Segurança informática em auditoria

3. Análise de risco na auditoria da segurança informática

Apesar da existência de uma infinidade de standards em permanente actualização que acompanham o ritmo de evolução das tecnologias de informação e comunicação, ainda não existe uma metodologia aceite generalizadamente para a auditoria da segurança informática.

A maior parte dos textos de auditoria informática abordam a questão do risco quando se fala em segurança. Isto acontece porque os riscos têm incrementado em espiral nos sistemas de informação desde que as tecnologias de informação foram adoptadas generalizadamente. A análise de risco está sempre orientada para proteger alguém, pode proteger o auditor ou pode proteger a empresa.

Actualmente existem várias correntes metodológicas, mas podemos reduzir todo o conjunto a duas grandes lógicas de acção, uma dirigida à protecção do auditor e outra à protecção da organização. Assumimos então que existem em auditoria informática duas visões do risco:

a. Análise de Risco da Auditoria: orientada para redução do risco do auditor poder emitir uma opinião incorrecta. A primeira preocupação do auditor é obter informação suficiente para emitir uma opinião adequada. Para além do risco de auditoria, o auditor está também exposto a perdas e danos no exercício da sua actividade profissional resultante de litígios, publicidade adversa ou outros eventos, que surjam em conexão com a informação que ele examinou e sobre as quais emitiu uma opinião;

b. Análise de Risco da Organização: orientada para os riscos que a empresa corre ao depender em absoluto de sistemas de informação automatizados. A primeira preocupação da empresa é funcionar sem acidentes de percurso e sem falhas dos sistemas de informação que são essenciais aos objectivos do negócio. Os riscos são analisados nos processos associados à função informática na empresa, discutindo as exigências que podem ser feitas aos sistemas de informação e aos recursos envolvidos. O COBIT é o melhor exemplo desta corrente.

Vamos abordar a perspectiva da Análise de Risco da auditoria (protecção do auditor). Durante a minha experiência de ensino na área de auditoria informática, um dos processos mais fáceis de explicar a profissionais de informática o que se faz em auditoria, foi a utilização do Standard de Auditoria relativo à análise de risco. Por um lado, os profissionais de auditoria captam facilmente o problema dos anéis quando é apresentado na lógica da análise de risco porque a conhecem bem. Por outro lado, os profissionais de informática gostam de esquemas, usam-nos no seu dia-a-dia com tanta frequência que acabam por apreender rapidamente os conceitos transmitidos por esta via.

Observe o esquema seguinte preparado com base na norma dedicada à Avaliação do Risco em Auditoria, pode vê-la no site da Ordem dos Revisores Oficiais de Contas (OROC) [11]:

Esta norma/standard de auditoria proporciona orientação aos profissionais de auditoria [12] na avaliação do risco de auditoria e seus componentes: risco inerente, risco de controlo e risco de detecção [13].

A norma coloca em primeiro plano o risco da auditoria para o auditor que é a entidade a proteger. A norma não é dirigida ao risco da organização na perspectiva global do COSO que refere o risco empresarial nos seguintes termos:

“Gestão do risco empresarial é um processo, levado a efeito pelo quadro de directores de uma entidade, gestores e outro pessoal, aplicado na definição da estratégia em toda a empresa, desenhado para identificar potenciais acontecimentos que podem afectar a entidade, e para gerir o risco mantendo-o em níveis aceitáveis, tendo em vista oferecer segurança razoável relativamente à concretização dos objectivos da entidade” [14]

A necessidade de determinação do risco vem referida no parágrafo 15 das Normas Técnicas de Revisão/Auditoria seguidas pelos ROC: “15. O revisor/auditor deve planear o trabalho de campo e estabelecer a natureza, extensão, profundidade e oportunidade dos procedimentos a adoptar, com vista a atingir o nível de segurança que deve proporcionar e tendo em conta a sua determinação do risco da revisão/auditoria e a sua definição dos limites de materialidade.”

O que se pretende dizer com o esquema é, em primeiro lugar, que o risco da auditoria provém de três fontes principais que podem ser decompostas noutras dimensões específicas como veremos mais à frente. Uma adaptação das definições com base no conceito de “susceptibilidade” na norma para a auditoria informática, ampliando o conteúdo de “dados financeiros” para “qualquer informação produzida por qualquer sistema de informação”, pode resultar nas seguintes definições:

• Risco de auditoria: é a susceptibilidade do auditor dar uma opinião de auditoria não apropriada quando uma informação produzida pelo sistema esteja distorcida de forma materialmente relevante.



• Risco inerente: é a susceptibilidade de uma informação conter uma distorção que possa ser materialmente relevante, considerada individualmente ou quando agregada com distorções em outros dados, assumindo que não existem os respectivos controlos internos.



• Risco de controlo interno: é a susceptibilidade de uma distorção, que possa ocorrer numa informação e que possa ser materialmente relevante, considerada individualmente ou quando agregada com distorções em outros dados, não vir a ser prevenida ou detectada e corrigida atempadamente pelo sistema de controlo interno. “O conceito de controlo interno faz parte do processo de gestão. É constituído pelas acções tomadas pela gestão para planear, organizar e dirigir as suficientes acções que providenciem adequada certeza que os seguintes objectivos são atingidos:
  
  
  • cumprimento de metas estabelecidas para os programas e operações;
    
    
  • uso económico e eficiente dos recursos;
    
    
  • salvaguarda de recursos;
    
    
  • fiabilidade e integridade da informação;
    
    
  • conformidade com as políticas, planos, procedimentos, leis e regulamentos” (Institute of Internal Auditors) [15].
  
  
• Risco de detecção: é a susceptibilidade dos procedimentos substantivos executados pelo auditor não virem a detectar uma distorção que exista numa informação que possa ser materialmente relevante, considerada individualmente ou quando agregada com distorções em outros dados.

Não estamos preocupados em analisar as TIC como instrumento de auditoria. Interessa-nos sobretudo a análise das TIC como fonte de risco para a auditoria.

As TIC intervêm como instrumento na avaliação de qualquer destes três tipos de risco associados ao risco de auditoria nos termos em que o definimos. As TIC são determinantes como condicionantes do risco em qualquer dos três tipos de risco (inerente, controlo, detecção), mas onde assumem um papel verdadeiramente decisivo é no controlo interno.

O controlo interno, montado tradicionalmente com base em encontros e desencontros de documentos nos circuitos de informação, ou através da comparação dos dados de várias fontes e circuitos, passou progressivamente para dentro do software e hardware. A célebre comparação da guia de entrada em armazém com a factura para autorizar a emissão do cheque, em muitos casos, já não pode ser feita com recurso ao papel porque o que existe actualmente são transacções gravadas pelo software em estruturas de dados complexas.

Hoje, não é possível avaliar adequadamente o controlo interno sem ter em conta as TIC, porque os dados circulam electronicamente e são tratados por software posto em acção por utilizadores autorizados pelo seu user/password que alguém deve gerir. Actualmente, há poucos sistemas de informação que não recorram a algum hardware e software. A análise dos referenciais internacionais usados em segurança informática é da máxima importância para quem precisar de fundamentar a sua opinião. Como os standards nasceram de motivações diferentes, algumas pouco relacionadas com a auditoria, revelam muitas zonas de sobreposição e várias perspectivas de abordagem em função das preocupações de cada grupo que as desenvolveu.

A abrangência e actualidade são determinantes na escolha de um standard para aplicar. O ISO/IEC 17799 tem-se mostrado irresistível porque é amplo e surgiu relativamente cedo na sequência de publicação e divulgação dos standards. O COBIT tem sido defendido pela associação americana Information Systems and Control Association [16] que se sustenta em milhares de auditores certificados de sistemas de informação (os CISA e os CISM [17]) e pela utilização de recursos electrónicos bastante ricos para os seus membros espalhados por todo o mundo.