Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
GTI / ADS / SI – ANDRE MOURA Rio de Janeiro, 09 de Agosto de 2011 AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL 1 AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL O que é Auditoria de Sistemas A Carreira do Auditor de Sistemas A Auditoria de Sistemas nas Organizações Padrões e Código de Ética para Auditoria de Sistemas Código de Ética profissional segundo o ISACA 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL O que é Auditoria de Sistemas A Carreira do Auditor de Sistemas A Auditoria de Sistemas nas Organizações Padrões e Código de Ética para Auditoria de Sistemas Código de Ética profissional segundo o ISACA 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 O QUE É AUDITORIA DE SISTEMAS 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 AUDITORIA DE SISTEMAS Processos Sistemas Respons. gerenciais VERIFICAR a segurança da informação, recursos, serviços e acesso 2 a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões 1 Operações Engloba o exame de: O QUE É AUDITORIA DE SISTEMAS 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 PLANEJAMENTO EXECUÇÃO CONTROLE Funções administrativas, segundo GIL (1989) Determinação de padrões com informações que exprimem uma expectativa de comportamento futuro Caracterização de medidas com informações relacionadas aos registros das operações ocorridas Acompanha-mento de desvios através da confrontação das medidas com os padrões O QUE É AUDITORIA DE SISTEMAS 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 O QUE É AUDITORIA DE SISTEMAS 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 O QUE É AUDITORIA DE SISTEMAS 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 O QUE É AUDITORIA DE SISTEMAS 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 PLANEJAMENTO EXECUÇÃO CONTROLE O Auditor de Sistemas atua como um verificador do trabalho realizado, atuando segundo as ações de VALIDAÇÃO e AVALIAÇÃO do ciclo administrativo. O QUE É AUDITORIA DE SISTEMAS 10 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 PLANEJAMENTO EXECUÇÃO CONTROLE O Auditor de Sistemas atua como um verificador do trabalho realizado, atuando segundo as ações de VALIDAÇÃO e AVALIAÇÃO do ciclo administrativo. VALIDAÇÃO Exprime a ideia de teste AVALIAÇÃO Exprime a ideia de julgamento e emissão de opinião. AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL O que é Auditoria de Sistemas A Carreira do Auditor de Sistemas A Auditoria de Sistemas nas Organizações Padrões e Código de Ética para Auditoria de Sistemas Código de Ética profissional segundo o ISACA 11 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 A Carreira de Auditor de Sistemas 12 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Perfil do Auditor Conhecimento teórico e prático em SI Visão abrangente da empresa Vestir-se adequadamente Comportamento condizente com quem tem autoridade no assunto Nada de extravagâncias Nada de gírias Não aceitar presentes A Carreira de Auditor de Sistemas 13 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Qualificação profissional Algumas organizações certificadoras: ISACA - Certified Information Systems Auditor (CISA) British Computer Society - Exame da Sociedade Britânica de Informática Institute of Internal Auditors (IIA) - Qualificação em Auditoria Computacional A Carreira de Auditor de Sistemas 14 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Equipe de auditoria Auditoria interna Colaboradores da empresa Equipe é treinada conforme objetivos de segurança da empresa Metodologia adquirida / desenvolvida Auditoria externa Contratação de empresa de auditoria Condução da auditoria sob demanda Cuidado para não perder o controle A Carreira de Auditor de Sistemas 15 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática 2 Pouca ou nenhuma experiência informática 1 A Carreira de Auditor de Sistemas 16 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Pouca ou nenhuma experiência informática 1 Conceitos de tecnologia da informação Fundamentos de arquitetura de sistemas, Input/Output, processamento lógico, unidade de memória principal e auxiliar, visando auditoria Rede de computadores, teleprocessamentos, internet, intranet e extranet, com configurações pertinentes Programação de computação, incluindo os conceitos de flowchart e Diagrama de Fluxo de Dados A Carreira de Auditor de Sistemas 17 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Pouca ou nenhuma experiência informática 1 Tabelas de decisão e sua aplicação nas principais linguagens de programação Introdução aos controles gerais de computadores (operação, aquisição, desenvolvimento e manutenção de sistemas, controles de acesso, hardware, controles organizacionais e suporte técnico) Estudo de caso que exemplifique cada situação (jogo de negócios) é desejável A Carreira de Auditor de Sistemas 18 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática 2 Revisão dos controles gerais (operações, aquisição, desenvolvimento e manutenção, controles de acesso, hardware, controles organizacionais e suporte técnico) Auditoria de sistemas aplicativos, princípios e práticas de auditoria com ênfase nos controles gerenciais e organizacionais, monitoramento e emissão de relatórios A Carreira de Auditor de Sistemas 19 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática 2 Gerenciamento de riscos, privacidade, desenvolvimento e implementação de políticas e estratégias de seg. inf. Avaliação dos sistemas online com relação ao proc. em tempo real, controles de recall e identificação de programas, verificação das autenticações e autorizações de acessos e registros (contabilização) das transações. Também inclui correção, detecção e manutenção de diários (journaling) das operações A Carreira de Auditor de Sistemas 20 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática 2 Transmissão de dados, proteção de informações, segurança associada ao uso dos sistemas, teleprocessamentos, redes internet, intranet e extranet Controles de operações, processamento interativo em atividades de negócios e e-commerce Iniciação de trilha de auditoria em ambiente de TI e propriedade intelectual, abordagens aos métodos existentes e supervisões necessárias A Carreira de Auditor de Sistemas 21 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Programa de desenvolvimento de carreira do auditor de sistemas Experiência em informática 2 Controles de acesso à biblioteca de dados ou programas, armazenamento e recuperação dos mesmos a partir de bases hierárquicas, relacionais ou Data Warehouse, plano de contingência (de back-up, emergência e recuperação) de desastres Sw de auditoria; distinguindo-se os sws generalistas dos específicos, como apoio dos especialistas em TI para desenvolver sws que atentem metodologias próprias. A Carreira de Auditor de Sistemas 22 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Biblioteca técnica Ter uma biblioteca técnica para consulta Informações pertinentes ao processamento de dados e também sobre auditorias prévias Facilitadores para orientação dos trabalhos dos auditores de acordo com padrões conhecidos na empresa e a manutenção do conhecimento técnico em relação às novas tecnologias AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL O que é Auditoria de Sistemas A Carreira do Auditor de Sistemas A Auditoria de Sistemas nas Organizações Padrões e Código de Ética para Auditoria de Sistemas Código de Ética profissional segundo o ISACA 23 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES 24 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar as distorções encontradas, seu posicionamento no organograma da empresa deve ser logo abaixo da direção executiva da empresa. A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES 25 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 26 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem através do computador 2 Abordagem ao redor do computador 1 Abordagem com o computador 3 27 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem ao redor do computador 1 Muito usada no passado O auditor analisava os documentos fonte com suas respectivas entradas e saídas (legíveis por leigos em informática) Pouca ou nenhuma atenção é prestada às funções de processamento (Não exige muito conhecimento de TI) Utilização de rotinas manuais 28 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem ao redor do computador 1 Pouco envolvimento com os registros gerados pelo computador (informática era utilizada para tarefas menores, tais como controle de estoque) Custos mais baixos (riscos mais altos) 29 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem através do computador 2 Capacita o auditor a verificar com maior freqüência as áreas que necessitam de verificação constante Faz aprovação dos registros armazenados Simula todas as transações possíveis, através do uso do test data (ferramenta para auditoria) 30 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem através do computador 2 Esta abordagem não deixa evidências documentais através dos controles dos programas (o auditor precisa acompanhar o processamento através e dentro do computador) Uma realização incorreta pode potencializar risco 31 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador 3 Possibilita a maior perfeição possível, fazendo uma compilação dos processos automatizados e manuais Utilização das capacidades lógicas e aritméticas do computador para verificar se os cálculos das transações econômicas e financeiras ou aqueles que dizem respeito às responsabilidades, como por exemplo, o cálculo das depreciações, taxas e impostos são feitos corretamente 32 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador 3 Utilização da capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de contas a receber, estoques imobilizados, fornecedores, etc. 33 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador 3 Utilização da capacidade de edição e classificação do sistema computadorizado, a fim de ordenar e selecionar os registros de interesse. Por exemplo: através de varredura da base de dados do sistema de estoque, um auditor pode ser capaz de apontar com precisão os itens de movimento mais vagaroso, obsoletos e isolá-los dos itens de movimento rápido, para facilitar análise mais complexa e substantiva 34 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador 3 Utilização das capacidades matemáticas do computador para analisar e fornecer listas de amostras de auditoria. Pode também incluir a confirmação dos resultados de auditoria executada manualmente, como cálculos globais 35 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador 3 Utilização de Técnicas de Auditoria Assistida por Computador (TAAC) ou CAAT (Computer Assisted Audit Techniques) Desenvolvimento de programas específicos para serem usados pelo auditor quando tiverem necessidade de evidenciar uma opinião sobre algum processo Facilidades do uso desta abordagem 36 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abordagens de auditoria de sistemas A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Abordagem com o computador 3 Ganhar tempo sobre os passos aplicados com o uso de pacotes generalizado de auditoria de tecnologia de informação Facilidades do uso desta abordagem 37 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Abrangência da auditoria de TI A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Ambiente de informática como um todo Organização do departamento de informática Controles Segurança da informação, recursos, serviços e acesso, procedimentos de contingência e operação Aspectos administrativos da organização, tais como políticas, padrões e procedimentos, responsabilidades organizacionais, gerencia de pessoal e planejamento de capacidade Banco de dados, redes de comunicação para alta (mainframe) ou baixa plataforma (micro-computadores) e controles sobre os aplicativos. 38 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Auditoria de Segurança da Informação Auditoria de Aplicativos Auditoria de Tecnologia da Informação Cada empresa define como classificará sua auditoria. Não há uma regra fixa. 39 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Auditoria de Segurança da Informação Avaliação da conformidade com as políticas de segurança Controles de acesso sobre confidencialidade, integridade, disponibilidade, consistência e confiabilidade Controles ambientais Plano de contingência e continuidade de serviços 40 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Auditoria de Segurança da Informação Confidencialidade Controle de acesso (físico e lógico) Integridade Gravação e atualização autorizadas (“dono”) Disponibilidade Sistema disponível quando necessário Consistência Sistema funciona conforme requisitos Confiabilidade Sistema atuará conforme o esperado 41 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Organizacionais De mudanças De operações de sistemas Sobre banco de dados Sobre computadores (alta e/ou baixa plataforma) Sobre ambientes cliente-servidor Auditoria de Tecnologia da Informação 42 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Áreas de auditoria A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES Controles sobre o desenvolvimento de sistemas aplicativos Controle de entrada, processamento e saída de dados Controles sobre conteúdo e funcionamento do aplicativo em relação à área por ele atendida Auditoria de Aplicativos AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL O que é Auditoria de Sistemas A Carreira de Auditor de Sistemas A Auditoria de Sistemas nas Organizações Padrões e Código de Ética para Auditoria de Sistemas Código de Ética profissional segundo o ISACA 43 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 44 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Padrões e Código e Ética para Auditoria de Sistemas de Informação Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de Tecnologia de Informação dos Estados Unidos 45 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Padrões e Código e Ética para Auditoria de Sistemas de Informação Responsabilidade, autoridade e prestação de contas Independência profissional Ética profissional e padrões 46 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Padrões e Código e Ética para Auditoria de Sistemas de Informação Competência Planejamento Emissão do relatório Atividades de follow-up AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL O que é Auditoria de Sistemas A Carreira de Auditor de Sistemas A Auditoria de Sistemas nas Organizações Padrões e Código de Ética para Auditoria de Sistemas Código de Ética profissional segundo o ISACA 47 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 48 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Conforme padrões emitidos pelo Information Systems Audit and Control Association (ISACA) 49 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informações e encorajar o seu cumprimento. 1 50 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Exercer suas funções com objetividade, diligência e zelo profissional de acordo com os padrões profissionais e melhores praticas. 2 51 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Servir aos interesses dos stakeholders (toda e qualquer pessoa que esteja de uma forma ou de outra ligada ao objeto da auditoria) de forma legal e honesta, atentando para a manutenção de alto padrão de conduta e caráter profissional, e não encorajar atos de descrédito à profissão. 3 52 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Manter privacidade e confidencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a pessoas desautorizadas. 4 53 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Manter competência nas respectivas especialidades e assegurar que nos seus exercícios somente atua nas atividades em que tem razoável habilidade para competir profissionalmente. 5 54 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Informar as partes envolvidas sobre os resultados de seus trabalhos, expondo todos os fatos significativos que estiverem ao seu alcance. 6 55 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01 Código de Ética profissional segundo o ISACA Apoiar a conscientização profissional dos stakeholders para auxiliar sua compreensão dos sistemas de informação, segurança e controle. 7 GTI / ADS / SI – ANDRE MOURA Rio de Janeiro, 09 de Agosto de 2011 F I M AUDITORIA DE SISTEMAS: ABORDAGEM INICIAL 56
Compartilhar