Post on 25-Jun-2015
description
Tecnologia da Informação
Parte 2
Auditoria de sistemas Auditoria de sistemas
Noções de Tecnologia da Informação Gerencial. Noções de auditoria de sistemas. Segurança de sistemas. Análise de riscos em sistemas de informação contábeis. Plano de contingência. Técnicas de avaliação de sistemas. Situações de Vulnerabilidade: Virus, Fraudes, Criptografia, Acesso não autorizados, riscos de segurança em geral.
Auditoria de sistemas Auditoria de sistemas Aula 2 Aula 2 Noções de Tecnologia da Informação Gerencial. Noções de auditoria de sistemas. Segurança de sistemas. Análise de riscos em sistemas de informação contábeis. Plano de contingência. Técnicas de avaliação de sistemas. Situações de Vulnerabilidade: Vírus, Fraudes, Criptografia, Acesso não autorizados, riscos de segurança em geral.
AuditoriaAuditoria
Auditoria = Audire = do latim “Saber ouvir”
Critério – Conjunto de políticas, procedimentos e requisitos
Evidências – Registros, fatos ou outras informações pertinentes aos critérios de auditoria
Auditor – Pessoa com a competência para realizar uma auditoria
AuditoriaAuditoria
Processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos
AuditoriaAuditoria
Auditado – Pessoa ou organização na qual passará pelo processo de auditoria
Plano da Auditoria – Descrição das atividades e arranjos para uma auditoria
Escopo da auditoria – Abrangência e limites de uma auditoria
Princípios de AuditoriaPrincípios de Auditoria Conduta ética: O fundamento do profissionalismo
(Confiança, integridade, descrição e confidencialidade são essenciais para auditar)
Apresentação Justa: a obrigação de reportar com veracidade e exatidão. A conclusão de uma auditoria reflete verdadeiramente e com precisão as atividades da auditoria
Devido cuidado profissional: Cuidado necessário considerando a importância da atividade e a confiança depositada
Independência: Auditores devem ser independentes da atividade a ser auditada e são livres de conflito de interesse e tendência
Abordagem baseada em evidência: Evidência de Auditoria é Verificável
Caracteristicas da auditoriaCaracteristicas da auditoria
Pode ser conduzida por um ou mais auditoresO auditor identifica os critérios de auditoria (processo, templates e informações pertinentes)Realiza uma preparação no materialCria ou seleciona um checklist para que sirva de guia durante a execução da auditoriaIdentifica possíveis auditados (Verificar com o líder da equipe)Apresenta-se formalmente ao auditados, descrevendo os objetivos da auditoria
AUDITORIA DA TECNOLOGIA DA AUDITORIA DA TECNOLOGIA DA INFORMAÇÃOINFORMAÇÃO
é uma auditoria operacional, analisa a gestão de recursos, com o foco nos aspectos de eficiência, eficácia, economia e efetividade.
AbrangênciaAbrangência
abrangência desse tipo de auditoria pode ser o ambiente de informática como um todo ou a organização do departamento de informática
Ambiente de informáticaAmbiente de informática
Ambiente de informática:
Segurança dos outros controles;
Segurança física; Segurança lógica; Planejamento de
contingências; Operação do centro
de processamento de dados.
Organização do departamento de Organização do departamento de informáticainformáticaOrganização do departamento de informática:
Aspectos administrativos da organização; Políticas, padrões, procedimentos,
responsabilidades organizacionais, gerência pessoal e planejamento de capacidade;
Banco de dados; Redes de comunicação e computadores; Controle sobre aplicativos:
Desenvolvimento, Entradas, processamento e saídas.
Auditoria da tecnologia da Auditoria da tecnologia da informaçãoinformaçãoÉ abrangente, engloba todos os controles que podem influenciar a segurança de informação e o correto funcionamento dos sistemas de toda a organização:•Controles organizacionais;•De mudança;•De operação de sistemas;•Sobre Banco de Dados;•Sobre microcomputadores;•Sobre ambiente cliente-servidor.
Auditoria da segurança de Auditoria da segurança de informaçõesinformaçõesDetermina a postura da organização com relação à segurança. Avalia a política de segurança e controles relacionados com aspectos de segurança institucional mais globais, faz parte da auditoria da TI. Seu escopo envolve:
•Avaliação da política de segurança;
•Controles de acesso lógico;
•Controles de acesso físicos;
•Controles ambientais;
•Planos de contingência e continuidade de serviços.
Auditoria de aplicativosAuditoria de aplicativos
Segurança e controle de aplicativos específicos, incluindo aspectos intrínsecos à área a que o aplicativo atende:
•Controles sobre o desenvolvimento de sistemas aplicativos;
•Controles de entradas, processamento e saída de dados;
•Controle sobre conteúdo e funcionamento do aplicativo, com relação à área por ele atendida.
Equipe de AuditoriaEquipe de Auditoria
Gerente deve ter:Habilidade para recrutar ou formar profissionais com nível adequado de capacitação técnica em auditoria e TI; determinar forma de atingir a capacitação e os métodos de treinamento mais eficazes.
Conhecimentos técnicos:Sistemas operacionais,Software básico,Banco de dados,Processamento distribuído,Software de controle de acesso,Segurança de informações,Plano e contingência, e de recuperação eMetodologias de desenvolvimento de sistemas.
Equipe de AuditoriaEquipe de Auditoria
Conhecimentos em auditoria:
Técnicas de auditoria,
Software de auditoria e extração de dados,
Outras capacidades relevantes:
Princípios Éticos,
Bom relacionamento,
Comunicação oral e escrita,
Senso crítico,
Conhecimento específico na área (finanças, pessoal, estoque...)
Composição da equipeComposição da equipe
Opções para a formação da equipe:
•Consultoria externa
•Desenvolver a capacidade técnica de TI nos auditores
•Desenvolver técnicas de auditagem no pessoal de TI
Consultoria externaConsultoria externaConsultoria externa
Analise (custo, alta capacidade, independência, duração, investimento pessoal, extensão do trabalho)
Consultores externos somente para tarefas específicas (conhecimento especializado).
Pontos críticos: custos, contrato e controle sobre atividades.
Definição de objetivos precisos e pontos de controle.
Recomendável: bom relacionamento, transferência de conhecimentos.
Ao término da auditoria: avaliação dos serviços (opiniões dos consultores, dos membros da equipe e da gerencia da organização), com o objetivo de evitar as mesmas falhas no futuro.
MetodologiaMetodologia EntrevistasEntrevistas
Entrevistas de apresentação - Apresentação da equipe, cronograma das atividades, objetivos, áreas,
período, metodologias. Estrutura do relatório (resultado da auditoria). Entrevistas de coleta de dados
- Coleta de dados sobrre os sistemas ou ambiente de informática. Nessa entrevista podem ser identificados os pontos fortes e fracos de controle, falhas e possíveis irregularidades. O entrevistado deve saber de antemão como serão usados esses dados e conhecer o relatórios a certa da entrevista. Entrevistas de discussão de deficiências encontradas
- Ao término das investigações são apresentadas as deficiências encontradas. Ao discuti-las podem ser apresentadas justificativas para essas deficiências, podendo ser desconsiderada as falhas ou relatadas as justificativas. Entrevista de encerramento
- É apresentado o resumo dos resultados (pontos fortes, falhas mais relevantes, comentários, recomendações).
Objetivos de controle e Objetivos de controle e procedimentos de auditoriaprocedimentos de auditoria
Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para atingirmos esses objetivos, são traduzidos em procedimentos de auditoria.
Os objetivos de controle podem ter vários enfoques e podem ser motivados por diversas razões:
Segurança – dados e sistemas importantes para a organização, onde a confidencialidade, integridade e a disponibilidade são essenciais.
Atendimento a solicitações externas – verificação de indícios de irregularidade motivados por denúncia ou solicitação de órgão superior.
Materialidade – alto valor econômico-financeiro dos sistemas computacionais.
Altos custos de desenvolvimento – sistemas de alto custos envolvem altos riscos.
Grau de envolvimento dos usuários – o não envolvimento dos usuários no desenvolvimento de sistemas, acarreta sistemas que em geral não atendem satisfatoriamente às suas necessidades.
Terceirização – efeitos da terceirização no ambiente de informática.
Execução de uma auditoriaExecução de uma auditoria Os resultados da auditoria (achados e
conclusões) devem ser suportados pela correta interpretação e análise dessas evidências.
Evidência física – observações de atividades desenvolvidas pelos funcionários e gerentes, sistemas em funcionamento, local equipamentos, etc.
Evidência documental – resultado da extração de dados, registro de transações, listagens, etc.
Evidência fornecida pelo auditado - transcrições de entrevistas, cópias de documentos cedidos, fluxogramas, políticas internas, e-mails trocados com a gerência, justificativas, relatórios, etc.
Evidência analítica - comparações, cálculos e interpretações de documentos.
Execução de uma auditoria Execução de uma auditoria – – Boas práticasBoas práticasO auditor deve utilizar palavras de questionamentos como:
Como? (de que modo)
O que? (o fato) Quando? (tempo) Quem? (pessoas) Onde? (lugar) Por que? (motivos) Mostre-me
(Evidência)
•Estar bem preparado para realizar a auditoria
•Tentar prever o máximo de situações possíveis
•Evitar surpresas ao auditado
•Esclarecer todas as dúvidas sobre uma não-conformidade
•Buscar objetividade e fatos concretos (Evidências)
Execução de uma auditoria Execução de uma auditoria – – Boas práticasBoas práticas•Não atacar pessoas e sim fatos concretos•Motivar a identificação de melhorias•Persuadir, não impor•O auditor não deve relacionar pessoas à não-conformidades ou deficiências•Ser flexível quando necessário•Ser imparcial e objetivo para obtenção dos fatos
Relatório PreliminarRelatório Preliminar
Antes mesmo de iniciar os trabalhos de campo, na fase do planejamento da auditoria, são coletadas informações preliminares sobre a entidade, seus sistemas, os recursos necessários, a composição da equipe, metodologias, objetivos de controle e procedimentos a serem adotados. Uma estrutura de relatório deve ser definida e todas essas informações devem ser transcritas para o relatório.
Relatório finalRelatório finalEstruturaDados da entidade auditada - nome, endereço, natureza jurídica, relação de responsáveis, etc.Síntese - um breve resumo do conteúdo. É útil para a alta direção obter uma visão geral e rápida dos principais pontos da auditoria.Dados da auditoria - objetivos, período de fiscalização, composição da equipe, metodologia adotada, natureza da auditoria, e objeto (controles gerais, desenvolvimento de sistemas, aplicativo específico, etc.).Introdução - histórico da entidade, conclusões de auditorias anteriores, estrutura hierárquica do departamento de informática, sua relação com outros departamentos, descrição do ambiente computacional, evolução tecnológica, principais sistemas e projetos. Falhas detectadas - apresenta em detalhes, as falhas e irregularidades detectadas durante a auditoria. Além das descrições, são apresentados comentários iniciais, justificativa do auditado e o parecer final da equipe para cada falha (preferências e recomendações).Conclusão - síntese dos pontos principais do relatório e as recomendações ou determinações finais da equipe para a correção das falhas ou irregularidades encontradas.Parecer da gerência superior - as gerências superiores podem dar seu parecer a respeito dos achados e recomendações da equipe de auditores, concordando integralmente ou em partes com os pontos de vista da auditoria, ou ainda discordando inteiramente.
ExercícioExercício
............