Tecnologia da InformaçãoParte 2
Auditoria de sistemasNoções de Tecnologia da InformaçãoGerencial. Noções de auditoria desistemas. Segurança de sistemas.An...
Auditoria de sistemas                 Aula 2Noções de Tecnologia da InformaçãoGerencial. Noções de auditoria desistemas. S...
AuditoriaAuditoria = Audire = do latim “Saberouvir”Critério – Conjunto de políticas,procedimentos e requisitosEvidências –...
Auditoria            Processo sistemático, documentado            e independente para obter            evidências de audit...
AuditoriaAuditado – Pessoa ou organizaçãona qual passará pelo processo deauditoriaPlano da Auditoria – Descrição dasativid...
Princípios de Auditoria   Conduta ética: O fundamento do profissionalismo      (Confiança, integridade, descrição e confi...
Caracteristicas da auditoriaPode ser conduzida por um oumais auditoresO auditor identifica os critériosde auditoria (proce...
AUDITORIA DA TECNOLOGIA DAINFORMAÇÃOé uma auditoria operacional,analisa a gestão de recursos,com o foco nos aspectos deefi...
Abrangênciaabrangência desse tipo de auditoriapode ser o ambiente de informáticacomo um todo ou a organização dodepartamen...
Ambiente de informáticaAmbiente de informática:   Segurança dos outros    controles;   Segurança física;   Segurança ló...
Organização do departamento deinformáticaOrganização do departamento de informática:    Aspectos administrativos da organ...
Auditoria da tecnologia dainformaçãoÉ abrangente, engloba todosos controles que podeminfluenciar a segurança deinformação ...
Auditoria da segurança deinformaçõesDetermina a postura da organizaçãocom relação à segurança. Avalia apolítica de seguran...
Auditoria de aplicativosSegurança e controle de aplicativosespecíficos, incluindo aspectosintrínsecos à área a que o aplic...
Equipe de AuditoriaGerente deve ter:Habilidade para recrutar ou formar profissionais com nível adequado decapacitação técn...
Equipe de AuditoriaConhecimentos em auditoria:Técnicas de auditoria,Software de auditoria e extração de dados,Outras capac...
Composição da equipeOpções para a formação da equipe:•Consultoria externa•Desenvolver a capacidade técnicade TI nos audito...
Consultoria externaConsultoria externa        Analise (custo, alta capacidade, independência, duração,investimento pessoal...
Metodologia Entrevistas      Entrevistas de apresentação   - Apresentação da equipe, cronograma das atividades, objetiv...
Objetivos de controle e procedimentos de    auditoria     Os objetivos de controle são metas de controle a serem alcançada...
Execução de uma auditoria     Os resultados da auditoria (achados e conclusões) devem    ser suportados pela correta inter...
Execução de uma auditoria – BoaspráticasO auditor deve utilizar       •Estar bem preparado para realizar apalavras de ques...
Execução de uma auditoria – Boaspráticas•Não atacar pessoas e simfatos concretos•Motivar a identificação demelhorias•Persu...
Relatório PreliminarAntes mesmo de iniciar os trabalhosde campo, na fase do planejamentoda auditoria, são coletadasinforma...
Relatório finalEstruturaDados da entidade auditada - nome, endereço, natureza jurídica, relação de responsáveis,etc.Síntes...
Exercício............
Auditoria de sistemas2
Auditoria de sistemas2
Auditoria de sistemas2
Próximos SlideShares
Carregando em…5
×

Auditoria de sistemas2

1.203 visualizações

Publicada em

material do segundo dia do curso de pós em auditoria de sistemas

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.203
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
82
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Auditoria de sistemas2

  1. 1. Tecnologia da InformaçãoParte 2
  2. 2. Auditoria de sistemasNoções de Tecnologia da InformaçãoGerencial. Noções de auditoria desistemas. Segurança de sistemas.Análise de riscos em sistemas deinformação contábeis. Plano decontingência. Técnicas de avaliaçãode sistemas. Situações deVulnerabilidade: Virus, Fraudes,Criptografia, Acesso nãoautorizados, riscos de segurança emgeral.
  3. 3. Auditoria de sistemas Aula 2Noções de Tecnologia da InformaçãoGerencial. Noções de auditoria desistemas. Segurança de sistemas.Análise de riscos em sistemas deinformação contábeis. Plano decontingência. Técnicas de avaliaçãode sistemas. Situações deVulnerabilidade: Vírus, Fraudes,Criptografia, Acesso nãoautorizados, riscos de segurança emgeral.
  4. 4. AuditoriaAuditoria = Audire = do latim “Saberouvir”Critério – Conjunto de políticas,procedimentos e requisitosEvidências – Registros, fatos ououtras informações pertinentes aoscritérios de auditoriaAuditor – Pessoa com acompetência para realizar umaauditoria
  5. 5. Auditoria Processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos
  6. 6. AuditoriaAuditado – Pessoa ou organizaçãona qual passará pelo processo deauditoriaPlano da Auditoria – Descrição dasatividades e arranjos para umaauditoriaEscopo da auditoria – Abrangênciae limites de uma auditoria
  7. 7. Princípios de Auditoria  Conduta ética: O fundamento do profissionalismo (Confiança, integridade, descrição e confidencialidade são essenciais para auditar)  Apresentação Justa: a obrigação de reportar com veracidade e exatidão. A conclusão de uma auditoria reflete verdadeiramente e com precisão as atividades da auditoria  Devido cuidado profissional: Cuidado necessário considerando a importância da atividade e a confiança depositada  Independência: Auditores devem ser independentes da atividade a ser auditada e são livres de conflito de interesse e tendência  Abordagem baseada em evidência: Evidência de Auditoria é Verificável
  8. 8. Caracteristicas da auditoriaPode ser conduzida por um oumais auditoresO auditor identifica os critériosde auditoria (processo, templatese informações pertinentes)Realiza uma preparação nomaterialCria ou seleciona um checklistpara que sirva de guia durante aexecução da auditoriaIdentifica possíveis auditados(Verificar com o líder da equipe)Apresenta-se formalmente aoauditados, descrevendo osobjetivos da auditoria
  9. 9. AUDITORIA DA TECNOLOGIA DAINFORMAÇÃOé uma auditoria operacional,analisa a gestão de recursos,com o foco nos aspectos deeficiência, eficácia, economiae efetividade.
  10. 10. Abrangênciaabrangência desse tipo de auditoriapode ser o ambiente de informáticacomo um todo ou a organização dodepartamento de informática
  11. 11. Ambiente de informáticaAmbiente de informática:  Segurança dos outros controles;  Segurança física;  Segurança lógica;  Planejamento de contingências;  Operação do centro de processamento de dados.
  12. 12. Organização do departamento deinformáticaOrganização do departamento de informática:  Aspectos administrativos da organização;  Políticas, padrões, procedimentos, responsabilidades organizacionais, gerência pessoal e planejamento de capacidade;  Banco de dados;  Redes de comunicação e computadores;  Controle sobre aplicativos:  Desenvolvimento,  Entradas, processamento e saídas.
  13. 13. Auditoria da tecnologia dainformaçãoÉ abrangente, engloba todosos controles que podeminfluenciar a segurança deinformação e o corretofuncionamento dos sistemasde toda a organização:•Controles organizacionais;•De mudança;•De operação de sistemas;•Sobre Banco de Dados;•Sobre microcomputadores;•Sobre ambiente cliente-servidor.
  14. 14. Auditoria da segurança deinformaçõesDetermina a postura da organizaçãocom relação à segurança. Avalia apolítica de segurança e controlesrelacionados com aspectos desegurança institucional mais globais,faz parte da auditoria da TI. Seuescopo envolve:•Avaliação da política de segurança;•Controles de acesso lógico;•Controles de acesso físicos;•Controles ambientais;•Planos de contingência econtinuidade de serviços.
  15. 15. Auditoria de aplicativosSegurança e controle de aplicativosespecíficos, incluindo aspectosintrínsecos à área a que o aplicativoatende:•Controles sobre o desenvolvimentode sistemas aplicativos;•Controles de entradas,processamento e saída de dados;•Controle sobre conteúdo efuncionamento do aplicativo, comrelação à área por ele atendida.
  16. 16. Equipe de AuditoriaGerente deve ter:Habilidade para recrutar ou formar profissionais com nível adequado decapacitação técnica em auditoria e TI; determinar forma de atingir a capacitaçãoe os métodos de treinamento mais eficazes.Conhecimentos técnicos:Sistemas operacionais,Software básico,Banco de dados,Processamento distribuído,Software de controle de acesso,Segurança de informações,Plano e contingência, e de recuperação eMetodologias de desenvolvimento de sistemas.
  17. 17. Equipe de AuditoriaConhecimentos em auditoria:Técnicas de auditoria,Software de auditoria e extração de dados,Outras capacidades relevantes:Princípios Éticos,Bom relacionamento,Comunicação oral e escrita,Senso crítico,Conhecimento específico na área (finanças, pessoal, estoque...)
  18. 18. Composição da equipeOpções para a formação da equipe:•Consultoria externa•Desenvolver a capacidade técnicade TI nos auditores•Desenvolver técnicas de auditagemno pessoal de TI
  19. 19. Consultoria externaConsultoria externa Analise (custo, alta capacidade, independência, duração,investimento pessoal, extensão do trabalho) Consultores externos somente para tarefas específicas(conhecimento especializado). Pontos críticos: custos, contrato e controle sobre atividades. Definição de objetivos precisos e pontos de controle. Recomendável: bom relacionamento, transferência deconhecimentos. Ao término da auditoria: avaliação dos serviços (opiniões dosconsultores, dos membros da equipe e da gerencia da organização), como objetivo de evitar as mesmas falhas no futuro.
  20. 20. Metodologia Entrevistas  Entrevistas de apresentação - Apresentação da equipe, cronograma das atividades, objetivos, áreas, período, metodologias. Estrutura do relatório (resultado da auditoria).  Entrevistas de coleta de dados - Coleta de dados sobrre os sistemas ou ambiente de informática. Nessa entrevista podem ser identificados os pontos fortes e fracos de controle, falhas e possíveis irregularidades. O entrevistado deve saber de antemão como serão usados esses dados e conhecer o relatórios a certa da entrevista.  Entrevistas de discussão de deficiências encontradas - Ao término das investigações são apresentadas as deficiências encontradas. Ao discuti-las podem ser apresentadas justificativas para essas deficiências, podendo ser desconsiderada as falhas ou relatadas as justificativas.  Entrevista de encerramento - É apresentado o resumo dos resultados (pontos fortes, falhas mais relevantes, comentários, recomendações).
  21. 21. Objetivos de controle e procedimentos de auditoria Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para atingirmos esses objetivos, são traduzidos em procedimentos de auditoria. Os objetivos de controle podem ter vários enfoques e podem ser motivados por diversas razões: Segurança – dados e sistemas importantes para a organização, onde a confidencialidade, integridade e a disponibilidade são essenciais. Atendimento a solicitações externas – verificação de indícios de irregularidade motivados por denúncia ou solicitação de órgão superior. Materialidade – alto valor econômico-financeiro dos sistemas computacionais. Altos custos de desenvolvimento – sistemas de alto custos envolvem altos riscos. Grau de envolvimento dos usuários – o não envolvimento dos usuários no desenvolvimento de sistemas, acarreta sistemas que em geral não atendem satisfatoriamente às suas necessidades. Terceirização – efeitos da terceirização no ambiente de informática.
  22. 22. Execução de uma auditoria Os resultados da auditoria (achados e conclusões) devem ser suportados pela correta interpretação e análise dessas evidências. Evidência física – observações de atividades desenvolvidas pelos funcionários e gerentes, sistemas em funcionamento, local equipamentos, etc. Evidência documental – resultado da extração de dados, registro de transações, listagens, etc. Evidência fornecida pelo auditado - transcrições de entrevistas, cópias de documentos cedidos, fluxogramas, políticas internas, e-mails trocados com a gerência, justificativas, relatórios, etc. Evidência analítica - comparações, cálculos e interpretações de documentos.
  23. 23. Execução de uma auditoria – BoaspráticasO auditor deve utilizar •Estar bem preparado para realizar apalavras de questionamentos auditoriacomo: •Tentar prever o máximo de  Como? (de que modo) situações possíveis  O que? (o fato) •Evitar surpresas ao auditado  Quando? (tempo) •Esclarecer todas as dúvidas sobre uma não-conformidade  Quem? (pessoas) •Buscar objetividade e fatos  Onde? (lugar) concretos (Evidências)  Por que? (motivos)  Mostre-me (Evidência)
  24. 24. Execução de uma auditoria – Boaspráticas•Não atacar pessoas e simfatos concretos•Motivar a identificação demelhorias•Persuadir, não impor•O auditor não deve relacionarpessoas à não-conformidadesou deficiências•Ser flexível quandonecessário•Ser imparcial e objetivo paraobtenção dos fatos
  25. 25. Relatório PreliminarAntes mesmo de iniciar os trabalhosde campo, na fase do planejamentoda auditoria, são coletadasinformações preliminares sobre aentidade, seus sistemas, os recursosnecessários, a composição daequipe, metodologias, objetivos decontrole e procedimentos a seremadotados. Uma estrutura derelatório deve ser definida e todasessas informações devem sertranscritas para o relatório.
  26. 26. Relatório finalEstruturaDados da entidade auditada - nome, endereço, natureza jurídica, relação de responsáveis,etc.Síntese - um breve resumo do conteúdo. É útil para a alta direção obter uma visão geral erápida dos principais pontos da auditoria.Dados da auditoria - objetivos, período de fiscalização, composição da equipe, metodologiaadotada, natureza da auditoria, e objeto (controles gerais, desenvolvimento de sistemas,aplicativo específico, etc.).Introdução - histórico da entidade, conclusões de auditorias anteriores, estruturahierárquica do departamento de informática, sua relação com outros departamentos,descrição do ambiente computacional, evolução tecnológica, principais sistemas eprojetos.Falhas detectadas - apresenta em detalhes, as falhas e irregularidades detectadas durantea auditoria. Além das descrições, são apresentados comentários iniciais, justificativa doauditado e o parecer final da equipe para cada falha (preferências e recomendações).Conclusão - síntese dos pontos principais do relatório e as recomendações oudeterminações finais da equipe para a correção das falhas ou irregularidades encontradas.Parecer da gerência superior - as gerências superiores podem dar seu parecer a respeito dosachados e recomendações da equipe de auditores, concordando integralmente ou empartes com os pontos de vista da auditoria, ou ainda discordando inteiramente.
  27. 27. Exercício............

×