Auditoria de Sistemas-Revisado

Auditoria de Sistemas
Auditoria de sistemas
Prof. Flvio Muniz Morais PMP Qualquer dvida nas atividades da disciplina : fmunizm@gmail.com 61 91429384 Colocar no assunto do e-mail UNICESP - [nome - disciplina] e ligar informando que enviou o material para evitar desencontros Aulas - dias 26/5, 9, 14, 16 e 21/6 Avaliao Entrega do trabalho na ltima aula - 10 pontos Evitar Notebooks durante as explicaes e manter os celulares desligados ou no modo silencioso Pode atender fora de sala Obs.: 4 chamadas por dia Qualquer necessidade especfica favor informar
Avaliao
Individual ou em duplas Valor: 10 pontos Entre os roteiros apresentados*, cada grupo (ou indivduo) dever selecionar ao menos dois e, com base nesses itens selecionados, planejar, executar e apresentar um relatrio de auditoria, aplicvel a uma organizao escolhida pelo grupo, contendo no mnimo: Planejamento - Objetivos da auditoria, escopo da auditoria, equipe necessria, reas envolvidas , tcnicas e perodo de trabalho Execuo Roteiro elaborado preenchido com o resultado da avaliao, as evidncias coletadas e eventuais observaes Relatrio de auditoria resumo do trabalho executado, informaes e recomendaes sobre os pontos verificados e concluso da auditoria. Enviar o trabalho at o ltimo dia de aula da disciplina para fmunizm@gmail.com ou entregar pessoalmente em meio magntico. No sero recebidos documentos impressos.
* nos roteiros apresentados, (C-Controle e P de Passo)
Auditoria
Processo sistemtico, documentado e independente para obter evidncias de auditoria e avali-las objetivamente para determinar a extenso na qual os critrios da auditoria so atendidos (NBR ISO 19011:2002) Confirmam a implementao de mudanas aprovadas, aes corretivas, reparo de defeitos e aes preventivas.
Podem ser:
Internas (ou de primeira parte) Conduzidas pela prpria organizao, ou em seu nome, para anlise crtica pela Direo e outros propsitos internos e podem formar a base para uma autodeclarao de conformidade da organizao.
Externas (de segunda ou terceira parte): Segunda Parte Realizadas por partes que tem algum interesse na organizao tais como clientes ou outras pessoas em seu nome. Pode ser realizada, por exemplo, por fora de contrato. Terceira Parte Realizadas por organizaes externas de auditoria independente, tais como organizaes que provem certificados ou registros de conformidade (ISO, SOX, CMMI etc)
Auditoria
Critrios de auditoria Conjunto de polticas, procedimentos ou requisitos. So usados como uma referncia contra a qual a evidncia de auditoria comparada.
Evidncia de Auditoria Registros, apresentao de fatos ou outras informaes, pertinentes aos critrios de auditoria e verificveis. Pode ser qualitativa ou quantitativa. Constataes de auditoria Resultados da avaliao da evidncia de auditoria coletada, comparada com os critrios de auditoria. Indicam a conformidade ou a no-conformidade com os critrios de auditoria ou oportunidade para melhoria.
Auditoria
Plano de auditoria
Descrio das atividades e arranjos necessrios para uma auditoria Escopo da Auditoria Abrangncia e limites de uma auditoria. O escopo da auditoria geralmente inclui uma descrio das localizaes fsicas, unidades organizacionais, atividades e processos, bem como o perodo de tempo coberto Concluso de auditoria Resultado de uma auditoria apresentado pela equipe de auditoria aps levar em considerao os objetivos da auditoria e todas as constataes de auditoria
1) A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas e padres.
DIAS, Cludia Segurana e Auditoria da Tecnologia da Informao. Axcel Books do Brasil, Rio de Janeiro, 2000.
2) A auditoria de sistemas o ramo da auditoria que revisa e avalia os controles internos informatizados, visando: proteger os ativos da organizao; manter a integridade e autenticidade dos dados; atingir eficaz e eficientemente os objetivos da organizao.
Auditoria de SI instrumento da direo, dos acionistas, do ambiente externo e dos usurios para: opinar, avaliar e validar a qualidade dos dados, das informaes e dos sistemas que a geram e mantm, em termos de segurana, confiabilidade e eficincia. Pode ser Interna ou Externa Exige conhecimentos de TI
Forma de atuao da auditoria

Compreenso do ambiente: levantamento e documentao Anlise do ambiente, situaes sensveis: anlise de risco Elaborao de massa de testes: escopo do teste, dados de teste, resultados padro esperados Aplicao do teste: simulao do comportamento do sistema e processos Anlise do teste e julgamento dos resultados Emisso de opinio sobre o ambiente: recomendaes
Forma de atuao da auditoria

Discusso com os profissionais do ambiente sobre as alternativas de soluo: ajuste ou substituio Acompanhamento da implantao da alternativa escolhida Auditoria da funcionalidade da soluo implantada Novas auditorias de sistemas (follow-up)
O que Auditar?
Operaes
Processos Sistemas Responsabilidades gerenciais Recursos humanos e materiais
Desafios da Auditoria de Sistemas

Auditores defasados em relao evoluo tecnolgica Falta de profissionais combinada de auditoria e TI com experincia
Organizaes no tiram proveito adequado das auditorias foco em punio ao invs da evoluo corporativa
Desafios da Auditoria de Sistemas

Complexidade crescente do ambiente computacional Plataforma alta x plataforma baixa Terminais x estaes autnomas
Desenvolvimento em camadas
Redes de computadores grande quantidade de Ambiente atual protocolos de comunicaes Distribuio geogrfica de sistemas, dados e/ou usurios
Controle Interno
Controle interno em um sistema de informao: Planos organizacionais e coordenao de um conjunto de mtodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a exatido e a veracidade de registros contbeis, promover a efetividade de sistemas de informaes contbeis e eficincia operacional, assim como fomentar uma grande adeso s polticas da organizao
(Instituto Americano de Contadores Pblicos)
Controle Interno
nfase da auditoria nos processos computacionais e na administrao de TI Certificar a qualidade intrnseca dos sistemas e dos processos Por exemplo:
Determinado sistema tem como objetivo reduzir o nmero de funcionrios envolvidos em determinada atividade. Este objetivo foi atingido?
Controle Interno e Auditoria

Administrao por confronto
Ambiente de contestao, buscando otimizao, eficincia, eficcia e segurana Como podemos melhorar a TI?
Administrao por exceo

onde atuar? que subconjunto avaliar e validar? otimizao da anlise de risco Vamos verificar o que se apresentar fora do esperado.
Ponto de Controle
subconjunto submetido auditoria alto risco
Vamos monitorar o funcionamento de determinados pontos de controle.
Parmetros de Controle Interno

Controle Interno Sistemas
Fidelidade da informao em relao ao dado; Segurana fsica; Segurana lgica; Confidencialidade; Segurana ambiental; Obedincia legislao.
Controle Interno Administrativo

Eficincia; Eficcia; Obedincia s polticas da administrao.
Ponto de Controle
a situao do ambiente computacional caracterizada como de interesse para validao e avaliao do(a) sistema mdulo de um sistema banco de dados tabela de um banco de dados (arquivo) coluna de uma tabela (campo) linhas na tabela (registros) Recursos humanos, materiais, tecnolgicos
Auditoria do Ponto de Controle

Identificao dentro do ambiente Caracterizao em termos de recursos, processos e resultados Anlise de risco parmetros do controle interno fraquezas passveis de ocorrer
Ciclo de Vida do Ponto de Controle

Incio
Ponto de Controle identificado
Avaliar?
Fraquezas?
Ponto de Auditoria
Auditoria
Fim
Anlise de Risco
Conhecer o ambiente a ser auditado
Identificar os pontos vulnerveis do ambiente
levantamento de dados fluxo do processamento inventrio de recursos humanos e materiais arquivos processados (bancos de dados) relatrios e consultas produzidos estudo da documentao do ambiente complementao de informaes visita ao ambiente computacional entrevistas com os profissionais do ambiente
Planejamento da auditoria
Planejamento da auditoria Conhecimento do ambiente computacional Determinao dos Pontos de Controle Estabelecimento dos objetivos de validao e avaliao dos Pontos de Controle tcnicas de auditoria (entrevista, verificao de documentos, testes de sistema etc) prazos de execuo da validao custos incorridos com a validao nvel de tecnologia exigida do auditor natureza da fraqueza do controle internos passvel de ser alcanada
Planejamento da auditoria
Planejamento da auditoria Anlise da sensibilidade de cada Ponto de Controle Pontos de Controle, Parmetro, Fraqueza do Controle, Tcnica de Auditoria a aplicar Hierarquizao dos Pontos de Controle Documentao do processo de planejamento da auditoria
Produtos Gerados
Relatrios de Fraquezas de Controle Interno Objetivos do projeto de auditoria pontos de controle auditados concluso sobre cada ponto de controle alternativas de soluo propostas (pontos de recomendao) Certificado de Controle Interno
Tcnicas de Auditoria de Sistemas

Questionrio Simulao de dados (test-deck) Visita in loco Mapeamento estatstico Rastreamento(seguir a trilha) Entrevista Anlise relatrio / tela Simulao paralela Anlise de log Anlise de programa fonte Snapshot
Tcnicas de Anlise de Sistemas

Condicionadas ao ambiente computacional existente e ao conhecimento do AS Normalmente uso combinado de diversas tcnicas, padres da rea de AS Conhecimento bsico de simulao e modelagem importante diferencial Uso da tcnica reflete plano de auditoria desenvolvido Correlaciona arquivos, tabula e analisa o contedo Usualmente gerando cpia da base real
Etapas da Auditoria da Base de Dados

Anlise do fluxo do sistema Identificao do arquivo, tabela ou BD a ser auditado Entrevista analista / usurio Identificao cdigo / layout arquivo Elaborao sistema para auditoria / definio do sw para auditoria Cpia BD / arquivo para auditoria Aplicao do sistema de auditoria Anlise dos resultados Emisso do relatrio Documentao do processo de auditoria
Questionrio para auditoria

Elaborao de conjunto de perguntas com objetivo de verificar determinado Ponto de Controle Verificar aderncia aos parmetros de Controle Interno Dados quantitativos, se possvel Via rede, entrevista, in loco, etc... Etapas: analisar Ponto de Controle e elaborar questionrio / pr-teste
Questionrio para auditoria

Etapas: Definir populao / selecionar amostra Instrues de como responder Distribuir / remeter questionrios Controlar recebimento Analisar respostas Relacionar com parmetros de avaliao do Ponto de Controle Elaborar relatrio
Simulao de Dados (Test-Deck)

Tcnica mais utilizada para testes em sistemas computacionais Uso de tcnicas de simulao de modelagem de sistemas Elaborao de conjunto de dados de teste a ser submetido ao sistema ou processo (rotina) sob auditoria Simular situaes corretas e incorretas
Simulao de Dados (Test-Deck)

Etapas: compreenso do mdulo do sistema simulao dos dados de teste elaborao de formulrios de controle do teste transcrio dos dados do teste preparao do ambiente de teste processamento dos dados de teste avaliao dos resultados emisso de opinio sobre o Ponto de Controle
Visita in-loco
Corresponde atuao pessoal do auditor junto a sistemas, procedimentos e instalaes do ambiente auditado Procedimentos formais:
marcar hora / definir elemento surpresa mnimo questionrio semi-estruturado registros formais / latentes registro de hora / durao / participantes (ata) analisar respostas e situao identificada relatrio de fraquezas do Controle Interno
Entrevistas
Reunio entre auditor e auditado Uso conjunto com questionrio, visita in loco, test-deck, etc. Etapas:
analisar Ponto de Controle e preparar reunio com auditado elaborar questionrio / roteiro definir procedimentos (chefias / individuais) realizar reunio / respostas / latente preparar ata da reunio / distribuir anlise das respostas emisso relatrio das fraquezas do PC
Mapeamento estatstico - mapping

Tcnica de computao utilizada para efetuar verificaes durante o processamento de programas Insero de rotinas especficas nos sistemas em uso ou software de apoio Verificar situaes tipo:
rotinas mais utilizadas (freqncias) rotinas fraudulentas / irregulares / desativadas
Rastreamento de programas
Tcnica que possibilita seguir o caminho de uma transao durante o processamento de um programa Lista a seqncia de instrues do cdigo executada para determinada rotina Identificar rotinas fraudulentas Diversos ambientes implementam funes tipo tracing, usadas no debug de sistemas em desenvolvimento
Anlise de relatrio / telas

Tcnica tpica de avaliao de resultado, no tocante a eficcia do sistema Usualmente envolvem desativao / redefinio total / parcial de telas / relatrios / documentos (procedimentos)
Anlise de relatrio / telas

Etapas: Elaborar check-list de aderncia processo de negcio suportado / telas, relatrios, docs Marcar reunio com usurios / grupos Realizar reunies / registrar observaes e contedos latentes Analisar respostas Formar e emitir opinio sobre Controle Interno envolvido
Simulao paralela
Elaborao de programa para simular as funes de rotina do sistema sob auditoria Utiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk) Etapas: levantamento e identificao, via documentao do sistema, da rotina auditada e arquivos / BD elaborao programa de simulao preparao do ambiente computacional para executar programa (dados reais)
Anlise de log/accounting
Arquivo gerado pelo sistema (SO, BD, Sistema) que contm registros da utilizao do hardware ou software em questo Permite verificao da intensidade de uso dos dispositivos componentes de uma configurao, rede e software aplicativo e de apoio Facilidade tpica de ambientes computacionais que pode e deve ser utilizada e incrementada pelo Auditor de Sistemas
Anlise de log/accounting
Normalmente utilizado como indicadores de qualidade e performance do ambiente computacional, planejamento de capacidade de configurao, rede, etc. Requer conhecimento de informtica e trabalho conjunto com pessoal da rea de computao Uso: identificar ineficincia no uso de recursos, desbalanceamento de configurao, erros de programas ou operao, uso de programas fraudulentos ou indevidos, acessos indevidos.
Anlise de programa fonte

Anlise visual do cdigo fonte, tambm chamado de teste de mesa Envolve necessidade de profundo conhecimento do ambiente computacional por parte do Auditor de Sistemas Permite verificar: uso de normas de padronizao de cdigo de rotinas, arquivos, BD, programas, etc. qualidade do sistema e documentao vcios de programao e atendimentos s caractersticas da linguagem / ambiente
Snapshot
Tcnica que fornece listagem ou gravao do contedo das variveis do programa em determinada rotina em execuo Corresponde a um dump de memria, na rea de dados Necessita de software especfico rodando junto com o aplicativo (como tracing e mapping) Tcnica usada na depurao de programas, que requer forte conhecimento do ambiente computacional pelo AS
Auditoria do Ambiente Computacional

Sistemas em operao Desenvolvimento de sistemas Centro de computao Gesto Segurana
Princpios de Segurana da Informao

Integridade
As informaes devem manter suas caractersticas, devendo ser alteradas apenas por quem tiver permisso adequada
Disponibilidade
As informaes devem estar disponveis aos usurios autorizados, no momento oportuno
Confidencialidade
As informaes devem estar disponveis apenas aos usurios autorizados
A segurana no deve custar mais do que o ativo que est sendo protegido
Segurana de Informaes
Classificao das Informaes (exemplos) Pblica Interna Confidencial Restrita Conscientizao Permanente de Usurios Acordos de No-Divulgao Cdigo de tica
Plano de Contingncia
Planejamento Estratgico da Continuidade Anlise de Riscos Potenciais Planos de Contingncia Departamentais Comunicao e Treinamento Validao e Testes Revises Peridicas
Testes de Segurana
Mapeamento da rede Scan de vulnerabilidades Testes de intruso Teste e avaliao de segurana Quebra de senhas Reviso de logs Verificao de integridade Deteco de virus
Software de Auditoria
um software que prov meios para obter acesso e manipulao de dados mantidos em sistemas computacionais Obteno direta de evidncias viabilizando julgamento de qualidade sobre dados / aplicaes / sistemas Motivado pelos problemas da diversidade dos ambientes computacionais
Funcionalidades tpicas:
acesso a arquivos (diferentes formatos) reorganizao de arquivos (sort/merge) seleo (extrao de dados qualificados, SQL) estatsticas (random, amostragem, anlises estatsticas bsicas, exportao de dados) aritmticas (operadores aritmticos, clculos) anlise de freqncia e estratificao reporting (padres, estatsticas gerais atributos selecionados, com problemas)
Atividades apoiadas:
exame da qualidade dos dados exame da qualidade dos processos (simulaes paralelas) examinar a existncia das entidades que os dados representam (modelo-mundo real via amostragem selecionada no sw) revises analticas (pasta de auditoria) extrao de dados anlise de regresso (tendncias e modelagem) criar BD dados chave e indicadores chave temporais
Limitaes funcionais
somente auditoria ex post (aps fato, somente aps o processamento) limitao para verificar a lgica de processamento verifica dados, no a lgica limitao para verificar propenso a erros envolve avaliao da qualidade do desenvolvimento para suportar mudanas no sistema
Fim

Auditoria de Sistemas-Revisado

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Auditoria de Sistemas-Revisado

Загружено:

Авторское право:

Доступные форматы

Auditoria de Sistemas

Forma de atuao da auditoria

Forma de atuao da auditoria

Desafios da Auditoria de Sistemas

Desafios da Auditoria de Sistemas

Controle Interno e Auditoria

Administrao por exceo

Parmetros de Controle Interno

Controle Interno Administrativo

Auditoria do Ponto de Controle

Ciclo de Vida do Ponto de Controle

Ponto de Controle identificado

Tcnicas de Auditoria de Sistemas

Tcnicas de Anlise de Sistemas

Etapas da Auditoria da Base de Dados

Questionrio para auditoria

Questionrio para auditoria

Simulao de Dados (Test-Deck)

Simulao de Dados (Test-Deck)

Mapeamento estatstico - mapping

Anlise de relatrio / telas

Anlise de relatrio / telas

Anlise de programa fonte

Auditoria do Ambiente Computacional

Princpios de Segurana da Informao

Вам также может понравиться