Baixe o app para aproveitar ainda mais
Prévia do material em texto
GTI / ADS / SI – ANDRE MOURA Rio de Janeiro, 09 de Agosto de 2011 AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL ❑ O que é Auditoria de Sistemas ❑ A Carreira do Auditor de Sistemas ❑ A Auditoria de Sistemas nas Organizações ❑ Padrões e Código de Ética para Auditoria de Sistemas ❑ Código de Ética profissional segundo o ISACA 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL ❑ O que é Auditoria de Sistemas ❑ A Carreira do Auditor de Sistemas ❑ A Auditoria de Sistemas nas Organizações ❑ Padrões e Código de Ética para Auditoria de Sistemas ❑ Código de Ética profissional segundo o ISACA 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 O QUE É AUDITORIA DE SISTEMAS 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 AUDITORIA DE SISTEMAS Processos Sistemas Respons. gerenciais VERIFICAR a segurança da informação, recursos, serviços e acesso2 a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões1 Operações Engloba o exame de: O QUE É AUDITORIA DE SISTEMAS 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 PLANEJAMENTO EXECUÇÃO CONTROLE Funções administrativas, segundo GIL (1989) Determinação de padrões com informações que exprimem uma expectativa de comportamento futuro Caracterização de medidas com informações relacionadas aos registros das operações ocorridas Acompanha- mento de desvios através da confrontação das medidas com os padrões O QUE É AUDITORIA DE SISTEMAS 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 O QUE É AUDITORIA DE SISTEMAS 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 O QUE É AUDITORIA DE SISTEMAS 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 O QUE É AUDITORIA DE SISTEMAS 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 PLANEJAMENTO EXECUÇÃO CONTROLE O Auditor de Sistemas atua como um verificador do trabalho realizado, atuando segundo as ações de VALIDAÇÃO e AVALIAÇÃO do ciclo administrativo. O QUE É AUDITORIA DE SISTEMAS 1 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 PLANEJAMENTO EXECUÇÃO CONTROLE O Auditor de Sistemas atua como um verificador do trabalho realizado, atuando segundo as ações de VALIDAÇÃO e AVALIAÇÃO do ciclo administrativo. VALIDAÇÃO Exprime a ideia de teste AVALIAÇÃO Exprime a ideia de julgamento e emissão de opinião. AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL ❑ O que é Auditoria de Sistemas ❑ A Carreira do Auditor de Sistemas ❑ A Auditoria de Sistemas nas Organizações ❑ Padrões e Código de Ética para Auditoria de Sistemas ❑ Código de Ética profissional segundo o ISACA 1 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 A Carreira de Auditor de Sistemas 1 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Perfil do Auditor ▪ Conhecimento teórico e prático em SI ▪ Visão abrangente da empresa ▪ Vestir-se adequadamente ▪ Comportamento condizente com quem tem autoridade no assunto ▪ Nada de extravagâncias ▪ Nada de gírias ▪ Não aceitar presentes A Carreira de Auditor de Sistemas 1 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Qualificação profissional Algumas organizações certificadoras: ▪ ISACA - Certified Information Systems Auditor (CISA) ▪ British Computer Society - Exame da Sociedade Britânica de Informática ▪ Institute of Internal Auditors (IIA) - Qualificação em Auditoria Computacional A Carreira de Auditor de Sistemas 1 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Equipe de auditoria Auditoria interna ✓Colaboradores da empresa ✓Equipe é treinada conforme objetivos de segurança da empresa ✓Metodologia adquirida / desenvolvida Auditoria externa ✓Contratação de empresa de auditoria ✓Condução da auditoria sob demanda ✓Cuidado para não perder o controle A Carreira de Auditor de Sistemas 1 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática2 Pouca ou nenhuma experiência informática1 A Carreira de Auditor de Sistemas 1 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Pouca ou nenhuma experiência informática1 ▪ Conceitos de tecnologia da informação ▪Fundamentos de arquitetura de sistemas, Input/Output, processamento lógico, unidade de memória principal e auxiliar, visando auditoria ▪Rede de computadores, teleprocessamentos, internet, intranet e extranet, com configurações pertinentes ▪Programação de computação, incluindo os conceitos de flowchart e Diagrama de Fluxo de Dados A Carreira de Auditor de Sistemas 1 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Pouca ou nenhuma experiência informática1 ▪Tabelas de decisão e sua aplicação nas principais linguagens de programação ▪ Introdução aos controles gerais de computadores (operação, aquisição, desenvolvimento e manutenção de sistemas, controles de acesso, hardware, controles organizacionais e suporte técnico) ▪Estudo de caso que exemplifique cada situação (jogo de negócios) é desejável A Carreira de Auditor de Sistemas 1 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática2 ▪Revisão dos controles gerais (operações, aquisição, desenvolvimento e manutenção, controles de acesso, hardware, controles organizacionais e suporte técnico) ▪Auditoria de sistemas aplicativos, princípios e práticas de auditoria com ênfase nos controles gerenciais e organizacionais, monitoramento e emissão de relatórios A Carreira de Auditor de Sistemas 1 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática2 ▪Gerenciamento de riscos, privacidade, desenvolvimento e implementação de políticas e estratégias de seg. inf. ▪Avaliação dos sistemas online com relação ao proc. em tempo real, controles de recall e identificação de programas, verificação das autenticações e autorizações de acessos e registros (contabilização) das transações. Também inclui correção, detecção e manutenção de diários (journaling) das operações A Carreira de Auditor de Sistemas 2 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática2 ▪Transmissão de dados, proteção de informações, segurança associada ao uso dos sistemas, teleprocessamentos, redes internet, intranet e extranet ▪Controles de operações, processamento interativo em atividades de negócios e e-commerce ▪ Iniciação de trilha de auditoria em ambiente de TI e propriedade intelectual, abordagens aos métodos existentes e supervisões necessárias A Carreira de Auditor de Sistemas 2 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática2 ▪Controles de acesso à biblioteca de dados ou programas, armazenamento e recuperação dos mesmos a partir de bases hierárquicas, relacionais ou Data Warehouse, plano de contingência (de back-up, emergência e recuperação) de desastres ▪Sw de auditoria; distinguindo-se os sws generalistas dos específicos, como apoio dos especialistas em TI para desenvolver sws que atentem metodologias próprias. A Carreira de Auditor de Sistemas 2 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Biblioteca técnica ▪Ter uma biblioteca técnica para consulta ▪ Informações pertinentes ao processamento de dados etambém sobre auditorias prévias Facilitadores para orientação dos trabalhos dos auditores de acordo com padrões conhecidos na empresa e a manutenção do conhecimento técnico em relação às novas tecnologias AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL ❑ O que é Auditoria de Sistemas ❑ A Carreira do Auditor de Sistemas ❑ A Auditoria de Sistemas nas Organizações ❑ Padrões e Código de Ética para Auditoria de Sistemas ❑ Código de Ética profissional segundo o ISACA 2 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES 2 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar as distorções encontradas, seu posicionamento no organograma da empresa deve ser logo abaixo da direção executiva da empresa. A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES 2 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 2 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem através do computador2 Abordagem ao redor do computador1 Abordagem com o computador3 2 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem ao redor do computador1 ▪ Muito usada no passado ▪ O auditor analisava os documentos fonte com suas respectivas entradas e saídas (legíveis por leigos em informática) ▪ Pouca ou nenhuma atenção é prestada às funções de processamento (Não exige muito conhecimento de TI) ▪ Utilização de rotinas manuais 2 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem ao redor do computador1 ▪Pouco envolvimento com os registros gerados pelo computador (informática era utilizada para tarefas menores, tais como controle de estoque) ▪ Custos mais baixos (riscos mais altos) 2 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem através do computador2 ▪ Capacita o auditor a verificar com maior freqüência as áreas que necessitam de verificação constante ▪ Faz aprovação dos registros armazenados ▪ Simula todas as transações possíveis, através do uso do test data (ferramenta para auditoria) 3 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem através do computador2 ▪ Esta abordagem não deixa evidências documentais através dos controles dos programas (o auditor precisa acompanhar o processamento através e dentro do computador) ▪ Uma realização incorreta pode potencializar risco 3 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador3 ▪Possibilita a maior perfeição possível, fazendo uma compilação dos processos automatizados e manuais ▪Utilização das capacidades lógicas e aritméticas do computador para verificar se os cálculos das transações econômicas e financeiras ou aqueles que dizem respeito às responsabilidades, como por exemplo, o cálculo das depreciações, taxas e impostos são feitos corretamente 3 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador3 ▪Utilização da capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de contas a receber, estoques imobilizados, fornecedores, etc. 3 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador3 ▪ Utilização da capacidade de edição e classificação do sistema computadorizado, a fim de ordenar e selecionar os registros de interesse. Por exemplo: através de varredura da base de dados do sistema de estoque, um auditor pode ser capaz de apontar com precisão os itens de movimento mais vagaroso, obsoletos e isolá- los dos itens de movimento rápido, para facilitar análise mais complexa e substantiva 3 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador3 ▪ Utilização das capacidades matemáticas do computador para analisar e fornecer listas de amostras de auditoria. Pode também incluir a confirmação dos resultados de auditoria executada manualmente, como cálculos globais 3 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador3 ▪Utilização de Técnicas de Auditoria Assistida por Computador (TAAC) ou CAAT (Computer Assisted Audit Techniques) ▪ Desenvolvimento de programas específicos para serem usados pelo auditor quando tiverem necessidade de evidenciar uma opinião sobre algum processo Facilidades do uso desta abordagem 3 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador3 ▪ Ganhar tempo sobre os passos aplicados com o uso de pacotes generalizado de auditoria de tecnologia de informação Facilidades do uso desta abordagem 3 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abrangência da auditoria de TI A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Ambiente de informática como um todo Organização do departamento de informática Controles Segurança da informação, recursos, serviços e acesso, procedimentos de contingência e operação Aspectos administrativos da organização, tais como políticas, padrões e procedimentos, responsabilidades organizacionais, gerencia de pessoal e planejamento de capacidade Banco de dados, redes de comunicação para alta (mainframe) ou baixa plataforma (micro-computadores) e controles sobre os aplicativos. 3 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Auditoria de Segurança da Informação Auditoria de Aplicativos Auditoria de Tecnologia da Informação Cada empresa define como classificará sua auditoria. Não há uma regra fixa. 3 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Auditoria de Segurança da Informação ✓ Avaliação da conformidade com as políticas de segurança ✓ Controles de acesso sobre confidencialidade, integridade, disponibilidade, consistência e confiabilidade ✓ Controles ambientais ✓ Plano de contingência e continuidade de serviços 4 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Auditoria de Segurança da Informação ▪ Confidencialidade Controle de acesso (físico e lógico) ▪ Integridade Gravação e atualização autorizadas (“dono”) ▪ Disponibilidade Sistema disponível quando necessário ▪ Consistência Sistema funciona conforme requisitos ▪ Confiabilidade Sistema atuará conforme o esperado 4 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES ✓ Organizacionais ✓ De mudanças ✓ De operações de sistemas ✓ Sobre banco de dados ✓ Sobre computadores (alta e/ou baixa plataforma) ✓ Sobre ambientes cliente-servidor Auditoria de Tecnologia da Informação 4 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES ✓Controles sobre o desenvolvimento de sistemas aplicativos ✓ Controle de entrada, processamento e saída de dados ✓ Controles sobre conteúdo e funcionamento do aplicativo em relação à área por ele atendida Auditoria de Aplicativos AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL ❑ O que é Auditoria de Sistemas ❑ A Carreira de Auditor de Sistemas ❑ A Auditoria de Sistemas nas Organizações ❑ Padrões e Código de Ética para Auditoria de Sistemas ❑ Código de Ética profissional segundo o ISACA 4 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 4 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Padrões e Código e Ética para Auditoria de Sistemas de Informação Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de Tecnologia de Informação dos Estados Unidos 4 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Padrões e Código e Ética para Auditoria de Sistemas de Informação 1. Responsabilidade, autoridade e prestação de contas 2. Independência profissional 3. Ética profissional e padrões 4 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Padrões e Código e Ética para Auditoria de Sistemas de Informação 4. Competência 5. Planejamento 6. Emissão do relatório 7. Atividades de follow-up AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL ❑ O que é Auditoria de Sistemas ❑ A Carreira de Auditor de Sistemas ❑ A Auditoria de Sistemas nas Organizações ❑ Padrões e Código de Ética para Auditoria de Sistemas ❑ Código de Ética profissional segundo o ISACA 4 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 4 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Conforme padrões emitidos pelo Information Systems Audit and Control Association (ISACA) 4 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informações e encorajar o seu cumprimento. 1 5 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Exercer suas funções com objetividade, diligência e zelo profissional de acordo com os padrões profissionais e melhores praticas. 2 5 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Servir aos interesses dos stakeholders (toda e qualquer pessoa que esteja de uma forma ou de outra ligada ao objeto da auditoria) de forma legal e honesta, atentando para a manutenção de alto padrão de conduta e caráter profissional, e não encorajar atos de descrédito à profissão. 3 5 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Manter privacidade e confidencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a pessoas desautorizadas. 4 5 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Manter competência nas respectivas especialidades e assegurar que nos seus exercícios somente atua nas atividades em que tem razoável habilidade para competir profissionalmente. 5 5 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Informar as partes envolvidas sobre os resultados de seus trabalhos, expondo todos os fatos significativos que estiverem ao seu alcance. 6 5 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Apoiar a conscientização profissional dos stakeholders para auxiliar sua compreensão dos sistemas de informação, segurança e controle. 7 GTI / ADS / SI – ANDRE MOURA Rio de Janeiro, 09 de Agosto de 2011 F I M AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL GTI / ADS / SI – ANDRE MOURA PLANOS DE CONTINGÊNCIA – GERENCIAR MUDANÇAS OU SURPRESAS? PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS? ❑ O que é Plano de Contingência ❑ Risco, ameaça e outros conceitos ❑ Componentes de um Plano de Contingência (PC) 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS? ❑ O que é Plano de Contingência ❑ Risco, ameaça e outros conceitos ❑ Componentes de um Plano de Contingência (PC) 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 O QUE É PLANO DE CONTINGÊNCIA E agora? 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 O QUE É PLANO DE CONTINGÊNCIA E agora? 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 O QUE É PLANO DE CONTINGÊNCIA 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 E agora? O QUE É PLANO DE CONTINGÊNCIA 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 Suponha que a empresa hipotética www.infvendasonline.com.br ▪ venda exclusivamente pela internet ▪ fature R$ 30.000.000,00 mensais ▪ tenha ficado “fora do ar” (site indisponível) durante 24h E agora? PREJUÍZO DE R$ 1.000.000,00 http://www.infvendasonline.com.br/ 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 O QUE É PLANO DE CONTINGÊNCIA Contingência Que pode ser ou não ser; que pode ocorrer ou não ocorrer Uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço Plano de Contingência O QUE É PLANO DE CONTINGÊNCIA Um plano de contingência é necessário para: Normalmente as catástrofes tem baixa freqüência de ocorrência, altos riscos de incerteza mas, se ocorrem, suas conseqüências podem ser devastadoras. 1 2 3 4 Reduzir a possibilidade de danos Aperfeiçoar a habilidade em sobreviver à descontinuidade de rotinas Reduzir a descontinuidade de rotinas Reduzir custos de recuperação 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 O QUE É PLANO DE CONTINGÊNCIA Responsáveis pela continuidade da operação de suas áreas ENVOLVIMENTO DAS ÁREAS DE NEGÓCIO 1 2 3 4 Desenvolvem seus planos, para todas as funções e níveis Cada área deve incluir os planos das áreas interdependentes Coordenação das atividades 1 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS? ❑ O que é Plano de Contingência ❑ Risco, ameaça e outros conceitos ❑ Componentes de um Plano de Contingência (PC) 1 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCO, AMEAÇA E OUTROS CONCEITOS 1 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 AMEAÇA RECURSO VULNERA- BILIDADE ATAQUE IMPACTO RISCO PROBABI- LIDADE 1 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 AMEAÇA Evento ou atitude indesejável (roubo, incêndio, vírus, ...) que potencialmente remove, desabilita, danifica ou destrói um recurso. 1 2 Acidental (falhas de hardware) Deliberada Passiva: não altera a informação Ativa: altera a informação RISCO, AMEAÇA E OUTROS CONCEITOS 1 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RECURSO Componente de um sistema computacional, podendo ser físico, software, hardware, informação e também humano. RISCO, AMEAÇA E OUTROS CONCEITOS RISCOS, AMEAÇAS E OUTROS CONCEITOS 1 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 VULNERA- BILIDADE Fraqueza ou deficiência que pode ser explorada por uma ameaça. Está associada à probabilidade de ocorrência da ameaça. 1 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 ATAQUE Ameaça concretizada. RISCO, AMEAÇA E OUTROS CONCEITOS 1 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 PROBABI- LIDADE Chance de umaameaça atacar com sucesso o sistema computacional. RISCO, AMEAÇA E OUTROS CONCEITOS 1 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 IMPACTO É o resultado da concretização de uma ameaça. 1 2 Direto: Envolve perdas financeiras Indireto: Não envolve (diretamente) perdas financeiras RISCO, AMEAÇA E OUTROS CONCEITOS 1 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCO Medida da exposição a qual o sistema está sujeito. AMEAÇA VULNERA- BILIDADE IMPACTO RISCO, AMEAÇA E OUTROS CONCEITOS 2 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 >> > >< sujeitos permitem perdas causam protegem limitados Ativos RISCO Vulnerabilidades AmeaçasImpactos Medidas de segurança Confidencialidade Integridade Disponibilidade Fonte: adaptação RISCOS, AMEAÇAS E OUTROS CONCEITOS A elaboração, implementação e teste de um plano de contingência não é um trabalho barato. Muitas vezes temos que desenvolver programas ou processos específicos para atender a uma situação de emergência. Por esta razão, não fazemos o plano de contingência da totalidade das funções do objeto do plano de contingência. 2 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS RISCOS, AMEAÇAS E OUTROS CONCEITOS Partes críticas PLANO DE CONTINGÊNCIA 2 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 2 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS PLANO DE CONTINGÊNCIA SISTEMA Identificar funções críticas ÁREA DE TI Identificar sistemas críticos DEPARTAMENTO Identificar áreas críticas 2 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS PLANO DE CONTINGÊNCIA ANALISANDO IMPACTO E CALCULANDO RISCOS Riscos envolvidos Prioridade Escore probabilidade X impacto) Brainstorming Escolha 2 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS ESCALA CLASSIFICAÇÃO DO IMPACTO 0 Impacto irrelevante 1 Efeito pouco significativo, sem afetar a maioria dos processos de negócio da empresa 2 Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras 3 Perdas financeiras de maior vulto e perda de clientes para a concorrência 4 Efeitos desastrosos, porém sem comprometer a sobrevivência da empresa 5 Efeitos desastrosos, comprometendo a sobrevivência da empresa 2 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS ESCALA CLASSIFICAÇÃO DA PROBABILIDADE 0 Ameaça completamente improvável de ocorrer 1 Probabilidade de a ameaça ocorrer menos de uma vez por ano 2 Probabilidade de a ameaça ocorrer pelo menos de uma vez por ano 3 Probabilidade de a ameaça ocorrer pelo menos uma vez por mês 4 Probabilidade de a ameaça ocorrer pelo menos uma vez por semana 5 Probabilidade de a ameaça ocorrer diariamente 2 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS MATRIZ DE RISCO (exemplo) AMEAÇAS IMPACTO (0-5) PROBABILI- DADE (0-5) ESCORE DE RISCO Incêndio 5 1 5 Falta de luz 4 3 12 Queda do servidor 3 3 9 Falha de equipamento 2 4 8 Ataque de virus 3 5 15 Greve de transporte 2 1 2 Funcionário passar mal 1 1 1 2 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 RISCOS, AMEAÇAS E OUTROS CONCEITOS ANALISANDO IMPACTO E CALCULANDO RISCOS Ambiente vulnerável Risco calculado Estratégia Eliminar o risco Reduzir o risco a um nível aceitável Limitar o dano, reduzindo o impacto Compensar o dano, por meio de seguros 1 2 3 4 PLANOS DE CONTINGÊNCIA - GERENCIAR MUDANÇAS OU SURPRESAS? ❑ O que é Plano de Contingência ❑ Risco, ameaça e outros conceitos ❑ Componentes de um Plano de Contingência (PC) 2 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 3 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE CONTINGÊNCIA PLANO DE EMERGÊNCIA PLANO DE BACKUP PLANO DE RECUPERAÇÃO 1 2 3 3 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. 3 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 ✓Prever as possibilidades de desastres (naturais ou provocados) ✓Prover meios necessários para detectar antecipadamente e eliminar/frear o dano ✓Prover segurança física: fogo, fumaça,água, intrusos ✓Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco Principais objetivos: 3 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 ✓Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco Principais objetivos: Deve conter o nome de quem as executará (e não a função), bem como o telefone onde estas pessoas podem ser encontradas nas 24 horas do dia. Ações a serem seguidas, como em um checklist, na eventualidade da ocorrência de uma ameaça. ✓Prover respostas de risco (EXEMPLO: INCÊNDIO) 3 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 Principais objetivos: ➢Quem decide que o local deve ser evacuado ➢Quando evacuá-lo ➢Quais os meios de proteção para pessoas e recursos ➢Meios de combater o incêndio (extintor de incêndio diferente para cada caso) ➢Quem chama os bombeiros, quem desliga a eletricidade ➢Acordo recíprocos com terceiros ➢Local alternativo para trabalhar até a recuperação do ambiente de Tecnologia da Informação ✓Prover respostas de risco (EXEMPLO: INCÊNDIO) 3 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE EMERGÊNCIA 1 Principais objetivos: Participação dos integrantes da Comissão Interna de Prevenção de Acidentes (CIPA) O plano de emergência, após testado e aprovado, será utilizado na eventual ocorrência de uma ameaça. O plano de emergência deverá seguir um calendário de teste para que possa se manter atualizado. 3 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 3 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 ➢Backup de arquivos ➢Atualização da biblioteca externa ➢Acordos com terceiros através de acordos de reciprocidade ➢Processamento alternativo através de processamento manual ➢Processamento dos sistemas através de hot site ➢Continuidade dos serviços com a manutenção de múltiplas facilidades de produção em locais distintos Provê: 3 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 ➢Atualização da biblioteca externa Provê: Um lugar afastado do local principal de trabalho onde são guardados todos os recursos que possam ser necessários para a operação do negócio em caso de emergência. 3 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 ➢Acordos com terceiros através de acordos de reciprocidade Provê: São acordos feitos entre duas empresas que possuam o mesmo tipo de equipamento ou área de trabalho equivalente. Quando uma das empresas não puder usar o seu equipamento, usará o do “parceiro”, em turnos de trabalho diferentes. 4 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTESDE UM PC PLANO DE BACKUP 2 ➢Processamento alternativo através de processamento manual Provê: Para que possamos passar de uma situação normal de operação do negócio para um processamento manual podem ser necessárias rotinas especiais bem como o desenho e confecção de formulários (de cadastro, depósitos, etc...), assim como programas especiais para processar tais formulários. 4 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 ➢Processamento dos sistemas através de hot site Provê: São instalações de TI, configuradas pelo cliente, que ficam inoperantes até o momento em que o cliente precisar delas. O cliente paga mensalidades para ter este serviço disponibilizado na hora em que precisar. 4 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 ➢Continuidade dos serviços com a manutenção de múltiplas facilidades de produção em locais distintos Provê: É habitual que tenhamos um nó de uma rede preparado para funcionar como servidor da mesma, em situações especiais. 4 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE BACKUP 2 1. Interrupções que causarão maiores perdas 2. Tempo máximo possível para indisponibilidade 3. Recursos e ambientes alternativos disponíveis 4. Treinamento da equipe 5. Teste do Plano (calendário) 6. Avaliação dos resultados 7. Atualização do Plano 8. Divulgação (parcial sempre que possível) Atenção especial: 4 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE RECUPERAÇÃO 3 São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. 4 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 02 COMPONENTES DE UM PC PLANO DE RECUPERAÇÃO 3 Ambiente Situação Normal Ambiente Situação de Emergência Interrupção Plano de recuperação GTI / ADS / SI – ANDRE MOURA PLANOS DE CONTINGÊNCIA – GERENCIAR MUDANÇAS OU SURPRESAS? F I M GTI – ANDRE MOURA REALIZANDO UMA AUDITORIA REALIZANDO UMA AUDITORIA ❑ O dia a dia da auditoria de sistemas ❑ Fases de uma auditoria de sistemas 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 ❑ O dia a dia da auditoria de sistemas ❑ Fases de uma auditoria de sistemas 3 REALIZANDO UMA AUDITORIA Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Preparar a análise de risco dos projetos/produtos passíveis de auditoria. 4 O DIA A DIA DA AUDITORIA DE SISTEMAS Os fatores ambientais são ponderados a fim de obtermos um escore final para priorização. 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Preparar a análise de risco dos projetos/produtos passíveis de auditoria. 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 O DIA A DIA DA AUDITORIA DE SISTEMAS Os fatores ambientais são ponderados para se obter um escore final para priorização. 1 Fazer revisões analíticas dos projetos/produtos da empresa para verificação do escore de risco. 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 O DIA A DIA DA AUDITORIA DE SISTEMAS Não podemos fazer auditoria de todos os sistemas da empresa. Selecionamos os de maiores riscos e os priorizamos. 2 Familiarizar-se com os produtos/serviços da área/sistema e assuntos correlatos. 7 O DIA A DIA DA AUDITORIA DE SISTEMAS Ter uma compreensão do ambiente e sistemas a serem auditados através de levantamento e documentação. 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Estabelecer a estratégia geral da auditoria do sistema a ser auditado. 8 O DIA A DIA DA AUDITORIA DE SISTEMAS Que ferramentas de auditoria serão usadas? 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Estabelecer os objetivos da auditoria (controles internos e processo) e de produto (negócio). 9 O DIA A DIA DA AUDITORIA DE SISTEMAS O que será verificado? 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Preparar um documento com as principais preocupações da auditoria. 1 0 O DIA A DIA DA AUDITORIA DE SISTEMAS Itens que mais preocupam. 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Fazer uma avaliação preliminar dos controles internos. Nesta fase só considerar controles gerais. (O que buscaremos como controles internos, quais controles o sistema possui?) 1 1 O DIA A DIA DA AUDITORIA DE SISTEMAS Exemplo: dígito verificador, senha e segregação 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Finalizar os procedimentos de planejamento. 1 2 O DIA A DIA DA AUDITORIA DE SISTEMAS Tempo estimado da auditoria em campo, quantos e quais auditores irão participar, recursos necessários, data provável da emissão do relatório final. 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Preparar um memorando sobre a intenção da auditoria para o gerente da área de sistemas, seu diretor e diretor da área para a qual o sistema dará suporte. 1 3 O DIA A DIA DA AUDITORIA DE SISTEMAS Este memorando deve ser assinado pelo diretor da Auditoria. 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Realizar reunião inicial com os auditados, sua gerência e diretoria, informando sobre a intenção da auditoria e pedindo que os mesmos colaborem com os auditores, fornecendo-lhes o que for solicitado. 1 4 O DIA A DIA DA AUDITORIA DE SISTEMAS Devem participar os auditores e a gerência maior da Auditoria na empresa. 10 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Elaboração de uma massa de testes. 1 5 O DIA A DIA DA AUDITORIA DE SISTEMAS Definição de escopo do teste, geração dos dados para teste, determinação dos resultados esperados. 11 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Aplicação da massa de testes. 1 6 O DIA A DIA DA AUDITORIA DE SISTEMAS Simulando em laboratório ou no campo, para aprovação da efetividade de processos e resultados. 12 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Análise das simulações empreendidas. 1 7 O DIA A DIA DA AUDITORIA DE SISTEMAS Caso haja alguma discrepância, avisar verbalmente ao auditado e a seguir, através de formulário próprio, emitir opinião quanto ao resultado dos testes ou do ambiente auditado, sugerindo recomendações e solicitando prazo de acerto das falhas encontradas. 13 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Ao término do trabalho de campo (testes), emitir relatório provisório contendo todas as falhas não solucionadas durante a auditoria. 1 8 O DIA A DIA DA AUDITORIA DE SISTEMAS As páginas deste relatório devem ter um carimbo dizendo “RASCUNHO” para que não haja equívoco em relação a ser o relatório final. 14 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Discutir o relatório provisório com os auditados e suas gerências. 1 9 O DIA A DIA DA AUDITORIA DE SISTEMAS Os auditados devem concordar com o conteúdo do relatório, por escrito ou, se discordarem, informar o motivo, também por escrito. 15 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Emitir e distribuir relatório final da auditoria incluindo a nota do relatório. 2 0 O DIA A DIA DA AUDITORIA DE SISTEMAS A “nota” de um relatório contém as falhas encontradas e não acertadas. Estabelecer data para os acertos. 16 Concordar ou não por escrito e, se for o caso, justificar por escrito a discordância. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Fazer follow-up das falhas a serem acertadas. 2 1 O DIA A DIA DA AUDITORIA DE SISTEMAS acompanhar as datas de acerto das falhas informadas pelos auditados. 17 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 ❑ O dia a dia da auditoria de sistemas ❑ Fases de uma auditoria de sistemas 2 2 REALIZANDOUMA AUDITORIA Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 2 3 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento Execução Emissão divulgação relatórios Follow-up Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 2 4 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento 1 Auditoria do data center 2 Auditoria de sistemas, segundo escore de risco Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 2 5 FASES DE UMA AUDITORIA DE SISTEMAS 2 Auditoria de sistemas, segundo escore de risco ITEM PESO NOTA (0-10) TOTAL Custo do sistema 15 Valor diário das transações 15 Volume diário das transações 10 Visibilidade do cliente 10 Impacto 10 Extensão do sistema 5 Capacitação da equipe 5M é to d o d a p o n d e ra ç ã o Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 2 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 FASES DE UMA AUDITORIA DE SISTEMAS 2 Exemplo: escore de risco do sistema A: ITEM PESO NOTA (0-10) TOTAL Custo do sistema 15 5 75 Valor diário das transações 15 10 150 Volume diário das transações 10 9 90 Visibilidade do cliente 10 10 100 Impacto 10 10 100 Extensão do sistema 5 8 40 Capacitação da equipe 5 8 40M é to d o d a p o n d e ra ç ã o 595 2 7 FASES DE UMA AUDITORIA DE SISTEMAS 2 Exemplo: escore de risco do sistema A: ITEM PESO NOTA (0-10) TOTAL M é to d o d a p o n d e ra ç ã o 595 ESCORE DE RISCO PRIORIDADE Até 200 BAIXA 201 a 300 MÉDIA 301 a 500 ALTA 501 e maior MUITO ALTA > 500 INDICADO PARA AUDITORIA Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Exemplos 2 8 FASES DE UMA AUDITORIA DE SISTEMAS RECAPITULANDO O PLANEJAMENTO 1 2 Escolher sistema (s) Obter conhecimento inerente 3 Decidir sobre controles internos, processos e controles de negócio 4 5 2 Auditoria de sistemas, segundo escore de risco Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 2 9 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C01 - Integridade de Dados/Processos/Da dos e Processos ▪ Acuidade dos dados ▪ Completude dos dados ▪ Autorização de dados ▪ Confidencialidade dados ▪ Controles de arquivos/tabelas de dados ▪ Controle de mudança de sistema/programa C02 - Segurança do Sistema ▪Segurança de acesso ao sistema ▪Segurança do banco de dados ▪Encriptação de dados ▪ Assinatura digital ▪ Segurança da rede ▪ Segurança física Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 3 0 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C03 - Legibilidade operacional ▪ Restart/recovery ▪ Backup ▪ Plano de contingência ▪ Treinamento ▪ Documentação ▪ Considerações de desempenho/capacitação C04 - Conformidade ▪ Legal ▪ Políticas empresariais ▪ Padrões e normas empresariais ▪ Decretos e emissões de agencias regulatórias ▪ Contratual ▪ Seguro Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 3 1 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C05 - Guarda de registros (rastreamento) ▪ Trilha gerencial/de evento ▪ Retenção de dados/arquivos ▪ Trilha de auditoria C06 - Guarda de ativos ▪ Custódia Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 3 2 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C07 - Programas de sistemas ▪ Monitoramento de teleprocessamento ▪ Sistemas Operacionais ▪ Utilitários C08 - Organização / Administração ▪ Segregação de funções (para evitar conflito de interesses. Por exemplo, quem testa é alguém diferente de quem codifica um programa) ▪ Organização do projeto Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 3 3 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C09 - Processo de desenvolvimento . . . ▪ Definição do projeto ▪ Analise de requisitos ▪ Controle de projeto ▪ Participação do usuário ▪ Requisição de proposta ▪ Seleção de fornecedores ▪ Desenho do sistema C09 - Processo de desenvolvimento ▪ Programação / código ▪ Teste de unidade e/ou sistema ▪ Conversão ▪ Treinamento ▪ Teste de aceitação ▪ Execução do projeto piloto ou paralelo Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 3 4 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C10 - CPD / Data center ▪ Segurança física ▪ Segurança no geral ▪ Procedimentos bibliotecas ▪ Suprimento sensível ▪ Controle de mudança de sistema/programa ▪ Bibliotecas externas ▪ Hot-sites, instal. externas C11 - Contrato de serviços de sistemas / ordens de serviço C12 - Procedimentos e padrões (se a empresa tiver) Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 3 5 FASES DE UMA AUDITORIA DE SISTEMAS Processos P.nn – Processos . . . ▪ P.01 - Plano do Negócio ▪ P.02 - Aprovação do Projeto ▪ P.03 - Definição / viabilidade ▪ P.04 - Plano de implementação ▪ P.05 - Analise detalhada / desenho do sistema P.nn – Processos ▪ P.06 - Requisição de aprovação ▪ P.07 - Seleção de parcerias/fornecedores ▪ P.08 - Desenho do sistema ▪ P.09 - Plano de teste de desenvolvimento ▪ P.10 - Plano de conversão/instalação (se existem e no padrão da empresa) Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 3 6 FASES DE UMA AUDITORIA DE SISTEMAS P.nn - Processos . . . ▪ P.11 - Plano de teste ▪ P.12 - Programação/teste ▪ P.13 - Teste de aceitação ▪ P.14 - Manual do usuário P.nn - Processos ▪ P.15 - Manual de operação ▪ P.16 - Relatório de aceitação de teste ▪ P.17 - Conversão ▪ P.18 - Aceite do usuário Processos (se existem e no padrão da empresa) Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 3 7 FASES DE UMA AUDITORIA DE SISTEMAS Controles de negócio Exemplo: Cartão de crédito ▪ Cartão clonado ▪ Cartão extraviado ▪ Extrato de pagamento extraviado ▪ Cliente tentar comprar acima de seu limite de crédito (controles específicos para cada projeto) Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 3 8 FASES DE UMA AUDITORIA DE SISTEMAS AUDITORIA PROJETO Cronograma Orçamento Toda auditoria deve ser tratada como projeto Tempo gasto por ponto de controle + relatório Baseado nas atividades identificadas Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Comunicar com recomendação de acerto 3 9 FASES DE UMA AUDITORIA DE SISTEMAS Toda auditoria deve ser tratada como projeto Teste do ponto de controle Ponto de auditoria Fraqueza? Sim Próximo ponto de controle Não Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 0 FASES DE UMA AUDITORIA DE SISTEMAS Tendo terminado o planejamento da auditoria, o auditor deverá informar à área auditada o sistema que foi eleito para auditoria. Planejamento Execução Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 1 FASES DE UMA AUDITORIA DE SISTEMAS Deve ser realizada uma reunião inicial entre a Auditoria e pessoas chaves da área de Sistemas e da área usuária. A Auditoria informará que o sistema foi selecionado. Informará também o que será investigado na auditoria (as preocupações da auditoria, que são traduzidas nos controles internos, processos e controles de negócio), tempo estimado do trabalho e a provável data de emissão do relatório final. A Auditoria pedirá a colaboração das áreas de Sistemas e usuária para que solicitem a seus funcionários que colaborem com os auditores, fornecendo-lhes o que for pedido. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 2 FASES DE UMA AUDITORIA DE SISTEMAS Começa então o trabalho de campo, onde os auditores irão verificar a existência dos controles internos, processos e controles de negócios. Este trabalho deve ser todo documentado, pois será a evidência do trabalho da auditoria. Ao identificar uma fraqueza, informar verbalmente o fato e solicitar acerto formalizandouma data prevista Nunca, sob qualquer hipótese, o auditor dará a solução para acerto da fraqueza. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 3 FASES DE UMA AUDITORIA DE SISTEMAS O auditor emite documento com comunicado de falha, mostrando os riscos que ela poderá trazer ao sistema, negócio e empresa e recomenda acerto da mesma. Solicita, neste documento, que o auditado diga se concorda ou não com a falha encontrada e, em caso afirmativo, que informe a data de acerto prevista. Caso o auditado discorde, ele deverá informar por escrito e justificar sua discordância. O auditor recebe a resposta com a data prevista para acerto da falha e a arquiva (por data de solução da falha) e segue seu trabalho de campo. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 4 FASES DE UMA AUDITORIA DE SISTEMAS Na data prevista de acerto de uma falha o auditor deverá verificar pessoalmente, com evidências, que a mesma foi acertada. Em caso positivo, faz uma anotação que a falha foi consertada. Em caso negativo, emite outra comunicação de falha e segue no procedimento. Ao término do trabalho de campo, quando todos os controles internos, processos e controles de negócios forem verificados, o auditor prepara-se para a emissão do relatório. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 5 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento Execução Emissão divulgação relatórios O relatório de auditoria será emitido baseado no trabalho de campo realizado. A “nota” do relatório será dada conforme as comunicações de falhas emitidas e não resolvidas até o momento de sua emissão. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 6 FASES DE UMA AUDITORIA DE SISTEMAS O rascunho do relatório, sem a “nota”, é discutido com os auditados antes da sua emissão oficial, esclarecendo os pontos abordados e evitando surpresas. Somente após esta reunião é que a Auditoria publica o relatório, endereçado ao diretor da área de Sistemas, com cópia para a direção da área usuária do sistema. Quem assina o relatório de auditoria é o auditor responsável e o diretor da Auditoria, devido a importância que um relatório de auditoria representa. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 7 FASES DE UMA AUDITORIA DE SISTEMAS A apresentação do relatório deve ser impecável, com papel de ótima qualidade, capa e sem erros de Português. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 8 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento Execução Emissão divulgação relatórios Follow-up A Auditoria deve acompanhar a solução das falhas quer durante o trabalho de campo, quer após a emissão do relatório. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 4 9 FASES DE UMA AUDITORIA DE SISTEMAS A verificação do acerto deve ser feita pessoalmente, incluindo testes para verificar se os acertos foram eficientes. Todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou do data center. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 5 0 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento Execução Emissão divulgação relatórios Follow-up Acompanhamento Trabalho de campo (existência dos controles internos, processos e controles de negócio) Relatório emitido (trabalho de campo) Escolher sistema Decidir controles internos, processos e controles de negócio Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 GTI – ANDRE MOURA F I M REALIZANDO UMA AUDITORIA GTI – ANDRE MOURA FERRAMENTAS E ALGUMAS TÉCNICAS DE AUDITORIA FERRAMENTAS E ALGUMAS TÉCNICAS DE AUDITORIA ❑ Ferramentas de auditoria ❑ Algumas técnicas de auditoria 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 FERRAMENTAS DE AUDITORIA 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Auditoria de Sistemas Sistemas em desenvolvimento Sistemas em operação Atenção focada no planejamento dos controles internos, processos e controles de negócios a serem implementados nos sistemas. Verifica a existência dos pontos de controle e processos planejados e executa os respectivos testes. FERRAMENTAS DE AUDITORIA 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 2 3 Softwares generalistas Softwares especializados Softwares utilitários Classificação: Sistemas em operação Verifica a existência dos pontos de controle e processos planejados e executa os respectivos testes. FERRAMENTAS DE AUDITORIA 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas Conjunto de programas em ambiente batch (ambiente batch: processamento off-line do sistema, ou seja, o oposto do processamento real time, quando a base de dados é atualizada na hora em que a transação online é inserida no sistema), que pode processar várias funções de auditoria e simulação paralela no formato desejado. Normalmente são sistemas comprados prontos que carecem de personalização conforme necessidade dos auditores. FERRAMENTAS DE AUDITORIA 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas . . . que pode processar várias funções de auditoria e simulação paralela ... Como funções podemos citar a extração de dados de amostra, testes, geração de dados estatísticos para análise, sumarização, gravação de arquivos auxiliares, detecção de duplicidades, sequencia incorreta, totais inválidos entre outras. FERRAMENTAS DE AUDITORIA 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas Exemplos: ACL (Audit Command language): é um software para extração e análise de dados. www.acl.com FERRAMENTAS DE AUDITORIA 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas Exemplos: . . . IDEA (Interactive Data Extraction & Analysis): software para extração e análise de dados. www.caseware.com/products/idea FERRAMENTAS DE AUDITORIA 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas Exemplos: . . . Audimation: é a versão norte-americana do IDEA, da Caseware-IDEA, fornecendo consultoria e suporte. www.audimation.com/index.cfm FERRAMENTAS DE AUDITORIA 1 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas Exemplos: . . . Galileo: é um software integrado de gestão de auditoria. Inclui gestão de risco de auditoria, documentação e emissão de relatórios para auditoria interna. Pentana: software de planejamento estratégico de auditoria, sistema de planejamento e monitoramento de recursos, controle de horas registro de checklists e programas de auditoria. FERRAMENTAS DE AUDITORIA 1 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas Exemplos: . . . SE Audit (Gestão de Auditorias): software que realiza o gerenciamento de todas as etapas do processo de auditoria, desde o planejamento e aprovação, até o monitoramento, seja ela interna de fornecedores , e/ ou de organismos certificadores. www.softexpert.com.br FERRAMENTAS DE AUDITORIA 1 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas Exemplos: . . . Snort: Ferramenta NIDS (Network Intrusion Detection System), "open-source" bastante popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão. www.snort.org FERRAMENTAS DE AUDITORIA 1 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas Exemplos: . . . Nessus: Ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma varredura de portas, detectando servidores ativose simulando invasões para detectar vulnerabilidades. http://www.nessus.org/products/nessus FERRAMENTAS DE AUDITORIA 1 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas Exemplos: . . . Nmap (Network Mapper): Ferramenta de código aberto para exploração de rede e auditoria de segurança. Ela foi desenhada para escanear rapidamente redes amplas, embora também funcione muito bem contra hosts individuais. insecure.org/nmap CobiT – (Guia) para gestão de tecnologia da informação recomendado pelo ISACF (Information Systems Audit and Control Foundation). www.isaca.org FERRAMENTAS DE AUDITORIA 1 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas VANTAGENS ✓O software pode processar vários arquivos ao mesmo tempo; ✓Pode processar vários tipos de arquivos, com formatos distintos; ✓Pode fazer integração sistêmica com vários tipos de softwares e hardwares; ✓O auditor não precisa ser especialista em informática para desenvolver aplicativos para testar seus dados. FERRAMENTAS DE AUDITORIA 1 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 1 Softwares generalistas DESVANTAGENS ✓As aplicações não podem ser feitas online já que gravam diversos arquivos para serem analisados em separado; ✓Não provê cálculos específicos para sistemas específicos (como cartão de crédito, por exemplo). FERRAMENTAS DE AUDITORIA 1 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 São programas desenvolvidos pelos auditores (ou sob sua encomenda) a fim de testar particularidades de sistemas auditados que possuem características incomuns como por exemplo, sistema de leasing, crédito imobiliário, câmbio, dentre outros. 2 Softwares especializados FERRAMENTAS DE AUDITORIA 1 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ✓ Inclusão de testes de controles internos específicos tais como dígito verificador, controle de lote, personalizando o que se quer testar. 2 Softwares especializados VANTAGENS FERRAMENTAS DE AUDITORIA 1 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ✓Inclusão de hash total ➢hash total : campos de controle colocados nos header ou trailler labels a fim de assegurar a integridade dos dados. Pode ser um algoritmo sem sentido funcional, como por exemplo, somar dia e mês de nascimento dos clientes atualizados na base de dados. 2 Softwares especializados VANTAGENS . . . FERRAMENTAS DE AUDITORIA 2 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ✓header label: registro de controle. É o primeiro registro do arquivo, contendo dados de controle tais como nome do arquivo, data de movimento, número de registros gravados, número de registros lidos, número de registros com erro, versão do arquivo, etc. ✓trailler label: registro de controle. É o último registro do arquivo e também contém campos de controle. 2 Softwares especializados VANTAGENS . . . FERRAMENTAS DE AUDITORIA 2 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 2 Softwares especializados VANTAGENS . . . HEADER Nm Arq Dt Mov Versão Arq Qt Reg Lidos DADOS Nm End Tel R Tel C Tel T Dt Nasc DADOS Nm End Tel R Tel C Tel T Dt Nasc DADOS Nm End Tel R Tel C Tel T Dt Nasc TRAILLER Nm Arq Dt Mov Qt Reg Grav Lidos + Gravados FERRAMENTAS DE AUDITORIA 2 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 2 Softwares especializados DESVANTAGENS ✓Necessita que o auditor esteja familiarizado com o desenvolvimento de tecnologia da informação ✓Há custos de desenvolvimento de programas. FERRAMENTAS DE AUDITORIA 2 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 3 Softwares utilitários São programas utilitários para funções básicas de processamento como somar determinados campos de um arquivo, classificar um arquivo, listar determinados campos de registros de um arquivo. Normalmente os sistemas operacionais ou os bancos de dados possuem um certo número desses programas que não são específicos de auditoria, podendo (e sendo) utilizados para debug e testes de sistemas. FERRAMENTAS DE AUDITORIA 2 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 3 Softwares utilitários ✓São fáceis de serem aprendidos; ✓São fáceis de serem utilizados. VANTAGENS FERRAMENTAS DE AUDITORIA 2 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 3 Softwares utilitários ✓Executam apenas funções padrões. DESVANTAGENS FERRAMENTAS E ALGUMAS TÉCNICAS DE AUDITORIA ❑ Ferramentas de auditoria ❑ Algumas técnicas de auditoria 2 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 2 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Nem todas as auditorias de sistemas requerem as mesmas técnicas. Tudo dependerá do escopo da auditoria (o conjunto de controles internos, processos e controles de negócios) do sistema a ser auditado. 2 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria Questionários para auditoria Visita in loco Entrevista 2 3 4 2 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria São programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos seqüenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (micro computadores). 3 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria FUNÇÕES TABULAÇÃO DE CAMPOS ▪somatório de datas de vencimento de títulos gerando hash total que deverá ser confrontado com o campo correspondente no header ou trailler label. ▪somatório de campos quantitativos para efeito de confrontação ou acompanhamento de acumulados, inclusive controle de lote. 3 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria CONTAGEM DE CAMPOS/REGISTROS ▪Apuração de totais por tipo de registro ou campo. FUNÇÕES . . . 3 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria ANÁLISE CONTEÚDO DE CAMPOS/REGISTROS ▪Verificação da existência de campos ou registros em um arquivo ▪Correlação entre campos de um arquivo para verificação da coerência e validade desses campos. ▪Cruzamento horizontal entre campos em um registro com vistas à integridade do registro. FUNÇÕES . . . 3 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria CORRELAÇÃO DE ARQUIVOS ▪Confronto de campos entre registros com vistas à garantia de ambos os arquivos. FUNÇÕES . . . 3 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria ESTATÍSTICAS DOS CAMPOS DOS ARQUIVOS ▪Apuração de média, desvio-padrão, moda e/ou outras medidas estatísticas em um universo de registros e/ou campos de um arquivo para efetuarmos análises do comportamento desse universo. FUNÇÕES . . . 3 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria a) Verificar se cada campo de cada registro está preenchido. Caso contrário, listar, exibir o campo em tela ou gravar em arquivo de saída. ANÁLISES 3 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria b) Listar código do item e código da localização física dos itens para efeito de verificação física, segundo os critérios:✓ Não movimento há mais de um ano; ✓Quantidade em estoque menor que ponto de ressuprimento; ✓Quantidade em estoque zero ou negativa; ✓Valor total do item em estoque duas vezes maior que valor médio do item em estoque. ANÁLISES . . . 3 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria c) Enquadramento do item segundo tabela de números aleatórios. d) Somar data da última movimentação de cada item em estoque e verificar se o total cruza com o total correspondente gravado no registro trailler. ANÁLISES . . . 3 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria e) Multiplicar, a cada registro de item, o campo quantidade em estoque pelo campo valor unitário do item e verificar se é igual ao campo valor total do item em estoque (este é um exemplo de controle cruzado). Controle cruzado: chegar ao mesmo resultado por mais de um meio). ANÁLISES . . . 3 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA 1 Programa de computador para auditoria O AUDITOR PODE TESTAR UM SISTEMA DE DUAS MANEIRAS: 1 - Constrói os programas e roda com massa de dados real. 2 - Prepara a massa de dados e roda com programas de produção. 4 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Para cada ponto de controle deverá existir um questionário contendo perguntas relevantes ao ponto de controle e espaço para o auditor assinalar se o sistema satisfaz ou não aquele ponto de controle, além de local para que possam ser escritas observações e referências sobre papéis de trabalho. Para os quesitos que obtiverem resposta negativa o auditor deverá agir no sentido de solicitar acertos. 4 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Pontos de controle para CPD’s SEGURANÇA DE REDE DE COMPUTADORES ✓Segurança física dos equipamentos computacionais; ✓Segurança lógica e confidencialidade dos programas e informações que trafegam nos canais de comunicação. 4 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Pontos de controle para CPD’s . . . SEGURANÇA DO CENTRO DE COMPUTAÇÃO ✓Controle de acesso físico e lógico às instalações de processamento de dados; ✓Segurança ambiental no tocante à infraestrutura de combate a incêndio, inundações, contra atentado e sabotagens, situações de greve, etc. 4 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Pontos de controle para CPD’s . . . EFICIÊNCIA NO USO DE RECURSOS COMPUTACIONAIS ✓Tempo médio de resposta em terminal; ✓Tempo de uso dos equipamentos a cada dia; ✓Quantidade existente de rotinas catalogadas. 4 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIAX Questionários para auditoria 2 Pontos de controle para CPD’s . . . EFICÁCIA DE SISTEMAS APLICATIVOS ✓Quantidade de informações geradas pelo computador e consumidas pelos usuários; ✓Prazo de atendimento de novos sistemas aos usuários; ✓Tempo médio de solução dos problemas dos usuários da rede de computação, provida pelo help-desk. 4 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Pontos de controle para CPD’s . . . A técnica de questionário é, normalmente, aplicada de forma casada a outras técnicas de auditoria como entrevistas e visita in loco. 4 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Pontos de controle para CPD’s . . . EXEMPLO: Data Center Questão Sim; Não; N/A Comen- tários Referência Documentação Auditoria 1. A estrutura interna do Centro de Computação é adequada? 4 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Pontos de controle para CPD’s . . . EXEMPLO: Data Center Questão Sim; Não; N/A Comen- tários Referência Documentação Auditoria 2. Os contratos de hardware e software são aprovados pelo Departamento jurídico? 4 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Pontos de controle para CPD’s . . . EXEMPLO: Data Center Questão Sim; Não; N/A Comen- tários Referência Documentação Auditoria 3. Existe orçamento definido formalmente? 4 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Pontos de controle para CPD’s . . . EXEMPLO: Data Center Questão Sim; Não; N/A Comen- tários Referência Documentação Auditoria 4. Existe um sistema formal de apuração de custos? 5 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Questionários para auditoria 2 Pontos de controle para CPD’s . . . EXEMPLO: Data Center Questão Sim; Não; N/A Comen- tários Referência Documentação Auditoria 5. Existe planejamento e capacidade? 5 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Visita in loco3 É a presença do auditor na área do auditado (ou do CPD) para verificação dos pontos de controle. Normalmente esta ferramenta é utilizada em conjunto com outras ferramentas tais como entrevistas e questionários. A visita do auditor é marcada formalmente e é importante para que os pontos nebulosos sejam esclarecidos. 5 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIAX NAS VISITAS ➢Obter dados seja por observação, por teste, por documentação ou informação solicitada. ➢Anotar as informações obtidas para posterior documentação em seus papéis de trabalho. ➢Caso seja encontrada uma fraqueza(não conformidade), o auditor informará verbalmente ao auditado na hora, e, posteriormente, por escrito. Visita in loco3 5 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIAX NAS VISITAS . . . CPD (Data Center) ➢Presença do auditor para: ✓ Constatação física da existência de ativos computacionais da empresa, bem como seu estado de conservação; ✓ Eficiência dos procedimentos de uso, incluindo segurança física; Visita in loco3 5 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIAX NAS VISITAS . . . CPD (Data Center) . . . Verificar também . . . ✓Inventário de arquivos magnéticos (discos, fitas, CD´s) armazenados na fitoteca, com respectivos períodos de retenção; ✓Inventário de suprimentos (fitas de impressora, cartuchos de impressora, formulários contínuos, formulários pré-impressos, etiquetas gomadas, etc); Visita in loco3 5 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIAX NAS VISITAS . . . CPD (Data Center) . . . Verificar também . . . ✓Utilização dos computadores com o objetivo de verificação de controle de acesso, uso de Ordem de Serviço, arquivos magnéticos, schedule de produção, distribuição de relatórios); ✓Acompanhamento das rotinas de back-up e atualização da biblioteca externa. Visita in loco3 5 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 Visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando. ➢Podem ser pessoais, por telefone ou vídeo conferência. ➢Deve-sefazer um roteiro prévio do que se pretende abordar na mesma, preferencialmente classificado por ponto de controle. ➢Esse roteiro servirá como guia para o auditor. 5 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TIPOS DE ENTREVISTA DE CAMPO: 1. Estruturada: aquela que utiliza formulários na coleta de dados; 2. Não-estruturada: aquela que não utiliza formulários na coleta de dados. 5 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 ➢Seguir seqüência lógica, orientada pelo fluxo de eventos do processo. ➢Perguntar às pessoas o que elas fazem, quais informações recebem e passam adiante. ORIENTAÇÕES 5 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 ➢Sempre que possível, utilizar perguntas abertas (aquelas em que o entrevistado fala livremente), que exigem que o auditado dê informações voluntariamente, como: ✓Quais as suas responsabilidades com relação a requisições? – ou – O quê acontece com este formulário depois de preenchido? ORIENTAÇÕES . . . 6 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 ➢Saber escolher as perguntas e administrar bem o tempo. ➢Não ultrapassar o limite de uma hora e meia. ➢Evitar perguntas sobre áreas irrelevantes. ➢Cruzar as informações para confirmar que as evidências ligam-se completamente, de acordo com o procedimento e o fluxo dos processos. ORIENTAÇÕES . . . 6 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 1. O plano para a entrevista é um guia a ser utilizado pela equipe de auditoria de modo flexível. 2. As perguntas e a linha de questionamento devem ser elaboradas de forma a extrair o máximo de informação relevante no tempo disponível, devendo ser ajustadas, ao longo da entrevista, em função das respostas e das reações não- verbais(fisionomia) do entrevistado. ORIENTAÇÕES DO TCU 6 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 3. O clima de cordialidade e cooperação deve ser mantido e a entrevista deve ser conduzida como uma conversação, não como um interrogatório. 4. evitar o monopólio da palavra, ouvindo o entrevistado com atenção e evitando interrompê- lo, a menos que isso seja necessário e possa ser feito de maneira educada. ORIENTAÇÕES DO TCU. . . 6 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 5. Manter-se atento aos objetivos da entrevista, evitando distrair-se ou concentrar-se em outras perguntas, bem como coibindo qualquer desvio do assunto em discussão por parte do entrevistado. 6. Caso esse desvio ocorra, avaliar a relevância das novas informações, decidindo se convém prosseguir ou retornar ao assunto original. ORIENTAÇÕES DO TCU. . . 6 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 7. Não se apressar em tecer comentários com o objetivo de evitar o silêncio. ▪ Algumas vezes, o período de silêncio pode ser usado para encorajar o auditado a complementar a sua idéia inicial. ORIENTAÇÕES DO TCU. . . 6 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 8. Demonstrar tranqüilidade e domínio mínimo do assunto tratado, devendo-se evitar perguntas complexas, demonstrações de excesso de conhecimento ou atitudes de superioridade, de maneira a não inibir o entrevistado. ORIENTAÇÕES DO TCU. . . 6 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 9. Deve-se permanecer atentos à compreensão que o entrevistado teve de cada pergunta feita, inquirindo-o, quando necessário, sobre qualquer dúvida que tenha surgido, com o objetivo de esclarecer o significado e a importância da questão a ser respondida. ORIENTAÇÕES DO TCU. . . 6 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 10.Deve-se mostrar interesse pela opinião do entrevistado, sem demonstrar, entretanto, qualquer rejeição ou apoio às suas manifestações, permanecendo, assim, neutros em relação às respostas do entrevistado. ORIENTAÇÕES DO TCU. . . 6 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 11.Deve-se observar com atenção se as respostas refletem a experiência, o conhecimento e as idéias do entrevistado, devendo ser capaz de distinguir fatos de opiniões. ORIENTAÇÕES DO TCU. . . 6 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 12.Para obter a confirmação de determinada resposta, pode-se valer de perguntas do tipo: “Então, o que o(a) Sr.(ª) está dizendo é ...“. 13.Também convém atentar para as generalizações sem garantias e para os jargões técnicos usados para confundir os membros da equipe. ORIENTAÇÕES DO TCU. . . 7 0 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 14.Algumas declarações podem ser inconsistentes com os dados já obtidos no trabalho de auditoria ou mesmo com os conhecimentos dos membros da equipe sobre o assunto tratado, assim como outros fatos alegados podem ser apenas suposições. ORIENTAÇÕES DO TCU. . . 7 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 15.Muitas vezes, a linguagem corporal e a entonação de voz podem revelar insegurança e ambigüidade no comportamento do entrevistado, indicando respostas evasivas ou não fidedignas. ORIENTAÇÕES DO TCU. . . 7 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 16.As declarações e opiniões do entrevistado devem ser conferidas. Caso uma resposta não tenha sido expressa de maneira clara e compreensível, deve-se solicitar ao entrevistado que explique a resposta dada e que ofereça exemplos, se for o caso. ORIENTAÇÕES DO TCU. . . 7 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 17. Informar previamente ao entrevistado que suas respostas serão anotadas de forma precisa. ▪ Recomenda-se que um membro da equipe de auditoria seja encarregado de anotar as respostas do entrevistado, o que permitirá que os demais membros da equipe se concentrem no desenvolvimento da entrevista. ORIENTAÇÕES DO TCU. . . 7 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 18.Quanto a anotação das respostas: ✓Não escrever tudo que é dito; ✓Não escrever ininterruptamente; ✓Algumas vezes, deve-se evitar fazer anotações, especialmente quando o entrevistado foi encorajado a falar livremente; ORIENTAÇÕES DO TCU. . . 7 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 ALGUMAS TÉCNICAS DE AUDITORIA Entrevista4 TÉCNICAS DE ENTREVISTAS 18.Quanto a anotação das respostas: ✓ Anotar pontos-chave e palavras soltas; ✓ Usar notação gráfica; ✓ Certificar-se que as anotações são legíveis; ✓ Usar idéias-chave. ORIENTAÇÕES DO TCU. . . GTI – ANDRE MOURA F I M FERRAMENTAS E ALGUMAS TÉCNICAS DE AUDITORIA GTI – ANDRE MOURA MAIS TÉCNICAS DE AUDITORIA MAIS TÉCNICAS DE AUDITORIA ❑ Mais técnicas de auditoria
Compartilhar