Auditoria de Sistemas Luiz Roberto Bastos Aula 1.
-
Upload
ana-carolina-cerveira-sequeira -
Category
Documents
-
view
219 -
download
2
Transcript of Auditoria de Sistemas Luiz Roberto Bastos Aula 1.
![Page 1: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/1.jpg)
Auditoria de Sistemas
Luiz Roberto Bastos
Aula 1
![Page 2: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/2.jpg)
Auditoria de Sistemas:Abordagem Inicial
O que é Auditoria de Sistemas
A Carreira do Auditor de Sistemas
A Auditoria de Sistemas nas Organizações
Padrões e Código de Ética segundo o ISACA
(Information Systems Audit and Control Association)
![Page 3: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/3.jpg)
O Que é Auditoria de Sistemas
Processos SistemasRespons. gerenciais
VERIFICAR
a segurança da informação, recursos, serviços e acesso.
2
a conformidade com os objetivos, políticas, orçamentos, regras, normas e padrões.
Operações
Engloba o exame de:
1
![Page 4: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/4.jpg)
PLANEJAMENTO EXECUÇÃO CONTROLE
Funções Administrativas
Padrões que exprimem
expectativa de comportamento
futuro
Medidas relacionadas aos registros
das operações ocorridas
Controle de desvios com confrontação das medidas
e padrões
![Page 5: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/5.jpg)
PLANEJAMENTO EXECUÇÃO CONTROLEPLANEJAMENTO EXECUÇÃO CONTROLE
![Page 6: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/6.jpg)
![Page 7: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/7.jpg)
PLANEJAMENTO EXECUÇÃO CONTROLE
![Page 8: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/8.jpg)
O Auditor de Sistemas é um verificador do trabalho realizado, atuando segundo as ações de
VALIDAÇÃO e AVALIAÇÃO.
Validação Exprime a ideia de teste.
Exprime a ideia de julgamento e emissão de opinião.
Avaliação
![Page 9: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/9.jpg)
A Carreira de Auditor de Sistemas
Perfil do Auditor
Conhecimento teórico e prático em SI Visão abrangente da empresa Vestir-se adequadamente Comportamento condizente com
quem tem autoridade no assunto Nada de extravagâncias, de gírias Não aceitar presentes
![Page 10: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/10.jpg)
Organizações certificadoras: ISACA - Certified Information System
Auditor (CISA) British Computer Society - Exame da
Sociedade Britânica de Informática Institute of Internal Auditors (IIA) -
Qualificação em Auditoria Computacional
Qualificação profissional
![Page 11: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/11.jpg)
Equipe de Auditoria
Auditoria internaColaboradores da empresa
Equipe é treinada conforme objetivos de
segurança da empresa
Metodologia adquirida / desenvolvida
Auditoria externaContratação de empresa de auditoria
Condução da auditoria sob demanda
![Page 12: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/12.jpg)
Programa de desenvolvimento de carreira do auditor de sistemas
Experiência em informática2
Pouca ou nenhuma experiência informática1
![Page 13: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/13.jpg)
Pouca ou nenhuma experiência informática1
Conceitos de TI
Fundamentos de arquitetura de sistemas,
Input/Output, processamento lógico, unidade
de memória principal e auxiliar.
Rede de computadores, teleprocessamento,
internet, intranet e extranet.
Programação de computação, incluindo os
conceitos de modelagem (UML).
![Page 14: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/14.jpg)
Controles gerais como operação, aquisição,
desenvolvimento, manutenção de sistemas,
acesso, hardware e suporte técnico).
Estudo de caso que exemplifique cada
situação (jogo de negócios) é desejável.
Pouca ou nenhuma experiência informática1
![Page 15: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/15.jpg)
Experiência em informática2
Auditoria de sistemas aplicativos, princípios e
práticas de auditoria com ênfase nos controles
gerenciais e organizacionais, monitoramento e
emissão de relatórios.
![Page 16: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/16.jpg)
Experiência em informática2
Gerenciamento de riscos, privacidade e
políticas de segurança da informação.
Avaliação dos sistemas online: proc. em tempo
real, identificação de programas, verificação das
autenticações e autorizações de acessos e
registros (contabilização) das transações,
correção, detecção e manutenção de diários
das operações.
![Page 17: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/17.jpg)
Controles de acesso à bibliotecas de dados e
de programas, armazenamento e recuperação
de dados relacionais ou Data Warehouse, plano
de contingência (de back-up, emergência e
recuperação) de desastres.
Software de auditoria.
Experiência em informática2
![Page 18: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/18.jpg)
Ter uma biblioteca técnica para consulta
Informações pertinentes a TI e também
sobre auditorias passadas.
Conhecimento técnico em relação às
novas tecnologias
Biblioteca
![Page 19: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/19.jpg)
O auditor de sistemas necessita de autonomia para
trabalhar e apontar as distorções encontradas.
Ele deve ser staff da presidência.
A Auditoria de Sistemas nas Organizações
![Page 20: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/20.jpg)
Posicionamento do Auditor de Sistemas
Presidente
Diretoria de Vendas
Diretoriade TI
Diretoria Planejam.
DiretoriaFinanceira
Auditoria de Sistemas
Staff (apoio)
![Page 21: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/21.jpg)
Abordagens de auditoria de sistemas
Abordagem através do computador2
Abordagem ao redor do computador1
Abordagem com o computador3
![Page 22: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/22.jpg)
Abordagem ao redor do computador1
Uso de rotinas manuais.
Muito usada no passado.
O auditor analisava os documentos fonte com
suas respectivas entradas e saídas.
Pouca ou nenhuma atenção é prestada às
funções de processamento (não exige muito
conhecimento de TI).
![Page 23: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/23.jpg)
Abordagem ao redor do computador1
Pouco envolvimento com os registros gerados
pelo computador (era utilizada para tarefas
menores (ex: controle de estoque).
Custos mais baixos (riscos mais altos).
![Page 24: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/24.jpg)
Abordagem através do computador2
Capacita o auditor a verificar com maior
frequência as áreas que necessitam de
verificação constante.
Faz aprovação dos registros armazenados.
Simula as transações possíveis, através de
ferramentas de auditoria (ex: test data).
![Page 25: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/25.jpg)
Abordagem com o computador3
Maior perfeição possível, fazendo uma compilação
dos processos automatizados e manuais.
Verificar se os cálculos das transações financeiras
como o cálculo das depreciações, taxas e impostos
são feitos corretamente.
![Page 26: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/26.jpg)
Abordagem com o computador3
Capacidade de ordenar e selecionar os registros.
Exemplo: através de varredura da base de dados,
o auditor pode apontar com precisão as
informações com prioridade de acesso, isolando-
as das informações desnecessárias ou
obsoletas.
![Page 27: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/27.jpg)
Abordagem com o computador3
Utilização de Técnicas de Auditoria Assistida
por Computador (TAAC) ou CAAT (Computer
Assisted Audit Techniques).
Desenvolvimento de programas específicos
para serem usados pelo auditor quando
necessário.
![Page 28: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/28.jpg)
Áreas de auditoria
Segurança da Informa-
ção
AplicativosTI
Cada empresa define como classificará sua auditoria. Não há uma regra fixa.
![Page 29: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/29.jpg)
Avaliação da conformidade com as políticas de
segurança.
Controles ambientais.
Plano de contingência e continuidade de serviços.
Segurança da Informa-
çãoControles
![Page 30: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/30.jpg)
Confidencialidade Controle de acesso (fis/log) Integridade Gravação e atualização
autorizadas (“dono”) Disponibilidade Sistema disponível quando
necessário Consistência Sistema funciona conforme
requisitos Confiabilidade Sistema atuará conforme o
esperado
ControlesSegurança da Informa-
ção
![Page 31: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/31.jpg)
Mudanças Organizacionais
Operações de sistemas
ITIL, Cobit
Hardware
Plataformas cloude computing, ERP,
Data warehouse
TI Conhecimentosobre
![Page 32: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/32.jpg)
Desenvolvimento de aplicativos
Entrada, processamento e saída de dados.
Conteúdo e funcionamento do aplicativo.
Aplicativos
Controle sobre
![Page 33: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/33.jpg)
1. Responsabilidade, autoridade e prestação de contas
2. Independência profissional
3. Ética profissional e padrões
Padrões e Código e Ética(Comitê de Padrões da Associação de Controle de
Tecnologia de Informação dos EUA)
![Page 34: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/34.jpg)
Padrões e Código e Ética
4. Competência
5. Planejamento
6. Emissão do relatório
7. Atividades de follow-up
![Page 35: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/35.jpg)
Código de Ética profissional segundo o ISACA
Conforme padrões emitidos pelo
Information Systems Audit and
Control Association (ISACA)
![Page 36: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/36.jpg)
Apoiar a implementação de padrões
sugeridos para procedimentos e controles
dos sistemas de informações e encorajar o
seu cumprimento.
1
Código de Ética profissional segundo o ISACA
![Page 37: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/37.jpg)
Exercer suas funções com objetividade e zelo
profissional de acordo com os padrões
profissionais e melhores práticas.
2
Código de Ética profissional segundo o ISACA
![Page 38: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/38.jpg)
Servir aos interesses dos stakeholders de
forma legal e honesta, com alto padrão de
conduta e caráter profissional, e não
encorajar atos de descrédito à profissão.
3
Código de Ética profissional segundo o ISACA
![Page 39: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/39.jpg)
Manter privacidade e confidencialidade das
informações obtidas, exceto quando exigido
legalmente. Tais informações não devem ser
utilizadas em vantagem própria ou entregues
a pessoas desautorizadas.
4
Código de Ética profissional segundo o ISACA
![Page 40: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/40.jpg)
Manter competência na sua especialidade e
assegurar que somente atua nas atividades
em que tem razoável habilidade.
5
Código de Ética profissional segundo o ISACA
![Page 41: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/41.jpg)
Informar os stakeholders sobre os resultados
de seus trabalhos, expondo os fatos
significativos.
6
Código de Ética profissional segundo o ISACA
![Page 42: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/42.jpg)
Apoiar a conscientização profissional dos
stakeholders para auxiliar sua compreensão
dos sistemas de informação, segurança e
controle.
7
Código de Ética profissional segundo o ISACA
![Page 43: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/43.jpg)
Auditoria de Sistemas
Luiz Roberto Bastos
Aula 1
![Page 44: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/44.jpg)
44
Os objetivos da Segurança da Informação são:
(a) Confiabilidade, maturidade, integridade, controle de erros de programas, disponibilidade
(b) Maturidade, controle de defeitos reportados, tempo de execução de um sistema, integridade e consistência
(c) Confidencialidade, integridade, disponibilidade, consistência, confiabilidade
(d) Consistência, maturidade, confiabilidade, eficácia e disponibilidade
1Exercícios
![Page 45: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/45.jpg)
45
Os três tipos de abordagem de auditoria de sistema:
(a) Computador e auditor; computador e analista;
computador e usuário.
(b) Computador e auditor; computador e analista;
auditor e CIO.
(c) Ao redor do computador; através do computador;
com o computador.
(d) Ao redor do computador; sempre com o
computador; nunca com o computador.
2Exercícios
![Page 46: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/46.jpg)
46
Cabe ao auditor:
(a) Verificar se os controles internos foram implementados
(b) Verificar se os controles internos foram implementados e corrigir as eventuais discrepâncias
(c) Ensinar para o analista de sistemas a melhor maneira de programar
(d) Verificar se os controles internos foram implementados e, se existirem, se são efetivos
3Exercícios
![Page 47: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/47.jpg)
47
Escolha a melhor opção:
(a) A auditoria de Sistemas deve ser subordinada ao Departamento de TI.
(b) A auditoria externa é mais precisa que a auditoria interna porque seus controles são definidos pela empresa que a contrata.
(c) Uma empresa com área de auditoria interna deve possuir uma metodologia de auditoria.
(d) O auditor de sistemas só deve arquivar evidências das fraquezas encontradas no trabalho de campo.
4Exercícios
![Page 48: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/48.jpg)
48
1. Exprime a ideia de TESTE 2. Exprime a ideia de julgamento e emissão de opinião:Estamos falando respectivamente de quê?
(a) Auditor e CIO(b) Analista de teste e avaliação
(c) Validação e avaliação
(d) Validação e correção
5Exercícios
![Page 49: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/49.jpg)
49
Informações que exprimem uma expectativa de comportamento futuro.
Estamos falando de quê?
(a) Execução(b) Controle
(c) Planejamento
(d) Ação
6Exercícios
![Page 50: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/50.jpg)
50
Comparação entre o trabalho realizado versus o trabalho que foi planejado.
Estamos falando de quê?
(a) Execução(b) Planejamento
(c) Controle
(d) Ação
7Exercícios
![Page 51: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/51.jpg)
51
Certo [ C ] ou Errado [ E ] ?
[ C ] O auditor de sistemas deve ter conhecimento teórico e prático em SI.
[ E ] O auditor de sistemas deve conhecer tudo da empresa que está auditando.
[ E ] O auditor com mais de 10 anos de experiência não necessita de treinamento.
[ C ] No relacionamento organizacional a função de auditor de TI deve ser suficientemente independente dá área sob auditoria para permitir uma conclusão objetiva da auditoria.
8Exercícios
![Page 52: Auditoria de Sistemas Luiz Roberto Bastos Aula 1.](https://reader036.fdocumentos.tips/reader036/viewer/2022062400/570638671a28abb82390329d/html5/thumbnails/52.jpg)
52
Em se tratando da área de Auditoria de Sistemas, o
ideal é que ela esteja subordinada a:
(a) Diretoria de Informática
(b) Diretoria de Vendas
(c) Presidência
(d) Diretoria Administrativa
9Exercícios