Aula_03 AUDITORIA DE SISTEMAS

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

GTI – ANDRE MOURA 
REALIZANDO UMA AUDITORIA
1
REALIZANDO UMA AUDITORIA
O dia a dia da auditoria de sistemas
 Fases de uma auditoria de sistemas
2
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
O dia a dia da auditoria de sistemas
 Fases de uma auditoria de sistemas
3
REALIZANDO UMA AUDITORIA
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Preparar a análise de risco dos projetos/produtos passíveis de auditoria.
4
O DIA A DIA DA AUDITORIA DE SISTEMAS
Os fatores ambientais são ponderados a fim de obtermos um escore final para priorização.
1
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Preparar a análise de risco dos projetos/produtos passíveis de auditoria.
5
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
O DIA A DIA DA AUDITORIA DE SISTEMAS
Os fatores ambientais são ponderados para se obter um escore final para priorização.
1
Fazer revisões analíticas dos projetos/produtos da empresa para verificação do escore de risco.
6
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
O DIA A DIA DA AUDITORIA DE SISTEMAS
Não podemos fazer auditoria de todos os sistemas da empresa. Selecionamos os de maiores riscos e os priorizamos.
2
Familiarizar-se com os produtos/serviços da área/sistema e assuntos correlatos.
7
O DIA A DIA DA AUDITORIA DE SISTEMAS
Ter uma compreensão do ambiente e sistemas a serem auditados através de levantamento e documentação.
3
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Estabelecer a estratégia geral da auditoria do sistema a ser auditado.
8
O DIA A DIA DA AUDITORIA DE SISTEMAS
Que ferramentas de auditoria serão usadas?
4
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Estabelecer os objetivos da auditoria (controles internos e processo) e de produto (negócio).
9
O DIA A DIA DA AUDITORIA DE SISTEMAS
O que será verificado?
5
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Preparar um documento com as principais preocupações da auditoria.
10
O DIA A DIA DA AUDITORIA DE SISTEMAS
Itens que mais preocupam.
6
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Fazer uma avaliação preliminar dos controles internos. Nesta fase só considerar controles gerais. (O que buscaremos como controles internos, quais controles o sistema possui?)
11
O DIA A DIA DA AUDITORIA DE SISTEMAS
Exemplo: dígito verificador, senha e segregação
7
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Finalizar os procedimentos de planejamento.
12
O DIA A DIA DA AUDITORIA DE SISTEMAS
Tempo estimado da auditoria em campo, quantos e quais auditores irão participar, recursos necessários, data provável da emissão do relatório final.
8
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Preparar um memorando sobre a intenção da auditoria para o gerente da área de sistemas, seu diretor e diretor da área para a qual o sistema dará suporte.
13
O DIA A DIA DA AUDITORIA DE SISTEMAS
Este memorando deve ser assinado pelo diretor da Auditoria. 
9
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Realizar reunião inicial com os auditados, sua gerência e diretoria, informando sobre a intenção da auditoria e pedindo que os mesmos colaborem com os auditores, fornecendo-lhes o que for solicitado.
14
O DIA A DIA DA AUDITORIA DE SISTEMAS
Devem participar os auditores e a gerência maior da Auditoria na empresa.
10
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Elaboração de uma massa de testes.
15
O DIA A DIA DA AUDITORIA DE SISTEMAS
Definição de escopo do teste, geração dos dados para teste, determinação dos resultados esperados.
11
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Aplicação da massa de testes.
16
O DIA A DIA DA AUDITORIA DE SISTEMAS
Simulando em laboratório ou no campo, para aprovação da efetividade de processos e resultados.
12
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Análise das simulações empreendidas.
17
O DIA A DIA DA AUDITORIA DE SISTEMAS
Caso haja alguma discrepância, avisar verbalmente ao auditado e a seguir, através de formulário próprio, emitir opinião quanto ao resultado dos testes ou do ambiente auditado, sugerindo recomendações e solicitando prazo de acerto das falhas encontradas.
13
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Ao término do trabalho de campo (testes), emitir relatório provisório contendo todas as falhas não solucionadas durante a auditoria.
18
O DIA A DIA DA AUDITORIA DE SISTEMAS
As páginas deste relatório devem ter um carimbo dizendo 
“RASCUNHO” para que não haja equívoco em relação a ser o relatório final.
14
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Discutir o relatório provisório com os auditados e suas gerências.
19
O DIA A DIA DA AUDITORIA DE SISTEMAS
Os auditados devem concordar com o conteúdo do relatório, por escrito ou, se discordarem, informar o motivo, também por escrito.
15
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Emitir e distribuir relatório final da auditoria incluindo a nota do relatório.
20
O DIA A DIA DA AUDITORIA DE SISTEMAS
A “nota” de um relatório contém as falhas encontradas e não acertadas. Estabelecer data para os acertos. 
16
Concordar ou não por escrito e, se for o caso, justificar por escrito a discordância.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Fazer follow-up das falhas a serem acertadas.
21
O DIA A DIA DA AUDITORIA DE SISTEMAS
acompanhar as datas de acerto das falhas informadas pelos auditados. 
17
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
O dia a dia da auditoria de sistemas
 Fases de uma auditoria de sistemas
22
REALIZANDO UMA AUDITORIA
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
23
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento
Execução
Emissão divulgação
relatórios 
Follow-up
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
24
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento
1
Auditoria do data center
2
Auditoria de sistemas, segundo escore de risco
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
25
FASES DE UMA AUDITORIA DE SISTEMAS
2
Auditoria de sistemas, segundo escore de risco
ITEM
PESO
NOTA(0-10)
TOTAL
Custo do sistema
15
Valor diário das transações
15
Volume diário das transações
10
Visibilidade do cliente
10
Impacto
10
Extensão do sistema
5
Capacitação da equipe
5
Método da ponderação
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
26
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
FASES DE UMA AUDITORIA DE SISTEMAS
2
Exemplo: escore de risco do sistema A: 
ITEM
PESO
NOTA(0-10)
TOTAL
Custo do sistema
15
5
75
Valor diário das transações
15
10
150
Volume diário das transações
10
9
90
Visibilidade do cliente
10
10
100
Impacto
10
10
100
Extensão do sistema
5
8
40
Capacitação da equipe
5
8
40
Método da ponderação
595
27
FASES DE UMA AUDITORIA DE SISTEMAS
2
Exemplo: escore de risco do sistema A: 
ITEM
PESO
NOTA(0-10)
TOTAL
Método da ponderação
595
ESCORE DE RISCO
PRIORIDADE
Até 200
BAIXA
201 a 300
MÉDIA
301 a 500
ALTA
501 e maior
MUITO ALTA
> 500
INDICADO PARA AUDITORIA
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Exemplos
28
FASES DE UMA AUDITORIA DE SISTEMAS
RECAPITULANDO O PLANEJAMENTO
1
2
Escolher sistema (s)
Obter conhecimento inerente
3
Decidir sobre controles internos, processos e controles de negócio
4
5
2
Auditoria de sistemas, segundo escore de risco
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
29
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C01- Integridade de Dados/Processos/Dados e Processos
Acuidade dos dados
Completude dos dados
Autorização de dados
Confidencialidade dados
Controles de arquivos/tabelas de dados
Controle de mudança de sistema/programa
C02- Segurança do Sistema
Segurança de acesso ao sistema
Segurança do banco de dados
Encriptaçãode dados
Assinatura digital
Segurança da rede
Segurança física
Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
30
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C03- Legibilidade operacional
Restart/recovery
Backup
Plano de contingência
Treinamento
Documentação
Considerações de desempenho/capacitação
C04- Conformidade
Legal
Políticas empresariais
Padrões e normas empresariais
Decretos e emissões de agencias regulatórias
Contratual
Seguro
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
31
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C05- Guarda de registros (rastreamento)
Trilha gerencial/de evento
Retenção de dados/arquivos
Trilha de auditoria
C06- Guarda de ativos
Custódia
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
32
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C07- Programas de sistemas
Monitoramento de teleprocessamento
Sistemas Operacionais
Utilitários
C08-Organização / Administração
Segregação de funções(para evitar conflito de interesses. Por exemplo, quem testa é alguém diferente de quem
codifica um programa)
Organização do projeto
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
33
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C09- Processo de desenvolvimento . . .
Definição do projeto
Analise de requisitos
Controle de projeto
Participação do usuário
Requisição de proposta
Seleção de fornecedores
Desenho do sistema
C09- Processo de desenvolvimento
Programação / código
Teste de unidade e/ou sistema
Conversão
Treinamento
Teste de aceitação
Execução do projeto piloto ou paralelo
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
34
FASES DE UMA AUDITORIA DE SISTEMAS
Controles internos
C10- CPD / Datacenter
Segurança física
Segurança no geral
Procedimentos bibliotecas
Suprimento sensível
Controle de mudança de sistema/programa
Bibliotecas externas
Hot-sites,instal. externas
C11- Contrato de serviços de sistemas / ordens de serviço
C12- Procedimentos e padrões (se a empresa tiver)
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
35
FASES DE UMA AUDITORIA DE SISTEMAS
Processos 
P.nn– Processos . . .
P.01 - Plano do Negócio
P.02 - Aprovação do
Projeto
P.03 - Definição /
viabilidade
P.04 - Plano de
implementação
P.05 - Analise detalhada /
desenho do sistema
P.nn– Processos
P.06 - Requisição de aprovação
P.07 - Seleção deparcerias/fornecedores
P.08 - Desenho do sistema
P.09 - Plano de teste de
desenvolvimento
P.10 - Plano deconversão/instalação
(se existem e no padrão da empresa) 
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
36
FASES DE UMA AUDITORIA DE SISTEMAS
P.nn- Processos . . .
P.11 - Plano de teste
P.12 - Programação/teste
P.13 - Teste de aceitação
P.14 - Manual do usuário
P.nn- Processos
P.15 - Manual de operação
P.16 - Relatório de
aceitação de teste
P.17 - Conversão
P.18 - Aceite do usuário
Processos 
(se existem e no padrão da empresa) 
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
37
FASES DE UMA AUDITORIA DE SISTEMAS
Controles de negócio
Exemplo:Cartão de crédito
Cartão clonado
Cartão extraviado
Extrato de pagamento extraviado
Cliente tentar comprar acima de seu limite de crédito
(controles específicos para cada projeto) 
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
38
FASES DE UMA AUDITORIA DE SISTEMAS
AUDITORIA
PROJETO
Cronograma
Orçamento
Toda auditoria deve ser tratada como projeto
Tempo gasto por ponto de controle + relatório
Baseado nas atividades identificadas
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
Comunicar com recomendação de acerto
39
FASES DE UMA AUDITORIA DE SISTEMAS
Toda auditoria deve ser tratada como projeto
Teste do ponto de controle 
Ponto de auditoria
Fraqueza?
Sim
Próximo ponto de controle
Não
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
40
FASES DE UMA AUDITORIA DE SISTEMAS
Tendo terminado o planejamento da auditoria, o auditor deverá informar à área auditada o sistema que foi eleito para auditoria.
Planejamento
Execução
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
41
FASES DE UMA AUDITORIA DE SISTEMAS
Deve ser realizada uma reunião inicial entre a Auditoria e pessoas chaves da área de Sistemas e da área usuária.
A Auditoria informará que o sistema foi selecionado.
Informará também o que será investigado na auditoria (as preocupações da auditoria, que são traduzidas nos controles internos, processos e controles de negócio), tempo estimado do trabalho e a provável data de emissão do relatório final.
A Auditoria pedirá a colaboração das áreas de Sistemas e usuária para que solicitem a seus funcionários que colaborem com os auditores, fornecendo-lhes o que for pedido.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
42
FASES DE UMA AUDITORIA DE SISTEMAS
Começa então o trabalho de campo, onde os auditores irão verificar a existência dos controles internos, processos e controles de negócios.
Este trabalho deve ser todo documentado, pois será a evidência do trabalho da auditoria. 
Ao identificar uma fraqueza, informar verbalmente o fato e solicitar acerto formalizando uma data prevista 
Nunca, sob qualquer hipótese, o auditor dará a solução para acerto da fraqueza.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
43
FASES DE UMA AUDITORIA DE SISTEMAS
O auditor emite documento com comunicado de falha, mostrando os riscos que ela poderá trazer ao sistema, negócio e empresa e recomenda acerto da mesma.
Solicita, neste documento, que o auditado diga se concorda ou não com a falha encontrada e, em caso afirmativo, que informe a data de acerto prevista. Caso o auditado discorde, ele deverá informar por escrito e justificar sua discordância.
O auditor recebe a resposta com a data prevista para acerto da falha e a arquiva (por data de solução da falha) e segue seu trabalho de campo.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
44
FASES DE UMA AUDITORIA DE SISTEMAS
Na data prevista de acerto de uma falha o auditor deverá verificar pessoalmente, com evidências, que a mesma foi acertada. Em caso positivo, faz uma anotação que a falha foi consertada. Em caso negativo, emite outra comunicação de falha e segue no procedimento.
Ao término do trabalho de campo, quando todos os controles internos, processos e controles de negócios forem verificados, o auditor prepara-se para a emissão do relatório.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
45
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento
Execução
Emissão divulgação
relatórios 
O relatório de auditoria será emitido baseado no trabalho de campo realizado. A “nota” do relatório será dada conforme as comunicações de falhas emitidas e não resolvidas até o momento de sua emissão.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
46
FASES DE UMA AUDITORIA DE SISTEMAS
O rascunho do relatório, sem a “nota”, é discutido com os auditados antes da sua emissão oficial, esclarecendo os pontos abordados e evitando surpresas. Somente após esta reunião é que a Auditoria publica o relatório, endereçado ao diretor da área de Sistemas, com cópia para a direção da área usuária do sistema. Quem assina o relatório de auditoria é o auditor responsável e o diretor da Auditoria, devido a importância que um relatório de auditoria representa.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
47
FASES DE UMA AUDITORIA DE SISTEMAS
A apresentação do relatório deve ser impecável, com papel de ótima qualidade, capa e sem erros de Português.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
48
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento
Execução
Emissão divulgação
relatórios 
Follow-up
A Auditoria deve acompanhar a solução das falhas quer durante o trabalho de campo, quer após a emissão do relatório.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
49
FASES DE UMA AUDITORIA DE SISTEMAS
A verificação do acerto deve ser feita pessoalmente, incluindo testes para verificar se os acertos foram eficientes. Todo o acompanhamento deve
ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou do data center.
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
50
FASES DE UMA AUDITORIA DE SISTEMAS
Planejamento
Execução
Emissão divulgação
relatórios 
Follow-up
Acompanhamento
Trabalho de campo (existência dos controles internos, processos e controles de negócio)
Relatório emitido (trabalho de campo)
Escolher sistema
Decidir controles internos, processos e controles de negócio
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03
GTI – ANDRE MOURA 
F I M
REALIZANDO UMA AUDITORIA
51