SlideShare uma empresa Scribd logo
RESUMO 2ª EDIÇÃO (PG 15-89) – JOSHUA ONOME IMONIANA - IFBA




ASI – Auditoria de Sistemas de Informação
SI – Sistemas de Informação
TAAC - Técnica de auditoria assistida por
computador







1. Fundamentos de Auditoria de Sistemas de
Informações.......................................................4-8;
2. Padrões e código de ética para ASI................9-10;
3. Desenvolvimento de equipe de auditoria sistemas
de informação.................................................11-12;
4. Controles internos e avaliações:...................13-19;
5. Ferramentas e Técnicas de Auditoria de TI...20-25;
6. Auditoria de Controles Organizacionais e
Operacionais..................................................26-29;


1.1 Histórico de Sistemas de Informação:
 Cálculos no ano 5000 a.C ;
 Invenção dos cartões perfurados(punch cards) por

Herman Hollerith;
 Construção do ENIAC durante a 2ª Guerra
Mundial;
 Mudanças provocadas durante o ano de 1950 em
todos ambientes de negócios criaram uma grande
complexidade que causou a adoção de sistemas
de informação para o processamento de dados;


1.2 Conceito de Sistemas:
 Sistema é um conjunto de elementos inter-

relacionados com um objetivo: produzir relatórios
para ajudar na tomada de decisões;


1.3 Conceito de Auditoria de Tecnologia de
Informação:
 Tem objetivo de garantir que informações em

forma eletrônica são confiáveis;



1.4 Abordagem de Auditoria de Sistemas de
Informações:
1.4.1 Abordagem ao redor do computador :
 Baseia-se na confrontação de documentos-fonte com

resultados esperados;


1.4.2 Abordagem através do computador:
 O auditor acompanha o processamento por dentro do

computador;


1.4.3 Abordagem com o computador:
 Uma abordagem com o computador completamente

assistida;


1.5 Organização do Trabalho de Auditoria
de Tecnologia de Informação:








Planejamento
Escolher a equipe
Programar a equipe
Execução de trabalhos e supervisão
Revisão de papéis e trabalhos
Atualização do conhecimento permanente
Avaliação da equipe


1.6 Documentação dos papéis de trabalhos :
 Papéis

de trabalhos constituem conjunto de
formulários preenchidos logicamente no processo de
auditoria de sistemas.
 Figuras que possuem acesso:
▪ Sócio: responsável pelo serviço de auditoria;
▪ Encarregado supervisor e gerente: chefe da equipe de
auditoria que deve cadastrar identificação da auditoria;
▪ Preparador (assistente ou sênior de auditoria): capta
informações e diretrizes de auditoria nos banco de dados
central;


2.1 Comitê de padrões da associação de
controle e audit de tecnologia de informação:
-Conforme padrões emitidos:








Responsabilidade, autoridade e prestação de contas;
Independência profissional;
Ética profissional e padrões;
Competência;
Planejamento;
Emissão de relatório;
Atividades de follow-up;


2.2 Associação de auditores de sistemas e
controles(ISACA): - código dos membros  1. apoiar a implementação e encorajar cumprimento de








padrões;
2. exercer suas funções com objetividade;
3. servir aos interesses dos stakeholders de forma legal e
honesta;
4. manter privacidade e confidencialidade de informações;
5. manter competência nas respectivas especialidades;
6. informar as partes envolvidas
7. apoiar conscientização profissional dos stakeholders;


3.1 problemática de desenvolvimento “...”:
 Crescente complexidade de ambientes de TI e

dificuldades e relutância de auditores com relação a
adaptação para auditar estes ambientes;


3.1.1 Programa de desenvolvimento
carreira de auditoria de TI:

de

 Programa utilizado por auditores independentes, que

contratam formandos em áreas afins, e os treinam;
 Treinamento dividido em duas partes:(i) categoria
com pouca ou nenhuma experiência em TI; e (ii)
aqueles que possuem experiência;


Carreira de auditor de TI:
 Nível 1- Básico: trainee;
 Nível 2 – Fundação: assistentes;
 Nível 3 – Focal: seniores e supervisores;
 Nível 4 – Integração: gerentes;
 Nível 5 – Aconselhamento: sócio de auditoria;


4.1 Fundamentos de controle internos em
SI:
 Conforme Instituto Americano de Contadores

Públicos: “planos organizacionais e conjuntos de
métodos e medidas adotados numa empresa, a
fim de salvaguardar o ativo, verificar a exatidão e
veracidade registros contábeis, promover
efetividade de SI e eficiência operacional ”;


4.1.1 Controles internos em PED, princípios
e objetivos:
 Supervisão;
 Registro e comunicação;
 Segregação de funções;
 Classificação de informação;
 Tempestividade;
 Auditoriabilidade;


4.1.1 Controles internos em PED, princípios
e objetivos:(II)
 Controle independente;
 Monitoramento;
 Implantação;
 Contingência;
 Custo efetivo;


4.1.1.1 Tipos de controle:
 Controles administrativos e gerências - controles

que possuem a separação de funções ou
responsabilidades;
 Controles de segurança e privacidade;
▪ Propriedades:
SIGILO,
INTEGRIDADE,
DISPONIBILIDADE,
CONTABILIDADE
e
AUDITORIABILIDADE;


4.1.1.1 Tipos de controle:(II)
 Controles de preparação e captação de dados –

controle que é exercido no começo de cada
atividade de processamento de dados;
 Controles de entrada de dados – controle de
inputs (entrada) de dados, que visa reduzir
dúvidas que possam existir no ponto de entrada;
 Controles de processamento – são programados e
construídos no computador de forma segura;


4.1.1.1 Tipos de controle:(III)
 Controles de saída e de emissão de relatórios –

procedimentos de manuseio de output;
 Controles de gravação e recuperação de dados –
este controle certifica a integridade de dados
recebidos dentro da data-base e qualquer
indivíduo que pode acessá-lo com o mínimo
esforço;


4.2 Avaliação dos procedimentos
controles internos e avaliações:

de

 Trabalho executado pelo auditor que tenha

habilidade em TI


4.3 Análise de risco de avaliação de sistema
de controle interno:
 Metodologia adotada pelos auditores de TI para

saber, com antecedência, quais ameaças puras ou
prováveis em um ambiente de TI de uma
organização;


5.1 Ferramentas:
 Auxiliam na extração, sorteio, seleção de dados e

transações;


5.1.1 Software generalista de auditoria de TI:
 ACL
 IDEA

 Audimation
 Galileo
 Pentana


5.1.2 Softwares especializados de auditoria:
 programa desenvolvido especificamente;



5.1.3 Programas utilitários:
 Geralmente banco de dados: SQL, Dbase 2, etc.



5.2 Técnicas:
 Variadas metodologias que são chamadas de

técnicas, que proporcionam várias vantagens:
produtividade, custo, qualidade assegurada, valor
agregado, benefícios corporativos e benefícios
para o auditor.


5.2.1 Dados de teste:
 Conhecido por test data ou test deck, envolve um

conjunto de dados de entrada especialmente
preparados com objetivos de testar os controles
programados e controles de sistema aplicativo;


5.2.2 Facilidade de teste integrado:
 Conhecida por Integrated Test Facility(ITF), ela usa

dados de testes integrados aos ambientes reais de
processamento utilizando-se versões correntes da
produção.


5.2.3 Simulação paralela:
 Envolve o uso de um programa especialmente

desenvolvido que atenda as lógicas necessárias
para um aplicativo devidamente testado.


5.2.4 Lógica de auditoria embutida nos
sistemas:
 Envolve a inclusão de lógicas de auditoria nos

sistemas quando são desenvolvidos.


5.2.5 Rastreamento e mapeamento:
 Envolve desenvolvimento e implementação de

uma trilha de auditoria para acompanhar certos
pontos da lógica de processamento de algumas
transações;


5.2.6 Análise lógica de programação:
 Técnica que envolve verificação da lógica de

programação para certificar que instruções dadas
ao computador são as mesmas já identificadas
nas documentações dos sistemas e aplicativos;



5.3 Aplicação de técnica de auditoria
assistida por computador (TAAC):
5.4 Documentação dos papéis de trabalhos
TAAC:
 Deve

conter informações suficientes para
descrever testes e conclusões. São por exemplo:
planejamento, execução e evidenciação;


6.1 Introdução:
 Controles

organizacionais – são controles
administrativos instalados nos processos de fluxo
de transações econômicas;



6.2 Políticas Organizacionais:
 Políticas de responsabilidades;
 Política de continuidade de negócios (Business

Continuity Plan - BCP);


6.3 Descrição de Cargos:
 Supervisão de infraestrutura de TI;
 Administração de redes;
 Administração de banco de dados;
 Administração de dados;
 Administração de segurança;
 Análise, programação e manutenção de sistemas;
 Design para WEB;


6.3 Descrição de Cargos:(II)
 Operador de console;
 Operadores de conversão de dados;
 Bibliotecários;
 Suporte técnico;
 Supervisão de Help desk;
 Grupo de controle de dados;
 Supervisão de Restart/Recovery;


6.4 Objetivos de auditoria:
 O principal objetivo de auditoria de controles

organizacionais de área de informática é testar a
grande essência de controle interno, promover
eficiência das operações e fomentar maior adesão
às políticas prescritas pela gerência com maios
foco na responsabilidade;


6.5 Programa de auditoria – Controle
Organizacionais e Operacionais;
Auditoria de sistemas de informação

Mais conteúdo relacionado

Mais procurados

Gestão do Conhecimento
Gestão do ConhecimentoGestão do Conhecimento
Gestão do Conhecimento
Hudson Augusto
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
imsp2000
 
Sistemas Operacionais - Aula 07 (Thread e Processos)
Sistemas Operacionais - Aula 07 (Thread e Processos)Sistemas Operacionais - Aula 07 (Thread e Processos)
Sistemas Operacionais - Aula 07 (Thread e Processos)
Leinylson Fontinele
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Adriano Martins Antonio
 
Banco de Dados - Sistemas de Gerenciamento de Banco de Dados
Banco de Dados - Sistemas de Gerenciamento de Banco de DadosBanco de Dados - Sistemas de Gerenciamento de Banco de Dados
Banco de Dados - Sistemas de Gerenciamento de Banco de Dados
Natanael Simões
 
Mer - Modelo Entidade Relacionamento
Mer - Modelo Entidade RelacionamentoMer - Modelo Entidade Relacionamento
Mer - Modelo Entidade Relacionamento
Rademaker Siena
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
Mauricio Uriona Maldonado PhD
 
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Modelagem de Sistemas de Informação
Modelagem de Sistemas de InformaçãoModelagem de Sistemas de Informação
Modelagem de Sistemas de Informação
Helder Lopes
 
Modelo caso uso
Modelo caso usoModelo caso uso
Modelo caso uso
Gabriel Faustino
 
Aula 1 Modelagem De Processos
Aula 1   Modelagem De ProcessosAula 1   Modelagem De Processos
Aula 1 Modelagem De Processos
Marcos Barato
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas Operativos
Pedro Marmelo
 
Aula1 e aula2 - Analise e Projeto de Sistemas
Aula1 e aula2 - Analise e Projeto de SistemasAula1 e aula2 - Analise e Projeto de Sistemas
Aula1 e aula2 - Analise e Projeto de Sistemas
Gustavo Gonzalez
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
sorayaNadja
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Leinylson Fontinele
 
Sistema operacional introdução
Sistema operacional introduçãoSistema operacional introdução
Sistema operacional introdução
Cleber Ramos
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
GrupoAlves - professor
 
Sistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaSistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e Paralela
Adriano Teixeira de Souza
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Cleber Fonseca
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
Carlos Henrique Martins da Silva
 

Mais procurados (20)

Gestão do Conhecimento
Gestão do ConhecimentoGestão do Conhecimento
Gestão do Conhecimento
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Sistemas Operacionais - Aula 07 (Thread e Processos)
Sistemas Operacionais - Aula 07 (Thread e Processos)Sistemas Operacionais - Aula 07 (Thread e Processos)
Sistemas Operacionais - Aula 07 (Thread e Processos)
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
 
Banco de Dados - Sistemas de Gerenciamento de Banco de Dados
Banco de Dados - Sistemas de Gerenciamento de Banco de DadosBanco de Dados - Sistemas de Gerenciamento de Banco de Dados
Banco de Dados - Sistemas de Gerenciamento de Banco de Dados
 
Mer - Modelo Entidade Relacionamento
Mer - Modelo Entidade RelacionamentoMer - Modelo Entidade Relacionamento
Mer - Modelo Entidade Relacionamento
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
 
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
 
Modelagem de Sistemas de Informação
Modelagem de Sistemas de InformaçãoModelagem de Sistemas de Informação
Modelagem de Sistemas de Informação
 
Modelo caso uso
Modelo caso usoModelo caso uso
Modelo caso uso
 
Aula 1 Modelagem De Processos
Aula 1   Modelagem De ProcessosAula 1   Modelagem De Processos
Aula 1 Modelagem De Processos
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas Operativos
 
Aula1 e aula2 - Analise e Projeto de Sistemas
Aula1 e aula2 - Analise e Projeto de SistemasAula1 e aula2 - Analise e Projeto de Sistemas
Aula1 e aula2 - Analise e Projeto de Sistemas
 
Aula 04 coneitos de auditoria de sistemas
Aula 04   coneitos de auditoria de sistemasAula 04   coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
 
Sistema operacional introdução
Sistema operacional introduçãoSistema operacional introdução
Sistema operacional introdução
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
 
Sistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaSistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e Paralela
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 

Destaque

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Allan Piter Pressi
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
Fernando Palma
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
GrupoAlves - professor
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
Carlos Serrao
 
OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e Como
Er Galvão Abbott
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
Alves Albert
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) -  Walter CunhaColetanea Segurança e Auditoria (Esaf) -  Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Walter Cunha
 
20091 apost topic_v_-_control
20091 apost topic_v_-_control20091 apost topic_v_-_control
20091 apost topic_v_-_control
zeramento contabil
 
Introdução ao owasp zap aula-01
Introdução ao owasp zap   aula-01 Introdução ao owasp zap   aula-01
Introdução ao owasp zap aula-01
prof-claudio
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
Rafael Maia
 
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
Filipe Pontes
 
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla CaldasFluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Priscyla Caldas
 
Normas de auditoria reduzida
Normas de auditoria reduzidaNormas de auditoria reduzida
Normas de auditoria reduzida
claudio guimaraes
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Fabíola Fernandes
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Gerardo Escobar
 
Os 5 Níveis de Reuso
Os 5 Níveis de ReusoOs 5 Níveis de Reuso
Os 5 Níveis de Reuso
Dr. Spock
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
Carlos Serrao
 

Destaque (20)

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
 
OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e Como
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) -  Walter CunhaColetanea Segurança e Auditoria (Esaf) -  Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
 
20091 apost topic_v_-_control
20091 apost topic_v_-_control20091 apost topic_v_-_control
20091 apost topic_v_-_control
 
Introdução ao owasp zap aula-01
Introdução ao owasp zap   aula-01 Introdução ao owasp zap   aula-01
Introdução ao owasp zap aula-01
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
 
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
 
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla CaldasFluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
 
Normas de auditoria reduzida
Normas de auditoria reduzidaNormas de auditoria reduzida
Normas de auditoria reduzida
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Os 5 Níveis de Reuso
Os 5 Níveis de ReusoOs 5 Níveis de Reuso
Os 5 Níveis de Reuso
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 

Semelhante a Auditoria de sistemas de informação

01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
Portal_do_Estudante_aud
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Symantec Brasil
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
Fernando Palma
 
11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
Christian Becker
 
Auditoria de Processo
Auditoria de ProcessoAuditoria de Processo
Auditoria de Processo
Mauricio Volkweis Astiazara
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
Fernando Palma
 
Consultoria Implantacao
Consultoria ImplantacaoConsultoria Implantacao
Consultoria Implantacao
titansoftware
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005
ceife
 
plano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunhoplano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunho
userrx
 
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema FiepOs Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
VIXTEAM
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Welington Monteiro
 
Estudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool QualificationEstudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool Qualification
Airton Lastori
 
Aula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de InfraestruturaAula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de Infraestrutura
Paulo Nascimento
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
TECSI FEA USP
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
TI Safe
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2
MIGUEL_VILACA
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software   qualidade de softwareVisão geral da engenharia de software   qualidade de software
Visão geral da engenharia de software qualidade de software
jordanavy
 
Cobit 4.0 visão geral
Cobit 4.0   visão geralCobit 4.0   visão geral
Cobit 4.0 visão geral
Tiago Andrade
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software   qualidade de softwareVisão geral da engenharia de software   qualidade de software
Visão geral da engenharia de software qualidade de software
jordanavy
 

Semelhante a Auditoria de sistemas de informação (20)

01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
 
11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
 
Auditoria de Processo
Auditoria de ProcessoAuditoria de Processo
Auditoria de Processo
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
 
Consultoria Implantacao
Consultoria ImplantacaoConsultoria Implantacao
Consultoria Implantacao
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005
 
plano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunhoplano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunho
 
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema FiepOs Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test   roadsec-bh - testes de segurança, não comece pelo fim!Qa test   roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Estudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool QualificationEstudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool Qualification
 
Aula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de InfraestruturaAula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de Infraestrutura
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software   qualidade de softwareVisão geral da engenharia de software   qualidade de software
Visão geral da engenharia de software qualidade de software
 
Cobit 4.0 visão geral
Cobit 4.0   visão geralCobit 4.0   visão geral
Cobit 4.0 visão geral
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software   qualidade de softwareVisão geral da engenharia de software   qualidade de software
Visão geral da engenharia de software qualidade de software
 

Mais de Silvino Neto

Lei 811290
Lei 811290Lei 811290
Lei 811290
Silvino Neto
 
Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de ti
Silvino Neto
 
Gateway de linha de dados
Gateway de linha de dadosGateway de linha de dados
Gateway de linha de dados
Silvino Neto
 
Servidor proxy
Servidor proxy Servidor proxy
Servidor proxy
Silvino Neto
 
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de TodosConteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Silvino Neto
 
Processos e threads
Processos e threadsProcessos e threads
Processos e threads
Silvino Neto
 
Apresentação java io
Apresentação java ioApresentação java io
Apresentação java io
Silvino Neto
 

Mais de Silvino Neto (7)

Lei 811290
Lei 811290Lei 811290
Lei 811290
 
Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de ti
 
Gateway de linha de dados
Gateway de linha de dadosGateway de linha de dados
Gateway de linha de dados
 
Servidor proxy
Servidor proxy Servidor proxy
Servidor proxy
 
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de TodosConteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
 
Processos e threads
Processos e threadsProcessos e threads
Processos e threads
 
Apresentação java io
Apresentação java ioApresentação java io
Apresentação java io
 

Auditoria de sistemas de informação

  • 1. RESUMO 2ª EDIÇÃO (PG 15-89) – JOSHUA ONOME IMONIANA - IFBA
  • 2.    ASI – Auditoria de Sistemas de Informação SI – Sistemas de Informação TAAC - Técnica de auditoria assistida por computador
  • 3.       1. Fundamentos de Auditoria de Sistemas de Informações.......................................................4-8; 2. Padrões e código de ética para ASI................9-10; 3. Desenvolvimento de equipe de auditoria sistemas de informação.................................................11-12; 4. Controles internos e avaliações:...................13-19; 5. Ferramentas e Técnicas de Auditoria de TI...20-25; 6. Auditoria de Controles Organizacionais e Operacionais..................................................26-29;
  • 4.  1.1 Histórico de Sistemas de Informação:  Cálculos no ano 5000 a.C ;  Invenção dos cartões perfurados(punch cards) por Herman Hollerith;  Construção do ENIAC durante a 2ª Guerra Mundial;  Mudanças provocadas durante o ano de 1950 em todos ambientes de negócios criaram uma grande complexidade que causou a adoção de sistemas de informação para o processamento de dados;
  • 5.  1.2 Conceito de Sistemas:  Sistema é um conjunto de elementos inter- relacionados com um objetivo: produzir relatórios para ajudar na tomada de decisões;  1.3 Conceito de Auditoria de Tecnologia de Informação:  Tem objetivo de garantir que informações em forma eletrônica são confiáveis;
  • 6.   1.4 Abordagem de Auditoria de Sistemas de Informações: 1.4.1 Abordagem ao redor do computador :  Baseia-se na confrontação de documentos-fonte com resultados esperados;  1.4.2 Abordagem através do computador:  O auditor acompanha o processamento por dentro do computador;  1.4.3 Abordagem com o computador:  Uma abordagem com o computador completamente assistida;
  • 7.  1.5 Organização do Trabalho de Auditoria de Tecnologia de Informação:        Planejamento Escolher a equipe Programar a equipe Execução de trabalhos e supervisão Revisão de papéis e trabalhos Atualização do conhecimento permanente Avaliação da equipe
  • 8.  1.6 Documentação dos papéis de trabalhos :  Papéis de trabalhos constituem conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas.  Figuras que possuem acesso: ▪ Sócio: responsável pelo serviço de auditoria; ▪ Encarregado supervisor e gerente: chefe da equipe de auditoria que deve cadastrar identificação da auditoria; ▪ Preparador (assistente ou sênior de auditoria): capta informações e diretrizes de auditoria nos banco de dados central;
  • 9.  2.1 Comitê de padrões da associação de controle e audit de tecnologia de informação: -Conforme padrões emitidos:        Responsabilidade, autoridade e prestação de contas; Independência profissional; Ética profissional e padrões; Competência; Planejamento; Emissão de relatório; Atividades de follow-up;
  • 10.  2.2 Associação de auditores de sistemas e controles(ISACA): - código dos membros  1. apoiar a implementação e encorajar cumprimento de       padrões; 2. exercer suas funções com objetividade; 3. servir aos interesses dos stakeholders de forma legal e honesta; 4. manter privacidade e confidencialidade de informações; 5. manter competência nas respectivas especialidades; 6. informar as partes envolvidas 7. apoiar conscientização profissional dos stakeholders;
  • 11.  3.1 problemática de desenvolvimento “...”:  Crescente complexidade de ambientes de TI e dificuldades e relutância de auditores com relação a adaptação para auditar estes ambientes;  3.1.1 Programa de desenvolvimento carreira de auditoria de TI: de  Programa utilizado por auditores independentes, que contratam formandos em áreas afins, e os treinam;  Treinamento dividido em duas partes:(i) categoria com pouca ou nenhuma experiência em TI; e (ii) aqueles que possuem experiência;
  • 12.  Carreira de auditor de TI:  Nível 1- Básico: trainee;  Nível 2 – Fundação: assistentes;  Nível 3 – Focal: seniores e supervisores;  Nível 4 – Integração: gerentes;  Nível 5 – Aconselhamento: sócio de auditoria;
  • 13.  4.1 Fundamentos de controle internos em SI:  Conforme Instituto Americano de Contadores Públicos: “planos organizacionais e conjuntos de métodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a exatidão e veracidade registros contábeis, promover efetividade de SI e eficiência operacional ”;
  • 14.  4.1.1 Controles internos em PED, princípios e objetivos:  Supervisão;  Registro e comunicação;  Segregação de funções;  Classificação de informação;  Tempestividade;  Auditoriabilidade;
  • 15.  4.1.1 Controles internos em PED, princípios e objetivos:(II)  Controle independente;  Monitoramento;  Implantação;  Contingência;  Custo efetivo;
  • 16.  4.1.1.1 Tipos de controle:  Controles administrativos e gerências - controles que possuem a separação de funções ou responsabilidades;  Controles de segurança e privacidade; ▪ Propriedades: SIGILO, INTEGRIDADE, DISPONIBILIDADE, CONTABILIDADE e AUDITORIABILIDADE;
  • 17.  4.1.1.1 Tipos de controle:(II)  Controles de preparação e captação de dados – controle que é exercido no começo de cada atividade de processamento de dados;  Controles de entrada de dados – controle de inputs (entrada) de dados, que visa reduzir dúvidas que possam existir no ponto de entrada;  Controles de processamento – são programados e construídos no computador de forma segura;
  • 18.  4.1.1.1 Tipos de controle:(III)  Controles de saída e de emissão de relatórios – procedimentos de manuseio de output;  Controles de gravação e recuperação de dados – este controle certifica a integridade de dados recebidos dentro da data-base e qualquer indivíduo que pode acessá-lo com o mínimo esforço;
  • 19.  4.2 Avaliação dos procedimentos controles internos e avaliações: de  Trabalho executado pelo auditor que tenha habilidade em TI  4.3 Análise de risco de avaliação de sistema de controle interno:  Metodologia adotada pelos auditores de TI para saber, com antecedência, quais ameaças puras ou prováveis em um ambiente de TI de uma organização;
  • 20.  5.1 Ferramentas:  Auxiliam na extração, sorteio, seleção de dados e transações;  5.1.1 Software generalista de auditoria de TI:  ACL  IDEA  Audimation  Galileo  Pentana
  • 21.  5.1.2 Softwares especializados de auditoria:  programa desenvolvido especificamente;  5.1.3 Programas utilitários:  Geralmente banco de dados: SQL, Dbase 2, etc.  5.2 Técnicas:  Variadas metodologias que são chamadas de técnicas, que proporcionam várias vantagens: produtividade, custo, qualidade assegurada, valor agregado, benefícios corporativos e benefícios para o auditor.
  • 22.  5.2.1 Dados de teste:  Conhecido por test data ou test deck, envolve um conjunto de dados de entrada especialmente preparados com objetivos de testar os controles programados e controles de sistema aplicativo;  5.2.2 Facilidade de teste integrado:  Conhecida por Integrated Test Facility(ITF), ela usa dados de testes integrados aos ambientes reais de processamento utilizando-se versões correntes da produção.
  • 23.  5.2.3 Simulação paralela:  Envolve o uso de um programa especialmente desenvolvido que atenda as lógicas necessárias para um aplicativo devidamente testado.  5.2.4 Lógica de auditoria embutida nos sistemas:  Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
  • 24.  5.2.5 Rastreamento e mapeamento:  Envolve desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica de processamento de algumas transações;  5.2.6 Análise lógica de programação:  Técnica que envolve verificação da lógica de programação para certificar que instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas e aplicativos;
  • 25.   5.3 Aplicação de técnica de auditoria assistida por computador (TAAC): 5.4 Documentação dos papéis de trabalhos TAAC:  Deve conter informações suficientes para descrever testes e conclusões. São por exemplo: planejamento, execução e evidenciação;
  • 26.  6.1 Introdução:  Controles organizacionais – são controles administrativos instalados nos processos de fluxo de transações econômicas;  6.2 Políticas Organizacionais:  Políticas de responsabilidades;  Política de continuidade de negócios (Business Continuity Plan - BCP);
  • 27.  6.3 Descrição de Cargos:  Supervisão de infraestrutura de TI;  Administração de redes;  Administração de banco de dados;  Administração de dados;  Administração de segurança;  Análise, programação e manutenção de sistemas;  Design para WEB;
  • 28.  6.3 Descrição de Cargos:(II)  Operador de console;  Operadores de conversão de dados;  Bibliotecários;  Suporte técnico;  Supervisão de Help desk;  Grupo de controle de dados;  Supervisão de Restart/Recovery;
  • 29.  6.4 Objetivos de auditoria:  O principal objetivo de auditoria de controles organizacionais de área de informática é testar a grande essência de controle interno, promover eficiência das operações e fomentar maior adesão às políticas prescritas pela gerência com maios foco na responsabilidade;  6.5 Programa de auditoria – Controle Organizacionais e Operacionais;