Auditoria de Sistemas-revisado

Auditoria de Sistemas

Auditoria de sistemasAuditoria de sistemas


Auditoria de SistemasAuditoria de Sistemas

Prof. Flávio Muniz Morais – PMPProf. Flávio Muniz Morais – PMP

Qualquer dúvida nas atividades da disciplina :Qualquer dúvida nas atividades da disciplina :[email protected] – 61 91429384 – 61 91429384

Colocar no assunto do e-mail UNICESP - [nome - disciplina] e ligar informando que Colocar no assunto do e-mail UNICESP - [nome - disciplina] e ligar informando que enviou o material para evitar desencontrosenviou o material para evitar desencontros

Aulas - dias 26/5, 9, 14, 16 e 21/6Aulas - dias 26/5, 9, 14, 16 e 21/6

Avaliação – Entrega do trabalho na última aula - 10 pontosAvaliação – Entrega do trabalho na última aula - 10 pontos

Evitar Notebooks durante as explicações e manter os celulares desligados Evitar Notebooks durante as explicações e manter os celulares desligados ou no modo silencioso – Pode atender fora de sala ou no modo silencioso – Pode atender fora de sala

Obs.: 4 chamadas por dia – Qualquer necessidade específica favor informarObs.: 4 chamadas por dia – Qualquer necessidade específica favor informar


AvaliaçãoAvaliaçãoIndividual ou em duplas – Valor: 10 pontosIndividual ou em duplas – Valor: 10 pontosEntre os roteiros apresentados*, cada grupo (ou indivíduo) deverá Entre os roteiros apresentados*, cada grupo (ou indivíduo) deverá selecionar ao menos dois e, com base nesses itens selecionados, selecionar ao menos dois e, com base nesses itens selecionados, planejar, executar e apresentar um relatório de auditoria, aplicável a planejar, executar e apresentar um relatório de auditoria, aplicável a uma organização escolhida pelo grupo, contendo no mínimo:uma organização escolhida pelo grupo, contendo no mínimo:Planejamento - Objetivos da auditoria, escopo da auditoria, equipe Planejamento - Objetivos da auditoria, escopo da auditoria, equipe necessária, áreas envolvidas , técnicas e período de trabalhonecessária, áreas envolvidas , técnicas e período de trabalhoExecução – Roteiro elaborado preenchido com o resultado da Execução – Roteiro elaborado preenchido com o resultado da avaliação, as evidências coletadas e eventuais observaçõesavaliação, as evidências coletadas e eventuais observaçõesRelatório de auditoria – resumo do trabalho executado, informações Relatório de auditoria – resumo do trabalho executado, informações e recomendações sobre os pontos verificados e conclusão da e recomendações sobre os pontos verificados e conclusão da auditoria.auditoria.

Enviar o trabalho até o último dia de aula da disciplina para Enviar o trabalho até o último dia de aula da disciplina para [email protected] ou entregar pessoalmente em meio magnético. ou entregar pessoalmente em meio magnético. Não serão recebidos documentos impressos.Não serão recebidos documentos impressos.* nos roteiros apresentados, * nos roteiros apresentados, (C-Controle e P de Passo)(C-Controle e P de Passo)


AuditoriaAuditoria

““Processo sistemático, documentado e independente para obter Processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las objetivamente para determinar a evidências de auditoria e avaliá-las objetivamente para determinar a extensão na qual os critérios da auditoria são atendidos” (NBR ISO extensão na qual os critérios da auditoria são atendidos” (NBR ISO

19011:2002)19011:2002)

Confirmam a implementação de mudanças aprovadas, ações Confirmam a implementação de mudanças aprovadas, ações corretivas, reparo de defeitos e ações preventivas.corretivas, reparo de defeitos e ações preventivas.

Podem ser:Podem ser:

Internas (ou de primeira parte) – Conduzidas pela própria organização, ou em seu Internas (ou de primeira parte) – Conduzidas pela própria organização, ou em seu nome, para análise crítica pela Direção e outros propósitos internos e podem nome, para análise crítica pela Direção e outros propósitos internos e podem formar a base para uma autodeclaração de conformidade da organização.formar a base para uma autodeclaração de conformidade da organização.

Externas (de segunda ou terceira parte):Externas (de segunda ou terceira parte):Segunda Parte – Realizadas por partes que tem algum interesse na Segunda Parte – Realizadas por partes que tem algum interesse na

organização tais como clientes ou outras pessoas em seu nome. Pode ser organização tais como clientes ou outras pessoas em seu nome. Pode ser realizada, por exemplo, por força de contrato.realizada, por exemplo, por força de contrato.

Terceira Parte – Realizadas por organizações externas de auditoria Terceira Parte – Realizadas por organizações externas de auditoria independente, tais como organizações que provêem certificados ou registros de independente, tais como organizações que provêem certificados ou registros de conformidade (ISO, SOX, CMMI etc)conformidade (ISO, SOX, CMMI etc)


AuditoriaAuditoria

Critérios de auditoriaCritérios de auditoriaConjunto de políticas, procedimentos ou requisitos. São Conjunto de políticas, procedimentos ou requisitos. São

usados como uma referência contra a qual a evidência de usados como uma referência contra a qual a evidência de auditoria é comparada.auditoria é comparada.

Evidência de AuditoriaEvidência de AuditoriaRegistros, apresentação de fatos ou outras informações, Registros, apresentação de fatos ou outras informações,

pertinentes aos critérios de auditoria e verificáveis. Pode ser pertinentes aos critérios de auditoria e verificáveis. Pode ser qualitativa ou quantitativa.qualitativa ou quantitativa.

Constatações de auditoriaConstatações de auditoriaResultados da avaliação da evidência de auditoria Resultados da avaliação da evidência de auditoria

coletada, comparada com os critérios de auditoria. Indicam a coletada, comparada com os critérios de auditoria. Indicam a conformidade ou a não-conformidade com os critérios de conformidade ou a não-conformidade com os critérios de auditoria ou oportunidade para melhoria.auditoria ou oportunidade para melhoria.


AuditoriaAuditoria

Plano de auditoriaPlano de auditoria

Descrição das atividades e arranjos necessários para uma Descrição das atividades e arranjos necessários para uma auditoriaauditoria

Escopo da AuditoriaEscopo da Auditoria

Abrangência e limites de uma auditoria. O escopo da Abrangência e limites de uma auditoria. O escopo da auditoria geralmente inclui uma descrição das localizações auditoria geralmente inclui uma descrição das localizações físicas, unidades organizacionais, atividades e processos, físicas, unidades organizacionais, atividades e processos, bem como o período de tempo cobertobem como o período de tempo coberto

Conclusão de auditoriaConclusão de auditoria

Resultado de uma auditoria apresentado pela equipe de auditoria Resultado de uma auditoria apresentado pela equipe de auditoria após levar em consideração os objetivos da auditoria e todas as após levar em consideração os objetivos da auditoria e todas as constatações de auditoriaconstatações de auditoria



1) “A auditoria é uma atividade que engloba o exame das 1) “A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades operações, processos, sistemas e responsabilidades

gerenciais de uma determinada entidade, com o intuito de gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas verificar sua conformidade com certos objetivos e políticas

institucionais, orçamentos, regras, normas e padrões.”institucionais, orçamentos, regras, normas e padrões.”DIAS, Cláudia Segurança e Auditoria da Tecnologia da Informação. Axcel Books do Brasil, Rio de Janeiro, DIAS, Cláudia Segurança e Auditoria da Tecnologia da Informação. Axcel Books do Brasil, Rio de Janeiro,

2000.2000.

2) A auditoria de sistemas é o ramo da auditoria que revisa e 2) A auditoria de sistemas é o ramo da auditoria que revisa e avalia os controles internos informatizados, visando:avalia os controles internos informatizados, visando:

• • proteger os ativos da organização;proteger os ativos da organização;• • manter a integridade e autenticidade dos dados;manter a integridade e autenticidade dos dados;• • atingir eficaz e eficientemente os objetivos da atingir eficaz e eficientemente os objetivos da organização.organização.



•Auditoria de SI é instrumento da direção, dos Auditoria de SI é instrumento da direção, dos acionistas, do ambiente externo e dos usuários acionistas, do ambiente externo e dos usuários para:para:

• opinar, avaliar e validar a qualidade dos opinar, avaliar e validar a qualidade dos dados, das informações e dos sistemas que a dados, das informações e dos sistemas que a geram e mantêm, em termos de segurança, geram e mantêm, em termos de segurança, confiabilidade e eficiência.confiabilidade e eficiência.

•Pode ser Interna ou ExternaPode ser Interna ou Externa

•Exige conhecimentos de TIExige conhecimentos de TI


Forma de atuação da auditoriaForma de atuação da auditoria

Compreensão do ambiente: levantamento e Compreensão do ambiente: levantamento e documentaçãodocumentação

Análise do ambiente, situações sensíveis: análise Análise do ambiente, situações sensíveis: análise de riscode risco

Elaboração de massa de testes: escopo do teste, Elaboração de massa de testes: escopo do teste, dados de teste, resultados padrão esperadosdados de teste, resultados padrão esperados

Aplicação do teste: simulação do comportamento Aplicação do teste: simulação do comportamento do sistema e processosdo sistema e processos

Análise do teste e julgamento dos resultadosAnálise do teste e julgamento dos resultados Emissão de opinião sobre o ambiente: Emissão de opinião sobre o ambiente:

recomendaçõesrecomendações


Forma de atuação da auditoriaForma de atuação da auditoria

Discussão com os profissionais do ambiente Discussão com os profissionais do ambiente sobre as alternativas de solução: ajuste ou sobre as alternativas de solução: ajuste ou substituiçãosubstituição

Acompanhamento da implantação da alternativa Acompanhamento da implantação da alternativa escolhidaescolhida

Auditoria da funcionalidade da solução Auditoria da funcionalidade da solução implantadaimplantada

Novas auditorias de sistemas (follow-up)Novas auditorias de sistemas (follow-up)


O que Auditar?O que Auditar?

•OperaçõesOperações

•ProcessosProcessos

•SistemasSistemas

•Responsabilidades gerenciaisResponsabilidades gerenciais

•Recursos humanos e materiaisRecursos humanos e materiais


Desafios da Auditoria de SistemasDesafios da Auditoria de Sistemas

• Auditores defasados em relação à evolução Auditores defasados em relação à evolução tecnológicatecnológica

• Falta de profissionais com experiência Falta de profissionais com experiência combinada de auditoria e TIcombinada de auditoria e TI

• Organizações não tiram proveito adequado das Organizações não tiram proveito adequado das auditorias – foco em punição ao invés da auditorias – foco em punição ao invés da evolução corporativaevolução corporativa


• Complexidade crescente do ambiente computacionalComplexidade crescente do ambiente computacional• Plataforma alta x plataforma baixaPlataforma alta x plataforma baixa

• Terminais x estações autônomasTerminais x estações autônomas

• Desenvolvimento em camadasDesenvolvimento em camadas

• Redes de computadores – grande quantidade de Redes de computadores – grande quantidade de protocolos de comunicaçõesprotocolos de comunicações

• Distribuição geográfica de sistemas, dados e/ou Distribuição geográfica de sistemas, dados e/ou usuáriosusuários

Ambiente atual

Desafios da Auditoria de SistemasDesafios da Auditoria de Sistemas


Controle InternoControle InternoControle interno em um sistema de informação:Controle interno em um sistema de informação:““Planos organizacionais e coordenação de um Planos organizacionais e coordenação de um

conjunto de métodos e medidas adotados numa conjunto de métodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a empresa, a fim de salvaguardar o ativo, verificar a

exatidão e a veracidade de registros contábeis, exatidão e a veracidade de registros contábeis, promover a efetividade de sistemas de informações promover a efetividade de sistemas de informações

contábeis e eficiência operacional, assim como contábeis e eficiência operacional, assim como fomentar uma grande adesão às políticas da fomentar uma grande adesão às políticas da

organização”organização”(Instituto Americano de Contadores Públicos)(Instituto Americano de Contadores Públicos)


Controle InternoControle Interno

Ênfase da auditoria nos processos Ênfase da auditoria nos processos computacionais e na computacionais e na administraçãoadministração de TI de TI

Certificar a qualidade intrínseca dos sistemas e Certificar a qualidade intrínseca dos sistemas e dos processosdos processos

Por exemplo:Por exemplo: Determinado sistema tem como objetivo reduzir o Determinado sistema tem como objetivo reduzir o

número de funcionários envolvidos em determinada número de funcionários envolvidos em determinada atividade. Este objetivo foi atingido?atividade. Este objetivo foi atingido?


Controle Interno e AuditoriaControle Interno e Auditoria Administração por confrontoAdministração por confronto

Ambiente de contestação, buscando otimização, eficiência, eficácia e Ambiente de contestação, buscando otimização, eficiência, eficácia e segurançasegurançaComo podemos melhorar a TI?Como podemos melhorar a TI?

Administração por exceçãoAdministração por exceção onde atuar?onde atuar? que subconjunto avaliar e validar?que subconjunto avaliar e validar? otimização da análise de riscootimização da análise de risco

Vamos verificar o que se apresentar fora do esperado.Vamos verificar o que se apresentar fora do esperado. Ponto de ControlePonto de Controle

subconjunto submetido à auditoriasubconjunto submetido à auditoria alto riscoalto risco

Vamos monitorar o funcionamento de determinados pontos de controle.Vamos monitorar o funcionamento de determinados pontos de controle.


Parâmetros de Controle InternoParâmetros de Controle Interno Controle Interno Controle Interno

SistemasSistemas Fidelidade da Fidelidade da

informação em relação informação em relação ao dado;ao dado;

Segurança física;Segurança física; Segurança lógica;Segurança lógica; Confidencialidade;Confidencialidade; Segurança ambiental;Segurança ambiental; Obediência à Obediência à

legislação.legislação.

Controle Interno Controle Interno AdministrativoAdministrativo Eficiência;Eficiência; Eficácia;Eficácia; Obediência às políticas Obediência às políticas

da administração.da administração.


Ponto de ControlePonto de Controle

É a situação do ambiente computacional É a situação do ambiente computacional caracterizada como de interesse para validação e caracterizada como de interesse para validação e avaliação do(a)avaliação do(a)sistemasistemamódulo de um sistemamódulo de um sistemabanco de dadosbanco de dadostabela de um banco de dados (arquivo)tabela de um banco de dados (arquivo)coluna de uma tabela (campo)coluna de uma tabela (campo)linhas na tabela (registros)linhas na tabela (registros)Recursos humanos, materiais, tecnológicosRecursos humanos, materiais, tecnológicos


Identificação dentro do ambienteIdentificação dentro do ambiente Caracterização em termos de recursos, Caracterização em termos de recursos,

processos e resultadosprocessos e resultados Análise de riscoAnálise de risco

parâmetros do controle internoparâmetros do controle internofraquezas passíveis de ocorrerfraquezas passíveis de ocorrer

Auditoria do Ponto de ControleAuditoria do Ponto de Controle


Ciclo de Vida do Ponto de ControleCiclo de Vida do Ponto de Controle

Ponto de Controle

identificado

Ponto de Controle

identificadoFraquezas?Fraquezas?Avaliar?Avaliar? Ponto de

AuditoriaPonto de Auditoria

InícioInício

FimFim

AuditoriaAuditoria

S

N N

S


Análise de RiscoAnálise de Risco Conhecer o ambiente a ser auditadoConhecer o ambiente a ser auditado

Identificar os pontos vulneráveis do ambienteIdentificar os pontos vulneráveis do ambientelevantamento de dados levantamento de dados

fluxo do processamentofluxo do processamentoinventário de recursos humanos e materiaisinventário de recursos humanos e materiaisarquivos processados (bancos de dados)arquivos processados (bancos de dados)relatórios e consultas produzidosrelatórios e consultas produzidos

estudo da documentação do ambienteestudo da documentação do ambientecomplementação de informaçõescomplementação de informaçõesvisita ao ambiente computacionalvisita ao ambiente computacionalentrevistas com os profissionais do ambienteentrevistas com os profissionais do ambiente


Planejamento da auditoriaPlanejamento da auditoria Planejamento da auditoriaPlanejamento da auditoria

Conhecimento do ambiente computacionalConhecimento do ambiente computacionalDeterminação dos Pontos de ControleDeterminação dos Pontos de ControleEstabelecimento dos objetivos de validação e Estabelecimento dos objetivos de validação e

avaliação dos Pontos de Controleavaliação dos Pontos de Controletécnicas de auditoria (entrevista, verificação de técnicas de auditoria (entrevista, verificação de

documentos, testes de sistema etc)documentos, testes de sistema etc)prazos de execução da validaçãoprazos de execução da validaçãocustos incorridos com a validaçãocustos incorridos com a validaçãonível de tecnologia exigida do auditornível de tecnologia exigida do auditornatureza da fraqueza do controle internos natureza da fraqueza do controle internos

passível de ser alcançadapassível de ser alcançada


Planejamento da auditoriaPlanejamento da auditoria

Planejamento da auditoria Planejamento da auditoria Análise da sensibilidade de cada Ponto de Análise da sensibilidade de cada Ponto de

ControleControlePontos de Controle, Parâmetro, Fraqueza Pontos de Controle, Parâmetro, Fraqueza

do Controle, Técnica de Auditoria a aplicardo Controle, Técnica de Auditoria a aplicarHierarquização dos Pontos de ControleHierarquização dos Pontos de ControleDocumentação do processo de planejamento Documentação do processo de planejamento

da auditoriada auditoria


Produtos GeradosProdutos Gerados

Relatórios de Fraquezas de Controle InternoRelatórios de Fraquezas de Controle InternoObjetivos do projeto de auditoriaObjetivos do projeto de auditoriapontos de controle auditadospontos de controle auditadosconclusão sobre cada ponto de controleconclusão sobre cada ponto de controlealternativas de solução propostas (pontos de alternativas de solução propostas (pontos de

recomendação)recomendação) Certificado de Controle InternoCertificado de Controle Interno


Técnicas de Auditoria de SistemasTécnicas de Auditoria de Sistemas QuestionárioQuestionário Simulação de dados Simulação de dados

(test-deck)(test-deck) Visita in locoVisita in loco Mapeamento Mapeamento

estatísticoestatístico Rastreamento(seguir a Rastreamento(seguir a

trilha)trilha) EntrevistaEntrevista

Análise relatório / telaAnálise relatório / tela Simulação paralelaSimulação paralela Análise de logAnálise de log Análise de programa Análise de programa

fontefonte SnapshotSnapshot


Técnicas de Análise de SistemasTécnicas de Análise de Sistemas

Condicionadas ao ambiente computacional Condicionadas ao ambiente computacional existente e ao conhecimento do ASexistente e ao conhecimento do AS

Normalmente uso combinado de diversas técnicas, Normalmente uso combinado de diversas técnicas, padrões da área de ASpadrões da área de AS

Conhecimento básico de simulação e modelagem Conhecimento básico de simulação e modelagem é importante diferencialé importante diferencial

Uso da técnica reflete plano de auditoria Uso da técnica reflete plano de auditoria desenvolvidodesenvolvido

Correlaciona arquivos, tabula e analisa o conteúdoCorrelaciona arquivos, tabula e analisa o conteúdo Usualmente gerando cópia da base realUsualmente gerando cópia da base real


Etapas da Auditoria da Base de DadosEtapas da Auditoria da Base de Dados Análise do fluxo do sistemaAnálise do fluxo do sistema Identificação do arquivo, tabela ou BD a ser auditadoIdentificação do arquivo, tabela ou BD a ser auditado Entrevista analista / usuárioEntrevista analista / usuário Identificação código / layout arquivoIdentificação código / layout arquivo Elaboração sistema para auditoria / definição do sw Elaboração sistema para auditoria / definição do sw

para auditoriapara auditoria Cópia BD / arquivo para auditoriaCópia BD / arquivo para auditoria Aplicação do sistema de auditoriaAplicação do sistema de auditoria Análise dos resultadosAnálise dos resultados Emissão do relatórioEmissão do relatório Documentação do processo de auditoriaDocumentação do processo de auditoria


Questionário para auditoriaQuestionário para auditoria

Elaboração de conjunto de perguntas com Elaboração de conjunto de perguntas com objetivo de verificar determinado Ponto de objetivo de verificar determinado Ponto de ControleControle

Verificar aderência aos parâmetros de Controle Verificar aderência aos parâmetros de Controle InternoInterno

Dados quantitativos, se possívelDados quantitativos, se possível Via rede, entrevista, in loco, etc...Via rede, entrevista, in loco, etc... Etapas:Etapas:

analisar Ponto de Controle e elaborar analisar Ponto de Controle e elaborar questionário / pré-testequestionário / pré-teste


Questionário para auditoriaQuestionário para auditoria

Etapas:Etapas:Definir população / selecionar amostraDefinir população / selecionar amostraInstruções de como responderInstruções de como responderDistribuir / remeter questionáriosDistribuir / remeter questionáriosControlar recebimentoControlar recebimentoAnalisar respostas Analisar respostas Relacionar com parâmetros de avaliação do Relacionar com parâmetros de avaliação do

Ponto de ControlePonto de ControleElaborar relatórioElaborar relatório


Simulação de Dados (Test-Deck)Simulação de Dados (Test-Deck)

Técnica mais utilizada para testes em sistemas Técnica mais utilizada para testes em sistemas computacionaiscomputacionais

Uso de técnicas de simulação de modelagem de Uso de técnicas de simulação de modelagem de sistemassistemas

Elaboração de conjunto de dados de teste a ser Elaboração de conjunto de dados de teste a ser submetido ao sistema ou processo (rotina) sob submetido ao sistema ou processo (rotina) sob auditoriaauditoria

Simular situações corretas e incorretasSimular situações corretas e incorretas


Simulação de Dados (Test-Deck)Simulação de Dados (Test-Deck)

Etapas:Etapas: compreensão do módulo do sistemacompreensão do módulo do sistema simulação dos dados de testesimulação dos dados de teste elaboração de formulários de controle do testeelaboração de formulários de controle do teste transcrição dos dados do testetranscrição dos dados do teste preparação do ambiente de testepreparação do ambiente de teste processamento dos dados de testeprocessamento dos dados de teste avaliação dos resultadosavaliação dos resultados emissão de opinião sobre o Ponto de Controleemissão de opinião sobre o Ponto de Controle


Visita in-locoVisita in-loco Corresponde à atuação pessoal do auditor junto Corresponde à atuação pessoal do auditor junto

a sistemas, procedimentos e instalações do a sistemas, procedimentos e instalações do ambiente auditadoambiente auditado

Procedimentos formais:Procedimentos formais: marcar hora / definir elemento surpresamarcar hora / definir elemento surpresa mínimo questionário semi-estruturadomínimo questionário semi-estruturado registros formais / latentesregistros formais / latentes registro de hora / duração / participantes (ata)registro de hora / duração / participantes (ata) analisar respostas e situação identificadaanalisar respostas e situação identificada relatório de fraquezas do Controle Internorelatório de fraquezas do Controle Interno


EntrevistasEntrevistas Reunião entre auditor e auditadoReunião entre auditor e auditado Uso conjunto com questionário, visita in loco, test-Uso conjunto com questionário, visita in loco, test-

deck, etc.deck, etc. Etapas:Etapas:

analisar Ponto de Controle e preparar reunião com auditadoanalisar Ponto de Controle e preparar reunião com auditado elaborar questionário / roteiroelaborar questionário / roteiro definir procedimentos (chefias / individuais)definir procedimentos (chefias / individuais) realizar reunião / respostas / latenterealizar reunião / respostas / latente preparar ata da reunião / distribuirpreparar ata da reunião / distribuir análise das respostasanálise das respostas emissão relatório das fraquezas do PCemissão relatório das fraquezas do PC


Mapeamento estatístico - mappingMapeamento estatístico - mapping

Técnica de computação utilizada para efetuar Técnica de computação utilizada para efetuar verificações durante o processamento de verificações durante o processamento de programasprogramas

Inserção de rotinas específicas nos sistemas em Inserção de rotinas específicas nos sistemas em uso ou software de apoiouso ou software de apoio

Verificar situações tipo:Verificar situações tipo: rotinas mais utilizadas (freqüências)rotinas mais utilizadas (freqüências) rotinas fraudulentas / irregulares / desativadasrotinas fraudulentas / irregulares / desativadas


Rastreamento de programasRastreamento de programas

Técnica que possibilita seguir o caminho de uma Técnica que possibilita seguir o caminho de uma transação durante o processamento de um transação durante o processamento de um programaprograma

Lista a seqüência de instruções do código Lista a seqüência de instruções do código executada para determinada rotinaexecutada para determinada rotina

Identificar rotinas fraudulentasIdentificar rotinas fraudulentas Diversos ambientes implementam funções tipo Diversos ambientes implementam funções tipo

tracing, usadas no debug de sistemas em tracing, usadas no debug de sistemas em desenvolvimentodesenvolvimento


Análise de relatório / telasAnálise de relatório / telas

Técnica típica de avaliação de resultado, no Técnica típica de avaliação de resultado, no tocante a eficácia do sistematocante a eficácia do sistema

Usualmente envolvem desativação / redefinição Usualmente envolvem desativação / redefinição total / parcial de telas / relatórios / documentos total / parcial de telas / relatórios / documentos (procedimentos)(procedimentos)


Análise de relatório / telasAnálise de relatório / telas

Etapas: Etapas: Elaborar check-list de aderência processo de Elaborar check-list de aderência processo de

negócio suportado / telas, relatórios, docsnegócio suportado / telas, relatórios, docsMarcar reunião com usuários / gruposMarcar reunião com usuários / gruposRealizar reuniões / registrar observações e Realizar reuniões / registrar observações e

conteúdos latentesconteúdos latentesAnalisar respostasAnalisar respostasFormar e emitir opinião sobre Controle Interno Formar e emitir opinião sobre Controle Interno

envolvidoenvolvido


Simulação paralelaSimulação paralela

Elaboração de programa para simular as funções Elaboração de programa para simular as funções de rotina do sistema sob auditoriade rotina do sistema sob auditoria

Utiliza mesmos dados do mundo real e confronta Utiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk)resultados (inverso do test-desk)

Etapas:Etapas:levantamento e identificação, via documentação levantamento e identificação, via documentação

do sistema, da rotina auditada e arquivos / BDdo sistema, da rotina auditada e arquivos / BDelaboração programa de simulaçãoelaboração programa de simulaçãopreparação do ambiente computacional para preparação do ambiente computacional para

executar programa (dados reais)executar programa (dados reais)


Análise de log/accountingAnálise de log/accounting

Arquivo gerado pelo sistema (SO, BD, Sistema) Arquivo gerado pelo sistema (SO, BD, Sistema) que contém registros da utilização do hardware que contém registros da utilização do hardware ou software em questãoou software em questão

Permite verificação da intensidade de uso dos Permite verificação da intensidade de uso dos dispositivos componentes de uma configuração, dispositivos componentes de uma configuração, rede e software aplicativo e de apoiorede e software aplicativo e de apoio

Facilidade típica de ambientes computacionais Facilidade típica de ambientes computacionais que pode e deve ser utilizada e incrementada que pode e deve ser utilizada e incrementada pelo Auditor de Sistemaspelo Auditor de Sistemas


Análise de log/accountingAnálise de log/accounting

Normalmente utilizado como indicadores de Normalmente utilizado como indicadores de qualidade e performance do ambiente qualidade e performance do ambiente computacional, planejamento de capacidade de computacional, planejamento de capacidade de configuração, rede, etc.configuração, rede, etc.

Requer conhecimento de informática e trabalho Requer conhecimento de informática e trabalho conjunto com pessoal da área de computaçãoconjunto com pessoal da área de computação

Uso: identificar ineficiência no uso de recursos, Uso: identificar ineficiência no uso de recursos, desbalanceamento de configuração, erros de desbalanceamento de configuração, erros de programas ou operação, uso de programas programas ou operação, uso de programas fraudulentos ou indevidos, acessos indevidos. fraudulentos ou indevidos, acessos indevidos.


Análise de programa fonteAnálise de programa fonte Análise visual do código fonte, também chamado de Análise visual do código fonte, também chamado de

“teste de mesa”“teste de mesa” Envolve necessidade de profundo conhecimento do Envolve necessidade de profundo conhecimento do

ambiente computacional por parte do Auditor de ambiente computacional por parte do Auditor de SistemasSistemas

Permite verificar:Permite verificar:uso de normas de padronização de código de uso de normas de padronização de código de

rotinas, arquivos, BD, programas, etc.rotinas, arquivos, BD, programas, etc.qualidade do sistema e documentaçãoqualidade do sistema e documentaçãovícios de programação e atendimentos às vícios de programação e atendimentos às

características da linguagem / ambiente características da linguagem / ambiente


SnapshotSnapshot

Técnica que fornece listagem ou gravação do Técnica que fornece listagem ou gravação do conteúdo das variáveis do programa em conteúdo das variáveis do programa em determinada rotina em execuçãodeterminada rotina em execução

Corresponde a um dump de memória, na área de Corresponde a um dump de memória, na área de dadosdados

Necessita de software específico rodando junto Necessita de software específico rodando junto com o aplicativo (como tracing e mapping)com o aplicativo (como tracing e mapping)

Técnica usada na depuração de programas, que Técnica usada na depuração de programas, que requer forte conhecimento do ambiente requer forte conhecimento do ambiente computacional pelo AScomputacional pelo AS


Auditoria do Ambiente ComputacionalAuditoria do Ambiente Computacional

Sistemas em operaçãoSistemas em operação Desenvolvimento de sistemasDesenvolvimento de sistemas Centro de computaçãoCentro de computação

GestãoGestãoSegurançaSegurança


Princípios de Segurança da InformaçãoPrincípios de Segurança da Informação

IntegridadeIntegridade As informações devem manter suas características, As informações devem manter suas características,

devendo ser alteradas apenas por quem tiver devendo ser alteradas apenas por quem tiver permissão adequadapermissão adequada

DisponibilidadeDisponibilidade As informações devem estar disponíveis aos usuários As informações devem estar disponíveis aos usuários

autorizados, no momento oportunoautorizados, no momento oportuno

ConfidencialidadeConfidencialidade As informações devem estar disponíveis apenas aos As informações devem estar disponíveis apenas aos

usuários autorizadosusuários autorizadosA segurança não deve custar mais do que o ativo que está sendo protegido


Classificação das Informações (exemplos)Classificação das Informações (exemplos)PúblicaPúblicaInternaInternaConfidencialConfidencialRestritaRestrita

Conscientização Permanente de UsuáriosConscientização Permanente de Usuários Acordos de Não-DivulgaçãoAcordos de Não-Divulgação Código de ÉticaCódigo de Ética

Segurança de InformaçõesSegurança de Informações


Plano de ContingênciaPlano de Contingência

Planejamento Estratégico da ContinuidadePlanejamento Estratégico da Continuidade Análise de Riscos PotenciaisAnálise de Riscos Potenciais Planos de Contingência DepartamentaisPlanos de Contingência Departamentais Comunicação e TreinamentoComunicação e Treinamento Validação e TestesValidação e Testes Revisões PeriódicasRevisões Periódicas


Testes de SegurançaTestes de Segurança

Mapeamento da redeMapeamento da rede Scan de vulnerabilidadesScan de vulnerabilidades Testes de intrusãoTestes de intrusão Teste e avaliação de segurançaTeste e avaliação de segurança Quebra de senhasQuebra de senhas Revisão de logsRevisão de logs Verificação de integridadeVerificação de integridade Detecção de virusDetecção de virus


Software de AuditoriaSoftware de Auditoria

É um software que provê meios para obter É um software que provê meios para obter acesso e manipulação de dados mantidos em acesso e manipulação de dados mantidos em sistemas computacionaissistemas computacionais

Obtenção direta de evidências viabilizando Obtenção direta de evidências viabilizando julgamento de qualidade sobre dados / julgamento de qualidade sobre dados / aplicações / sistemasaplicações / sistemas

Motivado pelos problemas da diversidade dos Motivado pelos problemas da diversidade dos ambientes computacionais ambientes computacionais


Software de AuditoriaSoftware de Auditoria Funcionalidades típicas:Funcionalidades típicas:

acesso a arquivos (diferentes formatos)acesso a arquivos (diferentes formatos) reorganização de arquivos (sort/merge)reorganização de arquivos (sort/merge) seleção (extração de dados qualificados, SQL)seleção (extração de dados qualificados, SQL) estatísticas (random, amostragem, análises estatísticas (random, amostragem, análises

estatísticas básicas, exportação de dados)estatísticas básicas, exportação de dados) aritméticas (operadores aritméticos, cálculos)aritméticas (operadores aritméticos, cálculos) análise de freqüência e estratificaçãoanálise de freqüência e estratificação reporting (padrões, estatísticas gerais atributos reporting (padrões, estatísticas gerais atributos

selecionados, com problemas) selecionados, com problemas)


Software de AuditoriaSoftware de Auditoria Atividades apoiadas:Atividades apoiadas:

exame da qualidade dos dadosexame da qualidade dos dados exame da qualidade dos processos (simulações exame da qualidade dos processos (simulações

paralelas)paralelas) examinar a existência das entidades que os dados examinar a existência das entidades que os dados

representam (modelo-mundo real via amostragem representam (modelo-mundo real via amostragem selecionada no sw)selecionada no sw)

revisões analíticas (pasta de auditoria)revisões analíticas (pasta de auditoria)extração de dadosextração de dadosanálise de regressão (tendências e modelagem)análise de regressão (tendências e modelagem)criar BD dados chave e indicadores chave temporaiscriar BD dados chave e indicadores chave temporais


Software de AuditoriaSoftware de Auditoria

Limitações funcionaisLimitações funcionais somente auditoria ex post (após fato, somente após o somente auditoria ex post (após fato, somente após o

processamento)processamento) limitação para verificar a lógica de processamento - limitação para verificar a lógica de processamento -

verifica dados, não a lógicaverifica dados, não a lógica limitação para verificar propensão a erroslimitação para verificar propensão a erros

envolve avaliação da qualidade do desenvolvimento envolve avaliação da qualidade do desenvolvimento para suportar mudanças no sistemapara suportar mudanças no sistema


FimFim

Documents

Auditoria de Sistemas-revisado