ENTENDA COMO É FEITA A AUDITORIA DE SISTEMAS DE INFORMAÇÃO

Conheça as principais áreas envolvidas no trabalho de auditoria de sistemas de informação:

• Revisão de arquitetura de sistemas de alto nível.
• Mapeamento de processos de negócios (por exemplo, determinar a dependência de sistemas de informações em relação aos processos de negócios do usuário).
• Gerenciamento de identidade do usuário final (por exemplo, mecanismos de autenticação, padrões de senha, limitação de funções ou concessão de funcionalidade de sistemas).
• Configurações de sistemas operacionais.
• Controles de segurança de aplicativos.
• Controles de acesso ao banco de dados (por exemplo, configuração do banco de dados, acesso à conta no banco de dados, funções definidas no banco de dados).
• Controles Antivírus/Anti-malware.
• Controles de rede e infraestrutura física (por exemplo, estrutura de switches e roteadores, uso de listas de controle de acesso ao espaço físico e regras de firewall).
• Sistemas e processos de registro e auditoria.
• Controle de acesso privilegiado de TI (por exemplo, administrador do sistema ou acesso root).
• Processos de TI no suporte do sistema (por exemplo, revisões de contas de usuários, gerenciamento de alterações).
• Procedimentos de backup e restauração.

As atividades de auditoria de sistemas de informação consistem em verificar por amostragem os arquivos de log, efetuar as entrevistas subsequentes com as pessoas relacionadas ao setor de tecnologia. Também se realizam testes com relação aos controles internos. A auditoria de sistemas também pode exigir a criação de contas de usuário para que os auditores possam examinar mais detalhadamente o sistema e determinar a eficácia dos controles implementados e os resultados esperados. Além disso, um subconjunto de testes de integração pode ser realizado em ambientes de teste ou de preparação para garantir que os controles que o usuário em geral possa ter, estejam em funcionamento conforme descrito e esperado.

Escopo da Auditoria de Sistemas

A auditoria de sistemas de informação se assemelha a testes de controle de segurança da informação. Entretanto, o escopo normal de uma auditoria de sistemas abrange todo o ciclo de vida da tecnologia em análise. As auditorias são sempre resultado de alguma preocupação com a gestão de ativos tecnológicos e geralmente quem a busca são os proprietários de ativos tecnológicos ou parte interessada das informações e do ambiente de sistemas, incluindo os próprios gerentes de sistemas. 

Muitas vezes, mapear o objetivo da auditoria de sistemas de informação é um desafio para os auditores. Iniciam identificando a atividade de negócios com maior probabilidade de produzir o melhor tipo de evidência para apoiar o objetivo da auditoria. Depois identificam quais sistemas e redes de aplicativos são usados para computar as informações que suportam as atividades operacionais e comerciais das companhias. 

Para um gerente de tecnologia da informação, o escopo da auditoria de sistemas de informação deve ser claro desde o início. Deve compor um conjunto bem definido de pessoas, processos e tecnologias que correspondam claramente ao objetivo da auditoria. Se um auditor não entender o ambiente tecnológico antes do início de uma auditoria, pode haver erros na definição do escopo. Onde tais erros acontecem, eles são frequentemente capturados no decorrer da auditoria e sistemas que anteriormente não estavam no escopo podem ser declarados como existentes. 

O trabalho de campo da auditoria de sistemas de informação abrange o processo de identificação de pessoas, processos e tecnologias dentro de um determinado ambiente de sistemas que correspondem às atividades de controle esperadas. A gerência responsável pelos resultados da auditoria deve fazer o melhor para garantir que o auditor recebe as informações diretamente do especialista na área sob análise, inclusive alertando sobre a importância das respostas ao questionário do auditor que seja correta e concisa às perguntas para a auditoria, ou seja, encaminhar o auditor para o especialista no assunto abordado, ou se não houver, voltar para o contato responsável.

Caso os profissionais de auditoria de sistemas de informação não encontrarem evidências de que um objetivo de controle é atingido, eles retornarão ao gerente responsável para ver se há alguma atividade com a organização que se qualifica como satisfazendo o objetivo que não foi antecipado pelo auditor. Durante o trabalho de campo, um profissional de auditoria de sistemas terá uma lista de possíveis descobertas. Eles podem ainda não estar totalmente documentados, mas a condição pode ser conhecida. É papel do contato de TI auxiliar a gerência e o auditor na busca de evidências que assegurem que o objetivo de controle seja atingido e, assim, concluir o trabalho do auditor.

Existindo ou não constatações da auditoria de sistemas de informação, o trabalho será concluído com um relatório de avaliação, contendo a opinião formal do auditor com relação ao tópico da preocupação de gerenciamento que conduz o objetivo da auditoria. O objetivo da auditoria será definido, a metodologia de auditoria será descrita resumidamente e haverá uma declaração com relação à opinião profissional do auditor sobre se a preocupação da administração é adequadamente tratada. O relatório também pode incluir recomendações para atividades de manejo que reduziriam o impacto dos resultados. 

A auditoria de sistemas de informação dentro de uma organização

Atua com abordagem disciplinada, avaliando e melhorando a eficácia de um sistema. O trabalho do auditor de sistemas também evidencia pontos de redução, eliminação e prevenção de não conformidades.

A auditoria de sistemas de informação em uma organização acompanha os controles, desenvolvimento de sistemas, procedimentos de TI, infraestrutura, operações, desempenho e a segurança que envolve o processamento de informações críticas para a tomada de decisão.

Seus objetivos principais são: avaliação do sistema de organização, determinação da conformidade ou não conformidade dos elementos, sugestões de melhorias, atendimento de requisitos regulamentares. Entretanto, já se espera na atualidade da auditoria de sistemas de informação, um resultado além da auditoria para a conformidade, como por exemplo, a atenção para os riscos.

A auditoria de sistemas de informação não envolve apenas equipamentos (hardware) ou procedimentos específicos, mas também seus inputs, processos, controles, arquivos, segurança e output de dados (software). É de extrema importância para o bom desempenho dos sistemas de informação, pois avalia, além dos controles necessários para que os sistemas sejam confiáveis, todo o ambiente de Tecnologia da Informação: Equipamentos, CPD e Software.

Atualmente, as organizações vêm ampliando sua forma de atuação, realizando controles mais rígidos através da auditoria de sistemas de informação, visando assegurar a integridade e segurança do tráfego de dados. Adiciona-se a esse contexto, a larga utilização da tecnologia para o armazenamento das informações contábeis, financeiras e operacionais, fazendo com que a Auditoria de Sistemas busque o aprimoramento no campo de atuação da organização.

Os resultados obtidos pela auditoria de sistemas de informação, através de trabalho realizado por profissionais treinados e experientes, são amplamente utilizados pelos tomadores de decisão, com o objetivo de melhorar o desempenho da organização.

Responsabilidades do Profissional de auditoria de sistemas de informação

As responsabilidades do profissional de auditoria de sistemas de informação abrangem criar estratégias e inspecionar sistemas e programas de processamento de informações da empresa, a fim de proteger a integridade das informações, garantir que as informações armazenadas estejam corretas além de promover a eficácia do trabalho das mesmas. Ele também é conhecido como um auditor de sistemas computacional, o qual verifica a plataforma onde estão salvas as informações privadas da empresa. 

O profissional de auditoria de sistemas de informação também examina os sistemas especializados da empresa (sistemas operacionais) e os sistemas de apoio a outras atividades as que não sejam a especializada da empresa (sistemas corporativos) bem como a comunicação entre os sistemas legados e suas integrações. Assim, ele instrui os administradores da empresa sobre a efetividade e vulnerabilidade dos sistemas e redes de computadores e ao mesmo tempo que se atualiza com as habilidades de auditoria e software dos sistemas que estão instalados na empresa. 

Também é responsabilidade do profissional de auditoria de sistemas de informação avaliar os sistemas de processamento de dados para estimar sua eficácia, eficiência e exatidão, estudar e examinar as estratégias e programas de comércio da empresa, a fim de estimar a abrangência e a exatidão das transações que foram processadas.

Em resumo, a auditoria de sistemas independente do ramo de atividade das empresas e seu porte, sendo como as principais responsabilidades de um profissional de auditoria de sistemas de informação:

• Analisar os sistemas do programa e suas finalidades comerciais, a fim de, como auditor de sistemas, estimar e verificar se os objetivos estão sendo concluídos.
• A cada novo sistema incorporado as empresas, verificar como foram construídos na empresa para verificar a efetividade e segurança as informações.
• Avaliar as áreas da empresa onde os sistemas estão instalados, o auditor de sistemas certifica-se de que todos os métodos de segurança estão sendo seguidos e que os sistemas da empresa estão em perfeito funcionamento.
• Acompanhar e analisar commodities de software e hardware, peças e componentes que foram adquiridos para garantir que o mesmo ajudará a empresa a atingir suas metas, metas e objetivos.
• Observar e registrar a aplicação de programas de computador na empresa.
• Comunicar a administradores sobre processamento de informações e associados de tecnologia da informação que trabalham nos sistemas de computadores da empresa.
• Formular relatórios documentados sobre novos sistemas e implementá-los, o que realmente ajudaria no aprimoramento da produção de trabalho da empresa.
• Estudar, examinar e verificar as contas, auditoria e registros de software da empresa.
• Desempenhar o papel e os deveres quando o auditor de sistemas for interno dos sistemas de informação da empresa e avaliar.
• Examinar os dados funcionais e utilizáveis em várias redes de computadores e sistemas da empresa para garantir que os sistemas de informação sejam processados adequadamente, resultando em benefícios para os mesmos.
• Completar todos os outros deveres, cargos, responsabilidades e funções de um auditor de sistemas de informação na empresa, que lhe são atribuídos.

Auditoria de sistemas de informação Combinada com a Auditoria Financeira/Contábil

A auditoria de sistemas de informação pode ser realizada de forma integrada, ou seja, é aquela que trata os controles de tecnologia da informação, financeiros e operacionais como dependentes mutuamente para o estabelecimento de um ambiente de controle interno eficaz e eficiente.

No contexto da tecnologia da informação, o objetivo da auditoria de sistemas de informação é a garantia de que os controles de tecnologia da informação sejam eficazes e eficientes para apoiar o processo de negócios. Já no contexto financeiro e operacional, o objetivo é a garantia de que sejam os controles financeiros e operacionais, eficazes e eficientes para apoiar o processo de negócios.

Ainda que os controles financeiros e operacionais não identifiquem problemas, eles podem ser identificados na tecnologia da informação e são capazes de anular a eficácia dos controles financeiros e operacionais e vice-versa. Portanto, para uma auditoria de sistemas de informação integrada, as perspectivas precisam ser consideradas integralmente, pois as questões de tecnologia da informação, financeiras e operacionais podem impactar significativamente na concretização dos objetivos da administração em proteger os ativos do sistema de informações e garantir confiabilidade e integridade das informações.

A auditoria de sistemas de informação integrada inclui uma auditoria dos aplicativos, servidores e configurações de rede que suportam o processo de negócios. O exame e o teste do aplicativo, dos servidores e da configuração de rede são semelhantes aos de uma auditoria de sistemas de informação. Além disso, o sistema de informações e os auditores financeiros e operacionais consideram, de forma colaborativa, os seguintes aspectos relacionados ao processo de negócio que está sendo examinado:

• Os riscos e controles de processamento de informações e negócios são compreendidos e acordados pelos proprietários do negócio, pela organização de suporte e tecnologia de informações e pela equipe de auditoria de sistemas de informação integrada.
• Feeds manuais e automatizados, interfaces de sistema e comunicações são precisos, oportunos e seguros.
• As transações manuais e automatizadas são aprovadas, processadas de maneira oportuna e precisa.
• As informações são seguras e os controles de privacidade estão em conformidade com os regulamentos atuais.
• Planos de recuperação de desastres e planos de continuidade de negócios fornecem garantia razoável de que tanto o sistema quanto as operações de negócios podem se recuperar e continuar quando ocorrer uma interrupção do sistema ou do negócio.
• As alterações do programa são autorizadas, testadas, aprovadas e migradas para produção conforme prescrito pelos proprietários do processo de negócios.

Em uma auditoria de sistemas de informação integrada, o proprietário do processo empresarial é responsável por garantir que a tecnologia da informação e os controles financeiros e operacionais sejam implementados, eficazes e eficientes.

Entre em contato com a TATICCA, que atua com serviços integrados de auditoria, contabilidade, impostos, corporate finance, financial advisory, risk advisory, tecnologia, consultoria empresarial e treinamento, para obter mais informações, pelo www.taticca.com.br ou e-mail taticca@taticca.com.br e saiba mais. Nossa empresa conta com profissionais com ampla experiência no mercado e possui metodologias certificadas para a realização das atividades.