Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria e Controles de Segurança da Informação Aula 2 Auditoria de TI Prof. Msc Sheila Monteiro Você Sabe o que é uma auditoria ? ? 3 Auditoria Um exame sistemático e independente para determinar se as atividades e seus resultados estão de acordo com as disposições planejadas, se estas foram implementadas com a eficácia e se são adequadas à consecução dos objetivos.” Objetivos Conformidade com padrões Melhoria do sistema de gestão Compliance Certificação Melhoria de Processo Auditoria para verificar a conformidade com padrões Conformidade com padrões Melhoria do sistema de gestão Compliance Certificação Melhoria de Processo ISO 20000 ISO 27002 ISO 9000 COBIT Auditoria para determinar a eficácia de um sistema de gestão /certificação Conformidade com padrões Melhoria do sistema de gestão Compliance Certificação Melhoria de Processo ISO 27001 ISO 9001 Auditoria para atender a requisitos regulamentares e reguladores Conformidade com padrões Melhoria do sistema de gestão Compliance Certificação Melhoria de Processo SOX BACEN CVM Auditoria como ferramenta para melhoria P Planejar a auditoria D Conduzir a auditoria e relatar constatações C Análise crítica dos resultados A Ações corretivas Conformidade com padrões Melhoria do sistema de gestão Compliance Certificação Melhoria de Processo Metodologia 9 Planejamento e controle do projeto de auditoria Levantamento das informações Identificação e inventário dos pontos de controles Priorização e seleção dos pontos de controle Avaliação dos pontos de controles Conclusão da auditoria Acompanhamento da auditoria 10 Planejamento e controle do projeto de auditoria Planejamento inicial das ações Definição dos recursos necessários Abrangência das ações Enfoque que se deseja Definição dos procedimentos a serem utilizados Acompanhamento e controle dos resultados obtidos Ferramentas e métodos de planejamento (PMBOK) 11 As expectativas de quem pediu a auditoria; Plano de auditoria Os critérios da auditoria: padrões e confidencialidade; As necessidades e interesses do auditado; A documentação que deve estar disponível; A agenda proposta para auditoria. 12 Informações relevantes para a auditoria. Deverá ocorrer de forma abrangente Utilização técnicas de entrevista e análise de documentação existente Informações de forma gráfica ou descritiva Identificar claramente o escopo Levantamento das informações 13 Identificar os diversos pontos de controles que merecem ser validados Identificação e inventário dos pontos de controles Relacionar cada ponto de controle, seus objetivos descritos, funções, parâmetros, fraquezas e técnicas de auditoria mais adequadas à sua validação. O resultado encaminhado ao grupo de coordenação da auditoria 14 Esta etapa consiste na seleção e priorização dos pontos de controle que foram inventariados na etapa anterior e que devem fazer parte da auditoria a ser realizada. Podem ser considerados os seguintes critérios: Priorização e seleção dos pontos de controle Grau de risco existente no ponto de controle Disponibilidade de recursos Existência de ameaças 15 Elaborada com base em uma norma ou um padrão Lista de verificação Elaborada com base em como uma função ou atividade opera; Pré-estabelecidas de forma padronizada para uso na auditorias internas; Elaborada para cada auditoria específica. 16 Realização de testes de validação dos pontos de controle, Segundo as especificações e parâmetros determinados nas etapas anteriores. Avaliação dos pontos de controles É a auditoria propriamente dita. Utilização de técnicas de auditoria que evidenciem falhas ou fraquezas dos pontos de controles auditados 17 Com quem conversou? Registros Local; Processo; Documento; Referência aos elementos da norma; Descrição. 18 Agenda da auditoria Data da auditoria; Atividades a serem auditadas; Previsão de intervalos; Horário e data das reuniões de abertura e fechamento; A equipe auditora e suas responsabilidades. Horário das atividades; 19 O acompanhamento da auditoria (follow-up) deve ser efetuado até que todas as recomendações tenham sido executadas e as fraquezas tenham sido eliminadas ou atinjam um nível tolerável pela organização. Acompanhamento da auditoria 20 Auditor líder preside o encontro; Reunião de abertura Registro das pessoas presentes; Explicação sobre o objetivo da auditoria; 21 Elaboração do relatório de auditoria contendo o resultado encontrado, qualquer que seja ele. Conclusão da auditoria Diagnóstico da situação atual dos pontos de controle caso existam, as fraquezas dos controles Ponto de controle (fraqueza) transforma-o em ponto de auditoria Ponto de auditoria deverá sofrer revisão e avaliação, após um prazo dado para tomada de medidas corretivas. 22 Consolidação dos trabalhos; Encerramento Apresentação do relatório; Apresentar breve resumo; Reapresentar equipe se for o caso; Apresentar parecer por área auditada; Apresentar recomendações; Acordar datas para ações corretivas; Distribuir cópias. 23 Nome da organização; Relatório Final Objetivos; Escopo; Grupos ou áreas auditadas; Identificação do líder e equipe; Lista dos auditados; Descrição da auditoria; Conclusões; Por que é importante planejar? ? ? Otimiza a utilização do tempo da auditoria; Demonstra atitude profissional; Mostra ao auditado que o auditor está preparado; Torna as auditorias mais significativas. Competências do auditor Ético; Mente aberta; Diplomático; Observador; Versátil Decisivo Autoconfiante Paciente Imparcial 26 Auditor NÃO deve ser: Ingênuo; Cínico; Indisciplinado; Teimoso; Frágil; Chato; Ansioso para agradar; Inclinado a discussões Dono da verdade; 27 O que vem depois? Na próxima aula analisaremos os diferentes artefatos gerados em uma auditoria Dúvidas nesta aula? Procure seu tutor! Obrigada e até a próxima aula!
Compartilhar