Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Nesta aula, você irá: 1. Conhecer as fases de uma auditoria; 2. Saber como planejar uma auditoria; 3. Aprender como conduzir a execução de uma auditoria; 4. Saber como comunicar as falhas encontradas para os auditados; 5. Entender a importância do follow-up (acompanhamento). Fases de uma Auditoria de Sistemas Planejamento Execução Emissão de divulgação de relatorios Follow-up O dia a dia da auditoria de sistemas As etapas básicas para a auditoria de sistemas envolvem: 1. Preparar a análise de risco dos projetos/produtos passíveis de auditoria (os fatores ambientais são ponderados a fim de obtermos um escore final para priorização); 2. Fazer revisões analíticas dos projetos/produtos da empresa para a verificação do escore de risco (não podemos fazer auditoria de todos os sistemas da empresa. Selecionamos os de maiores riscos e os priorizamos); 3. Familiarizar-se com os produtos/serviços da área/sistema e assuntos correlatos (ter uma compreensão do ambiente e dos sistemas a serem auditados através de levantamento e documentação); 4. Estabelecer a estratégia geral da auditoria do sistema a ser auditado. (que ferramentas usaremos?); 5. Estabelecer os objetivos da auditoria (controles internos e processo) e do produto (negócio); 2 6. Preparar um documento com as principais preocupações da auditoria (item a item); 7. Fazer uma avaliação preliminar dos controles internos. Nesta fase só considerar controles gerais (o que buscaremos como controles internos, quais controles o sistema possui?); Controles Internos – são controles embutidos nos sistemas para garantir segurança ao sistema, não afetando a funcionalidade do mesmo. É a validação e avaliação do planejamento, da execução e do controle do projeto. Exemplo: dígito verificador, senha e contra-senha do aplicativo. 8. Finalizar os procedimentos de planejamento (tempo estimado da auditoria em campo, quantos e quais auditores irão participar, recursos necessários, data provável da emissão do relatório final); 9. Preparar um memorandum sobre a intenção da auditoria para o gerente da área de Sistemas, seu diretor e diretor da área para a qual o sistema dará suporte (este memorandum deve ser assinado pelo diretor da Auditoria); 10. Realizar uma reunião inicial com os auditados, sua gerência e diretoria, informando a intenção da auditoria e pedindo que os mesmos colaborem com os auditores, fornecendo- lhes o que for solicitado (devem participar os auditores e a gerência maior da Auditoria na empresa); 11. Elaboração de uma massa de testes (definição de escopo do teste, geração dos dados para teste, determinação dos resultados esperados); 12. Aplicação da massa de testes (simulando em laboratório ou no campo, para aprovação da efetividade de processos e resultados); 13. Análise das simulações empreendidas (caso haja alguma discrepância, avisar verbalmente ao auditado e a seguir, através de formulário próprio, emitir opinião quanto ao resultado dos testes ou do ambiente auditado, sugerindo recomendações e solicitando prazo de acerto das falhas encontradas); 14. Ao término do trabalho de campo (testes), emitir relatório provisório contendo todas as falhas não solucionadas durante a auditoria (as páginas deste relatório devem ter um carimbo dizendo “RASCUNHO”, para que não haja equívoco em relação a ser o relatório final); 15. Discutir o relatório provisório com auditados e suas gerências (os auditados devem concordar com o conteúdo do relatório, por escrito ou, se discordarem, informar o motivo, também por escrito); 16. Emitir e distribuir relatório final da auditoria incluindo a nota do relatório (a “nota” de um relatório de auditoria é dada pelas falhas encontradas no trabalho de campo e não acertadas até o momento em que o auditor começa a escrever o relatório da auditoria). Solicitar retorno com data de acerto das discrepâncias encontradas e, se for o caso, dizer se concorda ou não com as mesmas, por escrito. No caso de não concordar, justificar motivo; 17. Fazer follow-up das falhas a serem acertadas 3 Leia o apoio: conheça os Controles Internos e Processos 4 Controle de negocios São controles especificosde cada projeto, conforme o produtopara o qual o sistema dará suporte operacional. Po exemplo se estivermos auditando um sistema de administração de cartão de crédito, o sistema deverá estar prepararado com o processamento e rotinas manuais: Cartão clonado cartão extraviado Extrato de pagamento extraviado Cliente tentar comprar aceima do limite de crédito, etc. Toda auditoria deve ser tratada como um projeto e, para tanto, deverá te r um cronograma e um orçamento. O cronograma é baseado na estimativa de tempo que será gasto em cada ponto de controle a ser trabalhado, além da confecção e emissão do relatório da auditoria. Um auditor trabalha em mais de um ponto de controle por dia, mas isto não significa que o terminará em um dia! A sugestão é que englobe pontos de controle de mesma pertinência para serem verificados ao mesmo tempo. Além das atividades pertinentes à auditoria em si (contatos, revisão de documentação, documentação, preparação de fluxos de sistemas, testes, execução de walkthroughs – representação gráfica de todo o ambiente computacional sob auditoria), planejamento, análise de risco, avaliação de ponto de controle, confecção de observações, viagem de projeto, familiarização com o projeto), devemos considerar atividades não específicas de auditoria (viagens, treinamento de auditoria, ausência, atividades administrativas, interface com auditoria externa, reuniões outras que não as do projeto) para efeito de determinação dos prazos. O orçamento é baseado nas atividades identificadas para a condução da auditoria em questão. 5 Conteúdo de apoio Todo o trabalho da auditoria é registrado em papeis de trabalho, que são arquivados por auditoria, ou seja, por projeto de auditoria. Os contatos telefônicos ou pessoais, as observações visuais, as reuniões, as visitas técnicas, os testes, as solicitações, enfim, todo o movimento do trabalho de campo deve se registrado em formulários apropriados para cada situação e codificado conforme o caso. Exemplo: criar um formulário para anotar os contatos realizados com os auditados, onde serão registrados o sistema, a data, hora de início e término, local, tipo de contato (telefone, reunião, observação, etc), assunto, pessoas envolvidas e o assunto falado. O conteúdo registrado pode ser pequeno ou grande, dependendo do que for abordado. Desta forma, o auditor poderá rastrear todo e qualquer assunto discutido durante a auditoria. A cada formulário, dar um número precedido de uma identificação que corresponda ao papel de trabalho, a nota de contato. Esta nota de contato fica arquivada na Auditoria e não é distribuída a ninguém. Se o evento for uma reunião, onde ficarão registrados os assuntos discutidos, então preparamos outro papel de trabalho, uma ata de reunião. Esta sim é distribuída aos presentes na reunião e a quem mais o assunto possa interessar. Ao identificar uma fraqueza, o auditor deverá informar imediatamente ao auditado, verbalmente, sobre o fato. Discutirá com ele e solicitará que a acerte. Nesta pequena conversa, ficarão esclarecidas dúvidas sobre a pertinência da fraqueza. Nunca, sob qualquer hipótese, o auditor dará a solução para o acerto da fraqueza! Isto é competência da área de Sistemas! O auditor apenas identifica a fraqueza e a informa, recomendando solução. Após oinforme verbal, o auditor emite um comunicado de falha, com os riscos que ela poderá trazer ao sistema, ao negócio e à empresa e recomenda o acerto da mesma. Solicita, neste formulário, que o auditado diga se concorda ou não com a falha encontrada e, em caso afirmativo, que informe a data de acerto prevista. Caso o auditado discorde, ele deverá informar por escrito e justificar sua discordância. O auditor recebe a resposta com a data prevista para acerto da falha e a arquiva (por data de solução da falha) e segue seu trabalho de campo. Na data prevista de acerto de uma falha, o auditor deverá verificar pessoalmente, com evidências, que a mesma foi acertada. Em caso positivo, faz uma anotação que a falha foi consertada. Em caso negativo, emite outra comunicação de falha e segue no procedimento. Ao término do trabalho de campo, quando todos os controles internos, processos e controles de negócios foram verificados, o auditor se prepara para a emissão do relatório. 6 Significa separar funções a fim de evitar coflito de interesses: Segregação funções. Não deixe de verificar o conteúdo do link www.iso27001security.com onde você poderá encontrar todos os critérios solicitados na norma ISO 27000, Information Security Management Systems (Sistemas de Gerenciamento de Segurança da Informação), que visa proteger a confidencialidade, integridade e disponibilidade da informação. Nesta aula, você: Conheceu as fases de uma auditoria: planejamento, execução, emissão e divulgação de relatórios e follow-up dos acertos das falhas encontradas na auditoria; Aprendeu a planejar uma auditoria; Aprendeu como conduzir a execução de uma auditoria; Aprendeu como comunicar as falhas encontradas para os auditados; Entendeu a importância do follow-up (acompanhamento) dos acertos das falhas encontradas na auditoria. Na próxima aula, você estudará sobre ferramentas de auditoria. 7
Compartilhar