Auditoria de Sistemas de Informação Prof.: Cheila Bombana

Metodologia de Auditoria - Processo Alinhamento das Expectativas da Administração Planejamento/ Levantamento das Informações Análise do Ambiente de Negócio e TI Análise e Teste dos Controles/ Follow-Up Comunicação dos Resultados

Metodologia de Auditoria - Processo Garantir o entendimento único entre todas as partes envolvidas Alinhar as expectativas e os produtos finais Obter o comprometimento! Análise do Negócio da Empresa Atuação, Estratégias, Planejamento/Metas Entendimento das Forças Internas e Externas Organograma atual

Presidência Executiva Análise Organograma Presidência Executiva Auditoria de Sistemas Administrativo Financeiro Compras Vendas Recursos Humanos Tecnologia da Informação

Planejamento Aqui devem ser estabelecidos os recursos necessários para a execução dos trabalhos de auditoria, a área de verificação, as metodologias, os objetivos de controle e os procedimentos a serem adotados. A equipe deve reunir a maior quantidade possível de informações sobre a entidade auditada e seu ambiente de informática.

Planejamento Esse conhecimento prévio permite ao auditor ter uma visão geral do grau de complexidade do sistema e, então, estabelecer os recursos e os conhecimentos técnicos necessários à equipe de auditoria. Informações técnicas a serem coletadas: tipo de hardware, sistema operacional, softwares de segurança de rede, banco de dados, linguagens de programação, ferramentas de apoio ao desenvolvimento de sistemas e os responsáveis por cada recurso ou área auditada.

Planejamento O próximo passo é delimitar a atuação da auditoria, definindo o campo, o âmbito e as subáreas a serem auditadas. As auditorias de informática normalmente possuem natureza operacional, ou seja, visam examinar aspectos econômicos, de eficiência e eficácia do sistema. O objeto pode englobar um sistema computacional específico; uma, várias ou todas as seções do departamento de informática.

Planejamento O período da auditoria será diretamente proporcional com o grau de profundidade das investigações (âmbito) e das subáreas que serão escolhidas pela equipe. Também deve ser definido o âmbito. Deve ser determinada a amplitude e a exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados.

Planejamento Após a definição do campo e do âmbito da auditoria, é definida a área de verificação. Ela delimita de forma precisa os temas da auditoria e, em função do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em subáreas.

Planejamento Área de Verificação Campo Âmbito Objeto Período Natureza Segurança de Informações da Empresa. De 01/03/2012 à 01/07/2012. Auditoria de TI. Avaliação de eficiência dos controles. Sub 1 Sub 2 Sub 3 Controles de Acesso Físico. Controles de Acesso Lógico. Backup.

Planejamento É também na fase de planejamento que definem-se os recursos que serão usados na auditoria. Recursos Humanos: para selecionar especialistas para executar a auditoria, é necessário avaliar o tamanho dos sistemas, o grau de sofisticação, a complexidade do ambiente computacional do auditado e o nível de experiência necessário para executar as tarefas. Recursos Econômicos: a equipe deve fazer uma previsão dos gastos, especialmente se a auditoria envolver viagens e contratação de mão-de-obra especializada. Recursos Técnicos: avaliar quais são os recursos de hardware, software e manuais técnicos que serão necessários para a auditoria.

Planejamento É necessário definir quais metodologias podem ser utilizadas na auditoria. Um metodologia pode ser desde uma simples observação em visitas a instituição, até o uso de técnicas ou ferramentas de apoio. A seguir citamos alguns exemplos de metodologia.

Planejamento Entrevistas: ao longo da auditoria podem ser feitas diversas entrevistas com funcionários da instituição. Entrevista de Apresentação: entrevista inicial na qual os auditores se apresentam aos dirigentes da instituição, visando explanar o plano de atividades, os objetivos da auditoria e as áreas que serão auditadas. Entrevista de Coleta de Dados: durante a execução da auditoria podem ser feitas entrevistas com dirigentes e funcionários da entidade. Nestas entrevistas é possível detectar pontos fortes, falhas e possíveis irregularidades nos sistemas.

Planejamento Entrevista de Discussão das Deficiências Encontradas: ao final das investigações podem ser feitas reuniões com os responsáveis de cada área auditada, afim de discutir as deficiências detectadas e as possíveis soluções que podem ser aplicadas. Entrevista de Encerramento: esta entrevista é feita no final dos trabalhos, onde são apresentados os resultados finais da auditoria. Obs.: Todas as declarações citadas nas entrevistas devem ser documentadas.

Planejamento Ferramentas ou Técnicas de Apoio: a informática também pode ser usada para realizar as tarefas de auditoria. Técnicas para Análise dos Dados: são ferramentas para extração de dados, amostragem e análise de logs. Técnicas para Verificação de Controles de Sistemas: estas técnicas permitem testar a confiabilidade dos sistemas e ainda determinar se estão operando corretamente. Podemos citar como exemplo: ferramentas para comparação de programas, simuladores e rastreadores de processamento.

Técnicas de Auditoria Programas de Computador Correlaciona arquivos, tabula e analisa o conteúdo dos mesmos. Passos: - Análise do fluxo do sistema - Identificação do arquivo a ser auditado - Entrevista com o analista / usuário - Identificação do código / layout do arquivo - Elaboração do programa para auditoria - Cópia do arquivo a ser auditado - Aplicação do programa de auditoria - Análise dos resultados - Emissão de relatórios - Documentação

Técnicas de Auditoria Questionário a distância Verifica a adequação do ponto de controle aos parâmetros de controle interno (segurança física, lógica, eficácia, eficiência, etc). Analisa: - Segurança em redes de computadores - Segurança do centro de computação - Eficiência no uso de recursos computacionais - Eficácia de sistemas aplicativos Passos: - Análise do ponto de controle - Elaboração do questionário - Seleção dos profissionais que irão responder o questionário - Elaboração de instruções - Distribuição / remessa dos formulários - Controle do recebimento pelo usuário - Análise das respostas - Formação de opinião quanto às respostas - Elaboração do relatório de auditoria

Técnicas de Auditoria Simulação de dados (test deck) Elaboração de massa de teste a ser submetida ao programa ou rotina. Deve prever as seguintes situações: - Transações com campos inválidos - Transações com valores nos limites - Transações incompletas - Transações incompatíveis - Transações em duplicidade Passos: - Compreensão da lógica do programa - Simulação dos dados (pertinentes ao teste a ser realizado) - Elaboração dos formulários de controle - Transcrição dos dados para o computador - Preparação do ambiente de teste - Processamento do teste - Avaliação dos resultados - Emissão de opinião sobre o teste

Técnicas de Auditoria Visita in loco Consiste na atuação do pessoal de auditoria junto ao pessoal de sistemas e instalações. Passos: - Marcar data e hora para visita - Anotar procedimentos e acontecimentos - Anotar nomes das pessoas e data e hora das visitas - Analisar a documentação obtida - Emitir opinião via relatório

Técnicas de Auditoria Mapeamento estatístico (mapping) Permite verificar situações como: - Rotinas não utilizadas - Quantidade de vezes que cada rotina foi utilizada - Rotinas existentes em programas mas já desativadas - Rotinas mais utilizadas - Rotinas fraudulentas ou irregulares - Rotinas de controle

Técnicas de Auditoria Rastreamento de programas Possibilita seguir o caminho de uma transação durante o processamento do programa. (debugar) Objetiva identificar as inadequações e ineficiência na lógica de um programa.

Técnicas de Auditoria Entrevista no ambiente computacional Realização de reuniões entre o auditor e o auditado. Passos: - Analisar o ponto de controle - Planejar a reunião - Elaborar o questionário da entrevista - Realizar a reunião - Elaborar ata da reunião - Analisar a entrevista - Emitir relatório da auditoria

Técnicas de Auditoria Análise de relatórios/telas Analisar relatórios e tela no que se refere a: - Nível de utilização pelo usuário - Esquema de distribuição e número de vias - Grau de confidencialidade - Forma de utilização de integração com outras telas / relatórios - Padronização dos layouts - Distribuição das informações conforme layout Passos: - Relacionar telas e relatórios por usuário - Obter modelo ou cópia de todas as telas / relatórios - Elaborar um check-list para levantamento - Marcar data e hora para obter opniões dos usuários - Realizar entrevistas e anotar opiniões - Analisar as respostas - Emitir opinião

Técnicas de Auditoria Análise de relatórios/telas Permite detectar: - Relatórios e telas não mais utilizados - Layout inadequado - Distribuição indevida de vias - Confidencialidade não respeitada.

Técnicas de Auditoria Análise de log Verifica o uso dos dispositivos componentes de uma configuração ou rede de computadores e do software aplicativo. Permite verificar: - Ineficiência do uso do computador - Configuração do computador (dispositivos com folga ou sobrecarregados) - Determinação de erros de programa ou de operação - Uso de programas fraudulentos ou utilização indevida - Tentativas de acesso indevidas.

Técnicas de Auditoria Análise de log Passos: - Entrevistar o pessoal de software básico e Planejamento e Controle da Produção para entender o software / hardware existentes, layout do log accounting, etc. - Decidir parâmetros para utilização do log/ accounting (tipos de verificação a serem feitas, período de tempo para auditoria, data do teste, etc). - Aplicar o log / accounting - Analisar os resultados - Emitir opinião

Técnicas de Auditoria Análise do programa fonte Consiste na análise visual do programa e na comparação da versão do objeto que está sendo executado com o objeto resultante da última versão do programa fonte compilado. Permite verificar: - Se o programador cumpriu as normas de padronização do código (tabelas de rotinas, arquivos, programas). - Qualidade de estruturação do programa fonte. Esta técnica requer um grande conhecimento de computação

Planejamento Definição dos objetivos de controle e os procedimentos de auditoria. Obetivos de controle - Modelo normativo, um conjunto de padrões, de como as atividades deveriam estar sendo feitas. Os procedimentos de auditoria descrevem com mais detalhe o que deve ser verificado dentro de cada um dos objetivos de controle

Planejamento Exemplo - Na área de segurança das informações, um dos objetivos pode ser o estabelecimento de regras para acesso a documentos confidenciais. Assim podemos dizer que os procedimentos de auditoria serão: verificar se há documentos formais que justifiquem a necessidade de autenticação do usuário; verificar se existem procedimentos que definam os recursos computacionais que poderão ser acessados e os tipos de transações que poderão ser executadas para cada usuário autorizado.

Planejamento Resumo Definir o campo e o âmbito da auditoria. Definir a área de verificação e suas subáreas. Selecionar os Objetivos de Controle. Elaborar os procedimentos de auditoria.

Execução É na execução da auditoria que a equipe deve reunir evidências confiáveis, relevantes e úteis para a consecução dos objetivos de auditoria. As evidências podem ser divididas em 4 tipos: Evidência Física: observações de atividades desenvolvidas pelos funcionários, sistemas em funcionamento, local, equipamentos, etc.

Execução Evidência Documentária: resultados de extração de dados, registros de transações, listagens, etc. Evidência fornecida pelo Auditado: resultados de entrevistas, cópias de documentos, fluxogramas, políticas internas, e-mails, relatórios publicados pelo auditado, etc. Evidência Analítica: comparações, cálculos e interpretações de documentos.

Execução Toda essa documentação deve estar disponível para elaboração do relatório. Nem tudo entra no relatório. Mas tudo deve ser documentando e arquivado.

Relatório A equipe normalmente apresenta seus achados e conclusões na forma de relatório escrito, o qual inclui fatos, comprovações, conclusões e recomendações ou determinações. A linguagem utilizada deve ser clara. a utilização de termos técnicos deve ser acompanhada de glossário.

Relatório O relatório pode ser iniciado já na fase de planejamento. Ao término das investigações em cada área auditada, é recomendável apresentar um relatório parcial contendo as deficiências encontradas. O relatório final deve ser revisado por todos os membros.

Relatório Produtos gerados pela Auditoria Relatório de Fraquezas de controle interno • Objetivo do projeto de auditoria • Pontos de controle auditados • Conclusão alcançada a cada ponto de controle • Alternativas de solução propostas

Relatório Produtos gerados pela Auditoria Certificado de Controle Interno Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.

Relatório Produtos gerados pela Auditoria Relatório de redução de custos Tem por objetivo explicitar as economias financeiras a serem feitas com a adoção das recomendações efetuadas. Serve de base para a realização das análises de retorno de investimento e do custo/beneficio da auditoria de sistemas.

Relatório Produtos gerados pela Auditoria Manual da auditoria do ambiente auditado Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toda a documentação anterior já citada.

Relatório Produtos gerados pela Auditoria Pastas contendo a documentação da auditoria de sistemas Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.

Relatório A estrutura dos relatórios pode variar. Exemplo de Estrutura de um Relatório: Síntese: a síntese aparece antes do corpo do relatório. Seu objetivo é apresentar um breve resumo de seu conteúdo. Ele apresenta uma visão rápida dos principais pontos detalhados no corpo do relatório.

Relatório Dados da Auditoria: neste item são apresentados os dados sobre a auditoria, tais como objetivo, período da fiscalização, composição da equipe, metodologia adotada, natureza da auditoria e objeto. Introdução: a introdução pode conter um breve histórico sobre a entidade. É recomendável incluir descrição da estrutura hierárquica do departamento de informática.

Relatório Detalhamento dos Objetivos de Controle: essa é a parte mais importante do relatório, pois apresenta, todos os pontos avaliados na auditoria, detalhando as falhas e irregularidades detectadas durante a auditoria. É aconselhável subdividir este capítulo nas subáreas fiscalizadas. Conclusão: aqui são resumidos os pontos principais do relatório e as recomendações finais da equipe para a correção das falhas.

Apresentação dos resultados da auditoria à alta administração Objetividade na transmissão dos resultados • Esclarecimento das discussões realizadas entre a auditoria e os auditados • Clareza nas recomendações das alternativas de solução • Coerência da atuação da Auditoria • Apresentação da documentação gerada • Explicação do conteúdo de cada documento.