São elas:

  1. não se exige conhecimento extenso de tecnologia de informação para que o auditor possa operar convenientemente este método, e isto faz com que as técnicas e ferramentas de auditoria sejam válidas;
  2. também sua aplicação envolve custos baixos e diretos;

As desvantagens no uso são:

  1. restrição operacional quanto ao conhecimento de como os dados são atualizados faz com que a auditoria seja incompleta e inconsistente, uma vez que o processo operacional é dinâmico, atendendo às necessidades sociais;
  2. a eficiência operacional de auditoria pode ser avaliada com maior dificuldade, visto que não há parâmetros claros e padronizados;
  3. uma vez não sendo necessário que o auditor possua maior capacidade profissional adequada no que se refere à tecnologia de informação , e para capacitá-lo a executar uma revisão mais lógica , o sistema pode ser enquadrado em limites de grande risco, quando houver uma evolução e os documentos-fonte saírem de seu controle;
  4. as avaliações de tecnologia de informações, seja ambiente de uso pequeno, significativo ou complexo, não importa, se executar algum procedimento de auditoria que exclua as Unidades Centrais de Processameto (CPU) e suas funções aritmética e lógica , não se pode afirmar que tal abordagem de auditoria tenha sido representativa e global de toda tecnologia da informação daquela organização. Assim, as decisões tomadas baseadas em relatórios de tais auditorias podem ser distorcidas.

2.3.2.     Abordagem através do Computador.

O uso desta abordagem envolve mais do que mera confrontação de documentos-fonte com os resultados esperados, uma vez que os sistemas têm evoluído muito. No entanto, este método alerta quanto ao manuseio de dados, aprovação e registro de transações comerciais, sem deixar evidências documentais razoáveis através dos controles de programas construídos junto aos sistemas. Por esta razão, o auditor precisa acompanhar o processamento através e dentro do computador.

A abordagem melhor o método de auditoria ao redor do computador. Assim, auditando com esse método, uma pessoa poderia requisitar, de muitas maneiras, como é praticado na abordagem ao redor do computador, a verificação dos documentos-fonte com dados intermediários; porém, estabelece o auditor maior ênfase em todas as técnicas que utilizam o computador como uma ferramenta para testar a si próprio e, também, testar a entrada de dados.

As pessoas a favor do uso de abordagem através do computador apoiam o uso de test data. É o processamento de um dispositivo capaz de simular todas as transações possíveis.

As vantagens do uso desta abordagem são:

a)capacita melhor o auditor a respeito de habilidade profissional no que tange a conhecimento de processamento eletrônico de dados;

b)capacita o auditor a verificar com maior frequência as áreas que necessitam de revisão constante

As desvantagens do uso são:

a)se a operação for efetuada incorretamente, pode levar a perdas incalculáveis;

b)o uso da abordagem pode ser caro, principalmente no que diz respeito ao treinamento de auditores, aquisição e manutenção dos pacotes de software;

c)partindo do pressuposto de que os pacotes são completos, podem estar errados. As técnicas manuais podem ser necessárias como complementos para que a abordagem funcione efetivamente;

d)há risco de que os pacotes possam estar contaminados pelo uso frequente na auditoria organizacional.

2.3.3.     Abordagem com o computador

A primeira opção – abordagem ao redor do computador – não é eficiente devido ao fato de que negligencia algumas das qualidades dos controles internos dos sistemas e propicia falta de disponibilidade de testes substantivos convincentes que visam ajudar na conclusão sobre os sistemas. A segunda opção – a abordagem através do computador -, preferida como superior à primeira, pode também produzir registros incompletos. Ao invés de efetuar uma verificação de equilíbrio com as ferramentas, ela tende a negligenciar os procedimentos manuais, deixando incompleta a maioria das tarefas normalmente efetuadas manualmente.

Devido às razões citadas, as firmas de auditoria e pesquisadores da área contábil propuseram um meio de auditar as tecnologias de informações com a maior perfeição possível, utilizando a abordagem com o computador completamente assistida.

Faz-se uma compilação do processo. Assim agindo, parece que certos objetivos têm sido alcançados. São eles:

  1. A utilização das capacidades lógicas e aritméticas do computador para verificar se os cálculos das transações econômicas e financeiras ou aqueles que dizem respeito às responsabilidades, como, por exemplo, o cálculo das depreciações, taxas e impostos, multiplicações e contabilizações (footings), são feitos corretamente;
  2. a utilização das capacidades de cálculos estatísticos e de geração de amostras que facilitem confirmações de saldos necessários para aferir a integridade de dados de contas a receber , estoques imobilizados, advogados, entre outros;
  3. a utilização de capacidades de edição e classificação do sistema computadorizado, a fim de ordenar e selecionar os registros de contabilidade. Por exemplo, através da varredura de base de dados de sistema de estoque, um auditor pode ser capaz de apontar com precisão os itens de movimento mais vagaroso, obsoletos, e isolá-los dos itens de movimento rápido, para facilitar análises mais complexas e substantivas;
  4. a utilização das capacidades matemáticas do computador para analisar e fornecer listas de amostras de auditoria. Pode, também, incluir a confirmação dos resultados de auditoria executada manualmente, como dos cálculos globais.

Uma grande facilidade do uso desta abordagem é a disponibilidade e uso vantajoso de:

  1. capacidades de auditoria de aplicar Técnicas de Auditoria Assistida por Computador (TACC), em outros momentos chamadas de CAAT (Computer Assisted Audit Techniques);
  2. possibilidades de desenvolver programas específicos para serem usados pelo auditor quando da necessidade de evidenciar uma opinião sobre o processo contábil;
  3. ganhar tempo sobre os passos aplicados com o uso de pacote generalizado de auditoria de tecnologia de informação.

2.4.   ORGANIZAÇÃO DE TRABALHO DE AUDITORIA DE TI

O processo de organização dos trabalhos de auditoria de tecnologia de informação segue a norma de execução de trabalhos, o principal componente das normas de auditoria geralmente aceitas. Vale recapitular que essa norma contempla: planejamento de auditoria, avaliação de riscos de auditoria, supervisão e controle de qualidade, estudo e avaliação do sistema contábil e de controles internos e aplicação dos procedimentos de auditoria, documentação da auditoria, avaliação formal dos negócios da entidade, aplicação de amostragem estatística, entre outros. Para simplificar o entendimento , adotam-se as seguintes estruturas didáticas: planejamento; escolha da equipe, programação da equipe; execução e documentação de trabalho; supervisão em campo; revisão dos papeis de trabalho, conclusão e emissão (follow-up) de relatórios; atualização do conhecimento permanente e avaliação da equipe. Ressalta-se que o mesmo processo efetuado convencionalmente se adapta à auditoria de tecnologia de informações. A única diferença é que cada uma dessas etapas pode ser automatizada por meio dessas ferramentas de produtividade para o controle dos trabalhos do auditor.

2.4.1.     Planejamento

A atividade de planejamento em auditoria de sistemas de informações é imprescindível para melhor orientar o desenvolvimento dos trabalhos. Como o trabalho de auditoria representa processo contínuo de avaliação de risco ao qual se adicionam as experiências individuais dos profissionais e a evolução da prática e metodologias, aliadas aos resultados dos trabalhos e processos de negócio anteriormente, objetos de avaliação dos auditores , o planejamento é caracterizado para evitar quaisquer surpresas que possam acontecer tanto nas atividades empresariais, objeto de auditoria, como também em relação à responsabilidade dos auditores. Desde os primeiros trabalhos deve ser desenhada uma "Matriz de Risco" que seja permanentemente atualizada a partir dos resultados obtidos nos testes e nas avaliações dos auditores, assim como do impacto das mudanças ocorridas no negócio resultantes de alterações de estratégias empresariais, evoluções tecnológicas, concorrência, mudanças estatutárias, legislações, mudanças nas leis ambientais, social e econômica ou qualquer outro fator que tenha reflexo nas demonstrações financeiras, continuidade operacional , qualidade dos controles e, sobretudo, nos processos operacionais.

2.4.2.     Escolha da Equipe

Um planejamento detalhado e atualizado com base nas principais mudanças do negócio permite indicar o perfil básico da equipe de auditoria de TI, o qual contempla o seguinte:

  • perfil e histórico profissional;
  • experiência acumulada por ramos de atividade;
  • conhecimentos específicos;
  • apoio do grupo de especialização;
  • formação acadêmica;
  • línguas estrangeiras;
  • disponibilidade para viagens

2.4.3.     Programar a equipe

O encarregado de auditoria deve programar a equipe para executar os trabalhos. A programação de uma equipe de auditores com o perfil adequado para a realização do trabalho previsto não é suficiente para garantir que todos os riscos de auditoria sejam minimizados pelos testes de auditoria; no entanto, devem-se observar as habilidades que permite:

a.gerar programas de trabalho que extraiam dados corretos para testes;

b.selecionar procedimentos mais apropriados;

c.incluir novos procedimentos;

d.classificar trabalhos por visita;

e.orçar tempo e registrar o real;

f.evidenciar corretamente os trabalhos realizados; utilizando-se softwares de amostragens estatísticas, entre outros, para otimizar os trabalhos

g.gerar relatórios em consonância com os trabalhos efetuados

2.4.4.     Execução de trabalhos e supervisão

As tarefas devem ser realizadas por auditores que tenham formação, experiência e treinamento adequados no ramo de especialização. Dependendo da complexidade do ambiente operacional, aparente risco envolvido, os trabalhos serão desenvolvidos conforme vivência profissional, ou seja, tarefas mais simples e de menor risco serão desempenhadas por membros menos experientes, e aquelas mais complexas e de maior risco responsabilidade dos membros mais experientes e de melhor formação da equipe. A questão de supervisão é inerente ao processo de auditoria para garantir a qualidade e certificar que as tarefas foram adequadamente feitas. Isto permite cobrir os riscos prováveis identificados.

2.4.5.     Revisão dos Papeis de trabalhos

Como tarefa de atingir a qualidade exigida pelas práticas de auditoria, os papeis de trabalho são revisados pelos superiores, que têm a incumbência de assinar junto com seus subordinados o cumprimento de cada passo de auditoria concluído. Eventualmente, em decorrência dos trabalhos de auditoria, falhas ou recomendações para melhorias são identificadas e limitam a conclusão do auditor, assim como determinados procedimentos que não tenham sido concluídos por restrições do próprio cliente. No entanto, o revisor, não identificando outros passos de auditoria independentes, poderá solicitar uma nova visita para completar os trabalhos. Contudo, para as pendências de revisão, deve ser analisado o reflexo do aumento ou alteração do escopo, novos trabalhos, nova abordagem, impacto no parecer final, na carta de representação da gerência.

Ao revisar os papeis quando se adota a estratégia de Paperless Audit, a intenção das ferramentas de workflow é fundamental para garantir a integridade do processo de revisão dos papeis. A utilização de soluções de papeis eletrônicos adicionam-se recursos de automação do processo de emissão de relatórios. Isso desde a emissão das demonstrações financeiras até a carta de comentários de melhorias de controles internos. A integração com aplicativos gráficos, e-mail, formulários classificados eletronicamente é predefinida com campos que identificam responsáveis e níveis de autorização para acessos, prazos, fluxos de aprovação geralmente otimizam os trabalhos de auditoria de tecnologia de informação, evitando que o próprio auditor elimine deliberadamente as pendências de auditoria.

2.4.6.     Atualização do conhecimento permanente

O conhecimento em determinado período de auditoria, dito como aquele que muda com pouca frequência, sempre é fundamental e server como ponto de partida para o período subsequente. A manutenção em forma eletrônica, a documentação da descrição e a avaliação do ambiente de controle interno, controles gerais e dos sistemas aplicativos e processos de negócio contribuem para a redução das horas de auditoria do período seguinte.

Dentre as informações relevantes destacam-se:

a.Descrição do processo de negócio;

b.Levantamento e avaliação do ambiente de controle;

c.Documentação e conclusão sobre a avaliação dos controles dos processos relevantes;

d.Matriz de risco que pontue riscos aparentes para todos os principais componentes da demonstração financeira;

e.Exceções dos testes;

f.Falhas ou fraquezas nos testes de controle internos;

g.Programas de trabalho

2.4.7.     Avaliação da Equipe

A fim de garantir a evolução e o aprimoramento técnico dos profissionais da equipe de auditoria de TI, deve-se avaliar o desempenho, elogiando os pontos fortes do auditor, auxiliar no reconhecimento das fraquezas e na elaboração de um plano para superá-las para que se desenvolva um profissional qualificado e consciente. Como é de praxe, para cada trabalho no qual um profissional é programado, o sistema que controla a programação emite eletronicamente uma avaliação de desempenho já preenchida pelo superior, isto é fundamental para nortear a promoção ou não do profissional.

2.4.8.     Documentação dos papeis de trabalho

Os papeis de trabalho constituem um conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas, com seus anexos que evidenciem os fatos relatados; se esses anexos forem provas documentais, podem ser escaneados para serem documentados eletronicamente. Eles contêm informações coligidas durante o teste, os procedimentos executados e as opiniões formadas sobre o objeto de auditoria.

Tais papeis, independentemente de seu enfoque ser sistêmico ou manual, deve ser autossuficientes e não devem necessitar, subsequentemente, de explicações verbais e adicionais do preparador a fim de detalhar a metodologia adotada.

Os papeis de trabalho sistêmicos são guardados em base de dados. Essas bases de papeis constituem informações de planejamento, execução, monitoramento e revisões, follow-up, controles do usuário do sistema e senhas e alguns recursos de auxílio ao usuário. Mantêm as seguintes figuras: sócios ou sócios independentes, encarregados, supervisores ou gerentes, assistentes ou seniores, cada um tendo suas telas cadastradas para exercer suas funções de administração dos serviços de auditoria, conforme segregação das funções que pode ser feita local ou remotamente por meio de notebooks ligados fora dos escritórios e em lugares distantes.

  • Sócio: o responsável pelos serviços de auditoria que terá acesso a todas as telas e documentos registrados sobre a auditoria cadastrados nos sistemas como revisor de qualidades do serviço como um todo. Com sua autorização, dá-se o aval sobre o encerramento dos serviços da auditoria iniciados;
  • Encarregados supervisor ou gerente: chefe da equipe de auditoria que geralmente deve cadastrar os dados referentes à identificação da auditoria no sistema, tais como o nome, a equipe participante e as unidades auditáveis, os programas da auditoria serem utilizados, a data de início e fim e os check-lists de monitoramento. Levanta as pendências referentes aos passos de auditoria cumpridos para serem atendidos no processo de revisão dos trabalhos. Note-se que somente ele tem acesso para assinalar o cumprimento ou não das pendências que devem ser observadas pelos subordinados;
  • Preparador ( assistente ou sênior de auditoria): capta informações e diretrizes da auditoria no banco de dados central, levanta informações comprobatórias para cumprir os passos de auditoria efetivando os testes, após os quais atualiza o banco.

Ressalta-se que para a implementação desta abordagem a firma de auditoria pode desenvolver seu próprio software ou adquirir softwares generalistas de automação de auditoria disponíveis no mercado.

2.5.   CONTROLES ORGANIZACIONAIS E OPERACIONAIS

Os controles organizacionais e operacionais são os controles administrativos instalados nos processos e fluxo das transações econômicas e financeiras dos sistemas de informações, auxiliando-os na consecução dos objetivos dos negócios. A efetividade deste controle depende da experiência organizacional dos gestores, uma vez que exige demonstração de práticas e habilidades gerenciais. Poucas são as interferências e as influências externas que afetam a implementação dos controles.

A responsabilidade de controles organizacionais repousa, entre outras, nas seguintes tarefas:

  • delineamento das responsabilidades operacionais;
  • coordenação de orçamento de capital de informática e bases;
  • desenvolvimento e implementação das políticas globais de informática;
  • intermediação com terceiros (networking);
  • gerenciamento de suprimentos;
  • desenvolvimento de plano de capacitação.

Os gestores, na medida do possível, tentam delinear as funções para, em, primeiro lugar, identificar responsabilidades para todas as tarefas realizadas na organização e, em segundo lugar, amenizar conflitos que certamente surgirão no decorrer do dia a dia operacional. Esse desmembramento das atividades é caracterizado por segregação das funções, cargo chefe dos controles organizacionais. A segregação de funções compatíveis é uma medida de controle para enfatizar o evangelho de responsabilidades, fazendo com que cada um seja cobrado por suas tarefas de acordo com seus resultados. Esse controle geral é vital tanto no ambiente manual como no ambiente computadorizado. Entretanto, a segregação de funções (autorização, gravação e acesso para ativos) pode não ser efetivamente possível em um ambiente de computador. Por exemplo, um computador pode imprimir cheques, promover o registro de desembolsos, gerar informação para reconciliar o saldo de conta, costumeiramente, atividades que são segregadas em um processo manual. Se a mesma pessoa origina os dados para transações críticas como essas, processa e recebe os resultados para tomada de decisões, uma fraqueza de controle significante existe. De forma adequada, não deveriam existir duplicidade de tarefas.

Para que os controles organizacionais sejam efetivos, deve haver lealdade e confiança mútua entre a empresa e funcionários. Os funcionários deve ser tratados com respeito, justiça e, sobretudo, honestidade; deve-se fazer com que eles percebam que é assim a cultura da empresa, evitando-se percepção da falta de motivação que fomenta ingerência. Salários baixos e condições subumanas de trabalho podem propiciar o descumprimento dos controles organizacionais da área de informática que, normalmente, devido à natureza das atividades, tem acesso privilegiado às informações estratégicas da empresa.

2.5.1.     POLÍTICAS ORGANIZACIONAIS
Embora exista ambiente complexo de computação que acompanhe todas as tendências de tecnologia de informação de que o estabelecimento precisa, isto por si não garante segurança se as políticas organizacionais e operacionais não forem implementadas com rigor. No ambiente de alta tecnologia, quando se segregam as funções, apenas dificulta-se a propensão para fraudes dos fluxos operacionais. Portanto, os ciclos operacionais, que têm tarefas de originar as transações e as autorizações segregadas, para que ocorra fraude, necessitariam de conivências de mais de duas pessoas, ao invés de concentrar todos o ciclo de transações críticas na mão de apenas um.  Deve-se ressaltar que os usuários finais apenas precisam de acesso aos dados, aplicações e funções para atender somente a suas atribuições de tarefas e nada mais.

Entretanto, para que os objetivos administrativos sejam alcançados, é imprescindível estabelecer claramente as políticas de tecnologia de informações e, a partir dessas, cabe aos gerentes traduzir isso em linguagem operacional através de procedimentos administrativos, detalhando inclusive as definições e os princípios, evitando-se dupla interpretação. De acordo com ênfases dadas pela organização, sistemas e métodos, cada procedimento administrativo deve descrever quais são as entradas do ciclo operacional, o processamento a ser feito e os resultados que este deverá proporcionar ao próximo ciclo. A título de exemplo, encontram-se a seguir as políticas de responsabilidade e de continuidade dos negócios.

2.5.1.1.           Políticas de Responsabilidades

Objetivos

Definir a responsabilidade da gerência e de todos a respeito de manipulação e salvaguarda dos ativos da organização no processo de geração de riquezas;

Princípios

A organização deve identificar e proteger os ativos considerados críticos para as operações. Ativos intangíveis e tangíveis, atentando para sua depreciação ou exaustão, inclusive de sua reposição. A gerência tem responsabilidade sobre os ativos que estão sob sua guarda; no entanto, deve estabelecer procedimentos administrativos para garantir sua proteção.

Políticas

Gerência em qualquer nível da organização tem responsabilidade de proteger os ativos da organização que incluem: pessoa, propriedades intelectuais, hardwares, softwares, dados e informações. A gerência também é responsável por:

  • Identificação de ativos críticos sob sua responsabilidade e implementação de procedimentos de controles;
  • Implementação de sistemas seguros para atender às políticas de tecnologia de informações;
  • Desenvolver os procedimentos de conscientização em todos os níveis da organização;
  • Promover a revisão dos procedimentos existentes periodicamente, atentando para correção de falhas ou fraquezas.
  • Relatar estado da arte, apontando abusos e transgressões em tempo hábil para facilitar a implementação de medidas punitivas. Essas punições devem estar disponíveis e já conhecidas pelos colaboradores através do processo de conscientização.

2.5.2.     POLITICAS DE CONTINUIDADE DOS NEGÓCIOS ( BUSINESS CONTINUITY PLAN – BCP)

Objetivo

Assegurar que há planos para minimizar impactos de desastres que resultam na interrupção das operações normais da organização devido à falta de sistemas de informações.

Principio

As políticas de continuidade dos negócios, também conhecidas por plano de contingencias e de recuperação, provêm alternativas para o processamento de transações eletrônicas e financeiras das organizações em casos de falhas graves de sistemas ou desastres. Esse plano deve ser monitorado e testado periodicamente para garantir sua prontidão para operar.

Política

As políticas incluem:

  • Gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderia ficar sem o sistema;
  • Gerencia deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de backup e sua periodicidade;
  • O BCP deve ser desenvolvido e documentado e ter as manutenções atualizadas para garantir as operações pós-desastres.

2.5.3.     DESCRIÇÃO DOS CARGOS

As descrições de cargos e funções possibilitam implementação consistente de controles organizacionais da área de TI. Eles estão:

Supervisão da infraestrutura de TI: contempla as seguintes funções:

  1. Atuar junto à gerência de TI, definindo e propondo metas e soluções, de modo que toda a infraestrutura de informática da empresa esteja sempre no patamar tecnológico e funcional adequado para as necessidades desta pasta
  2. Planejar e avaliar a capacidade da estrutura existente, indicando a adoção de novas tecnologias colocadas à disposição no mercado;
  3. Definir e buscar recursos para o crescimento e ampliação do ambiente;
  4. Coordenar ações de implementação de projetos e metas aprovadas pela gerência de TI;
  5. Garantir a integração das equipes técnicas disponibilizadas para realizar os serviços de gerenciamento de rede e suporte aos usuários;
  6. Implementar junto à equipe técnica os projetos e metas definidas pela gerencia de TI;
  7. Garantir o perfeito funcionamento de todo o ambiente de informática, através das equipes técnicas, reportando falhas e ações corretivas á gerencia de TI;
  8. Manter e garantir o máximo sigilo sobre todas as informações referentes à rede da empresa.

Administração de Redes: as funções são as seguintes:

  1. Administrar, supervisionar e acompanhar as facilidades das instalações de rede;
  2. Instalar, administrar e dar suporte de forma adequada aos servidores Microsoft, Linux entre outros, da empresa e das suas unidades interligadas;
  3. Instalar, administrar e dar suporte aos servidores de e-mail, DNS, firewall e proxy da empresa e das unidades interligadas nas plataformas utilizadas;
  4. Administrar de forma adequada as contas dos usuários e as devidas permissões de acesso às informações;
  5. Garantir privacidade, integridade e confiabilidade dos dados contidos nos servidores;
  6. Implementar, administrar e realizar de forma adequada as políticas de backup da rede;
  7. Gerar documentação da configuração da rede, bem como relatórios de atualizações e ocorrência dos servidores;
  8. Monitorar o desempenho da rede e solucionar possíveis problemas de performance e falhas de conectividade
  9. Traçar as diretrizes para o perfeito funcionamento da rede (servidores, equipamentos ativos e estações de trabalho etc.) e administrar os serviços específicos que venham a ser contratados para as áreas de rede;
  10. Planejar e determinar a emissão de relatórios e quadros estatísticos referentes à utilização da rede, apontando seus pontos críticos e, consequentemente, adotar ou propor soluções;
  11. Auxiliar no planejamento, implementação e acompanhamento de novos projetos de rede;
  12. Adotar as ações necessárias à implantação de novas tecnologias, aprovadas pela gerência de TI;
  13. Avaliar a estrutura física e lógica da rede, adequando-a às novas tecnologias;
  14. Manter toda a infraestrutura de rede, servidores, sistemas operacionais, dispositivos de conexão em perfeito funcionamento e atualizados;
  15. Supervisionar manutenção preventiva e corretiva, realizadas por terceiros, nos componentes da rede;
  16. Oferecer suporte às demais áreas técnicas quando da instalação e da configuração de qualquer software no ambiente;

Administração de banco de dados: as funções incluem:

  1. Administrar todo o ambiente de banco de dados, oracle, sql server, entre outros;
  2. Planejar e implementar as estratégias de utilização dos bancos pelas pessoas, sistemas ou programas;
  3. Manter ativo e em operação os sistemas elaborados em Oracle, SQl server entre outros;
  4. Implementar ajustes, melhorias e modificações quando surgirem novos avanços tecnológicos;
  5. Realizar suporte técnico aos usuários do ambiente;
  6. Manter rigoroso sigilo sobre as informações da empresa que eventualmente sejam acessadas;
  7. Planejar e executar o backup dos servidores de banco de dados
  8. Administrar as contas dos usuarios da empresa para acesso ao ambiente de Banco de Dados, Oracle, SQl Server e outros
  9. Dar suporte aos usuários do ambiente de banco de dados, oracle, sql server e outros, exceto os sistemas em produção;
  10. Planejar e determinar a emissão de relatórios e quadros estatísticos referentes à utilização do ambiente de banco de dados, Oracle, Sql server e outros, apontando seus pontos críticos e, por consequência, adotar ou propor soluções.
  11. Administrar a documentação do ambiente de banco de dados, Oracle, Sql Server e outros.

Administração de Dados: coordena atividades dentro do departamento de administração de ados, Auxilia na definição de dados que cada usuário necessita para processar seu aplicativo. Adicionalmente, ajuda os analistas de sistemas na alocação de dados para os sistemas que esteja desenvolvendo. Também ajuda o administrador de segurança de sistemas na alocação de acessos aos arquivos de dados para aplicações tanto a acesso interno como em relação a acesso remoto.

Administração de Segurança: as funções são as seguintes:

  1. Implementar a POSIC para a empresa;
  2. Detectar possíveis invasões ou ameaças, realizando ações corretivas, seguindo a determinação da política de segurança de informações;
  3. Testar e determinar pontos de vulnerabilidade na rede e na política de segurança adotada, realizando ações corretivas ou informando aos administradores responsáveis;
  4. Manter a estrutura de segurança atualizada e customizar o sistema de segurança de acordo com a política;
  5. Garantir a privacidade, integridade e confiabilidade dos dados contidos nos servidores;
  6. Pesquisar novas falhas de segurança dos sistemas operacionais e produtos utilizados pela empresa;
  7. Gerar e manter documentação atualizada;
  8. Gerar material de apoio visando a disseminação da cultura de segurança da informação;
  9. Pesquisar novas soluções de segurança;
  10. Manter e garantir o máximo sigilo sobre todas as informações referentes à rede da empresa.

Análise, programação e manutenção de Sistemas: especificamente, são qualificados para analisar e projetar os sistemas de informação. Eles inspecionam o sistema existente, analisam as exigências de informação da organização e designam sistemas novos para satisfazer a essas necessidades. Essas especificações de desenho guiarão a preparação de programas específicos por programadores. Na questão de segregação de funções, analistas de sistemas não deveriam programar a tarefa ou ter acesso a programas em ambiente de produção, arquivos de dados e manuseio dos controles de entrada de dados, processamento e de emissão de relatórios. Os programadores projetam, escrevem, testam e documentam os programas específicos desenvolvidos pelos analistas. Programadores e analistas podem modificar programas, dados, arquivos e controles indevidamente; não deveriam ter nenhum acesso ao ambiente de produção, tampouco a arquivos ou cópias de programas usadas em produção. As funções comtemplam:

  1. Projetar e desenvolver sistemas necessários, de acordo com determinação da gestão de TI utilizando o banco de dados, Oracle, Sql Server e outros, suas ferramentas auxiliares, e outras que venham a ser definidas pela gerência de TI;
  2. Implementar sistemas corporativos utilizando como linguagens de programação o visual o aspx e o java nas versões mais atualizadas;
  3. Realizar os trabalhos de análise e elaboração de especificação funcional e técnica e elaborar a sua respectiva documentação para os sistemas a serem desenvolvidos;
  4. Na questão das implementações de sistemas para web, interagir com o web designer de forma a estabelecer uma total integração entre o designer e a programação inserida nas páginas do site;
  5. Corrigir falhas decorrentes de erros humanos ou técnicos dos sistemas, mantendo um serviço permanente de acompanhamento e verificação dos programas;
  6. Corrigir falhas decorrentes de erros humanos ou técnicos dos sistemas, mantendo um serviço permanente de acompanhamento e verificação dos programas;
  7. Executar a programação, os testes de validação e a  implantação dos sistemas desenvolvidos;
  8. Manter a documentação funcional e técnica do sistema sempre atualizada durante a fase de desenvolvimento, implantação e manutenção;
  9. Implementar ajustes, melhorias e modificações quando surgirem novos avanços tecnológicos, ou em consequência de mudança das regras de negócio praticadas;
  10. Realizar suporte aos usuários do ambiente e das aplicações desenvolvidas;
  11. Garantir cursos de operação e reciclagem aos usuários dos sistemas desenvolvidos;
  12. Fornecer manuais dos sistemas ou suas atualizações, mantendo o controle sobre eles;
  13. Manter rigoroso sigilo sobre informações da empresa a que eventualmente possam ter acesso;
  14. Manter documentados todos os sistemas desenvolvidos pela área;
  15. Manter os programas fonte originais e suas novas versões em local adequado e seguro;
  16. Definir o projeto e a arquitetura de sistema no caso de contratação de empresa especializada para a sua implementação

Design para Web: as funções são as seguintes:

  1. Analisar o site de Internet a ser implementado e propor linhas de design adequado com os seus objetivos e o público-alvo;
  2. Implementar as soluções de design propostas e aprovadas pelas áreas responsáveis pela implementação dos sites;
  3. Interfacear com a equipe de implementação de sistemas para web de forma a integrar o design com os programas elaborados para a consolidação das páginas que compõem o site na web;
  4. Realizar manutenções das páginas dos sites da empresa;
  5. Estabelecer e manter uma política de atualização visual dos sites da empresa;
  6. Pesquisar, avaliar e propor a adoção de novas ferramentas de design disponibilizadas no mercado.

Operador de Console: os operadores de console são responsáveis pelo processo atual de dados, conforme manual de operações e mensagens recebidas dos sistemas (pode ser emitido em forma de hardcopy para revisão pelo grupo de controle). Eles carregam dados, montam dispositivos de armazenamento e operam os equipamentos compartilhados ou gerenciados em forma na rede, normalmente em ambiente de grande porte. Os operadores de console não deveriam ser nomeados para as tarefas de programação ou responsabilidade por projeção de sistemas. Portanto, não deveriam ter nenhuma oportunidade para fazer mudanças em programas e sistemas em ambiente de produção. Idealmente, os operadores de computador não deveriam ter conhecimento de programação, Somente teriam acesso à documentação estritamente necessária para seus trabalhos.

Operadores de conversão de dados: executam as tarefas de preparação de dados e transmissão, por exemplo, conversão de dados fonte para fita magnética, CD ou DVD e entradas de transações de terminais remotos.

Bibliotecários: mantêm controle sobre a responsabilidade de se documentar programas e arquivos de dados. Bibliotecários não deveriam ter nenhum acesso a equipamento ou deter habilidades para perpetuar fraude.

Suporte técnico: as funções são as seguintes:

  1. Realizar a manutenção preventiva e corretiva de dados de todos os equipamentos instalados na empresa, e dos que venham a ser adquiridos;
  2. Encaminhar, quando necessário, os equipamentos com defeito para a oficina e/o laboratório próprio, ou da contratada, ou do fabricante (nos casos de garantia) para realizar a manutenção corretiva
  3. Realizar todo o inventário de hardware e software;
  4. Manter informado o encarregado de suporte sobre o andamento dos trabalhos;
  5. Instalar e conectar à rede novos microcomputadores, bem como mudanças de localização dos conectados;
  6. Instalar, remanejar e manter a estrutura de cabeamento da empresa;
  7. Instalar, configurar e dar suporte em todos os sistemas operacionais, utilitários e aplicativos utilizados pelos usuários da empresa;
  8. Realizar periodicamente inspeção preventiva nos cabos, conectores, equipamentos de comunicação e placas de rede dos microcomputadores;
  9. Controlar a disponibilidade de licenças de uso de todos os softwares da empresa, antecipando necessidades;
  10. Realizar o suporte ao uso das ferramentas de automação de escritórios;
  11. Acompanhar cada chamado aberto até sua solução, interagindo com o usuário final e a equipe técnica para que tal solução seja a mais breve possível.
  12. Manter informado o encarregado do suporte sobre o andamento dos trabalhos;
  13. Coordenar o desenvolvimento de sistemas e de avaliação de projetos de informatização;
  14. Coordenar e gerenciar a equipe de desenvolvimento de sistemas, adequando as disponibilidades de recursos com as demandas de implementação de sistemas e as suas respectivas prioridades;
  15. Coordenar todos os trabalhos de análise e elaboração de especificação técnica de sistemas e as suas respectivas documentações;
  16. Gerenciar os trabalhos de desenvolvimento de sistemas da própria SES ou terceirizados;
  17. Propor políticas de utilização de ferramentas de TI na área de desenvolvimento de sistemas;
  18. Analisar e avaliar os projetos de TI, elaborados e apresentados pelas outras unidades da empresa e elaborar pareceres, indicando pontos falhos, quando houver, e as sugestões e recomendações para a correção daqueles;
  19. Assessorar a gerencia de TI em discussões interna s de definição de políticas e ações de TI a serem adotadas pela empresa.

Supervisão de Help Desk: documentar os problemas operacionais. Deve solucionar problemas secundários e os problemas mais difíceis encaminhados aos indivíduos mais técnicos. Uma ajuda efetiva através de help desk deveria minimizar a frustração de usuário e a morosidade operacional por falta de conhecimentos. Deve-se corrigir erros e manter interação do usuário com os sistemas de informação, processando enganos que necessitam correção posterior ou reprises e fracassos para notar alguns e analisar as causas. Entre as funções, podem-se contemplar:

  1. Traçar as diretrizes para o perfeito funcionamento da área de suporte ao usuário, atendimento e manutenção da rede da empresa e seus componentes de hardwares e softwares básicos, definindo e priorizando as manutenções solicitadas pelos usuários e administrando a alocação da equipe de suporte aos usuários;
  2. Planejar e determinar a emissão de relatórios e quadros estatísticos referentes às ocorrências de chamados, apontando seus pontos críticos e, por consequência, adotar ou propor soluções, visando à proatividade;
  3. Auxiliar no planejamento, implementação e acompanhamento de novos projetos da área;
  4. Coordenar os trabalhos da equipe de suporte, de modo que todos os componentes tenham plena capacidade de funcionamento e que o tempo de inatividade por falhas seja o menor possível;
  5. Efetuar o controle dos serviços prestados, através do acompanhamento da solução apresentada pelos técnicos da contratada, e a satisfação do usuário requerente;

Grupo de controle de dados: deve ser independente de desenvolvimento de sistemas, programação e operações. Recebe entradas dos usuários, registra-as, transfere ao centro de processamento monitora o processo de conversão de dados, recebe mensagens de erros e promove as de revisões, compara totais de controle, distribui resultado, e certifica que as correções de erros foram feitas por usuários.

Supervisão de Restart/Recovery: o procedimento operacional de restart/recovery é o processo de tomada de cuidados para evitar a perda de dados no decorrer da geração das transações; portanto, estimula a implementação de recursos que garantam recuperação de dados em casos de parada inesperada dos equipamentos. Significa que os usuários precisam dizer qual o risco de perda de uma informação na geração de negócios. Se a informação não for importante, talvez o custo de gravação e estocagem dessa informação supere seus benefícios. Um centro de processamento de dados deveria ter os planos de recuperação de dados que permitirão reiniciar os programas importantes e arquivos de dados em casos de desastres. O centro deveria criar cópias de arquivos de dados, banco de dados, programas e documentação fora do ambiente de produção.

            São as funções seguintes que devem auxiliar a manutenção dos backups de dados, arquivos, programas e de sistemas:

  1. Gravar os backups atentando para enfoque de avô-pai-filho. A respeito de arquivos , banco de dados, dados programas e sistemas para um período específico, são gravadas três gerações de arquivos-mestres. Esses arquivos-mestre são retidos durante esse período junto com os arquivos de transação. Se a corrente ( o filho ) arquivo é destruída ou é danificada, as informações podem ser reconstruídas usando o pai e rodando o arquivo de transação atual contra isso. Se forem destruídos pai e filho, o avô junto com os arquivos de transação prévios e atuais pode ser usado para reconstruir a informação.
  2. Implementar o procedimento de ponto de checagem. Envolve a captura dos valores de dados e indicadores de programa a pontos especificados e gravando seus valores em outro arquivo. Se o processamento for interrompido num ponto de checagem, pode ser retomado no último ponto de checagem ao invés de recomeçar todo o ciclo de processamento de dados;
  3. Implementar o procedimento de rollback. Envolve a recuperação através de esvaziamento do conteúdo do arquivo-mestre e estruturas de dados associadas sobre um arquivo posterior. No caso de um processamento defeituoso, o arquivo transitório é usado junto com o log de transação para reconstruir outro arquivo;
  4. Recuperar banco de dados. Os sistemas de administração de banco de dados processados on-line possuem recursos para prover o reinício das transações quando houver interrupção , tendo, ainda, facilidades para reconstrução de informação perdida;
  5. Implementar o mecanismo de antes-imagem/depois-imagem captura os valores de dados antes e depois de transação que processa e o arquivo-mestre. Esses arquivos podem ser usados para recriar o banco de dados no caso de perda ou dados corrompidos;
  6. Instalar no-break . Sistemas completamente protegidos têm gerador ou no-break que armazena energia para alimentar os processamentos por algum momento até que se consegue geração de relatórios ou chegar a um ponto de reinício sem prejuízo maior. No entanto, auxilia na prevenção de destruição de dados no tempo de manutenção e perturbações de instalações elétricas ou flutuações de voltagem;
  7. Instalar antivírus. Um vírus de computador e um programa de software que infesta outro programa ou o armazenamento primário de um sistema ( memória principal) alterando sua lógica. Infecção resulta frequentemente na destruição de dados. Vírus duplicam-se com intenção benigna ou maligna. Eles normalmente existem como programas separados, independentes e usam serviços de sistema operacional como os meios de replicação. Ameaças de vírus surgem quando uma organização conecta seus computadores a uma rede desprotegida ou aberta. Para se proteger contra vírus, devem ser implementados três tipos de controles: (i) controles preventivos que incluem adoção de uma política de segurança formal, autorizando somente cópias certificadas, não usando software ou shareware novo sem software antivírus, restringindo acesso e educando os usuários; (ii) controles de detecção incluem instalação de antivírus para fazer varredura  nos arquivos de dados e programas; (iii) controles corretivos, incluem implementação de plano de recovery documentado para recuperação contra um vírus;
  8. Implementar o hot-site e providenciar o cold-site. Um hot-site é uma agência de serviço. É uma facilidade de processo completamente operacional que esta imediatamente disponível, considerando que um cold-site é uma facilidade de concha em que o usuário pode instalar equipamento de computador depressa em caso de contingência.

2.6.   OBJETIVOS DE AUDITORIA

O principal objetivo de auditoria dos controles organizacionais da área de informática é testar a grande essência de controle interno, promover a eficiência das operações e fomentar a maior adesão às políticas prescritas pela gerência ou gestão com maior foco na responsabilidade.

Uma auditoria em sistemas de informação consiste em um processo de verificação de toda a estrutura computacional da empresa, feito por profissionais específicos e capacitados para tal. Eles avaliarão o sistema como um todo e farão um relatório completo sobre a eficácia e o desempenho dele, considerando o que a empresa busca e necessita nessa área. Entre os principais objetivos dessa inspeção estão analisar a eficiência dos processos, garantir a segurança dos dados e assegurar o cumprimento das leis e demais normas que permeiam as ações

3.      CONCLUSÃO

O principal objetivo de auditoria dos controles organizacionais da área de informática é testar a grande essência de controle interno, promover a eficiência das operações e fomentar a maior adesão às políticas prescritas pela gerência com maior foco na responsabilidade.

A auditoria de controle organizacional tem foco no gestor de TI, pois é cobrado o acompanhamento de planejamento estratégico da área de TI. A efetividade dos controles depende da experiência organizacional dos gestores. Este exige demonstração de práticas e habilidades gerenciais em que muitas vezes são reduzidas as interferências e as influências externas.

Um dos propósitos para o uso dos controles organizacionais é o auxílio na consecução dos objetivos dos negócios.

Desta forma, a realização de auditorias constantes e eficientes contribui para a diminuição de possíveis falhas e fraudes presentes nos sistemas de informação e, claro, a melhoria contínua destes pontos, a partir das sugestões dos relatórios. A consequência disso é a garantia da segurança, da integridade dos dados e da qualidade dos serviços que o TI da empresa realiza.

A confiabilidade dos sistemas de informação também é colocada a prova durante uma auditoria. Saber que eles estão seguindo os padrões desejados pela empresa dá mais estabilidade para enfrentar eventuais adversidades e estar à frente das outras no mercado, para inovar e criar novas soluções. Ela também certifica que os sistemas estão seguindo a legislação e outras normas de qualidade, minimizando problemas judiciais que poderiam ocorrer. Aliás, fazer uma auditoria externa (ou seja, feita por pessoas de fora da equipe) ainda contribui para melhorar a credibilidade perante clientes, colaboradores, parceiros e associados. A auditoria de sistemas de informação, atualmente, é imprescindível para qualquer empresa que utilize de recursos computacionais.

4.      REFERÊNCIAS BIBLIOGRÁFICAS

IMONIANA, Joshua O. – Auditoria de Sistemas de Informação – São Paulo: Atlas, 3ª Edição,

2016.

IMONIANA, Joshua O. – Auditoria de Sistemas de Informação – São Paulo: Atlas, 2ª Edição,

2014.

David L. Cannon, CISA: Certified Information Systems Auditor Study Guide, Sybex:2015

ARIMA, Carlos Hideo. Metodologia de Auditoria de Sistemas. São Paulo: Érica

CHAMPLAIN, Jack. Auditing information systems: a comprehensive guide. 2 ed. New York:

John Wiley, 2003.

PIATTINI, Mario. Auditing information Systems. Hershey, EUA: Idea Group, 2000.

RITTENBERG, Larry E. and SCHWIEGER, Bradley J. - Auditing - Concepts for a Changing

Environment - Editora Harcourt Brace College Publishers - Philadelphia, USA.

ARENS, Alvin A. e LOEBBECKE, James K – Auditing – An Integrated Approach, Editora

Prentice-Hall, Inc - Upper Saddle River, New Jersey, USA..

ATTIE, Willian. Auditoria: Conceitos e Aplicações – Ed. Atlas, São Paulo.

ATTIE, Willian. Auditoria Interna – Ed. Atlas, São Paulo.

BAILEY, Larry P. - GAAS Guide – Editora Harcourt Brace & Company - San Diego, USA.

BORGERTH, Vania M. C. – SOX – Entendendo a Lei Sarbanes-Oxley – Ed. Thomson, S.Paulo.

BOYNTON, William C. JOHNSON, R., KELL, Walter G. - Auditoria, Edit. Atlas – São Paulo.

COOK, John W. & WINKLE, Gary M. - Auditoria: Filosofia e Técnica - Saraiva S.A. - Livreiros

Editores - São Paulo.

GRAMLING, Audrey A., RIITENBERG, Larry E. e JOHNSTONE, Karla M.(tradução técnica:

Antonio Zoratto Sanvicente) – Auditoria, Cengage Learning – São Paulo, 2012

THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION – COSO Enterprise Risk Management — Integrated Framework (Sumário Executivo disponível para download em http://www.coso.org/publications.htm)


Autor

  • Eddie Casimiro Dutra

    Graduação em Processamento de Dados - UCB, Pós-Graduação em Segurança em Redes de Computadores - UCB, Servidor Público Federal, Microsoft Certified Systems Administrator - MCSA em Windows 2000 e 2003, Microsoft Certified Systems Engineer - MCSE em Windows 2000 e 2003, Microsoft Certified Database Administrator - MCDBA em SQL Server 2000, CompTIA Security+, Modulo Certified Security Officer - MCSO, Certified Wireless Technology Specialist - CWTS/CWNP, ITIL Foundation Certification - IT Service Management, ISACA Cobit Foundation, Information Security Foundation (based on ISO/IEC 27002), ITSM Foundation (based on ISO/IEC 20000)

    Textos publicados pelo autor

    Fale com o autor


Informações sobre o texto

Este texto foi publicado diretamente pelo autor. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi.

Comentários

0

Livraria