Embed Size (px)
Citation preview
AUDITORIA EM SISTEMAS DE INFORMAÇÃO
Marco CuriPedro Grandi
Rodrigo Rabello
APRESENTAÇÃO
Introdução Conceitos. Auditoria em Sistemas de Informação.
Fundamentos. Metodologia. Ferramentas. Técnicas. Melhores Práticas. Referências.
AUDITORIA - INTRODUÇÃO
Avaliar, revisar processos realizados atualmente e comparar com o previamente estabelecido. Pode gerar recomendações. Objetivos da organização está sendo seguido? É a maneira mais eficaz, eficiente?
Dois tipos de auditoria: Auditoria Interna: Realizada por uma área pertencente a própria
organização. Auditoria Externa: Realizada por grupos devidamente certificados, que
avalia se a organização está seguindo uma norma específica. Auditoria pode ser realizada em todas as camadas da
organização Operacional. Tático Estratégico.
AUDITORIA EM SISTEMAS DE INFORMAÇÃO Segue a mesma linha dos outros tipos de auditoria
– Avaliar e Revisar os Sistemas de Informação da organização.
Avalia a adequação das tecnologias e sistemas de informação na organização.
Pontos que podem ser avaliados: Segurança. Corretude na utilização dos recursos. Como as informações são inseridas no sistema.
Devido ao alto custo para criar ou adquirir um SI, a extração ao máximo dos recursos é essencial.
AUDITORIA EM SI - FUNDAMENTOS
A auditoria em Sistemas de Informação deve se basear nos seguintes tópicos: Integridade: Informações e transações confiáveis. Confidencialidade: Controle de acesso, restrições, permissões.
Limitar quem pode ter acesso a quais informações. Acuidade: Transações precisam ser validadas, evitando que
informações erradas sejam inseridas no sistema gerando dados inconsistentes.
Disponibilidade: Sistema não pode ficar indisponível. Sistema indisponível, gera perda de receita. Necessidade de um SLA.
Auditabilidade: Sistemas devem gerar logs de operação, indicando, por exemplo, usuário, data e hora da execução. Os logs permitem que sejam feitas trilhas de auditorias.
Versatibilidade: Sistema deve se adaptar facilmente aos processos da empresa, permitindo de forma clara e simples a importação e exportação de dados.
Manutenibilidade: Procedimentos operacionais devem ter controle de testes, implantação e documentação e novos sistemas ou modificações. Evitando que mudanças afetem o sistema em produção.
AUDITORIA EM SI - FUNDAMENTOS
A auditoria pode ser realizada em diferentes momentos: Auditoria durante o desenvolvimento do sistema:
Focado nos conceitos básicos da Engenharia de Software, desde a análise de requisitos até a metodologia de desenvolvimento (Método Ágil, Cascata, Processo Unificado).
Auditoria de sistemas em produção: Contempla o momento em que o sistema foi colocado em produção,
analisando sua segurança, tolerância à falhas. Auditoria no ambiente tecnológico:
Analisa o sistema voltado a estrutura organizacional, levando em consideração custos, utilização dos equipamentos e contratos.
Auditoria em eventos específicos: Faz uma revisão de pontos importantes de auditorias anteriores que
tiveram algum problema ou que não foram analisados.
AUDITORIA EM SI - METODOLOGIA
Para realizar uma auditoria, é seguido alguns passos: Planejamento e Controle do Projeto de Auditoria
de Sistemas de Informação: Definir as ações a serem executadas e os recursos
necessários. Seguindo as diretrizes da alta administração, formar
dois grupos: Primeiro grupo:
Formado pelo gerente da auditoria, gerente da área usuária responsável pelo sistema, pelo gerente do sistema e pelo gerente da área de informática.
Cabe a este grupo as atividades gerenciais, como os procedimentos a serem utilizados e o acompanhamento e controle dos resultados obtidos.
Segundo grupo: Realizará a auditoria propriamente dita, utilizando ferramentas e métodos. Composto por auditories e técnicos da área de informática e usuária.
AUDITORIA EM SI - METODOLOGIA
Levantamento do Sistema de Informação a ser Auditado:
Levantamento das informações relevantes sobre o sistema, para entender as macro características.
Este levantamento é feito através de entrevistas, análise de documentos (DFD, MER), dicionários de dados, casos de uso, diagramas.
Esta fase tem como principal objetivo descobrir o escopo do sistema, para facilitar a abrangência da auditoria, e diminuir a possibilidade de execução de trabalhos em áreas não pertencentes ao escopo.
AUDITORIA EM SI - METODOLOGIA
Identificação e Inventário dos Pontos de Controle:
Identificar os pontos de controle que devem ser validados no sistema.
Estes pontos podem ser encontrados nos documentos de entrada, relatórios de saída, banco de dados, pontos de integração.
Cada ponto de controle deverá ter seus objetivos e funções descritas e termos de controle interno.
Em cada ponto de controle, também deve ser identificados seus parâmetros, pontos fracos.
Ao fim desta fase, deve-se encaminhar os pontos de controle para o grupo de coordenação fazer a validação da pertinência e eventual triagem.
AUDITORIA EM SI - METODOLOGIA
Priorização dos Pontos de Controle do Sistema Auditado:
A seleção dos pontos de controle podem ser feita com base em:
Grau de risco. Existência de ameaças. Disponibilidade de recursos.
Esta seleção também precisa ser validada ao longo do trabalho junto com o grupo de coordenação.
AUDITORIA EM SI - METODOLOGIA
Avaliação dos Pontos de Controle: Fase em que a auditoria é realmente realizada. Realização dos testes de validação dos pontos
de controle, seguindo os parâmetros e especificações determinadas nas fases anteriores.
Para cada objetivo e característica do ponto de controle, é utilizada uma técnica e ferramenta específica.
Utilizar ferramentas e técnicas certas é essencial para o sucesso da auditoria.
AUDITORIA EM SI - METODOLOGIA
Conclusão da Auditoria: Criação de um relatório contendo:
Diagnóstico da situação atual dos pontos de controle. As fraquezas do controle interno.
Quando um ponto de controle apresenta fraquezas, ele é transformado em um Ponto de Auditoria.
Sobre este Ponto de Auditoria, são apontadas recomendações para solução ou é feita a mitigação deste ponto no relatório da auditoria.
Cada Ponto de Auditoria tem um prazo para tomada de decisão, após este período, é feita uma revisão e avaliação pelos analistas e usuários.
AUDITORIA EM SI - METODOLOGIA
Acompanhamento da Auditoria: Esta fase é efetuada enquanto:
Todos os pontos de controle forem analisados. Todas as recomendações tenham sido executadas. Todas as fraquezas tenham sido eliminadas.
AUDITORIA EM SI - FERRAMENTAS
As ferramentas de auditorias são muito importantes para: Extração de dados. Seleção de dados. Validar transações. Evidenciar discrepâncias e desvios.
No mercado, estão disponíveis algumas dessas ferramentas: Ferramentas Generalistas de Auditoria de Tecnologia da
Informação. Ferramentas Especializadas em Auditorias. Programas Utilitários em Geral.
AUDITORIA EM SI - FERRAMENTAS
Ferramentas Generalistas de Auditoria de Tecnologia da Informação. Softwares de uso em ambiente batch, e desempenham
funções necessárias para o auditor, como: Processamento, simulação, análise de amostras. Geram dados estatísticos, sumarizam dados. Apontam duplicidades.
Vantagens: Processamento de vários arquivos ao mesmo tempo. Processamento de arquivos em diferentes formatos. Integração sistêmica com vários tipos de software e hardware. Reduz a dependência do auditor com o técnico em informática.
Desvantagens: Impossibilidade de executar cálculos complexos. Não pode ser utilizado em ambiente online.
AUDITORIA EM SI - FERRAMENTAS
Ferramentas Especializadas em Auditorias. Softwares desenvolvidos para executar tarefas
espefícias. Vantagens:
Atendem à demandas espefícicas como: Crédito imobiliários. Leasing. Cartão de crédito.
Desvantagens: Custo elevado. Problemas para atualização do software.
AUDITORIA EM SI - FERRAMENTAS
Programas Utilitários em Geral. Desempenham funções comuns, como:
Ordenar arquivos. Concatenar textos. Sumarizar. Gerar relatórios.
Porém, estes softwares não são desenvolvidos direcionados à auditoria.
Não possuem verificação de totais de controle. Não fazem a gravação de trilhas de auditorias.
AUDITORIA EM SI - TÉCNICAS
A seguir, algumas técnicas utilizadas na auditoria de sistemas de informação: Dados de Teste:
Envolve o uso de um conjunto de dados com o objetivo de testar as funcionalidade de entrada de dados do sistema.
Após o processamento do arquivo, é verificado o resultado obtido com o planejado.
AUDITORIA EM SI - TÉCNICAS
Facilidade de Teste Integrado: Melhor aplicado em ambientes real-time. Como funciona:
Os dados são introduzidos no sistema. Utilizando entidades fictícias, como funcionários fantasmas na folha
de pagamento e clientes inexistentes nas contas a receber. Por fim, os dados no processamento de transações são
confrontados com os dados fictícios e os resultados, comparados com os pré-determinados.
Vantagens: Pode ser realizado no sistema em produção, não sendo necessário
um ambiente de processamento exclusivo. Desvantagens:
Os efeitos das transações precisam ser estornados, gerando um esforço extra.
AUDITORIA EM SI - TÉCNICAS
Simulação Paralela: Simula a execução do programa em produção.
Faz o processamento das transações. E faz a comparação dos resultados obtidos.
Vantagens: Visto que o programa é executado em ambiente real,
não há custo para gerar dados fictícios. Desvantagens:
Atualmente, esta técnica é feita com apenas uma porção das transaçòes da aplicação, não gerando um resultado muito expressivo.
AUDITORIA EM SI - TÉCNICAS
Lógica de Auditoria Embutida nos Sistemas: Incluir a lógica de auditoria nos sistemas na
fase de desenvolvimento. Relatórios de auditoria. Logs de operação.
Vantagens: As atividades podem ser monitoradas pelo auditor
permanentementes. Desvantagens:
A implantação da lógica de auditoria gera um custo adicional no desenvolvimento dos sistemas.
Pode gerar uma perda no desempenho do sistema.
AUDITORIA EM SI - TÉCNICAS
Rastreamento e Mapeamento: Consiste em criar e implementar uma trilha de auditoria para
acompanhar os principais pontos da lógica de processamento das transações críticas, registrar seu comportamento e resultados obtidos.
As trilhas de auditorias são rotinas de controle que permitem recuperar de forma inversa as informações processadas, por meio da reconstituição da composição das mesmas.
Vantagens: Ajuda na avaliação de controles internos que devem ser seguidos.
Desvantagens: Exige que o auditor tenha habilidade avançada de tecnologia de
informação para que possa interpretar as lógicas de programação.
AUDITORIA EM SI – MELHORES TÉCNICAS A auditoria de sistemas é uma parte da auditoria
realizada na organização como um todo. Como não há um padrão aceito para auditoria de
sistemas de informação, algumas associações trazem algumas regras para efetuar a auditoria. Comitê de Padrões da Associação de Controle e Auditoria de
Tecnologia da Informação: Responsabilidade, Autoridade e Prestação de contas. Independência profissional. Ética profissional e Padrões. Competência. Planejamento. Emissão de Relatórios. Atividades de Follow-Up.
AUDITORIA EM SI – REFERÊNCIAS
Livro Segurança e Auditoria em Sistemas de Informação, Mauricio Rocha Lyra, Editora Ciência Moderna, 2008.
