Segurança e auditoria de sistemas

Prof: WolterJúnior

APRESENTAÇÃO

Wolter Júnior

Técnico em Administração de Empresas

Bacharel em Ciências Contábeis

Pós-Graduação em Marketing e Gestão Estratégica

Mestrando em Direito Tributário – PUC-Argentina

Prof. Universitário: Pós-Graduação / Graduação

CNI – BB – SENAC-DF-FACEC-ES-UEMG-UNIVERTIX -BRT

Consultor Empresarial

E-mail: wolter@limao.com.br

Celular: (0xx32) – 9194-5691

Auditoria de sistemas

A auditoria nas organizações

Presidência Executiva

Auditoria de Sistemas

Diretoria

Administrativa

Diretoria

Financeira

Diretoria de

Vendas

Diretoria de

tecnologia

Importância da auditoria de sistemas

Altos investimentos das organizações em sistemas computadorizados

Necessidade de garantir a segurança dos computadores e seus sistemas

Garantia do alcance da qualidade dos sistemas computadorizados

Auxiliar a organização a avaliar e validar o ciclo administrativo

Dificuldades encontradas pela Auditoria de Sistemas na Empresa

Defasagem tecnológica

Falta de bons profissionais

Falta de cultura da empresa

Tecnologia variada e abrangente

Necessidades na área de auditoria de sistemas

Fortalecimento das técnicas de auditoria de sistemas para atuação em ambientes computacionais complexos

Criação de metodologias de auditoria de sistemas

Estudo do custo / benefício

Ampliação do campo de atuação da auditoria de sistemas

Papel do auditor de sistemas

Validação do fluxo administrativo (planejamento, execução e controle)

Ênfase nos processos computacionais

Comprovação da efetividade dos sistemas computadorizados

Garantia da segurança lógica e física e da confidencialidade dos sistemas

Etapas da atuação do auditor de sistemas

Compreensão do ambiente

Análise do ambiente e determinação das situações mais sensíveis

Elaboração de uma massa de testes

Aplicação da massa de testes

Análise das simulações

Emissão da opinião quanto ao ambiente auditado

Debate com os profissionais da área auditada para discussão das alternativas recomendadas

Acompanhamento da implantação da solução proposta

Auditoria da solução implantada

Novas auditorias no ambiente

Perfil do Auditor de Sistemas

Ser independente às áreas a serem auditadas

Ter formação em auditoria de computação, conhecendo o ambiente a ser auditado

Treinamento do auditor de sistemas

Conceituação de Auditoria de Sistemas

Controle Interno

Produtos finais da Auditoria de Sistemas

Mecânica de implantação das recomendações da auditoria

Postura do auditado durante a atuação da Auditoria de Sistemas.

Tendências da Auditoria de Sistemas na Organização

Criação de um profissional responsável pela segurança da informação

Preocupação com a qualidade dos processos computadorizados – criação do Analista de Segurança da Informação e do Analista de Qualidade da Informação.

Conceitos de auditoria

Processamento Eletrônico de Dados: Hardware, Software e Teleprocessamento

Sistemas de Informação: Conjunto de recursos humanos, materiais, tecnológicos e financeiros combinados segundo uma sequência lógica para transformar dados em informações.

Auditoria de Sistemas: Validação e Avaliação do controle interno de sistemas de informação.

Conceitos de auditoria

Ponto de Controle: Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação.

Controle Interno: Verificação e validação dos seguintes parâmetros do Sistema de Informação:

Fidelidade da informação em relação ao dado

Segurança física

Segurança lógica

Confidencialidade

Obediência à legislação em vigor

Eficiência

Eficácia

Obediência às políticas e às regras de negócio da organização

Exemplos de parâmetros de Controle Interno

Para fidelidade da informação em relação ao dado:

AIC (Arquivos de Informações de Controle);

AUDIT TRAIL (conjunto de rotinas e arquivos que permitam a reconstituição dos dados a partir da informação permitindo assim a a monitoração do processamento dos dados);

Arquivos de erros de processamentos não corrigidos

Informações do código do arquivo gravadas no header

Exemplos de parâmetros de Controle Interno

Para Segurança lógica:

Password do arquivo gravada no header

Informações do relatório de crítica ou de consistência dos dados alimentados no sistema

Informações de total gravadas no trailler do arquivo.

Exemplos de parâmetros de Controle Interno

Para confidencialidade:

Rotina de criptografia de informações sigilosas.

Exemplo do Ponto de Controle “ Programa de Atualização” :

Rotina operacional de atualização do cadastro

Rotina de controle: inclusão, exclusão, alteração indevida do arquivo de movimento

Informação operacional: conteúdo do arquivo movimento anterior à atualização

Informações de controle: conteúdo do arquivo de erros.

Organização do trabalho da auditoria Planejamento

1º Passo

Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do ambiente computacional (fluxo de processamento, recursos humanos e materiais envolvidos, arquivos processados, relatórios e telas produzidos).

2º Passo:

Determinar os pontos de controle (processos críticos)

3º Passo: Definição dos objetivos da auditoria:

Técnicas a serem aplicadas

Prazos de execução

Custos de execução

Nível de tecnologia a ser utilizada

Organização do trabalho da auditoria Planejamento

4º Passo:

Estabelecimento de critérios para análise de risco

5o. Passo:

Análise de Risco

Avaliar para cada ponto de controle o grau de risco apresentado para posterior hierarquização:

Grau de Risco

1 – Muito Fraco

2 – Fraco

3 – Regular

4 – Forte

5 – Muito forte

6º Passo:

Hierarquização dos pontos de controle

Organização do trabalho da auditoria Execução

1o. passo: Escolher a equipe.

Perfil e histórico profissional

Experiência na atividade

Conhecimentos específicos

Formação acadêmica

Linguas estrangeiras

Disponibilidade para viagens, etc.

Organização do trabalho da auditoria Execução

2o. passo: Programar a equipe

Gerar programas de trabalho

Selecionar procedimentos apropriados

Incluir novos procedimentos

Classificar trabalhos por visita

Orçar tempo e registrar o real

3o. passo: Execução dos trabalhos

Dividir as tarefas de acordo com a formaçao, experiência e treinamento dos auditores

Efetuar supervisão para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente

Organização do trabalho da auditoria Execução

4o. passo: Revisão dos papéis

Verificar pendências e rever o papel de cada auditor para suprir as falhas encontradas

5o. passo: Avaliação da equipe

Avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e superação de fraquezas do auditor

Ter um sistema de avaliação de desempenho automatizado

Organização do trabalho da auditoria Documentação do trabalho

Documentação de todo o processo de Auditoria de Sistemas executado.

Produtos gerados pela Auditoria de sistemas

Relatório de fraquezas de controle interno

Certificado de controle interno

Relatório de redução de custos

Manual de auditoria do ambiente

Pastas contendo a documentação obtida pela Auditoria de Sistemas

Relatório de Fraquezas de controle interno

Objetivo do projeto de auditoria

Pontos de controle auditados

Conclusão alcançada a cada ponto de controle

Alternativas de solução propostas

Certificado de Controle Interno

Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.

Relatório de redução de custos

Tem por objetivo explicitar as economias financeiras a serem feitas com a adoção das recomendações efetuadas. Serve de base para a realização das análises de retorno de investimento e do custo/beneficio da auditoria de auditoria de sistemas.

Manual da auditoria do ambiente auditado

Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toa a documentação anterior já citada.

Pastas contendo a documentação da auditoria de sistemas

Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.

Apresentação dos resultados da auditoria à alta administração

Objetividade na transmissão dos resultados

Esclarecimento das discussões realizadas entre a auditoria e os auditados

Clareza nas recomendações das alternativas de solução

Coerência da atuação da Auditoria

Apresentação da documentação gerada

Explicação do conteúdo de cada documento.