Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão da Segurança da Informação e
Comunicações
ANTONIO AUGUSTO SILVA PRATES
AVALIAÇÃO DA SEGURANÇA EM TRANSAÇÕES ELETRÔNICAS
COM APLICAÇÃO DE FERRAMENTAS CAAT
Brasília
2011
Antonio Augusto Silva Prates
AVALIAÇÃO DA SEGURANÇA EM TRANSAÇÕES ELETRÔNICAS
COM APLICAÇÃO DE FERRAMENTAS CAAT
Brasília
2011
Antonio Augusto Silva Prates
AVALIAÇÃO DA SEGURANÇA EM TRANSAÇÕES ELETRÔNICAS
COM APLICAÇÃO DE FERRAMENTAS CAAT
Monografia apresentada ao Departamento
de
Ciência
da
Computação
da
Universidade de Brasília como requisito
parcial para a obtenção do título de
Especialista em Ciência da Computação:
Gestão da Segurança da Informação e
Comunicações.
Orientador: Prof. ME. Domingos Sávio Apolônio Santos
Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Brasília
Outubro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formação de Especialistas para a Elaboração da Metodologia Brasileira
de Gestão da Segurança da Informação e Comunicações - CEGSIC
2009/2011.
© 2011 Antonio Augusto Silva Prates. Qualquer parte desta publicação
pode ser reproduzida, desde que citada a fonte.
Prates, Antonio Augusto Silva
Avaliação da segurança em transações eletrônicas com aplicação
de ferramentas CAAT / Antonio Augusto Silva Prates. – Brasília: O autor,
2011. 54 p.; Ilustrado; 25 cm.
Monografia (especialização) – Universidade de Brasília. Instituto de
Ciências Exatas. Departamento de Ciência da Computação, 2011.
Inclui Bibliografia.
1. Auditoria. 2. Transações eletrônicas. 3. Ferramentas CAAT. I.
Título.
CDU 004.056
Dedicatória
A Pryscila, companheira inseparável e Ana Lia, filha querida, duas dedicadas
lutadoras.
Agradecimentos
A Deus, por permitir-me fazer o possível reservando para Si as tarefas
impossíveis.
A minha esposa e filha, pela paciência, compreensão e apoio nas horas em
que necessitei de tempo para dedicar-me ao estudo. Obrigado também aos demais
familiares que sempre me incentivaram durante a jornada.
Ao meu orientador, Prof. Domingos Sávio, minha gratidão pelo empenho e
dedicação nesse processo de aprendizagem e pesquisa. Meu agradecimento pela
amizade e pelas valiosas e qualificadas sugestões de melhorias.
Aos colegas do curso de especialização que me apoiaram constantemente.
Aos professores e funcionários da Universidade de Brasília pelo empenho em
superar as dificuldades.
Aos colegas da Auditoria Interna do Banco do Brasil pelas sugestões de
pesquisa e subsídios fornecidos.
Ao Banco do Brasil S.A. pelo suporte financeiro.
Ao Gabinete de Segurança Institucional da Presidência da República e ao
Departamento de Segurança da Informação e Comunicações por promoverem em
conjunto com a Universidade de Brasília o Programa de Formação de Especialistas
para a Elaboração da Metodologia Brasileira de Gestão de Segurança da
Informação e Comunicações, sem os quais este curso não existiria.
Meu agradecimento pela ajuda que cada um prestou na construção deste
trabalho.
Quanto melhor é adquirir a sabedoria do que o ouro!
E quanto mais excelente é escolher o entendimento do que a prata!
Provérbios 16:16
Lista de Figuras
Figura 1: Fases da Auditoria por Análise de Dados. .................................................25
Figura 2: Ciclo de utilização indevida de transações.................................................29
Figura 3: Relação entre regras de negócio e uso indevido de transações................30
Figura 4: Ficha de avaliação de transações do Sistema “A” .....................................49
Figura 5: Ficha de avaliação de transações do Sistema “B” .....................................50
Figura 6: Ficha de avaliação de transações do Sistema “C” .....................................51
Figura 7: Ficha de avaliação de transações do Sistema “D” .....................................52
Sumário
Ata de Defesa de Monografia......................................................................................3
Dedicatória ..................................................................................................................4
Agradecimentos ..........................................................................................................5
Lista de Figuras...........................................................................................................7
Sumário .......................................................................................................................8
Resumo .....................................................................................................................11
Abstract .....................................................................................................................12
1 Delimitação do Problema .......................................................................................13
1.1 Introdução........................................................................................................13
1.2 Formulação da questão de pesquisa...............................................................15
1.3 Objetivos e escopo ..........................................................................................15
1.3.1 Objetivo Geral ...........................................................................................15
1.3.2 Objetivos Específicos ................................................................................15
1.3.3 Escopo ......................................................................................................15
1.4 Justificativa ......................................................................................................15
1.5 Hipótese...........................................................................................................16
2 Revisão de Literatura e Fundamentos ...................................................................17
2.1 Risco, Controle e Auditoria ..............................................................................17
2.2 Segurança da Informação................................................................................18
2.2.1 Segurança da informação .........................................................................18
2.2.2 Princípios básicos de segurança da informação .......................................18
2.2.3 Segurança da informação e auditoria em TI .............................................21
2.3 Auditoria de Tecnologia da Informação ...........................................................21
2.3.1 Considerações sobre auditoria..................................................................21
2.3.2 Objetivos da auditoria de TI ......................................................................22
2.3.3 Atividades básicas da auditoria de TI........................................................23
2.4 Auditoria em Transações Eletrônicas por meio de Análise de Dados .............24
2.4.1 Fases da auditoria por análise de dados...................................................24
2.4.2 Ferramentas CAAT ...................................................................................26
2.4.3 Auditoria em transações eletrônicas .........................................................27
3 Metodologia............................................................................................................31
3.1 Abordagem e tipo de pesquisa ........................................................................31
3.2 Delineamento da Pesquisa ..............................................................................31
3.3 Métodos e técnicas de pesquisa......................................................................32
3.3.1 Para definição da metodologia a ser aplicada...........................................32
3.3.2 Para aplicação da metodologia escolhida .................................................32
3.4 Delimitação do caso ........................................................................................35
3.5 Limitações da pesquisa ...................................................................................35
4 Resultados .............................................................................................................36
4.1 Definição da metodologia ................................................................................36
4.2 Aplicação da metodologia................................................................................37
4.2.1 Avaliação do Sistema “A” ..........................................................................37
4.2.2 Avaliação do Sistema “B” ..........................................................................38
4.2.3 Avaliação do Sistema “C”..........................................................................38
4.2.4 Avaliação do Sistema “D”..........................................................................39
5 Discussão...............................................................................................................40
5.1 Metodologia Adotada .......................................................................................40
5.2 Aplicação da Metodologia................................................................................40
5.2.1 Identificação das Transações Eletrônicas .................................................41
5.2.2 Existência, Clareza e Disponibilidade das Regras de Negócio .................42
5.2.3 Classificação da Transação Eletrônica .....................................................42
5.2.4 Restrição de Acesso da Transação Eletrônica..........................................42
5.2.5 Restrição de Uso da Transação Eletrônica (TE) .......................................43
5.2.6 Acompanhamento e Monitoramento da Transação Eletrônica..................43
6 Conclusões e Trabalhos Futuros............................................................................44
6.1 Conclusões ......................................................................................................44
6.2 Trabalhos Futuros............................................................................................45
Referências e Fontes Consultadas ...........................................................................46
Apêndice ...................................................................................................................49
Resumo
O presente trabalho trata da auditoria de segurança em transações eletrônicas com
o emprego de ferramentas CAAT. O objetivo principal é mostrar como avaliar com
agilidade a segurança de transações eletrônicas por meio da utilização desse tipo de
ferramenta. Dessa forma, foi realizado estudo de caso, constituído inicialmente por
ampla revisão teórica sobre auditoria, risco e controle, segurança da informação,
análise de dados e transações eletrônicas. Foram correlacionados estudos que
convergiram para o desenvolvimento de uma metodologia de auditoria em
transações eletrônicas com uso de CAAT. Para aplicação dessa metodologia, foram
escolhidos quatro sistemas financeiros contábeis totalizando quarenta e uma
transações eletrônicas. Após delimitado o escopo, efetuou-se a coleta e análise de
dados por meio de ferramenta CAAT seguida de entrevistas, com a finalidade de
identificar riscos à segurança da informação. Os achados obtidos foram relatados
aos gestores para adoção de providências cabíveis. Ao final, conclui-se que a
associação de ferramentas eletrônicas de análise de dados, com técnicas de
auditoria, possibilita identificar falhas e fragilidades com brevidade, agilizando a
adoção de medidas corretivas para redução de riscos relacionados à segurança da
informação.
Palavras-chave: Auditoria, Análise de Dados, CAAT, Segurança da Informação,
Transações Eletrônicas.
Abstract
This work describes the security audit of electronic transactions with the use of CAAT
tools. The main objective is to show how to evaluate with agility, the security of
electronic transactions by use of this tool. To that end, was conducted a case study
initiated by extensive theoretical review about audit, risk and control, information
security, data analysis and electronic transactions. Were correlated studies that
converged on the development of an audit methodology in electronic transactions
with the use of CAAT. For application of this methodology, were chosen four financial
accounting systems totaling forty-one electronic transactions. After defined the
scope, performed the data collection and analysis using CAAT tool and followed by
interviews, with the purpose of identify threats to information security. The findings
were reported for managers to adopt appropriate measures. At the end, it is
concluded that the combination of electronic tools for data analysis with audit
techniques, allows identify faults and weaknesses with briefness, speeding the
adoption of corrective measures to reduce risks associated to information security.
Keywords: Auditing, Data Analysis, CAAT, Information Security, Electronic
Transactions
13
1 Delimitação do Problema
O uso crescente da tecnologia da informação nas diversas áreas da
administração pública federal proporciona aos órgãos de controle a necessidade de
adequar as ferramentas utilizadas em seus procedimentos de auditoria. Novas
opções estão sendo desenvolvidas para auxiliar e aprimorar os trabalhos
executados pelos auditores (ARRIAL, 2009, p. 7).
Nesse sentido, estudos são conduzidos no campo da auditoria de TI,
especificamente na área de análise de dados, para o aperfeiçoamento das técnicas
de auditoria assistidas por computador (TAAC).
As TAAC ou CAAT (do inglês, Computer Assisted Audit Techniques)
empregam o computador como ferramenta operacional para extração e análise de
dados, conferindo maior eficiência e eficácia aos trabalhos das equipes de auditoria
(ARRIAL, 2009, p.7).
Na Unidade de Auditoria Interna onde se desenvolveu o presente estudo,
observa-se a utilização dessas técnicas por parte de sua equipe de auditores,
notadamente após a implementação de treinamentos internos sobre o assunto ao
longo dos anos de 2009 a 2011.
1.1 Introdução
A utilização de aplicações tecnológicas em organizações tem se baseado no
desenvolvimento de transações eletrônicas que reproduzem as situações reais no
ambiente virtual, com vistas a substituir dispendiosos processos manuais por
processos eletrônicos (PINTO, 2009, p. 28).
Uma transação eletrônica pode ser definida como um conjunto de comandos
programados para consultar, inserir, excluir ou alterar um ou mais registros em um
14
banco de dados, sendo um atributo pertencente ao processo/negócio/atividade que
a comporta (SANTOS, 2009).
A informação sobre a execução dessas transações é armazenada sob a
forma de registros em banco de dados. Tais registros acabam por gerar grande
volume de dados e representam um desafio tanto para armazenamento quanto para
o tratamento e a geração de informações (PINTO, 2009, p. 13).
A questão que se apresenta é como este volume de dados pode ser utilizado
pelos gestores para tomar decisões, descobrir novas relações entre fenômenos que,
em um primeiro momento, não são evidentes, bem como identificar padrões de
comportamentos. A solução desse desafio não é única, mas com certeza a ciência
estatística e da computação estarão presentes em muitas das propostas que serão
apresentadas (PINTO, 2009, p. 13).
No ambiente de auditoria, essa questão também está presente. Prover
mecanismos que possibilitem transformar uma profusão de dados em informações
relevantes de forma célere e com qualidade é fundamental em todos os trabalhos do
gênero. Nesse contexto, a Auditoria por Análise de Dados, por meio de ferramentas
CAAT, apresenta-se como abordagem alternativa frente aos desafios dos cenários
organizacionais (HANASHIRO, 2007) seja pela profusão de dados como pela
dificuldade em avaliação “in-loco” de evidências.
Em linhas gerais, a metodologia de auditoria prevê inicialmente o
entendimento do processo, seus principais riscos passíveis de monitoração e os
investimentos necessários para auditoria de aspectos relevantes.
Os métodos utilizados atualmente para auditoria variam desde a verificação
de relatórios e demais documentos até a utilização de sistemas de monitoramento
informatizados com parâmetros definidos previamente.
Após a definição dos riscos, é aprofundado o entendimento das informações
disponíveis para elaboração dos futuros testes.
Depois de os testes serem definidos, testados e aprovados os testes,
elaboram-se os procedimentos de acesso, captura, tratamento e verificação de
integridade dos dados, para permitir o cálculo e o relato. Neste momento, as
ferramentas computacionais (CAAT) assumem um papel relevante, pois permitem,
além da execução dos testes, a captura e verificação de integridade sobre grandes
bases de dados por vezes de origens distintas, e contemplando os relacionamentos
de causa-efeito existentes ou simulados (IMONIANA, 2005).
15
1.2 Formulação da questão de pesquisa
Como avaliar de forma ágil os aspectos de segurança de transações
eletrônicas?
1.3 Objetivos e escopo
1.3.1 Objetivo Geral
Este trabalho objetiva mostrar como avaliar com agilidade a segurança de
transações eletrônicas em seus aspectos de confidencialidade, integridade e
disponibilidade, por meio da utilização de ferramentas CAAT.
1.3.2 Objetivos Específicos
São objetivos específicos deste trabalho acadêmico:
1. Relacionar os principais aspectos inerentes aos controles internos,
segurança da informação e auditoria de tecnologia da informação em
sistemas financeiros;
2. Analisar os procedimentos usualmente empregados em auditoria e sua
execução com a utilização de ferramentas computacionais de análise de
dados;
3. Auxiliar os gestores na identificação de riscos à segurança da informação,
inerentes ao uso de transações eletrônicas em sistemas corporativos.
1.3.3 Escopo
Em virtude da complexidade e características distintas de outras organizações
da Administração Pública Federal, este trabalho está circunscrito à análise do
ambiente interno de um Banco, seus sistemas corporativos e metodologia de
auditoria interna.
1.4 Justificativa
A utilização de transações eletrônicas, em substituição a procedimentos
manuais, é largamente empregada nas organizações, especialmente financeiras.
Seguindo esta prática, o Banco tem desenvolvido sistemas corporativos e de
negócios com número cada vez maior de transações com o intuito de obter
qualidade nos produtos e serviços, agilidade no atendimento e satisfação dos
usuários (clientes, fornecedores, funcionários ou a comunidade em geral).
16
O emprego dessas transações traz, além dos benefícios citados, os riscos de
segurança inerentes ao processo de automatização. Avaliar as transações
eletrônicas, a fim de prover subsídios para minimização do risco, torna-se oportuno e
relevante para a organização, contribuindo para a segurança de seus ativos.
Aliado ao exposto, os aspectos regulatórios, tais como os normativos do
Banco Central do Brasil (Bacen), Comissão de Valores Mobiliários (CVM) e a
legislação brasileira, ressaltam a importância da pesquisa realizada como forma de
auxílio na prevenção a eventos que possam gerar restrições ou penalidades à
instituição e elevação dos riscos.
1.5 Hipótese
Este trabalho propõe verificar a hipótese de que a utilização de técnicas de
auditoria assistidas por computador, em conjunto com outras técnicas usualmente
empregadas, permite avaliar com agilidade aspectos de confidencialidade,
integridade e disponibilidade em transações eletrônicas dos sistemas informatizados
de uma organização.
17
2 Revisão de Literatura e Fundamentos
2.1 Risco, Controle e Auditoria
Na quase totalidade das empresas, as atividades de negócios são suportadas
por processos automatizados. O sucesso de uma dada organização está cada vez
mais dependente do funcionamento ininterrupto e adequado dos processos de
negócios amparados pela Tecnologia da Informação (ROSSI et al, 2004, p.9).
Segundo Hanashiro (2007, p 39), os controles são definidos pela totalidade
das políticas, procedimentos e práticas instituídas pela Administração, para
assegurar que os riscos inerentes às atividades da instituição sejam identificados e
gerenciados adequadamente, com a finalidade maior de fornecer razoável garantia à
Administração de que os objetivos do negócio estão sendo continuamente
alcançados. São, portanto, mecanismos de gestão que devem permear as
operações e atividades críticas de forma ampla, gerenciada e eficaz, e devem ser
adaptáveis às necessidades próprias de cada organização (HANASHIRO, 2007, p.
39).
Assim, o sucesso de uma organização passa, fundamentalmente, por um
sistema de controles internos que permita identificar e gerenciar os riscos
operacionais, bem como adequar políticas e procedimentos internos para atenderem
às regulamentações com as quais estão submetidas (HANASHIRO, 2007, p. 39).
Em um processo de Auditoria, o Auditor Interno “deve atuar em todos os
aspectos de TI para avaliar os riscos e os controles aos quais os ativos da
organização estejam submetidos” (ROSSI et al, 2004, p. 9).
18
2.2 Segurança da Informação
2.2.1 Segurança da informação
Em meados de 1960, os sistemas computacionais passaram a substituir os
procedimentos manuais, por meio de ferramentas destinadas tanto para o
gerenciamento de informações quanto ao processamento de dados corporativos.
Desde aquela época, os avanços tecnológicos vêm contribuindo para o crescimento
do mundo dos negócios, seja com o aumento da capacidade de armazenamento e
de processamentos dos computadores de grande porte, com a ampliação do uso
dos microcomputadores e das redes de sistemas distribuídos ou mesmo com a
presença de usuários cada vez mais conhecedores das ferramentas computacionais
(DIAS, 2000, p. 9).
Por essa razão a informação vem se transformando no principal ativo das
organizações que têm a Tecnologia da Informação (TI) como suporte aos negócios
e/ou como seu próprio produto. À medida que aumenta a dependência das
empresas em relação à TI, cresce também a preocupação com a segurança de suas
informações (ativos), devido a sua importância para o alcance da missão e dos
objetivos organizacionais. De acordo com Beal (2008, p. 1), as informações críticas
para o negócio precisam ser protegidas, como qualquer outro ativo importante para
a organização, contra as ameaças que podem levar à sua destruição,
indisponibilidade, alteração ou divulgação não autorizada.
Nesse contexto, a segurança da informação pode ser entendida como “o
processo de proteger informações das ameaças para a sua integridade,
disponibilidade e confidencialidade” (BEAL, 2008, p. 1) e que visa, com isso,
preservar os ativos de informação de uma dada organização.
O profissional requerido para atuar na área de segurança da informação deve
trabalhar em sintonia com a atividade fim da empresa e ouvir as pessoas, de modo a
compreender e saber como aplicar as tecnologias de acordo com as suas
necessidades, estratégias de negócios e segurança (NAKAMURA E GEUS, 2007).
2.2.2 Princípios básicos de segurança da informação
A segurança da informação tem como propósito preservar ativos de
informação, considerando três objetivos essenciais: confidencialidade, integridade e
disponibilidade, detalhados por Beal (2008, p. 1):
19
•
Confidencialidade: garantia de que o acesso à informação é restrito aos
seus usuários legítimos.
•
Integridade: garantia da criação legítima e da consistência da informação
ao longo do seu ciclo de vida, em especial, prevenção contra acesso,
alteração ou destruição não autorizada de dados e informações. O objetivo
de autenticidade da informação é englobado pelo de integridade, quando se
assume que este visa a garantir não só que as informações permaneçam
completas e precisas, mas também que a informação capturada do
ambiente externo tenha sua fidedignidade verificada e que a criada
internamente seja produzida apenas por pessoas autorizadas e atribuída
unicamente ao seu autor legítimo.
•
Disponibilidade: garantia de que a informação e os ativos associados
estejam disponíveis para os usuários legítimos de forma oportuna.
Beal (2008, p. 3) destaca que nem todos os objetivos da segurança da
informação são aplicados, ao mesmo tempo e com a mesma intensidade, a todo tipo
de informação e em todas as etapas do ciclo de vida da informação, bem como ao
longo do tempo. A ênfase dada a cada objetivo vai depender do propósito da
informação. Por exemplo, uma informação estratégica da organização requererá
controles rígidos quanto à confidencialidade da informação durante a sua fase de
elaboração. Esses esforços, no entanto, serão dirimidos a partir do momento que a
estratégia for executada e divulgada para a comunidade em geral.
Sendo a maior parte da informação armazenada em computadores, um
impacto produzido pela ocorrência de eventos que coloquem em xeque a confiança
nesses dados resultará, em última instância, a continuidade ou não do sistema
(BEAL, 2008, p. 8).
Uma organização deve, portanto, preocupar-se com a segurança dos
componentes de TI e das informações neles armazenados por quatro razões
principais (Beal, 2008, p. 8):
•
Dependência da tecnologia da informação. Sistemas que ofereçam
serviços adequados e no tempo certo são a chave para a sobrevivência da
maioria das organizações contemporâneas. Sem seus computadores e
sistemas de comunicação, as organizações seriam incapazes de fornecer
serviços, processar faturas, contatar fornecedores e clientes ou efetuar
pagamentos. Os sistemas de informação também armazenam dados
20
sigilosos, que, se tornados públicos, poderiam causar prejuízos e em alguns
casos o fracasso da organização.
•
Vulnerabilidade da infra-estrutura tecnológica. Hardware e software
exigem um ambiente estável, podendo ser danificados por desastres
naturais, como fogo, inundação ou terremotos, falhas no controle da
temperatura ou do suprimento da energia elétrica, acidentes ou sabotagens.
Muitos equipamentos de TI são alvos de ladrões por serem portáteis,
apresentarem uma relação valor/peso bastante elevada e por serem
facilmente vendidos.
•
Alto valor da informação armazenada. Os sistemas baseados em TI são
as chaves para o acesso a vastas quantidades de dados corporativos,
tornando-se um alvo atraente para hackers, espiões e até mesmo
empregados dispostos a usar de seus privilégios em troca de dinheiro ou
vantagem oferecida por um concorrente.
•
Pouca
atenção
dada
à
segurança
nos
estágios
iniciais
do
desenvolvimento de software. Muitos sistemas de informação sejam
desenvolvidos internamente, ou por terceiros, não são projetados tendo em
vista a segurança como uma de suas prioridades. É comum que
características de segurança (por exemplo, relacionadas à definição de
níveis de permissão de acesso a funcionalidades, segregação de atividades
no sistema etc.) sejam adicionadas nas etapas finais de desenvolvimento,
quando sua eficácia já pode ter sido prejudicada por decisões de projeto
tomadas sem levar em conta os requisitos de segurança.
As ameaças a que estão submetidas as informações corporativas não são
eliminadas somente por meio da segurança da informação baseada em TI. O
mapeamento das informações críticas na organização, contidas fora dos sistemas
informatizados, proporcionará aos responsáveis pela segurança desses ativos
planejar e implementar ações necessárias para a sua proteção (BEAL, 2008, p. 9).
Para manter os ativos de informação protegidos, as organizações devem
adotar controles de segurança que garantem a proteção de seus recursos (BEAL,
2008, p. 10). A fim de obter êxito nesse empreendimento, “toda organização precisa
adquirir uma visão sistêmica das suas necessidades de segurança, dos recursos a
serem protegidos e das ameaças às quais está sujeita, para então poder identificar
21
as medidas de proteção mais adequadas, economicamente viáveis e capazes de
reduzir ou eliminar os principais riscos para o negócio” (BEAL, 2008, p. 10).
2.2.3 Segurança da informação e auditoria em TI
Beal (2008, p.10) destaca que a preocupação com os controles e
mecanismos de proteção dos ativos de TI deve permear todos os trabalhos de
auditoria, requerendo do auditor, especial atenção quanto à efetividade dos
procedimentos adotados pela organização em relação ao objeto que está avaliando
em seu trabalho (processo, serviço, sistema, atividade etc.), observando, mesmo
que indiretamente, os aspectos relacionados à segurança.
Em relação à segurança dos componentes de TI, devem ser realizadas
auditorias periódicas, por indivíduos não vinculados às atividades auditadas, com o
intuito de verificar o atendimento aos princípios e diretrizes estabelecidos pela
política de segurança da informação. Beal (2008, p.10) sugere, ainda, a realização
de auditorias internas e externas para garantir a independência das análises.
2.3 Auditoria de Tecnologia da Informação
2.3.1 Considerações sobre auditoria
Para compreender o papel da auditoria nas organizações, e em especial o da
auditoria de tecnologia da informação, faz-se necessário, inicialmente, identificar as
suas características e formas de atuação.
A auditoria auxilia a organização a alcançar seus objetivos adotando uma
abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos
processos de gerenciamento de riscos, de controle, e governança corporativa (IIA,
2004, p. 9).
As categorias mais comuns são: auditoria interna; auditoria externa e auditoria
articulada (DIAS, 2000, p.11).
A auditoria interna é uma atividade de avaliação independente, de
assessoramento e consultoria à administração das empresas públicas e privadas,
realizada por funcionários do próprio quadro da organização. Segundo o Institute of
Internal Auditors (IIA, 2004, p. 9), auditoria interna é uma atividade independente, e
objetiva que presta serviços de avaliação (assurance) e de consultoria e tem como
objetivo adicionar valor e melhorar as operações de uma organização.
22
A auditoria externa, de acordo com Dias (2000, p. 11), é realizada por
instituição externa e independente da entidade fiscalizada, com o objetivo de emitir
um parecer sobre a gestão de recursos da entidade, sua situação financeira, a
legalidade e regularidade de suas operações.
Os trabalhos desenvolvidos pelas auditorias internas e externas são
semelhantes. As duas categorias, dentre outros aspectos comuns, fazem uso das
mesmas técnicas de auditorias; e tem os controles internos da organização como
direcionadores de seus trabalhos além de apresentam sugestões de melhorias
frente às fragilidades observadas (DIAS, 2000, p.11).
A terceira categoria é a articulada, que resulta do trabalho conjunto de
auditorias internas e externas (DIAS, 2000, p. 11).
2.3.2 Objetivos da auditoria de TI
O processo de auditoria de TI, busca o entendimento do objeto auditado com
o intuito de conhecer os riscos a que está sujeito e suas principais medidas de
controles adotadas - avaliando a sua adequação, o seu funcionamento, sua
efetividade e suas potenciais e reais conseqüências, na ocorrência de um evento
não desejado, da mesma maneira que a auditoria em geral. Assim, a auditoria de TI
permite realizar avaliação dos controles instituídos pela organização, possibilitando
identificar fragilidades e estimular a correção dos problemas ou das não
conformidades apuradas (HANASHIRO, 2007, p.78).
Atuando em todos os sistemas de informação da organização, nos níveis
estratégicos, gerencial e operacional, a auditoria de TI tem como linhas mestras de
atuação:
•
Auditoria de sistemas em produção: abrange os procedimentos e
resultados dos sistemas de informação já implantados (características:
preventiva, detectiva e corretiva).
•
Auditoria durante o desenvolvimento de sistemas: abrange todo o
processo de construção de sistemas de informação, desde a fase de
levantamento do sistema a ser informatizado até o teste e implantação
(característica preventiva).
•
Auditoria do ambiente de tecnologia da informação: abrange a análise
do ambiente de informática em termos de estrutura orgânica, contratos de
23
software e hardware, normas técnicas e operacionais, custos, nível de
utilização dos equipamentos e planos de segurança e de contingência.
•
Auditoria de eventos específicos: abrange a análise da causa, da
conseqüência e da ação corretiva cabível, de eventos localizados que não
se encontram sob auditoria, detectados por outros órgãos e levados ao seu
conhecimento (característica corretiva) (SCHMIDT; SANTOS; ARIMA, 2006,
p. 22-23).
2.3.3 Atividades básicas da auditoria de TI
De acordo com Hanashiro (2007, p. 31), as principais áreas Auditoria de TI
são:
•
Auditoria de Dados: Ações de controle cujo objeto é uma base de dados a
ser analisada com o auxílio de um software de análise de dados (ex. ACL1)
utilizando-se critérios estabelecidos em função da informação presente na
base de dados.
•
Auditoria de Infra-Estrutura: Ações de controle cujo objeto é a infraestrutura tecnológica (ex. sistema operacional, redes, etc.), exigindo
conhecimento técnico aprofundado da área.
•
Auditoria de Gestão de TI: Ações de controle cujo objeto é a própria
Gestão da TI, envolvendo análise das atividades de planejamento,
execução e controle dos processos de TI da Unidade examinada.
•
Auditoria de Segurança: Ações de controle envolvendo análise ou
contratos cujos objetos são bens ou serviços de TI.
•
Auditoria de Aplicativos: Ações de controle envolvendo a análise de
software tanto do ponto de vista operacional quanto do ponto de vista legal
(HANASHIRO, 2007, p. 31).
Essa diversidade de áreas de atuação exige que o auditor tenha amplos
conhecimentos em TI ou que se formem equipes com componentes que possuem
conhecimentos requeridos pelas áreas que compõem o escopo do trabalho de
auditoria a ser realizado.
1
ACL (Audit Command Language - http://www.acl.com/) é uma ferramenta utilizada para extração e
análise de dados, detecção de fraudes e monitoramento, desenvolvida no Canadá pela empresa ACL
Service.
24
2.4 Auditoria em Transações Eletrônicas por meio de Análise de
Dados
2.4.1 Fases da auditoria por análise de dados
As etapas da auditoria por análise de dados seguem os mesmos princípios
adotados pelas demais áreas de auditoria. A seguir, serão apresentados os passos
necessários para realização de um trabalho com essa abordagem.
Todo trabalho de auditoria começa de uma necessidade previamente
identificada e relevante para a organização, que passa a ser o fato direcionador para
sua realização. Um exemplo seria “o aumento da ocorrência de fraudes utilizando o
autoatendimento via internet” de uma dada organização financeira.
Uma vez apresentada uma necessidade da organização, é definido o objeto
de trabalho que será analisado. Um exemplo relacionado a uma instituição financeira
seria “análise da evolução da ocorrência de fraudes via internet em um determinado
período”.
O passo seguinte é o estabelecimento, de forma clara, dos objetivos e do
escopo almejados. Segundo Pinto (2009, p. 39), enquanto os objetivos estão
vinculados com os resultados esperados ao final da análise de dados, o escopo
define a abrangência e os delimitadores do trabalho, devendo ser suficiente para
atender aos objetivos da demanda de auditoria.
Definidos objeto, objetivo e escopo do trabalho, na etapa seguinte serão
elaborados os testes utilizados na obtenção de informações que suportarão as
conclusões do trabalho.
Estabelecidos os testes, o próximo passo é a modelagem (definição) de
bases de dados (atributos, formatos, periodicidade, filtros etc.) que serão extraídas
dos repositórios corporativos.
A escolha da ferramenta que será utilizada na análise de dados deverá
considerar a dimensão do arquivo gerado, os testes que serão realizados (sua
complexidade: análise estatística, relacionamento de arquivos com muitos registros
etc.), a experiência do auditor, bem como questões relacionadas à documentação
dos procedimentos de análise (registros das que suportarão as conclusões).
Definida a ferramenta, o passo seguinte é a preparação da base que será
analisada. Um momento importante no trabalho de auditoria por análise de dados é
a validação da base solicitada. O auditor não deve partir do princípio de que dados
25
extraídos de ambientes computacionais, por si só, são confiáveis. Para serem
utilizados, os dados devem ser completos (sem omissões ou inclusões indevidas
capazes de distorcer as análises) e exatos (sem incorreções significativas nos
valores atribuídos), bem como representativos.
A determinação da confiabilidade dos dados deve ocorrer independentemente
do responsável pela sua geração, e ser iniciada ainda na fase de planejamento da
auditoria. Caso os dados que serão utilizados não forem suficientemente confiáveis
para o alcance dos objetivos da auditoria, eles não poderão ser utilizados como
evidência (TCU, 1998, p.16).
Uma vez validada a base de dados, o próximo passo é a aplicação dos testes
previamente elaborados para o trabalho, cujos resultados deverão suportar as
conclusões e atender os objetivos propostos da auditoria. Os resultados dos testes e
demais evidências que subsidiaram o trabalho de Auditoria por Análise de Dados
devem ser adequadamente registrados, permitindo a pesquisa de quaisquer
informações quando for requerida.
A finalização do trabalho de Auditoria por Análise de Dados ocorre no
momento da comunicação dos seus resultados, com a confecção do relatório de
auditoria, com a emissão das recomendações ou mesmo por meio de informe para
outras áreas de auditoria relatando os seus achados. As fases da Auditoria por
Análise de dados são descritas na Figura 1.
Objetivos
Motivadores do
Trabalho
Objeto
Escopo
Elaboração dos
Testes
Especificação das
bases de dados
Obtenção dos
dados
Escolha da
ferramenta e prep.
dos dados
Validação das
bases de dados
Aplicação dos
testes
Documentação
Comunicação dos
resultados
Figura 1: Fases da Auditoria por Análise de Dados (Fonte: Pinto, 2009, p. 39).
26
2.4.2 Ferramentas CAAT
O excesso de informações é uma realidade que ao invés de contribuir para o
nosso entendimento sobre o ambiente que nos cerca, pode, ao contrário, atrapalharnos se não dispormos de uma ferramenta capaz de filtrar e customizar essa
profusão de dados em atendimento aos nossos propósitos. Nesse sentido, pode-se
afirmar que é impossível viver sem os computadores e que no momento precisamos
de softwares com capacidade necessária para auxiliar-nos na árdua tarefa de
tratamento das informações (DELOITTE, 2001, p. 47).
No contexto da auditoria essa constatação também está presente. Por isso, o
uso de técnicas de auditoria com auxílio do computador, torna-se cada vez mais
indispensável, pois propicia economia de tempo e, conseqüentemente, redução de
custos (DELOITTE, 2001, p. 47).
As técnicas de auditoria auxiliadas por computador possibilitam a realização
de um conjunto de procedimentos úteis na execução de auditorias, podendo ser
aplicadas em testes de controles gerais, testes de detalhes de transações, testes
analíticos e substantivos, e amostragem. Além disso, elas auxiliam na extração,
sorteio, seleção de dados e transações, atentando para discrepâncias (duplicidades,
dados ausentes, formatos inválidos) e desvios (HANASHIRO, 2007).
De acordo com Imoniana (2006) e Hanashiro (2007), as ferramentas CAATs
podem ser classificadas em generalistas, especialistas e utilitárias.
As generalistas possuem aplicações variadas como extração de dados,
sumarização, testes globais, apontamento de duplicidades, seleção de amostra.
Além disso, existem aquelas voltadas para os processos e fases da auditoria,
contemplando desde a etapa de planejamento até a geração de relatório. São
exemplos de aplicações generalistas o ACL (ACL, 2011), o PICALO (PICALO, 2011)
e o SAS (SAS, 2011).
As vantagens principais vantagens dessas aplicações são permitir o
processamento conjunto de diversos com formatos diferentes de bases (EBCDIC ou
ASCII, por exemplo) e fazer integração sistêmica com vários tipos de softwares e
hardwares. Contudo, apresentam a desvantagem de envolver a gravação de dados
(arquivos) em separado para análise e a carência de aplicações para ambiente online.
Os aplicativos especialistas, por sua vez, são aqueles desenvolvidos
especialmente para atender as necessidades do auditor no desenvolvimento de
27
suas atividades, construído por ele próprio, pelos especialistas da entidade auditada
ou por profissionais contratados pelo auditor (IMONIANA, 2005).
As desvantagens desses aplicativos estão no uso restrito ao cliente ou
atividade avaliada e a complexidade e altos custos de manutenção e atualização.
Em relação aos aplicativos utilitários, pode-se dizer que são todos aqueles
que não foram desenvolvidos especificamente para atender as demandas da área
de auditoria, no entanto, auxiliam no processo (IMONIANA, 2005; HANASHIRO,
2007). São exemplo, as planilhas eletrônicas, os editores de textos e os sistemas de
bancos de dados.
A vantagem desses softwares é que eles podem ser utilizados como
alternativas na ausência de outros recursos, ou até mesmo como auxiliares no
processo. Além disso, estão presentes na maioria dos computadores, como parte
dos pacotes de aplicativos disponibilizados. Como desvantagem, destaca-se a sua
limitação quanto aos recursos e aplicabilidade frente às necessidades dos trabalhos
de auditoria, bem como a presença de mecanismos que garantam segurança e
confiabilidade na execução das atividades do auditor.
O uso das ferramentas CAATs na auditoria, e em especial na auditoria por
análise de dados, oferece inúmeros benefícios: possibilidade de auditar a distância e
a totalidade dos dados; redução do tempo de permanência na unidade auditada;
redução de custos; preparação prévia de auditorias (geração de amostras ou
identificação de fragilidades que demandem atuações tempestivas); utilização de
dados mais recentes, tornando o trabalho mais atualizado e com maior relevância; e
diminuição dos riscos de auditoria em decorrência da automação dos procedimentos
(BRAGA, 2008; FEBRABAN ; DELOITTE, 2003; TREVISAN AUDITORES, 1999).
2.4.3 Auditoria em transações eletrônicas
A transação eletrônica é considerada como uma ação ou sequência de ações
executadas como se fosse uma unidade atômica. Por meio das transações
eletrônicas é que são efetivadas as consultas e alterações de dados nos sistemas
informatizados. Sob visão orgânica, as transações eletrônicas estariam presentes
nas atividades sistematizadas e automatizadas, permeando todas as funções vitais
da instituição (SANTOS, 2011).
As transações devem apresentar funcionalidade coerente com as regras de
negócio, sob pena de perda da confiabilidade na base de dados e consequente
28
comprometimento das relações existentes entre a instituição, os usuários e seus
clientes.
A auditoria em transações eletrônicas deve abranger todas as fases de uma
transação (criação/alteração, operação e monitoramento) identificando riscos
inerentes à operação e considerando as características.
Conforme Santos (2011), a auditoria em transações eletrônicas busca avaliar
se as normas estão expressamente registradas, se os mecanismos de controle são
suficientes para seu monitoramento e acompanhamento e se as funcionalidades do
sistema, em suas restrições de acesso e de uso, contemplam as regras de negócio.
Denomina-se de restrição de acesso a medida que restringe o direito de
acesso de um usuário a determinado sistema ou transação (SANTOS, 2011). A
restrição de acesso é uma das medidas de segurança da informação adotadas pelas
organizações, aplicada às transações eletrônicas. Considerando as fraudes e falhas
em serviço, que acontecem mediante o acesso legítimo ou não, à determinada
transação, a suficiência de segurança da transação não pode ser determinada
somente pela aplicação de restrições de acesso. Nessas situações (falhas e
fraudes), a utilização da transação pode ocorrer em situação atípica, não prevista
nas instruções ou em passo de desobediência àquelas existentes. A forma como
ocorrerá esse uso é que pode comprometer a segurança da ação.
Entende-se por restrição de uso aquela em que um usuário, possuindo
acesso à transação, fica temporariamente impedido de operá-la devido a
característica do usuário, do cliente, do local onde está sendo realizada a transação
ou outros parâmetros estabelecidos pelo gestor de negócio (SANTOS, 2011).
A ausência de regras de negócio implementadas em transações e sistemas
indica um nível de controle inadequado, uma vez que permite novas ocorrências de
utilização indevida de transações eletrônicas. A aplicação de restrição de uso em
transações eletrônicas, de forma que sua manipulação esteja automaticamente
limitada às condições previstas nas regras de negócio, poderia minimizar esta
fragilidade (Figura 2). Para tanto, é imprescindível conhecer o ambiente onde a
transação é operada (local e intervenientes), em todo seu contexto: criação,
operação, monitoramento, restrições de acesso, restrições de uso.
29
Figura 2: Ciclo de utilização indevida de transações (Fonte: Santos, 2011).
Santos (2011) afirma que o contexto de atuação da transação eletrônica é
definido e restrito a regras de negócio, normalmente presentes nos normativos
internos, nos contratos estabelecidos entre a organização seus clientes/usuários, na
legislação atinente à atividade da empresa, e em diversas outras fontes internas e
externas, tais como: especificações, manuais, planos de negócio, relatórios internos,
atas de reuniões, correspondências, padrões definidos por organizações oficiais,
códigos de prática e padrões de referência.
As transações eletrônicas utilizadas em negócios necessitam da ação
humana para produzir determinado resultado além de estarem sempre vinculadas à
alguma “regra de negócio”, as quais “definem ou restringem algum aspecto do
negócio”(SANTOS, 2011).
Dessa forma, o risco de uso indevido de determinada transação eletrônica
seria inversamente proporcional ao conteúdo de regras de negócio implementadas
ao sistema. Quanto maior a quantidade de regras de negócio, maior o custo de
implementação do sistema e menor a possibilidade de uso indevido da transação
eletrônica, pois depende menos da condição do usuário (Figura 3). Sendo assim,
deve-se observar a criticidade da informação acessada bem como os riscos
envolvidos quando do planejamento da adoção dos controles em um sistema.
30
Figura 3: Relação entre regras de negócio e uso indevido de transações
(Fonte: Santos, 2011).
31
3 Metodologia
3.1 Abordagem e tipo de pesquisa
Este
trabalho
caracteriza-se
pela
pesquisa
descritiva
abordando
a
organização e a sistematização do conhecimento sobre auditoria e controle,
segurança da informação, transações eletrônicas, técnicas e ferramentas de análise
de dados, bem como suas inter-relações.
Em se tratando de tipologia, a pesquisa pode ser classificada como estudo de
caso por meio do qual se avaliou a aplicação da auditoria em transações eletrônicas
com foco na segurança. A escolha baseou-se no aproveitamento da prática obtida
ao longo das tarefas realizadas nas disciplinas do curso, na atividade profissional do
autor e no ambiente necessário para realização da pesquisa. Yin (2010, p. 38)
destaca que os contextos a serem analisados podem ser escolhidos conforme a
finalidade.
Essa metodologia prevê o entendimento do processo e seus principais riscos
passíveis de monitoração, a aplicação de testes e promoção de resultados com
confiabilidade por ser um método amplamente praticado em grandes organizações.
3.2 Delineamento da Pesquisa
A pesquisa foi delineada por uma sequência lógica interligando os objetivos
do trabalho, às questões propostas, aos dados coletados e finalmente às conclusões
obtidas. Contemplou inicialmente uma revisão bibliográfica compreendendo a leitura
de teses, artigos, livros, documentos internos da instituição e a consulta a sítios de
Internet. A metodologia foi definida e aplicada por meio de coleta e análise de dados
que envolveram testes computacionais e entrevistas. Os resultados foram
analisados fornecendo subsídios às conclusões.
32
3.3 Métodos e técnicas de pesquisa
3.3.1 Para definição da metodologia a ser aplicada
O método planejado para definir a metodologia consistiu do seguinte:
•
Revisão da literatura.
•
Correlação dos trabalhos.
•
Consolidação dos aspectos relevantes em cada fonte analisada.
•
Definição da metodologia usada no estudo de caso.
3.3.2 Para aplicação da metodologia escolhida
Após definida, a metodologia foi aplicada por meio de estudo de caso na
análise de transações eletrônicas de sistemas contábeis da organização em que o
autor trabalha. Tais sistemas são considerados críticos para a empresa e a
identificação de possíveis fragilidades foi realizada nas dependências da auditoria
interna, para preservação da confidencialidade das informações.
Para identificar possíveis fragilidades foi elaborado questionário, como
previsto na metodologia de auditoria, contemplando vinte e uma perguntas
agrupadas conforme segue:
•
Bloco 1: Identificação da Transação Eletrônica (TE):
1.1 Informe a quantidade de usuários com acesso à TE sob análise.
•
Bloco 2: Existência, clareza, e disponibilidade das regras de negócio
vinculadas direta ou indiretamente à TE:
2.1 As normas indicam quem é o Gestor responsável pelas informações
acessadas pela TE?
2.2 Existe regra de negócio publicada nas instruções internas vigentes
vinculadas à informação acessada pela TE?
2.3 Existe regra de negócio relativa à restrição de acesso à TE sob análise?
2.4 As regras de negócio determinam alguma restrição de uso da
informação acessada pela TE?
•
Bloco 3: Classificação da Transação Eletrônica:
3.1. Qual classe de confidencialidade foi atribuída à TE?
3.2. A classe de confidencialidade atribuída à TE está compatível com a
confidencialidade da informação acessada pela TE?
3.3. Qual a categoria de acesso a dados foi atribuída à TE?
33
3.4. A categoria de acesso a dados atribuída a TE no aplicativo Gerenciador
de Acessos está compatível com a funcionalidade da transação?
3.5. O gestor adota procedimento para revisão das características da TE?
•
Bloco 4: Restrições de acesso aplicadas à TE:
4.1. Existe restrição de acesso aplicada à TE?
4.2. As restrições de acesso previstas nos normativos estão aplicadas na
TE, no aplicativo Gerenciador de Acessos?
4.3. As restrições de acesso aplicadas à TE são suficientes para garantir
que a transação seja utilizada de forma adequada?
4.4. Os tipos de usuário com acesso à transação estão compatíveis com a
confidencialidade da informação acessada pela TE?
4.5. As atribuições da função do usuário que acessa a TE são compatíveis
com aquelas determinadas nas rotinas da atividade onde inserida a TE?
4.6. As áreas autorizadas a acessar a TE executam atividades relacionadas
à informação acessada pela TE?
•
Bloco 5: Restrições de uso aplicadas à TE
5.1. Existe restrição de uso aplicada à TE?
5.2. Existe segregação de uso para efetivação da TE?
•
Bloco 6: Acompanhamento e Monitoramento
6.1. Existe monitoramento do uso da TE pelo Gestor?
6.2. Existe registro de log/histórico para a TE sob análise?
6.3. Existe opção de consulta de log/histórico da TE em sistema
corporativo?
A fim de responder às questões, foram utilizados procedimentos de coleta de
dados e testes computacionais com ferramentas CAAT blocos 1 à 5) em conjunto
com entrevistas semi-estruturadas com os gestores dos sistemas (questões do bloco
6).
Os dados referentes às transações estudadas foram coletados por meio de
consulta ao aplicativo corporativo de controle de acesso e transações, com o uso de
Solução Automatizada de Captura de Informações (SACI). Esta solução utiliza-se de
bibliotecas que combinam a linguagem VBA (Visual Basic for Applications) presente
no software MS-Access, com o emulador de terminal IBM 3270, para acesso ao
ambiente Mainframe. Dessa forma, obteve-se a captura das informações em tela e
armazenou-se em banco de dados para posterior utilização.
34
Aos dados gerados foram aplicados procedimentos de validação que
consistiram na verificação e eliminação de duplicidades e comparação de amostra
de registros com os sistemas de origem.
Posteriormente, para responder aos quesitos, foram realizados testes por
meio de operações de classificação, sumarização e cruzamento de dados com as
seguintes bases corporativas:
•
Tabela de descrição e caracterização de usuários contemplando cargo,
função e setor de trabalho;
•
Tabela descritiva de tipos de restrição de acesso;
•
Tabela
descritiva
de
gestor
responsável
e
confidencialidade
da
informação.
Os procedimentos de validação e de testes foram executados, com a
ferramenta ACL devido a sua capacidade de realizar operações de análise de dados
com agilidade mesmo para grandes volumes de dados, além de possuir uma ampla
gama de funcionalidades aplicáveis à auditoria.
O equipamento utilizado nas tarefas foi um microcomputador de mesa com
processador Intel Core 2 Duo 3 GHz com memória RAM de 4 Gb e disco rígido de
500 Gb, utilizando sistema operacional MS-Windows Vista Business/Service Pack 1,
e solução de automação de escritório MS-Office 2002. Esta configuração é similar
aos equipamentos usados pelas áreas de auditoria, segurança e gestão de negócios
da empresa.
As entrevistas seguiram um roteiro caracterizado com a apresentação do
trabalho e das questões referentes ao acompanhamento e monitoramento (bloco 6).
Geralmente participavam cerca de dois analistas, dentre aqueles funcionários
diretamente envolvidos com a especificação e aprimoramento dos sistemas
avaliados, de cada uma das quatro áreas de negócios.
Os participantes apresentaram suas considerações à cerca dos requisitos de
segurança que considerassem mais relevantes nos sistemas avaliados e, ao final,
registraram a atividade em documentos denominados “memória de reunião”. Esses
documentos possuem caráter sigiloso e encontram-se arquivados digitalmente na
Intranet da organização, na área reservada a Auditoria Interna.
35
3.4 Delimitação do caso
As atividades, realizadas entre os meses de maio e julho de 2011,
contemplaram a análise de quatro sistemas contábeis da organização que tiveram
quarenta e uma transações analisadas. Estes sistemas foram escolhidos por sua
importância no processo de apuração do resultado financeiro da empresa
correspondendo a 50% dos sistemas contábeis corporativos. As transações
selecionadas para teste representam cerca de 80% das existentes nos sistemas
avaliados que, por sua vez, correspondem a um quarto de todas as transações
corporativas para apuração contábil. Por motivos de sigilo, os nomes da empresa,
dos sistemas e transações foram descaracterizados.
Não foi objeto de avaliação o processo de desenvolvimento das transações
eletrônicas, devido à impossibilidade de acesso às documentações de projeto dos
sistemas. A infraestrutura de TI que suporta as aplicações é composta por
equipamentos de rede e servidores compartilhados com outros sistemas, não
objetos do trabalho.
3.5 Limitações da pesquisa
Segundo Yin (2010, p.35), o método de estudo de caso é por vezes
considerado deficiente pelos pesquisadores sociais, pois os resultados obtidos não
podem ser generalizados. O autor afirma que os fatos científicos são normalmente
baseados em vários experimentos, que replicam o mesmo fenômeno sob diferentes
condições. Assim, para que lógica semelhante pode ser aplicada aos estudos de
caso, os experimentos devem ser generalizáveis para proposições teóricas e não
para populações ou universos.
Devido à quantidade limitada de transações e sistemas avaliados, poderão
ocorrer resultados distintos se a metodologia for aplicada para análise de um
número maior de transações e sistemas.
Outra limitação trata de possível influência do pesquisador nos resultados,
quando utilizando o método estudo de caso. Para minimizar tal influência, foi
seguido roteiro de auditoria padrão, utilizado corporativamente para o tipo de análise
realizada.
36
4 Resultados
4.1 Definição da metodologia
Durante a fase de revisão bibliográfica, foram avaliados, dentre outros, os
trabalhos de Arrial (2009), Hanashiro (2007), Pinto (2009) e Santos (2011). Nos três
primeiros, foram demonstradas as possibilidades de utilização de ferramentas
computacionais como alternativa para realização de testes de auditoria com maior
agilidade. O trabalho de Santos, por sua vez, avaliou os aspectos de segurança em
transações
eletrônicas,
notadamente
aqueles
envolvendo
identificação
e
classificação, adequação às regras de negócio, restrições de acesso e uso, e
acompanhamento e monitoramento de transações.
Ao se buscar uma forma ágil de avaliar a segurança de transações
eletrônicas, correlacionou-se os trabalhos, obtendo-se uma proposta convergente
que consistiu, resumidamente, da utilização do método corporativo de auditoria de
análise de dados para avaliação das transações eletrônicas com auxílios de
ferramentas CAAT do seguinte modo:
• Aplicação de ferramentas CAAT em conjunto com a avaliação de aspectos
de segurança das transações eletrônicas.
• Delimitação do escopo das análises com a escolha dos sistemas e
transações.
• Elaboração dos quesitos de avaliação de segurança.
• Obtenção e validação dos dados dos sistemas.
• Aplicação dos testes computacionais.
• Comunicação dos resultados.
37
Nessa etapa da pesquisa, deve-se considerar a influência que a experiência
profissional do autor exerceu na formulação da proposta dada sua atuação há três
anos em auditoria por análise de dados.
4.2 Aplicação da metodologia
Após definida a metodologia, partiu-se para a seleção dos sistemas e
transações. Foram escolhidos quatro sistemas críticos com funções contábeis
totalizando quarenta e uma transações eletrônicas.
A seguir, passou-se à execução da atividade de captura automatizada
conforme detalhado no item 3.3.2. Foram gerados quatro arquivos em formato
Microsoft Access (um para cada sistema avaliado) contendo o resultado das
consultas ao sistema de gerenciamento e controle de transações eletrônicas.
As questões referentes à identificação e classificação, adequação às regras
de negócio, restrições de acesso e uso foram respondidas com a análise dos dados
capturados e das operações de ordenamento, sumarização e cruzamento de dados
com as bases corporativas, por meio da ferramenta ACL. Já as respostas relativas
ao bloco acompanhamento e monitoramento foram obtidas por meio das entrevistas.
Destaca-se que, sem a utilização de ferramentas CAAT, a duração
aproximada de trabalhos semelhantes foi de quinhentas horas, porém o estudo de
caso realizado consumiu cerca de quarenta horas.
O apêndice apresenta os resultados detalhados para as transações dos
sistemas “A”, “B”, “C”, e “D”. As fichas são compostas por colunas contendo as
questões aplicadas seguidas dos resultados dos testes. As respostas negativas
indicam possíveis falhas ou fragilidades dos sistemas avaliados. Os resultados,
consolidados por sistema, estão descritos a seguir.
4.2.1 Avaliação do Sistema “A”
O sistema “A” apresentou respostas negativas nos quesitos referentes às
restrições de uso e segregação de uso das transações. Isto significa que as
restrições de uso das transações são insuficientes para impedir os usuários de
atualizarem o sistema com informações incorretas. Além desse fato, a ausência de
segregação de uso permite que uma atualização indevida possa sensibilizar o
sistema “A” podendo inclusive produzir reflexos em outros aplicativos corporativos.
Outro fato constatado refere-se às restrições de acesso previstas nos normativos
38
das três transações e que estão parcialmente implantadas permitindo que usuários
não envolvidos com o processo consultem ou executem transações indevidamente.
Os demais aspectos analisados apresentaram respostas positivas para as
transações avaliadas.
4.2.2 Avaliação do Sistema “B”
Para o sistema “B”, foi avaliada a totalidade do aplicativo compreendendo seis
transações.
Por meio do quesito 2.4 evidenciou-se a inexistência de regras de negócio
que determinassem restrições de uso da informação acessada pelas transações. A
incerteza quanto às regras de negócio prejudica os desenvolvedores durante a
implementação de restrições de uso que tem por objetivo minimizar incorreções na
atualização de informações corporativas O quesito 5.1 apresentou resultado
negativo para a existência de restrições de uso nas transações eletrônicas, cujo
impacto foi descrito no item 4.2.1.
O sistema “B” apresentou ainda, respostas negativas nos quesitos referentes
à restrição de acesso, notadamente para as transações “B3-Em validação”, “B4Validar” e “B5-Fechar” implicando no risco de execução por usuários não envolvidos
com serviço.
Os outros aspectos analisados não apresentaram respostas negativas.
4.2.3 Avaliação do Sistema “C”
O sistema “C” possui um total de doze transações ativas sendo todas
avaliadas. Os testes apresentaram respostas negativas quanto à compatibilidade
entre a funcionalidade e a categorização das transações (3.4 - categoria de acesso)
para onze transações. A exceção ocorreu para a transação “C02-Autorizar”. O fato
de apresentar classificação incorreta quanto à categoria de acesso possibilita que
usuários com perfil de desenvolvedores tenham permissão para atualizar
informações corporativas, em divergência com a função lhes atribuída pelos
normativos internos.
Os quesitos de avaliação de restrições de acesso apresentaram respostas
negativas para dez transações. As transações “C06-Log” e “C11-Abertos” foram
exceções nesses quesitos por apresentarem respostas positivas às avaliações.
Os demais itens testados não apresentaram respostas negativas aos testes.
39
4.2.4 Avaliação do Sistema “D”
O estudo do sistema “D” contemplou vinte transações avaliadas. Em dez
transações, obtiveram-se respostas negativas ao teste que trata da compatibilidade
entre a funcionalidade e a categorização da transação (quesito 3.4). Igual número de
transações avaliadas resultou em não positivos para dois quesitos que tratam da
conformidade de restrições de acesso. O impacto de tais inconformidades já foi
tratado no item 4.2.3.
Os demais testes referentes à restrição de uso, acompanhamento e
monitoramento, identificação da transação e existência de regras de negócio
apresentaram respostas positivas. No item classificação da transação, destaca-se
que o gestor adota procedimentos de revisão das transações.
40
5 Discussão
5.1 Metodologia Adotada
A proposta de unir os conceitos com o objetivo de prover maior agilidade
trouxe uma nova perspectiva de abordagem para a auditoria de transações
eletrônicas. Em termos práticos, um processo que antes demoraria dias ou semanas
se executado manualmente, agora pode ser concluído em cerca de 10% do tempo
com o auxílio das ferramentas CAAT.
A opção pelo uso de questionário para verificação da segurança das
transações procurou avaliar os principais riscos inerentes à identificação e
classificação, adequação às regras de negócio, restrições de acesso e uso, e
acompanhamento e monitoramento de transações eletrônicas, por meio de questões
usualmente empregadas em atividades de auditoria. Ao se utilizar dessa
abordagem, este trabalho integra-se aos anteriormente realizados na instituição
contribuindo para a análise global da segurança dos sistemas corporativos.
5.2 Aplicação da Metodologia
A escolha das ferramentas computacionais dependeu dos dados analisados e
da infraestrutura disponível. Nesse estudo, optou-se por utilizar o software MSAccess para captura das informações e o ACL para os testes. A razão para escolha
do MS-Access decorre da facilidade do autor com a programação em linguagem
VBA e a disponibilidade de automatizar a consulta aos sistemas corporativos. Já a
opção pelo ACL para realização dos testes deveu-se à necessidade de se relacionar
bases de dados com origens distintas, além da experiência do autor com o software.
Para bases de dados com grande volume de registros, torna-se relevante a
41
combinação de aplicativos (ACL e SAS, por exemplo) e equipamentos que as
suportem.
Uma característica desse trabalho é que os mesmos testes executados pela
ferramenta ACL poderiam ser realizados com o uso do próprio MS-Access (utilizado
para captura) ou do MS-Excel. Tal fato deveu-se à quantidade reduzida de sistemas
e transações envolvidos. Para que fosse possível a substituição do ACL, haveria a
necessidade de conversão das bases corporativas, o que implicaria em novas
etapas consumindo mais recursos e tempo. Isso sugere que pacotes de automação
de escritório instalados em computadores pessoais podem ser utilizados para
execução de análise de dados em ampla gama de organizações sejam públicas ou
privadas com investimentos reduzidos em ferramentas e infraestrutura.
Outra observação destaca o benefício do uso das ferramentas CAAT. Quando
realizados manualmente, os testes tendem a durar semanas até a finalização das
consultas aos sistemas corporativos. Contudo, observou-se um tempo notadamente
menor usando as ferramentas.
Quanto às entrevistas com os gestores destacam-se a importância da
participação dos analistas responsáveis pelos projetos dos sistemas na elucidação
das questões referentes ao monitoramento e acompanhamento, e a receptividade
dos mesmos aos requisitos de segurança da informação.
As considerações sobre os resultados dos testes de segurança estão
descritas a seguir.
5.2.1 Identificação das Transações Eletrônicas
A atividade de identificação das transações eletrônicas teve como objetivo
averiguar a qualidade do registro das características básicas de uma transação
(nome, descrição, responsável e etc.). Pode-se constatar que todas as transações
avaliadas possuíam código, descrição correspondente, classificação da criticidade
da informação e a definição do responsável. Também foi possível avaliar a
quantidade de usuários com acesso às transações. Percebem-se em determinadas
transações, notadamente de confirmação, o reduzido número de usuários com
acesso (menor que dez). Isso denota o emprego da prática do privilégio mínimo
quando da concessão dos acessos colaborando com a minimização dos riscos à
segurança da informação.
42
5.2.2 Existência, Clareza e Disponibilidade das Regras de Negócio
Além da identificação das características básicas das transações, foram
observadas se as regras definidas pelo gestor do negócio estavam aplicadas às
transações. Neste quesito, todas as TE apresentavam algum tipo de condição
negocial restritiva. Por opção dos gestores, algumas transações não possuíam, em
seus normativos, restrições de acesso ou uso explícitas, fato verificado no exame
das instruções e ratificado durante a entrevista. Analisado sob a ótica de um usuário,
este fato pode sugerir que não estando impedido de praticar um ato inseguro ou
ilícito, ele assim o possa fazer. Isso contraria os aspectos de segurança da
informação, para o qual aquilo que não está expressamente permitido, é por
princípio impedido. Sendo assim, a omissão nas regras de negócio denota uma
fragilidade na segurança dos sistemas avaliados. Esta fragilidade não é maior
devido ao comprometimento dos usuários (em grande parte funcionários de
carreira), o que não impede possíveis falhas operacionais não intencionais.
5.2.3 Classificação da Transação Eletrônica
Ao se avaliar a classificação das transações eletrônicas tinha-se por princípio
verificar a criticidade e a categorização das mesmas. Observou-se que a
classificação quanto à criticidade foi adotada corretamente mantendo-se coerência
entre as informações acessadas e seu grau de confidencialidade. Nenhuma
transação avaliada foi classificada como pública, sendo à maioria atribuída o nível
de restrita ou confidencial. Por outro lado, a categorização das transações
apresentou considerável número de divergências. Transações classificadas
indevidamente como de manutenção técnica ou consulta possuíam função de
atualização. Tal inconformidade permite que desenvolvedores de sistemas possam
executar procedimentos unicamente autorizados aos usuários com perfil negocial,
contrariando os normativos de segurança da instituição. Esta falha, apontada nos
sistemas C e D, pode gerar incidentes de segurança com conseqüências para os
clientes externos à empresa. Não obstante, percebe-se que o risco de classificação
incorreta poderia ser minimizado se os gestores praticassem a revisão periódica dos
atributos, recomendada pelas instruções normativas internas da instituição.
5.2.4 Restrição de Acesso da Transação Eletrônica
Durante a aplicação dos testes não se observou quaisquer tipo de restrição
de acesso às transações. Foi constatada a existência de usuários autorizados a
43
executar transações cujas atribuições não estavam em conformidade com as
normas internas. Esta fragilidade pode resultar na execução indevida de transações
gerando incidentes de segurança e expondo a organização a riscos.
5.2.5 Restrição de Uso da Transação Eletrônica (TE)
De forma semelhante ao quesito anterior, os testes demonstraram
insuficiência de restrições de uso em diversas transações. Para as transações de
consulta, o risco de uso indevido estava limitado ao identificado no quesito de
restrição de acesso tratado anteriormente. Porém, quando avaliadas as transações
de atualização, torna-se evidente que o risco de utilização indevida é potencialmente
maior. Para minimizar este risco, alguns gestores fazem uso da segregação de
funções com um mínimo de dois usuários. Esta prática, embora adequada sob a
ótica da restrição de uso, por si só não é suficiente, já que não impede que dados
incorretos sejam armazenados nos sistemas corporativos intencionalmente ou por
falha operacional.
Da análise das restrições de acesso e uso pode-se concluir que combinação
adequada das restrições pode minimizar os riscos de incidentes de segurança da
informação, contudo, suas falhas quanto somadas podem potencializar um
incidente.
5.2.6 Acompanhamento e Monitoramento da Transação Eletrônica
Quanto ao monitoramento das transações eletrônicas, evidenciou-se que
aquelas em que o gestor determinou a necessidade de registro de utilização, este
existia e possuía opção de consulta, não se constatando qualquer falha ou
fragilidade de segurança no processo.
Entretanto,
quanto
ao
quesito
acompanhamento,
foram
percebidas
fragilidades não tratadas pelos gestores motivadas pela existência de usuários com
perfis de acesso indevido a transações de criticidade restrita ou confidencial.
Demonstrou-se com os testes a carência de melhorias no processo a fim de
minimizar os riscos de incidentes decorrentes de falhas no acompanhamento da
utilização das transações.
44
6 Conclusões e Trabalhos Futuros
6.1 Conclusões
As informações decorrentes do relacionamento dos principais aspectos
inerentes aos controles internos, segurança da informação e auditoria de TI
descritos na pesquisa bibliográfica, em conjunto com os resultados obtidos no
estudo de caso, convergem para o entendimento de que a adoção de ferramentas
computacionais de análise de dados provê agilidade na verificação de requisitos de
segurança da informação em transações eletrônicas.
Conclui-se que a análise de dados pode ser executada com utilização de
ferramentas computacionais como ACL, MS-Access e MS-Excel e em equipamentos
usualmente presentes nas empresas, estando seu uso condicionado ao volume de
dados em analise.
A análise dos procedimentos usualmente empregados em auditoria e sua
execução com a utilização de ferramentas computacionais demonstrados nesse
trabalho demonstraram que o tempo necessário para aplicação dos testes foi
sensivelmente menor (cerca de 10%) quando comparado a trabalhos sem a
utilização de ferramentas CAAT.
A identificação das falhas e fragilidades nos sistemas contribuiu para os
gestores adotarem providências tempestivas visando minimizar a exposição aos
riscos.
O resultado das análises dos quatro sistemas corporativos validou a hipótese
de que a utilização de técnicas de auditoria assistidas por computador, em conjunto
com outras técnicas usualmente empregadas, permite avaliar com agilidade os
principais aspectos de uma transação eletrônica quanto à sua identificação e
45
classificação, restrições de acesso e uso, adequação às regras de negócio e
acompanhamento e monitoramento.
Entende-se que os resultados positivos obtidos em curto intervalo de tempo e
com o emprego de recursos computacionais menos dispendiosos, demonstram o
potencial de aplicação da técnica em outras áreas da empresa.
6.2 Trabalhos Futuros
Pelo fato de diferentes combinações de aplicativos e equipamentos poderem
apresentar medições de tempo distintas, propõe-se a avaliação de desempenho das
principais ferramentas existentes no mercado, frente a grandes volumes de dados.
Outra proposta de pesquisa é a utilização de ferramentas CAAT para
realização de auditorias contínuas, isto é, aquela que produz, a partir de indicadores,
resultados em um pequeno intervalo após a ocorrência de um evento. Entende-se
que as ferramentas automatizadas possibilitam criar e avaliar uma grande
quantidade de indicadores com rapidez, provendo subsídios para aprimoramento
dos instrumentos de tomada de decisão dos gestores.
Por fim, espera-se que estudos envolvendo análise de dados com a aplicação
de técnicas computacionais, utilizando Redes Neurais, Lógica Fuzzy e Computação
Evolucionária, possam agregar acuidade e consequente melhoria dos processos de
segurança da informação e comunicações.
46
Referências e Fontes Consultadas
ACL. Disponível em: <http://www.acl.com/support> Acesso em: 18 jun. 2011.
ARRIAL,
Christian
Ternes.
Ferramentas
Computacionais
Aplicadas
aos
Trabalhos de Auditoria Interna. 2009. 78 f. Monografia de Conclusão de Curso
(Especialização) – Escola da AGU, da Advocacia-Geral da União, Centro de
Formação, Treinamento e Aperfeiçoamento (Cefor), da Câmara dos Deputados,
Secretaria Federal de Controle Interno (SFC), da Controladoria Geral da União e
Instituto Serzedello Corrêa (ISC), do Tribunal de Contas da União, Curso de
Especialização em Auditoria Interna e Controle Governamental, Brasília, 2009.
BEAL, Adriana. Segurança da informação: princípios e melhores práticas para
proteção dos ativos de informações nas organizações. São Paulo: Atlas, 2008.
BRAGA, Carlos Renato Araujo. Utilização de ferramentas CAAT em Auditorias de
grandes bases de dados. In: CNASI: XVII Congresso Latino-Americano de
Auditoria de TI, Segurança da Informação e Governança, São Paulo, 2008.
Disponível em: <http://www.ticontrole.gov.br/portal/page/portal/TCU/comunidades/
tecnologia_informacao/sefti_eventos/apresentacoes/2008/Cnasi-2008-taac-v1.pdf>.
Acesso em: 15 mai. 2011.
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de
Janeiro: Axcel Books, 2000.
47
DELOITTE. Técnicas de auditoria com uso do computador. In: SILVA JUNIOR, José
Barbosa da (Coord.). Auditoria em ambiente de internet. São Paulo: Atlas, 2001.
p. 47-57.
FEBRABAN; DELOITTE. Principais ferramentas utilizadas na auditoria interna. In:__.
Metodologia de auditoria interna com foco em riscos. São Paulo: IBCB, 2003. p.
49-90.
HANASHIRO, Maíra. Metodologia para desenvolvimento de procedimentos e
planejamentos de auditorias de TI aplicada à Administração Pública Federal.
2007. 166 f. Dissertação (Mestrado). – Departamento de Engenharia Elétrica,
Faculdade de Tecnologia, Universidade de Brasília, Brasília, 2007.
IIA. Normas internacionais para o exercício profissional da auditoria interna.
Tradução do Instituto dos Auditores Internos do Brasil – AUDIBRA. São Paulo:
AUDIBRA, 2004. Título original: The Professional Pratices – Framework.
Disponível
em:
<http://www.audibra.org.br/arquivos/Normas%20Internacionais
%20Auditoria%20-%20Codigo%20de%20Etica.pdf>. Acesso em: 27 mai. 2011.
IMONIANA, Joshua Onome. Auditoria de sistemas de informação. São Paulo:
Atlas, 2005.
NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de redes em
ambientes cooperativos. São Paulo: Novatec, 2007.
PICALO. Disponível em: <http://www.picalo.org/> Acesso em: 15 jun. 2011.
PINTO, Luciano Soares. Auditoria de tecnologia da informação: um enfoque da
auditoria por análise de dados utilizando ferramentas CAAT. 2009. 50 f.
Monografia de Conclusão de Curso (Especialização) – Centro Universitário do
Distrito Federal - UDF, Brasília, 2009.
ROSSI, Luiz Cláudio et al. Novos conceitos de auditoria de sistemas em bancos.
São Paulo: FEBRABAN/Deloite/IBC, 2004.
48
SANTOS, Rudinei. Auditoria de Transações Eletrônicas - Prevenindo a Fraude
Bancária.
Disponível
em:
<http://www.felaban.com/archivos_actividades_
congresos/4.%20Rudinei%20Dos%20Santos%20-%20PORTUGUES.pptx>
Acesso
em: 10 jun. 2011.
SAS. Disponível em: <http://www.sas.com/> Acesso em: 15 jun. 2011.
SCHMIDT, Paulo; SANTOS, José Luiz dos; ARIMA, Carlos Hideo. Fundamentos de
auditoria de sistemas. São Paulo: Atlas, 2006.
TCU. Manual de auditoria de sistemas. Brasília: TCU/Secretaria de Auditoria e
Inspeções, 1998. Disponível em: <http://www.das.ufsc.br/~wangham/auditoria/
AuditSistemas.pdf>. Acesso em: 01 mai. 2011.
TREVISAN AUDITORES. O processo de auditoria informatizado. In: IBRACON.
Auditoria por meios eletrônicos. São Paulo: Atlas, 1999. p. 69-76. (Coleção
Seminários CRC-SP/Ibracon).
YIN, Robert K. Estudo de Caso: Planejamento e Métodos. 4. ed. Porto Alegre:
Bookman. 2010.
49
Apêndice
Aplicativo
Transação
Descrição
Data da captura
Quesito
1. Identificação da Transação Eletrônica (TE)
1.1. Informe a quantidade de usuários com acesso à TE
sob análise
2. Existência, clareza, e disponibilidade das regras de
negócio vinculadas direta ou indiretamente à TE
2.1. As normas indicam quem é o Gestor responsável pelas
informações acessadas pela TE?
2.2. Existe regra de negócio publicada nas instruções
internas vigentes vinculadas à informação acessada pela
TE?
2.3. Existe regra de negócio relativa à restrição de acesso
à TE sob análise?
2.4. As regras de negócio determinam alguma restrição de
uso da informação acessada pela TE?
3. Classificação da Transação Eletrônica
3.1. Qual classe de confidencialidade foi atribuída à TE?
3.2. A classe de confidencialidade atribuída à TE está
compatível com a confidencialidade da informação
acessada pela TE?
3.3. Qual a categoria de acesso a dados foi atribuída à TE?
3.4. A categoria de acesso a dados atribuída a TE no
aplicativo Gerenciados de Acessos está compatível com a
funcionalidade da transação?
3.5. O gestor adota procedimento para revisão das
características da TE?
4. Restrições de acesso aplicadas à TE
4.1. Existe restrição de acesso aplicada à TE?
4.2. As restrições de acesso previstas nos normativos
estão aplicadas na TE, no aplicativo Gerenciador de
Acessos?
4.3. As restrições de acesso aplicadas à TE são suficientes
para garantir que a transação seja utilizada de forma
adequada?
4.4. Os tipos de usuário com acesso à transação estão
compatíveis com a confidencialidade da informação
acessada pela TE?
4.5. As atribuições da função do usuário que acessa a TE
são compatíveis com aquelas determinadas nas rotinas da
atividade onde inserida a TE?
4.6. As áreas autorizadas a acessar a TE executam
atividades relacionadas à informação acessada pela TE?
5. Restrições de uso aplicadas à TE
5.1. Existe restrição de uso aplicada à TE?
5.5. Existe segregação de uso para efetivação da TE?
6. Acompanhamento e Monitoramento
6.1. Existe monitoramento do uso da TE pelo Gestor?
A
A00
Operador do Sistema
25/5/2011
A
A01
Executante
25/5/2011
A
A02
Homologador
25/5/2011
8
270
126
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
CONFIDENCIAL
RESTRITA
CONFIDENCIAL
SIM.
SIM.
SIM.
ATUALIZAÇÃO
ATUALIZAÇÃO
ATUALIZAÇÃO
SIM.
SIM.
SIM.
SIM.
SIM
SIM
SIM.
SIM.
SIM.
PARCIALMENTE
PARCIALMENTE
PARCIALMENTE
SIM
SIM
SIM
SIM.
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM
SIM
NÃO
NÃO
NÃO
NÃO
NÃO
NÃO
SIM
SIM
SIM
6.2. Existe registro de log/histórico para a TE sob análise?
SIM
SIM
SIM
6.3. Existe opção de consulta de log/histórico da TE em
sistema corporativo?
SIM.
SIM.
SIM.
Figura 4: Ficha de avaliação de transações do Sistema “A”
50
Aplicativo
B
Transação
B00
Descrição Operador do Sistema
Data da captura
25/5/2011
B
B01
Enviar
25/5/2011
B
B02
Autorizar
25/5/2011
B
B03
Em validacao
25/5/2011
B
B04
Validar
25/5/2011
B
B05
Fechar
25/5/2011
8
141
37
14
11
10
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO.
NÃO.
NÃO.
NÃO.
NÃO.
NÃO.
RESTRITA
RESTRITA
RESTRITA
RESTRITA
RESTRITA
RESTRITA
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
ATUALIZAÇÃO
ATUALIZAÇÃO
ATUALIZAÇÃO
ATUALIZAÇÃO
ATUALIZAÇÃO
ATUALIZAÇÃO
3.4. A categoria de acesso a dados atribuída a
TE no aplicativo Gerenciados de Acessos está
compatível com a funcionalidade da
transação?
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
3.5. O gestor adota procedimento para revisão
das características da TE?
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
4.1. Existe restrição de acesso aplicada à TE?
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
4.2. As restrições de acesso previstas nos
normativos estão aplicadas na TE, no
aplicativo Gerenciador de Acessos?
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
4.3. As restrições de acesso aplicadas à TE
são suficientes para garantir que a transação
seja utilizada de forma adequada?
SIM.
SIM.
SIM.
NÃO.
NÃO.
NÃO.
4.4. Os tipos de usuário com acesso à
transação estão compatíveis com a
confidencialidade da informação acessada
pela TE?
SIM.
SIM.
SIM.
NÃO.
NÃO.
NÃO.
4.5. As atribuições da função do usuário que
acessa a TE são compatíveis com aquelas
determinadas nas rotinas da atividade onde
inserida a TE?
SIM.
SIM.
SIM.
NÃO.
NÃO.
NÃO.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO.
NÃO.
NÃO.
NÃO.
NÃO.
NÃO.
SIM.
SIM.
SIM.
NÃO.
SIM.
NÃO.
Quesito
1. Identificação da Transação Eletrônica (TE)
1.1. Informe a quantidade de usuários com
acesso à TE sob análise.
2. Existência, clareza, e disponibilidade das
regras de negócio vinculadas direta ou
indiretamente à TE
2.1. As normas indicam quem é o Gestor
responsável pelas informações acessadas pela
TE?
2.2. Existe regra de negócio publicada nas
instruções internas e vigente, vinculada à
informação acessada pela TE?
2.3. Existe regra de negócio relativa à restrição
de acesso à TE sob análise?
2.4. As regras de negócio determinam alguma
restrição de uso da informação acessada pela
TE?
3. Classificação da Transação Eletrônica
3.1. Qual classe de confidencialidade foi
atribuída à TE?
3.2. A classe de confidencialidade atribuída à
TE está compatível com a confidencialidade
da informação acessada pela TE?
3.3. Qual a categoria de acesso a dados foi
atribuída à TE?
4. Restrições de acesso aplicadas à TE
4.6. As áreas autorizadas a acessar a TE
executam atividades relacionadas à
informação acessada pela TE?
5. Restrições de uso aplicadas à TE
5.1. Existe restrição de uso aplicada à TE?
5.2. Existe segregação de uso para efetivação
da TE?
6. Acompanhamento e Monitoramento
6.1. Existe monitoramento do uso da TE pelo
Gestor?
6.2. Existe registro de log/histórico para a TE
sob análise?
6.3. Existe opção de consulta de log/histórico
da TE em sistema corporativo?
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
Figura 5: Ficha de avaliação de transações do Sistema “B”
51
Quesito
SIM.
SIM.
SIM.
INTERNA
SIM.
SIM.
SIM.
INTERNA
SIM.
SIM.
SIM.
SIM.
39
C
C01
Consultar
25/5/2011
28
C
C00
Excluir
25/5/2011
6.3. Existe opção de consulta de log/histórico
da TE em sistema corporativo?
5.2. Existe segregação de uso para efetivação
da TE?
6. Acompanhamento e Monitoramento
6.1. Existe monitoramento do uso da TE pelo
Gestor?
6.2. Existe registro de log/histórico para a TE
sob análise?
5. Restrições de uso aplicadas à TE
5.1. Existe restrição de uso aplicada à TE?
4.6. As áreas autorizadas a acessar a TE
executam atividades relacionadas à
informação acessada pela TE?
4.5. As atribuições da função do usuário que
acessa a TE são compatíveis com aquelas
determinadas nas rotinas da atividade onde
inserida a TE?
4.4. Os tipos de usuário com acesso à
transação estão compatíveis com a
confidencialidade da informação acessada
pela TE?
NÃO.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
INTERNA
SIM.
SIM.
SIM.
SIM.
40
C
C04
Consulta por Data
25/5/2011
SIM.
INTERNA
SIM.
SIM.
SIM.
SIM.
39
C
C05
Publica Mov.
25/5/2011
SIM.
PREJUDICADO.
PREJUDICADO.
NÃO.
NÃO.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO. CARGOS
NÃO
AUTORIZADOS
COM ACESSO A
TRANSAÇÃO.
NÃO.
DEPENDÊNCIAS
NÃO
AUTORIZADAS
COM ACESSO.
SIM.
PREJUDICADO.
PREJUDICADO.
NÃO.
NÃO.
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO. CARGOS
NÃO
AUTORIZADOS
COM ACESSO A
TRANSAÇÃO.
NÃO.
DEPENDÊNCIAS
NÃO
AUTORIZADAS
COM ACESSO.
SIM.
PREJUDICADO.
PREJUDICADO.
NÃO.
NÃO.
MANUTENÇÃO
MANUTENÇÃO
MANUTENÇÃO
TÉCNICA
TÉCNICA
TÉCNICA
NÃO.
NÃO.
NÃO. TRANSAÇÃO
TRANSAÇÃO
TRANSAÇÃO
DEVERIA SER
DEVERIA SER
DEVERIA SER
CLASSIFICADA
CLASSIFICADA
CLASSIFICADA
COMO
COMO
COMO
ATUALIZAÇÃO.
ATUALIZAÇÃO.
ATUALIZAÇÃO.
SIM.
INTERNA
SIM.
SIM.
SIM.
SIM.
40
C
C03
Publicar
25/5/2011
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO. CARGOS
NÃO
AUTORIZADOS
COM ACESSO A
TRANSAÇÃO.
NÃO.
DEPENDÊNCIAS
NÃO
AUTORIZADAS
COM ACESSO.
SIM.
PREJUDICADO.
PREJUDICADO.
NÃO.
NÃO.
MANUTENÇÃO
TÉCNICA
NÃO.
TRANSAÇÃO
DEVERIA SER
CLASSIFICADA
COMO
ATUALIZAÇÃO.
SIM.
INTERNA
SIM.
SIM.
SIM.
SIM.
40
C
C06
Comparar
25/5/2011
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO. CARGOS
NÃO
AUTORIZADOS
COM ACESSO A
TRANSAÇÃO.
NÃO.
DEPENDÊNCIAS
NÃO
AUTORIZADAS
COM ACESSO.
SIM.
PREJUDICADO.
PREJUDICADO.
NÃO.
NÃO.
MANUTENÇÃO
TÉCNICA
NÃO.
TRANSAÇÃO
DEVERIA SER
CLASSIFICADA
COMO
ATUALIZAÇÃO.
SIM.
INTERNA
SIM.
SIM.
SIM.
SIM.
39
C
C07
Eliminar
25/5/2011
SIM.
INTERNA
SIM.
SIM.
SIM.
SIM.
26
C
C09
Receber
25/5/2011
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM
SIM
SIM
NÃO.
NÃO.
NÃO.
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO. CARGOS
NÃO
AUTORIZADOS
COM ACESSO A
TRANSAÇÃO.
NÃO.
DEPENDÊNCIAS
NÃO
AUTORIZADAS
COM ACESSO.
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO. CARGOS
NÃO
AUTORIZADOS
COM ACESSO A
TRANSAÇÃO.
NÃO.
DEPENDÊNCIAS
NÃO
AUTORIZADAS
COM ACESSO.
SIM.
PREJUDICADO. PREJUDICADO.
SIM.
SIM.
CONFIDENCIAL
SIM.
SIM.
SIM.
SIM.
17
C
C11
Abertos
25/5/2011
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO.
MANUTENÇÃO MANUTENÇÃO
TÉCNICA
TÉCNICA
NÃO.
NÃO.
TRANSAÇÃO
TRANSAÇÃO
DEVERIA SER
DEVERIA SER
CLASSIFICADA CLASSIFICADA
COMO
COMO
ATUALIZAÇÃO.
CONSULTA.
SIM.
INTERNA
SIM.
SIM.
SIM.
SIM.
22
C
C10
Concluir
25/5/2011
PREJUDICADO. PREJUDICADO.
NÃO.
NÃO.
MANUTENÇÃO MANUTENÇÃO
TÉCNICA
TÉCNICA
NÃO.
NÃO.
TRANSAÇÃO
TRANSAÇÃO
DEVERIA SER
DEVERIA SER
CLASSIFICADA CLASSIFICADA
COMO
COMO
CONSULTA.
ATUALIZAÇÃO.
SIM.
RESTRITA
SIM.
SIM.
SIM.
SIM.
6
C
C08
Log
25/5/2011
Figura 6: Ficha de avaliação de transações do Sistema “C”
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
PREJUDICADO.
PREJUDICADO.
NÃO.
NÃO.
SIM.
ATUALIZAÇÃO
SIM.
INTERNA
SIM.
SIM.
SIM.
SIM.
12
C
C02
Autorizar
25/5/2011
NÃO. CARGOS
NÃO. CARGOS
NÃO
NÃO
SIM.
AUTORIZADOS
AUTORIZADOS
COM ACESSO A
COM ACESSO A
TRANSAÇÃO.
TRANSAÇÃO.
NÃO.
NÃO.
NÃO.
DEPENDÊNCIAS DEPENDÊNCIAS DEPENDÊNCIAS
NÃO
NÃO
NÃO
AUTORIZADAS AUTORIZADAS AUTORIZADAS
COM ACESSO. COM ACESSO.
COM ACESSO.
SIM.
PREJUDICADO.
PREJUDICADO.
SIM.
SIM.
NÃO. CARGOS
NÃO
AUTORIZADOS
COM ACESSO A
TRANSAÇÃO.
NÃO.
DEPENDÊNCIAS
NÃO
AUTORIZADAS
COM ACESSO.
SIM.
PREJUDICADO.
4.3. As restrições de acesso aplicadas à TE
são suficientes para garantir que a transação
seja utilizada de forma adequada?
NÃO.
PREJUDICADO.
4.2. As restrições de acesso previstas nos
normativos estão aplicadas na TE, no
aplicativo Gerenciador de Acessos?
4.1. Existe restrição de acesso aplicada à TE?
3.3. Qual a categoria de acesso a dados foi
atribuída à TE?
MANUTENÇÃO
MANUTENÇÃO
TÉCNICA
TÉCNICA
NÃO.
NÃO. TRANSAÇÃO
3.4. A categoria de acesso a dados atribuída a
TRANSAÇÃO
DEVERIA SER
TE no aplicativo Gerenciados de Acessos
DEVERIA SER
CLASSIFICADA
está compatível com a funcionalidade da
CLASSIFICADA
COMO
transação?
COMO
ATUALIZAÇÃO.
CONSULTA.
3.5. O gestor adota procedimento para
NÃO.
NÃO.
revisão das características da TE?
4. Restrições de acesso aplicadas à TE
3.2. A classe de confidencialidade atribuída à
TE está compatível com a confidencialidade
da informação acessada pela TE?
1.1. Informe a quantidade de usuários com
acesso à TE sob análise
2. Existência, clareza, e disponibilidade das
2.1. Existe regra de negócio relativa à
restrição de acesso à TE sob análise?
2.2. As regras de negócio determinam alguma
restrição de uso da informação acessada pela
TE?
2.3. Existe regra de negócio relativa à
restrição de acesso à TE sob análise?
2.4. As regras de negócio determinam alguma
restrição de uso da informação acessada pela
TE?
3. Classificação da Transação Eletrônica
3.1. Qual classe de confidencialidade foi
atribuída à TE?
1. Identificação da Transação Eletrônica (TE)
Aplicativo
Transação
Descrição
Data da captura
Quesito
Aplicativo
Transação
Descrição
Data da captura
SIM
SIM
SIM
SIM
SIM
6.3. Existe opção de consulta de
log/histórico da TE em sistema corporativo?
6.1. Existe monitoramento do uso da TE
pelo Gestor?
6.2. Existe registro de log/histórico para a
TE sob análise?
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM
SIM
6. Acompanhamento e Monitoramento
SIM
5.2. Existe segregação de uso para
efetivação da TE?
NÃO.
FUNCIONÁRIOS
NÃO
AUTORIZADOS
NÃO. EXISTEM
DEPENDÊNCIAS
NÃO
AUTORIZADAS
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
CONSULTA
NÃO
SIM.
SIM.
SIM.
SIM.
MANUTENÇÃO
TÉCNICA
SIM.
RESTRITA
SIM
SIM
SIM
SIM
35
D
D4
Depuração
26/5/2011
SIM.
RESTRITA
SIM
SIM
SIM
SIM
30
D
D5
Movimento
26/5/2011
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM
SIM
SIM
SIM
SIM
NÃO.
FUNCIONÁRIOS
NÃO
AUTORIZADOS
NÃO. EXISTEM
DEPENDÊNCIAS
NÃO
AUTORIZADAS
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
CONSULTA
SIM.
RESTRITA
SIM
SIM
SIM
SIM
18
D
D6
Demonstrativo
26/5/2011
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
CONSULTA
SIM.
RESTRITA
SIM
SIM
SIM
SIM
295
D
D7
Comp. Global
26/5/2011
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
CONSULTA
SIM.
RESTRITA
SIM
SIM
SIM
SIM
206
D
D8
Bal. Global
26/5/2011
SIM
SIM
SIM
SIM
SIM
NÃO.
FUNCIONÁRIOS
NÃO
AUTORIZADOS
NÃO. EXISTEM
DEPENDÊNCIAS
NÃO
AUTORIZADAS
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO
MANUTENÇÃO
TÉCNICA
SIM.
RESTRITA
SIM
SIM
SIM
SIM
31
D
D9
Inclusão
26/5/2011
SIM
SIM
SIM
SIM
SIM
NÃO.
FUNCIONÁRIOS
NÃO
AUTORIZADOS
NÃO. EXISTEM
DEPENDÊNCIA
S NÃO
AUTORIZADAS
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO
MANUTENÇÃO
TÉCNICA
SIM.
RESTRITA
SIM
SIM
SIM
SIM
34
D
D10
Livro
26/5/2011
SIM
SIM
SIM
SIM
SIM
NÃO.
FUNCIONÁRIOS
NÃO
AUTORIZADOS
NÃO. EXISTEM
DEPENDÊNCIAS
NÃO
AUTORIZADAS
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO
MANUTENÇÃO
TÉCNICA
SIM.
RESTRITA
SIM
SIM
SIM
SIM
378
D
D14
Acerto
26/5/2011
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO
MANUTENÇÃO
TÉCNICA
SIM
RESTRITA
SIM
SIM
SIM
SIM
41
D
D16
Manut. Tabela
26/5/2011
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO
MANUTENÇÃO
TÉCNICA
SIM
RESTRITA
SIM
SIM
SIM
SIM
44
D
D17
Exposição
26/5/2011
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM
SIM
NÃO.
NÃO.
NÃO.
FUNCIONÁRIOS FUNCIONÁRIOS FUNCIONÁRIOS
NÃO
NÃO
NÃO
AUTORIZADOS AUTORIZADOS AUTORIZADOS
NÃO. EXISTEM NÃO. EXISTEM NÃO. EXISTEM
DEPENDÊNCIAS DEPENDÊNCIAS DEPENDÊNCIAS
NÃO
NÃO
NÃO
AUTORIZADAS AUTORIZADAS AUTORIZADAS
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO
MANUTENÇÃO
TÉCNICA
SIM
RESTRITA
SIM
SIM
SIM
SIM
15
D
D15
Cronograma
26/5/2011
Figura 7: Ficha de avaliação de transações do Sistema “D”
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
MANUTENÇÃO
CONSULTA CONSULTA
TÉCNICA
RESTRITA
SIM
SIM
SIM
SIM
33
D
D3
Previa
26/5/2011
RESTRITA
RESTRITA
SIM
SIM
33
D
D2
Saldo
26/5/2011
SIM
27
D
D1
Balancete
26/5/2011
5.1. Existe restrição de uso aplicada à TE?
5. Restrições de uso aplicadas à TE
4.6. As áreas autorizadas a acessar a TE
executam atividades relacionadas à
informação acessada pela TE?
4.4. Os tipos de usuário com acesso à
transação estão compatíveis com a
confidencialidade da informação acessada
pela TE?
4.5. As atribuições da função do usuário
que acessa a TE são compatíveis com
aquelas determinadas nas rotinas da
atividade onde inserida a TE?
4.3. As restrições de acesso aplicadas à TE
são suficientes para garantir que a
transação seja utilizada de forma adequada?
4.1. Existe restrição de acesso aplicada à
TE?
4.2. As restrições de acesso previstas nos
normativos estão aplicadas na TE, no
aplicativo Gerenciador de Acessos?
4. Restrições de acesso aplicadas à TE
3.1. Qual classe de confidencialidade foi
atribuída à TE?
3.2. A classe de confidencialidade atribuída
à TE está compatível com a
confidencialidade da informação acessada
pela TE?
3.3. Qual a categoria de acesso a dados foi
atribuída à TE?
3.4. A categoria de acesso a dados atribuída
a TE no aplicativo Gerenciados de Acessos
está compatível com a funcionalidade da
transação?
3.5. O gestor adota procedimento para
revisão das características da TE?
3. Classificação da Transação Eletrônica
2.1. Existe regra de negócio relativa à
restrição de acesso à TE sob análise?
2.2. As regras de negócio determinam
alguma restrição de uso da informação
acessada pela TE?
2.3. Existe regra de negócio relativa à
restrição de acesso à TE sob análise?
2.4. As regras de negócio determinam
alguma restrição de uso da informação
acessada pela TE?
2. Existência, clareza, e disponibilidade das
regras de negócio vinculadas direta ou
indiretamente à TE
1.1. Informe a quantidade de usuários com
acesso à TE sob análise.
1. Identificação da Transação Eletrônica (TE)
52
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
CONSULTA
SIM
RESTRITA
SIM
SIM
SIM
SIM
32
D
D18
Ocorências
26/5/2011
SIM
SIM
SIM
SIM
SIM
NÃO.
FUNCIONÁRIOS
NÃO
AUTORIZADOS
NÃO. EXISTEM
DEPENDÊNCIAS
NÃO
AUTORIZADAS
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO
MANUTENÇÃO
TÉCNICA
SIM
RESTRITA
SIM
SIM
SIM
SIM
80
D
D19
Excl.Grupos
26/5/2011
SIM
SIM
SIM
SIM
SIM
NÃO.
FUNCIONÁRIOS
NÃO
AUTORIZADOS
NÃO. EXISTEM
DEPENDÊNCIAS
NÃO
AUTORIZADAS
SIM.
SIM.
SIM.
SIM.
SIM.
NÃO
MANUTENÇÃO
TÉCNICA
SIM
RESTRITA
SIM
SIM
SIM
SIM
149
D
D20
Total Global
26/5/2011
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM
CONSULTA
SIM.
INTERNA
SIM
SIM
SIM
SIM
336
D
D21
Vis. Global
26/5/2011
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM
CONSULTA
SIM
RESTRITA
SIM
SIM
SIM
SIM
92
D
D22
Vis. Demons.
26/5/2011
SIM
SIM
SIM
SIM
SIM
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM.
SIM
CONSULTA
SIM
CONFIDENCIAL
SIM
SIM
SIM
SIM
53
D
D23
Abertos
26/5/2011