Auditoria de Sistemas Aula 1 Luiz Roberto Bastos Auditoria de Sistemas: Abordagem Inicial O que é Auditoria de Sistemas A Carreira do Auditor de Sistemas A Auditoria de Sistemas nas Organizações Padrões e Código de Ética segundo o ISACA (Information Systems Audit and Control Association) O Que é Auditoria de Sistemas Engloba o exame de: Operações Processos Sistemas Respons. gerenciais VERIFICAR 1 a conformidade com os objetivos, políticas, orçamentos, regras, normas e padrões. 2 a segurança da informação, recursos, serviços e acesso. Funções Administrativas PLANEJAMENTO EXECUÇÃO CONTROLE Padrões que exprimem expectativa de comportamento futuro Medidas relacionadas aos registros das operações ocorridas Controle de desvios com confrontação das medidas e padrões PLANEJAMENTO EXECUÇÃO CONTROLE PLANEJAMENTO EXECUÇÃO CONTROLE O Auditor de Sistemas é um verificador do trabalho realizado, atuando segundo as ações de VALIDAÇÃO e AVALIAÇÃO. Validação Exprime a ideia de teste. Avaliação Exprime a ideia de julgamento e emissão de opinião. A Carreira de Auditor de Sistemas Perfil do Auditor Conhecimento teórico e prático em SI Visão abrangente da empresa Vestir-se adequadamente Comportamento condizente com quem tem autoridade no assunto Nada de extravagâncias, de gírias Não aceitar presentes Qualificação profissional Organizações certificadoras: ISACA - Certified Information System Auditor (CISA) British Computer Society - Exame da Sociedade Britânica de Informática Institute of Internal Auditors (IIA) Qualificação em Auditoria Computacional Equipe de Auditoria Auditoria interna Colaboradores da empresa Equipe é treinada conforme objetivos de segurança da empresa Metodologia adquirida / desenvolvida Auditoria externa Contratação de empresa de auditoria Condução da auditoria sob demanda Programa de desenvolvimento de carreira do auditor de sistemas 1 Pouca ou nenhuma experiência informática 2 Experiência em informática 1 Pouca ou nenhuma experiência informática Conceitos de TI Fundamentos de arquitetura de sistemas, Input/Output, processamento lógico, unidade de memória principal e auxiliar. Rede de computadores, teleprocessamento, internet, intranet e extranet. Programação de computação, incluindo os conceitos de modelagem (UML). 1 Pouca ou nenhuma experiência informática Controles gerais como operação, aquisição, desenvolvimento, manutenção de sistemas, acesso, hardware e suporte técnico). Estudo de caso que exemplifique cada situação (jogo de negócios) é desejável. 2 Experiência em informática Auditoria de sistemas aplicativos, princípios e práticas de auditoria com ênfase nos controles gerenciais e organizacionais, monitoramento e emissão de relatórios. 2 Experiência em informática Gerenciamento de riscos, privacidade e políticas de segurança da informação. Avaliação dos sistemas online: proc. em tempo real, identificação de programas, verificação das autenticações e autorizações de acessos e registros (contabilização) das transações, correção, detecção e manutenção de diários das operações. 2 Experiência em informática Controles de acesso à bibliotecas de dados e de programas, armazenamento e recuperação de dados relacionais ou Data Warehouse, plano de contingência (de back-up, emergência e recuperação) de desastres. Software de auditoria. Biblioteca Ter uma biblioteca técnica para consulta Informações pertinentes a TI e também sobre auditorias passadas. Conhecimento técnico em relação às novas tecnologias A Auditoria de Sistemas nas Organizações O auditor de sistemas necessita de autonomia para trabalhar e apontar as distorções encontradas. Ele deve ser staff da presidência. Posicionamento do Auditor de Sistemas Presidente Staff (apoio) Diretoria Planejam. Diretoria Financeira Diretoria de Vendas Auditoria de Sistemas Diretoria de TI Abordagens de auditoria de sistemas 1 Abordagem ao redor do computador 2 Abordagem através do computador 3 Abordagem com o computador 1 Abordagem ao redor do computador Uso de rotinas manuais. Muito usada no passado. O auditor analisava os documentos fonte com suas respectivas entradas e saídas. Pouca ou nenhuma atenção é prestada às funções de processamento (não exige muito conhecimento de TI). 1 Abordagem ao redor do computador Pouco envolvimento com os registros gerados pelo computador (era utilizada para tarefas menores (ex: controle de estoque). Custos mais baixos (riscos mais altos). 2 Abordagem através do computador Capacita o auditor a verificar com maior frequência as áreas que necessitam de verificação constante. Faz aprovação dos registros armazenados. Simula as transações possíveis, através de ferramentas de auditoria (ex: test data). 3 Abordagem com o computador Maior perfeição possível, fazendo uma compilação dos processos automatizados e manuais. Verificar se os cálculos das transações financeiras como o cálculo das depreciações, taxas e impostos são feitos corretamente. 3 Abordagem com o computador Capacidade de ordenar e selecionar os registros. Exemplo: através de varredura da base de dados, o auditor pode apontar com precisão as informações com prioridade de acesso, isolandoas das informações desnecessárias ou obsoletas. 3 Abordagem com o computador Utilização de Técnicas de Auditoria Assistida por Computador (TAAC) ou CAAT (Computer Assisted Audit Techniques). Desenvolvimento de programas específicos para serem usados pelo auditor quando necessário. Áreas de auditoria Segurança da Informação TI Aplicativos Cada empresa define como classificará sua auditoria. Não há uma regra fixa. Segurança da Informação Controles Avaliação da conformidade com as políticas de segurança. Controles ambientais. Plano de contingência e continuidade de serviços. Segurança da Informação Controles Confidencialidade Controle de acesso (fis/log) Integridade Gravação e atualização autorizadas (“dono”) Disponibilidade Sistema disponível quando necessário Consistência Sistema funciona conforme requisitos Confiabilidade Sistema atuará conforme o esperado TI Conhecimento sobre Mudanças Organizacionais Operações de sistemas ITIL, Cobit Hardware Plataformas cloude computing, ERP, Data warehouse Aplicativos Controle sobre Desenvolvimento de aplicativos Entrada, processamento e saída de dados. Conteúdo e funcionamento do aplicativo. Padrões e Código e Ética (Comitê de Padrões da Associação de Controle de Tecnologia de Informação dos EUA) 1. Responsabilidade, autoridade e prestação de contas 2. Independência profissional 3. Ética profissional e padrões Padrões e Código e Ética 4. Competência 5. Planejamento 6. Emissão do relatório 7. Atividades de follow-up Código de Ética profissional segundo o ISACA Conforme padrões emitidos pelo Information Systems Audit and Control Association (ISACA) Código de Ética profissional segundo o ISACA Apoiar a implementação de padrões 1 sugeridos para procedimentos e controles dos sistemas de informações e encorajar o seu cumprimento. Código de Ética profissional segundo o ISACA Exercer suas funções com objetividade e zelo 2 profissional de acordo com os padrões profissionais e melhores práticas. Código de Ética profissional segundo o ISACA Servir aos interesses dos stakeholders de 3 forma legal e honesta, com alto padrão de conduta e caráter profissional, e não encorajar atos de descrédito à profissão. Código de Ética profissional segundo o ISACA Manter privacidade e confidencialidade das 4 informações obtidas, exceto quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a pessoas desautorizadas. Código de Ética profissional segundo o ISACA Manter competência na sua especialidade e 5 assegurar que somente atua nas atividades em que tem razoável habilidade. Código de Ética profissional segundo o ISACA 6 Informar os stakeholders sobre os resultados de seus trabalhos, expondo os fatos significativos. Código de Ética profissional segundo o ISACA Apoiar a conscientização profissional dos 7 stakeholders para auxiliar sua compreensão dos sistemas de informação, segurança e controle. Auditoria de Sistemas Aula 1 Luiz Roberto Bastos Exercícios 1 Os objetivos da Segurança da Informação são: (a) Confiabilidade, maturidade, integridade, controle de erros de programas, disponibilidade (b) Maturidade, controle de defeitos reportados, tempo de execução de um sistema, integridade e consistência (c) Confidencialidade, integridade, disponibilidade, consistência, confiabilidade 44 (d) Consistência, maturidade, confiabilidade, eficácia e disponibilidade Exercícios 2 Os três tipos de abordagem de auditoria de sistema: (a) Computador e auditor; computador e analista; computador e usuário. (b) Computador e auditor; computador e analista; auditor e CIO. (c) Ao redor do computador; através do computador; com o computador. computador; nunca com o computador. 45 (d) Ao redor do computador; sempre com o Exercícios 3 Cabe ao auditor: (a) Verificar se os controles internos foram implementados (b) Verificar se os controles internos foram implementados e corrigir as eventuais discrepâncias (c) Ensinar para o analista de sistemas a melhor maneira de programar 46 (d) Verificar se os controles internos foram implementados e, se existirem, se são efetivos Exercícios 4 Escolha a melhor opção: 47 (a) A auditoria de Sistemas deve ser subordinada ao Departamento de TI. (b) A auditoria externa é mais precisa que a auditoria interna porque seus controles são definidos pela empresa que a contrata. (c) Uma empresa com área de auditoria interna deve possuir uma metodologia de auditoria. (d) O auditor de sistemas só deve arquivar evidências das fraquezas encontradas no trabalho de campo. Exercícios 5 1. Exprime a ideia de TESTE 2. Exprime a ideia de julgamento e emissão de opinião: Estamos falando respectivamente de quê? (a) Auditor e CIO (b) Analista de teste e avaliação (c) Validação e avaliação 48 (d) Validação e correção Exercícios 6 Informações que exprimem uma expectativa de comportamento futuro. Estamos falando de quê? (a) Execução (b) Controle (c) Planejamento 49 (d) Ação Exercícios 7 Comparação entre o trabalho realizado versus o trabalho que foi planejado. Estamos falando de quê? (a) Execução (b) Planejamento (c) Controle 50 (d) Ação Exercícios 8 Certo [ C ] ou Errado [ E ] ? 51 [ C ] O auditor de sistemas deve ter conhecimento teórico e prático em SI. [ E ] O auditor de sistemas deve conhecer tudo da empresa que está auditando. [ E ] O auditor com mais de 10 anos de experiência não necessita de treinamento. [ C ] No relacionamento organizacional a função de auditor de TI deve ser suficientemente independente dá área sob auditoria para permitir uma conclusão objetiva da auditoria. Exercícios 9 Em se tratando da área de Auditoria de Sistemas, o ideal é que ela esteja subordinada a: (a) Diretoria de Informática (b) Diretoria de Vendas (c) Presidência 52 (d) Diretoria Administrativa