Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Auditoria Informática ou de sistemas de informação 2 Auditoria Informática Ø O Auditor Informático Ø Funções e Áreas de actuação Ø Objectivos de Auditoria Informática Ø Vantagens e Inconvenientes Ø Metodologia 2 3 Auditoria Informática Objectivos ØAssegurar que as políticas estabelecidas pela Gestão estão a ser seguidas Ø Promover a máxima eficiência e segurança na gestão da organização É responsabilidade da Gestão assegurar que as operações da empresa decorrem de forma eficiente e eficaz e em cumprimento da legislação Auditoria Informática Evolução 1960 3 5 Auditoria Informática Ø Information ØSystems ØAudit & ØControl ØAssociation ex-EDPAA 6 Auditoria Informática Código de Ética Ø promover a definição e cumprimento de normas, procedimentos e controlos Ø promover a necessidade de controlos informáticos adequados Ø desempenhar as suas responsabilidades de forma leal e honesta e não tomar parte em quaisquer actividades ilegais ou incorrectas Ø promover a compreensão da interligação entre informática e auditoria Ø comunicar as suas opiniões de uma forma objectiva e preparar evidência suportando o seu julgamento profissional 4 7 Auditoria Informática Código de Ética Ø manter confidencial toda a informação privilegiada obtida Ø manter a sua competência quanto a informática e auditoria através da participação em actividades de desenvolvimento profissional Ø manter padrões elevados de conduta, caracter e moralidade nas suas actividades profissionais e pessoais Ø não participar em actividades que possam ou aparentem estar em conflito com as normas dos seus empregadores ou clientes 8 Auditoria Informática Ø Profissão reconhecida Ø Programa de certificação (CISA) Ø Exame (35.000 CISA’s) Ø Educação contínua Ø Normas Ø Normas de Auditoria (SAS) Ø Normas de Auditoria Interna (IIA) 5 9 Auditoria Informática Dependência Ø Inserido em: Ø Departamentos de Auditoria Interna Ø Divisões de Auditoria Externa Ø Reportando para: Ø Director de Auditoria Interna Ø Gestão ØAo mesmo nível ou acima dos auditados 10 Auditoria Informática Recursos Humanos Ø Poucos profissionais em Portugal Ø Empresas de Auditoria Externa Ø Instituições de Crédito Ø Formar técnicos internos Ø “Background” informático ou outro Ø Outsourcing da função Ø $, dependência, experiência interna 6 11 Auditoria Informática Características do Auditor Ø Capacidade de análise e síntese Ø Capacidade de assimilação rápida Ø Capacidade de adaptação Ø Elevado espírito crítico Ø Bom relacionamento social Ø Honestidade, Discrição Ø Bom senso, Objectividade e Ponderação Ø Força de Persuasão, Iniciativa Ø Boa Memória Ø Tenacidade, Perseverança Ø Espírito Independente mas com sentido de colaboração (equipa) Ø Sentido de formação permanente 12 Auditoria Informática Formação do auditor Ø Informática ØAmbiente informático da empresa ØProcessos informáticos (p.e. desenvolvimento, operação, gestão de projectos, etc.) ØComunicações ØNovas tecnologias Ø Auditoria Informática ØMetodologias ØFerramentas 7 13 O Auditor Informático Funções Ø apoiar o auditor e dar-lhe informação (e formação) em todos os aspectos relacionados com o processamento de informação Ø proceder à avaliação e teste de controlos aplicacionais (em sistemas de informação complexos) Ø proceder à avaliação e teste de controlos gerais (ou de Tecnologias de Informação) bem como à avaliação da organização da função informática em termos humanos, físicos e lógicos Ø utilizar software de auditoriapara selecção de amostras para validação, reexecução de procedimentos programados ou para teste de controlos gerais Ø proceder à revisão de sistemas em desenvolvimento quanto à inclusão de controlos adequados e, por vezes, da gestão do projecto Ø efectuar revisões de segurança de informação 14 Instalações O Auditor Informático Áreas de Actuação Ø Instalações Ø Rede Ø Hardware & Equipamento Ø Sistema Operativo Ø Software de sistema Ø Software aplicacional Ø Dados Ø Organização e RH 8 15 O Auditor Informático O Futuro ØAuditor vs Consultor 16 O Auditor Informático Prós e Contras Ø . ØDifícil a um auditor avaliar tecnologias de informação, controlos gerais e segurança Ø Sem as avaliações (e testes) acima não se consegue assegurar a correcção do processamento 9 17 Metodologia de Auditoria ØComo auditar o processamento informático ? Metodologia de Auditoria 10 19 Metodologia de Auditoria Fases Ø Compreensão Preliminar ØNegócio ØAmbiente de Controlo ØInformação e Comunicação ØAvaliação de Risco Ø Compreensão e Registo do Sistema Controlo ØAvaliação do Sistema de Controlo ØRegisto e Discussão de deficiências ØDesenho e Execução de Testes ØRegisto e Discussão de deficiências Ø Relatório ØPreparação, Apresentação e Follow-up Follow-up Deficiências Deficiências Relatório Testes Avaliação Compreensão e Registo Compreensão Preliminar 20 Metodologia de Auditoria Control Objectives for Information and Related Technology Critérios de Informação Re cur sos de IT P ro ce ss os d e IT Actividades Processos Domínios Qu alid ad e Co nfo rm ida de Se gu ran ça P es so al A pl ic aç õe s T ec no lo gi a F ac ili da de s D ad os CobiT 11 21 CobiT Metodologia de Auditoria Control Objectives for Information and Related Technology ØRequisitos de Qualidade Ø Qualidade Ø Custo Ø “Delivery” ØRequisitos Fiduciários (COSO Report) Ø Eficácia e Eficiência das operações Ø Confiança na informação financeira Ø Conformidade com legislação e regulamentos ØRequisitos de Segurança Ø Confidencialidade Ø Integridade Ø Disponibilidade 22 Auditoria do Risco Informático Domínios e Processos Ø Planeamento & Organização Ø PO1 define a strategic IT plan Ø PO2 define the information architecture Ø PO3 determine technological direction Ø PO4 define the IT organisation and relationships Ø PO5 manage the investment in IT Ø PO6 communicate management aims and direction Ø PO7 manage human resources Ø PO8 ensure compliance with external requirements Ø PO9 assess risks Ø PO10 manage projects Ø PO11 manage quality eff ec tive ne ss eff icie nc y co nfi de nti alit y int eg rity av aila bili ty co mp lian ce rel iab ility pe op le ap plic ati on s tec hn olo gy fac iliti es da ta Information Criteria IT Resources P P P P P P P P P P P S S S S P P S P P S P P P P P S S S S S S CobiT 12 23 Auditoria do Risco Informático efi cá cia efic iên cia co nfid en cia lida de inte gri da de dis po nib ilid ad e co nfo rm ida de rel iab ility SP Planning & Organisation Acquisiton & Implementation Delivery & Support Monitoring pe sso as ap lica çõ es tec no log ia fac ilitie s dad os Processos de IT Requisitos Negócio Definições de Controlo Práticas de Controlo O controlo de que satisfaz é permitdo por e toma em consideração P01 - Definir Plano Estratégico para o IT CobiT 24 Auditoria do Risco Informático Como Auditar ? M Obtenção de uma compreensão por: Mentrevistas ... Mobtenção de … MAvaliação de controlos por: MAvaliação da conformidade por: Mteste de … MSubstanciar o risco dos objectivos não serem atingidos por: Mexecução de … Midentificação de ... CobiT 13 25 Metodologia de Auditoria Guias Ø Avaliação de risco Ø Avaliação de controlos aplicacionais Ø Avaliação de controlos gerais Ø Avaliação de segurança de informação Ø Avaliação de sistemas IBM Ø Avaliação de sistemas UNIX Ø Avaliação de sistemas Windows NT Ø Avaliação de redes / micro-computadores Ø Avaliação de comunicações Ø Avaliação de implementação de aplicações Ø Interrogação de ficheiros 26 Metodologia de Auditoria Ferramentas Ø Interrogação de Ficheiros ØAvaliação de ... 14 27 Técnicas de auditoria Ø “Around Computer” Ø forma completamente errada de efectuar uma auditoria Ø “Throught Computer” Ø forma indicada de efectuar uma auditoria Ø “With computer” Ø formaideal de efectuar uma auditoria 28 Técnicas de auditoria Ø “Around Computer” Ø forma completamente errada de efectuar uma auditoria Ø o auditor identifica o input e confere-o com o respectivo output. Ø será que: Ø a informação não foi subsquentemente alterada ? Ø os controlos estão a funcionar de forma contínua ? 15 29 Técnicas de auditoria Ø “Throught Computer” Ø o auditor avalia e testa procedimentos e controlos informáticos Øcontrolos de segurança de acessos • acessos comensuráveis com funções dos utilizadores • tentativas de acesso Øcontrolos de operação do sistema • problemas na operação Øcontrolos informáticos a nível da aplicação • testes por simulação que os controlos funcionam 30 Técnicas de auditoria Ø “With computer” Ø o auditor recorre a software de auditoria para facilitar a avaliação e teste de procedimentos e controlos informáticos Ø o auditor desenvolve programas de interrogação para facilitar a determinação de: Ø acessos autorizados Øoperação correcta Øprocessamento e actualização de ficheiros correctos 16 31 O Auditor Informático ØQuestões ? Auditoria Informática
Compartilhar