aula-5auditoria-e-seguranc3a7a-em-si

Prévia do material em texto

06/03/2017 
1 
Auditoria e 
Segurança em S.I. 
Critérios de auditoria 
Competência dos Auditores 
O Boa parte da estabilidade e dos resultados 
obtidos pela atividade de auditoria depende 
da competência do grupo de auditores. 
 
O O auditor precisa ter competência em 
auditoria e competência específica para o 
tipo de auditoria que pretende conduzir. 
Competência dos Auditores 
O Essa competência é uma composição entre 
os atributos: 
O Pessoais; 
O Conhecimentos; 
O Habilidades e 
O Educação e experiência profissional. 
Competência dos Auditores 
O Essa competência é uma composição entre 
os atributos: 
O Pessoais; 
O Conhecimentos; 
O Habilidades e 
O Educação e experiência profissional. 
Competência dos Auditores 
O Pessoais: 
O O auditor precisa ser: 
O Ético; 
O Ter a mente aberta; 
O Observador; 
O Persistente; 
O Racional e 
O Autoconfiante. 
Competência dos Auditores 
O Essa competência é uma composição entre 
os atributos: 
O Pessoais; 
O Conhecimentos; 
O Habilidades e 
O Educação e experiência profissional. 
06/03/2017 
2 
Competência dos Auditores 
O Conhecimentos : 
O O auditor precisa: 
O Conhecer técnicas de auditoria; 
O Conhecimento de negócio da organização; 
O Conhecer as leis e regulamentos... 
 
Competência dos Auditores 
O Essa competência é uma composição entre 
os atributos: 
O Pessoais; 
O Conhecimentos; 
O Habilidades e 
O Educação e experiência profissional. 
Competência dos Auditores 
O Habilidades: 
O O auditor precisa possuir: 
O Habilidades de gestão de equipes e de 
projetos; 
O Conhecer profundamente o critério a ser 
utilizado. 
Competência dos Auditores 
O Essa competência é uma composição entre 
os atributos: 
O Pessoais; 
O Conhecimentos; 
O Habilidades e 
O Educação e experiência profissional. 
Competência dos Auditores 
O Educação e experiência profissional : 
O Exemplo: 
O O auditor precisa ter treinamento em auditoria 
e conhecer bem o critério desta. Já o auditor 
líder precisa ter uma competência superior a 
dos demais auditores, em conhecimento e em 
experiência. 
Metodologia de Auditoria em 
SI´s 
O Deve ser flexível, aderente as diversas 
modalidades da auditoria em SI´s e alinhada as 
boas práticas de auditoria do mercado. 
Recomenda-se as seguintes fases: 
06/03/2017 
3 
Metodologia de Auditoria em 
SI´s 
O Planejamento e controle do projeto de auditoria de 
SI´s: 
 
O A partir das diretrizes da Alta Direção, 
estabelecer ações, recursos necessários; 
Metodologia de Auditoria em 
SI´s 
O Dois Grupos: 
O 1º grupo com o corpo gerencial, definirá 
procedimentos e acompanhará; 
O 2º grupo formado por auditores e técnicos de 
Informática que executam a auditoria efetivamente; 
 
O Recomenda-se utilizar padrões de mercado como o 
PMBOK 
Metodologia de Auditoria em 
SI´s 
O Levantamento do sistema de informação a ser auditado: 
O Definido o escopo do trabalho, levanta-se as informações 
necessárias sobre o sistema a ser auditado; 
O Levantamento macro através de entrevistas e análise da 
documentação ; 
O Ferramentas uteis podem ser DFD, MER, Dicionário de 
dados, use cases, diagramas de classe e sequência, 
diagramas de integração de sistemas (explicam o seu 
funcionamento) 
 
Metodologia de Auditoria em 
SI´s 
O Identificação e Inventário dos Pontos de Controle: 
 
O Podem ser identificados em documentos de entrada, 
relatórios de saídas, telas, arquivos, BD´s, 
integrações, etc. 
 
O Devem ser relacionados e descritos quanto ao 
controle interno e funções que exercem no sistema ; 
 
Metodologia de Auditoria em 
SI´s 
O Identificação e Inventário dos Pontos de Controle: 
 
O Identificar parâmetros, pontos fracos e técnicas de 
auditoria adequadas a sua validação; 
 
O Este trabalho deve ser validado pelo grupo de 
coordenação do Projeto de Auditoria. 
 
Metodologia de Auditoria em 
SI´s 
O Priorização e seleção dos pontos de controle do SI 
auditado: 
O Selecionar e priorizar pontos definidos na etapa 
anterior baseados em: 
O Grau de risco do ponto: Prejuízos que podem gerar no 
sistema a curto, médio e longo prazo; 
 
O Existência de ameaças: Priorizar os sob forte ameaça; 
 
06/03/2017 
4 
Metodologia de Auditoria em 
SI´s 
O Priorização e seleção dos pontos de controle do SI 
auditado: 
O Disponibilidade de recursos: Pontos que podem ser 
auditados com os recursos disponíveis; 
O Reavaliar a priorização ao longo do trabalho para 
confirmar a ordenação estabelecida; 
 
Metodologia de Auditoria em 
SI´s 
O Avaliação dos pontos de controle: 
 
O É a auditoria em si! 
 
O Nos testes devem ser aplicadas técnicas adequadas 
a cada ponto de controle que evidenciem falhas ou 
fraquezas. 
 
Metodologia de Auditoria em 
SI´s 
 
Metodologia de Auditoria em 
SI´s 
O Conclusão da Auditoria: 
O Elaborar relatório com os resultados, 
qualquer que seja, refletindo o diagnóstico 
dos pontos de controle; 
O As fraquezas devem ser classificadas como 
pontos de auditoria e devem ser apontadas 
recomendações para sua solução ou 
mitigação; 
 
Metodologia de Auditoria em 
SI´s 
O Conclusão da Auditoria: 
O Cada ponto de auditoria deve sofrer revisão e 
avaliação periódica pelos analistas e 
usuários responsáveis. 
 
Metodologia de Auditoria em 
SI´s 
06/03/2017 
5 
Metodologia de Auditoria em 
SI´s 
O Acompanhamento da Auditoria: 
 
O O (follow-up) acompanhamento da auditoria 
deve ser realizado até que todas as 
recomendações tenham sido executas e as 
fraquezas eliminadas ou mitigadas em um 
nível aceitável pela organização. 
 
Metodologia de Auditoria em 
SI´s 
 
Ferramentas de Auditoria em 
SI´s 
O Aliados para a extração, classificação e 
seleção de dados e transações a serem 
validadas, apoiando na evidenciação de 
discrepâncias e desvios. 
O Estas ferramentas podem ser categorizadas 
em: 
 
Ferramentas de Auditoria em 
SI´s 
O Aliados para a extração, classificação e 
seleção de dados e transações a serem 
validadas, apoiando na evidenciação de 
discrepâncias e desvios. 
O Estas ferramentas podem ser categorizadas 
em: 
O Ferramentas Generalistas de auditoria de 
Tecnologia da Informação ; 
O Ferramentas Especializadas de auditoria; 
O Programas utilitários em geral; 
 
Ferramentas de Auditoria em 
SI´s 
O Ferramentas generalistas de auditoria de 
Tecnologia da Informação: 
O Softwares que podem processar, simular, analisar 
amostras, gerar estatísticas, sumarizar, apontar 
duplicidades e outras funções necessárias ao 
auditor: 
O ACL (Audit Comand Language) – Software 
canadense para extração e analise de dados; 
 
Ferramentas de Auditoria em 
SI´s 
06/03/2017 
6 
Ferramentas de Auditoria em 
SI´s 
O Ferramentas generalistas de auditoria de 
Tecnologia da Informação: 
O Pentana – Software de planejamento estratégico 
de auditoria, com planejamento e monitoramento 
de recursos, controle de horas, check-lists, 
programas de auditoria como desenho e 
gerenciamento de plano de ação. 
 
Ferramentas de Auditoria em 
SI´s 
 
 
 
 
 
 
 
O www.pentana.com 
Ferramentas de Auditoria em 
SI´s 
O Ferramentas generalistas de auditoria de 
Tecnologia da Informação: 
O Vantagens em utiliza-las: 
O Processar vários arquivos simultaneamente; 
O Processar arquivos em formatos diferentes; 
O Integração sistêmica com vários tipo de software e 
hardware; 
O Reduz a dependência do auditor em relação ao 
pessoal de TI. 
 
Ferramentas de Auditoria em 
SI´s 
O Ferramentas generalistas de auditoria de 
Tecnologia da Informação: 
O Desvantagens em utiliza-las: 
 
O Em geral podem ser utilizadas no ambiente online; 
 
O Por ser generalistas, podem não atender em casos 
mais complexos, que exijam, por exemplo, cálculos 
complexos. 
 
Ferramentas de Auditoria em 
SI´s 
O Ferramentas especializadas de auditoria: 
 
O Desenvolvidos especificamentepara executarem 
tarefas em circunstâncias definidas. Desenvolvidos 
pelo auditor, por especialista da empresa ou por 
terceiro contratado para isso. 
 
O Feito sob medida! 
 
Ferramentas de Auditoria em 
SI´s 
O Ferramentas especializadas de auditoria: 
 
O Vantagem em seu uso é atender demandas 
especificas como Financeiro (crédito imobiliário, 
leasing, cartão de crédito, etc.) ou outras áreas de 
mercado que assim o exijam; 
 
06/03/2017 
7 
Ferramentas de Auditoria em 
SI´s 
O Ferramentas especializadas de auditoria: 
 
O Como desvantagens podemos apontar o seu custo 
de desenvolvimento e o processo de atualização da 
ferramenta ao longo do tempo. 
 
Ferramentas de Auditoria em 
SI´s 
O Programas utilitários em geral: 
 
O Softwares utilitários de uso geral para classificar 
arquivos, concatenar textos, sumarizar, gerar 
relatórios. 
 
O Sendo de uso geral, não possuem recursos 
necessários a auditoria como p.e.: verificação de 
totais de controle ou gravação de trilhas de auditoria; 
 
Ferramentas de Auditoria em 
SI´s 
O Programas utilitários em geral: 
O Vantagem: Esta em ser utilizado como uma solução 
alternativa na falta de um recurso mais especifico; 
O Desvantagem: Haverá a necessidade de apoio do 
usuário e de TI. 
 
Ferramentas de Auditoria em 
SI´s 
O Programas utilitários em geral: 
 
Ferramentas de Auditoria em 
SI´s 
O Programas utilitários em geral: 
O Vantagem: Esta em ser utilizado como uma solução 
alternativa na falta de um recurso mais especifico; 
O Desvantagem: Haverá a necessidade de apoio do 
usuário e de TI. 
 
A carreira do auditor de 
sistemas 
O Certificações: 
O ISACA: Certified Information System Auditor 
(CISA) 
O British Computer Society: Exame da 
Sociedade Britânica de Informática 
O Institute of Internal Auditors (IIA): 
Qualificação em Auditoria Computacional 
42 
06/03/2017 
8 
Exercícios 
1ª) Quais são os atributos das competências de 
um auditor? Discorra sobre cada uma delas. 
2ª) Fale sobre o que ocorre em cada uma das 
fases propostas para se realizar uma auditoria. 
3ª)Discorra sobre os três tipos de ferramentas que 
podem ser utilizadas em uma auditoria. Cite 
exemplos. 
4ª) Você possui interesse em realizar uma 
certificação para auditor? Se sim, qual(is)?