A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Marco Curi Pedro Grandi Rodrigo Rabello. Introdução Conceitos. Auditoria em Sistemas de Informação. Fundamentos. Metodologia. Ferramentas. Técnicas. Melhores.

Apresentações semelhantes


Apresentação em tema: "Marco Curi Pedro Grandi Rodrigo Rabello. Introdução Conceitos. Auditoria em Sistemas de Informação. Fundamentos. Metodologia. Ferramentas. Técnicas. Melhores."— Transcrição da apresentação:

1 Marco Curi Pedro Grandi Rodrigo Rabello

2 Introdução Conceitos. Auditoria em Sistemas de Informação. Fundamentos. Metodologia. Ferramentas. Técnicas. Melhores Práticas. Referências.

3 Avaliar, revisar processos realizados atualmente e comparar com o previamente estabelecido. Pode gerar recomendações. Objetivos da organização está sendo seguido? É a maneira mais eficaz, eficiente? Dois tipos de auditoria: Auditoria Interna: Realizada por uma área pertencente a própria organização. Auditoria Externa: Realizada por grupos devidamente certificados, que avalia se a organização está seguindo uma norma específica. Auditoria pode ser realizada em todas as camadas da organização Operacional. Tático Estratégico.

4 Segue a mesma linha dos outros tipos de auditoria – Avaliar e Revisar os Sistemas de Informação da organização. Avalia a adequação das tecnologias e sistemas de informação na organização. Pontos que podem ser avaliados: Segurança. Corretude na utilização dos recursos. Como as informações são inseridas no sistema. Devido ao alto custo para criar ou adquirir um SI, a extração ao máximo dos recursos é essencial.

5 A auditoria em Sistemas de Informação deve se basear nos seguintes tópicos: Integridade: Informações e transações confiáveis. Confidencialidade: Controle de acesso, restrições, permissões. Limitar quem pode ter acesso a quais informações. Acuidade: Transações precisam ser validadas, evitando que informações erradas sejam inseridas no sistema gerando dados inconsistentes. Disponibilidade: Sistema não pode ficar indisponível. Sistema indisponível, gera perda de receita. Necessidade de um SLA. Auditabilidade: Sistemas devem gerar logs de operação, indicando, por exemplo, usuário, data e hora da execução. Os logs permitem que sejam feitas trilhas de auditorias. Versatibilidade: Sistema deve se adaptar facilmente aos processos da empresa, permitindo de forma clara e simples a importação e exportação de dados. Manutenibilidade: Procedimentos operacionais devem ter controle de testes, implantação e documentação e novos sistemas ou modificações. Evitando que mudanças afetem o sistema em produção.

6 A auditoria pode ser realizada em diferentes momentos: Auditoria durante o desenvolvimento do sistema: Focado nos conceitos básicos da Engenharia de Software, desde a análise de requisitos até a metodologia de desenvolvimento (Método Ágil, Cascata, Processo Unificado). Auditoria de sistemas em produção: Contempla o momento em que o sistema foi colocado em produção, analisando sua segurança, tolerância à falhas. Auditoria no ambiente tecnológico: Analisa o sistema voltado a estrutura organizacional, levando em consideração custos, utilização dos equipamentos e contratos. Auditoria em eventos específicos: Faz uma revisão de pontos importantes de auditorias anteriores que tiveram algum problema ou que não foram analisados.

7 Para realizar uma auditoria, é seguido alguns passos: Planejamento e Controle do Projeto de Auditoria de Sistemas de Informação: Definir as ações a serem executadas e os recursos necessários. Seguindo as diretrizes da alta administração, formar dois grupos: Primeiro grupo: Formado pelo gerente da auditoria, gerente da área usuária responsável pelo sistema, pelo gerente do sistema e pelo gerente da área de informática. Cabe a este grupo as atividades gerenciais, como os procedimentos a serem utilizados e o acompanhamento e controle dos resultados obtidos. Segundo grupo: Realizará a auditoria propriamente dita, utilizando ferramentas e métodos. Composto por auditories e técnicos da área de informática e usuária.

8 Levantamento do Sistema de Informação a ser Auditado: Levantamento das informações relevantes sobre o sistema, para entender as macro características. Este levantamento é feito através de entrevistas, análise de documentos (DFD, MER), dicionários de dados, casos de uso, diagramas. Esta fase tem como principal objetivo descobrir o escopo do sistema, para facilitar a abrangência da auditoria, e diminuir a possibilidade de execução de trabalhos em áreas não pertencentes ao escopo.

9 Identificação e Inventário dos Pontos de Controle: Identificar os pontos de controle que devem ser validados no sistema. Estes pontos podem ser encontrados nos documentos de entrada, relatórios de saída, banco de dados, pontos de integração. Cada ponto de controle deverá ter seus objetivos e funções descritas e termos de controle interno. Em cada ponto de controle, também deve ser identificados seus parâmetros, pontos fracos. Ao fim desta fase, deve-se encaminhar os pontos de controle para o grupo de coordenação fazer a validação da pertinência e eventual triagem.

10 Priorização dos Pontos de Controle do Sistema Auditado: A seleção dos pontos de controle podem ser feita com base em: Grau de risco. Existência de ameaças. Disponibilidade de recursos. Esta seleção também precisa ser validada ao longo do trabalho junto com o grupo de coordenação.

11 Avaliação dos Pontos de Controle: Fase em que a auditoria é realmente realizada. Realização dos testes de validação dos pontos de controle, seguindo os parâmetros e especificações determinadas nas fases anteriores. Para cada objetivo e característica do ponto de controle, é utilizada uma técnica e ferramenta específica. Utilizar ferramentas e técnicas certas é essencial para o sucesso da auditoria.

12 Conclusão da Auditoria: Criação de um relatório contendo: Diagnóstico da situação atual dos pontos de controle. As fraquezas do controle interno. Quando um ponto de controle apresenta fraquezas, ele é transformado em um Ponto de Auditoria. Sobre este Ponto de Auditoria, são apontadas recomendações para solução ou é feita a mitigação deste ponto no relatório da auditoria. Cada Ponto de Auditoria tem um prazo para tomada de decisão, após este período, é feita uma revisão e avaliação pelos analistas e usuários.

13 Acompanhamento da Auditoria: Esta fase é efetuada enquanto: Todos os pontos de controle forem analisados. Todas as recomendações tenham sido executadas. Todas as fraquezas tenham sido eliminadas.

14 As ferramentas de auditorias são muito importantes para: Extração de dados. Seleção de dados. Validar transações. Evidenciar discrepâncias e desvios. No mercado, estão disponíveis algumas dessas ferramentas: Ferramentas Generalistas de Auditoria de Tecnologia da Informação. Ferramentas Especializadas em Auditorias. Programas Utilitários em Geral.

15 Ferramentas Generalistas de Auditoria de Tecnologia da Informação. Softwares de uso em ambiente batch, e desempenham funções necessárias para o auditor, como: Processamento, simulação, análise de amostras. Geram dados estatísticos, sumarizam dados. Apontam duplicidades. Vantagens: Processamento de vários arquivos ao mesmo tempo. Processamento de arquivos em diferentes formatos. Integração sistêmica com vários tipos de software e hardware. Reduz a dependência do auditor com o técnico em informática. Desvantagens: Impossibilidade de executar cálculos complexos. Não pode ser utilizado em ambiente online.

16 Ferramentas Especializadas em Auditorias. Softwares desenvolvidos para executar tarefas espefícias. Vantagens: Atendem à demandas espefícicas como: Crédito imobiliários. Leasing. Cartão de crédito. Desvantagens: Custo elevado. Problemas para atualização do software.

17 Programas Utilitários em Geral. Desempenham funções comuns, como: Ordenar arquivos. Concatenar textos. Sumarizar. Gerar relatórios. Porém, estes softwares não são desenvolvidos direcionados à auditoria. Não possuem verificação de totais de controle. Não fazem a gravação de trilhas de auditorias.

18 A seguir, algumas técnicas utilizadas na auditoria de sistemas de informação: Dados de Teste: Envolve o uso de um conjunto de dados com o objetivo de testar as funcionalidade de entrada de dados do sistema. Após o processamento do arquivo, é verificado o resultado obtido com o planejado.

19 Facilidade de Teste Integrado: Melhor aplicado em ambientes real-time. Como funciona: Os dados são introduzidos no sistema. Utilizando entidades fictícias, como funcionários fantasmas na folha de pagamento e clientes inexistentes nas contas a receber. Por fim, os dados no processamento de transações são confrontados com os dados fictícios e os resultados, comparados com os pré-determinados. Vantagens: Pode ser realizado no sistema em produção, não sendo necessário um ambiente de processamento exclusivo. Desvantagens: Os efeitos das transações precisam ser estornados, gerando um esforço extra.

20 Simulação Paralela: Simula a execução do programa em produção. Faz o processamento das transações. E faz a comparação dos resultados obtidos. Vantagens: Visto que o programa é executado em ambiente real, não há custo para gerar dados fictícios. Desvantagens: Atualmente, esta técnica é feita com apenas uma porção das transaçòes da aplicação, não gerando um resultado muito expressivo.

21 Lógica de Auditoria Embutida nos Sistemas: Incluir a lógica de auditoria nos sistemas na fase de desenvolvimento. Relatórios de auditoria. Logs de operação. Vantagens: As atividades podem ser monitoradas pelo auditor permanentementes. Desvantagens: A implantação da lógica de auditoria gera um custo adicional no desenvolvimento dos sistemas. Pode gerar uma perda no desempenho do sistema.

22 Rastreamento e Mapeamento: Consiste em criar e implementar uma trilha de auditoria para acompanhar os principais pontos da lógica de processamento das transações críticas, registrar seu comportamento e resultados obtidos. As trilhas de auditorias são rotinas de controle que permitem recuperar de forma inversa as informações processadas, por meio da reconstituição da composição das mesmas. Vantagens: Ajuda na avaliação de controles internos que devem ser seguidos. Desvantagens: Exige que o auditor tenha habilidade avançada de tecnologia de informação para que possa interpretar as lógicas de programação.

23 A auditoria de sistemas é uma parte da auditoria realizada na organização como um todo. Como não há um padrão aceito para auditoria de sistemas de informação, algumas associações trazem algumas regras para efetuar a auditoria. Comitê de Padrões da Associação de Controle e Auditoria de Tecnologia da Informação: Responsabilidade, Autoridade e Prestação de contas. Independência profissional. Ética profissional e Padrões. Competência. Planejamento. Emissão de Relatórios. Atividades de Follow-Up.

24 Livro Segurança e Auditoria em Sistemas de Informação, Mauricio Rocha Lyra, Editora Ciência Moderna, 2008.


Carregar ppt "Marco Curi Pedro Grandi Rodrigo Rabello. Introdução Conceitos. Auditoria em Sistemas de Informação. Fundamentos. Metodologia. Ferramentas. Técnicas. Melhores."

Apresentações semelhantes


Anúncios Google