Auditoria de Sistemas

Luiz Roberto Bastos

Aula 1

Auditoria de Sistemas:Abordagem Inicial

O que é Auditoria de Sistemas

A Carreira do Auditor de Sistemas

A Auditoria de Sistemas nas Organizações

Padrões e Código de Ética segundo o ISACA

(Information Systems Audit and Control Association)

O Que é Auditoria de Sistemas

Processos SistemasRespons. gerenciais

VERIFICAR

a segurança da informação, recursos, serviços e acesso.

2

a conformidade com os objetivos, políticas, orçamentos, regras, normas e padrões.

Operações

Engloba o exame de:

1

PLANEJAMENTO EXECUÇÃO CONTROLE

Funções Administrativas

Padrões que exprimem

expectativa de comportamento

futuro

Medidas relacionadas aos registros

das operações ocorridas

Controle de desvios com confrontação das medidas

e padrões

PLANEJAMENTO EXECUÇÃO CONTROLEPLANEJAMENTO EXECUÇÃO CONTROLE

PLANEJAMENTO EXECUÇÃO CONTROLE

O Auditor de Sistemas é um verificador do trabalho realizado, atuando segundo as ações de

VALIDAÇÃO e AVALIAÇÃO.

Validação Exprime a ideia de teste.

Exprime a ideia de julgamento e emissão de opinião.

Avaliação

A Carreira de Auditor de Sistemas

Perfil do Auditor

Conhecimento teórico e prático em SI Visão abrangente da empresa Vestir-se adequadamente Comportamento condizente com

quem tem autoridade no assunto Nada de extravagâncias, de gírias Não aceitar presentes

Organizações certificadoras: ISACA - Certified Information System

Auditor (CISA) British Computer Society - Exame da

Sociedade Britânica de Informática Institute of Internal Auditors (IIA) -

Qualificação em Auditoria Computacional

Qualificação profissional

Equipe de Auditoria

Auditoria internaColaboradores da empresa

Equipe é treinada conforme objetivos de

segurança da empresa

Metodologia adquirida / desenvolvida

Auditoria externaContratação de empresa de auditoria

Condução da auditoria sob demanda

Programa de desenvolvimento de carreira do auditor de sistemas

Experiência em informática2

Pouca ou nenhuma experiência informática1

Pouca ou nenhuma experiência informática1

Conceitos de TI

Fundamentos de arquitetura de sistemas,

Input/Output, processamento lógico, unidade

de memória principal e auxiliar.

Rede de computadores, teleprocessamento,

internet, intranet e extranet.

Programação de computação, incluindo os

conceitos de modelagem (UML).

Controles gerais como operação, aquisição,

desenvolvimento, manutenção de sistemas,

acesso, hardware e suporte técnico).

Estudo de caso que exemplifique cada

situação (jogo de negócios) é desejável.

Pouca ou nenhuma experiência informática1

Experiência em informática2

Auditoria de sistemas aplicativos, princípios e

práticas de auditoria com ênfase nos controles

gerenciais e organizacionais, monitoramento e

emissão de relatórios.

Experiência em informática2

Gerenciamento de riscos, privacidade e

políticas de segurança da informação.

Avaliação dos sistemas online: proc. em tempo

real, identificação de programas, verificação das

autenticações e autorizações de acessos e

registros (contabilização) das transações,

correção, detecção e manutenção de diários

das operações.

Controles de acesso à bibliotecas de dados e

de programas, armazenamento e recuperação

de dados relacionais ou Data Warehouse, plano

de contingência (de back-up, emergência e

recuperação) de desastres.

Software de auditoria.

Experiência em informática2

Ter uma biblioteca técnica para consulta

Informações pertinentes a TI e também

sobre auditorias passadas.

Conhecimento técnico em relação às

novas tecnologias

Biblioteca

O auditor de sistemas necessita de autonomia para

trabalhar e apontar as distorções encontradas.

Ele deve ser staff da presidência.

A Auditoria de Sistemas nas Organizações

Posicionamento do Auditor de Sistemas

Presidente

Diretoria de Vendas

Diretoriade TI

Diretoria Planejam.

DiretoriaFinanceira

Auditoria de Sistemas

Staff (apoio)

Abordagens de auditoria de sistemas

Abordagem através do computador2

Abordagem ao redor do computador1

Abordagem com o computador3

Abordagem ao redor do computador1

Uso de rotinas manuais.

Muito usada no passado.

O auditor analisava os documentos fonte com

suas respectivas entradas e saídas.

Pouca ou nenhuma atenção é prestada às

funções de processamento (não exige muito

conhecimento de TI).

Abordagem ao redor do computador1

Pouco envolvimento com os registros gerados

pelo computador (era utilizada para tarefas

menores (ex: controle de estoque).

Custos mais baixos (riscos mais altos).

Abordagem através do computador2

Capacita o auditor a verificar com maior

frequência as áreas que necessitam de

verificação constante.

Faz aprovação dos registros armazenados.

Simula as transações possíveis, através de

ferramentas de auditoria (ex: test data).

Abordagem com o computador3

Maior perfeição possível, fazendo uma compilação

dos processos automatizados e manuais.

Verificar se os cálculos das transações financeiras

como o cálculo das depreciações, taxas e impostos

são feitos corretamente.

Abordagem com o computador3

Capacidade de ordenar e selecionar os registros.

Exemplo: através de varredura da base de dados,

o auditor pode apontar com precisão as

informações com prioridade de acesso, isolando-

as das informações desnecessárias ou

obsoletas.

Abordagem com o computador3

Utilização de Técnicas de Auditoria Assistida

por Computador (TAAC) ou CAAT (Computer

Assisted Audit Techniques).

Desenvolvimento de programas específicos

para serem usados pelo auditor quando

necessário.

Áreas de auditoria

Segurança da Informa-

ção

AplicativosTI

Cada empresa define como classificará sua auditoria. Não há uma regra fixa.

Avaliação da conformidade com as políticas de

segurança.

Controles ambientais.

Plano de contingência e continuidade de serviços.

Segurança da Informa-

çãoControles

Confidencialidade Controle de acesso (fis/log) Integridade Gravação e atualização

autorizadas (“dono”) Disponibilidade Sistema disponível quando

necessário Consistência Sistema funciona conforme

requisitos Confiabilidade Sistema atuará conforme o

esperado

ControlesSegurança da Informa-

ção

Mudanças Organizacionais

Operações de sistemas

ITIL, Cobit

Hardware

Plataformas cloude computing, ERP,

Data warehouse

TI Conhecimentosobre

Desenvolvimento de aplicativos

Entrada, processamento e saída de dados.

Conteúdo e funcionamento do aplicativo.  

Aplicativos

Controle sobre

1. Responsabilidade, autoridade e prestação de contas

2. Independência profissional

3. Ética profissional e padrões 

Padrões e Código e Ética(Comitê de Padrões da Associação de Controle de

Tecnologia de Informação dos EUA)

Padrões e Código e Ética

4. Competência

5. Planejamento

6. Emissão do relatório

7. Atividades de follow-up

Código de Ética profissional segundo o ISACA

Conforme padrões emitidos pelo

Information Systems Audit and

Control Association (ISACA)

Apoiar a implementação de padrões

sugeridos para procedimentos e controles

dos sistemas de informações e encorajar o

seu cumprimento.

1

Código de Ética profissional segundo o ISACA

Exercer suas funções com objetividade e zelo

profissional de acordo com os padrões

profissionais e melhores práticas.

2

Código de Ética profissional segundo o ISACA

Servir aos interesses dos stakeholders de

forma legal e honesta, com alto padrão de

conduta e caráter profissional, e não

encorajar atos de descrédito à profissão.

3

Código de Ética profissional segundo o ISACA

Manter privacidade e confidencialidade das

informações obtidas, exceto quando exigido

legalmente. Tais informações não devem ser

utilizadas em vantagem própria ou entregues

a pessoas desautorizadas.

4

Código de Ética profissional segundo o ISACA

Manter competência na sua especialidade e

assegurar que somente atua nas atividades

em que tem razoável habilidade. 

5

Código de Ética profissional segundo o ISACA

Informar os stakeholders sobre os resultados

de seus trabalhos, expondo os fatos

significativos.

6

Código de Ética profissional segundo o ISACA

Apoiar a conscientização profissional dos

stakeholders para auxiliar sua compreensão

dos sistemas de informação, segurança e

controle.

7

Código de Ética profissional segundo o ISACA

Auditoria de Sistemas

Luiz Roberto Bastos

Aula 1

44

  Os objetivos da Segurança da Informação são:

(a) Confiabilidade, maturidade, integridade, controle de erros de programas, disponibilidade

(b) Maturidade, controle de defeitos reportados, tempo de execução de um sistema, integridade e consistência

(c) Confidencialidade, integridade, disponibilidade, consistência, confiabilidade

(d) Consistência, maturidade, confiabilidade, eficácia e disponibilidade

1Exercícios

45

 Os três tipos de abordagem de auditoria de sistema:

(a) Computador e auditor; computador e analista;

computador e usuário.

(b) Computador e auditor; computador e analista;

auditor e CIO.

(c) Ao redor do computador; através do computador;

com o computador.

(d) Ao redor do computador; sempre com o

computador; nunca com o computador.

2Exercícios

46

  Cabe ao auditor:

(a) Verificar se os controles internos foram implementados

(b) Verificar se os controles internos foram implementados e corrigir as eventuais discrepâncias

(c) Ensinar para o analista de sistemas a melhor maneira de programar

(d) Verificar se os controles internos foram implementados e, se existirem, se são efetivos

3Exercícios

47

  Escolha a melhor opção:

(a) A auditoria de Sistemas deve ser subordinada ao Departamento de TI.

(b) A auditoria externa é mais precisa que a auditoria interna porque seus controles são definidos pela empresa que a contrata.

(c) Uma empresa com área de auditoria interna deve possuir uma metodologia de auditoria.

(d) O auditor de sistemas só deve arquivar evidências das fraquezas encontradas no trabalho de campo.

4Exercícios

48

1. Exprime a ideia de TESTE 2. Exprime a ideia de julgamento e emissão de opinião:Estamos falando respectivamente de quê?

(a) Auditor e CIO(b) Analista de teste e avaliação

(c) Validação e avaliação

(d) Validação e correção

5Exercícios

49

Informações que exprimem uma expectativa de comportamento futuro.

Estamos falando de quê?

(a) Execução(b) Controle

(c) Planejamento

(d) Ação

6Exercícios

50

Comparação entre o trabalho realizado versus o trabalho que foi planejado.

Estamos falando de quê?

(a) Execução(b) Planejamento

(c) Controle

(d) Ação

7Exercícios

51

Certo [ C ] ou Errado [ E ] ?

[ C ] O auditor de sistemas deve ter conhecimento teórico e prático em SI.

[ E ] O auditor de sistemas deve conhecer tudo da empresa que está auditando.

[ E ] O auditor com mais de 10 anos de experiência não necessita de treinamento.

[ C ] No relacionamento organizacional a função de auditor de TI deve ser suficientemente independente dá área sob auditoria para permitir uma conclusão objetiva da auditoria.

8Exercícios

52

Em se tratando da área de Auditoria de Sistemas, o

ideal é que ela esteja subordinada a:

(a) Diretoria de Informática

(b) Diretoria de Vendas

(c) Presidência

(d) Diretoria Administrativa

9Exercícios