Auditoria de Sistemas Computacionais Professora Jaciara S. Carosia Tecnologia da Informação (TI): ◦ Surgimento: classificação do Departamento de Comércio dos EUA para indústrias cujos serviços e/ou produtos correspondem a hardware, software, serviços de informática, equipamentos e serviços de comunicação. ◦ Nomenclatura mais completa: Tecnologia da Informação e Comunicação (TIC). ◦ Atualmente: engloba termos como informática, sistemas, telecomunicações, ciência da computação, processamento de dados, engenharia de sistemas e de software. Auditoria de Sistemas = Auditoria de TI Objetivo: analisar um conjunto de controles gerenciais e procedimentos que afetam todo o ambiente de informática e, conseqüentemente, todos os sistemas aplicativos. São verificados: ◦ os padrões e políticas adotados pela organização, ◦ a operação sobre sistemas e dados, ◦ a disponibilidade e a manutenção do ambiente computacional, ◦ a utilização dos recursos computacionais, ◦ a gerência de banco de dados e de rede, ◦ os aspectos relacionados à segurança das informações (como segurança física, lógica e ambiental), ◦ e continuidade dos serviços de informática (Plano de Contingência). Foco da investigação: infra-estrutura, procedimentos, práticas e políticas do Departamento de Informática... Antigamente: foco no CPD. Auditoria de TI é considerada Auditoria operacional. Auditoria operacional: Auditoria que incide em todos os níveis de gestão, sob o ponto de vista da economia, eficiência e eficácia, onde são auditados todos os sistemas e métodos utilizados pelo gestor em tomadas de decisões e aprecia até que ponto os resultados pretendidos foram atingidos. “A função da auditoria de sistemas é promover a adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos nos sistemas de informação da empresa, bem como avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento do mesmo.” Auditoria no ambiente de Tecnologia da Informação: ◦ abrange a análise do ambiente de informática em termos de estrutura orgânica, contratos de software e hardware, normas técnicas e operacionais, custos, nível de utilização dos equipamentos e planos de segurança e de contingência; Auditoria de sistemas em produção (ou operação): ◦ abrange os procedimentos e resultados dos sistemas de informação já implantados (característica preventiva, corretiva e detectiva); Auditoria durante o desenvolvimento de sistemas: ◦ abrange todo o processo de construção de sistemas de informação, desde a fase de levantamento do sistema a ser informatizado até o teste e implantação (característica preventiva); Auditoria de eventos específicos: ◦ abrange a análise da causa, da conseqüência e da ação corretiva cabível, de eventos localizados que não se encontram sob a auditoria, detectados por outros órgãos e levados ao seu conhecimento (característica corretiva). Fases: desenvolvimento e produção. Fase de Desenvolvimento: ◦ levantamento do sistema atual; ◦ estudo da viabilidade; ◦ anteprojeto do novo sistema, também conhecido com projeto lógico; ◦ detalhamento do projeto; ◦ programação e depuração, estas duas fases são também conhecidas como projeto físico; ◦ implantação do sistema. Fase de Produção: ◦ ter como entrada os dados; ◦ processar e manter as informações; ◦ divulgar as informações úteis; ◦ manutenções (realimentações). Ponto de controle: uma situação levantada que merece ser avaliada pela auditoria de sistemas, segundo determinados parâmetros do controle interno. ◦ Nem todos os pontos de controle levantados são auditados (recursos...). ◦ Amostragem: de acordo com a amostragem dos pontos de controle validados é que se torna possível a opinião sobre o controle interno de um determinado sistema de informação. ◦ Situações após avaliação: Não apresenta fraqueza de controle interno. Apresenta fraqueza de controle interno (ponto de auditoria). Ponto de Auditoria: ponto de controle avaliado e problemáticos. ◦ Relatório Final: Descrição do ponto. Descrição do tipo de fraqueza (com documentação comprobatória e justificativas) Solução recomendada. Início Ponto de controle caracterizado e inventariado Apresentou fraqueza de controle interno? S Caracterização de ponto de auditoria Implementação da solução recomendada Selecionado para teste de validação? S Avaliação de ponto de controle N Fim N Fim ARIMA, Carlos Hideo; SANTOS, José Luiz e SCHMIDT, Paulo. Fundamentos de Auditoria de Sistemas. São Paulo: ATLAS, 2006. DIAS, C. Segurança e Auditoria Da Tecnologia da Informação. Rio de janeiro: Axcel Books, 2000. IMONIAMA, J. O. Auditoria de Sistemas de Informação. Sâo Paulo: Editora Atlas, 2005. SNELL, B. Administração Novo cenário Competitivo.Sexta Edição. Editora Atlas. São Paulo, 2006. “A primeira regra de qualquer tecnologia utilizada nos negócios é que a automação aplicada a uma operação eficiente aumentará a eficiência. A segunda é que a automação aplicada a uma operação ineficiente aumentará a ineficiência.” (Bill Gates)