Auditoria de Sistemas de Informação Prof.: Cheila Bombana.
Transcript of Auditoria de Sistemas de Informação Prof.: Cheila Bombana.
Metodologia de Auditoria - Processo
Alinhamento das
Expectativas da
Administração
Planejamento/ Levantamento
das Informações
Análise do Ambiente de Negócio e TI
Análise e Teste dos Controles/ Follow-Up
Comunicação dos
Resultados
Metodologia de Auditoria - Processo
• Garantir o entendimento único entre todas as partes envolvidas• Alinhar as expectativas e os produtos finais• Obter o comprometimento!• Análise do Negócio da Empresa• Atuação, Estratégias, Planejamento/Metas• Entendimento das Forças Internas e Externas• Organograma atual
Planejamento
• Aqui devem ser estabelecidos os recursos necessários para a execução dos trabalhos de auditoria, a área de verificação, as metodologias, os objetivos de controle e os procedimentos a serem adotados.
• A equipe deve reunir a maior quantidade possível de informações sobre a entidade auditada e seu ambiente de informática.
Planejamento
• Esse conhecimento prévio permite ao auditor ter uma visão geral do grau de complexidade do sistema e, então, estabelecer os recursos e os conhecimentos técnicos necessários à equipe de auditoria.
• Informações técnicas a serem coletadas: tipo de hardware, sistema operacional, softwares de segurança de rede, banco de dados, linguagens de programação, ferramentas de apoio ao desenvolvimento de sistemas e os responsáveis por cada recurso ou área auditada.
Planejamento
• O próximo passo é delimitar a atuação da auditoria, definindo o campo, o âmbito e as subáreas a serem auditadas.
• As auditorias de informática normalmente possuem natureza operacional, ou seja, visam examinar aspectos econômicos, de eficiência e eficácia do sistema.
• O objeto pode englobar um sistema computacional específico; uma, várias ou todas as seções do departamento de informática.
Planejamento
• O período da auditoria será diretamente proporcional com o grau de profundidade das investigações (âmbito) e das subáreas que serão escolhidas pela equipe.
• Também deve ser definido o âmbito. Deve ser determinada a amplitude e a exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados.
Planejamento
• Após a definição do campo e do âmbito da auditoria, é definida a área de verificação.
– Ela delimita de forma precisa os temas da auditoria e, em função do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em subáreas.
Planejamento
Área de Verificação
Campo
Âmbito
Objeto
Período
Natureza
Segurança de Informações da Empresa.
De 01/03/2012 à 01/07/2012.
Auditoria de TI.
Avaliação de eficiência dos controles.
Sub 1
Sub 2
Sub 3
Controles de Acesso Físico.
Controles de Acesso Lógico.
Backup.
Planejamento• É também na fase de planejamento que definem-se os
recursos que serão usados na auditoria.
– Recursos Humanos: para selecionar especialistas para executar a auditoria, é necessário avaliar o tamanho dos sistemas, o grau de sofisticação, a complexidade do ambiente computacional do auditado e o nível de experiência necessário para executar as tarefas.
– Recursos Econômicos: a equipe deve fazer uma previsão dos gastos, especialmente se a auditoria envolver viagens e contratação de mão-de-obra especializada.
– Recursos Técnicos: avaliar quais são os recursos de hardware, software e manuais técnicos que serão necessários para a auditoria.
Planejamento• É necessário definir quais metodologias podem ser
utilizadas na auditoria.
• Um metodologia pode ser desde uma simples observação em visitas a instituição, até o uso de técnicas ou ferramentas de apoio.
• A seguir citamos alguns exemplos de metodologia.
Planejamento• Entrevistas: ao longo da auditoria podem ser feitas
diversas entrevistas com funcionários da instituição.
– Entrevista de Apresentação: entrevista inicial na qual os auditores se apresentam aos dirigentes da instituição, visando explanar o plano de atividades, os objetivos da auditoria e as áreas que serão auditadas.
– Entrevista de Coleta de Dados: durante a execução da auditoria podem ser feitas entrevistas com dirigentes e funcionários da entidade. Nestas entrevistas é possível detectar pontos fortes, falhas e possíveis irregularidades nos sistemas.
Planejamento– Entrevista de Discussão das Deficiências Encontradas: ao
final das investigações podem ser feitas reuniões com os responsáveis de cada área auditada, afim de discutir as deficiências detectadas e as possíveis soluções que podem ser aplicadas.
– Entrevista de Encerramento: esta entrevista é feita no final dos trabalhos, onde são apresentados os resultados finais da auditoria.
• Obs.: Todas as declarações citadas nas entrevistas devem ser documentadas.
Planejamento• Ferramentas ou Técnicas de Apoio: a informática também
pode ser usada para realizar as tarefas de auditoria.
– Técnicas para Análise dos Dados: são ferramentas para extração de dados, amostragem e análise de logs.
– Técnicas para Verificação de Controles de Sistemas: estas técnicas permitem testar a confiabilidade dos sistemas e ainda determinar se estão operando corretamente. Podemos citar como exemplo: ferramentas para comparação de programas, simuladores e rastreadores de processamento.
Técnicas de Auditoria Programas de Computador
Correlaciona arquivos, tabula e analisa o conteúdo dos mesmos.Passos:- Análise do fluxo do sistema- Identificação do arquivo a ser auditado- Entrevista com o analista / usuário- Identificação do código / layout do arquivo- Elaboração do programa para auditoria- Cópia do arquivo a ser auditado- Aplicação do programa de auditoria- Análise dos resultados- Emissão de relatórios- Documentação
Técnicas de Auditoria Questionário a distância
Verifica a adequação do ponto de controle aos parâmetros de controle interno (segurança física, lógica, eficácia, eficiência, etc).
Analisa:- Segurança em redes de computadores- Segurança do centro de computação- Eficiência no uso de recursos computacionais- Eficácia de sistemas aplicativosPassos:- Análise do ponto de controle- Elaboração do questionário- Seleção dos profissionais que irão responder o questionário- Elaboração de instruções- Distribuição / remessa dos formulários- Controle do recebimento pelo usuário- Análise das respostas- Formação de opinião quanto às respostas- Elaboração do relatório de auditoria
Técnicas de Auditoria Simulação de dados (test deck)
Elaboração de massa de teste a ser submetida ao programa ou rotina.
Deve prever as seguintes situações:- Transações com campos inválidos- Transações com valores nos limites- Transações incompletas- Transações incompatíveis- Transações em duplicidadePassos:- Compreensão da lógica do programa- Simulação dos dados (pertinentes ao teste a ser realizado)- Elaboração dos formulários de controle- Transcrição dos dados para o computador- Preparação do ambiente de teste- Processamento do teste- Avaliação dos resultados- Emissão de opinião sobre o teste
Técnicas de Auditoria Visita in loco
Consiste na atuação do pessoal de auditoria junto ao pessoal de sistemas e instalações.
Passos:- Marcar data e hora para visita- Anotar procedimentos e acontecimentos- Anotar nomes das pessoas e data e hora das visitas- Analisar a documentação obtida- Emitir opinião via relatório
Técnicas de Auditoria Mapeamento estatístico (mapping)
Permite verificar situações como:
- Rotinas não utilizadas- Quantidade de vezes que cada rotina foi utilizada- Rotinas existentes em programas mas já desativadas- Rotinas mais utilizadas- Rotinas fraudulentas ou irregulares- Rotinas de controle
Técnicas de Auditoria Rastreamento de programas
• Possibilita seguir o caminho de uma transação durante o processamento do programa. (debugar)
• Objetiva identificar as inadequações e ineficiência na lógica de um programa.
Técnicas de Auditoria Entrevista no ambiente computacional
Realização de reuniões entre o auditor e o auditado.
Passos:- Analisar o ponto de controle- Planejar a reunião- Elaborar o questionário da entrevista- Realizar a reunião- Elaborar ata da reunião- Analisar a entrevista- Emitir relatório da auditoria
Técnicas de Auditoria Análise de relatórios/telas
Analisar relatórios e tela no que se refere a:- Nível de utilização pelo usuário- Esquema de distribuição e número de vias- Grau de confidencialidade- Forma de utilização de integração com outras telas / relatórios- Padronização dos layouts- Distribuição das informações conforme layout
Passos:- Relacionar telas e relatórios por usuário- Obter modelo ou cópia de todas as telas / relatórios- Elaborar um check-list para levantamento- Marcar data e hora para obter opniões dos usuários- Realizar entrevistas e anotar opiniões- Analisar as respostas- Emitir opinião
Técnicas de Auditoria Análise de relatórios/telas
Permite detectar:
- Relatórios e telas não mais utilizados- Layout inadequado- Distribuição indevida de vias- Confidencialidade não respeitada.
Técnicas de Auditoria Análise de log
Verifica o uso dos dispositivos componentes de uma configuração ou rede de computadores e do software aplicativo.
Permite verificar:
- Ineficiência do uso do computador
- Configuração do computador (dispositivos com folga ou sobrecarregados)
- Determinação de erros de programa ou de operação
- Uso de programas fraudulentos ou utilização indevida
- Tentativas de acesso indevidas.
Técnicas de Auditoria Análise de log
Passos:- Entrevistar o pessoal de software básico e Planejamento e Controle da
Produção para entender o software / hardware existentes, layout do log accounting, etc.
- Decidir parâmetros para utilização do log/ accounting (tipos de verificação a serem feitas, período de tempo para auditoria, data do teste, etc).
- Aplicar o log / accounting- Analisar os resultados- Emitir opinião
Técnicas de Auditoria Análise do programa fonte
Consiste na análise visual do programa e na comparação da versão do objeto que está sendo executado com o objeto resultante da última versão do programa fonte compilado.
Permite verificar:- Se o programador cumpriu as normas de padronização do código
(tabelas de rotinas, arquivos, programas).- Qualidade de estruturação do programa fonte.
Esta técnica requer um grande conhecimento de computação
Planejamento
• Definição dos objetivos de controle e os procedimentos de auditoria.
– Obetivos de controle - Modelo normativo, um conjunto de padrões, de como as atividades deveriam estar sendo feitas.
– Os procedimentos de auditoria descrevem com mais detalhe o que deve ser verificado dentro de cada um dos objetivos de controle
Planejamento
• Exemplo - Na área de segurança das informações, um dos objetivos pode ser o estabelecimento de regras para acesso a documentos confidenciais. Assim podemos dizer que os procedimentos de auditoria serão: verificar se há documentos formais que justifiquem a necessidade de autenticação do usuário; verificar se existem procedimentos que definam os recursos computacionais que poderão ser acessados e os tipos de transações que poderão ser executadas para cada usuário autorizado.
Planejamento
• Resumo– Definir o campo e o âmbito da auditoria.– Definir a área de verificação e suas subáreas.– Selecionar os Objetivos de Controle.– Elaborar os procedimentos de auditoria.
Execução
• É na execução da auditoria que a equipe deve reunir evidências confiáveis, relevantes e úteis para a consecução dos objetivos de auditoria.
• As evidências podem ser divididas em 4 tipos:
– Evidência Física: observações de atividades desenvolvidas pelos funcionários, sistemas em funcionamento, local, equipamentos, etc.
Execução• Evidência Documentária: resultados de extração
de dados, registros de transações, listagens, etc.
• Evidência fornecida pelo Auditado: resultados de entrevistas, cópias de documentos, fluxogramas, políticas internas, e-mails, relatórios publicados pelo auditado, etc.
• Evidência Analítica: comparações, cálculos e interpretações de documentos.
Execução
• Toda essa documentação deve estar disponível para elaboração do relatório.
• Nem tudo entra no relatório.
• Mas tudo deve ser documentando e arquivado.
Relatório
• A equipe normalmente apresenta seus achados e conclusões na forma de relatório escrito, o qual inclui fatos, comprovações, conclusões e recomendações ou determinações.
• A linguagem utilizada deve ser clara.
• a utilização de termos técnicos deve ser acompanhada de glossário.
Relatório
• O relatório pode ser iniciado já na fase de planejamento.
• Ao término das investigações em cada área auditada, é recomendável apresentar um relatório parcial contendo as deficiências encontradas.
• O relatório final deve ser revisado por todos os membros.
Relatório Produtos gerados pela Auditoria
Relatório de Fraquezas de controle interno
• Objetivo do projeto de auditoria
• Pontos de controle auditados
• Conclusão alcançada a cada ponto de controle
• Alternativas de solução propostas
Relatório Produtos gerados pela Auditoria
Certificado de Controle Interno
Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.
Relatório Produtos gerados pela Auditoria
Relatório de redução de custos
Tem por objetivo explicitar as economias financeiras a serem feitas com a adoção das recomendações efetuadas. Serve de base para a realização das análises de retorno de investimento e do custo/beneficio da auditoria de sistemas.
Relatório Produtos gerados pela Auditoria
Manual da auditoria do ambiente auditado
Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toda a documentação anterior já citada.
Relatório Produtos gerados pela Auditoria
Pastas contendo a documentação da auditoria de sistemas
Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.
Relatório• A estrutura dos relatórios pode variar.
• Exemplo de Estrutura de um Relatório:
– Síntese: a síntese aparece antes do corpo do relatório. Seu objetivo é apresentar um breve resumo de seu conteúdo. Ele apresenta uma visão rápida dos principais pontos detalhados no corpo do relatório.
Relatório
– Dados da Auditoria: neste item são apresentados os dados sobre a auditoria, tais como objetivo, período da fiscalização, composição da equipe, metodologia adotada, natureza da auditoria e objeto.
– Introdução: a introdução pode conter um breve histórico sobre a entidade. É recomendável incluir descrição da estrutura hierárquica do departamento de informática.
Relatório– Detalhamento dos Objetivos de Controle: essa é
a parte mais importante do relatório, pois apresenta, todos os pontos avaliados na auditoria, detalhando as falhas e irregularidades detectadas durante a auditoria. É aconselhável subdividir este capítulo nas subáreas fiscalizadas.
– Conclusão: aqui são resumidos os pontos principais do relatório e as recomendações finais da equipe para a correção das falhas.
Apresentação dos resultados da auditoria à alta administração
• Objetividade na transmissão dos resultados
• Esclarecimento das discussões realizadas entre a auditoria e os auditados
• Clareza nas recomendações das alternativas de solução
• Coerência da atuação da Auditoria
• Apresentação da documentação gerada
• Explicação do conteúdo de cada documento.