Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas: É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa, com o objetivo de garantir: - A segurança de informações, recursos, serviços e acesso. - A conformidade com objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões. Os recursos podem ser: Humanos, Tecnológicos e Financeiros/Materiais Funções clássicas de uma organização (Antonio Gil): - Planejamento: Informações que exprimem uma expectativa de comportamento futuro (Determinação de padrões) - Execução: Confecção do sistema conforme aprovado pelo cliente (Caracterização de medidas) - Controle: Comparação do trabalho realizado versus o que foi planejado (Acompanhamento de desvios) O Auditor de Sistemas atua como um verificador, segundo as ações de: - Validação: Idéia de TESTE - Avaliação: Emissão de opinião A duplicidade lógica consiste no processo análogo estruturado. O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação e visão abrangente da empresa. Escopo da auditoria: CONTROLES INTERNOS, PROCESSO E CONTROLES DE NEGÓCIO (Antonio Gil) Equipe De Auditoria - Interna: A equipe é treinada de acordo com as medidas de segurança da empresa. A metodologia de auditoria é desenvolvida internamente. O recrutamento/treinamento é um desafio. - Externa: Contratação de um firma de auditores de alguma área ou sistema específico. Nesse caso a chance de perder o controle sobre trabalhos realizados. Em ambos os casos de auditoria, são considerados despesas, já que não existe geração de renda real. O treinamento de auditor de tecnologia da informação é dividido em duas partes: - Pouca/nenhuma experiência em TI: Conceitos de TI, fundamentos de arquitetura, processamento lógico, rede de computadores, programação, introdução aos controles gerais de computadores e estudo de caso. - Experiência em TI: Revisão de controles gerais, princípios e práticas de auditoria com ênfase nos controles gerenciais e organizacionais, gerenciamento de risco, avaliação dos sistemas com relação ao processamento em tempo real, transmissão de dados, proteção da informação, controle de operações, controle do acesso aos dados/programas e Software de auditoria. Auditoria Da Tecnologia Da Informação A auditoria convencional sempre foi conhecida por sua responsabilidade nos testes de confiabilidade dos registros, de acordo com os documentos-fonte. Três tipos de abordagens de auditoria de sistemas - Ao redor do computador: O sistema foi usado para tarefas menores gerando relatórios impressos. (não é eficiente por negligências) - Através do computador: Simulação de todas as transações possíveis através de 'test data' esse método alerta quando há manuseio de dados sem deixar evidências documentais razoáveis. - Com o computador: Abordagem com o computador assistida Padrões e Código de Ética para a Auditoria de Sistemas de Informação - Responsabilidade, autoridade e prestação de contas. - Independência profissional: Para permitir uma conclusão objetiva da auditoria. - Ética profissional e padrões: ética da Associação de Controle e Auditoria de Tecnologia da Informação e ter o devido zelo profissional. - Competência: Constante aprimoramento profissional. - Planejamento: Os pontos e as conclusões da auditoria devem ser fundamentados por meio de análise e interpretação apropriadas destas evidências. - Emissão do relatório: O auditor não altera nada no objeto de auditoria apenas contas o laudo sobre o mesmo. - Atividades de follow-up. Auditoria em TI - Confidencialidade - Integridade - Disponibilidade - Consistência - Confiabilidade Código De Ética Profissional (ISACA) - Livro 1: Apoiar a implementação de padrões e encorajar seu cumprimento. - Livro 2: Exercer as funções de auditor com zelo e prática. - Livro 3: Servir os interesses dos stakeholders de forma legal e honesta. - Livro 4: Manter a privacidade das informações. - Livro 5: Competência nas respectivas especialidades. - Livro 6: Informar os resultados da auditoria aos envolvidos. - Livro 7: Apoiar a conscientização profissional dos stakeholders para auxiliar na compreensão dos sistema. Falhas de segurança, tais como fraude, contabilização indevida de dados contábeis, indisponibilidade de sistemas, acessos (lógicos/físicos) indevidos. Planos De Contingência – Gerenciar Mudanças e Surpresas Uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço. É necessário para: - Reduzir a suscetibilidade a danos (previamente identificados tentando minimizá los) - Aperfeiçoar a habilidade em sobreviver a descontinuidade de rotinas - Reduzir a descontinuidade de rotinas - Reduzir custos de recuperação Áreas de negócios - Responsáveis pela continuidade da operação em suas áreas - Desenvolvimento de planos em todos os níveis - Incluir os planos das áreas interdependentes - Coordenação das atividades (gerenciais a confecção dos planos de contingência) Riscos e Ameaças (Relacionados aos Ativos) - Ameaças: Acidentais ou Deliberadas (Passivas/Ativas) - Recurso: Um componente físico - Vulnerabilidade - Ataque: Ameaça concretizada (Perda de Confidencialidade, Integridade ou Disponibilidade) - Impacto: Resultado do ataque (Direto ou Indireto) - Risco: Ameaça, vulnerabilidade e impactos Funções, sistemas ou áreas: Lugares para identificar no plano de contingência. Matriz de Risco (Ameaça, impacto, probabilidade, escore de risco) Levantamento de riscos envolvidos (Brainstorming) Depende de mim ou do meu pessoal? Se sim, é erro, senão, é risco. Dar pesos aos critérios (probabilidade e impacto) e observar o comportamento de cada risco em relação aos critérios Impacto: Curto e Longo prazo - Impacto irrelevante - Efeito pouco significativo - Sistemas não disponíveis por um determinado período - Perda financeira de maior vulto - Efeitos desastrosos (Sem comprometer a empresa) - Efeitos desastrosos (Comprometendo a empresa) Probabilidade - Improvável - Menos de um vez ao ano - Pelo menos uma vez ao ano - Uma vez ao mês - Uma vez por semana - Diariamente Controles - Eliminar o risco - Reduzir a um nível aceitável - Limitar o dano, reduzir impacto - Compensar o dano por meio de seguros Planos de contingência - Plano de Emergência - Respostas de risco a serem seguidas na eventualidade de uma ameaça ocorrer - Plano de Backup - Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. - Plano de Recuperação - São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. Aula 3: Realizando Uma Auditoria FASES DA AUDITORIA (4) - Planejamento: É necessário escolher quais os sistemas que são passíveis de serem auditados (escore de risco) Controle de Negócios: São controles específicos para cada projeto, conforme o produto para qual o sistema dará suporte operacional. Cronograma: Estimativa de tempo que será gasto em cada PONTO DE CONTROLE. O ORÇAMENTO é baseado nas atividades identificadas para a condução da auditoria em questão. - Execução: Trabalho de campo, verificação da existência dos controles internos, processos e controles de negócios. Testes, análise de documentações, entrevistas com os envolvidos da(s) área(s) e Identificação de vulnerabilidades. - Emissão e divulgação de relatórios: Baseado no trabalho realizado na EXECUÇÃO é gerado um relatório com a nota conforme falhas emitidas e não resolvidas até o momento. - Follow-Up FUNCIONAMENTO DA AUDITORIA DE SISTEMAS: Auditoria> Operações, Sistemas, Processos e Responsabilidades > Objetivos, Regras, Padrões e Normas > Avaliação. ÁREAS DE ATUAÇÃO: Campo e Âmbito (abrangência) CONTROLES INTERNOS: Métodos e procedimentos a fim de proteger seus ativos, promovendo a eficiência a fim de evitar fraudes, erros, ineficiência e crises. PRINCÍPIOS E OBJETIVOS 1 - Supervisão 2 - Registro e Comunicação 3 - Segregação das funções 4 - Classificação de informação 5 - Tempestividade 6 - Auditoria Bilidade 7 - Controle independente 8 - Monitoramento 9 - Implementação 10 - Contingência 11 - Custo efetivo CONTROLES INTERNOS 1 - Integridade dos dados 2 - Segurança de sistemas 3 - Legibilidade operacional 4 - Conformidade 5 - Guarda de registros 6 - Guarda de ativos 7 - Programas e sistemas 8 - Organização e administração 9 - Processo de desenvolvimento 10 - Ambiente de TI 11 - Contrato de serviço 12 - Procedimentos e padrões Aula 4: Ferramentas e algumas técnicas de auditoria Auditoria em sistemas em desenvolvimento: foco nos controles internos. Auditoria em sistemas em operação: além dos controles internos se deve testar. 1 - Softwares generalistas: Ambiente BATCH (processamento offline). VANTAGENS: Processar vários arquivos ao mesmo tempo, vários tipos de arquivos com formatos distintos. DESVANTAGENS: As aplicações não funcionam online 2 - Software especializados: Testar particularidades nos sistemas auditados VANTAGENS: inclusão de teste de controles internos específicos, inclusão de HASH TOTAL (primeiro registro do arquivo) ou TRAILLER LABEL (último registro do arquivo) DESVANTAGENS: Familiarização do auditor com o desenvolvimento de TI 3 - Softwares utilitários: Utilizados para funções básicas como, somar ou listar campos. VANTAGENS: Aprendizado fácil e fácil manuseio DESVANTAGENS: Executa apenas funções padrões. TÉCNICAS DE AUDITORIA PROGRAMA DE COMPUTADOR PARA AUDITORIA: Programas que correlacionam dados e arquivos. Podem ter algumas dessas funções. - Tabulação de campos: Somatório de datas de de vencimento gerando HASH TOTAL. - Contagem de campos/registros: Apuração total por tipo de registro/campo. - Análise de conteúdo de campos/registros: Verifica a existência de campo/registro. - Correlação de arquivos: Confronto de campos entre registros. - Estatísticas dos campos dos arquivos: Técnicas de média e desvio padrão. QUESTIONÁRIOS PARA AUDITORIA: Para cada ponto de controle um questionário para assinalar se o sistemas satisfaz PARA AUDITORIA EM CPD: Questionários para características intrínsecas referentes a - Segurança de rede de computadores: Segurança física e lógica - Segurança de centro de computação: Controle de acesso físico e lógico - Eficiência no uso de recursos computacionais: Tempo médio de resposta - Eficácia de sistemas aplicativos VISITA EM LOCO: Visita do auditor ao ambiente (previamente avisado). É verificado: -Inventário de volumes -Inventário de suprimentos -Utilização dos computadores -Acompanhamento das rotinas ENTREVISTA: Visa obter evidências do trabalho para que o auditor possa opinar. Deve seguir uma sequência lógica orientada pelo fluxo de eventos. -Estruturada: Usa formulários -Não estruturada: Não usa formulários -Semiestruturada: Segue o formulário, mas pode ter alterações Aula 5: Mais técnicas de auditoria TESTES EM SISTEMAS AUDITADOS (2) -Teste de Observância (aderência): Empregados pelo auditor, verificar se os processo internos estão sendo cumpridos. Constar a credibilidade dos procedimentos de controle para proporcionar razoável segurança da correta execução dos processos internos. -Teste Substantivos: Quando se deseja obter provas concretas sobre determinados fatos. - Existência real: transações/registros realmente ocorreram; - Integridade: Inalteração e exclusividade das transações/registros; - Parte Interessada: Informação (total) aos interessados em relação a transações/registros; - Avaliação e aferição: transações/registros foram aferidos corretamente; - Divulgação: transações/registros foram corretamente divulgados. DADOS DE TESTE/TEST DECK (batch): É preparado um conjunto de dados com o objetivo de testar os controles programados e os sistemas de rotina. Deve conter várias possibilidades de simulação e devem prever situações corretas e incorretas. - Transações com campos incorretos; - Transações com valores ou quantidades nos limites de tabelas de cálculos; - Transações incompletas; - Transações incompatíveis; - Transações Duplicadas. ETAPAS DO TEST DECK: -Compreensão do módulo; -Simulação dos dados; -Elaboração de formulários de controle; -Transcrição dos dados de teste; -Prepara o ambiente; -Processamento dos dados; -Avaliação dos resultados; -Emissão de opinião sobre o controle testado. TESTE INTEGRADO/TEST FACILITY (On-line e Real Time): Os dados de teste são integrados ao ambiente real. Evita que a base de dados seja atualizada com dados fictícios, criando arquivos de resultado separado. SIMULAÇÃO PARALELA: Elaboração de um programa de computador (auditor) para simular a rotina dos sistema. 1 - Levantamento da documentação e rotina dos sistema; 2 - Elaboração do programa com a lógica adequada a rotina a ser auditada; 3 - Preparação do ambiente de computação para o processamento do programa. Periodicamente os relatórios de auditoria são emitidos para a revisão e o acompanhamento dos procedimentos operacionais. Nesta técnica poderiam ser incluídas as rotinas para gravação de arquivos logs. Relatórios de exceção também podem ser incluídos nesta categoria. MAPEAMENTO ESTÁTICO DOS PROGRAMAS DE COMPUTADOR (MAPPING): Efetuar verificação durante o processamento de programas. Software de apoio no sistema, custo possivelmente alto e diminuir a velocidade do sistema. - Rotinas não utilizadas - Utilização de cada rotina MAPPING constata: - Rotinas existentes desativadas/esporádicas - Rotinas mais utilizadas - Rotinas fraudulentas - Rotinas de controle acionadas RASTREAMENTO DOS PROGRAMAS DE COMPUTADOR: Possibilita seguir o caminho de uma transação. Ajuda a achar rotinas fraudulentas. Verificar se cumpriu normas e padrões, analisar a estrutura e detectar vícios de programação e o nível de atendimento às características de programação. Análise visual do código fonte, normalmente feita de forma manual. ANÁLISE DO LOG/ACCOUNTING: Arquivo gerado por uma rotina no sistema. Permite verificar a intensidade do uso do dispositivo. Aula 6: Mais Técnicas de Auditoria Criando políticas --> Processo formal de implantação, relativamente longo. Controles organizacionais e operacionais - Controles administrativos (processo de fluxo e auxiliam no cumprimento dos objetivos) Responsabilidades dos controles: - Delineamento das responsabilidades - Coordenação de orçamento - Desenvolvimento das políticas (informática) - Intermediação com terceiros - Gerenciamento de suprimentos - Plano de capacitação 1 - Identificação dos recursos críticos: Definir o que precisa ser protegido. 2 - Classificação das informações¹ 3 - Identificação das ameaças e análise de risco² Definição da informação¹ - Pública ou uso irrestrito: Divulgada para qualquer pessoa. - Internas ou uso interno: Não devem sair do âmbito da organização (não são críticas). - Confidenciais: Devem ser protegidas com acesso restrito (pode causar dano a empresa). - Secretas: Número mínimo de pessoas autorizadas (extremamente crítica). Elaboração da proposta da política² Identificado os recursos que devem ser protegidos, serão desenvolvidas estratégias para controlar o ambiente vulnerável. - Eliminar o risco, se possível. - Reduzir o risco a um nível aceitável. - Limitaro dano, reduzindo o impacto. - Compensar o dano, por meio de seguros Próximas etapas: Após o rascunho da política de segurança pronto. 4 - Discussão com os envolvidos: Time de segurança e pessoas que trabalham com recursos. 5 - Apresentar o documento formal à gerência superior. 6 - Aprovação (diretoria executiva) 7 - Divulgação e implementação: Treinamento com os colaboradores e todos afetados pelas novas políticas. 8 - Avaliação da política e identificação das mudanças necessárias (6 meses a um ano). 9 - Revisão e Implementação definitiva. O que fazer em casos de violação da política de segurança? - Determinar a razão (negligência, acidente ou erro deliberados ou acidentais). - Circunstâncias da violação. - Porque ela ocorreu. Hierarquia de TI - Supervisor de infraestrutura de TI - Planejar - Buscar - Administrador de Rede - Administrador de banco de dados - Administrador de segurança - Implantar as políticas de segurança - Manter a estrutura atualizada - Analista de sistemas - Web designer - Profissional de suporte técnico - Supervisor de service desk - Bibliotecário Aula 7: Auditorias Direcionadas Auditoria de redes Intranet Internet Extranet - Planejamento da concepção da rede com visão estratégica ao integrar o plano diretor de informática. - Desenho das arquiteturas e da topologia da rede. - Implementação dos projetos físicos e lógicos. - Monitoramento dos desempenhos e possíveis interceptações nas redes. - Re-planejamento de capacidade. - Levantamento dos problemas operacionais e sua resolução. Avaliar questões fundamentais relacionadas a vulnerabilidade do TCP/IP e aplicações. Assegurar a confiabilidade da rede - Segurança física (equipamentos e periféricos) - Segurança lógica (customização de software) - Segurança de enlace (linhas e canais de transmissão entre unidades) - Segurança de aplicação (disponibilidade da rede) Controles em níveis gerais - C1: Políticas empresariais que garantem implementação efetiva (administração de rede) - C2: Controle sobre o ambiente e informações com relação a definição da plataforma. - C3: Controle sobre o software - C4: Controle de segurança (garante adequado controle sobre a transmissão de dados pela rede, proteção de dados, alteração e intercepção não autorizada) - C5: Informação vai gerar sobre implementação de firewall, consiste com padrões de segurança de informação da empresa. - C6: Procedimento especifico de controles de operação de firewall. Auditoria de hardware Implantar procedimentos de segurança física sobre equipamentos instalados na empresa - C1: Controles de acesso físico ao ambiente de informática (preocupações sobre acesso físico); - C2: Controle de acionamento e desligamento de máquinas (saber se quem liga e desliga os equipamentos); - C3: Controle de acesso físico a equipamentos de hardware, periféricos e de transporte (se o acesso ao local de instalação do CPD é restrito); - C4: Localização e infraestrutura do CPD (local onde se situa o CPD em relação à segurança externa); - C5: Controle de back-up e off-site (aspectos relacionados a controle de back-ups); - C6: Controles de aquisição e disposição do equipamento (assegura existência de políticas organizacionais sobre o tema); - C7: Controles sobre o ambiente e informações com relação à definição da plataforma de hardware, software, sistema operacional e os riscos inerentes; - C8: Controles sobre os recursos instalados (se há políticas organizacionais para uso e aquisição dos softwares); - C9: Garantia de integridade de transmissão (se há controle adequado sobre a transmissão de dados pela rede entre os computadores ou workstations); Controle de acesso - Acesso físico (indivíduos em determinados recintos) - Acesso lógico (manuseio de informação em meios magnéticos) Programa de controle de acesso - C1: Políticas de segurança que forneçam, de forma geral, diretrizes e forma de implementação de normas de segurança. - C2: Rotinas e procedimentos estabelecidos para atribuição ou modificação do nível de acesso. - C3: Software para controle de acesso - C4: Controle de acesso a transações - C5: Controle sobre utilização de software - C6: Controle sobre utilização de redes locais. Aula 8: Mais Auditorias Direcionadas Segundo a metodologia PMBOK - Planejamento das aquisições - Planejamento das solicitações - Solicitação - Seleção da fonte (melhor proposta) - Administração do contrato - Fechamento do contrato Objetivos de auditoria Auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos. - Há real necessidade para um novo sistema? - Há informações para decidir entre aquisição e desenvolvimento interno? - As questões básicas (tecnologia, segurança...) são esclarecidas quando se optar pela compra externa? - Teste/instalações sem trauma para usuários? - Segue os padrões da empresa? - Existe treinamento dos usuários? - Como ocorre a manutenção? - A documentação é disponível e consistente? Especificação do sistema (rotinas/procedimentos para elaboração de especificações de requisitos) Descreva os controles existentes para assegurar que: - O usuário seja envolvido - O gerente seja identificado - Documentação de reunião - Entrada de dados seja identificada - Passos lógicos sejam identificados - Ambiente de software seja identificado - Controles internos sejam incorporados ao desenho do sistema. Aquisição de Sistemas (rotinas/procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas) Descreva os controles existentes para assegurar que: - Declaração de trabalho específica e aprovadas. - Concorrência de no mínimo três fornecedores. - A seleção da melhor proposta foi feita em critérios previamente estabelecidos. - Documentação que assegura garantia de manutenção. Há rotinas e procedimentos estabelecidos - envolvimento do usuário na seleção, especificação ou modificação de sistemas? - determinar prioridades para os projetos de desenvolvimento e manutenção de sistemas? - rever as especificações dos projetos por pessoal apropriado de processamento de dados, fora da área de desenvolvimento e manutenção de sistemas (por exemplo: operação, segurança e suporte)? Programação (Interna) - Os programas sejam desenvolvidos de maneira consistente - Codificação de programas novos/alterados esteja sujeita à revisão Teste (Interna) - Lógico - Entradas de dados (usuários) - Interface - Paralelo ao substituído - Regressão - Controle e segurança - Existência de plano de teste - Evidência de teste unitário, sistema e integração - Evidência de participação do usuário (definição/teste) Documentação - Atualizada e reflita exatamente o sistema em operação - Suficientemente detalhada para futuras mudanças. Manutenção - Documentadas e autorizadas (usuário/erência) - Padrões de programação - Revisão dos resultados antes da implementação Auditoria de operação de sistemas Levantar a existência de controles que assegurem que as operações das transações executadas na empresa sejam fidedignas. Acionar o Inicial Program Loader (IPL) e programas que ligam/desligam os computadores. - Planejamento, controle e monitoração das operações. - Planejamento da capacidade. - Monitoramento de todos os sistemas e as redes. - Inicialização do sistema e do desligamento. - Gravação (logging), rastreamento (tracking) dos problemas e monitoramento do tempo de resposta. - Programação dos serviços (job scheduling) e acompanhamento dasoperações. - Automação da produção. - Backup dos sistemas, programas, dados e banco de dados. Auditoria de suporte técnico Implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. - Funções rotineiras: EX.: Gerenciamento de help desk e Substituição dos equipamentos antigos. - Funções esporádicas: EX.: Instalação de upgrades e Dimensionamento de banco de dados. Auditoria de sistemas aplicativos (COBIT) Usa a entrevista, a observação, a revisão documental, teste dos controles internos e programados como ferramentas de auditoria: - Efetividade - Eficiência - Confidencialidade - Integridade - Disponibilidade - Conformidade - Confiança Aula 9: Comunicando Resultados - Durante o processo de auditoria - Final da auditoria - Antes de emitir o relatório se deve falar com o auditado - DRAFT: Rascunho sem conclusão O relatório deve ser escrito de forma clara e perfeitamente redigido. Quanto mais perto do alto escalão mais resumido o relatório deve ser. - Quem é a sua audiência? Vai atuar na sua recomendação. - Quem é a sua segunda audiência? Nível mais alto, vão revelar o relatório. - Qual parte do relatória interessa a primeira audiência? detalhes e recomendações. - Qual parte do relatório interessa a segunda audiência? resumo das falhas e recomendações. Questões a serem ponderadas - Quem lerá o relatório? O que o leitor deve saber? Eles querem todos os detalhes? Quanto se deve definir? A identificação das informações está fácil? Executivos gostam de gráficos (pouco tempo para ler) - Obter as informações sem ter que procurar no relatório - Informação pertinente a sua posição - A informação é precisa, honesta e objetiva Esquematizando seus pensamentos - Evitar escrever em "círculos", demonstra insegurança e inabilidade. - Saber o propósito do relatório - Saber para quem é o relatório - Saber o que se deve dizer antes de escrever 3 regras para um bom relatório 1 - Evitar linguagem pomposa e dura 2 - Evitar linguagem técnica desnecessária (técnica para os técnicos) 3 - Usar linguagem concreta e específica Fornecer detalhes suficientes evitando generalismo. Ser claro! - Verbalizar antes de escrever Objetividade: Descrição correta e clara para evitar má-interpretação e mau entendimento. Evitar o trivial. Escrita não abrasiva: Críticas ou recomendações sem ofender o leitor. Forte suficiente para causar uma ação, mas deve ser direcionada ao problema e não ao indivíduo, departamento ou posição. Específico (vaga ou suficiente) - Evitar o leitor interpretar seus comentário - Evitar deixar o comentário aberto para questionamentos/dúvidas Legibilidade - Evitar comentários muito longos/confusos/qualificar tudo/chato - Manter as frases curtas, variando tamanho e a construção - Usar palavras do dia-a-dia - Usar verbos ativos - Ser específico, concreto Composição de um relatório de auditoria - Memorando capa: Endereçado ao responsável pela área auditada. - Relatório Final - Relatório Resposta: Relatório feito pelo responsável da área auditada quando solicitado a fazê-lo. Aula 10: Avaliação de software de auditoria de sistemas Auxiliar o auditor em suas tarefas rotineiras Desenvolver ou Sistema pronto? Um sistema pronto deve se encaixar aos objetivos da empresa considerando fatores como - Custo - Integridade - Controle de documentos - Segurança Características funcionais diversificadas, para interligar todo o processo de auditoria. Metodologia de seleção - Análise documentos que registram experiências semelhantes - Contato com o fabricante - Análise sobre pacotes disponíveis no mercado - Visitar a usuarios dos produtos - Troca de informação com empresas semelhantes - Análise organizacional - Análise da idoneidade da instituição detentoras dos produtos Coleta de Dados - Coleta de dados para identificação dos produtos no mercado, reuniões internas para discussão e perguntas técnicas e específicas. Aspectos a serem considerados na escolha de um software - Aspectos funcionais: Auditores usuários EX.: Apoiar o planejamento da auditoria e Apresentar papéis de auditoria. - Aspectos de gestão: Gerentes e supervisores EX.: Alocar tempo do auditor e Permitir a supervisão on-line - Aspectos de fornecimento de suporte: Apoiar processo de uso de pacote EX.: Apoio na implantação e Contrato de assistência técnica para instalação/manutenção. - Aspectos relacionados a custos: EX.: Valor da licença de uso e Taxa de Manutenção. - Aspectos relacionados a tecnologia: Novos recursos tecnológicos, facilidade de manutenção futura e integração EX.: Interface com sistema operacional da empresa e Integração com email. Pacotes disponíveis no mercado - Audit Automation Facilities (AAF): Auditoria interna visa o aumento da eficiência e produtividade. - Sistema de AUDITAR: Sistema integrado de auditoría pública - Sistema SAP: Para processo de empresas. - Nessus: Uso de segurança de redes Ferramentas de análise de dados - ACL (Audit Command Language) - CAS WORKBENCH - SEKCHECK (Security Check)
Compartilhar