PROJETOS DE AUDITORIA DE TI - sistemamoderno.com.br · responsável pelo programa de auditoria. ......

Pro

fe

sso

r A

nd

ré

C

am

po

s

Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”

PROJETOS DE AUDITORIA DE TI

Elaborado pelo professor André Campos

Uma visão mais ampla sobre segurança da informação poderá

ser obtida no livro Sistema de Segurança da Informação –

Controlando os riscos, de André Campos, Editora Visual

Books.

Pro

fe

sso

r A

nd

ré

C

am

po

s


PROJETOS DE AUDITORIA DE TI

Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação. O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos. Este material não pode ser vendido. Seu uso é permitido sem qualquer custo. Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI. Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos". Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro. Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Iniciando a auditoria

A auditoria é conduzida por um líder, ou

auditor líder, que é designado pelo gerente

responsável pelo programa de auditoria.

Quando acontecem auditorias conjuntas é

importante que as organizações envolvidas na

auditoria cheguem a um consenso quanto a

que será o auditor líder e qual será sua

autoridade sobre a equipe de auditoria, que

neste caso será mista.

Não podem haver dois auditores líderes para a

mesma auditoria.

Pro

fe

sso

r A

nd

ré

C

am

po

s



Cada auditoria deve possuir uma definição dos

objetivos, escopo e critério de auditoria,

documentados. Os objetivos podem ser:

1 – Avaliação de conformidade (compliance);

2 – Avaliação da capacidade do Sistema de

Gestão;

3 – Avaliação da eficácia do Sistema de

Gestão;

4 – Identificação de áreas do Sistema de

Gestão para potencial melhoria.

Pro

fe

sso

r A

nd

ré

C

am

po

s



O escopo da auditoria determina a

abrangência e os limites da auditoria,

envolvendo inclusive os limites físicos, da

estrutura hierárquica formal ou informal, dos

processos, e do período de auditoria.

O critério de auditoria é a referência contra a

qual a conformidade será determinada,

podendo ser políticas, normas, procedimentos,

leis, regulamentos, requisitos do Sistema de

Gestão, requisitos contratuais, entre outros.

Pro

fe

sso

r A

nd

ré

C

am

po

s



Os objetivos da auditoria são definidos pelo

cliente, e o escopo e critério de auditoria são

acordados entre o cliente e o auditor líder.

Qualquer eventual mudança de objetivos,

escopo ou critério após o início da auditoria,

deve ser devidamente documentado e

assinado pelo cliente e pelo auditor líder.

Nos casos de auditorias combinadas é

especialmente importante que o auditor líder

garanta que os objetivos, escopo e critério

sejam adequados para a auditoria em

questão.

Pro

fe

sso

r A

nd

ré

C

am

po

s



É importante, antes de executar um projeto de

auditoria, determinar a viabilidade deste

projeto.

Existem informações suficientes para suportar

a auditoria? O auditado está disposto a

cooperar ou é resistente ao processo? O

tempo e os recursos planejados são realmente

suficientes?

Não vale a pena começar um projeto que não

poderá ser concluído. O cliente, o auditado e o

auditor líder devem garantir a viabilidade.

Pro

fe

sso

r A

nd

ré

C

am

po

s



Após o estudo de viabilidade, o próximo passo

é definir a equipe de auditores. É importante

que a equipe, coletivamente, possua os

conhecimentos e as habilidades necessárias

para conduzir a auditoria em questão. Devem

ser considerados aspectos tais como: a)

objetivos, escopo e critério da auditoria; b) se

a auditoria é simples, combinada ou conjunta;

c) requisitos legais, regulamentares,

certificações, etc; d) a garantia de

independência e imparcialidade; e) bom

relacionamento inter-pessoal do grupo); f) o

idioma da auditoria, se for o caso.

Pro

fe

sso

r A

nd

ré

C

am

po

s



Se a equipe de auditores não for suficiente

para garantir o conjunto de conhecimentos e

habilidades necessárias, será necessário

convidar (contratar) especialistas que

atendam a esta demanda.

Membros da equipe poderão ser substituídos

a pedido do cliente ou do auditado, caso haja

conflito de interesses ou relato de conduta

inapropriada de um dos auditores ou

especialistas.

Pro

fe

sso

r A

nd

ré

C

am

po

s



No início da auditoria, é adequado que o

contato inicial com o cliente seja

estabelecido de maneira formal (apesar de não

ser obrigatório), onde são definidos:

a) Canais de comunicação;

b) Confirmar a autoridade;

c) Detalhamento do projeto de auditoria;

d) Solicitação de acessos a informação;

e) Definição das regras de segurança física e

lógica pertinentes;

f) Explicitar se haverão observadores e e guias.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Análise crítica de documentos

Na fase de execução da auditoria, antes das

atividades no local, é importante fazer uma

análise crítica dos documentos, que podem

incluir documentos e registros específicos do

Sistema de Gestão e relatórios de auditorias

anteriores.

No caso da ISO 27.001 é importante avaliar o

documento de definição de escopo e a

declaração de aplicabilidade, além do registro

de incidentes de segurança da informação.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Análise crítica de documentos

Caso a documentação não se encontre nas

condições mínimas necessárias para o início

da auditoria, é provável que a auditoria seja

interrompida até que a documentação seja

providenciada.

Esta decisão deve ser tomada entre o auditor

líder e o cliente da auditoria.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Preparando atividades no local

O auditor líder deve apresentar para o cliente

e para o auditado um plano de auditoria, que

sirva de base central para a comunicação

entre todos os participantes e interessados no

projeto.

Este plano deve ser detalhado e dar uma idéia

clara do escopo, do tempo, dos recursos e dos

resultados esperados par ao projeto. Uma

prática adequada é construir um cronograma

do projeto que inclua todas estas informações.

Uma ferramenta muito utilizada é o MS

Project.

Pro

fe

sso

r A

nd

ré

C

am

po

s



O plano de auditoria deve conter pelo menos

as seguintes informações:

1 – Os objetivos da auditoria;

2 – O critério de auditoria selecionado;

3 – O escopo da auditoria;

4 – As datas e locais onde ocorrerão as

atividades de auditoria;

5 – O tempo estimado das atividades;

6 – As funções e responsabilidades dos

envolvidos;

Pro

fe

sso

r A

nd

ré

C

am

po

s



Continuação...

7 – A alocação de recursos;

8 – A identificação dos stakeholders (partes

interessadas);

9 – O idioma vigente para auditoria, se for

diferente do idioma nativo;

10 – As principais entregas, a serem

apresentadas no relatório de auditoria;

11 – Questões de logística (viajens, etc);

12 – Termos de sigilo e confidencilidade;

13 – Termos sobre ações de

acompanhamento.

Pro

fe

sso

r A

nd

ré

C

am

po

s



É essencial que o plano de auditoria seja

avaliado pelos principais envolvidos, ou seja,

a equipe de auditoria, o cliente e o auditado.

O cliente deverá expressar formalmente sua

aprovação para o plano de auditoria, através

de um documento assinado por ele.

Eventuais alterações no plano de auditoria

deverão ser aprovadas novamente, também

de maneira formal.

Pro

fe

sso

r A

nd

ré

C

am

po

s



O auditor líder, conhecendo melhor o auditado,

tendo analisado os documentos da

organização ou área, tendo avaliado a

viabilidade da auditoria, e tendo elaborado o

plano de auditoria, agora tem totais condições

de dividir o trabalho da auditoria para sua

equipe.

Ele considerará a competência de cada

auditor frente à demanda de cada tarefa, além

de observar a questão da independência dos

auditores.

Pro

fe

sso

r A

nd

ré

C

am

po

s



O auditor líder conduzirá sua equipe na

preparação dos documentos para trabalho.

Este documentos são compostos basicamente

de listas de verificação (check-lists) e

eventualmente formulários para o registro de

informações de suporte, tais como evidências

e constatações, entre outros.

Os documentos de trabalho devem ser

preservados, pelo menos, até a conclusão da

auditoria.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Conduzindo projeto de auditoria

A reunião de abertura é importante, e deve

ser conduzida com a alta direção da

organização auditado e envolver as lideranças

das áreas, funções e processos a serem

auditados. Esta reunião tem os seguintes

objetivos:

1 – Confirmar o plano de auditoria;

2 – Fornecer informações sobre como será

conduzida a auditoria;

3 – Confirmar os canais de comunicação;

4 – Abrir espaço para perguntas.

Pro

fe

sso

r A

nd

ré

C

am

po

s


A comunicação durante a auditoria é um fator

chave de sucesso, e deve ser feita

adequadamente. É impressionante o fato de

que todos os envolvidos em projetos, de

qualquer espécie, estão cientes da

importância da comunicação. No entanto, um

grande número de problemas ocorrem durante

o projeto exatamente em decorrência de

falhas ligadas a comunicação.


Pro

fe

sso

r A

nd

ré

C

am

po

s


Um plano formal de comunicação precisa ser

elaborado. Os stakeholders são identificados e

comunicados do andamento da auditoria, tanto

no que se refere aos resultados positivos

quanto aos resultados negativos.

Problemas que estejam inviabilizando ou

prejudicando a auditoria precisam ser levadas

ao cliente imediatamente, para que as devidas

providências sejam tomadas. Caso contrário, o

inteiro projeto de auditoria poderá fracassar.


Pro

fe

sso

r A

nd

ré

C

am

po

s


Caso, durante a auditoria, sejam encontradas

falhas graves, que possam gerar prejuízo para

a organização, devem ser comunicados

imediatamente ao cliente e ao auditado, e

não aguardar a conclusão da auditoria para

isso.

Qualquer necessidade de mudança de escopo

durante a auditoria, deve ser devidamente

documentada e amplamente comunicada para

todos os stakeholders.


Pro

fe

sso

r A

nd

ré

C

am

po

s


É comum que as auditorias contem com

observadores e guias. Estes indivíduos não

devem interferir de maneira alguma na

auditoria.

O guia pode ser designado pelo auditado para

cumprir as seguintes responsabilidades:

1 – Estabelecer contados e programar visitas;

2 – Organizar as visitas;

3 – Garantir o respeito às normas e regras;

4 – Testemunhar a auditoria;

5 – Ajudar na coleta de informações.


Pro

fe

sso

r A

nd

ré

C

am

po

s


De acordo com os objetivos,

escopo e critério da auditoria,

serão coletadas informações

por amostragem.

Isto inclui informações sobre

funções, processos e

atividades. Apenas

informações verificáveis são

válidas.


Informações disponíveis

Coletar por amostragem

Evidências da auditoria

Avaliar contra critério

Constatações da auditoria

Analisar criticamente

Conclusões da auditoria

Pro

fe

sso

r A

nd

ré

C

am

po

s


Os métodos mais utilizados para

a coleta de informações são:

1 – Entrevistas;

2 – Observação das atividades;

3 – Análise de documentos.









Pro

fe

sso

r A

nd

ré

C

am

po

s


As evidências da auditoria serão

avaliadas contra o critério de

auditoria.

Esta avaliação demonstrará

conformidade ou não

conformidade com o critério.

As não conformidades serão

oportunidades de melhoria.









Pro

fe

sso

r A

nd

ré

C

am

po

s


A identificação das

conformidades, não

conformidades, e oportunidades

de melhoria são chamadas de

constatações da auditoria.

A equipe de auditoria, durante o

projeto, deverá se reunir para

avaliar as constatações de

auditoria.









Pro

fe

sso

r A

nd

ré

C

am

po

s


Se for objeto da auditoria, todas

a conformidades individuais

serão registradas, e com elas, o

registro da evidência

(verificável) que a suporta.

Deve estar claro em que local,

ativo, função, ou processo a

conformidade foi encontrada.









Pro

fe

sso

r A

nd

ré

C

am

po

s


Do mesmo modo, e

principalmente, as não

conformidades devem ser

registradas. Estas não

conformidades podem ser

graduadas, se for o caso.

O auditado deve estar ciente e

concordar com a constatação

da auditoria.









Pro

fe

sso

r A

nd

ré

C

am

po

s


Caso haja qualquer divergência

entre o auditado e a equipe de

auditoria, deve ser feito todo o

esforço possível para se chegar

a um consenso.

Não sendo possível, um registro

detalhado da divergência deverá

fazer parte dos registros da

auditoria.









Pro

fe

sso

r A

nd

ré

C

am

po

s


Após toda a atividade de coleta

de informações e avaliação das

evidências, é a hora de analisar

todo este material e gerar as

conclusões da auditoria.

Geralmente, isto é feito em uma

longa reunião com todos os

membros da equipe de auditoria.









Pro

fe

sso

r A

nd

ré

C

am

po

s


O objetivo da reunião é:

1 – Analisar todas as

constatações da auditoria, e

qualquer informação adicional;

2 – Acordar sobre as conclusões

da auditoria;

3 – Preparar recomendações (se

for o caso);

4 – Discutir eventuais ações de

acompanhamento.









Pro

fe

sso

r A

nd

ré

C

am

po

s


Ao final da auditoria o auditor líder conduzirá

uma reunião de encerramento, onde

participarão a equipe de auditoria, o auditado,

o cliente, e eventualmente outros

stakeholders.

O objetivo é deixar claro todas as

constatações da auditoria e eventualmente

definir prazos para que o auditado alcance a

conformidade.

Estes prazos não devem ser definidos sem a

presença e concordância do auditado.


Pro

fe

sso

r A

nd

ré

C

am

po

s


Este é o momento para que as divergências

entre a equipe de auditoria e o auditado sejam

trazidas à tona, e que haja um esforço

conjunto no sentido de resolver estas

divergências.

Se constar dos objetivos da auditoria, as

recomendações de melhoria poderão ser

apresentadas também neste momento, bem

como a proposta de ações de

acompanhamento.


Pro

fe

sso

r A

nd

ré

C

am

po

s


O relatório de auditoria

Ao final da auditoria o auditor líder

providenciará a elaboração do relatório de

auditoria.

Não há um modelo oficial para este tipo de

relatório, mas é importante que ele garanta um

registro completo, preciso, conciso e claro

da auditoria.

No entanto, é importante que pelo menos

alguns elementos fundamentais componham

este relatório.

Pro

fe

sso

r A

nd

ré

C

am

po

s



Entre estes elementos podemos citar:

1 – Os objetivos da auditoria;

2 – O escopo da auditoria;

3 – A identificação do cliente;

4 – A identificação do auditor líder;

5 – As datas e locais onde as atividades foram

realizadas;

6 – O critério de auditoria;

7 – As constatações da auditoria;

8 – As conclusões da auditoria.

Pro

fe

sso

r A

nd

ré

C

am

po

s



Outras informações opcionais:

1 – O plano de auditoria;

2 – Lista de representantes do auditado;

3 – Resumo do processo de auditoria;

4 – Retorno sobre o atendimento dos objetivos;

5 – Áreas planejadas mas não cobertas;

6 – Divergências não resolvidas;

7 – Recomendações para melhoria;

8 – Plano de ação para acompanhamentos;

9 – Lista de distribuição do relatório.

Pro

fe

sso

r A

nd

ré

C

am

po

s



Geralmente, o relatório de auditoria é

entregue em uma data posterior à conclusão

da mesma. Caso haja qualquer tipo de

atraso, isto deve ser informado ao cliente e

ao auditado e também constar como registro

no próprio relatório.

Este relatório é de propriedade do cliente, e a

confidencialidade dele deve ser amplamente

respeitada.

Qualquer registro ou documento referente a

auditoria deve ser devolvido ou destruído

completamente.

Pro

fe

sso

r A

nd

ré

C

am

po

s


Concluindo a auditoria

Quando todas estas atividades foram realizadas

e o plano de auditoria seguido até o fim, a

auditoria é data por encerrada.

Caso tenham havido contratações de qualquer

tipo ou o estabelecimento de acordos para

viabilizar a realização da auditoria, este é o

momento para encerrar estes contratos e

acordos de maneira formal.

Todos os envolvidos, incluindo terceiros,

deverão assinar termos de sigilo e

confidencialidade a fim de preservar o cliente e

o auditado.

PROJETOS DE AUDITORIA DE TI - sistemamoderno.com.br · responsável pelo programa de auditoria. ......

Documents

Transcript of PROJETOS DE AUDITORIA DE TI - sistemamoderno.com.br · responsável pelo programa de auditoria. ......