AUDITORA DE SISTEMAS - Aula_01

•

ESTÁCIO EAD

Leniane Brasil

17.06.2013

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

GTI / ADS / SI – ANDRE MOURA 
Rio de Janeiro, 09 de Agosto de 2011
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
1
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL 
O que é Auditoria de Sistemas
A Carreira do Auditor de Sistemas
A Auditoria de Sistemas nas Organizações
Padrões e Código de Ética para Auditoria de Sistemas
Código de Ética profissional segundo o ISACA
2
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL 
O que é Auditoria de Sistemas
A Carreira do Auditor de Sistemas
A Auditoria de Sistemas nas Organizações
Padrões e Código de Ética para Auditoria de Sistemas
Código de Ética profissional segundo o ISACA
3
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
O QUE É AUDITORIA DE SISTEMAS 
4
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
AUDITORIA DE SISTEMAS
Processos
Sistemas
Respons. gerenciais
VERIFICAR
a segurança da informação, recursos, serviços e acesso
2
a conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões
1
Operações
Engloba o exame de:
O QUE É AUDITORIA DE SISTEMAS 
5
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
PLANEJAMENTO
EXECUÇÃO
CONTROLE
Funções administrativas, segundo GIL (1989) 
Determinação de padrões com informações que exprimem uma expectativa de comportamento futuro
Caracterização de medidas com informações relacionadas aos registros das operações ocorridas
Acompanha-mento de desvios através da confrontação das medidas com os padrões
O QUE É AUDITORIA DE SISTEMAS 
6
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
O QUE É AUDITORIA DE SISTEMAS 
7
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
O QUE É AUDITORIA DE SISTEMAS 
8
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
O QUE É AUDITORIA DE SISTEMAS 
9
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
PLANEJAMENTO
EXECUÇÃO
CONTROLE
O Auditor de Sistemas atua como um verificador do trabalho realizado, atuando segundo as ações de VALIDAÇÃO e AVALIAÇÃO do ciclo administrativo.
O QUE É AUDITORIA DE SISTEMAS 
10
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
PLANEJAMENTO
EXECUÇÃO
CONTROLE
O Auditor de Sistemas atua como um verificador do trabalho realizado, atuando segundo as ações de VALIDAÇÃO e AVALIAÇÃO do ciclo administrativo.
VALIDAÇÃO
Exprime a ideia de teste
AVALIAÇÃO
Exprime a ideia de julgamento e emissão de opinião. 
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL 
O que é Auditoria de Sistemas
A Carreira do Auditor de Sistemas
A Auditoria de Sistemas nas Organizações
Padrões e Código de Ética para Auditoria de Sistemas
Código de Ética profissional segundo o ISACA
11
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
A Carreira de Auditor de Sistemas
12
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Perfil do Auditor
Conhecimento teórico e prático em SI
Visão abrangente da empresa 
Vestir-se adequadamente
Comportamento condizente com quem tem autoridade no assunto
Nada de extravagâncias
Nada de gírias
Não aceitar presentes
A Carreira de Auditor de Sistemas
13
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
	Qualificação profissional
Algumas organizações certificadoras:
ISACA - Certified Information Systems 	 Auditor (CISA)
British Computer Society - Exame da Sociedade Britânica de Informática
Institute of Internal Auditors (IIA) - Qualificação em Auditoria Computacional
A Carreira de Auditor de Sistemas
14
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
	Equipe de auditoria
Auditoria interna
Colaboradores da empresa
Equipe é treinada conforme objetivos de segurança da empresa
Metodologia adquirida / desenvolvida
Auditoria externa
Contratação de empresa de auditoria
Condução da auditoria sob demanda
Cuidado para não perder o controle
A Carreira de Auditor de Sistemas
15
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do auditor de sistemas
Experiência em informática
2
Pouca ou nenhuma experiência informática
1
A Carreira de Auditor de Sistemas
16
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do auditor de sistemas
Pouca ou nenhuma experiência informática
1
 Conceitos de tecnologia da informação
Fundamentos de arquitetura de sistemas, Input/Output, processamento lógico, unidade de memória principal e auxiliar, visando auditoria
Rede de computadores, teleprocessamentos, internet, intranet e extranet, com configurações pertinentes
Programação de computação, incluindo os conceitos de flowchart e Diagrama de Fluxo de Dados
A Carreira de Auditor de Sistemas
17
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do auditor de sistemas
Pouca ou nenhuma experiência informática
1
Tabelas de decisão e sua aplicação nas principais linguagens de programação
Introdução aos controles gerais de computadores (operação, aquisição, desenvolvimento e manutenção de sistemas, controles de acesso, hardware, controles organizacionais e suporte técnico)
Estudo de caso que exemplifique cada situação (jogo de negócios) é desejável
A Carreira de Auditor de Sistemas
18
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do auditor de sistemas
Experiência em informática
2
Revisão dos controles gerais (operações, aquisição, desenvolvimento e manutenção, controles de acesso, hardware, controles organizacionais e suporte técnico)
Auditoria de sistemas aplicativos, princípios e práticas de auditoria com ênfase nos controles gerenciais e organizacionais, monitoramento e emissão de relatórios
A Carreira de Auditor de Sistemas
19
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do auditor de sistemas
Experiência em informática
2
Gerenciamento de riscos, privacidade, desenvolvimento e implementação de políticas e estratégias de seg. inf.
Avaliação dos sistemas online com relação ao proc. em tempo real, controles de recall e identificação de programas, verificação das autenticações e autorizações de acessos e registros (contabilização) das transações. Também inclui correção, detecção e manutenção de diários (journaling) das operações
A Carreira de Auditor de Sistemas
20
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do auditor de sistemas
Experiência em informática
2
Transmissão de dados, proteção de informações, segurança associada ao uso dos sistemas, teleprocessamentos, redes internet, intranet e extranet
Controles de operações, processamento interativo em atividades de negócios e e-commerce
Iniciação de trilha de auditoria em ambiente de TI e propriedade intelectual, abordagens aos métodos existentes e supervisões necessárias
A Carreira de Auditor de Sistemas
21
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Programa de desenvolvimento de carreira do auditor de sistemas
Experiência em informática
2
Controles de acesso à biblioteca de dados ou programas, armazenamento e recuperação dos mesmos a partir de bases hierárquicas, relacionais ou Data Warehouse, plano de contingência (de back-up, emergência e recuperação) de desastres
Sw de auditoria; distinguindo-se os sws generalistas dos específicos, como apoio dos especialistas em TI para desenvolver sws que atentem metodologias próprias.
A Carreira de Auditor de Sistemas
22
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Biblioteca técnica
Ter uma biblioteca técnica para consulta
Informações pertinentes ao processamento de dados e também sobre auditorias prévias
 Facilitadores para orientação dos trabalhos dos auditores de acordo com padrões conhecidos na empresa e a manutenção do conhecimento técnico em relação às novas tecnologias 
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL 
O que é Auditoria de Sistemas
A Carreira
do Auditor de Sistemas
A Auditoria de Sistemas nas Organizações
Padrões e Código de Ética para Auditoria de Sistemas
Código de Ética profissional segundo o ISACA
23
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
24
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar as distorções encontradas, seu posicionamento no organograma da empresa deve ser logo abaixo da direção executiva da empresa.  
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
25
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
26
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem através do computador
2
Abordagem ao redor do computador
1
Abordagem com o computador
3
27
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem ao redor do computador
1
 Muito usada no passado
O auditor analisava os documentos fonte com suas respectivas entradas e saídas (legíveis por leigos em informática) 
Pouca ou nenhuma atenção é prestada às funções de processamento (Não exige muito conhecimento de TI)
 Utilização de rotinas manuais
28
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem ao redor do computador
1
Pouco envolvimento com os registros gerados pelo computador (informática era utilizada para tarefas menores, tais como controle de estoque)
 Custos mais baixos (riscos mais altos)
29
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem através do computador
2
Capacita o auditor a verificar com maior freqüência as áreas que necessitam de verificação constante
 Faz aprovação dos registros armazenados
Simula todas as transações possíveis, através do uso do test data (ferramenta para auditoria) 
30
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem através do computador
2
Esta abordagem não deixa evidências documentais através dos controles dos programas (o auditor precisa acompanhar o processamento através e dentro do computador)
Uma realização incorreta pode potencializar risco 
31
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador
3
Possibilita a maior perfeição possível, fazendo uma compilação dos processos automatizados e manuais 
Utilização das capacidades lógicas e aritméticas do computador para verificar se os cálculos das transações econômicas e financeiras ou aqueles que dizem respeito às responsabilidades, como por exemplo, o cálculo das depreciações, taxas e impostos são feitos corretamente
32
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador
3
Utilização da capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de contas a receber, estoques imobilizados, fornecedores, etc.
33
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador
3
Utilização da capacidade de edição e classificação do sistema computadorizado, a fim de ordenar e selecionar os registros de interesse. Por exemplo: através de varredura da base de dados do sistema de estoque, um auditor pode ser capaz de apontar com precisão os itens de movimento mais vagaroso, obsoletos e isolá-los dos itens de movimento rápido, para facilitar análise mais complexa e substantiva
34
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador
3
Utilização das capacidades matemáticas do computador para analisar e fornecer listas de amostras de auditoria. Pode também incluir a confirmação dos resultados de auditoria executada manualmente, como cálculos globais
35
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador
3
Utilização de Técnicas de Auditoria Assistida por Computador (TAAC) ou CAAT (Computer Assisted Audit Techniques)
 Desenvolvimento de programas específicos para serem usados pelo auditor quando tiverem necessidade de evidenciar uma opinião sobre algum processo
 
 
Facilidades do uso desta abordagem
36
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abordagens de auditoria de sistemas
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Abordagem com o computador
3
Ganhar tempo sobre os passos aplicados com o uso de pacotes generalizado de auditoria de tecnologia de informação
Facilidades do uso desta abordagem
37
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Abrangência da auditoria de TI
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Ambiente de informática como um todo
Organização do departamento de informática
Controles
Segurança da informação, recursos, serviços e acesso, procedimentos de contingência e operação 
Aspectos administrativos da organização, tais como políticas, padrões e procedimentos, responsabilidades organizacionais, gerencia de pessoal e planejamento de capacidade
Banco de dados, redes de comunicação para alta (mainframe) ou baixa plataforma (micro-computadores) e controles sobre os aplicativos.
38
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Auditoria de Segurança da Informação
Auditoria de Aplicativos
Auditoria de Tecnologia da Informação
Cada empresa define como classificará sua auditoria. Não há uma regra fixa. 
39
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Auditoria de Segurança da Informação
Avaliação da conformidade com as políticas de segurança
Controles de acesso sobre confidencialidade, integridade, disponibilidade, consistência e confiabilidade 
Controles ambientais
Plano de contingência e continuidade de serviços
40
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Auditoria de Segurança da Informação
Confidencialidade Controle de acesso (físico e lógico) 
Integridade Gravação e atualização autorizadas (“dono”) 
Disponibilidade Sistema disponível quando necessário 
Consistência Sistema funciona conforme requisitos
Confiabilidade Sistema atuará conforme o esperado 
41
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
 Organizacionais	
 De mudanças
 De operações de sistemas
 Sobre banco de dados
 Sobre computadores (alta e/ou baixa plataforma)
 Sobre ambientes cliente-servidor
Auditoria de Tecnologia da Informação
42
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Áreas de auditoria
A AUDITORIA DE SISTEMAS NAS ORGANIZAÇÕES
Controles sobre o desenvolvimento de sistemas aplicativos
Controle de entrada, processamento e saída de dados
Controles sobre conteúdo e funcionamento do aplicativo em relação à área por ele atendida  
Auditoria de Aplicativos
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL 
O que é Auditoria de Sistemas
A Carreira de Auditor de Sistemas
A Auditoria de Sistemas nas Organizações
Padrões e Código de Ética para Auditoria de Sistemas
Código de Ética profissional segundo o ISACA
43
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas
- Aula 01
44
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Padrões e Código e Ética para 
Auditoria de Sistemas de Informação
Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de Tecnologia de Informação dos Estados Unidos
45
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Padrões e Código e Ética para 
Auditoria de Sistemas de Informação
Responsabilidade, autoridade e prestação de contas
Independência profissional
Ética profissional e padrões
 
46
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Padrões e Código e Ética para 
Auditoria de Sistemas de Informação
Competência
Planejamento
Emissão do relatório
Atividades de follow-up
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL 
O que é Auditoria de Sistemas
A Carreira de Auditor de Sistemas
A Auditoria de Sistemas nas Organizações
Padrões e Código de Ética para Auditoria de Sistemas
Código de Ética profissional segundo o ISACA
47
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
48
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
 segundo o ISACA
Conforme padrões emitidos pelo 
Information Systems Audit and Control Association (ISACA)
49
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
 segundo o ISACA
	Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de informações e encorajar o seu cumprimento.
1
50
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
 segundo o ISACA
	Exercer suas funções com objetividade, diligência e zelo profissional de acordo com os padrões profissionais e melhores praticas.
2
51
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
 segundo o ISACA
	 
	Servir aos interesses dos stakeholders (toda e qualquer pessoa que esteja de uma forma ou de outra ligada ao objeto da auditoria) de forma legal e honesta, atentando para a manutenção de alto padrão de conduta e caráter profissional, e não encorajar atos de descrédito à profissão.
3
52
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
 segundo o ISACA
	 
	 Manter privacidade e confidencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a pessoas desautorizadas.
4
53
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
 segundo o ISACA
	 
	Manter competência nas respectivas especialidades e assegurar que nos seus exercícios somente atua nas atividades em que tem razoável habilidade para competir profissionalmente. 
5
54
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
 segundo o ISACA
	 
	Informar as partes envolvidas sobre os resultados de seus trabalhos, expondo todos os fatos significativos que estiverem ao seu alcance.
6
55
 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 01
Código de Ética profissional
 segundo o ISACA
	 
	 
	
	 Apoiar a conscientização profissional dos stakeholders para auxiliar sua compreensão dos sistemas de informação, segurança e controle.
7
GTI / ADS / SI – ANDRE MOURA 
Rio de Janeiro, 09 de Agosto de 2011
F I M
AUDITORIA DE SISTEMAS:
ABORDAGEM INICIAL
56