Qual a função do auditor de sistemas

Publicado em por
Foto da Sarah Pflug do Burst

É inequívoco que os sistemas de tecnologias da Informação (TI) fazem parte da vida das pessoas na atualidade. Pode-se inclusive afirmar basicamente que a vida contemporânea cruza com pelo menos um sistema por dia em seu cotidiano. Uma secretária necessita de um computador para gerir a agenda do executivo, um operário de chão de fábrica utiliza um sistema para bater o seu ponto, uma gestora do lar precisa no mínimo de um telefone para fazer contato com seu esposo, seus filhos, encomendar alimentos, consultar assuntos escolares, etc. Todos esses exemplos escondem sistemas computacionais em seus procedimentos. O computador da secretária possui um Sistema Operacional como o Windows por exemplo. O relógio de ponto da empresa do operário possui um sistema para gerir o horário e poder registrar o período trabalhado. O telefone da dona de casa utiliza-se de uma plataforma de telefonia baseada em Sistemas Operacionais de última geração para estabelecer as ligações. Portanto os sistemas estão escondidos ou explícitos em todos os lugares da vida moderna. Porém quão seguros estão nossos dados armazenados nesses sistemas? Podemos confiar? E se o número do seu cartão de crédito vazar na internet, quem será responsabilizado? Como provar que não fomos nós que utilizamos o cartão para realizar uma compra que não compramos? É nesse contexto que entra os Auditores de Sistemas de Tecnologia da Informação.

Resumo da função principal do Auditor de Sistemas

A função principal do Auditor de Sistemas é básica e sucintamente conhecer, observar, identificar, analisar, coletar e documentar os Sistemas de TI, com intuito de garantir a qualidade, confiabilidade e segurança desses sistemas, resultando em um documento muito detalhado de todas as vulnerabilidades e sugestões de resolução dos problemas, que podem ou não serem aplicadas pelos interessados.

Quando uma empresa necessita de um Auditor de Sistemas?

Inicialmente o Auditor é sempre muito importante para o perfeito andamento dos Sistemas de TI das instituições, garantindo a continuidade da qualidade, confiabilidade e segurança desses, porém, devido ao alto custo de contratação desse profissional, indica-se sua contratação quando houver vestígios, evidências ou indícios de vulnerabilidades como fraudes, instabilidades nos sistemas de TI, movimentações estranhas fora do horário, aumentos injustificados do processamento dos servidores, travamentos constantes de servidores, usuários com acesso a dados de outros setores, inconsistências financeiras, baixo nível de produção, suspeita de invasão, perda inexplicável de dados e/ou informações, etc.

Entenda mais sobre os conceitos de vestígio, evidências e indícios:

Diferença entre vestígios, evidências e indícios

Entenda mais sobre os conceitos de dados e informações:

Exames periciais

Das definições

Vulnerabilidade é basicamente uma fragilidade. Quando fala-se de vulnerabilidade do sistema, trata-se de uma falha, uma fraqueza, uma fragilidade exposta pelo sistema analisado que pode representar uma ameaça, um risco à instituição.

O significado da palavra auditor está relacionada ao “saber por ouvir” e deriva do latim (audire).

Iniciando pela palavra auditoria, ela tem origem do latim audire (ou de auditu) e pode ser compreendida como ação de ouvir, saber por ouvir ou ainda oitiva. (MAGALHÃES, 1960). Nesse contexto, ela foi utilizada em sentido amplo, porém com o passar do tempo, além do sentido de ouvir, 10 ela foi agregada a palavra o sentido de verificar se aquilo que se ouvia encontra-se na definição da empresa (missão, valores e normas).

(LÀBAMCA, 2020 citando MAGALHÃES, 1960)

O significado da palavra sistemas está relacionada à matemática e significa realizar cálculos.

Já a palavra sistemas advém do latim que significa “fazer cálculos”, porém com a evolução da tecnologia no transcorrer dos séculos, esse significado se modificou, ganhando o significado “conjunto de elementos distintos, com características e funções específicas, organizadas de forma natural ou por meios artificiais” (MICHAELIS, 2020, [s.p.]). Além disso, pode-se verificar a definição de Arima (1994, p. 7): “um conjunto de componentes interdependentes que no seu todo pode ser parte de um conjunto maior”.

(LÀBAMCA, 2020 citando MICHAELIS, 2020, [s.p.] e Arima (1994, p. 7) )

O significado do termo tecnologia da informação (TI) está relacionado à utilização da tecnologia para a perfeita administração da informação.

Finalmente, concatenadas as palavras tecnologia da informação (TI) significam: “é uma área que utiliza a computação como um meio para produzir, transmitir, armazenar, aceder e usar diversas informações” (SIGNIFICADOS, 2020, [s.p.])

(LÀBAMCA, 2020 citando SIGNIFICADOS, 2020, [s.p.])

Por fim, juntando todas essas palavras em um único termo Auditor de Sistemas de Tecnologia da Informação (TI) temos um profissional que utiliza-se do poder da observação para garantir a qualidade e a segurança da informação em ambientes computacionais.

Observando os significados das palavras – auditoria, sistemas e tecnologia da informação – é possível definir a Auditoria de Sistemas de TI como: disciplina que consiste em meios e técnicas para ouvir e verificar se as pessoas que utilizam funções específicas e organizadas em meios artificiais estão produzindo, transmitindo, armazenando e usando as diversas informações em conformidade com as normas, diretrizes, missões, valores e legislações externas definidas/ estabelecidas pela empresa que elas trabalham.

(LÀBAMCA, 2020)

Cargo ou função?

O termo Auditor de Sistemas trata-se de um cargo e Auditores realizam inúmeras tarefas e/ou atividades, executando inúmeros serviços, que são suas funções. Entenda um pouco mais a diferença entre cargo e função.

O cargo é basicamente uma posição hierárquica dentro de uma instituição, que estabelece uma obrigação ou responsabilidade perante seu contratante. O cargo geralmente está relacionado à formação acadêmica do indivíduo. Exemplo: Engenheiro Eletricista, Auditor de Sistemas, Analista de Sistemas, Técnico em Processamento de dados, etc.

Nesse contexto, segundo o dicionário on-line Michaelis (2020, [s.p.]), cargo é a “responsabilidade assumida em relação a alguém ou a alguma coisa; obrigação”. Como alguns exemplos de cargo, pode-se citar: cargo de chefia, cargo de confiança, cargo de Analista de Sistemas, entre outros.

(LÀBAMCA, 2020 citando Dicionário Michaelis (2020, [s.p.])

A função repercute basicamente as tarefas assumidas que aquele indivíduo, possuidor de cargo, estabelece dentro da instituição. As funções geralmente estão ligadas às atividades que o indivíduo desempenha dentro da empresa, pois o Engenheiro Eletricista possui apenas um cargo, mas pode acumular várias funções dentro de uma ou mais instituições. Exemplos: Engenheiro Projetista elabora projetos, Engenheiro Calculista executa cálculos, Engenheiro de Execução acompanha fisicamente as obras, Analista de Projetos analisa e/ou elabora projetos em geral, Analista de rede analisa ou elabora projetos de redes, etc.

Já a palavra função, segundo o próprio dicionário, significa “conjunto das ações e atividades atribuídas, esperadas ou exigidas de uma pessoa ou de um grupo” (MICHAELIS, 2020, [s.p.]). Nesse sentido, 8 podemos citar como exemplos de função: Analista de Requisitos, Analista de Suporte, entre outros.

(LÀBAMCA, 2020 citando Dicionário Michaelis (2020, [s.p.])

Perfil dos Auditores

Para ser um Auditor de Sistemas de TI alguns adjetivos são necessário, tais como:

  • O Auditor precisa ser um bom comunicador, pois fará entrevistas com inúmeras pessoas em inúmeros setores para conhecer o funcionamento da empresa;
  • Dominar o conhecimento das áreas de TI que desempenhará suas funções;
  • Conhecer bem os ciclos de auditoria;
  • Imparcialidade é importante para garantir que o foco sejam os Sistemas e não os conhecidos;
  • Discrição quanto aos conhecimentos privilegiados, o Auditor mais ouve e menos fala, a não ser em seus relatórios;
  • Honestidade e moralidade (ética) é obrigação geral para todos os seres humanos, mas o Auditor precisa ser moralmente correto para desempenhar suas funções sem provocar deformação informativa;
  • Utilizar-se da objetividade para manter os sistemas sempre monitorados, preferencialmente com a utilização de métodos técnico-científicos (metodologia) para cada fase de seus ciclos;
  • Ter bom conhecimento lógico, pois todos os sistemas são baseados em lógica;
  • Escutar e observar mais, relatando tudo com riquezas de detalhes;
  • Sugerir e intervir em caso de identificação de necessidade, sempre utilizando a lógica e métodos cientificamente comprovados e aceitos;

Ciclo de Auditoria de Sistemas

Assim como as áreas de desenvolvimento de softwares, programas de computador, possuem um clico de desenvolvimento, o setor de auditoria de sistemas também possui um clico de auditoria, que são procedimentos pré-estabelecidos para orientar o andamento de uma auditoria, atribuindo metodologia técnico-científica aos processos.

Na prática, o ciclo de desenvolvimento de sistemas de TI é basicamente composto pelas seguintes fases: iniciação, planejamento, análise, projeto/design, implementação, homologação e implantação/entrega; cada qual com suas atividades, perfis de profissionais e suas respectivas responsabilidades.

(LÀBAMCA, 2020)
  • Controles internos

São os processos de identificação de anomalias internas, em relação às leis, normas, resoluções, missões, culturas da instituição. Essas anomalias são classificadas em:

Preventivos: Identifica previamente e previne erros, falhas, fraudes e/ou vulnerabilidades em geral. Ex: Verifica se as regras de senhas fortes estão sendo observadas;

Defectivos: Utiliza informações já processadas para identificar as vulnerabilidades, geralmente analisando logs (registros de sistemas);

Corretivos: Aplica as correções identificada nesta e nos demais itens anteriores.

  • Processos de auditoria de Sistemas – Ciclo de auditoria

Primeira fase – Pré-auditoria: planejamento. Quais serão as ações do Auditor para coletar as informações iniciais e planejar o seu método de ação, execução? Este procedimento deve resultar em um manual descritivo para ser aplicado passa-a-passo na próxima fase;

Segunda fase – Auditoria: execução. Tudo que foi planejado na fase de pré-auditoria será colocado em prática coletando os dados em campo, no processo de observação e conhecimento dos processos interno da empresa/instituição, resultando em uma lista de vulnerabilidades;

Terceira fase – Pós-auditoria: apresentação dos resultados. É nessa fase que todos os resultados positivos e negativos são detalhados em um documento final, demonstrando quais pontos dever-se-ão ser melhorados, corrigidos, consertados ou alterados, gerando inclusive um gráfico e/ou tabela de análise de risco. Esta ação gerará um novo ciclo para aplicar tais correções, voltando à fase pré-auditoria, porém agora para resolver de forma pontual os detalhes de inconformidades (vulnerabilidade) identificados;

Como atuam os Auditores de Sistemas

Primeiramente o Auditor de Sistemas é um profissional muito caro, por isso mesmo a maioria das instituições o contratam de forma terceirizada e pontual, isto é, para aquele projeto específico.

O Auditor utiliza-se dos verbos conhecer, observar, identificar, analisar, coletar e documentar para identificar se os profissionais, detentores de cargos, estão utilizando as informações de acordo com as leis, normas, diretrizes, missões, culturas e valores estabelecidos em suas instituições, documentando tudo para que os gestores possam, utilizando dessas informações, tomarem atitudes de aperfeiçoamentos e publicizar seus resultados.

O Auditor, sendo interno ou externo, está ligado à alta administração e deve apresentar seus resultados aos gestores, executivos, administradores da instituição. Sendo assim é possível que um Auditor interno seja auditado por um Auditor externo, para confirmar se os procedimentos estão realmente corretos.

Conclusão

Toda instituição/empresa possui um ou mais sistemas de tecnologia da informação. Em algum momento com certeza alguma vulnerabilidade virá a tona e, é nesse momento que imprescindível torna-se a contratação de um profissional Auditor de Sistemas para analisar, com uma visão externa, tudo aquilo que os profissionais internos não enxergam devido à suas profundas imersões nos problemas que, podem limitar a visão periférica e aprisionar os profissionais em um limbo intelectual.

Fontes:

ARIMA, C. H. Metodologia de auditoria de sistemas. São Paulo: Érica, 1994.

LÀBAMCA, Prìscila. AUDITORIA DE SISTEMAS. 1º Ed. Londrina PR: Editora e Distribuidora Educacional S.A., 2020. 44 p.

MAGALHÃES, F. Dicionário Português – Latim. 13. ed. Rio de Janeiro: Edições Lep, 1960. (Lep Bolso). Disponível em: https://docero.com.br/doc/nc181c. Acesso em: 31 mar. 2020.