O documento discute conceitos e técnicas de auditoria de sistemas de tecnologia da informação, incluindo objetivos, procedimentos, evidências e boas práticas para a execução de auditorias. Aborda tópicos como planejamento da auditoria, entrevistas, análise de riscos e controles, e a importância da preparação da equipe de auditoria.
Teoria geral de Sistemas, Conceitos, Classificação dos tipos de SI.
Gestão Estratégica da Informação: Estratégia Empresarial e evolução dos SIG
Visão atual dos SIG .
Metodologias para seleção e implementação de SIG.
Modelos de SIG e processo decisório;
ERP- Sistemas de Gestão Integrados;
Sistemas de BI – Inteligência Competitiva
E. managemant
Teoria geral de Sistemas, Conceitos, Classificação dos tipos de SI.
Gestão Estratégica da Informação: Estratégia Empresarial e evolução dos SIG
Visão atual dos SIG .
Metodologias para seleção e implementação de SIG.
Modelos de SIG e processo decisório;
ERP- Sistemas de Gestão Integrados;
Sistemas de BI – Inteligência Competitiva
E. managemant
Sistemas de Informações - Aula 10: Sistemas de Apoio à Decisão (SAD e SAD-G)Marcus Araújo
Apresentação referente à 10ª aula da disciplina Sistemas de Informações do curso de graduação em Administração da Universidade Federal de Pernambuco, conduzida pelo Prof. MSc. Marcus Araújo.
O que é BPM ?
Ciclo de Vida de Processos de Negócios
Planejamento
Modelagem
Automação
Monitoração
Governança e Melhores Práticas
Evolução Contínua
Organizações Centradas em Processo
Grandes movimentos atuais
Fatores Críticos de Sucesso BPM
TI no BPM
Modelo de Referencia
BPM e Conformidade
Maturidade das Empresas Frente a BPM
BPM e SOA
Redbooks
Certificações
Sistemas de Informações - Aula 10: Sistemas de Apoio à Decisão (SAD e SAD-G)Marcus Araújo
Apresentação referente à 10ª aula da disciplina Sistemas de Informações do curso de graduação em Administração da Universidade Federal de Pernambuco, conduzida pelo Prof. MSc. Marcus Araújo.
O que é BPM ?
Ciclo de Vida de Processos de Negócios
Planejamento
Modelagem
Automação
Monitoração
Governança e Melhores Práticas
Evolução Contínua
Organizações Centradas em Processo
Grandes movimentos atuais
Fatores Críticos de Sucesso BPM
TI no BPM
Modelo de Referencia
BPM e Conformidade
Maturidade das Empresas Frente a BPM
BPM e SOA
Redbooks
Certificações
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
Auditoria:
- exame comprobatório relativo às atividades contábeis e financeiras de uma empresa ou instituição; auditagem.
Auditor:
- que ou aquele que ouve; ouvinte;
- técnico ou pessoa com conhecimento suficiente para emitir parecer sobre assunto de sua especialidade;
- perito de contabilidade a quem se dá a incumbência de examinar minuciosamente e dar parecer sobre as operações contábeis de uma empresa ou instituição, atestando a correção ou incorreção das mesmas e a veracidade do balanço geral;
- magistrado, juiz togado com jurisdição privativa ou cumulativa na Justiça Militar.
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema FiepVIXTEAM
Palestra ministrada no Conbrai 2016 sobre os desafios da implementação da auditoria com foco em riscos no sistema da indústria do Paraná, incluindo as organizações do Sesi e Senai
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...TECSI FEA USP
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do uso de ferramentas de análise de dados. Provê relevante ganho de performance na execução e abrangência de análise. Nos referimos aos testes automatizados como CAATs.
•Auditoria Contínua: Avaliação de risco de forma perene ao longo do tempo através do uso de indicadores ou de técnicas de monitoramento como participação em fóruns, leitura de relatórios, reuniões periódicas, acompanhamento do mercado, dentre outras atividades.
•Análise de Dados / Datamining: Uso de técnicas estatísticas para identificação de comportamentos ou tendências atreladas ao risco da área ou processo.
•Big Data: Acesso a grande volume de dados, tanto de origem endógena como exógena, com processamento rápido em função de sua característica de replicação de dados. Aliado ao uso de técnicas estatísticas e cruzamento de informações permite a identificação de comportamentos, padrões, tendências, etc.
2. Auditoria de sistemas
Noções de Tecnologia da Informação
Gerencial. Noções de auditoria de
sistemas. Segurança de sistemas.
Análise de riscos em sistemas de
informação contábeis. Plano de
contingência. Técnicas de avaliação
de sistemas. Situações de
Vulnerabilidade: Virus, Fraudes,
Criptografia, Acesso não
autorizados, riscos de segurança em
geral.
3. Auditoria de sistemas Aula 2
Noções de Tecnologia da Informação
Gerencial. Noções de auditoria de
sistemas. Segurança de sistemas.
Análise de riscos em sistemas de
informação contábeis. Plano de
contingência. Técnicas de avaliação
de sistemas. Situações de
Vulnerabilidade: Vírus, Fraudes,
Criptografia, Acesso não
autorizados, riscos de segurança em
geral.
4.
5. Auditoria
Auditoria = Audire = do latim “Saber
ouvir”
Critério – Conjunto de políticas,
procedimentos e requisitos
Evidências – Registros, fatos ou
outras informações pertinentes aos
critérios de auditoria
Auditor – Pessoa com a
competência para realizar uma
auditoria
6. Auditoria
Processo sistemático, documentado
e independente para obter
evidências de auditoria e avaliá-las
objetivamente para determinar a
extensão na qual os critérios de
auditoria são atendidos
7. Auditoria
Auditado – Pessoa ou organização
na qual passará pelo processo de
auditoria
Plano da Auditoria – Descrição das
atividades e arranjos para uma
auditoria
Escopo da auditoria – Abrangência
e limites de uma auditoria
8. Princípios de Auditoria
Conduta ética: O fundamento do profissionalismo
(Confiança, integridade, descrição e confidencialidade são
essenciais para auditar)
Apresentação Justa: a obrigação de reportar com
veracidade e exatidão. A conclusão de uma auditoria
reflete verdadeiramente e com precisão as atividades da
auditoria
Devido cuidado profissional: Cuidado necessário
considerando a importância da atividade e a confiança
depositada
Independência: Auditores devem ser independentes da
atividade a ser auditada e são livres de conflito de
interesse e tendência
Abordagem baseada em evidência: Evidência de
Auditoria é Verificável
9. Caracteristicas da auditoria
Pode ser conduzida por um ou
mais auditores
O auditor identifica os critérios
de auditoria (processo, templates
e informações pertinentes)
Realiza uma preparação no
material
Cria ou seleciona um checklist
para que sirva de guia durante a
execução da auditoria
Identifica possíveis auditados
(Verificar com o líder da equipe)
Apresenta-se formalmente ao
auditados, descrevendo os
objetivos da auditoria
10. AUDITORIA DA TECNOLOGIA DA
INFORMAÇÃO
é uma auditoria operacional,
analisa a gestão de recursos,
com o foco nos aspectos de
eficiência, eficácia, economia
e efetividade.
11. Abrangência
abrangência desse tipo de auditoria
pode ser o ambiente de informática
como um todo ou a organização do
departamento de informática
12. Ambiente de informática
Ambiente de informática:
Segurança dos outros
controles;
Segurança física;
Segurança lógica;
Planejamento de
contingências;
Operação do centro de
processamento de
dados.
13. Organização do departamento de
informática
Organização do departamento de informática:
Aspectos administrativos da organização;
Políticas, padrões, procedimentos, responsabilidades
organizacionais, gerência pessoal e planejamento de
capacidade;
Banco de dados;
Redes de comunicação e computadores;
Controle sobre aplicativos:
Desenvolvimento,
Entradas, processamento e saídas.
14. Auditoria da tecnologia da
informação
É abrangente, engloba todos
os controles que podem
influenciar a segurança de
informação e o correto
funcionamento dos sistemas
de toda a organização:
•Controles organizacionais;
•De mudança;
•De operação de sistemas;
•Sobre Banco de Dados;
•Sobre microcomputadores;
•Sobre ambiente cliente-
servidor.
15. Auditoria da segurança de
informações
Determina a postura da organização
com relação à segurança. Avalia a
política de segurança e controles
relacionados com aspectos de
segurança institucional mais globais,
faz parte da auditoria da TI. Seu
escopo envolve:
•Avaliação da política de segurança;
•Controles de acesso lógico;
•Controles de acesso físicos;
•Controles ambientais;
•Planos de contingência e
continuidade de serviços.
16. Auditoria de aplicativos
Segurança e controle de aplicativos
específicos, incluindo aspectos
intrínsecos à área a que o aplicativo
atende:
•Controles sobre o desenvolvimento
de sistemas aplicativos;
•Controles de entradas,
processamento e saída de dados;
•Controle sobre conteúdo e
funcionamento do aplicativo, com
relação à área por ele atendida.
17. Equipe de Auditoria
Gerente deve ter:
Habilidade para recrutar ou formar profissionais com nível adequado de
capacitação técnica em auditoria e TI; determinar forma de atingir a capacitação
e os métodos de treinamento mais eficazes.
Conhecimentos técnicos:
Sistemas operacionais,
Software básico,
Banco de dados,
Processamento distribuído,
Software de controle de acesso,
Segurança de informações,
Plano e contingência, e de recuperação e
Metodologias de desenvolvimento de sistemas.
18. Equipe de Auditoria
Conhecimentos em auditoria:
Técnicas de auditoria,
Software de auditoria e extração de dados,
Outras capacidades relevantes:
Princípios Éticos,
Bom relacionamento,
Comunicação oral e escrita,
Senso crítico,
Conhecimento específico na área (finanças, pessoal, estoque...)
19. Composição da equipe
Opções para a formação da equipe:
•Consultoria externa
•Desenvolver a capacidade técnica
de TI nos auditores
•Desenvolver técnicas de auditagem
no pessoal de TI
20. Consultoria externa
Consultoria externa
Analise (custo, alta capacidade, independência, duração,
investimento pessoal, extensão do trabalho)
Consultores externos somente para tarefas específicas
(conhecimento especializado).
Pontos críticos: custos, contrato e controle sobre atividades.
Definição de objetivos precisos e pontos de controle.
Recomendável: bom relacionamento, transferência de
conhecimentos.
Ao término da auditoria: avaliação dos serviços (opiniões dos
consultores, dos membros da equipe e da gerencia da organização), com
o objetivo de evitar as mesmas falhas no futuro.
21.
22. Metodologia
Entrevistas
Entrevistas de apresentação
- Apresentação da equipe, cronograma das atividades, objetivos, áreas, período,
metodologias. Estrutura do relatório (resultado da auditoria).
Entrevistas de coleta de dados
- Coleta de dados sobrre os sistemas ou ambiente de informática. Nessa entrevista podem ser
identificados os pontos fortes e fracos de controle, falhas e possíveis irregularidades. O
entrevistado deve saber de antemão como serão usados esses dados e conhecer o relatórios a
certa da entrevista.
Entrevistas de discussão de deficiências encontradas
- Ao término das investigações são apresentadas as deficiências encontradas. Ao discuti-las
podem ser apresentadas justificativas para essas deficiências, podendo ser desconsiderada as
falhas ou relatadas as justificativas.
Entrevista de encerramento
- É apresentado o resumo dos resultados (pontos fortes, falhas mais relevantes, comentários,
recomendações).
23. Objetivos de controle e procedimentos de
auditoria
Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos
negativos a serem evitados, para atingirmos esses objetivos, são traduzidos em
procedimentos de auditoria.
Os objetivos de controle podem ter vários enfoques e podem ser motivados por
diversas razões:
Segurança – dados e sistemas importantes para a organização, onde a
confidencialidade, integridade e a disponibilidade são essenciais.
Atendimento a solicitações externas – verificação de indícios de irregularidade
motivados por denúncia ou solicitação de órgão superior.
Materialidade – alto valor econômico-financeiro dos sistemas computacionais.
Altos custos de desenvolvimento – sistemas de alto custos envolvem altos riscos.
Grau de envolvimento dos usuários – o não envolvimento dos usuários no
desenvolvimento de sistemas, acarreta sistemas que em geral não atendem
satisfatoriamente às suas necessidades.
Terceirização – efeitos da terceirização no ambiente de informática.
24. Execução de uma auditoria
Os resultados da auditoria (achados e conclusões) devem
ser suportados pela correta interpretação e análise
dessas evidências.
Evidência física – observações de atividades
desenvolvidas pelos funcionários e gerentes, sistemas em
funcionamento, local equipamentos, etc.
Evidência documental – resultado da extração de dados,
registro de transações, listagens, etc.
Evidência fornecida pelo auditado - transcrições de
entrevistas, cópias de documentos cedidos, fluxogramas,
políticas internas, e-mails trocados com a gerência,
justificativas, relatórios, etc.
Evidência analítica - comparações, cálculos e
interpretações de documentos.
25. Execução de uma auditoria – Boas
práticas
O auditor deve utilizar •Estar bem preparado para realizar a
palavras de questionamentos auditoria
como: •Tentar prever o máximo de
Como? (de que modo) situações possíveis
O que? (o fato) •Evitar surpresas ao auditado
Quando? (tempo) •Esclarecer todas as dúvidas sobre
uma não-conformidade
Quem? (pessoas)
•Buscar objetividade e fatos
Onde? (lugar) concretos (Evidências)
Por que? (motivos)
Mostre-me (Evidência)
26. Execução de uma auditoria – Boas
práticas
•Não atacar pessoas e sim
fatos concretos
•Motivar a identificação de
melhorias
•Persuadir, não impor
•O auditor não deve relacionar
pessoas à não-conformidades
ou deficiências
•Ser flexível quando
necessário
•Ser imparcial e objetivo para
obtenção dos fatos
27. Relatório Preliminar
Antes mesmo de iniciar os trabalhos
de campo, na fase do planejamento
da auditoria, são coletadas
informações preliminares sobre a
entidade, seus sistemas, os recursos
necessários, a composição da
equipe, metodologias, objetivos de
controle e procedimentos a serem
adotados. Uma estrutura de
relatório deve ser definida e todas
essas informações devem ser
transcritas para o relatório.
28. Relatório final
Estrutura
Dados da entidade auditada - nome, endereço, natureza jurídica, relação de responsáveis,
etc.
Síntese - um breve resumo do conteúdo. É útil para a alta direção obter uma visão geral e
rápida dos principais pontos da auditoria.
Dados da auditoria - objetivos, período de fiscalização, composição da equipe, metodologia
adotada, natureza da auditoria, e objeto (controles gerais, desenvolvimento de sistemas,
aplicativo específico, etc.).
Introdução - histórico da entidade, conclusões de auditorias anteriores, estrutura
hierárquica do departamento de informática, sua relação com outros departamentos,
descrição do ambiente computacional, evolução tecnológica, principais sistemas e
projetos.
Falhas detectadas - apresenta em detalhes, as falhas e irregularidades detectadas durante
a auditoria. Além das descrições, são apresentados comentários iniciais, justificativa do
auditado e o parecer final da equipe para cada falha (preferências e recomendações).
Conclusão - síntese dos pontos principais do relatório e as recomendações ou
determinações finais da equipe para a correção das falhas ou irregularidades encontradas.
Parecer da gerência superior - as gerências superiores podem dar seu parecer a respeito dos
achados e recomendações da equipe de auditores, concordando integralmente ou em
partes com os pontos de vista da auditoria, ou ainda discordando inteiramente.