Auditoria de TI: avaliando riscos e controles, ITGC e segurança da informação na Auditoria Interna

Auditoria de TI na prática: primeiros passos

Auditoria de TI é uma das linhas de defesa voltada para a avaliação de riscos e controles (ITGC) que envolvem tecnologia da Informação (GTAG-1), segurança da Informação e uso de dados pessoais na Auditoria Interna.

Auditar o ITGC (Information Technology General Controls) é um dos primeiros aprendizados do auditor com formação em TI.

ITGC

ITGC é sigla em inglês para o conjunto de Controles Gerais de Tecnologia da Informação. O ITGC é dividido em 4 grupos:

Access to Program and Data

Acesso a Programas e Dados geralmente considera os seguintes itens:

  • Políticas e procedimentos;
  • Revisões periódicas de acessos;
  • Parâmetros de senha;
  • Contas de acessos privilegiados (root, superuser);
  • Acesso físico;
  • Segregação de funções de acesso;
  • Criptografia;
  • Autenticação de sistemas;
  • Logs de auditoria;
  • Segurança de rede.

Program Changes and Development

Programa de Mudanças ou gestão de mudanças e desenvolvimento envolve os seguintes temas:

  • Políticas e Procedimentos;
  • Metodologia de desenvolvimento de sistemas;
  • Migração entre ambientes e segregação de funções (desenvolvimento, homologação e produção);
  • Configuração de mudanças;
  • Mudanças emergenciais;
  • Migração de dados e controle de versões;
  • Pós implementação: testes e revisão.

Computer Operations

Operação de Computadores abrange atividades cotidianas como:

  • Processamento Batch;
  • Monitoramento de jobs;
  • Procedimentos de cópia de segurança (backup) e recuperação (recovery) de dados;
  • Mudanças no agendamento de jobs batch;
  • Controles de ambiente (temperatura, fumaça, inundação);
  • Plano de Recuperação de Desastres (DRP);
  • Plano de Continuidade de Negócio (BCP);
  • Gerenciamento de atualizações.

GTAG

Como complemento ao ITGC, o GTAG (Global Technology Audit Guide) é um guia de boas práticas para auditar TI. Este guia foi desenvolvido pelo Instituto de Auditores Internos (IIA).

  • GTAG 1: Information Technology Controls
  • GTAG 2: Change and Patch Management Controls: Critical for Organizational Success
  • GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
  • GTAG 4: Management of IT Auditing
  • GTAG 5: Managing and Auditing Privacy Risks
  • GTAG 6: Managing and Auditing IT Vulnerabilities
  • GTAG 7: Information Technology Outsourcing
  • GTAG 8: Auditing Application Controls
  • GTAG 9: Identity and Access Management
  • GTAG 10: Business Continuity Management
  • GTAG 11: Developing the IT Audit Plan
  • GTAG 12: Auditing IT Projects
  • GTAG 13: Fraud Prevention and Detection in the Automated World
  • GTAG 14: Auditing User-developed Applications
  • GTAG 15: Formerly Information Security Governance–Removed and combined with GTAG 17
  • GTAG 16: Data Analysis Technologies
  • GTAG 17: Auditing IT Governance

Gestão de Acessos Lógicos

A gestão de acessos lógicos é a célula responsável por conceder, bloquear e revogar acessos lógicos. Estes acessos podem ser à sistemas (AD, aplicações, bancos de dados), infraestrutura (pastas de rede, firewall, VPN) ou hardware (usb, impressoras, servidores, data centers).

Auditar este processo (GTAG-9) envolve verificar:

  • Há exigência de senhas fortes (tamanho mínimo, caracteres especiais, letras e números, caracteres especiais)?
  • Na troca, as senhas anteriores podem ser reutilizadas?
  • Há expiração por tempo de uso?
  • Há bloqueio por tentativas incorretas e consecutivas?
  • As senhas são armazenadas com criptografia?
  • Há senhas compartilhadas?
  • Há usuários genéricos, sem responsável ou sem senha definida?
  • Os acessos são revisados periodicamente?
  • Movimentações e desligamentos são comunicados para revogação ou adequação de acessos?

Existem companhias que centralizam a Gestão de Acessos em um departamento de Segurança da Informação.

Segurança da Informação

ISO27000 é talvez um dos principais guias na condução de trabalhos que avaliem riscos de segurança da informação.

Geralmente são avaliados os seguintes temas: gestão de acessos de software e rede, atualizações de segurança, atualização de antivírus, regras de firewall, acesso remoto (VPN – Virtual Private Network), gestão de incidentes de segurança, prevenção de vazamento de informações (DLP – Data Loss Prevention), uso de dispositivos móveis, mídias removíveis, proteção contra hackers e ciber ataques. (GTAG-15).

A segurança dos dados pessoais é especialmente importante com a implantação da nova lei de proteção de dados pessoais – LGPD. Os dados de uma empresa podem conter inúmeras informações pessoais. A proteção destes dados exige criptografia, armazenamento seguro, anonimizar dados pessoais completos e novos cuidados na coleta de dados web.

Desenvolvimento de Software

Avaliar o SDLC (Software Development Life Cycle) envolve o controle de versões, armazenamento seguro de código fonte, uso seguro de bibliotecas e API’s. (GTAG-8)

Operação

Avaliar os riscos e controles que garantem o funcionamento do negócio. Como garantir que os dados estejam disponíveis, acessíveis e íntegros?

Quando algo deixa de funcionar, como são os processos de Suporte, solução de Incidentes e Problemas?

Propriedade e Uso de Software

Existem controles de Licenciamento de software? Há uso de software livre (open source) e shadown IT (GTAG-14)?

Projetos e Terceirização

Há gestão de projetos que permita o acompanhamento do uso de recursos, qualidade das entregas, cumprimento de cronograma? (GTAG-12)

Há projetos terceirizados? Existe risco trabalhista? Conflito de interesses? (GTAG-7)

Os terceiros têm acesso a dados desnecessários, sensíveis, sigilosos ou estratégicos? (GTAG-5)

Continuidade

O programa de Continuidade ou BCM (Business Continuity Management) contém uma série de documentos e atividades para garantir a retomada de sistemas críticos. (GTAG-10)

DRP (Disaster Recovery Plan) é o plano de recuperação de desastres.

No caso de um evento negativo que interrompa as atividades da Companhia, o DRP indica as ações que devem ser tomadas para a retomada dos serviços e quem são os responsáveis por cada uma delas.

Governança

Cada vez mais comum nos departamentos de TI, a área de governança de TI participa e auxilia na primeira linha de defesa de riscos e controles.

Algumas das atividades podem ser: gestão de SLA (Service Level Agreement), acompanhamento de indicadores, orçamento, gestão de fornecedores, mudanças, incidentes, problemas e etc (GTAG-2).

Curso de auditoria de TI

Em geral, não há muitas opções de curso de auditoria de tecnologia da informação. Há pós-graduações, matérias em alguns cursos de graduação, certificações profissionais, mas poucos cursos de base profissionalizante.

Como começar na auditoria de TI?

Normalmente, o profissional inicia a sua carreira em um processo de trainee em uma Big 4. Estão neste grupo as 4 maiores empresas de Consultoria ou Auditoria Externa. São elas: Deloitte, E&Y, KPMG e PwC.

Auditoria Contínua de TI

Quando o teste de riscos e controles é realizado de forma automatizada e periódica chamamos a atividade de Auditoria Contínua (GTAG-3). O ACL Analytics é uma das principais ferramentas de Auditoria Interna. Leia mais aqui.

Referências sobre Auditoria de TI

COBIT, Isaca

ITIL, Axelos

ISO/IEC, ABNT

GTAG, IIA

Auditoria Contínua e Data Analytics na Auditoria Interna

Auditoria Contínua ou Monitoramento Contínuo de Riscos é um tema relativamente recente para profissionais de auditoria interna, governança corporativa e análise de dados.

Assim sendo, o assunto é pertinente em qualquer uma das linhas de defesa (Gestão, Auditoria Interna, Auditoria Externa, Gerenciamento de Riscos, Controles Internos, Compliance, Prevenção de Fraudes, etc.).

O que é Auditoria Contínua?

A metodologia de auditoria interna já é muito bem consolidada:

  • Mapeamento de processo e controle interno;
  • Criação do mapa de risco;
  • Análise de probabilidade e impacto;
  • Programa de testes para auditar;
  • Documentação dos papéis de trabalho;
  • Emissão de relatório ou parecer.

Auditoria Contínua é o processo de criação de rotinas automatizadas e periódicas de análise de dados e monitoramento contínuo. Gatilhos e critérios são pré-definidos em scripts (código-fonte/programação) para identificar exceções ou outliers (situações não usuais). São “robôs” que utilizam sistemas e ferramentas de análise de dados. Os robôs auxiliam na identificação de riscos, prevenção de fraudes, avaliação da segurança da informação, auditoria preventiva e testes de conformidade.

Uma atividade estreitamente relacionada aos auditores de TI, a Auditoria Contínua, ou Monitoramento Contínuo, provavelmente iniciou-se com as técnicas de auditoria com auxílio de sistemas, mais conhecidas como CAATs (Computer-Assisted Audit Techniques).

Monitoramento Contínuo

Usando ferramentas de análise de dados, como ACL (Audit Command Language) – agora chamado de Galvanize ACL Analytics, este profissional, aplica os conhecimentos de auditoria com o auxílio da ferramenta.

Consistindo relatórios, sumarizando campos, relacionando bases de diferentes sistemas, e criando amostras aleatórias com facilidade.

Há ainda outras ferramentas de análise de dados como Arbutus, SAS, IDEA e até mesmo o SQL Server pode ser utilizado com esta finalidade.

Transformando essas análises em scripts ACL, pode-se criar rotinas automatizadas de:

  • Monitoramento contínuo de riscos inerentes ao processo;
  • Testes de controles;
  • Simulação de controles;
  • Identificação e prevenção de fraude;
  • Gerar alertas de eventos ou comportamentos não usuais de acordo com o objetivo da auditoria.

Estes podem estar relacionados à segurança da informação, controle efetivo de inventário, quebra de alçada, pagamentos duplicados ou suspeitos e etc..

A automatização traz muitos benefícios:

  • Otimizar o plano de auditoria;
  • Implantar uma metodologia ágil;
  • Ganhar eficiência;
  • Evitar o retrabalho;
  • Reduzir custos;
  • Ampliar o escopo;
  • Novos métodos de visualização do parecer de auditoria;
  • Execução recorrente;
  • Análise em larga escala;
  • Alinhar interesses da auditoria e das áreas de negócios;
  • Fazer mais com menos.

Segurança dos Dados

Com alguns acessos de leitura ao AD (Active Directory) e relatórios gerenciais em ferramentas como o SCCM (System Center Configuration Manager), testes típicos de ITGC (Information Technology General Controls) podem ser realizados à distância e em tempo real sem a dependência da área de TI.

O monitoramento de transações críticas através de logs de acesso, revisão de perfis e funções pode ser facilmente avaliado comparando os dados eletrônicos e identificando situações em desacordo com as políticas e procedimentos da organização.

Auditoria Contábil

Escandalos recentes de corrupção e lavagem de dinheiro no Brasil demonstraram a importância de fortalecer a Governança Corporativa. Ficou evidente que o combate corrupção está intimamente ligado à identificação da “Contabilidade Criativa”. Movimentações atípicas reportadas pelo antigo COAF demonstraram a efetividade inegável de seguir “a rota do dinheiro do dinheiro sujo”.

A auditoria contabil, antes baseada em amostras aleatórias, evidências fornecidas pelo contador e testes de journal entries. Agora pode ser realizada de forma automática para a base completa com o cruzamento de dados. Isso amplia a cobertura de Riscos analisados.

Mapeando-se os processos, contas contábeis, tipos de documentos e comportamentos esperados podem-se identificar outliers: valores inconsistentes, atípicos, incompatíveis com o restante da série.

A análise de dados é facilitada quando a companhia utiliza dados estruturados em um sistema de ERP (Enterprise Resource Planning) como por exemplo o SAP. Neste tipo de sistema, há transações standard para cada processo, e as informações podem ser acessadas e extraídas diretamente na transação.

O ganho de eficiência vêm com conhecimento das tabelas internas do SAP. Pode-se extrair grandes volumes de dados de uma vez. Utilizamos a transação SE16, conectores ou transações ABAP.

Inovação na Auditoria Interna

A inovação é peça chave neste tipo de atividade, e está cada vez mais relacionada às tendências da área de TI: RPA, BI, Big Data, Data Science. Novos cenários se apresentam ao auditor:

  • Cloud Computing;
  • Gamificação;
  • Aplicativos mobile;
  • Internet das Coisas (IOT);
  • Trabalho remoto;
  • BYOD (Bring Your Own Device);
  • Metodologias ágeis e etc.

Exige-se portanto uma visão disruptiva do profissional para novos riscos, novos tipos de auditoria e novas possibilidades de auditar.

Automatização e RPA

O RPA (Robot Process Automation) vêm se destacando no mercado como solução de ganho de eficiência. No RPA, um robô é programado para executar tarefas sequenciais e repetitivas.

Quando associado à Inteligência Artificial, permite ainda a execução de atividades mais sofisticadas com um alto grau de precisão e aprimoramento contínuo.

Os humanos ficam liberados para atividades mais complexas, subjetivas, que exijam planejamento, estratégia e julgamento como conduta e integridade na prevenção de fraudes.

Data Science e Big Data

As Companhias estão estruturando planos de Transformação Digital, e temas como ciência de dados, data warehouse, data lake e os 3 V´s do Big Data já são corriqueiros.

O cientista de dados já um profissional cobiçado no mercado, embora o tema ainda seja bastante novo e esteja em constante aprimoramento.

As empresas de auditoria interna, consultoria, auditoria externa, faculdades, os profissionais – todos querem surfar esta onda cheia de jargões de análise de dados.

Resta ao profissional de gestão de riscos corporativos que deseja acompanhar estas inovações buscar a atualização de conhecimentos. Procure fortalecer a base teórica em matemática, especialmente estatística, desenvolver habilidades de programação e análise de dados.

Um bom começo pode ser o ACL ou ferramenta semelhante de análise de dados. Depois, cabe conhecer a linguagem R, Python e acompanhar os impactos da Inteligência Artificial e Robotização nos processos da Companhia.

Referências sobre Auditoria Contínua

Ficando Um Passo À Frente O Uso da Tecnologia por parte da Auditoria Interna (IIA/Michael P. Cangemi, 2015)

Auditoria Interna no Brasil

Vaga Auditor: Oportunidades em Dezembro de 2020

Vaga Auditor: Oportunidades em Dez/2020

Vaga Auditor: Oportunidades em Dezembro de 2020

Vaga Auditor: Oportunidades em Dezembro de 2020 para você se inscrever! Está procurando uma nova oportunidade de emprego? Quer crescer na carreira de Auditoria Interna? Veja abaixo as vagas disponíveis em dezembro de 2020:

Vaga Auditor

Klabin: Auditor Sênior na Klabin

Requisitos:

  • Formação superior completa, preferencialmente Ciência Contábeis;
  • Conhecimento da metodologia COSO
  • Conhecimento avançado em Excel e, preferencialmente do software ACL
  • Disponibilidade para viagens frequentes
  • Idioma Inglês em nível avançado

Allianz: Auditor I na Allianz, Auditor III na Allianz

Função:

Realização de auditorias internas nos processos operacionais que envolve Subscrição (P/C, Life and Health), Regulação de Sinistros (P/C, Life and Health), Comercial Filiais, Market Management, Auditoria Regulatórias, Finanças, Áreas Atuariais, etc. Interação com Group Audit (Alemanha) e região IberoLatam (Espanha), Execução de Follow Up, tarefas administrativas da área de auditoria interna, dentre outros.

Revelo: Auditor na Revelo

A Revelo (https://www.revelo.com.br/) é uma plataforma online de recrutamento que revela o que está além do CV. Nossa tecnologia seleciona os melhores candidatos das carreiras mais estratégicas – desenvolvimento de software, design, marketing e negócios. Atendem  empresas como OLX, B2W, Ambev, Banco Votorantim, Gympass, entre outras milhares procurando por profissionais em São Paulo, SP, com salários a partir de R$6000.

Itaú: Auditor de Infra de TI

O Itaú prorrogou sua política de home office até janeiro/2021, o que significa que não retornarão aos polos administrativos antes disso, ficando este prazo para reavaliação de como será o retorno a partir de 01/fev.

Quais os conhecimentos necessários?

  • Experiência na execução de auditorias em processos e soluções relacionadas à TI com foco em Infraestrutura;
  • Vivência em gerenciamento de projetos e/ou gestão de equipe;
  • Vivência em administração de algum desses ambientes – Redes Corporativas (Networking); Sistemas Operacionais; Mainframe ou Banco de Dados.

Enjoei: Auditor interno na Enjoei

Requisitos:

  • garantir a eficácia do processo de gestão do risco da companhia;
  • validar e certificar as diretrizes adotadas pela companhia quanto aos procedimentos de controles internos e risco corporativo;
  • preparar relatórios bimestrais que descrevam os riscos da companhia, a avaliação de risco correlata e os resultados do gerenciamento do risco, e submetê-los ao comitê de auditoria;
  • avaliar e monitorar o risco operacional, de crédito, liquidez, de dados e o risco estrutural de meios de pagamento;
  • realizar no mínimo uma revisão anual do sistema de controles internos da companhia;
  • coordenar a força de trabalho interna destinada a detectar quaisquer riscos e monitorar a eficácia do processo de gerenciamento do risco;
  • avaliar e monitorar, juntamente com a administração e o comitê de auditoria, a adequação das transações com as partes relacionadas realizadas pela companhia e suas respectivas evidenciações, conforme previsto na Política de Transações com Partes Relacionadas da companhia;
  • aferir a qualidade e a efetividade dos processos de gerenciamento de riscos, controle e governança da companhia.

BTG Pactual: Especialista em Auditoria na BTG

Atividades:

  • Elaboração de plano de auditoria de IT baseado em riscos e necessidades regulatórias;
  • Coordenação e execução do plano de auditoria de IT;
  • Interação com as áreas auditadas para entendimento do business e processos;
  • Identificar riscos e controles chaves nos processos auditados;
  • Interação contínua com o Sr. Management, heads de IT e de Segurança da Informação para reportar, monitorar e se atualizar dos riscos existentes; e
  • Acompanhar periodicamente a implementação de plano de ação estabelecido para os riscos identificados.

Banco PAN: Especialista em Auditoria de TI no Banco PAN

Requisitos:

Ensino superior completo;
Sólida experiência em Auditoria de sistemas, Segurança da Informação e Tecnologia;
Domínio de pacotes como Windows, MS Office (principalmente excel e VBA), MS-Project e MS Visio;
Domínio do ACL e/ou demais ferramentas de data analytics;
Vivência na geração e análise de indicadores de monitoramento;
Conhecimento de desenvolvimento de sistemas, Cyber Segurança, Segurança da Informação, Data Privacy;
Redes Lan/Wan e servidores;
Ferramentas de segurança da informação (Firewall, filtros de e-mail, internet, consolidadores de log, etc);
Conceito de fraudes e outras irregularidades eletrônicas;
Processos e normas relacionadas a TI (CobiT, ITIL, PMBOK, NBR ISO/IEC27001 e outros);
Habilidades na comunicação escrita e verbal.
Capacidade de pensar e trabalhar analiticamente.
Desenvolver o entendimento das áreas de negócio sob revisão e elaborar um trabalho de teste completo, além de fundamentar eventuais problemas identificados durante a auditoria.
Manter relação de trabalho honesta e clara com a auditoria e áreas de negócio, mantendo abordagem profissional em todos os momentos.
Compartilhar conhecimento sobre as melhores práticas, ferramentas metodologias com os demais membros da equipe de auditoria além de contribuir para o desenvolvimento de projetos internos.
Habilidades de liderança e gerenciamento de projetos para entrega de trabalhos com qualidade de acordo com o orçamento e prazos planejados.

Vaga Enfermeiro Auditor

Rede Santa Catarina: Enfermeiro Auditor na Rede Santa Catarina

São Paulo: Enfermeiro Auditor de Contas em São Paulo, Auditoria de Contas, Enfermeiro Auditor Júnior, Auditor de Engenharia Hospitalar,

Paraná: Enfermeiro Auditor em Maringá

Piauí: Enfermeiro Auditor em Teresina

Atenção: este post tem caráter exclusivo de divulgação de vagas disponíveis na data da publicação. Por favor consulte o link original indicado nesta página para obter mais informações.

Artigos

Saiba mais sobre auditoria fiscal, amplie seus conhecimentos sobre auditoria interna e assuntos relacionados.

Python na Auditoria Interna

Python na Auditoria Interna I

Python é uma linguagem amplamente utilizada em data analytics. A análise de dados está cada vez mais presente na Auditoria Interna. Iniciativas de Auditoria Contínua, automatização de tarefas com RPA, reconhecimento de caracteres, reconhecimento facial são a nova realidade.

O Python é uma ferramenta poderosa e de fácil implementação. Existem muitos códigos e componentes prontos e de código aberto. Você pode encontrar com facilidade exemplos de geração de gráficos, reconhecimento facial, machine learning e etc..

Como utilizar esta ferramenta na Auditoria Interna? Vamos abordar esse assunto em uma série de artigos. Primeiro vejamos como instalar o ambiente.

Instalando o Python

Para instalar o Python, acesse o site oficial e faça o download da versão mais atualizada. Existem versões para Windows, Linux e Mac.

Além da linguagem em si, você pode instalar e utilizar bibliotecas (matplotlib, plotly, altair, bokeh), plugins e editores de código como o VSCODE da Microsoft.

Documentação da linguagem Python

O Python possui uma ampla documentação online em português. Par começar, basta seguir o tutorial.

Cursos de Python

Você pode encontrar muitos cursos de Python na internet. A USP possui um curso de ciência da computação com Python na plataforma Coursera. O curso é totalmente gratuito e você pode pagar para obter o certificado da Universidade de São Paulo.

A Universidade Rutgers possui um vasto conteúdo em inglês sobre Python neste link. Também há muitos vídeos em inglês no Youtube como este:

Aula da universidade Rutgers