A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Auditoria de Sistemas de Informação Prof.: Cheila Bombana.

Apresentações semelhantes


Apresentação em tema: "Auditoria de Sistemas de Informação Prof.: Cheila Bombana."— Transcrição da apresentação:

1

2 Auditoria de Sistemas de Informação Prof.: Cheila Bombana

3 Metodologia de Auditoria - Processo Alinhamento das Expectativas da Administração Planejamento/ Levantamento das Informações Análise do Ambiente de Negócio e TI Análise e Teste dos Controles/ Follow-Up Comunicação dos Resultados

4 Metodologia de Auditoria - Processo Garantir o entendimento único entre todas as partes envolvidas Alinhar as expectativas e os produtos finais Obter o comprometimento! Análise do Negócio da Empresa Atuação, Estratégias, Planejamento/Metas Entendimento das Forças Internas e Externas Organograma atual

5 Análise Organograma Presidência Executiva AdministrativoFinanceiroComprasVendas Recursos Humanos Tecnologia da Informação Auditoria de Sistemas

6 Planejamento Aqui devem ser estabelecidos os recursos necessários para a execução dos trabalhos de auditoria, a área de verificação, as metodologias, os objetivos de controle e os procedimentos a serem adotados. A equipe deve reunir a maior quantidade possível de informações sobre a entidade auditada e seu ambiente de informática.

7 Planejamento Esse conhecimento prévio permite ao auditor ter uma visão geral do grau de complexidade do sistema e, então, estabelecer os recursos e os conhecimentos técnicos necessários à equipe de auditoria. Informações técnicas a serem coletadas: tipo de hardware, sistema operacional, softwares de segurança de rede, banco de dados, linguagens de programação, ferramentas de apoio ao desenvolvimento de sistemas e os responsáveis por cada recurso ou área auditada.

8 Planejamento O próximo passo é delimitar a atuação da auditoria, definindo o campo, o âmbito e as subáreas a serem auditadas. As auditorias de informática normalmente possuem natureza operacional, ou seja, visam examinar aspectos econômicos, de eficiência e eficácia do sistema. O objeto pode englobar um sistema computacional específico; uma, várias ou todas as seções do departamento de informática.

9 Planejamento O período da auditoria será diretamente proporcional com o grau de profundidade das investigações (âmbito) e das subáreas que serão escolhidas pela equipe. Também deve ser definido o âmbito. Deve ser determinada a amplitude e a exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados.

10 Planejamento Após a definição do campo e do âmbito da auditoria, é definida a área de verificação. –Ela delimita de forma precisa os temas da auditoria e, em função do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em subáreas.

11 Planejamento Área de Verificação Campo Âmbito Objeto Período Natureza Segurança de Informações da Empresa. De 01/03/2012 à 01/07/2012. Auditoria de TI. Avaliação de eficiência dos controles. Sub 1 Sub 2 Sub 3 Controles de Acesso Físico. Controles de Acesso Lógico. Backup.

12 Planejamento É também na fase de planejamento que definem-se os recursos que serão usados na auditoria. –Recursos Humanos: para selecionar especialistas para executar a auditoria, é necessário avaliar o tamanho dos sistemas, o grau de sofisticação, a complexidade do ambiente computacional do auditado e o nível de experiência necessário para executar as tarefas. –Recursos Econômicos: a equipe deve fazer uma previsão dos gastos, especialmente se a auditoria envolver viagens e contratação de mão-de-obra especializada. –Recursos Técnicos: avaliar quais são os recursos de hardware, software e manuais técnicos que serão necessários para a auditoria.

13 Planejamento É necessário definir quais metodologias podem ser utilizadas na auditoria. Um metodologia pode ser desde uma simples observação em visitas a instituição, até o uso de técnicas ou ferramentas de apoio. A seguir citamos alguns exemplos de metodologia.

14 Planejamento Entrevistas: ao longo da auditoria podem ser feitas diversas entrevistas com funcionários da instituição. –Entrevista de Apresentação: entrevista inicial na qual os auditores se apresentam aos dirigentes da instituição, visando explanar o plano de atividades, os objetivos da auditoria e as áreas que serão auditadas. –Entrevista de Coleta de Dados: durante a execução da auditoria podem ser feitas entrevistas com dirigentes e funcionários da entidade. Nestas entrevistas é possível detectar pontos fortes, falhas e possíveis irregularidades nos sistemas.

15 Planejamento –Entrevista de Discussão das Deficiências Encontradas: ao final das investigações podem ser feitas reuniões com os responsáveis de cada área auditada, afim de discutir as deficiências detectadas e as possíveis soluções que podem ser aplicadas. –Entrevista de Encerramento: esta entrevista é feita no final dos trabalhos, onde são apresentados os resultados finais da auditoria. Obs.: Todas as declarações citadas nas entrevistas devem ser documentadas.

16 Planejamento Ferramentas ou Técnicas de Apoio: a informática também pode ser usada para realizar as tarefas de auditoria. –Técnicas para Análise dos Dados: são ferramentas para extração de dados, amostragem e análise de logs. –Técnicas para Verificação de Controles de Sistemas: estas técnicas permitem testar a confiabilidade dos sistemas e ainda determinar se estão operando corretamente. Podemos citar como exemplo: ferramentas para comparação de programas, simuladores e rastreadores de processamento.

17 Técnicas de Auditoria Programas de Computador Correlaciona arquivos, tabula e analisa o conteúdo dos mesmos. Passos: - Análise do fluxo do sistema - Identificação do arquivo a ser auditado - Entrevista com o analista / usuário - Identificação do código / layout do arquivo - Elaboração do programa para auditoria - Cópia do arquivo a ser auditado - Aplicação do programa de auditoria - Análise dos resultados - Emissão de relatórios - Documentação

18 Técnicas de Auditoria Questionário a distância Verifica a adequação do ponto de controle aos parâmetros de controle interno (segurança física, lógica, eficácia, eficiência, etc). Analisa: - Segurança em redes de computadores - Segurança do centro de computação - Eficiência no uso de recursos computacionais - Eficácia de sistemas aplicativos Passos: - Análise do ponto de controle - Elaboração do questionário - Seleção dos profissionais que irão responder o questionário - Elaboração de instruções - Distribuição / remessa dos formulários - Controle do recebimento pelo usuário - Análise das respostas - Formação de opinião quanto às respostas - Elaboração do relatório de auditoria

19 Técnicas de Auditoria Simulação de dados (test deck) Elaboração de massa de teste a ser submetida ao programa ou rotina. Deve prever as seguintes situações: - Transações com campos inválidos - Transações com valores nos limites - Transações incompletas - Transações incompatíveis - Transações em duplicidade Passos: - Compreensão da lógica do programa - Simulação dos dados (pertinentes ao teste a ser realizado) - Elaboração dos formulários de controle - Transcrição dos dados para o computador - Preparação do ambiente de teste - Processamento do teste - Avaliação dos resultados - Emissão de opinião sobre o teste

20 Técnicas de Auditoria Visita in loco Consiste na atuação do pessoal de auditoria junto ao pessoal de sistemas e instalações. Passos: - Marcar data e hora para visita - Anotar procedimentos e acontecimentos - Anotar nomes das pessoas e data e hora das visitas - Analisar a documentação obtida - Emitir opinião via relatório

21 Técnicas de Auditoria Mapeamento estatístico (mapping) Permite verificar situações como: - Rotinas não utilizadas - Quantidade de vezes que cada rotina foi utilizada - Rotinas existentes em programas mas já desativadas - Rotinas mais utilizadas - Rotinas fraudulentas ou irregulares - Rotinas de controle

22 Técnicas de Auditoria Rastreamento de programas Possibilita seguir o caminho de uma transação durante o processamento do programa. (debugar) Objetiva identificar as inadequações e ineficiência na lógica de um programa.

23 Técnicas de Auditoria Entrevista no ambiente computacional Realização de reuniões entre o auditor e o auditado. Passos: - Analisar o ponto de controle - Planejar a reunião - Elaborar o questionário da entrevista - Realizar a reunião - Elaborar ata da reunião - Analisar a entrevista - Emitir relatório da auditoria

24 Técnicas de Auditoria Análise de relatórios/telas Analisar relatórios e tela no que se refere a: - Nível de utilização pelo usuário - Esquema de distribuição e número de vias - Grau de confidencialidade - Forma de utilização de integração com outras telas / relatórios - Padronização dos layouts - Distribuição das informações conforme layout Passos: - Relacionar telas e relatórios por usuário - Obter modelo ou cópia de todas as telas / relatórios - Elaborar um check-list para levantamento - Marcar data e hora para obter opniões dos usuários - Realizar entrevistas e anotar opiniões - Analisar as respostas - Emitir opinião

25 Técnicas de Auditoria Análise de relatórios/telas Permite detectar: - Relatórios e telas não mais utilizados - Layout inadequado - Distribuição indevida de vias - Confidencialidade não respeitada.

26 Técnicas de Auditoria Análise de log Verifica o uso dos dispositivos componentes de uma configuração ou rede de computadores e do software aplicativo. Permite verificar: - Ineficiência do uso do computador - Configuração do computador (dispositivos com folga ou sobrecarregados) - Determinação de erros de programa ou de operação - Uso de programas fraudulentos ou utilização indevida - Tentativas de acesso indevidas.

27 Técnicas de Auditoria Análise de log Passos: - Entrevistar o pessoal de software básico e Planejamento e Controle da Produção para entender o software / hardware existentes, layout do log accounting, etc. - Decidir parâmetros para utilização do log/ accounting (tipos de verificação a serem feitas, período de tempo para auditoria, data do teste, etc). - Aplicar o log / accounting - Analisar os resultados - Emitir opinião

28 Técnicas de Auditoria Análise do programa fonte Consiste na análise visual do programa e na comparação da versão do objeto que está sendo executado com o objeto resultante da última versão do programa fonte compilado. Permite verificar: - Se o programador cumpriu as normas de padronização do código (tabelas de rotinas, arquivos, programas). - Qualidade de estruturação do programa fonte. Esta técnica requer um grande conhecimento de computação

29 Planejamento Definição dos objetivos de controle e os procedimentos de auditoria. –Obetivos de controle - Modelo normativo, um conjunto de padrões, de como as atividades deveriam estar sendo feitas. –Os procedimentos de auditoria descrevem com mais detalhe o que deve ser verificado dentro de cada um dos objetivos de controle

30 Planejamento Exemplo - Na área de segurança das informações, um dos objetivos pode ser o estabelecimento de regras para acesso a documentos confidenciais. Assim podemos dizer que os procedimentos de auditoria serão: verificar se há documentos formais que justifiquem a necessidade de autenticação do usuário; verificar se existem procedimentos que definam os recursos computacionais que poderão ser acessados e os tipos de transações que poderão ser executadas para cada usuário autorizado.

31 Planejamento Resumo –Definir o campo e o âmbito da auditoria. –Definir a área de verificação e suas subáreas. –Selecionar os Objetivos de Controle. –Elaborar os procedimentos de auditoria.

32 Execução É na execução da auditoria que a equipe deve reunir evidências confiáveis, relevantes e úteis para a consecução dos objetivos de auditoria. As evidências podem ser divididas em 4 tipos: –Evidência Física: observações de atividades desenvolvidas pelos funcionários, sistemas em funcionamento, local, equipamentos, etc.

33 Execução Evidência Documentária: resultados de extração de dados, registros de transações, listagens, etc. Evidência fornecida pelo Auditado: resultados de entrevistas, cópias de documentos, fluxogramas, políticas internas, s, relatórios publicados pelo auditado, etc. Evidência Analítica: comparações, cálculos e interpretações de documentos.

34 Execução Toda essa documentação deve estar disponível para elaboração do relatório. Nem tudo entra no relatório. Mas tudo deve ser documentando e arquivado.

35 Relatório A equipe normalmente apresenta seus achados e conclusões na forma de relatório escrito, o qual inclui fatos, comprovações, conclusões e recomendações ou determinações. A linguagem utilizada deve ser clara. a utilização de termos técnicos deve ser acompanhada de glossário.

36 Relatório O relatório pode ser iniciado já na fase de planejamento. Ao término das investigações em cada área auditada, é recomendável apresentar um relatório parcial contendo as deficiências encontradas. O relatório final deve ser revisado por todos os membros.

37 Relatório Produtos gerados pela Auditoria Relatório de Fraquezas de controle interno Objetivo do projeto de auditoria Pontos de controle auditados Conclusão alcançada a cada ponto de controle Alternativas de solução propostas

38 Relatório Produtos gerados pela Auditoria Certificado de Controle Interno Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.

39 Relatório Produtos gerados pela Auditoria Relatório de redução de custos Tem por objetivo explicitar as economias financeiras a serem feitas com a adoção das recomendações efetuadas. Serve de base para a realização das análises de retorno de investimento e do custo/beneficio da auditoria de sistemas.

40 Relatório Produtos gerados pela Auditoria Manual da auditoria do ambiente auditado Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toda a documentação anterior já citada.

41 Relatório Produtos gerados pela Auditoria Pastas contendo a documentação da auditoria de sistemas Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.

42 Relatório A estrutura dos relatórios pode variar. Exemplo de Estrutura de um Relatório: –Síntese: a síntese aparece antes do corpo do relatório. Seu objetivo é apresentar um breve resumo de seu conteúdo. Ele apresenta uma visão rápida dos principais pontos detalhados no corpo do relatório.

43 Relatório –Dados da Auditoria: neste item são apresentados os dados sobre a auditoria, tais como objetivo, período da fiscalização, composição da equipe, metodologia adotada, natureza da auditoria e objeto. –Introdução: a introdução pode conter um breve histórico sobre a entidade. É recomendável incluir descrição da estrutura hierárquica do departamento de informática.

44 Relatório –Detalhamento dos Objetivos de Controle: essa é a parte mais importante do relatório, pois apresenta, todos os pontos avaliados na auditoria, detalhando as falhas e irregularidades detectadas durante a auditoria. É aconselhável subdividir este capítulo nas subáreas fiscalizadas. –Conclusão: aqui são resumidos os pontos principais do relatório e as recomendações finais da equipe para a correção das falhas.

45 Apresentação dos resultados da auditoria à alta administração Objetividade na transmissão dos resultados Esclarecimento das discussões realizadas entre a auditoria e os auditados Clareza nas recomendações das alternativas de solução Coerência da atuação da Auditoria Apresentação da documentação gerada Explicação do conteúdo de cada documento.


Carregar ppt "Auditoria de Sistemas de Informação Prof.: Cheila Bombana."

Apresentações semelhantes


Anúncios Google