Академический Документы
Профессиональный Документы
Культура Документы
Auditoria de Sistemas de Informtica ou Riscos Tecnolgicos uma atividade independente que tem como misso o Gerenciamento de risco Operacional envolvido e avaliar a adequao das tecnologias e sistemas de informao utilizados na organizao atravs da reviso e avaliao dos controles, desenvolvimento de sistemas, procedimentos de TI, infraestrutura, operao, desempenho e Segurana da informao que envolve o processamento de informaes crticas para a tomada de deciso.
Objetivos
A auditoria de sistemas um processo realizado por profissionais capacitados e consiste em reunir, agrupar e avaliar evidncias para determinar se um sistema de informao suporta adequadamente um ativo de negcio, mantendo a integridade dos dados, e realiza os objetivos esperados, utiliza eficientemente os recursos e cumpre com as regulamentaes e leis estabelecidas. Permite detectar de forma automtica o uso dos recursos e dos fluxos de informao dentro de uma empresa e determinar qual informao crtica para o cumprimento de sua misso e objetivos, identificando necessidades, processos repetidos, custos, valor e barreiras que impactam fluxos de informao eficientes. Deve compreender no somente os equipamentos de processamento de dados ou algum procedimento especfico, mas sim suas entradas, processos, controles, arquivos, segurana e extratores de informaes, alm disso, deve avaliar todo o ambiente envolvido: Equipamentos, Centro de processamento de dados e Software. Auditar consiste principalmente em avaliar mecanismos de controle que esto implantados em uma empresa ou organizao, determinando se os mesmos so adequados e cumprem com seus determinados objetivos ou estratgias, estabelecendo as mudanas necessrias para a obteno dos mesmos. Os mecanismos de controle podem ser de preveno, deteco, correo ou recuperao aps uma contingncia. Os objetivos da auditoria de sistemas so a emisso de um parecer (ou uma nota) sobre:
O controle da rea de Tecnologia; A anlise da eficincia dos Sistemas de Informao; A verificao do cumprimento das legislaes e normativos a qual esto sujeitos; A gesto eficaz dos recursos de informtica.
A Auditoria de sistemas contribui para a melhoria constante do negcio suportado pela Tecnologia, nos seguintes aspectos:
Confidencialidade; Privacidade.
Governana Corporativa; Administrao do Ciclo de Vida dos Sistemas; Servios de Entrega e Suporte; Proteo de Dados e Segurana da Informao; Planos de Continuidade de Negcio e Recuperao de Desastres.
O auditor de sistemas
O auditor de sistemas verifica a eficcia dos controles e procedimentos de segurana existentes, a eficincia dos processos em uso, a correta utilizao dos recursos disponveis, assessorando a administrao na elaborao de planos e definio de metas, colaborando no aperfeioamento dos controles internos, apontando deficincias e irregularidades que possam comprometer a segurana e o desempenho organizacional. Com a larga utilizao da tecnologia para o armazenamento das informaes contbeis, financeiras e operacionais, o auditor de sistemas tem de se aprimorar no campo de atuao (processos) da organizao para extrair, analisar banco de dados envolvidos e suportar decises das demais reas de auditoria. A necessidade global de referncias nesse assunto, para o exerccio dessa profisso, promoveram a criao e desenvolvimento de melhores prticas como COBIT, COSO, ISO 27001 e ITIL Atualmente a certificao CISA Certified Information Systems Auditor, oferecida pela ISACA Information Systems and Control Association uma das mais reconhecidas e avaliadas por organismos internacionais, j que o processo de seleo consta de uma prova extensa que requer conhecimentos avanados, alm de experincia profissional e a necessidade de manter-se sempre atualizado, atravs de uma poltica de educao continuada (CPE) na qual o portador da certificao deve acumular carga horria de treinamento por perodo estabelecido. A formao acadmica do auditor de sistemas pelos motivos acima acaba sendo multidisciplinar: anlise de sistemas, cincia de computao, administrao com nfase em TI, advocacia com foco em Direito da informtica - direito digital e correlatos.
Tipos de auditoria
Existem diversos tipos de Auditorias de Sistemas, sendo os principais, mas no se limitando a: Auditoria de Planejamento e Gesto:
Atendimento a regulamentaes locais e internacionais, exemplos: Lei SarbanesOxley, Basileia II, Comisso de Valores Mobilirios, etc.
Classificao dos dados, atualizao, bancos de dados, aplicativos, acessos, estudo dos fluxos (entradas e sadas) de transmisso, controles de verificao qualidade e confiabilidade das informaes.
Mtodos de autenticao, autorizao, criptografia, gesto de certificados digitais, segurana de redes, gesto dos usurios, configurao de antivrus, atualizaes, polticas, normas, manuais operacionais.
Avaliao de localidades e riscos ambientais: vidas (capital intelectual), furto/roubo, acesso, umidade, temperatura, acidentes, desastres, etc. e as protees: permetros de segurana, cmeras, sensores, guardas, dispositivos, protees do ambiente.
Validao dos processos de gesto de projetos, cumprimento de metodologia de qualidade, oramentos previstos e realizados e avaliao de desvios.
Processos para averiguar disponibilidade e robustez do ambiente a erros, acidentes e fraudes das operaes em servidores, estaes, software, hardware e canais de comunicao.
garantir que os recursos empregados para seu trabalho so utilizados de forma eficiente, o auditor dever definir nveis de materialidade. O auditor deve considerar aspectos qualitativos e quantitativos para determinar a materialidade. A avaliao do risco deve ser realizada para prover certo grau de conforto que todos os itens de materialidade relevante sero devidamente cobertos pelos trabalhos de auditoria. Essa anlise deve identificar reas que tm alto risco de existncia de problemas com materialidade relevante ao negcio.
Materialidade
Avaliando impacto material, o Auditor de Sistemas deve considerar:
O nvel de erros aceitveis gesto do processo, auditorias internas, auditorias externas, agncias reguladoras e legislaes. O potencial de efeito cumulativo de pequenos erros ou fraquezas tornarem-se materiais, nesse caso, de relevncia significativa.
Enquanto estabelece a materialidade o auditor pode estar realizando auditorias de itens no-financeiros, como Controle de acesso fsico, lgico, sistemas de gesto de pessoas, gesto de recursos, desenvolvimento, controle de qualidade, gerao de senhas. Nesse caso, deve-se identificar materialidade, com foco nos objetivos esperados do processo de negcio avaliado para que este atinja seus objetivos de controle interno. Quando no existem transaes financeiras envolvidas, pode se utilizar outras formas de medir a materialidade:
Nvel de criticidade do processo suportado pelas operaes ou sistemas avaliados. Custo do sistema ou operao (hardware, software, contratos com fornecedores). Custo potencial de erros ou falhas aos quais sistemas ou operao esto sujeitos. Nmero de acessos/transaes/requisies processadas por perodo. Multas por falhas no cumprimento de requisitos legais e contratuais.
Um risco qualquer evento ou ao, gerada interna ou externamente, que impede uma organizao a atingir seus objetivos. Os riscos afetam os objetivos de controle em diversas reas da informao: integridade, preciso, temporalidade para tomada de deciso, habilidade de acesso ao sistema e confidencialidade/privacidade das informaes, apenas para enumerar alguns impactos relacionados. A Anlise de Risco permite que o auditor determine o escopo da auditoria e avalie o nvel de risco de auditoria e risco de erros (o risco de erros que ocorrem na rea sendo auditada). Adicionalmente, a anlise de risco, ou anlise de impacto ao negcio (BIA) auxiliar em decises como:
A natureza, escopo e cronograma dos trabalhos. As reas de negcio a serem auditadas. Tempo e recursos necessrios associados a cada trabalho de auditoria planejado.
Descrio da tcnica de Anlise de Risco utilizada A identificao dos riscos com maior significncia Os riscos que a auditoria ir abordar As evidncias de auditoria utilizadas para suportar a anlise de risco do auditor.
Ciclo de Vida
A auditoria de sistemas obedece s mesmas etapas que Auditorias tradicionais, abaixo:
Identificar reas de risco na organizao: financeiro, operacional, regulatrio; Entender a dependncia de Tecnologia da informao nos processos crticos; Acompanhamento da implantao de Recomendaes das auditorias passadas; Estabelecer cronograma de atuao.
Planejamento
Obter informaes sobre o processo: fluxos, polticas, normas e procedimentos; Visualizar pontos de controle s vulnerabilidades identificadas; Estabelecer planos de testes para abrang-los; Obter referncias de boas prticas para a confeco de testes; Definir responsveis pelas frentes de trabalho.
Realizao
Validar itens levantados com o auditado; Formalizar mtodos de testes e concluses em documentao de trabalho; Reunir principais incidncias de controles para discusso. Melhoria continua
Concluso
Discutir planos de ao com o Auditado; Estabelecer datas-limite para a resoluo dos problemas de acordo com o risco e impacto envolvidos; Submeter relatrio final aprovao da Alta Administrao; Arquivar para acompanhamento da implantao.
Acompanhamento
Monitorar datas-limite acordadas; Reavaliar a situao atual; Emitir opinio sobre a nova situao do controle frente ao requerido para a manuteno de nvel aceitvel de risco.
Amostragem de auditoria
Uma auditoria de sistemas pode ser desempenhada de modo massificado: ou seja, 100% de todos os documentos e dados disponveis ou atravs de amostragem dessa populao. A amostragem de auditoria a aplicao de procedimentos para utilizar um percentual inferior a 100% da populao, a fim de possibilitar ao Auditor de Sistemas avaliar evidncias que o possibilite formular uma concluso a respeito dessa populao. Ao desenhar o tamanho e a estrutura da amostra, o Auditor de Sistemas deve considerar os objetivos da auditoria determinados no planejamento, a natureza da populao e mtodos de seleo de Amostras.
Selecionando a amostra
O Auditor deve selecionar item de amostragem de forma a serem representativos na populao. Os tipos mais comuns de amostragem so:
Amostragem Estatstica
Amostragem Aleatria permite que todas as combinaes da amostra na populao tm uma chance igual de seleo. Amostragem Sistemtica permite a seleo de ocorrncias na amostra, utilizando intervalos de selees com o primeiro intervalo iniciando de forma aleatria.
Amostragem no Estatstica
Amostragem por Escolha o auditor seleciona a amostra sem uma tcnica estruturada. Anlise Julgamental o auditor estabelece um critrio para a amostra. Por exemplo, selecionar somente unidades acima de um determinado valor.
A seleo do tamanho da amostra afetada pelo nvel de risco ou materialidade que essa amostra representa no processo avaliado. O Risco da amostra o risco que uma amostra mal escolhida poder influenciar na opinio final do auditor, em comparao se esse tivesse utilizado a populao inteira. Uma vez que as amostras foram selecionadas para testes, estes procedimentos devem ser adequadamente documentados nos papis de trabalho.
Tcnica de amostragem utilizada Percentuais considerados Layout de Arquivos, Sistemas considerados Rotinas, cdigos fontes, ferramentas de CAAT utilizadas Parmetros de seleo
O auditor pode iniciar os testes de auditoria atravs de Tcnicas de Auditoria Auxiliadas por Computador (CAATs) ou TAACs, discutidos brevemente abaixo.
Software Especializado para Auditoria (SEA) permitem ao auditor realizar testes em arquivos e bancos de dados, exemplos: ACL, IDEA, etc. Software de Auditoria Adaptado (SAA) geralmente desenvolvidos por auditores para desempenhar tarefas especficas, so necessrios quando os sistemas da empresa no so compatveis aos SEA, ou quando o auditor quer
realizar testes no possveis com os SEA, exemplos rotinas em: Easy Trieve, SQL+, SAS, etc. Teste de Dados ou Reclculo de Operaes O auditor testa os dados para verificar os controles empregados no sistema atravs de validao nestes dados, alm disso, observa-se a preciso destes dados processados pelo sistema. Essa tcnica utilizada para validao de dados e rotinas de deteco de erros, processamento de controles lgicos e clculos aritmticos, apenas para numerar algumas possibilidades. Simulao em Paralelo - O auditor utiliza as informaes do sistema para mapear e construir os passos a serem simulados em outra ferramenta a fim de chegar ao mesmo resultado do sistema. Testes integrados-o auditor submete parmetros de teste com dados reais, sem impactar na rotina normal de processamento do sistema.
Coleta de Evidncias
Atravs do uso de CAATs, o auditor ser capaz de obter evidncias suficientes para suportar suas concluses finais de auditoria de sistemas. A evidncia de auditoria deve ser suficiente, confivel, relevante e capaz de auxiliar o auditor a formular a opinio e concluses sobre o processo avaliado. Se o auditor no ter dados suficientes para tal, ele/ela deve sair a campo para obter mais evidncias. Procedimentos para isso variam dependendo do sistema sendo auditado. O auditor deve selecionar o teste mais adequado para alcaar o objetivo da auditoria. Alguns listados abaixo podem ser considerados:
As evidncias de auditoria obtidas devem ser documentadas e organizadas para suportar os levantamentos e concluses do auditor. Por fim, quando o auditor crer que estes no so possveis de ser obtidos por qualquer razo, esse fato deve ser documentado no Relatrio de Auditoria como limitao de escopo do trabalho.