segurança e auditoria de sistemas prof: wolterjúnior
TRANSCRIPT
Segurança e auditoria de sistemas
Prof: WolterJúnior
APRESENTAÇÃO
Wolter Júnior
Técnico em Administração de Empresas
Bacharel em Ciências Contábeis
Pós-Graduação em Marketing e Gestão Estratégica
Mestrando em Direito Tributário – PUC-Argentina
Prof. Universitário: Pós-Graduação / Graduação
CNI – BB – SENAC-DF-FACEC-ES-UEMG-UNIVERTIX -BRT
Consultor Empresarial
E-mail: [email protected]
Celular: (0xx32) – 9194-5691
Auditoria de sistemas
A auditoria nas organizações
Presidência Executiva
Auditoria de Sistemas
Diretoria
Administrativa
Diretoria
Financeira
Diretoria de
Vendas
Diretoria de
tecnologia
Importância da auditoria de sistemas
Altos investimentos das organizações em sistemas computadorizados
Necessidade de garantir a segurança dos computadores e seus sistemas
Garantia do alcance da qualidade dos sistemas computadorizados
Auxiliar a organização a avaliar e validar o ciclo administrativo
Dificuldades encontradas pela Auditoria de Sistemas na Empresa
Defasagem tecnológica
Falta de bons profissionais
Falta de cultura da empresa
Tecnologia variada e abrangente
Necessidades na área de auditoria de sistemas
Fortalecimento das técnicas de auditoria de sistemas para atuação em ambientes computacionais complexos
Criação de metodologias de auditoria de sistemas
Estudo do custo / benefício
Ampliação do campo de atuação da auditoria de sistemas
Papel do auditor de sistemas
Validação do fluxo administrativo (planejamento, execução e controle)
Ênfase nos processos computacionais
Comprovação da efetividade dos sistemas computadorizados
Garantia da segurança lógica e física e da confidencialidade dos sistemas
Etapas da atuação do auditor de sistemas
Compreensão do ambiente
Análise do ambiente e determinação das situações mais sensíveis
Elaboração de uma massa de testes
Aplicação da massa de testes
Análise das simulações
Emissão da opinião quanto ao ambiente auditado
Debate com os profissionais da área auditada para discussão das alternativas recomendadas
Acompanhamento da implantação da solução proposta
Auditoria da solução implantada
Novas auditorias no ambiente
Perfil do Auditor de Sistemas
Ser independente às áreas a serem auditadas
Ter formação em auditoria de computação, conhecendo o ambiente a ser auditado
Treinamento do auditor de sistemas
Conceituação de Auditoria de Sistemas
Controle Interno
Produtos finais da Auditoria de Sistemas
Mecânica de implantação das recomendações da auditoria
Postura do auditado durante a atuação da Auditoria de Sistemas.
Tendências da Auditoria de Sistemas na Organização
Criação de um profissional responsável pela segurança da informação
Preocupação com a qualidade dos processos computadorizados – criação do Analista de Segurança da Informação e do Analista de Qualidade da Informação.
Conceitos de auditoria
Processamento Eletrônico de Dados: Hardware, Software e Teleprocessamento
Sistemas de Informação: Conjunto de recursos humanos, materiais, tecnológicos e financeiros combinados segundo uma sequência lógica para transformar dados em informações.
Auditoria de Sistemas: Validação e Avaliação do controle interno de sistemas de informação.
Conceitos de auditoria
Ponto de Controle: Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação.
Controle Interno: Verificação e validação dos seguintes parâmetros do Sistema de Informação:
Fidelidade da informação em relação ao dado
Segurança física
Segurança lógica
Confidencialidade
Obediência à legislação em vigor
Eficiência
Eficácia
Obediência às políticas e às regras de negócio da organização
Exemplos de parâmetros de Controle Interno
Para fidelidade da informação em relação ao dado:
AIC (Arquivos de Informações de Controle);
AUDIT TRAIL (conjunto de rotinas e arquivos que permitam a reconstituição dos dados a partir da informação permitindo assim a a monitoração do processamento dos dados);
Arquivos de erros de processamentos não corrigidos
Informações do código do arquivo gravadas no header
Exemplos de parâmetros de Controle Interno
Para Segurança lógica:
Password do arquivo gravada no header
Informações do relatório de crítica ou de consistência dos dados alimentados no sistema
Informações de total gravadas no trailler do arquivo.
Exemplos de parâmetros de Controle Interno
Para confidencialidade:
Rotina de criptografia de informações sigilosas.
Exemplo do Ponto de Controle “ Programa de Atualização” :
Rotina operacional de atualização do cadastro
Rotina de controle: inclusão, exclusão, alteração indevida do arquivo de movimento
Informação operacional: conteúdo do arquivo movimento anterior à atualização
Informações de controle: conteúdo do arquivo de erros.
Organização do trabalho da auditoria Planejamento
1º Passo
Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do ambiente computacional (fluxo de processamento, recursos humanos e materiais envolvidos, arquivos processados, relatórios e telas produzidos).
2º Passo:
Determinar os pontos de controle (processos críticos)
3º Passo: Definição dos objetivos da auditoria:
Técnicas a serem aplicadas
Prazos de execução
Custos de execução
Nível de tecnologia a ser utilizada
Organização do trabalho da auditoria Planejamento
4º Passo:
Estabelecimento de critérios para análise de risco
5o. Passo:
Análise de Risco
Avaliar para cada ponto de controle o grau de risco apresentado para posterior hierarquização:
Grau de Risco
1 – Muito Fraco
2 – Fraco
3 – Regular
4 – Forte
5 – Muito forte
6º Passo:
Hierarquização dos pontos de controle
Organização do trabalho da auditoria Execução
1o. passo: Escolher a equipe.
Perfil e histórico profissional
Experiência na atividade
Conhecimentos específicos
Formação acadêmica
Linguas estrangeiras
Disponibilidade para viagens, etc.
Organização do trabalho da auditoria Execução
2o. passo: Programar a equipe
Gerar programas de trabalho
Selecionar procedimentos apropriados
Incluir novos procedimentos
Classificar trabalhos por visita
Orçar tempo e registrar o real
3o. passo: Execução dos trabalhos
Dividir as tarefas de acordo com a formaçao, experiência e treinamento dos auditores
Efetuar supervisão para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente
Organização do trabalho da auditoria Execução
4o. passo: Revisão dos papéis
Verificar pendências e rever o papel de cada auditor para suprir as falhas encontradas
5o. passo: Avaliação da equipe
Avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e superação de fraquezas do auditor
Ter um sistema de avaliação de desempenho automatizado
Organização do trabalho da auditoria Documentação do trabalho
Documentação de todo o processo de Auditoria de Sistemas executado.
Produtos gerados pela Auditoria de sistemas
Relatório de fraquezas de controle interno
Certificado de controle interno
Relatório de redução de custos
Manual de auditoria do ambiente
Pastas contendo a documentação obtida pela Auditoria de Sistemas
Relatório de Fraquezas de controle interno
Objetivo do projeto de auditoria
Pontos de controle auditados
Conclusão alcançada a cada ponto de controle
Alternativas de solução propostas
Certificado de Controle Interno
Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.
Relatório de redução de custos
Tem por objetivo explicitar as economias financeiras a serem feitas com a adoção das recomendações efetuadas. Serve de base para a realização das análises de retorno de investimento e do custo/beneficio da auditoria de auditoria de sistemas.
Manual da auditoria do ambiente auditado
Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toa a documentação anterior já citada.
Pastas contendo a documentação da auditoria de sistemas
Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.
Apresentação dos resultados da auditoria à alta administração
Objetividade na transmissão dos resultados
Esclarecimento das discussões realizadas entre a auditoria e os auditados
Clareza nas recomendações das alternativas de solução
Coerência da atuação da Auditoria
Apresentação da documentação gerada
Explicação do conteúdo de cada documento.