Auditoria de Sistemas de Informao

Funo da Auditoria de Sistemas

Promover adequao, para o reviso, aprimoramento avaliao dos e

recomendaes

controles

internos nos sistemas de informao da empresa, bem como avaliar a utilizao dos recursos humanos,

materiais e tecnolgicos envolvidos no processamento

dos mesmos.

Deve atuar em toda a organizao

Nvel operacional, ttico ou estratgico

Aula 6

Profa. Myrna

Auditoria de Sistemas de Informao

Objetivos
Integridade
Confiana nas transaes processadas pelo sistema.

Garantia da consistncia das transaes.

Confidencialidade
Informaes autorizadas. so reveladas somente s pessoas

Veracidade
As transaes processadas podem ser validadas. Evita que dados no qualificados sejam alimentados nos sistemas, gerando transaes indevidas ou invlidas.

Disponibilidade
O sistema precisa estar disponvel para o cumprimento dos objetivos empresariais.
Aula 6
Profa. Myrna

Auditoria de Sistemas de Informao

Auditabilidade
Os sistemas devem documentar logs operacionais que permitam futuras verificaes (auditorias).

Versatilidade
O sistema deve ser amigvel, fcil de se adaptar, importar e exportar dados.

Manutenibilidade
Polticas e procedimentos operacionais devem contemplar controles Caso haja quanto a teste, o converso, risco de implantao e dos documentao de sistemas novos ou modificados. manuteno, contaminao ambientes de teste e de produo devem ser eliminados.

Aula 6

Profa. Myrna

Tipos de Auditoria
Durante o desenvolvimento de Sistemas
Compreende auditar todo o processo de construo de sistemas de informao, da fase de requisitos at a

sua

implantao,

bem

como

prprio

processo

ou

metodologia de desenvolvimento.

De Sistemas em Produo
Preocupa-se com os procedimentos e resultados dos

sistemas j implantados, sua segurana, corretude e

tolerncia falhas.

No Ambiente tecnolgico
Compreende a anlise do ambiente de informtica em

termos de estrutura organizacional, contratos, normas

tcnicas, custos, nvel de utilizao de equipamentos e planos de segurana e de contingncia.
Aula 6
Profa. Myrna

Tipos de Auditoria
Em Eventos Especficos
Compreende aes Podem a anlise das causas, em consequncias no e corretivas ser cabveis eventos por cobertos rgos e

pelas auditorias anteriores.

eventos detectados outros entidades externas ou evento especfico e localizado.

Aula 6

Profa. Myrna

Metodologia de Auditoria de SI
Fases de uma metodologia de auditoria de sistemas de informao
Planejamento e Controle do Projeto de Auditoria de SI Levantamento do Sistema de Informao a ser auditado Identificao e inventrio dos pontos de controle Priorizao e seleo dos pontos de controle do

sistema auditado
Avaliao dos pontos de controle Concluso da Auditoria Acompanhamento da Auditoria

Aula 6

Profa. Myrna

Planejamento e Controle do Projeto de Auditoria de SI

Estabelece o planejamento inicial das aes e recursos necessrios para a execuo da auditoria.
abrangncia das aes a serem tomadas

enfoque desejado
quais sistemas sero auditados

Ideal formar uma equipe de trabalho com dois grupos:

Coordenao
Composto pelo gerente de auditoria e gerentes da rea responsvel pelo SI e TI. Responsveis pela definio dos procedimentos a serem

utilizados durante o trabalho de auditoria, escolha de

alternativas, acompanhamento e controle dos resultados.

Aula 6

Profa. Myrna

Planejamento e Controle do Projeto de Auditoria de SI

Execuo
Composto por auditores e tcnicos da rea de informtica e usuria. Responsvel pela auditoria.

Aula 6

Profa. Myrna

Levantamento do SI a ser auditado

Aps delimitar o escopo de trabalho, inicia-se o processo de levantamento das informaes relevantes sobre o sistema.

Deve

ser

realizado

de

forma

abrangente

para

diminuir a possibilidade de execuo de trabalho em reas no pertencentes ao escopo. Pode-se empregar tcnicas de entrevista e anlise de documentao existente Ferramentas utilizadas:
DFD, MER, dicionrio de dados, diagramas de casos de uso, de classes, de sequncia entre outros. Qualquer meio que explique o comportamento do sistema e seus relacionamentos.
Aula 6
Profa. Myrna

Identificao e inventrio dos pontos de controle

Identificar controle. os diversos pontos de controle que precisam ser validados inventrio de pontos de

Os pontos de controle podem ser encontrados em:

Documentos de entrada Relatrios de sada Telas Arquivos Bancos de dados Pontos de integrao

Cada

ponto

de

controle

deve

ser

relacionado

verificado
qual funo ele exerce no sistema?
Aula 6
Profa. Myrna

10

Priorizao e Seleo dos Pontos de Controle

Consiste na seleo e priorizao dos pontos de controle que foram levantados na etapa anterior. Baseados em:
Grau de risco existente no ponto de controle
Verificao das ameaas e dos prejuzos que podero ser acarretados pelo sistema a curto, mdio e longo prazo.

Existncia de ameaas
Auditar presso. primeiramente os pontos de controle que se encontrem sob forte ameaa, e depois, aqueles sob menos

Disponibilidade de recursos
Escolha dos pontos que possam ser auditados com recursos destinados

priorizao

dever

ser

revisada

ao

longo

do

trabalho
Aula 6
Profa. Myrna

11

Avaliao dos Pontos de Controle

a auditoria propriamente dita! Realizao dos testes de validao dos pontos de controle, segundo as especificaes e parmetros determinados nas etapas anteriores. Aplica-se tcnicas de auditoria que evidenciem fraquezas ou falhas do controle interno. Para cada objetivo e caracterstica do ponto de controle existe uma tcnica de auditoria e ferramenta especfica e eficiente.

Aula 6

Profa. Myrna

12

Concluso da Auditoria
Elaborao de um relatrio de auditoria contendo o resultado encontrado. Deve conter o diagnstico da situao atual dos pontos de controle. Caso existam fraquezas, o relatrio deve apontar recomendaes fraqueza. Cada ponto de auditoria dever ser revisado e avaliado aps tomadas as medidas corretivas. para a soluo ou suavizar a

Aula 6

Profa. Myrna

13

Acompanhamento da Auditoria
Deve ser efetuado at que todas as recomendaes tenham sido executadas e as fraquezas tenham sido eliminadas ou atinjam um nvel tolervel pela

organizao.

Aula 6

Profa. Myrna

14