Categorias
Auditoria Tecnologia da Informação

Auditoria de TI na prática: primeiros passos

Auditoria de TI é uma das linhas de defesa voltada para a avaliação de riscos e controles (ITGC) que envolvem tecnologia da Informação (GTAG-1), segurança da Informação e uso de dados pessoais na Auditoria Interna.

Auditar o ITGC (Information Technology General Controls) é um dos primeiros aprendizados do auditor com formação em TI.

ITGC

ITGC é sigla em inglês para o conjunto de Controles Gerais de Tecnologia da Informação. O ITGC é dividido em 4 grupos:

Access to Program and Data

Acesso a Programas e Dados geralmente considera os seguintes itens:

  • Políticas e procedimentos;
  • Revisões periódicas de acessos;
  • Parâmetros de senha;
  • Contas de acessos privilegiados (root, superuser);
  • Acesso físico;
  • Segregação de funções de acesso;
  • Criptografia;
  • Autenticação de sistemas;
  • Logs de auditoria;
  • Segurança de rede.

Program Changes and Development

Programa de Mudanças ou gestão de mudanças e desenvolvimento envolve os seguintes temas:

  • Políticas e Procedimentos;
  • Metodologia de desenvolvimento de sistemas;
  • Migração entre ambientes e segregação de funções (desenvolvimento, homologação e produção);
  • Configuração de mudanças;
  • Mudanças emergenciais;
  • Migração de dados e controle de versões;
  • Pós implementação: testes e revisão.

Computer Operations

Operação de Computadores abrange atividades cotidianas como:

  • Processamento Batch;
  • Monitoramento de jobs;
  • Procedimentos de cópia de segurança (backup) e recuperação (recovery) de dados;
  • Mudanças no agendamento de jobs batch;
  • Controles de ambiente (temperatura, fumaça, inundação);
  • Plano de Recuperação de Desastres (DRP);
  • Plano de Continuidade de Negócio (BCP);
  • Gerenciamento de atualizações.

GTAG

Como complemento ao ITGC, o GTAG (Global Technology Audit Guide) é um guia de boas práticas para auditar TI. Este guia foi desenvolvido pelo Instituto de Auditores Internos (IIA).

  • GTAG 1: Information Technology Controls
  • GTAG 2: Change and Patch Management Controls: Critical for Organizational Success
  • GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
  • GTAG 4: Management of IT Auditing
  • GTAG 5: Managing and Auditing Privacy Risks
  • GTAG 6: Managing and Auditing IT Vulnerabilities
  • GTAG 7: Information Technology Outsourcing
  • GTAG 8: Auditing Application Controls
  • GTAG 9: Identity and Access Management
  • GTAG 10: Business Continuity Management
  • GTAG 11: Developing the IT Audit Plan
  • GTAG 12: Auditing IT Projects
  • GTAG 13: Fraud Prevention and Detection in the Automated World
  • GTAG 14: Auditing User-developed Applications
  • GTAG 15: Formerly Information Security Governance–Removed and combined with GTAG 17
  • GTAG 16: Data Analysis Technologies
  • GTAG 17: Auditing IT Governance

Gestão de Acessos Lógicos

A gestão de acessos lógicos é a célula responsável por conceder, bloquear e revogar acessos lógicos. Estes acessos podem ser à sistemas (AD, aplicações, bancos de dados), infraestrutura (pastas de rede, firewall, VPN) ou hardware (usb, impressoras, servidores, data centers).

Auditar este processo (GTAG-9) envolve verificar:

  • Há exigência de senhas fortes (tamanho mínimo, caracteres especiais, letras e números, caracteres especiais)?
  • Na troca, as senhas anteriores podem ser reutilizadas?
  • Há expiração por tempo de uso?
  • Há bloqueio por tentativas incorretas e consecutivas?
  • As senhas são armazenadas com criptografia?
  • Há senhas compartilhadas?
  • Há usuários genéricos, sem responsável ou sem senha definida?
  • Os acessos são revisados periodicamente?
  • Movimentações e desligamentos são comunicados para revogação ou adequação de acessos?

Existem companhias que centralizam a Gestão de Acessos em um departamento de Segurança da Informação.

Segurança da Informação

ISO27000 é talvez um dos principais guias na condução de trabalhos que avaliem riscos de segurança da informação.

Geralmente são avaliados os seguintes temas: gestão de acessos de software e rede, atualizações de segurança, atualização de antivírus, regras de firewall, acesso remoto (VPN – Virtual Private Network), gestão de incidentes de segurança, prevenção de vazamento de informações (DLP – Data Loss Prevention), uso de dispositivos móveis, mídias removíveis, proteção contra hackers e ciber ataques. (GTAG-15).

A segurança dos dados pessoais é especialmente importante com a implantação da nova lei de proteção de dados pessoais – LGPD. Os dados de uma empresa podem conter inúmeras informações pessoais. A proteção destes dados exige criptografia, armazenamento seguro, anonimizar dados pessoais completos e novos cuidados na coleta de dados web.

Desenvolvimento de Software

Avaliar o SDLC (Software Development Life Cycle) envolve o controle de versões, armazenamento seguro de código fonte, uso seguro de bibliotecas e API’s. (GTAG-8)

Operação

Avaliar os riscos e controles que garantem o funcionamento do negócio. Como garantir que os dados estejam disponíveis, acessíveis e íntegros?

Quando algo deixa de funcionar, como são os processos de Suporte, solução de Incidentes e Problemas?

Propriedade e Uso de Software

Existem controles de Licenciamento de software? Há uso de software livre (open source) e shadown IT (GTAG-14)?

Projetos e Terceirização

Há gestão de projetos que permita o acompanhamento do uso de recursos, qualidade das entregas, cumprimento de cronograma? (GTAG-12)

Há projetos terceirizados? Existe risco trabalhista? Conflito de interesses? (GTAG-7)

Os terceiros têm acesso a dados desnecessários, sensíveis, sigilosos ou estratégicos? (GTAG-5)

Continuidade

O programa de Continuidade ou BCM (Business Continuity Management) contém uma série de documentos e atividades para garantir a retomada de sistemas críticos. (GTAG-10)

DRP (Disaster Recovery Plan) é o plano de recuperação de desastres.

No caso de um evento negativo que interrompa as atividades da Companhia, o DRP indica as ações que devem ser tomadas para a retomada dos serviços e quem são os responsáveis por cada uma delas.

Governança

Cada vez mais comum nos departamentos de TI, a área de governança de TI participa e auxilia na primeira linha de defesa de riscos e controles.

Algumas das atividades podem ser: gestão de SLA (Service Level Agreement), acompanhamento de indicadores, orçamento, gestão de fornecedores, mudanças, incidentes, problemas e etc (GTAG-2).

Curso de auditoria de TI

Em geral, não há muitas opções de curso de auditoria de tecnologia da informação. Há pós-graduações, matérias em alguns cursos de graduação, certificações profissionais, mas poucos cursos de base profissionalizante.

Como começar na auditoria de TI?

Normalmente, o profissional inicia a sua carreira em um processo de trainee em uma Big 4. Estão neste grupo as 4 maiores empresas de Consultoria ou Auditoria Externa. São elas: Deloitte, E&Y, KPMG e PwC.

Auditoria Contínua de TI

Quando o teste de riscos e controles é realizado de forma automatizada e periódica chamamos a atividade de Auditoria Contínua (GTAG-3). O ACL Analytics é uma das principais ferramentas de Auditoria Interna. Leia mais aqui.

Referências sobre Auditoria de TI

COBIT, Isaca

ITIL, Axelos

ISO/IEC, ABNT

GTAG, IIA

Categorias
ACL Analytics Auditoria Big Data Compliance Data Analytics Data Science Estatística Inteligência Artificial Python R RPA SAP Segurança da Informação Tecnologia da Informação

Auditoria Contínua e Data Analytics na Auditoria Interna

Auditoria Contínua ou Monitoramento Contínuo de Riscos é um tema relativamente recente para profissionais de auditoria interna, governança corporativa e análise de dados.

Assim sendo, o assunto é pertinente em qualquer uma das linhas de defesa (Gestão, Auditoria Interna, Auditoria Externa, Gerenciamento de Riscos, Controles Internos, Compliance, Prevenção de Fraudes, etc.).

O que é Auditoria Contínua?

A metodologia de auditoria interna já é muito bem consolidada:

  • Mapeamento de processo e controle interno;
  • Criação do mapa de risco;
  • Análise de probabilidade e impacto;
  • Programa de testes para auditar;
  • Documentação dos papéis de trabalho;
  • Emissão de relatório ou parecer.

Auditoria Contínua é o processo de criação de rotinas automatizadas e periódicas de análise de dados e monitoramento contínuo. Gatilhos e critérios são pré-definidos em scripts (código-fonte/programação) para identificar exceções ou outliers (situações não usuais). São “robôs” que utilizam sistemas e ferramentas de análise de dados. Os robôs auxiliam na identificação de riscos, prevenção de fraudes, avaliação da segurança da informação, auditoria preventiva e testes de conformidade.

Uma atividade estreitamente relacionada aos auditores de TI, a Auditoria Contínua, ou Monitoramento Contínuo, provavelmente iniciou-se com as técnicas de auditoria com auxílio de sistemas, mais conhecidas como CAATs (Computer-Assisted Audit Techniques).

Monitoramento Contínuo

Usando ferramentas de análise de dados, como ACL (Audit Command Language) – agora chamado de Galvanize ACL Analytics, este profissional, aplica os conhecimentos de auditoria com o auxílio da ferramenta.

Consistindo relatórios, sumarizando campos, relacionando bases de diferentes sistemas, e criando amostras aleatórias com facilidade.

Há ainda outras ferramentas de análise de dados como Arbutus, SAS, IDEA e até mesmo o SQL Server pode ser utilizado com esta finalidade.

Transformando essas análises em scripts ACL, pode-se criar rotinas automatizadas de:

  • Monitoramento contínuo de riscos inerentes ao processo;
  • Testes de controles;
  • Simulação de controles;
  • Identificação e prevenção de fraude;
  • Gerar alertas de eventos ou comportamentos não usuais de acordo com o objetivo da auditoria.

Estes podem estar relacionados à segurança da informação, controle efetivo de inventário, quebra de alçada, pagamentos duplicados ou suspeitos e etc..

A automatização traz muitos benefícios:

  • Otimizar o plano de auditoria;
  • Implantar uma metodologia ágil;
  • Ganhar eficiência;
  • Evitar o retrabalho;
  • Reduzir custos;
  • Ampliar o escopo;
  • Novos métodos de visualização do parecer de auditoria;
  • Execução recorrente;
  • Análise em larga escala;
  • Alinhar interesses da auditoria e das áreas de negócios;
  • Fazer mais com menos.

Segurança dos Dados

Com alguns acessos de leitura ao AD (Active Directory) e relatórios gerenciais em ferramentas como o SCCM (System Center Configuration Manager), testes típicos de ITGC (Information Technology General Controls) podem ser realizados à distância e em tempo real sem a dependência da área de TI.

O monitoramento de transações críticas através de logs de acesso, revisão de perfis e funções pode ser facilmente avaliado comparando os dados eletrônicos e identificando situações em desacordo com as políticas e procedimentos da organização.

Auditoria Contábil

Escandalos recentes de corrupção e lavagem de dinheiro no Brasil demonstraram a importância de fortalecer a Governança Corporativa. Ficou evidente que o combate corrupção está intimamente ligado à identificação da “Contabilidade Criativa”. Movimentações atípicas reportadas pelo antigo COAF demonstraram a efetividade inegável de seguir “a rota do dinheiro do dinheiro sujo”.

A auditoria contabil, antes baseada em amostras aleatórias, evidências fornecidas pelo contador e testes de journal entries. Agora pode ser realizada de forma automática para a base completa com o cruzamento de dados. Isso amplia a cobertura de Riscos analisados.

Mapeando-se os processos, contas contábeis, tipos de documentos e comportamentos esperados podem-se identificar outliers: valores inconsistentes, atípicos, incompatíveis com o restante da série.

A análise de dados é facilitada quando a companhia utiliza dados estruturados em um sistema de ERP (Enterprise Resource Planning) como por exemplo o SAP. Neste tipo de sistema, há transações standard para cada processo, e as informações podem ser acessadas e extraídas diretamente na transação.

O ganho de eficiência vêm com conhecimento das tabelas internas do SAP. Pode-se extrair grandes volumes de dados de uma vez. Utilizamos a transação SE16, conectores ou transações ABAP.

Inovação na Auditoria Interna

A inovação é peça chave neste tipo de atividade, e está cada vez mais relacionada às tendências da área de TI: RPA, BI, Big Data, Data Science. Novos cenários se apresentam ao auditor:

  • Cloud Computing;
  • Gamificação;
  • Aplicativos mobile;
  • Internet das Coisas (IOT);
  • Trabalho remoto;
  • BYOD (Bring Your Own Device);
  • Metodologias ágeis e etc.

Exige-se portanto uma visão disruptiva do profissional para novos riscos, novos tipos de auditoria e novas possibilidades de auditar.

Automatização e RPA

O RPA (Robot Process Automation) vêm se destacando no mercado como solução de ganho de eficiência. No RPA, um robô é programado para executar tarefas sequenciais e repetitivas.

Quando associado à Inteligência Artificial, permite ainda a execução de atividades mais sofisticadas com um alto grau de precisão e aprimoramento contínuo.

Os humanos ficam liberados para atividades mais complexas, subjetivas, que exijam planejamento, estratégia e julgamento como conduta e integridade na prevenção de fraudes.

Data Science e Big Data

As Companhias estão estruturando planos de Transformação Digital, e temas como ciência de dados, data warehouse, data lake e os 3 V´s do Big Data já são corriqueiros.

O cientista de dados já um profissional cobiçado no mercado, embora o tema ainda seja bastante novo e esteja em constante aprimoramento.

As empresas de auditoria interna, consultoria, auditoria externa, faculdades, os profissionais – todos querem surfar esta onda cheia de jargões de análise de dados.

Resta ao profissional de gestão de riscos corporativos que deseja acompanhar estas inovações buscar a atualização de conhecimentos. Procure fortalecer a base teórica em matemática, especialmente estatística, desenvolver habilidades de programação e análise de dados.

Um bom começo pode ser o ACL ou ferramenta semelhante de análise de dados. Depois, cabe conhecer a linguagem R, Python e acompanhar os impactos da Inteligência Artificial e Robotização nos processos da Companhia.

Referências sobre Auditoria Contínua

Ficando Um Passo À Frente O Uso da Tecnologia por parte da Auditoria Interna (IIA/Michael P. Cangemi, 2015)

Auditoria Interna no Brasil

Categorias
Auditoria Data Analytics

O Ciclo de Vida dos Dados

O ciclo de vida dos dados é um processo essencial que abrange todas as etapas pelas quais as informações passam dentro de uma organização, desde sua criação até sua utilização final. Esse fluxo inclui a geração, armazenamento, ingestão, transformação, disponibilização e, por fim, o consumo por todos os stakeholders. Em cada uma dessas fases, a auditoria desempenha um papel fundamental, garantindo a integridade, a segurança e a conformidade dos dados.

Geração

A primeira etapa do ciclo é a geração dos dados, que pode ocorrer por meio de diversas fontes, como dispositivos IoT, sistemas transacionais, interações de usuários e aplicações web. Desde o início, é crucial registrar metadados e criar logs de auditoria que possibilitem rastrear a origem dos dados, assegurando sua autenticidade e permitindo futuras verificações de conformidade.

Armazenamento

Após a geração, os dados são armazenados em bancos de dados, data lakes ou outras infraestruturas de armazenamento. Essa fase requer cuidados especiais com segurança e backup, pois a integridade das informações é vital para análises futuras. A implementação de auditorias regulares neste estágio permite monitorar o acesso, detectar alterações não autorizadas e garantir que os dados sejam mantidos de acordo com as políticas internas e regulamentações externas.

Ingestão

A ingestão é o processo pelo qual dados provenientes de diversas fontes são coletados e integrados em um sistema unificado para posterior processamento. Nesse momento, controles de qualidade e mecanismos de auditoria são aplicados para validar a precisão e a integridade dos dados, evitando que inconsistências comprometam a confiabilidade das informações que serão utilizadas nas análises. Existem muitas ferramentas para esta etapa. Alguns exemplos de ferramentas são: ACL Analytics, Alteryx, Arbutus, Qlik View, Qlik Sense, Tableau.

Transformação

Durante a transformação, os dados brutos passam por processos de limpeza, normalização e enriquecimento para se tornarem informações úteis para a tomada de decisão. Este estágio envolve diversas operações de extração, transformação e carga (ETL), e é aqui que a auditoria se mostra indispensável, registrando todas as modificações e garantindo que o histórico das alterações seja preservado para futuras análises e revisões.

Disponibilização

Após a transformação, os dados são disponibilizados para os usuários finais através de dashboards, relatórios, APIs ou outros meios. Essa etapa exige a implementação de controles de acesso rigorosos e a manutenção de logs de auditoria para monitorar o uso dos dados, assegurando que apenas pessoas autorizadas tenham acesso e que o consumo das informações esteja de acordo com as políticas de segurança e privacidade da organização

Auditoria e Data Analytics

A auditoria é um componente transversal que permeia todas as fases do ciclo de vida dos dados. Seja durante a geração, armazenamento, ingestão, transformação ou disponibilização, os processos de auditoria garantem a transparência e a rastreabilidade das operações, permitindo a identificação precoce de falhas e a implementação de melhorias contínuas. Essa prática é fundamental para manter a conformidade com as regulamentações e para reforçar a governança dos dados dentro da empresa.

Conclusão

Em suma, compreender o ciclo de vida dos dados e integrar práticas robustas de auditoria em cada etapa é crucial para garantir a qualidade, segurança e confiabilidade das informações. Ao adotar esses processos, as organizações não só aprimoram a tomada de decisão, mas também fortalecem sua governança, assegurando que os dados, um dos ativos mais valiosos, estejam sempre protegidos e devidamente gerenciados.

Categorias
Auditoria Data Science Inteligência Artificial LGPD

Como utilizar modelos LLM como o llama3 na auditoria

A auditoria é uma atividade que envolve analisar muitos documentos. As vezes trata-se de centenas de páginas de texto que devem ser lidas. Embora a tecnologia não substitua o auditor, ela pode facilitar tarefas exaustivas ou repetitivas como resumir textos. A técnica de NLP (Natural Language Processing) e os modelos LLM (Large Language Models) podem ser uma ferramente poderosa para esta atividade.

Como utilizar o poder das LLM para resumir documentos de forma segura e sigilosa? Com certeza há a preocupação de não enviar dados sigilosos através da internet. Uma solução é rodar o modelo localmente em sua própria máquina.

Vejamos 3 ferramentas para cumprir este objetivo.

Python

Python é uma das linguagens de programação mais populares do mundo, amplamente utilizada para desenvolvimento de software, análise de dados, inteligência artificial e automação de tarefas. Criado por Guido van Rossum no final dos anos 1980 e lançado oficialmente em 1991, Python se destaca por sua sintaxe simples e legível, além de possuir uma vasta comunidade e uma grande variedade de bibliotecas. Sua flexibilidade permite que seja usado tanto para scripts simples quanto para aplicações complexas, como desenvolvimento web e aprendizado de máquina.

Ollama

Ollama é uma ferramenta que facilita o uso de modelos de inteligência artificial localmente, permitindo a execução de modelos de linguagem diretamente no computador do usuário. Projetado para ser simples e eficiente, Ollama elimina a necessidade de configurar ambientes complexos para rodar modelos de IA. Ele permite o download e a execução de modelos como LLaMA, Mistral e outros com apenas um comando no terminal. Seu objetivo principal é tornar a utilização de grandes modelos de linguagem mais acessível para desenvolvedores e pesquisadores.

LLaMA3

LLaMA 3 (Large Language Model Meta AI 3) é a terceira geração da família de modelos de linguagem desenvolvidos pela Meta (antiga Facebook). Ele é projetado para fornecer respostas mais precisas e contextualmente relevantes, sendo otimizado para eficiência e menor consumo de recursos computacionais. Os modelos da série LLaMA ganharam notoriedade por serem alternativas mais leves e abertas em comparação com os modelos fechados de empresas como OpenAI e Google. O LLaMA 3 continua essa tradição, trazendo avanços em arquitetura e desempenho.

Para baixar e instalar o Ollama, basta acessar o site oficial ollama.com e seguir as instruções para o sistema operacional desejado (Windows, macOS ou Linux). Após a instalação, pode-se baixar e rodar o LLaMA 3 usando comandos simples no terminal. Por exemplo, para instalar um modelo específico, basta rodar ollama pull llama3, e para executá-lo, o comando ollama run llama3 inicia a interação com o modelo. Isso torna o processo de configuração extremamente simples e rápido.

Um exemplo prático de uso do LLaMA 3 no Ollama seria gerar um resumo de um texto. Suponha que você tenha um arquivo chamado relatorio.txt e deseja obter um resumo. Você pode usar o seguinte comando no terminal:

cat relatorio.txt | ollama run llama3 --system "Resuma o seguinte texto:"

Esse comando extrai o conteúdo do arquivo e o envia para o modelo, que então retorna um resumo conciso. Dessa forma, Ollama e LLaMA 3 oferecem uma solução poderosa para quem deseja utilizar modelos de IA localmente sem depender de servidores externos.

Comente o que achou do resultado. O modelo resumiu de forma adequada e eficiente?

você está offline!