Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITORIA DE SISTEMAS Prof. Alessandro Larangeiras CONTEÚDO 1. CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO 1.1 Fundamentos de auditoria 1.2 Tipos de auditoria 1.3 Equipe de auditoria 1.4 Desenvolvimento da carreira do auditor 2. FASES PARA REALIZAÇÃO DE UMA AUDITORIA 2.1 Planejamento 2.2 Execução 2.3 Emissão e divulgação de relatórios 2.4 Follow-up 2 / 65 CONTEÚDO (cont.) 3. FERRAMENTAS DE AUDITORIA 3.1 Software generalista de auditoria de Tecnologia da Informação 3.2 Softwares especializados de auditoria 3.3 Programas Utilitários de auditoria 4. TÉCNICAS DE AUDITORIA 4.1 Dados de teste 4.2 Facilidade de teste integrado 4.3 Simulação paralela 4.4 Lógica de auditoria embutida nos sistemas 4.5 Rastreamento e mapeamento 4.6 Análise da lógica de programação 3 / 65 CONTEÚDO (cont.) 5. TIPOS DE AUDITORIA 5.1 Auditoria de redes de computadores 5.2 Auditoria de controles de hardware 5.3 Auditoria de controles de acesso 5.4 Auditoria na aquisição, desenvolvimento, documentação e manutenção de sistemas 5.5 Auditoria de sistemas de informação em produção 5.6 Auditoria de eventos 5.7 Outras 6. EMISSÃO DE RELATÓRIOS DE AUDITORIA 6.1 Carta de encaminhamento do rascunho preliminar do relatório de auditoria 6.2 Relatórios padrões de conclusão da auditoria de sistemas 4 / 65 CONTEÚDO (cont.) 7. AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS 7.1 Pré-requisitos 7.2 Metodologia de seleção 7.3 Principais pacotes disponíveis no mercado 7.4 Ferramentas de análise de dados 7.5 Avaliação de pacotes de auditoria de sistemas 8. AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO 8.1 Informação como valor para o negócio 8.2 O que é e como acontece uma Auditoria em Segurança da Informação 8.3 Auditoria e Política de Segurança de TI 5 / 65 BIBLIOGRAFIA Básica: • CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro: SESES, 2016. • ATTIE, William. Auditoria: Conceitos e Aplicações. 7. ed. Rio de Janeiro: Atlas, 2018. • IMONIANA, Joshua O. Auditoria de Sistemas de Informação. 3. ed. Rio de Janeiro: Atlas, 2016. 6 / 65 CONTEÚDO 1. CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO 1.1 Fundamentos de auditoria 1.2 Tipos de auditoria 1.3 Equipe de auditoria 1.4 Desenvolvimento da carreira do auditor 7 / 65 1.0 CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO 8 / 65 AUDITORIA DE SISTEMAS Auditoria é a «fiscalização da legalidade ou da conformidade de uma atividade, de um serviço, de um sistema, de um processo, etc. [...].» (AUDITORIA, 2021, acep. 3). «A atividade de auditoria [...] tem como principal produto formal um parecer, expressando a opinião do auditor sobre a adequação, ou não, com que as demonstrações contábeis representam a posi- ção patrimonial e financeira da entidade auditada [...], tomando como base de comparação os princípios fundamentais, ou geral- mente aceitos, de contabilidade. Para suportar sua opinião, o auditor independente deve coletar evidências suficientes e apro- priadas de auditoria, através de um conjunto de procedimentos técnicos.» (RAMIRES; KALINOWSKI; SPÍNOLA, 2010, p. 26-27). 9 / 65 AUDITORIA DE SISTEMAS (cont.) Assista ao vídeo Você Sabe como Funciona uma Auditoria? (<https://www.youtube.com/watch?v=AYvTlentXJM>), do canal Contabilizando (YouTube), para conhecermos alguns aspectos relacionados à atividade de auditoria. 10 / 65 https://www.youtube.com/watch?v=AYvTlentXJM AUDITORIA DE SISTEMAS (cont.) «Para muitas organizações, a informação e a tecnologia que suportam o negócio representa o seu mais valioso recurso. Além disso, num ambiente de negócio altamente competitivo e dinâmico é requerida uma excelente habilidade gerencial, onde a TI deve suportar as tomadas de decisões de forma rápida, constante e com custos cada vez mais baixos.» (RAMIRES; KALINOWSKI; SPÍNOLA, 2010, p. 27). 11 / 65 AUDITORIA DE SISTEMAS (cont.) «O bom funcionamento, a confiabilidade e a segurança aplicada [aos sistemas de informação relacionados] [...] são de fundamental importância para que as informações colhidas sejam de grande valia para o auxílio à tomada de decisão por parte dos gestores das organizações.» (CASATI, 2016, p. 11, grifos nossos). Sistemas de Informação funcionando corretamente, confiáveis e seguros produzem informações válidas e, consequentemente, com alto valor agregado. 12 / 65 AUDITORIA DE SISTEMAS (cont.) «O uso de sistemas informatizados é abrangente [e algumas em- presas] [...] não conseguem funcionar nem poucas horas sem a utilização deste recurso. A auditoria de sistemas é estimulada e cresce à medida que as organizações ficam mais dependentes da informação de qualidade, e, portanto, do uso de sistemas informatizados [...].» (CASATI, 2016, p. 11). Depósito da Amazon em Melbourne, Austrália. 13 / 65 AUDITORIA DE SISTEMAS (cont.) Assista ao vídeo O Que uma Auditoria de TI Verifica (<https://www.youtube.com/watch?v=24C8INjVvmQ>), do canal Galeria WeAudit (YouTube), para conhecermos alguns aspectos relacionados à atividade de auditoria de sistemas. 14 / 65 https://www.youtube.com/watch?v=24C8INjVvmQ AUDITORIA DE SISTEMAS (cont.) «A auditoria de sistemas engloba as operações de uma organiza- ção, os processos envolvidos com estas operações, os sistemas que geram as informações e por fim a responsabilidade gerencial. Ela também se atém à verificação da conformidade destes itens com os objetivos, normas, padrões, regras, orçamento e a política de uma organização. Garantir a segurança da informação, a dis- ponibilidade e a qualidade de recursos e serviços também é papel da auditoria de sistemas.» (CASATI, 2016, p. 11). «Pode-se definir auditoria de sistemas como uma verificação de conformidade dos processos com os padrões de uma organização [...].» (CASATI, 2016, p. 13). 15 / 65 AUDITORIA DE SISTEMAS (cont.) «As funções administrativas da auditoria de sistemas passam por três fases: • planejamento: em que são definidas as expectativas de comportamento, os padrões a serem seguidos, as políticas da organização, as previsões orçamentárias, entre outras definições. O cronograma de execução da auditoria também é definido nesta fase; 16 / 65 AUDITORIA DE SISTEMAS (cont.) • execução: medidas das operações e processos da organi- zação. Nesta fase o auditor deve verificar minuciosamente cada processo a ser auditado e colher informações suficien- tes para que se possa analisar as operações em relação ao planejamento; • controle: nesta fase as medidas adquiridas são confrontadas com os padrões definidos na fase de planejamento, a fim de verificar se as operações estão em conformidade com estes padrões. Em caso de desvios, deve-se definir quais ações serão tomadas para que as discrepâncias não sejam repe- tidas.» (CASATI, 2016, p. 11-12). 17 / 65 AUDITORIA DE SISTEMAS (cont.) Fases da auditoria de sistemas (CASATI, 2016, p. 12). 18 / 65 TIPOS DE AUDITORIA DE SISTEMAS «Existem basicamente dois tipos de auditoria: a auditoria interna e a externa. Na auditoria interna, a organização tem em seu qua- dro de colaboradores uma equipe de profissionais qualificados e habilitados em auditoria de sistemas, que são treinados especifi- camente para as necessidades e os objetivos de segurança da própria organização. Auditoria externa é a contratação de uma empresa especializada que presta serviços de auditoria. A equipe desta empresa contratada irá atuar sob demanda na organização.» (CASATI, 2016, p. 15). 19 / 65 IMPORTÂNCIA E DIFICULDADES DA AUDITORIA DE SISTEMAS Assista ao vídeo Auditoria e Segurança de Sistemas (<https://www.youtube.com/watch?v=x99qRbAhHlw>), do canal Marcos Assi (YouTube), para refletirmos sobre a importância da auditoria de sistemas para as organizações. 20 / 65 https://www.youtube.com/watch?v=x99qRbAhHlw IMPORTÂNCIA E DIFICULDADES DA AUDITORIA DE SISTEMAS (cont.) Assista ao vídeo Dez Insights para Auditores de Sistemas (<https://www.youtube.com/watch?v=gbqhEw8BJiA>), do canal ATSG – Academia Tecnológica de Sistemas de Gestão (YouTube), para refletirmos sobre a importânciae algumas dificuldades de execução da auditoria de sistemas. 21 / 65 https://www.youtube.com/watch?v=gbqhEw8BJiA ÁREAS DA AUDITORIA DE SISTEMAS «As áreas de auditoria de sistemas são basicamente as seguintes: segurança da informação, TI e Aplicativos. Não há uma regra fixa para determinar como as organizações devem classificar sua área de auditoria; isto fica a critério da própria organização. Na área de segurança da informação, é necessário avaliar a con- formidade com as políticas de segurança da organização, efetuar controles ambientais e plano de contingência e continuidade dos serviços. Os controles de segurança da informação a serem implantados são: • confidencialidade: controles de acesso (físico e lógico); • integridade: gravação e atualização autorizadas [...]; • disponibilidade: sistema disponível sempre que necessário; • consistência: sistema funcionando dentro dos requisitos especificados; • confiabilidade: sistema atua conforme esperado. 22 / 65 ÁREAS DA AUDITORIA DE SISTEMAS (cont.) Na área de tecnologia da informação, o auditor deve manter conhecimento sobre as mudanças organizacionais, operações de sistemas, hardware, computação em nuvem (Cloud Computing), sistemas ERP (Enterprise Resource Planning), data warehousing, entre outras. É desejável também que o auditor desta área tenha certificações (ITIL, Cobit, entre outras) a fim de agregar valor à enrega do serviço. A área de aplicativos controla o desenvolvimento de software, a entrada, o processamento e a saída dos dados, o conteúdo e o funcionamento dos aplicativos.» (CASATI, 2016, p. 17-18). 23 / 65 ABORDAGENS DA AUDITORIA DE SISTEMAS A auditoria de sistemas pode ser conduzida por meio de três abordagens: a) ao redor do computador: antiga e obsoleta, não envolve o uso de computador em momento algum da auditoria. Carac- terístas: emprego de rotinas manuais, requer pouco conheci- mento de Tecnologia da Informação, analisa apenas a entra- da e a saída dos documentos-fonte, viável para a auditoria de sistemas pequenos e pouco complexos; b) através do computador: melhoria da abordagem anterior, en- volve o uso parcial do computador na auditoria. Característi- cas: maior confiabilidade nas medições, possibilita diferentes modos de verificação dos documentos-fonte, apresenta maior custo; 24 / 65 ABORDAGENS DA AUDITORIA DE SISTEMAS (cont.) c) com o computador: auditoria completamente assistida por computador. Características: uso do computador para cálcu- los aritméticos e lógicos (de impostos, depreciação de bens, taxas etc.), cálculos estatísticos e amostrais (para compara- ções e confirmações), compilação dos resultados de proces- sos manuais e automatizados, ordenação e seleção de regis- tros (varredura em banco de dados, estritamente com infor- mações relevantes), desenvolvimento de softwares para a equipe de auditoria, adoção de TAAC – Técnicas de Auditoria Assistidas por Computador (CAAT – Computer-Assisted Audit Techniques). (CASATI, 2016, p. 18-20). 25 / 65 ATIVIDADE DE FIXAÇÃO 1 1. (Gran Cursos Online | Concurso Analista Legislativo Municipal · Área Controladoria · 2017) Nos trabalhos de auditoria interna, para que haja inde- pendência organizacional, o executivo chefe de auditoria deve reportar-se a um nível dentro da organização que permita à atividade de auditoria interna cumprir suas responsabilidades. A independência dentro da organização se alcança de forma efetiva quando o executivo chefe de auditoria se reporta funci- onalmente ao Conselho de Administração. Nesse contexto, dos exemplos de reporte funcional do executivo chefe da au- ditoria ao Conselho de Administração, o que poderia prejudi- car a independência dentro da organização é a aprovação do(a): a) estatuto de auditoria interna. b) escopo da auditoria interna. c) planejamento de auditoria baseado em riscos. d) orçamento de auditoria e do plano de recursos. e) remuneração do executivo chefe de auditoria. 26 / 65 ATIVIDADE DE FIXAÇÃO 1 (cont.) 2. (Aprova Concursos | Q786393 · VUNESP · 2015 · TCE-SP · Agente de Fiscalização Financeira · Sistemas, Gestão de Projetos e Governança de TI) Considerando as definições apresentadas na literatura a respeito da auditoria de sistemas, é correto afirmar que a auditoria de sistemas de informação: a) pode ser feita por profissionais internos à empresa proprietária dos sistemas b) não abrange os sistemas de bancos de dados da empresa. c) não pode ser feita por profissinais externos à empresa proprietária dos sistemas. d) não se importa com o tipo de controles existentes nos sistemas de informação. e) somente deve ser feita uma vez a cada dois anos. 27 / 65 ATIVIDADE DE FIXAÇÃO 1 (cont.) 3. (Gran Cursos Online | Concurso Auditor · 2018) Um relatório de auditoria interna deve apresentar o resultado dos trabalhos de forma a expressar, claramente, suas conclusões, recomendações e providências a serem tomadas pela administração da entida- de. Entre os requisitos de um relatório de auditoria, NÃO é recomendável que seja(m): a) descrita a metodologia adotada no trabalho. b) descritas as evidências encontradas e os fatos constatados. c) apresentados os riscos associados aos fatos constatados. d) incluídos em anexo todos os papéis de trabalho correntes e permanentes. e) reveladas eventuais limitações ao alcance dos procedimentos de auditoria. 28 / 65 ATIVIDADE DE FIXAÇÃO 1 (cont.) 4. (Gran Cursos Online) Na auditoria realizada na companhia distribuidora de peças e acessórios para veículos leves e pesados, o auditor registrou as seguintes constatações: i. Descontos obtidos pelo pagamento de duplicatas a fornecedores contabilizados como receitas de aplicações financeiras. ii. Adulteração para mais de valores de créditos de ICMS registrados no livro apuração do ICMS referente a compras para comercialização. iii. Por desatenção de funcionário da tesouraria recém contratado foi concedido desconto no pagamento com atraso de duplicatas a receber efetuado pelo cliente. iv. Registro de notas fiscais fictícias de despesas, com o objetivo de justificar saque na tesouraria da empresa. 29 / 65 ATIVIDADE DE FIXAÇÃO 1 (cont.) Segundo as Normas de Auditoria, as constatações re- gistradas pelo auditor caracterizam, respectivamente: a) erro, fraude, erro e fraude. b) fraude, fraude, erro e erro. c) erro, fraude, fraude e erro. d) fraude, erro, fraude e fraude. e) fraude, erro, fraude e fraude. 30 / 65 A EQUIPE DE AUDITORIA «A equipe de auditoria de sistemas deve ter autonomia para execução do trabalho nas organizações. O acesso aos dados, softwares e computadores deve ser permitido para que o auditor possa colher informações suficientes, executar os testes e colher medidas, para posteriormente comparar estas medidas com os padrões adotados pela organização. Para que isso ocorra, é necessário que a equipe de auditoria seja diretamente ligada à presidência da organização, não podendo esta equipe estar subordinada aos departamentos a serem auditas (sic), garantindo assim a isenção dela diante do órgão auditado [...].» (CASATI, 2016, p. 16). 31 / 65 A EQUIPE DE AUDITORIA (cont.) Organograma com adição da equipe de auditoria (CASATI, 2016, p. 17). 32 / 65 A EQUIPE DE AUDITORIA (cont.) «Obedecendo a esta estrutura organizacional, o auditor tem liberdade e acesso às informações para trabalhar e apontar as distorções visando a melhorar os processos da organização. A equipe de auditoria de sistemas pode esbarrar em algumas dificuldades para que o trabalho possa ser bem executado. As principais dificuldades encontradas pela auditoria de sistemas, indentificadas por Benetti (2015), são: • defasagem tecnológica; • falta de bons profissionais; • falta de cultura da empresa; • tecnologia variada e abrangente.» (CASATI, 2016, p. 17). 33 / 65 O PERFIL DO AUDITOR DE SISTEMAS «O auditor de sistemas é um verificador do trabalho realizado. É ele quem confronta as medidas obtidas no processo de auditoria com os padrões previamente estabelecidos, a fim de verificar a conformidade daquiloque se tem como expectativa com aquilo que vem sendo executado no ambiente da organização auditada. O profissional de auditoria atua nas seguintes ações: • validação: é a etapa em que o auditor executa testes a fim de validar o processo que foi definido. • avaliação: o auditor julga a medida adquirida em relação aos padrões previamente estabelecidos e emite uma opinião por meio de relatório de auditoria. 34 / 65 O PERFIL DO AUDITOR DE SISTEMAS (cont.) O perfil de um auditor de sistemas deve estar em conformidade ou muito próximo aos seguintes itens: • conhecimento teórico em Sistemas de Informação: conhecer normas e funcionamento de sistemas computacionais; • conhecimento prático em sistemas de informação: conhecer metodologias de desenvolvimento, boas práticas, problemas comuns, é necessário que tenha experiência trabalhando diretamente com sistemas; • visão abrangente da empresa: conhecer as áreas de atuação, o planejamento estratégico, políticas adotadas em diversas áreas, principalmente no que se refere aos dados e informações; 35 / 65 O PERFIL DO AUDITOR DE SISTEMAS (cont.) • vestir-se adequadamente: passar a imagem de um profis- sional de alto escalão; • comportamento de liderança: criar sinergia, não entrar em conflitos, demonstrar conhecimento e agregação de valor; • utilizar palavreado formal: não utilizar-se de gírias e linguajar exageradamente coloquial, a fim de transparecer confiança e segurança; • não aceitar presentes: o auditor não deve aceitar qualquer tipo de agrado para passar a imagem de isenção e ética.» (CASATI, 2016, p. 13-14). 36 / 65 O PERFIL DO AUDITOR DE SISTEMAS (cont.) Assista ao vídeo Como Ser um Auditor Interno de Sucesso: 10 Competências Fundamentais (<https://www.youtube.com/watch?v=j9G88HcH8UU>), do canal ProdutividadeMaxima (YouTube), para refletirmos mais sobre o perfil profissional do auditor de sistemas. 37 / 65 https://www.youtube.com/watch?v=j9G88HcH8UU A CARREIRA DO AUDITOR DE SISTEMAS «Ser um auditor de sistemas não significa que o profissional não necessite da qualificação que o designa auditor, além dos conhe- cimentos específicos em sistemas de informação e computação [...].» (CASATI, 2016, p. 14). 38 / 65 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) «A carreira do auditor de sistemas passa por uma certificação, que pode ser emitida por três instituições: • ISACA: Certified Information System Auditor (CISA)[, asso- ciação internacional de profissionais de governança de TI]; • British Computer Society: Exame da Sociedade Britânica de Informática; • Institute of Internal Auditors (IIA): Qualificação em Auditoria Computacional. Ao adquirir uma destas certificações, o profissional torna-se habilitado a executar auditorias em sistemas.» (CASATI, 2016, p. 14). 39 / 65 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) «O programa de desenvolvimento da carreira de auditor de siste- mas pode ser dividida em duas diferentes necessidades. A primeira é quando o auditor tem pouca ou nenhuma experiência na área de TI. Neste caso, os profissionais devem se especializar nas seguintes áreas: • conceitos de TI; • tabelas de decisões aplicadas em linguagens de programa- ção; • aquisição de equipamentos (hardware); • aquisição de programas de computador (software); • metodologias e normas para desenvolvimento de soluções tecnológicas; • controles de acesso; 40 / 65 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) • operação e manutenção de sistemas; • fundamentos de arquitetura de sistemas; • entrada e saída de dados; • redes de computadores (internet, intranet e extranet); • programação de computadores; • modelagem de sistemas; • sistemas gerenciadores de bancos de dados; • processamento lógico; • unidades de memória (auxiliar e principal); • estudos de caso que exemplifiquem cada situação (jogos de negócio). 41 / 65 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) Para o profissional que tem conhecimento na área de TI, o treina- mento deve ser direcionado para os seguintes objetivos: • auditoria de sistemas aplicativos; • princípios de práticas de auditoria, enfatizando os controles organizacionais e gerenciais; • monitoramento; • emissão de relatórios; • gerenciamento de riscos; • políticas de segurança da informação; • avaliação dos sistemas on-line; 42 / 65 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) • processamento em tempo real; • identificação de programas; • verificação das autenticações e autorizações; • registros das transações; • detecção e manutenção de diários das operações. • softwares de auditoria; • controles de acesso aos dados e programas; • propriedade intelectual; • plano de contingência. 43 / 65 A CARREIRA DO AUDITOR DE SISTEMAS (cont.) O auditor de sistemas deve também possuir uma biblioteca de consulta. Esta biblioteca deve conter informações pertinentes à área de TI da organização, documentos e informações sobre auditorias passadas. É também de suma importância manter uma biblioteca técnica para consulta sobre conceitos tecnológicos e de auditoria, assim como manter-se atualizado em relação a novas tecnologias que surgem no mercado.» (CASATI, 2016, p. 15-16). 44 / 65 NORMAS DE AUDITORIA Normas de auditoria são regulações, competências e condutas do exercício desta profissão, estabelecidas pelos órgãos regula- dores da área de Contabilidade. Veja algumas normas de auditoria divulgadas pelo Conselho Federal de Contabilidade: <https://cfc.org.br/tecnica/ normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/>. 45 / 65 https://cfc.org.br/tecnica/normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/ https://cfc.org.br/tecnica/normas-brasileiras-de-contabilidade/nbc-ta-de-auditoria-independente/ NORMAS DE AUDITORIA (cont.) Assista ao vídeo Bate-Papo sobre Normas de Auditoria (<https://www.youtube.com/watch?v=Zeh1mgeMzMk>), do canal Grupo Portal de Auditoria (YouTube), para conhecermos alguns aspectos sobre normas de auditoria. 46 / 65 https://www.youtube.com/watch?v=Zeh1mgeMzMk PADRÕES E CÓDIGO DE ÉTICA PARA AUDITORIA DE SISTEMAS Além das normas de auditoria, estabelecidas pelos órgãos regu- ladores oficiais, há também padrões ou códigos de ética, insti- tuídos por associações do segmento de Auditoria, que servem de referência para o exercício da profissão (CASATI, 2016, p. 20). «O comitê de padrões da Associação de Controle e Auditoria de Tecnologia de Informação dos Estados Unidos define os seguintes padrões: • responsabilidade, autoridade e prestação de contas; • independência profissional; • ética profissional e padrões; • competência; • planejamento; 47 / 65 PADRÕES E CÓDIGO DE ÉTICA PARA AUDITORIA DE SISTEMAS (cont.) • emissão de relatório; • atividades de follow-up (acompanhamento). Já a Associação de Auditores de Sistemas & Controles (ISACA) define o código de ética profissional contendo os seguintes itens: 1. apoiar a implementação de padrões sugeridos para procedi- mentos e controles dos sistemas de informação e encorajar seu cumprimento; 2. exercer suas funções com objetividade e zelo profissional, seguindo padrões profissionais e melhores práticas; 3. servir aos interesses dos stakeholders de forma legal e ho- nesta, com alto padrão de conduta e caráter profissional e desencorajar atos de descrédito à profissão; 48 / 65 PADRÕES E CÓDIGO DE ÉTICA PARA AUDITORIA DE SISTEMAS (cont.) 4. manter a privacidade e a confidencialidade das informações obtidas, exceto quando exigido legalmente. Estas informa- ções não devem ser utilizadas em benefício próprio ou com- partilhadas com pessoas não autorizadas; 5. manter competência na sua especialidade e assegurar que somente atua nas atividades em que tem habilidade sufici- ente; 6. informar os stakeholders sobre os resultados de seus tra- balhos, expondo os fatos significativos desde que em seu alcance; e 7. apoiar a conscientização profissional das partes envolvidas para auxiliar sua compreensão dos sistemas de informação, segurança e controle.» (CASATI, 2016, p.20-21, grifos nossos). 49 / 65 ATIVIDADE DE FIXAÇÃO 2 1. (Gran Cursos Online | Concurso CGE/CE Auditor de Controle Interno · Área Audito- ria Governamental · 2019) A atividade de auditoria interna deve ser independente e os auditores internos, objetivos em seus tra- balhos. Independência é a imunidade às condições que ame- açam a capacidade da atividade de auditoria interna de con- duzir suas responsabilidades de modo imparcial. Assim, pode ser considerada situação de prejuízo à independência ou à objetividade do auditor interno a prestação de serviço de: a) consultoria em operações às quais ele tenha sido responsável anteriormente. b) avaliação de operações que anteriormente contaram com sua consultoria objetiva. c) avaliação de operações às quais o chefe de auditoria é ou foi responsável. d) consultoria sob demanda do conselho de administração. e) avaliação de operações que ele mesmo avaliou no ano anterior. 50 / 65 ATIVIDADE DE FIXAÇÃO 2 (cont.) 2. (Universidade Federal da Bahia) O auditor deve ser discreto em suas atividades, suas ações não devem chamar a aten- ção das áreas auditadas, não devem gerar incômodos ou desgastes na rotina. É notório que, em determinados trabalhos, as solicitações da auditoria atrapalhem a rotina da área, ou coloquem os auditados em uma situação desconfortável. Nesse sentido, o auditor deve atuar na organização de forma: a) Valorosa e sem critérios. b) Ética e respeitosa. c) Criteriosa e sentimental. d) Mandatória e insensata. e) Superior e autárquica. 51 / 65 ATIVIDADE DE FIXAÇÃO 2 (cont.) 3. Pesquise, na máquina de busca Google Scholar, o artigo: Re- gulação da Auditoria em Sistemas Bancários: Análise do Cenário Internacional e Fatores Determinantes, leia-o, sob a ótica das normas de auditoria, e formule 3 perguntas re- lacionadas. Estas perguntas serão submetidas a votação de todos os alunos e as melhores, debatidas em aula. 52 / 65 CONTEÚDO 2. FASES PARA REALIZAÇÃO DE UMA AUDITORIA 2.1 Planejamento 2.2 Execução 2.3 Emissão e divulgação de relatórios 2.4 Follow-up 53 / 65 2.0 FASES PARA REALIZAÇÃO DE UMA AUDITORIA 54 / 65 PROCESSO DE AUDITORIA DE SISTEMAS Como mencionado anteriormente, o processo de auditoria de sis- temas ocorre inicialmente em três fases: planejamento, execução e controle. Na fase de planejamento, são definidos os objetivos, regras, padrões e normas organizacionais; na fase de execução, são medidas as operações, sistemas, processos e responsabili- dades gerenciais; na fase de controle, as medições realizadas são confrontadas com os padrões planejados (CASATI, 2016, p. 37-38). Então, o processo segue para a fase de avaliação, na qual emite- se um parecer, na forma de relatórios, para a tomada de ações que aproximem as medidas dos padrões (CASATI, 2016, p. 38). 55 / 65 PROCESSO DE AUDITORIA DE SISTEMAS (cont.) Processo de auditoria de sistemas e seus elementos (adaptado de CASATI, 2016, p. 37). 56 / 65 57 / 65 CONTEÚDO 3. FERRAMENTAS DE AUDITORIA 3.1 Software generalista de auditoria de Tecnologia da Informação 3.2 Softwares especializados de auditoria 3.3 Programas Utilitários de auditoria 58 / 65 CONTEÚDO 4. TÉCNICAS DE AUDITORIA 4.1 Dados de teste 4.2 Facilidade de teste integrado 4.3 Simulação paralela 4.4 Lógica de auditoria embutida nos sistemas 4.5 Rastreamento e mapeamento 4.6 Análise da lógica de programação 59 / 65 CONTEÚDO 5. TIPOS DE AUDITORIA 5.1 Auditoria de redes de computadores 5.2 Auditoria de controles de hardware 5.3 Auditoria de controles de acesso 5.4 Auditoria na aquisição, desenvolvimento, documentação e manutenção de sistemas 5.5 Auditoria de sistemas de informação em produção 5.6 Auditoria de eventos 5.7 Outras 60 / 65 CONTEÚDO 6. EMISSÃO DE RELATÓRIOS DE AUDITORIA 6.1 Carta de encaminhamento do rascunho preliminar do relatório de auditoria 6.2 Relatórios padrões de conclusão da auditoria de sistemas 61 / 65 CONTEÚDO 7. AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS 7.1 Pré-requisitos 7.2 Metodologia de seleção 7.3 Principais pacotes disponíveis no mercado 7.4 Ferramentas de análise de dados 7.5 Avaliação de pacotes de auditoria de sistemas 62 / 65 CONTEÚDO 8. AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO 8.1 Informação como valor para o negócio 8.2 O que é e como acontece uma Auditoria em Segurança da Informação 8.3 Auditoria e Política de Segurança de TI 63 / 65 64 / 65 "Treine enquanto eles dormem, estude enquanto eles se divertem, persista enquanto eles descansam e então viva o que eles sonham." – Muhammad Ali. REFERÊNCIAS AUDITORIA. In: DICIONÁRIO Priberam da Língua Portuguesa online. S.l.: s.n., 2021. Disponível em: <https://dicionario.priberam.org/auditoria>. Acesso em: 09 fev. 2021. CASATI, João Paulo. Auditoria de Sistemas. Rio de Janeiro: SESES, 2016. RAMIRES, Anderson Carlos S.; KALINOWSKI, Marcos; SPÍNOLA, Rodrigo O. Auditoria de Sistemas. In: . Engenharia de Software Magazine. 28. ed. [S.l.: s.n.], 2010. v. 3, p. 26–37. 65 / 65 https://dicionario.priberam.org/auditoria CONCEITOS BÁSICOS DE AUDITORIA DE SISTEMAS DE INFORMAÇÃO Fundamentos de auditoria Tipos de auditoria Equipe de auditoria Desenvolvimento da carreira do auditor FASES PARA REALIZAÇÃO DE UMA AUDITORIA Planejamento Execução Emissão e divulgação de relatórios Follow-up FERRAMENTAS DE AUDITORIA Software generalista de auditoria de Tecnologia da Informação Softwares especializados de auditoria Programas Utilitários de auditoria TÉCNICAS DE AUDITORIA Dados de teste Facilidade de teste integrado Simulação paralela Lógica de auditoria embutida nos sistemas Rastreamento e mapeamento Análise da lógica de programação TIPOS DE AUDITORIA Auditoria de redes de computadores Auditoria de controles de hardware Auditoria de controles de acesso Auditoria na aquisição, desenvolvimento, documentação e manutenção de sistemas Auditoria de sistemas de informação em produção Auditoria de eventos Outras EMISSÃO DE RELATÓRIOS DE AUDITORIA Carta de encaminhamento do rascunho preliminar do relatório de auditoria Relatórios padrões de conclusão da auditoria de sistemas AVALIAÇÃO DE SOFTWARE DE AUDITORIA DE SISTEMAS Pré-requisitos Metodologia de seleção Principais pacotes disponíveis no mercado Ferramentas de análise de dados Avaliação de pacotes de auditoria de sistemas AUDITORIA DE SISTEMAS E SEGURANÇA DA INFORMAÇÃO Informação como valor para o negócio O que é e como acontece uma Auditoria em Segurança da Informação Auditoria e Política de Segurança de TI
Compartilhar