As capacidades dos sistemas de informação avançaram bastante nos últimos anos. Em muitas empresas, sequer há informações em papel, mas apenas em meios digitais. Nesse cenário, os auditores precisam adaptar continuamente sua metodologia ao contexto.
Apesar dos objetivos gerais de um controle não mudar em um ambiente de tecnologia, a sua implementação sim e, logo, os auditores também precisam adaptar (e evoluir) as suas avaliações de controles internos.
Os controles de TI em um sistema de informação englobam todos os métodos, políticas, procedimentos e manuais para garantir a proteção dos ativos da organização, a precisão e confiabilidade de seus registros e conformidade aos padrões da gestão.
Do ponto de vista da auditoria, a presença de controles em sistemas de informação é positivo, considerando que, durante seu input ou processamento, os dados podem ser duplicados, modificados/adulterados, ocultados e/ou impedirem a continuidade de outros processos da companhia. Além disso, em empresas nas quais os sistemas de informação são operados por terceiros empregando seus próprios padrões e controles, esses sistemas podem estar suscetíveis a riscos de acesso remoto não autorizado, por exemplo.
Ao realizar uma auditoria de controles de TI, ambos os tipos de testes (conformidade e testes substantivos) podem ser realizados. O teste de conformidade determina se os controles estão sendo aplicados da maneira descrita na documentação do sistema ou conforme descrito pela empresa auditada. Em outras palavras, um teste de conformidade determina se os controles estão sendo aplicados de maneira conforme as políticas e procedimentos determinados pela gestão da empresa. Já a auditoria substantiva “fundamenta” a adequação dos controles existentes para proteger a organização de atividades fraudulentas e abrange a comprovação dos resultados relatados de transações ou atividades de processamento.
Em um ambiente informatizado, constantemente surgem novas causas e fontes de erros, que trazem consigo novos riscos para as companhias. O auditor deve considerar cada um dos seguintes fatores e avaliar o impacto global do processamento informático sobre os riscos inerentes. Vamos ver os principais fatores:
(a) Acesso não autorizado ou alterações nos dados ou programas
As aplicações devem ser construídas com vários níveis de autorização para envio e aprovação de transações. Uma vez que um aplicação vai para a produção, os desenvolvedores não devem mais ter acesso a programas e dados. Se os desenvolvedores tiverem acesso, todas as atividades devem ser registradas, relatadas e revisadas por outras pessoas independentes.
Os riscos de acesso não autorizado aos dados incluem a possibilidade de vazamentos de dados e informações que permitiriam a pessoas não autorizadas avaliar o estado atual e as características de uma companhia.
O software e os dados das transações devem ser protegidos contra alterações não autorizadas através do uso de controles de acesso físico e lógicos adequados.
Os controles de acesso físico incluem a instalação de barreiras físicas para restringir o acesso aos servidores da empresa, prédios/edifícios, computadores dos colaboradores e cada peça de hardware de TI.
Os controles de acesso lógico são restrições aplicadas pelo software do sistema de informação.
(b) Processamento automático
O sistema pode iniciar transações automaticamente ou executar funções de processamento. As evidências dessas etapas de processamento (e quaisquer controles relacionados) podem ou não ser visíveis.
(c) Maior potencial de erros e distorções não detectados
Devido ao maior uso e armazenamento de informações em formato eletrônico, há um menor envolvimento humano no processamento se comparado a sistemas manuais. Assim, aumenta-se o potencial de indivíduos obterem acesso não autorizado a informações confidenciais e conseguirem alterar dados sem evidências visíveis.
(d) Anonimato e responsabilidade reduzida
O risco de processamento de transações não autorizadas pode ser reduzido pela presença de controles que identifiquem usuários individualmente e registrem as ações que realizam.
Os responsáveis pelo sistema podem reduzir os riscos associados a usuários anônimos atrelando aos usuários códigos com identificadores exclusivos e, em seguida, forçando a autenticação de sua identidade quando eles fizerem logon no sistema.
As senhas são um dos métodos comuns usados para autenticar a identidade reivindicada de um usuário.
(e) Transações incomuns ou não rotineiras
Assim como nos sistemas manuais, transações incomuns ou não rotineiras aumentam o risco inerente. Os programas desenvolvidos para processar tais transações podem não estar sujeitos aos mesmos procedimentos que os programas desenvolvidos para processar transações rotineiras.
(f) Ocultação ou invisibilidade de algum processo
Esta fraqueza pode ser explorada através da incorporação de programas não autorizados dentro daqueles que são autorizados.
A ameaça de alterações não autorizadas no programa pode ser reduzida pela adoção de procedimentos apropriados de controle de gestão de mudanças (controle de alterações), incluindo controles de acesso eficazes, atividades de registro, revisão periódica desses registros, bem como uma adequada segregação de funções entre desenvolvedores do sistema, administradores do sistema, equipe que operam o sistema, usuários finais etc.
(g) Existência, integridade e volume da trilha de auditoria
Trilha de auditoria é a evidência que demonstra como uma transação específica foi iniciada, processada e resumida.
Alguns sistemas de informação são projetados para manter a trilha de auditoria apenas por um curto período de tempo, registrando apenas uma parte das transações sistêmicas, não registrando ações relevantes ou mesmo registrando apenas de maneira resumida. Fique atento a essas questões. Além disso, as informações geradas podem ser muito volumosas para serem analisadas de forma eficaz.
(h) Informações imprecisas
Informações precisas podem ser um problema se o usuário final estiver acessando um banco de dados no servidor, por exemplo.
Além disso, os usuários finais podem ser solicitados a gerar um relatório sem entender completamente as informações básicas, ou podem não estar devidamente treinados aplicação de relatórios para buscar as informações apropriadas.
Outra área de grande preocupação é que a administração da companhia pode deixar de usar (ou falhar) no uso das informações adequadamente. As razões para tal negligência incluem:
- Falha na identificação de informações significativas;
- Falha na interpretação do significado e valor das informações obtidas;
- Falha na comunicação de informações ao stakeholder responsável ou ao responsável pela tomada de decisão.
Conectividade – Hardware e Software
Por conta da grande conectividade no mundo atual, em que todo tipo de dispositivo se comunica entre si, o risco de acessos não autorizados e modificações de dados não autorizados aumentam significativamente. O software desenvolvido internamente pode ter um risco inerente maior do que o software terceiro de um fornecedor que foi exaustivamente testado e está em uso no mercado em geral.
- Segurança fraca: a segurança dos sistemas de informação deve ser uma preocupação tanto dos usuários quanto da administração da companhia. No entanto, a segurança, para muitas empresas, não é uma prioridade.
. - Acesso remoto não autorizado: alguns sistemas fornecem controles de acesso que limitam a capacidade dos usuários remotos de ver, alterar, excluir ou criar dados. Os controles de acesso do sistema podem ser fortalecidos por controles adicionais de identificação e autenticação dentro de cada aplicação. Além disso, os dados confidenciais que são transmitidos por meios públicos devem ser criptografados.
. - Testes inadequados: testes independentes são importantes para identificar falhas no projeto que podem ter sido negligenciadas (proposital ou não) pelo desenvolvedor do sistema. Muitas vezes, os profissionais que criam o projeto serão os únicos a testarem a aplicação e, mesmo assim, vão apenas verificar se o sistema funciona conforme eles o projetaram. O usuário final deve desenvolver critérios de aceitação que possam ser usados para testar o esforço de desenvolvimento. Os critérios de aceitação ajudam a assegurar que os requisitos do sistema do usuário final sejam validados durante os testes.
. - Treinamento inadequado: as organizações podem optar por não investir em treinamentos olhando apenas para os custos iniciais. De acordo com um estudo do Gartner e outro do NIST, o custo de não treinar as pessoas excede (e muito) o investimento que as organizações fazem para tanto os usuários finais quanto os profissionais de TI.
Controles de TI
Os controles de TI podem ser classificados em duas grandes categorias:
- Controles Gerais (“General Controls”)
- Controles da Aplicação (“Application Controls”)
1. Controles Gerais (“General Controls”)
Os Controles Gerais (ou “General Controls“) incluem controles sobre as operações do data center, aquisição e manutenção de software do sistema, segurança de acesso e desenvolvimento e manutenção do sistema de aplicativos. Podemos citar alguns exemplos, como políticas de TI, padrões e diretrizes referente à segurança de TI e proteção de informações, desenvolvimento de softwares e controles de gestão de mudanças, segregação de funções, planos de continuidade de negócios, gerenciamento de projetos de TI, entre outros. Os Controles Gerais de TI estão relacionados à infraestrutura de TI da organização, incluindo quaisquer políticas, procedimentos e práticas de trabalho relacionados a TI.
Os General Controls se aplicam a todos os sistemas ou aplicações da empresa; eles incluem um mix de software, hardware e procedimentos manuais que modelam um ambiente moldam um ambiente de controle geral; qualquer setor ou área dentro de uma empresa que usa TI também incluirá controles gerais.
Ao olhar para os General Controls, é possível enxergar controles de software, de backups, de segurança dos dados, controles físicos e administrativos etc.
Ao falarmos de Controles Gerais de TI, estão inclusos, mas não se limitam a:
- Controles da organização e gestão (políticas e padrões de TI).
- Controles operacionais de TI.
- Controles físicos (acesso e ambiente).
- Controles de acesso lógico.
- Controles de aquisição e gestão de mudanças.
- Controles de continuidade de negócios e recuperação de desastres.
2. Controles da Aplicação (“Application Controls”)
Os Controles da Aplicação (ou “Application Controls“) pertencem a aplicações informáticas específicas. Eles incluem controles que ajudam a garantir a devida autorização, integridade, precisão e validade das transações, manutenção e outros tipos de entrada de dados. Os exemplos incluem verificações de edição do sistema do formato dos dados inseridos para ajudar a evitar possíveis entradas inválidas, controles de transação sistêmica que impedem os usuários de realizarem transações que não fazem parte de suas funções normais/habilitadas e a criação de relatórios detalhados para assegurar que todas as transações tenham sido lançadas de forma completa e precisa.
Os Application Controls são controles específicos das próprias aplicações/sistemas. Assim, podemos afirmar que os Application Controls do sistema de Folha de Pagamento se diferem daqueles do sistema de Vendas, por exemplo.
Ao olhar para os Application Controls, é possível enxergar controles de entrada (input) (p. ex: o sistema deixará em inserir um CPF inválido?), processamento (p. ex: conseguirei editar os dados após a requisição ter sido aprovada?) e saída (output) dos dados (p. ex: os dados entregues estão íntegros e em formato adequado?). Os Controles da Aplicação usam variados métodos para garantir que os dados inseridos no sistema estão completos e precisos.
Incluem nos application controls, mas não se limitam a:
- Controles sobre a entrada (input) de transações.
- Controles sobre o processamento.
- Controles sobre a saída (output).
- Controles sobre dados permanentes e master files.
Auditoria de Controles Gerais
O auditor de TI irá se concentrar nas avaliações dos Controles Gerais que, normalmente, pertencem às principais instalações e sistemas de informação de uma organização que suportam várias aplicações de TI diferentes, como grandes instalações de processamento de dados ou redes locais.
Se os Controles Gerais forem fracos, eles reduzirão consideravelmente a confiabilidade dos controles associados a aplicações individuais de TI, ou seja, os application controls.
Indicações de livros sobre Auditoria de TI e Sistemas de Informação
Sabemos que escolher um bom livro não é uma tarefa das mais fáceis. Por mais que você pesquise internet afora e faça download de materiais (artigos, podcasts, vídeos, etc), você não deve deixar de lado livros que são referências no assunto e que irão agregar conhecimento.
Por isso, confira neste link uma relação especial que preparei de livros de auditoria de TI e de sistemas de informação que considero livros importantes e de qualidade comprovada nos assuntos, tanto em inglês quanto em português.
Outras publicações internas relacionadas
- Auditoria Contínua e Monitoramento Contínuo
- Normas de Auditoria
- 5 livros de Auditoria imperdíveis
- Ferramenta de Auditoria de Segurança para Unix/Linux – Lynis
- Usando o COSO para atender a Resolução BACEN de Controles Internos (Res. CMN 4.968/2021)
Próxima postagem desta série
Pessoal, na próxima postagem, vamos seguir com a série Auditoria de TI na Prática, falando sobre as principais categorias de Controles Gerais que um auditor deve considerar em seus trabalhos de avaliação dos controles de TI de uma empresa.
.
Nota: vale ressaltar que “auditoria de TI” é um tema bastante extenso que renderia um livro enorme. O intuito aqui é ilustrar, de maneira lógica e sequencial para este que vos escreve, um pouco sobre auditoria de TI e auditoria de sistemas de informação. Ninguém sairá daqui, após ler os tópicos, especialistas no assunto, pois para tal são necessários anos de experiência e estudos. Por aqui, pretendo guiá-los, procurando trazer informações de uma forma clara para que qualquer pessoa, mesmo leigos no assunto, consigam aproveitar.
Com informações de IT Audit Manual.
.