| Abordagem metodológica à auditoria a sistemas de informação |
|
|
3.3. Avaliação e teste dos controlos gerais
Sob o ponto de vista dos Sistemas de Informação informatizados [USGAO 1999] "os controlos gerais são a estrutura, políticas e procedimentos que se aplicam à generalidade das operações informatizadas de uma entidade".
Ainda, e segundo a IGAE [IGAE 2000], os controlos gerais "restringem-se basicamente à estrutura organizativa e aos métodos e procedimentos estabelecidos para regular a relação" do SI informatizado com os restantes elementos ou "componentes" da entidade. Desta forma, os controlos gerais criam o ambiente no qual as aplicações informáticas trabalham e ajudam a assegurar que funcionam de forma apropriada.
Durante a auditoria, o auditor orienta o seu trabalho em torno dos controlos gerais que normalmente pertencem às instalações informáticas e aos sistemas que suportam um número de diferentes aplicações, tal como instalações de processamento de dados ou redes locais.
A eficácia dos controlos gerais é um factor importante na determinação da eficácia dos controlos das aplicações. Se os controlos gerais são fracos, eles diminuem severamente a fiabilidade dos controlos associados com as aplicações individuais, devido à sua permeabilidade a modificações ou simplesmente por ser possível contorná-los. Por esta razão, tal como foi afirmado antes, os controlos gerais são normalmente avaliados antes e em separado da avaliação dos controlos das aplicações.
Por exemplo, os campos de entrada de dados desenhados para evitar que os utilizadores insiram valores não razoáveis num sistema de processamento de pagamentos, podem ser um controlo razoável de uma aplicação. No entanto, este controlo não é fiável se os controlos gerais permitirem modificações não autorizadas do programa.
Se os controlos gerais não funcionarem de forma eficaz, os controlos ao nível das aplicações geralmente não são testados. Sem controlos gerais eficazes, os controlos das aplicações podem ser considerados ineficazes dado que permitem o seu contorno ou modificação.
Nestes casos o auditor deverá recolher mais elementos que sirvam de evidência e reavaliar a natureza e extensão dos riscos, dado que estes podem afectar significativamente os testes substantivos.
No entanto, os controlos das aplicações devem ser auditados, mesmo que os controlos gerais sejam fracos, quando:
Se no final desta fase se chegar à conclusão que os controlos gerais são adequados para as aplicações, o auditor prossegue para os testes aos controlos das aplicações que foram identificadas como críticas.
Esta abordagem metodológica à auditoria a Sistemas de Informação prevê a análise e avaliação de dez categorias de controlos gerais, a saber:
1) Gestão dos Sistemas de Informação - Estes controlos devem assegurar que as actividades dos SI têm por base planos estratégicos e tácticos que estão coordenados com os planos do negócio, e que as actividades do SI suportam as necessidades do negócio. Também devem assegurar que são fornecidos os meios necessários para que atinjam os objectivos planeados;
2) Planeamento e gestão do programa de segurança de toda a entidade - O programa de segurança permite criar uma estrutura e gerir um ciclo contínuo de actividade para a gestão do risco, desenvolvimento de políticas, atribuição de responsabilidades e monitorização da adequação dos controlos informáticos da entidade;
3) Controlo de acessos - Limitam e/ou detectam o acesso a recursos informatizados (dados, programas, equipamentos e instalações), protegendo estes recursos contra a modificação não autorizada, perda ou dano;
4) Segurança física - A segurança física deve limitar os riscos de danos ocorridos por acidente, deve também assegurar que os equipamentos estão devidamente climatizados e que não param de funcionar devido a falhas de energia. Estes controlos estão intimamente ligados com os controlos de continuidade do serviço;
5) Selecção e implementação de aplicações informáticas - Pretendem garantir que o Software adquirido, pela entidade, suporta as necessidades do negócio e dos utilizadores, provém de fornecedores credenciados, cumpre os requisitos definidos e é acompanhado por documentação e treino suficientes;
6) Desenvolvimento e alteração de aplicações informáticas - Previnem a implementação de programas não autorizados ou a alteração não autorizada de programas existentes;
7) Software de sistema - São controlos que limitam e monitorizam o acesso a programas poderosos e ficheiros sensíveis que:
8) Segregação de funções - São políticas, procedimentos e uma estrutura organizacional estabelecida para que nenhum indivíduo possa controlar aspectos chave das operações informáticas e por isso executar acções não autorizadas ou obter acesso não autorizado a bens ou registos;
9) Continuidade do serviço - Asseguram que quando ocorrerem eventos inesperados, as operações críticas continuem sem interrupção ou que sejam prontamente retomadas e que a informação critica ou sensível é protegida; e
10) Internet - Os controlos sobre a Internet pretendem assegurar que este meio de comunicação é utilizado correctamente e apenas para ajudar a atingir os objectivos do negócio. Bem como, determinar se as políticas que regem os serviços de correio electrónico e de Comércio Electrónico e as que regem o WebSite, são correctamente aplicadas e cumpridas. Pretendem ainda assegurar que foram implementados esquemas de protecção para que as comunicações sejam efectuadas de forma segura.
Para cada uma destas categorias são identificados vários elementos de controlo [9]. A cada um dos elementos de controlo estão associados objectivos, riscos, actividades, bem como procedimentos recomendados de auditoria (de carácter genérico) e "preocupações" de auditoria.
|
|
|