Si 05 Auditoriaprojetos

P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
PROJETOS DE AUDITORIA DE TI
Elaborado pelo professor Andr Campos

Uma viso mais ampla sobre segurana da informao poder
ser obtida no livro Sistema de Segurana da Informao
Controlando os riscos, de Andr Campos, Editora Visual
Books.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

PROJETOS DE AUDITORIA DE TI
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com Tecnologia da Informao.

O uso permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
ou seja, que os crditos sejam mantidos.

Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.

Diversas figuras foram obtidas a partir do acesso em sites de imagens.
Estas imagens foram utilizadas em seu estado original, com 72DPI.

Algumas imagens foram obtidas da obra "Sistema de Segurana da
Informao Controlando Riscos".

Todas as imagens so utilizadas para fins exclusivamente acadmicos e no
visam a obteno de lucro.

Informaes especficas sobre segurana da informao podem ser obtidas
na obra Sistemas de segurana da informao Controlando Riscos;
Campos, Andr; Editora Visual Books, 2007.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Iniciando a auditoria
A auditoria conduzida por um lder, ou
auditor lder, que designado pelo gerente
responsvel pelo programa de auditoria.

Quando acontecem auditorias conjuntas
importante que as organizaes envolvidas na
auditoria cheguem a um consenso quanto a
que ser o auditor lder e qual ser sua
autoridade sobre a equipe de auditoria, que
neste caso ser mista.

No podem haver dois auditores lderes para a
mesma auditoria.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Cada auditoria deve possuir uma definio dos
objetivos, escopo e critrio de auditoria,
documentados. Os objetivos podem ser:

1 Avaliao de conformidade (compliance);
2 Avaliao da capacidade do Sistema de
Gesto;
3 Avaliao da eficcia do Sistema de
Gesto;
4 Identificao de reas do Sistema de
Gesto para potencial melhoria.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

O escopo da auditoria determina a
abrangncia e os limites da auditoria,
envolvendo inclusive os limites fsicos, da
estrutura hierrquica formal ou informal, dos
processos, e do perodo de auditoria.

O critrio de auditoria a referncia contra a
qual a conformidade ser determinada,
podendo ser polticas, normas, procedimentos,
leis, regulamentos, requisitos do Sistema de
Gesto, requisitos contratuais, entre outros.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Os objetivos da auditoria so definidos pelo
cliente, e o escopo e critrio de auditoria so
acordados entre o cliente e o auditor lder.

Qualquer eventual mudana de objetivos,
escopo ou critrio aps o incio da auditoria,
deve ser devidamente documentado e
assinado pelo cliente e pelo auditor lder.

Nos casos de auditorias combinadas
especialmente importante que o auditor lder
garanta que os objetivos, escopo e critrio
sejam adequados para a auditoria em
questo.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

importante, antes de executar um projeto de
auditoria, determinar a viabilidade deste
projeto.

Existem informaes suficientes para suportar
a auditoria? O auditado est disposto a
cooperar ou resistente ao processo? O
tempo e os recursos planejados so realmente
suficientes?

No vale a pena comear um projeto que no
poder ser concludo. O cliente, o auditado e o
auditor lder devem garantir a viabilidade.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Aps o estudo de viabilidade, o prximo passo
definir a equipe de auditores. importante
que a equipe, coletivamente, possua os
conhecimentos e as habilidades necessrias
para conduzir a auditoria em questo. Devem
ser considerados aspectos tais como: a)
objetivos, escopo e critrio da auditoria; b) se
a auditoria simples, combinada ou conjunta;
c) requisitos legais, regulamentares,
certificaes, etc; d) a garantia de
independncia e imparcialidade; e) bom
relacionamento inter-pessoal do grupo); f) o
idioma da auditoria, se for o caso.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Se a equipe de auditores no for suficiente
para garantir o conjunto de conhecimentos e
habilidades necessrias, ser necessrio
convidar (contratar) especialistas que
atendam a esta demanda.

Membros da equipe podero ser substitudos
a pedido do cliente ou do auditado, caso haja
conflito de interesses ou relato de conduta
inapropriada de um dos auditores ou
especialistas.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

No incio da auditoria, adequado que o
contato inicial com o cliente seja
estabelecido de maneira formal (apesar de no
ser obrigatrio), onde so definidos:

a) Canais de comunicao;
b) Confirmar a autoridade;
c) Detalhamento do projeto de auditoria;
d) Solicitao de acessos a informao;
e) Definio das regras de segurana fsica e
lgica pertinentes;
f) Explicitar se havero observadores e e guias.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Anlise crtica de documentos
Na fase de execuo da auditoria, antes das
atividades no local, importante fazer uma
anlise crtica dos documentos, que podem
incluir documentos e registros especficos do
Sistema de Gesto e relatrios de auditorias
anteriores.

No caso da ISO 27.001 importante avaliar o
documento de definio de escopo e a
declarao de aplicabilidade, alm do registro
de incidentes de segurana da informao.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Anlise crtica de documentos
Caso a documentao no se encontre nas
condies mnimas necessrias para o incio
da auditoria, provvel que a auditoria seja
interrompida at que a documentao seja
providenciada.

Esta deciso deve ser tomada entre o auditor
lder e o cliente da auditoria.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Preparando atividades no local
O auditor lder deve apresentar para o cliente
e para o auditado um plano de auditoria, que
sirva de base central para a comunicao
entre todos os participantes e interessados no
projeto.

Este plano deve ser detalhado e dar uma idia
clara do escopo, do tempo, dos recursos e dos
resultados esperados par ao projeto. Uma
prtica adequada construir um cronograma
do projeto que inclua todas estas informaes.

Uma ferramenta muito utilizada o MS
Project.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

O plano de auditoria deve conter pelo menos
as seguintes informaes:

1 Os objetivos da auditoria;
2 O critrio de auditoria selecionado;
3 O escopo da auditoria;
4 As datas e locais onde ocorrero as
atividades de auditoria;
5 O tempo estimado das atividades;
6 As funes e responsabilidades dos
envolvidos;
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Continuao...
7 A alocao de recursos;
8 A identificao dos stakeholders (partes
interessadas);
9 O idioma vigente para auditoria, se for
diferente do idioma nativo;
10 As principais entregas, a serem
apresentadas no relatrio de auditoria;
11 Questes de logstica (viajens, etc);
12 Termos de sigilo e confidencilidade;
13 Termos sobre aes de
acompanhamento.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

essencial que o plano de auditoria seja
avaliado pelos principais envolvidos, ou seja,
a equipe de auditoria, o cliente e o auditado.

O cliente dever expressar formalmente sua
aprovao para o plano de auditoria, atravs
de um documento assinado por ele.

Eventuais alteraes no plano de auditoria
devero ser aprovadas novamente, tambm
de maneira formal.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

O auditor lder, conhecendo melhor o auditado,
tendo analisado os documentos da
organizao ou rea, tendo avaliado a
viabilidade da auditoria, e tendo elaborado o
plano de auditoria, agora tem totais condies
de dividir o trabalho da auditoria para sua
equipe.

Ele considerar a competncia de cada
auditor frente demanda de cada tarefa, alm
de observar a questo da independncia dos
auditores.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

O auditor lder conduzir sua equipe na
preparao dos documentos para trabalho.

Este documentos so compostos basicamente
de listas de verificao (check-lists) e
eventualmente formulrios para o registro de
informaes de suporte, tais como evidncias
e constataes, entre outros.

Os documentos de trabalho devem ser
preservados, pelo menos, at a concluso da
auditoria.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Conduzindo projeto de auditoria
A reunio de abertura importante, e deve
ser conduzida com a alta direo da
organizao auditado e envolver as lideranas
das reas, funes e processos a serem
auditados. Esta reunio tem os seguintes
objetivos:
1 Confirmar o plano de auditoria;
2 Fornecer informaes sobre como ser
conduzida a auditoria;
3 Confirmar os canais de comunicao;
4 Abrir espao para perguntas.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

A comunicao durante a auditoria um fator
chave de sucesso, e deve ser feita
adequadamente. impressionante o fato de
que todos os envolvidos em projetos, de
qualquer espcie, esto cientes da
importncia da comunicao. No entanto, um
grande nmero de problemas ocorrem durante
o projeto exatamente em decorrncia de
falhas ligadas a comunicao.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Um plano formal de comunicao precisa ser
elaborado. Os stakeholders so identificados e
comunicados do andamento da auditoria, tanto
no que se refere aos resultados positivos
quanto aos resultados negativos.

Problemas que estejam inviabilizando ou
prejudicando a auditoria precisam ser levadas
ao cliente imediatamente, para que as devidas
providncias sejam tomadas. Caso contrrio, o
inteiro projeto de auditoria poder fracassar.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Caso, durante a auditoria, sejam encontradas
falhas graves, que possam gerar prejuzo para
a organizao, devem ser comunicados
imediatamente ao cliente e ao auditado, e
no aguardar a concluso da auditoria para
isso.

Qualquer necessidade de mudana de escopo
durante a auditoria, deve ser devidamente
documentada e amplamente comunicada para
todos os stakeholders.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

comum que as auditorias contem com
observadores e guias. Estes indivduos no
devem interferir de maneira alguma na
auditoria.

O guia pode ser designado pelo auditado para
cumprir as seguintes responsabilidades:
1 Estabelecer contados e programar visitas;
2 Organizar as visitas;
3 Garantir o respeito s normas e regras;
4 Testemunhar a auditoria;
5 Ajudar na coleta de informaes.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

De acordo com os objetivos,
escopo e critrio da auditoria,
sero coletadas informaes
por amostragem.

Isto inclui informaes sobre
funes, processos e
atividades. Apenas
informaes verificveis so
vlidas.
Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Os mtodos mais utilizados para
a coleta de informaes so:

1 Entrevistas;

2 Observao das atividades;

3 Anlise de documentos.
Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

As evidncias da auditoria sero
avaliadas contra o critrio de
auditoria.

Esta avaliao demonstrar
conformidade ou no
conformidade com o critrio.

As no conformidades sero
oportunidades de melhoria.
Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

A identificao das
conformidades, no
conformidades, e oportunidades
de melhoria so chamadas de
constataes da auditoria.

A equipe de auditoria, durante o
projeto, dever se reunir para
avaliar as constataes de
auditoria.
Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Se for objeto da auditoria, todas
a conformidades individuais
sero registradas, e com elas, o
registro da evidncia
(verificvel) que a suporta.

Deve estar claro em que local,
ativo, funo, ou processo a
conformidade foi encontrada.
Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Do mesmo modo, e
principalmente, as no
conformidades devem ser
registradas. Estas no
conformidades podem ser
graduadas, se for o caso.

O auditado deve estar ciente e
concordar com a constatao
da auditoria.
Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Caso haja qualquer divergncia
entre o auditado e a equipe de
auditoria, deve ser feito todo o
esforo possvel para se chegar
a um consenso.

No sendo possvel, um registro
detalhado da divergncia dever
fazer parte dos registros da
auditoria.
Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Aps toda a atividade de coleta
de informaes e avaliao das
evidncias, a hora de analisar
todo este material e gerar as
concluses da auditoria.

Geralmente, isto feito em uma
longa reunio com todos os
membros da equipe de auditoria.
Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

O objetivo da reunio :
1 Analisar todas as
constataes da auditoria, e
qualquer informao adicional;
2 Acordar sobre as concluses
da auditoria;
3 Preparar recomendaes (se
for o caso);
4 Discutir eventuais aes de
acompanhamento.
Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Ao final da auditoria o auditor lder conduzir
uma reunio de encerramento, onde
participaro a equipe de auditoria, o auditado,
o cliente, e eventualmente outros
stakeholders.

O objetivo deixar claro todas as
constataes da auditoria e eventualmente
definir prazos para que o auditado alcance a
conformidade.

Estes prazos no devem ser definidos sem a
presena e concordncia do auditado.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Este o momento para que as divergncias
entre a equipe de auditoria e o auditado sejam
trazidas tona, e que haja um esforo
conjunto no sentido de resolver estas
divergncias.

Se constar dos objetivos da auditoria, as
recomendaes de melhoria podero ser
apresentadas tambm neste momento, bem
como a proposta de aes de
acompanhamento.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

O relatrio de auditoria
Ao final da auditoria o auditor lder
providenciar a elaborao do relatrio de
auditoria.

No h um modelo oficial para este tipo de
relatrio, mas importante que ele garanta um
registro completo, preciso, conciso e claro
da auditoria.

No entanto, importante que pelo menos
alguns elementos fundamentais componham
este relatrio.

P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Entre estes elementos podemos citar:
1 Os objetivos da auditoria;
2 O escopo da auditoria;
3 A identificao do cliente;
4 A identificao do auditor lder;
5 As datas e locais onde as atividades foram
realizadas;
6 O critrio de auditoria;
7 As constataes da auditoria;
8 As concluses da auditoria.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Outras informaes opcionais:
1 O plano de auditoria;
2 Lista de representantes do auditado;
3 Resumo do processo de auditoria;
4 Retorno sobre o atendimento dos objetivos;
5 reas planejadas mas no cobertas;
6 Divergncias no resolvidas;
7 Recomendaes para melhoria;
8 Plano de ao para acompanhamentos;
9 Lista de distribuio do relatrio.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Geralmente, o relatrio de auditoria
entregue em uma data posterior concluso
da mesma. Caso haja qualquer tipo de
atraso, isto deve ser informado ao cliente e
ao auditado e tambm constar como registro
no prprio relatrio.

Este relatrio de propriedade do cliente, e a
confidencialidade dele deve ser amplamente
respeitada.

Qualquer registro ou documento referente a
auditoria deve ser devolvido ou destrudo
completamente.
P
r
o
f
e
s
s
o
r

A
n
d
r

C
a
m
p
o
s

Concluindo a auditoria
Quando todas estas atividades foram realizadas
e o plano de auditoria seguido at o fim, a
auditoria data por encerrada.

Caso tenham havido contrataes de qualquer
tipo ou o estabelecimento de acordos para
viabilizar a realizao da auditoria, este o
momento para encerrar estes contratos e
acordos de maneira formal.

Todos os envolvidos, incluindo terceiros,
devero assinar termos de sigilo e
confidencialidade a fim de preservar o cliente e
o auditado.

Si 05 Auditoriaprojetos

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Si 05 Auditoriaprojetos

Diunggah oleh

Hak Cipta:

Format Tersedia

P

Anda mungkin juga menyukai