AUDITORIA_SIST_MOD1

Prévia do material em texto

Prof. Airton Sartore
AUDITORIA DE SISTEMAS
Modulo 1
Auditoria de Sistemas
Prof. Airton Sartore
- Diferenciar as etapas da auditoria, bem como gerenciar os
recursos necessários nesse processo;
- Identificar ferramentas e técnicas que podem vir a serem
utilizadas em um processo de auditoria;
- Definir itens que devem ser avaliados na escolha de um
software de auditoria de sistemas.
Objetivos Gerais
Auditoria de Sistemas
Prof. Airton Sartore
- Conhecer as principais definições e conceitos relacionados à
auditoria de sistemas de informação;
- Estabelecer asfases necessárias para realização da auditoria,
bem como acompanhar a sua execução;
- Empregar ferramentas e técnicas diferenciadas na execução
dos trabalhos de auditoria de sistemas de informação;
- Analisar o tipo adequado de auditoria que será mais aderente
aos negócios da organização;
-Relacionar os itens que devem ser avaliados na escolha de
um software de auditoria de sistemas.
Objetivos Específicos
Auditoria de Sistemas
Prof. Airton Sartore
Conceitos básicos de auditoria de sistemas de informação;
Fases para Realização de uma Auditoria;
Ferramentas de auditoria;
Técnicas de auditoria;
Tipos de auditoria;
Emissão de relatórios de auditoria.;
Avaliação de software de auditoria de sistemas.
Conteúdo Programático
Auditoria de Sistemas
Prof. Airton Sartore
Bibliografia Básica
BRAZ, Márcio R. Auditoria de TI: O Guia de Sobrevivencia. 1. ed.
Brasília: Asé Editorial, 2017;
CASATI, João Paulo. Auditoria de sistemas. 1. ed. Rio de Janeiro:
SESES, 2016;
ONOME, Joshua. Auditoria de Sistemas de Informação. 3. ed. São
Paulo: Atlas, 2016.
Auditoria de Sistemas
Prof. Airton Sartore
Bibliografia Complementar
CARDOSO, Afonso. Auditoria de sistemas de gestão integrada
(Biblioteca Virtual). 1. ed. São Paulo: Pearson, 2015;
FONTES, Edison Luiz Gonçalves. Praticando a segurança da
informação. Rio de Janeiro: Brasport, 2008;
IMONIANA, Joshua Onome. Auditoria de sistemas de informação. São
Paulo: Atlas, 2008;
LYRA, Maurício R. L. Segurança e Auditoria em Sistemas de
Informação. 1. ed. São Paulo: Planeta, 2009;
LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de
Informação. Rio de Janeiro: Editora Ciência Moderna, 2008.
Auditoria de Sistemas
Prof. Airton Sartore
RESOLUÇÃO Nº 035/CONSEPE/2006/AR
O aluno será avaliado em três etapas:
 AV-1
 AV-2
 e
 AV-3,
Sendo a cada uma delas atribuído grau de 0,0 (zero) a 10,0 (dez) pontos.
Para aprovação, o aluno deverá atender, SIMULTANEAMENTE, duas
condições:
1) ter freqüência mínima de 75%
2) alcançar média aritmética superior a 6,0 (seis), dentre as DUAS
 MAIORES NOTAS, sendo que a MENOR delas deve ser igual ou
 superior a 4,0 (quatro)
3) o resultado da MÉDIA obtida no item anterior será o GRAU
 FINAL do aluno.
CRITÉRIO DE AVALIAÇÃO
Auditoria de Sistemas
Prof. Airton Sartore
Para as avaliações AV1 e AV2, 20 % do grau poderá ser obtido da
seguinte forma:
 - Trabalhos em equipe, com apresentações e discussão das
 conclusões;
 - Estudos de Casos;
 - Seminários
CRITÉRIO DE AVALIAÇÃO (Cont.)
Auditoria de Sistemas
Prof. Airton Sartore
INTERVALOS:
Lanchar na Cantina.
TELEFONE CELULAR:
Desligar ao entrar na sala de aula.
PRESENÇA:
Professor não controla faltas
Faltas permitidas: X
FALTAS REPROVAM
Auditoria de Sistemas
Prof. Airton Sartore
Os avanços tecnológicos na área de informática têm surpreendido a todos no
mundo dos negócios, na medida em que a tecnologia de informação e os
sistemas de informação evoluem e tornam-se mais sofisticados, assumindo
papel significativo na própria viabilização dos novos negócios de uma empresa.
Com o processo da globalização e a velocidade dos avanços tecnológicos, a
busca por informação se tornou alvo comum de toda a sociedade. As grandes
empresas não mais sobrevivem sem o uso de um sistema bem formulado, e com
eles podem surgir muitos problemas de vulnerabilidades, lentidão, falhas e
distorções nas informações das empresas, em consequencia de sistemas mal
testados, documentação deficiente e, em certos casos, da pouca importância
dada ao emprego da tecnologia de informação (TI).
Para assegurar a integridade e confiabilidade das informações, tornam-se
necessárias medidas de controle e segurança de sistemas de informação em
operação.
Cabe à auditoria de sistemas de informação validar e avaliar os resultados
gerados pelos sistemas informatizados, a eficiência dos processos concluídos e
a segurança e confiabilidade das informações.
Nesse contexto, a disciplina apresenta os conceitos básicos que se aplicam a
uma auditoria de sistemas de informação e destaca as etapas necessárias para
realização da auditoria, bem como os controles a serem verificados em um
processo real de trabalho.
Auditoria de Sistemas
Prof. Airton Sartore
Unidade I: Conceitos básicos de auditoria de sistemas de
informação
1.1.Fundamentos de auditoria.
1.2.Tipos de auditoria.
1.3.Equipe de auditoria.
1.4.Desenvolvimento da carreira do auditor.
Auditoria de Sistemas
Prof. Airton Sartore
1.1.Fundamentos de auditoria.
A auditoria de sistemas de informação visa verificar a conformidade não
dos aspectos contábeis da organização, mas sim do próprio ambiente
informatizado, garantindo a integridade dos dados manipulados pelo
computador.
Assim, ela estabelece e mantém procedimentos documentados para
planejamento e utilização dos recursos computacionais da empresa,
verificando aspectos de segurança e qualidade.
O trabalho da auditoria de sistemas acontece com o estabelecimento de
metodologias, objetivos de controle e procedimentos a serem adotados
por todos aqueles que operam ou são responsáveis por equipamentos
de TI e/ou sistemas dentro da organização.
Auditoria de Sistemas
Prof. Airton Sartore
• O que é auditoria de sistemas?
– Verificação de conformidade:
• Verifica se padrões, normas e políticas
estão sendo devidamente seguidos
– Segurança da Informação
• Controles de acesso, serviços e recursos
Auditoria de Sistemas
Prof. Airton Sartore
• Por que auditoria em sistemas?
– Aumento do uso de sistemas de informação
– Dependência das organizações nos dados
gerados por sistemas
– Garantir a qualidade do serviço oferecido
– Evitar fraudes e desvios
– Outros...
Auditoria de Sistemas
Prof. Airton Sartore
• Funções administrativas:
O papel do auditor
• O auditor é:
– Um verificador do trabalho realizado
• O auditor faz:
– Validação
• Executa testes para validar o processo
– Avaliação
• Julga a medida adquirida nos testes
Auditoria de Sistemas
Prof. Airton Sartore
O perfil do Auditor de sistemas
• Possuir conhecimento técnico e prático em
Sistemas de Informação
• Possuir uma visão abrangente da empresa
• Vestir-se e comunicar-se formalmente
• Comportamento de liderança
• Não aceitar presentes
Auditoria de Sistemas
Prof. Airton Sartore
A carreira do auditor de sistemas
• Deve possuir conhecimentos em auditoria além
de conhecimentos em sistemas!
• Existem dois tipos de auditoria:
– Interna: auditor é funcionário da empresa
auditada
– Externa: auditor é funcionário de empresa
especializada em auditoria
Auditoria de Sistemas
Prof. Airton Sartore
• Certificações:
– ISACA: Certified Information System Auditor
(CISA)
– British Computer Society: Exame da
Sociedade Britânica de Informática
– Institute of Internal Auditors (IIA):
Qualificação em Auditoria Computacional
Auditoria de Sistemas
Prof. Airton Sartore
O auditor deve manter-se atualizado quanto
às inovações tecnológicas!
• O desenvolvimento da carreira pode ser
dividido emduas partes:
– O auditor possui conhecimento em TI
– O auditor não possui conhecimento em TI
Auditoria de Sistemas
Prof. Airton Sartore
• O auditor que não possui conhecimento em
TI deve especializar-se em:
– Conceitos de TI
– Linguagens de Programação
– Redes de Computadores
– Modelagem de Sistemas
– Entre outros tópicos...
Auditoria de Sistemas
Prof. Airton Sartore
• O auditor que possui conhecimento em TI
deve especializar-se em:
– Emissão de Relatórios
– Gerenciamento de Riscos
– Propriedade Intelectual
– Planos de Contingência
– Banco de Dados
– Entre outros tópicos
Auditoria de Sistemas
Prof. Airton Sartore
A auditoria de sistemas nas organizações
• A equipe de auditoria:
– Deve ter autonomia
– Deve ter permissão de acesso aos sistemas
e às informações necessárias
É preciso que a auditoria seja ligada
diretamente à presidência!
Auditoria de Sistemas
Prof. Airton Sartore
Organograma
Auditoria de Sistemas
Prof. Airton Sartore
• Principais problemas encontrados:
– Defasagem tecnológica
– Falta de bons profissionais
– Falta de cultura da empresa
– Tecnologia variada e abrangente
Auditoria de Sistemas
Prof. Airton Sartore
• Organização da auditoria:
– Não há regra fixa, porém, pode-se adotar:
• Segurança da Informação
• TI
• Aplicativos
Auditoria de Sistemas
Prof. Airton Sartore
• Segurança da Informação:
– Confidencialidade
– Integridade
– Disponibilidade
– Consistência
– Confiabilidade
Auditoria de Sistemas
Prof. Airton Sartore
• TI:
– Mudanças Organizacionais
– Operações de Sistemas
– Hardware
– Computação em Nuvem
– Sistemas ERP
– Data Warehousing
Auditoria de Sistemas
Prof. Airton Sartore
• Aplicativos:
– Desenvolvimento de software
– Entrada, Processamento e Saída de
Dados
– Conteúdo de Aplicativos
– Funcionamento de Aplicativos
30
 1) Como podemos definir o que é um
 auditor?
31
 1) Como podemos definir o que é um
 auditor?
Como um verificador do
trabalho realizado.
32
 2) No organograma de uma organização,
onde deve ser incluída a auditoria?
33
 2) No organograma de uma organização,
 onde deve ser incluída a auditoria?
Diretamente ligada à
presidência.
34
3) Qual é uma importante tarefa do
auditor que quer ser bem sucedido em
sua carreira?
35
3) Qual é uma importante tarefa do
auditor que quer ser bem sucedido em
sua carreira?
Manter-se atualizado
quanto às novas
tecnologias.
36
4) O que é a verificação de
conformidade?
37
4) O que é a verificação de
conformidade?
Verificar se normas,
padrões e políticas
preestabelecidas estão
sendo devidamente
cumpridas.
Auditoria de Sistemas
Prof. Airton Sartore
Auditoria de Sistemas
Prof. Airton Sartore
Abordagens de Auditoria de Sistemas
• As diferentes abordagens consideram o uso
do computador.
• Existem 3 tipos de abordagens:
1) Ao redor do computador
2) Através do computador
3) Com o computador
Auditoria de Sistemas
Prof. Airton Sartore
1) Abordagem ao redor do computador:
– Considerada mais antiga
– Uso de rotinas manuais
– Não exige muito conhecimento de TI
– Aplicável a sistemas de menor
complexidade e tamanho
Auditoria de Sistemas
Prof. Airton Sartore
1) Abordagem ao redor do computador:
– Vantagens:
• Baixo custo
• Não exige muito conhecimento em TI
– Desvantagens:
• Falta de padronização
• Dificuldade de avaliação de resultados
Auditoria de Sistemas
Prof. Airton Sartore
2) Abordagem através do computador:
– O computador é utilizado como ferramenta
– Melhoria da abordagem anterior
– Pode-se verificar constantemente áreas
que necessitam de monitoria constante
– Requisição de documentos-fonte de
diversas maneiras diferentes
Auditoria de Sistemas
Prof. Airton Sartore
2) Abordagem através do computador:
– Vantagens
• Maior confiabilidade nas medidas
• Realização de testes mais completos
– Desvantagens
• Aumento de custo
• Perdas se a programação for incorreta
Auditoria de Sistemas
Prof. Airton Sartore
3) Abordagem com o computador:
– Busca a maior perfeição possível no
processo de auditoria
– Completamente assistida por computador
– Busca resolver os problemas das
abordagens anteriores
Auditoria de Sistemas
Prof. Airton Sartore
3) Abordagem com o computador (Cont.)
– Objetivos:
• Uso do computador para efetuar cálculos
• Fazer compilação dos resultados
automatizados e manuais
• Ordenação e seleção de registros
• Desenvolvimento de programas
específicos
Auditoria de Sistemas
Prof. Airton Sartore
Padrões e código de ética
Visam apresentar regras para o
exercício da profissão, reduzindo a falta
de padronização dos termos.
Auditoria de Sistemas
Prof. Airton Sartore
• Padrões definidos (EUA):
– Responsabilidade, autoridade e prestação
de contas
– Independência profissional
– Ética profissional e padrões
– Competência
– Planejamento
– Emissão de relatório
– Atividades de follow-up
Auditoria de Sistemas
Prof. Airton Sartore
• Código de ética (ISACA):
1. Apoiar a implementação de padrões
sugeridos para procedimentos e
controles dos sistemas de informação e
encorajar seu cumprimento
2. Exercer suas funções com objetividade
e zelo profissional, seguindo padrões
profissionais e melhores práticas
Auditoria de Sistemas
Prof. Airton Sartore
• Código de ética (ISACA):
3) servir aos interesses dos stakeholders de
forma legal e honesta, com alto padrão de
conduta e caráter profissional e
desencorajar atos de descrédito à profissão
4) manter a privacidade e a confidencialidade
das informações obtidas, exceto quando
exigido legalmente. Estas informações não
devem ser utilizadas em benefício próprio ou
compartilhadas com pessoas não
autorizadas
Auditoria de Sistemas
Prof. Airton Sartore
• Código de ética (ISACA):
5) manter competência na sua
especialidade e assegurar que somente
atua nas atividades em que tem habilidade
suficiente
6) informar os stakeholders sobre os
resultados de seus trabalhos, expondo os
fatos significativos desde que em seu
alcance
Auditoria de Sistemas
Prof. Airton Sartore
• Código de ética (ISACA):
7) manter competência na sua
especialidade e assegurar que somente
atua nas atividades em que tem habilidade
suficiente
Auditoria de Sistemas
Prof. Airton Sartore
• Contingência
– Evento que pode ou não acontecer
• Exemplos:
– Incêndio
– Queima de equipamento
– Queda de energia elétrica
– Funcionário doente
Planos de Contingência
Auditoria de Sistemas
Prof. Airton Sartore
Planos de Contingência
• Plano de Contingência
– Sequência de ações a serem seguidas
na ocorrência de uma emergência
– Não contempla apenas serviços de
informática:
• Segurança de pessoas, danos
ambientais, danos à imagem da
organização, etc.
Auditoria de Sistemas
Prof. Airton Sartore
• Objetivos do Plano de Contingência
– Reduzir os danos causados por uma
contingência
– Manter o negócio em funcionamento
– Agilizar a recuperação dos serviços
– Reduzir custos de recuperação
Auditoria de Sistemas
Prof. Airton Sartore
• Ameaça
– Evento ou atitude indesejável que traz
danos à organização
• Roubo
• Incêndio
• Vírus
• Queda de energia
Auditoria de Sistemas
Prof. Airton Sartore
• Recursos que podem ser danificados
– Físico: sala de computadores
– Software: vírus de computador
– Hardware: queima de equipamento
– Informação: roubo de dados
– Pessoas: vírus biológico
Auditoria de Sistemas
Prof. Airton Sartore
Ameaça Concretizada = Ataque
Ataques causam Impactos
Planode contingência reduz Impacto
Auditoria de Sistemas
Prof. Airton Sartore
Processo
de
recuperação
de
desastres
Auditoria de Sistemas
Prof. Airton Sartore
• Algumas possíveis perdas:
– Perda de Confidencialidade
• Roubo de Informações
– Perda de Integridade
• Alteração na Informação
– Perda de Disponibilidade
• Negação de Serviço
Auditoria de Sistemas
Prof. Airton Sartore
Planos de Contingência são caros!
• Identificação das Áreas Críticas
– Escore de risco
Auditoria de Sistemas
Prof. Airton Sartore
• Escore de Risco:
Escala Classificação do Impacto
0 Impacto irrelevante.
1 Efeito pouco significativo, sem afetar a maioria dos
processos da empresa.
2 Sistemas indisponíveis por um determinado período de
tempo, podendo causar perda de credibilidade e
também perdas financeiras.
3 Perdas financeiras mais significativas e perda de
clientes para concorrentes.
4 Efeitos desastrosos, mas que não comprometam a
sobrevivência da organização.
5 Efeitos desastrosos que comprometam a sobrevivência
da organização.
Auditoria de Sistemas
Prof. Airton Sartore
Escala Classificação de Probabilidade
0 Ameaça completamente improvável de acontecer.
1 Probabilidade da ameaça ocorrer menos de uma vez por ano.
2 Probabilidade da ameaça ocorrer pelo menos uma vez por
ano.
3 Probabilidade da ameaça ocorrer pelo menos uma vez por
mês.
4 Probabilidade da ameaça ocorrer pelo menos uma vez por
semana.
5 Probabilidade da ameaça ocorrer diariamente.
Auditoria de Sistemas
Prof. Airton Sartore
Matriz de Risco
Ameaças Impacto Probabilidade Escore de Risco
Incêndio 5 1 5
Falta de energia elétrica 4 3 12
Indisponibilidade de servidor 3 3 9
Greve de funcionários do
transporte
2 1 2
Funcionário que adoece 1 1 1
Falha de switch de rede 2 4 8
Ataque de vírus 3 5 15
• Escore de Risco:
Auditoria de Sistemas
Prof. Airton Sartore
• Tipos de plano de contingência:
1) Plano de Emergência
2) Plano de Backup
3) Plano de Recuperação
Auditoria de Sistemas
Prof. Airton Sartore
1) Plano de Emergência
– Prevê possibilidade de desastres
– Provê meios de detecção antecipada
– Provê segurança física
– Contém as respostas de risco
• Ações a serem tomadas
Auditoria de Sistemas
Prof. Airton Sartore
2) Plano de Backup
– Backup de arquivos e dados
– Continuidade dos serviços
– Biblioteca externa de dados disponível
– Acordo com terceiros
• Reciprocidade
Auditoria de Sistemas
Prof. Airton Sartore
3) Plano de Recuperação
– Atividades executadas para:
• SAIR do estado de emergência
68
 1) O que é contingência?
69
 1) O que é contingência?
Algo que pode ou
não acontecer.
70
 2) O que é usado para definir as áreas
 críticas da organização?
71
 2) O que é usado para definir as áreas
 críticas da organização?
Cálculo do Escore de Risco
Ou
Matriz de Risco
72
 3) Quais são os tipos de planos de
 contingência?
73
 3) Quais são os tipos de planos de
 contingência?
Plano de Emergência
Plano de Backup
Plano de Recuperação
74
 4) Cite três vantagens do uso da
 abordagem com o computador?
75
 4) Cite três vantagens do uso da
 abordagem com o computador?
1 - Executa cálculos
utilizando o computador;
2 - Ordenação e seleção de
registros;
3 - Possibilita a criação de
programas específicos.
Auditoria de Sistemas
Prof. Airton Sartore
Auditoria de Sistemas
Prof. Airton Sartore
Unidade II. Fases para Realização de uma Auditoria
2.1.Planejamento.
2.2.Execução.
2.3.Emissão e divulgação de relatórios.
2.4.Follow-up.
Auditoria de Sistemas
Prof. Airton Sartore
O Funcionamento da Auditoria de Sistemas
• As funções
 da auditoria
 de sistemas:
Auditoria de Sistemas
Prof. Airton Sartore
• Áreas de atuação
– Auditoria de campo
• Objetivo
• Período
– Âmbito da auditoria
• Abrangência/Detalhamento
• Áreas auditadas
Auditoria de Sistemas
Prof. Airton Sartore
• O dia-a-dia da auditoria:
– 17 ações básicas
• 1 - Preparar a análise de risco
– Definir quais as áreas ou objetos são
passíveis de auditoria
Auditoria de Sistemas
Prof. Airton Sartore
• 2 - Fazer revisões dos projetos e produtos
– Verificar o escore de risco e estabelecer
quais áreas devem ser priorizadas
• 3 - Familiarizar-se com a área de sistemas
– Compreender os produtos, serviços e
processos da área de TI, etc.
Auditoria de Sistemas
Prof. Airton Sartore
• 4 - Estabelecer a estratégia
– Definição das ferramentas
• 5 - Estabelecer os objetivos
– Definir os controles internos e os
processos
• 6 - Definir preocupações
– Definir quais os itens que mais preocupam
a equipe de auditoria
Auditoria de Sistemas
Prof. Airton Sartore
• 7 -Fazer a avaliação preliminar dos
controles
 internos
– Verificar os controles implantados e
definir quais serão utilizados
• 8 - Finalizar o planejamento
– Determinar o tempo, a equipe, os
recursos, a data de emissão do relatório
final, etc.
Auditoria de Sistemas
Prof. Airton Sartore
• 9 - Preparar um documento de aviso
– Objetivos, cronograma e intenções
• 10 - Reunião inicial
– Informar sobre as intenções da auditoria
• 11 - Elaboração de testes
– Geração de dados de teste e
determinação dos resultados
Auditoria de Sistemas
Prof. Airton Sartore
• 12 - Aplicação dos testes
– Aplica-se a massa de testes e colhe-se
os resultados
• 13 - Análise das simulações
– São analisadas para detectar
discrepâncias
Auditoria de Sistemas
Prof. Airton Sartore
• 14 - Emissão de relatório provisório
– Ao término do trabalho de campo, deve-
se emitir um relatório provisório com
todas as falhas encontradas (RASCUNHO)
• 15 - Discussão de relatório provisório
– Os auditados devem concordar ou
discordar do relatório provisório
Auditoria de Sistemas
Prof. Airton Sartore
• 16 - Emissão e distribuição do relatório final
– Deve conter a “nota” do relatório (falhas
encontradas que não foram solucionadas)
• 17 - Follow-up (acompanhamento)
– Acompanhamento das datas de acerto
das falhas indicadas na auditoria e que
constam no relatório final
Auditoria de Sistemas
Prof. Airton Sartore
• O que são?
– “Planejamento organizacional e todos os
métodos e procedimentos adotados
dentro de uma empresa, a fim de
salvaguardar seus ativos, verificar a
adequação e o suporte dos dados
contábeis, promover a eficiência
operacional e encorajar a aderência às
políticas definidas pela direção, com o
objetivo de evitar FRAUDES, ERROS,
INEFICIÊNCIAS e CRISES nas empresas.”
 Portal da Auditoria
Controles Internos
Auditoria de Sistemas
Prof. Airton Sartore
• Controles internos são a principal medida
de segurança de uma organização
– Os controles a serem implantados
dependem do ambiente
– Geralmente, problemas de ordem legal
ocorrem por má implantação de controles
Auditoria de Sistemas
Prof. Airton Sartore
• Princípios e Objetivos:
• 1. Supervisão
– Manter controle que permita supervisão do
ambiente de TI
• 2. Registro e Comunicação
– Registros de responsabilidades e autorização
em acesso a dados
Auditoria de Sistemas
Prof. Airton Sartore
• 3. Segregação das funções
– Funções incompatíveis segregadas
• 4. Classificação de informação
– Plano de classificação da informação
• 5. Tempestividade
– A gerência monitora os registros /
transações
Auditoria de Sistemas
Prof. Airton Sartore
• 6. Auditoriabilidade
– Procedimentos operacionais devem
permitir a programação e a verificação
periódica
• 7. Controleindependente
– Os sistemas em operação devem permitir
correções de erro no fluxo de
processamento
Auditoria de Sistemas
Prof. Airton Sartore
• 8. Monitoramento
– A gerência deve ter acesso ao controle
de uso para acompanhar as transações
• 9. Implantação
– Planejamento da aquisição, manutenção,
desenvolvimento e documentação dos
sistemas
Auditoria de Sistemas
Prof. Airton Sartore
• 10. Contingência
– Elaborar plano de controle de prevenção
de falhas em todas as fases do sistema
• 11. Custo efetivo
– Planejamento dos investimentos em
tecnologia da informação
Auditoria de Sistemas
Prof. Airton Sartore
• São 12 os principais tipos de controles
internos.
• 1. Integridade de dados e processos
– Acesso aos dados, confidencialidade,
controles de mudanças no sistema...
Auditoria de Sistemas
Prof. Airton Sartore
• 2. Segurança de sistemas
– Acesso físico e lógico ao sistema e ao
banco de dados, uso de criptografia...
• 3. Legibilidade operacional
– Plano de contingência, treinamento de
pessoal, documentação...
Auditoria de Sistemas
Prof. Airton Sartore
• 4. Conformidade
– Aspecto legais, políticas da organização,
se cumpre normas regulatórias, se
possui seguro...
• 5. Guarda de registros
– Logs do sistema, registro de tudo que
ocorre no ambiente de TI...
Auditoria de Sistemas
Prof. Airton Sartore
• 6. Guarda de ativos
– Trata do inventário da organização...
• 7. Programas e sistemas
– Manter o monitoramento dos programas...
• 8. Organização e administração
– Segregação de funções, organização de
projetos (PMO)...
Auditoria de Sistemas
Prof. Airton Sartore
• 9. Processo de desenvolvimento
– Se utiliza padrões e procedimentos
corretos, se está sendo documentado e
testado...
• 10. Ambiente de TI
– Segurança física e lógica do ambiente,
Se utiliza o ITIL...
Auditoria de Sistemas
Prof. Airton Sartore
• 11. Contrato de serviços
– Se os contratos são auditados...
• 12. Procedimentos e padrões
– Se as definições feitas pela organização
são cumpridas no âmbito da TI, se são
alvo de auditoria...
101
 1) Quais são as áreas de atuação da
 auditoria?
102
 1) Quais são as áreas de atuação da
 auditoria?
Auditoria de campo e
Âmbito da auditoria.
103
 2) Sobre o processo de desenvolvimento de
 software, dê 2 exemplos de controles
 internos que podem ser adotados?
104
 2) Sobre o processo de desenvolvimento de
 software, dê 2 exemplos de controles
 internos que podem ser adotados?
- A verificação se o software está
sendo documentado;
- A verificação se normas e
padrões estão sendo
devidamente adotados.
105
 3) Cite uma medida que pode ser adotada
 para o cumprimento do objetivo da
 contingência.
106
 3) Cite uma medida que pode ser adotada
 para o cumprimento do objetivo da
 contingência.
- Elaboração de plano de
contingência e recuperação
de desastres.
107
 4) O que a etapa de familiarização com a
 área de sistemas contempla?
108
 4) O que a etapa de familiarização com a
 área de sistemas contempla?
- Compreensão dos produtos,
dos serviços e dos processos
da área de TI.
Auditoria de Sistemas
Prof. Airton Sartore
UNIDADE III – Ferramentas de Auditoria de Sistemas
Auditoria de Sistemas
Prof. Airton Sartore
As fases da auditoria de sistemas
• Auditoria é dividida em 4 fases:
Auditoria de Sistemas
Prof. Airton Sartore
• Fase de Planejamento:
Auditoria de Sistemas
Prof. Airton Sartore
• Na fase de planejamento, o auditor
– Define áreas de risco (ponderação)
– Define abrangência
– Define cronograma
– Define prioridades (ponderação)
– Define controles a serem auditados
Auditoria de Sistemas
Prof. Airton Sartore
• Método de ponderação
Item Peso Nota Total
Custo do sistema 15 6 90
Valor diário das transações 15 9 135
Volume diário das transações 10 8 80
Visibilidade do cliente 10 10 100
Impacto 15 9 135
Extensão do sistema 10 6 60
Capacitação da equipe 10 8 80
Total geral 680
Auditoria de Sistemas
Prof. Airton Sartore
• Método de ponderação
Escore de risco Prioridade
até 200 Baixa
de 201 a 300 Média
de 301 a 500 Alta
acima de 500 Muito alta
Auditoria de Sistemas
Prof. Airton Sartore
• Fase de Execução:
Auditoria de Sistemas
Prof. Airton Sartore
Processo de auditoria iniciado!
• Fase de execução:
– Auditoria propriamente dita
– Solicitações são feitas ao auditado
• Por escrito
Auditoria de Sistemas
Prof. Airton Sartore
• Ocorre a verificação dos controles internos
– Execução de testes
– Medidas de testes
– Avaliação de conformidade
– Identificação de vulnerabilidades, fraquezas,
inconsistências e irregularidades
Auditoria de Sistemas
Prof. Airton Sartore
• Fase de Emissão de Relatórios:
Auditoria de Sistemas
Prof. Airton Sartore
• Fase de Emissão de Relatórios:
– O auditor não corrige falhas
• O auditor faz recomendações
– O relatório possui “nota”
• Falhas e recomendações
• As correções possuem datas para
serem implementadas
Auditoria de Sistemas
Prof. Airton Sartore
• Fase de Follow-up (acompanhamento):
Auditoria de Sistemas
Prof. Airton Sartore
• Fase de follow-up (acompanhamento)
– As falhas apontadas no relatório são um
compromisso entre auditor e auditado
– A resposta do auditado ao relatório final
• O auditor deve acompanhar a correção
das falhas apontadas
Auditoria de Sistemas
Prof. Airton Sartore
Ferramentas de auditoria
• As ferramentas podem ser:
1) Softwares generalistas
2) Softwares especializados
3) Softwares utilitários
Auditoria de Sistemas
Prof. Airton Sartore
1) Softwares generalistas
– Chamados: software de prateleira
– Rodam em ambiente batch (off-line)
– Carecem de personalização
– Buscam resolver problemas comuns
Auditoria de Sistemas
Prof. Airton Sartore
• Vantagens (softwares generalistas):
– Processar vários arquivos ao mesmo
tempo
– Integração com softwares e hardwares
– Requer menos conhecimento de
informática do auditor
Auditoria de Sistemas
Prof. Airton Sartore
• Desvantagens (softwares generalistas):
– Impossibilita aplicações on-line
– Impossibilita a execução de cálculos
complexos e específicos
Auditoria de Sistemas
Prof. Airton Sartore
• Exemplos (softwares generalistas):
– ACL (Audit Command Language)
– IDEA (Interactive Data Extraction &
Analysis)
– Galileo
– Pentana
Auditoria de Sistemas
Prof. Airton Sartore
2) Softwares especializados:
– Atende melhor para a especialidade que
foi desenvolvido
– Resolvem menor número de problemas
– Geralmente desenvolvidos por auditores
Auditoria de Sistemas
Prof. Airton Sartore
• Vantagens (softwares especialistas):
– Inclusão de testes e verificações de
controles internos específicos
– Soluções para auditar áreas mais
complexas
– Vantagem competitiva
Auditoria de Sistemas
Prof. Airton Sartore
• Desvantagens (softwares
especialistas):
– O auditor deve estar familiarizado com
desenvolvimento de software
– Alto custo para desenvolvimento destas
soluções
Auditoria de Sistemas
Prof. Airton Sartore
3) Softwares utilitários:
– São utilizados para funções básicas de
auditoria
– Podem ser utilizados para diversas
finalidades
– SOs e SGBDs possuem softwares deste
tipo
Auditoria de Sistemas
Prof. Airton Sartore
• Softwares utilitários (Cont.)
– Apoiam a auditoria em funções auxiliares
– Pode-se atingir bons resultados
– Possuem baixo custo
1321) Em que fase da auditoria são definidos
 os controles que serão auditados?
133
 1) Em que fase da auditoria são definidos os
 controles que serão auditados?
Fase de planejamento
134
 2) Em que fase da auditoria são
 executados os testes e medidas?
135
 2) Em que fase da auditoria são
 executados os testes e medidas?
Fase de execução
136
 3) Cite duas vantagens da utilização de
 software especialista.
137
 3) Cite duas vantagens da utilização de
 software especialista.
1) Auditoria de áreas
 mais complexas
2) Vantagem competitiva
138
 4) Cite duas vantagens da utilização de
 software generalista.
139
 4) Cite duas vantagens da utilização de
 software generalista.
1) Integração com
 outros softwares
2) Requer menos
 conhecimento em
 informática
Auditoria de Sistemas
Prof. Airton Sartore
Auditoria de Sistemas
Prof. Airton Sartore
Auditoria de Sistemas
Prof. Airton Sartore