Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
GTI – ANDRE MOURA REALIZANDO UMA AUDITORIA 1 REALIZANDO UMA AUDITORIA O dia a dia da auditoria de sistemas Fases de uma auditoria de sistemas 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 O dia a dia da auditoria de sistemas Fases de uma auditoria de sistemas 3 REALIZANDO UMA AUDITORIA Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Preparar a análise de risco dos projetos/produtos passíveis de auditoria. 4 O DIA A DIA DA AUDITORIA DE SISTEMAS Os fatores ambientais são ponderados a fim de obtermos um escore final para priorização. 1 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Preparar a análise de risco dos projetos/produtos passíveis de auditoria. 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 O DIA A DIA DA AUDITORIA DE SISTEMAS Os fatores ambientais são ponderados para se obter um escore final para priorização. 1 Fazer revisões analíticas dos projetos/produtos da empresa para verificação do escore de risco. 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 O DIA A DIA DA AUDITORIA DE SISTEMAS Não podemos fazer auditoria de todos os sistemas da empresa. Selecionamos os de maiores riscos e os priorizamos. 2 Familiarizar-se com os produtos/serviços da área/sistema e assuntos correlatos. 7 O DIA A DIA DA AUDITORIA DE SISTEMAS Ter uma compreensão do ambiente e sistemas a serem auditados através de levantamento e documentação. 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Estabelecer a estratégia geral da auditoria do sistema a ser auditado. 8 O DIA A DIA DA AUDITORIA DE SISTEMAS Que ferramentas de auditoria serão usadas? 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Estabelecer os objetivos da auditoria (controles internos e processo) e de produto (negócio). 9 O DIA A DIA DA AUDITORIA DE SISTEMAS O que será verificado? 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Preparar um documento com as principais preocupações da auditoria. 10 O DIA A DIA DA AUDITORIA DE SISTEMAS Itens que mais preocupam. 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Fazer uma avaliação preliminar dos controles internos. Nesta fase só considerar controles gerais. (O que buscaremos como controles internos, quais controles o sistema possui?) 11 O DIA A DIA DA AUDITORIA DE SISTEMAS Exemplo: dígito verificador, senha e segregação 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Finalizar os procedimentos de planejamento. 12 O DIA A DIA DA AUDITORIA DE SISTEMAS Tempo estimado da auditoria em campo, quantos e quais auditores irão participar, recursos necessários, data provável da emissão do relatório final. 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Preparar um memorando sobre a intenção da auditoria para o gerente da área de sistemas, seu diretor e diretor da área para a qual o sistema dará suporte. 13 O DIA A DIA DA AUDITORIA DE SISTEMAS Este memorando deve ser assinado pelo diretor da Auditoria. 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Realizar reunião inicial com os auditados, sua gerência e diretoria, informando sobre a intenção da auditoria e pedindo que os mesmos colaborem com os auditores, fornecendo-lhes o que for solicitado. 14 O DIA A DIA DA AUDITORIA DE SISTEMAS Devem participar os auditores e a gerência maior da Auditoria na empresa. 10 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Elaboração de uma massa de testes. 15 O DIA A DIA DA AUDITORIA DE SISTEMAS Definição de escopo do teste, geração dos dados para teste, determinação dos resultados esperados. 11 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Aplicação da massa de testes. 16 O DIA A DIA DA AUDITORIA DE SISTEMAS Simulando em laboratório ou no campo, para aprovação da efetividade de processos e resultados. 12 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Análise das simulações empreendidas. 17 O DIA A DIA DA AUDITORIA DE SISTEMAS Caso haja alguma discrepância, avisar verbalmente ao auditado e a seguir, através de formulário próprio, emitir opinião quanto ao resultado dos testes ou do ambiente auditado, sugerindo recomendações e solicitando prazo de acerto das falhas encontradas. 13 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Ao término do trabalho de campo (testes), emitir relatório provisório contendo todas as falhas não solucionadas durante a auditoria. 18 O DIA A DIA DA AUDITORIA DE SISTEMAS As páginas deste relatório devem ter um carimbo dizendo “RASCUNHO” para que não haja equívoco em relação a ser o relatório final. 14 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Discutir o relatório provisório com os auditados e suas gerências. 19 O DIA A DIA DA AUDITORIA DE SISTEMAS Os auditados devem concordar com o conteúdo do relatório, por escrito ou, se discordarem, informar o motivo, também por escrito. 15 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Emitir e distribuir relatório final da auditoria incluindo a nota do relatório. 20 O DIA A DIA DA AUDITORIA DE SISTEMAS A “nota” de um relatório contém as falhas encontradas e não acertadas. Estabelecer data para os acertos. 16 Concordar ou não por escrito e, se for o caso, justificar por escrito a discordância. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Fazer follow-up das falhas a serem acertadas. 21 O DIA A DIA DA AUDITORIA DE SISTEMAS acompanhar as datas de acerto das falhas informadas pelos auditados. 17 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 O dia a dia da auditoria de sistemas Fases de uma auditoria de sistemas 22 REALIZANDO UMA AUDITORIA Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 23 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento Execução Emissão divulgação relatórios Follow-up Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 24 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento 1 Auditoria do data center 2 Auditoria de sistemas, segundo escore de risco Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 25 FASES DE UMA AUDITORIA DE SISTEMAS 2 Auditoria de sistemas, segundo escore de risco ITEM PESO NOTA(0-10) TOTAL Custo do sistema 15 Valor diário das transações 15 Volume diário das transações 10 Visibilidade do cliente 10 Impacto 10 Extensão do sistema 5 Capacitação da equipe 5 Método da ponderação Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 26 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 FASES DE UMA AUDITORIA DE SISTEMAS 2 Exemplo: escore de risco do sistema A: ITEM PESO NOTA(0-10) TOTAL Custo do sistema 15 5 75 Valor diário das transações 15 10 150 Volume diário das transações 10 9 90 Visibilidade do cliente 10 10 100 Impacto 10 10 100 Extensão do sistema 5 8 40 Capacitação da equipe 5 8 40 Método da ponderação 595 27 FASES DE UMA AUDITORIA DE SISTEMAS 2 Exemplo: escore de risco do sistema A: ITEM PESO NOTA(0-10) TOTAL Método da ponderação 595 ESCORE DE RISCO PRIORIDADE Até 200 BAIXA 201 a 300 MÉDIA 301 a 500 ALTA 501 e maior MUITO ALTA > 500 INDICADO PARA AUDITORIA Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Exemplos 28 FASES DE UMA AUDITORIA DE SISTEMAS RECAPITULANDO O PLANEJAMENTO 1 2 Escolher sistema (s) Obter conhecimento inerente 3 Decidir sobre controles internos, processos e controles de negócio 4 5 2 Auditoria de sistemas, segundo escore de risco Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 29 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C01- Integridade de Dados/Processos/Dados e Processos Acuidade dos dados Completude dos dados Autorização de dados Confidencialidade dados Controles de arquivos/tabelas de dados Controle de mudança de sistema/programa C02- Segurança do Sistema Segurança de acesso ao sistema Segurança do banco de dados Encriptaçãode dados Assinatura digital Segurança da rede Segurança física Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 30 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C03- Legibilidade operacional Restart/recovery Backup Plano de contingência Treinamento Documentação Considerações de desempenho/capacitação C04- Conformidade Legal Políticas empresariais Padrões e normas empresariais Decretos e emissões de agencias regulatórias Contratual Seguro Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 31 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C05- Guarda de registros (rastreamento) Trilha gerencial/de evento Retenção de dados/arquivos Trilha de auditoria C06- Guarda de ativos Custódia Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 32 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C07- Programas de sistemas Monitoramento de teleprocessamento Sistemas Operacionais Utilitários C08-Organização / Administração Segregação de funções(para evitar conflito de interesses. Por exemplo, quem testa é alguém diferente de quem codifica um programa) Organização do projeto Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 33 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C09- Processo de desenvolvimento . . . Definição do projeto Analise de requisitos Controle de projeto Participação do usuário Requisição de proposta Seleção de fornecedores Desenho do sistema C09- Processo de desenvolvimento Programação / código Teste de unidade e/ou sistema Conversão Treinamento Teste de aceitação Execução do projeto piloto ou paralelo Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 34 FASES DE UMA AUDITORIA DE SISTEMAS Controles internos C10- CPD / Datacenter Segurança física Segurança no geral Procedimentos bibliotecas Suprimento sensível Controle de mudança de sistema/programa Bibliotecas externas Hot-sites,instal. externas C11- Contrato de serviços de sistemas / ordens de serviço C12- Procedimentos e padrões (se a empresa tiver) Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 35 FASES DE UMA AUDITORIA DE SISTEMAS Processos P.nn– Processos . . . P.01 - Plano do Negócio P.02 - Aprovação do Projeto P.03 - Definição / viabilidade P.04 - Plano de implementação P.05 - Analise detalhada / desenho do sistema P.nn– Processos P.06 - Requisição de aprovação P.07 - Seleção deparcerias/fornecedores P.08 - Desenho do sistema P.09 - Plano de teste de desenvolvimento P.10 - Plano deconversão/instalação (se existem e no padrão da empresa) Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 36 FASES DE UMA AUDITORIA DE SISTEMAS P.nn- Processos . . . P.11 - Plano de teste P.12 - Programação/teste P.13 - Teste de aceitação P.14 - Manual do usuário P.nn- Processos P.15 - Manual de operação P.16 - Relatório de aceitação de teste P.17 - Conversão P.18 - Aceite do usuário Processos (se existem e no padrão da empresa) Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 37 FASES DE UMA AUDITORIA DE SISTEMAS Controles de negócio Exemplo:Cartão de crédito Cartão clonado Cartão extraviado Extrato de pagamento extraviado Cliente tentar comprar acima de seu limite de crédito (controles específicos para cada projeto) Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 38 FASES DE UMA AUDITORIA DE SISTEMAS AUDITORIA PROJETO Cronograma Orçamento Toda auditoria deve ser tratada como projeto Tempo gasto por ponto de controle + relatório Baseado nas atividades identificadas Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 Comunicar com recomendação de acerto 39 FASES DE UMA AUDITORIA DE SISTEMAS Toda auditoria deve ser tratada como projeto Teste do ponto de controle Ponto de auditoria Fraqueza? Sim Próximo ponto de controle Não Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 40 FASES DE UMA AUDITORIA DE SISTEMAS Tendo terminado o planejamento da auditoria, o auditor deverá informar à área auditada o sistema que foi eleito para auditoria. Planejamento Execução Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 41 FASES DE UMA AUDITORIA DE SISTEMAS Deve ser realizada uma reunião inicial entre a Auditoria e pessoas chaves da área de Sistemas e da área usuária. A Auditoria informará que o sistema foi selecionado. Informará também o que será investigado na auditoria (as preocupações da auditoria, que são traduzidas nos controles internos, processos e controles de negócio), tempo estimado do trabalho e a provável data de emissão do relatório final. A Auditoria pedirá a colaboração das áreas de Sistemas e usuária para que solicitem a seus funcionários que colaborem com os auditores, fornecendo-lhes o que for pedido. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 42 FASES DE UMA AUDITORIA DE SISTEMAS Começa então o trabalho de campo, onde os auditores irão verificar a existência dos controles internos, processos e controles de negócios. Este trabalho deve ser todo documentado, pois será a evidência do trabalho da auditoria. Ao identificar uma fraqueza, informar verbalmente o fato e solicitar acerto formalizando uma data prevista Nunca, sob qualquer hipótese, o auditor dará a solução para acerto da fraqueza. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 43 FASES DE UMA AUDITORIA DE SISTEMAS O auditor emite documento com comunicado de falha, mostrando os riscos que ela poderá trazer ao sistema, negócio e empresa e recomenda acerto da mesma. Solicita, neste documento, que o auditado diga se concorda ou não com a falha encontrada e, em caso afirmativo, que informe a data de acerto prevista. Caso o auditado discorde, ele deverá informar por escrito e justificar sua discordância. O auditor recebe a resposta com a data prevista para acerto da falha e a arquiva (por data de solução da falha) e segue seu trabalho de campo. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 44 FASES DE UMA AUDITORIA DE SISTEMAS Na data prevista de acerto de uma falha o auditor deverá verificar pessoalmente, com evidências, que a mesma foi acertada. Em caso positivo, faz uma anotação que a falha foi consertada. Em caso negativo, emite outra comunicação de falha e segue no procedimento. Ao término do trabalho de campo, quando todos os controles internos, processos e controles de negócios forem verificados, o auditor prepara-se para a emissão do relatório. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 45 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento Execução Emissão divulgação relatórios O relatório de auditoria será emitido baseado no trabalho de campo realizado. A “nota” do relatório será dada conforme as comunicações de falhas emitidas e não resolvidas até o momento de sua emissão. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 46 FASES DE UMA AUDITORIA DE SISTEMAS O rascunho do relatório, sem a “nota”, é discutido com os auditados antes da sua emissão oficial, esclarecendo os pontos abordados e evitando surpresas. Somente após esta reunião é que a Auditoria publica o relatório, endereçado ao diretor da área de Sistemas, com cópia para a direção da área usuária do sistema. Quem assina o relatório de auditoria é o auditor responsável e o diretor da Auditoria, devido a importância que um relatório de auditoria representa. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 47 FASES DE UMA AUDITORIA DE SISTEMAS A apresentação do relatório deve ser impecável, com papel de ótima qualidade, capa e sem erros de Português. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 48 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento Execução Emissão divulgação relatórios Follow-up A Auditoria deve acompanhar a solução das falhas quer durante o trabalho de campo, quer após a emissão do relatório. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 49 FASES DE UMA AUDITORIA DE SISTEMAS A verificação do acerto deve ser feita pessoalmente, incluindo testes para verificar se os acertos foram eficientes. Todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou do data center. Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 50 FASES DE UMA AUDITORIA DE SISTEMAS Planejamento Execução Emissão divulgação relatórios Follow-up Acompanhamento Trabalho de campo (existência dos controles internos, processos e controles de negócio) Relatório emitido (trabalho de campo) Escolher sistema Decidir controles internos, processos e controles de negócio Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 03 GTI – ANDRE MOURA F I M REALIZANDO UMA AUDITORIA 51
Compartilhar