Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas João Paulo Brognoni Casati Aula 1 Plano de Ensino • Ementa: –Fundamentos de auditoria de sistemas de informação. Metodologia de auditoria. Ferramentas e técnicas de auditoria. Tipos de auditoria. Avaliação de software de auditoria. 2 Plano de Ensino • Conteúdos: –Conceitos básicos de auditoria de sistemas de informação; –Fases para Realização de uma Auditoria; –Ferramentas de auditoria; –Técnicas de auditoria; –Tipos de auditoria; –Emissão de relatórios de auditoria; –Avaliação de software de auditoria de sistemas. 3 Plano de Ensino • Objetivo Geral: –Realizar auditoria de sistemas de informação; –Diferenciar as etapas da auditoria, bem como gerenciar os recursos necessários nesse processo; – Identificar ferramentas e técnicas que podem vir a serem utilizadas em um processo de auditoria; –Preparar o relatório final da auditoria; –Definir itens que devem ser avaliados na escolha de um software de auditoria de sistemas; 4 Plano de Ensino • Objetivos Específicos: –Conhecer as principais definições e conceitos relacionados à auditoria de sistemas de informação; –Estabelecer as fases necessárias para realização da auditoria, bem como acompanhar a sua execução; –Empregar ferramentas e técnicas diferenciadas na execução dos trabalhos de auditoria de sistemas de informação; –Analisar o tipo adequado de auditoria que será mais aderente aos negócios da organização; –Escrever o relatório da auditoria –Relacionar os itens que devem ser avaliados na escolha de um software de auditoria de sistemas; 5 Plano de Ensino • Bibliografia Básica: – IMONIANA, Joshua Onome. Auditoria de sistemas de informação. São Paulo: Atlas. 2008. 207p. ISBN: 978-85224-5002-2. –FONTES, Edison Luiz Gonçalves. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. 283 p. ISBN: ISBN: 978-85- 7452-382-8. –LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Editora Ciência Moderna, 2008. ISBN: 978-85- 7393-747-3. 6 Plano de Ensino • Bibliografia Complementar: –NAKAMURA, Emilio Tissato; Geus, Paulo Lício de. Segurança de redes em ambientes cooperativos. São Paulo: Novatec Editora Ltda, 2007. ISBN: 978-85-7522-136-5. –DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000. 218p. ISBN: 85-7323-131-9. –SANTOS, Alfredo. Quem mexeu no meu sistema? Segurança em Sistemas de informação. Rio de Janeiro: Brasport, 2008. ISBN: 978-85-7452-385-9. –TCU - Tribunal de Contas da União. Disponível em: http://tcu.gov.br. –Manual de Auditoria de Sistemas. Disponível em: http://www.tcu.gov.br/SAUDI/Download/AuditSist emas.doc 7 Conteúdo da Aula • Fundamentos de auditoria de sistemas • O papel e o perfil do auditor • A carreira do auditor • A auditoria de sistemas nas organizações 8 Fundamentos de Auditoria de Sistemas • O que é auditoria de sistemas? –Verificação de conformidade: • Verifica se padrões, normas e políticas estão sendo devidamente seguidos –Segurança da Informação • Controles de acesso, serviços e recursos 9 Fundamentos de Auditoria de Sistemas • Por que auditoria em sistemas? –Aumento do uso de sistemas de informação –Dependência das organizações nos dados gerados por sistemas –Garantir a qualidade do serviço oferecido –Evitar fraudes e desvios –Outros... 10 Fundamentos de Auditoria de Sistemas • Funções administrativas: 11 O papel do auditor • O auditor é: –Um verificador do trabalho realizado • O auditor faz: –Validação • Executa testes para validar o processo –Avaliação • Julga a medida adquirida nos testes 12 O perfil do auditor de sistemas • Possuir conhecimento técnico e prático em Sistemas de Informação • Possuir uma visão abrangente da empresa • Vestir-se e comunicar-se formalmente • Comportamento de liderança • Não aceitar presentes 13 A carreira do auditor de sistemas • Deve possuir conhecimentos em auditoria além de conhecimentos em sistemas! • Existem dois tipos de auditoria: –Interna: auditor é funcionário da empresa auditada –Externa: auditor é funcionário de empresa especializada em auditoria 14 A carreira do auditor de sistemas • Certificações: –ISACA: Certified Information System Auditor (CISA) –British Computer Society: Exame da Sociedade Britânica de Informática – Institute of Internal Auditors (IIA): Qualificação em Auditoria Computacional 15 A carreira do auditor de sistemas O auditor deve manter-se atualizado quanto às inovações tecnológicas! • O desenvolvimento da carreira pode ser dividido em duas partes: –O auditor possui conhecimento em TI –O auditor não possui conhecimento em TI 16 A carreira do auditor de sistemas • O auditor que não possui conhecimento em TI deve especializar-se em: –Conceitos de TI –Linguagens de Programação –Redes de Computadores –Modelagem de Sistemas –Entre outros tópicos... 17 A carreira do auditor de sistemas • O auditor que possui conhecimento em TI deve especializar-se em: –Emissão de Relatórios –Gerenciamento de Riscos –Propriedade Intelectual –Planos de Contingência –Entre outros tópicos 18 A auditoria de sistemas nas organizações • A equipe de auditoria: –Deve ter autonomia –Deve ter permissão de acesso aos sistemas e às informações necessárias É preciso que a auditoria seja ligada diretamente à presidência! 19 A auditoria de sistemas nas organizações • Organograma: 20 A auditoria de sistemas nas organizações • Principais problemas encontrados: –Defasagem tecnológica –Falta de bons profissionais –Falta de cultura da empresa –Tecnologia variada e abrangente 21 A auditoria de sistemas nas organizações • Organização da auditoria: –Não há regra fixa, porém, pode-se adotar: • Segurança da Informação • TI • Aplicativos 22 A auditoria de sistemas nas organizações • Segurança da Informação: –Confidencialidade –Integridade –Disponibilidade –Consistência –Confiabilidade 23 A auditoria de sistemas nas organizações • TI: –Mudanças Organizacionais –Operações de Sistemas –Hardware –Computação em Nuvem –Sistemas ERP –Data Warehousing 24 A auditoria de sistemas nas organizações • Aplicativos: –Desenvolvimento de software –Entrada, Processamento e Saída de Dados –Conteúdo de Aplicativos –Funcionamento de Aplicativos 25 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 1 27 Atividade 1 Como podemos definir o que é um auditor? Como um verificador do trabalho realizado. 28 Atividade 2 No organograma de uma organização, onde deve ser incluída a auditoria? Diretamente ligada à presidência. 29 Atividade 3 Qual é uma importante tarefa do auditor que quer ser bem sucedido em sua carreira? Manter-se atualizado quanto às novas tecnologias. 30 Atividade 4 O que é a verificação de conformidade? Verificar se normas, padrões e políticas preestabelecidas estão sendo devidamente cumpridas. Auditoria de Sistemas João Paulo Brognoni Casati Aula 2 Conteúdo da Aula • Abordagens de auditoria de sistemas • Padrões e código de ética • Planos de contingência 2 Abordagens de Auditoria de Sistemas • As diferentes abordagens consideram o uso do computador. • Existem 3 tipos de abordagens: –Ao redor do computador –Através do computador –Com o computador 3 Abordagens de Auditoria de Sistemas • Abordagem ao redor do computador: –Considerada mais antiga –Uso de rotinas manuais –Não exige muito conhecimento de TI –Aplicável a sistemasde menor complexidade e tamanho 4 Abordagens de Auditoria de Sistemas • Abordagem ao redor do computador: –Vantagens: • Baixo custo • Não exige muito conhecimento em TI –Desvantagens: • Falta de padronização • Dificuldade de avaliação de resultados 5 Abordagens de Auditoria de Sistemas • Abordagem através do computador: –O computador é utilizado como ferramenta –Melhoria da abordagem anterior –Pode-se verificar constantemente áreas que necessitam de monitoria constante –Requisição de documentos-fonte de diversas maneiras diferentes 6 Abordagens de Auditoria de Sistemas • Abordagem através do computador: –Vantagens • Maior confiabilidade nas medidas • Realização de testes mais completos –Desvantagens • Aumento de custo • Perdas se a programação for incorreta 7 Abordagens de Auditoria de Sistemas • Abordagem com o computador: –Busca a maior perfeição possível no processo de auditoria –Completamente assistida por computador –Busca resolver os problemas das abordagens anteriores 8 Abordagens de Auditoria de Sistemas • Abordagem com o computador: –Objetivos: • Uso do computador para efetuar cálculos • Fazer compilação dos resultados automatizados e manuais • Ordenação e seleção de registros • Desenvolvimento de programas específicos 9 Padrões e código de ética Visam apresentar regras para o exercício da profissão, reduzindo a falta de padronização dos termos. 10 Padrões e código de ética • Padrões definidos (EUA): –Responsabilidade, autoridade e prestação de contas –Independência profissional –Ética profissional e padrões –Competência –Planejamento –Emissão de relatório –Atividades de follow-up 11 Padrões e código de ética • Código de ética (ISACA): 1. Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informação e encorajar seu cumprimento 2. exercer suas funções com objetividade e zelo profissional, seguindo padrões profissionais e melhores práticas 12 Padrões e código de ética • Código de ética (ISACA): 3. servir aos interesses dos stakeholders de forma legal e honesta, com alto padrão de conduta e caráter profissional e desencorajar atos de descrédito à profissão 4. manter a privacidade e a confidencialidade das informações obtidas, exceto quando exigido legalmente. Estas informações não devem ser utilizadas em benefício próprio ou compartilhadas com pessoas não autorizadas 13 Padrões e código de ética • Código de ética (ISACA): 5. manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade suficiente 6. informar os stakeholders sobre os resultados de seus trabalhos, expondo os fatos significativos desde que em seu alcance 14 Padrões e código de ética • Código de ética (ISACA): 7. manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade suficiente 15 Planos de Contingência • Contingência –Evento que pode ou não acontecer • Exemplos: –Incêndio –Queima de equipamento –Queda de energia elétrica –Funcionário doente 16 Planos de Contingência • Plano de Contingência –Sequência de ações a serem seguidas na ocorrência de uma emergência –Não contempla apenas serviços de informática: • Segurança de pessoas, danos ambientais, danos à imagem da organização, etc. 17 Planos de Contingência • Objetivos do Plano de Contingência –Reduzir os danos causados por uma contingência –Manter o negócio em funcionamento –Agilizar a recuperação dos serviços –Reduzir custos de recuperação 18 Planos de Contingência • Ameaça –Evento ou atitude indesejável que traz danos à organização • Roubo • Incêndio • Vírus • Queda de energia 19 Planos de Contingência • Recursos que podem ser danificados –Físico: sala de computadores –Software: vírus de computador –Hardware: queima de equipamento –Informação: roubo de dados –Pessoas: vírus biológico 20 Planos de Contingência Ameaça Concretizada = Ataque Ataques causam Impactos Plano de contingência reduz Impacto 21 Planos de Contingência • Processo de recuperação de desastres 22 Planos de Contingência • Algumas possíveis perdas: –Perda de Confidencialidade • Roubo de Informações –Perda de Integridade • Alteração na Informação –Perda de Disponibilidade • Negação de Serviço 23 Planos de Contingência Planos de Contingência são caros! • Identificação das Áreas Críticas –Escore de risco 24 Planos de Contingência • Escore de Risco: 25 Escala Classificação do Impacto 0 Impacto irrelevante. 1 Efeito pouco significativo, sem afetar a maioria dos processos da empresa. 2 Sistemas indisponíveis por um determinado período de tempo, podendo causar perda de credibilidade e também perdas financeiras. 3 Perdas financeiras mais significativas e perda de clientes para concorrentes. 4 Efeitos desastrosos, mas que não comprometam a sobrevivência da organização. 5 Efeitos desastrosos que comprometam a sobrevivência da organização. Planos de Contingência • Escore de Risco: 26 Escala Classificação de Probabilidade 0 Ameaça completamente improvável de acontecer. 1 Probabilidade da ameaça ocorrer menos de uma vez por ano. 2 Probabilidade da ameaça ocorrer pelo menos uma vez por ano. 3 Probabilidade da ameaça ocorrer pelo menos uma vez por mês. 4 Probabilidade da ameaça ocorrer pelo menos uma vez por semana. 5 Probabilidade da ameaça ocorrer diariamente. Planos de Contingência • Escore de Risco: 27 Matriz de Risco Ameaças Impacto Probabilidade Escore de Risco Incêndio 5 1 5 Falta de energia elétrica 4 3 12 Indisponibilidade de servidor 3 3 9 Greve de funcionários do transporte 2 1 2 Funcionário que adoece 1 1 1 Falha de switch de rede 2 4 8 Ataque de vírus 3 5 15 Planos de Contingência • Tipos de plano de contingência: –Plano de Emergência –Plano de Backup –Plano de Recuperação 28 Planos de Contingência • Plano de Emergência –Prevê possibilidade de desastres –Provê meios de detecção antecipada –Provê segurança física –Contém as respostas de risco • Ações a serem tomadas 29 Planos de Contingência • Plano de Backup –Backup de arquivos e dados –Continuidade dos serviços –Biblioteca externa de dados disponível –Acordo com terceiros • Reciprocidade 30 Planos de Contingência • Plano de Recuperação –Atividades executadas para: • SAIR do estado de emergência 31 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 2 33 Atividade 1 O que é uma contingência? Algo que pode ou não acontecer. 34 Atividade 2 O que é usado para definir as áreas críticas da organização? Cálculo do Escore de Risco Ou Matriz de Risco 35 Atividade 3 Quais são os tipos de planos de contingência? Plano de Emergência Plano de Backup Plano de Recuperação 36 Atividade 4 Cite três vantagens do uso da abordagem com o computador. 1 - Executa cálculos utilizando o computador; 2 - Ordenação e seleção de registros; 3 - Possibilita a criação de programas específicos. Auditoria de Sistemas João Paulo Brognoni Casati Aula 3 Conteúdo da Aula • O funcionamento da auditoria de sistemas • Controles internos 2 O Funcionamento da Auditoria de Sistemas • As funções da auditoria de sistemas: 3 O Funcionamento da Auditoria de Sistemas • Áreas de atuação –Auditoria de campo • Objetivo • Período –Âmbito da auditoria • Abrangência/Detalhamento • Áreas auditadas 4 O Funcionamento da Auditoria de Sistemas • O dia-a-diada auditoria: –17 ações básicas • 1 - Preparar a análise de risco –Definir quais as áreas ou objetos são passíveis de auditoria 5 O Funcionamento da Auditoria de Sistemas • 2 - Fazer revisões dos projetos e produtos –Verificar o escore de risco e estabelecer quais áreas devem ser priorizadas • 3 - Familiarizar-se com a área de sistemas –Compreender os produtos, serviços e processos da área de TI, etc. 6 O Funcionamento da Auditoria de Sistemas • 4 - Estabelecer a estratégia –Definição das ferramentas • 5 - Estabelecer os objetivos –Definir os controles internos e os processos • 6 - Definir preocupações –Definir quais os itens que mais preocupam a equipe de auditoria 7 O Funcionamento da Auditoria de Sistemas • 7 - fazer a avaliação preliminar dos controles internos –Verificar os controles implantados e definir quais serão utilizados • 8 - Finalizar o planejamento –Determinar o tempo, a equipe, os recursos, a data de emissão do relatório final, etc. 8 O Funcionamento da Auditoria de Sistemas • 9 - Preparar um documento de aviso –Objetivos, cronograma e intenções • 10 - Reunião inicial –Informar sobre as intenções da auditoria • 11 - Elaboração de testes –Geração de dados de teste e determinação dos resultados 9 O Funcionamento da Auditoria de Sistemas • 12 - Aplicação dos testes –Aplica-se a massa de testes e colhe-se os resultados • 13 - Análise das simulações –São analisadas para detectar discrepâncias 10 O Funcionamento da Auditoria de Sistemas • 14 - Emissão de relatório provisório –Ao término do trabalho de campo, deve-se emitir um relatório provisório com todas as falhas encontradas (RASCUNHO) • 15 - Discussão de relatório provisório –Os auditados devem concordar ou discordar do relatório provisório 11 O Funcionamento da Auditoria de Sistemas • 16 - Emissão e distribuição do relatório final –Deve conter a “nota” do relatório (falhas encontradas que não foram solucionadas) • 17 - Follow-up (acompanhamento) –Acompanhamento das datas de acerto das falhas indicadas na auditoria e que constam no relatório final 12 Controles Internos • O que são? – “Planejamento organizacional e todos os métodos e procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus ativos, verificar a adequação e o suporte dos dados contábeis, promover a eficiência operacional e encorajar a aderência às políticas definidas pela direção, com o objetivo de evitar FRAUDES, ERROS, INEFICIÊNCIAS e CRISES nas empresas.” Portal da Auditoria 13 Controles Internos • Controles internos são a principal medida de segurança de uma organização –Os controles a serem implantados dependem do ambiente –Geralmente, problemas de ordem legal ocorrem por má implantação de controles 14 Controles Internos • Princípios e Objetivos: • 1. Supervisão –Manter controle que permita supervisão do ambiente de TI • 2. Registro e Comunicação –Registros de responsabilidades e autorização em acesso a dados 15 Controles Internos • 3. Segregação das funções –Funções incompatíveis segregadas • 4. Classificação de informação –Plano de classificação da informação • 5. Tempestividade –A gerência monitora os registros/transações 16 Controles Internos • 6. Auditoriabilidade –Procedimentos operacionais devem permitir a programação e a verificação periódica • 7. Controle independente –Os sistemas em operação devem permitir correções de erro no fluxo de processamento 17 Controles Internos • 8. Monitoramento –A gerência deve ter acesso ao controle de uso para acompanhar as transações • 9. Implantação –Planejamento da aquisição, manutenção, desenvolvimento e documentação dos sistemas 18 Controles Internos • 10. Contingência –Elaborar plano de controle de prevenção de falhas em todas as fases do sistema • 11. Custo efetivo –Planejamento dos investimentos em tecnologia da informação 19 Controles Internos • São 12 os principais tipos de controles internos. • 1. Integridade de dados e processos –Acesso aos dados, confidencialidade, controles de mudanças no sistema... 20 Controles Internos • 2. Segurança de sistemas –Acesso físico e lógico ao sistema e ao banco de dados, uso de criptografia... • 3. Legibilidade operacional –Plano de contingência, treinamento de pessoal, documentação... 21 Controles Internos • 4. Conformidade –Aspecto legais, políticas da organização, se cumpre normas regulatórias, se possui seguro... • 5. Guarda de registros –Logs do sistema, registro de tudo que ocorre no ambiente de TI... 22 Controles Internos • 6. Guarda de ativos –Trata do inventário da organização... • 7. Programas e sistemas –Manter o monitoramento dos programas... • 8. Organização e administração –Segregação de funções, organização de projetos (PMO)... 23 Controles Internos • 9. Processo de desenvolvimento –Se utiliza padrões e procedimentos corretos, se está sendo documentado e testado... • 10. Ambiente de TI –Segurança física e lógica do ambiente, Se utiliza o ITIL... 24 Controles Internos • 11. Contrato de serviços –Se os contratos são auditados... • 12. Procedimentos e padrões –Se as definições feitas pela organização são cumpridas no âmbito da TI, se são alvo de auditoria... 25 Auditoria de Sistemas João Paulo Brognoni Casati Atividades 27 Atividade 1 Quais são as áreas de atuação da auditoria? Auditoria de campo e Âmbito da auditoria. 28 Atividade 2 Sobre o processo de desenvolvimento de software, dê 2 exemplos de controles internos que podem ser adotados. - A verificação se o software está sendo documentado; - A verificação se normas e padrões estão sendo devidamente adotados. 29 Atividade 3 Cite uma medida que pode ser adotada para o cumprimento do objetivo da contingência. - Elaboração de plano de contingência e recuperação de desastres. 30 Atividade 4 O que a etapa de familiarização com a área de sistemas contempla? - Compreensão dos produtos, dos serviços e dos processos da área de TI. Auditoria de Sistemas João Paulo Brognoni Casati Aula 4 Conteúdo da Aula • As fases da auditoria de sistemas • Ferramentas de auditoria de sistemas 2 Fases da Auditoria • Auditoria dividida em 4 fases: 3 Fases da Auditoria • Fase de Planejamento: 4 Fases da Auditoria • Na fase de planejamento, o auditor –Define áreas de risco (ponderação) –Define abrangência –Define cronograma –Define prioridades (ponderação) –Define controles a serem auditados 5 Fases da Auditoria • Método de ponderação 6 Item Peso Nota Total Custo do sistema 15 6 90 Valor diário das transações 15 9 135 Volume diário das transações 10 8 80 Visibilidade do cliente 10 10 100 Impacto 15 9 135 Extensão do sistema 10 6 60 Capacitação da equipe 10 8 80 Total geral 680 Fases da Auditoria • Método de ponderação 7 Escore de risco Prioridade até 200 Baixa de 201 a 300 Média de 301 a 500 Alta acima de 500 Muito alta Fases da Auditoria • Fase de Execução: 8 Fases da Auditoria Processo de auditoria iniciado! • Fase de execução: –Auditoria propriamente dita –Solicitações são feitas ao auditado • Por escrito 9 Fases da Auditoria • Ocorre a verificação dos controles internos –Execução de testes –Medidas de testes –Avaliação de conformidade –Identificação de vulnerabilidades, fraquezas, inconsistências e irregularidades 10 Fases da Auditoria • Fase de Emissão de Relatórios: 11 Fases da Auditoria • Fasede Emissão de Relatórios: –O auditor não corrige falhas • O auditor faz recomendações –O relatório possui “nota” • Falhas e recomendações • As correções possuem datas para serem implementadas 12 Fases da Auditoria • Fase de Follow-up (acompanhamento): 13 Fases da Auditoria • Fase de follow-up (acompanhamento) –As falhas apontadas no relatório são um compromisso entre auditor e auditado –A resposta do auditado ao relatório final • O auditor deve acompanhar a correção das falhas apontadas 14 Ferramentas de auditoria • As ferramentas podem ser: –Softwares generalistas –Softwares especializados –Softwares utilitários 15 Ferramentas de auditoria • Softwares generalistas –Chamados: software de prateleira –Rodam em ambiente batch (off-line) –Carecem de personalização –Buscam resolver problemas comuns 16 Ferramentas de auditoria • Vantagens (softwares generalistas): –Processar vários arquivos ao mesmo tempo –Integração com softwares e hardwares –Requer menos conhecimento de informática do auditor 17 Ferramentas de auditoria • Desvantagens (softwares generalistas): –Impossibilita aplicações on-line –Impossibilita a execução de cálculos complexos e específicos 18 Ferramentas de auditoria • Exemplos (softwares generalistas): –ACL (Audit Command Language) –IDEA (Interactive Data Extraction & Analysis) –Galileo –Pentana 19 Ferramentas de auditoria • Softwares especialistas: –Atende melhor para a especialidade que foi desenvolvido –Resolvem menor número de problemas –Geralmente desenvolvidos por auditores 20 Ferramentas de auditoria • Vantagens (softwares especialistas): –Inclusão de testes e verificações de controles internos específicos –Soluções para auditar áreas mais complexas –Vantagem competitiva 21 Ferramentas de auditoria • Desvantagens (softwares especialistas): –O auditor deve estar familiarizado com desenvolvimento de software –Alto custo para desenvolvimento destas soluções 22 Ferramentas de auditoria • Softwares utilitários: –São utilizados para funções básicas de auditoria –Podem ser utilizados para diversas finalidades –SOs e SGBDs possuem softwares deste tipo 23 Ferramentas de auditoria • Softwares utilitários –Apoiam a auditoria em funções auxiliares –Pode-se atingir bons resultados –Possuem baixo custo 24 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 4 26 Atividade 1 Em que fase da auditoria são definidos os controles que serão auditados? Fase de planejamento 27 Atividade 2 Em que fase da auditoria são executados os testes e medidas? Fase de execução 28 Atividade 3 Cite duas vantagens da utilização de software especialista. 1. Auditoria de áreas mais complexas 2. Vantagem competitiva 29 Atividade 4 Cite duas vantagens da utilização de software generalista. 1. Integração com outros softwares 2. Requer menos conhecimento em informática Auditoria de Sistemas João Paulo Brognoni Casati Aula 5 Conteúdo da Aula • Técnicas de Auditoria –14 técnicas 2 Técnicas de Auditoria • Nem sempre são utilizadas as mesmas técnicas: –Dependem do tipo e objetivo da auditoria • Cada auditoria demanda a utilização de diferentes técnicas • Nem todas precisam ser utilizadas 3 Técnicas de Auditoria • Software para auditoria –Agilidade –Automação –Padronização –Cálculos complexos –Estatísticas 4 Técnicas de Auditoria • Software para auditoria –Utilização de logs –Listagem de código-fonte • Locais específicos –Execução de testes • Dados reais e programa desenvolvido • Dados artificiais e programa em produção 5 Técnicas de Auditoria • Questionário –Comum em auditorias –Direcionados a: • Segurança da informação • Eficiência no uso dos recursos de TI –Normalmente é acompanhada por outras técnicas (visita, entrevista) 6 Técnicas de Auditoria • Visita in loco –O auditor se desloca ao local e faz verificações –Deve ser agendada formalmente –Costuma clarear pontos nebulosos –Utilizado com outras técnicas 7 Técnicas de Auditoria • Visita in loco –Ações: • Obtenção de dados por observação • Obtenção de dados por teste • Obtenção de dados por documentação • Anotação de informações para uso posterior 8 Técnicas de Auditoria • Entrevista –Pode ser feita: • Pessoalmente • Por telefone • Por videoconferência –Deve seguir a sequência do processo a ser auditado 9 Técnicas de Auditoria • Tipos de entrevista –Estruturada • Formulários definidos no planejamento –Não estruturada • As perguntas são feitas conforme o rumo –Semiestruturada • Segue formulários mas pode ter alterações 10 Técnicas de Auditoria • Teste de observância (aderência) –Verifica a credibilidade dos controles –Determina se controles estão sendo cumpridos por observação –O auditado não sabe que está sendo observado 11 Técnicas de Auditoria • Teste substantivo –Utilizado para obtenção de provas convincentes sobre operações –Objetivos • Verificar: existência real de transações, integridade das informações, se itens foram avaliados corretamente, etc... 12 Técnicas de Auditoria • Dados de teste (test data ou test deck) –O auditor prepara conjunto de dados para testar os controles do sistema –Possuem dados de entrada e dados de saída esperados –Dados de saída são comparados aos desejados 13 Técnicas de Auditoria • Teste integrado –Utilizada com sistema em produção –Insere-se entidades fictícias –Verifica funcionamento do sistema sem alteração dos dados de entidades reais 14 Técnicas de Auditoria • Simulação paralela –O auditor desenvolve um programa que simula as funções do sistema –O programa é executado com a massa de dados real –Faz o oposto do teste integrado 15 Técnicas de Auditoria • Lógica de auditoria embutida nos sistemas –O sistema pode emitir relatório de auditoria com base em sua utilização –Deve ser implementada no sistema em desenvolvimento 16 Técnicas de Auditoria • Lógica de auditoria embutida nos sistemas –Vantagem • Monitoria permanente do sistema –Desvantagens • Custo adicional no desenvolvimento • Perda no desempenho 17 Técnicas de Auditoria • Mapeamento estatístico dos programas –Necessita inclusão de instruções especiais no sistema. Esta técnica verifica: • Frequência de utilização de rotinas • Rotinas fraudulentas • Rotinas de controle acionadas • Outros tipos de rotina... 18 Técnicas de Auditoria • Rastreamento dos programas –O auditor rastreia a transação durante o processamento –O passo-a-passo de uma operação é registrado –Permite detectar ações fraudulentas e caminhos incorretos das transações 19 Técnicas de Auditoria • Análise da lógica de programação –Determina se a lógica da programação está em conformidade com a documentação –O auditor deve ser conhecedor da linguagem de programação utilizada e técnicas de desenvolvimento de software 20 Técnicas de Auditoria • Análise de log –O log é um arquivo que registra acessos e erros de um sistema –Ao analisar este arquivo, o auditor pode: • Monitorar e determinar erros de programa • Flagrar uso de programas fraudulentos • Captar tentativas de acesso indevido 21 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 5 23 Atividade 1 Qual a diferença entre o teste integrado e a simulação paralela quanto ao uso dos dados? O teste integrado utiliza dados artificiais enquanto a simulação paralela utiliza os dados reais do sistema. 24 Atividade2 Quais são os tipos de entrevista utilizados em auditoria de sistemas? - Estruturada - Não estruturada - Semiestruturada 25 Atividade 3 Qual a importância de se possuir logs de sistemas? Os logs possuem informações sobre a utilização, acesso e erros do sistema, importantes para monitoramento e auditoria. Auditoria de Sistemas João Paulo Brognoni Casati Aula 6 Conteúdo da Aula • Auditoria de controles organizacionais e operacionais • Descrição de cargos em TI 2 Auditoria de controles organizacionais e operacionais • Controles organizacionais e operacionais –Controles administrativos • Processo de fluxo das transações • Auxiliam no cumprimento dos objetivos do negócio 3 Auditoria de controles organizacionais e operacionais • Responsabilidades destes controles: –Delineamento das responsabilidades –Coordenação de orçamento de capital –Desenvolvimento das políticas (informática) –Intermediação com terceiros –Gerenciamento de suprimentos –Desenvolvimento de plano de capacitação 4 Auditoria de controles organizacionais e operacionais • Políticas organizacionais –Importantes para que os objetivos da organização sejam alcançados –Devem ser seguidas por todos os funcionários de uma empresa –Seu descumprimento pode significar demissão por justa causa 5 Auditoria de controles organizacionais e operacionais • Políticas organizacionais 6 Auditoria de controles organizacionais e operacionais • Sequência do processo de implantação de uma política organizacional 1. Identificação dos recursos críticos 2. Classificação das informações 3. Identificação das possíveis ameaças e análise de risco 7 Auditoria de controles organizacionais e operacionais 4. Objetivos de segurança a serem alcançados 5. Elaboração de proposta da política 6. Discussão com os envolvidos 7. Apresentação de documento formal à gerência superior 8 Auditoria de controles organizacionais e operacionais 8. Aprovação pela gerência superior 9. Divulgação e implantação 10. Avaliação da política e identificação das mudanças 11. Revisão e implementação definitiva 9 Auditoria de controles organizacionais e operacionais • Classificação da informação –Públicas ou de uso irrestrito –Internas ou de uso interno –Confidenciais –Secretas 10 Auditoria de controles organizacionais e operacionais • Após implantação da política –Deve ser divulgada –Pode ser necessário treinamento aos colaboradores –A avaliação é feita, normalmente, durante período de 6 meses a 1 ano 11 Auditoria de controles organizacionais e operacionais • Após revisão: –Implantação definitiva • Após implantação definitiva –Não pode ser alterada • Os procedimentos podem ser alterados, porém a política em si, não. 12 Auditoria de controles organizacionais e operacionais • Violação da política –É de difícil detecção –Procedimentos • Podem ser adotados visando evitar violações –Deve-se investigar as violações 13 Auditoria de controles organizacionais e operacionais • A Violação da política pode ocorrer por: –Negligência, Erro, Acidente, Problema no plano de sistemas de informação, ação deliberada, entre outros A política deve possuir ação a ser tomada em caso de violação, incluindo correção de vulnerabilidades 14 Auditoria de controles organizacionais e operacionais • Descrição de cargos em TI –Auxiliam a implantação consistente de controles internos na área de tecnologia da informação. 15 Auditoria de controles organizacionais e operacionais • Supervisor de infraestrutura de TI –Planejar a capacidade da TI –Buscar recursos para o ambiente –Coordenar ações para projetos e metas –Garantir o perfeito funcionamento da TI com equipe técnica competente 16 Auditoria de controles organizacionais e operacionais • Administrador de redes –Instalar e fornecer suporte aos servidores –Administrar contas de usuários e acessos –Monitorar desempenho da rede –Adotar ações para implantação de novas tecnologias 17 Auditoria de controles organizacionais e operacionais • Administrador de bancos de dados –Planejar e executar os backups –Implantar ajustes e melhorias quando do surgimento de novas tecnologias –Planejar e implantar estratégias para o uso dos bancos de dados –Administrar o ambiente de bancos de dados 18 Auditoria de controles organizacionais e operacionais • Administrador de segurança –Implantar a política de segurança –Detectar invasões e realizar as correções –Identificar vulnerabilidades da rede –Manter a estrutura de segurança atualizada –Pesquisar falhas de segurança em geral e manter a melhoria contínua 19 Auditoria de controles organizacionais e operacionais • Analista de sistemas –Especificar requisitos junto aos clientes –Analisar e projetar aplicativos –Manter serviço de verificação de aplicativos –Testar sistemas desenvolvidos –Manter documentação atualizada –Dar suporte e fazer ajustes nos aplicativos 20 Auditoria de controles organizacionais e operacionais • Web designer –Implementar soluções de design propostas e aprovadas pelos responsáveis –Efetuar manutenção em sites –Pesquisar sobre novas ferramentas de design 21 Auditoria de controles organizacionais e operacionais • Profissional de suporte técnico –Efetuar manutenção preventiva e corretiva dos equipamentos instalados –Fazer inventário de hardware e software –Fornecer suporte técnico aos usuários –Acompanhar chamados até sua solução 22 Auditoria de controles organizacionais e operacionais • Supervisor de service desk –Documentar problemas operacionais –Solucionar problemas secundários –Encaminhar problemas específicos –Controlar a qualidade na entrega do serviço 23 Auditoria de controles organizacionais e operacionais • Supervisor de restart/recovery –Definir procedimentos para recuperação de dados –Definir rotinas de backup –Instalar no-breaks e anti-vírus –Implementar hot-site –Providenciar cold-site 24 Auditoria de controles organizacionais e operacionais • Bibliotecário –Manter controle sobre a responsabilidade de se manter a documentação de sistemas –Manter bibliotecas de consulta 25 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 6 27 Atividade 1 O que pode ser alterado após a implantação definitiva de uma política organizacional? Apenas os procedimentos. 28 Atividade 2 Por quem devem ser seguidas as políticas organizacionais de uma empresa? Por todos os funcionários. 29 Atividade 3 Qual ou quais as funções responsáveis pelo backup dos dados? Administrador de bancos de dados e supervisor de restart/recovery. 30 Atividade 4 Cite 2 funções do administrador de segurança. 1. Implantar as políticas de segurança 2. Manter a estrutura atualizada Auditoria de Sistemas João Paulo Brognoni Casati Aula 7 Conteúdo da Aula • Auditoria direcionada –Auditoria de redes –Auditoria de hardware –Auditoria de controles de acesso –Auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas 2 Auditoria Direcionada • Auditoria de redes –De suma importância para as organizações –Pode ser dividida em: • Intranet • Internet • Extranet 3 Auditoria Direcionada • Objetivos da auditoria de redes –Segurança física –Segurança lógica –Segurança de enlace –Segurança de aplicação 4 Auditoria Direcionada • Itens avaliados na auditoria de redes –Planejamento da rede com visão estratégica –Desenho das arquiteturas e topologias –Implantação dos projetos –Monitoramento:• Desempenho • Interceptações 5 Auditoria Direcionada • Checklist para auditoria de redes –Verificar as políticas organizacionais; –Verificar os controles de ambiente. • Plataforma: hardware, software, etc. –Verificar controles sobre o software; –Verificar controles de segurança; –Outros... 6 Auditoria Direcionada • Auditoria de hardware –Visa implantar procedimentos de segurança física dos equipamentos; –Manter inventários é de grande importância; –Padronização na aquisição de equipamentos. • Compatibilidade 7 Auditoria Direcionada • Manutenção de hardware –Prazo de atendimento dos chamados; –Tempo máximo para resolução de problemas; –Período coberto por contratos. • Madrugada, fins de semana, feriados, etc. 8 Auditoria Direcionada • A auditoria de hardware garante: –Proteção dos equipamentos • Servidores, CPUs, Terminais... –Equipamento de restrição de acesso • Impossibilitar o acesso de pessoas não autorizadas em ambientes da organização. 9 Auditoria Direcionada • Checklist para auditoria de hardware –Verificar controles de acesso físico ao ambiente de TI; –Verificar controles de acionamento e desligamento de máquinas; –Verificar localização e infraestrutura do CPD; –Controle de backup e off-site. 10 Auditoria Direcionada • Auditoria de controles de acesso –O controle de acesso pode ser dividido em: •Acesso físico: relativo à entrada de pessoas em recintos. •Acesso lógico: relativo ao acesso às informações. 11 Auditoria Direcionada • Controles de acesso físico –Crachás –Biometria • Controles de acesso lógico –Senhas • Deve-se tomar cuidados ao criar senhas! –Logs: sem acesso 12 Auditoria Direcionada • Checklist para auditoria de controles de acesso –Verificar políticas de segurança; –Verificar rotinas e procedimentos para atribuição ou modificação do nível de acesso; –Verificar software de controle de acesso. 13 Auditoria Direcionada • Checklist para auditoria de controles de acesso –Verificar os controles de acesso às transações; –Verificar controle da utilização de software; –Verificar controle da utilização de rede. 14 Auditoria Direcionada • Auditoria de aquisição, desenvolvimento, documentação e manutenção de sistemas –Dúvida: •Comprar ou Desenvolver software? –Softwares prontos são mais baratos, mas... • Supre as necessidades? 15 Auditoria Direcionada • Aquisição ou Desenvolvimento –Considerar a viabilidade: • Econômica • Operacional • Técnica –Tomar decisão final 16 Auditoria Direcionada • Ações em caso de aquisição –Planejamento das aquisições –Documentação dos requisitos –Cotações, ofertas, propostas –Seleção da melhor proposta –Contrato e relacionamento com fornecedor –Fechamento do contrato 17 Auditoria Direcionada • Roteiro para a auditoria (verificar): –Aprovação para início do projeto –Definição dos requisitos –Declaração do escopo –Definição das atividades do projeto –Cronograma do projeto –Orçamento do projeto 18 Auditoria Direcionada • Roteiro para a auditoria (verificar): –Definição da equipe e outros recursos –Necessidades de treinamento –Plano de implantação –Plano de contingência e riscos –Atualização da biblioteca de produção 19 Auditoria Direcionada • É necessário também: –Testar o sistema • Garantir que os requisitos funcionais e não funcionais são atendidos. –Documentar o sistema • Documentação deve seguir linguagem e padrões corretos. 20 Auditoria Direcionada • Sobre a documentação, deve-se verificar: –Se está em uma biblioteca; –Se segue os padrões; –Se possui narrativas; –Se possui fluxograma do sistema e arquivos; –Se possui manual de operação do usuário. 21 Auditoria Direcionada • A auditoria direcionada a este caso deve verificar se: –Há necessidade de um sistema novo; –Se os usuários fazem recomendação sobre aquisição ou desenvolvimento interno; –Se as funcionalidades, tecnologia e segurança são esclarecidos (aquisição); 22 Auditoria Direcionada –Se os usuários são treinados para operar o sistema; –Se a manutenção pode ser feita sem interrupção das operações; –Se a documentação está disponível. 23 Auditoria Direcionada • Checklist: –Especificação do sistema • Procedimentos para elaboração de requisitos –Aquisição de sistemas • Procedimento para envolvimento de usuários na seleção, especificação ou modificação de sistemas. 24 Auditoria Direcionada •Procedimentos que determinam prioridades para projetos de desenvolvimento e manutenção. •Procedimentos para rever as especificações dos projetos por pessoal de operação. 25 Auditoria Direcionada –Programação •A organização desenvolve ou modifica sistemas internamente. –Teste •Procedimentos para testar aplicativos novos ou que sofreram alterações. 26 Auditoria Direcionada –Documentação •Manutenção da documentação para sistemas significativos. –Manutenção •Manutenção de programas está sujeita aos padrões de programação. 27 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 7 29 Atividade 1 Dê dois exemplos de controle de acesso físico. O uso de crachás ou cartões de identificação e biometria. 30 Atividade 2 Dê dois exemplos de controle de acesso físico biométrico. Reconhecimento de impressão digital e reconhecimento de íris. 31 Atividade 3 Quais são os três tipos de redes? Intranet, Internet e Extranet 32 Atividade 4 O que deve ser considerado ao optar por aquisição ou desenvolvimento interno de sistemas? A viabilidade econômica, operacional e técnica. Auditoria de Sistemas João Paulo Brognoni Casati Aula 8 Conteúdo da Aula • Auditoria direcionada –Auditoria de operação –Auditoria de suporte técnico –Auditoria de aplicativos –Auditoria de eventos 2 Auditoria Direcionada • Auditoria de operação –É a auditoria das operações de um sistema. –São algumas das operações: • Inicialização do sistema • Desligamento do sistema • Monitoramento dos sistemas e redes • Plano de capacidade da TI 3 Auditoria Direcionada • Gerenciamento de bibliotecas e backups • Automação da produção • Coordenação e programação de atualização de equipamentos • Plano de recuperação de desastres • Gerenciamento do service desk 4 Auditoria Direcionada • Principal objetivo –Verificar a existência de controles internos que garantam que as operações da organização estão em conformidade. • Verificar também se os controles são suficientes. 5 Auditoria Direcionada • Checklist –Controle sobre o processo operacional –Controle sobre o monitoramento –Controle sobre as entradas off-line –Controles de restart/recovery –Controles que evitem que operações do dia a dia sejam interrompidas 6 Auditoria Direcionada • Auditoria de suporte técnico –É a verificação se os recursos de TI estão sendo devidamente utilizados. 7 Auditoria Direcionada • Suporte técnico –Tarefas rotineiras • Substituição de equipamentos obsoletos • Treinamento de usuários • Manutenção preventiva de equipamentos • Gerenciamento do service desk • Outras... 8 Auditoria Direcionada • Suporte técnico –Tarefas esporádicas • Instalação de utilitários •Avaliação de software para aquisição •Padronização de equipamentos e recursos de TI •Outras... 9 Auditoria Direcionada • Checklist –Os Sistemas Operacionais processam arquivos relevantes para a organização? –Existem procedimentos padronizados para aquisição de utilitários? 10 Auditoria Direcionada –Há equipe que efetuemanutenção de sistemas operacionais e outros softwares? –A equipe de suporte técnico treina os usuários para uso pleno dos recursos? –A equipe tem apoio de service desk? 11 Auditoria Direcionada • Auditoria de aplicativos –Os aplicativos, ou sistemas aplicativos, são aqueles que executam as transações rotineiras da organização. – A auditoria visa checar se o funcionamento dos aplicativos está em conformidade com a expectativa. 12 Auditoria Direcionada • Auditoria de aplicativos –Sejam aplicativos desenvolvidos ou comprados, podem ser alvo de auditoria. –Além da verificação dos controles, são efetuados testes das transações. 13 Auditoria Direcionada • Pontos a serem contemplados –Foco nos sistemas mais importantes –Descrição da finalidade dos sistemas –Perfil: se o sistema é interno ou adquirido –Identificação e processamento de informações-chave –Verificação de plano de contingência 14 Auditoria Direcionada • Objetivos globais –Integridade: confiança nas transações –Confidencialidade: disponibilização de informações –Privacidade: perfil de usuário –Acuidade: consistência dos dados 15 Auditoria Direcionada –Disponibilidade: sistema disponível –Auditabilidade: sistema documenta transações e registra logs –Versatilidade: interfaces amigáveis –Manutenibilidade: manutenção padronizada e documentação atualizada 16 Auditoria Direcionada • Objetivos específicos –Coerência entre operações da organização e as transações registradas; –Coerência entre legislação, princípios da organização e transações registradas; –Aplicação uniforme dos princípios nos sistemas; 17 Auditoria Direcionada –Os relatórios refletem o resultado das transações; –O sistema se integra com outros sistemas- chave da organização. Pode-se aplicar checklist para a auditoria de aplicativos 18 Auditoria Direcionada • Auditoria de eventos –Coleta de dados relativos a eventos ocorridos em recursos de TI. 19 Auditoria Direcionada • Exemplo para evento de entrada e saída de um sistema: –Endereço de origem (IP) –Máquina de origem –Identificação do usuário 20 Auditoria Direcionada –Data e hora de entrada –Data e Hora de saída –Identificador de sessão Existem eventos transacionais onde é registrado o passo a passo de uma transação efetuada por um usuário. 21 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 8 23 Atividade 1 Qual o principal objetivo da auditoria de operação? Verificar a existência de controles internos que garantam que as operações da organização estão em conformidade. 24 Atividade 2 Como pode ser definida a auditoria de suporte técnico? É a verificação se os recursos de TI estão sendo devidamente utilizados. 25 Atividade 3 Cite três pontos a serem contemplados pela auditoria de aplicativos. 1. Foco nos sistemas mais importantes 2. Descrição da finalidade 3. Perfil do sistema 26 Atividade 4 Cite três tarefas rotineiras de uma equipe de suporte técnico. 1. Substituição de equipamentos 2. Treinamento de usuários 3. Manutenção preventiva de equipamentos Auditoria de Sistemas João Paulo Brognoni Casati Aula 9 Conteúdo da Aula • Relatórios de auditoria 2 Relatórios de Auditoria • Comunicação dos resultados da auditoria –Comunicação verbal • Durante o processo de auditoria –Comunicação escrita • Posterior formalização da comunicação verbal 3 Relatórios de Auditoria • Objetivos do relatório de auditoria –Apontamento de falha em ponto de controle –Documentação do processo de auditoria –Para auditorias complexas: • Apresenta-se resultados parciais 4 Relatórios de Auditoria • Os relatórios podem ser emitidos: –No momento da constatação de fato relevante (urgente) –Gradativamente durante o processo de auditoria (auditoria interna) –Relatórios parciais com equipe em campo –Relatório final após os trabalhos 5 Relatórios de Auditoria • Antes da emissão do relatório final –Carta de encaminhamento de relatório RASCUNHO –O relatório RASCUNHO (preliminar) 6 Relatórios de Auditoria • Exemplo de carta de encaminhamento 7 [EMPRESA] A/C do Sr. [NOME DO GERENTE] Gerente de TI Ref.: Relatório sobre Revisão de Sistemas - 2015 Estamos enviando um relatório preliminar em forma de rascunho, conforme acordado com o sr. João Neves, contendo nossas observações e recomendações resultantes das avaliações e revisões no sistema [NOME DO SISTEMA], e dos controles (descrever os controles), efetuada em agosto de 2015. Relatórios de Auditoria • Exemplo de carta de encaminhamento 8 Solicitamos que o relatório seja revisado e que sejam comentados os pontos identificados em relação à concordância ou discordância com as nossas observações, as ações corretivas e seus prazos. Quaisquer dúvidas sobre o relatório estamos à disposição para esclarecimentos. Atenciosamente, [NOME DO AUDITOR] Gerente de auditoria de sistemas Relatórios de Auditoria • Rascunho do relatório final –Possui a “nota” com as falhas encontradas; –Os auditados podem concordar ou discordar do que está escrito nele; –Pode-se fazer comentários sobre os pontos abordados no relatório. 9 Relatórios de Auditoria • Para cada ponto de controle, tem-se: –Observação –Consequências (risco) –Recomendações (sugestões) –Comentários da gerência (concordância ou discordância) 10 Relatórios de Auditoria • Fases da emissão de relatórios 11 Relatórios de Auditoria • Escrita do relatório –Atenção aos detalhes • Será lido por funcionários de alto escalão. –Descrever as falhas encontradas de forma clara, direta e sucinta. –Transparecer segurança e autoridade sobre o assunto. 12 Relatórios de Auditoria • Dicas para redação de relatório final –Usar voz ativa; –Usar frases curtas; –Não emitir opinião; –Não utilizar termos ofensivos; –Quantificar resultados; –Explicar as siglas. 13 Relatórios de Auditoria • Mais dicas –Conhecer o leitor • Alteração da escrita quanto ao uso de termos técnicos e etc. –A descrição dos termos deve levar em consideração o leitor e o nível que se deseja de detalhamento. 14 Relatórios de Auditoria • Atributos do relatório –Tempestividade • Recomendação feita a tempo de ser adotada. –Clareza • Pode ser compreendido por qualquer pessoa. –Concisão • Linguagem clara e precisa. 15 Relatórios de Auditoria • Atributos do relatório –Completude • Inclui todos os fatos relevantes. –Objetividade • Não deixa dúvidas do que é pra ser resolvido. –Coerência • A estrutura segue um padrão. 16 Relatórios de Auditoria • Atributos do relatório –Imparcialidade • A recomendação restringe-se ao problema identificado. –Convicção • Os apontamentos são entendidos da mesma maneira por qualquer leitor. 17 Relatórios de Auditoria • Fases de emissão (segundo a leitura) –Primeira audiência • Relatório detalhado: lido por pessoal que atua nas recomendações. –Segunda audiência • Relatório resumido: lido pela alta gerência. 18 Relatórios de Auditoria • Checklist para auxílio na elaboração do relatório final: –Esquematização • Fazer esquema do que se quer escrever. –Conclusão • Concluir antes da avaliação do controle, a “nota” do relatório é o principal objetivo. 19 Relatórios de Auditoria –Posicionamento • Colocar-se no lugar do leitor. –Confiança • Demonstrar conhecimento sobre o assunto. 20 Relatórios de Auditoria • Exemplo de estrutura de relatório 21 1. Memorando (capa)2. Relatório final 2.1. Objetivos 2.2. Escopo 2.3. Abordagem 2.4. Sumário e conclusão 2.5. Assinaturas 2.6. Falhas e recomendações 2.7. Follow-up de auditorias anteriores 2.8. Anexo - vista geral do sistema 3. Relatório resposta: concordância ou discordância pelo auditado e ações corretivas a serem tomada com seus devidos prazos. Auditoria de Sistemas João Paulo Brognoni Casati Atividade 9 23 Atividade 1 Como podem ser comunicados os resultados de uma auditoria? De forma verbal e de forma escrita. 24 Atividade 2 Como deve ser redigido o relatório final destinado à primeira audiência? Deve detalhar as falhas encontradas. 25 Atividade 3 Cite três atributos dos relatórios de auditoria. Objetividade Imparcialidade Convicção 26 Atividade 4 Como é chamado o relatório preliminar da auditoria? Rascunho Auditoria de Sistemas João Paulo Brognoni Casati Aula 10 Conteúdo da Aula • Avaliação de software de auditoria 2 Avaliação de software de auditoria • Pacote de auditoria –Software generalista • Facilita e agiliza o processo de auditoria; • Provê segurança da informação; • Integração de equipe; • Registros com facilidade para buscas; • Outros... 3 Avaliação de software de auditoria • A considerar na aquisição: –Cultura –Objetivos –Missão –Programas de trabalho –Características dos produtos e serviços oferecidos 4 Avaliação de software de auditoria –Necessidades e interesse por parte dos usuários pela informação –Plataforma disponível na organização –Capacidade de atualização da plataforma –Recursos humanos disponíveis 5 Avaliação de software de auditoria • Método de seleção –Analisar documentos que demonstrem experiências anteriores de mercado; –Analisar catálogos, prospectos, folders e documentação específica do fabricante; –Entrar em contato com o fabricante para obter informações úteis para a escolha; 6 Avaliação de software de auditoria –Visitar usuários dos produtos; –Trocar informações com organizações que utilizam o software; –Analisar a capacidade do fornecedor; –Analisar a idoneidade do fornecedor. 7 Avaliação de software de auditoria • Coleta de dados sobre os pacotes –Visitas de representantes –Questionários enviados aos fornecedores –Reuniões –Outras... 8 Avaliação de software de auditoria • Avaliação do software –Desempenho –Versatilidade –Consistência –Rastreabilidade –Compatibilidade –Automação de processos 9 Avaliação de software de auditoria • Aspectos a se considerar: –Aspectos funcionais –Aspectos de gestão –Aspectos relacionados à tecnologia –Aspectos de fornecimento de suporte –Estrutura de custos 10 Avaliação de software de auditoria • Aspectos funcionais –Acesso online; –Auxiliar emissão de relatórios; –Trabalhar com working papers; –Apoiar auditoria de forma remota; –Armazenar imagens do processo; –Extração de informações do banco de dados. 11 Avaliação de software de auditoria • Aspectos de gestão –Apoiar o planejamento da auditoria; –Gerenciar o tempo do auditor; –Permitir gerenciamento online; –Customizar legislação no BD do processo. 12 Avaliação de software de auditoria • Aspectos relacionados à tecnologia –Interface amigável; –Segurança dos dados; –Registrar logs; –Mecanismo eficiente de pesquisa; –Permissão de acesso; –Importação de documentos... 13 Avaliação de software de auditoria • Aspectos de fornecimento de suporte –Apoio na implantação; –Contrato de manutenção; –Atualização de versão; –Disponibilização do código-fonte; –Capacidade de implementar novas soluções. 14 Avaliação de software de auditoria • Estrutura de custos –Valor da licença (formas de contratação) –Taxa de manutenção –Serviços de customização, treinamento, etc. –Viagens e diárias de técnicos 15 Avaliação de software de auditoria Alguns pacotes disponíveis no mercado 16 Avaliação de software de auditoria • AAF – Audit Automation facilities –Propriedade da WJ informática –Voltado para gestão de auditoria interna –Visa: • Aumentar eficiência e produtividade nos processos com redução de custos. 17 Avaliação de software de auditoria • AAF: Funcionalidades –Planejamento assistido –Revisão de trabalhos a distância –Diminui consumo de papel –Padroniza processos e relatórios –Controla custos por hora –Facilita adaptação de novos auditores... 18 Avaliação de software de auditoria –Permite acesso a dados de auditorias passadas –Disponibiliza relatórios ao auditado com segurança –Disponibiliza informações resumidas das auditorias em andamento 19 Avaliação de software de auditoria • Alguns outros pacotes –AIS (Audit Information Systems) • Módulo do SAP ERP –ACL (Audit Command Language) –IDEA (Interactive Data Extraction & Analysis) –AUDITAR 20 Avaliação de software de auditoria Provavelmente nenhum pacote de auditoria é pleno em todos os aspectos, é necessário analisar e verificar qual deles se encaixa melhor nas necessidades e possibilidades da organização. 21 Auditoria de Sistemas João Paulo Brognoni Casati Atividade 10 23 Atividade 1 Os pacotes de auditoria são encaixados em qual tipo de software? Software generalista de auditoria 24 Atividade 2 Cite três itens necessários para a avaliação dos pacotes de auditoria. Desempenho Versatilidade Consistência 25 Atividade 3 Cite três itens da estrutura de custos para aquisição de pacote de auditoria. Valor da licença Taxa de manutenção Fornecimento de treinamento
Compartilhar