3 - Auditoria02

PROFESSOR: ANTONYALISON ANTONY RIBEIRO

E-mail: [email protected]

SEGURANÇA DA INFORMAÇÃO

CONHECENDO O AUDITADO

• Compreender o negócio é essencial para identificar

os riscos e controles.

• Direcionar os esforços da auditoria de forma mais

eficiente.

• Entender o negócio

– Processos

– Pessoas

– Tecnologia



• Algumas questões a serem respondidas

– Existem problemas que o auditor deveria conhecer

melhor?

– Há alguma previsão de mudança na organização?

– Quais são os principais sistemas e bases de

dados?

– Quem o auditor deve entrevistar para obter as

informações de que necessita?



• Fontes de informação:

– Levantamento de auditorias anteriores

– Relatórios de auditorias realizadas

– Relatórios de auditoria interna

– Discussão com a gerência e com outros auditores

que já realizaram trabalhos na unidade a ser auditada

– Orçamento da unidade auditada

– Documentos de estratégia de TI ou Plano Diretor

de TI

– Legislação e normas aplicáveis

– Entrevistas

– Internet


MATRIZ DE PLANEJAMENTO

• Instrumento para organizar as informações

relevantes do planejamento de um auditoria.

• Homogeneização do entendimento da equipe e

demais envolvidos quanto a:

– O objetivo do trabalho

– Os passos a serem seguidos

– A estratégia metodológica a ser adotada

• Orienta os integrantes da equipe nas fases de

execução e de elaboração do relatório.


MATRIZ DE PLANEJAMENTO


ELABORAÇÃO DA MATRIZ DE PLANEJAMENTO

• Elaborar o objetivo da auditoria, após o diagnóstico

da situação, e determinar a linha de investigação,

mediante a formulação das questões de auditoria.

• Determinar, para cada questão de auditoria,

possíveis achados, ou seja, onde se deseja chegar

com a investigação.

• Identificar as informações requeridas e onde as obter

(fontes de informação)


ELABORAÇÃO DA MATRIZ DE PLANEJAMENTO

• Elaborar procedimentos e descrevê-los passo a

passo, para colher informações, analisá-las e obter as

evidências com objetivo de responder às questões de

auditoria.

• Identificar o membro da equipe responsável pelo

procedimento.

• Especificar o período de realização do procedimento

(cronograma).

• Identificar os objetos que foram analisados (fase de

execução).


EXECUÇÃO DA AUDITORIA

• Etapas da fase de execução:

– Aplicação dos Procedimento definidos

– Acumulação de Evidências

– Desenvolvimento dos Achados

– Elaboração da Matriz de Achados


CONTROLES GERAIS DE TI

• Objetivo dos Controles

– Prevenir fraudes, erros, desperdícios, abusos

– Proteger o ativo

– Assegurar a obediência às diretrizes, planos,

normas e procedimentos.

– Assegurar a validade e integridade dos dados para

tomada de decisão

– Caráter preventivo

– Voltados para a correção de desvios

– Instrumentos auxiliares de gestão em todos os

níveis hierárquicos



• Consistem na estrutura, políticas e procedimentos

que se aplicam aos sistemas aplicativos e base de

dados de uma organização.

• Influem no ambiente em que os sistemas aplicativos

e os controles irão operar.

• Buscam garantir a integridade dos sistemas com um

todo, incluindo todos os aplicativos, dados e arquivos.



• Durante uma auditoria em que seja necessário

avaliar algum sistema ou base de dados em particular,

é preciso inicialmente avaliar os controles gerais que

atuam sobre a estrutura computacional da unidade

auditada.

• Um ambiente de controle estável e bem gerenciado

reforça a efetividade dos controles de aplicativos.



• Políticas e padrões organizacionais, especialmente

relacionados à TI

• Organização e administração da TI

• Segregação de funções

• Procedimentos de Segurança

• Controles Físicos (de Acesso e Ambiente)

• Controles Lógicos de Acesso



• Desenvolvimento de sistema e alterações de

programas

• Plano de Continuidade de Negócios (PCN)

• Computação de usuário final


NORMAS E PADRÕES EM AUDITORIA DE TI

• Constituição Federal

• Legislação Brasileira

• CobIT – Governança de TI

• NBR ISO/IEC 38500 – Governança de TI

• ITIL – Serviços de TI

• NBR ISO/IEC 20000 – Serviços de TI

• Série NBR ISO/IEC 27000 – Segurança da

Informação

• Outros padrões


AUDITORIA DE SISTEMAS

• Aborda aspectos de integridade, disponibilidade,

confidencialidade, aderência às normas

(conformidade), controles internos, entrada,

processamento e saída de dados, efetividade,

satisfação e usabilidade de um sistema de informação

em particular.

• Sistemas ainda em desenvolvimento podem ser

avaliados e acompanhados.



• Principais enfoques

– Entendimento do negócio: compreender o negócio é

essencial para identificar os riscos e avaliar os

controles;

– Verificação da aderência dos aplicativos à logica e

às regras de negócio;

– Análise do controles gerais aplicados aos sistemas;

– Análise dos controles internos dos aplicativos;

– Verificação da satisfação dos usuários.



• Características

– Avaliação das funcionalidades do sistema

– Diversidade de situações: cada sistema implementa

funcionalidades específicas do negócio para o qual foi

desenvolvido.

– Necessidade de conhecimento da legislação

relacionada ao negócio suportado pelo sistema.

– Necessidade de conhecimentos específicos de

Tecnologia da Informação.

– Avaliação de aspectos de conformidade e aspectos

Operacionais.

– Em geral, são auditorias que demandam mais tempo

que auditorias de contratações, por exemplo.


CONTROLES DE APLICATIVOS

• Têm como objetivo garantir que o processamento

seja confiável e exato (integridade das transações) a

partir de controles incorporados diretamente em

programas aplicativos nas três áreas de operação

(entrada, processamento e saída de dados).

• Os controles são específicos para cada aplicativo

pois estão relacionados com a lógica do negócio

implementada.



• Os controles de acesso podem variar entre

diferentes aplicativos.

• Os controles gerais oferecem alguma garantia de

que os objetivos gerais de controle são satisfeitos,

agindo como fundação, sobre a qual os controles de

aplicativo específicos podem ser projetados.



• Controles de Entrada de Dados

– São projetados para garantir que os dados são

convertidos para um formato padrão e inseridos na

aplicação de forma precisa, completa e tempestiva.

– Eles devem detectar transações não autorizadas,

incompletas, duplicadas ou errôneas, e assegurar que

sejam controladas até serem corrigidas.

– São também conhecidos como críticas de entrada

de dados. Críticas de formatos (data, número), regras

de negócio, regras de integridade.



• Controles de Processamento

– Devem assegurar que todos os dados sejam

processados e que o aplicativo seja executado com

sucesso, usando os arquivos, as rotinas e a lógica de

processamento corretos.

– As rotinas de tratamento de erros devem ser

capazes de identificar transações com erros, gerando

mensagens claras e objetivas, e suspender seu

processamento sem afetar a execução de outras

transações válidas.



• O controle deve ser capaz de registrar a ocorrência

dos principais erros para que seja possível identificá-

los tempestivamente e corrigi-los.



• Controles de Saída de Dados

– Devem garantir a integridade e a correta e

tempestiva distribuição dos dados de saída.

– Permitem a revisão e confronto das contagens de

registro de saída com totais de controle para garantir

que os dados não foram inseridos ou omitidos

indevidamente (ex.: totalizadores).

– Devem existir controles para classificar relatórios

considerados confidenciais, críticos ou de acesso

geral, além de restringir o acesso de dados

confidenciais somente às pessoas autorizadas.


SATISFAÇÃO DOS USUÁRIOS

• Busca levantar informações sobre a eficácia e a

eficiência dos sistemas sob o ponto de vista de seus

usuários.

• Verificado por meio de questionários e entrevistas.

• Pode revelar diversos aspectos, problemas,

inconformidades, entre outros fatos que não seriam

detectados apenas pela análise técnica dos sistemas

e seus controles (ex.: deficiências de treinamento).

• Pode ser utilizado para obter indícios sobre a

confiabilidade dos dados.


AUDITORIA

• Aborda aspectos gerenciais da área de TI e visa

certificar-se de que a gestão dos serviços oferecidos,

dos investimentos de TI, das pessoas integrantes, das

políticas, do processo de controle e da própria

estrutura organizacional concorrem para que a

organização atinja seus objetivos de forma eficiente.

• Governança pressupõe gestão contínua dos riscos

tecnológicos.

Documents

3 - Auditoria02