José Alberto Cossa

UNIVERSIDADE EDUARDO MONDLANE FACULDADE DE CINCIAS DEPARTAMENTO DE MATEMTICA E INFORMTICA
TRABALHO DE LICENCIATURA
METODOLOGIA DE AUDITORIA DE SISTEMAS DE INFORMAO ESTUDO DE CASO - INSPECO-GERAL DE FINANAS
Autor: Jos Alberto Cossa
Maputo, Abril de 2010
UNIVERSIDADE EDUARDO MONDLANE FACULDADE DE CINCIAS DEPARTAMENTO DE MATEMTICA E INFORMTICA
TRABALHO DE LICENCIATURA
METODOLOGIA DE AUDITORIA DE SISTEMAS DE INFORMAO ESTUDO DE CASO - INSPECO-GERAL DE FINANAS
Autor: Jos Alberto Cossa Supervisor: Dr. Zeferino Saugene
Maputo, Abril de 2010
Metodologia de Auditoria de Sistemas de Informao
DEDICATRIA
memria do meu Pai, Alberto Ticupa Cossa, pelo seu apoio em todos momentos de minha vida minha me, Albertina Manhengue e aos meus irmos, minha filha Wene.
Trabalho de Licenciatura
Elaborado por: Cossa, Jos Alberto
AGRADECIMENTOS
DEUS, por tudo que pude realizar. Universidade Eduardo Mondlane, em especial os docentes e funcionrios do Departamento de Matemtica e Informtica. Ao meu supervisor, Dr. Zeferino Saugene, pelas crticas e apoio em ideias. Ao dr. Mrio Estvo Xavier, pelos dez anos de luta. Aos companheiros de batalha Elsio Anselmo, Diogo Lucas Chavana, Pascoal Chambe, Jos Matsinhe, Nelson Mazibe, e outros no mencionados pelo apoio moral e material nos momentos difceis da nossa rdua formao. s Irms Missionarias da Consolata, pelo apoio moral e material. Aos meus pais Alberto Ticupa Cossa e Albertina Manhengue, pelo seu inquantificvel apoio. Aos meus irmos Joo, Glria, Maria pelo apoio nos bons e maus momentos A minha namorada Saquina Jlia, que sempre acreditou e incentivou-me a lutar. Ao meu sobrinho Idaldncio pela pacincia nos momentos em que precisou do carinho do tio, E a todos aqueles que no por m f no foram aqui mencionados, mas que contriburam para a minha formao.
II
EPGRAFE
Feliz o homem que descobre a sabedoria e adquire inteligncia! Pois adquiri-la vale mais do que a prata, e seu lucro mais que o ouro. Provrbios 3, 13-14
III
DECLARAO DE HONRA
Declaro por minha honra, que este trabalho resultado da minha investigao e que no foi submetido a outro grau que no seja o indicado Licenciatura em Informtica na Universidade Eduardo Mondlane.
Maputo, Abril de 2010 O Estudante ____________________________________ (Jos Alberto Cossa)
IV
RESUMO
Certamente que, enquanto no existiam sistemas informatizados, nunca se ouvira falar de auditoria de Sistemas de Informao, o espao desta nova especialidade deve ser encontrado no contexto actual do desenvolvimento das tecnologias de informao e comunicao. O presente trabalho prope uma metodologia de auditoria baseada no referencial metodolgico COBIT e padres e normas de melhores prticas de auditoria, aplicveis Administrao Pblica. A metodologia permite avaliar os Sistemas de Informao quanto sua integridade e segurana, bem como, quanto sua eficcia e eficincia. Foi igualmente realizado um estudo de modelos, padres e normas de auditoria aplicveis aos Sistema de Informao. Como estudo de caso, apresentam-se consideraes e anlises sobre a Inspeco Geral de Finanas, que um rgo do Ministrio das Finanas, que tem por vocao efectuar auditoria s instituies do Estado com excepo do ramo do seguro e das instituies para bancrias, contribuindo para a economia, a eficcia e a eficincia na obteno das receitas e na realizao das despesas pblicas nacionais.
LISTA DE ABREVIATURAS E ACRNIMOS

MS ACCESS ACL ACROBAT AICPA BSC CAATS CBEAM CISA CMMI COBIT COBRA DAE DGA DGI DIA DIOE DITA DRC DRN DSI DT EDPAA e-SISTAFE EXCEL IDEA IGF IIA INFOCUS INTOSAI Sistema de Gesto de Banco de Dados MS ACCESS Software de Auditoria ACL Software usado para a troca e distribuio electrnica de documentao no formato PDF (Portable Document Format) American Institute of Certified Public Accountants Balanced Scorecard Computer Assisted Audit Techniques Software de Auditoria CBEAM Certified Information Systems Auditor Capability Maturity Model Integration Control Objectives for Information and Related Technology Software para Anlise de Risco e Avaliao de Conformidade COBRA Departamento de Auditoria s Empresas Direco Geral das Alfandegas Direco Geral dos Impostos Departamento de Inspeco s Autarquias Departamento de Inspeco aos rgos do Estado e suas instituies Departamento de Inspeco aos sectores Tributrio e Aduaneiro Delegao Regional Centro Delegao Regional Norte Departamento de Sistemas de Informao Departamento Tcnico Electronic Data Processing Auditors Association Inc Sistema informtico de administrao financeira do Estado Folha de Clculo EXCEL Software de Auditoria IDEA Inspeco Geral de Finanas Instituto Internacional de Auditores Internos Software de Auditoria INFOCUS Organizao Internacional das Instituies Supremas de Auditoria
VI
ISACA ISO ITIL MF MS PROJECT MY SQL ORACLE OUTLOOK POWERPOINT RA RAF RC RD RI SI SICR SISTAFE SPSS SQL SERVER TA TDM TI TIC TIMS VISIO WORD
Associao de Controlo e Auditoria de Sistemas de Informao International Organization for Standardization IT Infrastructure Library Ministrio das Finanas Software de Planificao MS PROJECT Sistema de Gesto de Banco de Dados MY SQL Sistema de Gesto de Banco de Dados ORACLE Software de Comunicao MS OUTLOOK Software de Apresentao MS POWERPOINT Risco de Auditoria Repartio de Administrao e Finanas Risco de Controlo Risco de Deteno Risco Inerente Sistemas de Informao Sistema Integrado de Cobrana de Receita Sistema de Administrao Financeira do Estado Software de Estatstica SPSS Sistema de Gesto de Banco de Dados SQL SERVER Tribunal Administrativo Empresa Telecomunicaes de Moambique Tecnologias de Informao Tecnologias de Informao e Comunicao Trade Information Management System Programa de Desenho MS VISIO Processador de Texto MS WORD
VII
NDICE
DEDICATRIA.................................................................................................................................................................... I AGRADECIMENTOS ........................................................................................................................................................II EPGRAFE ......................................................................................................................................................................... III DECLARAO DE HONRA .......................................................................................................................................... IV RESUMO .............................................................................................................................................................................. V LISTA DE ABREVIATURAS E ACRNIMOS ........................................................................................................... VI NDICE DE FIGURAS E TABELAS................................................................................................................................. 6 CAPITULO I: INTRODUO E METODOLOGIA ..................................................................................................... 7 1. INTRODUO ........................................................................................................................................................... 7 1.1. 1.2. 1.3. 2. 2.1. 2.2. 2.3. 2.4. 1. DESCRIO DO PROBLEMA ......................................................................................................................... 8 OBJECTIVO GERAL ......................................................................................................................................... 9 OBJECTIVOS ESPECFICOS ........................................................................................................................... 9 FASE EXPLORATRIA ......................................................................................................................................... 10 DELIMITAO DO ESTUDO................................................................................................................................. 10 ANLISE SISTEMTICA ...................................................................................................................................... 12 REDACO DO RELATRIO ................................................................................................................................ 13
METODOLOGIA DO TRABALHO ...................................................................................................................... 10
CAPTULO II: AUDITORIA DE SISTEMAS DE INFORMAO .......................................................................... 14 CONCEITOS DE AUDITORIA DE SISTEMA DE INFORMAO ............................................................... 14 1.1. 1.2. 1.3. 2. HISTRIA DO SURGIMENTO DA AUDITORIA ........................................................................................ 14 CONCEITO DE AUDITORIA ......................................................................................................................... 15 TIPOS DE AUDITORIA .................................................................................................................................. 16
PROCESSO DE AUDITORIA DE SISTEMA DE INFORMAO ................................................................. 19 2.1. FASE DE PLANEAMENTO ............................................................................................................................ 19 2.1.1. Plano Estratgico ......................................................................................................................................... 19 2.1.2. Plano Anual .................................................................................................................................................. 19 2.1.3. Programa de Auditoria ................................................................................................................................ 20 2.2. FASE DE EXECUO .................................................................................................................................... 20 2.2.1. Papis de trabalho........................................................................................................................................ 22 2.3. FASE DE ELABORAO DE RELATRIO................................................................................................. 22 2.3.1. Destinatrios do Relatrio ........................................................................................................................... 22 2.3.2. Estrutura do relatrio .................................................................................................................................. 23 2.4. FASE DE ACOMPANHAMENTO DOS RESULTADOS DE AUDITORIA ................................................ 23 2.5. SUPERVISO DO TRABALHO ..................................................................................................................... 24
3.
OS REFERENCIAIS METODOLGICOS APLICADOS AUDITORIA DE SI ........................................ 25 3.1. METODOLOGIA ................................................................................................................................................... 25 3.2. TIPOS DE REFERENCIAIS APLICADOS AOS SI E AUDITORIA ............................................................................ 25 3.2.1. ITIL Information Technology Infraestructure Library ............................................................................. 25 3.2.2. COBIT - Control Objectives for Information and related Technology ....................................................... 26 3.2.2.1. Estrutura do COBIT ................................................................................................................................ 26 3.2.2.2. Objectivo de Controlo ............................................................................................................................. 28 3.2.3. Norma BS 7799 - British Standard 7799/ ISO 17799 ................................................................................. 28 3.2.4. Six Sigma ...................................................................................................................................................... 29 3.2.5. Capability Maturity Model Integration (CMMI) ......................................................................................... 29 3.2.6. ISO 9000 ....................................................................................................................................................... 30 3.2.7. Balanced Scorecard ..................................................................................................................................... 30 3.3. RAZES PARA ADOPO DE REFERENCIAIS ...................................................................................................... 31
Pgina 3
3.4. 4.
UMA SELECO DE TRS REFERENCIAIS: COBIT, ITIL E ISO 17799 ............................................................. 32
TCNICAS DE ANLISE E DE CONTROLO EMPREGUES NA AUDITORIA DE SI ............................. 34 4.1. ENTREVISTAS ................................................................................................................................................ 34 4.1.1. Entrevista de Apresentao.......................................................................................................................... 34 4.1.2. Entrevistas de Recolha de Dados................................................................................................................. 34 4.1.3. Entrevistas de Discusso das Deficincias Encontradas ............................................................................ 35 4.1.4. Entrevista de Encerramento ......................................................................................................................... 35 4.2. QUESTIONRIOS ........................................................................................................................................... 35 4.3. CHECKLIST ..................................................................................................................................................... 36 4.3.1. Checklists com escala de avaliao ............................................................................................................. 36 4.3.2. Checklist com perguntas fechadas ............................................................................................................... 37 4.4. ANLISE DE RELATRIOS DE CONTROLO INTERNO .......................................................................... 38 4.5. ANALISE PRESENCIAL................................................................................................................................. 38 4.6. USO DE TCNICAS OU FERRAMENTAS DE APOIO................................................................................ 38 4.6.1. Tcnicas Para Anlise de Dados ................................................................................................................. 39 4.6.1.1. Anlise do Log/Accounting ..................................................................................................................... 39 4.6.2. Tcnicas Para Verificao de Controlos de Sistemas ................................................................................. 39 4.6.2.1. Mapeamento Estatstico dos Programas ................................................................................................ 39 4.6.2.2. Rastreio de Programas ............................................................................................................................ 39 4.6.2.3. Simulao Test-Deck ............................................................................................................................... 40 4.6.2.4. Simulao Paralela ................................................................................................................................. 40 4.6.3. Outras Ferramentas ..................................................................................................................................... 41
5.
ANLISE DE RISCO E TESTES NA AUDITORIA DE SI ............................................................................... 42 5.1. RISCO EM AUDITORIA DE SI ...................................................................................................................... 42 5.1.1. Natureza do Risco de Auditoria ................................................................................................................... 42 5.1.1.1. Risco de que a informao contenha um erro material ......................................................................... 42 5.1.1.2. Risco de que o auditor no detecte um erro material ............................................................................ 44 5.1.2. Relao entre os riscos ................................................................................................................................ 44 5.2. TESTES EM AUDITORIA DE SISTEMA DE INFORMAO .................................................................... 45 5.2.1. Testes de Conformidade ............................................................................................................................... 45 5.2.1.1. Avaliao do Controlo Interno ............................................................................................................... 45 5.2.2. Testes Substantivos ....................................................................................................................................... 46
CAPTULO III: METODOLOGIA PARA AUDITORIA DE SISTEMA DE INFORMAO NA ADMINISTRAO PBLICA ESTUDO DE CASO IGF ........................................................................................ 47 1. APRESENTAO DA IGF .................................................................................................................................. 47 1.1. Misso e competncias ................................................................................................................................. 47 1.2. Estrutura Orgnica Actual da IGF .............................................................................................................. 48 1.3. Destinatrios dos Produtos da IGF ............................................................................................................. 49 2. CARACTERIZAO DO AMBIENTE DE INTERVENO DA IGF ............................................................. 49 2.1. Auditoria e Controlo Interno ....................................................................................................................... 50 2.2. Organizao do Sector de Informtica ........................................................................................................ 50 2.3. Infra-Estrutura Tecnolgica e Aplicacional ................................................................................................ 50 2.4. Utilizao da Internet e Correio Electrnico .............................................................................................. 51 2.5. Consideraes Gerais .................................................................................................................................. 51 3. PROCEDIMENTO ACTUAL DE REALIZAO DE AUDITORIA................................................................. 52 3.1. Fase de Planificao .................................................................................................................................... 52 3.2. Fase de Execuo ......................................................................................................................................... 53 3.3. Fase de Elaborao do Relatrio ................................................................................................................ 53 3.4. Resumo das constataes/ Deficincias no Processo Actual ...................................................................... 53 4. METODOLOGIA PROPOSTA ............................................................................................................................. 56 4.1. Fase de Planeamento ................................................................................................................................... 56 4.2. Fase de Execuo ......................................................................................................................................... 57 4.3. Fase de Elaborao do Relatrio ................................................................................................................ 59 4.4. Fase de Acompanhamento ........................................................................................................................... 59 4.5. Avaliao da Metodologia ........................................................................................................................... 60 4.5.1. Programa de Auditoria ................................................................................................................................ 61 4.5.2. Desenvolvimento da aco ........................................................................................................................... 61
Pgina 4
4.5.3. 1. 2.
Consideraes Gerais .................................................................................................................................. 63
CAPTULO IV: CONCLUSES E RECOMENDAES........................................................................................... 64 CONCLUSES ...................................................................................................................................................... 64 RECOMENDAES ............................................................................................................................................ 65
BIBLIOGRAFIA ................................................................................................................................................................ 66 ANEXOS .............................................................................................................................................................................. 69
Pgina 5
NDICE DE FIGURAS E TABELAS
Figura 1: Processo de Auditoria ........................................................................................................ 21 Figura 2: Framework do COBIT ....................................................................................................... 27 Figura 3: Trs Referenciais Metodolgicos Integrados ..................................................................... 32 Figura 4: Sequncia das Fases da Tcnica Test-Deck ....................................................................... 40 Figura 5: Dimenses de Risco ........................................................................................................... 42 Figura 6: Tipos de Riscos de Controlo .............................................................................................. 43 Figura 7: Matriz de Riscos ................................................................................................................ 44 Figura 8: Fluxograma da Metodologia proposta ............................................................................... 57
Tabela 1: Dados Sobre a Informao Enviada s Instituies........................................................... 12 Tabela 2 :Escala de Avaliao ........................................................................................................... 36 Tabela 3: Exemplo de Checklist com Escala de Avaliao ............................................................... 37 Tabela 4:Exemplo de Checklist com Perguntas Fechadas................................................................. 37 Tabela 5: Software utilizado na Auditoria de Sistemas de Informao ............................................. 41 Tabela 6: Monitorizao das Recomendaes................................................................................... 60 Tabela 7: Requisitos Aplicados Pelo DSI.......................................................................................... 61
Pgina 6
CAPITULO I: INTRODUO E METODOLOGIA 1. INTRODUO

Nos ltimos tempos, tem se assistido a um enorme avano ao nvel das tecnologias de informao e comunicao, que se reflecte na circulao da informao, nos procedimentos contabilsticos e financeiros, no sistema de controlo interno, na produtividade dos organismos, na celeridade da prestao de servios, na qualidade da imagem dos organismos perante o seu exterior. Entre outras vantagens, estas tecnologias tem produzido, no geral impacto bastante significativo nas instituies e em particular nos seus clientes. Muitos destes avanos tm - se verificado com maior notabilidade no sector privado, contudo isso no significa que o sector pblico esteja alheio a estas transformaes. Actualmente, a maioria das instituies da Administrao Pblica so gestoras ou usurias de sistemas de informao informatizados. A Inspeco Geral de Finanas (IGF) o rgo de controlo superior financeiro do Estado e de apoio ao Ministro que superintende a rea das Finanas na gesto dos fundos e controlo patrimonial pblicos. Tem como atribuies fundamentais realizar o controlo da administrao financeira do Estado, incumbindo-lhe o exerccio do controlo nos domnios oramental, financeiro e patrimonial, de acordo com os princpios da legalidade, regularidade e da boa gesto financeira, contribuindo para a economia, a eficcia e a eficincia na obteno das receitas e na realizao das despesas pblicas nacionais. A actividade que a IGF exerce, constitui actualmente um enorme desafio uma vez que a informao til para auditar est a passar progressivamente a ser processado pelos sistemas de informao informatizados. Deste modo, a linha de processamento dos dados que vai desde o momento em que o facto ocorre at ao(s) ponto(s) da utilizao da informao resultante dos dados relevados, tornou-se mais complexa, mais rpida, mais curta e tambm mais perigosa para o auditor. Num ambiente informatizado, as
Pgina 7
funes que antes estavam convenientemente segregadas por um conjunto de pessoas, podem estar (agora) aglutinadas num nico programa cuja descrio funcional ou orgnica nunca foi escrita. A opinio dos auditores precisa de ter uma base de informao fivel. E sabendo que a misso e atribuies da IGF dependem da obteno de informao fivel junto das entidades auditadas, torna-se indispensvel IGF, alm de analisar a informao fornecida, proveniente do processamento electrnico, avaliar tambm os sistemas de informao de modo a assegurar a sua fiabilidade e integridade. Com o presente trabalho, pretende-se estudar a auditoria de Sistemas de Informao em uso na IGF e sua envolvente externa, com vista a contribuir com uma metodologia que facilitem IGF a realizao de auditorias aos sistemas de informao informatizados das instituies pblicas.
1.1. DESCRIO DO PROBLEMA

A IGF como rgo superior de controlo oramental, financeiro e patrimonial tm como funes realizar auditorias financeiras, de programas, operacional, de regularidade, de sistemas de informao, de desempenho e inquritos e sindicncias1: aos rgos do Estado, suas instituies e pessoas colectivas de direito pblico ainda que personalizados, incluindo as autarquias locais; s empresas pblicas, estatais e mistas onde o Estado detenha participao no respectivo capital, com excepo das instituies de crdito, para-bancrias e de seguros; Um dos grandes desafios para a IGF, neste momento, prende-se com as grandes reformas de automatizao dos sistemas de informao em curso na Administrao Pblica. Por um lado, a informao til a auditar2, ao passar para dentro dos computadores, no oferece garantias de que ela seja fivel (existe maior risco do auditor financeiro, por exemplo, formular a sua opinio com base em informaes com erros, omisses e juzos prvios, aquando da sua disponibilizao ao auditor sem que possa verificar a sua autenticidade) ou de que o sistema que a produziu esteja isento de
Decreto n. 40/99 de 29 de Junho Quer seja de natureza financeira (relatrios financeiros, demonstraes de resultados, balancetes, registos contabilsticos) ou de natureza operacional, situao que ocorre quando se fazem avaliaes sectoriais. Por exemplo uma avaliao ao sector da justia d-nos o panorama do funcionamento da administrao da justia, no que concerne ao funcionamento das magistraturas (judicial e do Ministrio Pblico) relativamente ao n de processos que so julgados pelos tribunais ou do estgio da legalidade da nossa justia.
2 1
Pgina 8
falhas. Por outro, constituindo verdadeiros activos das instituies, os equipamentos, softwares e dados, tambm devem ser avaliados. Actualmente, a IGF no se encontra preparada para fazer face tais desafios, visto que apesar de ser sua competncia fazer auditoria de sistemas de informao, ela no possui um conjunto de pressupostos para actuar nesta rea, nomeadamente: um sector de auditoria de sistemas de informao; tcnicos qualificados em auditoria de sistemas de informao; e instrumentos metodolgicos para este tipo de auditoria.
Da que continue a executar as suas actividades sem efectuar avaliaes sistemticas, peridicas ou constantes aos sistemas de informao que produzem as informaes que ela prpria consome. A importncia dos sistemas de informao nas instituies em geral, a pertinncia e actualidade deste tema e as reformas em curso na Administrao Pblica, foram o mote para o presente estudo.
1.2. OBJECTIVO GERAL

Desenvolver uma metodologia que permita facilitar o processo de auditoria de sistemas de informao efectuado pela IGF em Moambique.
1.3. OBJECTIVOS ESPECFICOS

Avaliar o processo de auditoria efectuado pela Inspeco Geral de Finanas de Moambique; Analisar referncias metodolgicas de auditoria para sistemas de informao informatizados; Desenvolver uma metodologia de auditoria para sistemas de informao informatizados; Testar a metodologia proposta.
Pgina 9
2. METODOLOGIA DO TRABALHO
Em decorrncia do problema de investigao, que se coloca na presente pesquisa, adoptou-se a metodologia de estudo de caso. Segundo Duarte (2006), estudo de caso uma inquirio emprica que investiga um fenmeno contemporneo dentro do contexto da vida real e onde mltiplas fontes de evidncias so utilizadas. Ainda, na linha de Lintz (2000), uma pesquisa baseada no estudo de caso pode ser desenvolvida considerando as seguintes fases: exploratria, delimitao de estudo, anlise sistemtica e redaco do relatrio.
2.1. Fase Exploratria

Segundo a concepo de um estudo de caso que pretende no partir de uma viso no predeterminada da realidade, mas aprender e compreender os mltiplos aspectos de uma situao, a fase exploratria coloca-se como fundamental para a definio do escopo do objecto de estudo (Lintz, 2000). o momento de estabelecer os contactos iniciais para o trabalho de campo. Esta fase consistiu no envolvimento do estudante nas actividades da instituio (IGF) em forma de estgio. Este envolvimento criou oportunidades para que o estudante realizasse observaes participativas. Durante esta fase o estudante integrou-se na IGF, como estagirio, em resposta a um anncio no jornal Notcias para o recrutamento de tcnicos de informtica, desde Julho de 2004, onde se foi inteirando da actividade principal da instituio, a auditoria. Esta experincia permitiu colher informao rica e slida dos principais constrangimentos que afectam a organizao. E, a permanncia do estudante na IGF como estagirio, tambm permitiu compreender o funcionamento da instituio, as actividades que desenvolve e, acima de tudo, identificar as reas de estudo.
2.2. Delimitao do Estudo

A importncia de determinar o mbito da pesquisa e estabelecer os contornos do estudo, decorre do facto de que nunca ser possvel explorar todos os ngulos do fenmeno. Nessa fase, dependendo
Pgina 10
das caractersticas prprias do objecto de estudo, so escolhidas as tcnicas mais adequadas para a colecta de dados (Lintz, 2000). Segundo Martins (2007), neste tipo de estudo, os instrumentos mais comuns para a colecta de dados so os questionrios e entrevistas. Questionrios podem ser com perguntas: fechadas so aquelas questes que apresentam categorias ou alternativas de respostas fixas; abertas so aquelas perguntas que conduzem o informante livremente com frases ou oraes. Entrevistas So uma tcnica que permite o relacionamento entre o entrevistado e o entrevistador. No uma simples conversa, trata-se de um dilogo orientado que busca atravs de interrogatrios informaes e dados para a pesquisa. As entrevistas podem ser estruturadas e no estruturadas. Entrevistas estruturadas - quando possuem as questes previamente formuladas, no havendo liberdade para o entrevistador alterar ou fazer incluso de questes; Entrevistas no estruturadas - o pesquisador busca obter os dados mais relevantes atravs de converso objectiva. Nesta fase optou-se pelos questionrios visto que haviam questes formuladas com o objectivo de obter dados estatsticos do ambiente de actuao da IGF e pela facilidade que os mesmos tem na obteno da informao nas entidades inquiridas tendo em conta a disponibilidade e abertura das entidades para as entrevistas. O desenho do instrumento de recolha de dados consistiu no desenvolvimento de um questionrio que serviu para a colheita, a nvel de instituies pblicas seleccionadas, de dados relevantes para o estudo. Na recolha de dados, para alm da IGF, foram seleccionadas outras instituies de nvel central (descritas no anexo 6) como Ministrios, Institutos e algumas Direces Nacionais com o objectivo de alcanar uma amostra significativa.
Pgina 11
No total foram enviados 47 questionrios, dos quais se obteve 34 respostas, o que corresponde a uma taxa de adeso de 72,3%, conforme ilustra a tabela 1.
Tipos Organismos Ministrios Institutos Outros Total
de Organismos Inquiridos (N) 19 5 13 47
Respostas Obtidas (N) 14 3 8 9 34
Percentagem de Adeso (%) 73,68 60,00 80,00 69,23 72,34
Empresas Pblicas 10
Tabela 1: Dados Sobre a Informao Enviada s Instituies
Importa referir que no processo de recolha de dados/informaes foram conduzidas entrevistas no estruturadas, baseadas no questionrio acima referido, visando o enriquecimento e aprofundamento das respostas obtidas pelos questionrios s mesmas instituies inquiridas. A recolha de dados permitiu um melhor conhecimento actualizado da situao concreta das instituies pblicas no domnio de auditoria e das tecnologias de informao e comunicao, e da IGF em particular.
2.3. Anlise Sistemtica

uma anlise que est presente em todos os estgios da pesquisa (Lintz, 2000). Nesta fase, procedeu-se com a reviso bibliogrfica e o desenvolvimento e teste da metodologia proposta. Martins (2007), refere-se a reviso bibliogrfica como sendo um instrumento que d suporte e fundamentao terico-metodolgica ao estudo. de facto um dos pontos vitais para o trabalho cientfico. O desenvolvimento da metodologia foi efectuado com base no estudo de documentos (regulamentos, planos, relatrios, manuais de procedimento) da IGF, na reviso bibliogrfica e na consulta a especialistas da rea.
Pgina 12
Os resultados desta pesquisa permitem criar a metodologia que seguidamente foi testada no Departamento de Sistemas de Informao do Tribunal Administrativo, como forma de avaliar a sua aplicabilidade.
2.4. Redaco do Relatrio

O objectivo do relatrio de apresentar os mltiplos aspectos que envolvem o problema, mostrar sua relevncia, situ-lo no contexto em que acontece e indicar aces para modific-los (Lintz, 2000). Nisso, foram utilizados meios tecnolgicos como computador, impressora, sistema operacional Windows e processador de texto Microsoft Word. Para a anlise e tratamento dos dados recolhidos atravs dos questionrios foi empregue o software SPSS e Microsoft Excel.
Pgina 13
CAPTULO II: AUDITORIA DE SISTEMAS DE INFORMAO 1. CONCEITOS DE AUDITORIA DE SISTEMA DE INFORMAO
1.1. HISTRIA DO SURGIMENTO DA AUDITORIA

Podem se achar rastros da contabilidade datando das mais antigas das civilizaes, at mesmo civilizaes nas quais a arte da palavra era mal conhecida. Com o advento da escritura e aquisio da arte pela populao mais instruda, alguma forma de registos era necessria para ser mantida pelo trabalhador e o mestre que examinava os registos. Assim evoluiu a arte de contabilidade e a prtica de auditar. O mestre ouvia e da veio o auditor. A palavra auditor derivada da palavra audire que vem do latim que significa ouvir (Banze, 2003). No sculo XV, com o crescimento fenomenal do comrcio, primeiro na Itlia e depois nos outros pases europeus, os problemas e as complexidades da contabilidade comearam a se demonstrarem na realidade. Em 1581, na cidade de Veneza, na Itlia, foi fundada a primeira sociedade de contabilistas que ficou conhecida por Collegio Raxonati, onde todos os contabilistas tinham que fazer um estgio durante seis anos. Depois da formao desta primeira, mais sociedades foram aparecendo. Estas sociedades eram instituies completamente privadas e resistiam a qualquer forma de interferncia estatal. Com o grande desenvolvimento que ocorreu na Europa, durante a era da Revoluo Industrial, as instituies sentiram a necessidade de implementar bons procedimentos contabilsticos e eficientes medidas de controlo interno. Por outro lado, o facto de maior parte de tais instituies serem sociedades annimas implicou que as demonstraes financeiras apresentadas aos accionistas fossem auditadas. Em 1880 foi fundado o Instituto de Contabilistas da Inglaterra e do Pas de Gales e a partir da, devido colonizao inglesa nos Estados Unidos e Canad e ao grande desenvolvimento industrial l ocorrido, notou-se um incremento da actividade de auditoria, tendo alcanado naqueles pases no s uma enorme difuso como tambm um aperfeioamento tcnico bastante elevado. Com o progressivo avano das grandes instituies multinacionais, a auditoria se instalou nos pases com maior desenvolvimento e com mais industrializao, como por exemplo Japo, Singapura, frica do Sul (Banze, 2003). Nos pases socialistas a auditoria no seguiu o mesmo rumo, dando maior nfase na conformidade e eficcia das medidas de controlo interno. O avano da profisso em frica tem, tambm, sido lento, pois a maior parte dos pases de Sul do Sahara, no tem institutos de contabilistas.
Pgina 14
A auditoria de sistemas de informao (SI) nasce com a introduo dos computadores em sistemas de contabilidade. Acredita-se que a primeira implementao e utilizao de um sistema de contabilidade automatizado, tenha sido em General Electric em 1954, nos Estados Unidos. De 1954 at meados da dcada 60, a profisso de auditoria era exercida ao redor do computador. Nesta poca s os computadores mainframe eram utilizados e, poucas pessoas que tinham habilidades para programar e operar com este equipamento (Wikimedia, 2006). O cenrio comeou a mudar, nos meados da dcada 60, com a introduo de novos tipos de computadores, menores e menos caros, o que fez com que se aumentasse o uso de computadores e com isso a necessidade de os auditores se familiarizarem com conceitos de utilizao de computadores em negcios. Com o incremento do uso dos computadores, apareceram, tambm, diferentes tipos de sistemas contabilsticos automatizados. As associaes de auditores e de contabilistas, da poca, desenvolveram o primeiro software de auditoria denominado GAS e anos depois iniciaram com a produo de directrizes, procedimentos e padres para auditorias de SI. Em 1977, foi publicada a primeira edio de Objectivos de Controlo, esta publicao conhecida como Objectivos de Controlo Relacionados ao Uso da Tecnologia da Informao (COBIT). Em 1994, a organizao que criou estas normas e directrizes, antes conhecida como EDPAA mudou a designao e passou a chamar-se por Associao de Auditoria e Controlo de Sistemas de Informao, ISACA. Os recursos COBIT so utilizados, tanto pelos gestores de TI como pelos auditores de SI, como uma fonte de orientao para a obteno de melhores desempenhos (Wikimedia, 2006).
1.2. CONCEITO DE AUDITORIA

Muitas vezes, o termo auditoria foi empregue incorrectamente, pois considerou-se que se tratava de uma avaliao cujo nico fim seria detectar erros e assinalar falhas. Segundo Carneiro (2004), o conceito de auditoria muito mais amplo, podendo ser referido como um exame crtico que tem a finalidade de avaliar a eficcia e eficincia de um departamento ou uma instituio. Dito de outro modo, toda e qualquer auditoria a actividade que consiste na emisso de uma opinio profissional sobre o objecto de anlise, a fim de confirmar se cumpre adequadamente as condies que lhe so exigidas (Carneiro, 2004). No mbito deste conceito pode-se indicar os seguintes elementos fundamentais:
Pgina 15
Contedo: uma opinio; Condio: profissional; Justificao: sustentada em determinados procedimentos; Objecto: uma dada informao obtida num certo suporte; Finalidade: determinar se apresenta adequadamente a realidade ou se esta responde s expectativas que lhe so atribudas, quer dizer, a sua fiabilidade. Pode-se, ento, dizer que a auditoria uma operao de anlise e diagnstico da instituio, tendo em considerao todos os aspectos da sua gesto, a fim de avaliar a coerncia, a racionalizao de processos e de apreciar a validade e o rigor dos resultados.
1.3. TIPOS DE AUDITORIA

Os tipos de auditoria mais comuns, segundo Dias (2000) e Carneiro (2004), so classificados de acordo com os seguintes aspectos: quanto ao rgo fiscalizador, forma de abordagem do tema e ao tipo ou rea envolvida. Quanto ao rgo fiscalizador Auditoria interna realizada por um departamento interno responsvel pela verificao e avaliao dos sistemas e procedimentos internos de uma entidade. Um dos seus objectivos reduzir as probabilidades de fraudes, erros, prticas ineficientes ou ineficazes. O servio de auditoria interna deve ser independente e prestar contas direco da instituio. Auditoria externa realizada por uma instituio externa e independente entidade fiscalizada, com o objectivo de emitir um parecer sobre a gesto de recursos da entidade, sua situao financeira, a legalidade e ilegalidade de suas operaes. Auditoria articulada trabalho conjunto de auditorias externas e internas, devido super-posio de responsabilidades dos rgos fiscalizadores, caracterizado pelo uso comum de recursos e comunicao recproca dos resultados.
Quanto forma de abordagem do tema Auditoria horizontal auditoria com tema especfico realizado em vrias entidades ou servios paralelamente. Auditoria orientada auditoria focada em uma actividade especfica qualquer ou em actividades com fortes indcios de erros ou fraudes.
Pgina 16
Quanto ao tipo ou rea envolvida Auditoria de programas de governo acompanhamento, exame e avaliao da execuo de programas e projectos governamentais especficos. Em geral, preocupa-se com a efectividade dos programas governamentais. Auditoria do planeamento estratgico auditoria que verifica se os principais objectivos da entidade so atingidos e se as polticas e estratgicas de aquisio, utilizao e alienao dos recursos so respeitadas. Auditoria administrativa auditoria que engloba o plano da organizao, seus procedimentos e documentos de suporte tomada de deciso. Auditoria contabilstica auditoria relativa salvaguarda dos activos e fidedignidade das contas da instituio. Essa auditoria, consequentemente, tem como finalidade fornecer uma garantia de que as operaes e o acesso aos activos se efectuem de acordo com as devidas autorizaes. Auditoria financeira tambm conhecida como auditoria de contas. Consiste na anlise das contas, da situao financeira, da legalidade e regularidade das operaes e aspectos contabilsticos - financeiros, oramentrios e patrimoniais, verificando se todas as operaes foram correctamente autorizadas, liquidadas, ordenadas, pagas e registadas. Auditoria de legalidade tambm conhecida como auditoria de regularidade ou de conformidade. Consiste na anlise da legalidade e da regularidade das actividades, funes, operaes ou gesto de recursos, verificando se esto em conformidade com a legislao em vigor. Auditoria operacional auditoria que incide em todos os nveis de gesto, nas fases de programao, execuo e superviso, sob o ponto de vista da economia, eficincia e eficcia. Auditoria integrada inclui simultaneamente a auditoria financeira e a operacional. Auditoria de Sistema de Informao tipo de auditoria, essencialmente operacional, por meio da qual os auditores analisam os sistemas informticos, o ambiente de informtica, a segurana de informaes e o controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficincias. Em alguns pases conhecida como auditoria informtica, computacional ou de TI. Auditoria de Qualidade (Desempenho) - A auditoria da qualidade um processo de anlise e avaliao segundo o qual se pretende verificar a eficcia desses sistemas quanto aos objectivos e padres referidos.
Pgina 17
Auditoria Ambiental - Sendo muito recente, a Auditoria Ambiental examina e analisa os provveis impactos negativos ou positivos que as instituies possam causar ao meio ambiente. Auditoria de Marketing - A auditoria de Marketing uma importante responsabilidade da gesto de topo. Sendo revises e avaliaes de modo sistemtico, crtico e imparcial de todas as operaes do Marketing, estas auditorias podem beneficiar qualquer instituio e apontar para oportunidades de melhorar o desempenho desta rea funcional.
Pgina 18
2. PROCESSO DE AUDITORIA DE SISTEMA DE INFORMAO

De forma geral, o processo de auditoria de SI compreende as fases de Planeamento da auditoria, Execuo da auditoria, Elaborao do Relatrio e Acompanhamento de auditoria, que so descritas a seguir.
2.1. FASE DE PLANEAMENTO

O ponto 3.1.1 das normas de auditoria da INTOSAI estipula que: O auditor deve planear a auditoria de modo a assegurar a execuo de uma auditoria de elevada qualidade, de uma forma econmica, eficiente e eficaz e num perodo de tempo adequado (INTOSAI, 2005). Ainda sobre o planeamento, os padres S5 n 3, 4, 5 e 6 da ISACA se referem necessidade e importncia do planeamento. O planeamento, em auditoria, pode ser vista em trs dimenses, designadamente: Plano estratgico (Viso) Plano anual (programa de actividades) Programa de Auditoria (Planeamento do trabalho feito pela equipa)
2.1.1. Plano Estratgico O plano estratgico estabelecido, normalmente, para um perodo de 3 a 5 anos. Seus objectivos so mais amplos, atingem toda a instituio e so aprovados pela gesto superior. Seu contedo define as metas da gesto de auditoria, seu modo de actuao, os recursos necessrios (pessoal, equipamentos e recursos financeiros) e as necessidades de treinamento. aconselhvel rever e actualizar o plano anualmente. 2.1.2. Plano Anual Este plano traduz o plano estratgico em um programa de actividades para o ano que se inicia. Neste plano, as actividades a realizar, so determinadas tendo em conta os critrios previamente estabelecidos para a definio dos trabalhos. Define-se a alocao do pessoal, oramento, datas de execuo, etc.
Pgina 19
2.1.3. Programa de Auditoria O programa de auditoria baseia-se em auditorias individualizadas e contm detalhes exactos dos objectivos a serem atingidos, as reas a serem auditadas, os recursos necessrios e em que prazo, os objectivos de controlo e os procedimentos de auditoria a serem seguidos. feito pela equipa de auditores que vai executar o trabalho.
2.2. FASE DE EXECUO

Ao longo da execuo da auditoria, a equipa deve reunir evidncias suficientemente confiveis, relevantes e teis para a consecuo dos objectivos da auditoria. Os achados de auditoria e as concluses da equipa devem ser suportados pela correcta interpretao e anlise dessas evidncias (Dias, 2000). Toda a documentao, geralmente organizada em papis de trabalho3, deve estar disponvel, para auxiliar a equipa na elaborao do relatrio. Nem todas as evidncias so investigadas detalhadamente e descritas no relatrio final. A incluso ou no de determinada evidncia depende directamente de sua importncia para a consecuo dos objectivos da auditoria e do tempo e esforo necessrios para esclarecer todos seus pontos nebulosos. Conforme ilustrado na Figura 1, a execuo da auditoria, inicia com a avaliao do ambiente controlo interno (teste de conformidade), descrita no ponto 5.2.1 do captulo II, seguindo-se a realizao dos testes substantivos. Como se pode depreender, a extenso dos testes substantivos depende do nvel de confiana obtido no ambiente de controlo. No decorrer da auditoria, os auditores descobriro inmeras discrepncias e erros de menor importncia. Cabe-lhes levar todas essas questes ao conhecimento do supervisor da rea auditada, que esteja em condies de providenciar a correco dos erros. Alm de fazerem constar em seus papis de trabalho, nenhuma outra providncia necessria por parte dos auditores. Os pontos de maior relevncia devem ser apresentados em um relatrio formal. Durante a execuo da auditoria, os auditores devem tambm discutir os pontos de auditoria e possveis recomendaes com o gestor e com os supervisores responsveis pelos sistemas, pois a
3
Toda a documentao, preparada ou obtida pelo auditor, relacionada com a realizao de uma auditoria
Pgina 20
reaco e os comentrios desses funcionrios sero importantes para as concluses iniciais e recomendaes, bem como servem para esclarecimento de eventuais dvidas.
Acompanhamento Figura 1: Processo de Auditoria
Pgina 21
2.2.1. Papis de trabalho Para que fique registado todo o trabalho do auditor, ele elaborar os papis de trabalho, que so o conjunto de formulrios e documentos que contm as informaes e os apontamentos redigidos pelo auditor, no decurso do exame, as provas por ele realizados e, em muitos casos, a descrio dessas provas, que constituem o testemunho do trabalho executado e o fundamento de sua opinio (GODY, 1999). Para que atinjam sua finalidade, os papis de trabalho devem ser sempre claros e concisos e fornecer um registo completo e sem ambiguidades do trabalho realizado e para que outros auditores no envolvidos na auditoria, sejam capazes de chegarem s mesmas concluses a partir dos motivos ali mencionadas.
2.3. FASE DE ELABORAO DE RELATRIO

O auditor normalmente apresenta suas constataes e concluses na forma de um relatrio escrito, o qual inclui factos sobre a instituio auditada, comprovaes, concluses e, eventualmente, recomendaes e/ou determinaes (Dias, 2000). As normas, da INTOSAI (ponto n 4.0.7), para a elaborao do relatrio prescrevem que a linguagem utilizada pelo auditor deve ser clara, objectiva e simples, evitando-se o uso de termos tcnicos ou siglas (INTOSAI, 2005). Quando for necessrio a utilizao de termos tcnicos, recomendvel que o relatrio apresente glossrio ou explanaes ao longo do texto. O relatrio deve ser revisto por todos os membros da equipa de auditoria com intuito de verificar sua conformidade com os padres e prticas da instituio auditora e a inexistncia de inconsistncias, erros ou lacunas (Dias, 2000). conveniente tambm fazer uma reviso em termos gramaticais e estilsticos, para garantir clareza e objectividade do texto. Antes de ser apresentado formalmente ao auditado, o relatrio revisto pela chefia da equipa, pela direco da instituio auditora ou por outra instituio supervisora. 2.3.1. Destinatrios do Relatrio
Dependendo do motivo que levou a realizao da auditoria, o relatrio pode ser encaminhado a direco da instituio (auditoria solicitada para identificar falhas em sua prpria administrao), ao organismo que financia a instituio auditada (auditoria solicitada como forma de proteger seus
Pgina 22
investimentos) ou ao organismo responsvel pelo controlo e auditoria geral da instituio (auditoria de sistemas solicitada como parte de uma auditoria genrica, financeira ou de regularidade). 2.3.2. Estrutura do relatrio
A seguir sero apresentados, como sugesto, tpicos normalmente abordados em um relatrio elaborado por um rgo de auditoria interna, dirigido aos responsveis pelo controlo da administrao de recursos das instituies auditadas.
Sumrio Executivo Apresenta um breve resumo do relatrio; Introduo Identifica sumariamente a questo que objecto de relatrio, os objectivos do trabalho, o mtodo utilizado e o mbito considerado; Resultados obtidos So evidenciadas as situaes constatadas e o significado e relevncia das eventuais desconformidades; Concluses Indica as concluses obtidas do trabalho; Recomendaes Lista as medidas necessrias correco das situaes anmalas detectadas; Propostas Prope um conjunto de tomadas de deciso, a um nvel superior, que assegurem a adequada tramitao, seguimento e eficcia do relatrio.
2.4. FASE DE ACOMPANHAMENTO DOS RESULTADOS DE AUDITORIA

Segundo o padro S8 das normas de procedimentos sobre actividades de acompanhamento do ISACA, no seu n 3, estabelece que aps o relatrio de resultados e recomendaes, o auditor de SI deve solicitar e avaliar informaes relevantes para concluir se a aco apropriada foi tomada pela direco de maneira oportuna. Para cumprir com este padro, de acordo com IIA (2004), deve-se estabelecer procedimentos para incluir o seguinte:
Um prazo no qual a resposta da direco, da entidade auditada, sobre as revelaes de auditoria dever ser dada; Uma avaliao da resposta dada; Uma verificao da resposta (quando apropriado); Um procedimento de comunicao que faa subir as respostas/aces insatisfatrias.
Pgina 23
Determinadas revelaes e recomendaes feitas podem ser to relevantes que requeiram uma aco imediata por parte da instituio auditada. Tais condies devero ser monitoradas pela actividade de auditoria interna at serem corrigidas, devido ao efeito que possam ter na organizao.
2.5. SUPERVISO DO TRABALHO

O padro S6 das normas de procedimento na execuo da auditoria da ISACA, no seu n 3, estipula que a equipe de auditoria de SI deve ser supervisionada para fornecer garantia razovel de que os objectivos da auditoria esto sendo atingidos e que os padres de auditoria profissional aplicveis esto sendo seguidos. Segundo GODY (1999) essencial que haja uma superviso, para garantir a consecuo dos objectivos da auditoria e a manuteno da qualidade do trabalho realizado. O supervisor serve-se dos papis de trabalho resultantes do exame para verificar o trabalho realizado. Uma superviso e um controle adequados so, portanto, sempre necessrios, independentemente da competncia individual dos auditores.
Pgina 24
3. OS
REFERENCIAIS
METODOLGICOS
APLICADOS
AUDITORIA DE SI
Existem actualmente um conjunto de normas (standards) internacionais de SI que habitualmente incorporam modelos estruturados (frameworks) e que aqui optou - se por designar por referenciais. Estes referenciais podero constituir verdadeiras metodologias para a execuo das funes de gesto dos SI e tambm para serem utilizados na auditoria de SI.
3.1. Metodologia
A Metodologia o estudo dos mtodos ou seja, as etapas a seguir num determinado processo (Wikimedia, 2010). Tem como finalidade captar e analisar as caractersticas dos vrios mtodos disponveis, avaliar suas capacidades, potencialidades, limitaes ou distores e criticar os pressupostos ou as implicaes de sua utilizao. Alm de ser uma disciplina que estuda os mtodos, a metodologia tambm considerada uma forma de conduzir a pesquisa ou um conjunto de regras para ensino de cincia e arte.
3.2. Tipos de Referenciais Aplicados aos SI e Auditoria

Segundo Terzian (2007), devido necessidade de melhorar os processos de negcio e garantia da qualidade as organizaes americanas, apreensivas com o poderio industrial do Japo nos anos 80, comearam a desenvolver e adoptar modelos e padres de qualidade. Ainda, de acordo com Terzian (2007) e Coutinho (2007), dentre esses referenciais inclui-se IT Infrastructure Library (ITIL), COBIT, Six Sigma, Norma BS 7799 - Britsh Standard 7799/ ISO 17799, Capability Maturity Model Integration (CMMI), ISO e Balanced Scorecard (BSC). 3.2.1. ITIL Information Technology Infraestructure Library
Trata-se de um conjunto de orientaes desenvolvidas pelo governo britnico, que descreve um modelo de processo integrado de melhores prticas para prover a qualidade de servios de TI. Desenvolvido em 1989, um modelo (no proprietrio) que pode ser implementado por qualquer
Pgina 25
organizao seja ela de pequeno ou grande porte demonstrando assim sua flexibilidade de adaptao. O ITIL enderea estruturas de processos para a gesto de uma organizao de TI apresentando um conjunto compreensivo de processos e procedimentos de gesto organizados em disciplinas com os quais uma organizao pode fazer sua gesto tctica e operacional com vista a alcanar o alinhamento estratgico com os negcios. Pontos fortes: Bem estabelecido, amadurecido, detalhado e focado em questes de qualidade operacional e produo de TI. Pode ser combinado CMMI para cobrir todos processos relacionado a TI. Limitaes: No aborda o desenvolvimento de sistemas de gesto de qualidade e no voltado para processos de desenvolvimento de software. 3.2.2. COBIT - Control Objectives for Information and related Technology
O COBIT um conjunto de directrizes baseadas em auditoria para processos, prticas e controlos de TI. Foi publicado em sua primeira edio em 1996 pela ISACA e IT Governance Institute. Est voltado para a reduo de risco com enfoque na integridade, confiabilidade e segurana. 3.2.2.1. Estrutura do COBIT O COBIT est estruturado em objectivos de controlo de alto nvel que definem 34 processos de TI agrupados em 4 domnios, designadamente:
PLANEAMENTO & ORGANIZAO (PO): Cobre a estratgia e tctica e diz respeito identificao da maneira que a TI pode melhor contribuir para o atendimento dos objectivos do negcio. Alm do mais, a realizao da viso estratgica precisa ser planeada, comunicada e gerida em diferentes perspectivas. Finalmente, uma organizao apropriada bem como uma infra-estrutura tecnolgica devem ser estabelecidas.
AQUISIO & IMPLEMENTAO (AI): Para concretizar a estratgia de TI, solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, bem como implementadas e integradas no processo do negcio. Adicionalmente, mudanas e manutenes nos sistemas existentes esto cobertas por este domnio para assegurar que o ciclo de vida continue para esses sistemas.
PRODUO & SUPORTE (DS): Se preocupa com as entregas reais dos servios requeridos que abrangem as operaes tradicionais sobre aspectos de segurana e continuidade at ao
Pgina 26
treinamento. A fim de entregar servios, os processos necessrios de suporte devem ser estabelecidos. Este domnio inclui o processamento real de dados pelos sistemas aplicativos, frequentemente classificados como controlos de aplicaes.
MONITORIA (M): Todos os processos de TI precisam ser regularmente avaliados ao longo do tempo com relao a sua qualidade e conformidade com os requisitos de controlo.
Na Figura 2, possvel ver como os quatro domnios do COBIT esto relacionados, assim como os processos que compem cada domnio. OBJETOS DE NEGCIO COBIT
P01 - Definio plano estratgico TI P02 - Definio arquitectura de informao P03 - Determinao do direcionamento tecnolgico P04 Definio da organizao de TI e relacionamentos P05 Gesto do Investimento de TI P06 Comunicao de objectivos e direcionamento P07 Gesto de recursos humanos de TI P08 Gerir Qualidade P09 Avaliar e gerir riscos de TI P10 Gesto de Projectos
INFORMAES MONITORIA
Eficincia Eficcia Confidencialidade Integridade Disponibilidade Compliance Confiabilidade

RECURSOS TI
PLANEAMENTO & ORGANIZAO
PRODUO & SUPORTE
Pessoas Aplicaes Sistemas Tecnologia Dados
AQUISIO & IMPLEMENTAO
DS01 Definio de nveis de servio DS02 - Gesto de servios de terceiros DS03 Gsto de performance e capacidade DS04 Assegurar a continuidade dos servios DS05 Assegurar a segurana dos sistemas DS06 Identificar e alocar custos DS07 - Educar e treinar usurios DS08 Gerir Service Desk e incidentes DS09 Gerir configuraes DS10 - Gerir problemas DS11 Gerir dados DS12 Gerir ambiente fsico DS13 Gerir operaes
AI01 Identificar solues automatizadas AI02 - Aquisio e manuteno de sistemas aplicativos (software) AI03 Aquisio e manuteno de tecnologia de infra-estrutura AI04 Habilitar a operao e uso AI05 Obter recursos de TI AI06 Gerir mudanas AI07 Instalao e homologao de solues e mudanas
ME01 Monitorar e avaliar o desempenho de TI ME02 Monitorar e avaliar os controles internos ME03 Assegurar a conformidade (compliance) com as regulamentaes ME04 Prover Governana de TI
Figura 2: Framework do COBIT
Pgina 27
3.2.2.2. Objectivo de Controlo Pode se entender como uma formalizao sobre o resultado desejado ou propsito a ser alcanado pela implementao de procedimentos de controlo em actividades especficas TI. O COBIT comea com um Objectivo de Controlo de alto nvel, ligado a um requisito de negcio. DS-5, por exemplo, se define como sendo um Controlo sobre o processo de TI de garantir a segurana de sistemas, que preenche uma necessidade do negcio de salvaguardar a informao contra uso no autorizado, divulgao ou modificao, e contra dano ou perda. O objectivo de controlo DS-5 se divide em 21 controlos secundrios, que vo desde o Plano de Segurana da Informao, passando por controlo de acesso e proteco contra vrus, at a proteco do valor econmico. Para cada controle secundrio, o COBIT informa um conjunto de melhores prticas que permitem atingir o Objectivo de Controlo e um conjunto de Directrizes de Auditoria. Pontos fortes: Permite que TI aborde riscos no endereados explicitamente por outros modelos e que seja aprovada em auditorias. Funciona bem com outros modelos de qualidade, principalmente ITIL. Limitaes: Diz o que fazer, mas no como fazer. No lida directamente com desenvolvimento de software ou servios de TI. No fornece um road map para aprimoramento contnuo de processos. 3.2.3. Norma BS 7799 - British Standard 7799/ ISO 17799
A BS 7799 uma norma que deve servir de base para a criao de uma poltica de segurana. Teve sua primeira verso publicada em 1995. A segunda verso desta norma foi elaborada em 1999 e est dividida em duas partes:
Parte I: BS 7799-1:1999 um catlogo que agrupa 36 objectivos de controlo decompostos em 127 medidas de controlo que explicam os pontos que devem ser trabalhados na implementao dessas medidas. O foco desta parte est na gesto de risco.
Parte II: BS 7799-2:1999 apresenta um Sistema de Gesto da Segurana da Informao utilizado para fazer avaliaes eficientes em qualquer aplicao, departamento ou organizao. composta de quatro fases: o o o o Avaliao de riscos; Gesto de riscos; Implementao de meios de segurana; Declarao de aplicabilidade.
Pgina 28
No ano de 2000 houve a homologao da primeira parte a BS 7799 pela ISO (International Organization for Standardization) que originou a Norma Internacional de Segurana da Informao ISO/IEC 17799. Em Novembro de 2005, a ISO publicou a segunda edio da norma sob o ttulo ISO/IEC FDIS 17799:2005(E), que inclui a segunda parte da BS 7799, que refere-se a implementao, de um conjunto de melhores prticas de segurana aplicveis em organizaes de qualquer porte. Esta edio cancela e substitui a norma ISO/IEC 17799:2000. Limitado aspectos de segurana da informao. 3.2.4. Six Sigma
Um mtodo de aprimoramento de processo estatstico com enfoque na qualidade do ponto de vista do cliente ou do usurio desenvolvido pela Motorola. Define nveis de servio e mede variaes em relao a estes nveis. Os projectos percorrem cinco fases nomeadamente: definir, medir, analisar, aprimorar e controlar. A variante Design for Six Sigma aplica os princpios deste mtodo criao de produtos ou servios sem defeitos, e no ao aprimoramento dos que j existem. Pontos fortes: Uma abordagem orientada a dados para descobrir a raiz de problemas de negcio e resolv-los. Leva em conta o custo de qualidade. Em TI, melhor aplicado em actividades passveis de repetio e relativamente homogneas, como operaes de call center ou help desk. Design for Six Sigma pode ajudar a desenvolver boas especificaes de software. Limitaes: Projectado originalmente para ambientes de manufactura; pode ser difcil aplic-lo em processos que ainda no esto bem definidos e mensurveis. Pode aprimorar o processo, mas no diz se tem o processo certo. 3.2.5. Capability Maturity Model Integration (CMMI)
Desenvolvido pela Software Engineering Institute e Carnegie Mellon University, uma coleco de melhores prticas para desenvolvimento e manuteno de software. Permite que as empresas avaliem suas prticas e as comparem com as de outras empresas. SW-CMM mede a maturidade do processo, que progride em cinco nveis: 1 (inicial), 2 (gesto), 3 (definio), 4 (previso) e 5 (optimizao).
Pgina 29
Pontos fortes: Criado especificamente para organizaes de desenvolvimento de software. Focaliza o aprimoramento contnuo, e no apenas a manuteno de uma certificao. Pode ser usado para auto-avaliao. Limitaes: No aborda aspectos de operaes de TI como gesto de segurana, mudana e configurao, planeamento de capacidade, diagnstico e funes de help desk. Estabelece metas, mas no diz como atingi-las. 3.2.6. ISO 9000
Trata-se de um conjunto de padres auditveis de alto nvel voltados ao cliente (ISO 9000, 9001 e 9004) para sistemas de gesto de qualidade desenvolvido pela International Standards Organization. Destinado a garantir controlo, repetibilidade e boa documentao de processos (no de produtos). Pontos fortes: Bem estabelecido, amadurecido. Goza de prestgio global. Pode ser aplicado em todas organizaes. Cobre o desenvolvimento de software, operaes e servios de TI. Limitaes: Requer adaptao considervel quando utilizado em organizaes de TI. Est mais virada para aspectos repetitivos e consistncia de processos, e no directamente a qualidade dos processos. No bom para descobrir a origem de problemas. 3.2.7. Balanced Scorecard
O Balanced Scorecard (BSC) um padro usado para identificar a relao de causa - efeito entre processos e resultados e para desdobrar a estratgia em aces exequveis. O BSC, um mtodo concebido inicialmente por Robert Kaplan e David Norton num artigo para a Harvard Business School no ano de 1992, ajuda as organizaes a planear e entender sua estratgia de forma balanceada e, possibilita um raciocnio estratgico que leva em considerao questes de curto, mdio e longo prazo. Pontos fortes: Funciona muito bem para definir, planear, comunicar a estratgia e medir e monitorar o desempenho. Limitaes: Falha no suporte s actividades de melhoria contnua e no supre totalmente a necessidade de anlise dos dados sobre a satisfao dos clientes ou sobre o desempenho do processo e do produto.
Pgina 30
3.3. Razes Para Adopo de Referenciais

As organizaes podem encarar o Governo dos SI (IT Governance) como uma abordagem ad-hoc, atravs da criao dos seus prprios referenciais, baseados na experincia existente na organizao ou, em alternativa, podem adoptar normas internacionais que foram desenvolvidas e aperfeioadas recorrendo experincia acumulada ao longo de anos, por um conjunto alargado de organizaes e de profissionais que se tentam posicionar na vanguarda dos SI. Esta ltima opo apresentada e defendida por (Spafford, 2003) como sendo a mais acertada. Para este autor, existem benefcios na adopo de referenciais pois estes tm as seguintes caractersticas:
So j existentes - Podero no existir vantagens em investir tempo e esforo no desenvolvimento de um referencial metodolgico prprio baseado na experincia e no conhecimento limitado de uma s organizao quando j existem normas internacionais de SI disponveis.
So estruturados - As normas internacionais de SI habitualmente incorporam modelos estruturados que facilitam a compreenso das normas e a sua adaptao pelas organizaes e permitem que todas as partes interessadas nos SI (stakeholders) tenham uma referncia comum.
Incorporam as melhores prticas - As normas vo sendo construdas e melhoradas progressivamente ao longo dos anos, passando por um processo de avaliao por inmeras organizaes e profissionais de SI. Esta experincia acumulada de melhores prticas no possvel de alcanar com o esforo de uma s organizao.
Permitem a partilha de conhecimento - As organizaes podem beneficiar da partilha de conhecimento e de ideias (exemplos: grupos de utilizadores, websites, revistas, livros, etc.). So auditveis - Sem a existncia de normas de Gesto de SI, a misso da Auditoria de SI dificultada ou, pelo menos, no fica to facilitada para ser executada de um modo mais eficaz.
Ainda na linha de opinio de (Spafford, 2003), no existe uma resposta pr-determinada para a questo: Qual o melhor referencial a seleccionar para a Gesto de SI e para a Auditoria de SI? Mais do que seleccionar um referencial, as organizaes devem ser capazes de ter uma viso apreciativa sobre os diversos referenciais de SI existentes e planear a implementao dum referencial seu que combine/integre as melhores prticas de entre vrios referenciais j existentes, garantindo compatibilidade com as necessidades da organizao. Assim, o domnio da segurana deve ser o ponto de partida de qualquer organizao para a implementao de normas de SI. No entanto, as organizaes no se devem limitar a este tipo de
Pgina 31
normas, devendo progressivamente estende - las para outros domnios dos SI. Neste contexto, o caminho passa por no s adoptar as normas mas tambm adapt-las e integr-las num referencial que seja til para a organizao.
3.4. Uma Seleco de Trs Referenciais: COBIT, ITIL E ISO 17799

Os referenciais de SI devero garantir alinhamento com o negcio e com o Governo das Sociedades (Corporate Governance) em geral, isto para alm dos requisitos tcnicos que so j habitualmente considerados (Gomes, 2007). Neste enquadramento, a adopo de referenciais dever permitir a definio das responsabilidades (accountability) e dos nveis de deciso (decision rights) para os SI. Possuir uma organizao bem definida (responsabilidades sobre SI) e os papis de cada um clarificados (deciso sobre os SI) so dois objectivos de Gesto de SI que ficam facilitados quando se utilizam referenciais de SI. Por outro lado, estes dois objectivos devero ser encarados tambm como dois objectivos de controlo de SI, a avaliar pela Auditoria de SI.
Figura 3: Trs Referenciais Metodolgicos Integrados
Da interpretao do esquema proposto por (LeBlanc, 2004), Figura 3, que relaciona trs dos referenciais metodolgicos, pode se concluir o seguinte: Numa primeira fase, de definio, os SI devem ser tornados seguros (Secure), condio base para que os servios de SI possam ser prestados. Em fases seguintes, decorre a prestao dos servios de SI aos clientes, durante as quais deve ser efectuada a Medio (Measure) e a Anlise (Analyse) dos dados relativos qualidade dos servios. Estas duas actividades podero ser efectuadas periodicamente no mbito de uma Auditoria (Audit). Numa fase seguinte, aps a interpretao destes dados, devem ser identificadas medidas para Melhoria (Improve) dos servios. O ciclo recomea no sentido inverso, numa fase de Controlo (Control), em que se dever controlar atravs de uma Auditoria (Audit) as melhorias entretanto implementadas. Na sequncia destas, poder fazer sentido efectuar a Definio (Define) de novas medidas de segurana que melhorem a qualidade dos
Pgina 32
servios de SI. Deste modo, o ciclo de melhoria contnua inverteu-se novamente e reiniciou-se, continuando sucessivamente na busca da melhoria da qualidade dos SI. O referido autor defende que o referencial metodolgico de SI mais adequado para a definio das medidas de Segurana (Secure) a ISO 17799, para a Auditoria (Audit) o COBIT e para a Melhoria (Improve) o ITIL. Ainda, segundo Gomes (2007), o COBIT o referencial aplicado preferencialmente na Auditoria de SI pelas seguintes razes:
Na gnese do COBIT esteve a necessidade de criar um referencial para auditar os processos de SI. O ITIL teve uma origem no to abrangente (a organizao e a estruturao das reas de SI) enquanto que o ISO 17799 nasceu especializado apenas na segurana da informao.
A entidade responsvel pela elaborao do COBIT uma Associao de Auditores de SI (ISACA), o que no acontece com os outros dois referenciais. O COBIT possui uma viso de gesto dos processos de SI e privilegia o alinhamento destes com o negcio. O ITIL tambm considera o alinhamento com o negcio, mas est focado na qualidade dos Servios de SI e possui uma viso mais operacional, factores que o tornam mais adequado para Auditoria de SI quando os objectos da Auditoria forem servios e no processos de SI abrangentes. O ISO 17799 ser o referencial mais adequado nos casos de auditoria informao e sua segurana nos SI, uma vez que possui uma viso sistmica da informao.
O COBIT til para as organizaes enquanto instrumento orientador e integrador de controlos de SI em todos os nveis de Governo dos SI, pelo que tambm ser um referencial sobre o qual todos os tipos de controlos de SI podero ser auditados. O ITIL poder ser um referencial adequado para auditar os processos de Gesto de Servios de SI e o ISO 17799 para auditar os procedimentos bsicos de Gesto da Segurana da Informao.
Como consequncia, os destinatrios privilegiados do COBIT so os Auditores de SI, sendo tambm utilizado pelos Gestores de Topo e Gestores de SI. Nos casos do ITIL e do ISO 17799, a utilizao pelos Auditores de SI deve ser favorecida apenas nas situaes anteriormente indicadas, uma vez que estes dois referenciais so mais adequados para utilizao pelos Gestores de Servios de SI e pelos Gestores da Segurana da Informao respectivamente.
Pgina 33
4. TCNICAS DE ANLISE E DE CONTROLO EMPREGUES NA AUDITORIA DE SI

Vrias tcnicas podem ser utilizadas em uma auditoria de sistema de informao, desde uma simples observao, em visitas instituio, at entrevistas com os funcionrios e dirigentes, e uso de ferramentas de apoio.
4.1. ENTREVISTAS
Ao longo da auditoria podem ser feitas entrevistas com os dirigentes e funcionrios da instituio auditada, com o intuito de apresentar o plano da auditoria a ser realizada, colher dados, identificar falhas e indcios de irregularidades e, por fim, apresentar os resultados do trabalho. Segundo Dias (2000), as entrevistas podem ser: 4.1.1. Entrevista de Apresentao
recomendvel que a equipa de auditoria, no incio de seu trabalho de campo, faa uma entrevista de apresentao com os dirigentes da instituio auditada. Em geral, nessa entrevista so apresentados todos os membros da equipa, o cronograma de actividades, os objectivos da auditoria, as reas a serem auditadas, o perodo de execuo dos trabalhos e as metodologias que sero adoptadas. Normalmente solicitada a cooperao do auditado, assim como acomodaes adequadas para a equipa (sala, mesa, armrio, etc.), durante a execuo do trabalho de campo. Com frequncia as instituies designam um dos seus gestores para actuar como ponto focal entre a equipa de auditoria e as chefias dos departamentos envolvidos. 4.1.2. Entrevistas de Recolha de Dados
Durante a auditoria podem ser feitas entrevistas aos gestores e funcionrios da rea auditada, com intuito de recolher dados sobre os sistemas ou ambiente de informtica. Nessas entrevistas, podem ser identificados os pontos fortes de controlo, as falhas e possveis irregularidades. A equipa deve confirmar os factos relatados e, de preferncia, apresentar ao entrevistado, antes da reviso final do relatrio, partes do texto referentes a assuntos tratados com ele durante a entrevista.
Pgina 34
Dependendo dos casos pode-se produzir um Auto Declarao4 que assinado pelos auditores presentes e pelo declarante. O Auto Declarao um documento de suporte e serve como evidncia perante factos constatados durante a auditoria. Com isso evita-se qualquer mal-entendido ou desvios de interpretao do que foi dito por cada entrevistado. 4.1.3. Entrevistas de Discusso das Deficincias Encontradas
No trmino das investigaes, comum serem apresentadas aos responsveis de cada rea auditada, as deficincias encontradas. Nessas entrevistas, os responsveis podem discutir abertamente os pontos crticos e apresentar justificativas para tais falhas. Dependendo da justificativa dada, a falha correspondente pode ser desconsiderada ou a prpria justificativa pode ser includa no relatrio de auditoria. Dessa forma interactiva, a equipa de auditoria d oportunidade ao auditado de expor seus pontos de vista. Vale ressaltar, entretanto, que nem todas as auditorias permitem essa discusso aberta com o auditado. 4.1.4. Entrevista de Encerramento
Ao final dos trabalhos de auditoria, a equipa se rene novamente com os dirigentes da instituio auditada. Nessa ocasio, so feitos agradecimentos colaborao da direco e seus funcionrios e so relembrados os objectivos de auditoria como tambm, se apresenta um resumo dos resultados de auditoria.
4.2. QUESTIONRIOS
habitual que o auditor comece por solicitar o preenchimento de questionrios previamente impressos e enviados aos responsveis das diversas reas a auditar, podendo o mesmo envio ser feito para utilizadores de outros nveis (Carneiro, 2004). As respostas permitem uma anlise inicial que, por sua vez, ir orientar o trabalho do auditor e at a elaborao do seu relatrio final. Se o auditor tiver obtido uma informao adequada por outros meios, este instrumento pode ser omitido.
Documento elaborado durante a auditoria mediante factos relatados mas que no possuem evidncia pela qual o auditor se pode apoiar. assinado pelo declarante e pelos membros da equipa de auditoria presentes.
Pgina 35
4.3. CHECKLIST
O auditor deve construir perguntas muito estudadas e de formulao flexvel, que o conduzam a obter respostas coerentes e que permitam uma correcta descrio dos pontos fracos e fortes. Este conjunto de perguntas tem o nome de checklist (Carneiro, 2004). Regra geral, os checklists devem ser respondidos oralmente, pois podem fornecer contedos mais individualizados e mais ricos do que as outras formas. Segundo Carneiro (2004), os checklists podem ser avaliados por dois processos: 4.3.1. Checklists com escala de avaliao
Contm perguntas cujas respostas devem ser classificadas dentro de um intervalo preestabelecido (por exemplo, de 1 a 5, sendo 1 a resposta mais negativa e 5 o valor mais positivo). Exemplo de um checklist com escala de avaliao Durante uma auditoria sobre a segurana fsica de uma dada instalao, pretende-se analisar o controlo dos acessos de pessoas e objectos diversos ao Centro de Processamento de Dados. As respostas formuladas so avaliadas de acordo com uma escala da tabela 2. Designao Pontuao Muito deficiente 1 Deficiente Aceitvel 2 3 Algo Inteiramente correcto correcto 4 5
Tabela 2 :Escala de Avaliao
As perguntas devem ser colocadas ao auditado sem qualquer comentrio s suas respostas para evitar problemas de fiabilidade (Tabela 3). O resultado seria a mdia das pontuaes: (1 + 2 + 2 + 4) /4 = 2,25, o que significa, de acordo com a escala referida, que a situao deve ser classificada como "deficiente".
Pgina 36
Perguntas Existe algum pessoal dos servios de segurana que vigie as zonas externas do edifcio? No que se refere segurana interna do edifcio, h pelo menos um vigilante por turno na zona do Centro de Processamento de Dados? H alguma sada de emergncia alm daquela que usada para a entrada e sada de equipamento? O pessoal que se ocupa das comunicaes internas pode entrar directamente na Sala dos Computadores?
Respostas No. Durante a noite h apenas um guarda que se encarrega tambm de um outro edifcio que existe perto deste. Sim, mas este funcionrio tem de deslocar-se a outros 4 andares quando necessrio. Sim, mas muitas vezes h caixotes empilhados junto porta, o que dificulta a passagem. No. Apenas tem autorizao para tal o chefe desse servio. Os seus colaboradores necessitam de ter uma justificao e de avisar o Chefe da Sala.
Pont uao 1
Tabela 3: Exemplo de Checklist com Escala de Avaliao
4.3.2.
Checklist com perguntas fechadas
Como se infere do nome, as respostas apenas podem ser "Sim" ou "No". Em termos de pontuao, a primeira equivale a 1 (um) e a segunda a 0 (zero). Exemplo de um checklist com perguntas fechadas Suponha-se que est a decorrer uma reviso dos mtodos de provas de programas no mbito de um Desenvolvimento de Projectos (Tabela 4).
Perguntas Existe alguma norma segundo a qual o utilizador final faa a comprovao dos resultados finais dos programas? O pessoal do Desenvolvimento sabe da existncia dessa norma? Essa norma aplica-se em todos os casos? Existe uma norma segundo a qual as provas tenham de realizar-se com jogos de ensaio ou fazendo uma cpia de bases de dados reais? Tabela 4:Exemplo de Checklist com Perguntas Fechadas
Respostas Sim Sim No No
Pontuao 1 1 0 0
Pgina 37
Os checklists com escala so adequados se a equipa tcnica que efectua a auditoria no muito grande e se tm critrios uniformes e equivalentes nas avaliaes, pois permitem uma maior preciso na avaliao do que os checklists com perguntas fechadas. No entanto, a justeza do mtodo depende muito da formao e competncia dessa mesma equipa. Os checklists com perguntas fechadas tm a vantagem de poderem ser utilizadas por vrios membros da equipa de auditoria, mas apresentam o inconveniente de exigirem respostas "Sim" e "No", no permitindo, assim, captar outras alternativas que poderiam ter interesse para o processo de anlise.
4.4. ANLISE DE RELATRIOS DE CONTROLO INTERNO

A anlise dos relatrios sobre o controlo interno uma tcnica muito importante para se poder avaliar a eficcia do sistema e exige que sejam considerados aspectos como o nvel de utilizao de cada utilizador, a forma de distribuio desses relatrios, a sua maior ou menor confidencialidade e a utilizao da informao que contm (Carneiro, 2004).
4.5. ANALISE PRESENCIAL

No decurso da sua anlise, indispensvel que o auditor visite as instalaes da organizao a auditar, em particular das que integram o sistema de informao informatizado, no que se refere a equipamentos, procedimentos e recursos tcnicos. A anlise presencial acompanha a aplicao de outras tcnicas, em particular os questionrios.
4.6. USO DE TCNICAS OU FERRAMENTAS DE APOIO

Alm de auditar sistemas de informao, os auditores tambm utilizam a informtica para realizar suas tarefas de auditoria. O termo CAATs (Computer Assisted Audit Techniques) define uma srie de tcnicas reconhecidamente teis na execuo de auditorias, as quais podem ser divididas em trs categorias bsicas (Dias, 2000), designadamente: Tcnicas para anlise de dados, Tcnicas para verificao de controlos de sistemas e Outras ferramentas.
Pgina 38
4.6.1.
Tcnicas Para Anlise de Dados
Os dados do auditado podem ser colectados e analisados com auxlio de softwares (Tabela 5) de extraco de dados, de amostragem, e de analise de logs. 4.6.1.1. Anlise do Log/Accounting O ficheiro Log/Accounting uma anotao histrica que informa sobre as alteraes que vo acontecendo e como aconteceram durante utilizao do hardware e do software que integram o SI informatizado. 4.6.2. Tcnicas Para Verificao de Controlos de Sistemas
Essas tcnicas permitem ao auditor testar a efectividade dos controlos dos sistemas do auditado. Pode-se analisar sua confiabilidade e ainda determinar se esto operando correctamente a ponto de garantir a fidedignidade dos dados. Dentre as tcnicas mais utilizadas, pode-se citar: Simulaes, Mapeamento estatstico de programas, Rastreamento de programas. 4.6.2.1. Mapeamento Estatstico dos Programas O auditor utiliza esta tcnica para verificar situaes como a existncia de rotinas que no so utilizadas e identificar o nmero de vezes que cada rotina foi utilizada durante o processamento de dados. 4.6.2.2. Rastreio de Programas Apoiando-se em softwares potentes e modulares que permitem seguir o percurso dos dados no contexto de um dado programa, o auditor informtico verifica at que ponto que os programas instalados no sistema realizam exactamente as funes pretendidas e previstas e no outras. Em particular, estes percursos so utilizados para comprovar a execuo das validaes de dados previstas, sem que o sistema seja modificado (Carneiro, 2004).
Pgina 39
4.6.2.3. Simulao Test-Deck Para a aplicao desta tcnica, submete-se um conjunto de dados de teste ao programa ou rotina que vigora no sistema. Se se verificar que todos os resultados obtidos atravs desse programa ou rotina esto incorrectos, pode-se concluir pela inadequao da lgica do processo que est a ser auditado. A simulao dos dados que so utilizados para testar a situao de um dado programa deve poder prever situaes correctas e incorrectas como, por exemplo, transaces incompletas, incompatveis, duplicadas ou com campos invlidos. A aplicao da tcnica de simulao de dados implica que o auditor tenha bons conhecimentos de anlise de sistemas. A Figura 4 descreve as fases empregues na simulao test-deck.
Elaborao de simulao de dados de teste
Seleco do mdulo do sistema
Escolha dos parmetros de controlo
Preparao de formulrios de controlo Transcrio dos dados para o sistema
Produo do relatrio sobre o ponto de controlo
Avaliao de resultados
Processame nto dos dados
Figura 4: Sequncia das Fases da Tcnica Test-Deck
4.6.2.4. Simulao Paralela Na chamada simulao paralela, o auditor comea por identificar a rotina que deve ser auditada e os ficheiros com os dados que tm sido utilizados. Posteriormente, prepara um programa informtico de acordo com a lgica da rotina em questo, a fim de simular as funes de rotina do sistema que est a ser auditado. A este programa so submetidos conjuntos de dados de rotina que foram previamente processados no programa instalado no sistema. Consegue-se assim uma comparao entre as duas formas de processamento, o que permite avaliar a operacionalizao do programa em anlise.
Pgina 40
4.6.3.
Outras Ferramentas
Existem ferramentas que no so necessariamente de auditoria, mas sem dvida, auxiliam o auditor durante a execuo da auditoria e na elaborao do relatrio. Nessa categoria se encontram os editores de texto, planilhas electrnicas, bancos de dados, softwares para apresentaes e outros. A tabela 5 mostra os softwares mais usados na auditoria de SI.
Fases de Auditoria Planeamento
Software MS Project, Cbeam, EXCEL e Outlook Visio, Powerpoint Word, Excel, SPSS, COBIT,COBRA SQL Server, MY SQL, ORACLE
Finalidade planos, cronogramas esquemas, fluxos e desenho questionrios extraco de dados amostras anlise de dados regresso Linear simulao, grficos documentao, avaliao do controlo interno comunicao texto apresentao divulgao
Execuo (Recolha de evidncia)
ACL, IDEA, SPSS ACL, Access, Excel, IDEA SPSS, Excel Excel Cbeam, Infocus Outlook Word, Excel
Relatrio
Powerpoint Acrobat, Outlook
Tabela 5: Software utilizado na Auditoria de Sistemas de Informao
Pgina 41
5. ANLISE DE RISCO E TESTES NA AUDITORIA DE SI
5.1. RISCO EM AUDITORIA DE SI

De acordo com a norma SAS N 47, do Instituto Americano de Certificao dos Auditores Pblicos, o risco de auditoria aquele em que auditor incorre ao emitir uma opinio favorvel quando existem erros materialmente relevantes (AU312, 2006). 5.1.1. Natureza do Risco de Auditoria Segundo Oliveiras (2005), os riscos podem ser agrupados em duas dimenses, conforme ilustrado na Figura 5.
Duas Dimenses do Risco
O Risco de que a informao contenha um erro material
O Risco de que o auditor no detecte um erro material
Risco Inerente (RI)
Risco de Controlo (RC)
Risco de Deteco (RD)
Risco de controlos Gerais (RCG) Figura 5: Dimenses de Risco
Risco de controlos Aplicacionais (RCA)
Risco de controlos de Utilizao (RCU)
5.1.1.1. Risco de que a informao contenha um erro material Nesta perspectiva, se encontra, dois tipos de risco, designadamente risco inerente e risco de controlo. Risco inerente a susceptibilidade dos recursos de informao ou dos recursos controlados pelo Sistema de Informao serem roubados, destrudos, ignorados, modificados sem autorizao, ou
Pgina 42
sofrer outros danos, assumindo que no existem controlos internos relacionados. Este risco refere-se ao negcio e sua envolvente. Todos os negcios tm os seus prprios nveis de risco porm, deve-se prestar particular ateno nos seguintes aspectos: Histria conhecida no sector, Atraco para o abismo Contexto Ramo de actividade (Banca, Sade, Construo Civil, etc). Risco de controlo o risco de que um erro materialmente relevante nos dados da entidade no ser prevenido ou detectado e corrigido atempadamente pela estrutura de controlo interno da entidade. A Figura 6 descreve os trs tipos de risco de controlo e suas respectivas abrangncias, no contexto de sistemas de informao informatizados.
Figura 6: Tipos de Riscos de Controlo
O risco global de controlo interno ser obtido a partir da combinao dos resultados obtidos nos controlos: gerais, aplicacionais e de utilizao.
Pgina 43
5.1.1.2. Risco de que o auditor no detecte um erro material Conforme ilustrado na Figura 5, nesta dimenso se encontra o risco de deteco. Risco de deteco o risco de que os procedimentos de auditoria no permitam detectar um erro material existente na informao. Pode ser determinado a partir da matriz de risco mostrado na Figura 7. 5.1.2. Relao entre os riscos O risco geral de auditoria (RA), pela forma como se relaciona com os SI, pode ser pensado como o produto dos trs riscos componentes: RA = RI * RC * RD com base no nvel do risco de auditoria e na avaliao dos riscos inerente e de controlo da entidade, que o auditor determina a natureza, durao e extenso dos procedimentos substantivos de auditoria necessrios para se atingir o risco de deteco desejvel. Desta forma pode-se determinar o tamanho da amostra a partir do risco de deteco, quanto maior for o risco de deteco menor o tamanho da amostra (EFICINCIA) (Banha, 2005). Por este mtodo obtm - se uma aproximao cientfica auditoria de SI baseada na anlise de risco.
Figura 7: Matriz de Riscos
Pgina 44
5.2. TESTES EM AUDITORIA DE SISTEMA DE INFORMAO

O objectivo dos testes de obter uma evidncia suficiente para emitir opinio e concluir a misso de auditoria (Banha, 2005). Ainda, de acordo com Banha (2005), em auditoria existe dois tipos de testes, nomeadamente: Testes de conformidade; e Teste substantivos. 5.2.1. Testes de Conformidade Destinam-se a confirmar se os procedimentos contabilsticos e as medidas de controlo interno sobre os quais a auditoria se ir basear, sendo adequados, se encontram em funcionamento ao longo do exerccio. Estes testes, no verificam directamente se os dados de um computador em particular so vlidos e fiveis. Nessa avaliao, identifica-se os pontos fortes, fracos e as ineficincias. Essa identificao importante, pois pode-se dirigir os testes substantivos dando maior ateno s reas em que os controlos so fracos e a probabilidade de erros maior. 5.2.1.1. Avaliao do Controlo Interno Como parte da avaliao do risco de controlo, o auditor deve tambm efectuar uma avaliao preliminar que verifique se os controlos relacionados com os sistemas de informao so eficazes. Esta avaliao tem por base: Reunies com o pessoal; Observao das operaes relacionadas com a informtica; e Reviso de polticas e procedimentos da entidade. Ao confiar nestas avaliaes preliminares para planear os testes de auditoria, o auditor pode evitar o dispndio de recursos nos testes de controlo que claramente no so eficazes. A avaliao do controlo interno realizada em trs fases: 1. Avaliao e teste dos controlos gerais; 2. Avaliao e teste dos controlos das aplicaes; e
Pgina 45
3. Avaliao e teste dos controlos de utilizao. Estes controlos tm de ser eficazes para ajudarem a assegurar a fiabilidade, confidencialidade apropriada e a disponibilidade da informao crtica automatizada. O auditor avalia e testa a eficcia dos controlos atravs da utilizao de diversas tcnicas, descritas no ponto 4 do captulo II. Estas incluem: A observao do funcionamento e execuo dos controlos; A anlise da documentao relacionada com os controlos; Discusso dos controlos com os funcionrios; e Questionrios, inquritos e inspeces. 5.2.2. Testes Substantivos Teste para determinar se certos dados produzidos por um sistema so vlidos e fiveis. No estabelecem a existncia ou adequabilidade dos controlos de sistema ou se tais controlos esto em conformidade, mas podem indicar fraquezas de controlo. Destinam-se a confirmar o adequado processamento comparado com o suporte documental das operaes, anlises de pormenor de transaces e dos procedimentos analticos (anlises de rcios e tendncias significativas). Segundo Banha (2005), o nvel de materialidade seleccionando pelo auditor, juntamente com a avaliao do risco da auditoria, esto em relao directa com a profundidade dos testes a realizar, sobretudo no que se refere aos testes substantivos.
Pgina 46
CAPTULO III: METODOLOGIA PARA AUDITORIA DE SISTEMA DE INFORMAO NA ADMINISTRAO PBLICA ESTUDO DE CASO IGF 1. APRESENTAO DA IGF
1.1. Misso e competncias
Segundo o Decreto n 40/99 de 29 de Junho, a Inspeco Geral de Finanas (IGF) um rgo de controlo superior financeiro do Estado e de apoio ao Ministro que superintende a rea das Finanas no mbito da gesto dos fundos pblicos e controlo patrimonial. A IGF parte integrante do Ministrio das Finanas e funciona na directa dependncia do respectivo Ministro. A IGF tem como atribuies fundamentais realizar o controlo da administrao financeira do Estado, incumbindo-lhe o exerccio do controlo nos domnios oramental, financeiro e patrimonial, de acordo com os princpios da legalidade, regularidade e da boa gesto financeira, contribuindo para a economia, a eficcia e a eficincia na obteno das receitas e na realizao das despesas pblicas nacionais. A IGF exerce a sua actividade em todo o territrio nacional e nas misses ou delegaes do Pas no exterior. No mbito do controlo oramental, financeiro e patrimonial cumpre IGF: a) Realizar inspeces/Auditorias aos rgos do Estado, suas instituies e pessoas colectivas de direito pblico ainda que personalizados, incluindo as autarquias locais; b) Efectuar inspeces/auditorias a empresas pblicas, estatais e mistas onde o Estado detenha participao no respectivo capital, com excepo das instituies de crdito, parabancrias e de seguros; c) Efectuar, mediante despacho do Ministro que superintende a rea das Finanas, auditorias ou exames escrita das empresas e entidades privadas ou cooperativas, quando sejam sujeitas de relaes financeiras ou tributrias com o Estado ou quando se mostre indispensvel ao controlo indirecto de quaisquer entidades objecto de interveno da IGF; d) Proceder a inquritos e sindicncias superiormente determinados ou por conhecimento directo de matria pertinente no decurso das suas actividades; e) Levantar autos de transgresso quando, no decurso ou em resultado de inspeces, inquritos ou sindicncias, se detectem infraces s leis fiscais;
Pgina 47
f) Acompanhar a adopo e implementao de medidas por si propostas; g) Exercer quaisquer funes que lhe sejam ou venham a ser atribudas por lei. 1.2. Estrutura Orgnica Actual da IGF
Ainda de acordo com o Decreto n 40/99 de 29 de Junho a IGF dirigida por um Inspector-Geral, coadjuvado por um Inspector Geral Adjunto, ambos nomeados por despacho do Ministro que superintende a rea das Finanas. O anexo 3 ilustra a estrutura orgnica da IGF, que compreende cinco departamentos, uma repartio e duas delegaes regionais, designadamente: a) Departamento de Inspeco aos rgos do Estado e suas instituies (DIOE) Compete a este departamento proceder com inspeco ou auditoria respeitantes gesto e situao econmico-financeira de quaisquer servios pblicos e suas instituies subordinadas, incluindo instituies com autonomia administrativa, financeira e patrimonial. b) Departamento de Inspeco s Autarquias (DIA) Compete fiscalizar a legalidade da gesto financeira e patrimonial das autarquias, incluindo servios municipalizados e empresas pblicas municipais e das associaes ou federaes autrquicas. c) Departamento de Auditoria s Empresas (DAE) Efectua inspeces ou auditorias s empresas pblicas e estatais, s associaes de capitais pblicos e empresas de capitais mistos, com excepo das instituies de crdito, parabancrias e seguros. d) Departamento de Inspeco aos sectores Tributrio e Aduaneiro (DITA) Inspecciona as Direces Nacionais de Tesouro, Imposto e Auditoria e das Alfandegas, no que refere a gesto dos recursos humanos e, controlo e execuo oramental, contabilstico, patrimonial, da receita, da despesa e das actividades subsidiarias com elas relacionadas. e) Departamento Tcnico (DT) Ao DT compete efectuar estudos sobre matrias de interesse da IGF e promover a realizao de projectos de interesse para o organismo; providenciar apoio tcnico s equipas de inspeco;
Pgina 48
promover aces de formao; coordenar a utilizao de meios informticos e apoiar o desenvolvimento das aplicaes informticas; f) Repartio de Administrao e Finanas (RAF) RAF compete conceder todo apoio logstico e burocrtico IGF. g) Delegao Regional Centro (DRC) e Delegao Regional Norte (DRN) s delegaes regionais, compete-lhes apoiar o desenvolvimento das aces promovidas pelos departamentos operacionais e executar tarefas de carcter administrativo inerentes ao seu funcionamento. 1.3. Destinatrios dos Produtos da IGF
Os principais destinatrios dos produtos da IGF so o Ministro das Finanas e os outros membros do Governo. Porm, podero existir outros interessados no trabalho desenvolvido pela IGF, tais como a Procuradoria-Geral da Repblica, o Tribunal Administrativo, as entidades auditadas e os doadores.
2. CARACTERIZAO DO AMBIENTE DE INTERVENO DA IGF

Para a obteno da informao foi utilizado um questionrio, anexo 1, dividido em cinco reas designadamente: Auditoria e Controlo Interno, Organizao do Sector de Informtica, Infraestrutura Aplicacional, Infra-estrutura Tecnolgica e Utilizao da Internet e Correio Electrnico. O inqurito foi realizado nos meses de Maro, Abril e Maio de 2007, na cidade de Maputo, visto possuir mais de 50% do parque informtico nacional5. O estudo centrou-se em instituies como ministrios, empresas pblicas, institutos pblicos e outras de nvel central. No total foram enviados 47 questionrios s instituies, dos quais obteve-se 34 respostas, o que corresponde a uma taxa de adeso de 72,3%, conforme ilustra a tabela 1. Os resultados que se apresentam seguem a sequncia do questionrio, descrita anteriormente, anexo 1.
Segundo o 1 Inqurito Nacional sobre a Capacidade Informtica do Pas, realizado no ano 2000, ficou demonstrado que mais de 50% do parque informtico nacional est concentrado na cidade capital. (Politica de Informtica)
Pgina 49
2.1.
Auditoria e Controlo Interno
De referir que apesar de maior parte das instituies, abrangidas pelo estudo, possurem rgos de controlo (Quadro 1 do anexo 4), cerca de 76 % no realizam auditoria no ambiente informtico o que representa preocupao sabidos os investimentos realizados nesta rea e os riscos inerentes utilizao das tecnologias de informao. Importa referir que mesmo as instituies que realizam auditoria no seu ambiente informtico, 44% no o fazem com periodicidade. 2.2. Organizao do Sector de Informtica
Dos dados obtidos relativamente Organizao dos Sectores de Informtica (Quadro II do Anexo 4), constata-se que 9% das instituies com particular destaque para os Ministrios no possuem sectores de informticas, apesar de serem detentoras e utilizadores de recursos computacionais (computadores, aplicaes informticas, entre outros). Verifica-se ainda que 65% das instituies possuem contratos de assistncia tcnica tanto de hardware como de software. De referir que boa parte das instituies, 65% trabalham na base de um plano estratgico. 2.3. Infra-Estrutura Tecnolgica e Aplicacional
Os dados obtidos relativamente infra-estrutura tecnolgica e aplicacional existentes a nvel das instituies inquiridas (Quadro III e IV do Anexo 4) permitem constatar que: Dos computadores existentes, 79% so da famlia do Pentium III e IV, o que parece indicar que, apesar dos condicionalismos existentes, h um esforo de apetrechamento do parque informtico. Ser interessante tentar relacionar a frequncia com que so actualizados os equipamentos com a facilidade de se obter financiamentos para investimentos realizados nesta rea. Cerca de 88 % das instituies possuem rede interna, sendo que a maioria dessas redes esto ligadas Internet. Todos os inquiridos utilizam o sistema operativo windows nos postos de trabalho. Os outros sistemas operativos como Linux, Solares, Unix, Macintosh, Novell e outros so usados nos sectores de informtica muitas vezes em servidores, com excepo do e-SISTAFE que utiliza o linux como sistema operacional no posto de trabalho.
Pgina 50
2.4.
Utilizao da Internet e Correio Electrnico
Do total das instituies inquiridas, 56% possuem correio electrnico interno suportado por meios tecnolgicos da instituio e nessas instituies a percentagem dos funcionrios que utilizam o correio electrnico aproxima-se aos 100% (Quadro V do Anexo 4). A Internet um meio a que a Administrao Pblica pode recorrer, quer como utilizadora quer como prestadora de servios. Na perspectiva de utilizadora, a percentagem de instituies com ligao Internet de 97%, Quadro IV do Anexo 4. Na perspectiva de prestadora de servios, a percentagem de organismos que disponibiliza informao/servios na Internet de 65%, destes 68% suportam estes servios com recursos tecnolgicos prprios, isto , possuem a Pgina Web alojada na instituio (Quadro V do Anexo 4). 2.5. Consideraes Gerais
Apesar das dificuldades encontradas na recolha da informao, para o presente estudo, o inqurito cobriu uma parte significativa dos Ministrios (64 %) o que permitiu obter uma viso geral do ambiente de actuao da IGF na vertente das Tecnologias de Informao e Comunicao (TIC). De referir que as instituies do sector pblico, a nvel da infra-estrutura tecnolgica e aplicacional, esto razoavelmente equipadas. Algumas instituies, com maior destaque para as empresas pblicas, so detentoras de aplicaes de suporte para recursos humanos, contabilidade e finanas e outras reas operacionais. As instituies do Estado sem autonomia financeira, administrativa e patrimonial, esto de forma paulatina a integrar o novo Sistema de Administrao Financeira do Estado (SISTAFE), o que significa que a IGF ter de envidar esforos de forma a lidar com este novo ambiente. Prev-se, ainda, a integrao de outras instituies como Municpios e Institutos Pblicos. A nvel das instituies que tem por vocao a arrecadao de receitas do Estado, como as Direces Gerais das Alfandegas e dos Impostos, verifica-se tambm um esforo na automatizao dos seus processos de negcio, exemplos disso so os sistema TIMS (DGA) e SICR e NUIT (DGI). A maior parte das instituies est conectada em redes de computadores e estas Internet. Possuem correio electrnico interno e tem presena na Internet atravs das pginas Web.
Pgina 51
Com a efectivao da rede electrnica do Governo (GovNet), levado a cabo pela Comisso Para a Politica de Informtica, que visa a interligao das instituies do Governo, prev-se que num futuro breve, maior parte das instituies que no detm servidores de correio electrnico possam vir a beneficiar-se deste projecto, uma vez que presta servios nesta rea. Este cenrio poder levar a que, caso se crie regulamentao para tal, uma percentagem razovel das interaces/contactos entre instituies da Administrao Pblica se faam prioritariamente de forma electrnica.
3. PROCEDIMENTO ACTUAL DE REALIZAO DE AUDITORIA

O procedimento de auditoria efectuado pela IGF compreende as fases de planificao, execuo e elaborao de relatrio, descritas a seguir:
3.1.
Fase de Planificao
Nos finais de cada ano, todos os departamentos/delegaes da IGF, iniciam o processo de preparao do plano anual de actividades para o ano seguinte. Os Departamentos operacionais e as Delegaes submetem ao Departamento Tcnico as propostas do plano de actividades a nvel do departamento/delegao para compilao. Estas propostas so discutidas em Colectivo de Direco, no qual participam todos os chefes dos departamentos/delegados, chefe da RAF e alguns tcnicos convidados, sendo depois submetida ao Ministro das Finanas para homologao. O Plano de Actividades aprovado pelo Ministro das Finanas, divulgado em todos rgos da instituio para o seu conhecimento e execuo. A partir da, os departamentos operacionais elaboram propostas de equipas de auditoria e submetem apreciao e aprovao do Inspectorgeral. Uma vez designada a equipa que ir executar uma determinada aco, esta inicia o processo de planificao para execuo dos trabalhos, recolhendo toda a documentao/legislao relacionada com a instituio que ser objecto da auditoria. Deste processo, resulta o programa de auditoria, no qual, dentre outras informaes devem constar os integrantes da equipa, os recursos necessrios, estimativas de prazos, objectivos da auditoria, reas de interveno, entre outros. O programa de auditoria, elaborado pela equipa, submetido apreciao do chefe do departamento. Neste processo de preparao da execuo da auditoria, envolve-se tambm a RAF, com vista a criar condies logsticas necessrias realizao da aco. Antes de a equipa deslocar-se instituio a auditar, recebe uma credencial que a legitima a realizar a auditoria.
Pgina 52
3.2.
Fase de Execuo
Chegada instituio, a auditar, a equipa apresenta-se ao dirigente ou representante ao qual exposta a credencial passada pela IGF e so dados os esclarecimentos sobre os objectivos e objecto da auditoria. , ainda, solicitado instituio a indicao de uma sala de trabalhos para a equipa e indivduos que interagiro com a equipa durante a realizao da auditoria. Nesta etapa, faz-se o levantamento, verificaes, avaliao do controlo interno e recolha das evidncias. Se necessrio, so solicitados esclarecimentos instituio relativamente s irregularidades detectadas. Durante esta fase a equipa acompanhada por um supervisor ou chefe do departamento, para ajudar a dissipar possveis dificuldades e garantir que os objectivos da auditoria sejam alcanados. 3.3. Fase de Elaborao do Relatrio
As constataes apuradas so apresentadas num relatrio onde, tambm so indicadas as recomendaes e concluses a que se chegou com a realizao da auditoria. Normalmente, o relatrio da auditoria elaborado na IGF, apesar de a equipa de auditoria proceder apresentao de um breve resumo do trabalho realizado ao dirigente da instituio antes de deixar a mesma. O relatrio submetido ao chefe do departamento para apreciao e posterior submisso ao InspectorGeral. Em seguida, o relatrio de auditoria enviado instituio auditada para num prazo de 15 dias se pronunciar em relao s constataes do relatrio. A equipa que realizou a auditoria procede a consolidao do relatrio com base nos comentrios recebidos da instituio auditada. O relatrio consolidado, segue ao Ministro das Finanas para Despacho e seguidamente dado a conhecer instituio auditada e a outros intervenientes (relatrio com despacho do Ministro) para o seu cumprimento. 3.4. Resumo das constataes/ Deficincias no Processo Actual
No actual processo de realizao de auditorias na IGF, podem-se destacar as seguintes situaes:
Ausncia do planeamento de auditorias de SI At ao momento, este tipo de auditoria no realizado. Em alguns casos, no decurso de uma auditoria financeira normal, se os auditores, se depararem com um sistema informtico onde se duvida da conformidade da informao financeira fornecida, proveniente de tal sistema, solicitam o apoio dos tcnicos de informtica para auxiliarem nas avaliaes. Contudo, as
Pgina 53
aces de auditoria de SI devem ser planificadas e constarem do Plano de Actividades da instituio.
N demasiado reduzido de tcnicos de informtica Actualmente, a IGF possui um efectivo de trs tcnicos de informtica, afectos ao Departamento Tcnico. Este n insuficiente se se partir do princpio de que os mesmos, para alm do apoiar as equipas de auditoria no terreno, desempenham outras tarefas, algumas de carcter rotineiro tais como: desenvolvimento e manuteno de aplicaes, gesto da infraestrutura de rede, manuteno de equipamento informtico, apoio aos utilizadores, etc.
Ausncia no organigrama da IGF de um sector de auditoria de SI A existncia deste sector na IGF iria possibilitar a realizao de auditorias especializadas na rea de SI e permitir que os seus integrantes desenvolvessem habilidades e competncias tcnicas com foco nesta rea.
Falta de operacionalizao do Centro de Documentao Existe um Centro de Documentao que no est sendo explorado devido ao facto desta no conter bibliografia actual e de interesse para os auditores. Segundo Dias (2000), o grupo de auditores de SI e demais auditores de uma instituio deve ter, a sua disposio, uma biblioteca tcnica para consulta. Dessa forma podero orientar seus trabalhos de acordo com os padres conhecidos na rea, manter-se actualizados com relao as novas tecnologias e utilizar publicaes tcnicas como fonte de consulta durante a auditoria e na elaborao do relatrio.
Ausncia de um sector para velar pela qualidade dos relatrios Este sector de vital importncia para organizaes deste tipo uma vez que os auditores trabalham com matrias sensveis que afectam a vida de pessoas e instituies, sendo assim importantssima a reviso dos relatrios de auditoria por pessoal especializado.
Ausncia de procedimentos para acompanhamento das recomendaes Actualmente, no existe uma forma uniforme e padronizada para o processo de acompanhamento das recomendaes, muitas vezes os auditores aproveitam saber do que foi feito durante a realizao de aces de auditorias normais, o que no deveria ser pois, esta
Pgina 54
tambm uma verdadeira aco de auditoria que procura saber o estado de implementao das recomendaes emanadas nos relatrios de auditoria.
Ausncia de uma metodologia de auditoria de SI A ausncia de uma metodologia de auditoria de SI padronizada, acarreta aces desordenadas realizadas por um mesmo rgo, com critrios de avaliao diferentes e, muitas vezes, para um mesmo tipo de constatao, recomendaes incoerentes e conflituosos.
Pgina 55
4. METODOLOGIA PROPOSTA
Analisadas as deficincias apresentadas no procedimento actual de auditoria, efectuada pela IGF, e tendo estudado os referenciais metodolgicos apresentado no ponto 3 do captulo II e tendo como ponto de partida a natureza e misso da IGF, se apresenta a metodologia proposta. Referir igualmente que grande parte da metodologia baseou-se no referencial metodolgico COBIT por ser, segundo Gomes (2007), o referencial mais adequado para a auditoria de SI. Esta metodologia segue igualmente as quatro fases (boas prticas) propostas por organizaes internacionais de auditoria como so os casos do IIA, INTOSAI, ISACA, entre outros, abordadas no Captulo II. Foi desenvolvido um fluxograma representado na Figura 8, na qual cada fase se desdobra em uma srie de actividades, as quais esto descritas a seguir:
4.1.
Fase de Planeamento
Nos finais de cada ano, o responsvel pelo sector de auditoria de SI, em coordenao com a sua equipa, deve identificar as aces que o sector ir realizar com base em critrios previamente definidos pela instituio e submeter ao Departamento Tcnico. Desta forma, assegura que todas as suas aces estejam contidas no Plano de Actividade aprovado pelo Ministro das Finanas.
Pgina 56
Nesta fase, deve-se definir os objectivos das aces de auditoria, reas objecto de interveno, estimativas de tempo, tcnicos e custos necessrios para a realizao da aco e alocao de recursos s aces.
Planeamento de Auditoria
Identificao de aces a nvel do Sector de Aud SI Incluso das aces no Plano de Actividade Aprovao do Plano pelo Ministro das Finanas
Execuo de Auditoria
Planificao da execuo da auditoria
Reporte dos Achados de Auditoria

Elaborao do rascunho inicial do relatrio Reviso relatrios auditoria dos de
Acompanhamento Das Recomendaes

Reporte das medidas tomadas e executadas
Consulta da Documentao da instituio a auditar Apresentao da equipa instituio a auditar Avaliao do controlo interno (T. de Conformidade) Execuo dos testes substantivos
Apreciao do relatrio de auditoria pela Direco Processo de Contraditrio
Despacho Ministro Finanas
do das
Apresentao das concluses instituio auditada
Envio do relatrio para as instituies envolvidas Arquivo dos papis de trabalho e do relatrio.
COBIT FRAMEWORK & OBJECTIVOS DE CONTROLO

Figura 8: Fluxograma da Metodologia proposta
4.2.
Fase de Execuo
Conforme ilustrado na Figura 8, esta etapa compreende cinco passos descritos abaixo.
Pgina 57
Planificao da execuo da auditoria elabora se o programa de trabalho que a definio detalhada dos objectivos, procedimentos e tarefas especficas. Para isso necessrio a efectivao de levantamentos iniciais como consulta da documentao da instituio a auditar (Legislao, relatrios de auditoria anteriores e outros dispositivos). Apresentao da equipa instituio a auditar antes de iniciar os trabalhos de auditoria na instituio a auditar, a equipa de auditores deve-se apresentar aos responsveis da instituio. nesta ocasio onde so apresentados os objectivos da auditoria, solicitada a colaborao e criao de condies de trabalho. Avaliao do controlo interno (Testes de Conformidade) o auditor precisa conhecer a estrutura organizacional do sector, a distribuio de tarefas, o fluxo e natureza do trabalho. Este conhecimento deve ser consubstanciado com os objectivos de controlo COBIT que definem os processos agrupados em domnios. Desta forma poder-se- efectuar uma avaliao geral do controlo interno com o auxlio de vrias tcnicas (descritas no n 4 do captulo II) como observao, entrevistas, questionrios. A ttulo de exemplo, o anexo 5 apresenta um checklist, desenvolvido com recurso ao referencial COBIT, que pode ser usado para avaliao dos controlos gerais. Execuo dos testes substantivos estes testes podero ser realizados com recurso a vrias tcnicas (descritas no n 4 do captulo II). Normalmente so feitos por amostragem. De referir que neste processo sero solicitados dados na forma electrnica para a efectivao dos testes. Porm, se no se tomarem precaues e adoptar-se procedimentos de controlo dos dados recebidos, estes podero tornar-se em pontos de discrdia com o auditado colocando em causa os resultados do trabalho realizado. Da que seja importante a utilizao de um formulrio que descreva e classifique a informao recebida. O anexo 2 um exemplo de um modelo de formulrio desenvolvido com base no referencial COBIT e que pode ser utilizado para descrio dos dados transferidos (recebidos). Apresentao das concluses instituio auditada segundo Dias (2000), no final dos trabalhos de auditoria, a equipa deve se reunir novamente com os dirigentes da instituio auditada. Nessa ocasio, so feitos agradecimentos colaborao da direco e seus funcionrios e so relembrados os objectivos da auditoria como tambm, se apresenta um resumo dos resultados da auditoria.
Pgina 58
No decurso deste processo deve-se documentar todo processo de auditoria e assegurar a recolha da documentao relevante que servir de evidncia para suportar a opinio do auditor. 4.3. Fase de Elaborao do Relatrio
Nesta etapa, importante o registo dos diversos estgios do relatrio com vista a garantir o seu acompanhamento. Conforme ilustrado na Figura 8, o relatrio passa por seguintes estgios: Elaborao do projecto inicial do relatrio; Reviso dos relatrios de auditoria o relatrio reflecte a imagem do auditor e do rgo de auditoria. Com vista a garantir a qualidade do trabalho realizado, necessrio que o mesmo seja revisto por profissionais formados nas reas de letras; Apreciao do relatrio de auditoria pela Direco tanto o chefe do sector de auditoria de SI como o Inspector-Geral de Finanas, preciso de apreciar o trabalho feito por forma a assumi-lo como da Instituio; Processo de Contraditrio este processo permite esgotar os possveis pontos de discrdia com o auditado, consolidando desta forma a informao do relatrio de auditoria. Despacho do Ministro das Finanas; Envio do relatrio para as instituies envolvidas o relatrio com Despacho do Ministro das Finanas encaminhado pela IGF para todos os interessados pelos resultados da auditoria (auditado, doadores, Procuradoria Geral da Repblica, Tribunal Administrativo, etc). 4.4. Fase de Acompanhamento
O processo de auditoria no termina com a entrega do relatrio, preciso monitorar a implementao das recomendaes emanadas. A IGF deve estabelecer procedimentos gerais que incluem prazos para a instituio auditada informar as meditas tomadas face as recomendaes, verificao e avaliao da resposta. Os referidos procedimentos devem incluir, tambm, visitas e reunies com o auditado.
Pgina 59
Cod Relatorio: Nome da Instituio Auditada: Tipo de Acompanhamento: Datas Despacho de Ref 1 2 ... Tabela 6: Monitorizao das Recomendaes Recomendao Comunicao Acompanhamento
Medidas Tomadas Observaes IGF Avaliao IGF
Para situaes de falta de cumprimento ou de tomada de medidas inadequadas, a IGF deve comunicar essas revelaes para instituies apropriadas para a tomada de aces correctivas tais como (consoante os casos) o Governo atravs do Ministro das Finanas, Procuradoria Geral da Repblica, para casos de matria criminal e Tribunal Administrativo para situaes de responsabilidade financeira. As aces de acompanhamento, podem ser feitas no gabinete (o auditado envia a informao sobre as aces tomadas) ou no campo (os auditores visitam a instituio auditada). O quadro da tabela 6, apresenta alguns elementos a ter em conta no processo de acompanhamento das recomendaes. A IGF pode adoptar um quadro destes (tabela 6) para a monitorizao das recomendaes emanadas em seus relatrios.
4.5.
Avaliao da Metodologia
Por forma a testar a metodologia proposta, foi feita uma experincia piloto no Departamento de Sistemas de Informao do Tribunal Administrativo (TA) que um rgo superior da hierarquia dos tribunais administrativos, fiscais e aduaneiros. O TA possui na sua estrutura orgnica um Departamento de Sistemas de Informao (DSI) constitudo por 11 tcnicos de nvel superior e mdio tcnico. O mesmo est sedeado na Cidade de Maputo em trs edifcios geograficamente dispersos. Estes edifcios possuem redes estruturadas de dados e esto conectados atravs de ligaes dedicadas das TDM, que garantem a comunicao e a partilha de servios atravs da rede. Existe uma sala de servidores centrais separada da sala de
Pgina 60
operao dos tcnicos, possuem ainda, algumas aplicaes informticas desenvolvidas localmente, dentre elas a de gesto de visto, uma Intranet, servio de correio electrnico, servio de Internet, pgina Web, servio centralizado de antivrus, dentre outros. 4.5.1. Programa de Auditoria
Para a efectivao desta aco, foi desenhado um programa que compreendeu o planeamento de auditoria, obteno e anlise das evidncias e relato. Planeamento de auditoria a) Tomar conhecimento do ambiente informtico
b) Entrevista a tcnicos do sector
Obteno e anlise das evidncias a) Avaliao do Controlo Interno b) Definio da amostra a verificar c) Execuo dos testes substantivos
Relato das constataes
4.5.2.
Desenvolvimento da aco
No processo de teste da metodologia foram usados checklist com perguntas fechadas de avaliao do controlo interno, dentre eles o anexo 5, como tambm entrevista a alguns tcnicos de informtica do TA. Porm, no foi possvel efectuar os testes de conformidades e substantivos por motivos de proteco de informao.
Objectivo de Controlo Organizao e Gesto Gerais Segurana Fsica Segurana Lgica Desenvolvimento e Manuteno de Sistemas Operao de Rotina da Instalao Central Telecomunicaes Microcomputadores Planos de Emergncia Tabela 7: Requisitos Aplicados Pelo DSI Total de Requisitos 31 26 22 12 23 15 13 10 N de Requisitos Aplicados pelo DSI 25 15 6 10 14 9 8 0 % de Requisitos Aplicados pelo DSI 81% 58% 27% 83% 61% 60% 62% 0%
Da apreciao global dos resultados de auditoria piloto, resumidos na Tabela n 7, revelou-se o seguinte:
Pgina 61
Organizao e Gesto Gerais
A Estratgia das Tecnologias de Informao e Comunicao est alinhada com a estratgia da organizao. As Polticas, Normas e Procedimentos, a separao de funes, a poltica de pessoal esto adequadamente previstas e em funcionamento. Neste item, apenas a auditoria de SI que no tem sido realizado. No geral, 81% dos requisitos so aplicados pelo DSI.
Segurana Fsica
No que se refere a este Item, foi verificado que 58% dos requisitos de segurana esto implementados, o que significa que algumas medidas preventivas e de deteco de danos fsicos, acidentais ou deliberados, causado s instalaes informticas esto implementados, apesar de no ser de forma efectiva.
Segurana lgica para os dados ou servidores de aplicaes
Aqui foi onde se verificou haver maior fraqueza nos controlos implementados, que de 27% dos requisitos aplicveis. Este facto deve-se essencialmente, dentre outros factores, a falta de um responsvel pela segurana e do acesso ilimitado ao pessoal de desenvolvimento ao ambiente de produo.
Desenvolvimento, programao e manuteno dos sistemas
Neste item, constatou-se a existncia de planos e manuais de procedimentos para orientar os trabalhos de desenvolvimento e teste dos sistemas. Em termos de cumprimento dos requisitos para o desenvolvimento, a situao considerada boa, 83%.
Operao de Rotina
Os recursos informticos so supervisionados e so efectuados cpias de segurana dos ficheiros de dados de modo a proteger contra a perda de informao. O DSI cumpre com 61% dos requisitos para este item.
Telecomunicaes
Neste item verificou-se que o DSI cumpre com cerca de 60% dos requisitos. Foi, ainda, constatado que esto instaurados alguns procedimentos destinados a salvaguarda das redes de telecomunicaes.
Pgina 62
Microcomputadores
No que se refere aos microcomputadores, constatou-se que o DSI situa-se na ordem dos 62% o que significa que existem procedimentos relativos s condies de aquisio, utilizao e controlo dos microcomputadores e do suporte lgico associado mesmo que no sejam efectivos.
Planos de emergncia
O DSI no possui um plano de emergncia para a salvaguarda das aplicaes informticas fundamentais e para a recuperao dos servios informticos aps interrupes imprevistas. Esta uma grande fraqueza detectada.
4.5.3.
Consideraes Gerais
No geral, o ambiente de controlo interno do DSI, pode ser considerado como razovel tendo em conta que em termos mdios o DSI cumpre com cerca de 54% dos requisitos aplicados pela metodologia. Com base na experincia efectuada e da facilidade de assimilao desta metodologia e da sua aplicabilidade no terreno, pode-se afirmar que adequada e pode ser implementada em qualquer tipo de instituio, quer seja ela pblica ou privada, seja de pequeno ou grande porte, ou ramo de actividade, precisando apenas de algumas adaptaes naquilo que no for aplicvel. De realar, ainda, que a metodologia apresentou-se bastante eficaz, pois, atravs das planilhas resultantes da mesma foi possvel avaliar o ambiente do controlo interno, identificando os pontos fortes e fracos dos controlos gerais, aplicacionais e de utilizao.
Pgina 63
CAPTULO IV: CONCLUSES E RECOMENDAES

1. CONCLUSES
Como resultado do presente estudo conclui-se o seguinte:
Existem vrios referenciais metodolgicos aplicados auditoria de sistemas de informao, contudo o referencial COBIT o mais adequado para a auditoria pelas seguintes razes: Na sua gnese esteve a necessidade de criar um referencial para auditar os processos de SI; A entidade responsvel pela elaborao do COBIT uma Associao de Auditores de SI (ISACA), o que no acontece com os outros dois referenciais designadamente ITIL e ISO 17799; O COBIT possui uma viso de gesto dos processos de SI e privilegia o alinhamento destes com o negcio; O COBIT til para as organizaes enquanto instrumento orientador e integrador de controlos de SI em todos os nveis de Governo dos SI, pelo que tambm ser um referencial sobre o qual todos os tipos de controlos de SI podero ser auditados.
Boa parte das instituies pblicas so detentoras e utilizadoras das tecnologias de informao e comunicao e num futuro prximo poder-se- ter mais instituies a utilizar plenamente as TICs. Da que a IGF precisa estar preparada para acompanhar as mudanas que esto a acontecer no seu campo de actuao;
A metodologia proposta permite avaliar os Sistemas de Informao quanto sua integridade e segurana, bem como, quanto sua eficcia e eficincia. Pode ser aplicada por rgos de auditoria interna como a IGF.
Importa tambm, referenciar que o presente trabalho no teve, em momento algum, a pretenso de ser um manual sobre auditoria. O tema extremamente amplo e dinmico, o que se pretendeu foi trazer um instrumento metodolgico que de forma geral pudesse delinear directrizes de realizao de auditoria de SI. O mesmo est aberto a mais contribuies no sentido de enriquece-lo principalmente os aspectos que no foram suficientemente tratados.
Pgina 64
2. RECOMENDAES
Como recomendaes, propem-se que se: continue com o presente estudo por forma a melhorar e desenvolver ainda mais os instrumentos metodolgicos, com base no referencial COBIT, para auditoria de SI; apresente a metodologia proposta IGF e respectiva auscultao das opinies em relao a este, de forma a avaliar a aceitao e enriquecimento do mesmo; recrute tcnicos de informtica com nvel superior e a sua capacitao em matrias de auditoria de SI. crie um sector de informtica estruturado em trs reas funcionais designadamente: o Desenvolvimento com responsabilidades para desenvolver e manter aplicaes informticas, bases de dados da instituio, pgina de Internet, o Infra-estrutura para garantir a gesto de toda a infra-estrutura de rede interna e servios de correio electrnico, assegurar o apoio tcnico aos utilizadores, e o Auditoria e Apoio Externo com competncias para realizar auditorias de sistemas de informao e conceder apoio especializado s equipas no terreno; crie e operacionalize um sector responsvel pela reviso e garantia de qualidade dos relatrios de auditoria; desenvolva e implemente procedimentos institucionais para acompanhamento das recomendaes; e reactive e se apetreche o Centro de Documentao com obras actuais de auditoria.
Pgina 65
BIBLIOGRAFIA
ARAJO, Inaldo da Paixo, at all (2005), Cdigo de tica e Normas de Auditoria, INTOSAI, Estocolmo Sucia.
AU312 (2006), Audit Risk and Materiality in Conducting an Audit, Disponvel em http://www.pcaobus.org/standards/interim_standards/auditing_standards/au_312.html, Consultado em 5 de Julho de 2006. BANHA, Francisco (2005), Procedimentos de Auditoria, Disponvel em
http://www.gesbanha.pt/revisao/4r9798/sld001.htm, Consultado em 30 de Maio de 2005.
BANZE, Marta, at all (2003), Curso Prtico de Auditoria, Ernest&Young, Maputo Moambique.
CARNEIRO, Alberto (2004), Auditoria de Sistemas de Informao, 2 edio, Editora FCA, Lisboa Portugal.
COUTINHO, Pedro Clio Borge Rodrigo (2007), Trabalho de Mestrado - Anlise de Sistemas de Deteco de Intrusos em Redes de Computadores, Universidade de Franca, Franca Brasil.
Decreto n 40/99 de 29 de Junho que aprova o Estatuto Orgnico da Inspeco-Geral de Finanas (Conselho de Ministros)
DIAS, Cludia (2000), Segurana e Auditoria da Tecnologia da Informao, Axcel Books, Rio de Janeiro Brasil.
DUARTE, Jorge, at all (2006), Mtodos e Tcnicas de Pesquisa em Comunicao, 2 edio, Editora Atlas, So Paulo Brasil.
GODY, Jos Antnio de, at all (1999), Auditoria Por Meios Electrnicos - 11, Editora Atlas, So Paulo Brasil.
Pgina 66
GOMES, Pedro Manuel (2007), Trabalho de Mestrado - A Funo Auditoria de Sistemas de Informao: Modelo Funcional e de Competncias, Universidade do Minho, Minho Portugal.
IIA (2004), O Enquadramento de Prticas Profissionais de Auditoria Interna, IIA, Florida USA.
ISACA (2006), Padres para Auditoria de Sistemas de Informao, Disponvel em http://www.isaca.org/Standards for IS Auditing (Portuguese).htm, Consultado em 24 de Julho de 2006.
LEBLANC, K (2004), The Big Picture: ITIL as an Integrated Framework, ITIL & ITSM Knowledge Base, Disponvel em http://www.itilworx.com/,Consultado em 10 de Abril 2007,
LINTZ, Alexandre e MARTINS, Gilberto de Andrade (2000), Guia para Elaborao de Monografias e Trabalhos de Concluso de Curso, 1 edio, Editora Atlas, So Paulo Brasil.
MARTINS, Gilberto de Andrade (2007), Manual para Elaborao de Monografia e Dissertaes, 3 edio, Editora Atlas, So Paulo Brasil.
OLIVEIRA, Jos (2005) Abordagem Metodolgica Auditoria a Sistemas de Informao, Disponvel em http://www.igf.min-finacas.pt, Consultado em 30 de Maio de 2005.
SPAFFORD, G (2003) The Benefits of Standard IT Governance Frameworks, Disponvel em http://www.itpi.org/, Consultado em 10 April 2007.
TERZIAN, Franoise (2007), Um Guia de Certificaes e Melhores Prticas de TI, Disponvel em http://www.lyfreitas.com/pdf/Praticas%20de%20TI.pdf , Consultado em 15 de Abril de 2007.
Pgina 67
Wikimedia (2006), History of information technology auditing, Disponvel em http://en.wikipedia.org/wiki/History_of_information_technology_auditing, Consultado em 10 de Novembro de 2006.
Wikimedia (2010), Metodologia, Disponvel em http://pt.wikipedia.org/wiki/Metodologia, Consultado em 6 de Abril de 2010.
Pgina 68
ANEXOS
ANEXO 1 2 3 4 5 6
Descrio - Questionrio Dirigido s Instituies - Caracterizao dos Dados Transferidos / Copiados - Estrutura Orgnica da IGF - Resultados do Inqurito - Questionrios para avaliao dos controlos - Entidades Inqueridas
Pgina 1 5 6 7 10 19
Pgina 69
Anexo 1: Questionrio Dirigido s Instituies
Universidade Eduardo Mondlane Faculdade de Cincias Departamento de Matemtica e Informtica
Questionrio
O presente questionrio tem por finalidade a recolha de dados, para elaborao do Trabalho de Licenciatura em Informtica, com o objectivo de avaliar o grau de implementao dos sistemas informticos, na Administrao Pblica, e realizao de auditoria nesses sistemas.
NB: A informao recolhida no ser usada para qualquer outro fim a no ser o indicado anteriormente.
Agradece-se a sua colaborao!
I. Identificao do Organismo
Denominao ______________________________________________________
II. Auditoria e Controlo Interno

1. Existe, no organismo, um rgo de controlo interno ou uma equipa de superviso? Sim No
2. Quem realiza auditoria aos sistemas informticos/ambiente informtico do organismos? Auditores internos ou Uma equipa interna de TI Consultores externos ou Empresa de auditoria contratada Ambos 3. Qual a periodicidade em que se realiza as auditorias aos sistemas/ambientes informticos no organismo? Semestralmente Outro Anualmente No Peridica
III. Organizao do Sector de Informtico

1) Existe um plano estratgico das tecnologias de informao e comunicao, com a estratgia informtica? Sim No
2) O desenvolvimento de novos sistemas est considerado no plano estratgico de informtica? Sim No
3) Quais as reas de informtica e de solues de suporte existentes? Desenvolvimento Ambos Infra-estrutura de rede e comunicaes Outra
4) Indique se para a resoluo dos problemas informticos do organismo so utilizados os recursos seguintes: Aquisio externa dos servios Resoluo interna Ambos
5) O organismo possui contratos de assistncia tcnica relativamente a: Conservao/manuteno de hardware Desenvolvimento e Manuteno de software Ambos Nenhum
IV. Aplicaes Informticas

1) As aplicaes existentes foram desenvolvidos: Internamente Exterior e Internamente No exterior No existem
2) Essas aplicaes possuem certificao de controlo interno concedida pelos auditores ou empresas de certificao? Sim, possuem No possuem Alumas possuem
3) Est definido nos sistemas existentes algum percurso (trilho) de auditoria? Sim No
4) Quais as reas da instituio que esto informatizadas? ______________________________________________________________ ______________________________________________________________ ______________________________________________________________
V. Infra-estrutura Tecnolgica
1) O Organismo possui computadores da famlia de: Pentium I e II Pentium III e IV Outro
2) Tipos de sistemas operativos que o organismo possui Windows Linux Windows e Linux Outros
3) Os microcomputadores esto conectados a outros sistemas? No Outro Em rede local Em rede local e Internet Internet
VI. Utilizao da Internet e Correio Electrnico

1) Meio de ligao Internet Ligao individual Ambos Partilhando uma ligao No Possui
2) O correio electrnico da instituio suportado por meios (equipamento): Externos Internos No Possui
3) A percentagem dos trabalhadores que possuem Correio Electrnico aproximadamente a:
100%
75%
50%
25%
4) A Web Site do organismo est alojada: No organismo Num outro organismo No possui
Anexo 2: Caracterizao dos Dados Transferidos / Copiados
Universidade Eduardo Mondlane

Faculdade de Cincias Departamento de Matemtica e Informtica
Descrio dos Dados Transferidos

1. 2. Objectivo da cpia: Formato dos dados
3. MODELO DE DADOS E CARACTERIZAO DE TABELAS: 3.1. Relacionamento das tabelas, no caso de existirem vrias: 3.2. 3.3. 3.4. Estrutura das tabelas com dimenso dos campos e descrio sinttica do seu contedo: Nmero de registos includos em cada tabela: Total e nome de um ou todos os campos numricos da tabela
4. ORIGEM DOS DADOS 4.1. Principais caractersticas do computador: 4.2. 4.3. 4.4. 4.5. Descrio sinttica da base de dados ou sistema de informao a que as tabelas pertencem: Departamento que controla o sistema de informao ou a base de dados: Localizao fsica dos dados (Sistema, Disco, Directrio, etc): Formato dos dados na origem:
5. CPIA DOS DADOS 5.1. Intervalo de tempo que os dados cobrem (DATA, HORA e MINUTOS): 5.2. 5.3. 5.4. Identificao e forma de contacto de quem copiou os dados (NOME e CARGO): Data e Hora em que a cpia foi efectuada: Processo utilizado para a cpia e verso dos comandos utilizados (TAR, CPIO, COPY, BACKUP, etc):
Data, Nome legvel e assinatura do responsvel pelos dados na origem __________________________
Nome legvel e assinatura de quem recebe os dados __________________________
Anexo 3: Estrutura Orgnica da IGF
Inspector Geral de Finanas
Inspector Geral de Finanas Adjunto
CD Secretariado
DIOE
Brigadas
DIA
Brigadas
DAE
Brigadas
DITA
Brigadas
DT
RAF DRC
Brigadas
DRN
Brigadas
Legenda
DIOE Departamento de Inspeco aos rgos do Estado e suas instituies DIA Departamento de Inspeco s Autarquias DAE Departamento de Auditoria s Empresas DITA Departamento de Inspeco aos sectores Tributrio e Aduaneiro DT Departamento Tcnico
RAF Repartio de Administrao e Finanas DRC Delegao Regional Centro DRN Delegao Regional Norte CD Colectivo de Direco
Brigadas Equipas de Auditoria
ANEXO 4 - Resultados do Inqurito
Auditoria e Controlo Interno nao existe Existencia de orgao de CI existe equipa externa equipa interna Quem realiza Auditoria ambos nao existe nao periodica Periodicidade de realizao da anualmente Auditoria nao existe
Quadro I.A): Auditoria e Controlo Interno (Dados Percentuais)
Ministerio 0 54 14 33 50 58 27 43 58
Tipo da Instituio Instituto Empresa 13 8 0 22 0 8 13 0 8 25 23 29 11 50 17 33 14 17
Outro 63 15 57 33 0 17 27 43 17
Total 24 76 21 26 18 35 44 21 35
Auditoria e Controlo Interno nao existe Existencia de orgao de CI existe equipa externa equipa interna Quem realiza Auditoria ambos nao existe nao periodica Periodicidade de realizao da anualmente Auditoria nao existe
Quadro I.B): Auditoria e Controlo Interno (Dados Numricos)
Ministerio 0 14 1 3 3 7 4 3 7
Tipo da Instituio Instituto Empresa 1 2 0 2 0 1 2 0 1 2 6 2 1 3 2 5 1 2
Outro 5 4 4 3 0 2 4 3 2
Total 8 26 7 9 6 12 15 7 12
Organizao do Sector de Informtica Existencia do plano estrategico nao existe existe
Dados Percentuias Por Tipo da Instituio Ministerio Instituto Empresa Outro 67 27 75 38 32 67 75 0 38 58 50 33 25 8 9 0 25 5 0 0 0 10 17 0 17 0 8 32 0 0 37 33 25 100 21 8 25 33 33 17 32 25 38 26 0 0 0 31 17 25 17 42
Total 35 65 12 24 56 9 12 3 85 35 12 18 35
Areas Existentes
outra infaestrutura ambos no existe

externa interna ambos nenhum hardware software ambos
Resoluo dos problemas
Existencia de contratos
Quadro II.A): Organizao do Sector de Informtica (Dados Percentuais)
Organizao do Sector de Informtica Existencia do plano estrategico nao existe existe
Ministerio 8 6 3 3
Tipo da Instituio Instituto Empresa 1 2 1 7
Outro 2 7
Total 12 22 4 8 19 3 4 1 29 12 4 6 12
Areas Existentes
outra infaestrutura ambos no existe

externa interna ambos nenhum hardware software ambos
6 2
3 0 11 7 2 2 3
0 2 1 0
0 0 3 2 0 1 0
0 0 7 1
1 1 6 1 1 2 4
1 3 5 0
0 0 9 2 1 1 5
Resoluo dos problemas
Existencia de contratos
Quadro II.B): Organizao do Sector de Informtica (Dados Numricos)
Infra-estrutura Aplicacional nao existem Aplicaoes existentes internamente no exterior interior e exterior no possuem possuem alguns nao existe no est definido esta definido no existem
Ministerio 88 17 50 25 29 33 0 88 40 19 88
Tipo da Instituio Instituto Empresa 13 0 0 13 10 0 0 13 20 0 13 0 17 25 38 19 67 100 0 10 44 0
Outro 0 67 25 25 43 0 0 0 30 38 0
Total 24 18 12 47 62 9 6 24 29 47 24
Possuem certificao
Definido trilho de auditoria
Quadro III.A): Infra-estrutura Aplicacional (Dados Percentuais)
Infra-estrutura Aplicacional nao existem internamente no exterior interior e exterior no possuem possuem alguns nao existe no est definido esta definido no existem
Ministerio 7 1 2 4 6 1 0 7 4 3 7
Tipo da Instituio Instituto Empresa 1 0 0 2 2 0 0 1 2 0 1 0 1 1 6 4 2 2 0 1 7 0
Outro 0 4 1 4 9 0 0 0 3 6 0
Total 8 6 4 16 21 3 2 8 10 16 8
Aplicaoes existentes
Possuem certificao
Definido trilho de auditoria
Quadro III.B): Infra-estrutura Aplicacional (Dados Numricos)
Infra-estrutura Tecnolgica tipos de computadores Sistema operativo Conectividade a outros sistemas actualizados ambos windows ambos nao estao internet internet e rede local
Ministerio 41 43 63 22 100 67 37
Tipo da Instituio Instituto Empresa 11 0 19 0 0 0 10 22 29 6 39 0 0 27
Outro 26 29 13 39 0 33 27
Total 79 21 47 53 3 9 88
Quadro IV.A): Infra-estrutura Tecnologica (Dados Percentuais)
Infra-estrutura Tecnolgica tipos de computadores Sistema operativo Conectividade a outros sistemas actualizados ambos windows ambos nao estao internet internet e rede local
Ministerio 11 3 10 4 1 2 11
Tipo da Instituio Instituto Empresa 3 0 3 0 0 0 3 6 2 1 7 0 0 8
Outro 7 2 2 7 0 1 8
Total 27 7 16 18 1 3 30
Quadro IV.B): Infra-estrutura Tecnologica (Dados Numricos)
Utilizao da Internet e Correio Electrnico individual Meio de ligao Internet partilha ambos nao existe correio electronico interno externo 100% percentagem do pessoal com 75% correio electronico 50% 25% no possui Site da instituio numa outra instituio na instituio
Ministerio 100 32 50 20 32 70 27 46 60 40 58 43 27
Tipo da Instituio Instituto Empresa 0 11 0 20 5 10 18 0 0 20 0 0 20 0 25 50 0 37 10 27 31 20 0 8 29 33
Outro 0 32 0 60 26 10 27 23 20 40 33 29 20
Total 12 82 6 15 56 29 32 38 15 15 35 21 44
Quadro V.A): Utilizao da Internet e Correio Electronico (Dados Percentuais)
Utilizao da Internet e Correio Electrnico individual partilha ambos nao existe correio electronico interno externo 100% percentagem do pessoal com 75% correio electronico 50% 25% no possui Site da instituio numa outra instituio na instituio Meio de ligao Internet
Ministerio 4 9 1 1 6 7 3 6 3 2 7 3 4
Tipo da Instituio Instituto Empresa 0 3 0 1 1 1 2 0 0 1 0 0 3 0 7 1 0 7 1 3 4 1 0 1 2 5
Outro 0 9 0 3 5 1 3 3 1 2 4 2 3
Total 4 28 2 5 19 10 11 13 5 5 12 7 15
Quadro V.B): Utilizao da Internet e Correio Electronico (Dados Numricos)
ANEXO 5: - AVALIAO DOS CONTROLOS GERAIS

Preparado por_______________________Revisto por ____________________/____/_____ Entidade: ___________________________
Objectivo de Controlo Geral
Controlos
Avaliao do Controlo Chave Efectivo/ Obs. / No Efectivo Refer
1. Organizao e gesto gerais
A Estratgia das Tecnologias de Informao e Comunicao deve estar alinhada com a estratgia da organizao. As Polticas, Normas e Procedimentos, a Separao de Funes, a Poltica de Pessoal e a Auditoria Informtica devem estar adequadamente previstas e em funcionamento na organizao das TIC
instalaes informticas deve ser evitado atravs de medidas preventivas e detectado precocemente, afim de garantir proteco contra as eventuais consequncias.
2. SEGURANA fSICA Qualquer dano fsico, acidental ou deliberado, causado s
3.Segurana lgica para os dados ou servidores de aplicaes 4. Desenvolvimento, programao e manuteno dos sistemas 5. Operao de rotina da instalao central 6. Telecomunicaes 7. Microcomputadores 8. Planos de emergncia
O acesso aos dados e software deve ser limitado s pessoas e programas cujo o acesso foi autorizado, facto que deve estar registado nas pistas de auditoria. A metodologia de desenvolvimento e de manuteno dos sistemas informticos deve permitir dispor de sistemas eficazes e garantir a segurana dos dados em termos de confidencialidade, integridade, disponibilidade e de pistas de auditoria. Os recursos informticos devem ser supervisionados de modo a garantir a sua eficaz utilizao, os ficheiros de dados devem ser protegidos contra a perda e devem ser criadas pistas de auditoria adequadas. Devem ser instaurados procedimentos destinados a salvaguardar as redes de telecomunicaes. Devem existir procedimentos relativos s condies de aquisio, utilizao e controlo dos microcomputadores e do suporte lgico associado. Devem existir planos testados para a salvaguarda das aplicaes informticas fundamentais e para a recuperao dos servios informticos aps interrupes imprevistas.
10
OBJECTIVO N 1 ORGANIZAO E GESTO GERAIS

Controlos 1.1. Estratgia Informtica e Gesto Global Procedimentos 1.1.1. Existe um plano director de informtica, com a estratgia informtica. 1.1.2. A estratgia informtica da responsabilidade dos rgos superiores de gesto do organismo? Quais? 1.1.3. A estratgia informtica abrange um perodo temporal de 2 a 3 anos? Define objectivos a curto, mdio e longo prazo? 1.1.4. A estratgia informtica baseada no plano de negcios da organizao incluindo objectivos gerais, metas e estratgias. 1.1.5. A estratgia informtica contempla a manuteno da infraestrutura fsica e lgica, comunicaes e segurana informtica? 1.1.6. Ao nvel da infra-estrutura fsica e lgica, contempla o desenvolvimento da arquitectura de sistema e aplicacional? 1.1.7. Existe planeamento anual? 1.1.8. Quem define prioridades e objectivos o responsvel mximo do Dep. Informtica em conjunto com a gesto de topo? 1.1.9. O plano anual baseado no plano de negcios da organizao, incluindo objectivos gerais, metas e estratgias. 1.1.10. O planeamento anual, cobre todo o funcionamento do departamento informtico (desenvolvimento, explorao, gesto de bases de dados, infraestruturas fsicas e de comunicaes, etc)? 1.1.11. Os desvios ao plano so acompanhados periodicamente, utilizando como unidade de medida recurso/hora/dia?. 1.2. Polticas e Normas de Procedimentos 1.2.1. Existem normas e procedimentos para as actividades informticas? 1.2.2. Normas e procedimentos a institucionalizar na gesto das estruturas dos dados. 1.2.3. Normas e procedimentos a institucionalizar no desenvolvimento e programao de sistemas. 1.2.4. Normas e procedimentos a institucionalizar na explorao. 1.2.5. Normas e procedimentos a institucionalizar ao nvel da gesto de dados e segurana da informao. 1.3.1. O departamento informtico independente de outros departamentos da organizao? 1.3.2. Como se encontra estruturado o departamento informtico, na teoria e na prtica. 1.3.3. Existe separao funcional entre a rea de desenvolvimento, de administrao de sistemas, de operao, de gesto de segurana e de gesto de bases de dados e dados? 1.3.4. Os meios oramentais definidos para o departamento informtico, so os necessrios? 1.3.5. Quais as reas com maior peso no oramento e justificao para tal. 1.3.6. Quais as reas cujo desempenho e desenvolvimento se encontram limitadas pelo oramento do departamento informtico, ou pela falta de recursos humanos. Pedir o oramento para o DI Pedir a distribuio dos custos Resultado S N Observaes/ NA Referncias Pedir plano.
Pedir plano anual.
Pedir documentao de suporte
Pedir as normas; Pedir as normas; Pedir as normas;
1.3. Separao das Funes
Pedir o organigrama da organizao Pedir o organigrama
11
OBJECTIVO N 1 ORGANIZAO E GESTO GERAIS

Controlos 1.4. Poltica de Pessoal Procedimentos 1.4.1. Para as reas respeitantes ao controlo de acessos, aos dados e disponibilidade de informao 1.4.2. Para a administrao de sistemas: 1.4.3. Para administrao de Bases de Dados 1.4.4. Para cada rea do desenvolvimento 1.4.5. Para a operao do sistema 1.4.6. Foi ministrada formao em segurana informtica aos utilizadores? 1.5. Auditoria Informtica 1.5.1. A organizao contempla no sector da auditoria interna, auditoria informtica ou recorre a peritos externos? 1.5.2. Foram efectuadas auditorias ao departamento informtico ou aos controlos informticos? 1.5.3. A formao e experincia dos auditores informticos so adaptados tecnologia utilizada? Pedir comprovativos. Pedir lista dos trabalhos Resultado S N Observaes/ NA Referncias
OBJECTIVO N 2 SEGURANA FSICA Controlos

Controlos 2.1. Acesso fsico Procedimentos 2.1.1. O acesso ao departamento informtico controlado? 2.1.2. O acesso sala de operao controlado? Como? 2.1.3. O acesso sala das maquinas controlado? Como? 2.1.4. O acesso bandateca controlado? Como? 2.1.5. Existe registo das entradas em qualquer da reas referidas? 2.1.6. O acesso sala de operao, mquinas e bandateca, concedido pelo responsvel pela rea? 2.2. Preveno, 2.2.1. O centro informtico est afastado de zonas que contm deteco e proteco materiais combustveis? contra incndios 2.2.2. Todos os materiais combustveis so armazenados fora da sala dos computadores? 2.2.3. Existem procedimentos de limpeza, por forma a minimizar a acumulao de papeis e de produtos inflamveis no interior e na proximidade da sala dos computadores? (v.g. acumulao de listagens) 2.2.4. proibido fumar, comer e beber na sala de computadores e de operaes? 2.2.5. A sala de computadores centrais encontra-se devidamente isolada e protegida da sala de operaes e das outras salas? 2.2.6. Existem no centro informtico e bandateca detectores de incndio, fumo ou calor? 2.2.7. Esto instalados sistemas de extino de incndio, manuais ou automticos? 2.2.8. Os sistemas de extino de incndio utilizam gua? Resultado S N Observaes/ NA Referncias
Verificar Verificar Verificar Verificar Pedir registos para um determinado perodo. Pedir lista de autorizaes Verificar Verificar Verificar e pedir norma
Verificar e pedir norma Verificar Verificar
Verificar
Verificar as especificaes
12
OBJECTIVO N 2 SEGURANA FSICA Controlos

Controlos Procedimentos 2.2.9. A manuteno dos sistemas de preveno e extino assegurada com periodicidade? 2.2.10. Os procedimentos em caso de incndio ou de situao de emergncia esto definidos e afixados no centro informtico? 2.2.11. So efectuados periodicamente exerccios de combate a incndios e de evacuao? 2.2.12. O nmero de sadas de emergncia suficiente? 2.2.13. As sadas de emergncia esto claramente identificadas e desimpedidas? 2.3. Preveno, 2.3.1. O centro informtico est afastado de zonas susceptveis deteco e proteco de serem inundadas? contra inundaes 2.3.2. Se existirem riscos de inundao, esto instalados na cavidade do soalho detectores de gua e equipamento de bombagem para evacuar gua? 2.3.3. A manuteno dos sistemas de deteco e evacuao assegurada com periodicidade? 2.4. Proteco do abastecimento de energia 2.4.1. Todos os computadores centrais, so protegidos por UPS ou por geradores elctricos auxiliares, de entrada em funcionamento imediato? 2.4.2. Os computadores pessoais e servios de comunicaes encontram-se protegidos por UPS e por geradores elctricos auxiliares 2.4.3. A manuteno das UPS ou geradores auxiliares assegurada com periodicidade? 2.4.4. O sistema de proteco do abastecimento de energia, testado regularmente (1 vez por ano)? 2.5. Sistemas de proteco auxiliares 2.5.1. Esto instalados na sala de computadores e bandateca detectores de roedores? 2.5.2. Existem detectores de gases ou produtos qumicos susceptveis de danificarem os computadores centrais, bem como os suportes lgicos? 2.5.3. Est assegurada a manuteno peridica dos sistemas de proteco?
Verificar Verificar Verificar
Resultado S N
Observaes/ NA Referncias
Pedir resultado da ltima vistoria Verificar e pedir normas Pedir plano
Pedir resultado da ltima vistoria Verificar
Verificar
Pedir resultado da ltima vistoria. Pedir documento comprovativo Verificar Verificar
Pedir resultado da ltima verificao
OBJECTIVO N 3 SEGURANA LGICA PARA OS DADOS OU SERVIDORES DE APLICAES

Controlos Procedimentos Resultado S 3.1. Segurana de acesso lgica 3.1.1. O responsvel pela segurana no exerce funes incompatveis? 3.1.2. A concesso dos acessos sempre rubricada pelo responsvel da rea? 3.1.3. Os acessos lgicos esto estruturados em perfis? N N A Observaes/ Referncias
Pedir lista de perfis acessos permitidos.
13
OBJECTIVO N 3 SEGURANA LGICA PARA OS DADOS OU SERVIDORES DE APLICAES

Controlos Procedimentos Resultado S 3.1.4. Os utilizadores esto registados em grupos que utilizam os perfis definidos? 3.1.5. Os acesso rea de produo vedado aos tcnicos do desenvolvimento? E quando tm acesso provisrio? 3.1.6. No existem acessos rea de produo fora do controlo do responsvel pela segurana, incluindo os administradores de sistema, de bases de dados e de explorao? 3.1.7. A auditoria interna ou outra entidade procede validao da atribuio de acessos aos utilizadores e definio de perfis conforme o autorizado pelo responsvel? 3.1.8. Existem auditrails do sistema activos, para controlo dos acessos? 3.1.9. Os auditrails referidos so revistos com regularidade? 3.2. Segurana lgica 3.2.1. As bibliotecas de produo so mantidas em separado das de programas bibliotecas de desenvolvimento e ensaio? 3.2.2. As diferentes verses dos programas fonte que entraram em produo esto devidamente identificadas e guardadas? 3.3. Segurana lgica 3.3.1. Existem regras que interditam a partilha de palavras pessoal passe? 3.3.2. As palavras passe so mantidas secretas pelo sistema? 3.3.3. Est implementada a alterao regular e peridica das palavras passe? 3.4. Segurana lgica 3.4.1. Existem processos para que os utilizadores acedam dados directamente ao dados, sem ser pelos programas ligados produo? Quais? 3.4.2. Em caso afirmativo, estes acessos so controlados pelo responsvel da segurana? 3.4.3. Em caso afirmativo, estes acessos apenas tem permisso para consultar? 3.4.4. Existem auditrails para registo destes acessos? 3.4.5. Os acessos para insero, alterao e eliminao de dados crticos, atravs dos programas em produo ficam registados em auditrails? 3.4.6. Em caso afirmativo a posio anterior e posterior salvaguardada? 3.5. Segurana lgica 3.5.1. Existe certificao da instalao do sistema operativo, da suporte lgico de rede, do suporte lgico de segurana e outros subsistemas? base 3.5.2. Encontram-se registadas todas as mudanas dos parmetros do suporte lgico de base?
Pedir certificao Pedir auditrail de um dia Pedir lista das tabel.as de auditrails e sobre quais incidem. Pedir norma reguladora e testar para uma aplicao. Verificar e pedir norma Verificar Pedir norma e verificar parmetro de sistema Pedir lista de quem pode aceder directamente aos dados
Observaes/ N A Referncias
Pedir grupos, perfis e lista de utilizadores Verificar Pedir lista de todos os acessos, fundamentalmente da adm de sistemas Verificar
Pedir exemplo de auditrail recente Pedir comprovativo
Efectuar teste
14
OBJECTIVO N 4 DESENVOLVIMENTO, PROGRAMAO E MANUTENO DOS SISTEMAS

Controlos Procedimentos Resultado S 4.1. Gesto projectos 4.1.1. Todo o desenvolvimento e manuteno dos subsistemas aplicacionais, controlado por projectos? 4.1.2. A definio dos projectos e prioridades da competncia dos rgos superiores de gesto? 4.1.3. Existe um plano dos projectos a executar e a definio de prioridades? 4.1.4. Os projectos so geridos no mbito de equipas de projecto? 4.1.5. O acompanhamento e reviso dos projectos efectuado periodicamente, utilizando uma unidade de medida por recursos envolvido? 4.2. Normas de 4.2.1. Normas e procedimentos a institucionalizar no desenvolvimento de desenvolvimento e programao de sistemas. sistemas 4.2.2. Normas e procedimentos a institucionalizar na gesto das estruturas dos dados. 4.3. Procedimentos em estdios especficos dos projectos 4.3.1. Lanamento do Projecto N Observaes/ N Referncias A
Pedir as normas
Pedir as normas
Pedir o caderno de encargos de trs projectos e analisar
4.3.2. Estudo de viabilidade 4.3.3. Anlise e concepo 4.3.4. Elaborao, ensaio e execuo
Pedir especificaes
4.4. Gesto alteraes
4.4.1. As respostas devero ser retiradas do restante ponto 4, que trata das situaes de concepo e alterao de forma global.
OBJECTIVO N 5 OPERAES DE ROTINA DA INSTALAO CENTRAL

Controlo Procedimentos Resultado S 5.1. Manuteno do equipamento 5.1.1. efectuada manuteno peridica do equipamento central (computadores centrais)? 5.1.2. efectuada manuteno peridica da rede e das infraestruturas de comunicaes? 5.1.3. Todos os equipamentos nucleares para a operacionalidade da organizao possuem contratos de manuteno? 5.2.1. Existe rotao nas equipas de operadores? 5.2.2. Esta garantida a duplicidade de recursos para as tarefas crticas da operao? N N A Observaes/ Referncias
Pedir comprovativo das ltimas revises Pedir comprovativo das ltimas revises Pedir comprovativos
5.2. Separao e rotao de tarefas
Pedir escalas Verificar pontos crticos?
15
OBJECTIVO N 5 OPERAES DE ROTINA DA INSTALAO CENTRAL

Controlo Procedimentos Resultado S 5.3. Aces dos operadores 5.3.1. Existe a obrigatoriedade de registar em dirio de operao todos os procedimentos efectuados na operao, indicando data, hora, tarefa e operador que a realizou? 5.3.2. Existem manuais de operao? 5.4.1. O acesso aos parmetros de configurao do sistema, controlo de acessos e controlo do trabalho de produo encontram-se inacessveis aos operadores? 5.4.2. Em caso negativo, os acessos a estas reas possuem log de controlo? 5.5. Controlo de actividades 5.5.1. Os processamentos a executar diariamente (batch ou no), encontram-se planeados numa folha de trabalhos? 5.5.2. A folha de trabalho diria preenchida com que periodicidade? 5.5.3. Existe segregao de funes entre quem preenche as folhas de trabalho e quem as verifica? 5.5.4. Todas as folhas de trabalho so verificadas pelo responsvel de rea? 5.5.5. Aps a execuo dos procedimentos, o realizado confrontado com o planeado? Por quem? 5.5.6. Todas as folhas de trabalho e do realizado so devidamente guardadas? 5.6. Pistas de auditoria das actividades 5.6.1. Todos os logs de controlo de processamento esto activos? 5.6.2. So verificados com periodicidade? Qual? Por quem? 5.6.3. Os logs so eliminados? Com que periodicidade? 5.7. Controlos das bibliotecas 5.7.1. Todos os backups ou media off line so armazenados numa biblioteca prpria e de acesso restrito? 5.7.2. O plano de backups dos dados garante a integridade e capacidade de reposio da situao do dia anterior, dos mesmos em caso de corrupo ou desastre? 5.8. Distribuio de sadas 5.8.1. A distribuio de sadas controlada por uma entidade independente do sector operacional e dos utilizadores que autorizam a distribuio? Ou em alternativa, existe um registo e controlo de todas as sadas ocorridas? 5.8.2. Todos os documentos emitidos electronicamente ou em papel, apresentam numerao sequencial? 5.8.3. So armazenadas cpias das ordens de pagamento efectuadas, sempre que tal envolva transmisso de informao?
Verificar a situao de ordens de pagamento, fact Verificar Pedir plano de backup,
Observaes/ N A Referncias
Pedir cpia de algumas pginas do dirio de operao
5.4. Execuo e programao do trabalho
Testar situao
Pedir imagem do log de controlo Pedir 3 exemplos de folhas de trabalho
Analisar a rubrica de verificao
Verificar Verificar Pedir lista de logs activos
16
OBJECTIVO N 6 TELECOMUNICAES
Controlos 6.1. Segurana no acesso interno s redes Procedimentos 6.1.1. Os acessos so controlados e autorizados pelo responsvel de segurana? 6.1.2. Existem logs de controlo de acessos? 6.1.3. efectuada alguma anlise desses logs? 6.2. Segurana no acesso externo s redes 6.2.1. Existem organismos externos organizao que acedem rede da organizao? Quais? 6.2.2. Os acessos concedidos so autorizados e atribudos pelo responsvel de segurana? 6.2.3. Existem logs dos acessos externos? 6.2.4. efectuada uma anlise peridica desses logs? 6.2.5. Alm da verificao de login, existem mais tipos de verificaes? 6.2.6. O servio de Internet encontra-se devidamente protegido por suporte lgico, quando ao acessos do exterior? 6.3. Segurana no envio de informao 6.3.1. A transferncia de dados para fora da rede efectuada por linhas dedicadas? 6.3.2. O envio de informao para o exterior atravs da Internet possvel pelos utilizadores do organismo? 6.3.3. Existem procedimentos para a encriptao de dados confidenciais? 6.3.4. Existe algum procedimento de controlo da informao enviada para o exterior atravs da Internet? Qual? 6.3.5. O antivrus encontra-se instalado e activo em todos os computadores? 6.3.6. Existem procedimentos para proceder sua atempada actualizao? Quais?
Ex.: verificao de IP, linhas, etc. Verificar a existncia de firewall. Pedir esquema Pedir lista de organismos Pedir lista de acessos Pedir log comprovativo
Resultado S N
Observaes/
Pedir comprovativos
NA Referncias
Pedir imagem do log de controlo
Verificar quais e pedir norma
Verificar Verificar
OBJECTIVO N 7 MICROCOMPUTADORES
Controlos Procedimentos Resultado S 7.1. Normalizao ao 7.1.1. O equipamento e suporte lgico dos micro-computadores nvel dos micronormalizado ao nvel da empresa? computadores 7.1.2. Os utilizadores no podem instalar e utilizar suporte lgico sem autorizao? 7.1.3. Existe um procedimento automtico para efectuar seguranas automticas dos computadores pessoais? 7.1.4. Os backups dos computadores pessoais, so regulados por normas de procedimentos gerais? 7.1.5. A existncia de backups e o seu correcto armazenamento verificado periodicamente. 7.1.6. O acesso aos dados armazenados em PC sempre controlado por password? Observaes/
Verificar e pedir comprovativo Verificar
N NA Referncias
Pedir normas Pedir comprovativo
17
OBJECTIVO N 7 MICROCOMPUTADORES
Controlos Procedimentos 7.1.7. O acesso aos dados armazenados em computadores portteis, computadores de bolso e material similar so controlados por password? 7.1.8. Est implementada a cifragem de documentos, principalmente nos contedos que saem da organizao? 7.2.1. Existem aplicaes financeiras e de controlo que escapem ao controlo da DI? Quais? 7.2.2. Em caso afirmativo, existem procedimentos para salvaguarda dos dados e seu armazenamento regular? 7.2.3. assegurado o cumprimento destas normas, por um sector diferente de quem opera as aplicaes? 7.2.4. Os acessos a estas aplicaes so controlados pelo responsvel de segurana? 7.2.5. O acesso aos computadores destas aplicaes locais crticas controlado por password?
Pedir normas Verificar e testar
Resultado S
Observaes/
N NA Referncias
7.2. Aplicaes locais crticas
OBJECTIVO N 8 PLANO DE EMERGNCIA

Controlos 8.1. Plano de emergncia operacional Procedimentos 8.1.1. Existe um plano de recuperao de desastres? 8.1.2. O plano inclui o processamento das aplicaes fundamentais (instalao central, servidor cliente e computadores pessoais) em caso de qualquer falha? 8.1.3. O plano baseia-se numa avaliao do risco 8.1.4. O plano de recuperao de desastres foi aprovado pelas instncias superiores de gesto? 8.1.5. Este plano testado pelo menos uma vez por ano? 8.2. Plano de emergncia lgico 8.2.1. As salvaguardas dos suportes lgicos de base e do suporte lgico da aplicao so efectuadas regularmente noutro local? 8.2.2. Est garantida a duplicidade das cpias de segurana dos ficheiros de dados, noutro local? 8.2.3. A cpia da documentao e das instrues de utilizao dos sistemas, esto armazenadas em local diferente do da organizao? 8.2.4. Os locais de armazenamento alternativo apresentam todas as condies de segurana mnimas, exigidas na gesto informtica? 8.2.5. O transporte para o local de armazenamento alternativo processa-se em segurana? Resultado S N Observaes/
Verificar e pedir plano Verificar
NA Referncias
Pedir comprovativo
18
ANEXO6:EntidadesInquiridas
A. ResponderamosQuestionrios 1. Aeroportos de Moambique 2. Caminhos de Ferro de Moambique 3. Comisso para Politica de Informtica 4. Direco Geral das Alfandegas 5. Direco Geral dos Impostos 6. Direco Nacional de Contabilidade Pblica 7. Direco Nacional de Imigrao 8. Direco Nacional do Oramento 9. Direco Nacional do Patrimnio do Estado 10. Electricidade de Moambique 11. Empresa Moambicana de Seguros 12. Instituto Nacional de Aviao 13. Instituto Nacional de Estatstica 14. Instituto Nacional de Meteorologia 15. Ministrio da Agricultura 16. Ministrio da Educao e Cultura 17. Ministrio da Energia 18. Ministrio da Juventude e Desportos 19. Ministrio da Planificao e Desenvolvimento 20. Ministrio da Sade 21. Ministrio das Finanas 22. Ministrio das Obras Publicas 23. Ministrio das Pescas 24. Ministrio de Administrao Estatal 25. Ministrio do Ambiente 26. Ministrio dos Negcios Estrangeiro 27. Ministrio dos Recursos Minerais 28. Ministrio dos Transportes e Comunicao 29. Petrleos de Moambique 19
30. Radio Moambique 31. Telecomunicaes de Moambique 32. Televiso de Moambique 33. Tribunal Administrativo 34. Unidade Tcnica da Reforma de Administrao Financeira do Estado
B. No Responderam os Questionrios
1. Administrao Nacional de Estradas e Pontes 2. Autoridade Tributria de Moambique 3. Centro de Processamento de Dados 4. Empresa Moambicana de Medicamentos 5. Fundo de Estradas 6. Impressa Nacional 7. Instituto Nacional da Aco Social 8. Instituto Nacional de Segurana Social 9. Ministrio da Mulher e Aco Social 10. Ministrio do Interior 11. Ministrio do Trabalho 12. Ministrio do Turismo 13. Ministrio dos Assuntos dos Antigos Combatentes
20

José Alberto Cossa

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

José Alberto Cossa

Uploaded by

Copyright:

Available Formats

UNIVERSIDADE EDUARDO MONDLANE FACULDADE DE CINCIAS DEPARTAMENTO DE MATEMTICA E INFORMTICA

METODOLOGIA DE AUDITORIA DE SISTEMAS DE INFORMAO ESTUDO DE CASO - INSPECO-GERAL DE FINANAS

Autor: Jos Alberto Cossa

Maputo, Abril de 2010

UNIVERSIDADE EDUARDO MONDLANE FACULDADE DE CINCIAS DEPARTAMENTO DE MATEMTICA E INFORMTICA

METODOLOGIA DE AUDITORIA DE SISTEMAS DE INFORMAO ESTUDO DE CASO - INSPECO-GERAL DE FINANAS

Autor: Jos Alberto Cossa Supervisor: Dr. Zeferino Saugene

Maputo, Abril de 2010

Metodologia de Auditoria de Sistemas de Informao

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

Maputo, Abril de 2010 O Estudante ____________________________________ (Jos Alberto Cossa)

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

LISTA DE ABREVIATURAS E ACRNIMOS

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

METODOLOGIA DO TRABALHO ...................................................................................................................... 10

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

UMA SELECO DE TRS REFERENCIAIS: COBIT, ITIL E ISO 17799 ............................................................. 32

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

Consideraes Gerais .................................................................................................................................. 63

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

NDICE DE FIGURAS E TABELAS

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

CAPITULO I: INTRODUO E METODOLOGIA 1. INTRODUO

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

1.1. DESCRIO DO PROBLEMA

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

1.2. OBJECTIVO GERAL

1.3. OBJECTIVOS ESPECFICOS

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

2.1. Fase Exploratria

2.2. Delimitao do Estudo

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

Tipos Organismos Ministrios Institutos Outros Total

de Organismos Inquiridos (N) 19 5 13 47

Respostas Obtidas (N) 14 3 8 9 34

Percentagem de Adeso (%) 73,68 60,00 80,00 69,23 72,34

Tabela 1: Dados Sobre a Informao Enviada s Instituies

2.3. Anlise Sistemtica

Elaborado por: Cossa, Jos Alberto

Metodologia de Auditoria de Sistemas de Informao

2.4. Redaco do Relatrio

Elaborado por: Cossa, Jos Alberto