Академический Документы
Профессиональный Документы
Культура Документы
Auditoria de sistemas
Auditoria de Sistemas
Auditoria de Sistemas
Prof. Flvio Muniz Morais PMP Qualquer dvida nas atividades da disciplina : fmunizm@gmail.com 61 91429384 Colocar no assunto do e-mail UNICESP - [nome - disciplina] e ligar informando que enviou o material para evitar desencontros Aulas - dias 26/5, 9, 14, 16 e 21/6 Avaliao Entrega do trabalho na ltima aula - 10 pontos Evitar Notebooks durante as explicaes e manter os celulares desligados ou no modo silencioso Pode atender fora de sala Obs.: 4 chamadas por dia Qualquer necessidade especfica favor informar
Auditoria de Sistemas
Avaliao
Individual ou em duplas Valor: 10 pontos Entre os roteiros apresentados*, cada grupo (ou indivduo) dever selecionar ao menos dois e, com base nesses itens selecionados, planejar, executar e apresentar um relatrio de auditoria, aplicvel a uma organizao escolhida pelo grupo, contendo no mnimo: Planejamento - Objetivos da auditoria, escopo da auditoria, equipe necessria, reas envolvidas , tcnicas e perodo de trabalho Execuo Roteiro elaborado preenchido com o resultado da avaliao, as evidncias coletadas e eventuais observaes Relatrio de auditoria resumo do trabalho executado, informaes e recomendaes sobre os pontos verificados e concluso da auditoria. Enviar o trabalho at o ltimo dia de aula da disciplina para fmunizm@gmail.com ou entregar pessoalmente em meio magntico. No sero recebidos documentos impressos.
* nos roteiros apresentados, (C-Controle e P de Passo)
Auditoria de Sistemas
Auditoria
Processo sistemtico, documentado e independente para obter evidncias de auditoria e avali-las objetivamente para determinar a extenso na qual os critrios da auditoria so atendidos (NBR ISO 19011:2002) Confirmam a implementao de mudanas aprovadas, aes corretivas, reparo de defeitos e aes preventivas.
Podem ser:
Internas (ou de primeira parte) Conduzidas pela prpria organizao, ou em seu nome, para anlise crtica pela Direo e outros propsitos internos e podem formar a base para uma autodeclarao de conformidade da organizao.
Externas (de segunda ou terceira parte): Segunda Parte Realizadas por partes que tem algum interesse na organizao tais como clientes ou outras pessoas em seu nome. Pode ser realizada, por exemplo, por fora de contrato. Terceira Parte Realizadas por organizaes externas de auditoria independente, tais como organizaes que provem certificados ou registros de conformidade (ISO, SOX, CMMI etc)
Auditoria de Sistemas
Auditoria
Critrios de auditoria Conjunto de polticas, procedimentos ou requisitos. So usados como uma referncia contra a qual a evidncia de auditoria comparada.
Evidncia de Auditoria Registros, apresentao de fatos ou outras informaes, pertinentes aos critrios de auditoria e verificveis. Pode ser qualitativa ou quantitativa. Constataes de auditoria Resultados da avaliao da evidncia de auditoria coletada, comparada com os critrios de auditoria. Indicam a conformidade ou a no-conformidade com os critrios de auditoria ou oportunidade para melhoria.
Auditoria de Sistemas
Auditoria
Plano de auditoria
Descrio das atividades e arranjos necessrios para uma auditoria Escopo da Auditoria Abrangncia e limites de uma auditoria. O escopo da auditoria geralmente inclui uma descrio das localizaes fsicas, unidades organizacionais, atividades e processos, bem como o perodo de tempo coberto Concluso de auditoria Resultado de uma auditoria apresentado pela equipe de auditoria aps levar em considerao os objetivos da auditoria e todas as constataes de auditoria
Auditoria de Sistemas
Auditoria de sistemas
1) A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas e padres.
DIAS, Cludia Segurana e Auditoria da Tecnologia da Informao. Axcel Books do Brasil, Rio de Janeiro, 2000.
2) A auditoria de sistemas o ramo da auditoria que revisa e avalia os controles internos informatizados, visando: proteger os ativos da organizao; manter a integridade e autenticidade dos dados; atingir eficaz e eficientemente os objetivos da organizao.
Auditoria de Sistemas
Auditoria de sistemas
Auditoria de SI instrumento da direo, dos acionistas, do ambiente externo e dos usurios para: opinar, avaliar e validar a qualidade dos dados, das informaes e dos sistemas que a geram e mantm, em termos de segurana, confiabilidade e eficincia. Pode ser Interna ou Externa Exige conhecimentos de TI
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
O que Auditar?
Operaes
Processos Sistemas Responsabilidades gerenciais Recursos humanos e materiais
Auditoria de Sistemas
Organizaes no tiram proveito adequado das auditorias foco em punio ao invs da evoluo corporativa
Auditoria de Sistemas
Desenvolvimento em camadas
Redes de computadores grande quantidade de Ambiente atual protocolos de comunicaes Distribuio geogrfica de sistemas, dados e/ou usurios
Auditoria de Sistemas
Controle Interno
Controle interno em um sistema de informao: Planos organizacionais e coordenao de um conjunto de mtodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a exatido e a veracidade de registros contbeis, promover a efetividade de sistemas de informaes contbeis e eficincia operacional, assim como fomentar uma grande adeso s polticas da organizao
(Instituto Americano de Contadores Pblicos)
Auditoria de Sistemas
Controle Interno
nfase da auditoria nos processos computacionais e na administrao de TI Certificar a qualidade intrnseca dos sistemas e dos processos Por exemplo:
Determinado sistema tem como objetivo reduzir o nmero de funcionrios envolvidos em determinada atividade. Este objetivo foi atingido?
Auditoria de Sistemas
Ponto de Controle
subconjunto submetido auditoria alto risco
Vamos monitorar o funcionamento de determinados pontos de controle.
Auditoria de Sistemas
Auditoria de Sistemas
Ponto de Controle
a situao do ambiente computacional caracterizada como de interesse para validao e avaliao do(a) sistema mdulo de um sistema banco de dados tabela de um banco de dados (arquivo) coluna de uma tabela (campo) linhas na tabela (registros) Recursos humanos, materiais, tecnolgicos
Auditoria de Sistemas
Auditoria de Sistemas
Avaliar?
Fraquezas?
Ponto de Auditoria
Auditoria
Fim
Auditoria de Sistemas
Anlise de Risco
Conhecer o ambiente a ser auditado
Identificar os pontos vulnerveis do ambiente
levantamento de dados fluxo do processamento inventrio de recursos humanos e materiais arquivos processados (bancos de dados) relatrios e consultas produzidos estudo da documentao do ambiente complementao de informaes visita ao ambiente computacional entrevistas com os profissionais do ambiente
Auditoria de Sistemas
Planejamento da auditoria
Planejamento da auditoria Conhecimento do ambiente computacional Determinao dos Pontos de Controle Estabelecimento dos objetivos de validao e avaliao dos Pontos de Controle tcnicas de auditoria (entrevista, verificao de documentos, testes de sistema etc) prazos de execuo da validao custos incorridos com a validao nvel de tecnologia exigida do auditor natureza da fraqueza do controle internos passvel de ser alcanada
Auditoria de Sistemas
Planejamento da auditoria
Planejamento da auditoria Anlise da sensibilidade de cada Ponto de Controle Pontos de Controle, Parmetro, Fraqueza do Controle, Tcnica de Auditoria a aplicar Hierarquizao dos Pontos de Controle Documentao do processo de planejamento da auditoria
Auditoria de Sistemas
Produtos Gerados
Relatrios de Fraquezas de Controle Interno Objetivos do projeto de auditoria pontos de controle auditados concluso sobre cada ponto de controle alternativas de soluo propostas (pontos de recomendao) Certificado de Controle Interno
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
Visita in-loco
Corresponde atuao pessoal do auditor junto a sistemas, procedimentos e instalaes do ambiente auditado Procedimentos formais:
marcar hora / definir elemento surpresa mnimo questionrio semi-estruturado registros formais / latentes registro de hora / durao / participantes (ata) analisar respostas e situao identificada relatrio de fraquezas do Controle Interno
Auditoria de Sistemas
Entrevistas
Reunio entre auditor e auditado Uso conjunto com questionrio, visita in loco, test-deck, etc. Etapas:
analisar Ponto de Controle e preparar reunio com auditado elaborar questionrio / roteiro definir procedimentos (chefias / individuais) realizar reunio / respostas / latente preparar ata da reunio / distribuir anlise das respostas emisso relatrio das fraquezas do PC
Auditoria de Sistemas
Auditoria de Sistemas
Rastreamento de programas
Tcnica que possibilita seguir o caminho de uma transao durante o processamento de um programa Lista a seqncia de instrues do cdigo executada para determinada rotina Identificar rotinas fraudulentas Diversos ambientes implementam funes tipo tracing, usadas no debug de sistemas em desenvolvimento
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas
Simulao paralela
Elaborao de programa para simular as funes de rotina do sistema sob auditoria Utiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk) Etapas: levantamento e identificao, via documentao do sistema, da rotina auditada e arquivos / BD elaborao programa de simulao preparao do ambiente computacional para executar programa (dados reais)
Auditoria de Sistemas
Anlise de log/accounting
Arquivo gerado pelo sistema (SO, BD, Sistema) que contm registros da utilizao do hardware ou software em questo Permite verificao da intensidade de uso dos dispositivos componentes de uma configurao, rede e software aplicativo e de apoio Facilidade tpica de ambientes computacionais que pode e deve ser utilizada e incrementada pelo Auditor de Sistemas
Auditoria de Sistemas
Anlise de log/accounting
Normalmente utilizado como indicadores de qualidade e performance do ambiente computacional, planejamento de capacidade de configurao, rede, etc. Requer conhecimento de informtica e trabalho conjunto com pessoal da rea de computao Uso: identificar ineficincia no uso de recursos, desbalanceamento de configurao, erros de programas ou operao, uso de programas fraudulentos ou indevidos, acessos indevidos.
Auditoria de Sistemas
Auditoria de Sistemas
Snapshot
Tcnica que fornece listagem ou gravao do contedo das variveis do programa em determinada rotina em execuo Corresponde a um dump de memria, na rea de dados Necessita de software especfico rodando junto com o aplicativo (como tracing e mapping) Tcnica usada na depurao de programas, que requer forte conhecimento do ambiente computacional pelo AS
Auditoria de Sistemas
Auditoria de Sistemas
Disponibilidade
As informaes devem estar disponveis aos usurios autorizados, no momento oportuno
Confidencialidade
As informaes devem estar disponveis apenas aos usurios autorizados
A segurana no deve custar mais do que o ativo que est sendo protegido
Auditoria de Sistemas
Segurana de Informaes
Classificao das Informaes (exemplos) Pblica Interna Confidencial Restrita Conscientizao Permanente de Usurios Acordos de No-Divulgao Cdigo de tica
Auditoria de Sistemas
Plano de Contingncia
Planejamento Estratgico da Continuidade Anlise de Riscos Potenciais Planos de Contingncia Departamentais Comunicao e Treinamento Validao e Testes Revises Peridicas
Auditoria de Sistemas
Testes de Segurana
Mapeamento da rede Scan de vulnerabilidades Testes de intruso Teste e avaliao de segurana Quebra de senhas Reviso de logs Verificao de integridade Deteco de virus
Auditoria de Sistemas
Software de Auditoria
um software que prov meios para obter acesso e manipulao de dados mantidos em sistemas computacionais Obteno direta de evidncias viabilizando julgamento de qualidade sobre dados / aplicaes / sistemas Motivado pelos problemas da diversidade dos ambientes computacionais
Auditoria de Sistemas
Software de Auditoria
Funcionalidades tpicas:
acesso a arquivos (diferentes formatos) reorganizao de arquivos (sort/merge) seleo (extrao de dados qualificados, SQL) estatsticas (random, amostragem, anlises estatsticas bsicas, exportao de dados) aritmticas (operadores aritmticos, clculos) anlise de freqncia e estratificao reporting (padres, estatsticas gerais atributos selecionados, com problemas)
Auditoria de Sistemas
Software de Auditoria
Atividades apoiadas:
exame da qualidade dos dados exame da qualidade dos processos (simulaes paralelas) examinar a existncia das entidades que os dados representam (modelo-mundo real via amostragem selecionada no sw) revises analticas (pasta de auditoria) extrao de dados anlise de regresso (tendncias e modelagem) criar BD dados chave e indicadores chave temporais
Auditoria de Sistemas
Software de Auditoria
Limitaes funcionais
somente auditoria ex post (aps fato, somente aps o processamento) limitao para verificar a lgica de processamento verifica dados, no a lgica limitao para verificar propenso a erros envolve avaliao da qualidade do desenvolvimento para suportar mudanas no sistema
Auditoria de Sistemas
Fim