Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas de Informação Aula 3- Controle Interno Agenda do dia ➔ Controles Internos Definições e exemplos ➔ Estudo de Caso Neste ponto, faremos um breve estudo de caso em implementação de controles internos. ➔ Exemplos em SI Veremos com mais detalhes o tópico aplicado em Sistemas de Informações. Controles Internos A auditoria de SI… Riscos Controle Interno Algo indesejável que pode acontecer Mantém os processos da empresa funcionando como projetado O que são Controles Internos? Segundo o Instituto Americano dos Contadores Públicos Certificados: “Plano de organização e todos os métodos e medidas coordenados, aplicados em uma empresa a fim de proteger seus bens, conferir exatidão e a fidelidade de seus dados contábeis, promover a eficiência e estimular a obediência às diretrizes administrativas estabelecidas pela gestão.” Foto: Rodeo Project Management Software / Unsplash O que são Controles Internos? Os controles internos são mecanismos corporativos que, quando aplicados em uma empresa, têm o objetivo de proteger os ativos empresariais. Foto: Rodeo Project Management Software / Unsplash Redução de risco Quais os objetivos a serem alcançados? Imagem de PublicDomainPictures por Pixabay ➔ Proteção de bens ➔ Combate a desperdícios ➔ Melhoria da eficiência organizacional ➔ Obediência das diretrizes administrativas estabelecidas ➔ Observância às leis e regulamentos https://pixabay.com/pt/users/publicdomainpictures-14/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=163464 https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=163464 Quais os objetivos a serem alcançados? Imagem de PublicDomainPictures por Pixabay ➔ Segurança Física ◆ Proteção de bens, ativos e recursos contra perda, mau uso, dano ou utilização indevida. ➔ Segurança Lógica ◆ Manutenção da integridade e confiabilidade da informação produzida e sua disponibilidade. https://pixabay.com/pt/users/publicdomainpictures-14/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=163464 https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=163464 Mais sobre o como a gestão de risco se relaciona com os conceitos de controles internos Ouçam o podcast “Propósito” que entrevista Francisco Bessa quanto aos riscos em organizações. Este material é parte da série de podcasts “Riscos e Controles Internos” realizada em 2022 pelo Serpro - Serviço Federal de Processamento de Dados. Disponível em: https://www.youtube.com/watch?v=xq8kTjDy28Q https://www.youtube.com/watch?v=xq8kTjDy28Q http://www.youtube.com/watch?v=xq8kTjDy28Q Que mecanismos são esses? Foto: AbsolutVision / Unsplash ● Políticas internas ○ Troca periódica de senhas de acesso ○ Abertura de ticket ○ Commit de código em repositório de versionamento de arquivos ao final do dia ○ Reunião periódica da equipe para alinhamento de objetivos ● Procedimentos ○ Envio de e-mail solicitando troca de senha ○ Apresentação presencial no departamento de TI para cadastro da senha ○ Destruição física de HD’s antigos Que mecanismos são esses? Foto: AbsolutVision / Unsplash ● Prática ○ Mencionar o número do ticket ao commitar código ○ Identar corretamente o código ○ Implementar teste unitário ao escrever um módulo novo ● Leis e regulamentações ○ Legislação Interna (mais comum no serviço público) ○ Regulamentação de órgãos fiscalizadores ○ Leis como o Marco Civil da Internet e a LGPD Dúvidas? ? ? ? ? ? ? ? ? ? Considerando o risco de Incêndio, liste 10 medidas (controles) que poderiam ser implementadas para diminuir o risco de incêndio em um local. Exemplos: ● Instalação de extintores de incêndio ● Formação de brigada de incêndio Atividade - Controles Internos (Teams) 1. extintores de incêndio 2. brigada de incêndio 3. não sobrecarregar tomadas 4. hidrantes/ mangotinhos 5. armazenamento correto de materiais 6. licença de bombeiros 7. políticas para fumo em locais adequados 8. verificação e manutenção periódica da rede elétrica interna 9. alarmes e detectores de fumaça 10. manutenção predial e materiais 11. treinamento dos funcionários 12. ventilação dos ambientes 13. saída de emergência 14. manutenção de mangueiras e extintores 15. manter materiais inflamáveis longe de áreas com fogo 16. adequação às leis 17. conscientização dos usuários 18. sinalização de áreas perigosas 19. iluminação de emergência 20. porta corta-fogo Atividade - Controles Internos (Teams) 1. extintores de incêndio 2. brigada de incêndio 3. detector de fumaça 4. manter os produtos inflamáveis contidos 5. instituir uma cipa 6. proibição de fumo em locais de risco 7. ventilar o ambiente 8. sinalizar as saídas de emergência 9. sinalizar as áreas perigosas 10. campanha de conscientização 11. serviços na nuvem 12. instalação de sprinklers 13. criar uma cultura de prevenção 14. bomba de incêndio /hidrante/mangueira de água 15. iluminação de emergência 16. remover equipamentos não relevantes 17. plano de evacuação 18. posicionar equipamentos longe de materiais inflamáveis 19. treinamento e simulação de incêndios 20. controle de acesso a lugares que armazenam produtos inflamáveis Atividade - Controles Internos (Teams) Exemplos de controles preventivos: ➔ instalação de fechadura em uma porta ➔ uso de cinto de segurança ➔ criptografia de conexão entre dois sistemas Controles preventivos Previne um risco antes que ele aconteça ou diretamente diminui suas consequências caso o risco se concretize. Exemplos de controles detectivos: ➔ instalação de detector de fumaça ➔ SMS de aviso de compra no cartão de crédito ➔ log de tentativas de acesso a um serviço. Controles detectivos Usado para identificar quando um risco acontece enquanto ele está em curso (preferencialmente) ou após acontecer. Exemplos de controles preventivos: ➔ plano de contingência ➔ contratação de seguro ➔ restauração de backup Controles corretivos Atua no reparo dos impactos causados por algum risco materializado. 1. extintores de incêndio 2. brigada de incêndio 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Atividade - Controles Internos (Teams) Resultado final: ● Quantos controles de cada tipo foram mapeados? ● O que isso nos diz sobre o caráter principal da auditoria de sistemas? Atividade - Controles Internos (Teams) Dúvidas? Mais exemplos de controle interno: Implantação de um software de criptografia Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Implantação de um software de criptografia Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Implantação de um software de criptografia Qual o risco endereçado? Acesso não autorizado às informações. Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Job Rotation Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Job Rotation Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Job Rotation Qual o risco endereçado? Restrição do conhecimento das funções a apenas um (ou poucos) funcionários. Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Pair programming Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Pair programming Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Pair programming Qual o risco endereçado? Ocorrência de bugs no sistema por ignorância ou imperícia Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplosde controle interno: Backup e restauração de dados Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Backup e restauração de dados Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Backup e restauração de dados Qual o risco endereçado? Perda de dados Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Implementação de senhas de acesso Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Implementação de senhas de acesso Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Implementação de senhas de acesso Qual o risco endereçado? Acesso a recursos não autorizados Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Log de sistema Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Log de sistema Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Log de sistema Qual o risco endereçado? Usuários efetuarem ações indevidas no sistema. Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Seminários em boas práticas de Segurança da Informação Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Seminários em boas práticas de Segurança da Informação Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Seminários em boas práticas de Segurança da Informação Qual o risco endereçado? Introdução acidental de brechas de segurança no código. Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Instalação de Circuito Interno de TV Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Instalação de Circuito Interno de TV Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Instalação de Circuito Interno de TV Qual o risco endereçado? Ocorrência de atividades suspeitas nas dependências da empresa. Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Envio de confirmação de endereço de e-mail e/ou número de telefone celular Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Envio de confirmação de endereço de e-mail e/ou número de telefone celular Qual o risco endereçado?Caráter: ● Preventivo ● Detectivo ● Corretivo Mais exemplos de controle interno: Envio de confirmação de endereço de e-mail e/ou número de telefone celular Qual os riscos endereçados? ● Entrada de dados incorretos pelo usuário. ● Uso de endereços ou números que não pertencem ao usuário. Caráter: ● Preventivo ● Detectivo ● Corretivo Dúvidas? ? ? ? ? ? ? ? ? ? Veja a seguir a apresentação de Jefferson Carvalho para o GRCI em Webinar - Gestão de Riscos e Controles Internos realizada pelo SERPRO - Serviço Federal de Processamento de Dados em abril/2022. https://www.youtube.com/live/aj 1BM8xfMzg?feature=share&t=265 Controles Internos na prática https://www.youtube.com/live/aj1BM8xfMzg?feature=share&t=265 https://www.youtube.com/live/aj1BM8xfMzg?feature=share&t=265 http://www.youtube.com/watch?v=aj1BM8xfMzg&t=266 Revisão Os Controles internos são mecanismos que mantêm os processos das empresas rodando conforme desenhado pela alta administração. Além disso, têm a missão de manter os ativos empresariais à salvo tanto fisicamente quanto de maneira lógica. Por fim, contribuem para melhoria contínua de processos tanto do ponto de vista de eficiência operacional como da eficácia dos processos. Práticas, políticas, procedimentos e legislação são geradores de controle. Revisão Os Controles internos se classificam, quanto ao seu caráter de endereçamento dos riscos, em 3 categorias: ● Preventivos, quando se prestam a tentar evitar que um risco se materialize. ● Detectivos, quando detectam a ocorrência de um impacto em curso ou já ocorrido ● Corretivos, quando agem na reparação dos danos causados pela ocorrência de um sinistro. Dúvidas? ? ? ? ? ? ? ? ? ? Referências GIL, Antonio Loureiro. ARIMA, Carlos Hideo. Auditoria de Negócio com TI. 1a Edição. São Paulo: Saraiva Educação. 2018. SCHMIDT,Paulo. SANTOS, José Luiz. ARIMA, Carlos Hideo. Introdução à Auditoria de Sistemas de Informação. 2006. CASATI, João. Auditoria de Sistemas. Rio de Janeiro: SESES, 2016. UNIVERSIDADE ESTÁCIO DE SÁ. Auditoria e controles de seg. e classificação da informação UNIVERSIDADE DE CIÊNCIA E TECNOLOGIA DE HONG KONG. Information Systems Auditing, Controls and Assurance. 2023. In: coursera.org NAGATA, Hiromassa. GOMES, Estela Maria. Fundamentos de Auditoria e Auditoria de Sistemas. ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA (ENAP). Técnicas de Auditoria Interna Governamental.
Compartilhar