A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

AUDITORIA EM SISTEMAS DE INFORMAÇÃO

PublicouJennifer Marques Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "AUDITORIA EM SISTEMAS DE INFORMAÇÃO"— Transcrição da apresentação:

1 AUDITORIA EM SISTEMAS DE INFORMAÇÃO
Marco Curi Pedro Grandi Rodrigo Rabello

2 APRESENTAÇÃO Introdução Fundamentos. Metodologia. Ferramentas.
Conceitos. Auditoria em Sistemas de Informação. Fundamentos. Metodologia. Ferramentas. Técnicas. Melhores Práticas. Referências.

3 AUDITORIA - INTRODUÇÃO
Avaliar, revisar processos realizados atualmente e comparar com o previamente estabelecido. Pode gerar recomendações. Objetivos da organização está sendo seguido? É a maneira mais eficaz, eficiente? Dois tipos de auditoria: Auditoria Interna: Realizada por uma área pertencente a própria organização. Auditoria Externa: Realizada por grupos devidamente certificados, que avalia se a organização está seguindo uma norma específica. Auditoria pode ser realizada em todas as camadas da organização Operacional. Tático Estratégico.

4 AUDITORIA EM SISTEMAS DE INFORMAÇÃO
Segue a mesma linha dos outros tipos de auditoria – Avaliar e Revisar os Sistemas de Informação da organização. Avalia a adequação das tecnologias e sistemas de informação na organização. Pontos que podem ser avaliados: Segurança. Corretude na utilização dos recursos. Como as informações são inseridas no sistema. Devido ao alto custo para criar ou adquirir um SI, a extração ao máximo dos recursos é essencial.

5 AUDITORIA EM SI - FUNDAMENTOS
A auditoria em Sistemas de Informação deve se basear nos seguintes tópicos: Integridade: Informações e transações confiáveis. Confidencialidade: Controle de acesso, restrições, permissões. Limitar quem pode ter acesso a quais informações. Acuidade: Transações precisam ser validadas, evitando que informações erradas sejam inseridas no sistema gerando dados inconsistentes. Disponibilidade: Sistema não pode ficar indisponível. Sistema indisponível, gera perda de receita. Necessidade de um SLA. Auditabilidade: Sistemas devem gerar logs de operação, indicando, por exemplo, usuário, data e hora da execução. Os logs permitem que sejam feitas trilhas de auditorias. Versatibilidade: Sistema deve se adaptar facilmente aos processos da empresa, permitindo de forma clara e simples a importação e exportação de dados. Manutenibilidade: Procedimentos operacionais devem ter controle de testes, implantação e documentação e novos sistemas ou modificações. Evitando que mudanças afetem o sistema em produção.

6 AUDITORIA EM SI - FUNDAMENTOS
A auditoria pode ser realizada em diferentes momentos: Auditoria durante o desenvolvimento do sistema: Focado nos conceitos básicos da Engenharia de Software, desde a análise de requisitos até a metodologia de desenvolvimento (Método Ágil, Cascata, Processo Unificado). Auditoria de sistemas em produção: Contempla o momento em que o sistema foi colocado em produção, analisando sua segurança, tolerância à falhas. Auditoria no ambiente tecnológico: Analisa o sistema voltado a estrutura organizacional, levando em consideração custos, utilização dos equipamentos e contratos. Auditoria em eventos específicos: Faz uma revisão de pontos importantes de auditorias anteriores que tiveram algum problema ou que não foram analisados.

7 AUDITORIA EM SI - METODOLOGIA
Para realizar uma auditoria, é seguido alguns passos: Planejamento e Controle do Projeto de Auditoria de Sistemas de Informação: Definir as ações a serem executadas e os recursos necessários. Seguindo as diretrizes da alta administração, formar dois grupos: Primeiro grupo: Formado pelo gerente da auditoria, gerente da área usuária responsável pelo sistema, pelo gerente do sistema e pelo gerente da área de informática. Cabe a este grupo as atividades gerenciais, como os procedimentos a serem utilizados e o acompanhamento e controle dos resultados obtidos. Segundo grupo: Realizará a auditoria propriamente dita, utilizando ferramentas e métodos. Composto por auditories e técnicos da área de informática e usuária.

8 AUDITORIA EM SI - METODOLOGIA
Levantamento do Sistema de Informação a ser Auditado: Levantamento das informações relevantes sobre o sistema, para entender as macro características. Este levantamento é feito através de entrevistas, análise de documentos (DFD, MER), dicionários de dados, casos de uso, diagramas. Esta fase tem como principal objetivo descobrir o escopo do sistema, para facilitar a abrangência da auditoria, e diminuir a possibilidade de execução de trabalhos em áreas não pertencentes ao escopo.

9 AUDITORIA EM SI - METODOLOGIA
Identificação e Inventário dos Pontos de Controle: Identificar os pontos de controle que devem ser validados no sistema. Estes pontos podem ser encontrados nos documentos de entrada, relatórios de saída, banco de dados, pontos de integração. Cada ponto de controle deverá ter seus objetivos e funções descritas e termos de controle interno. Em cada ponto de controle, também deve ser identificados seus parâmetros, pontos fracos. Ao fim desta fase, deve-se encaminhar os pontos de controle para o grupo de coordenação fazer a validação da pertinência e eventual triagem.

10 AUDITORIA EM SI - METODOLOGIA
Priorização dos Pontos de Controle do Sistema Auditado: A seleção dos pontos de controle podem ser feita com base em: Grau de risco. Existência de ameaças. Disponibilidade de recursos. Esta seleção também precisa ser validada ao longo do trabalho junto com o grupo de coordenação.

11 AUDITORIA EM SI - METODOLOGIA
Avaliação dos Pontos de Controle: Fase em que a auditoria é realmente realizada. Realização dos testes de validação dos pontos de controle, seguindo os parâmetros e especificações determinadas nas fases anteriores. Para cada objetivo e característica do ponto de controle, é utilizada uma técnica e ferramenta específica. Utilizar ferramentas e técnicas certas é essencial para o sucesso da auditoria.

12 AUDITORIA EM SI - METODOLOGIA
Conclusão da Auditoria: Criação de um relatório contendo: Diagnóstico da situação atual dos pontos de controle. As fraquezas do controle interno. Quando um ponto de controle apresenta fraquezas, ele é transformado em um Ponto de Auditoria. Sobre este Ponto de Auditoria, são apontadas recomendações para solução ou é feita a mitigação deste ponto no relatório da auditoria. Cada Ponto de Auditoria tem um prazo para tomada de decisão, após este período, é feita uma revisão e avaliação pelos analistas e usuários.

13 AUDITORIA EM SI - METODOLOGIA
Acompanhamento da Auditoria: Esta fase é efetuada enquanto: Todos os pontos de controle forem analisados. Todas as recomendações tenham sido executadas. Todas as fraquezas tenham sido eliminadas.

14 AUDITORIA EM SI - FERRAMENTAS
As ferramentas de auditorias são muito importantes para: Extração de dados. Seleção de dados. Validar transações. Evidenciar discrepâncias e desvios. No mercado, estão disponíveis algumas dessas ferramentas: Ferramentas Generalistas de Auditoria de Tecnologia da Informação. Ferramentas Especializadas em Auditorias. Programas Utilitários em Geral.

15 AUDITORIA EM SI - FERRAMENTAS
Ferramentas Generalistas de Auditoria de Tecnologia da Informação. Softwares de uso em ambiente batch, e desempenham funções necessárias para o auditor, como: Processamento, simulação, análise de amostras. Geram dados estatísticos, sumarizam dados. Apontam duplicidades. Vantagens: Processamento de vários arquivos ao mesmo tempo. Processamento de arquivos em diferentes formatos. Integração sistêmica com vários tipos de software e hardware. Reduz a dependência do auditor com o técnico em informática. Desvantagens: Impossibilidade de executar cálculos complexos. Não pode ser utilizado em ambiente online.

16 AUDITORIA EM SI - FERRAMENTAS
Ferramentas Especializadas em Auditorias. Softwares desenvolvidos para executar tarefas espefícias. Vantagens: Atendem à demandas espefícicas como: Crédito imobiliários. Leasing. Cartão de crédito. Desvantagens: Custo elevado. Problemas para atualização do software.

17 AUDITORIA EM SI - FERRAMENTAS
Programas Utilitários em Geral. Desempenham funções comuns, como: Ordenar arquivos. Concatenar textos. Sumarizar. Gerar relatórios. Porém, estes softwares não são desenvolvidos direcionados à auditoria. Não possuem verificação de totais de controle. Não fazem a gravação de trilhas de auditorias.

18 AUDITORIA EM SI - TÉCNICAS
A seguir, algumas técnicas utilizadas na auditoria de sistemas de informação: Dados de Teste: Envolve o uso de um conjunto de dados com o objetivo de testar as funcionalidade de entrada de dados do sistema. Após o processamento do arquivo, é verificado o resultado obtido com o planejado.

19 AUDITORIA EM SI - TÉCNICAS
Facilidade de Teste Integrado: Melhor aplicado em ambientes real-time. Como funciona: Os dados são introduzidos no sistema. Utilizando entidades fictícias, como funcionários fantasmas na folha de pagamento e clientes inexistentes nas contas a receber. Por fim, os dados no processamento de transações são confrontados com os dados fictícios e os resultados, comparados com os pré-determinados. Vantagens: Pode ser realizado no sistema em produção, não sendo necessário um ambiente de processamento exclusivo. Desvantagens: Os efeitos das transações precisam ser estornados, gerando um esforço extra.

20 AUDITORIA EM SI - TÉCNICAS
Simulação Paralela: Simula a execução do programa em produção. Faz o processamento das transações. E faz a comparação dos resultados obtidos. Vantagens: Visto que o programa é executado em ambiente real, não há custo para gerar dados fictícios. Desvantagens: Atualmente, esta técnica é feita com apenas uma porção das transaçòes da aplicação, não gerando um resultado muito expressivo.

21 AUDITORIA EM SI - TÉCNICAS
Lógica de Auditoria Embutida nos Sistemas: Incluir a lógica de auditoria nos sistemas na fase de desenvolvimento. Relatórios de auditoria. Logs de operação. Vantagens: As atividades podem ser monitoradas pelo auditor permanentementes. Desvantagens: A implantação da lógica de auditoria gera um custo adicional no desenvolvimento dos sistemas. Pode gerar uma perda no desempenho do sistema.

22 AUDITORIA EM SI - TÉCNICAS
Rastreamento e Mapeamento: Consiste em criar e implementar uma trilha de auditoria para acompanhar os principais pontos da lógica de processamento das transações críticas, registrar seu comportamento e resultados obtidos. As trilhas de auditorias são rotinas de controle que permitem recuperar de forma inversa as informações processadas, por meio da reconstituição da composição das mesmas. Vantagens: Ajuda na avaliação de controles internos que devem ser seguidos. Desvantagens: Exige que o auditor tenha habilidade avançada de tecnologia de informação para que possa interpretar as lógicas de programação.

23 AUDITORIA EM SI – MELHORES TÉCNICAS
A auditoria de sistemas é uma parte da auditoria realizada na organização como um todo. Como não há um padrão aceito para auditoria de sistemas de informação, algumas associações trazem algumas regras para efetuar a auditoria. Comitê de Padrões da Associação de Controle e Auditoria de Tecnologia da Informação: Responsabilidade, Autoridade e Prestação de contas. Independência profissional. Ética profissional e Padrões. Competência. Planejamento. Emissão de Relatórios. Atividades de Follow-Up.

24 AUDITORIA EM SI – REFERÊNCIAS
Livro Segurança e Auditoria em Sistemas de Informação, Mauricio Rocha Lyra, Editora Ciência Moderna, 2008.

Carregar ppt "AUDITORIA EM SISTEMAS DE INFORMAÇÃO"

Apresentações semelhantes

SISTEMAS DE SUPORTE À DECISÃO

SISTEMAS DE SUPORTE À DECISÃO
Análise e Projeto de Sistemas I

Análise e Projeto de Sistemas I
Introdução aos Sistemas de Informação Gerencial

Introdução aos Sistemas de Informação Gerencial
Introdução a Algoritmos

Introdução a Algoritmos
ENGENHARIA DE SOFTWARE Garantia de Qualidade de Software

ENGENHARIA DE SOFTWARE Garantia de Qualidade de Software
Engenharia de Software Qualidade de Software Uma abordagem conceitual André Luis Zanon São Carlos SP – UFSCAR 2010 Engenharia de Software – UFSCAR.

Engenharia de Software Qualidade de Software Uma abordagem conceitual André Luis Zanon São Carlos SP – UFSCAR 2010 Engenharia de Software – UFSCAR.
Administração e segurança de redes

Administração e segurança de redes
ISO Processos do Ciclo de Vida do Software

ISO Processos do Ciclo de Vida do Software
GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO

GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO
Tipos de sistemas de Lehman

Tipos de sistemas de Lehman
Auditoria de Sistemas ● Introdução

Auditoria de Sistemas ● Introdução
Disciplina:Tópicos Avançados de Sistemas de Informação

Disciplina:Tópicos Avançados de Sistemas de Informação
SISTEMA DE INFORMAÇÕES DESENVOLVIMENTO DE SISTEMAS

SISTEMA DE INFORMAÇÕES DESENVOLVIMENTO DE SISTEMAS
O processo de coletar os requisitos (escopo do cliente)

O processo de coletar os requisitos (escopo do cliente)
Engenharia de Requisitos Requisito – sistema Caso de uso - usuário

Engenharia de Requisitos Requisito – sistema Caso de uso - usuário
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias marcely.dias@unibratec.edu.br.

Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias
EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ

EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ
Planejamento e Execução da Auditoria

Planejamento e Execução da Auditoria
Estratégia de Planejamento do Projeto

Estratégia de Planejamento do Projeto

Apresentações semelhantes

Anúncios Google