Conteudo_Online_03

Prévia do material em texto

1 
 
 
Nesta aula, você irá: 
1. Conhecer as fases de uma auditoria; 
2. Saber como planejar uma auditoria; 
3. Aprender como conduzir a execução de uma auditoria; 
4. Saber como comunicar as falhas encontradas para os auditados; 
5. Entender a importância do follow-up (acompanhamento). 
 
 
Fases de uma Auditoria de Sistemas 
 Planejamento 
 Execução 
 Emissão de divulgação de relatorios 
 Follow-up 
 
 O dia a dia da auditoria de sistemas 
As etapas básicas para a auditoria de sistemas envolvem: 
1. Preparar a análise de risco dos projetos/produtos passíveis de auditoria (os fatores 
ambientais são ponderados a fim de obtermos um escore final para priorização); 
2. Fazer revisões analíticas dos projetos/produtos da empresa para a verificação do escore 
de risco (não podemos fazer auditoria de todos os sistemas da empresa. Selecionamos os 
de maiores riscos e os priorizamos); 
3. Familiarizar-se com os produtos/serviços da área/sistema e assuntos correlatos (ter uma 
compreensão do ambiente e dos sistemas a serem auditados através de levantamento e 
documentação); 
4. Estabelecer a estratégia geral da auditoria do sistema a ser auditado. (que ferramentas 
usaremos?); 
5. Estabelecer os objetivos da auditoria (controles internos e processo) e do produto 
(negócio); 
 
2 
 
6. Preparar um documento com as principais preocupações da auditoria (item a item); 
7. Fazer uma avaliação preliminar dos controles internos. Nesta fase só considerar controles 
gerais (o que buscaremos como controles internos, quais controles o sistema possui?); 
Controles Internos – são controles embutidos nos sistemas para garantir segurança ao 
sistema, não afetando a funcionalidade do mesmo. É a validação e avaliação do 
planejamento, da execução e do controle do projeto. Exemplo: dígito verificador, senha e 
contra-senha do aplicativo. 
8. Finalizar os procedimentos de planejamento (tempo estimado da auditoria em campo, 
quantos e quais auditores irão participar, recursos necessários, data provável da emissão 
do relatório final); 
9. Preparar um memorandum sobre a intenção da auditoria para o gerente da área de 
Sistemas, seu diretor e diretor da área para a qual o sistema dará suporte (este 
memorandum deve ser assinado pelo diretor da Auditoria); 
10. Realizar uma reunião inicial com os auditados, sua gerência e diretoria, informando a 
intenção da auditoria e pedindo que os mesmos colaborem com os auditores, fornecendo-
lhes o que for solicitado (devem participar os auditores e a gerência maior da Auditoria na 
empresa); 
11. Elaboração de uma massa de testes (definição de escopo do teste, geração dos dados 
para teste, determinação dos resultados esperados); 
12. Aplicação da massa de testes (simulando em laboratório ou no campo, para aprovação da 
efetividade de processos e resultados); 
13. Análise das simulações empreendidas (caso haja alguma discrepância, avisar verbalmente 
ao auditado e a seguir, através de formulário próprio, emitir opinião quanto ao resultado 
dos testes ou do ambiente auditado, sugerindo recomendações e solicitando prazo de 
acerto das falhas encontradas); 
14. Ao término do trabalho de campo (testes), emitir relatório provisório contendo todas as 
falhas não solucionadas durante a auditoria (as páginas deste relatório devem ter um 
carimbo dizendo “RASCUNHO”, para que não haja equívoco em relação a ser o relatório 
final); 
15. Discutir o relatório provisório com auditados e suas gerências (os auditados devem 
concordar com o conteúdo do relatório, por escrito ou, se discordarem, informar o motivo, 
também por escrito); 
16. Emitir e distribuir relatório final da auditoria incluindo a nota do relatório (a “nota” de um 
relatório de auditoria é dada pelas falhas encontradas no trabalho de campo e não 
acertadas até o momento em que o auditor começa a escrever o relatório da auditoria). 
Solicitar retorno com data de acerto das discrepâncias encontradas e, se for o caso, dizer 
se concorda ou não com as mesmas, por escrito. No caso de não concordar, justificar 
motivo; 
17. Fazer follow-up das falhas a serem acertadas 
 
3 
 
 
 
 
 
Leia o apoio: conheça os Controles Internos e Processos 
 
 
 
4 
 
 
Controle de negocios 
 São controles especificosde cada projeto, conforme o produtopara o qual o sistema dará 
suporte operacional. Po exemplo se estivermos auditando um sistema de administração de cartão 
de crédito, o sistema deverá estar prepararado com o processamento e rotinas manuais: 
 Cartão clonado 
 cartão extraviado 
 Extrato de pagamento extraviado 
 Cliente tentar comprar aceima do limite de crédito, etc. 
Toda auditoria deve ser tratada como um projeto e, para tanto, deverá te r um cronograma e um 
orçamento. 
 O cronograma é baseado na estimativa de tempo que será gasto em cada ponto de 
controle a ser trabalhado, além da confecção e emissão do relatório da auditoria. Um auditor 
trabalha em mais de um ponto de controle por dia, mas isto não significa que o terminará em um 
dia! A sugestão é que englobe pontos de controle de mesma pertinência para serem verificados 
ao mesmo tempo. 
 Além das atividades pertinentes à auditoria em si (contatos, revisão de documentação, 
 documentação, preparação de fluxos de sistemas, testes, execução de walkthroughs – 
representação gráfica de todo o ambiente computacional sob auditoria), planejamento, análise de 
risco, avaliação de ponto de controle, confecção de observações, viagem de projeto, 
familiarização com o projeto), devemos considerar atividades não específicas de auditoria 
(viagens, treinamento de auditoria, ausência, atividades administrativas, interface com auditoria 
externa, reuniões outras que não as do projeto) para efeito de determinação dos prazos. 
O orçamento é baseado nas atividades identificadas para a condução da auditoria em questão. 
 
 
 
 
 
 
 
5 
 
Conteúdo de apoio 
Todo o trabalho da auditoria é registrado em papeis de trabalho, que são arquivados por 
auditoria, ou seja, por projeto de auditoria. Os contatos telefônicos ou pessoais, as observações 
visuais, as reuniões, as visitas técnicas, os testes, as solicitações, enfim, todo o movimento do 
trabalho de campo deve se registrado em formulários apropriados para cada situação e 
codificado conforme o caso. 
Exemplo: criar um formulário para anotar os contatos realizados com os auditados, onde serão 
registrados o sistema, a data, hora de início e término, local, tipo de contato (telefone, reunião, 
observação, etc), assunto, pessoas envolvidas e o assunto falado. O conteúdo registrado pode 
ser pequeno ou grande, dependendo do que for abordado. 
Desta forma, o auditor poderá rastrear todo e qualquer assunto discutido durante a auditoria. A 
cada formulário, dar um número precedido de uma identificação que corresponda ao papel de 
trabalho, a nota de contato. 
Esta nota de contato fica arquivada na Auditoria e não é distribuída a ninguém. Se o evento for 
uma reunião, onde ficarão registrados os assuntos discutidos, então preparamos outro papel de 
trabalho, uma ata de reunião. Esta sim é distribuída aos presentes na reunião e a quem mais o 
assunto possa interessar. 
Ao identificar uma fraqueza, o auditor deverá informar imediatamente ao auditado, verbalmente, 
sobre o fato. Discutirá com ele e solicitará que a acerte. Nesta pequena conversa, ficarão 
esclarecidas dúvidas sobre a pertinência da fraqueza. Nunca, sob qualquer hipótese, o auditor 
dará a solução para o acerto da fraqueza! Isto é competência da área de Sistemas! O auditor 
apenas identifica a fraqueza e a informa, recomendando solução. 
Após oinforme verbal, o auditor emite um comunicado de falha, com os riscos que ela poderá 
trazer ao sistema, ao negócio e à empresa e recomenda o acerto da mesma. 
Solicita, neste formulário, que o auditado diga se concorda ou não com a falha encontrada e, em 
caso afirmativo, que informe a data de acerto prevista. Caso o auditado discorde, ele deverá 
informar por escrito e justificar sua discordância. 
O auditor recebe a resposta com a data prevista para acerto da falha e a arquiva (por data de 
solução da falha) e segue seu trabalho de campo. 
Na data prevista de acerto de uma falha, o auditor deverá verificar pessoalmente, com 
evidências, que a mesma foi acertada. Em caso positivo, faz uma anotação que a falha foi 
consertada. Em caso negativo, emite outra comunicação de falha e segue no procedimento. 
Ao término do trabalho de campo, quando todos os controles internos, processos e controles de 
negócios foram verificados, o auditor se prepara para a emissão do relatório. 
 
6 
 
 
 
 
Significa separar funções a fim de evitar coflito de interesses: Segregação funções. 
 
 Não deixe de verificar o conteúdo do link www.iso27001security.com onde você poderá 
encontrar todos os critérios solicitados na norma ISO 27000, Information Security Management 
Systems (Sistemas de Gerenciamento de Segurança da Informação), que visa proteger a 
confidencialidade, integridade e disponibilidade da informação. 
 Nesta aula, você: Conheceu as fases de uma auditoria: planejamento, execução, emissão 
e divulgação de relatórios e follow-up dos acertos das falhas encontradas na auditoria; 
Aprendeu a planejar uma auditoria; 
Aprendeu como conduzir a execução de uma auditoria; 
Aprendeu como comunicar as falhas encontradas para os auditados; 
Entendeu a importância do follow-up (acompanhamento) dos acertos das falhas encontradas na 
auditoria. 
 Na próxima aula, você estudará sobre ferramentas de auditoria. 
 
7