1. TÉCNICAS DE AUDITORIA DE SISTEMAS E ANÁLISE DE RISCOS CNASI’2000 IX Congresso Nacional de Auditoria de Sistemas e Segurança em Informática Tutorial Marco Antônio TOMÉ Galegale & Associados Setembro/2000
2. Palestrante: Marco Antônio TOMÉ Setembro/2000 CNASI’2000 – IX Congresso Nacional de Auditoria de Sistemas e Segurança em Informática TÉCNICAS DE AUDITORIA DE SISTEMAS E ANÁLISE DE RISCOS Sócio-diretor da GALEGALE & ASSOCIADOS Empresa membro da Pós-graduado em Auditoria e Controladoria e Tecnólogo em Processamento de Dados (Fatec-Unesp) Professor de Auditoria de Sistemas e de Informática Diretor da ABAS – Associação Brasileira de Auditores de Sistemas Atuação: Informática (25 anos) e Auditoria de Sistemas (18 anos) matome @ galegale.com.br Fone: (11) 3862.6069
3. TÉCNICAS DE AUDITORIA DE SISTEMAS E ANÁLISE DE RISCOS SUMÁRIO Conceitos Aplicados às Técnicas de Auditoria de Sistemas Metodologia para Aplicação de Técnicas de Auditoria Análise de Riscos nas Auditorias de Sistemas Técnicas de Auditoria de Sistemas Conceitos Aplicados às Técnicas de Auditoria de Sistemas
4.
5. CONCEITOS APLICADOS ÀS TÉCNICAS DE AUDITORIA DE SISTEMAS FERRAMENTAS : INSTRUMENTOS EMPREGADOS NA REALIZAÇÃO DE UMA TAREFA
6. CONCEITOS APLICADOS ÀS TÉCNICAS DE AUDITORIA DE SISTEMAS TÉCNICAS : MÉTODOS E HABILIDADES PARA EXECUTAR UMA TAREFA
7.
8. CONCEITOS APLICADOS ÀS TÉCNICAS DE AUDITORIA DE SISTEMAS SEM METODOLOGIA ? ... SEM TÉCNICA ? ... FERRAMENTA ! ... ? ? ?
9. CONCEITOS APLICADOS ÀS TÉCNICAS DE AUDITORIA DE SISTEMAS METODOLOGIA TÉCNICAS FERRAMENTAS
10. TÉCNICAS DE AUDITORIA DE SISTEMAS E ANÁLISE DE RISCOS SUMÁRIO Conceitos Aplicados às Técnicas de Auditoria de Sistemas Metodologia para Aplicação de Técnicas de Auditoria Análise de Riscos nas Auditorias de Sistemas Técnicas de Auditoria de Sistemas
11. METODOLOGIA PARA APLICAÇÃO DE TÉCNICAS DE AUDITORIA O QUE DESEJAMOS AUDITAR ? (1) PROCESSOS DE NEGÓCIO Tecnologia da Informação Processos de Suporte Operacional Processos de Gestão Corporativa Processos da Atividade-Fim RECURSOS Tecnologia Facilidades Pessoal Dados Aplicativos X X X X X X X X X
12. METODOLOGIA PARA APLICAÇÃO DE TÉCNICAS DE AUDITORIA O QUE DESEJAMOS AUDITAR ? (2) CICLO PDCA CHECK ACT DO PLAN REQUISITOS DE AVALIAÇÃO Qualidade: Qualificação Custeio Oportunidade Confiança: Efetividade Eficiência Confiabilidade Conformidade Segurança: Confidencialidade Integridade Disponibilidade X X X X X X X X X X X X X X X X X X X
13. METODOLOGIA PARA APLICAÇÃO DE TÉCNICAS DE AUDITORIA O QUE DESEJAMOS AUDITAR ? (3) PROCESSOS DE NEGÓCIO Tecnologia da Informação Processos de Suporte Operacional Processos de Gestão Corporativa Processos da Atividade-Fim RECURSOS Tecnologia Facilidades Pessoal Dados Aplicativos X X X X X X X X X CICLO PDCA CHECK ACT DO PLAN REQUISITOS DE AVALIAÇÃO Qualidade: Qualificação Custeio Oportunidade Confiança: Efetividade Eficiência Confiabilidade Conformidade Segurança: Confidencialidade Integridade Disponibilidade X X X X X X X X X X X X X X X X X X X
14. METODOLOGIA PARA APLICAÇÃO DE TÉCNICAS DE AUDITORIA O QUE DESEJAMOS AUDITAR ? (4) PROCESSOS DE NEGÓCIO Tecnologia da Informação Processos de Suporte Operacional Processos de Gestão Corporativa Processos da Atividade-Fim RECURSOS Tecnologia Facilidades Pessoal Dados Aplicativos X X X X X X X X X CICLO PDCA CHECK ACT DO PLAN REQUISITOS DE AVALIAÇÃO Qualidade: Qualificação Custeio Oportunidade Confiança: Efetividade Eficiência Confiabilidade Conformidade Segurança: Confidencialidade Integridade Disponibilidade X X X X X X X X X X X X X X X X X X X
15. METODOLOGIA PARA APLICAÇÃO DE TÉCNICAS DE AUDITORIA O QUE DESEJAMOS AUDITAR ? (5) PROCESSOS DE NEGÓCIO Tecnologia da Informação Processos de Suporte Operacional Processos de Gestão Corporativa Processos da Atividade-Fim RECURSOS Tecnologia Facilidades Pessoal Dados Aplicativos X X X X X X X X X CICLO PDCA CHECK ACT DO PLAN REQUISITOS DE AVALIAÇÃO Qualidade: Qualificação Custeio Oportunidade Confiança: Efetividade Eficiência Confiabilidade Conformidade Segurança: Confidencialidade Integridade Disponibilidade X X X X X X X X X X X X X X X X X X X
16. METODOLOGIA PARA APLICAÇÃO DE TÉCNICAS DE AUDITORIA O QUE DESEJAMOS AUDITAR ? (6) PROCESSOS DE NEGÓCIO Tecnologia da Informação Processos de Suporte Operacional Processos de Gestão Corporativa Processos da Atividade-Fim RECURSOS Tecnologia Facilidades Pessoal Dados Aplicativos X X X X X X X X X CICLO PDCA CHECK ACT DO PLAN REQUISITOS DE AVALIAÇÃO Qualidade: Qualificação Custeio Oportunidade Confiança: Efetividade Eficiência Confiabilidade Conformidade Segurança: Confidencialidade Integridade Disponibilidade X X X X X X X X X X X X X X X X X X X
17. METODOLOGIA PARA APLICAÇÃO DE TÉCNICAS DE AUDITORIA O QUE DESEJAMOS AUDITAR ? (7) PROCESSOS DE NEGÓCIO Tecnologia da Informação Processos de Suporte Operacional Processos de Gestão Corporativa Processos da Atividade-Fim RECURSOS Tecnologia Facilidades Pessoal Dados Aplicativos X X X X X X X X X CICLO PDCA CHECK ACT DO PLAN REQUISITOS DE AVALIAÇÃO Qualidade: Qualificação Custeio Oportunidade Confiança: Efetividade Eficiência Confiabilidade Conformidade Segurança: Confidencialidade Integridade Disponibilidade X X X X X X X X X X X X X X X X X X X
18. METODOLOGIA PARA APLICAÇÃO DE TÉCNICAS DE AUDITORIA O QUE DESEJAMOS AUDITAR ? (8) PROCESSOS DE NEGÓCIO Tecnologia da Informação Processos de Suporte Operacional Processos de Gestão Corporativa Processos da Atividade-Fim RECURSOS Tecnologia Facilidades Pessoal Dados Aplicativos X X X X X X X X X CICLO PDCA CHECK ACT DO PLAN REQUISITOS DE AVALIAÇÃO Qualidade: Qualificação Custeio Oportunidade Confiança: Efetividade Eficiência Confiabilidade Conformidade Segurança: Confidencialidade Integridade Disponibilidade X X X X X X X X X X X X X X X X X X X
19. TÉCNICAS DE AUDITORIA DE SISTEMAS E ANÁLISE DE RISCOS SUMÁRIO Conceitos Aplicados às Técnicas de Auditoria de Sistemas Metodologia para Aplicação de Técnicas de Auditoria Análise de Riscos nas Auditorias de Sistemas Técnicas de Auditoria de Sistemas
20.
21. ANÁLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS PROBABILIDADE DE OCORRÊNCIAS DE RISCOS Ponto de Interesse da Auditoria de Sistemas Requisitos de Avaliação Probabilidade de Ocorrências de Riscos 2 1 3 Não há Alta = ocorrências esperadas Média = podem ocorrer Baixa = ocorrências muito raras 0 Ex: Recursos de Tecnologia e Facilidades Ex: Segurança Física e Lógica Ex: Cadastro de Contas a Pagar Ex: Integridade dos dados Ex: Sistema de Controle de Estoques Ex: Qualidade e Atendimento aos Usuários Probabilidade
22. ANÁLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS NÍVEL DE SEVERIDADE DOS IMPACTOS Ponto de Interesse da Auditoria de Sistemas Requisitos de Avaliação Nível de Severidade dos Impactos 3 2 1 Sem Impacto Alta = envolvem muitas pessoas, perdas de grandes valores, interrupções expressivas Severidade Média = envolvem poucas pessoas, perdas de valores médios, interrupções leves Baixa = envolvem pouquíssimas pessoas, perdas de valores pequenos 0 Ex: Recursos de Tecnologia e Facilidades Ex: Segurança Física e Lógica Ex: Cadastro de Contas a Pagar Ex: Integridade dos dados Ex: Sistema de Controle de Estoques Ex: Qualidade e Atendimento aos Usuários
23. ANÁLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS EXPOSIÇÃO AOS RISCOS Ponto de Interesse da Auditoria de Sistemas Requisitos de Avaliação Probabilidade de Ocorrências (A) Nível de Severidade dos Impactos (B) Score de Exposição aos Riscos (A x B) 3 9 = Muito Alta Sem Risco 3 2 6 = Alta 3 2 4 = Média Alta 2 1 3 = Média 3 2 3 6 = Alta 3 3 = Média 1 1 2 = Média Baixa 2 2 2 = Média Baixa 1 1 1 = Baixa 1 0 0
24. TÉCNICAS DE AUDITORIA DE SISTEMAS E ANÁLISE DE RISCOS SUMÁRIO Conceitos Aplicados às Técnicas de Auditoria de Sistemas Metodologia para Aplicação de Técnicas de Auditoria Análise de Riscos nas Auditorias de Sistemas Técnicas de Auditoria de Sistemas
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45. Muito Obrigado ! Galegale & Associados Setembro/2000 CNASI’2000 – IX Congresso Nacional de Auditoria de Sistemas e Segurança em Informática Marco Antônio TOMÉ matome @ galegale.com.br Fone: (11) 3862.6069 TÉCNICAS DE AUDITORIA DE SISTEMAS E ANÁLISE DE RISCOS