Auditoria de Sistemas

Prévia do material em texto

- -1
AUDITORIA DE SISTEMAS
REALIZANDO UMA AUDITORIA
- -2
Olá!
Nesta aula, você irá:
1. Conhecer as fases de uma auditoria;
2. Saber como planejar uma auditoria;
3. Aprender como conduzir a execução de uma auditoria;
4. Saber como comunicar as falhas encontradas para os auditados;
5. Entender a importância do follow-up (acompanhamento).
1 Fases de uma auditoria de sistemas
- -3
1.1 Planejamento
Tendo ou não uma equipe de auditores internos, as empresas devem fazer auditorias periódicas no seu data
center ou CPD, mas não fazem auditoria de todos os seus sistemas. É necessário escolher quais os sistemas que
são passíveis de serem auditados e, normalmente, a escolha é pelo seu escore de risco.
Para o cálculo do risco de um sistema podemos considerar os seguintes itens:
1. Custo do sistema;
2. Valor diário das transações em real, a ser processado ou gerenciado pelo sistema durante um dia médio;
3.Volume diário de transações processadas em média, por dia;
4.Visibilidade do cliente (é o número ou importância dos clientes afetados pelo sistema, entendendo-se como
importância o retorno que o cliente oferece e/ou o número de usuários finais do sistema);
5. Impacto em outros sistemas (interfaces);
6. Extensão do sistema (é o número de unidades operacionais que o sistema servirá);
7. Capacitação dos profissionais de desenvolvimento e usuários.
Excetuando-se o último item, quanto maior for o valor de cada item, maior o risco. Para medir o risco de cada
sistema podemos usar o método da ponderação. Para tanto, definimos pesos para os itens. Verificamos a
situação de cada sistema em relação a esses itens, atribuindo uma nota (de 0 a 10) para cada item. Multiplicamos
o peso pela nota e somamos essas multiplicações. Temos o escore de risco do sistema. A empresa determina que
serão auditados os sistemas de escore considerado alto (para isso deverá determinar faixas de escore).
Poderíamos, por exemplo, ter um formulário como o abaixo, para a pontuação do risco: Se o escore de risco for
maior que 500, o sistema está indicado para auditoria.
Saiba mais
Clique no link a seguir para saber mais sobre este assunto:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/03AS_doc01.pdf
http://estaciodocente.webaula.com.br/cursos/gra097/docs/03AS_doc01.pdf
- -4
Uma vez tendo um sistema sido escolhido para ser auditado, o auditor necessita ter conhecimento sobre a área, o
produto e o ambiente para o qual o sistema dará suporte operacional. Conhecendo o ambiente computacional e
do negócio, o auditor terá noção da complexidade do sistema e poderá estabelecer recursos e conhecimentos
técnicos necessários para a equipe de auditores. Este conhecimento pode ser adquirido através de cursos,
manuais, visitas técnicas ou qualquer outro meio que permita ao auditor entender sobre a área, o produto e o
ambiente ao qual pertence o sistema que irá auditar.
Após esta fase de iniciação, o passo seguinte é decidir quais controles internos, quais processos e controles de
negócio devem estar presentes no sistema, , bem como quais ferramentas deem forma sistêmica ou manual
auditoria serão utilizadas e quais recursos serão necessários.
Controles de Negócio
São controles específicos para cada projeto, conforme o produto para o qual o sistema dará suporte operacional.
Por exemplo, se estivermos auditando um sistema de administração de cartão de crédito, o sistema deverá estar
preparado com processamento e rotinas manuais para:
Saiba mais
Clique no link a seguir e conheça os Controles Internos e Processos:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/03AS_doc02.pdf
http://estaciodocente.webaula.com.br/cursos/gra097/docs/03AS_doc02.pdf
- -5
Toda auditoria deve ser tratada como um projeto e, para tanto, deverá ter um cronograma e um orçamento.
O cronograma é baseado na estimativa de tempo que será gasto em cada ponto de controle a ser trabalhado,
além da confecção e emissão do relatório da auditoria. Um auditor trabalha em mais de um ponto de controle
por dia, mas isto não significa que o terminará em um dia! A sugestão é que englobe pontos de controle de
mesma pertinência para serem verificados ao mesmo tempo.
Um ponto de controle é uma unidade a ser auditada (controle interno, processo ou controle de negócio). Na fase
de planejamento o auditor seleciona quais pontos de controle farão parte da auditoria, qual a melhor maneira de
testá-lo, qual a tecnologia necessária para testá-lo.
Após o teste, se não for encontrada fraqueza para o ponto de controle, passamos ao ponto seguinte. Caso sejam
encontradas fraquezas, passamos a chamar este ponto de controle de ponto de auditoria e comunicaremos ao
auditado com recomendações de acerto.
Além das atividades pertinentes à auditoria em si (contatos, revisão de documentação, documentação,
preparação de fluxos de sistemas, testes, execução de walkthroughs – representação gráfica de todo o ambiente
computacional sob auditoria), planejamento, análise de risco, avaliação de ponto de controle, confecção de
observações, viagem de projeto, familiarização com o projeto), devemos considerar atividades não específicas de
auditoria (viagens, treinamento de auditoria, ausência, atividades administrativas, interface com auditoria
externa, reuniões outras que não as do projeto) para efeito de determinação dos prazos.
O orçamento é baseado nas atividades identificadas para a condução da auditoria em questão.
- -6
1.2 Execução
Tendo terminado o planejamento da auditoria, o auditor deverá informar à área auditada que o sistema foi eleito
para auditoria. Deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas
e da área usuária, onde a Auditoria informará que o sistema foi selecionado para auditoria. Informará também o
que será investigado na auditoria (as preocupações da auditoria, que são traduzidas nos controles internos,
processos e controles de negócio), o tempo estimado do trabalho, a provável data de emissão do relatório final. A
Auditoria pedirá a colaboração das áreas de Sistemas e usuária para que solicitem aos seus funcionários que
colaborem com os auditores, fornecendo-lhes o que for pedido. Começa então o trabalho de campo, onde os
auditores irão verificar a existência dos controles internos, processos e controles de negócios. Serão feitos testes,
as documentações serão analisadas, entrevistas serão realizadas com o pessoal das áreas envolvidas.
Este trabalho deve ser todo documentado, pois será a evidência do trabalho da auditoria!
- -7
1.3 Emissão e Divulgação de Relatórios
O relatório de auditoria será emitido baseado no trabalho de campo realizado. A "nota" do relatório será dada
conforme as comunicações de falhas emitidas e não resolvidas até o momento da emissão do relatório. O
rascunho do relatório, sem a nota, é discutido com os auditados antes da sua emissão oficial. O objetivo é
esclarecer que todos os pontos abordados no relatório foram trabalhados com os auditados e não há nenhuma
surpresa no relatório. Somente após esta reunião é que a Auditoria emite o relatório, endereçado ao diretor da
área de Sistemas, com cópia para a direção da área usuária do sistema. Quem assina o relatório de auditoria é o
auditor responsável e o diretor da Auditoria, devido à importância que um relatório de auditoria representa. A
apresentação do relatório deve ser impecável! Papel de ótima qualidade, capa e sem erros de Português!
Teremos uma aula específica sobre este assunto mais para o final do curso.
Saiba mais
Clique no link a seguir e saiba mais sobre esse assunto:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/03AS_doc03.pdf
http://estaciodocente.webaula.com.br/cursos/gra097/docs/03AS_doc03.pdf
- -8
1.4 Follow-up
Já vimos nesta aula que o acompanhamento das falhas encontradas em uma auditoria é importante para
assegurarmos que os sistemas são seguros. Claro que o auditado pode não consertá-la. Mas isto terá um preço
que a direção da empresacobrará!
A Auditoria deve acompanhar a solução das falhas quer durante o trabalho de campo, quer após a emissão do
relatório. A verificação do acerto deve ser feita pessoalmente, incluindo testes para verificar se os acertos foram
eficientes. Todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do
mesmo sistema ou do CPD, se for o caso.
O que vem na próxima aula
Na próxima aula, você estudará sobre o seguinte assunto:
• Ferramentas de auditoria.
Saiba mais
Não deixe de verificar o conteúdo do link onde você poderáwww.iso27001security.com
encontrar todos os critérios solicitados na norma ISO 27000, Information Security
Management Systems (Sistemas de Gerenciamento de Segurança da Informação), que visa
proteger a confidencialidade, integridade e disponibilidade da informação.
•
http://www.iso27001security.com/
- -9
• Ferramentas de auditoria.
CONCLUSÃO
Nesta aula, você:
• Conheceu as fases de uma auditoria: planejamento, execução, emissão e divulgação de relatórios e 
follow-up dos acertos das falhas encontradas na auditoria;
• Aprendeu a planejar uma auditoria;
• Aprendeu como conduzir a execução de uma auditoria;
• Aprendeu como comunicar as falhas encontradas para os auditados;
• Entendeu a importância do follow-up (acompanhamento) dos acertos das falhas encontradas na 
auditoria.
•
•
•
•
•
•
	Olá!
	1 Fases de uma auditoria de sistemas
	1.1 Planejamento
	1.2 Execução
	1.3 Emissão e Divulgação de Relatórios
	1.4 Follow-up
	O que vem na próxima aula
	CONCLUSÃO