Auditoria de TI: avaliando riscos e controles, ITGC e segurança da informação na Auditoria Interna

Auditoria de TI na prática: primeiros passos

Auditoria de TI é uma das linhas de defesa voltada para a avaliação de riscos e controles (ITGC) que envolvem tecnologia da Informação (GTAG-1), segurança da Informação e uso de dados pessoais na Auditoria Interna.

Auditar o ITGC (Information Technology General Controls) é um dos primeiros aprendizados do auditor com formação em TI.

ITGC

ITGC é sigla em inglês para o conjunto de Controles Gerais de Tecnologia da Informação. O ITGC é dividido em 4 grupos:

Access to Program and Data

Acesso a Programas e Dados geralmente considera os seguintes itens:

  • Políticas e procedimentos;
  • Revisões periódicas de acessos;
  • Parâmetros de senha;
  • Contas de acessos privilegiados (root, superuser);
  • Acesso físico;
  • Segregação de funções de acesso;
  • Criptografia;
  • Autenticação de sistemas;
  • Logs de auditoria;
  • Segurança de rede.

Program Changes and Development

Programa de Mudanças ou gestão de mudanças e desenvolvimento envolve os seguintes temas:

  • Políticas e Procedimentos;
  • Metodologia de desenvolvimento de sistemas;
  • Migração entre ambientes e segregação de funções (desenvolvimento, homologação e produção);
  • Configuração de mudanças;
  • Mudanças emergenciais;
  • Migração de dados e controle de versões;
  • Pós implementação: testes e revisão.

Computer Operations

Operação de Computadores abrange atividades cotidianas como:

  • Processamento Batch;
  • Monitoramento de jobs;
  • Procedimentos de cópia de segurança (backup) e recuperação (recovery) de dados;
  • Mudanças no agendamento de jobs batch;
  • Controles de ambiente (temperatura, fumaça, inundação);
  • Plano de Recuperação de Desastres (DRP);
  • Plano de Continuidade de Negócio (BCP);
  • Gerenciamento de atualizações.

GTAG

Como complemento ao ITGC, o GTAG (Global Technology Audit Guide) é um guia de boas práticas para auditar TI. Este guia foi desenvolvido pelo Instituto de Auditores Internos (IIA).

  • GTAG 1: Information Technology Controls
  • GTAG 2: Change and Patch Management Controls: Critical for Organizational Success
  • GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
  • GTAG 4: Management of IT Auditing
  • GTAG 5: Managing and Auditing Privacy Risks
  • GTAG 6: Managing and Auditing IT Vulnerabilities
  • GTAG 7: Information Technology Outsourcing
  • GTAG 8: Auditing Application Controls
  • GTAG 9: Identity and Access Management
  • GTAG 10: Business Continuity Management
  • GTAG 11: Developing the IT Audit Plan
  • GTAG 12: Auditing IT Projects
  • GTAG 13: Fraud Prevention and Detection in the Automated World
  • GTAG 14: Auditing User-developed Applications
  • GTAG 15: Formerly Information Security Governance–Removed and combined with GTAG 17
  • GTAG 16: Data Analysis Technologies
  • GTAG 17: Auditing IT Governance

Gestão de Acessos Lógicos

A gestão de acessos lógicos é a célula responsável por conceder, bloquear e revogar acessos lógicos. Estes acessos podem ser à sistemas (AD, aplicações, bancos de dados), infraestrutura (pastas de rede, firewall, VPN) ou hardware (usb, impressoras, servidores, data centers).

Auditar este processo (GTAG-9) envolve verificar:

  • Há exigência de senhas fortes (tamanho mínimo, caracteres especiais, letras e números, caracteres especiais)?
  • Na troca, as senhas anteriores podem ser reutilizadas?
  • Há expiração por tempo de uso?
  • Há bloqueio por tentativas incorretas e consecutivas?
  • As senhas são armazenadas com criptografia?
  • Há senhas compartilhadas?
  • Há usuários genéricos, sem responsável ou sem senha definida?
  • Os acessos são revisados periodicamente?
  • Movimentações e desligamentos são comunicados para revogação ou adequação de acessos?

Existem companhias que centralizam a Gestão de Acessos em um departamento de Segurança da Informação.

Segurança da Informação

ISO27000 é talvez um dos principais guias na condução de trabalhos que avaliem riscos de segurança da informação.

Geralmente são avaliados os seguintes temas: gestão de acessos de software e rede, atualizações de segurança, atualização de antivírus, regras de firewall, acesso remoto (VPN – Virtual Private Network), gestão de incidentes de segurança, prevenção de vazamento de informações (DLP – Data Loss Prevention), uso de dispositivos móveis, mídias removíveis, proteção contra hackers e ciber ataques. (GTAG-15).

A segurança dos dados pessoais é especialmente importante com a implantação da nova lei de proteção de dados pessoais – LGPD. Os dados de uma empresa podem conter inúmeras informações pessoais. A proteção destes dados exige criptografia, armazenamento seguro, anonimizar dados pessoais completos e novos cuidados na coleta de dados web.

Desenvolvimento de Software

Avaliar o SDLC (Software Development Life Cycle) envolve o controle de versões, armazenamento seguro de código fonte, uso seguro de bibliotecas e API’s. (GTAG-8)

Operação

Avaliar os riscos e controles que garantem o funcionamento do negócio. Como garantir que os dados estejam disponíveis, acessíveis e íntegros?

Quando algo deixa de funcionar, como são os processos de Suporte, solução de Incidentes e Problemas?

Propriedade e Uso de Software

Existem controles de Licenciamento de software? Há uso de software livre (open source) e shadown IT (GTAG-14)?

Projetos e Terceirização

Há gestão de projetos que permita o acompanhamento do uso de recursos, qualidade das entregas, cumprimento de cronograma? (GTAG-12)

Há projetos terceirizados? Existe risco trabalhista? Conflito de interesses? (GTAG-7)

Os terceiros têm acesso a dados desnecessários, sensíveis, sigilosos ou estratégicos? (GTAG-5)

Continuidade

O programa de Continuidade ou BCM (Business Continuity Management) contém uma série de documentos e atividades para garantir a retomada de sistemas críticos. (GTAG-10)

DRP (Disaster Recovery Plan) é o plano de recuperação de desastres.

No caso de um evento negativo que interrompa as atividades da Companhia, o DRP indica as ações que devem ser tomadas para a retomada dos serviços e quem são os responsáveis por cada uma delas.

Governança

Cada vez mais comum nos departamentos de TI, a área de governança de TI participa e auxilia na primeira linha de defesa de riscos e controles.

Algumas das atividades podem ser: gestão de SLA (Service Level Agreement), acompanhamento de indicadores, orçamento, gestão de fornecedores, mudanças, incidentes, problemas e etc (GTAG-2).

Curso de auditoria de TI

Em geral, não há muitas opções de curso de auditoria de tecnologia da informação. Há pós-graduações, matérias em alguns cursos de graduação, certificações profissionais, mas poucos cursos de base profissionalizante.

Como começar na auditoria de TI?

Normalmente, o profissional inicia a sua carreira em um processo de trainee em uma Big 4. Estão neste grupo as 4 maiores empresas de Consultoria ou Auditoria Externa. São elas: Deloitte, E&Y, KPMG e PwC.

Auditoria Contínua de TI

Quando o teste de riscos e controles é realizado de forma automatizada e periódica chamamos a atividade de Auditoria Contínua (GTAG-3). O ACL Analytics é uma das principais ferramentas de Auditoria Interna. Leia mais aqui.

Referências sobre Auditoria de TI

COBIT, Isaca

ITIL, Axelos

ISO/IEC, ABNT

GTAG, IIA

Auditoria Contínua e Data Analytics na Auditoria Interna

Auditoria Contínua ou Monitoramento Contínuo de Riscos é um tema relativamente recente para profissionais de auditoria interna, governança corporativa e análise de dados.

Assim sendo, o assunto é pertinente em qualquer uma das linhas de defesa (Gestão, Auditoria Interna, Auditoria Externa, Gerenciamento de Riscos, Controles Internos, Compliance, Prevenção de Fraudes, etc.).

O que é Auditoria Contínua?

A metodologia de auditoria interna já é muito bem consolidada:

  • Mapeamento de processo e controle interno;
  • Criação do mapa de risco;
  • Análise de probabilidade e impacto;
  • Programa de testes para auditar;
  • Documentação dos papéis de trabalho;
  • Emissão de relatório ou parecer.

Auditoria Contínua é o processo de criação de rotinas automatizadas e periódicas de análise de dados e monitoramento contínuo. Gatilhos e critérios são pré-definidos em scripts (código-fonte/programação) para identificar exceções ou outliers (situações não usuais). São “robôs” que utilizam sistemas e ferramentas de análise de dados. Os robôs auxiliam na identificação de riscos, prevenção de fraudes, avaliação da segurança da informação, auditoria preventiva e testes de conformidade.

Uma atividade estreitamente relacionada aos auditores de TI, a Auditoria Contínua, ou Monitoramento Contínuo, provavelmente iniciou-se com as técnicas de auditoria com auxílio de sistemas, mais conhecidas como CAATs (Computer-Assisted Audit Techniques).

Monitoramento Contínuo

Usando ferramentas de análise de dados, como ACL (Audit Command Language) – agora chamado de Galvanize ACL Analytics, este profissional, aplica os conhecimentos de auditoria com o auxílio da ferramenta.

Consistindo relatórios, sumarizando campos, relacionando bases de diferentes sistemas, e criando amostras aleatórias com facilidade.

Há ainda outras ferramentas de análise de dados como Arbutus, SAS, IDEA e até mesmo o SQL Server pode ser utilizado com esta finalidade.

Transformando essas análises em scripts ACL, pode-se criar rotinas automatizadas de:

  • Monitoramento contínuo de riscos inerentes ao processo;
  • Testes de controles;
  • Simulação de controles;
  • Identificação e prevenção de fraude;
  • Gerar alertas de eventos ou comportamentos não usuais de acordo com o objetivo da auditoria.

Estes podem estar relacionados à segurança da informação, controle efetivo de inventário, quebra de alçada, pagamentos duplicados ou suspeitos e etc..

A automatização traz muitos benefícios:

  • Otimizar o plano de auditoria;
  • Implantar uma metodologia ágil;
  • Ganhar eficiência;
  • Evitar o retrabalho;
  • Reduzir custos;
  • Ampliar o escopo;
  • Novos métodos de visualização do parecer de auditoria;
  • Execução recorrente;
  • Análise em larga escala;
  • Alinhar interesses da auditoria e das áreas de negócios;
  • Fazer mais com menos.

Segurança dos Dados

Com alguns acessos de leitura ao AD (Active Directory) e relatórios gerenciais em ferramentas como o SCCM (System Center Configuration Manager), testes típicos de ITGC (Information Technology General Controls) podem ser realizados à distância e em tempo real sem a dependência da área de TI.

O monitoramento de transações críticas através de logs de acesso, revisão de perfis e funções pode ser facilmente avaliado comparando os dados eletrônicos e identificando situações em desacordo com as políticas e procedimentos da organização.

Auditoria Contábil

Escandalos recentes de corrupção e lavagem de dinheiro no Brasil demonstraram a importância de fortalecer a Governança Corporativa. Ficou evidente que o combate corrupção está intimamente ligado à identificação da “Contabilidade Criativa”. Movimentações atípicas reportadas pelo antigo COAF demonstraram a efetividade inegável de seguir “a rota do dinheiro do dinheiro sujo”.

A auditoria contabil, antes baseada em amostras aleatórias, evidências fornecidas pelo contador e testes de journal entries. Agora pode ser realizada de forma automática para a base completa com o cruzamento de dados. Isso amplia a cobertura de Riscos analisados.

Mapeando-se os processos, contas contábeis, tipos de documentos e comportamentos esperados podem-se identificar outliers: valores inconsistentes, atípicos, incompatíveis com o restante da série.

A análise de dados é facilitada quando a companhia utiliza dados estruturados em um sistema de ERP (Enterprise Resource Planning) como por exemplo o SAP. Neste tipo de sistema, há transações standard para cada processo, e as informações podem ser acessadas e extraídas diretamente na transação.

O ganho de eficiência vêm com conhecimento das tabelas internas do SAP. Pode-se extrair grandes volumes de dados de uma vez. Utilizamos a transação SE16, conectores ou transações ABAP.

Inovação na Auditoria Interna

A inovação é peça chave neste tipo de atividade, e está cada vez mais relacionada às tendências da área de TI: RPA, BI, Big Data, Data Science. Novos cenários se apresentam ao auditor:

  • Cloud Computing;
  • Gamificação;
  • Aplicativos mobile;
  • Internet das Coisas (IOT);
  • Trabalho remoto;
  • BYOD (Bring Your Own Device);
  • Metodologias ágeis e etc.

Exige-se portanto uma visão disruptiva do profissional para novos riscos, novos tipos de auditoria e novas possibilidades de auditar.

Automatização e RPA

O RPA (Robot Process Automation) vêm se destacando no mercado como solução de ganho de eficiência. No RPA, um robô é programado para executar tarefas sequenciais e repetitivas.

Quando associado à Inteligência Artificial, permite ainda a execução de atividades mais sofisticadas com um alto grau de precisão e aprimoramento contínuo.

Os humanos ficam liberados para atividades mais complexas, subjetivas, que exijam planejamento, estratégia e julgamento como conduta e integridade na prevenção de fraudes.

Data Science e Big Data

As Companhias estão estruturando planos de Transformação Digital, e temas como ciência de dados, data warehouse, data lake e os 3 V´s do Big Data já são corriqueiros.

O cientista de dados já um profissional cobiçado no mercado, embora o tema ainda seja bastante novo e esteja em constante aprimoramento.

As empresas de auditoria interna, consultoria, auditoria externa, faculdades, os profissionais – todos querem surfar esta onda cheia de jargões de análise de dados.

Resta ao profissional de gestão de riscos corporativos que deseja acompanhar estas inovações buscar a atualização de conhecimentos. Procure fortalecer a base teórica em matemática, especialmente estatística, desenvolver habilidades de programação e análise de dados.

Um bom começo pode ser o ACL ou ferramenta semelhante de análise de dados. Depois, cabe conhecer a linguagem R, Python e acompanhar os impactos da Inteligência Artificial e Robotização nos processos da Companhia.

Referências sobre Auditoria Contínua

Ficando Um Passo À Frente O Uso da Tecnologia por parte da Auditoria Interna (IIA/Michael P. Cangemi, 2015)

Auditoria Interna no Brasil

Soma de Gauss

Soma de Gauss: Simplificando Tarefas Complexas

Soma de Gauss, ou soma Gaussiana é na Álgebra o nome de uma soma finita de raízes da unidade. Mas o que me interessa mais é a história por trás da criação desta fórmula e como uma criança super dotada se livrou de um castigo, aparentemente complexo para outras crianças de sua idade, simplificando o problema, inovando ou usando um termo da moda: sendo disruptivo.

Conta-se que Carl Friedrich Gauss tinha 10 anos de idade, quando seu professor pediu aos alunos que calculassem a soma de todos os números de 1 à 100. Provavelmente como forma de castigo, o professor esperava que os alunos lhe dessem algum sossego empenhados nessa atividade trabalhosa. Gauss, prontamente apresentou o resultado: 5050. Contrariando a expectativa do professor, Gauss resolveu o problema incrivelmente rápido e estava certo em sua resposta!

O Pensamento Disruptivo

Provavelmente todas as crianças seguiram a forma mais natural e esperada. Eles começaram a somar os números em sua sequência natural: 1+2=3, em seguida 3+3=6, e 6+4=10 e assim por diante.

Em sua genialidade, Gauss decidiu somar o primeiro número (1) com o último numero (100), chegando ao primeiro resultado (101)

1+100=101

Primeira soma do método de Gauss

Em seguida, Gauss somou o segundo número (2) com o penúltimo número da sequência (99), obtendo novamente o mesmo resultado (101).

2+99=101

Segunda soma do método de Gauss.

Um padrão estava estabelecido. Todas somas restantes resultariam em 101: 3+98=101, 4+97=101, 5+96=101, e assim por diante…

3+98=101

4+97=101

5+96=101

Padrão identificado por Gauss

Soma de Gauss

Gauss percebeu que realizaria essa soma 100 vezes e todas resultariam em 101. Logo multiplicou 101 por 100, obtendo o número 10.100. Mas, ao somar os dois numeros do meio (50 e 51) já teria percorrido todas as possibilidades, pois a proxima soma seriam os pares invertidos: 51+50=1=1, 52+49=101, e etc… Então, Gauss entendeu que o número 10.100 deveria ser dividido por 2, resultando em 5.050.

A fórmula descoberta por Gauss é hoje conhecida como soma de Gauss. Ela permite calcular a soma de termos de uma progressão aritmética:

SN=(a1+aN)N2

Lições

Esta história me ensina algumas lições:

  • Gauss gastou mais tempo entendendo o problema do que tentando resolve-lo;
  • Ele fugiu do senso comum ao somar o primeiro (1) e o último numero (100), enquanto a maioria seguiria a sequência natural (1+2+3);
  • O menino identificou um padrão que se repetia e criou um algoritmo (sequência de passos) para resolver o problema;
  • O algoritmo foi criado quebrando o problema complexo em partes mais simples;
  • As partes do problema foram resolvidas em ordem de complexidade: da mais simples para a mais complexa;
  • O processo “automático”, ou fórmula, realizou a soma de todos os termos cem vezes, simplificando o cálculo. Depois ele dividiu 10.100 por 2, realizando novamente um cálculo mais simples, para ficar apenas com uma soma única de cada par de números. Em programação é comum deixar o computador calcular passos aparentemente desnecessários, mas rápidos devido o poder de processamento, para simplificar o algoritmo e cobrir todas as possibilidades.
  • Gauss criou uma solução definitiva e reutilizável: sua fórmula pode ser usada para obter a soma de qualquer sequência aritmética de números naturais.

A resolução de problemas têm sido facilitada pela tecnologia, especialmente pela inteligência artificial, mas ainda há características exclusivamente humanas essenciais para uma boa decisão: intuição, ética, integridade, .

Matriz de Riscos é a ferramenta que permite priorizar os riscos mais relevantes a serem testados e mitigados. Analise Probabilidade, Impacto e Criticidade.

Matriz de Riscos

Matriz de Riscos é a ferramenta que permite priorizar o risco iminente (mais relevantes) a ser testado e mitigado. A relevância é medida através de duas dimensões: probabilidade e impacto.

Probabilidade

Probabilidade é a chance do risco de materializar. Ou seja, qual é a chance de o problema ocorrer? Baixa, média ou alta?

Impacto

Impacto é o nível de dano que o risco atingirá se materializado. Ou seja, a gravidade do problema. Pergunte-se novamente: este risco é baixo, médio ou alto quanto à gravidade?

Nem sempre o impacto é financeiro. Veja outros tipos de riscos:

  • Risco Ocupacional, biológico, químico, ergonômico;
  • Risco ambiental; 
  • Risco operacional, risco de crédito, cambial;
  • Risco de Imagem / Reputação;

Após estabelecer uma nota para cada dimensão, pode-se estabelecer um ponto na matriz e determinar com maior precisão se o risco é crítico, alto, moderado ou baixo.

Tomada de Decisões

A matriz de riscos é muito útil na tomada de decisões, pois permite a avaliação imparcial de uma situação. Quando bem utilizada, os critérios são impessoais e bem definidos.

Para cada risco mapeado, deve haver um ou mais controles que minimizem o impacto e/ou a probabilidade do risco. Chamamos isso de mitigar o risco.

De acordo com a complexidade, os controles podem ser manuais ou automáticos. Controles manuais, dependem da execução de um ser humano. Controles automáticos são aqueles baseados em sistemas, sensores ou verificações periódicas.

Periodicidade de Execução do Controle

A periodicidade de execução do controle ajuda a determinar quantos itens serão testados pelo auditor. O dicionário de riscos é ponto de partida para criação da matriz. Geralmente é criado e mantido por uma área da segunda linha de defesa: Gerenciamento de Riscos, Controles Internos, Compliance etc..

Mapa de Calor

Após finalizada, a matriz pode ser resumida em um mapa de calor (heatmap), onde os riscos são posicionados entre os eixos de impacto e probabilidade. Os quadrantes são separados por cores, geralmente do verde (risco baixo) ao vermelho (risco crítico).

Mapa de Calor (Heatmap)

Todos estes critérios devem constar na metodologia de Auditoria adotada pela Companhia.