Aula 04 - Metodologia de Auditoria de Sistemas de Informação

Prévia do material em texto

Auditoria de 
Sistemas de 
Informação
Aula 4 - Metodologia de Auditoria de Sistemas 
de Informação e Análise de Riscos
Metodologia de ASI
Descreve como funciona a auditoria na prática e as 
atividades que são realizadas em cada fase.
➔ Planejamento
Delimita o escopo e os recursos a serem 
investidos na auditoria.
➔ Auditoria de Posição
Refere-se ao levantamento e análise do 
ambiente auditado em um dado momento no 
tempo.
➔ Auditoria de Acompanhamento
Refere-se ao processo de verificação e 
reavaliação dos pontos levantados em 
auditorias anteriores.
Das aulas anteriores…
Riscos Controle Interno
Algo indesejável que pode 
acontecer
Medidas que mantém os 
processos da empresa 
funcionando como projetado
Metodologia de AIS
Fonte: GIL et al (2018)
Planejamento e controle
Imagem de Mohamed Hassan por Pixabay.
https://pixabay.com/pt/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924
https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924
➔ Uma das partes mais importantes do 
trabalho de auditoria.
➔ Define a necessidade de recursos e escopo 
em função do tempo definido.
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Identificação do tipo de auditoria
◆ Verificação de conformidade com padrões
◆ Melhoria processos sistematizados
◆ Compliance (conformidade)
● Sistema bancário com normas do BACEN
● Sistema de gerenciamento com regulamentos internos
● Sistema de saúde com LGPD
◆ Certificação
● Normas ISO, IEEE
◆ “Auditoria CSI”
➔ Formação de dois grupos:
◆ Coordenação: geralmente a alta gerência que irá direcionar os 
rumos da auditoria.
◆ Execução: auditores e técnicos que realizarão as atividades de 
auditoria.
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
Formação das equipes de auditoria
● Grupo de coordenação
○ Gerente de auditoria (coordenador dos trabalhos)
○ Gerentes que trabalham diretamente com o sistema a ser auditado
■ Gerente de Requisitos
■ Gerente de Desenvolvimento
■ Gerente de Testes
■ Gerente de Operações
■ Gerente de Suporte ao Produto
○ (Desejável) Coordenadores que trabalham em áreas afetadas ou afins
■ Coordenador de produto
■ Coordenador de RH (sistema de RH)
■ Coordenador de vendas (sistema de comércio online)
■ Coordenador de suprimentos (sistema de compras)
○ (Desejável) Alta Gerência (representante)
■ Diretor de TI
■ CIO 
Foto: Rodeo Project Management Software / Unsplash
Formação das equipes de auditoria
● Grupo de trabalho
○ Auditores
○ Alguns representantes que trabalham diretamente com o 
sistema a ser auditado
■ Analista de Requisitos
■ Analista de Desenvolvimento
■ Analista de Testes
■ Analista de Operações
■ Analista de Suporte ao Produto
○ Algum representante de áreas diretamente afetadas ou afins
■ Analista de RH (sistema de RH)
■ Analista de vendas (sistema de comércio online)
■ Analista de suprimentos (sistema de compras)
Foto: Rodeo Project Management Software / Unsplash
Tarefas de cada grupo
Foto: Rodeo Project Management Software / Unsplash
● Grupo de coordenação
○ Verificar se os trabalhos se alinham com os objetivos 
geral da empresa e do processo
○ Definição do objetivo
○ Definir o escopo
○ Aprovar orçamentos e cronogramas
○ Aprovar relatório final ou parecer de auditoria
● Grupo de trabalho
○ Elaborar os orçamentos e cronogramas
○ levantar recursos necessários para realização da 
auditoria
○ Realizar as análises e coletas de evidências
○ Escrever o relatório final ou parecer
Planejamento e 
controle
● Elaboração de 
cronograma
Fonte: GIL et al. (2018)
➔ Recursos financeiros, humanos e tecnológicos necessários
◆ planilhas
◆ quadro de reserva de recursos
◆ documentação pode variar de acordo com a empresa
➔ Elaboração de orçamento
◆ custo do projeto
◆ recursos financeiros disponíveis a serem aplicados
◆ Fonte dos recursos a serem investidos
● Capex, Opex, elemento econômico, etc..
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
Dúvidas?
? ?
? ?
?
?
?
?
?
Auditoria de Posição
Imagem de Mohamed Hassan por Pixabay.
https://pixabay.com/pt/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924
https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924
➔ Levantamento de ambiente ou sistema
➔ Identificação e inventário dos pontos de controle
➔ Priorização e seleção dos pontos de controles 
levantados
➔ Revisão e avaliação dos pontos de controle
➔ Conclusão
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Levantamento de ambiente e/ou sistema
◆ Objetivos:
● Entender o sistema a nível macro. 
● Entender os conceitos envolvidos em sua concepção, modelos, arquitetura 
e componentes.
◆ Técnicas:
● Entrevistas
● Análise de documentos
○ Diagramas de Fluxos
○ Dicionário de Dados
○ Modelo Entidade-Relacionamento, etc
◆ Importante: respeitar sempre o escopo previamente acordado
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Levantamento de ambiente e/ou sistema
◆ Atividade: Realizar Levantamentos
● Objetivos:
○ Caracterizar o ambiente em um ponto temporal
○ Entender a lógica e funcionamento dos sistemas e procedimentos
○ Registrar, documentar e mapear o ambiente de trabalho alvo da auditoria
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Levantamento de ambiente e/ou sistema
◆ Atividade: Realizar Levantamentos
● Ferramentas utilizadas:
○ Entrevistas e questionários
○ Análise de documental;
○ Análise de relatórios gerenciais;
○ Verificações presenciais
○ Papéis de trabalho
◆ Forma estruturada de organização dos materiais coletados durante a realização dos 
trabalhos de auditoria.
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Levantamento de ambiente e/ou sistema
◆ Após o levantamento o auditor deverá ser capaz de:
● Entender, de forma geral, como funcionam os processos de trabalho
● Ter uma noção geral dos ambientes de trabalho das seções-alvo da 
auditoria
● Identificar as melhores estratégias e ferramentas a serem aplicadas na fase 
de verificação de controles
● Identificar pontos de controles do processo
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Levantamento de ambiente ou sistema
➔ Identificação e inventário dos pontos de controle
➔ Priorização e seleção dos pontos de controles 
levantados
➔ Revisão e avaliação dos pontos de controle
➔ Conclusão
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Identificação e inventário dos pontos de controle
◆ Objetivos:
● Identificar elementos que estão no escopo delimitado no 
planejamento e merecem ser levantados e validados pela 
auditoria.
● Identificar as fraquezas dos pontos de controle levantados
● Identificar possíveis riscos associados a essas fraquezas.
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Identificação e inventário dos pontos de controle
◆ Atividade: Caracterizar ponto de controle
● Levantamento e delimitação do ambiente de ocorrência do ponto de 
controle.
● Descrição dos recursos envolvidos na sua execução:
○ humanos
○ tecnológicos
○ financeiros
○ materiais
● Análise de quais procedimentos operacionais e/ou administrativos 
acionam ou dependem do resultado deste controle.
● Mapeamento de quais resultados derivam direta ou indiretamente deste 
controle.
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Identificação e inventário dos pontos de controle
◆ Atividade: Caracterizar ponto de controle
● Pontos a serem analisados:
○ Uso de banco de dados
○ Uso da representação gráfica WBS
○ classificação de parâmetros
○ entendimento de causa e efeitos
○ aplicação deindicadores e métricas
○ implicações na gestão de risco da organização
○ estratégias de revisão do controle interno
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Identificação e inventário dos pontos de controle
◆ Após inventariar os pontos de controle, o auditor deverá ser capaz de:
● Entender, detalhadamente, como funcionam certos processos de trabalho.
● Ter uma visão geral dos ambientes de trabalho a que estão inseridos os 
pontos de controle analisados.
● Identificar quais os objetivos organizacionais são relacionados aos pontos de 
controles inventariados.
● Definir as melhores estratégias e ferramentas a serem aplicadas na fase de 
verificação de controles
● Definir quais as melhores métricas aplicáveis para a avaliação dos pontos 
identificados.
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Levantamento de ambiente ou sistema
➔ Identificação e inventário dos pontos de controle
➔ Priorização e seleção dos pontos de controles levantados
➔ Revisão e avaliação dos pontos de controle
➔ Conclusão
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Priorização e seleção dos pontos de controles levantados
◆ É executada pela coordenação
◆ Análise de risco → priorização das atividades que têm maior risco 
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Priorização e seleção dos 
pontos de controles 
levantados
◆ A execução da auditoria 
em determinados pontos 
de controle são, também, 
ponderados pela 
quantidade de recursos 
disponíveis para sua 
execução.
Auditoria de AcompanhamentoAuditoria de Posição
Planejamento e controle
➔ Matriz de risco 
gravidade do risco
ch
an
ce
 d
o
 r
is
co
 a
co
n
te
ce
r
➔ Matriz de risco 
5
4
3
2
1
1 2 3 4
gravidade do risco
ch
an
ce
 d
o 
ris
co
 a
co
nt
ec
er
➔ Matriz de risco 
5 Frequente: Ocorre continuamente.
4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto
3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto
2 Remoto: Dificilmente ocorrerá
1 Improvável: Muito improvável de acontecer, mas possível. 
ch
an
ce
 d
o 
ris
co
 a
co
nt
ec
er
Fonte: US Army, MILITARY STANDARD SYSTEM SAFETY PROGRAM REQUIREMENTS. 1984
➔ Matriz de risco 
Insignificante Marginal Crítico Catastrófico
Vida Escoriações Pequenos ferimentos Incapacidade severa Morte
Sistemas Perda ou indisponibilidade 
pontual de sistema
Perda ou indisponibilidade 
restrita de sistema
Perda ou indisponibilidade 
considerável de sistema
Perda permanente de 
sistema
Perda de dados Sem perda ou indisponibili- 
dade considerável de dados
Breve indisponibilidade de 
dados
Perda temporária de dados Perda permanente de 
dados
Atividades 
empresariais
Desempenho de atividades 
afetado pontualmente
Desempenho de 
atividades levemente 
afetado
Desempenho de atividades 
seriamente afetado
Grande perda de 
faturamento ou paralisia das 
atividades
Físico/ambiental Dano causal Pequenos danos Dano de grande monta Destruição completa
Impacto atividades Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo
Legal Sem risco de punição Punição questionável Risco de punição importante Risco de punição severa
1 2 3 4
gravidade do risco
Adaptado de : US Army, MILITARY STANDARD SYSTEM SAFETY PROGRAM REQUIREMENTS. 1984
➔ Matriz de risco 
5
4
3
2 6
1 1
1 2 3 4
gravidade do risco
ch
an
ce
 d
o
 r
is
co
 a
co
n
te
ce
r
grau de risco
➔ Matriz de risco 
5 5 10 15 20
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
gravidade do impacto
ch
an
ce
 d
o
 r
is
co
 a
co
n
te
ce
r
➔ Matriz de risco 
5 5 10 15 20
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
gravidade do risco
ch
an
ce
 d
o 
ris
co
 a
co
nt
ec
er
r ≤ 3 aceitável
4 ≤ r ≤ 7 aceitável com plano 
de gerenciamento
8 ≤ r ≤ 10 indesejável
r > 10 inaceitável
nível de aceitabilidade
Dúvidas?
? ?
? ?
?
?
?
?
?
Exemplo:
Ataque de ransomware
Ataque de ransomware
Ataque de ransomware
5 Frequente: Ocorre continuamente.
4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto
3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto
2 Remoto: Dificilmente ocorrerá
1 Improvável: Muito improvável de acontecer, mas possível. 
Ataque de ransomware
5 Frequente: Ocorre continuamente.
4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto
3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto
2 Remoto: Dificilmente ocorrerá
1 Improvável: Muito improvável de acontecer, mas possível. 
Ataque de ransomware
Insignificante Marginal Crítico Catastrófico
Escoriações Pequenos ferimentos Incapacidade severa Morte
Perda ou indisponibilidade 
pontual de sistema
Perda ou indisponibilidade 
restrita de sistema
Perda ou indisponibilidade 
considerável de sistema
Perda permanente de 
sistema
Sem perda ou indisponibili- 
dade considerável de dados
Breve indisponibilidade de 
dados
Perda temporária de dados Perda permanente de dados
Desempenho de atividades 
afetado pontualmente
Desempenho de atividades 
levemente afetado
Desempenho de atividades 
seriamente afetado
Grande perda de faturamento 
ou paralisia das atividades
Dano causal Pequenos danos Dano de grande monta Destruição completa
Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo
Sem risco de punição Punição questionável Risco de punição 
importante
Risco de punição severa
1 2 3 4
Ataque de ransomware
Insignificante Marginal Crítico Catastrófico
Escoriações Pequenos ferimentos Incapacidade severa Morte
Perda ou indisponibilidade 
pontual de sistema
Perda ou indisponibilidade 
restrita de sistema
Perda ou indisponibilidade 
considerável de sistema
Perda permanente de 
sistema
Sem perda ou indisponibili- 
dade considerável de dados
Breve indisponibilidade de 
dados
Perda temporária de dados Perda permanente de dados
Desempenho de atividades 
afetado pontualmente
Desempenho de atividades 
levemente afetado
Desempenho de atividades 
seriamente afetado
Grande perda de faturamento 
ou paralisia das atividades
Dano causal Pequenos danos Dano de grande monta Destruição completa
Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo
Sem risco de punição Punição questionável Risco de punição 
importante
Risco de punição severa
1 2 3 4
Ataque de ransomware
5 5 10 15 20
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
gravidade do risco
ch
an
ce
 d
o 
ris
co
 a
co
nt
ec
er
r ≤ 3 aceitável
4 ≤ r ≤ 7 aceitável com plano 
de gerenciamento
8 ≤ r ≤ 10 indesejável
r > 10 inaceitável
Exemplo:
Conversão de separador decimal incorreto no relatório gerencial interno
Conversão de separador decimal incorreto no relatório gerencial interno
5 Frequente: Ocorre continuamente.
4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto
3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto
2 Remoto: Dificilmente ocorrerá
1 Improvável: Muito improvável de acontecer, mas possível. 
Conversão de separador decimal incorreto no relatório gerencial interno
5 Frequente: Ocorre continuamente.
4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto
3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto
2 Remoto: Dificilmente ocorrerá
1 Improvável: Muito improvável de acontecer, mas possível. 
Conversão de separador decimal incorreto no relatório gerencial interno
Insignificante Marginal Crítico Catastrófico
Escoriações Pequenos ferimentos Incapacidade severa Morte
Perda ou indisponibilidade 
pontual de sistema
Perda ou indisponibilidade 
restrita de sistema
Perda ou indisponibilidade 
considerável de sistema
Perda permanente de 
sistema
Sem perda ou indisponibili- 
dade considerável de dados
Breve indisponibilidade de 
dados
Perdatemporária de dados Perda permanente de dados
Desempenho de atividades 
afetado pontualmente
Desempenho de atividades 
levemente afetado
Desempenho de atividades 
seriamente afetado
Grande perda de faturamento 
ou paralisia das atividades
Dano causal Pequenos danos Dano de grande monta Destruição completa
Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo
Sem risco de punição Punição questionável Risco de punição 
importante
Risco de punição severa
1 2 3 4
Conversão de separador decimal incorreto no relatório gerencial interno
Insignificante Marginal Crítico Catastrófico
Escoriações Pequenos ferimentos Incapacidade severa Morte
Perda ou indisponibilidade 
pontual de sistema
Perda ou indisponibilidade 
restrita de sistema
Perda ou indisponibilidade 
considerável de sistema
Perda permanente de 
sistema
Sem perda ou indisponibili- 
dade considerável de dados
Breve indisponibilidade de 
dados
Perda temporária de dados Perda permanente de dados
Desempenho de atividades 
afetado pontualmente
Desempenho de atividades 
levemente afetado
Desempenho de atividades 
seriamente afetado
Grande perda de faturamento 
ou paralisia das atividades
Dano causal Pequenos danos Dano de grande monta Destruição completa
Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo
Sem risco de punição Punição questionável Risco de punição 
importante
Risco de punição severa
1 2 3 4
Conversão de separador decimal incorreto no relatório gerencial interno
5 5 10 15 20
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
gravidade do risco
ch
an
ce
 d
o 
ris
co
 a
co
nt
ec
er
r ≤ 3 aceitável
4 ≤ r ≤ 7 aceitável com plano 
de gerenciamento
8 ≤ r ≤ 10 indesejável
r > 10 inaceitável
Ataque de ransomware
5 5 10 15 20
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
gravidade do risco
ch
an
ce
 d
o 
ris
co
 a
co
nt
ec
er
r ≤ 3 aceitável
4 ≤ r ≤ 7 aceitável com plano 
de gerenciamento
8 ≤ r ≤ 10 indesejável
r > 10 inaceitável
Dúvidas?
? ?
? ?
?
?
?
?
?
Seminário 1
Análise de risco 
Imagem de Mohamed Hassan por Pixabay.
https://pixabay.com/pt/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924
https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924
Objetivo:
Estudar as diversas técnicas de análise de risco 
utilizadas no mercado
Tarefa:
Elaborar uma apresentação de 10 a 15 minutos 
sobre alguma técnica de análise de risco utilizada 
atualmente.
Conteúdos:
● Conceito/objetivos da técnica escolhida
● Origens e desenvolvimento histórico
● Passo-a-passo da aplicação da técnica
● Pelo menos 1 exemplo de aplicação na área 
onde originalmente foi desenvolvida
● Pelo menos 2 exemplos aplicados em TI.
Forma:
O aluno está livre para utilizar a forma de 
apresentação que desejar sempre tendo em mente 
os recursos disponíveis em laboratório.
“Reserva” de tópico:
Para que duas pessoas não apresentem o mesmo 
tópico, será criado um tópico no canal “Geral” da 
disciplina na plataforma Teams onde cada aluno 
deverá observar os tópicos já escolhidos e 
responder com o tópico diferente a ser 
apresentado.
Critérios de pontuação:
Se o aluno apresentar um tópico repetido será penalizado em 40%.
● (20%) Conceito/objetivos da técnica escolhida
● (10%) Origens e desenvolvimento histórico
● (15%) Passo-a-passo da aplicação da técnica
● (15%) Pelo menos 1 exemplo de aplicação na área onde 
originalmente foi desenvolvida
● (30%) Pelo menos 2 exemplos aplicados em TI.
Tempo: Desconto de 10% para cada minuto que faltar para completar 
10 min. ou que exceder 15 min.
Forma: Apresentações bem elaboradas ganham bônus de até 10%. 
Apresentações muito confusas/mal feitas podem perder até 10%.
Prazo máxima para escolha de tópico: 9/9 23:59h
Apresentação: 16/9 (1ª aula)
Peso na nota final: 15%
Dúvidas?
? ?
? ?
?
?
?
?
?
Referências
GIL, Antonio Loureiro. ARIMA, Carlos Hideo. Auditoria de 
Negócio com TI. 1a Edição. São Paulo: Saraiva Educação. 
2018.
SCHMIDT,Paulo. SANTOS, José Luiz. ARIMA, Carlos Hideo. 
Introdução à Auditoria de Sistemas de Informação. 2006.
CASATI, João. Auditoria de Sistemas. Rio de Janeiro: 
SESES, 2016.
UNIVERSIDADE ESTÁCIO DE SÁ. Auditoria e controles de 
seg. e classificação da informação
UNIVERSIDADE DE CIÊNCIA E TECNOLOGIA DE HONG 
KONG. Information Systems Auditing, Controls and 
Assurance. 2023. In: coursera.org
NAGATA, Hiromassa. GOMES, Estela Maria. Fundamentos 
de Auditoria e Auditoria de Sistemas.