auditoria-informatica

Prévia do material em texto

1
Auditoria Informática
ou de sistemas de informação
2
Auditoria Informática
Ø O Auditor Informático
Ø Funções e Áreas de actuação
Ø Objectivos de Auditoria Informática
Ø Vantagens e Inconvenientes
Ø Metodologia
2
3
Auditoria Informática
Objectivos
ØAssegurar que as políticas estabelecidas 
pela Gestão estão a ser seguidas
Ø Promover a máxima eficiência e segurança 
na gestão da organização
É responsabilidade da Gestão 
assegurar que as operações da 
empresa decorrem de forma 
eficiente e eficaz e em 
cumprimento da legislação
Auditoria Informática
Evolução
1960
3
5
Auditoria Informática
Ø Information
ØSystems
ØAudit &
ØControl
ØAssociation ex-EDPAA
6
Auditoria Informática
Código de Ética
Ø promover a definição e cumprimento de normas, 
procedimentos e controlos
Ø promover a necessidade de controlos informáticos 
adequados
Ø desempenhar as suas responsabilidades de forma leal e 
honesta e não tomar parte em quaisquer actividades ilegais 
ou incorrectas
Ø promover a compreensão da interligação entre informática 
e auditoria
Ø comunicar as suas opiniões de uma forma objectiva e 
preparar evidência suportando o seu julgamento 
profissional
4
7
Auditoria Informática
Código de Ética
Ø manter confidencial toda a informação privilegiada obtida
Ø manter a sua competência quanto a informática e auditoria 
através da participação em actividades de desenvolvimento 
profissional
Ø manter padrões elevados de conduta, caracter e moralidade 
nas suas actividades profissionais e pessoais
Ø não participar em actividades que possam ou aparentem 
estar em conflito com as normas dos seus empregadores ou 
clientes
8
Auditoria Informática
Ø Profissão reconhecida
Ø Programa de certificação (CISA)
Ø Exame (35.000 CISA’s)
Ø Educação contínua
Ø Normas
Ø Normas de Auditoria (SAS)
Ø Normas de Auditoria Interna (IIA)
5
9
Auditoria Informática 
Dependência
Ø Inserido em:
Ø Departamentos de Auditoria Interna
Ø Divisões de Auditoria Externa
Ø Reportando para:
Ø Director de Auditoria Interna
Ø Gestão
ØAo mesmo nível ou acima dos auditados
10
Auditoria Informática 
Recursos Humanos
Ø Poucos profissionais em Portugal
Ø Empresas de Auditoria Externa
Ø Instituições de Crédito
Ø Formar técnicos internos
Ø “Background” informático ou outro
Ø Outsourcing da função
Ø $, dependência, experiência interna
6
11
Auditoria Informática 
Características do Auditor
Ø Capacidade de análise e síntese 
Ø Capacidade de assimilação rápida
Ø Capacidade de adaptação
Ø Elevado espírito crítico
Ø Bom relacionamento social
Ø Honestidade, Discrição
Ø Bom senso, Objectividade e Ponderação
Ø Força de Persuasão, Iniciativa
Ø Boa Memória
Ø Tenacidade, Perseverança
Ø Espírito Independente mas com sentido de colaboração (equipa)
Ø Sentido de formação permanente 
12
Auditoria Informática 
Formação do auditor
Ø Informática
ØAmbiente informático da empresa
ØProcessos informáticos (p.e. desenvolvimento, operação, gestão 
de projectos, etc.)
ØComunicações
ØNovas tecnologias
Ø Auditoria Informática
ØMetodologias
ØFerramentas
7
13
O Auditor Informático
Funções
Ø apoiar o auditor e dar-lhe informação (e formação) em todos os aspectos 
relacionados com o processamento de informação
Ø proceder à avaliação e teste de controlos aplicacionais (em sistemas de 
informação complexos)
Ø proceder à avaliação e teste de controlos gerais (ou de Tecnologias de 
Informação) bem como à avaliação da organização da função informática em 
termos humanos, físicos e lógicos
Ø utilizar software de auditoriapara selecção de amostras para validação, 
reexecução de procedimentos programados ou para teste de controlos gerais
Ø proceder à revisão de sistemas em desenvolvimento quanto à inclusão de 
controlos adequados e, por vezes, da gestão do projecto
Ø efectuar revisões de segurança de informação
14
Instalações
O Auditor Informático
Áreas de Actuação
Ø Instalações
Ø Rede
Ø Hardware & Equipamento
Ø Sistema Operativo
Ø Software de sistema
Ø Software aplicacional
Ø Dados
Ø Organização e RH
8
15
O Auditor Informático
O Futuro
ØAuditor vs Consultor
16
O Auditor Informático
Prós e Contras
Ø .
ØDifícil a um auditor avaliar tecnologias de 
informação, controlos gerais e segurança
Ø Sem as avaliações (e testes) acima não se 
consegue assegurar a correcção do 
processamento
9
17
Metodologia de Auditoria
ØComo auditar o processamento informático ?
Metodologia de Auditoria
10
19
Metodologia de Auditoria 
Fases
Ø Compreensão Preliminar
ØNegócio
ØAmbiente de Controlo
ØInformação e Comunicação
ØAvaliação de Risco
Ø Compreensão e Registo do Sistema Controlo
ØAvaliação do Sistema de Controlo
ØRegisto e Discussão de deficiências
ØDesenho e Execução de Testes
ØRegisto e Discussão de deficiências
Ø Relatório
ØPreparação, Apresentação e Follow-up
Follow-up
Deficiências
Deficiências
Relatório
Testes
Avaliação
Compreensão
e Registo
Compreensão
Preliminar
20
Metodologia de Auditoria
Control Objectives for Information and Related Technology
Critérios de Informação 
Re
cur
sos
 de
 IT
P
ro
ce
ss
os
 d
e 
IT
Actividades
Processos
Domínios
Qu
alid
ad
e
Co
nfo
rm
ida
de
Se
gu
ran
ça
P
es
so
al
A
pl
ic
aç
õe
s
T
ec
no
lo
gi
a
F
ac
ili
da
de
s
D
ad
os
CobiT
11
21
CobiT
Metodologia de Auditoria
Control Objectives for Information and Related Technology
ØRequisitos de Qualidade
Ø Qualidade
Ø Custo
Ø “Delivery”
ØRequisitos Fiduciários (COSO Report)
Ø Eficácia e Eficiência das operações
Ø Confiança na informação financeira 
Ø Conformidade com legislação e regulamentos
ØRequisitos de Segurança 
Ø Confidencialidade
Ø Integridade 
Ø Disponibilidade
22
Auditoria do Risco Informático
Domínios e Processos
Ø Planeamento & Organização
Ø PO1 define a strategic IT plan
Ø PO2 define the information architecture
Ø PO3 determine technological direction
Ø PO4 define the IT organisation and relationships
Ø PO5 manage the investment in IT
Ø PO6 communicate management aims and direction
Ø PO7 manage human resources
Ø PO8 ensure compliance with external requirements
Ø PO9 assess risks
Ø PO10 manage projects
Ø PO11 manage quality
eff
ec
tive
ne
ss
eff
icie
nc
y
co
nfi
de
nti
alit
y
int
eg
rity
av
aila
bili
ty
co
mp
lian
ce
rel
iab
ility
pe
op
le
ap
plic
ati
on
s
tec
hn
olo
gy
fac
iliti
es
da
ta
Information Criteria IT Resources
P
P
P
P
P
P
P
P
P
P
P
S
S
S
S
P
P
S
P
P
S
P P
P
P
P
S
S
S
S S
S
CobiT
12
23
Auditoria do Risco Informático
efi
cá
cia
efic
iên
cia
co
nfid
en
cia
lida
de
inte
gri
da
de
dis
po
nib
ilid
ad
e
co
nfo
rm
ida
de
rel
iab
ility
SP
Planning &
Organisation
Acquisiton &
Implementation
Delivery &
Support
Monitoring
pe
sso
as
ap
lica
çõ
es
tec
no
log
ia
fac
ilitie
s
dad
os
Processos de IT
Requisitos Negócio
Definições de Controlo
Práticas de Controlo
O controlo de 
que satisfaz
é permitdo por
e toma em consideração
P01 - Definir Plano 
Estratégico para o IT 
CobiT
24
Auditoria do Risco Informático
Como Auditar ?
M Obtenção de uma compreensão por:
Mentrevistas ...
Mobtenção de …
MAvaliação de controlos por:
MAvaliação da conformidade por:
Mteste de …
MSubstanciar o risco dos objectivos não 
serem atingidos por:
Mexecução de …
Midentificação de ...
CobiT
13
25
Metodologia de Auditoria
Guias
Ø Avaliação de risco
Ø Avaliação de controlos aplicacionais
Ø Avaliação de controlos gerais
Ø Avaliação de segurança de informação
Ø Avaliação de sistemas IBM 
Ø Avaliação de sistemas UNIX
Ø Avaliação de sistemas Windows NT
Ø Avaliação de redes / micro-computadores
Ø Avaliação de comunicações
Ø Avaliação de implementação de aplicações
Ø Interrogação de ficheiros
26
Metodologia de Auditoria 
Ferramentas
Ø Interrogação de Ficheiros
ØAvaliação de ...
14
27
Técnicas de auditoria
Ø “Around Computer”
Ø forma completamente errada de efectuar uma 
auditoria
Ø “Throught Computer”
Ø forma indicada de efectuar uma auditoria
Ø “With computer”
Ø formaideal de efectuar uma auditoria
28
Técnicas de auditoria
Ø “Around Computer”
Ø forma completamente errada de efectuar uma 
auditoria
Ø o auditor identifica o input e confere-o com o 
respectivo output. 
Ø será que: 
Ø a informação não foi subsquentemente alterada ?
Ø os controlos estão a funcionar de forma contínua ?
15
29
Técnicas de auditoria
Ø “Throught Computer”
Ø o auditor avalia e testa procedimentos e controlos 
informáticos 
Øcontrolos de segurança de acessos
• acessos comensuráveis com funções dos utilizadores
• tentativas de acesso 
Øcontrolos de operação do sistema
• problemas na operação
Øcontrolos informáticos a nível da aplicação
• testes por simulação que os controlos funcionam
30
Técnicas de auditoria
Ø “With computer”
Ø o auditor recorre a software de auditoria para 
facilitar a avaliação e teste de procedimentos e 
controlos informáticos 
Ø o auditor desenvolve programas de interrogação 
para facilitar a determinação de:
Ø acessos autorizados
Øoperação correcta
Øprocessamento e actualização de ficheiros correctos
16
31
O Auditor Informático
ØQuestões ?
Auditoria 
Informática