Auditoria de TI aplicado ao Desenvolvimento de Software

AUDITORIA DE TI
Aplicada ao Desenvolvimento de Software
Tech Saturday
18/03/17
Thiago Vidal, MTAC

Agenda
 O que é Auditoria?
 Tipos de Auditoria
 Auditoria de Sistemas
 As Etapas da Auditoria de TI
 Processos, Riscos e Controles
 Processos de TI
 ITGCs – Controles Gerais de TI
 IT Application Controls
18/03/2017Stone Tech Saturday

O que é Auditoria?
 A origem do termo provém da palavra inglesa “audit”;
 Significado: examinar, ajustar, corrigir, certificar.
 Avaliação sistemática de procedimentos para verificar se as atividades desenvolvidas
em determinada organização estão:
 Em conformidade com as normas e padrões estabelecidos
 Implementadas com eficácia para o atingimento dos objetivos de negócio

Tipos de Auditoria
 Externa: o auditor é contratado por uma empresa e tem um tempo limitado para
resolver os problemas da empresa
 Auditoria de Sistemas
 Auditoria de RH
 Auditoria de Qualidade
 Auditoria de Demonstrações Financeiras, etc.
 Interna: o auditor é funcionário da própria empresa e conhece os processos de negócio,
gestão e procedimentos de aderência às normas a fim de apontar vulnerabilidades às
quais a organização está sujeita.

Tipos de Auditoria
 Ambiental
 Hospitalar
 Pré-Operacional / Operacional
 Fiscal
 Tributária
 Etc...

Auditoria de Sistemas
 Auditoria de sistemas é uma atividade cujos objetivos são:
 Determinar se os sistemas de informação são confiáveis e gerenciáveis;
 Determinar se os sistemas possuem capacidade de atender as necessidades da
empresa;
 Gerenciar os riscos envolvidos ao ambiente de TI;
 Avaliar a utilização de tecnologias e sistemas;
 Manter a integridade de dados do negócio;
 Buscar transparência da área de TI perante a empresa e os clientes.

 Portanto uma auditoria de sistemas busca:
 Reduzir os riscos de erros e fraudes;
 Certificar informações confiáveis.

 Os sistemas serão avaliados por:
 Revisão e avaliação dos controles da aplicação;
 Desenvolvimento;
 Infraestrutura;
 Operação e performance;
 Segurança da informação.

As Etapas da Auditoria de TI
 Planejamento
 Diagnóstico
 Execução
 Conclusão

 Planejamento
 Atividades
➢ Alinhamento de cronograma e prazos para a realização de cada atividade;
➢ Definição de escopo do trabalho
➢ Definição dos procedimentos a serem executados;
➢ Critérios para realização do diagnóstico da auditoria;
➢ Levantamento de restrições ou potenciais riscos associados à execução do trabalho.

 Diagnóstico
 Atividades
➢ Avaliação do Sistema, sua infraestrutura de suporte e regras de negócio em relação
aos procedimentos acordados;
➢ Identificação de não conformidades em relação ao esperado nos procedimentos
previamente acordados;
➢ Apoio na avaliação do plano de ação para a solução de problemas.

 Execução
➢ Execução de procedimentos de auditoria para a avaliação dos controles:
➢ Testes de controles (base amostral)
➢ Tipos de falha:
➢ Sistêmica (desenho do processo)
➢ Randômica (casos esporádicos) -> avaliar mais evidências

 Conclusão
➢ Consolidação dos resultados da auditoria
➢ Discussões acerca de potenciais não conformidades identificadas durante a etapa
anterior
➢ Elaboração de documentação final (Relatório de Auditoria)

 O resultado final da auditoria deve conter:
 Especificação das não conformidades e falhas encontradas;
 Controles avaliados no sistema;
 Riscos encontrados e a avaliação desses riscos;
 Sugestões de melhoria.

Processos, Riscos e Controles
 Processo: conjunto de ações relacionadas entre si logicamente e coerente a
fim de produzir um output favorável à organização;
 Risco: a combinação entre probabilidade de um evento acontecer e o impacto
resultante caso ele ocorra;
 Ameaça (quando tem um efeito negativo, produzindo um problema, perda);
 Oportunidade (quando tem um efeito positivo, produzindo um benefício);
 Controle: modo de prevenir riscos e evitar que ocorram erros na auditoria.

Processos de TI
 ITGC – IT General Controls: os principais controles que avaliam o ambiente de
TI de uma empresa
 Avaliamos controles dos sistemas de informação que suportam os diversos
processos de negócio de uma empresa, como:
 Contas a Pagar;
 Compras;
 Faturamento;
 Tesouraria, etc...
 Não podemos confiar em um sistema cujas informações não são confiáveis

Processos de TI
 Por que são importantes?
 Ajudam a garantir a integridade do negócio
 Objetivos de TI:
 Confidencialidade
 Integridade
 Disponibilidade
 Eficiência e Eficácia

Processos de TI
 Quando o resultado da avaliação dos ITGCs é considerado inefetivo, assume-se
que os objetivos de negócio não foram alcançados.

Processos de TI
 Processo de Auditoria de ITGCs
 Identificar e entender o ambiente de TI e sistemas para serem avaliados;
 Realizar entrevistas e documentações para entender os processos;
 Verificar adequação de controles existentes;
 Validar a eficiência de controles existentes.

ITGCs – Controles Gerais de TI
 Quais são os Principais ITGCs?
 Access Management (Gestão de Acessos)
 Change Management (Gestão de Mudanças)
 Program Development (Desenvolvimento do Sistema)
 IT Operations (Operações de TI)

 Risco: acessos não autorizados de usuários a sistemas/módulos/programas que
podem resultar em mudanças inadequadas de dados
 Objetivos: os acessos aos sistemas e funcionalidades devem ser segregados de
maneira adequada aos usuários
 Acesso Físico e Acesso Lógico
 Segregação de Funções

 Processo de Inclusão de Funcionário no Sistema (Definição de Perfil de Acesso)
 Workflow:
 1) Solicitação do RH
 2) Aprovação do Responsável (Owner)
 3) Execução

 Processo de Inclusão de Funcionário no Sistema (Definição de Perfil de Acesso)
_____
_____
_____
_____
____
1
Owner
2
Login:
novousuario
Tipo:
Trainee
3

 Processo de Exclusão de um Usuário do Sistema
Formulário
de
Desligamento
Trainee (RH)
Data desl:
27/01/17
TI
Remover perfil
Atualizar
sistema
Notifica RH
Data solicitação:
30/01/17

Área Controle Como Testar
Concessão de Acesso Existe um processo formal para conceder acesso a novos usuários do sistema e
para alterar um perfil de acesso para um usuário existente no sistema
Revisar uma evidência de concessão de acessos
Remoção de Acesso Existe um processo formal para desabilitar contas de usuários desligados Comparar a lista de usuários ativos com a lista de usuários inativos do
sistema para verificar quais funcionários foram desligados de fato
Revisão Periódica de Acessos Revisão de acessos periódicos de usuários, administradores e fornecedores é feita
a cada 90 dias.
Revisar uma evidência de revisão periódica de acessos
Requisitos de Senha Cada usuário possui uma senha única e individual composta por caracteres
minúsculos, maiúsculos, alfanuméricos (senha forte)
Verificar na política de senhas quais são as regras de configuração de uma
senha
Acessos privilegiados de usuários Contas de usuário que tem acesso privilegiado ao sistema (servidores, bancos de
dados, aplicação e infraestrutura) são restritos a pessoas autorizadas
Revisar contas de usuários com acessos privilegiados
Acesso Físico
Apenas pessoas autorizadas podem adentrar às instalações físicas no ambiente de
processamento de dados
Avaliar a distribuição de tokens e crachás que expira e identifica os
visitantes e/ou funcionários do Data Center;
Identificar a autorização de visitantes antes do acesso às áreas
confidenciais do Data Center
▪ Access Management: Exemplo de Controles

 Risco: Mudanças inadequadas nos sistemas pode gerar inconsistências nos dados
 Objetivos: Todas as mudanças nos sistemas devem ser devidamente autorizadas,
testadas, aprovadas, implementadas e documentadas.

 O que significa Gestão de Mudanças?
 Novas implementações
 Adição de funcionalidades no sistema já existente
 Criação ou modificação de interfaces
 Alterações na infraestrutura (SO, BD, etc)
 Mudanças emergenciais
 Mudanças em configurações ou parâmetros

 Change Management: Exemplo de Controles
Gestão de Mudanças Existe um processo formal documentado para a gestão de mudanças no sistema Revisar procedimentos de gestão de mudanças e validar tais procedimentos
Mudanças na Documentação
Todas as mudanças realizadas no sistema, como servidores, bancos de dados,
tecnologias, aplicações e infraestrutura estão documentadas e atualizadas
Revisar logs de mudanças

 Program Development (Desenvolvimento de Software)
 Risco: desenvolvimento inadequado de sistemas/programas ou a implementação
destes podem resultar em dados inconsistentes
 Objetivos: Garantir que todas as novas implementações e desenvolvimentos de
sistemas/programas estejam autorizados, documentados, testados e aprovados de
maneira correta.

 Program Development (Desenvolvimento de Software)
 Estrutura de um Aplicativo:
DEV TEST QA PRD
BD
Usuário Final

 Program Development: Exemplos de Controles
Testes de Sistemas Existe um documento que detalha step by step os procedimentos adequados de testes
de novos sistemas e novas implementações.
Revisar uma evidência de planos de testes e resultados
Aprovação de Requests
É preciso uma aprovação formal de um administrador ou coordenador de TI para
aprovar as requests de alterações ou novas implementações para o servidor de
produção.
Revisar uma evidência de aprovação
Migrar Requests A segregação de acessos de usuários que fazem a migração de requests para o servidor
de produção dos usuários que solicitam a migração é restrita.
Verificar se há segregação de funções (SoD) entre desenvolvedores e administradores

 IT Operations
 Risco: sistemas ou programas podem não estar acessíveis a todos os usuários e/ou
podem não estar funcionando de maneira adequada.
 Objetivos: sistemas e programas têm de funcionar perfeitamente a todos os
usuários.

 IT Operations: Exemplos de Controles
Processamento de jobs
O processamento em batch de jobs está agendado, processado, monitorado
corretamente.
Avaliar procedimentos de processamento de jobs e monitoramento e validar se os
procedimentos estão sendo seguidos.
Monitoramento de jobs Os jobs que falharam são acompanhados e documentados incluindo explicações. Validar se os jobs que falharam foram apontados e documentados.
Backup & Recovery
Backups de sistemas críticos e documentos confidenciais estão contemplados no Plano
de Recuperação de Desastres.
Verificar a validade e os procedimentos de backup e recovery do Plano de Recuperação
de Desastres.

IT Application Controls
 Controles aplicativos de TI estão relacionados às aplicações de software;
 Uma aplicação de software é o software que associa os dados a um contexto
de negócio;
 Implementa regras de negócio inerente aos processos empresariais;
 Processa transações de negócio
 Exemplo de aplicação de software:
 ERP
 Sistema de Pagamentos Online

 A aplicação de software habilita e limita as ações dos usuários;
 É importante auditar todos os controles que envolvem o funcionamento do
sistema, pois as apl. de software envolvem dinheiro e negócios da empresa;
 O primeiro passo na auditoria de controles aplicativos é verificar como o
software desempenha suas funções de negócio;
 O auditor deve conhecer o negócio ou realizer entrevistas para entendimento;

 O Segundo passo é identificar os potenciais riscos associados com a atividade:
 “O que pode dar errado?” X Como a aplicação lida com esses riscos?

 A auditoria de controles aplicativos deve cobrir:
 Aderência do Sistema às regras de negócio;
 Validação de dados de entrada (input) e dados de saída (output);
 Controle de acesso lógico e autenticação;
 Tratamento de Exceções e logs;

Referências
 http://auditoriadeti.com.br/auditoria_de_ti_3.html
 http://www.portaldeauditoria.com.br/sobreauditoria/Funcao-basica-da-auditoria-
operacional.asp
 https://es-cpas.com/sox/it-general-controls-and-it-application-controls-what-
businesses-really-needs-to-know
 http://www.ucop.edu/ethics-compliance-audit-services/_files/webinars/12-3-15-
information-technology-general-controls/ITGCs.pdf

Contato
 Facebook: /thiago.vidal.144
 E-mail: thiago_acvidal@hotmail.com
 Blog: www.thiagoacvidal.com

Auditoria de TI aplicado ao Desenvolvimento de Software

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Auditoria de TI aplicado ao Desenvolvimento de Software

Semelhante a Auditoria de TI aplicado ao Desenvolvimento de Software (20)

Auditoria de TI aplicado ao Desenvolvimento de Software