A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

O conjunto de módulos deste curso foram adaptados a partir de trabalho do Prof. Henrique J. Brodbeck.

PublicouMaria das Graças Amado Barroso Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "O conjunto de módulos deste curso foram adaptados a partir de trabalho do Prof. Henrique J. Brodbeck."— Transcrição da apresentação:

1 O conjunto de módulos deste curso foram adaptados a partir de trabalho do Prof. Henrique J. Brodbeck

2 22 Agenda  Conceitos de Auditoria de TI  Âmbito, Problemas, Atuação  Controles Internos  Pontos de Controle  Parâmetros de Controles Internos  O Planejamento da Auditoria  Áreas de foco  Conceitos de Auditoria de TI  Âmbito, Problemas, Atuação  Controles Internos  Pontos de Controle  Parâmetros de Controles Internos  O Planejamento da Auditoria  Áreas de foco

3 33 O âmbito da Auditoria de Sistemas  Auditoria de TI: ferramenta da gestão, do controle acionário, do meio externo e das pessoas para:  Checar, opinar, avaliar, validar a qualidade dos dados (da informação) referente aos sistemas geradores e mantenedores, referente à segurança, integridade, confiabilidade e eficiência.  Interna ou Externa  Exige conhecimentos de TI  Exige conhecimentos do negócio  Auditoria de TI: ferramenta da gestão, do controle acionário, do meio externo e das pessoas para:  Checar, opinar, avaliar, validar a qualidade dos dados (da informação) referente aos sistemas geradores e mantenedores, referente à segurança, integridade, confiabilidade e eficiência.  Interna ou Externa  Exige conhecimentos de TI  Exige conhecimentos do negócio

4 44 Problemas da Auditoria de Sistemas  Os auditores quando muito bons tecnologicamente, tendem a se transformarem em analistas.  Auditores tendem a ficar desatualizados em termos tecnológicos em relação aos cenários computacionais do mercado e da organização.  Carência de bons profissionais em auditoria, combinando experiência e conhecimento em TI e auditoria.  CIOS e CEOs carecem de orientação no sentido de obterem melhores resultados a partir do conceitos de auditoria.  Os auditores quando muito bons tecnologicamente, tendem a se transformarem em analistas.  Auditores tendem a ficar desatualizados em termos tecnológicos em relação aos cenários computacionais do mercado e da organização.  Carência de bons profissionais em auditoria, combinando experiência e conhecimento em TI e auditoria.  CIOS e CEOs carecem de orientação no sentido de obterem melhores resultados a partir do conceitos de auditoria.

5 55 Problemas da Auditoria de Sistemas 2  Ambiente computacional complexo  Múltiplos cenários computacionais:  Microcomputadores stand alone  Redes (LANs, MANs, WANs, etc)  Ambiente cliente/servidor  Networking  web services e organizações interconectadas  Ambiente computacional complexo  Múltiplos cenários computacionais:  Microcomputadores stand alone  Redes (LANs, MANs, WANs, etc)  Ambiente cliente/servidor  Networking  web services e organizações interconectadas Ambiente atual

6 66 Complexidade Crescente da TI  Novos modelos de desenvolvimento de software  Métodos ágeis  CMM/CMMI  Metodologias  Gerência de projetos  Governança  Cobit  Itil  PMI/PMBOK  Processos  Novos aspectos da segurança e avaliação de riscos  Novos modelos de desenvolvimento de software  Métodos ágeis  CMM/CMMI  Metodologias  Gerência de projetos  Governança  Cobit  Itil  PMI/PMBOK  Processos  Novos aspectos da segurança e avaliação de riscos

7 77 O futuro da auditoria de sistemas  Novas funções no ambiente  Analista de Segurança (security officer)  Analista de Qualidade  Analista de Conformidade (compliance officer)  Auditoria de segurança e qualidade  Maior automação do processo de auditoria, através de suporte intrínseco dos sistemas  Análise de custo/benefício da auditoria  Gestão e qualidade da auditoria  Novas funções no ambiente  Analista de Segurança (security officer)  Analista de Qualidade  Analista de Conformidade (compliance officer)  Auditoria de segurança e qualidade  Maior automação do processo de auditoria, através de suporte intrínseco dos sistemas  Análise de custo/benefício da auditoria  Gestão e qualidade da auditoria

8 88 Controle Interno  Controle interno é função administrativa, exercida pelo auditor de sistemas, que valida as demais funções administrativas - planejamento, execução e controle  Ênfase da auditoria nos processos computacionais e na administração de tecnologia da informação  Certificar a qualidade intrínseca dos sistemas e dos processos  Controle interno é função administrativa, exercida pelo auditor de sistemas, que valida as demais funções administrativas - planejamento, execução e controle  Ênfase da auditoria nos processos computacionais e na administração de tecnologia da informação  Certificar a qualidade intrínseca dos sistemas e dos processos

9 99 Controle Interno e Auditoria  Administração por confronto  Ambiente de contestação, buscando otimização, eficiência, eficácia e segurança  Administração por exceção  onde atuar?  que subconjunto avaliar e validar?  otimização da análise de risco  Ponto de Controle  subconjunto submetido à auditoria  alto risco  Administração por confronto  Ambiente de contestação, buscando otimização, eficiência, eficácia e segurança  Administração por exceção  onde atuar?  que subconjunto avaliar e validar?  otimização da análise de risco  Ponto de Controle  subconjunto submetido à auditoria  alto risco

10 1010 Controle Interno e Auditoria  Frameworks de Controles Internos  CoCo (CICA - Canadá)  COSO - Comittee of Sponsoring Organizations of the Threadway (USA)  Cadbury - The Cadbury Commision (UK)  BIS (Comitê da Basiléia): A Framework for Internal Control for Banking Organizations  Auto-avaliação  Utiliza o framework para determinar o grau de risco  Frameworks de Controles Internos  CoCo (CICA - Canadá)  COSO - Comittee of Sponsoring Organizations of the Threadway (USA)  Cadbury - The Cadbury Commision (UK)  BIS (Comitê da Basiléia): A Framework for Internal Control for Banking Organizations  Auto-avaliação  Utiliza o framework para determinar o grau de risco

11 1111 Parâmetros de Controle Interno  Controle Interno Sistemas  Fidelidade do dado em relação à fonte  Segurança física  Segurança lógica  Confidencialidade  Segurança ambiental  Obediência à legislação  Controle Interno Sistemas  Fidelidade do dado em relação à fonte  Segurança física  Segurança lógica  Confidencialidade  Segurança ambiental  Obediência à legislação  Controle Interno Administrativo  Eficiência  Eficácia  Obediência às políticas da administração  Controle Interno Administrativo  Eficiência  Eficácia  Obediência às políticas da administração

12 1212 Pontos de Controle  Abordagem do parâmetro de controle interno  Abordagem da fraqueza buscada  erro, omissão, falha de procedimentos  falta, erro, correção de resultados  Formado por rotinas e informações operacionais e de controle  Recursos humanos, materiais, tecnológicos  Abordagem do parâmetro de controle interno  Abordagem da fraqueza buscada  erro, omissão, falha de procedimentos  falta, erro, correção de resultados  Formado por rotinas e informações operacionais e de controle  Recursos humanos, materiais, tecnológicos

13 1313 Forma de Atuação  Através dos sistemas de informações  Através do centro de computação  Através dos processos ou resultados Analisando  Rotinas operacionais  Informações operacionais  Rotinas de controle  Informações de controle  Através dos sistemas de informações  Através do centro de computação  Através dos processos ou resultados Analisando  Rotinas operacionais  Informações operacionais  Rotinas de controle  Informações de controle

14 1414 Ponto de Controle  É a situação do ambiente computacional caracterizada como de interesse para validação e avaliação  Processo  sistema  módulo de um sistema  banco de dados  tabela de um banco de dados (arquivo)  coluna de uma tabela (campo)  linhas na tabela (registros)  Objetos de uma classe.  É a situação do ambiente computacional caracterizada como de interesse para validação e avaliação  Processo  sistema  módulo de um sistema  banco de dados  tabela de um banco de dados (arquivo)  coluna de uma tabela (campo)  linhas na tabela (registros)  Objetos de uma classe.

15 1515  Identificação dentro do ambiente  Caracterização em termos de recursos, processos e resultados  Análise de risco  parâmetros do controle interno  fraquezas passíveis de ocorrer  Identificação dentro do ambiente  Caracterização em termos de recursos, processos e resultados  Análise de risco  parâmetros do controle interno  fraquezas passíveis de ocorrer Auditoria do Ponto de Controle Técnica de auditoria x Risco Aplicar a técnica de auditoria Analisar os resultados apurados Apresentar uma opinião

16 1616 Ciclo de Vida do Ponto de Controle Ponto de Controle identificado Início Auditoria Ponto de Auditoria Fraquezas? Fim NN SS Avaliar? SS NN

17 1717 Análise de Risco  Conhecer o ambiente a ser auditado  levantamento de dados  fluxo do processamento  inventário de recursos humanos e materiais  arquivos processados (bancos de dados)  relatórios e consultas produzidos  estudo da documentação do ambiente  complementação de informações  visita ao ambiente computacional  entrevistas com os profissionais do ambiente  Conhecer o ambiente a ser auditado  levantamento de dados  fluxo do processamento  inventário de recursos humanos e materiais  arquivos processados (bancos de dados)  relatórios e consultas produzidos  estudo da documentação do ambiente  complementação de informações  visita ao ambiente computacional  entrevistas com os profissionais do ambiente

18 1818 Análise de Risco 2  Planejamento da auditoria  conhecimento do ambiente computacional  determinação dos Pontos de Controle  estabelecimento dos objetivos de validação e avaliação dos Pontos de Controle  técnicas de auditoria  prazos de execução da validação  custos incorridos com a validação  nível de tecnologia exigida do auditor  natureza da fraqueza do controle internos passível de ser alcançada  Planejamento da auditoria  conhecimento do ambiente computacional  determinação dos Pontos de Controle  estabelecimento dos objetivos de validação e avaliação dos Pontos de Controle  técnicas de auditoria  prazos de execução da validação  custos incorridos com a validação  nível de tecnologia exigida do auditor  natureza da fraqueza do controle internos passível de ser alcançada

19 1919 Análise de Risco 3  Planejamento da auditoria (cont)  análise da sensibilidade de cada Ponto de Controle  matriz Ponto de Controle, Parâmetro, Voto, Fraqueza do Controle, Voto, Técnica de Auditoria a aplicar, Voto, Voto Médio  hierarquização dos Pontos de Controle  documentação do processo de planejamento da auditoria  Planejamento da auditoria (cont)  análise da sensibilidade de cada Ponto de Controle  matriz Ponto de Controle, Parâmetro, Voto, Fraqueza do Controle, Voto, Técnica de Auditoria a aplicar, Voto, Voto Médio  hierarquização dos Pontos de Controle  documentação do processo de planejamento da auditoria

20 2020 Produtos Gerados  Relatórios de Fraquezas de Controle Interno  Objetivos do projeto de auditoria  pontos de controle auditados  conclusão sobre cada ponto de controle  alternativas de solução propostas (pontos de recomendação)  Certificado de Controle Interno  Não devemos ter neuras por certificação externa ou interna, porém, não custa ter o mínimo necessário à saúde tecnológica da empresa.  Relatórios de Fraquezas de Controle Interno  Objetivos do projeto de auditoria  pontos de controle auditados  conclusão sobre cada ponto de controle  alternativas de solução propostas (pontos de recomendação)  Certificado de Controle Interno  Não devemos ter neuras por certificação externa ou interna, porém, não custa ter o mínimo necessário à saúde tecnológica da empresa.

21 2121 Técnicas de AS  Questionário  Simulação de dados (test-deck)  Visita in loco  Mapeamento estatístico  Rastreamento  Entrevista  JAD  Questionário  Simulação de dados (test-deck)  Visita in loco  Mapeamento estatístico  Rastreamento  Entrevista  JAD  Análise relatório / tela  Simulação paralela  Análise de log  Análise de programa fonte  Snapshot  Observação  Delphos  Análise relatório / tela  Simulação paralela  Análise de log  Análise de programa fonte  Snapshot  Observação  Delphos

22 2222 Auditoria do Ambiente Computacional  Sistemas em operação  Desenvolvimento de sistemas  Centro de computação  Gestão  Segurança  Sistemas em operação  Desenvolvimento de sistemas  Centro de computação  Gestão  Segurança

23 2323 Workshop  Analise o CPD de sua empresa e tente identificar (sem exploração profunda) as vulnerabilidades existentes.  Identifique pelo menos quatro processos de TI (não vale processos negociais), clarificando seus insumos de entrada e produtos de saída.  Analise o CPD de sua empresa e tente identificar (sem exploração profunda) as vulnerabilidades existentes.  Identifique pelo menos quatro processos de TI (não vale processos negociais), clarificando seus insumos de entrada e produtos de saída.

Carregar ppt "O conjunto de módulos deste curso foram adaptados a partir de trabalho do Prof. Henrique J. Brodbeck."

Apresentações semelhantes

Auditoria de Sistemas de Informação

Auditoria de Sistemas de Informação
Auditoria de Controles Organizacionais

Auditoria de Controles Organizacionais
Administração e segurança de redes

Administração e segurança de redes
Modernização da Gestão

Modernização da Gestão
ENGENHEIRIA DE PRODUÇÃO

ENGENHEIRIA DE PRODUÇÃO
AUDITORIA INTERNA & GOVERNANÇA CORPORATIVA

AUDITORIA INTERNA & GOVERNANÇA CORPORATIVA
Gestão Estratégica de Operações

Gestão Estratégica de Operações
Auditoria de Sistemas ● Introdução

Auditoria de Sistemas ● Introdução
Disciplina:Tópicos Avançados de Sistemas de Informação

Disciplina:Tópicos Avançados de Sistemas de Informação
Gerenciamento da Integração

Gerenciamento da Integração
Simulação de Sistemas Prof. MSc Sofia Mara de Souza AULA2.

Simulação de Sistemas Prof. MSc Sofia Mara de Souza AULA2.
Implementação de Sistemas

Implementação de Sistemas
Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias marcely.dias@unibratec.edu.br.

Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias
Infraestrutura de tecnologia da informação

Infraestrutura de tecnologia da informação
Código de Ética – Auditoria de Sistemas

Código de Ética – Auditoria de Sistemas
Capítulo 4 Auditoria de Sistemas

Capítulo 4 Auditoria de Sistemas
2º Bimestre Os testes de Auditoria

2º Bimestre Os testes de Auditoria
SGI Apresentação Técnica.

SGI Apresentação Técnica.
Auditoria de Sistemas Aula 1.

Auditoria de Sistemas Aula 1.
Planejamento e Execução da Auditoria

Planejamento e Execução da Auditoria

Apresentações semelhantes

Anúncios Google