Baixe o app para aproveitar ainda mais
Prévia do material em texto
06/03/2017 1 Auditoria e Segurança em S.I. Critérios de auditoria Competência dos Auditores O Boa parte da estabilidade e dos resultados obtidos pela atividade de auditoria depende da competência do grupo de auditores. O O auditor precisa ter competência em auditoria e competência específica para o tipo de auditoria que pretende conduzir. Competência dos Auditores O Essa competência é uma composição entre os atributos: O Pessoais; O Conhecimentos; O Habilidades e O Educação e experiência profissional. Competência dos Auditores O Essa competência é uma composição entre os atributos: O Pessoais; O Conhecimentos; O Habilidades e O Educação e experiência profissional. Competência dos Auditores O Pessoais: O O auditor precisa ser: O Ético; O Ter a mente aberta; O Observador; O Persistente; O Racional e O Autoconfiante. Competência dos Auditores O Essa competência é uma composição entre os atributos: O Pessoais; O Conhecimentos; O Habilidades e O Educação e experiência profissional. 06/03/2017 2 Competência dos Auditores O Conhecimentos : O O auditor precisa: O Conhecer técnicas de auditoria; O Conhecimento de negócio da organização; O Conhecer as leis e regulamentos... Competência dos Auditores O Essa competência é uma composição entre os atributos: O Pessoais; O Conhecimentos; O Habilidades e O Educação e experiência profissional. Competência dos Auditores O Habilidades: O O auditor precisa possuir: O Habilidades de gestão de equipes e de projetos; O Conhecer profundamente o critério a ser utilizado. Competência dos Auditores O Essa competência é uma composição entre os atributos: O Pessoais; O Conhecimentos; O Habilidades e O Educação e experiência profissional. Competência dos Auditores O Educação e experiência profissional : O Exemplo: O O auditor precisa ter treinamento em auditoria e conhecer bem o critério desta. Já o auditor líder precisa ter uma competência superior a dos demais auditores, em conhecimento e em experiência. Metodologia de Auditoria em SI´s O Deve ser flexível, aderente as diversas modalidades da auditoria em SI´s e alinhada as boas práticas de auditoria do mercado. Recomenda-se as seguintes fases: 06/03/2017 3 Metodologia de Auditoria em SI´s O Planejamento e controle do projeto de auditoria de SI´s: O A partir das diretrizes da Alta Direção, estabelecer ações, recursos necessários; Metodologia de Auditoria em SI´s O Dois Grupos: O 1º grupo com o corpo gerencial, definirá procedimentos e acompanhará; O 2º grupo formado por auditores e técnicos de Informática que executam a auditoria efetivamente; O Recomenda-se utilizar padrões de mercado como o PMBOK Metodologia de Auditoria em SI´s O Levantamento do sistema de informação a ser auditado: O Definido o escopo do trabalho, levanta-se as informações necessárias sobre o sistema a ser auditado; O Levantamento macro através de entrevistas e análise da documentação ; O Ferramentas uteis podem ser DFD, MER, Dicionário de dados, use cases, diagramas de classe e sequência, diagramas de integração de sistemas (explicam o seu funcionamento) Metodologia de Auditoria em SI´s O Identificação e Inventário dos Pontos de Controle: O Podem ser identificados em documentos de entrada, relatórios de saídas, telas, arquivos, BD´s, integrações, etc. O Devem ser relacionados e descritos quanto ao controle interno e funções que exercem no sistema ; Metodologia de Auditoria em SI´s O Identificação e Inventário dos Pontos de Controle: O Identificar parâmetros, pontos fracos e técnicas de auditoria adequadas a sua validação; O Este trabalho deve ser validado pelo grupo de coordenação do Projeto de Auditoria. Metodologia de Auditoria em SI´s O Priorização e seleção dos pontos de controle do SI auditado: O Selecionar e priorizar pontos definidos na etapa anterior baseados em: O Grau de risco do ponto: Prejuízos que podem gerar no sistema a curto, médio e longo prazo; O Existência de ameaças: Priorizar os sob forte ameaça; 06/03/2017 4 Metodologia de Auditoria em SI´s O Priorização e seleção dos pontos de controle do SI auditado: O Disponibilidade de recursos: Pontos que podem ser auditados com os recursos disponíveis; O Reavaliar a priorização ao longo do trabalho para confirmar a ordenação estabelecida; Metodologia de Auditoria em SI´s O Avaliação dos pontos de controle: O É a auditoria em si! O Nos testes devem ser aplicadas técnicas adequadas a cada ponto de controle que evidenciem falhas ou fraquezas. Metodologia de Auditoria em SI´s Metodologia de Auditoria em SI´s O Conclusão da Auditoria: O Elaborar relatório com os resultados, qualquer que seja, refletindo o diagnóstico dos pontos de controle; O As fraquezas devem ser classificadas como pontos de auditoria e devem ser apontadas recomendações para sua solução ou mitigação; Metodologia de Auditoria em SI´s O Conclusão da Auditoria: O Cada ponto de auditoria deve sofrer revisão e avaliação periódica pelos analistas e usuários responsáveis. Metodologia de Auditoria em SI´s 06/03/2017 5 Metodologia de Auditoria em SI´s O Acompanhamento da Auditoria: O O (follow-up) acompanhamento da auditoria deve ser realizado até que todas as recomendações tenham sido executas e as fraquezas eliminadas ou mitigadas em um nível aceitável pela organização. Metodologia de Auditoria em SI´s Ferramentas de Auditoria em SI´s O Aliados para a extração, classificação e seleção de dados e transações a serem validadas, apoiando na evidenciação de discrepâncias e desvios. O Estas ferramentas podem ser categorizadas em: Ferramentas de Auditoria em SI´s O Aliados para a extração, classificação e seleção de dados e transações a serem validadas, apoiando na evidenciação de discrepâncias e desvios. O Estas ferramentas podem ser categorizadas em: O Ferramentas Generalistas de auditoria de Tecnologia da Informação ; O Ferramentas Especializadas de auditoria; O Programas utilitários em geral; Ferramentas de Auditoria em SI´s O Ferramentas generalistas de auditoria de Tecnologia da Informação: O Softwares que podem processar, simular, analisar amostras, gerar estatísticas, sumarizar, apontar duplicidades e outras funções necessárias ao auditor: O ACL (Audit Comand Language) – Software canadense para extração e analise de dados; Ferramentas de Auditoria em SI´s 06/03/2017 6 Ferramentas de Auditoria em SI´s O Ferramentas generalistas de auditoria de Tecnologia da Informação: O Pentana – Software de planejamento estratégico de auditoria, com planejamento e monitoramento de recursos, controle de horas, check-lists, programas de auditoria como desenho e gerenciamento de plano de ação. Ferramentas de Auditoria em SI´s O www.pentana.com Ferramentas de Auditoria em SI´s O Ferramentas generalistas de auditoria de Tecnologia da Informação: O Vantagens em utiliza-las: O Processar vários arquivos simultaneamente; O Processar arquivos em formatos diferentes; O Integração sistêmica com vários tipo de software e hardware; O Reduz a dependência do auditor em relação ao pessoal de TI. Ferramentas de Auditoria em SI´s O Ferramentas generalistas de auditoria de Tecnologia da Informação: O Desvantagens em utiliza-las: O Em geral podem ser utilizadas no ambiente online; O Por ser generalistas, podem não atender em casos mais complexos, que exijam, por exemplo, cálculos complexos. Ferramentas de Auditoria em SI´s O Ferramentas especializadas de auditoria: O Desenvolvidos especificamentepara executarem tarefas em circunstâncias definidas. Desenvolvidos pelo auditor, por especialista da empresa ou por terceiro contratado para isso. O Feito sob medida! Ferramentas de Auditoria em SI´s O Ferramentas especializadas de auditoria: O Vantagem em seu uso é atender demandas especificas como Financeiro (crédito imobiliário, leasing, cartão de crédito, etc.) ou outras áreas de mercado que assim o exijam; 06/03/2017 7 Ferramentas de Auditoria em SI´s O Ferramentas especializadas de auditoria: O Como desvantagens podemos apontar o seu custo de desenvolvimento e o processo de atualização da ferramenta ao longo do tempo. Ferramentas de Auditoria em SI´s O Programas utilitários em geral: O Softwares utilitários de uso geral para classificar arquivos, concatenar textos, sumarizar, gerar relatórios. O Sendo de uso geral, não possuem recursos necessários a auditoria como p.e.: verificação de totais de controle ou gravação de trilhas de auditoria; Ferramentas de Auditoria em SI´s O Programas utilitários em geral: O Vantagem: Esta em ser utilizado como uma solução alternativa na falta de um recurso mais especifico; O Desvantagem: Haverá a necessidade de apoio do usuário e de TI. Ferramentas de Auditoria em SI´s O Programas utilitários em geral: Ferramentas de Auditoria em SI´s O Programas utilitários em geral: O Vantagem: Esta em ser utilizado como uma solução alternativa na falta de um recurso mais especifico; O Desvantagem: Haverá a necessidade de apoio do usuário e de TI. A carreira do auditor de sistemas O Certificações: O ISACA: Certified Information System Auditor (CISA) O British Computer Society: Exame da Sociedade Britânica de Informática O Institute of Internal Auditors (IIA): Qualificação em Auditoria Computacional 42 06/03/2017 8 Exercícios 1ª) Quais são os atributos das competências de um auditor? Discorra sobre cada uma delas. 2ª) Fale sobre o que ocorre em cada uma das fases propostas para se realizar uma auditoria. 3ª)Discorra sobre os três tipos de ferramentas que podem ser utilizadas em uma auditoria. Cite exemplos. 4ª) Você possui interesse em realizar uma certificação para auditor? Se sim, qual(is)?
Compartilhar