Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS

7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS

http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 1/107

ESTADO DO RIO GRANDE DO SUL

TRIBUNAL DE CONTAS DO ESTADO

ESCOLA SUPERIOR DE GESTÃO E CONTROLE FRANCISCO JURUENA

Credenciamento MEC – Portaria nº 1965/06

CURSO DE ESPECIALIZAÇÃO EM GESTÃO PÚBLICA ECONTROLE EXTERNO

Auditoria em TI:Alternativas de Implementação no Processo de Auditoria do TCE-RS

Frederico Henrique Goldschmidt Neto

PORTO ALEGRE

2008



RESUMO

A utilização de recursos de informática tem facilitado de sobremaneira o desempenho das

instituições em suas áreas de atuação. Dados antes armazenados em papel e procedimentos

realizados de forma manual hoje são todos feitos por computador. Como reflexo desta mudança,

o controle externo, que antes era exercido através da auditoria dos dados em papel também teve

que mudar. A informatização crescente reclama especial atenção das organizações, uma vez que a

utilização da tecnologia da informação para manipulação e armazenamento de dados introduz

novos riscos e aumenta a fragilidade de algumas atividades. Assim, torna-se essencial a atuação

do controle externo em questões relacionadas à segurança da tecnologia da informação e à

qualidade dos sistemas informatizados das instituições. Neste trabalho serão abordados conceitos

relacionados com a área de informática e temas relevantes dentro do contexto de auditoria em

tecnologia da informação, estendendo o escopo de auditoria de sistemas informatizados.

Palavras-chave: Auditoria em TI; Gestão de Riscos; Metodologia de Auditoria.



ABSTRACT

The use of the computer resources has facilitated the performance of the institutions in

their areas of expertise. Before data stored on paper and manual procedures carried out today are

all done by computer. As a reflection of this change, the external control, which was previously

exercised by the audit data on paper also had to change. The growing computerization of

organizations demanding special attention, since the use of information technology for handling

and storage of data introduces new risks and increases the fragility of some activities. Thus, it is

essential to the performance of external control on security issues in information technology and

the quality of systems of institutions. This work will be addressed concepts related to the area of

IT and relevant issues within the context of auditing in information technology, extending the

scope of the audit systems.

Keywords: IT Auditing; Risk Management; Auditing Methodology.



Índice

Lista de Figuras ............................................................................................................................... 91 INTRODUÇÃO.......................................................................................................................... 10

1.1 Motivação ............................................................................................................................ 101.2 Objetivos.............................................................................................................................. 111.3 Organização deste documento ............................................................................................. 11

2 TEMAS RELEVANTES RELACIONADOS À AUDITORIA EM TI..................................... 132.1 Gestão de Riscos.................................................................................................................. 132.2 Auditoria de Compliance..................................................................................................... 142.3 Business Intelligence ........................................................................................................... 162.4 Malha Fina – Receita Federal.............................................................................................. 17

2.5 Forense Computacional ....................................................................................................... 182.6 Auditoria de Softwares Aplicativos..................................................................................... 192.7 Mineração de Dados ............................................................................................................ 202.8 Controle Interno................................................................................................................... 212.8.1 Ambiente de Controle ....................................................................................................... 222.8.2 Avaliação e Gerenciamento dos Riscos............................................................................ 222.8.3 Atividade de Controle ....................................................................................................... 232.8.4 Informação e Comunicação ............................................................................................. 232.8.5 Monitoramento ................................................................................................................. 242.9 Educação à Distância (EAD)............................................................................................... 25

3 AUDITORIA EM TI, NECESSIDADES E EXPERIÊNCIAS.................................................. 27

3.1 Reunião realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidores envolvidoscom o SIAPC............................................................................................................................. 273.2 Reunião realizada em 07/07/2006 entre o grupo de pesquisa em TI e servidores do SAM 293.3 Apresentação realizada em 28/08/2006 sobre Business Intelligence (BI)........................... 303.4 Reunião realizada em 22/09/2006 entre o grupo de pesquisa em TI e representante daMódulo ...................................................................................................................................... 313.5 Apresentação realizada em 02/10/2006 sobre Audit Control Language (ACL) ................. 313.6 Reunião realizada em 13/11/2006 entre o grupo de pesquisa em TI e representantes deáreas com ações no PET e PROMOEX na área de auditoria em TI.......................................... 323.7 Proposta de aperfeiçoamento do sistema de auditorias da área municipal no âmbito doTCE-RS ..................................................................................................................................... 33

3.8 Auditoria em TI em outros TCs........................................................................................... 343.8.1 Experiência do Tribunal de Contas do Estado de Pernambuco ...................................... 353.8.2 Experiência do Tribunal de Contas da União.................................................................. 393.8.3 Experiência do Tribunal de Contas do Estado do Paraná............................................... 45

4 AUDITORIA EM TI – PROPOSTAS DE IMPLEMENTAÇÃO NO TCE-RS........................ 465 CONCLUSÃO............................................................................................................................ 506 BIBLIOGRAFIA........................................................................................................................ 51



Lista de Figuras

Figura 1: Auditoria de Compliance ............................................................................................... 15Figura 2: Business Intelligence...................................................................................................... 17Figura 3: Forense Computacional ................................................................................................. 19Figura 4: Mineração de Dados ...................................................................................................... 20Figura 5: Educação à Distância no TCU ....................................................................................... 26Figura 6: Exemplo de checklist utilizado no TCE-PE................................................................... 35Figura 7: Escopo de atuação de TI no controle externo ................................................................ 38Figura 8: Importância do gerenciamento de risco nos TCEs......................................................... 38Figura 9: Histórico de Auditoria em TI no TCU........................................................................... 39Figura 10: Estrutura organizacional da SEFTI.............................................................................. 40

Figura 11: Normas e padrões utilizados pelo TCU ....................................................................... 41Figura 12: Método de auditoria em TI utilizado pelo TCU........................................................... 42Figura 13: Exemplo de matriz de planejamento. ........................................................................... 43Figura 14: Exemplo de matriz de procedimentos.......................................................................... 44Figura 15: Exemplo de matriz de achados..................................................................................... 44Figura 16: Portal de controle social (http://www.controlesocial.pr.gov.br/)................................. 45



10

1 INTRODUÇÃO

1.1 Motivação

Não se deve partir do princípio de que os dados extraídos de computadores são confiáveis.

Embora ofereçam vantagens para as organizações, os sistemas informatizados podem também

apresentar grandes riscos. É possível que erros e fraudes não sejam detectados por causa da

enorme quantidade de dados controlados pelos sistemas, da possível discrepância entre o que está

armazenado e o que é efetivamente apresentado em relatórios de saída, e da mínima necessidade

de intervenção humana nos processos. 1

Quase que a totalidade dos órgãos e entidades da Administração Pública faz uso maciço

de sistemas informatizados para processamento e armazenamento de dados.

Este fato torna imprescindível a preparação das entidades de fiscalização para enfrentar odesafio de auditar uma Administração Pública cada vez mais informatizada, visto que as equipes

de auditoria terão que usar como evidência, dados provenientes de sistemas informatizados.

O cenário apresentado relata com precisão o contexto das auditorias que estão sendo

realizadas pelas equipes de auditores do Tribunal de Contas do Estado do Rio Grande do Sul

(TCE-RS), que de certa forma carecem de conhecimento e metodologia para a realização de

auditoria de sistemas informatizados, visto serem formadas por profissionais da área de

economia, direito, contabilidade, administração e engenharia.

Aliado a este fato, o elevado número de municípios a serem auditados, além das auditorias

extraordinárias, faz com que o auditor dependa cada vez mais do uso dos sistemas informatizados

e dos dados que dele extrai, exigindo um ambiente confiável e seguro tanto no TCE-RS quanto

nos auditados.



11

1.2 Objetivos

Esta monografia tem como objetivo contextualizar o uso de auditoria em tecnologia da

informação (TI) no ambiente do TCE-RS, sugerindo alternativas para implantação deste

procedimento no processo de auditoria tradicional hoje adotado.

Para atingir este objetivo, serão abordados conceitos relacionados com a área de TI e

temas relevantes dentro do contexto de auditoria em tecnologia da informação, estendendo o

escopo de auditoria de sistemas informatizados. Resultados de entrevistas e demonstrações de

fornecedores de ferramentas de suporte à auditoria de TI, bem como experiências de outros

Tribunais de Contas também serão utilizados para o atingimento deste objetivo.

1.3 Organização deste documento

Esta monografia está estruturada em cinco partes, conforme segue:

• 1 – Introdução

• 2 – Temas Relevantes Relacionados à Auditoria em TI apresenta de forma breve

conceitos que servirão de base para o entendimento do que será proposto na conclusão

deste trabalho.

• 3 – Auditoria em TI, necessidades e experiências aborda entrevistas realizadas com

áreas diretamente relacionadas com o processo de auditoria tradicional realizada pelo

TCE-RS, bem como experiências em auditoria em TI de outros Tribunais de Contas

(TCs).



12

• 4 – Auditoria em TI – Propostas de implementação no TCE-RS relaciona os

conceitos abordados nos capítulos 2 e 3, trazendo como resultado sugestão de formade implementação de auditoria em TI no processo de auditoria do TCE-RS.

• 5 - Conclusão encerra o trabalho com as considerações finais.

• 6 – Bibliografia



13

2 TEMAS RELEVANTES RELACIONADOS À AUDITORIA EM TI

A auditoria em ambiente de tecnologia da informação não muda a formação exigida para

a profissão de auditor, apenas percebe que as informações até então disponíveis em forma de

papel são agora guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar para

se assegurar de que essas informações em forma eletrônica sejam confiáveis antes de emitir sua

opinião.2

Para que as informações sejam confiáveis, o auditor passa a ter que se preocupar não só

com o sistema que gerou a informação, mas também com o ambiente onde este sistema está

inserido. Aspectos como a segurança do ambiente físico, segurança do ambiente lógico, controle

de acessos, políticas de backup, planos de contingência, gerenciamento de riscos e outros tantos

também devem ser levados em conta no processo de auditoria.

Para tornar claro este novo cenário que deve ser considerado em um processo de auditoria

em TI, serão abordados de forma breve temas que com ele se relacionam.

2.1 Gestão de Riscos

Em geral definimos segurança como um estado no qual estamos livres de perigos e

incertezas. Dentro de uma organização, esta segurança costuma se aplicar a tudo aquilo que

possui valor e, conseqüentemente, demanda proteção. São os chamados ativos.

Como exemplo de ativos podemos ter as seguintes categorias:

1. Tangíveis: Informações impressas ou digitais, impressoras, móveis de escritório;

2. Intangíveis: Imagem de uma empresa, confiabilidade de um órgão estadual;

3. Lógicos: Dados armazenados em um servidor, sistema contábil;



14

4. Físicos: Estação de trabalho, sistema de ar-condicionado;

5. Humanos: Empregados, prestadores de serviço. 3

O objetivo da gestão de riscos é gerenciar uma série de atividades relacionadas à forma

com a qual uma instituição lida com os riscos que seus ativos podem sofrer. Entre estas

atividades, podemos elencar: a identificação do ativo, o risco que este ativo está sujeito, o

impacto que a instituição sofrerá caso o risco ocorra, o tratamento dos riscos e a comunicação da

ocorrência do risco.

Importante ressaltar a existência de duas normas da Associação Brasileira de Normas

Técnicas (ABNT) que demonstram a preocupação com a segurança da informação, e que são

amplamente utilizadas na gestão de riscos, são elas:

1. ABNT NBR ISO/IEC 27001:2005 – define os requisitos para um Sistema de Gestão

de Segurança da Informação (SGSI), sendo estes os requisitos verificados em um

processo de certificação de um SGSI. A NBR 27001 junto com a NBR 17799 formam

a base para a construção da série de normas ISO 27000.

2. ABNT NBR ISO/IEC 17799:2005 - é um código de prática de gestão de segurança da

informação. Ela se aplica à segurança da informação em sentido amplo. Fornece os

melhores procedimentos, diretrizes e princípios gerais de implementação, manutenção

e gestão da segurança de dados em qualquer organização, produzindo e utilizando

informação em qualquer formato.

2.2 Auditoria de Compliance

Visa obter evidências a cerca de determinadas atividades da entidade, para verificar a

obediência às regras ou regulamentos a elas aplicáveis. Estas regras ou regulamentos podem ser

imposições da própria entidade ou de terceiros. Na figura 1 podemos verificar fases de um



15

processo de auditoria de compliance em TI, onde em um primeiro momento, durante a auditoria,

são coletados dados através de logs do sistema, utilizando-se contas especiais para os executoresda auditoria, passando-se a seguir a verificar qual a padronização será adotada para a verificação

da compliance.

Após a coleta dos dados e definição da padronização as evidências são coletadas nos

diversos repositórios de informação, gerando relatórios de conformidade e recomendações para

correção de itens não atendidos.

Figura 1: Auditoria de Compliance

Como exemplo de compliance podemos citar:

1. Lei Sarbanes-Oxley: é uma lei estadunidense assinada em 30 de julho de 2002 pelo

senador Paul Sarbanes e pelo deputado Michael Oxley. A lei Sarbanes-Oxley, ou

ainda SOX, busca garantir a criação de mecanismos de auditoria e segurança

confiáveis nas empresas. Incluindo também regras para a criação de comitês e

comissões encarregados de supervisionar suas atividades e operações de modo a



16

mitigar riscos aos negócios, evitar a ocorrência de fraudes ou ter meios de identificar

quando elas ocorrem, garantindo a transparência na gestão das empresas.

2. ISO 9000: é uma concentração de normas que formam um modelo de gestão da

qualidade para organizações que podem, se desejarem, certificar seus sistemas de

gestão através de organismos de certificação.

2.3 Business Intelligence

A Inteligência Empresarial, ou Business Intelligence (BI), é um termo do Gartner Group.

O conceito surgiu na década de 80 e descreve as habilidades das corporações para acessar dados e

explorar as informações (normalmente contidas em um banco de dados), analisando-as e

desenvolvendo percepções e entendimentos a seu respeito, o que as permite incrementar e tornar

a tomada de decisão mais pautada em informações.

As organizações tipicamente recolhem informações com a finalidade de avaliar o

ambiente empresarial, complementando estas informações com pesquisas de marketing,

industriais e de mercado, além de análises competitivas. Organizações competitivas acumulam

"inteligência" à medida que ganham sustentação na sua vantagem competitiva, podendo

considerar tal inteligência como o aspecto central para competir em alguns mercados.

Na figura 2, podemos verificar o processo de geração de informação para ser utilizada emum sistema de BI. Através da extração de dados das bases corporativas, dados são transformados

e carregados em um grande banco de dados, de onde são feitas correlações que serão

transformadas em relatórios de dados gerenciais, que servirão de subsídio em processos de

decisão.



17

Figura 2: Business Intelligence

Geralmente, os coletores de BI obtêm as primeiras fontes de informação dentro das suas

empresas. Cada fonte ajuda quem tem que decidir a entender como o poderá fazer da forma mais

correta possível. As segundas fontes de informações incluem as necessidades do consumidor,

processo de decisão do cliente, pressões competitivas, condições industriais relevantes, aspectos

econômicos e tecnológicos e tendências culturais. Cada sistema de BI determina uma metaespecífica, tendo por base o objetivo organizacional ou a visão da empresa, existindo em ambos

objetivos, sejam eles de longo ou curto prazo.4

2.4 Malha Fina – Receita Federal

A análise fiscal da declaração de ajuste anual da pessoa física, popularmente conhecida

como "malha fina", é a revisão de todas as declarações, modelos completo e simplificado, de

forma eletrônica, no qual são efetuadas verificações nos dados declarados pelo contribuinte, e

realizados os cruzamentos destas informações com outros elementos disponíveis nos sistemas da

Secretaria da Receita Federal (SRF).



18

Após a entrega das declarações, inicia-se a fase de processamento eletrônico das mesmas.

Nesta fase são realizadas seqüências de verificações para identificar erros de preenchimento einconsistência das informações apresentadas que podem caracterizar infração à legislação

tributária.

A incidência da declaração em parâmetros de malha, em situações específicas, interrompe

o processamento até a solução dos problemas detectados, o que pode ser feito internamente pela

SRF ou, nos casos em que é necessária a participação do contribuinte, mediante intimação para

apresentação de informações e documentos.

A não apresentação das informações e documentos solicitados, ou o não atendimento às

intimações expedidas pelos Auditores-Fiscais da Receita Federal, implica na constituição do

crédito tributário sobre as divergências constatadas, mediante a emissão de auto de infração.

2.5 Forense Computacional

A Forense Computacional foi criada com o objetivo de suprir as necessidades das

instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. Ela

é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em

formato eletrônico e armazenados em algum tipo de mídia computacional.5

A não obediência de regras estabelecidas pela forense computacional pode por em risco

todo o processo de auditoria em TI, pois os dados e evidências obtidos em campo podem vir a seranulados e não considerados para subsídio aos pareceres emitidos pelo auditor. Observa-se direto

relacionamento aos procedimentos hoje tão difundidos em seriados de televisão sobre forense

criminal, onde a não observação dos procedimentos acarreta a liberação ou redução de pena do

criminoso. Na figura 3 podemos verificar fases de um modelo de investigação computacional, no

qual são empregadas técnicas de forense computacional.



19

Figura 3: Forense Computacional

2.6 Auditoria de Softwares Aplicativos

Softwares aplicativos são aqueles desenvolvidos para executar automatização de

processos de uma empresa, a exemplo de uma folha de pagamento ou controle de estoque.

A auditoria de softwares aplicativos é feita através de controles implementados nas três

áreas de operação deste software: entrada, processamento e saída. Sem um controle de aplicativo

apropriado o risco de que características de segurança sejam omitidas ou contornadas, seja de

forma intencional ou não, ou ainda que o processamento de dados seja feito de forma errônea ou

fraudulenta é bastante grande.

O contorno destes controles e a não existência de auditoria abre possibilidades para

fraudes e desvios, o que muitas vezes inviabiliza uma empresa ou coloca por terra a imagem e

confiabilidade de uma instituição.



20

2.7 Mineração de Dados

Mineração de dados (também conhecida pelo termo inglês data mining) é o processo de

explorar grandes quantidades de dados à procura de padrões consistentes, como regras de

associação ou seqüências temporais, para detectar relacionamentos sistemáticos entre variáveis,

detectando assim novos subconjuntos de dados.

Esta tecnologia é formada por um conjunto de ferramentas que através do uso de

algoritmos de aprendizagem ou baseados em redes neurais e estatística, são capazes de explorar

um grande conjunto de dados, extraindo destes conhecimento na forma de hipóteses e de regras.

Diariamente as empresas acumulam diversos dados nas suas bases de dados, inclusive com dados

e hábitos de seus clientes. Todos estes dados podem contribuir com a empresa, sugerindo

tendências e particularidades pertinentes a ela e seu meio ambiente interno e externo, visando

uma rápida ação de seus gestores. Na figura 4 podemos verificar como funciona o processo de

mineração de dados.

Figura 4: Mineração de Dados



21

Com a geração de informações e conhecimentos úteis para as empresas, os seus negócios

podem ser alavancados, tornando-se mais lucrativos. Os recursos da tecnologia da informação,mais precisamente a capacidade do hardware e software disponíveis, podem efetuar atividades

em horas, o que tradicionalmente as pessoas levariam meses. Efetivamente a mineração de dados

cumpre o papel de descoberta de conhecimentos. 6

2.8 Controle Interno

Controle Interno é um processo, desenvolvido para garantir, com razoável certeza, que

sejam atingidos os objetivos da empresa, nas seguintes categorias:

• Eficiência e efetividade operacional (objetivos de desempenho ou estratégia): esta

categoria está relacionada com os objetivos básicos da entidade, inclusive com os

objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade

dos ativos;

• Confiança nos registros contábeis/financeiros (objetivos de informação): todas as

transações devem ser registradas, todos os registros devem refletir transações reais,

consignadas pelos valores e enquadramentos corretos;

• Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à

entidade e sua área de atuação. 7

De acordo com a definição acima, o objetivo principal do controle interno é auxiliar a

entidade atingir seus objetivos, sendo um elemento que compõe o processo de gestão e que deve

ser responsabilidade de todos.

O processo Controle Interno é constituído de cinco elementos, que estão relacionados

entre si. São eles:



22

•

Ambiente de Controle;

• Avaliação e Gerenciamento dos Riscos;

• Atividade de Controle;

• Informação e Comunicação;

• Monitoramento.

2.8.1 Ambiente de Controle

O ambiente de controle define o “tom” de uma organização. Ele é a base para todos os

outros componentes internos de controle, proporcionando disciplina e estrutura. Fatores de

controle incluem o meio ambiente, integridade, valores éticos e competência dos membros da

entidade.

A postura da alta administração desempenha papel determinante neste componente. Ela

deve deixar claro para seus comandados quais são as políticas, procedimentos, código de ética e

código de conduta a serem adotados. Estas definições podem ser feitas de maneira formal ou

informal, o importante é que sejam claras aos funcionários da organização.

2.8.2 Avaliação e Gerenciamento dos Riscos

O objetivo da gestão de riscos é gerenciar uma série de atividades relacionadas à forma

pela qual uma instituição lida com os riscos que seus ativos podem sofrer. Entre estas atividades,



23

podemos elencar: a identificação do ativo, o risco que este ativo está sujeito, o impacto que a

instituição sofrerá caso o risco ocorra, o tratamento dos riscos e a comunicação da ocorrência dorisco.

2.8.3 Atividade de Controle

São aquelas atividades que, quando executadas a tempo e maneira adequados, permitem a

redução ou administração dos riscos. Podem ser de duas naturezas: atividades de prevenção ou

de detecção.

2.8.4 Informação e Comunicação

A comunicação é o fluxo de informações dentro de uma organização, entendendo que este

fluxo ocorre em todas as direções, dos níveis hierárquicos superiores aos níveis hierárquicos

inferiores, dos níveis inferiores aos superiores, e comunicação horizontal, entre níveis

hierárquicos equivalentes.

A comunicação é essencial para o bom funcionamento dos controles. Informações sobre

planos, ambiente de controle, riscos, atividades de controle e desempenho devem ser transmitidasà toda entidade. Por outro lado, as informações recebidas, de maneira formal ou informal, de

fontes externas ou internas, devem ser identificadas, capturadas, verificadas quanto à sua

confiabilidade e relevância, processadas e comunicadas às pessoas que as necessitam,

tempestivamente e de maneira adequada.

O processo de comunicação pode ser formal ou informal. O processo formal acontece

através dos sistemas internos de comunicação, que podem variar desde complexos sistemas



24

computacionais a simples reuniões de equipes de trabalho e são importantes para obtenção das

informações necessárias ao acompanhamento dos objetivos operacionais, de informação e deconformidade. O processo informal, que ocorre em conversas e encontros com clientes,

fornecedores, autoridades e empregados é importante para obtenção das informações necessárias

à identificação de riscos e oportunidades.

2.8.5 Monitoramento

O monitoramento é a avaliação dos controles internos ao longo do tempo. Ele é o melhor

indicador para saber se os controles internos estão sendo efetivos ou não.

O monitoramento é feito tanto através do acompanhamento contínuo das atividades

quanto por avaliações pontuais, tais como auto-avaliação, revisões eventuais e auditoria interna.

A função do monitoramento é verificar se os controles internos são adequados e efetivos.

Controles adequados são aqueles em que os cinco elementos do controle (ambiente, avaliação de

riscos, atividade de controle, informação e comunicação e monitoramento) estão presentes e

funcionando conforme planejado. Controles são eficientes quando a alta administração tem uma

razoável certeza a cerca dos seguintes itens

• Do grau de atingimento dos objetivos operacionais propostos;

• De que as informações fornecidas pelos relatórios e sistemas corporativos são

confiáveis;

• Leis, regulamentos e normas pertinentes estão sendo cumpridos.8



25

2.9 Educação à Distância (EAD)

Educação à distância é o processo de ensino-aprendizagem, mediado por tecnologias,

onde professores e alunos estão separados espacial e/ou temporalmente.

É ensino/aprendizagem onde professores e alunos não estão normalmente juntos,

fisicamente, mas podem estar conectados, interligados por tecnologias, principalmente as

telemáticas, como a Internet. Mas também podem ser utilizados o correio, o rádio, a televisão, o

vídeo, o CD-ROM, o telefone, o fax e tecnologias semelhantes.

Hoje temos a educação presencial, semi-presencial (parte presencial/parte virtual ou à

distância) e educação à distância (ou virtual). A presencial é a dos cursos regulares, em qualquer

nível, onde professores e alunos se encontram sempre num local físico, chamado sala de aula. É o

ensino convencional. A semi-presencial acontece em parte na sala de aula e outra parte à

distância, através de tecnologias. A educação à distância pode ter ou não momentos presenciais,

mas acontece fundamentalmente com professores e alunos separados fisicamente no espaço e ouno tempo, mas podendo estar juntos através de tecnologias de comunicação.

A educação à distância pode ser feita nos mesmos níveis que o ensino regular. No ensino

fundamental, médio, superior e na pós-graduação. É mais adequado para a educação de adultos,

principalmente para aqueles que já têm experiência consolidada de aprendizagem individual e de

pesquisa, como acontece no ensino de pós-graduação e também no de graduação.

As tecnologias interativas, sobretudo, vêm evidenciando, na educação à distância, o que

deveria ser o cerne de qualquer processo de educação: a interação e a interlocução entre todos os

que estão envolvidos nesse processo.

Na medida em que avançam as tecnologias de comunicação virtual (que conectam pessoas

que estão distantes fisicamente como a Internet, telecomunicações, videoconferência, redes de

alta velocidade) o conceito de presencialidade também se altera. Poderemos ter professores



26

externos compartilhando determinadas aulas, um professor de fora "entrando" com sua imagem e

voz, na aula de outro professor. Haverá assim, um intercâmbio maior de saberes, possibilitandoque cada professor colabore, com seus conhecimentos específicos, no processo de construção do

conhecimento, muitas vezes à distância. 9

Na figura 5 podemos visualizar a interface de educação à distancia utilizada pelo Tribunal

de Contas da União (TCU).

Figura 5: Educação à Distância no TCU



27

3 AUDITORIA EM TI, NECESSIDADES E EXPERIÊNCIAS

Tendo como objetivo fundamentar a necessidade da auditoria em TI dentro do escopo de

atuação do TCE-RS, foram realizadas diversas reuniões entre os integrantes do grupo de pesquisa

em auditoria de TI da Escola Superior de Gestão e Controle Francisco Juruena e servidores do

TCE envolvidos no processo de auditoria tradicional, bem como fornecedores de soluções

relacionadas com auditoria em TI. O resultado destas reuniões é relatado neste capítulo.

A proposta de aperfeiçoamento do sistema de auditoria da área estadual, resultado de açãocorretiva encaminhada para atender o considerável número de auditorias especiais e

extraordinárias que estão sendo demandadas para os setores responsáveis no TCE-RS, também é

mencionada neste capítulo, tendo em vista prever o uso intensivo de recursos de informática, e

por conseqüência a necessidade de auditoria destes recursos.

Além de definir o escopo de atuação da auditoria em TI no TCE-RS, buscou-se contato

com outras instituições que atuam na área de controle externo para verificar se havia

implementação deste tipo de auditoria, bem como de que forma estava estruturada.

A troca de conhecimentos entre auditores destas instituições também proporcionou acesso

à pesquisa realizada pelo Sr. Luiz Carlos de Oliveira, auditor do TCE-PE, na área de Governança

de TI, das quais foram retirados dados relevantes para este trabalho.

3.1 Reunião realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidoresenvolvidos com o SIAPC

O Sistema Informatizado para Auditoria e Prestação de Contas (SIAPC) é um sistema que

recebe informações contábeis e financeiras coletadas pelo Programa Autenticador de Dados

(PAD) nos entes jurisdicionados, possibilitando análises de desempenho dos indicativos da Lei de



28

Responsabilidade Fiscal (LRF) e da Gestão Fiscal, geração de vários relatórios para auditoria

externa e acompanhamento das Prestações de Contas.

O SIAPC é a maior fonte de informações sobre os entes auditados. Suas informações são

a principal fonte de material para o preparo das auditorias em campo. Levando este fato em

consideração, o grupo de pesquisa sobre auditoria em TI reuniu-se com os integrantes da equipe

responsável pelo acompanhamento e desenvolvimento de melhorias neste sistema para investigar

o que seria esperado de um processo de auditoria em TI no TCE-RS. A seguir os principais

elementos obtidos desta reunião:

• Comprovar se o arquivo TXT gerado pelas auditadas corresponde à realidade dos

sistemas informatizados ou se são alterados manualmente ou via sistema;

• Possibilidade de confrontação de TXT recebido pelo TCE com TXT gerado na

auditada quando em processo de auditoria para verificação de validade;

• Verificar como os sistemas informatizados das prefeituras geram os TXTs,

possibilidade de fornecimento de opções via programa para ajustes no TXT gerado;

• Existência nos sistemas da prefeitura de plano de contas diferente do padronizado.

Verificar programas de “conversão” de planos de contas;

• Confronto dos empenhos informados via TXT com empenhos existentes nos sistemas

informatizados das auditadas;

• Verificar informações divergentes nas remessas bimestrais (verificar fevereiro da

primeira remessa com fevereiro das demais remessa, por exemplo);

• Auxílio no desenvolvimento de ferramentas para cruzamento de informações hoje

existentes no banco de dados do TCE, cruzamento este que poderia servir de subsídio

para o processo de auditoria de campo;



29

• Auxílio na parte técnica no processo de troca/obtenção de informações com bancos

(BB e Banrisul).

3.2 Reunião realizada em 07/07/2006 entre o grupo de pesquisa em TI e servidores do SAM

O Serviço de Auditoria Municipal (SAM), é responsável pela realização e emissão de

relatórios de auditoria de órgãos da esfera municipal do estado do RS. Levando em consideração

o volume de órgãos que este serviço audita, o grupo de pesquisa sobre auditoria em TI reuniu-se

com o Supervisor da SAM e servidores do Serviço de Apoio e Suporte Operacional e Técnico

(SASOT), para investigar o que seria esperado de um processo de auditoria em TI no TCE-RS. A

seguir os principais elementos obtidos desta reunião:

• Auxílio na análise de processos licitatórios de produtos de informática

(software/hardware/serviços);

• Análise de sistemas informatizados de prestadores de serviços e auditadas, em busca

de trancas ou alternativas para burlar a auditoria do TCE;

• Elaboração de roteiro básico de auditoria em TI que torne possível auditor que não

seja da área avaliar dados na auditoria na área de informática, solicitando a presença

de auditor da área em casos de necessidade;

• Tomar cuidado no processo de criação de auditoria em TI para simplesmente não criar

mais um item a ser auditado. A auditoria deverá estar bem focada e definida, sob pena

de cair em descrédito em virtude da grande carga de tarefas do auditor de campo;

• Montar piloto para validação do processo de auditoria em TI a exemplo do acontecido

com relação à auditoria operacional;



30

• Auditoria de TI como auxílio para redução de auditoria in-loco;

• Verificar a legalidade do processo de auditoria em TI;

• Auditoria em TI dividida em camadas:

o Cruzamento de informações existentes nos bancos de dados do TCE;

o Roteiro básico para auditoria em TI;

o Auditoria em TI por auditores da área.

3.3 Apresentação realizada em 28/08/2006 sobre Business Intelligence (BI)

Em busca de ferramentas auxiliares no processo de auditoria em TI, o grupo de pesquisa

em TI reuniu-se com o Sr. Carlos Busch, gerente de soluções da Processor, para avaliar a solução

daquela empresa na área de BI. Um breve resumo do que foi apresentado:

O Processor Business Intelligence é uma solução voltada para alavancar os investimentos

já feitos pela maioria das organizações em sistemas legados, permitindo que os usuários façam

uma transição efetiva de acesso tradicional para um acesso informativo aos dados corporativos.

Recursos oferecidos:

• Apoio à tomada de decisão, obtido através do acesso preciso às informações

relevantes do negócio;

• Consolidação da informação, de forma a torná-la acessível para os tomadores de

decisão do negócio;



31

• Identificação de tendências através do processo de análise e contextualização das

informações, permitindo assim antecipar mudanças no mercado e até mesmo açõesdos concorrentes.

3.4 Reunião realizada em 22/09/2006 entre o grupo de pesquisa em TI e representante da

Módulo

Aproveitando a visita do Sr. Rodrigo Agia, da empresa Módulo Security, para

apresentação de palestra no Workshop de Informática, o grupo de pesquisa sobre auditoria em TI

convidou-o para uma breve reunião para que compartilhasse sua experiência na área de auditoria

em TI e gestão de segurança em TI.

A reunião foi proveitosa, no sentido da absorção do conhecimento de que a certificação

ISO 27001 poderia vir a trazer grandes avanços com relação à gestão de segurança em TI no

TCE.

Com relação ao processo de auditoria em TI, o que foi possível aproveitar com relação

aos conhecimentos do Sr. Rodrigo, foi à possibilidade de foco específico de auditoria nesta área,

tanto interna como externamente. O uso das normas ISO 27001 e ISO 17799 serviria como

espinha dorsal para a implementação deste processo.

3.5 Apresentação realizada em 02/10/2006 sobre Audit Control Language (ACL)

Visando avaliar ferramentas para auxílio no processo de auditoria em TI, foi convidada a

empresa Tech Supply para que apresentasse a ferramenta ACL. A apresentação foi feita pelo Sr.

Valdomiro Dalberto Junior. Um breve resumo do que foi apresentado:



32

Ao fornecer uma combinação única e poderosa de acesso aos dados, análise e relatórios

integrados, a solução ACL lê e compara dados empresariais, quaisquer dados, bancos de dadossimples ou relacionais, planilhas eletrônicas, arquivos de relatórios, em computadores ou

servidores, permitindo que os dados de origem permaneçam intactos para que se mantenha a sua

total qualidade e integridade.

Usada como um aplicativo autônomo de computador e/ou como o cliente com o software

de Edição do Servidor, a solução ACL utiliza uma única e consistente interface de cliente e

fornece acesso fácil e imediato aos dados. Por exemplo, com somente alguns cliques, é possível

passar da análise de dados do servidor para informações armazenadas em mainframes, para dados

de sistemas contábeis ou para computadores conectados em rede. Isso assegura um desempenho

otimizado e uma flexibilidade ótima no acesso de novas fontes de dados.

Os comandos oferecem uma variedade completa de ferramentas de análise, desde simples

classificações até testes complexos, já estando pré-programados na ferramenta.

A ferramenta ACL é utilizada pelas mais conhecidas empresas de auditoria independentesem mais de 100 países.

3.6 Reunião realizada em 13/11/2006 entre o grupo de pesquisa em TI e representantes de

áreas com ações no PET e PROMOEX na área de auditoria em TI.

Tendo como objetivo discutir o uso de auditoria em TI no TCE-RS, reuniram-se as áreas

com ações no Planejamento Estratégico do TCE-RS (PET) e no Programa de Modernização do

Sistema de Controle Externo dos Estados, Distrito Federal e Municípios Brasileiros

(PROMOEX) contemplando esta área.

Inicialmente procurou-se identificar o conceito de auditoria em TI entre os integrantes da

reunião. Uma das visões que se obteve foi o uso da auditoria em TI na área específica de



33

auditoria de sistemas informatizados, visando identificar possíveis fraudes através de erros nos

sistemas ou má fé do auditado, ou ainda, na confrontação dos dados enviados para o TCE (viasistema SIAPC) com dados obtidos diretamente nos sistemas dos auditados.

Outra visão surgida foi o uso da auditoria em TI com atuação específica na parte de

verificação de procedimentos de segurança da informação (controles de acesso, backup,

segurança da rede de computadores, etc.) que poderia reverter para o TCE no aspecto da

qualidade e integridade das informações fornecidas.

No transcorrer da reunião vários aspectos foram discutidos, chegando-se à conclusão que

a auditoria em TI deve ser conduzida como um projeto multidisciplinar, agregando os vários

setores da casa, pois a SINF detém o conhecimento das ferramentas e aspectos diretamente

relacionados com a informática, mas carece do conhecimento do “negócio”, ou seja, como

confrontar informações e obter indícios de falhas a serem apontadas.

Foi sugerido como escopo inicial de implantação de uma metodologia de auditoria em TI

um projeto piloto, envolvendo um órgão representativo da esfera estadual e outro da esferamunicipal.

Também se sugeriu a adoção de uma metodologia de avaliação de riscos, para identificar

os órgãos passíveis de auditoria na área de TI.

3.7 Proposta de aperfeiçoamento do sistema de auditorias da área municipal no âmbito doTCE-RS

Visando superar a capacidade de realização de auditorias in loco em todos os municípios

do RS, levando em consideração as condições quantitativas do quadro de pessoal, tempo hábil

para avaliação das matérias das auditorias e um nível adequado de qualidade, foi apresentada pela



34

Direção de Controle e Fiscalização (DCF) do TCE-RS, em julho de 2008, uma proposta de

aperfeiçoamento do sistema de auditorias no âmbito municipal.

Referida proposta faz uso de uma matriz de risco no âmbito do Serviço de Auditoria da

Área Administrativa e Social (SAAS) e Serviço de Auditoria da Área de Economia, Finanças e

Infra-estrutura (SAEFI), capaz de introduzir, através de critérios baseados em aspectos de

materialidade, relevância e criticidade, mecanismo de mensuração do grau de risco de ocorrência

de irregularidades associado a cada jurisdicionado, podendo assim, de forma criteriosa,

identificar, a cada exercício, os jurisdicionados que apresentam grau de risco mais elevado e os

de risco mais baixo.

Também é levado em consideração que muitos dos jurisdicionados já estão submetidos,

além do controle externo exercido pelo TCE, a controles efetuados pela Contadoria e Auditoria

Geral do Estado, Banco Central, Comissão de Valores Mobiliários e/ou Auditorias

Independentes, os quais configuram mecanismos de controle interno superiores aos existentes no

âmbito municipal.

Para que seja possível a implementação desta proposta, o uso de sistemas informatizadosdo TCE-RS, bem como dados obtidos dos sistemas informatizados dos auditados serão utilizados

de forma intensiva para emissão do relatório de auditoria.

3.8 Auditoria em TI em outros TCs

Através de levantamento feito via contatos com integrantes do grupo de TI doPROMOEX, solicitando informações a respeito de existência de processo de auditoria em TI, foi

possível verificar que esta prática ainda não está consolidada. A exceção do TCU, TCE-PE e

TCE-PR, nenhum outro TC enviou resposta, ou possui em seu site documentação ou referência à

auditoria na área de TI.



35

3.8.1 Experiência do Tribunal de Contas do Estado de Pernambuco

O Tribunal de Contas do Estado de Pernambuco (TCE-PE) possui área responsável pela

auditoria de TI. A Gerência de Auditoria de Tecnologia da Informação (GATI), subordinada a

Coordenadoria de Tecnologia da Informação (CTI).

Segundo material enviado pelo TCE-PE (Anexo 1), em resposta a pesquisa realizada pelo

TCU em 2007, o GATI possui quatro pessoas alocadas na área de auditoria em TI, atuando

especificamente nas áreas de aquisição e contratação de bens e serviços de TI (30 auditorias

como média anual), segurança, sistemas de TI e/ou auditoria de dados (duas auditorias como

média anual) e acompanhamento da execução contratual de bens e serviços de informática (duas

auditorias como média anual).

A área de atuação mais efetiva do GATI é a de fiscalização e controle preventivo de

licitações, possuindo inclusive um roteiro específico para esta área.

Na parte de segurança em sistemas de informação, o TCE-PE possui checklists baseadosna norma ISO/IEC 17799 (Anexo 2), conforme figura 6.

Figura 6: Exemplo de checklist utilizado no TCE-PE



36

Através de contato via e-mail (Anexo 3) com o Sr. Eury Pacheco Motta Júnior, integrante

do GATI, solicitou-se que fossem respondidas questões a respeito da atuação do GATI para ummelhor entendimento do papel daquela gerência no processo de auditoria tradicional.

Transcrevemos abaixo as perguntas e respostas:

Pergunta: Para que eu possa entender melhor o funcionamento do GATI e do próprio

processo de autoria, poderias me dar uma visão de como funciona a auditoria de TI dentro do

plano operativo de vocês?

Resposta: A partir deste ano começamos a trabalhar da seguinte forma, elaboramos um

estudo para identificar as auditorias de TI de maior relevância, o trabalho foi feito junto com a

CCE (Coordenadoria de Controle Externo) que é a área responsável por toda a parte de controle

externo. Com base nas auditorias sugeridas pelo estudo priorizamos 3 para o ano de 2008 e outras

4 estão planejadas para 2009. O modelo que pretendemos alcançar prevê ainda que as equipes de

auditoria “tradicionais” (auditores de contas públicas) atuem sugerindo auditorias de TI a partir

das situações (sistemas e ambientes) identificadas no trabalho de campo. Estas sugestões serão

priorizadas de acordo com a relevância.

Pergunta: A auditoria de compliance (checklists) é feita pelo GATI ou pelos auditores de

campo tradicionais (contadores, advogados)?

Resposta: As auditorias de TI são feitas pelos analistas de sistemas da GATI.

Dependendo do escopo da auditoria pode ser necessário montar uma equipe multidisciplinar. Por

exemplo: uma auditoria de sistema de informação onde seja necessário avaliar a aderência das

regras de negócio do sistema às legislações aplicáveis. Neste caso seria indispensável o

conhecimento da legislação aplicável, se for muito específica e complexa seria necessária a

participação de um auditor com conhecimento sobre a mesma.

Pergunta: A auditoria de compliance é feita em todos os auditados ou por amostragem?

Resposta: Os trabalhos de auditoria são planejados em conjunto com a área responsável

pelo controle externo (CCE – Coordenadoria de Controle Externo) sendo escolhidos os sistemas e



37

ambientes considerados mais relevantes (folha de pagamento do estado, bases de dados de

aposentados e pensionista do estado, sistema de distribuição de medicamentos, sistema de pregãoeletrônico, etc.). Nossa equipe ainda é pequena (a área possui apenas 4 pessoas), então a nossa

capacidade operativa não é muito grande, e além de auditorias, fazemos acompanhamento de

processos licitatórios e de contratos de TI.

Pergunta: As entrevistas são feitas pessoalmente ou as informações são impostadas via

sistema?

Resposta: As entrevistas são sempre necessárias. Algumas vezes, quando o escopo da

auditoria envolve sistemas pode ser necessário fazer testes no mesmo, remotamente ou in loco, a

depender do sistema. Algumas vezes recebemos informações em formato eletrônico,

normalmente bases de dados, sempre enviadas em alguma mídia (CD ou DVD) pelo

jurisdicionado.

Pergunta: O não cumprimento de itens do checklist gera algum tipo de falha?

Resposta: As deficiências que encontramos muitas vezes estão relacionadas à não

utilização de boas práticas sugeridas por padrões (referências) como COBIT, ITIL, Normas ISO,

dentre outros, o que não implica em uma irregularidades do ponto de vista legal. Mas as

recomendações apontadas pela equipe podem virar determinações se assim entender o pleno do

TCE no julgamento.

Importante mencionar alguns resultados obtidos através de pesquisa sobre Governança deTI realizada pelo Sr. Luiz Carlos de Oliveira, auditor do TCE-PE (Anexo 4), para sua dissertação

de mestrado. A pesquisa de campo contou com respostas de grande parte dos TCEs do Brasil



38

Figura 7: Escopo de atuação de TI no controle externo

Podemos constatar através de observação da figura 7, que a grande maioria das respostas

(57.1%) aponta para um uso mínimo da estrutura de TI no controle externo, não existindo setor

específico para auditoria em TI nos TCEs. Dos poucos TCEs que realizam auditoria em TI, seja

sob demanda ou através de planejamento, somente 9.5% possui setor destinado para este fim

específico.

Figura 8: Importância do gerenciamento de risco nos TCEs

Outra estatística interessante obtida na pesquisa realizada pelo Sr. Luiz Carlos de Oliveira,

vide figura 8, foi que os TCEs consideram importante o uso de gerenciamento de risco como

ferramenta para governança de TI (76,2%).



39

3.8.2 Experiência do Tribunal de Contas da União

O Tribunal de Contas da União (TCU) é órgão de referência na área de controle externo,

atuando na área de auditoria em TI desde 1994, quando realizou sua primeira auditoria

especificamente nesta área. Na figura 9, retirada de apresentação (Anexo 5) feita pelo Sr. André

Luiz Furtado Pacheco, auditor de TI do TCU, no Congresso Nacional de Auditoria de Sistemas e

Segurança da Informação (CNASI) em 2007, podemos visualizar histórico do TCU na atuação

em auditoria em TI.

Figura 9: Histórico de Auditoria em TI no TCU

Preocupado com a crescente utilização da Informática pela administração pública e a faltade fiscalização adequada nesta área, o TCU criou a Secretaria de Fiscalização de TI (SEFTI) em

2006, conforme podemos ver através de trecho retirado da página do TCU sobre a história da

SEFTI, a criação de área especializada em auditoria de TI é de suma importância na execução do

controle externo.

Dada a importância estratégica da área de Tecnologia da Informação - TI, aexpressiva materialidade tanto das aquisições relacionadas à tecnologia da informaçãoquanto dos recursos geridos por meio de sistemas informatizados no Governo Federal, e



40

o uso cada vez mais crescente da tecnologia da informação para manipulação earmazenamento de dados da Administração Pública Federal, introduzindo novos riscos e

aumentando a fragilidade de algumas atividades, o Tribunal de Contas da União contacom a Secretaria de Fiscalização de Tecnologia da Informação - Sefti, como unidadeespecializada na área.

Essa secretaria especializada, criada em agosto de 2006 para fiscalizar a gestão eo uso de recursos de TI na Administração Pública Federal, conduz trabalhos específicosem Fiscalização de Tecnologia da Informação e serve de suporte às demais Secretariasdo Tribunal, atuando, sempre que solicitada, em uma estrutura matricial de fiscalização.Além disso, elabora e dissemina metodologias, manuais e procedimentos paraplanejamento e execução de fiscalizações de tecnologia da informação, visando maiorqualidade dos trabalhos de fiscalização nessa área.

Sua Diretoria de Auditoria de Tecnologia da Informação tem a atribuiçãoprecípua de coordenação e realização de fiscalizações da governança de Tecnologia daInformação, nos sistemas informatizados da Administração Pública, nas iniciativas degoverno eletrônico e na gestão dos recursos de tecnologia da informação, enquanto que aDiretoria de Aquisições em Tecnologia da Informação tem a missão de coordenação erealização de fiscalizações em editais de licitação, em contratos e em processos deaquisições diretas, todos afetos à tecnologia da informação.

Na figura 10 podemos verificar a estrutura organizacional da SEFTI.

Figura 10: Estrutura organizacional da SEFTI

Outro dado relevante retirado da apresentação realizada pelo Sr. André Luiz Pacheco

Furtado foram as principais normas e padrões utilizados para auditoria em TI. Conforme

podemos verificar na figura 11.



41

Figura 11: Normas e padrões utilizados pelo TCU

A auditoria em TI no TCU é realizada através da atuação dos auditores em três níveis:

Auditores Generalistas, Auditores da TI e Especialistas em TI. As auditorias seguem a seguinte

abordagem:

• Auditoria de sistemas: Auditoria de conformidade e/ou operacional em sistemas

informatizados de uma organização;

• Auditoria de gestão de tecnologia da informação: Auditoria para avaliação da

gestão dos recursos de TI de uma organização;

• Auditoria de dados: Auditoria em bases de dados com a utilização de ferramentas e

técnicas de tratamento de dados;

• Auditoria em aquisições de TI: Auditoria em processos de aquisição e

acompanhamento de contratos de TI;

• Auditoria em política de governo na área de TI: Auditoria em políticas ou

programas de governo na área de TI, considerando sua eficácia, eficiência,

economicidade e efetividade.



42

O método de auditoria de TI utilizado pelo TCU é composto por fases (levantamento,

planejamento, execução, elaboração do relatório e monitoramento), utilizando-se de montagemde matrizes de planejamento, procedimentos e achados, além de técnicas de auditoria de

conformidade e auditoria operacional. Este método é ilustrado na figura 12.

Figura 12: Método de auditoria em TI utilizado pelo TCU

A matriz de planejamento é o instrumento utilizado para se organizar as informações

relevantes do planejamento de uma auditoria. Permite homogeneizar o entendimento da equipe e

demais envolvidos quanto ao objetivo do trabalho, passos a serem seguidos e estratégia

metodológica a ser adotada, orientando os integrantes da equipe nas fases de execução e deelaboração do relatório. O principal objetivo da matriz de planejamento é enunciar de forma clara

e resumida o aspecto a ser enfocado pela auditoria, de acordo com o levantamento de auditoria

previamente realizado. Passos para a elaboração da matriz de planejamento:

• Elaborar o objetivo da auditoria, após o diagnóstico da situação, e determinar a linha

de investigação, mediante a formulação das questões de auditoria;



43

• Determinar, para cada questão de auditoria, possíveis achados, ou seja, onde se deseja

chegar com a investigação;

• Identificar as informações requeridas e onde as obter;

• Escolher as estratégias metodológicas para responder as questões de auditoria;

• Escolher os métodos de coleta e análise de dados que serão empregados;

• Identificar fatores que possam representar obstáculos (limitações) ao trabalho.

Figura 13: Exemplo de matriz de planejamento.

Através da matriz de procedimentos será detalhado passo a passo o processo de

fiscalização na forma de itens a serem executados, contendo questões de auditoria,

procedimentos, objeto e achado. O principal objetivo da matriz de procedimentos e enunciar de

forma clara e resumida o objetivo da auditoria. Na figura 14 um exemplo de matriz de

procedimentos.



44

Figura 14: Exemplo de matriz de procedimentos.

A matriz de achados encaminhará o fechamento da auditoria. Através dela será

evidenciada a situação encontrada, o achado, o critério, a evidência, a causa, o efeito e o

encaminhamento (recomendações) com relação à auditoria efetuada. O principal objetivo da

matriz de achados é evidenciar os resultados da auditoria e as recomendações para corrigir

eventuais irregularidades.

Figura 15: Exemplo de matriz de achados.



45

3.8.3 Experiência do Tribunal de Contas do Estado do Paraná

Através de contato mantido com a Dra. Tatianna Cruz Bove, auditora, foi possível saber

que existe atuação na área de auditoria em TI no TCE-PR.

Apesar de acenar com a possibilidade de envio de material para este trabalho, este fato

não se concretizou, mas de qualquer forma é importante o registro que o TCE-PR atua na área de

auditoria em TI e pode vir a ser fonte de consulta para aumento de experiência na forma de

auditar esta área.

Cabe mencionar importante iniciativa daquele Tribunal de Contas no sentido de tentar

tornar mais acessível as informações referentes aos resultados das auditorias através da criação de

um portal de controle social, conforme pode-se verificar na figura 16.

Figura 16: Portal de controle social (http://www.controlesocial.pr.gov.br/)



46

4 AUDITORIA EM TI – PROPOSTAS DE IMPLEMENTAÇÃO NO TCE-RS

Percebe-se, através dos relatos obtidos em reuniões realizadas com servidores do TCE

diretamente relacionados com o processo de auditoria tradicional, que a necessidade de

implementação de auditoria em TI no ambiente do TCE-RS é uma necessidade premente.

Apesar do acesso obtido às informações enviadas pelos entes auditados através do

programa SIAPC, resta desconfiança sobre como estes dados são gerados. Como o objeto final de

envio são arquivos texto, estes podem sofrer algum tipo de manipulação, seja através deprogramas conversores de planos de contas ou outros programas de adequação, ou mesmo edição

manual destes arquivos.

Outra preocupação existente é a de que a auditoria em TI seja mais um entre tantos itens

hoje trabalhados pelos auditores de campo. A auditoria em TI deverá servir como auxílio para

redução de auditoria in-loco. Um roteiro básico para auditores que não são da área de TI deverá

ser elaborado para utilização das equipes de auditoria tradicional.

Através do relato de experiências de outros Tribunais de Contas é possível verificar que a

auditoria em TI, devido a sua complexidade e amplo foco de abordagem exige a montagem de

estrutura própria para este fim. Auditores formados na área e com cursos de especialização e

atualização precisam “pensar” o processo de auditoria, montando matrizes que auxiliarão neste

processo, a exemplo do que hoje acontece no TCU.

O atendimento a este item é de suma importância para o sucesso da auditoria em TI noTCE-RS, pois não se pode esperar que os auditores das equipes de desenvolvimento e suporte à

rede adicionem mais esta tarefa as que hoje já executam e consigam atender a todas as demandas

de forma satisfatória.

Partindo-se da premissa que os dados obtidos dos sistemas informatizados dos

jurisdicionados é base fundamental para a realização do processo de auditoria, e que o ambiente

informatizado existente nestes órgãos deve ser confiável e controlado, podemos vislumbrar a



47

necessidade de um controle interno atuante e com conhecimentos necessários para a garantia

destes quesitos.

Para que o controle interno dos auditados possa ter atuação efetiva, é necessário que

conhecimentos nesta área sejam fornecidos, visando padronizar uma forma de atuação e de

controle. Neste aspecto a utilização de estrutura de EAD por parte do TCE-RS para fornecer estes

conhecimentos é essencial, pois a atuação de forma proativa e educativa refletirá no processo de

controle externo, facilitado por um controle interno atuante.

O uso de técnicas de gerenciamento de riscos, que estão diretamente relacionadas com a

área de controle interno, também poderia ser matéria a ser desenvolvida através do uso de EAD

contribuindo para garantir um ambiente confiável nos órgãos auditados.

A partir de um controle interno atuante, com conhecimentos necessários para a execução

de seu serviço, haveria um cenário propício para o uso de auditoria de compliance.

A utilização das normas ABNT NBR ISSO/IEC 27001 e 17799, a exemplo dos checklistsdo TCE-PE, além de outros requisitos exigidos pelo TCE-RS através de legislação, serviriam

para a formação de quesitos de atendimento obrigatório e passíveis de auditoria, formando a base

para o checklist a ser aplicado.

A coleta das informações dos quesitos a serem atendidos seria feita através de sistema

informatizado, a exemplo do que hoje é feito via o sistema de Manifestação do Controle Interno

(MCI), e a coleta de evidências seria feita in-loco no processo de auditoria tradicional. A emissãode documento comprovando a aderência ao “compliance do TCE-RS” seria uma das certificações

a ser buscada pelo auditado e um primeiro nível de auditoria em TI a ser realizado pelo TCE-RS,

não exigindo neste primeiro momento a atuação de auditores especialistas nesta área.

A análise de contratos e processos licitatórios na área de TI seria uma outra área onde

auditores de TI poderiam atuar, a exemplo do que hoje acontece no TCE-PE, que inclusive possui

manual criado exclusivamente para esta finalidade e do TCU, que também atua de forma efetiva



48

neste processo através de sua Diretoria de Fiscalização de Aquisições em Tecnologia da

Informação (DEFTI).

Ferramentas de BI e data mining poderiam ser utilizadas para cruzamento de informações

em cima dos dados fornecidos pelos auditados, seja através do SIAPC ou requisições, e acesso à

base de dados de outras instituições, tais como Bancos e Junta Comercial, entre outras, para

montagem das matrizes de planejamento, procedimentos e achados de auditoria, levantando

indícios que seriam comprovados in-loco pelas equipes de auditoria em campo. Seria a

implementação da “Malha Fina” do TCE-RS.

A necessidade de atuação em auditorias que envolvam análise de dados ou de sistemas

utilizados pelos auditados seria feita por auditores especialistas, que devido ao seu perfil técnico

não fariam parte de equipes de auditoria tradicional e teriam seu trabalho requisitado quando

preciso. Estes auditores além da formação técnica em TI também deveriam possuir certificações

na área de auditoria e conhecimentos em forense computacional.

Poderíamos resumir a auditoria em TI em fases, que poderiam ocorrer de formaconcomitante com o processo de auditoria tradicional. A metodologia a ser utilizada seria a de

criação de matrizes de planejamento, procedimentos e achados, utilizada pelo TCU. Estas fases

seriam:

1. Planejamento da Auditoria: Seriam utilizados dados obtidos através da “Malha

Fina” do TCE-RS, dados retirados do sistema MCI, denúncias recebidas pela

ouvidoria e matriz de risco elaborada pelos setores de auditoria municipal para amontagem das matrizes de planejamento e procedimentos;

2. Execução: As evidências relativas aos dados obtidos para o processo de auditoria

seriam verificadas durante o processo de auditoria in-loco, não necessariamente por

auditores especialistas em TI, que seriam solicitados se necessário, e serviriam para a

montagem da matriz de achados.



49

3. Relatório: Nesta fase os dados retirados da matriz de achados seriam relatados e as

recomendações para sanar possíveis falhas seriam efetuadas.

Além destas fases, que ocorreriam dentro do plano operativo de auditoria, ainda haveria a

necessidade de atuação nas áreas de aquisições em TI, analisando e acompanhando os contratos

que forem feitos nesta área e também do atendimento de auditorias específicas e pontuais que

envolvam análise de dados obtidos em sistemas dos auditados.



50

5 CONCLUSÃO

Neste trabalho foram abordados aspectos relevantes referentes à auditoria em TI,

trazendo-se conceitos necessários ao entendimento da proposta de implementação no processo de

auditoria do TCE-RS.

Resultados de entrevistas realizadas com auditores do TCE-RS e com fornecedores de

ferramentas passíveis de utilização em auditoria de TI foram relatadas, bem como experiências de

outros Tribunais que hoje já atuam nesta área.

Em capitulo específico, os conceitos abordados e os relatos de experiências e entrevistas

foram transformados em sugestões de como se implementar auditoria em TI no processo de

auditoria do TCE-RS.

Espera-se que as informações aqui contidas auxiliem na implementação e implantação da

auditoria em TI nas ações já existentes no Planejamento Estratégico do TCE-RS e no

PROMOEX, servindo talvez como documento inicial para aprimoramento de uma solução

institucional.



51

6 BIBLIOGRAFIA

1 BRASIL, Tribunal de Contas da União. Manual de Auditoria de Sistemas. Brasília: TCU,Secretaria de Auditoria e Inspeções, 1998.

2 IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005

3 RAMOS, Anderson (org.). Security Officer 1 - Guia Oficial para Formação de Gestores emSegurança da Informação. Rio Grande do Sul: Zouk, 2006

4 WIKIPÉDIA. Business Intelligence. Disponível em: <http://pt.wikipedia.org/wiki/Business_intelligence >. Acesso em 6 abr. 2008

5 NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A. Recovering andExamining Computer Forensic Evidence. Forense Science Communications. 2000

6 WIKIPÉDIA. Mineração de Dados. Disponível em: <http://pt.wikipedia.org/wiki/Data_mining>. Acesso em 7 abr. 2008

7 PORTELA, Alexandre. Controle Interno Nas Organizações Públicas. Disponível em:<http://www.artigos.com/artigos/sociais/administracao/controle-interno-nas-organizacoes-publicas-2007/artigo/>. Acesso em 16 jul. 2008

8 COSO. Guidance on Monitoring Internal Control Systems. Volume III – ApplicationTechniques. Disponível em: <http://www.coso.org/documents/VolumeIII-ApplicationTechniques.pdf>. Acesso em 14 set. 2008

9 MORAN, José Manuel. O que é educação à distância. Disponível em:<http://www.eca.usp.br/prof/moran/dist.htm>. Acesso em 6 set. 2008



ANEXO 1



Tribunal de Contas da União FORMULÁRIO

OBJETIVO DA PESQUISA

Levantar informações para a Secretaria de Fiscalização de Tecnologia da Informação – Sefti.

ENTIDADETribunal de Contas do Estado de Pernambuco

DATA07/06/2007

RESPONSÁVEL (Favor indicar uma pessoa que possa esclarecer possíveis dúvidas sobre o assunto, indicando nome, função,telefone e correio eletrônico)Regina Claudia de Alencar Ximenes – Chefe da Gerência de Auditoria de TI – (81)3413-7878 –[email protected]

Item 1) A entidade executa fiscalizações de TI?

( x ) sim;( ) não.

Se sim, informe quantos servidores se dedicam a essa atividade e quantas fiscalizações de TI,em média, são realizadas pela entidade por ano:

Quantidade de servidores alocados: 4Média de fiscalizações de TI / ano:

Áreas MédiaAnual

Aquisição e contração de bens e serviços de TI 30

Segurança, Sistemas de TI e/ou auditoria de dados 2Acompanhamento da execução contratual de bens eserviços de TI

2

Marque as áreas de atuação em fiscalização de TI da sua entidade:( x ) aquisição e contratação de bens e serviços de TI;( ) governança de TI;( x ) segurança da informação;( x ) análise e verificação de consistência de dados;( ) avaliação do desempenho de sistemas de TI (eficiência, eficácia e efetividade);( x ) outras. Citar quais: avaliação de conformidade de sistemas; acompanhamento daexecução contratual de bens e serviços de TI.

Favor apontar os trabalhos de fiscalização de TI mais relevantes e enviar cópias por meioeletrônico dos relatórios ou extratos dos trabalhos executados pela entidade.

Até a presente data, já foram realizadas cerca de 190 fiscalizações, concernentes aocontrole preventivo das licitações, envolvendo um montante da ordem de R$ 311.000.000,00 (trezentos e onze milhões de reais) com despesas referentes à aquisição de bens e serviços de

TI. Também já foi realizado o acompanhamento de 6 (seis) contratos de TI, vigentes em trêsórgãos públicos estaduais, que totalizam uma despesa da ordem de R$ 28.000.000,00 (vinte eoito milhões reais) e foram realizadas 8 (oito) auditorias de sistemas, sendo 4 (quatro) emsistemas de Folha de Pagamento (entre eles o SAD-RH -Folha de Pagamento do Estado), 3



(três) em sistemas de compras eletrônicas (Pregão Eletrônico), dentre estes os sistemas do Banco Real e o do Banco do Brasil, utilizados pela Administração Direta e Indireta do Estado,respectivamente (http://www.redecompras.pe.gov.br/), e uma auditoria no sistema SIAGEM -Sistema Integrado de Administração de Materiais e Serviços para Estados e Municípios. Aseguir destacamos os trabalhos mais recentes em cada área.

Nome do trabalho Descrição do trabalho com os resultados alcançados

Auditoria do Sistema dePregão Eletrônico daPref. Ipojuca

Auditoria de TI visando inspecionar as rotinas e os mecanismos decontrole de execução inerentes ao sistema Pregão On-line (sitewww.pregaoonline.com.br) utilizado pela Prefeitura Municipal deIpojuca, em decorrência de contrato firmado para este fim com aempresa Amplo Comércio e Serviços Ltda., desenvolvedora emantenedora do referido sistema.

Auditoria deAcompanhamento de

Contratos - UPE

Auditoria de acompanhamento da execução de contratos de TI.Ref.: Contrato nº. 038/2005, celebrado pelo Hospital Universitário

Oswaldo Cruz – HOUC. Período auditado: 06/09/2006 a 29/09/2006.Auditoria deAcompanhamentoContratos - ATI

Auditoria de acompanhamento da execução de contratos de TI.Ref.: Contrato nº. 006/2004 , da Agência Estadual de Tecnologia daInformação – ATI. Período auditado: 22/02/2007 a 19/03/2007.

Auditoria deAcompanhamento –Edital de licitação daPref. Ipojuca

Análise prévia do Edital de Concorrência nº 010/2006, que temcomo objeto a contratação da licença de uso, implantação,estruturação das bases de dados, capacitação, manutenção eprestação de garantia de um conjunto de sistemas aplicativoscontemplando a gestão orçamentária e contábil, receitas municipais,

recursos humanos, patrimônio, almoxarifado, compras e licitações,frota, saúde, educação, ouvidoria, banco de leis do município,tramitação de processos, ação social, um sistema de emissão derelatórios gerenciais para o Gabinete do Prefeito e o serviço degerenciamento da infra-estrutura de processamento da PrefeituraMunicipal de Ipojuca/PE afeita ao conjunto de sistemas acima. Oprazo previsto para a contratação é de 12 meses e o valor estimado éde R$ R$ 2.334.803,50.

Auditoria deAcompanhamento –Edital de licitação da

Secretaria de Saúde

Análise prévia do processo licitatório nº. 068.2006.IV.CC.005.SES,(Concorrência nº. 005/2006), do tipo técnica e preço, promovido pelaSecretaria de Administração e Reforma do Estado para a Secretaria

Estadual de Saúde,

que tem como objeto a “contratação de empresaespecializada para o fornecimento de serviços técnicosespecializados em informática e gestão”. Valor estimado: R$9.432.000,00.



Item 2) A entidade possui unidade técnica especializada para execução de fiscalizações de TI?( x ) sim;( ) não.

Se sim, favor informar o nome da unidade e os normativos que definem sua competência legal,

encaminhando cópias desses documentos por meio eletrônico.

Gerência de Auditoria de Tecnologia da Informação – GATI, subordinada à Coordenadoria de Tecnologia da Informação - CTI

Competências (constantes do Manual de Organização pendente de aprovação pelo Pleno)

Cabe à Gerência de Auditoria de Tecnologia da Informação:

I- planejar, em conjunto com a Coordenadoria de Controle Externo, coordenar e executar oacompanhamento técnico-financeiro da aplicação de recursos públicos na área de tecnologia dainformação por parte dos órgãos jurisdicionados;

II- planejar, em conjunto com a Coordenadoria de Controle Externo, coordenar e executar auditoria deambientes e sistemas computacionais dos jurisdicionados;

III- planejar, em conjunto com a Coordenadoria de Tecnologia da Informação, coordenar e executarauditoria de ambiente e sistemas computacionais internos;

IV- analisar e emitir laudos técnicos nos processos de matéria de tecnologia da informação encaminhados pelos Gabinetes de Conselheiros, Órgãos Especiais ou pela Coordenadoria de Controle Externo;,

V- desenvolver produtos e atividades com a finalidade de orientar os órgãos fiscalizados pelo Tribunalsobre a contratação e execução de contratos de bens e serviços de tecnologia da informação;

VI- emitir parecer técnico para subsidiar o processo interno de contratação de bens e serviços deinformática.

• Atribuições:

Compete ao Gerente de Auditoria de Tecnologia da Informação:

I- gerenciar as atividades e os recursos disponíveis, de forma a atender as competências da Gerência eoutras compatíveis com sua área de atuação, observando o cumprimento da legislação específica;

II- elaborar, com a participação dos servidores da Gerência, o Plano Operativo Anual de sua unidadeorganizacional, em conformidade com os Planos Estratégico e de Gestão, monitorando ocumprimento das metas estabelecidas, propondo ajustes e avaliando resultados por meio deindicadores de desempenho;

III- desenvolver e executar, junto à sua equipe, projetos voltados ao aperfeiçoamento de procedimentos erotinas de sua área de atuação;

IV- assistir os processos de criação e implementação dos sistemas informatizados da Gerência;V- identificar necessidades e propor condições para um melhor desempenho e integração da equipe,

com ênfase no processo de capacitação dos servidores lotados na Gerência;

VI- realizar as avaliações de desempenho funcional de sua responsabilidade;VII- supervisionar a freqüência e a escala de férias dos servidores lotados na Gerência;supervisionar o controle dos materiais e bens patrimoniais sob sua responsabilidadeVIII- supervisionar o controle dos materiais e bens patrimoniais sob sua responsabilidade;

IX- elaborar e remeter ao Coordenador relatórios trimestrais e anual de atividades da Gerência nos prazos e modelo estabelecidos;

X- observar o cumprimento dos provimentos da Corregedoria Geral e das recomendações do Controle Interno, referentes à sua unidade organizacional.



Item 3) A entidade utiliza documentos para orientar as fiscalizações de TI?( x ) sim;( ) não.

Se sim, favor marcar os tipos utilizados, citando os documentos e enviando cópias por meio

eletrônico, se possível:

( x ) Coletânea de normas ou boas práticas aplicadas a fiscalizações de TI; (COBIT, Normas ISO 17799; ISO 15408 (PA em elaboração))( ) Portfólio de ferramentas automatizadas de assistência a auditorias;( x ) Procedimentos, manuais ou modelos de relatório que norteiam as fiscalizações de TI;(Roteiro para auditoria de TI; Roteiro para auditoria de contratos; PA-Segurança Física e

Ambiental;PA-Segurança em sistemas;PA-Backup; PA-Vírus; PA-Licitação de TI- Geral; PA- Licitação de serviços de desenvolvimento; PA-Pregão ePA-Contrato.( ) Modelo de controle de qualidade dos produtos de fiscalização de TI;( x ) Outros. Citar quais: até o momento, as auditorias de dados foram realizadas utilizando a

ferramenta MS-Access

Item 4) A instituição adota modelos de mapeamento e desenvolvimento de competências paraprofissionais que atuam em fiscalizações de TI (plano de capacitação, cursos, treinamentos,certificações e outros)?( x ) sim; ( ) não.

Se sim, favor informar quais, encaminhando cópias desses modelos por meio eletrônico.

Treinograma de Azoubel.

Item 5) A instituição tem interesse de atuar em futuras fiscalizações de TI em conjunto com oTCU?( x ) sim;( ) não.Comentários:

O TCE-PE já trabalhou em conjunto com o TCU na auditoria do sistema SIPIA e teminteresse em realizar outras auditorias, no sentido de aprimorar o seu modelo de fiscalizaçãode TI.

Auditorias de TI conjuntas em objetos para os quais haja ou tenha havido o repasse deverbas federais através de convênios, por exemplo, seriam de interesse comum tanto para oTCU como para o TCE-PE.

Se sim, favor apontar possíveis trabalhos conjuntos de fiscalização de TI, caso essasinformações não sejam sigilosas: Tema/área(governança,

segurança dainformação etc.)

Entidade a ser

auditada

Período

provávelComentários sobre o trabalho



Item 6) Favor utilizar este espaço caso queira oferecer sugestões, opiniões ou outras

informações que considere relevantes.

• Sugere-se que as respostas e os documentos recebidos pelo TCU, como resultado desta pesquisa, sejam divulgados e disponibilizados para todas as entidades colaboradoras(uma opção seria a disponibilização de todo o material, para fins de download, no

próprio site do TCU). Importante, inclusive, que o próprio TCU também preencha o formulário e compartilhe suas informações e o material de que dispõe (Programas deauditoria, manuais, plano de capacitação, etc.) com os demais TCEs e TCMs.

• Sugere-se também a criação de uma lista de discussão ou fórum do qual poderiam participar servidores dos TCs que realizam auditorias de TI ou que tenham interesse no

assunto.



ANEXO 2



























ANEXO 3



Frederico Henrique Goldschmidt Neto

De: Eury Pacheco Motta Júnior [[email protected]]

Enviado em: terça-feira, 2 de setembro de 2008 08:13

Para: Frederico Henrique Goldschmidt Neto

Cc: Nelson Barreto C. B. de Menezes; Maria Teresa Silva de MouraAssunto: RES: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas

29/10/2008

Prezado Frederico,

Desculpe a demora na resposta, o ritmo de trabalho aqui está bem acelerado. Caso seja necessário maisalguma informações acho melhor você ligar para mim, desta forma terá as respostas mais rapidamente.

Como vocês estão começando, sugiro que vocês estudem e se planejem para que as pessoas que fazemauditoria de TI tirem certificação CISA (Certified Information System Auditor), nós estamos iniciando osestudos para isto. Exige muito estudo e conhecimento em TI para tirar esta certificação, boa parte da equipedo TCU (que audita TI) possui.

Seguem abaixo as respostas às suas perguntas. Estou a disposição caso as respostas não sejam suficientespara esclarecer os pontos levantados.

[]s Eury Motta, Gerência de Auditoria de TI (GATI) 3181-7855 ou 3181-7878.

Para que eu possa entender melhor o funcionamento do GATI e do próprio processo de autoria, poderias medar uma visão de como funciona a auditoria de TI dentro do plano operativo de vocês?

A partir deste ano começamos a trabalhar da seguinte forma, elaboramos um estudo para identificaras auditorias de TI de maior relevância, o trabalho foi feito junto com a CCE (Coordenadoria de

Controle Externo) que é a área responsável por toda a parte de controle externo. Com base nasauditorias sugeridas pelo estudo priorizamos 3 para o ano de 2008 e outras 4 estão planejadas para2009. O modelo que pretendemos alcançar prevê ainda que as equipes de auditoria“tradicionais” (auditores de contas públicas) atuem sugerindo auditorias de TI a partir das situações(sistemas e ambientes) identificadas no trabalho de campo. Estas sugestões serão priorizadas deacordo com a relevância.

- A auditoria de compliance (checklists) é feita pelo GATI ou pelos auditores de campo tradicionais(contadores, advogados ..)?

As auditorias de TI são feitas pelos analistas de sistemas da GATI. Dependendo do escopo daauditoria pode ser necessário montar uma equipe multidisciplinar. Por exemplo: uma auditoria desistema de informação onde seja necessário avaliar a aderência das regras de negócio do sistema àslegislações aplicáveis. Neste caso seria indispensável o conhecimento da legislação aplicável, se formuito específica e complexa seria necessária a participação de um auditor com conhecimento sobre amesma.

- A auditoria de compliance é feita em todos os auditados ou por amostragem?

Os trabalhos de auditoria são planejados em conjunto com a área responsável pelo controle externo(CCE – Coordenadoria de Controle Externo) sendo escolhidos os sistemas e ambientes consideradosmais relevantes (folha de pagamento do estado, bases de dados de aposentados e pensionista doestado, sistema de distribuição de medicamentos, sistema de pregão eletrônico, etc.). Nossa equipe

ainda é pequena (a área possui apenas 4 pessoas), então a nossa capacidade operativa não é muitogrande, e além de auditorias, fazemos acompanhamento de processos licitatórios e de contratos deTI.



- As entrevistas são feitas pessoalmente ou as informações são impostadas via sistema?

As entrevistas são sempre necessárias. Algumas vezes, quando o escopo da auditoria envolvesistemas pode ser necessário fazer testes no mesmo, remotamente ou in loco, a depender do sistema.Algumas vezes recebemos informações em formato eletrônico, normalmente bases de dados, sempreenviadas em alguma mídia (CD ou DVD) pelo jurisdicionado.

- O não cumprimento de itens do checklist gera algum tipo de falha?

As deficiências que encontramos muitas vezes estão relacionadas a não utilização de boas práticassugeridas por padrões (referências) como COBIT, ITIL, Normas ISO, dentre outros, o que nãoimplica em uma irregularidades do ponto de vista legal. Mas as recomendações apontadas pelaequipe podem virar determinações se assim entender o pleno do TCE no julgamento.

De: Regina XimenesEnviada em: quarta-feira, 13 de agosto de 2008 10:38Para: Eury Pacheco Motta Júnior Assunto: ENC: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas

De: Nelson Barreto C. B. de MenezesEnviada em: segunda-feira, 28 de julho de 2008 09:47Para: Regina Ximenes Assunto: ENC: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas

Oi Regina,

Tu respondeste ao questionamento do pessoal do TCE-RS agora ele tem mais perguntas, você poderiaresponder e entrar em contato direto com ele?

Abraços,

Nelson Barreto C B de Menezes Núcleo de Planejamento, Controle Interno eDesenvolvimento Organizacional - NPC Tribunal de Contas de Pernambuco 81-3181.7760

De: Frederico Henrique Goldschmidt Neto [mailto:[email protected]]Enviada em: quarta-feira, 9 de julho de 2008 16:10Para: Nelson Barreto C. B. de Menezes Assunto: RES: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas

Olá Nelson,

Dei uma olhada na documentação que me enviaste e verifiquei que vocês possuem vários checklistsbaseados na 17799, além do manual para análise de contratos de TI.

Para que eu possa entender melhor o funcionamento do GATI e do próprio processo de autoria, poderiasme dar uma visão de como funciona a auditoria de TI dentro do plano operativo de vocês?

- A auditoria de compliance (checklists) é feita pelo GATI ou pelos auditores de campo tradicionais(contadores, advogados ..)?

- A auditoria de compliance é feita em todos os auditados ou por amostragem?- As entrevistas são feitas pessoalmente ou as informações são impostadas via sistema? - O não cumprimento de itens do checklist gera algum tipo de falha?

29/10/2008



Estas seriam algumas perguntas, mas se tivesses um tempo (ou a Regina Ximenes) para gastarescomigo poderias descrever de forma resumida como funciona o processo ai no TCE-PE?

Agradeço mais uma vez a boa vontade em atender este colega do Sul!

[]s Frederico Henrique Goldschmidt Neto Auditor Público Externo - TCE/RS Coordenador - DA-SINF-SRI Fone: 51-32149832

-----Mensagem original-----De: Nelson Barreto C. B. de Menezes [mailto:[email protected]]Enviada em: segunda-feira, 7 de julho de 2008 12:12Para: Frederico Henrique Goldschmidt NetoCc: Programa de Modernização do Controle Externo Assunto: ENC: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas

Prezado Fred,

Envio a resposta do TCE-PE, ao mesmo tempo solicito, se possível a consolidação dessa pesquisaque você está fazendo com todos os TCs.

Abraços,

Nelson Barreto C B de Menezes Coordenador Geral Adjunto - Promoex Tribunal de Contas de Pernambuco – TCE/PE Fone: 81-3181.7760 Fax: 81-3181.7697 [email protected]

De: Regina XimenesEnviada em: segunda-feira, 7 de julho de 2008 11:38Para: Maria Teresa Silva de Moura Assunto:

RES: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas

Teresa,

Em meados de 2007, o TCU realizou pesquisa junto aos TCs para levantamento deinformações acerca da prática/procedimentos de auditoria de TI. O formulário de pesquisarespondido pela nossa Gerência de Auditoria de TI e todo o material solicitado foiencaminhado para TCU, via e-mail. Acredito que o TCU deve dispor de muitas outrasinformações da situação da auditoria de TI nos demais Tribunais de Contas. Seria muito bomque todo esse material fosse divulgado, para conhecimento de todos os interessados!

Em anexo, seguem as nossas respostas ao formulário bem como os arquivos encaminhados.

_________________________________ Regina C. Alencar Ximenes Analista de Sistemas - CTI/GATI Tribunal de Contas de Pernambuco - TCE/PE

----- Original Message -----From: [email protected] To: [email protected] Sent: Tuesday, July 01, 2008 3:10 PM Subject: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas

Prezados Colegas dos TCs,

Nós do TCE-RS estamos iniciando o processo de auditoria em TI/Sistemas. Já realizamos algumas auditorias pontuais, mas ainda carecemos de uma metodologia mais

aprofundada para evoluir nesta matéria, a exemplo do que temos feito em auditoria operacional e

29/10/2008



ambiental. Aproveitando uma das finalidades do PROMOEX, que é o compartilhamento de recursos,

gostariamos de saber se algum TC já possui metodologia/manuais de auditoria em TI/Sistemas e sehaveria possibilidade de compartilhar este conhecimento.

Agradecemos antecipadamente!

[]s

Frederico Henrique Goldschmidt Neto Auditor Público Externo - TCE/RS Coordenador - DA-SINF-SRI Fone: 51-32149832

29/10/2008



ANEXO 4



Page: Importância e Benefícios da Tecnologia da Informação (TI)

1. Do ponto de vista da estratégia corporativa do TCE, quão importante você considera que a TI seja para que as metas dessa estratégia seja

alcançadas?

Nenhuma

importância

Pouca

importância

Não

tenho

certeza

ImportanteMuito

importanteNão sei

Rating

Average

Respon

Count

Grau de importância 0.0% (0) 0.0% (0) 0.0% (0) 9.5% (2) 90.5% (19) 0.0% (0) 4.90

Comente se achar necessário

answered question

skipped question

2. Com que freqüência a TI é incluída na agenda das decisões sobre o negócio do TCE?

Nunca

Às vezes.

Depende do

projeto

Regularmente Sempre Não seiRating

Average

Respon

Count

Freqüência 0.0% (0) 47.6% (10) 33.3% (7) 19.0% (4) 0.0% (0) 2.71


answered question

skipped question

3. Com que freqüência a Tecnologia da Informação no TCE informa sobre oportunidades de negócio proporcionadas por novas tecnologias?

Nunca

Às vezes.

Depende do

projeto

Regularmente Sempre Não seiRating

Average

Respon

Count

Freqüência 4.8% (1) 14.3% (3) 66.7% (14) 14.3% (3) 0.0% (0) 2.90


answered question

skipped question

4. Como você descreve o alinhamento entre a estratégia de TI e a estratégia de negócio do TCE?

Muito

pobrePobre Médio Bom Muito bom Não sei

Rating

Average

Respon

Count

Grau de alinhamento 0.0% (0) 28.6% (6) 38.1% (8) 14.3% (3) 19.0% (4) 0.0% (0) 3.24


answered question

skipped question



Page: Problemas de TI e soluções potenciais

5. Qual o escopo de atuação da TI no controle externo?

Response

Percent

Respon

Count

Atuação restrita ao apoio nas

atividades do controle externo. O

TCE não dispõe de um setor

destinado a auditoria de TI.

57.1% 1

Além do apoio nas atividades do

controle externo, O TCE realiza

autitoria de TI sob demanda, porém

não dispõe de um setor destinado a

auditoria de TI.

23.8%

O TCE dispõe de um setor destinado

a auditoria de TI, mas não existe um

Plano de Auditoria de TI nos

jurisdicionados.

9.5%

O TCE dispõe de um setor destinadoà auditoria de TI e existe um Plano

de Auditoria de TI nos

jurisdicionados.

9.5%

Não sei 0.0%

Comente se achar necessário.

answered question

skipped question

6. Qual o grau de severidade de problemas relativos a TI que você enfrentou nos últimos 12 meses?

Muito sério Pouco sérioSem grau de

severidade

Não Houve

problemaNão sei

Rating

Average

Respon

Count

Alto custo da TI e/ou baixo retorno

de investimento14.3% (3) 19.0% (4) 42.9% (9) 19.0% (4) 4.8% (1) 2.70

Problemas na entrega de serviços de

TI (solução de incidentes e

problemas)

9.5% (2) 57.1% (12) 14.3% (3) 19.0% (4) 0.0% (0) 2.43

Incidentes sérios de operação da TI 14.3% (3) 23.8% (5) 23.8% (5) 38.1% (8) 0.0% (0) 2.86

Incidentes relativos a segurança e

privacidade (pessoas, intrusos, etc.)9.5% (2) 14.3% (3) 19.0% (4) 57.1% (12) 0.0% (0) 3.24

Falta de conexão entre a estratégia

de TI e a estratégia do TCE33.3% (7) 14.3% (3) 38.1% (8) 14.3% (3) 0.0% (0) 2.33

Problemas de terceirização 19.0% (4) 28.6% (6) 14.3% (3) 38.1% (8) 0.0% (0) 2.71

Insuficiência de pessoal 61.9% (13) 23.8% (5) 14.3% (3) 0.0% (0) 0.0% (0) 1.52

Medidas inadequadas para o Plano

de Recuperação de Desastres e para

23.8% (5) 19.0% (4) 23.8% (5) 33.3% (7) 0.0% (0) 2.67



o Plano de Continuidade do Negócio

Pessoal com perfil inadequado 28.6% (6) 33.3% (7) 9.5% (2) 28.6% (6) 0.0% (0) 2.38

Problemas no arquivamento

eletrônico de informações14.3% (3) 33.3% (7) 4.8% (1) 47.6% (10) 0.0% (0) 2.86

Problemas com gerenciamento de

documentos, de conteúdo e com a

gestão do conhecimento

28.6% (6) 28.6% (6) 14.3% (3) 28.6% (6) 0.0% (0) 2.43

A TI não atende nem suporta os

requisitos do negócio do TCE4.8% (1) 23.8% (5) 28.6% (6) 42.9% (9) 0.0% (0) 3.10

Falta de agilidade na solução de

problemas10.0% (2) 25.0% (5) 55.0% (11) 10.0% (2) 0.0% (0) 2.65

Outros (favor especificar) 0.0% (0) 0.0% (0) 0.0% (0) 85.7% (6) 14.3% (1) 4.00


answered question

skipped question

7. Você pode informar as três métricas mais importantes que você usa para avaliar o sucesso da organização da TI? (Exemplos de métricas:

Tempo de resposta a quedas dos sitemas; Disponipilidade dos sistemas; Tempo médio de resposta a incidentes, outras métricas sugeridas

pelo COBIT, etc.)

Response

Percent

Respon

Count

1. 100.0% 1

2. 94.7% 1

3. 84.2% 1

answered question 1

skipped question

8. As práticas de governança de TI no TCE incluem algumas das práticas relacionadas abaixo?

Sim Não

Não são práticas

da governança

de TI

Não seiRating

Average

Respon

Count

Criar as estruturas organizacionais

corretas para direcionar e

supervisionar os recursos de TI

55.0% (11) 25.0% (5) 15.0% (3) 5.0% (1) 1.58

A alta direção revisa os orçamentos

e planejamentos de TI regularmente57.1% (12) 38.1% (8) 4.8% (1) 0.0% (0) 1.48

Os departamentos do TCE

gerenciam o portfólio de projetos deTI apoiados pela Coordenadoria de

Tecnologia da Informação

42.9% (9) 47.6% (10) 9.5% (2) 0.0% (0) 1.67

Os requisitos de recursos de TI são

identificados com base nas90.0% (18) 10.0% (2) 0.0% (0) 0.0% (0) 1.10



Page: Uso de Frameworks de Governança de TI

prioridades do negócio do TCE

Existe um comitê para a estratégia

global de TI23.8% (5) 71.4% (15) 4.8% (1) 0.0% (0) 1.81

Existe um procedimento padrão para

determinar o valor (financeiro e não

financeiro) bem como os riscos para

investimentos em TI

4.8% (1) 90.5% (19) 4.8% (1) 0.0% (0) 2.00

O Diretor Geral informa

pessoalmente sobre os maiores

riscos relacionados a TI e cobra as

ações apropriadas

19.0% (4) 76.2% (16) 4.8% (1) 0.0% (0) 1.86

Existe scorecard para a TI, é

conhecido por todo o TCE e

contempla criação de valor pela TI

14.3% (3) 85.7% (18) 0.0% (0) 0.0% (0) 1.86


answered question

skipped question

9. Você já implementou, está implementando ou considerando a possibilidade de implementar melhores práticas de governança de TI?

Response

Percent

Respon

Count

Não estou considerando a

implementação4.8%

Estou considerando a

implementação57.1% 1

Estou implementando 38.1%

Já implementei 0.0%

Não sei 0.0%


answered question

skipped question

10. Se você não está considerando a implementação de melhores práticas de governança de TI, por favor selecione os motivos

Response

Percent

Respon

Count

Não me parece que a governança deTI seja a solução para os meus

problemas relacionados a TI

0.0%

Não tenho problemas relacionados a

TI 0.0%



Frameworks de governança de TI

são muito difíceis de implementar 0.0%

Falta de informações sobre soluções 0.0%

Falta de especialização para

executar 0.0%

O TCE é muito pequeno 0.0%

Não é uma prioridade no TCE 0.0%

Não existe orçamento previsto 0.0%

Outros (favor especificar) 100.0%

Não sei 0.0%

Comente se acha necessário

answered question

skipped question

11. Quais as soluções/frameworks você usa ou está considerando usar?

Não conheço

Não estou

considerando

usar

Estou

considerando

usar

Estou

usandoNão sei

Rating

Average

Respon

Count

ISO 38500 73.3% (11) 6.7% (1) 13.3% (2) 0.0% (0) 6.7% (1) 1.36 1

Normas do grupo ISO 27000 ou

padrão equivalente para segurança23.5% (4) 11.8% (2) 35.3% (6) 23.5% (4) 5.9% (1) 2.63 1

COBIT 5.9% (1) 11.8% (2) 64.7% (11) 11.8% (2) 5.9% (1) 2.88 1

ITIL/ISO 20000 6.3% (1) 6.3% (1) 62.5% (10) 18.8% (3) 6.3% (1) 3.00 1

IT Balanced Scorecard (BSC) 11.1% (2) 27.8% (5) 44.4% (8) 16.7% (3) 0.0% (0) 2.67 1

Software Engineering Institute

Maturity Model (CMM and CMMI)13.3% (2) 20.0% (3) 40.0% (6) 20.0% (3) 6.7% (1) 2.71 1

PMI, PMBOK 0.0% (0) 22.2% (4) 50.0% (9) 22.2% (4) 5.6% (1) 3.00 1

Outras soluções locais ( favorespecificar)

25.0% (2) 12.5% (1) 0.0% (0) 25.0% (2) 37.5% (3) 2.40

Outras soluções internacionais (favor

especificar)28.6% (2) 14.3% (1) 0.0% (0) 28.6% (2) 28.6% (2) 2.40

Framework desenvolvido

internamente0.0% (0) 10.0% (1) 20.0% (2) 60.0% (6) 10.0% (1) 3.56 1


answered question

skipped question

12. Qual o grau de medição do progresso/desempenho da sua governança de TI?



Page: Perfil Geral da TI

Nenhum grau Algum grau Alto grau Não seiRating

Average

Respon

Count

Grau de medição 25.0% (5) 60.0% (12) 5.0% (1) 10.0% (2) 1.78


answered question

skipped question

13. Qual a importância do gerenciamento de risco para o TCE?

Nenhuma

importância

Pouca

importância

Não

tenho

certeza

ImportanteMuito

importanteNão sei

Rating

Average

Respon

Count

Grau de importância 4.8% (1) 9.5% (2) 9.5% (2) 42.9% (9) 33.3% (7) 0.0% (0) 3.90


answered question

skipped question

14. Quanto de valor você acha que o TCE extrai da TI (ex. melhor relacionamentos com usuários e clientes, melhor gerenciamento de risco,

menor custo)?

Nenhum

valor

Pouco

valor

Não tenho

certeza

Algum

valor

Muito

valorNão sei

Rating

Average

Respon

Count

Valor 0.0% (0) 0.0% (0) 0.0% (0) 47.4% (9) 52.6% (10) 0.0% (0) 4.53 1


answered question 1

skipped question

15. Como você descreve a filosofia d TI no TCE? Ela é …

Response

Percent

Respon

Count

Inovadora (a TI é usada como uma

arma competitiva)19.0%

Funcional (Investe em tecnologias de

líderes de mercado)38.1%

Conservadora (focada em

tecnologias maduras e provadas)42.9%

Não sei 0.0%




Page: Perfil do respondente

answered question

skipped question

16. Quem é o patrocinador da governança de TI dentro do TCE?

Response

Percent

Respon

Count

Presidente do TCE 14.3%

Diretor Geral 14.3%

Coordenador/Diretor de TI 57.1% 1

Coordenador/Diretor Administrativo 9.5%

Coordenador/Diretor do Controle

Externo 0.0%

Ninguém 4.8%

Outros (favor especificar) 0.0%

Não sei 0.0%


answered question

skipped question

17. Como você descreve o nível de envolvimento da Diretoria Geral nas iniciativas de governança de TI?

Baixo

envolvimento

Informada

mas

pouco

envolvida

Participa

das

tomadas

de

decisão

Lidera as

tomadas

de

decisão

Totalmente

responsávelNão sei

Rating

Average

Respon

Count

Grau de envolvimento 23.8% (5) 28.6% (6) 33.3% (7) 4.8% (1) 9.5% (2) 0.0% (0) 2.48

answered question

skipped question

18. Por favor, confirme qual o seu cargo e área de responsabilidade

Respon

Count

1

answered question 1

skipped question



19. Quantos funcionários existem no TCE?

Response

Percent

Respon

Count

Menos que 100 0.0%

101-500 19.0%

501-1.000 61.9% 1

Mais de 1.000 19.0%

Não sei 0.0%

answered question

skipped question



ANEXO 5



Secretaria de Fiscalização de Tecnologia da Informação 1

Auditoria de Tecnologia daInformação

Método para auditar organizações

de qualquer porte

André Luiz Furtado Pacheco, CISA


Graduado em Processamento de Dados pela Universidade

Católica de Brasília; Especializado em Controle Externo pela FGV; Certified Information Systems Auditor – CISA, Auditor de TI, há mais de 14 anos, está lotado na Secretaria de

Fiscalização de Tecnologia da Informação do TCU; Realizou a supervisão e a revisão do Manual de Auditoria de

Sistemas e da Cartilha de Boas Práticas de Segurança da Informaçãodo TCU;

Instrutor de Auditoria de TI nos cursos da Organização Latino-Americana e do Caribe das Entidades de Fiscalização Superior –

OLACEFS e do TCU; Possui larga experiência nas áreas de auditoria, instrução e TI.

André Luiz Furtado Pacheco, CISA




Sumário1. Atuação do TCU

2. Definição de Auditoria de TI

3. Forma de Atuação dos Auditores

4. Principais Normas e Padrões Utilizados

5. Método de ATI do TCU6. Exemplos de Utilização do Método


1.1 Papel do TCU

O Tribunal de Contas da União tem jurisdiçãoprópria e privativa, em todo o território nacional.Julga as contas dos administradores e demaisresponsáveis por dinheiros, bens e valorespúblicos federais, bem como de qualquerpessoa física ou jurídica, pública ou privada,que der causa a perda, extravio ou outrairregularidade de que resulte prejuízo ao Erário.




1.2 Dados do TCU em 2006

Cerca de 3.000 órgãos ou entidades da AdministraçãoPública Federal jurisdicionados; Recebeu 1.546 prestação de contas anuais; Adotou 116 medidas cautelares; Apreciou 127.754 atos de registro de pessoal; Aplicou sanções no valor de R$ 502,6 milhões; Realizou 895 fiscalizações; Gerou benefícios no valor de R$ 2,7 bilhões; Para cada R$ 1,00 gasto, o TCU proporcionou uma

economia de R$ 5,33.


1.3 Histórico da ATI no TCU Curso de Introdução à Auditoria de Sistemas (1992)

Elaboração da 1ª versão do PA (1993) Execução da 1ª Auditoria da TI (1994) Especialização de Divisão Técnica - DIPEA (1996)

Projeto de Desenvolvimento da Auditoria de TI - PDTI -Manual de Auditoria de Sistemas e curso regular de ATI(1997/1998)

Projeto de Auditoria da TI (2001)

Criação da Diretoria de Auditoria da TI - Dati/Adfis (2003) Criação da Secretaria de Fiscalização de TI - Sefti (2006)




1.4 Criação da Sefti

Resolução nº 193 (agosto 2006) realizar fiscalizações que requeiram conhecimento

especializado na área de TI realizar trabalhos de fiscalização e de avaliação de

programas de governo na área de TI fiscalizar a gestão e o uso de recursos de TI pela APF

realizar pesquisas, desenvolver e disseminar métodosem ATI elaborar e aplicar cursos e treinamentos


1.5 Papel da Sefti

Negócio: Controle externo da governança de

tecnologia da informação na Administração PúblicaFederal. Missão: Assegurar que a tecnologia da informação

agregue valor ao negócio da Administração PúblicaFederal em beneficio da sociedade.

Visão: Ser unidade de excelência no controle e no

aperfeiçoamento da governança de tecnologia dainformação.




2. Definição de Auditoria de TI

fiscalização cujo objeto sejaalgum recurso de TI de umaorganização com o objetivo dese verificar sua conformidade àlegislação e às normas aplicadas

e/ou sua eficácia, eficiência,economicidade e efetividade


3. Forma de Atuação dosAuditores

3.1 Três níveis:

Auditores Generalistas

Auditores da TI

Especialistas em TI




3.2 Abordagens• Auditoria de sistemas• Auditoria de gestão de TI• Auditoria de dados• Auditoria em aquisições de TI• Auditoria em política ou programa

de governo na área de TI


Auditoria de Sistemas

auditoria de conformidade e/ouoperacional em sistemasinformatizados de umaorganização




Auditoria de gestão detecnologia da informação

auditoria para avaliação dagestão dos recursos de TI de

uma organização


Auditoria de Dados

auditoria em bases de dadoscom a utilização deferramentas e técnicas detratamento de dados




Auditoria em Aquisições de TI

auditoria em processos deaquisição e acompanhamento de

contratos de TI


Auditoria em Política deGoverno na Área de TI

auditoria em políticas ouprogramas de governo naárea de TI, considerandosua eficácia, eficiência,economicidade e efetividade




4. Principais Normas e

Padrões Utilizados Constituição Federal

Legislação Brasileira

NBR ISO/IEC 17799:2005 –Segurança da Informação

Cobit – Control Objectives forInformation and related Technology


4.1 Constituição Federal

Direitos e Deveres Individuais e Coletivos (Art. 5°) Liberdade de expressão, de crenças Direito de resposta Intimidade, vida privada, honra e imagem Sigilo correspondência, comunicação de dados

Princípios da Administração Pública (Art. 37)

Legalidade, impessoalidade, moralidade,publicidade e eficiência




4.2 Legislação Brasileira Lei 8.112 de 1990 – Regime Jurídico dos Servidores

Públicos Civis da União Lei 8.666 de 1993 – Licitações e Contratos da

Administração Pública Federal Lei 9.100 de 1995 – Crimes Eleitorais Lei 9.609 de 1998 – Proteção da propriedade intelectual

de software

Lei 9.983 de 2000 – Crimes contra a Previdência (alterao Código Penal) Lei 10.520 de 2002 – Institui a modalidade de licitação

Pregão


Decreto-Lei 2.848 de 1940 – Código Penal Decreto-Lei 3.688 de 1941 – Lei das Contravenções

Penais Lei 7.716 de 1989 – Define Crimes Resultantes de

Preconceito de Raça e Cor Lei 8.069 de 1990 – Estatuto da Criança e do

Adolescente




Decreto 1.070 (1994) – Regulamenta a

Contratação de Bens e Serviços de Informáticapela Administração Federal

Decreto 3.505 (2000) – PSI da AdministraçãoPública Federal

Decretos 4.553 (2002) e 5.301 (2004) –Segurança das Informações e DocumentosSigilosos da Administração Pública Federal

Decreto 5.450 (2005) – Regulamenta o pregão,na forma eletrônica, para aquisição de bens eserviços comuns


4.3 Lacunas na LegislaçãoBrasileira

Acesso não autorizado aos sistemas Interceptação não autorizada de informações Uso não autorizado de sistemas de

informática Alteração de dado ou programa de

computador Difusão de vírus eletrônico Quebra de privacidade de banco de dados




4.4 Projeto de Lei no Congresso

NacionalPLS-76/2000 (que incorporou os projetos de lei

PLC-84/1999 e PLS-137/2000)• Dispõe sobre crimes cometidos na área de

informática• Tipifica condutas realizadas mediante uso de rede de

computadores ou Internet, ou que sejam praticadascontra sistemas de informatizados e similares

• Aprovado na Câmara dos Deputados e na Comissãode Educação do Senado Federal (junho de 2006)• Na Comissão de Constituição e Justiça (abril de

2007)


4.5 NBR ISO/IEC 17799:2005

Origem : British Standard Institution (BSI)

BS-7799 – 1ª versão : 1995 Padrão mais completo para o gerenciamento

da segurança de informação Aprovada em 2000 como padrão internacional

pela ISO: ISO/IEC 17799 Em 2001 a ABNT decidiu adotá-la como

norma brasileira (NBR ISO/IEC 17799)

A 2ª versão foi lançada em 2005 Passará a ser a ISO/IEC 27002




4.6 CobitCobit (Control Objectives for Information and

related Technology) é um processo estruturadocom objetivo de possibilitar a governança em TI,ou seja: gerenciar e controlar as iniciativas de TI nas

organizações; garantir o retorno de investimentos; garantir a adoção de melhorias nos processos

empresariais; e minimizar riscos.


5. Método de Auditoria de TI

Fases (Levantamento, Planejamento,Execução, Elaboração do Relatório eMonitoramento)

Matrizes (Planejamento, Procedimentos eAchados)

Técnicas de Auditoria de Conformidade Técnicas de Auditoria Operacional




PLANEJAMENTO DA AUDITORIA

EXECUÇÃO

RELATÓRIO

Visão GeralAvaliação dos

ControlesInternos

ElaboraçãoMatriz de

Planejamento

ElaboraçãoMatriz de

Procedimentos

Elaboração

Acumulação deEvidências

Desenvolvimentodos Achados

(Matriz de Achados)

Aplicaçãodos

Procedimentos

Revisão


5.1 Matriz de Planejamento Instrumento para se organizar as informações

relevantes do planejamento de uma auditoria homogeneização do entendimento da equipe, e

demais envolvidos, quanto: ao objetivo do trabalho; aos passos a serem seguidos; a estratégia metodológica a ser adotada.

Orienta os integrantes da equipe nas fases deexecução e de elaboração do relatório




Questões deAuditoria

Informaçõesrequeridas

Fontes deInformação

Técnicasde

Auditoria

Limitações PossíveisAchados

Especificaros termos-chave e oescopo daquestão.

Período deabrangência,população

alvo, áreageográfica.

Identificar asinformaçõesnecessáriaspararesponder aquestão deauditoria.

Identificar asfontes decada item deinformação.

Especificar• técnicasa seremutilizadas• estratégiasmetodológi-cas• métodosp/obtençãode dados• métodosde análisede dados

Especificar aslimitaçõesrelativas:• À qualidadedasinformações;• À estratégiametodológica;• Às condições

operacionaisde realizaçãodo trabalhos.

Esclarecerprecisamentequeconclusões ouresultadospodem seralcançados apartir daestratégia

metodológicaadotada.

Objetivo: Enunciar de forma clara e resumida o aspecto a serenfocado pela auditoria, de acordo com o levantamento deauditoria previamente realizado.


Elaboração daMatriz de Planejamento

elaborar o objetivo da auditoria, após o diagnóstico da situação, e

determinar a linha de investigação, mediante a formulação das questõesde auditoria determinar, para cada questão de auditoria, possíveis achados, ou seja,

onde se deseja chegar com a investigação identificar as informações requeridas e onde as obter escolher as estratégicas metodológicas para responder as questões de

auditoria escolher os métodos de coleta e análise de dados que serão

empregados Identificar fatores que possam representar obstáculos (limitações) ao

trabalho




5.2 Matriz de Procedimentos

detalhamento, passo a passo, dafiscalização na forma de itens deverificação a serem executados,contendo:

Questão de Auditoria

Procedimentos Objeto Achado


Matriz de Procedimentos Objetivo: Enunciar de forma clara e resumida o objetivo da auditoria.

Questões deAuditoria

Procedimentos Objetos Achados

Correspondência

com a Questão deAuditoria (Qn)

constante daMatriz dePlanejamento

Descrição dos Itens

de verificação oucheck-list

Onde serão

efetuados osprocedimentos (ex:Contrato XX/2005,Programa XX-250,etc)

Usar a notação A1,

A2,..., An (para

possibilitar acorrespondência coma matriz de achados)ou Ñ quando nãohouver achado

P11

P12

Q1

P1n

P21

P22

Q2

P2n

P31P32

Qn

P3n




5.3 Matriz de Achados

Situação Encontrada Achado Critério Evidência Causa Efeito Encaminhamento (recomendação)


Matriz de Achados

Objetivo: Enunciar de forma clara e resumida o objetivo da auditoria

Achado Situação

Encontrada

Critério Evidência Causas Efeitos Encaminha-

mentoCorres-pondênciacom oAchado(An)constanteda MatrizdeProcedi-mentos

Situaçãoexistente,identificada edocumentada

durante afase deexecução daauditoria

Legislação,norma, jurisprudência,

entendimento

doutrinárioou padrãoadotado

Informaçõesobtidasdurante aauditoria nointuito dedocumentaros achadose derespaldar asopiniões econclusõesda equipe

O quemotivou aocorrênciado achado

Conse-qüênciasdoachado

Propostas daequipe deauditoria.Deve conteridentificaçãodo(s)responsável(is)

A1

A2

An




6. Exemplos deUtilização do Método

Auditoria de Sistemas – Módulo de Consignaçõesdo Siape – Acórdão 1505/2007 - Plenário

Auditoria de Gestão de TI – MTE – Acórdão2023/2005 - Plenário

Auditoria de Dados – Benefícios da Previdência –Acórdão 1921/2003 - Plenário

Auditoria em Aquisições de TI – Acórdão

2094/2004 - Plenário Auditoria em Política de Governo na Área de TI –

e-Gov – Acórdão 1386/2006 - Plenário


6.1 Auditoria de Sistemas – Siape – Acórdão 1505/2007-Plenário

aperfeiçoe o sistema para que a autorização do consignado

seja registrada no Siape antes da efetivação daconsignação, de acordo com o art. 45 da Lei 8.112/1990;

implemente rotina para que as ações dos servidores queincluem, alteram ou excluem consignações no Siape sejammonitoradas mensalmente pelos respectivos responsáveis esejam mantidos registros eletrônicos desses procedimentos,à disposição dos órgãos de controle, conforme previsto no

Inciso 12.3 da Norma de Execução nº 1, do Dasis, aprovadapela IN nº 4, de 11.07.2006, da SRH/MP.




6.2 Auditoria de Gestão de TI –MTE – Acórdão 2023/2005-Plenário

estabeleça institucionalmente as atribuiçõesrelativas à segurança da informação;

defina uma Política de Segurança da Informação; defina uma Política de Controle de Acesso aos

ativos de informação;

crie critérios de classificação das informações; estabeleça e divulgue uma metodologia para

desenvolvimento de sistemas


Auditoria de Gestãode TI – MTE (cont.)

crie mecanismos para que as políticas e normas se

tornem conhecidas; informe seus usuários quanto à necessidade de

bloquearem seus computadores durante as ausências; informe seus usuários quanto à necessidade de

criarem senhas que satisfaçam aos requisitos mínimosdefinidos na Política de Controle de Acesso;

defina um Plano Estratégico para a área deTecnologia da Informação – TI;




Auditoria de Gestãode TI – MTE (cont.)

não interfira na gestão de recursos humanos deempresas contratadas, abstendo-se departicipar da seleção de pessoal terceirizado;

inclua requisitos de segurança em contratos deprestação de serviços (PSI e SLA);

o acesso ao ambiente de produção seja feito de

forma controlada; aprimore os controles de acesso físico aos

computadores e equipamentos.


6.3 Auditoria de Dados –Benefícios da Previdência –Acórdão 1921/2003-Plenário

promova o batimento on-line de CPF com aSRF em todas as operações de concessão eatualização de benefícios, confrontando osdemais dados cadastrais

estude e defina a quantidade ideal máxima debenefícios para um mesmo representantelegal, não sendo este representante deentidade




Auditoria de Dados –Benefícios daPrevidência

proceda a modificações nos sistemas de benefíciospara: inibir a vinculação de benefícios a representantes

legais que já tenham atingido a quantidademáxima;

exigir homologação superior quando essaquantidade tiver que ser comprovadamente

ultrapassada; garantir o cadastramento efetivo de entidades e

respectivos representantes



averigúe os casos relacionados a fim de verificar aregularidade dos representantes e corrigir os dadosnecessários no sistema, promovendo, se for o caso,a cessação e a cobrança de pagamentos indevidos,além da responsabilização por atos praticadosindevidamente

inclua, no convênio com a Febraban, aobrigatoriedade de encaminhamento ao INSS,pelos bancos, das informações cadastrais nãoprotegidas pelo sigilo bancário e a situação da

conta (ativa, inativa etc), para que seja estabelecidarotina periódica de confrontação com a base debenefícios





encaminhe à sua Auditoria-Geral a relação dosbenefícios com titulares de conta bancária divergentedo recebedor do benefício a fim de que sejam tomadasas medidas pertinentes

estabeleça procedimentos documentados parapagamentos de benefícios por meio de depósitos emconta bancária, exigindo comprovação, pelo

beneficiário, da titularidade da conta por ele informada,a fim de dar o devido cumprimento ao art. 166, doDecreto nº 3.048/1999, com redação alterada peloDecreto nº 4.729/2003



averigúe os casos apontados no item 3.17.1, a fimde identificar se houve emissão irregular de PAB,promovendo, quando for o caso, a cobrança depagamentos indevidos, além da responsabilizaçãopor atos praticados indevidamente

investigue as emissões de PAB sem quaisquerinformações da sentença judicial, discriminadasno CD anexo





averigúe os casos listados relativos a benefícios cujoCPF do titular pertence a servidores do INSS,providenciando ações para ressarcimento ao Eráriodas importâncias indevidamente pagas eresponsabilização dos servidores, quando for o caso

faça estudo para aprimoramento dos controles depagamentos de benefícios via cartão magnético, com

vistas a aperfeiçoar o processo de identificação dorecebedor do benefício na rede bancária. Nesseestudo, considere as sugestões da Força-Tarefa/RJ


6.4 Auditoria em Aquisições deTI – Acórdão 2094/2004-Plenário

No tocante à aquisição de bens e serviços de

informática pelos entes da administração públicafederal, firmar entendimento no seguinte sentido: todas as aquisições devem ser realizadas em

harmonia com o planejamento estratégico dainstituição e com seu plano diretor deinformática, quando houver, devendo o projetobásico guardar compatibilidade com essas duas

peças, situação que deve estar demonstradanos autos referentes às aquisições





as justificativas para a inexigibilidade de licitação devemestar circunstancialmente motivadas, com a clarademonstração de ser a opção escolhida, em termos técnicose econômicos, a mais vantajosa para a administração

a inexigibilidade de licitação para a prestação de serviços deinformática somente é admitida quando guardar relação comos serviços relacionados no art. 13 da Lei 8.666/1993 ouquando se referir à manutenção de sistema ou software em

que o prestador do serviço detenha os direitos depropriedade intelectual, situação esta que deve estardevidamente comprovada nos termos do inciso I do art. 25da referida norma legal



a licitação na modalidade pregão é admitida para

a aquisição de softwares desde que estespossam ser nitidamente classificados como “bemcomum”, nos termos da definição contida noparágrafo único do art. 1º da Lei 10.520/2002

as aquisições do gênero em modalidadesdiferentes de Pregão devem ser obrigatoriamente

do tipo técnica e preço, conforme determina o§ 4º do art. 45 da Lei n. 8.666/1993




6.5 Auditoria no e-Gov –Acórdão 1386/2006-Plenário

Recomendar à Casa Civil da Presidência daRepública que: institua portal único de governo eletrônico, cujas

alterações de conteúdo, relativas aos serviços,estejam sob a responsabilidade de uma únicaunidade governamental, órgão ou setor

defina, formalmente, os responsáveis pelodesenvolvimento, gerência e manutenção doportal indicado no item anterior


Auditoria no e-Gov

reveja o modelo institucional do Programa Governo

Eletrônico, especialmente no que diz respeito aosseguintes aspectos: periodicidade das reuniões da(s) instância(s) de

formulação da política que compõe(m) o modeloadotado

instância(s) capaz(es) de emitir normas sobre o

tema governo eletrônico, com força normativa paraos órgãos da Administração Pública Federal




Auditoria no e-Gov

papel da Secom da Presidência da República naformulação e implementação da política de governoeletrônico, tendo em vista as atribuições da SLTI/MPcomo Secretaria-Executiva do Comitê Executivo doGoverno Eletrônico (CEGE) e órgão de gerência doprograma orçamentário Governo Eletrônico (8002)

após a definição do modelo institucional a ser

adotado, observe a necessidade de emitir,formalmente, normas para a política de governoeletrônico, sempre que haja necessidade de suaobservância pelos órgãos da APF

‘

Contatos

Documents

Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS