Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Prof Ana Paula Garcia anapbg23@gmail.com Governança de Tecnologia da Informação � Planejamento � Execução � Relatório � A fase de planejamento de uma auditoria identifica os instrumentos indispensáveis à sua realização. � Nesta fase devem ser feitas pesquisas de fontes de informação, definição de recursos e metodologias. Fontes de informação: ◦ Maior quantidade possível sobre a entidade e o ambiente ◦ Esboçar plano de auditoria ◦ Grau de complexidade dos sistemas e estabelecer recursos necessários ◦ Delimitar atuação da auditoria ◦ Definir objeto, período e natureza ◦ Âmbito: amplitude e exaustão ◦ Subáreas � Negociando com a gerência ◦ Evitar falsas expectativas ◦ Definir recursos necessários (humanos, econômicos e técnicos) � Metodologias ◦ Entrevistas (apresentação, coletas de dados, discussão de deficiências e encerramento) ◦ Técnicas ou ferramentas de apoio (análise de dados, verificação de controles) � Ao longo da execução da auditoria, a equipe deve reunir evidências confiáveis, relevantes e úteis para a consecução dos objetivos da auditoria. � Evidências: Informações obtidas durante a auditoria no intuito de documentar os achados e de respaldar as opiniões e conclusões da equipe. 2 � Evidências são classificadas em : ◦ física ◦ Documentária ◦ fornecida pelo auditado ◦ analítica � Evidência física ◦ Observações de atividades desenvolvidas pelos funcionários e gerentes ◦ Sistemas em funcionamento, local, equipamentos � Evidência documentária ◦ Extração de dados, registros de transações, listagens � Evidência fornecida pelo auditado ◦ Entrevistas, documentos cedidos, políticas internas, e-mails trocados, relatórios � Evidência analítica ◦ Comparações, cálculos e interpretações de documentos de entidades similares ou da mesma entidade em períodos de tempo diferentes � Documentação organizada em papéis de trabalho ◦ Disponível para equipe elaborar o relatório Uma evidência considerada incompatível com auditoria em execução pode servir como indicativo para outra auditoria � É apresentado pelo auditor contendo seus achados e conclusões. Inclui fatos sobre a entidade auditada, comprovações, conclusões e, eventualmente, recomendações e/ou determinações. � A quem se dirige ◦ Motivo que originou a auditoria ◦ Diretoria, organismo financiador, órgão responsável Conhecer a organização Identificar o que é auditável Avaliar riscos Planejar recursos Focar e planejar a auditoria Desenvolver o guia de auditoria Executar a auditoria Redigir o relatório Avaliar lições aprendidas � Determinar as áreas auditáveis � Determinar as áreas de risco mais alto � Entender os objetivos gerais da organização � Encontros com auditados para conhecer a área auditada 3 � Rever auditorias anteriores � Rever informações operacionais relevantes � Compreender os sistemas de informação � Garantir que auditorias são realizadas no momento certo para evitar perdas � Atribuir valores e ordenar os riscos por relevância � Fatores utilizados para avaliar riscos ◦ Ambiente de controle interno ◦ O grau de mudanças organizacionais e gerenciais ◦ O tempo após a última auditoria ◦ A exposição financeira da atividade auditada � Alocar recursos para maximizar a cobertura das áreas de maior risco da organização � Informar à diretoria solicitações de auditoria � Coordenar os planos de auditoria da organização com os trabalhos de auditoria externa � Foco e planejamento ◦ Visitas e entrevistas ◦ Recuperação de aplicações da organização � Desenvolvimento de guias de auditoria ◦ Mapa a ser usado durante o trabalho de campo ◦ Podem ser utilizados guias padronizados ◦ Deve ser revisto antes do início da auditoria � Relatórios ◦ Comunicar achados para a diretoria ◦ Contém recomendações ◦ Auditados são consultados para validar informações do relatório 4 � Lições Aprendidas ◦ Informações importantes de auditorias anteriores devem ajudar a melhorar auditorias futuras ◦ Podem ser sobre tecnologia, processos, custos ... � Técnicas devem levar em conta: ◦ Parâmetro do controle interno a ser atendido ◦ Momento da aplicação da técnica ◦ Ambiente tecnológico de computação vivenciado ◦ Situação dinâmica (processos) ou estática (resultados) do sistema/ambiente computacional � Programa de computador � Questionários � Simulação de dados � Visita in loco � Mapeamento de estatístico � Programas de rastreamento � Entrevista � Análise de relatórios/telas � Simulação paralela � Análise de logs � Análise do programa-fonte � Exibição parcial da memória � Correlaciona arquivos, tabula dados � Pode ser construído pelo auditor através de uma linguagem de programação � Opções para aplicação dos programas ◦ Tabulação de campos � Somatório de campos de valores quantitativos para efeito de confrontação ou acompanhamento de acumuladores ◦ Contagem de campos/registros � Apuração de totais por tipo de registro ou campo 5 � Opções para aplicação dos programas ◦ Análise de campos/registros � Verificação da existência de campos ou registros em um arquivo � Correlação entre campos de um mesmo arquivo para verificação da coerência e validade ◦ Correlação de arquivos � Confronto de campos entre registros com vistas à garantia de ambos os arquivos ◦ Estatísticas dos campos dos arquivos � Apuração de média, desvio padrão ... � Análises obtidas dos programas de confrontação de arquivos correspondem a: ◦ Obtenção dos registros que estão no arquivo A e não estão em B; os registros que existem em ambos arquivos; e os registros que estão em B mas não se encontram em A ◦ Como exemplo podemos ter: � Materiais adquiridos que não se encontram catalogados � Materiais adquiridos, que se acham, catalogados, cujo conteúdo dos campos deve ser confrontado (valor de aquisição, características técnicas � Conjunto de perguntas com objetivo de verificação de determinado ponto de controle do ambiente computacional � Pontos críticos na aplicação do questionário ◦ Características do ponto de controle ◦ Momento histórico empresarial ou objetivos da verificação do ponto de controle � Voltados para pontos de controle cujas perguntas guardarão características intrínsecas referentes a: ◦ Segurança em redes de computadores � Segurança física dos equipamentos � Segurança lógica e confidencialidade ◦ Segurança do centro de computação � Controle de acesso físico e lógico às instalações de processamento � Segurança ambiental no tocante à infra-estrutura � Voltados para pontos de controle cujas perguntas guardarão características intrínsecas referentes a: ◦ Eficiência no uso dos recursos computacionais � Tempo médio de resposta em terminal � Tempo de uso dos equipamentos a cada dia � Quantidade de rotinas catalogadas a cada dia 6 ◦ Eficácia dos sistemas aplicativos � Quantidade de informações geradas pelo computador e consumidas pelos usuários � Prazo de atendimento de novos sistemas aos usuários � Tempo médio de solução de problemas provida pelo help desk � Normalmente aplicado de forma casada a outras técnicas de auditoria como entrevistas e visita em loco � Pode ser aplicado a distância � Pode ser enviado ao auditado, respondido e analisado pelo auditor � Permite varrer um universo amplo de auditados � As respostas devem ser quantificadas � Problema: interpretações subjetivas � Aplicada para teste de processos computacionais � Corresponde à elaboração de um conjunto de dados de teste a ser submetido ao programa de computador ou rotina � Verificar lógica de processamento � Dados simulados de testes necessitam prever situações corretas e incorretas � Auditor necessita conhecer computação� Documentação pode ser deficiente � Elaboração do ambiente de testes é complexa, principalmente em programas que manipulam grandes quantidades de dados � Sequencia de procedimentos: ◦ Marcar data e hora com responsável ◦ Anotar procedimentos e acontecimentos, coletar documentos, ◦ Anotar nomes completos e data e hora das visitas realizadas ◦ Analisar os papéis de trabalho obtidos, avaliar respostas e a situação identificada ◦ Emitir opinião via relatório 7 � Aplicada em pontos de controle: ◦ Inventário de volumes de arquivos magnéticos ◦ Inventário de insumos computacionais armazenados em almoxarifados ◦ Visita à sala de operação de computadores para verificar controles de acesso ◦ Acompanhamento de rotina de backup � Reunião entre auditor e auditados � Seqüência de procedimentos ◦ Planejar reunião ◦ Elaborar um questionário para realização da entrevista ◦ Realização da reunião (aplicação do questionário) ◦ Elaboração de ata de reunião (distribuir cópia) ◦ Análise das respostas ◦ Emissão de relatório � Análise de relatórios e telas sob auditoria no tocante a: ◦ Nível de utilização do usuário ◦ Grau de confidencialidade do conteúdo ◦ Forma de utilização e integração entre relatórios, telas e documentos ◦ Distribuição das informações segundo layout vigente � Relacionar por usuário todos os relatórios e telas que pertençam ao ponto de controle � Obtenção de modelo ou cópia de cada relatório ou tela � Elaborar checklist para realização dos levantamentos � Marcar antecipadamente data e hora com as pessoas que fornecerão opinião � Realizar entrevistas � Analisar as respostas � Principais fraquezas identificadas: ◦ Relatórios, telas e documentos não mais utilizados ◦ Layout inadequado ◦ Confidencialidade não estabelecida ou não respeitada � Redução de custos com desativação total ou parcial de relatórios e telas 8 � Excelente ferramenta para: ◦ Identificação de ineficiência no uso do computador ◦ Apuração do desbalanceamento da configuração do computador, pela caracterização de dispositivos que estão com folga ou sobrecarregados ◦ Determinação de erros de programas ou de operação do computador ◦ Flagrar uso de programas fraudulentos ou utilização indevida do computador ◦ Captar tentativas de acesso a arquivos indevidas, por senhas não autorizadas � Elementos para avaliação de hardware ◦ Tempo de UCP por dia ◦ Tempo de uso e quantidade de unidades de entrada e saída � Elementos para avaliação de software ◦ Tempo de utilização ◦ Quantidade de vezes de software utilizado por usuário ◦ Quantidade de cancelamentos por erro de programa, erro de I/O, do operador � Seqüência de procedimentos: ◦ Entrevistar pessoas pra entender, sistema de monitoração, layout, tempo de retenção de logs ◦ Decidir que tipos de verificação serão efetuados nos dados do log ◦ Elaborar e aplicar o programa de computador de auditoria ◦ Analisar os resultados ◦ Emitir opinião � Análise visual do código fonte � Assegurar que está testando versão certa � Exige conhecimentos específicos do auditor � Permite ao auditor ◦ Verificar se o programador cumpriu normas de padronização de código ◦ Analisar qualidade da estruturação dos programas ◦ Detectar vícios de programação � Segurança ◦ Dados e sistemas essenciais à confidencialidade, integridade e disponibilidade das informações � Atendimento a solicitações externas ◦ Verificação de indícios de irregularidades � Materialidade ◦ Valor significativo de sistemas computacionais e transações � Altos custos de desenvolvimento ◦ Avaliação dos riscos para as organizações � Grau de envolvimento dos usuários ◦ Sistemas elaborados sem participação dos usuários geralmente não os atendem � Outsourcing ◦ Efeitos da terceirização no ambiente de informática � Procedimentos ◦ Testar se os objetivos de controle estão sendo atingidos 9 � 1)Defina o que são “Evidências” e mostre como são classificadas. � 2) De acordo com a Pirâmide de auditagem, quais são os fatores utilizados para avaliar riscos? � 3)Dentre as “Técnicas de auditoria”, detalhe as informações de como funciona a técnica de “entrevista”. � 4) Após ter o conhecimento da definição de “Auditoria Externa”, como você percebe que ela contribui com o processo de Governança, estudado anteriormente?
Compartilhar