auditoria de sistemas luiz roberto bastos aula 1
TRANSCRIPT
Auditoria de Sistemas
Luiz Roberto Bastos
Aula 1
Auditoria de Sistemas:Abordagem Inicial
O que é Auditoria de Sistemas
A Carreira do Auditor de Sistemas
A Auditoria de Sistemas nas Organizações
Padrões e Código de Ética segundo o ISACA
(Information Systems Audit and Control Association)
O Que é Auditoria de Sistemas
Processos SistemasRespons. gerenciais
VERIFICAR
a segurança da informação, recursos, serviços e acesso.
2
a conformidade com os objetivos, políticas, orçamentos, regras, normas e padrões.
Operações
Engloba o exame de:
1
PLANEJAMENTO EXECUÇÃO CONTROLE
Funções Administrativas
Padrões que exprimem
expectativa de comportamento
futuro
Medidas relacionadas aos registros
das operações ocorridas
Controle de desvios com confrontação das medidas
e padrões
PLANEJAMENTO EXECUÇÃO CONTROLEPLANEJAMENTO EXECUÇÃO CONTROLE
PLANEJAMENTO EXECUÇÃO CONTROLE
O Auditor de Sistemas é um verificador do trabalho realizado, atuando segundo as ações de
VALIDAÇÃO e AVALIAÇÃO.
Validação Exprime a ideia de teste.
Exprime a ideia de julgamento e emissão de opinião.
Avaliação
A Carreira de Auditor de Sistemas
Perfil do Auditor
Conhecimento teórico e prático em SI Visão abrangente da empresa Vestir-se adequadamente Comportamento condizente com
quem tem autoridade no assunto Nada de extravagâncias, de gírias Não aceitar presentes
Organizações certificadoras: ISACA - Certified Information System
Auditor (CISA) British Computer Society - Exame da
Sociedade Britânica de Informática Institute of Internal Auditors (IIA) -
Qualificação em Auditoria Computacional
Qualificação profissional
Equipe de Auditoria
Auditoria internaColaboradores da empresa
Equipe é treinada conforme objetivos de
segurança da empresa
Metodologia adquirida / desenvolvida
Auditoria externaContratação de empresa de auditoria
Condução da auditoria sob demanda
Programa de desenvolvimento de carreira do auditor de sistemas
Experiência em informática2
Pouca ou nenhuma experiência informática1
Pouca ou nenhuma experiência informática1
Conceitos de TI
Fundamentos de arquitetura de sistemas,
Input/Output, processamento lógico, unidade
de memória principal e auxiliar.
Rede de computadores, teleprocessamento,
internet, intranet e extranet.
Programação de computação, incluindo os
conceitos de modelagem (UML).
Controles gerais como operação, aquisição,
desenvolvimento, manutenção de sistemas,
acesso, hardware e suporte técnico).
Estudo de caso que exemplifique cada
situação (jogo de negócios) é desejável.
Pouca ou nenhuma experiência informática1
Experiência em informática2
Auditoria de sistemas aplicativos, princípios e
práticas de auditoria com ênfase nos controles
gerenciais e organizacionais, monitoramento e
emissão de relatórios.
Experiência em informática2
Gerenciamento de riscos, privacidade e
políticas de segurança da informação.
Avaliação dos sistemas online: proc. em tempo
real, identificação de programas, verificação das
autenticações e autorizações de acessos e
registros (contabilização) das transações,
correção, detecção e manutenção de diários
das operações.
Controles de acesso à bibliotecas de dados e
de programas, armazenamento e recuperação
de dados relacionais ou Data Warehouse, plano
de contingência (de back-up, emergência e
recuperação) de desastres.
Software de auditoria.
Experiência em informática2
Ter uma biblioteca técnica para consulta
Informações pertinentes a TI e também
sobre auditorias passadas.
Conhecimento técnico em relação às
novas tecnologias
Biblioteca
O auditor de sistemas necessita de autonomia para
trabalhar e apontar as distorções encontradas.
Ele deve ser staff da presidência.
A Auditoria de Sistemas nas Organizações
Posicionamento do Auditor de Sistemas
Presidente
Diretoria de Vendas
Diretoriade TI
Diretoria Planejam.
DiretoriaFinanceira
Auditoria de Sistemas
Staff (apoio)
Abordagens de auditoria de sistemas
Abordagem através do computador2
Abordagem ao redor do computador1
Abordagem com o computador3
Abordagem ao redor do computador1
Uso de rotinas manuais.
Muito usada no passado.
O auditor analisava os documentos fonte com
suas respectivas entradas e saídas.
Pouca ou nenhuma atenção é prestada às
funções de processamento (não exige muito
conhecimento de TI).
Abordagem ao redor do computador1
Pouco envolvimento com os registros gerados
pelo computador (era utilizada para tarefas
menores (ex: controle de estoque).
Custos mais baixos (riscos mais altos).
Abordagem através do computador2
Capacita o auditor a verificar com maior
frequência as áreas que necessitam de
verificação constante.
Faz aprovação dos registros armazenados.
Simula as transações possíveis, através de
ferramentas de auditoria (ex: test data).
Abordagem com o computador3
Maior perfeição possível, fazendo uma compilação
dos processos automatizados e manuais.
Verificar se os cálculos das transações financeiras
como o cálculo das depreciações, taxas e impostos
são feitos corretamente.
Abordagem com o computador3
Capacidade de ordenar e selecionar os registros.
Exemplo: através de varredura da base de dados,
o auditor pode apontar com precisão as
informações com prioridade de acesso, isolando-
as das informações desnecessárias ou
obsoletas.
Abordagem com o computador3
Utilização de Técnicas de Auditoria Assistida
por Computador (TAAC) ou CAAT (Computer
Assisted Audit Techniques).
Desenvolvimento de programas específicos
para serem usados pelo auditor quando
necessário.
Áreas de auditoria
Segurança da Informa-
ção
AplicativosTI
Cada empresa define como classificará sua auditoria. Não há uma regra fixa.
Avaliação da conformidade com as políticas de
segurança.
Controles ambientais.
Plano de contingência e continuidade de serviços.
Segurança da Informa-
çãoControles
Confidencialidade Controle de acesso (fis/log) Integridade Gravação e atualização
autorizadas (“dono”) Disponibilidade Sistema disponível quando
necessário Consistência Sistema funciona conforme
requisitos Confiabilidade Sistema atuará conforme o
esperado
ControlesSegurança da Informa-
ção
Mudanças Organizacionais
Operações de sistemas
ITIL, Cobit
Hardware
Plataformas cloude computing, ERP,
Data warehouse
TI Conhecimentosobre
Desenvolvimento de aplicativos
Entrada, processamento e saída de dados.
Conteúdo e funcionamento do aplicativo.
Aplicativos
Controle sobre
1. Responsabilidade, autoridade e prestação de contas
2. Independência profissional
3. Ética profissional e padrões
Padrões e Código e Ética(Comitê de Padrões da Associação de Controle de
Tecnologia de Informação dos EUA)
Padrões e Código e Ética
4. Competência
5. Planejamento
6. Emissão do relatório
7. Atividades de follow-up
Código de Ética profissional segundo o ISACA
Conforme padrões emitidos pelo
Information Systems Audit and
Control Association (ISACA)
Apoiar a implementação de padrões
sugeridos para procedimentos e controles
dos sistemas de informações e encorajar o
seu cumprimento.
1
Código de Ética profissional segundo o ISACA
Exercer suas funções com objetividade e zelo
profissional de acordo com os padrões
profissionais e melhores práticas.
2
Código de Ética profissional segundo o ISACA
Servir aos interesses dos stakeholders de
forma legal e honesta, com alto padrão de
conduta e caráter profissional, e não
encorajar atos de descrédito à profissão.
3
Código de Ética profissional segundo o ISACA
Manter privacidade e confidencialidade das
informações obtidas, exceto quando exigido
legalmente. Tais informações não devem ser
utilizadas em vantagem própria ou entregues
a pessoas desautorizadas.
4
Código de Ética profissional segundo o ISACA
Manter competência na sua especialidade e
assegurar que somente atua nas atividades
em que tem razoável habilidade.
5
Código de Ética profissional segundo o ISACA
Informar os stakeholders sobre os resultados
de seus trabalhos, expondo os fatos
significativos.
6
Código de Ética profissional segundo o ISACA
Apoiar a conscientização profissional dos
stakeholders para auxiliar sua compreensão
dos sistemas de informação, segurança e
controle.
7
Código de Ética profissional segundo o ISACA
Auditoria de Sistemas
Luiz Roberto Bastos
Aula 1
44
Os objetivos da Segurança da Informação são:
(a) Confiabilidade, maturidade, integridade, controle de erros de programas, disponibilidade
(b) Maturidade, controle de defeitos reportados, tempo de execução de um sistema, integridade e consistência
(c) Confidencialidade, integridade, disponibilidade, consistência, confiabilidade
(d) Consistência, maturidade, confiabilidade, eficácia e disponibilidade
1Exercícios
45
Os três tipos de abordagem de auditoria de sistema:
(a) Computador e auditor; computador e analista;
computador e usuário.
(b) Computador e auditor; computador e analista;
auditor e CIO.
(c) Ao redor do computador; através do computador;
com o computador.
(d) Ao redor do computador; sempre com o
computador; nunca com o computador.
2Exercícios
46
Cabe ao auditor:
(a) Verificar se os controles internos foram implementados
(b) Verificar se os controles internos foram implementados e corrigir as eventuais discrepâncias
(c) Ensinar para o analista de sistemas a melhor maneira de programar
(d) Verificar se os controles internos foram implementados e, se existirem, se são efetivos
3Exercícios
47
Escolha a melhor opção:
(a) A auditoria de Sistemas deve ser subordinada ao Departamento de TI.
(b) A auditoria externa é mais precisa que a auditoria interna porque seus controles são definidos pela empresa que a contrata.
(c) Uma empresa com área de auditoria interna deve possuir uma metodologia de auditoria.
(d) O auditor de sistemas só deve arquivar evidências das fraquezas encontradas no trabalho de campo.
4Exercícios
48
1. Exprime a ideia de TESTE 2. Exprime a ideia de julgamento e emissão de opinião:Estamos falando respectivamente de quê?
(a) Auditor e CIO(b) Analista de teste e avaliação
(c) Validação e avaliação
(d) Validação e correção
5Exercícios
49
Informações que exprimem uma expectativa de comportamento futuro.
Estamos falando de quê?
(a) Execução(b) Controle
(c) Planejamento
(d) Ação
6Exercícios
50
Comparação entre o trabalho realizado versus o trabalho que foi planejado.
Estamos falando de quê?
(a) Execução(b) Planejamento
(c) Controle
(d) Ação
7Exercícios
51
Certo [ C ] ou Errado [ E ] ?
[ C ] O auditor de sistemas deve ter conhecimento teórico e prático em SI.
[ E ] O auditor de sistemas deve conhecer tudo da empresa que está auditando.
[ E ] O auditor com mais de 10 anos de experiência não necessita de treinamento.
[ C ] No relacionamento organizacional a função de auditor de TI deve ser suficientemente independente dá área sob auditoria para permitir uma conclusão objetiva da auditoria.
8Exercícios
52
Em se tratando da área de Auditoria de Sistemas, o
ideal é que ela esteja subordinada a:
(a) Diretoria de Informática
(b) Diretoria de Vendas
(c) Presidência
(d) Diretoria Administrativa
9Exercícios