1 / 24

AUDITORIA EM SISTEMAS DE INFORMAÇÃO

Marco Curi Pedro Grandi Rodrigo Rabello. AUDITORIA EM SISTEMAS DE INFORMAÇÃO. Introdução Conceitos . Auditoria em Sistemas de Informação . Fundamentos . Metodologia . Ferramentas . Técnicas . Melhores Práticas . Referências . APRESENTAÇÃO.

lei
Télécharger la présentation

AUDITORIA EM SISTEMAS DE INFORMAÇÃO

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Marco Curi Pedro Grandi Rodrigo Rabello AUDITORIA EM SISTEMAS DE INFORMAÇÃO

  2. Introdução • Conceitos. • Auditoria emSistemas de Informação. • Fundamentos. • Metodologia. • Ferramentas. • Técnicas. • MelhoresPráticas. • Referências. APRESENTAÇÃO

  3. Avaliar, revisarprocessosrealizadosatualmente e comparar com o previamenteestabelecido. • Podegerarrecomendações. • Objetivosdaorganizaçãoestásendoseguido? • É a maneiramaiseficaz, eficiente? • Doistipos de auditoria: • Auditoria Interna: Realizadaporumaáreapertencente a própriaorganização. • Auditoria Externa: Realizadaporgruposdevidamentecertificados, queavalia se a organizaçãoestáseguindoumanormaespecífica. • Auditoria pode ser realizadaemtodas as camadasdaorganização • Operacional. • Tático • Estratégico. AUDITORIA - INTRODUÇÃO

  4. Segue a mesmalinha dos outrostipos de auditoria – Avaliar e RevisarosSistemas de Informaçãodaorganização. • Avalia a adequação das tecnologias e sistemas de informaçãonaorganização. • Pontosquepodem ser avaliados: • Segurança. • Corretudenautilização dos recursos. • Como as informaçõessãoinseridas no sistema. • Devidoao alto custoparacriarouadquirir um SI, a extraçãoaomáximo dos recursos é essencial. AUDITORIA EM SISTEMAS DE INFORMAÇÃO

  5. A auditoria emSistemas de Informaçãodeve se basearnosseguintestópicos: • Integridade: Informações e transaçõesconfiáveis. • Confidencialidade: Controle de acesso, restrições, permissões. Limitarquempodeteracesso a quaisinformações. • Acuidade: Transaçõesprecisam ser validadas, evitandoqueinformaçõeserradassejaminseridas no sistemagerando dados inconsistentes. • Disponibilidade: Sistemanãopodeficarindisponível. Sistemaindisponível, geraperda de receita. Necessidade de um SLA. • Auditabilidade: Sistemasdevemgerar logs de operação, indicando, porexemplo, usuário, data e horadaexecução. Os logs permitemquesejamfeitastrilhas de auditorias. • Versatibilidade: Sistemadeve se adaptarfacilmenteaosprocessosdaempresa, permitindo de forma clara e simples a importação e exportação de dados. • Manutenibilidade: Procedimentosoperacionaisdevemtercontrole de testes, implantação e documentação e novossistemasoumodificações. Evitandoquemudançasafetem o sistemaemprodução. AUDITORIA EM SI - FUNDAMENTOS

  6. A auditoria pode ser realizadaemdiferentesmomentos: • Auditoria durante o desenvolvimento do sistema: • FocadonosconceitosbásicosdaEngenharia de Software, desde a análise de requisitosaté a metodologia de desenvolvimento (MétodoÁgil, Cascata, ProcessoUnificado). • Auditoria de sistemasemprodução: • Contempla o momentoemque o sistemafoicolocadoemprodução, analisandosuasegurança, tolerância à falhas. • Auditoria no ambientetecnológico: • Analisa o sistemavoltado a estruturaorganizacional, levandoemconsideraçãocustos, utilização dos equipamentos e contratos. • Auditoria emeventosespecíficos: • Fazumarevisão de pontosimportantes de auditoriasanterioresquetiveramalgumproblemaouquenãoforamanalisados. AUDITORIA EM SI - FUNDAMENTOS

  7. Para realizaruma auditoria, é seguidoalgunspassos: • Planejamento e Controle do Projeto de Auditoria de Sistemas de Informação: • Definir as ações a seremexecutadas e osrecursosnecessários. • Seguindo as diretrizesdaaltaadministração, formardoisgrupos: • Primeirogrupo: • Formadopelogerenteda auditoria, gerentedaáreausuáriaresponsávelpelosistema, pelogerente do sistema e pelogerentedaárea de informática. • Cabe a estegrupo as atividadesgerenciais, comoosprocedimentos a seremutilizados e o acompanhamento e controle dos resultadosobtidos. • Segundo grupo: • Realizará a auditoria propriamentedita, utilizandoferramentas e métodos. • Compostoporauditories e técnicosdaárea de informática e usuária. AUDITORIA EM SI - METODOLOGIA

  8. Levantamento do Sistema de Informação a ser Auditado: • Levantamento das informaçõesrelevantessobre o sistema, paraentender as macro características. • Este levantamento é feitoatravés de entrevistas, análise de documentos (DFD, MER), dicionários de dados, casos de uso, diagramas. • Estafase tem como principal objetivodescobrir o escopo do sistema, parafacilitar a abrangênciada auditoria, e diminuir a possibilidade de execução de trabalhosemáreasnãopertencentesaoescopo. AUDITORIA EM SI - METODOLOGIA

  9. Identificação e Inventário dos Pontos de Controle: • Identificarospontos de controlequedevem ser validados no sistema. • Estes pontospodem ser encontradosnosdocumentos de entrada, relatórios de saída, banco de dados, pontos de integração. • Cadaponto de controledeveráterseusobjetivos e funçõesdescritas e termos de controleinterno. • Emcadaponto de controle, tambémdeve ser identificadosseusparâmetros, pontosfracos. • Aofimdestafase, deve-se encaminharospontos de controlepara o grupo de coordenaçãofazer a validaçãodapertinência e eventual triagem. AUDITORIA EM SI - METODOLOGIA

  10. Priorização dos Pontos de Controle do SistemaAuditado: • A seleção dos pontos de controlepodem ser feita com base em: • Grau de risco. • Existência de ameaças. • Disponibilidade de recursos. • Estaseleçãotambémprecisa ser validadaaolongo do trabalhojunto com o grupo de coordenação. AUDITORIA EM SI - METODOLOGIA

  11. Avaliação dos Pontos de Controle: • Faseemque a auditoria é realmenterealizada. • Realização dos testes de validação dos pontos de controle, seguindoosparâmetros e especificaçõesdeterminadasnasfasesanteriores. • Para cadaobjetivo e característica do ponto de controle, é utilizadaumatécnica e ferramentaespecífica. • Utilizarferramentas e técnicascertas é essencialpara o sucessoda auditoria. AUDITORIA EM SI - METODOLOGIA

  12. Conclusãoda Auditoria: • Criação de um relatóriocontendo: • Diagnósticodasituaçãoatual dos pontos de controle. • As fraquezas do controleinterno. • Quando um ponto de controleapresentafraquezas, ele é transformadoem um Ponto de Auditoria. • Sobreeste Ponto de Auditoria, sãoapontadasrecomendaçõesparasoluçãoou é feita a mitigaçãodesteponto no relatórioda auditoria. • Cada Ponto de Auditoria tem um prazoparatomada de decisão, apósesteperíodo, é feitaumarevisão e avaliaçãopelosanalistas e usuários. AUDITORIA EM SI - METODOLOGIA

  13. Acompanhamentoda Auditoria: • Estafase é efetuadaenquanto: • Todosospontos de controleforemanalisados. • Todas as recomendaçõestenhamsidoexecutadas. • Todas as fraquezastenhamsidoeliminadas. AUDITORIA EM SI - METODOLOGIA

  14. As ferramentas de auditoriassãomuitoimportantespara: • Extração de dados. • Seleção de dados. • Validartransações. • Evidenciardiscrepâncias e desvios. • No mercado, estãodisponíveisalgumasdessasferramentas: • FerramentasGeneralistas de Auditoria de TecnologiadaInformação. • FerramentasEspecializadasemAuditorias. • ProgramasUtilitáriosemGeral. AUDITORIA EM SI - FERRAMENTAS

  15. FerramentasGeneralistas de Auditoria de TecnologiadaInformação. • Softwares de usoemambiente batch, e desempenhamfunçõesnecessáriaspara o auditor, como: • Processamento, simulação, análise de amostras. • Geram dados estatísticos, sumarizam dados. • Apontamduplicidades. • Vantagens: • Processamento de váriosarquivosaomesmo tempo. • Processamento de arquivosemdiferentesformatos. • Integraçãosistêmica com váriostipos de software e hardware. • Reduz a dependência do auditor com o técnicoeminformática. • Desvantagens: • Impossibilidade de executarcálculoscomplexos. • Nãopode ser utilizadoemambiente online. AUDITORIA EM SI - FERRAMENTAS

  16. FerramentasEspecializadasemAuditorias. • Softwaresdesenvolvidosparaexecutartarefasespefícias. • Vantagens: • Atendem à demandasespefícicascomo: • Créditoimobiliários. • Leasing. • Cartão de crédito. • Desvantagens: • Custoelevado. • Problemasparaatualização do software. AUDITORIA EM SI - FERRAMENTAS

  17. ProgramasUtilitáriosemGeral. • Desempenhamfunçõescomuns, como: • Ordenararquivos. • Concatenartextos. • Sumarizar. • Gerarrelatórios. • Porém, estessoftwaresnãosãodesenvolvidosdirecionados à auditoria. • Nãopossuemverificação de totais de controle. • Nãofazem a gravação de trilhas de auditorias. AUDITORIA EM SI - FERRAMENTAS

  18. A seguir, algumastécnicasutilizadasna auditoria de sistemas de informação: • Dados de Teste: • Envolve o uso de um conjunto de dados com o objetivo de testar as funcionalidade de entrada de dados do sistema. • Após o processamento do arquivo, é verificado o resultadoobtido com o planejado. AUDITORIA EM SI - TÉCNICAS

  19. Facilidade de TesteIntegrado: • Melhoraplicadoemambientes real-time. • Como funciona: • Os dados sãointroduzidos no sistema. • Utilizandoentidadesfictícias, comofuncionáriosfantasmasnafolha de pagamento e clientesinexistentesnascontas a receber. • Porfim, os dados no processamento de transaçõessãoconfrontados com os dados fictícios e osresultados, comparados com ospré-determinados. • Vantagens: • Pode ser realizado no sistemaemprodução, nãosendonecessário um ambiente de processamentoexclusivo. • Desvantagens: • Os efeitos das transaçõesprecisam ser estornados, gerando um esforço extra. AUDITORIA EM SI - TÉCNICAS

  20. SimulaçãoParalela: • Simula a execução do programaemprodução. • Faz o processamento das transações. • E faz a comparação dos resultadosobtidos. • Vantagens: • Vistoque o programa é executadoemambiente real, nãohácustoparagerar dados fictícios. • Desvantagens: • Atualmente, estatécnica é feita com apenasumaporção das transaçòesdaaplicação, nãogerando um resultadomuitoexpressivo. AUDITORIA EM SI - TÉCNICAS

  21. Lógica de Auditoria EmbutidanosSistemas: • Incluir a lógica de auditoria nossistemasnafase de desenvolvimento. • Relatórios de auditoria. • Logs de operação. • Vantagens: • As atividadespodem ser monitoradaspelo auditor permanentementes. • Desvantagens: • A implantaçãodalógica de auditoria gera um custoadicional no desenvolvimento dos sistemas. • Podegerarumaperda no desempenho do sistema. AUDITORIA EM SI - TÉCNICAS

  22. Rastreamento e Mapeamento: • Consisteemcriar e implementarumatrilha de auditoria paraacompanharosprincipaispontosdalógica de processamento das transaçõescríticas, registrar seucomportamento e resultadosobtidos. • As trilhas de auditoriassãorotinas de controlequepermitemrecuperar de forma inversa as informaçõesprocessadas, pormeiodareconstituiçãodacomposição das mesmas. • Vantagens: • Ajudanaavaliação de controlesinternosquedevem ser seguidos. • Desvantagens: • Exigeque o auditor tenhahabilidadeavançada de tecnologia de informaçãoparaquepossainterpretar as lógicas de programação. AUDITORIA EM SI - TÉCNICAS

  23. A auditoria de sistemas é uma parte da auditoria realizadanaorganizaçãocomo um todo. • Como nãohá um padrãoaceitopara auditoria de sistemas de informação, algumasassociaçõestrazemalgumasregrasparaefetuar a auditoria. • Comitê de PadrõesdaAssociação de Controle e Auditoria de TecnologiadaInformação: • Responsabilidade, Autoridade e Prestação de contas. • Independênciaprofissional. • Éticaprofissional e Padrões. • Competência. • Planejamento. • Emissão de Relatórios. • Atividades de Follow-Up. AUDITORIA EM SI – MELHORES TÉCNICAS

  24. Livro Segurança e Auditoria em Sistemas de Informação, Mauricio Rocha Lyra, Editora Ciência Moderna, 2008. AUDITORIA EM SI – REFERÊNCIAS

More Related