Auditoria de
Sistemas
Aula 1
Luiz Roberto Bastos
Auditoria de Sistemas:
Abordagem Inicial
 O que é Auditoria de Sistemas
 A Carreira do Auditor de Sistemas
 A Auditoria de Sistemas nas Organizações
 Padrões e Código de Ética segundo o ISACA
(Information Systems Audit and Control Association)
O Que é Auditoria de Sistemas
Engloba o exame de:
Operações
Processos
Sistemas
Respons.
gerenciais
VERIFICAR
1
a conformidade com os objetivos, políticas,
orçamentos, regras, normas e padrões.
2
a segurança da informação,
recursos, serviços e acesso.
Funções Administrativas
PLANEJAMENTO
EXECUÇÃO
CONTROLE
Padrões que
exprimem
expectativa de
comportamento
futuro
Medidas
relacionadas
aos registros
das
operações
ocorridas
Controle de
desvios com
confrontação
das medidas
e padrões
PLANEJAMENTO
EXECUÇÃO
CONTROLE
PLANEJAMENTO
EXECUÇÃO
CONTROLE
O Auditor de Sistemas é um verificador do
trabalho realizado, atuando segundo as ações de
VALIDAÇÃO e AVALIAÇÃO.
Validação
Exprime a ideia de teste.
Avaliação
Exprime a ideia de julgamento e
emissão de opinião.
A Carreira de Auditor de Sistemas
Perfil do Auditor
 Conhecimento teórico e prático em SI
 Visão abrangente da empresa
 Vestir-se adequadamente
 Comportamento condizente com
quem tem autoridade no assunto
 Nada de extravagâncias, de gírias
 Não aceitar presentes
Qualificação profissional
Organizações certificadoras:
 ISACA - Certified Information System
Auditor (CISA)
 British Computer Society - Exame da
Sociedade Britânica de Informática
 Institute of Internal Auditors (IIA) Qualificação em Auditoria Computacional
Equipe de Auditoria
Auditoria interna
Colaboradores da empresa
Equipe é treinada conforme objetivos de
segurança da empresa
Metodologia adquirida / desenvolvida
Auditoria externa
Contratação de empresa de auditoria
Condução da auditoria sob demanda
Programa de desenvolvimento de carreira do
auditor de sistemas
1 Pouca ou nenhuma experiência informática
2
Experiência em informática
1 Pouca ou nenhuma experiência informática
 Conceitos de TI
 Fundamentos de arquitetura de sistemas,
Input/Output, processamento lógico, unidade
de memória principal e auxiliar.
 Rede de computadores, teleprocessamento,
internet, intranet e extranet.
 Programação de computação, incluindo os
conceitos de modelagem (UML).
1 Pouca ou nenhuma experiência informática
 Controles gerais como operação, aquisição,
desenvolvimento, manutenção de sistemas,
acesso, hardware e suporte técnico).
 Estudo de caso que exemplifique cada
situação (jogo de negócios) é desejável.
2
Experiência em informática
Auditoria de sistemas aplicativos, princípios e
práticas de auditoria com ênfase nos controles
gerenciais e organizacionais, monitoramento e
emissão de relatórios.
2
Experiência em informática
Gerenciamento de riscos, privacidade e políticas
de segurança da informação.
Avaliação dos sistemas online: proc. em tempo
real, identificação de programas, verificação das
autenticações e autorizações de acessos e
registros (contabilização) das transações,
correção, detecção e manutenção de diários
das operações.
2
Experiência em informática
Controles de acesso à bibliotecas de dados e de
programas, armazenamento e recuperação de
dados relacionais ou Data Warehouse, plano de
contingência (de back-up, emergência e
recuperação) de desastres.
Software de auditoria.
Biblioteca
Ter uma biblioteca técnica para consulta
Informações pertinentes a TI e também
sobre auditorias passadas.
 Conhecimento técnico em relação às
novas tecnologias
A Auditoria de Sistemas nas
Organizações
O auditor de sistemas necessita de autonomia para
trabalhar e apontar as distorções encontradas.
Ele deve ser staff da presidência.
Posicionamento do Auditor de Sistemas
Presidente
Staff (apoio)
Diretoria
Planejam.
Diretoria
Financeira
Diretoria
de Vendas
Auditoria de
Sistemas
Diretoria
de TI
Abordagens de auditoria de sistemas
1
Abordagem ao redor do computador
2
Abordagem através do computador
3
Abordagem com o computador
1
Abordagem ao redor do computador
 Uso de rotinas manuais.
 Muito usada no passado.
 O auditor analisava os documentos fonte com
suas respectivas entradas e saídas.
 Pouca ou nenhuma atenção é prestada às
funções de processamento (não exige muito
conhecimento de TI).
1
Abordagem ao redor do computador
Pouco envolvimento com os registros gerados
pelo computador (era utilizada para tarefas
menores (ex: controle de estoque).
 Custos mais baixos (riscos mais altos).
2
Abordagem através do computador
 Capacita o auditor a verificar com maior
frequência as áreas que necessitam de
verificação constante.
 Faz aprovação dos registros armazenados.
 Simula as transações possíveis, através de
ferramentas de auditoria (ex: test data).
3
Abordagem com o computador
 Maior perfeição possível, fazendo uma compilação
dos processos automatizados e manuais.
 Verificar se os cálculos das transações financeiras
como o cálculo das depreciações, taxas e impostos
são feitos corretamente.
3
Abordagem com o computador
Capacidade de ordenar e selecionar os registros.
Exemplo: através de varredura da base de dados,
o auditor pode apontar com precisão as
informações com prioridade de acesso, isolandoas das informações desnecessárias ou
obsoletas.
3
Abordagem com o computador
 Utilização de Técnicas de Auditoria Assistida
por Computador (TAAC) ou CAAT (Computer
Assisted Audit Techniques).
 Desenvolvimento de programas específicos
para serem usados pelo auditor quando
necessário.
Áreas de auditoria
Segurança
da Informação
TI
Aplicativos
Cada empresa define como classificará sua
auditoria. Não há uma regra fixa.
Segurança
da Informação
Controles
 Avaliação da conformidade com as políticas de
segurança.
 Controles ambientais.
 Plano de contingência e continuidade de serviços.
Segurança
da Informação
Controles
 Confidencialidade
Controle de acesso (fis/log)
 Integridade
Gravação e atualização
autorizadas (“dono”)
 Disponibilidade
Sistema disponível quando
necessário
 Consistência
Sistema funciona conforme
requisitos
 Confiabilidade
Sistema atuará conforme o
esperado
TI
Conhecimento
sobre
 Mudanças Organizacionais
 Operações de sistemas
 ITIL, Cobit
 Hardware
 Plataformas cloude computing, ERP,
Data warehouse
Aplicativos
Controle sobre
 Desenvolvimento de aplicativos
 Entrada, processamento e saída de dados.
 Conteúdo e funcionamento do aplicativo.
Padrões e Código e Ética
(Comitê de Padrões da Associação de Controle de
Tecnologia de Informação dos EUA)
1. Responsabilidade, autoridade e prestação
de contas
2. Independência profissional
3. Ética profissional e padrões
Padrões e Código e Ética
4. Competência
5. Planejamento
6. Emissão do relatório
7. Atividades de follow-up
Código de Ética profissional
segundo o ISACA
Conforme padrões emitidos pelo
Information Systems Audit and
Control Association (ISACA)
Código de Ética profissional
segundo o ISACA
Apoiar a implementação de padrões
1
sugeridos para procedimentos e controles
dos sistemas de informações e encorajar o
seu cumprimento.
Código de Ética profissional
segundo o ISACA
Exercer suas funções com objetividade e zelo
2
profissional de acordo com os padrões
profissionais e melhores práticas.
Código de Ética profissional
segundo o ISACA
Servir aos interesses dos stakeholders de
3
forma legal e honesta, com alto padrão de
conduta e caráter profissional, e não
encorajar atos de descrédito à profissão.
Código de Ética profissional
segundo o ISACA
Manter privacidade e confidencialidade das
4
informações obtidas, exceto quando exigido
legalmente. Tais informações não devem ser
utilizadas em vantagem própria ou entregues
a pessoas desautorizadas.
Código de Ética profissional
segundo o ISACA
Manter competência na sua especialidade e
5
assegurar que somente atua nas atividades
em que tem razoável habilidade.
Código de Ética profissional
segundo o ISACA
6
Informar os stakeholders sobre os resultados
de seus trabalhos, expondo os fatos
significativos.
Código de Ética profissional
segundo o ISACA
Apoiar a conscientização profissional dos
7
stakeholders para auxiliar sua compreensão
dos sistemas de informação, segurança e
controle.
Auditoria de
Sistemas
Aula 1
Luiz Roberto Bastos
Exercícios
1
Os objetivos da Segurança da Informação são:
(a) Confiabilidade, maturidade, integridade, controle de
erros de programas, disponibilidade
(b) Maturidade, controle de defeitos reportados, tempo
de execução de um sistema, integridade e
consistência
(c) Confidencialidade, integridade, disponibilidade,
consistência, confiabilidade
44
(d) Consistência, maturidade, confiabilidade, eficácia e
disponibilidade
Exercícios
2
Os três tipos de abordagem de auditoria de sistema:
(a) Computador e auditor; computador e analista;
computador e usuário.
(b) Computador e auditor; computador e analista;
auditor e CIO.
(c) Ao redor do computador; através do computador;
com o computador.
computador; nunca com o computador.
45
(d) Ao redor do computador; sempre com o
Exercícios
3
Cabe ao auditor:
(a) Verificar se os controles internos foram
implementados
(b) Verificar se os controles internos foram
implementados e corrigir as eventuais
discrepâncias
(c) Ensinar para o analista de sistemas a melhor
maneira de programar
46
(d) Verificar se os controles internos foram
implementados e, se existirem, se são efetivos
Exercícios
4
Escolha a melhor opção:
47
(a) A auditoria de Sistemas deve ser subordinada ao
Departamento de TI.
(b) A auditoria externa é mais precisa que a auditoria
interna porque seus controles são definidos pela
empresa que a contrata.
(c) Uma empresa com área de auditoria interna deve
possuir uma metodologia de auditoria.
(d) O auditor de sistemas só deve arquivar evidências
das fraquezas encontradas no trabalho de campo.
Exercícios
5
1. Exprime a ideia de TESTE
2. Exprime a ideia de julgamento e emissão de
opinião:
Estamos falando respectivamente de quê?
(a) Auditor e CIO
(b) Analista de teste e avaliação
(c) Validação e avaliação
48
(d) Validação e correção
Exercícios
6
Informações que exprimem uma expectativa de
comportamento futuro.
Estamos falando de quê?
(a) Execução
(b) Controle
(c) Planejamento
49
(d) Ação
Exercícios
7
Comparação entre o trabalho realizado versus o
trabalho que foi planejado.
Estamos falando de quê?
(a) Execução
(b) Planejamento
(c) Controle
50
(d) Ação
Exercícios
8
Certo [ C ] ou Errado [ E ] ?
51
[ C ] O auditor de sistemas deve ter conhecimento
teórico e prático em SI.
[ E ] O auditor de sistemas deve conhecer tudo da
empresa que está auditando.
[ E ] O auditor com mais de 10 anos de experiência
não necessita de treinamento.
[ C ] No relacionamento organizacional a função de
auditor de TI deve ser suficientemente
independente dá área sob auditoria para permitir
uma conclusão objetiva da auditoria.
Exercícios
9
Em se tratando da área de Auditoria de Sistemas, o
ideal é que ela esteja subordinada a:
(a) Diretoria de Informática
(b) Diretoria de Vendas
(c) Presidência
52
(d) Diretoria Administrativa
Download

Auditor de Sistemas