Conteudo_Online_01

Prévia do material em texto

1 
 
 
Nesta aula, você irá: 
1 - Saber o que é Auditoria de Sistemas; 
2 - Conhecer o papel e o perfil do auditor de sistemas; 
3 - Identificar os tipos de auditorias da Tecnologia da Informação (TI); 
4 - Entender o comportamento e a ética de um auditor. 
 
 
2 
 
 
 
 
Posicionamento da Auditoria de Sistemas nas organizações 
 Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho 
realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, 
serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, 
orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do 
cliente, seu posicionamento no organograma da empresa deve ser logo abaixo da direção 
executiva da empresa. Como exemplo, mostramos o seguinte organograma: 
 
 
3 
 
Perfil do auditor de Sistemas 
 O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de 
Informação. Deve também ter visão abrangente da empresa, pois irá verificar se os sistemas que 
estará auditando suportam adequadamente os usuários do mesmo. Com isto não afirmo que o 
auditor de Sistemas deva conhecer tudo da empresa, mas o suficiente para saber o que 
perguntar a quem, quando no exercício de sua função, ou seja, consultar especialistas quando o 
assunto fugir de seu domínio tal como assuntos legais. 
Seu comportamento deve ser condizente com quem tem autoridade no assunto. 
 E o auditor de Sistemas a tem, entretanto, não precisa apregoar isto a ninguém, as 
pessoas sabem do poder de um auditor!!! (as vulnerabilidades encontradas em um sistema, se 
não corrigidas a tempo, poderão retirar o sistema de operação gerando demissões dos 
responsáveis). Da mesma forma que o comportamento adequado, deve ser sua maneira de 
vestir. Nada de extravagâncias. O auditor não precisa chamar atenção com roupas de um 
colorido berrante, barba por fazer ou bijuterias parecendo árvore de natal. Seu domínio no 
assunto impressionará mais que qualquer adorno fora de contexto. E, principalmente, nada de 
gírias. Observe que elas não cairiam bem na figura de alguém em tão alto posto no organograma 
da empresa. 
Recomendação!!! 
Nada de Agradinhos. 
 Lembro-me que quando comecei a trabalhar na auditoria do banco, meu chefe disse que 
eu não poderia aceitar presentes, almoços ou jantares dos auditados. Com certeza, isso poderia 
sugerir um agrado para eu não mencionar alguma vulnerabilidade encontrada nos sistemas. 
 
Equipe De Auditoria 
 Há dois grandes meios de se ter uma equipe de auditoria: 
 Interna: Na auditoria interna, quando os auditores são colaboradores da empresa, a 
equipe é treinada conforme objetivos de segurança da empresa. Uma metodologia de 
auditoria deve ser adquirida ou desenvolvida em casa. Não é um trabalho trivial, mas há 
recompensas quando a auditoria evita impactos desastrosos (como, por exemplo, perda 
financeira ou quebra de imagem da empresa) que poderiam ser causados por sistemas ou 
procedimentos com falhas de segurança, tais como fraude, contabilização indevida de 
dados contábeis, indisponibilidade de sistemas, acessos (lógico e/ou físico) indevidos e por 
aí afora. 
 O recrutamento e o treinamento de pessoal neste caso podem ser um desafio! 
 
 Externa: Na auditoria externa, a empresa contrata uma firma de consultores para 
procederem à auditoria de alguma área ou sistema específico. Os métodos de condução 
da auditoria são pertinentes à empresa contratada. Neste caso, há a possibilidade de se 
perder o controle sobre trabalhos realizados. 
 
 
 
4 
 
 
Programa De Desenvolvimento De Carreira De Auditor De Tecnologia Da Informação 
O treinamento de auditor de tecnologia da informação é dividido em duas partes: 
 Pouca ou nenhuma experiência em tecnologia da informação 
O treinamento da categoria que tem pouca ou nenhuma experiência em tecnologia da informação 
deve incluir: 
 - Conceitos de tecnologia da informação; 
- Fundamentos de arquitetura de sistemas, Input/Output, processamento lógico, unidade de 
memória principal e auxiliar, visando auditoria; 
- Rede de computadores, teleprocessamentos, internet, intranet e extranet, com configurações 
pertinentes, 
- Programação de computação, incluindo os conceitos de flowchart e Diagrama de Fluxo de 
Dados; 
- Tabelas de decisão e sua aplicação nas principais linguagens de programação. Observe-se que 
o auditor devera aprender somente os itens necessários para atividades do dia a dia; 
- Introdução aos controles gerais de computadores (operação, aquisição, desenvolvimento e 
manutenção de sistemas; controles de acesso, hardware, controles organizacionais e suporte 
técnico); 
- Estudo de caso que exemplifique cada situação (jogo de negócios) é desejável. 
 
 Experiente em tecnologia da informação 
O treinamento para aqueles que possuem experiência em tecnologia da informação deve incluir: 
 - Revisão dos controles gerais (operações, aquisição, desenvolvimento e manutenção, controles 
de acesso, hardware, controles organizacionais e suporte técnico). Auditoria de sistemas 
aplicativos, princípios e práticas de auditoria com ênfase nos controles gerenciais e 
organizacionais, monitoramento e emissão de relatórios; 
- Gerenciamento de riscos, privacidade, desenvolvimento e implementação de políticas e 
estratégias de segurança da informação; 
- Avaliação dos sistemas on line com relação ao processamento em tempo real, controles de 
recall e identificação de programas, verificação das autenticações e autorizações de acessos e 
registros (contabilização) das transações. Também inclui correção, detecção e manutenção de 
diários (journaling) das operações; 
- Transmissão de dados, proteção de informações, segurança associada ao uso dos sistemas, 
teleprocessamentos, redes internet, intranet e extranet; 
- Controles de operações, processamento interativo em atividades de negócios e e-commerce; 
Iniciação de trilha de auditoria em ambiente de tecnologia da informação e propriedade 
intelectual, abordagens aos métodos existentes e supervisões necessárias; 
- Controles de acesso à biblioteca de dados ou programas, armazenamento e recuperação dos 
mesmos a partir de bases hierárquicas, relacionais ou Data Warehouse, plano de contingência 
(de backup, emergência e recuperação) de desastres; 
- Software de auditoria, distinguindo-se os softwares generalistas dos específicos, como apoio 
dos especialistas em tecnologia da informação para desenvolver softwares que atentem para 
metodologias próprias. 
 
 
 
5 
 
Biblioteca Técnica 
 
 
Auditoria Da Tecnologia Da Informação 
 A auditoria convencional sempre foi conhecida por sua responsabilidade nos testes de 
confiabilidade dos registros, de acordo com os documentos-fonte (os documentos que geram as 
transações econômicas, financeiras e contábeis) disponíveis através de quaisquer dados 
intermediários que possam existir e para os quais são produzidos relatórios para a tomada de 
decisões gerenciais. Porém, devido à evolução da tecnologia da informação, que interfere nas 
tecnologias gerenciais, geração a geração, é necessário guardar as informações para que 
estejam disponíveis para a auditoria, quando solicitadas. Sabe-se que devido à complexidade dos 
ambientes e expansão dos negócios que atingiram implementações em ambientes de internet, 
intranet e extranet, há grandes problemas quanto à vulnerabilidade de computadores e casos de 
fraude. 
 Dependendo da sofisticação do sistema computadorizados, podemos ter três tipos de 
abordagens de auditoria de sistemas. 
 Abordagem ao redor do computador:6 
 
 Abordagem através do computador: 
 
 
 Abordagem com o computador: 
 
 
 
Padrões e Código de Ética para a Auditoria de Sistemas de Informação 
 Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de 
tecnologia de Informação dos estados Unidos, os padrões são: 
 
 
 
7 
 
 
 
 
 
 
Código De Ética Profissional (ISACA) 
 A Associação de Auditores de Sistemas e Controles (ISACA, USA), estabeleceu o código 
de ética profissional para guiar seus membros na condução de suas atividades profissionais. De 
acordo com o disposto no Código, os membros da ISACA devem: 
 LIVRO 1: Apoiar a implementação de padrões sugeridos para procedimentos e controles 
dos sistemas de informações e encorajar o seu cumprimento 
 LIVRO 2: Exercer suas funções com objetividade, diligência e zelo profissional de acordo 
com os padrões profissionais e melhores práticas 
8 
 
 LIVRO3: Servir aos interesses dos stakeholders (toda e qualquer pessoa que esteja de 
uma forma ou de outra ligada ao objeto da auditoria) de forma legal e honesta, atentando 
para a manutenção de alto padrão de conduta e caráter profissional, e não encorajar atos 
de descrédito à profissão; 
 LIVRO 4: Manter a privacidade e a confidencialidade das informações obtidas no decurso 
de suas funções, exceto quando exigido legalmente. Tais informações não devem ser 
utilizadas em vantagem própria ou entregues a pessoas desautorizadas; 
 LIVRO 5: Manter a competência nas respectivas especialidade e assegurar que nos seus 
exercícios somente atua nas atividades em que tem razoável habilidade para competir 
profissionalmente. 
 lIVRO 6: Informar partes envolvidas sobre resultados de seu trabalho, expondo todos os 
fatos significativos que tiverem ao seu alcance. 
 LIVRO 7: Apoiar a conscientização profissional dos stakeholders para auxiliar a sua 
compreensão dos sistemas de informação, segurança e controle. 
Stakeholders: São todas as pessoas ligadas direta ou indiretamente ao sistema/área auditada. 
 
 Para saber mais sobre os tópicos estudados nesta aula, pesquise na internet sites, vídeos 
e artigos relacionados ao conteúdo visto. Se ainda tiver alguma dúvida, fale com seu professor 
online utilizando os recursos disponíveis no ambiente de aprendizagem. Leia o artigo no link 
abaixo sobre segurança para aplicativos 
móveis. http://www.modulo.com.br/comunidade/noticias/1674-seguranca-8-questoes-sobre-
aplicativos-moveis 
Qualificação Profissional 
Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus 
conhecimentos estão atualizados e compatíveis com os padrões profissionais. Algumas 
organizações certificadoras: 
Information Systems Audit and Control Association (ISACA) - Certificado de Auditor de Sistemas 
de Informação (ISACA Certified Information Systems Auditor – CISA) 
British Computer Society – Exame da Sociedade Britânica de Informática 
Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional (IIA Qualification in 
Computer Auditing) 
 Nesta aula, você: - - - 
Conheceu o que é Auditoria de Sistemas; 
Distinguiu o papel e o perfil do auditor de sistemas; 
Identificou tipos de auditorias da Tecnologia da Informação (TI); 
Entendeu o comportamento e a ética de um auditor de sistemas. 
 Na próxima aula, você estudará sobre Planos de Contingência (Atividades a serem 
executadas na eventualidade de ocorrência de um dano, a fim de manter a continuidade dos 
negócios da empresa), constituído de três subplanos: 
Plano de backup; 
Plano de emergência; 
Plano de recuperação. 
 
 
9