Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
Slides/Aula_01.ppt Auditoria de Sistemas João Paulo Brognoni Casati Aula 1 * Plano de Ensino Ementa: Fundamentos de auditoria de sistemas de informação. Metodologia de auditoria. Ferramentas e técnicas de auditoria. Tipos de auditoria. Avaliação de software de auditoria. * * Plano de Ensino Conteúdos: Conceitos básicos de auditoria de sistemas de informação; Fases para Realização de uma Auditoria; Ferramentas de auditoria; Técnicas de auditoria; Tipos de auditoria; Emissão de relatórios de auditoria; Avaliação de software de auditoria de sistemas. * * Plano de Ensino Objetivo Geral: Realizar auditoria de sistemas de informação; Diferenciar as etapas da auditoria, bem como gerenciar os recursos necessários nesse processo; Identificar ferramentas e técnicas que podem vir a serem utilizadas em um processo de auditoria; Preparar o relatório final da auditoria; Definir itens que devem ser avaliados na escolha de um software de auditoria de sistemas; * * Plano de Ensino Objetivos Específicos: Conhecer as principais definições e conceitos relacionados à auditoria de sistemas de informação; Estabelecer as fases necessárias para realização da auditoria, bem como acompanhar a sua execução; Empregar ferramentas e técnicas diferenciadas na execução dos trabalhos de auditoria de sistemas de informação; Analisar o tipo adequado de auditoria que será mais aderente aos negócios da organização; Escrever o relatório da auditoria Relacionar os itens que devem ser avaliados na escolha de um software de auditoria de sistemas; * * Plano de Ensino Bibliografia Básica: IMONIANA, Joshua Onome. Auditoria de sistemas de informação. São Paulo: Atlas. 2008. 207p. ISBN: 978-85224-5002-2. FONTES, Edison Luiz Gonçalves. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. 283 p. ISBN: ISBN: 978-85-7452-382-8. LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Editora Ciência Moderna, 2008. ISBN: 978-85-7393-747-3. * * Plano de Ensino Bibliografia Complementar: NAKAMURA, Emilio Tissato; Geus, Paulo Lício de. Segurança de redes em ambientes cooperativos. São Paulo: Novatec Editora Ltda, 2007. ISBN: 978-85-7522-136-5. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000. 218p. ISBN: 85-7323-131-9. SANTOS, Alfredo. Quem mexeu no meu sistema? Segurança em Sistemas de informação. Rio de Janeiro: Brasport, 2008. ISBN: 978-85-7452-385-9. TCU - Tribunal de Contas da União. Disponível em: http://tcu.gov.br. Manual de Auditoria de Sistemas. Disponível em: http://www.tcu.gov.br/SAUDI/Download/AuditSistemas.doc * * Conteúdo da Aula Fundamentos de auditoria de sistemas O papel e o perfil do auditor A carreira do auditor A auditoria de sistemas nas organizações * * Fundamentos de Auditoria de Sistemas O que é auditoria de sistemas? Verificação de conformidade: Verifica se padrões, normas e políticas estão sendo devidamente seguidos Segurança da Informação Controles de acesso, serviços e recursos * * Fundamentos de Auditoria de Sistemas Por que auditoria em sistemas? Aumento do uso de sistemas de informação Dependência das organizações nos dados gerados por sistemas Garantir a qualidade do serviço oferecido Evitar fraudes e desvios Outros... * * Fundamentos de Auditoria de Sistemas Funções administrativas: * * O papel do auditor O auditor é: Um verificador do trabalho realizado O auditor faz: Validação Executa testes para validar o processo Avaliação Julga a medida adquirida nos testes * * O perfil do auditor de sistemas Possuir conhecimento técnico e prático em Sistemas de Informação Possuir uma visão abrangente da empresa Vestir-se e comunicar-se formalmente Comportamento de liderança Não aceitar presentes * * A carreira do auditor de sistemas Deve possuir conhecimentos em auditoria além de conhecimentos em sistemas! Existem dois tipos de auditoria: Interna: auditor é funcionário da empresa auditada Externa: auditor é funcionário de empresa especializada em auditoria * * A carreira do auditor de sistemas Certificações: ISACA: Certified Information System Auditor (CISA) British Computer Society: Exame da Sociedade Britânica de Informática Institute of Internal Auditors (IIA): Qualificação em Auditoria Computacional * * A carreira do auditor de sistemas O auditor deve manter-se atualizado quanto às inovações tecnológicas! O desenvolvimento da carreira pode ser dividido em duas partes: O auditor possui conhecimento em TI O auditor não possui conhecimento em TI * * A carreira do auditor de sistemas O auditor que não possui conhecimento em TI deve especializar-se em: Conceitos de TI Linguagens de Programação Redes de Computadores Modelagem de Sistemas Entre outros tópicos... * * A carreira do auditor de sistemas O auditor que possui conhecimento em TI deve especializar-se em: Emissão de Relatórios Gerenciamento de Riscos Propriedade Intelectual Planos de Contingência Entre outros tópicos * * A auditoria de sistemas nas organizações A equipe de auditoria: Deve ter autonomia Deve ter permissão de acesso aos sistemas e às informações necessárias É preciso que a auditoria seja ligada diretamente à presidência! * * A auditoria de sistemas nas organizações Organograma: * * A auditoria de sistemas nas organizações Principais problemas encontrados: Defasagem tecnológica Falta de bons profissionais Falta de cultura da empresa Tecnologia variada e abrangente * * A auditoria de sistemas nas organizações Organização da auditoria: Não há regra fixa, porém, pode-se adotar: Segurança da Informação TI Aplicativos * * A auditoria de sistemas nas organizações Segurança da Informação: Confidencialidade Integridade Disponibilidade Consistência Confiabilidade * * A auditoria de sistemas nas organizações TI: Mudanças Organizacionais Operações de Sistemas Hardware Computação em Nuvem Sistemas ERP Data Warehousing * * A auditoria de sistemas nas organizações Aplicativos: Desenvolvimento de software Entrada, Processamento e Saída de Dados Conteúdo de Aplicativos Funcionamento de Aplicativos * Auditoria de Sistemas João Paulo Brognoni Casati Atividade 1 * * Atividade 1 Como podemos definir o que é um auditor? Como um verificador do trabalho realizado. * * Atividade 2 No organograma de uma organização, onde deve ser incluída a auditoria? Diretamente ligada à presidência. * * Atividade 3 Qual é uma importante tarefa do auditor que quer ser bem sucedido em sua carreira? Manter-se atualizado quanto às novas tecnologias. * * Atividade 4 O que é a verificação de conformidade? Verificar se normas, padrões e políticas preestabelecidas estão sendo devidamente cumpridas. Slides/Aula_02.ppt Auditoria de Sistemas João Paulo Brognoni Casati Aula 2 * Conteúdo da Aula Abordagens de auditoria de sistemas Padrões e código de ética Planos de contingência * * Abordagens de Auditoria de Sistemas As diferentes abordagens consideram o uso do computador. Existem 3 tipos de abordagens: Ao redor do computador Através do computador Com o computador * * Abordagens de Auditoria de Sistemas Abordagem ao redor do computador: Considerada mais antiga Uso de rotinas manuais Não exige muito conhecimento de TI Aplicável a sistemas de menor complexidade e tamanho * * Abordagens de Auditoria de Sistemas Abordagem ao redor do computador: Vantagens: Baixo custo Não exige muito conhecimento em TI Desvantagens: Falta de padronização Dificuldade de avaliação de resultados * * Abordagens de Auditoria de Sistemas Abordagem através do computador: O computador é utilizado como ferramenta Melhoria da abordagem anterior Pode-se verificar constantemente áreas que necessitam de monitoria constante Requisição de documentos-fonte de diversas maneiras diferentes * * Abordagens de Auditoria de Sistemas Abordagem através do computador: Vantagens Maior confiabilidade nas medidas Realização de testes mais completos Desvantagens Aumento de custo Perdas se a programação for incorreta * * Abordagens de Auditoria de Sistemas Abordagem com o computador: Busca a maior perfeição possível no processo de auditoria Completamente assistida por computador Busca resolver os problemas das abordagens anteriores * * Abordagens de Auditoria de Sistemas Abordagem com o computador: Objetivos: Uso do computador para efetuar cálculos Fazer compilação dos resultados automatizados e manuais Ordenação e seleção de registros Desenvolvimento de programas específicos * * Padrões e código de ética Visam apresentar regras para o exercício da profissão, reduzindo a falta de padronização dos termos. * * Padrões e código de ética Padrões definidos (EUA): Responsabilidade, autoridade e prestação de contas Independência profissional Ética profissional e padrões Competência Planejamento Emissão de relatório Atividades de follow-up * * Padrões e código de ética Código de ética (ISACA): Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informação e encorajar seu cumprimento exercer suas funções com objetividade e zelo profissional, seguindo padrões profissionais e melhores práticas * * Padrões e código de ética Código de ética (ISACA): servir aos interesses dos stakeholders de forma legal e honesta, com alto padrão de conduta e caráter profissional e desencorajar atos de descrédito à profissão manter a privacidade e a confidencialidade das informações obtidas, exceto quando exigido legalmente. Estas informações não devem ser utilizadas em benefício próprio ou compartilhadas com pessoas não autorizadas * * Padrões e código de ética Código de ética (ISACA): manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade suficiente informar os stakeholders sobre os resultados de seus trabalhos, expondo os fatos significativos desde que em seu alcance * * Padrões e código de ética Código de ética (ISACA): manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade suficiente * * Planos de Contingência Contingência Evento que pode ou não acontecer Exemplos: Incêndio Queima de equipamento Queda de energia elétrica Funcionário doente * * Planos de Contingência Plano de Contingência Sequência de ações a serem seguidas na ocorrência de uma emergência Não contempla apenas serviços de informática: Segurança de pessoas, danos ambientais, danos à imagem da organização, etc. * * Planos de Contingência Objetivos do Plano de Contingência Reduzir os danos causados por uma contingência Manter o negócio em funcionamento Agilizar a recuperação dos serviços Reduzir custos de recuperação * * Planos de Contingência Ameaça Evento ou atitude indesejável que traz danos à organização Roubo Incêndio Vírus Queda de energia * * Planos de Contingência Recursos que podem ser danificados Físico: sala de computadores Software: vírus de computador Hardware: queima de equipamento Informação: roubo de dados Pessoas: vírus biológico * * Planos de Contingência Ameaça Concretizada = Ataque Ataques causam Impactos Plano de contingência reduz Impacto * * Planos de Contingência Processo de recuperação de desastres * * Planos de Contingência Algumas possíveis perdas: Perda de Confidencialidade Roubo de Informações Perda de Integridade Alteração na Informação Perda de Disponibilidade Negação de Serviço * * Planos de Contingência Planos de Contingência são caros! Identificação das Áreas Críticas Escore de risco * * Planos de Contingência Escore de Risco: * * Planos de Contingência Escore de Risco: * * Planos de Contingência Escore de Risco: * * Planos de Contingência Tipos de plano de contingência: Plano de Emergência Plano de Backup Plano de Recuperação * * Planos de Contingência Plano de Emergência Prevê possibilidade de desastres Provê meios de detecção antecipada Provê segurança física Contém as respostas de risco Ações a serem tomadas * * Planos de Contingência Plano de Backup Backup de arquivos e dados Continuidade dos serviços Biblioteca externa de dados disponível Acordo com terceiros Reciprocidade * * Planos de Contingência Plano de Recuperação Atividades executadas para: SAIR do estado de emergência * Auditoria de Sistemas João Paulo Brognoni Casati Atividade 2 * * Atividade 1 O que é uma contingência? Algo que pode ou não acontecer. * * Atividade 2 O que é usado para definir as áreas críticas da organização? Cálculo do Escore de Risco Ou Matriz de Risco * * Atividade 3 Quais são os tipos de planos de contingência? Plano de Emergência Plano de Backup Plano de Recuperação * * Atividade 4 Cite três vantagens do uso da abordagem com o computador. 1 - Executa cálculos utilizando o computador; 2 - Ordenação e seleção de registros; 3 - Possibilita a criação de programas específicos. Slides/Aula_04.ppt Auditoria de Sistemas João Paulo Brognoni Casati Aula 4 * Conteúdo da Aula As fases da auditoria de sistemas Ferramentas de auditoria de sistemas * * Fases da Auditoria Auditoria dividida em 4 fases: * * Fases da Auditoria Fase de Planejamento: * * Fases da Auditoria Na fase de planejamento, o auditor Define áreas de risco (ponderação) Define abrangência Define cronograma Define prioridades (ponderação) Define controles a serem auditados * * Fases da Auditoria Método de ponderação * * Fases da Auditoria Método de ponderação * * Fases da Auditoria Fase de Execução: * * Fases da Auditoria Processo de auditoria iniciado! Fase de execução: Auditoria propriamente dita Solicitações são feitas ao auditado Por escrito * * Fases da Auditoria Ocorre a verificação dos controles internos Execução de testes Medidas de testes Avaliação de conformidade Identificação de vulnerabilidades, fraquezas, inconsistências e irregularidades * * Fases da Auditoria Fase de Emissão de Relatórios: * * Fases da Auditoria Fase de Emissão de Relatórios: O auditor não corrige falhas O auditor faz recomendações O relatório possui “nota” Falhas e recomendações As correções possuem datas para serem implementadas * * Fases da Auditoria Fase de Follow-up (acompanhamento): * * Fases da Auditoria Fase de follow-up (acompanhamento) As falhas apontadas no relatório são um compromisso entre auditor e auditado A resposta do auditado ao relatório final O auditor deve acompanhar a correção das falhas apontadas * * Ferramentas de auditoria As ferramentas podem ser: Softwares generalistas Softwares especializados Softwares utilitários * * Ferramentas de auditoria Softwares generalistas Chamados: software de prateleira Rodam em ambiente batch (off-line) Carecem de personalização Buscam resolver problemas comuns * * Ferramentas de auditoria Vantagens (softwares generalistas): Processar vários arquivos ao mesmo tempo Integração com softwares e hardwares Requer menos conhecimento de informática do auditor * * Ferramentas de auditoria Desvantagens (softwares generalistas): Impossibilita aplicações on-line Impossibilita a execução de cálculos complexos e específicos * * Ferramentas de auditoria Exemplos (softwares generalistas): ACL (Audit Command Language) IDEA (Interactive Data Extraction & Analysis) Galileo Pentana * * Ferramentas de auditoria Softwares especialistas: Atende melhor para a especialidade que foi desenvolvido Resolvem menor número de problemas Geralmente desenvolvidos por auditores * * Ferramentas de auditoria Vantagens (softwares especialistas): Inclusão de testes e verificações de controles internos específicos Soluções para auditar áreas mais complexas Vantagem competitiva * * Ferramentas de auditoria Desvantagens (softwares especialistas): O auditor deve estar familiarizado com desenvolvimento de software Alto custo para desenvolvimento destas soluções * * Ferramentas de auditoria Softwares utilitários: São utilizados para funções básicas de auditoria Podem ser utilizados para diversas finalidades SOs e SGBDs possuem softwares deste tipo * * Ferramentas de auditoria Softwares utilitários Apoiam a auditoria em funções auxiliares Pode-se atingir bons resultados Possuem baixo custo * Auditoria de Sistemas João Paulo Brognoni Casati Atividade 4 * * Atividade 1 Em que fase da auditoria são definidos os controles que serão auditados? Fase de planejamento * * Atividade 2 Em que fase da auditoria são executados os testes e medidas? Fase de execução * * Atividade 3 Cite duas vantagens da utilização de software especialista. Auditoria de áreas mais complexas Vantagem competitiva * * Atividade 4 Cite duas vantagens da utilização de software generalista. Integração com outros softwares Requer menos conhecimento em informática Slides/Aula_03.ppt Auditoria de Sistemas João Paulo Brognoni Casati Aula 3 * Conteúdo da Aula O funcionamento da auditoria de sistemas Controles internos * * O Funcionamento da Auditoria de Sistemas As funções da auditoria de sistemas: * * O Funcionamento da Auditoria de Sistemas Áreas de atuação Auditoria de campo Objetivo Período Âmbito da auditoria Abrangência/Detalhamento Áreas auditadas * * O Funcionamento da Auditoria de Sistemas O dia-a-dia da auditoria: 17 ações básicas 1 - Preparar a análise de risco Definir quais as áreas ou objetos são passíveis de auditoria * * O Funcionamento da Auditoria de Sistemas 2 - Fazer revisões dos projetos e produtos Verificar o escore de risco e estabelecer quais áreas devem ser priorizadas 3 - Familiarizar-se com a área de sistemas Compreender os produtos, serviços e processos da área de TI, etc. * * O Funcionamento da Auditoria de Sistemas 4 - Estabelecer a estratégia Definição das ferramentas 5 - Estabelecer os objetivos Definir os controles internos e os processos 6 - Definir preocupações Definir quais os itens que mais preocupam a equipe de auditoria * * O Funcionamento da Auditoria de Sistemas 7 - fazer a avaliação preliminar dos controles internos Verificar os controles implantados e definir quais serão utilizados 8 - Finalizar o planejamento Determinar o tempo, a equipe, os recursos, a data de emissão do relatório final, etc. * * O Funcionamento da Auditoria de Sistemas 9 - Preparar um documento de aviso Objetivos, cronograma e intenções 10 - Reunião inicial Informar sobre as intenções da auditoria 11 - Elaboração de testes Geração de dados de teste e determinação dos resultados * * O Funcionamento da Auditoria de Sistemas 12 - Aplicação dos testes Aplica-se a massa de testes e colhe-se os resultados 13 - Análise das simulações São analisadas para detectar discrepâncias * * O Funcionamento da Auditoria de Sistemas 14 - Emissão de relatório provisório Ao término do trabalho de campo, deve-se emitir um relatório provisório com todas as falhas encontradas (RASCUNHO) 15 - Discussão de relatório provisório Os auditados devem concordar ou discordar do relatório provisório * * O Funcionamento da Auditoria de Sistemas 16 - Emissão e distribuição do relatório final Deve conter a “nota” do relatório (falhas encontradas que não foram solucionadas) 17 - Follow-up (acompanhamento) Acompanhamento das datas de acerto das falhas indicadas na auditoria e que constam no relatório final * * Controles Internos O que são? “Planejamento organizacional e todos os métodos e procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus ativos, verificar a adequação e o suporte dos dados contábeis, promover a eficiência operacional e encorajar a aderência às políticas definidas pela direção, com o objetivo de evitar FRAUDES, ERROS, INEFICIÊNCIAS e CRISES nas empresas.” Portal da Auditoria * * Controles Internos Controles internos são a principal medida de segurança de uma organização Os controles a serem implantados dependem do ambiente Geralmente, problemas de ordem legal ocorrem por má implantação de controles * * Controles Internos Princípios e Objetivos: 1. Supervisão Manter controle que permita supervisão do ambiente de TI 2. Registro e Comunicação Registros de responsabilidades e autorização em acesso a dados * * Controles Internos 3. Segregação das funções Funções incompatíveis segregadas 4. Classificação de informação Plano de classificação da informação 5. Tempestividade A gerência monitora os registros/transações * * Controles Internos 6. Auditoriabilidade Procedimentos operacionais devem permitir a programação e a verificação periódica 7. Controle independente Os sistemas em operação devem permitir correções de erro no fluxo de processamento * * Controles Internos 8. Monitoramento A gerência deve ter acesso ao controle de uso para acompanhar as transações 9. Implantação Planejamento da aquisição, manutenção, desenvolvimento e documentação dos sistemas * * Controles Internos 10. Contingência Elaborar plano de controle de prevenção de falhas em todas as fases do sistema 11. Custo efetivo Planejamento dos investimentos em tecnologia da informação * * Controles Internos São 12 os principais tipos de controles internos. 1. Integridade de dados e processos Acesso aos dados, confidencialidade, controles de mudanças no sistema... * * Controles Internos 2. Segurança de sistemas Acesso físico e lógico ao sistema e ao banco de dados, uso de criptografia... 3. Legibilidade operacional Plano de contingência, treinamento de pessoal, documentação... * * Controles Internos 4. Conformidade Aspecto legais, políticas da organização, se cumpre normas regulatórias, se possui seguro... 5. Guarda de registros Logs do sistema, registro de tudo que ocorre no ambiente de TI... * * Controles Internos 6. Guarda de ativos Trata do inventário da organização... 7. Programas e sistemas Manter o monitoramento dos programas... 8. Organização e administração Segregação de funções, organização de projetos (PMO)... * * Controles Internos 9. Processo de desenvolvimento Se utiliza padrões e procedimentos corretos, se está sendo documentado e testado... 10. Ambiente de TI Segurança física e lógica do ambiente, Se utiliza o ITIL... * * Controles Internos 11. Contrato de serviços Se os contratos são auditados... 12. Procedimentos e padrões Se as definições feitas pela organização são cumpridas no âmbito da TI, se são alvo de auditoria... * Auditoria de Sistemas João Paulo Brognoni Casati Atividades * * Atividade 1 Quais são as áreas de atuação da auditoria? Auditoria de campo e Âmbito da auditoria. * * Atividade 2 Sobre o processo de desenvolvimento de software, dê 2 exemplos de controles internos que podem ser adotados. A verificação se o software está sendo documentado; A verificação se normas e padrões estão sendo devidamente adotados. * * Atividade 3 Cite uma medida que pode ser adotada para o cumprimento do objetivo da contingência. Elaboração de plano de contingência e recuperação de desastres. * * Atividade 4 O que a etapa de familiarização com a área de sistemas contempla? Compreensão dos produtos, dos serviços e dos processos da área de TI. Slides/Aula_05.ppt Auditoria de Sistemas João Paulo Brognoni Casati Aula 5 * Conteúdo da Aula Técnicas de Auditoria 14 técnicas * * Técnicas de Auditoria Nem sempre são utilizadas as mesmas técnicas: Dependem do tipo e objetivo da auditoria Cada auditoria demanda a utilização de diferentes técnicas Nem todas precisam ser utilizadas * * Técnicas de Auditoria Software para auditoria Agilidade Automação Padronização Cálculos complexos Estatísticas * * Técnicas de Auditoria Software para auditoria Utilização de logs Listagem de código-fonte Locais específicos Execução de testes Dados reais e programa desenvolvido Dados artificiais e programa em produção * * Técnicas de Auditoria Questionário Comum em auditorias Direcionados a: Segurança da informação Eficiência no uso dos recursos de TI Normalmente é acompanhada por outras técnicas (visita, entrevista) * * Técnicas de Auditoria Visita in loco O auditor se desloca ao local e faz verificações Deve ser agendada formalmente Costuma clarear pontos nebulosos Utilizado com outras técnicas * * Técnicas de Auditoria Visita in loco Ações: Obtenção de dados por observação Obtenção de dados por teste Obtenção de dados por documentação Anotação de informações para uso posterior * * Técnicas de Auditoria Entrevista Pode ser feita: Pessoalmente Por telefone Por videoconferência Deve seguir a sequência do processo a ser auditado * * Técnicas de Auditoria Tipos de entrevista Estruturada Formulários definidos no planejamento Não estruturada As perguntas são feitas conforme o rumo Semiestruturada Segue formulários mas pode ter alterações * * Técnicas de Auditoria Teste de observância (aderência) Verifica a credibilidade dos controles Determina se controles estão sendo cumpridos por observação O auditado não sabe que está sendo observado * * Técnicas de Auditoria Teste substantivo Utilizado para obtenção de provas convincentes sobre operações Objetivos Verificar: existência real de transações, integridade das informações, se itens foram avaliados corretamente, etc... * * Técnicas de Auditoria Dados de teste (test data ou test deck) O auditor prepara conjunto de dados para testar os controles do sistema Possuem dados de entrada e dados de saída esperados Dados de saída são comparados aos desejados * * Técnicas de Auditoria Teste integrado Utilizada com sistema em produção Insere-se entidades fictícias Verifica funcionamento do sistema sem alteração dos dados de entidades reais * * Técnicas de Auditoria Simulação paralela O auditor desenvolve um programa que simula as funções do sistema O programa é executado com a massa de dados real Faz o oposto do teste integrado * * Técnicas de Auditoria Lógica de auditoria embutida nos sistemas O sistema pode emitir relatório de auditoria com base em sua utilização Deve ser implementada no sistema em desenvolvimento * * Técnicas de Auditoria Lógica de auditoria embutida nos sistemas Vantagem Monitoria permanente do sistema Desvantagens Custo adicional no desenvolvimento Perda no desempenho * * Técnicas de Auditoria Mapeamento estatístico dos programas Necessita inclusão de instruções especiais no sistema. Esta técnica verifica: Frequência de utilização de rotinas Rotinas fraudulentas Rotinas de controle acionadas Outros tipos de rotina... * * Técnicas de Auditoria Rastreamento dos programas O auditor rastreia a transação durante o processamento O passo-a-passo de uma operação é registrado Permite detectar ações fraudulentas e caminhos incorretos das transações * * Técnicas de Auditoria Análise da lógica de programação Determina se a lógica da programação está em conformidade com a documentação O auditor deve ser conhecedor da linguagem de programação utilizada e técnicas de desenvolvimento de software * * Técnicas de Auditoria Análise de log O log é um arquivo que registra acessos e erros de um sistema Ao analisar este arquivo, o auditor pode: Monitorar e determinar erros de programa Flagrar uso de programas fraudulentos Captar tentativas de acesso indevido * Auditoria de Sistemas João Paulo Brognoni Casati Atividade 5 * * Atividade 1 Qual a diferença entre o teste integrado e a simulação paralela quanto ao uso dos dados? O teste integrado utiliza dados artificiais enquanto a simulação paralela utiliza os dados reais do sistema. * * Atividade 2 Quais são os tipos de entrevista utilizados em auditoria de sistemas? Estruturada Não estruturada Semiestruturada * * Atividade 3 Qual a importância de se possuir logs de sistemas? Os logs possuem informações sobre a utilização, acesso e erros do sistema, importantes para monitoramento e auditoria.
Compartilhar