Auditoria e Segurança - Aula 16 Fundamentos de Auditoria

(1)

IF987 – Auditoria e Segurança de

Sistemas de Informação

Prof. Francisco Airton cin.ufpe.br/~faps

Universidade Federal de Pernambuco Centro de Informática

(2)

O que veremos hoje....

• _{Fundamentos em Auditoria de Sistemas} de Informação

(3)

(4)

Conceito 1

(5)

Conceito 2

Auditoria é um exame cuidadoso e sistemático das atividades desenvolvidas em determinada empresa ou setor, cujo objetivo é averiguar se elas estão de acordo com as disposições planejadas e/ou estabelecidas previamente, se foram implementadas com eficácia e se

estão adequadas (em conformidade) à consecução dos objetivos.

EXTERNA x

(6)

Conceito 3

A função da auditoria de sistemas é promover adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos

nos sistemas de informação da empresa, bem como avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no

processamento dos mesmos.

A função da auditoria de sistemas é promover adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos

nos sistemas de informação da empresa, bem como avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no

(7)

Meu conceito....

if public void String auditar(){

if (trabalho_sendo_feito_corretamente && trabalho_sendo_feito_de_forma_eficaz){ System.out.println("Elogiar, e mostrar o que melhorou...")

} else {

System.out.println("Dedurar para diretoria os problemas e sugerir soluções"); }

(8)

• _{Em que departamento aplicar}

auditoria?

(9)

A auditoria nas organizações

Presidência Executiva Auditoria de Sistemas Diretoria Administrativa Diretoria Financeira Diretoria de Vendas Diretoria de tecnologia

(10)

Importância da auditoria de

sistemas

• _{Economia nos investimentos em sistemas} computadorizados

• _{Necessidade de garantir a segurança dos} computadores e seus sistemas

• Garantia do alcance da qualidade dos sistemas computadorizados

• Auxiliar a organização a avaliar e validar o ciclo administrativo

(11)

Dificuldades encontradas pela Auditoria de Sistemas na Empresa

• _{Defasagem tecnológica}

• Falta de bons profissionais • Falta de cultura da empresa

(12)

Tipos de Auditoria

• _{Durante o Desenvolvimento de Sistemas} • Auditoria de Sistemas em Produção

• Auditoria no ambiente tecnológico • _{Auditoria em eventos específicos}

(13)

Objetivos da auditoria segundo

COBIT

• _Integridade • Confidencialidade • Disponibilidade • _{Auditabilidade} • _{Versatilidade} • _{Manutenabilidade}

(14)

Etapas da atuação do auditor de sistemas

• _{Compreensão do ambiente}

• _{Análise do ambiente e determinação das situações mais sensíveis} • _{Elaboração de uma massa de testes}

• _{Aplicação da massa de testes}

• _{Emissão da opinião quanto ao ambiente auditado}

• _{Debate com os profissionais da área auditada para discussão das} alternativas recomendadas

• _{Acompanhamento da implantação da solução proposta} • _{Auditoria da solução implantada}

(15)

Perfil do Auditor de Sistemas

• _{Ser independente às áreas a serem} auditadas

• _{Ter formação em auditoria de}

computação, conhecendo o ambiente a ser auditado

(16)

Tendências da Auditoria de Sistemas na Organização

• _{Preocupação com a qualidade dos}

processos computadorizados – criação do Analista de Segurança da Informação e do Analista de Qualidade da Informação.

(17)

Conceitos de auditoria

• _{Ponto de Controle: Situação do ambiente computacional}

considerada pelo auditor como sendo de interesse para validação e avaliação.

• _{Controle Interno: Verificação e validação dos seguintes parâmetros} do Sistema de Informação:

– _{Fidelidade da informação em relação ao dado} – _{Segurança física}

– _{Segurança lógica} – _{Confidencialidade}

– _{Obediência à legislação em vigor} – _Eficiência

– _Eficácia

(18)

Organização do trabalho da

auditoria

Planejamento

• 1º Passo

– _{Conhecer o ambiente a ser auditado: Levantamento dos dados acerca} do ambiente computacional (fluxo de processamento, recursos

humanos e materiais envolvidos, arquivos processados, relatórios e telas produzidos).

• 2º Passo:

– _{Determinar os pontos de controle (processos críticos)}

• 3º Passo: Definição dos objetivos da auditoria:

– _{Técnicas a serem aplicadas} – _{Prazos de execução}

– _{Custos de execução}

(19)

Organização do trabalho da

auditoria

Planejamento

• _{4º Passo:}

– _{Estabelecimento de critérios para análise de risco} • _{5o. Passo:}

– _{Análise de Risco}

– _{Avaliar para cada ponto de controle o grau de risco apresentado para posterior} hierarquização: – _{Grau de Risco} • _{1 – Muito Fraco} • _{2 – Fraco} • _{3 – Regular} • _{4 – Forte} • _{5 – Muito forte} • _{6º Passo:}

(20)

Organização do trabalho da auditoria Execução

• _{1o. passo: Escolher a equipe.}

– _{Perfil e histórico profissional} – _{Experiência na atividade}

– _{Conhecimentos específicos} – _{Formação acadêmica}

– _{Linguas estrangeiras}

(21)

Organização do trabalho da

auditoria

Execução

• _{2o. passo: Programar a equipe}

– _{Gerar programas de trabalho}

– _{Selecionar procedimentos apropriados} – _{Incluir novos procedimentos}

– _{Classificar trabalhos} – _{Orçar tempo}

(22)

Organização do trabalho da

auditoria

Execução

• _{3o. passo: Execução dos trabalhos}

– _{Dividir as tarefas de acordo com a formação,} experiência e treinamento dos auditores

– _{Efetuar supervisão para garantir a qualidade} do trabalho e certificar que as tarefas foram feitas corretamente

(23)

Organização do trabalho da

auditoria

Execução

• 4o. passo: Revisão dos papéis

– _{Verificar pendências e rever o papel de cada} auditor para suprir as falhas encontradas

(24)

Organização do trabalho da

auditoria

Execução

• 5o. passo: Avaliação da equipe

– _{Avaliar o desempenho, elogiando os pontos} fortes e auxiliando no reconhecimento e

superação de fraquezas do auditor

– _{Ter um sistema de avaliação de desempenho} automatizado

(25)

Organização do trabalho da

auditoria

Documentação do trabalho

• Documentação de todo o processo de Auditoria de Sistemas executado.

(26)

Produtos gerados pela

Auditoria de sistemas

• _{Relatório de fraquezas de controle interno} • Certificado de controle interno

• Relatório de redução de custos • _{Manual de auditoria do ambiente} • _{Documentos auxiliares}

(27)

Relatório de Fraquezas de

controle interno

• _{Objetivo do projeto de auditoria} • Pontos de controle auditados

• Conclusão alcançada a cada ponto de controle

(28)

Certificado de Controle Interno

• _{Indica se o ambiente está em boa,}

razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.

(29)

Relatório de redução de custos

• _{Tem por objetivo explicitar as economias} financeiras a serem feitas com a adoção das recomendações efetuadas. Serve de base para a realização das análises de retorno de investimento e do

(30)

Manual da auditoria do

ambiente auditado

• _{Armazena o planejamento da auditoria, os} pontos de controle testados e serve como referência para futuras auditorias.

Compõe-se de toa a documentação anterior já citada.

(31)

Apresentação dos resultados

da auditoria à alta

administração

• _{Objetividade na transmissão dos resultados}

• _{Esclarecimento das discussões realizadas entre a}

auditoria e os auditados

• _{Clareza nas recomendações das alternativas de solução}

• _{Coerência da atuação da Auditoria}

• _{Apresentação da documentação gerada}

(32)

Arquivos auxiliares

• _{Irá conter toda a documentação do} ambiente e dos trabalhos realizados

como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.

(33)

E o salário ó

• _{Os salários de um Auditor de Sistemas,} dependendo da região e da

especialização podem atingir de R$ 4.000 à R$ 12.000