Tecnologia da Informação

Parte 2

Auditoria de sistemas Auditoria de sistemas

Noções de Tecnologia da Informação Gerencial. Noções de auditoria de sistemas. Segurança de sistemas. Análise de riscos em sistemas de informação contábeis. Plano de contingência. Técnicas de avaliação de sistemas. Situações de Vulnerabilidade: Virus, Fraudes, Criptografia, Acesso não autorizados, riscos de segurança em geral.

Auditoria de sistemas Auditoria de sistemas Aula 2 Aula 2 Noções de Tecnologia da Informação Gerencial. Noções de auditoria de sistemas. Segurança de sistemas. Análise de riscos em sistemas de informação contábeis. Plano de contingência. Técnicas de avaliação de sistemas. Situações de Vulnerabilidade: Vírus, Fraudes, Criptografia, Acesso não autorizados, riscos de segurança em geral.

AuditoriaAuditoria

Auditoria = Audire = do latim “Saber ouvir”

Critério – Conjunto de políticas, procedimentos e requisitos

Evidências – Registros, fatos ou outras informações pertinentes aos critérios de auditoria

Auditor – Pessoa com a competência para realizar uma auditoria

AuditoriaAuditoria

Processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos

AuditoriaAuditoria

Auditado – Pessoa ou organização na qual passará pelo processo de auditoria

Plano da Auditoria – Descrição das atividades e arranjos para uma auditoria

Escopo da auditoria – Abrangência e limites de uma auditoria

Princípios de AuditoriaPrincípios de Auditoria Conduta ética: O fundamento do profissionalismo

(Confiança, integridade, descrição e confidencialidade são essenciais para auditar)

Apresentação Justa: a obrigação de reportar com veracidade e exatidão. A conclusão de uma auditoria reflete verdadeiramente e com precisão as atividades da auditoria

Devido cuidado profissional: Cuidado necessário considerando a importância da atividade e a confiança depositada

Independência: Auditores devem ser independentes da atividade a ser auditada e são livres de conflito de interesse e tendência

Abordagem baseada em evidência: Evidência de Auditoria é Verificável

Caracteristicas da auditoriaCaracteristicas da auditoria

Pode ser conduzida por um ou mais auditoresO auditor identifica os critérios de auditoria (processo, templates e informações pertinentes)Realiza uma preparação no materialCria ou seleciona um checklist para que sirva de guia durante a execução da auditoriaIdentifica possíveis auditados (Verificar com o líder da equipe)Apresenta-se formalmente ao auditados, descrevendo os objetivos da auditoria

AUDITORIA DA TECNOLOGIA DA AUDITORIA DA TECNOLOGIA DA INFORMAÇÃOINFORMAÇÃO

é uma auditoria operacional, analisa a gestão de recursos, com o foco nos aspectos de eficiência, eficácia, economia e efetividade.

AbrangênciaAbrangência

abrangência desse tipo de auditoria pode ser o ambiente de informática como um todo ou a organização do departamento de informática

Ambiente de informáticaAmbiente de informática

Ambiente de informática:

Segurança dos outros controles;

Segurança física; Segurança lógica; Planejamento de

contingências; Operação do centro

de processamento de dados.

Organização do departamento de Organização do departamento de informáticainformáticaOrganização do departamento de informática:

Aspectos administrativos da organização; Políticas, padrões, procedimentos,

responsabilidades organizacionais, gerência pessoal e planejamento de capacidade;

Banco de dados; Redes de comunicação e computadores; Controle sobre aplicativos:

Desenvolvimento, Entradas, processamento e saídas.

Auditoria da tecnologia da Auditoria da tecnologia da informaçãoinformaçãoÉ abrangente, engloba todos os controles que podem influenciar a segurança de informação e o correto funcionamento dos sistemas de toda a organização:•Controles organizacionais;•De mudança;•De operação de sistemas;•Sobre Banco de Dados;•Sobre microcomputadores;•Sobre ambiente cliente-servidor.

Auditoria da segurança de Auditoria da segurança de informaçõesinformaçõesDetermina a postura da organização com relação à segurança. Avalia a política de segurança e controles relacionados com aspectos de segurança institucional mais globais, faz parte da auditoria da TI. Seu escopo envolve:

•Avaliação da política de segurança;

•Controles de acesso lógico;

•Controles de acesso físicos;

•Controles ambientais;

•Planos de contingência e continuidade de serviços.

Auditoria de aplicativosAuditoria de aplicativos

Segurança e controle de aplicativos específicos, incluindo aspectos intrínsecos à área a que o aplicativo atende:

•Controles sobre o desenvolvimento de sistemas aplicativos;

•Controles de entradas, processamento e saída de dados;

•Controle sobre conteúdo e funcionamento do aplicativo, com relação à área por ele atendida.

Equipe de AuditoriaEquipe de Auditoria

Gerente deve ter:Habilidade para recrutar ou formar profissionais com nível adequado de capacitação técnica em auditoria e TI; determinar forma de atingir a capacitação e os métodos de treinamento mais eficazes.

Conhecimentos técnicos:Sistemas operacionais,Software básico,Banco de dados,Processamento distribuído,Software de controle de acesso,Segurança de informações,Plano e contingência, e de recuperação eMetodologias de desenvolvimento de sistemas.

Equipe de AuditoriaEquipe de Auditoria

Conhecimentos em auditoria:

Técnicas de auditoria,

Software de auditoria e extração de dados,

 

Outras capacidades relevantes:

Princípios Éticos,

Bom relacionamento,

Comunicação oral e escrita,

Senso crítico,

Conhecimento específico na área (finanças, pessoal, estoque...)

Composição da equipeComposição da equipe

Opções para a formação da equipe:

•Consultoria externa

•Desenvolver a capacidade técnica de TI nos auditores

•Desenvolver técnicas de auditagem no pessoal de TI

Consultoria externaConsultoria externaConsultoria externa

  Analise (custo, alta capacidade, independência, duração, investimento pessoal, extensão do trabalho)

  Consultores externos somente para tarefas específicas (conhecimento especializado).

  Pontos críticos: custos, contrato e controle sobre atividades.

Definição de objetivos precisos e pontos de controle.

  Recomendável: bom relacionamento, transferência de conhecimentos.

  Ao término da auditoria: avaliação dos serviços (opiniões dos consultores, dos membros da equipe e da gerencia da organização), com o objetivo de evitar as mesmas falhas no futuro.

MetodologiaMetodologia EntrevistasEntrevistas

Entrevistas de apresentação - Apresentação da equipe, cronograma das atividades, objetivos, áreas,

período, metodologias. Estrutura do relatório (resultado da auditoria). Entrevistas de coleta de dados

- Coleta de dados sobrre os sistemas ou ambiente de informática. Nessa entrevista podem ser identificados os pontos fortes e fracos de controle, falhas e possíveis irregularidades. O entrevistado deve saber de antemão como serão usados esses dados e conhecer o relatórios a certa da entrevista. Entrevistas de discussão de deficiências encontradas

- Ao término das investigações são apresentadas as deficiências encontradas. Ao discuti-las podem ser apresentadas justificativas para essas deficiências, podendo ser desconsiderada as falhas ou relatadas as justificativas. Entrevista de encerramento

- É apresentado o resumo dos resultados (pontos fortes, falhas mais relevantes, comentários, recomendações).

Objetivos de controle e Objetivos de controle e procedimentos de auditoriaprocedimentos de auditoria

Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para atingirmos esses objetivos, são traduzidos em procedimentos de auditoria.

Os objetivos de controle podem ter vários enfoques e podem ser motivados por diversas razões:

Segurança – dados e sistemas importantes para a organização, onde a confidencialidade, integridade e a disponibilidade são essenciais.

Atendimento a solicitações externas – verificação de indícios de irregularidade motivados por denúncia ou solicitação de órgão superior.

Materialidade – alto valor econômico-financeiro dos sistemas computacionais.

Altos custos de desenvolvimento – sistemas de alto custos envolvem altos riscos.

Grau de envolvimento dos usuários – o não envolvimento dos usuários no desenvolvimento de sistemas, acarreta sistemas que em geral não atendem satisfatoriamente às suas necessidades.

Terceirização – efeitos da terceirização no ambiente de informática.

Execução de uma auditoriaExecução de uma auditoria Os resultados da auditoria (achados e

conclusões) devem ser suportados pela correta interpretação e análise dessas evidências.

Evidência física – observações de atividades desenvolvidas pelos funcionários e gerentes, sistemas em funcionamento, local equipamentos, etc.

Evidência documental – resultado da extração de dados, registro de transações, listagens, etc.

Evidência fornecida pelo auditado - transcrições de entrevistas, cópias de documentos cedidos, fluxogramas, políticas internas, e-mails trocados com a gerência, justificativas, relatórios, etc.

Evidência analítica - comparações, cálculos e interpretações de documentos.

Execução de uma auditoria Execução de uma auditoria – – Boas práticasBoas práticasO auditor deve utilizar palavras de questionamentos como:

Como? (de que modo)

O que? (o fato) Quando? (tempo) Quem? (pessoas) Onde? (lugar) Por que? (motivos) Mostre-me

(Evidência)

•Estar bem preparado para realizar a auditoria

•Tentar prever o máximo de situações possíveis

•Evitar surpresas ao auditado

•Esclarecer todas as dúvidas sobre uma não-conformidade

•Buscar objetividade e fatos concretos (Evidências)

Execução de uma auditoria Execução de uma auditoria – – Boas práticasBoas práticas•Não atacar pessoas e sim fatos concretos•Motivar a identificação de melhorias•Persuadir, não impor•O auditor não deve relacionar pessoas à não-conformidades ou deficiências•Ser flexível quando necessário•Ser imparcial e objetivo para obtenção dos fatos

Relatório PreliminarRelatório Preliminar

Antes mesmo de iniciar os trabalhos de campo, na fase do planejamento da auditoria, são coletadas informações preliminares sobre a entidade, seus sistemas, os recursos necessários, a composição da equipe, metodologias, objetivos de controle e procedimentos a serem adotados. Uma estrutura de relatório deve ser definida e todas essas informações devem ser transcritas para o relatório.

Relatório finalRelatório finalEstruturaDados da entidade auditada - nome, endereço, natureza jurídica, relação de responsáveis, etc.Síntese - um breve resumo do conteúdo. É útil para a alta direção obter uma visão geral e rápida dos principais pontos da auditoria.Dados da auditoria - objetivos, período de fiscalização, composição da equipe, metodologia adotada, natureza da auditoria, e objeto (controles gerais, desenvolvimento de sistemas, aplicativo específico, etc.).Introdução - histórico da entidade, conclusões de auditorias anteriores, estrutura hierárquica do departamento de informática, sua relação com outros departamentos, descrição do ambiente computacional, evolução tecnológica, principais sistemas e projetos. Falhas detectadas - apresenta em detalhes, as falhas e irregularidades detectadas durante a auditoria. Além das descrições, são apresentados comentários iniciais, justificativa do auditado e o parecer final da equipe para cada falha (preferências e recomendações).Conclusão - síntese dos pontos principais do relatório e as recomendações ou determinações finais da equipe para a correção das falhas ou irregularidades encontradas.Parecer da gerência superior - as gerências superiores podem dar seu parecer a respeito dos achados e recomendações da equipe de auditores, concordando integralmente ou em partes com os pontos de vista da auditoria, ou ainda discordando inteiramente.

ExercícioExercício

............