RESUMO 2ª EDIÇÃO (PG 15-89) – JOSHUA ONOME IMONIANA - IFBA

ASI – Auditoria de Sistemas de Informação SI – Sistemas de Informação TAAC - Técnica de auditoria assistida por

computador

1. Fundamentos de Auditoria de Sistemas de Informações.......................................................4-8;

2. Padrões e código de ética para ASI................9-10; 3. Desenvolvimento de equipe de auditoria sistemas

de informação.................................................11-12; 4. Controles internos e avaliações:...................13-19; 5. Ferramentas e Técnicas de Auditoria de TI...20-25; 6. Auditoria de Controles Organizacionais e

Operacionais..................................................26-29;

1.1 Histórico de Sistemas de Informação: Cálculos no ano 5000 a.C ;

Invenção dos cartões perfurados(punch cards) por Herman Hollerith;

Construção do ENIAC durante a 2ª Guerra Mundial;

Mudanças provocadas durante o ano de 1950 em todos ambientes de negócios criaram uma grande complexidade que causou a adoção de sistemas de informação para o processamento de dados;

1.2 Conceito de Sistemas:

Sistema é um conjunto de elementos inter-relacionados com um objetivo: produzir relatórios para ajudar na tomada de decisões;

1.3 Conceito de Auditoria de Tecnologia de Informação:

Tem objetivo de garantir que informações em forma eletrônica são confiáveis;

1.4 Abordagem de Auditoria de Sistemas de Informações:

1.4.1 Abordagem ao redor do computador : Baseia-se na confrontação de documentos-fonte com

resultados esperados; 1.4.2 Abordagem através do computador: O auditor acompanha o processamento por dentro do

computador; 1.4.3 Abordagem com o computador: Uma abordagem com o computador completamente

assistida;

1.5 Organização do Trabalho de Auditoria de Tecnologia de Informação: Planejamento

Escolher a equipe

Programar a equipe

Execução de trabalhos e supervisão

Revisão de papéis e trabalhos

Atualização do conhecimento permanente

Avaliação da equipe

1.6 Documentação dos papéis de trabalhos :

Papéis de trabalhos constituem conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas.

Figuras que possuem acesso:

▪ Sócio: responsável pelo serviço de auditoria;

▪ Encarregado supervisor e gerente: chefe da equipe de auditoria que deve cadastrar identificação da auditoria;

▪ Preparador (assistente ou sênior de auditoria): capta informações e diretrizes de auditoria nos banco de dados central;

2.1 Comitê de padrões da associação de controle e audit de tecnologia de informação:

-Conforme padrões emitidos: Responsabilidade, autoridade e prestação de contas;

Independência profissional;

Ética profissional e padrões;

Competência;

Planejamento;

Emissão de relatório;

Atividades de follow-up;

2.2 Associação de auditores de sistemas e controles(ISACA): - código dos membros - 1. apoiar a implementação e encorajar cumprimento de

padrões;

2. exercer suas funções com objetividade;

3. servir aos interesses dos stakeholders de forma legal e honesta;

4. manter privacidade e confidencialidade de informações;

5. manter competência nas respectivas especialidades;

6. informar as partes envolvidas

7. apoiar conscientização profissional dos stakeholders;

3.1 problemática de desenvolvimento “...”: Crescente complexidade de ambientes de TI e

dificuldades e relutância de auditores com relação a adaptação para auditar estes ambientes;

3.1.1 Programa de desenvolvimento de carreira de auditoria de TI: Programa utilizado por auditores independentes, que

contratam formandos em áreas afins, e os treinam;

Treinamento dividido em duas partes:(i) categoria com pouca ou nenhuma experiência em TI; e (ii) aqueles que possuem experiência;

Carreira de auditor de TI:

Nível 1- Básico: trainee;

Nível 2 – Fundação: assistentes;

Nível 3 – Focal: seniores e supervisores;

Nível 4 – Integração: gerentes;

Nível 5 – Aconselhamento: sócio de auditoria;

4.1 Fundamentos de controle internos em SI:

Conforme Instituto Americano de Contadores Públicos: “planos organizacionais e conjuntos de métodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a exatidão e veracidade registros contábeis, promover efetividade de SI e eficiência operacional ”;

4.1.1 Controles internos em PED, princípios e objetivos:

Supervisão;

Registro e comunicação;

Segregação de funções;

Classificação de informação;

Tempestividade;

Auditoriabilidade;

4.1.1 Controles internos em PED, princípios e objetivos:(II)

Controle independente;

Monitoramento;

Implantação;

Contingência;

Custo efetivo;

4.1.1.1 Tipos de controle:

Controles administrativos e gerências - controles que possuem a separação de funções ou responsabilidades;

Controles de segurança e privacidade;

▪ Propriedades: SIGILO, INTEGRIDADE, DISPONIBILIDADE, CONTABILIDADE e AUDITORIABILIDADE;

4.1.1.1 Tipos de controle:(II)

Controles de preparação e captação de dados – controle que é exercido no começo de cada atividade de processamento de dados;

Controles de entrada de dados – controle de inputs (entrada) de dados, que visa reduzir dúvidas que possam existir no ponto de entrada;

Controles de processamento – são programados e construídos no computador de forma segura;

4.1.1.1 Tipos de controle:(III)

Controles de saída e de emissão de relatórios – procedimentos de manuseio de output;

Controles de gravação e recuperação de dados – este controle certifica a integridade de dados recebidos dentro da data-base e qualquer indivíduo que pode acessá-lo com o mínimo esforço;

4.2 Avaliação dos procedimentos de controles internos e avaliações: Trabalho executado pelo auditor que tenha

habilidade em TI 4.3 Análise de risco de avaliação de sistema

de controle interno: Metodologia adotada pelos auditores de TI para

saber, com antecedência, quais ameaças puras ou prováveis em um ambiente de TI de uma organização;

5.1 Ferramentas:

Auxiliam na extração, sorteio, seleção de dados e transações;

5.1.1 Software generalista de auditoria de TI:

ACL

IDEA

Audimation

Galileo

Pentana

5.1.2 Softwares especializados de auditoria: programa desenvolvido especificamente;

5.1.3 Programas utilitários: Geralmente banco de dados: SQL, Dbase 2, etc.

5.2 Técnicas: Variadas metodologias que são chamadas de

técnicas, que proporcionam várias vantagens: produtividade, custo, qualidade assegurada, valor agregado, benefícios corporativos e benefícios para o auditor.

5.2.1 Dados de teste: Conhecido por test data ou test deck, envolve um

conjunto de dados de entrada especialmente preparados com objetivos de testar os controles programados e controles de sistema aplicativo;

5.2.2 Facilidade de teste integrado: Conhecida por Integrated Test Facility(ITF), ela usa

dados de testes integrados aos ambientes reais de processamento utilizando-se versões correntes da produção.

5.2.3 Simulação paralela:

Envolve o uso de um programa especialmente desenvolvido que atenda as lógicas necessárias para um aplicativo devidamente testado.

5.2.4 Lógica de auditoria embutida nos sistemas:

Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.

5.2.5 Rastreamento e mapeamento: Envolve desenvolvimento e implementação de

uma trilha de auditoria para acompanhar certos pontos da lógica de processamento de algumas transações;

5.2.6 Análise lógica de programação: Técnica que envolve verificação da lógica de

programação para certificar que instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas e aplicativos;

5.3 Aplicação de técnica de auditoria assistida por computador (TAAC):

5.4 Documentação dos papéis de trabalhos TAAC:

Deve conter informações suficientes para descrever testes e conclusões. São por exemplo: planejamento, execução e evidenciação;

6.1 Introdução:

Controles organizacionais – são controles administrativos instalados nos processos de fluxo de transações econômicas;

6.2 Políticas Organizacionais:

Políticas de responsabilidades;

Política de continuidade de negócios (Business Continuity Plan - BCP);

6.3 Descrição de Cargos:

Supervisão de infraestrutura de TI;

Administração de redes;

Administração de banco de dados;

Administração de dados;

Administração de segurança;

Análise, programação e manutenção de sistemas;

Design para WEB;

6.3 Descrição de Cargos:(II)

Operador de console;

Operadores de conversão de dados;

Bibliotecários;

Suporte técnico;

Supervisão de Help desk;

Grupo de controle de dados;

Supervisão de Restart/Recovery;

6.4 Objetivos de auditoria:

O principal objetivo de auditoria de controles organizacionais de área de informática é testar a grande essência de controle interno, promover eficiência das operações e fomentar maior adesão às políticas prescritas pela gerência com maios foco na responsabilidade;

6.5 Programa de auditoria – Controle Organizacionais e Operacionais;