Professional Documents
Culture Documents
TRABALHO DE LICENCIATURA
TRABALHO DE LICENCIATURA
DEDICATRIA
memria do meu Pai, Alberto Ticupa Cossa, pelo seu apoio em todos momentos de minha vida minha me, Albertina Manhengue e aos meus irmos, minha filha Wene.
Trabalho de Licenciatura
AGRADECIMENTOS
DEUS, por tudo que pude realizar. Universidade Eduardo Mondlane, em especial os docentes e funcionrios do Departamento de Matemtica e Informtica. Ao meu supervisor, Dr. Zeferino Saugene, pelas crticas e apoio em ideias. Ao dr. Mrio Estvo Xavier, pelos dez anos de luta. Aos companheiros de batalha Elsio Anselmo, Diogo Lucas Chavana, Pascoal Chambe, Jos Matsinhe, Nelson Mazibe, e outros no mencionados pelo apoio moral e material nos momentos difceis da nossa rdua formao. s Irms Missionarias da Consolata, pelo apoio moral e material. Aos meus pais Alberto Ticupa Cossa e Albertina Manhengue, pelo seu inquantificvel apoio. Aos meus irmos Joo, Glria, Maria pelo apoio nos bons e maus momentos A minha namorada Saquina Jlia, que sempre acreditou e incentivou-me a lutar. Ao meu sobrinho Idaldncio pela pacincia nos momentos em que precisou do carinho do tio, E a todos aqueles que no por m f no foram aqui mencionados, mas que contriburam para a minha formao.
Trabalho de Licenciatura
II
EPGRAFE
Feliz o homem que descobre a sabedoria e adquire inteligncia! Pois adquiri-la vale mais do que a prata, e seu lucro mais que o ouro. Provrbios 3, 13-14
Trabalho de Licenciatura
III
DECLARAO DE HONRA
Declaro por minha honra, que este trabalho resultado da minha investigao e que no foi submetido a outro grau que no seja o indicado Licenciatura em Informtica na Universidade Eduardo Mondlane.
Trabalho de Licenciatura
IV
RESUMO
Certamente que, enquanto no existiam sistemas informatizados, nunca se ouvira falar de auditoria de Sistemas de Informao, o espao desta nova especialidade deve ser encontrado no contexto actual do desenvolvimento das tecnologias de informao e comunicao. O presente trabalho prope uma metodologia de auditoria baseada no referencial metodolgico COBIT e padres e normas de melhores prticas de auditoria, aplicveis Administrao Pblica. A metodologia permite avaliar os Sistemas de Informao quanto sua integridade e segurana, bem como, quanto sua eficcia e eficincia. Foi igualmente realizado um estudo de modelos, padres e normas de auditoria aplicveis aos Sistema de Informao. Como estudo de caso, apresentam-se consideraes e anlises sobre a Inspeco Geral de Finanas, que um rgo do Ministrio das Finanas, que tem por vocao efectuar auditoria s instituies do Estado com excepo do ramo do seguro e das instituies para bancrias, contribuindo para a economia, a eficcia e a eficincia na obteno das receitas e na realizao das despesas pblicas nacionais.
Trabalho de Licenciatura
Trabalho de Licenciatura
VI
ISACA ISO ITIL MF MS PROJECT MY SQL ORACLE OUTLOOK POWERPOINT RA RAF RC RD RI SI SICR SISTAFE SPSS SQL SERVER TA TDM TI TIC TIMS VISIO WORD
Associao de Controlo e Auditoria de Sistemas de Informao International Organization for Standardization IT Infrastructure Library Ministrio das Finanas Software de Planificao MS PROJECT Sistema de Gesto de Banco de Dados MY SQL Sistema de Gesto de Banco de Dados ORACLE Software de Comunicao MS OUTLOOK Software de Apresentao MS POWERPOINT Risco de Auditoria Repartio de Administrao e Finanas Risco de Controlo Risco de Deteno Risco Inerente Sistemas de Informao Sistema Integrado de Cobrana de Receita Sistema de Administrao Financeira do Estado Software de Estatstica SPSS Sistema de Gesto de Banco de Dados SQL SERVER Tribunal Administrativo Empresa Telecomunicaes de Moambique Tecnologias de Informao Tecnologias de Informao e Comunicao Trade Information Management System Programa de Desenho MS VISIO Processador de Texto MS WORD
Trabalho de Licenciatura
VII
NDICE
DEDICATRIA.................................................................................................................................................................... I AGRADECIMENTOS ........................................................................................................................................................II EPGRAFE ......................................................................................................................................................................... III DECLARAO DE HONRA .......................................................................................................................................... IV RESUMO .............................................................................................................................................................................. V LISTA DE ABREVIATURAS E ACRNIMOS ........................................................................................................... VI NDICE DE FIGURAS E TABELAS................................................................................................................................. 6 CAPITULO I: INTRODUO E METODOLOGIA ..................................................................................................... 7 1. INTRODUO ........................................................................................................................................................... 7 1.1. 1.2. 1.3. 2. 2.1. 2.2. 2.3. 2.4. 1. DESCRIO DO PROBLEMA ......................................................................................................................... 8 OBJECTIVO GERAL ......................................................................................................................................... 9 OBJECTIVOS ESPECFICOS ........................................................................................................................... 9 FASE EXPLORATRIA ......................................................................................................................................... 10 DELIMITAO DO ESTUDO................................................................................................................................. 10 ANLISE SISTEMTICA ...................................................................................................................................... 12 REDACO DO RELATRIO ................................................................................................................................ 13
CAPTULO II: AUDITORIA DE SISTEMAS DE INFORMAO .......................................................................... 14 CONCEITOS DE AUDITORIA DE SISTEMA DE INFORMAO ............................................................... 14 1.1. 1.2. 1.3. 2. HISTRIA DO SURGIMENTO DA AUDITORIA ........................................................................................ 14 CONCEITO DE AUDITORIA ......................................................................................................................... 15 TIPOS DE AUDITORIA .................................................................................................................................. 16
PROCESSO DE AUDITORIA DE SISTEMA DE INFORMAO ................................................................. 19 2.1. FASE DE PLANEAMENTO ............................................................................................................................ 19 2.1.1. Plano Estratgico ......................................................................................................................................... 19 2.1.2. Plano Anual .................................................................................................................................................. 19 2.1.3. Programa de Auditoria ................................................................................................................................ 20 2.2. FASE DE EXECUO .................................................................................................................................... 20 2.2.1. Papis de trabalho........................................................................................................................................ 22 2.3. FASE DE ELABORAO DE RELATRIO................................................................................................. 22 2.3.1. Destinatrios do Relatrio ........................................................................................................................... 22 2.3.2. Estrutura do relatrio .................................................................................................................................. 23 2.4. FASE DE ACOMPANHAMENTO DOS RESULTADOS DE AUDITORIA ................................................ 23 2.5. SUPERVISO DO TRABALHO ..................................................................................................................... 24
3.
OS REFERENCIAIS METODOLGICOS APLICADOS AUDITORIA DE SI ........................................ 25 3.1. METODOLOGIA ................................................................................................................................................... 25 3.2. TIPOS DE REFERENCIAIS APLICADOS AOS SI E AUDITORIA ............................................................................ 25 3.2.1. ITIL Information Technology Infraestructure Library ............................................................................. 25 3.2.2. COBIT - Control Objectives for Information and related Technology ....................................................... 26 3.2.2.1. Estrutura do COBIT ................................................................................................................................ 26 3.2.2.2. Objectivo de Controlo ............................................................................................................................. 28 3.2.3. Norma BS 7799 - British Standard 7799/ ISO 17799 ................................................................................. 28 3.2.4. Six Sigma ...................................................................................................................................................... 29 3.2.5. Capability Maturity Model Integration (CMMI) ......................................................................................... 29 3.2.6. ISO 9000 ....................................................................................................................................................... 30 3.2.7. Balanced Scorecard ..................................................................................................................................... 30 3.3. RAZES PARA ADOPO DE REFERENCIAIS ...................................................................................................... 31
Trabalho de Licenciatura
Pgina 3
3.4. 4.
TCNICAS DE ANLISE E DE CONTROLO EMPREGUES NA AUDITORIA DE SI ............................. 34 4.1. ENTREVISTAS ................................................................................................................................................ 34 4.1.1. Entrevista de Apresentao.......................................................................................................................... 34 4.1.2. Entrevistas de Recolha de Dados................................................................................................................. 34 4.1.3. Entrevistas de Discusso das Deficincias Encontradas ............................................................................ 35 4.1.4. Entrevista de Encerramento ......................................................................................................................... 35 4.2. QUESTIONRIOS ........................................................................................................................................... 35 4.3. CHECKLIST ..................................................................................................................................................... 36 4.3.1. Checklists com escala de avaliao ............................................................................................................. 36 4.3.2. Checklist com perguntas fechadas ............................................................................................................... 37 4.4. ANLISE DE RELATRIOS DE CONTROLO INTERNO .......................................................................... 38 4.5. ANALISE PRESENCIAL................................................................................................................................. 38 4.6. USO DE TCNICAS OU FERRAMENTAS DE APOIO................................................................................ 38 4.6.1. Tcnicas Para Anlise de Dados ................................................................................................................. 39 4.6.1.1. Anlise do Log/Accounting ..................................................................................................................... 39 4.6.2. Tcnicas Para Verificao de Controlos de Sistemas ................................................................................. 39 4.6.2.1. Mapeamento Estatstico dos Programas ................................................................................................ 39 4.6.2.2. Rastreio de Programas ............................................................................................................................ 39 4.6.2.3. Simulao Test-Deck ............................................................................................................................... 40 4.6.2.4. Simulao Paralela ................................................................................................................................. 40 4.6.3. Outras Ferramentas ..................................................................................................................................... 41
5.
ANLISE DE RISCO E TESTES NA AUDITORIA DE SI ............................................................................... 42 5.1. RISCO EM AUDITORIA DE SI ...................................................................................................................... 42 5.1.1. Natureza do Risco de Auditoria ................................................................................................................... 42 5.1.1.1. Risco de que a informao contenha um erro material ......................................................................... 42 5.1.1.2. Risco de que o auditor no detecte um erro material ............................................................................ 44 5.1.2. Relao entre os riscos ................................................................................................................................ 44 5.2. TESTES EM AUDITORIA DE SISTEMA DE INFORMAO .................................................................... 45 5.2.1. Testes de Conformidade ............................................................................................................................... 45 5.2.1.1. Avaliao do Controlo Interno ............................................................................................................... 45 5.2.2. Testes Substantivos ....................................................................................................................................... 46
CAPTULO III: METODOLOGIA PARA AUDITORIA DE SISTEMA DE INFORMAO NA ADMINISTRAO PBLICA ESTUDO DE CASO IGF ........................................................................................ 47 1. APRESENTAO DA IGF .................................................................................................................................. 47 1.1. Misso e competncias ................................................................................................................................. 47 1.2. Estrutura Orgnica Actual da IGF .............................................................................................................. 48 1.3. Destinatrios dos Produtos da IGF ............................................................................................................. 49 2. CARACTERIZAO DO AMBIENTE DE INTERVENO DA IGF ............................................................. 49 2.1. Auditoria e Controlo Interno ....................................................................................................................... 50 2.2. Organizao do Sector de Informtica ........................................................................................................ 50 2.3. Infra-Estrutura Tecnolgica e Aplicacional ................................................................................................ 50 2.4. Utilizao da Internet e Correio Electrnico .............................................................................................. 51 2.5. Consideraes Gerais .................................................................................................................................. 51 3. PROCEDIMENTO ACTUAL DE REALIZAO DE AUDITORIA................................................................. 52 3.1. Fase de Planificao .................................................................................................................................... 52 3.2. Fase de Execuo ......................................................................................................................................... 53 3.3. Fase de Elaborao do Relatrio ................................................................................................................ 53 3.4. Resumo das constataes/ Deficincias no Processo Actual ...................................................................... 53 4. METODOLOGIA PROPOSTA ............................................................................................................................. 56 4.1. Fase de Planeamento ................................................................................................................................... 56 4.2. Fase de Execuo ......................................................................................................................................... 57 4.3. Fase de Elaborao do Relatrio ................................................................................................................ 59 4.4. Fase de Acompanhamento ........................................................................................................................... 59 4.5. Avaliao da Metodologia ........................................................................................................................... 60 4.5.1. Programa de Auditoria ................................................................................................................................ 61 4.5.2. Desenvolvimento da aco ........................................................................................................................... 61
Trabalho de Licenciatura
Pgina 4
4.5.3. 1. 2.
Trabalho de Licenciatura
Pgina 5
Figura 1: Processo de Auditoria ........................................................................................................ 21 Figura 2: Framework do COBIT ....................................................................................................... 27 Figura 3: Trs Referenciais Metodolgicos Integrados ..................................................................... 32 Figura 4: Sequncia das Fases da Tcnica Test-Deck ....................................................................... 40 Figura 5: Dimenses de Risco ........................................................................................................... 42 Figura 6: Tipos de Riscos de Controlo .............................................................................................. 43 Figura 7: Matriz de Riscos ................................................................................................................ 44 Figura 8: Fluxograma da Metodologia proposta ............................................................................... 57
Tabela 1: Dados Sobre a Informao Enviada s Instituies........................................................... 12 Tabela 2 :Escala de Avaliao ........................................................................................................... 36 Tabela 3: Exemplo de Checklist com Escala de Avaliao ............................................................... 37 Tabela 4:Exemplo de Checklist com Perguntas Fechadas................................................................. 37 Tabela 5: Software utilizado na Auditoria de Sistemas de Informao ............................................. 41 Tabela 6: Monitorizao das Recomendaes................................................................................... 60 Tabela 7: Requisitos Aplicados Pelo DSI.......................................................................................... 61
Trabalho de Licenciatura
Pgina 6
Trabalho de Licenciatura
Pgina 7
funes que antes estavam convenientemente segregadas por um conjunto de pessoas, podem estar (agora) aglutinadas num nico programa cuja descrio funcional ou orgnica nunca foi escrita. A opinio dos auditores precisa de ter uma base de informao fivel. E sabendo que a misso e atribuies da IGF dependem da obteno de informao fivel junto das entidades auditadas, torna-se indispensvel IGF, alm de analisar a informao fornecida, proveniente do processamento electrnico, avaliar tambm os sistemas de informao de modo a assegurar a sua fiabilidade e integridade. Com o presente trabalho, pretende-se estudar a auditoria de Sistemas de Informao em uso na IGF e sua envolvente externa, com vista a contribuir com uma metodologia que facilitem IGF a realizao de auditorias aos sistemas de informao informatizados das instituies pblicas.
Trabalho de Licenciatura
Pgina 8
falhas. Por outro, constituindo verdadeiros activos das instituies, os equipamentos, softwares e dados, tambm devem ser avaliados. Actualmente, a IGF no se encontra preparada para fazer face tais desafios, visto que apesar de ser sua competncia fazer auditoria de sistemas de informao, ela no possui um conjunto de pressupostos para actuar nesta rea, nomeadamente: um sector de auditoria de sistemas de informao; tcnicos qualificados em auditoria de sistemas de informao; e instrumentos metodolgicos para este tipo de auditoria.
Da que continue a executar as suas actividades sem efectuar avaliaes sistemticas, peridicas ou constantes aos sistemas de informao que produzem as informaes que ela prpria consome. A importncia dos sistemas de informao nas instituies em geral, a pertinncia e actualidade deste tema e as reformas em curso na Administrao Pblica, foram o mote para o presente estudo.
Trabalho de Licenciatura
Pgina 9
2. METODOLOGIA DO TRABALHO
Em decorrncia do problema de investigao, que se coloca na presente pesquisa, adoptou-se a metodologia de estudo de caso. Segundo Duarte (2006), estudo de caso uma inquirio emprica que investiga um fenmeno contemporneo dentro do contexto da vida real e onde mltiplas fontes de evidncias so utilizadas. Ainda, na linha de Lintz (2000), uma pesquisa baseada no estudo de caso pode ser desenvolvida considerando as seguintes fases: exploratria, delimitao de estudo, anlise sistemtica e redaco do relatrio.
Trabalho de Licenciatura
Pgina 10
das caractersticas prprias do objecto de estudo, so escolhidas as tcnicas mais adequadas para a colecta de dados (Lintz, 2000). Segundo Martins (2007), neste tipo de estudo, os instrumentos mais comuns para a colecta de dados so os questionrios e entrevistas. Questionrios podem ser com perguntas: fechadas so aquelas questes que apresentam categorias ou alternativas de respostas fixas; abertas so aquelas perguntas que conduzem o informante livremente com frases ou oraes. Entrevistas So uma tcnica que permite o relacionamento entre o entrevistado e o entrevistador. No uma simples conversa, trata-se de um dilogo orientado que busca atravs de interrogatrios informaes e dados para a pesquisa. As entrevistas podem ser estruturadas e no estruturadas. Entrevistas estruturadas - quando possuem as questes previamente formuladas, no havendo liberdade para o entrevistador alterar ou fazer incluso de questes; Entrevistas no estruturadas - o pesquisador busca obter os dados mais relevantes atravs de converso objectiva. Nesta fase optou-se pelos questionrios visto que haviam questes formuladas com o objectivo de obter dados estatsticos do ambiente de actuao da IGF e pela facilidade que os mesmos tem na obteno da informao nas entidades inquiridas tendo em conta a disponibilidade e abertura das entidades para as entrevistas. O desenho do instrumento de recolha de dados consistiu no desenvolvimento de um questionrio que serviu para a colheita, a nvel de instituies pblicas seleccionadas, de dados relevantes para o estudo. Na recolha de dados, para alm da IGF, foram seleccionadas outras instituies de nvel central (descritas no anexo 6) como Ministrios, Institutos e algumas Direces Nacionais com o objectivo de alcanar uma amostra significativa.
Trabalho de Licenciatura
Pgina 11
No total foram enviados 47 questionrios, dos quais se obteve 34 respostas, o que corresponde a uma taxa de adeso de 72,3%, conforme ilustra a tabela 1.
Empresas Pblicas 10
Importa referir que no processo de recolha de dados/informaes foram conduzidas entrevistas no estruturadas, baseadas no questionrio acima referido, visando o enriquecimento e aprofundamento das respostas obtidas pelos questionrios s mesmas instituies inquiridas. A recolha de dados permitiu um melhor conhecimento actualizado da situao concreta das instituies pblicas no domnio de auditoria e das tecnologias de informao e comunicao, e da IGF em particular.
Trabalho de Licenciatura
Pgina 12
Os resultados desta pesquisa permitem criar a metodologia que seguidamente foi testada no Departamento de Sistemas de Informao do Tribunal Administrativo, como forma de avaliar a sua aplicabilidade.
Trabalho de Licenciatura
Pgina 13
Trabalho de Licenciatura
Pgina 14
A auditoria de sistemas de informao (SI) nasce com a introduo dos computadores em sistemas de contabilidade. Acredita-se que a primeira implementao e utilizao de um sistema de contabilidade automatizado, tenha sido em General Electric em 1954, nos Estados Unidos. De 1954 at meados da dcada 60, a profisso de auditoria era exercida ao redor do computador. Nesta poca s os computadores mainframe eram utilizados e, poucas pessoas que tinham habilidades para programar e operar com este equipamento (Wikimedia, 2006). O cenrio comeou a mudar, nos meados da dcada 60, com a introduo de novos tipos de computadores, menores e menos caros, o que fez com que se aumentasse o uso de computadores e com isso a necessidade de os auditores se familiarizarem com conceitos de utilizao de computadores em negcios. Com o incremento do uso dos computadores, apareceram, tambm, diferentes tipos de sistemas contabilsticos automatizados. As associaes de auditores e de contabilistas, da poca, desenvolveram o primeiro software de auditoria denominado GAS e anos depois iniciaram com a produo de directrizes, procedimentos e padres para auditorias de SI. Em 1977, foi publicada a primeira edio de Objectivos de Controlo, esta publicao conhecida como Objectivos de Controlo Relacionados ao Uso da Tecnologia da Informao (COBIT). Em 1994, a organizao que criou estas normas e directrizes, antes conhecida como EDPAA mudou a designao e passou a chamar-se por Associao de Auditoria e Controlo de Sistemas de Informao, ISACA. Os recursos COBIT so utilizados, tanto pelos gestores de TI como pelos auditores de SI, como uma fonte de orientao para a obteno de melhores desempenhos (Wikimedia, 2006).
Trabalho de Licenciatura
Pgina 15
Contedo: uma opinio; Condio: profissional; Justificao: sustentada em determinados procedimentos; Objecto: uma dada informao obtida num certo suporte; Finalidade: determinar se apresenta adequadamente a realidade ou se esta responde s expectativas que lhe so atribudas, quer dizer, a sua fiabilidade. Pode-se, ento, dizer que a auditoria uma operao de anlise e diagnstico da instituio, tendo em considerao todos os aspectos da sua gesto, a fim de avaliar a coerncia, a racionalizao de processos e de apreciar a validade e o rigor dos resultados.
Quanto forma de abordagem do tema Auditoria horizontal auditoria com tema especfico realizado em vrias entidades ou servios paralelamente. Auditoria orientada auditoria focada em uma actividade especfica qualquer ou em actividades com fortes indcios de erros ou fraudes.
Trabalho de Licenciatura
Pgina 16
Quanto ao tipo ou rea envolvida Auditoria de programas de governo acompanhamento, exame e avaliao da execuo de programas e projectos governamentais especficos. Em geral, preocupa-se com a efectividade dos programas governamentais. Auditoria do planeamento estratgico auditoria que verifica se os principais objectivos da entidade so atingidos e se as polticas e estratgicas de aquisio, utilizao e alienao dos recursos so respeitadas. Auditoria administrativa auditoria que engloba o plano da organizao, seus procedimentos e documentos de suporte tomada de deciso. Auditoria contabilstica auditoria relativa salvaguarda dos activos e fidedignidade das contas da instituio. Essa auditoria, consequentemente, tem como finalidade fornecer uma garantia de que as operaes e o acesso aos activos se efectuem de acordo com as devidas autorizaes. Auditoria financeira tambm conhecida como auditoria de contas. Consiste na anlise das contas, da situao financeira, da legalidade e regularidade das operaes e aspectos contabilsticos - financeiros, oramentrios e patrimoniais, verificando se todas as operaes foram correctamente autorizadas, liquidadas, ordenadas, pagas e registadas. Auditoria de legalidade tambm conhecida como auditoria de regularidade ou de conformidade. Consiste na anlise da legalidade e da regularidade das actividades, funes, operaes ou gesto de recursos, verificando se esto em conformidade com a legislao em vigor. Auditoria operacional auditoria que incide em todos os nveis de gesto, nas fases de programao, execuo e superviso, sob o ponto de vista da economia, eficincia e eficcia. Auditoria integrada inclui simultaneamente a auditoria financeira e a operacional. Auditoria de Sistema de Informao tipo de auditoria, essencialmente operacional, por meio da qual os auditores analisam os sistemas informticos, o ambiente de informtica, a segurana de informaes e o controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficincias. Em alguns pases conhecida como auditoria informtica, computacional ou de TI. Auditoria de Qualidade (Desempenho) - A auditoria da qualidade um processo de anlise e avaliao segundo o qual se pretende verificar a eficcia desses sistemas quanto aos objectivos e padres referidos.
Trabalho de Licenciatura
Pgina 17
Auditoria Ambiental - Sendo muito recente, a Auditoria Ambiental examina e analisa os provveis impactos negativos ou positivos que as instituies possam causar ao meio ambiente. Auditoria de Marketing - A auditoria de Marketing uma importante responsabilidade da gesto de topo. Sendo revises e avaliaes de modo sistemtico, crtico e imparcial de todas as operaes do Marketing, estas auditorias podem beneficiar qualquer instituio e apontar para oportunidades de melhorar o desempenho desta rea funcional.
Trabalho de Licenciatura
Pgina 18
2.1.1. Plano Estratgico O plano estratgico estabelecido, normalmente, para um perodo de 3 a 5 anos. Seus objectivos so mais amplos, atingem toda a instituio e so aprovados pela gesto superior. Seu contedo define as metas da gesto de auditoria, seu modo de actuao, os recursos necessrios (pessoal, equipamentos e recursos financeiros) e as necessidades de treinamento. aconselhvel rever e actualizar o plano anualmente. 2.1.2. Plano Anual Este plano traduz o plano estratgico em um programa de actividades para o ano que se inicia. Neste plano, as actividades a realizar, so determinadas tendo em conta os critrios previamente estabelecidos para a definio dos trabalhos. Define-se a alocao do pessoal, oramento, datas de execuo, etc.
Trabalho de Licenciatura
Pgina 19
2.1.3. Programa de Auditoria O programa de auditoria baseia-se em auditorias individualizadas e contm detalhes exactos dos objectivos a serem atingidos, as reas a serem auditadas, os recursos necessrios e em que prazo, os objectivos de controlo e os procedimentos de auditoria a serem seguidos. feito pela equipa de auditores que vai executar o trabalho.
Toda a documentao, preparada ou obtida pelo auditor, relacionada com a realizao de uma auditoria
Trabalho de Licenciatura
Pgina 20
reaco e os comentrios desses funcionrios sero importantes para as concluses iniciais e recomendaes, bem como servem para esclarecimento de eventuais dvidas.
Trabalho de Licenciatura
Pgina 21
2.2.1. Papis de trabalho Para que fique registado todo o trabalho do auditor, ele elaborar os papis de trabalho, que so o conjunto de formulrios e documentos que contm as informaes e os apontamentos redigidos pelo auditor, no decurso do exame, as provas por ele realizados e, em muitos casos, a descrio dessas provas, que constituem o testemunho do trabalho executado e o fundamento de sua opinio (GODY, 1999). Para que atinjam sua finalidade, os papis de trabalho devem ser sempre claros e concisos e fornecer um registo completo e sem ambiguidades do trabalho realizado e para que outros auditores no envolvidos na auditoria, sejam capazes de chegarem s mesmas concluses a partir dos motivos ali mencionadas.
Dependendo do motivo que levou a realizao da auditoria, o relatrio pode ser encaminhado a direco da instituio (auditoria solicitada para identificar falhas em sua prpria administrao), ao organismo que financia a instituio auditada (auditoria solicitada como forma de proteger seus
Trabalho de Licenciatura
Pgina 22
investimentos) ou ao organismo responsvel pelo controlo e auditoria geral da instituio (auditoria de sistemas solicitada como parte de uma auditoria genrica, financeira ou de regularidade). 2.3.2. Estrutura do relatrio
A seguir sero apresentados, como sugesto, tpicos normalmente abordados em um relatrio elaborado por um rgo de auditoria interna, dirigido aos responsveis pelo controlo da administrao de recursos das instituies auditadas.
Sumrio Executivo Apresenta um breve resumo do relatrio; Introduo Identifica sumariamente a questo que objecto de relatrio, os objectivos do trabalho, o mtodo utilizado e o mbito considerado; Resultados obtidos So evidenciadas as situaes constatadas e o significado e relevncia das eventuais desconformidades; Concluses Indica as concluses obtidas do trabalho; Recomendaes Lista as medidas necessrias correco das situaes anmalas detectadas; Propostas Prope um conjunto de tomadas de deciso, a um nvel superior, que assegurem a adequada tramitao, seguimento e eficcia do relatrio.
Um prazo no qual a resposta da direco, da entidade auditada, sobre as revelaes de auditoria dever ser dada; Uma avaliao da resposta dada; Uma verificao da resposta (quando apropriado); Um procedimento de comunicao que faa subir as respostas/aces insatisfatrias.
Trabalho de Licenciatura
Pgina 23
Determinadas revelaes e recomendaes feitas podem ser to relevantes que requeiram uma aco imediata por parte da instituio auditada. Tais condies devero ser monitoradas pela actividade de auditoria interna at serem corrigidas, devido ao efeito que possam ter na organizao.
Trabalho de Licenciatura
Pgina 24
3. OS
REFERENCIAIS
METODOLGICOS
APLICADOS
AUDITORIA DE SI
Existem actualmente um conjunto de normas (standards) internacionais de SI que habitualmente incorporam modelos estruturados (frameworks) e que aqui optou - se por designar por referenciais. Estes referenciais podero constituir verdadeiras metodologias para a execuo das funes de gesto dos SI e tambm para serem utilizados na auditoria de SI.
3.1. Metodologia
A Metodologia o estudo dos mtodos ou seja, as etapas a seguir num determinado processo (Wikimedia, 2010). Tem como finalidade captar e analisar as caractersticas dos vrios mtodos disponveis, avaliar suas capacidades, potencialidades, limitaes ou distores e criticar os pressupostos ou as implicaes de sua utilizao. Alm de ser uma disciplina que estuda os mtodos, a metodologia tambm considerada uma forma de conduzir a pesquisa ou um conjunto de regras para ensino de cincia e arte.
Trata-se de um conjunto de orientaes desenvolvidas pelo governo britnico, que descreve um modelo de processo integrado de melhores prticas para prover a qualidade de servios de TI. Desenvolvido em 1989, um modelo (no proprietrio) que pode ser implementado por qualquer
Trabalho de Licenciatura
Pgina 25
organizao seja ela de pequeno ou grande porte demonstrando assim sua flexibilidade de adaptao. O ITIL enderea estruturas de processos para a gesto de uma organizao de TI apresentando um conjunto compreensivo de processos e procedimentos de gesto organizados em disciplinas com os quais uma organizao pode fazer sua gesto tctica e operacional com vista a alcanar o alinhamento estratgico com os negcios. Pontos fortes: Bem estabelecido, amadurecido, detalhado e focado em questes de qualidade operacional e produo de TI. Pode ser combinado CMMI para cobrir todos processos relacionado a TI. Limitaes: No aborda o desenvolvimento de sistemas de gesto de qualidade e no voltado para processos de desenvolvimento de software. 3.2.2. COBIT - Control Objectives for Information and related Technology
O COBIT um conjunto de directrizes baseadas em auditoria para processos, prticas e controlos de TI. Foi publicado em sua primeira edio em 1996 pela ISACA e IT Governance Institute. Est voltado para a reduo de risco com enfoque na integridade, confiabilidade e segurana. 3.2.2.1. Estrutura do COBIT O COBIT est estruturado em objectivos de controlo de alto nvel que definem 34 processos de TI agrupados em 4 domnios, designadamente:
PLANEAMENTO & ORGANIZAO (PO): Cobre a estratgia e tctica e diz respeito identificao da maneira que a TI pode melhor contribuir para o atendimento dos objectivos do negcio. Alm do mais, a realizao da viso estratgica precisa ser planeada, comunicada e gerida em diferentes perspectivas. Finalmente, uma organizao apropriada bem como uma infra-estrutura tecnolgica devem ser estabelecidas.
AQUISIO & IMPLEMENTAO (AI): Para concretizar a estratgia de TI, solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, bem como implementadas e integradas no processo do negcio. Adicionalmente, mudanas e manutenes nos sistemas existentes esto cobertas por este domnio para assegurar que o ciclo de vida continue para esses sistemas.
PRODUO & SUPORTE (DS): Se preocupa com as entregas reais dos servios requeridos que abrangem as operaes tradicionais sobre aspectos de segurana e continuidade at ao
Trabalho de Licenciatura
Pgina 26
treinamento. A fim de entregar servios, os processos necessrios de suporte devem ser estabelecidos. Este domnio inclui o processamento real de dados pelos sistemas aplicativos, frequentemente classificados como controlos de aplicaes.
MONITORIA (M): Todos os processos de TI precisam ser regularmente avaliados ao longo do tempo com relao a sua qualidade e conformidade com os requisitos de controlo.
Na Figura 2, possvel ver como os quatro domnios do COBIT esto relacionados, assim como os processos que compem cada domnio. OBJETOS DE NEGCIO COBIT
P01 - Definio plano estratgico TI P02 - Definio arquitectura de informao P03 - Determinao do direcionamento tecnolgico P04 Definio da organizao de TI e relacionamentos P05 Gesto do Investimento de TI P06 Comunicao de objectivos e direcionamento P07 Gesto de recursos humanos de TI P08 Gerir Qualidade P09 Avaliar e gerir riscos de TI P10 Gesto de Projectos
INFORMAES MONITORIA
DS01 Definio de nveis de servio DS02 - Gesto de servios de terceiros DS03 Gsto de performance e capacidade DS04 Assegurar a continuidade dos servios DS05 Assegurar a segurana dos sistemas DS06 Identificar e alocar custos DS07 - Educar e treinar usurios DS08 Gerir Service Desk e incidentes DS09 Gerir configuraes DS10 - Gerir problemas DS11 Gerir dados DS12 Gerir ambiente fsico DS13 Gerir operaes
AI01 Identificar solues automatizadas AI02 - Aquisio e manuteno de sistemas aplicativos (software) AI03 Aquisio e manuteno de tecnologia de infra-estrutura AI04 Habilitar a operao e uso AI05 Obter recursos de TI AI06 Gerir mudanas AI07 Instalao e homologao de solues e mudanas
ME01 Monitorar e avaliar o desempenho de TI ME02 Monitorar e avaliar os controles internos ME03 Assegurar a conformidade (compliance) com as regulamentaes ME04 Prover Governana de TI
Trabalho de Licenciatura
Pgina 27
3.2.2.2. Objectivo de Controlo Pode se entender como uma formalizao sobre o resultado desejado ou propsito a ser alcanado pela implementao de procedimentos de controlo em actividades especficas TI. O COBIT comea com um Objectivo de Controlo de alto nvel, ligado a um requisito de negcio. DS-5, por exemplo, se define como sendo um Controlo sobre o processo de TI de garantir a segurana de sistemas, que preenche uma necessidade do negcio de salvaguardar a informao contra uso no autorizado, divulgao ou modificao, e contra dano ou perda. O objectivo de controlo DS-5 se divide em 21 controlos secundrios, que vo desde o Plano de Segurana da Informao, passando por controlo de acesso e proteco contra vrus, at a proteco do valor econmico. Para cada controle secundrio, o COBIT informa um conjunto de melhores prticas que permitem atingir o Objectivo de Controlo e um conjunto de Directrizes de Auditoria. Pontos fortes: Permite que TI aborde riscos no endereados explicitamente por outros modelos e que seja aprovada em auditorias. Funciona bem com outros modelos de qualidade, principalmente ITIL. Limitaes: Diz o que fazer, mas no como fazer. No lida directamente com desenvolvimento de software ou servios de TI. No fornece um road map para aprimoramento contnuo de processos. 3.2.3. Norma BS 7799 - British Standard 7799/ ISO 17799
A BS 7799 uma norma que deve servir de base para a criao de uma poltica de segurana. Teve sua primeira verso publicada em 1995. A segunda verso desta norma foi elaborada em 1999 e est dividida em duas partes:
Parte I: BS 7799-1:1999 um catlogo que agrupa 36 objectivos de controlo decompostos em 127 medidas de controlo que explicam os pontos que devem ser trabalhados na implementao dessas medidas. O foco desta parte est na gesto de risco.
Parte II: BS 7799-2:1999 apresenta um Sistema de Gesto da Segurana da Informao utilizado para fazer avaliaes eficientes em qualquer aplicao, departamento ou organizao. composta de quatro fases: o o o o Avaliao de riscos; Gesto de riscos; Implementao de meios de segurana; Declarao de aplicabilidade.
Trabalho de Licenciatura
Pgina 28
No ano de 2000 houve a homologao da primeira parte a BS 7799 pela ISO (International Organization for Standardization) que originou a Norma Internacional de Segurana da Informao ISO/IEC 17799. Em Novembro de 2005, a ISO publicou a segunda edio da norma sob o ttulo ISO/IEC FDIS 17799:2005(E), que inclui a segunda parte da BS 7799, que refere-se a implementao, de um conjunto de melhores prticas de segurana aplicveis em organizaes de qualquer porte. Esta edio cancela e substitui a norma ISO/IEC 17799:2000. Limitado aspectos de segurana da informao. 3.2.4. Six Sigma
Um mtodo de aprimoramento de processo estatstico com enfoque na qualidade do ponto de vista do cliente ou do usurio desenvolvido pela Motorola. Define nveis de servio e mede variaes em relao a estes nveis. Os projectos percorrem cinco fases nomeadamente: definir, medir, analisar, aprimorar e controlar. A variante Design for Six Sigma aplica os princpios deste mtodo criao de produtos ou servios sem defeitos, e no ao aprimoramento dos que j existem. Pontos fortes: Uma abordagem orientada a dados para descobrir a raiz de problemas de negcio e resolv-los. Leva em conta o custo de qualidade. Em TI, melhor aplicado em actividades passveis de repetio e relativamente homogneas, como operaes de call center ou help desk. Design for Six Sigma pode ajudar a desenvolver boas especificaes de software. Limitaes: Projectado originalmente para ambientes de manufactura; pode ser difcil aplic-lo em processos que ainda no esto bem definidos e mensurveis. Pode aprimorar o processo, mas no diz se tem o processo certo. 3.2.5. Capability Maturity Model Integration (CMMI)
Desenvolvido pela Software Engineering Institute e Carnegie Mellon University, uma coleco de melhores prticas para desenvolvimento e manuteno de software. Permite que as empresas avaliem suas prticas e as comparem com as de outras empresas. SW-CMM mede a maturidade do processo, que progride em cinco nveis: 1 (inicial), 2 (gesto), 3 (definio), 4 (previso) e 5 (optimizao).
Trabalho de Licenciatura
Pgina 29
Pontos fortes: Criado especificamente para organizaes de desenvolvimento de software. Focaliza o aprimoramento contnuo, e no apenas a manuteno de uma certificao. Pode ser usado para auto-avaliao. Limitaes: No aborda aspectos de operaes de TI como gesto de segurana, mudana e configurao, planeamento de capacidade, diagnstico e funes de help desk. Estabelece metas, mas no diz como atingi-las. 3.2.6. ISO 9000
Trata-se de um conjunto de padres auditveis de alto nvel voltados ao cliente (ISO 9000, 9001 e 9004) para sistemas de gesto de qualidade desenvolvido pela International Standards Organization. Destinado a garantir controlo, repetibilidade e boa documentao de processos (no de produtos). Pontos fortes: Bem estabelecido, amadurecido. Goza de prestgio global. Pode ser aplicado em todas organizaes. Cobre o desenvolvimento de software, operaes e servios de TI. Limitaes: Requer adaptao considervel quando utilizado em organizaes de TI. Est mais virada para aspectos repetitivos e consistncia de processos, e no directamente a qualidade dos processos. No bom para descobrir a origem de problemas. 3.2.7. Balanced Scorecard
O Balanced Scorecard (BSC) um padro usado para identificar a relao de causa - efeito entre processos e resultados e para desdobrar a estratgia em aces exequveis. O BSC, um mtodo concebido inicialmente por Robert Kaplan e David Norton num artigo para a Harvard Business School no ano de 1992, ajuda as organizaes a planear e entender sua estratgia de forma balanceada e, possibilita um raciocnio estratgico que leva em considerao questes de curto, mdio e longo prazo. Pontos fortes: Funciona muito bem para definir, planear, comunicar a estratgia e medir e monitorar o desempenho. Limitaes: Falha no suporte s actividades de melhoria contnua e no supre totalmente a necessidade de anlise dos dados sobre a satisfao dos clientes ou sobre o desempenho do processo e do produto.
Trabalho de Licenciatura
Pgina 30
So j existentes - Podero no existir vantagens em investir tempo e esforo no desenvolvimento de um referencial metodolgico prprio baseado na experincia e no conhecimento limitado de uma s organizao quando j existem normas internacionais de SI disponveis.
So estruturados - As normas internacionais de SI habitualmente incorporam modelos estruturados que facilitam a compreenso das normas e a sua adaptao pelas organizaes e permitem que todas as partes interessadas nos SI (stakeholders) tenham uma referncia comum.
Incorporam as melhores prticas - As normas vo sendo construdas e melhoradas progressivamente ao longo dos anos, passando por um processo de avaliao por inmeras organizaes e profissionais de SI. Esta experincia acumulada de melhores prticas no possvel de alcanar com o esforo de uma s organizao.
Permitem a partilha de conhecimento - As organizaes podem beneficiar da partilha de conhecimento e de ideias (exemplos: grupos de utilizadores, websites, revistas, livros, etc.). So auditveis - Sem a existncia de normas de Gesto de SI, a misso da Auditoria de SI dificultada ou, pelo menos, no fica to facilitada para ser executada de um modo mais eficaz.
Ainda na linha de opinio de (Spafford, 2003), no existe uma resposta pr-determinada para a questo: Qual o melhor referencial a seleccionar para a Gesto de SI e para a Auditoria de SI? Mais do que seleccionar um referencial, as organizaes devem ser capazes de ter uma viso apreciativa sobre os diversos referenciais de SI existentes e planear a implementao dum referencial seu que combine/integre as melhores prticas de entre vrios referenciais j existentes, garantindo compatibilidade com as necessidades da organizao. Assim, o domnio da segurana deve ser o ponto de partida de qualquer organizao para a implementao de normas de SI. No entanto, as organizaes no se devem limitar a este tipo de
Trabalho de Licenciatura
Pgina 31
normas, devendo progressivamente estende - las para outros domnios dos SI. Neste contexto, o caminho passa por no s adoptar as normas mas tambm adapt-las e integr-las num referencial que seja til para a organizao.
Da interpretao do esquema proposto por (LeBlanc, 2004), Figura 3, que relaciona trs dos referenciais metodolgicos, pode se concluir o seguinte: Numa primeira fase, de definio, os SI devem ser tornados seguros (Secure), condio base para que os servios de SI possam ser prestados. Em fases seguintes, decorre a prestao dos servios de SI aos clientes, durante as quais deve ser efectuada a Medio (Measure) e a Anlise (Analyse) dos dados relativos qualidade dos servios. Estas duas actividades podero ser efectuadas periodicamente no mbito de uma Auditoria (Audit). Numa fase seguinte, aps a interpretao destes dados, devem ser identificadas medidas para Melhoria (Improve) dos servios. O ciclo recomea no sentido inverso, numa fase de Controlo (Control), em que se dever controlar atravs de uma Auditoria (Audit) as melhorias entretanto implementadas. Na sequncia destas, poder fazer sentido efectuar a Definio (Define) de novas medidas de segurana que melhorem a qualidade dos
Trabalho de Licenciatura
Pgina 32
servios de SI. Deste modo, o ciclo de melhoria contnua inverteu-se novamente e reiniciou-se, continuando sucessivamente na busca da melhoria da qualidade dos SI. O referido autor defende que o referencial metodolgico de SI mais adequado para a definio das medidas de Segurana (Secure) a ISO 17799, para a Auditoria (Audit) o COBIT e para a Melhoria (Improve) o ITIL. Ainda, segundo Gomes (2007), o COBIT o referencial aplicado preferencialmente na Auditoria de SI pelas seguintes razes:
Na gnese do COBIT esteve a necessidade de criar um referencial para auditar os processos de SI. O ITIL teve uma origem no to abrangente (a organizao e a estruturao das reas de SI) enquanto que o ISO 17799 nasceu especializado apenas na segurana da informao.
A entidade responsvel pela elaborao do COBIT uma Associao de Auditores de SI (ISACA), o que no acontece com os outros dois referenciais. O COBIT possui uma viso de gesto dos processos de SI e privilegia o alinhamento destes com o negcio. O ITIL tambm considera o alinhamento com o negcio, mas est focado na qualidade dos Servios de SI e possui uma viso mais operacional, factores que o tornam mais adequado para Auditoria de SI quando os objectos da Auditoria forem servios e no processos de SI abrangentes. O ISO 17799 ser o referencial mais adequado nos casos de auditoria informao e sua segurana nos SI, uma vez que possui uma viso sistmica da informao.
O COBIT til para as organizaes enquanto instrumento orientador e integrador de controlos de SI em todos os nveis de Governo dos SI, pelo que tambm ser um referencial sobre o qual todos os tipos de controlos de SI podero ser auditados. O ITIL poder ser um referencial adequado para auditar os processos de Gesto de Servios de SI e o ISO 17799 para auditar os procedimentos bsicos de Gesto da Segurana da Informao.
Como consequncia, os destinatrios privilegiados do COBIT so os Auditores de SI, sendo tambm utilizado pelos Gestores de Topo e Gestores de SI. Nos casos do ITIL e do ISO 17799, a utilizao pelos Auditores de SI deve ser favorecida apenas nas situaes anteriormente indicadas, uma vez que estes dois referenciais so mais adequados para utilizao pelos Gestores de Servios de SI e pelos Gestores da Segurana da Informao respectivamente.
Trabalho de Licenciatura
Pgina 33
4.1. ENTREVISTAS
Ao longo da auditoria podem ser feitas entrevistas com os dirigentes e funcionrios da instituio auditada, com o intuito de apresentar o plano da auditoria a ser realizada, colher dados, identificar falhas e indcios de irregularidades e, por fim, apresentar os resultados do trabalho. Segundo Dias (2000), as entrevistas podem ser: 4.1.1. Entrevista de Apresentao
recomendvel que a equipa de auditoria, no incio de seu trabalho de campo, faa uma entrevista de apresentao com os dirigentes da instituio auditada. Em geral, nessa entrevista so apresentados todos os membros da equipa, o cronograma de actividades, os objectivos da auditoria, as reas a serem auditadas, o perodo de execuo dos trabalhos e as metodologias que sero adoptadas. Normalmente solicitada a cooperao do auditado, assim como acomodaes adequadas para a equipa (sala, mesa, armrio, etc.), durante a execuo do trabalho de campo. Com frequncia as instituies designam um dos seus gestores para actuar como ponto focal entre a equipa de auditoria e as chefias dos departamentos envolvidos. 4.1.2. Entrevistas de Recolha de Dados
Durante a auditoria podem ser feitas entrevistas aos gestores e funcionrios da rea auditada, com intuito de recolher dados sobre os sistemas ou ambiente de informtica. Nessas entrevistas, podem ser identificados os pontos fortes de controlo, as falhas e possveis irregularidades. A equipa deve confirmar os factos relatados e, de preferncia, apresentar ao entrevistado, antes da reviso final do relatrio, partes do texto referentes a assuntos tratados com ele durante a entrevista.
Trabalho de Licenciatura
Pgina 34
Dependendo dos casos pode-se produzir um Auto Declarao4 que assinado pelos auditores presentes e pelo declarante. O Auto Declarao um documento de suporte e serve como evidncia perante factos constatados durante a auditoria. Com isso evita-se qualquer mal-entendido ou desvios de interpretao do que foi dito por cada entrevistado. 4.1.3. Entrevistas de Discusso das Deficincias Encontradas
No trmino das investigaes, comum serem apresentadas aos responsveis de cada rea auditada, as deficincias encontradas. Nessas entrevistas, os responsveis podem discutir abertamente os pontos crticos e apresentar justificativas para tais falhas. Dependendo da justificativa dada, a falha correspondente pode ser desconsiderada ou a prpria justificativa pode ser includa no relatrio de auditoria. Dessa forma interactiva, a equipa de auditoria d oportunidade ao auditado de expor seus pontos de vista. Vale ressaltar, entretanto, que nem todas as auditorias permitem essa discusso aberta com o auditado. 4.1.4. Entrevista de Encerramento
Ao final dos trabalhos de auditoria, a equipa se rene novamente com os dirigentes da instituio auditada. Nessa ocasio, so feitos agradecimentos colaborao da direco e seus funcionrios e so relembrados os objectivos de auditoria como tambm, se apresenta um resumo dos resultados de auditoria.
4.2. QUESTIONRIOS
habitual que o auditor comece por solicitar o preenchimento de questionrios previamente impressos e enviados aos responsveis das diversas reas a auditar, podendo o mesmo envio ser feito para utilizadores de outros nveis (Carneiro, 2004). As respostas permitem uma anlise inicial que, por sua vez, ir orientar o trabalho do auditor e at a elaborao do seu relatrio final. Se o auditor tiver obtido uma informao adequada por outros meios, este instrumento pode ser omitido.
Documento elaborado durante a auditoria mediante factos relatados mas que no possuem evidncia pela qual o auditor se pode apoiar. assinado pelo declarante e pelos membros da equipa de auditoria presentes.
Trabalho de Licenciatura
Pgina 35
4.3. CHECKLIST
O auditor deve construir perguntas muito estudadas e de formulao flexvel, que o conduzam a obter respostas coerentes e que permitam uma correcta descrio dos pontos fracos e fortes. Este conjunto de perguntas tem o nome de checklist (Carneiro, 2004). Regra geral, os checklists devem ser respondidos oralmente, pois podem fornecer contedos mais individualizados e mais ricos do que as outras formas. Segundo Carneiro (2004), os checklists podem ser avaliados por dois processos: 4.3.1. Checklists com escala de avaliao
Contm perguntas cujas respostas devem ser classificadas dentro de um intervalo preestabelecido (por exemplo, de 1 a 5, sendo 1 a resposta mais negativa e 5 o valor mais positivo). Exemplo de um checklist com escala de avaliao Durante uma auditoria sobre a segurana fsica de uma dada instalao, pretende-se analisar o controlo dos acessos de pessoas e objectos diversos ao Centro de Processamento de Dados. As respostas formuladas so avaliadas de acordo com uma escala da tabela 2. Designao Pontuao Muito deficiente 1 Deficiente Aceitvel 2 3 Algo Inteiramente correcto correcto 4 5
As perguntas devem ser colocadas ao auditado sem qualquer comentrio s suas respostas para evitar problemas de fiabilidade (Tabela 3). O resultado seria a mdia das pontuaes: (1 + 2 + 2 + 4) /4 = 2,25, o que significa, de acordo com a escala referida, que a situao deve ser classificada como "deficiente".
Trabalho de Licenciatura
Pgina 36
Perguntas Existe algum pessoal dos servios de segurana que vigie as zonas externas do edifcio? No que se refere segurana interna do edifcio, h pelo menos um vigilante por turno na zona do Centro de Processamento de Dados? H alguma sada de emergncia alm daquela que usada para a entrada e sada de equipamento? O pessoal que se ocupa das comunicaes internas pode entrar directamente na Sala dos Computadores?
Respostas No. Durante a noite h apenas um guarda que se encarrega tambm de um outro edifcio que existe perto deste. Sim, mas este funcionrio tem de deslocar-se a outros 4 andares quando necessrio. Sim, mas muitas vezes h caixotes empilhados junto porta, o que dificulta a passagem. No. Apenas tem autorizao para tal o chefe desse servio. Os seus colaboradores necessitam de ter uma justificao e de avisar o Chefe da Sala.
Pont uao 1
4.3.2.
Como se infere do nome, as respostas apenas podem ser "Sim" ou "No". Em termos de pontuao, a primeira equivale a 1 (um) e a segunda a 0 (zero). Exemplo de um checklist com perguntas fechadas Suponha-se que est a decorrer uma reviso dos mtodos de provas de programas no mbito de um Desenvolvimento de Projectos (Tabela 4).
Perguntas Existe alguma norma segundo a qual o utilizador final faa a comprovao dos resultados finais dos programas? O pessoal do Desenvolvimento sabe da existncia dessa norma? Essa norma aplica-se em todos os casos? Existe uma norma segundo a qual as provas tenham de realizar-se com jogos de ensaio ou fazendo uma cpia de bases de dados reais? Tabela 4:Exemplo de Checklist com Perguntas Fechadas
Pontuao 1 1 0 0
Trabalho de Licenciatura
Pgina 37
Os checklists com escala so adequados se a equipa tcnica que efectua a auditoria no muito grande e se tm critrios uniformes e equivalentes nas avaliaes, pois permitem uma maior preciso na avaliao do que os checklists com perguntas fechadas. No entanto, a justeza do mtodo depende muito da formao e competncia dessa mesma equipa. Os checklists com perguntas fechadas tm a vantagem de poderem ser utilizadas por vrios membros da equipa de auditoria, mas apresentam o inconveniente de exigirem respostas "Sim" e "No", no permitindo, assim, captar outras alternativas que poderiam ter interesse para o processo de anlise.
Trabalho de Licenciatura
Pgina 38
4.6.1.
Os dados do auditado podem ser colectados e analisados com auxlio de softwares (Tabela 5) de extraco de dados, de amostragem, e de analise de logs. 4.6.1.1. Anlise do Log/Accounting O ficheiro Log/Accounting uma anotao histrica que informa sobre as alteraes que vo acontecendo e como aconteceram durante utilizao do hardware e do software que integram o SI informatizado. 4.6.2. Tcnicas Para Verificao de Controlos de Sistemas
Essas tcnicas permitem ao auditor testar a efectividade dos controlos dos sistemas do auditado. Pode-se analisar sua confiabilidade e ainda determinar se esto operando correctamente a ponto de garantir a fidedignidade dos dados. Dentre as tcnicas mais utilizadas, pode-se citar: Simulaes, Mapeamento estatstico de programas, Rastreamento de programas. 4.6.2.1. Mapeamento Estatstico dos Programas O auditor utiliza esta tcnica para verificar situaes como a existncia de rotinas que no so utilizadas e identificar o nmero de vezes que cada rotina foi utilizada durante o processamento de dados. 4.6.2.2. Rastreio de Programas Apoiando-se em softwares potentes e modulares que permitem seguir o percurso dos dados no contexto de um dado programa, o auditor informtico verifica at que ponto que os programas instalados no sistema realizam exactamente as funes pretendidas e previstas e no outras. Em particular, estes percursos so utilizados para comprovar a execuo das validaes de dados previstas, sem que o sistema seja modificado (Carneiro, 2004).
Trabalho de Licenciatura
Pgina 39
4.6.2.3. Simulao Test-Deck Para a aplicao desta tcnica, submete-se um conjunto de dados de teste ao programa ou rotina que vigora no sistema. Se se verificar que todos os resultados obtidos atravs desse programa ou rotina esto incorrectos, pode-se concluir pela inadequao da lgica do processo que est a ser auditado. A simulao dos dados que so utilizados para testar a situao de um dado programa deve poder prever situaes correctas e incorrectas como, por exemplo, transaces incompletas, incompatveis, duplicadas ou com campos invlidos. A aplicao da tcnica de simulao de dados implica que o auditor tenha bons conhecimentos de anlise de sistemas. A Figura 4 descreve as fases empregues na simulao test-deck.
Elaborao de simulao de dados de teste
Avaliao de resultados
4.6.2.4. Simulao Paralela Na chamada simulao paralela, o auditor comea por identificar a rotina que deve ser auditada e os ficheiros com os dados que tm sido utilizados. Posteriormente, prepara um programa informtico de acordo com a lgica da rotina em questo, a fim de simular as funes de rotina do sistema que est a ser auditado. A este programa so submetidos conjuntos de dados de rotina que foram previamente processados no programa instalado no sistema. Consegue-se assim uma comparao entre as duas formas de processamento, o que permite avaliar a operacionalizao do programa em anlise.
Trabalho de Licenciatura
Pgina 40
4.6.3.
Outras Ferramentas
Existem ferramentas que no so necessariamente de auditoria, mas sem dvida, auxiliam o auditor durante a execuo da auditoria e na elaborao do relatrio. Nessa categoria se encontram os editores de texto, planilhas electrnicas, bancos de dados, softwares para apresentaes e outros. A tabela 5 mostra os softwares mais usados na auditoria de SI.
Software MS Project, Cbeam, EXCEL e Outlook Visio, Powerpoint Word, Excel, SPSS, COBIT,COBRA SQL Server, MY SQL, ORACLE
Finalidade planos, cronogramas esquemas, fluxos e desenho questionrios extraco de dados amostras anlise de dados regresso Linear simulao, grficos documentao, avaliao do controlo interno comunicao texto apresentao divulgao
ACL, IDEA, SPSS ACL, Access, Excel, IDEA SPSS, Excel Excel Cbeam, Infocus Outlook Word, Excel
Relatrio
Trabalho de Licenciatura
Pgina 41
5.1.1.1. Risco de que a informao contenha um erro material Nesta perspectiva, se encontra, dois tipos de risco, designadamente risco inerente e risco de controlo. Risco inerente a susceptibilidade dos recursos de informao ou dos recursos controlados pelo Sistema de Informao serem roubados, destrudos, ignorados, modificados sem autorizao, ou
Trabalho de Licenciatura
Pgina 42
sofrer outros danos, assumindo que no existem controlos internos relacionados. Este risco refere-se ao negcio e sua envolvente. Todos os negcios tm os seus prprios nveis de risco porm, deve-se prestar particular ateno nos seguintes aspectos: Histria conhecida no sector, Atraco para o abismo Contexto Ramo de actividade (Banca, Sade, Construo Civil, etc). Risco de controlo o risco de que um erro materialmente relevante nos dados da entidade no ser prevenido ou detectado e corrigido atempadamente pela estrutura de controlo interno da entidade. A Figura 6 descreve os trs tipos de risco de controlo e suas respectivas abrangncias, no contexto de sistemas de informao informatizados.
O risco global de controlo interno ser obtido a partir da combinao dos resultados obtidos nos controlos: gerais, aplicacionais e de utilizao.
Trabalho de Licenciatura
Pgina 43
5.1.1.2. Risco de que o auditor no detecte um erro material Conforme ilustrado na Figura 5, nesta dimenso se encontra o risco de deteco. Risco de deteco o risco de que os procedimentos de auditoria no permitam detectar um erro material existente na informao. Pode ser determinado a partir da matriz de risco mostrado na Figura 7. 5.1.2. Relao entre os riscos O risco geral de auditoria (RA), pela forma como se relaciona com os SI, pode ser pensado como o produto dos trs riscos componentes: RA = RI * RC * RD com base no nvel do risco de auditoria e na avaliao dos riscos inerente e de controlo da entidade, que o auditor determina a natureza, durao e extenso dos procedimentos substantivos de auditoria necessrios para se atingir o risco de deteco desejvel. Desta forma pode-se determinar o tamanho da amostra a partir do risco de deteco, quanto maior for o risco de deteco menor o tamanho da amostra (EFICINCIA) (Banha, 2005). Por este mtodo obtm - se uma aproximao cientfica auditoria de SI baseada na anlise de risco.
Trabalho de Licenciatura
Pgina 44
Trabalho de Licenciatura
Pgina 45
3. Avaliao e teste dos controlos de utilizao. Estes controlos tm de ser eficazes para ajudarem a assegurar a fiabilidade, confidencialidade apropriada e a disponibilidade da informao crtica automatizada. O auditor avalia e testa a eficcia dos controlos atravs da utilizao de diversas tcnicas, descritas no ponto 4 do captulo II. Estas incluem: A observao do funcionamento e execuo dos controlos; A anlise da documentao relacionada com os controlos; Discusso dos controlos com os funcionrios; e Questionrios, inquritos e inspeces. 5.2.2. Testes Substantivos Teste para determinar se certos dados produzidos por um sistema so vlidos e fiveis. No estabelecem a existncia ou adequabilidade dos controlos de sistema ou se tais controlos esto em conformidade, mas podem indicar fraquezas de controlo. Destinam-se a confirmar o adequado processamento comparado com o suporte documental das operaes, anlises de pormenor de transaces e dos procedimentos analticos (anlises de rcios e tendncias significativas). Segundo Banha (2005), o nvel de materialidade seleccionando pelo auditor, juntamente com a avaliao do risco da auditoria, esto em relao directa com a profundidade dos testes a realizar, sobretudo no que se refere aos testes substantivos.
Trabalho de Licenciatura
Pgina 46
CAPTULO III: METODOLOGIA PARA AUDITORIA DE SISTEMA DE INFORMAO NA ADMINISTRAO PBLICA ESTUDO DE CASO IGF 1. APRESENTAO DA IGF
1.1. Misso e competncias
Segundo o Decreto n 40/99 de 29 de Junho, a Inspeco Geral de Finanas (IGF) um rgo de controlo superior financeiro do Estado e de apoio ao Ministro que superintende a rea das Finanas no mbito da gesto dos fundos pblicos e controlo patrimonial. A IGF parte integrante do Ministrio das Finanas e funciona na directa dependncia do respectivo Ministro. A IGF tem como atribuies fundamentais realizar o controlo da administrao financeira do Estado, incumbindo-lhe o exerccio do controlo nos domnios oramental, financeiro e patrimonial, de acordo com os princpios da legalidade, regularidade e da boa gesto financeira, contribuindo para a economia, a eficcia e a eficincia na obteno das receitas e na realizao das despesas pblicas nacionais. A IGF exerce a sua actividade em todo o territrio nacional e nas misses ou delegaes do Pas no exterior. No mbito do controlo oramental, financeiro e patrimonial cumpre IGF: a) Realizar inspeces/Auditorias aos rgos do Estado, suas instituies e pessoas colectivas de direito pblico ainda que personalizados, incluindo as autarquias locais; b) Efectuar inspeces/auditorias a empresas pblicas, estatais e mistas onde o Estado detenha participao no respectivo capital, com excepo das instituies de crdito, parabancrias e de seguros; c) Efectuar, mediante despacho do Ministro que superintende a rea das Finanas, auditorias ou exames escrita das empresas e entidades privadas ou cooperativas, quando sejam sujeitas de relaes financeiras ou tributrias com o Estado ou quando se mostre indispensvel ao controlo indirecto de quaisquer entidades objecto de interveno da IGF; d) Proceder a inquritos e sindicncias superiormente determinados ou por conhecimento directo de matria pertinente no decurso das suas actividades; e) Levantar autos de transgresso quando, no decurso ou em resultado de inspeces, inquritos ou sindicncias, se detectem infraces s leis fiscais;
Trabalho de Licenciatura
Pgina 47
f) Acompanhar a adopo e implementao de medidas por si propostas; g) Exercer quaisquer funes que lhe sejam ou venham a ser atribudas por lei. 1.2. Estrutura Orgnica Actual da IGF
Ainda de acordo com o Decreto n 40/99 de 29 de Junho a IGF dirigida por um Inspector-Geral, coadjuvado por um Inspector Geral Adjunto, ambos nomeados por despacho do Ministro que superintende a rea das Finanas. O anexo 3 ilustra a estrutura orgnica da IGF, que compreende cinco departamentos, uma repartio e duas delegaes regionais, designadamente: a) Departamento de Inspeco aos rgos do Estado e suas instituies (DIOE) Compete a este departamento proceder com inspeco ou auditoria respeitantes gesto e situao econmico-financeira de quaisquer servios pblicos e suas instituies subordinadas, incluindo instituies com autonomia administrativa, financeira e patrimonial. b) Departamento de Inspeco s Autarquias (DIA) Compete fiscalizar a legalidade da gesto financeira e patrimonial das autarquias, incluindo servios municipalizados e empresas pblicas municipais e das associaes ou federaes autrquicas. c) Departamento de Auditoria s Empresas (DAE) Efectua inspeces ou auditorias s empresas pblicas e estatais, s associaes de capitais pblicos e empresas de capitais mistos, com excepo das instituies de crdito, parabancrias e seguros. d) Departamento de Inspeco aos sectores Tributrio e Aduaneiro (DITA) Inspecciona as Direces Nacionais de Tesouro, Imposto e Auditoria e das Alfandegas, no que refere a gesto dos recursos humanos e, controlo e execuo oramental, contabilstico, patrimonial, da receita, da despesa e das actividades subsidiarias com elas relacionadas. e) Departamento Tcnico (DT) Ao DT compete efectuar estudos sobre matrias de interesse da IGF e promover a realizao de projectos de interesse para o organismo; providenciar apoio tcnico s equipas de inspeco;
Trabalho de Licenciatura
Pgina 48
promover aces de formao; coordenar a utilizao de meios informticos e apoiar o desenvolvimento das aplicaes informticas; f) Repartio de Administrao e Finanas (RAF) RAF compete conceder todo apoio logstico e burocrtico IGF. g) Delegao Regional Centro (DRC) e Delegao Regional Norte (DRN) s delegaes regionais, compete-lhes apoiar o desenvolvimento das aces promovidas pelos departamentos operacionais e executar tarefas de carcter administrativo inerentes ao seu funcionamento. 1.3. Destinatrios dos Produtos da IGF
Os principais destinatrios dos produtos da IGF so o Ministro das Finanas e os outros membros do Governo. Porm, podero existir outros interessados no trabalho desenvolvido pela IGF, tais como a Procuradoria-Geral da Repblica, o Tribunal Administrativo, as entidades auditadas e os doadores.
Segundo o 1 Inqurito Nacional sobre a Capacidade Informtica do Pas, realizado no ano 2000, ficou demonstrado que mais de 50% do parque informtico nacional est concentrado na cidade capital. (Politica de Informtica)
Trabalho de Licenciatura
Pgina 49
2.1.
De referir que apesar de maior parte das instituies, abrangidas pelo estudo, possurem rgos de controlo (Quadro 1 do anexo 4), cerca de 76 % no realizam auditoria no ambiente informtico o que representa preocupao sabidos os investimentos realizados nesta rea e os riscos inerentes utilizao das tecnologias de informao. Importa referir que mesmo as instituies que realizam auditoria no seu ambiente informtico, 44% no o fazem com periodicidade. 2.2. Organizao do Sector de Informtica
Dos dados obtidos relativamente Organizao dos Sectores de Informtica (Quadro II do Anexo 4), constata-se que 9% das instituies com particular destaque para os Ministrios no possuem sectores de informticas, apesar de serem detentoras e utilizadores de recursos computacionais (computadores, aplicaes informticas, entre outros). Verifica-se ainda que 65% das instituies possuem contratos de assistncia tcnica tanto de hardware como de software. De referir que boa parte das instituies, 65% trabalham na base de um plano estratgico. 2.3. Infra-Estrutura Tecnolgica e Aplicacional
Os dados obtidos relativamente infra-estrutura tecnolgica e aplicacional existentes a nvel das instituies inquiridas (Quadro III e IV do Anexo 4) permitem constatar que: Dos computadores existentes, 79% so da famlia do Pentium III e IV, o que parece indicar que, apesar dos condicionalismos existentes, h um esforo de apetrechamento do parque informtico. Ser interessante tentar relacionar a frequncia com que so actualizados os equipamentos com a facilidade de se obter financiamentos para investimentos realizados nesta rea. Cerca de 88 % das instituies possuem rede interna, sendo que a maioria dessas redes esto ligadas Internet. Todos os inquiridos utilizam o sistema operativo windows nos postos de trabalho. Os outros sistemas operativos como Linux, Solares, Unix, Macintosh, Novell e outros so usados nos sectores de informtica muitas vezes em servidores, com excepo do e-SISTAFE que utiliza o linux como sistema operacional no posto de trabalho.
Trabalho de Licenciatura
Pgina 50
2.4.
Do total das instituies inquiridas, 56% possuem correio electrnico interno suportado por meios tecnolgicos da instituio e nessas instituies a percentagem dos funcionrios que utilizam o correio electrnico aproxima-se aos 100% (Quadro V do Anexo 4). A Internet um meio a que a Administrao Pblica pode recorrer, quer como utilizadora quer como prestadora de servios. Na perspectiva de utilizadora, a percentagem de instituies com ligao Internet de 97%, Quadro IV do Anexo 4. Na perspectiva de prestadora de servios, a percentagem de organismos que disponibiliza informao/servios na Internet de 65%, destes 68% suportam estes servios com recursos tecnolgicos prprios, isto , possuem a Pgina Web alojada na instituio (Quadro V do Anexo 4). 2.5. Consideraes Gerais
Apesar das dificuldades encontradas na recolha da informao, para o presente estudo, o inqurito cobriu uma parte significativa dos Ministrios (64 %) o que permitiu obter uma viso geral do ambiente de actuao da IGF na vertente das Tecnologias de Informao e Comunicao (TIC). De referir que as instituies do sector pblico, a nvel da infra-estrutura tecnolgica e aplicacional, esto razoavelmente equipadas. Algumas instituies, com maior destaque para as empresas pblicas, so detentoras de aplicaes de suporte para recursos humanos, contabilidade e finanas e outras reas operacionais. As instituies do Estado sem autonomia financeira, administrativa e patrimonial, esto de forma paulatina a integrar o novo Sistema de Administrao Financeira do Estado (SISTAFE), o que significa que a IGF ter de envidar esforos de forma a lidar com este novo ambiente. Prev-se, ainda, a integrao de outras instituies como Municpios e Institutos Pblicos. A nvel das instituies que tem por vocao a arrecadao de receitas do Estado, como as Direces Gerais das Alfandegas e dos Impostos, verifica-se tambm um esforo na automatizao dos seus processos de negcio, exemplos disso so os sistema TIMS (DGA) e SICR e NUIT (DGI). A maior parte das instituies est conectada em redes de computadores e estas Internet. Possuem correio electrnico interno e tem presena na Internet atravs das pginas Web.
Trabalho de Licenciatura
Pgina 51
Com a efectivao da rede electrnica do Governo (GovNet), levado a cabo pela Comisso Para a Politica de Informtica, que visa a interligao das instituies do Governo, prev-se que num futuro breve, maior parte das instituies que no detm servidores de correio electrnico possam vir a beneficiar-se deste projecto, uma vez que presta servios nesta rea. Este cenrio poder levar a que, caso se crie regulamentao para tal, uma percentagem razovel das interaces/contactos entre instituies da Administrao Pblica se faam prioritariamente de forma electrnica.
3.1.
Fase de Planificao
Nos finais de cada ano, todos os departamentos/delegaes da IGF, iniciam o processo de preparao do plano anual de actividades para o ano seguinte. Os Departamentos operacionais e as Delegaes submetem ao Departamento Tcnico as propostas do plano de actividades a nvel do departamento/delegao para compilao. Estas propostas so discutidas em Colectivo de Direco, no qual participam todos os chefes dos departamentos/delegados, chefe da RAF e alguns tcnicos convidados, sendo depois submetida ao Ministro das Finanas para homologao. O Plano de Actividades aprovado pelo Ministro das Finanas, divulgado em todos rgos da instituio para o seu conhecimento e execuo. A partir da, os departamentos operacionais elaboram propostas de equipas de auditoria e submetem apreciao e aprovao do Inspectorgeral. Uma vez designada a equipa que ir executar uma determinada aco, esta inicia o processo de planificao para execuo dos trabalhos, recolhendo toda a documentao/legislao relacionada com a instituio que ser objecto da auditoria. Deste processo, resulta o programa de auditoria, no qual, dentre outras informaes devem constar os integrantes da equipa, os recursos necessrios, estimativas de prazos, objectivos da auditoria, reas de interveno, entre outros. O programa de auditoria, elaborado pela equipa, submetido apreciao do chefe do departamento. Neste processo de preparao da execuo da auditoria, envolve-se tambm a RAF, com vista a criar condies logsticas necessrias realizao da aco. Antes de a equipa deslocar-se instituio a auditar, recebe uma credencial que a legitima a realizar a auditoria.
Trabalho de Licenciatura
Pgina 52
3.2.
Fase de Execuo
Chegada instituio, a auditar, a equipa apresenta-se ao dirigente ou representante ao qual exposta a credencial passada pela IGF e so dados os esclarecimentos sobre os objectivos e objecto da auditoria. , ainda, solicitado instituio a indicao de uma sala de trabalhos para a equipa e indivduos que interagiro com a equipa durante a realizao da auditoria. Nesta etapa, faz-se o levantamento, verificaes, avaliao do controlo interno e recolha das evidncias. Se necessrio, so solicitados esclarecimentos instituio relativamente s irregularidades detectadas. Durante esta fase a equipa acompanhada por um supervisor ou chefe do departamento, para ajudar a dissipar possveis dificuldades e garantir que os objectivos da auditoria sejam alcanados. 3.3. Fase de Elaborao do Relatrio
As constataes apuradas so apresentadas num relatrio onde, tambm so indicadas as recomendaes e concluses a que se chegou com a realizao da auditoria. Normalmente, o relatrio da auditoria elaborado na IGF, apesar de a equipa de auditoria proceder apresentao de um breve resumo do trabalho realizado ao dirigente da instituio antes de deixar a mesma. O relatrio submetido ao chefe do departamento para apreciao e posterior submisso ao InspectorGeral. Em seguida, o relatrio de auditoria enviado instituio auditada para num prazo de 15 dias se pronunciar em relao s constataes do relatrio. A equipa que realizou a auditoria procede a consolidao do relatrio com base nos comentrios recebidos da instituio auditada. O relatrio consolidado, segue ao Ministro das Finanas para Despacho e seguidamente dado a conhecer instituio auditada e a outros intervenientes (relatrio com despacho do Ministro) para o seu cumprimento. 3.4. Resumo das constataes/ Deficincias no Processo Actual
Ausncia do planeamento de auditorias de SI At ao momento, este tipo de auditoria no realizado. Em alguns casos, no decurso de uma auditoria financeira normal, se os auditores, se depararem com um sistema informtico onde se duvida da conformidade da informao financeira fornecida, proveniente de tal sistema, solicitam o apoio dos tcnicos de informtica para auxiliarem nas avaliaes. Contudo, as
Trabalho de Licenciatura
Pgina 53
N demasiado reduzido de tcnicos de informtica Actualmente, a IGF possui um efectivo de trs tcnicos de informtica, afectos ao Departamento Tcnico. Este n insuficiente se se partir do princpio de que os mesmos, para alm do apoiar as equipas de auditoria no terreno, desempenham outras tarefas, algumas de carcter rotineiro tais como: desenvolvimento e manuteno de aplicaes, gesto da infraestrutura de rede, manuteno de equipamento informtico, apoio aos utilizadores, etc.
Ausncia no organigrama da IGF de um sector de auditoria de SI A existncia deste sector na IGF iria possibilitar a realizao de auditorias especializadas na rea de SI e permitir que os seus integrantes desenvolvessem habilidades e competncias tcnicas com foco nesta rea.
Falta de operacionalizao do Centro de Documentao Existe um Centro de Documentao que no est sendo explorado devido ao facto desta no conter bibliografia actual e de interesse para os auditores. Segundo Dias (2000), o grupo de auditores de SI e demais auditores de uma instituio deve ter, a sua disposio, uma biblioteca tcnica para consulta. Dessa forma podero orientar seus trabalhos de acordo com os padres conhecidos na rea, manter-se actualizados com relao as novas tecnologias e utilizar publicaes tcnicas como fonte de consulta durante a auditoria e na elaborao do relatrio.
Ausncia de um sector para velar pela qualidade dos relatrios Este sector de vital importncia para organizaes deste tipo uma vez que os auditores trabalham com matrias sensveis que afectam a vida de pessoas e instituies, sendo assim importantssima a reviso dos relatrios de auditoria por pessoal especializado.
Ausncia de procedimentos para acompanhamento das recomendaes Actualmente, no existe uma forma uniforme e padronizada para o processo de acompanhamento das recomendaes, muitas vezes os auditores aproveitam saber do que foi feito durante a realizao de aces de auditorias normais, o que no deveria ser pois, esta
Trabalho de Licenciatura
Pgina 54
tambm uma verdadeira aco de auditoria que procura saber o estado de implementao das recomendaes emanadas nos relatrios de auditoria.
Ausncia de uma metodologia de auditoria de SI A ausncia de uma metodologia de auditoria de SI padronizada, acarreta aces desordenadas realizadas por um mesmo rgo, com critrios de avaliao diferentes e, muitas vezes, para um mesmo tipo de constatao, recomendaes incoerentes e conflituosos.
Trabalho de Licenciatura
Pgina 55
4. METODOLOGIA PROPOSTA
Analisadas as deficincias apresentadas no procedimento actual de auditoria, efectuada pela IGF, e tendo estudado os referenciais metodolgicos apresentado no ponto 3 do captulo II e tendo como ponto de partida a natureza e misso da IGF, se apresenta a metodologia proposta. Referir igualmente que grande parte da metodologia baseou-se no referencial metodolgico COBIT por ser, segundo Gomes (2007), o referencial mais adequado para a auditoria de SI. Esta metodologia segue igualmente as quatro fases (boas prticas) propostas por organizaes internacionais de auditoria como so os casos do IIA, INTOSAI, ISACA, entre outros, abordadas no Captulo II. Foi desenvolvido um fluxograma representado na Figura 8, na qual cada fase se desdobra em uma srie de actividades, as quais esto descritas a seguir:
4.1.
Fase de Planeamento
Nos finais de cada ano, o responsvel pelo sector de auditoria de SI, em coordenao com a sua equipa, deve identificar as aces que o sector ir realizar com base em critrios previamente definidos pela instituio e submeter ao Departamento Tcnico. Desta forma, assegura que todas as suas aces estejam contidas no Plano de Actividade aprovado pelo Ministro das Finanas.
Trabalho de Licenciatura
Pgina 56
Nesta fase, deve-se definir os objectivos das aces de auditoria, reas objecto de interveno, estimativas de tempo, tcnicos e custos necessrios para a realizao da aco e alocao de recursos s aces.
Planeamento de Auditoria
Identificao de aces a nvel do Sector de Aud SI Incluso das aces no Plano de Actividade Aprovao do Plano pelo Ministro das Finanas
Execuo de Auditoria
Planificao da execuo da auditoria
Consulta da Documentao da instituio a auditar Apresentao da equipa instituio a auditar Avaliao do controlo interno (T. de Conformidade) Execuo dos testes substantivos
do das
Envio do relatrio para as instituies envolvidas Arquivo dos papis de trabalho e do relatrio.
4.2.
Fase de Execuo
Conforme ilustrado na Figura 8, esta etapa compreende cinco passos descritos abaixo.
Trabalho de Licenciatura
Pgina 57
Planificao da execuo da auditoria elabora se o programa de trabalho que a definio detalhada dos objectivos, procedimentos e tarefas especficas. Para isso necessrio a efectivao de levantamentos iniciais como consulta da documentao da instituio a auditar (Legislao, relatrios de auditoria anteriores e outros dispositivos). Apresentao da equipa instituio a auditar antes de iniciar os trabalhos de auditoria na instituio a auditar, a equipa de auditores deve-se apresentar aos responsveis da instituio. nesta ocasio onde so apresentados os objectivos da auditoria, solicitada a colaborao e criao de condies de trabalho. Avaliao do controlo interno (Testes de Conformidade) o auditor precisa conhecer a estrutura organizacional do sector, a distribuio de tarefas, o fluxo e natureza do trabalho. Este conhecimento deve ser consubstanciado com os objectivos de controlo COBIT que definem os processos agrupados em domnios. Desta forma poder-se- efectuar uma avaliao geral do controlo interno com o auxlio de vrias tcnicas (descritas no n 4 do captulo II) como observao, entrevistas, questionrios. A ttulo de exemplo, o anexo 5 apresenta um checklist, desenvolvido com recurso ao referencial COBIT, que pode ser usado para avaliao dos controlos gerais. Execuo dos testes substantivos estes testes podero ser realizados com recurso a vrias tcnicas (descritas no n 4 do captulo II). Normalmente so feitos por amostragem. De referir que neste processo sero solicitados dados na forma electrnica para a efectivao dos testes. Porm, se no se tomarem precaues e adoptar-se procedimentos de controlo dos dados recebidos, estes podero tornar-se em pontos de discrdia com o auditado colocando em causa os resultados do trabalho realizado. Da que seja importante a utilizao de um formulrio que descreva e classifique a informao recebida. O anexo 2 um exemplo de um modelo de formulrio desenvolvido com base no referencial COBIT e que pode ser utilizado para descrio dos dados transferidos (recebidos). Apresentao das concluses instituio auditada segundo Dias (2000), no final dos trabalhos de auditoria, a equipa deve se reunir novamente com os dirigentes da instituio auditada. Nessa ocasio, so feitos agradecimentos colaborao da direco e seus funcionrios e so relembrados os objectivos da auditoria como tambm, se apresenta um resumo dos resultados da auditoria.
Elaborado por: Cossa, Jos Alberto
Trabalho de Licenciatura
Pgina 58
No decurso deste processo deve-se documentar todo processo de auditoria e assegurar a recolha da documentao relevante que servir de evidncia para suportar a opinio do auditor. 4.3. Fase de Elaborao do Relatrio
Nesta etapa, importante o registo dos diversos estgios do relatrio com vista a garantir o seu acompanhamento. Conforme ilustrado na Figura 8, o relatrio passa por seguintes estgios: Elaborao do projecto inicial do relatrio; Reviso dos relatrios de auditoria o relatrio reflecte a imagem do auditor e do rgo de auditoria. Com vista a garantir a qualidade do trabalho realizado, necessrio que o mesmo seja revisto por profissionais formados nas reas de letras; Apreciao do relatrio de auditoria pela Direco tanto o chefe do sector de auditoria de SI como o Inspector-Geral de Finanas, preciso de apreciar o trabalho feito por forma a assumi-lo como da Instituio; Processo de Contraditrio este processo permite esgotar os possveis pontos de discrdia com o auditado, consolidando desta forma a informao do relatrio de auditoria. Despacho do Ministro das Finanas; Envio do relatrio para as instituies envolvidas o relatrio com Despacho do Ministro das Finanas encaminhado pela IGF para todos os interessados pelos resultados da auditoria (auditado, doadores, Procuradoria Geral da Repblica, Tribunal Administrativo, etc). 4.4. Fase de Acompanhamento
O processo de auditoria no termina com a entrega do relatrio, preciso monitorar a implementao das recomendaes emanadas. A IGF deve estabelecer procedimentos gerais que incluem prazos para a instituio auditada informar as meditas tomadas face as recomendaes, verificao e avaliao da resposta. Os referidos procedimentos devem incluir, tambm, visitas e reunies com o auditado.
Trabalho de Licenciatura
Pgina 59
Cod Relatorio: Nome da Instituio Auditada: Tipo de Acompanhamento: Datas Despacho de Ref 1 2 ... Tabela 6: Monitorizao das Recomendaes Recomendao Comunicao Acompanhamento
Para situaes de falta de cumprimento ou de tomada de medidas inadequadas, a IGF deve comunicar essas revelaes para instituies apropriadas para a tomada de aces correctivas tais como (consoante os casos) o Governo atravs do Ministro das Finanas, Procuradoria Geral da Repblica, para casos de matria criminal e Tribunal Administrativo para situaes de responsabilidade financeira. As aces de acompanhamento, podem ser feitas no gabinete (o auditado envia a informao sobre as aces tomadas) ou no campo (os auditores visitam a instituio auditada). O quadro da tabela 6, apresenta alguns elementos a ter em conta no processo de acompanhamento das recomendaes. A IGF pode adoptar um quadro destes (tabela 6) para a monitorizao das recomendaes emanadas em seus relatrios.
4.5.
Avaliao da Metodologia
Por forma a testar a metodologia proposta, foi feita uma experincia piloto no Departamento de Sistemas de Informao do Tribunal Administrativo (TA) que um rgo superior da hierarquia dos tribunais administrativos, fiscais e aduaneiros. O TA possui na sua estrutura orgnica um Departamento de Sistemas de Informao (DSI) constitudo por 11 tcnicos de nvel superior e mdio tcnico. O mesmo est sedeado na Cidade de Maputo em trs edifcios geograficamente dispersos. Estes edifcios possuem redes estruturadas de dados e esto conectados atravs de ligaes dedicadas das TDM, que garantem a comunicao e a partilha de servios atravs da rede. Existe uma sala de servidores centrais separada da sala de
Trabalho de Licenciatura
Pgina 60
operao dos tcnicos, possuem ainda, algumas aplicaes informticas desenvolvidas localmente, dentre elas a de gesto de visto, uma Intranet, servio de correio electrnico, servio de Internet, pgina Web, servio centralizado de antivrus, dentre outros. 4.5.1. Programa de Auditoria
Para a efectivao desta aco, foi desenhado um programa que compreendeu o planeamento de auditoria, obteno e anlise das evidncias e relato. Planeamento de auditoria a) Tomar conhecimento do ambiente informtico
b) Entrevista a tcnicos do sector
Obteno e anlise das evidncias a) Avaliao do Controlo Interno b) Definio da amostra a verificar c) Execuo dos testes substantivos
4.5.2.
Desenvolvimento da aco
No processo de teste da metodologia foram usados checklist com perguntas fechadas de avaliao do controlo interno, dentre eles o anexo 5, como tambm entrevista a alguns tcnicos de informtica do TA. Porm, no foi possvel efectuar os testes de conformidades e substantivos por motivos de proteco de informao.
Objectivo de Controlo Organizao e Gesto Gerais Segurana Fsica Segurana Lgica Desenvolvimento e Manuteno de Sistemas Operao de Rotina da Instalao Central Telecomunicaes Microcomputadores Planos de Emergncia Tabela 7: Requisitos Aplicados Pelo DSI Total de Requisitos 31 26 22 12 23 15 13 10 N de Requisitos Aplicados pelo DSI 25 15 6 10 14 9 8 0 % de Requisitos Aplicados pelo DSI 81% 58% 27% 83% 61% 60% 62% 0%
Da apreciao global dos resultados de auditoria piloto, resumidos na Tabela n 7, revelou-se o seguinte:
Trabalho de Licenciatura
Pgina 61
A Estratgia das Tecnologias de Informao e Comunicao est alinhada com a estratgia da organizao. As Polticas, Normas e Procedimentos, a separao de funes, a poltica de pessoal esto adequadamente previstas e em funcionamento. Neste item, apenas a auditoria de SI que no tem sido realizado. No geral, 81% dos requisitos so aplicados pelo DSI.
Segurana Fsica
No que se refere a este Item, foi verificado que 58% dos requisitos de segurana esto implementados, o que significa que algumas medidas preventivas e de deteco de danos fsicos, acidentais ou deliberados, causado s instalaes informticas esto implementados, apesar de no ser de forma efectiva.
Aqui foi onde se verificou haver maior fraqueza nos controlos implementados, que de 27% dos requisitos aplicveis. Este facto deve-se essencialmente, dentre outros factores, a falta de um responsvel pela segurana e do acesso ilimitado ao pessoal de desenvolvimento ao ambiente de produo.
Neste item, constatou-se a existncia de planos e manuais de procedimentos para orientar os trabalhos de desenvolvimento e teste dos sistemas. Em termos de cumprimento dos requisitos para o desenvolvimento, a situao considerada boa, 83%.
Operao de Rotina
Os recursos informticos so supervisionados e so efectuados cpias de segurana dos ficheiros de dados de modo a proteger contra a perda de informao. O DSI cumpre com 61% dos requisitos para este item.
Telecomunicaes
Neste item verificou-se que o DSI cumpre com cerca de 60% dos requisitos. Foi, ainda, constatado que esto instaurados alguns procedimentos destinados a salvaguarda das redes de telecomunicaes.
Trabalho de Licenciatura
Pgina 62
Microcomputadores
No que se refere aos microcomputadores, constatou-se que o DSI situa-se na ordem dos 62% o que significa que existem procedimentos relativos s condies de aquisio, utilizao e controlo dos microcomputadores e do suporte lgico associado mesmo que no sejam efectivos.
Planos de emergncia
O DSI no possui um plano de emergncia para a salvaguarda das aplicaes informticas fundamentais e para a recuperao dos servios informticos aps interrupes imprevistas. Esta uma grande fraqueza detectada.
4.5.3.
Consideraes Gerais
No geral, o ambiente de controlo interno do DSI, pode ser considerado como razovel tendo em conta que em termos mdios o DSI cumpre com cerca de 54% dos requisitos aplicados pela metodologia. Com base na experincia efectuada e da facilidade de assimilao desta metodologia e da sua aplicabilidade no terreno, pode-se afirmar que adequada e pode ser implementada em qualquer tipo de instituio, quer seja ela pblica ou privada, seja de pequeno ou grande porte, ou ramo de actividade, precisando apenas de algumas adaptaes naquilo que no for aplicvel. De realar, ainda, que a metodologia apresentou-se bastante eficaz, pois, atravs das planilhas resultantes da mesma foi possvel avaliar o ambiente do controlo interno, identificando os pontos fortes e fracos dos controlos gerais, aplicacionais e de utilizao.
Trabalho de Licenciatura
Pgina 63
Existem vrios referenciais metodolgicos aplicados auditoria de sistemas de informao, contudo o referencial COBIT o mais adequado para a auditoria pelas seguintes razes: Na sua gnese esteve a necessidade de criar um referencial para auditar os processos de SI; A entidade responsvel pela elaborao do COBIT uma Associao de Auditores de SI (ISACA), o que no acontece com os outros dois referenciais designadamente ITIL e ISO 17799; O COBIT possui uma viso de gesto dos processos de SI e privilegia o alinhamento destes com o negcio; O COBIT til para as organizaes enquanto instrumento orientador e integrador de controlos de SI em todos os nveis de Governo dos SI, pelo que tambm ser um referencial sobre o qual todos os tipos de controlos de SI podero ser auditados.
Boa parte das instituies pblicas so detentoras e utilizadoras das tecnologias de informao e comunicao e num futuro prximo poder-se- ter mais instituies a utilizar plenamente as TICs. Da que a IGF precisa estar preparada para acompanhar as mudanas que esto a acontecer no seu campo de actuao;
A metodologia proposta permite avaliar os Sistemas de Informao quanto sua integridade e segurana, bem como, quanto sua eficcia e eficincia. Pode ser aplicada por rgos de auditoria interna como a IGF.
Importa tambm, referenciar que o presente trabalho no teve, em momento algum, a pretenso de ser um manual sobre auditoria. O tema extremamente amplo e dinmico, o que se pretendeu foi trazer um instrumento metodolgico que de forma geral pudesse delinear directrizes de realizao de auditoria de SI. O mesmo est aberto a mais contribuies no sentido de enriquece-lo principalmente os aspectos que no foram suficientemente tratados.
Trabalho de Licenciatura
Pgina 64
2. RECOMENDAES
Como recomendaes, propem-se que se: continue com o presente estudo por forma a melhorar e desenvolver ainda mais os instrumentos metodolgicos, com base no referencial COBIT, para auditoria de SI; apresente a metodologia proposta IGF e respectiva auscultao das opinies em relao a este, de forma a avaliar a aceitao e enriquecimento do mesmo; recrute tcnicos de informtica com nvel superior e a sua capacitao em matrias de auditoria de SI. crie um sector de informtica estruturado em trs reas funcionais designadamente: o Desenvolvimento com responsabilidades para desenvolver e manter aplicaes informticas, bases de dados da instituio, pgina de Internet, o Infra-estrutura para garantir a gesto de toda a infra-estrutura de rede interna e servios de correio electrnico, assegurar o apoio tcnico aos utilizadores, e o Auditoria e Apoio Externo com competncias para realizar auditorias de sistemas de informao e conceder apoio especializado s equipas no terreno; crie e operacionalize um sector responsvel pela reviso e garantia de qualidade dos relatrios de auditoria; desenvolva e implemente procedimentos institucionais para acompanhamento das recomendaes; e reactive e se apetreche o Centro de Documentao com obras actuais de auditoria.
Trabalho de Licenciatura
Pgina 65
BIBLIOGRAFIA
ARAJO, Inaldo da Paixo, at all (2005), Cdigo de tica e Normas de Auditoria, INTOSAI, Estocolmo Sucia.
AU312 (2006), Audit Risk and Materiality in Conducting an Audit, Disponvel em http://www.pcaobus.org/standards/interim_standards/auditing_standards/au_312.html, Consultado em 5 de Julho de 2006. BANHA, Francisco (2005), Procedimentos de Auditoria, Disponvel em
BANZE, Marta, at all (2003), Curso Prtico de Auditoria, Ernest&Young, Maputo Moambique.
CARNEIRO, Alberto (2004), Auditoria de Sistemas de Informao, 2 edio, Editora FCA, Lisboa Portugal.
COUTINHO, Pedro Clio Borge Rodrigo (2007), Trabalho de Mestrado - Anlise de Sistemas de Deteco de Intrusos em Redes de Computadores, Universidade de Franca, Franca Brasil.
Decreto n 40/99 de 29 de Junho que aprova o Estatuto Orgnico da Inspeco-Geral de Finanas (Conselho de Ministros)
DIAS, Cludia (2000), Segurana e Auditoria da Tecnologia da Informao, Axcel Books, Rio de Janeiro Brasil.
DUARTE, Jorge, at all (2006), Mtodos e Tcnicas de Pesquisa em Comunicao, 2 edio, Editora Atlas, So Paulo Brasil.
GODY, Jos Antnio de, at all (1999), Auditoria Por Meios Electrnicos - 11, Editora Atlas, So Paulo Brasil.
Trabalho de Licenciatura
Pgina 66
GOMES, Pedro Manuel (2007), Trabalho de Mestrado - A Funo Auditoria de Sistemas de Informao: Modelo Funcional e de Competncias, Universidade do Minho, Minho Portugal.
IIA (2004), O Enquadramento de Prticas Profissionais de Auditoria Interna, IIA, Florida USA.
ISACA (2006), Padres para Auditoria de Sistemas de Informao, Disponvel em http://www.isaca.org/Standards for IS Auditing (Portuguese).htm, Consultado em 24 de Julho de 2006.
LEBLANC, K (2004), The Big Picture: ITIL as an Integrated Framework, ITIL & ITSM Knowledge Base, Disponvel em http://www.itilworx.com/,Consultado em 10 de Abril 2007,
LINTZ, Alexandre e MARTINS, Gilberto de Andrade (2000), Guia para Elaborao de Monografias e Trabalhos de Concluso de Curso, 1 edio, Editora Atlas, So Paulo Brasil.
MARTINS, Gilberto de Andrade (2007), Manual para Elaborao de Monografia e Dissertaes, 3 edio, Editora Atlas, So Paulo Brasil.
OLIVEIRA, Jos (2005) Abordagem Metodolgica Auditoria a Sistemas de Informao, Disponvel em http://www.igf.min-finacas.pt, Consultado em 30 de Maio de 2005.
SPAFFORD, G (2003) The Benefits of Standard IT Governance Frameworks, Disponvel em http://www.itpi.org/, Consultado em 10 April 2007.
TERZIAN, Franoise (2007), Um Guia de Certificaes e Melhores Prticas de TI, Disponvel em http://www.lyfreitas.com/pdf/Praticas%20de%20TI.pdf , Consultado em 15 de Abril de 2007.
Trabalho de Licenciatura
Pgina 67
Wikimedia (2006), History of information technology auditing, Disponvel em http://en.wikipedia.org/wiki/History_of_information_technology_auditing, Consultado em 10 de Novembro de 2006.
Trabalho de Licenciatura
Pgina 68
ANEXOS
ANEXO 1 2 3 4 5 6
Descrio - Questionrio Dirigido s Instituies - Caracterizao dos Dados Transferidos / Copiados - Estrutura Orgnica da IGF - Resultados do Inqurito - Questionrios para avaliao dos controlos - Entidades Inqueridas
Pgina 1 5 6 7 10 19
Trabalho de Licenciatura
Pgina 69
Questionrio
O presente questionrio tem por finalidade a recolha de dados, para elaborao do Trabalho de Licenciatura em Informtica, com o objectivo de avaliar o grau de implementao dos sistemas informticos, na Administrao Pblica, e realizao de auditoria nesses sistemas.
NB: A informao recolhida no ser usada para qualquer outro fim a no ser o indicado anteriormente.
I. Identificao do Organismo
Denominao ______________________________________________________
2. Quem realiza auditoria aos sistemas informticos/ambiente informtico do organismos? Auditores internos ou Uma equipa interna de TI Consultores externos ou Empresa de auditoria contratada Ambos 3. Qual a periodicidade em que se realiza as auditorias aos sistemas/ambientes informticos no organismo? Semestralmente Outro Anualmente No Peridica
3) Quais as reas de informtica e de solues de suporte existentes? Desenvolvimento Ambos Infra-estrutura de rede e comunicaes Outra
4) Indique se para a resoluo dos problemas informticos do organismo so utilizados os recursos seguintes: Aquisio externa dos servios Resoluo interna Ambos
5) O organismo possui contratos de assistncia tcnica relativamente a: Conservao/manuteno de hardware Desenvolvimento e Manuteno de software Ambos Nenhum
2) Essas aplicaes possuem certificao de controlo interno concedida pelos auditores ou empresas de certificao? Sim, possuem No possuem Alumas possuem
3) Est definido nos sistemas existentes algum percurso (trilho) de auditoria? Sim No
V. Infra-estrutura Tecnolgica
1) O Organismo possui computadores da famlia de: Pentium I e II Pentium III e IV Outro
2) Tipos de sistemas operativos que o organismo possui Windows Linux Windows e Linux Outros
3) Os microcomputadores esto conectados a outros sistemas? No Outro Em rede local Em rede local e Internet Internet
2) O correio electrnico da instituio suportado por meios (equipamento): Externos Internos No Possui
100%
75%
50%
25%
4) A Web Site do organismo est alojada: No organismo Num outro organismo No possui
3. MODELO DE DADOS E CARACTERIZAO DE TABELAS: 3.1. Relacionamento das tabelas, no caso de existirem vrias: 3.2. 3.3. 3.4. Estrutura das tabelas com dimenso dos campos e descrio sinttica do seu contedo: Nmero de registos includos em cada tabela: Total e nome de um ou todos os campos numricos da tabela
4. ORIGEM DOS DADOS 4.1. Principais caractersticas do computador: 4.2. 4.3. 4.4. 4.5. Descrio sinttica da base de dados ou sistema de informao a que as tabelas pertencem: Departamento que controla o sistema de informao ou a base de dados: Localizao fsica dos dados (Sistema, Disco, Directrio, etc): Formato dos dados na origem:
5. CPIA DOS DADOS 5.1. Intervalo de tempo que os dados cobrem (DATA, HORA e MINUTOS): 5.2. 5.3. 5.4. Identificao e forma de contacto de quem copiou os dados (NOME e CARGO): Data e Hora em que a cpia foi efectuada: Processo utilizado para a cpia e verso dos comandos utilizados (TAR, CPIO, COPY, BACKUP, etc):
CD Secretariado
DIOE
Brigadas
DIA
Brigadas
DAE
Brigadas
DITA
Brigadas
DT
RAF DRC
Brigadas
DRN
Brigadas
Legenda
DIOE Departamento de Inspeco aos rgos do Estado e suas instituies DIA Departamento de Inspeco s Autarquias DAE Departamento de Auditoria s Empresas DITA Departamento de Inspeco aos sectores Tributrio e Aduaneiro DT Departamento Tcnico
RAF Repartio de Administrao e Finanas DRC Delegao Regional Centro DRN Delegao Regional Norte CD Colectivo de Direco
Auditoria e Controlo Interno nao existe Existencia de orgao de CI existe equipa externa equipa interna Quem realiza Auditoria ambos nao existe nao periodica Periodicidade de realizao da anualmente Auditoria nao existe
Quadro I.A): Auditoria e Controlo Interno (Dados Percentuais)
Ministerio 0 54 14 33 50 58 27 43 58
Outro 63 15 57 33 0 17 27 43 17
Total 24 76 21 26 18 35 44 21 35
Auditoria e Controlo Interno nao existe Existencia de orgao de CI existe equipa externa equipa interna Quem realiza Auditoria ambos nao existe nao periodica Periodicidade de realizao da anualmente Auditoria nao existe
Quadro I.B): Auditoria e Controlo Interno (Dados Numricos)
Ministerio 0 14 1 3 3 7 4 3 7
Outro 5 4 4 3 0 2 4 3 2
Total 8 26 7 9 6 12 15 7 12
Dados Percentuias Por Tipo da Instituio Ministerio Instituto Empresa Outro 67 27 75 38 32 67 75 0 38 58 50 33 25 8 9 0 25 5 0 0 0 10 17 0 17 0 8 32 0 0 37 33 25 100 21 8 25 33 33 17 32 25 38 26 0 0 0 31 17 25 17 42
Total 35 65 12 24 56 9 12 3 85 35 12 18 35
Areas Existentes
Existencia de contratos
Ministerio 8 6 3 3
Outro 2 7
Total 12 22 4 8 19 3 4 1 29 12 4 6 12
Areas Existentes
6 2
3 0 11 7 2 2 3
0 2 1 0
0 0 3 2 0 1 0
0 0 7 1
1 1 6 1 1 2 4
1 3 5 0
0 0 9 2 1 1 5
Existencia de contratos
Infra-estrutura Aplicacional nao existem Aplicaoes existentes internamente no exterior interior e exterior no possuem possuem alguns nao existe no est definido esta definido no existem
Ministerio 88 17 50 25 29 33 0 88 40 19 88
Outro 0 67 25 25 43 0 0 0 30 38 0
Total 24 18 12 47 62 9 6 24 29 47 24
Possuem certificao
Infra-estrutura Aplicacional nao existem internamente no exterior interior e exterior no possuem possuem alguns nao existe no est definido esta definido no existem
Ministerio 7 1 2 4 6 1 0 7 4 3 7
Outro 0 4 1 4 9 0 0 0 3 6 0
Total 8 6 4 16 21 3 2 8 10 16 8
Aplicaoes existentes
Possuem certificao
Infra-estrutura Tecnolgica tipos de computadores Sistema operativo Conectividade a outros sistemas actualizados ambos windows ambos nao estao internet internet e rede local
Ministerio 41 43 63 22 100 67 37
Outro 26 29 13 39 0 33 27
Total 79 21 47 53 3 9 88
Infra-estrutura Tecnolgica tipos de computadores Sistema operativo Conectividade a outros sistemas actualizados ambos windows ambos nao estao internet internet e rede local
Ministerio 11 3 10 4 1 2 11
Outro 7 2 2 7 0 1 8
Total 27 7 16 18 1 3 30
Utilizao da Internet e Correio Electrnico individual Meio de ligao Internet partilha ambos nao existe correio electronico interno externo 100% percentagem do pessoal com 75% correio electronico 50% 25% no possui Site da instituio numa outra instituio na instituio
Ministerio 100 32 50 20 32 70 27 46 60 40 58 43 27
Outro 0 32 0 60 26 10 27 23 20 40 33 29 20
Total 12 82 6 15 56 29 32 38 15 15 35 21 44
Utilizao da Internet e Correio Electrnico individual partilha ambos nao existe correio electronico interno externo 100% percentagem do pessoal com 75% correio electronico 50% 25% no possui Site da instituio numa outra instituio na instituio Meio de ligao Internet
Ministerio 4 9 1 1 6 7 3 6 3 2 7 3 4
Outro 0 9 0 3 5 1 3 3 1 2 4 2 3
Total 4 28 2 5 19 10 11 13 5 5 12 7 15
Controlos
A Estratgia das Tecnologias de Informao e Comunicao deve estar alinhada com a estratgia da organizao. As Polticas, Normas e Procedimentos, a Separao de Funes, a Poltica de Pessoal e a Auditoria Informtica devem estar adequadamente previstas e em funcionamento na organizao das TIC
instalaes informticas deve ser evitado atravs de medidas preventivas e detectado precocemente, afim de garantir proteco contra as eventuais consequncias.
3.Segurana lgica para os dados ou servidores de aplicaes 4. Desenvolvimento, programao e manuteno dos sistemas 5. Operao de rotina da instalao central 6. Telecomunicaes 7. Microcomputadores 8. Planos de emergncia
O acesso aos dados e software deve ser limitado s pessoas e programas cujo o acesso foi autorizado, facto que deve estar registado nas pistas de auditoria. A metodologia de desenvolvimento e de manuteno dos sistemas informticos deve permitir dispor de sistemas eficazes e garantir a segurana dos dados em termos de confidencialidade, integridade, disponibilidade e de pistas de auditoria. Os recursos informticos devem ser supervisionados de modo a garantir a sua eficaz utilizao, os ficheiros de dados devem ser protegidos contra a perda e devem ser criadas pistas de auditoria adequadas. Devem ser instaurados procedimentos destinados a salvaguardar as redes de telecomunicaes. Devem existir procedimentos relativos s condies de aquisio, utilizao e controlo dos microcomputadores e do suporte lgico associado. Devem existir planos testados para a salvaguarda das aplicaes informticas fundamentais e para a recuperao dos servios informticos aps interrupes imprevistas.
10
11
Verificar
Verificar as especificaes
12
Resultado S N
Observaes/ NA Referncias
Pedir resultado da ltima vistoria Verificar e pedir normas Pedir plano
Verificar
13
Observaes/ N A Referncias
Pedir grupos, perfis e lista de utilizadores Verificar Pedir lista de todos os acessos, fundamentalmente da adm de sistemas Verificar
Efectuar teste
14
Pedir as normas
Pedir as normas
4.3.2. Estudo de viabilidade 4.3.3. Anlise e concepo 4.3.4. Elaborao, ensaio e execuo
Pedir especificaes
4.4.1. As respostas devero ser retiradas do restante ponto 4, que trata das situaes de concepo e alterao de forma global.
15
Observaes/ N A Referncias
Pedir cpia de algumas pginas do dirio de operao
Testar situao
16
OBJECTIVO N 6 TELECOMUNICAES
Controlos 6.1. Segurana no acesso interno s redes Procedimentos 6.1.1. Os acessos so controlados e autorizados pelo responsvel de segurana? 6.1.2. Existem logs de controlo de acessos? 6.1.3. efectuada alguma anlise desses logs? 6.2. Segurana no acesso externo s redes 6.2.1. Existem organismos externos organizao que acedem rede da organizao? Quais? 6.2.2. Os acessos concedidos so autorizados e atribudos pelo responsvel de segurana? 6.2.3. Existem logs dos acessos externos? 6.2.4. efectuada uma anlise peridica desses logs? 6.2.5. Alm da verificao de login, existem mais tipos de verificaes? 6.2.6. O servio de Internet encontra-se devidamente protegido por suporte lgico, quando ao acessos do exterior? 6.3. Segurana no envio de informao 6.3.1. A transferncia de dados para fora da rede efectuada por linhas dedicadas? 6.3.2. O envio de informao para o exterior atravs da Internet possvel pelos utilizadores do organismo? 6.3.3. Existem procedimentos para a encriptao de dados confidenciais? 6.3.4. Existe algum procedimento de controlo da informao enviada para o exterior atravs da Internet? Qual? 6.3.5. O antivrus encontra-se instalado e activo em todos os computadores? 6.3.6. Existem procedimentos para proceder sua atempada actualizao? Quais?
Ex.: verificao de IP, linhas, etc. Verificar a existncia de firewall. Pedir esquema Pedir lista de organismos Pedir lista de acessos Pedir log comprovativo
Resultado S N
Observaes/
Pedir comprovativos
NA Referncias
Verificar Verificar
OBJECTIVO N 7 MICROCOMPUTADORES
Controlos Procedimentos Resultado S 7.1. Normalizao ao 7.1.1. O equipamento e suporte lgico dos micro-computadores nvel dos micronormalizado ao nvel da empresa? computadores 7.1.2. Os utilizadores no podem instalar e utilizar suporte lgico sem autorizao? 7.1.3. Existe um procedimento automtico para efectuar seguranas automticas dos computadores pessoais? 7.1.4. Os backups dos computadores pessoais, so regulados por normas de procedimentos gerais? 7.1.5. A existncia de backups e o seu correcto armazenamento verificado periodicamente. 7.1.6. O acesso aos dados armazenados em PC sempre controlado por password? Observaes/
Verificar e pedir comprovativo Verificar
N NA Referncias
17
OBJECTIVO N 7 MICROCOMPUTADORES
Controlos Procedimentos 7.1.7. O acesso aos dados armazenados em computadores portteis, computadores de bolso e material similar so controlados por password? 7.1.8. Est implementada a cifragem de documentos, principalmente nos contedos que saem da organizao? 7.2.1. Existem aplicaes financeiras e de controlo que escapem ao controlo da DI? Quais? 7.2.2. Em caso afirmativo, existem procedimentos para salvaguarda dos dados e seu armazenamento regular? 7.2.3. assegurado o cumprimento destas normas, por um sector diferente de quem opera as aplicaes? 7.2.4. Os acessos a estas aplicaes so controlados pelo responsvel de segurana? 7.2.5. O acesso aos computadores destas aplicaes locais crticas controlado por password?
Pedir normas Verificar e testar
Resultado S
Observaes/
N NA Referncias
NA Referncias
Pedir comprovativo
18
ANEXO6:EntidadesInquiridas
A. ResponderamosQuestionrios 1. Aeroportos de Moambique 2. Caminhos de Ferro de Moambique 3. Comisso para Politica de Informtica 4. Direco Geral das Alfandegas 5. Direco Geral dos Impostos 6. Direco Nacional de Contabilidade Pblica 7. Direco Nacional de Imigrao 8. Direco Nacional do Oramento 9. Direco Nacional do Patrimnio do Estado 10. Electricidade de Moambique 11. Empresa Moambicana de Seguros 12. Instituto Nacional de Aviao 13. Instituto Nacional de Estatstica 14. Instituto Nacional de Meteorologia 15. Ministrio da Agricultura 16. Ministrio da Educao e Cultura 17. Ministrio da Energia 18. Ministrio da Juventude e Desportos 19. Ministrio da Planificao e Desenvolvimento 20. Ministrio da Sade 21. Ministrio das Finanas 22. Ministrio das Obras Publicas 23. Ministrio das Pescas 24. Ministrio de Administrao Estatal 25. Ministrio do Ambiente 26. Ministrio dos Negcios Estrangeiro 27. Ministrio dos Recursos Minerais 28. Ministrio dos Transportes e Comunicao 29. Petrleos de Moambique 19
30. Radio Moambique 31. Telecomunicaes de Moambique 32. Televiso de Moambique 33. Tribunal Administrativo 34. Unidade Tcnica da Reforma de Administrao Financeira do Estado
B. No Responderam os Questionrios
1. Administrao Nacional de Estradas e Pontes 2. Autoridade Tributria de Moambique 3. Centro de Processamento de Dados 4. Empresa Moambicana de Medicamentos 5. Fundo de Estradas 6. Impressa Nacional 7. Instituto Nacional da Aco Social 8. Instituto Nacional de Segurana Social 9. Ministrio da Mulher e Aco Social 10. Ministrio do Interior 11. Ministrio do Trabalho 12. Ministrio do Turismo 13. Ministrio dos Assuntos dos Antigos Combatentes
20