Você está na página 1de 36

FACULDADE CENECISTA DE VARGINHA H

CURSO: SISTEMAS DE INFORMAO DISCIPLINA: AUDITORIA E SEGURANA DE SISTEMAS UNIDADE 1 AUDITORIA DE SISTEMAS

Prof. Alice Diniz Mouro 7 Perodo - 2005

AUDITORIA DE SISTEMAS

INTRODUO 1. A auditoria nas organizaes

Presidncia Executiva

Auditoria de Sistemas

Diretoria Administrativa

Diretoria Financeira

Diretoria de Vendas

Diretoria de Informtica

2. Importncia da auditoria de sistemas Altos investimentos das organizaes em sistemas computadorizados Necessidade de garantir a segurana dos computadores e seus sistemas Garantia do alcance da qualidade dos sistemas computadorizados Auxiliar a organizao a avaliar e validar o ciclo administrativo 3. Dificuldades encontradas pela Auditoria de Sistemas na Empresa Defasagem tecnolgica Falta de bons profissionais Falta de cultura da empresa Tecnologia variada e abrangente 4. Necessidades na rea de auditoria de sistemas Fortalecimento das tcnicas de auditoria de sistemas para atuao em ambientes computacionais complexos Criao de metodologias de auditoria de sistemas Estudo do custo / benefcio Ampliao do campo de atuao da auditoria de sistemas

5. Papel do auditor de sistemas Validao do fluxo administrativo (planejamento, execuo e controle) nfase nos processos computacionais Comprovao da efetividade dos sistemas computadorizados Garantia da segurana lgica e fsica e da confidencialidade dos sistemas 6. Etapas da atuao do auditor de sistemas Compreenso do ambiente Anlise do ambiente e determinao das situaes mais sensveis Elaborao de uma massa de testes Aplicao da massa de testes Anlise das simulaes Emisso da opinio quanto ao ambiente auditado Debate com os profissionais da rea auditada para discusso das alternativas recomendadas Acompanhamento da implantao da soluo proposta Auditoria da soluo implantada Novas auditorias no ambiente 7. Perfil do Auditor de Sistemas Ser independente s reas a serem auditadas Ter formao em auditoria de computao, conhecendo o ambiente a ser auditado 8. Treinamento do auditor de sistemas Conceituao de Auditoria de Sistemas Controle Interno Momentos de atuao do Auditor de Sistemas Produtos finais da Auditoria de Sistemas Mecnica de implantao das recomendaes da auditoria Postura do auditado durante a atuao da Auditoria de Sistemas. 9. Tendncias da Auditoria de Sistemas na Organizao Criao de um profissional responsvel pela segurana da informao Preocupao com a qualidade dos processos computadorizados criao do Analista de Segurana da Informao e do Analista de Qualidade da Informao.

AUDITORIA DE SISTEMAS 1. Conceitos Processamento Eletrnico de Dados: Hardware, Software e Teleprocessamento Sistemas de Informao: Conjunto de recursos humanos, materiais, tecnolgicos e financeiros combinados segundo uma sequncia lgica para transformar dados em informaes. Auditoria de Sistemas: Validao e Avaliao do controle interno de sistemas de informao. Ponto de Controle: Situao do ambiente computacional considerada pelo auditor como sendo de interesse para validao e avaliao. Controle Interno: Verificao e validao dos seguintes parmetros do Sistema de Informao: Fidelidade da informao em relao ao dado Segurana fsica Segurana lgica Confidencialidade Obedincia legislao em vigor Eficincia Eficcia Obedincia s polticas e s regras de negcio da organizao Exemplos de parmetros de Controle Interno: Para fidelidade da informao em relao ao dado: AIC (Arquivos de Informaes de Controle); AUDIT TRAIL (permite a monitorao do processamento dos dados); Arquivos de erros de processamentos no corrigidos Informaes do cdigo do arquivo gravadas no header Para Segurana lgica: Password do arquivo gravada no header Informaes do relatrio de crtica ou de consistncia dos dados alimentados no sistema Informaes de total gravadas no trailler do arquivo. Para confidencialidade: Rotina de criptografia de informaes sigilosas. Exemplo do Ponto de Controle Programa de Atualizao : Rotina operacional de atualizao do cadastro Rotina de controle: incluso, excluso, alterao indevida do arquivo de movimento Informao operacional: contedo do arquivo movimento anterior atualizao Informaes de controle: contedo do arquivo de erros.

2. Organizao do trabalho da auditoria Planejamento 1 Passo: Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do ambiente computacional (fluxo de processamento, recursos humanos e materiais envolvidos, arquivos processados, relatrios e telas produzidos). 2 Passo: Determinar os pontos de controle (processos crticos) 3 Passo: Definio dos objetivos da auditoria: Tcnicas a serem aplicadas Prazos de execuo Custos de execuo Nvel de tecnologia a ser utilizada 4 Passo: Estabelecimento de critrios para anlise de risco 5o. Passo: Anlise de Risco Avaliar para cada ponto de controle o grau de risco apresentado para posterior hierarquizao: Grau de Risco 1 Muito Fraco 2 Fraco 3 Regular 4 Forte 5 Muito forte 6 Passo: Hierarquizao dos pontos de controle Definio da Equipe 1o. passo: Escolher a equipe. Perfil e histrico profissional Experincia na atividade Conhecimentos especficos Formao acadmica Linguas estrangeiras Disponibilidade para viagens, etc. 2o. passo: Programar a equipe Gerar programas de trabalho Selecionar procedimentos apropriados

Incluir novos procedimentos Classificar trabalhos por visita Orar tempo e registrar o real

3o. passo: Execuo dos trabalhos Dividir as tarefas de acordo com a formaao, experincia e treinamento dos auditores Efetuar superviso para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente 4o. passo: Reviso dos papis Verificar pendncias e rever o papel de cada auditor para suprir as falhas encontradas 5o. passo: Avaliao da equipe Avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e superao de fraquezas do auditor Ter um sistema de avaliao de desempenho automatizado Documentao do trabalho Documentao de todo o processo de Auditoria de Sistemas a ser executado.

3. Produtos gerados pela Auditoria de sistemas: Relatrio de fraquezas de controle interno Certificado de controle interno Relatrio de reduo de custos Manual de auditoria do ambiente a ser auditado Pastas contendo a documentao obtida pela Auditoria de Sistemas

3.1. Relatrio de Fraquezas de controle interno Objetivo do projeto de auditoria Pontos de controle auditados Concluso alcanada a cada ponto de controle Alternativas de soluo propostas 3.2. Certificado de Controle Interno Indica se o ambiente est em boa, razovel ou m condio em relao aos parmetros de controle interno. Apresenta a opinio da auditoria em termos globais e sintticos. 3.3. Relatrio de reduo de custos Tem por objetivo explicitar as economias financeiras a serem feitas com a adoo das recomendaes efetuadas. Serve de base para a realizao das anlises de retorno de investimento e do custo/beneficio da auditoria de auditoria de sistemas.

3.4. Manual da auditoria do ambiente auditado Armazena o planejamento da auditoria, os pontos de controle testados e serve como referncia para futuras auditorias. Compe-se de toa a documentao anterior j citada. 3.5. Pastas contendo a documentao da auditoria de sistemas Ir conter toda a documentao do ambiente e dos trabalhos realizados como: relao de programas, relao de arquivos do sistema, relao de relatrios e telas, fluxos, atas de reunio, etc. 4. Apresentao dos resultados da auditoria alta administrao Objetividade na transmisso dos resultados Esclarecimento das discusses realizadas entre a auditoria e os auditados Clareza nas recomendaes das alternativas de soluo Coerncia da atuao da Auditoria Apresentao da documentao gerada Explicao do contedo de cada documento.

5. A funo do auditor de sistemas Ter conhecimento das trs reas de conhecimento: Auditoria, Sistemas de Informao e Processamento Eletrnico de Dados Treinamento constante e forte embasamento cultural Ter conhecimentos bsicos de computao e de, no mnimo, uma linguagem de programao Ter conhecimento do negcio da organizao Ao auditar sistemas em operao conhecer: Documentao de sistemas Fluxogramao Uma linguagem de programao Ao auditar sistemas em desenvolvimento conhecer: Metodologia de desenvolvimento de sistemas Tcnicas de prototipao Plano Diretor de Informtica Ao auditar o Centro de Processamento de Dados conhecer: Apurao de centros de custo de computao Normas administrativo-tcnicas-operacionais Funes e mecnica operacional da rea de computao Contratos de software e hardware

TCNICAS DE AUDITORIA Programas de computador Questionrios Simulao de dados Visita in loco Mapeamento estatstico Rastreamento de programas Entrevista Anlise de relatrios / telas Simulao paralela Anlise de log / accounting Anlise do programa fonte Exibio parcial da memria snap shot

1. Programas de computador Correlaciona arquivos, tabula e analisa o contedo dos mesmos. Passos Anlise do fluxo do sistema Identificao do arquivo a ser auditado Entrevista com o analista / usurio Identificao do cdigo / layout do arquivo Elaborao do programa para auditoria Cpia do arquivo a ser auditado Aplicao do programa de auditoria Anlise dos resultados Emisso de relatrios Documentao

2. Questionrios distncia Verifica a adequao do ponto de controle aos parmetros de controle interno (segurana fsica, lgica, eficcia, eficincia, etc). Analisa: Segurana em redes de computadores Segurana do centro de computao Eficincia no uso de recursos computacionais Eficcia de sistemas aplicativos

Passos: Anlise do ponto de controle Elaborao do questionrio Seleo dos profissionais que iro responder o questionrio Elaborao de instrues Distribuio / remessa dos formulrios Controle do recebimento pelo usurio Anlise das respostas Formao de opinio quanto s respostas Elaborao do relatrio de auditoria

3. Simulao de dados (test deck) Elaborao de massa de teste a ser submetida ao programa ou rotina Deve prever as seguintes situaes: Transaes com campos invlidos Transaes com valores nos limites Transaes incompletas Transaes incompatveis Transaes em duplicidade

Passos: Compreenso da lgica do programa Simulao dos dados (pertinentes ao teste a ser realizado) Elaborao dos formulrios de controle Transcrio dos dados para o computador Preparao do ambiente de teste Processamento do teste Avaliao dos resultados Emisso de opinio sobre o teste

4. Visita in loco Consiste na atuao do pessoal de auditoria junto ao pessoal de sistemas e instalaes Passos: Marcar data e hora para visita Anotar procedimentos e acontecimentos Anotar nomes das pessoas e data e hora das visitas

Analisar a documentao obtida Emitir opinio via relatrio

5. Mapeamento estatstico (mapping) Permite verificar situaes como: Rotinas no utilizadas Quantidade de vezes que cada rotina foi utilizada Rotinas existentes em programas mas j desativadas Rotinas mais utilizadas Rotinas fraudulentas ou irregulares Rotinas de controle

6. Rastreamento de programas Possibilita seguir o caminho de uma transao durante o processamento do programa. Objetiva identificar as inadequaes e ineficincia na lgica de um programa. 7. Entrevistas no ambiente computacional Realizao de reunies entre o auditor e o auditado Passos Analisar o ponto de controle Planejar a reunio Elaborar o questionrio da entrevista Realizar a reunio Elaborar ata da reunio Analisar a entrevista Emitir relatrio da auditoria

8. Anlise de relatrios / telas Analisar relatrios e tela no que se refere a: Nvel de utilizao pelo usurio Esquema de distribuio e nmero de vias Grau de confidencialidade Forma de utilizao de integrao com outras telas / relatrios Padronizao dos layouts Distribuio das informaes conforme layout

Passos: Relacionar telas e relatrios por usurio Obter modelo ou cpia de todas as telas / relatrios Elaborar um check-list para levantamento Marcar data e hora para obter opnies dos usurios Realizar entrevistas e anotar opinies Analisar as respostas Emitir opinio

Permite detectar: Relatrios e telas no mais utilizados Layout inadequado Distribuio indevida de vias Confidencialidade no respeitada.

9. Simulao paralela Elaborao de um programa de computador para simular as funes da rotina sob auditoria Enquanto o test deck simula dados a simulao pararela simula a lgica do programa Passos Identificao da rotina a ser auditada Elaborao de programa com a mesma lgica Preparao do ambiente Aplicao da rotina Elaborao de relatrio

Esta tcnica requer um grande conhecimento de computao 10. Anlise de log / accounting Verifica o uso dos dispositivos componentes de uma configurao ou rede de computadores e do software aplicativo. Permite verificar: Ineficincia do uso do computador Configurao do computador (dispositivos com folga ou sobrecarregados) Determinao de erros de programa ou de operao Uso de programas fraudulentos ou utilizao indevida Tentativas de acesso indevidas.

Passos: Entevistar o pessoal de software bsico e Planejamento e Controle da Produo para entender o software / hardware existentes, layout do log accounting, etc. Decidir parmetros para utilizao do log/ accounting (tipos de verificao a serem feitas, perodo de tempo para auditoria, data do teste, etc). Aplicar o log / accounting Analisar os resultados Emitir opinio Esta tcnica requer um grande conhecimento de computao 11. Anlise do programa fonte Consiste na anlise visual do programa e na comparao da verso do objeto que est sendo executado com o objeto resultante da ltima verso do programa fonte compilado. Permite verificar. Se o programador cumpriu as normas de padronizao do cdigo (tabelas de rotinas, arquivos, programas). Qualidade de estruturao do programa fonte Esta tcnica requer um grande conhecimento de computao 12. Snapshot Tcnica que fornece uma listagem ou gravao do contedo do programa (acumuladores, chaves, reas de armazenamento), quando determinado registro est sendo processado (dump parcial de memria). Necessita confeco de um software especfico.

FERRAMENTAS DE AUDITORIA DE SISTEMAS Auxiliam na extrao, sorteio, seleo de dados e transaes, atentando para discrepncias e desvios.

1.Software generalista de auditoria de tecnologia da informao Envolve o uso de software aplicativo em ambiente batch, que pode processar, alm de simulao paralela, uma variedade de funes de auditoria e nos formatos que o auditor desejar.

Exemplos ACL (Audit Command Language) : um software de extrao e anlise de dados desenvolvido no Canad; IDEA (Interactiva Data Extraction & Analysis) software para extrao e anlise de dados tambm desenvolvido no Canad Audimation: a verso norte-americana do IDEA, da Caseware-IDEA, que desenvolve consultoria e d suporte para o produto Galileo: software integrado de gesto de auditoria. Inclui gesto de riscos de auditoria, documentao e emisso de relatrios para auditoria interna; Pentana: software de planejamento estratgico da auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria, inclusive de desenho e gerenciamento de plano de ao. Vantagens: Pode processar vrios arquivos ao mesmo tempo Pode processar vrios tipos de arquivos com formatos diferentes, por exemplo EBCDIC ou ASCII Poderia tambm fazer uma integrao sistmica com vrios tipos de softwares e hardwares Reduz a dependncia do auditor do especialista de informtica para desenvolver aplicativos especficos para todos os auditores de sistemas de informao Desvantagens: Como o processamento das aplicaes envolve gravao de dados (arquivos) em separado para serem analisados, poucas aplicaes podem ser feitas em ambiente on-line O software no consegue processar clculos complexos, pois como se trata de um sistema generalista, no aprofunda na lgica e na matemtica muito complexas

2.Softwares Especialistas de auditoria Consiste em programa desenvolvido especificamente para certas tarefas em certas circunstncias

Vantagens: Pode atender sistemas ou transaes no contempladas por softwares generalistas O auditor, quando consegue desenvolver softwares especficos numa rea muito complexa, pode utilizar isso como vantagem competitiva Desvantagens: Pode ser muito caro, pois ter uso limitado e normalmente restrito a determinado cliente Atualizao pode ser complicada devido a falta de recursos que acompanhem as novas tecnologias. 3.Programas utilitrios O auditor utiliza softwares utilitrios para executar funes muito comuns de processamento, como sortear arquivo, sumarizar, concatenar, gerar relatrios. Pode ser um EXCEL, ou recursos de bancos de dados como o SQL, Dbase2, etc.

Vantagem: Pode ser utilizado como alternativa na ausncia de outros recuros Desvantagem: Sempre necessitar do auxlio do funcionrio da empresa auditada para operar a ferramenta (no caso de ferramentas complexas, como bancos de dados).

AUDITORIA DO AMBIENTE COMPUTACIONAL 1. 2. 3. 4. 5. 6. 7. 8. 9. Auditoria de Sistemas em Operao Auditoria de Sistemas em Desenvolvimento Auditoria do Centro de Computao Auditoria em ambiente de Microcomputadores Auditoria em ambiente de Teleprocessamento e Bancos de Dados Auditoria em segurana fsica e ambiental do Centro de Computao Auditoria de segurana lgica e da confidencialidade Auditoria do Plano Diretor de Informtica Auditoria no ambiente de Inteligncia Artificial

1. Auditoria de Sistemas em Operao Transformao de dados em informao Captao e registro de dados Converso de dados Consistncia dos dados Atualizao de arquivos Armazenamento e recuperao de dados Apresentao das informaes Utilizao das informaes

Pontos de Controle auditados: Anlise dos Relatrios Emitidos pelo Sistema Parmetros avaliados: Eficcia - Verifica o nvel de satisfao dos usurios com: Natureza, correo e qualidade das informaes recebidas Periodicidade e intensidade das informaes recebidas Forma de apresentao da informao (sinttica / analtica) e distribuio do relatrio Confidencialidade sigilo das informaes contidas no relatrio, distribuio e destruio fsica dos relatrios. Segurana fsica falta de qualidade na distribuio dos relatrios (rasgados, sujos, faltando vias, etc...)

Anlise de Cadastro Parmetros avaliados:

Segurana fsica Verifica cuidados com transporte, armazenagem e manuseio de dispositivos que contm os cadastros, contra calor, poeira, magnetismo, queda, etc. Segurana lgica Verifica a existncia de pontos de controle tais como: somatrio de campos de valor, password, data de gravao e expirao do arquivo, hash total, quantidade de registros Eficincia Forma de organizao do arquivo; campos ou registros existentes no arquivo e que no so utilizados.

Outros pontos de controle: Rotinas de Atualizao, Programas de Clculo, Rotinas de Backup, Documentao do Sistema. Documentao utilizada: O DFD O auditor necessitar de uma documentao do sistema e dever elaborar, caso no exista, um DFD (Diagrama de Fluxo de Dados). O DFD: Obedece o esquema TOP DOWN D prioridade representao de processos Permite a representao grfica at o nvel de detalhamento desejado.

Os pontos de controle podem ser definidos em quaisquer um dos nveis, sendo mais aconselhvel coloc-los no nvel mais baixo, para maior facilidade de entendimento. Exemplo: DFD Contas Correntes Bancrio Pontos de Controle: 1) Avisos de dbito e crdito que fluem entre a matriz e o ambiente externo / sistema de carteiras (nivel 1 ou mais detalhado no nvel 2). 2) Avisos de D/C que fluem entre a rea de operao do computador da matriz (processo 2.3) e o sistema de carteiras. 3) Subsistema de C/C on-line sendo processado na matriz (processo 2.3) e no Caixa/terminal online da agncia (processo 1.3). Tcnicas mais utilizadas: Questionrios, Visita in loco, Mapeamento estatstico (mapping), Entrevistas, Anlise de relatrios / telas 2. Auditoria no desenvolvimento de sistemas Exige fortes conhecimentos de anlise de sistemas por parte do auditor. necessrio que o auditor tenha atuado na auditoria de sistemas em operao antes de atuar na auditoria de sistemas em desenvolvimento.

O auditor de sistemas em desenvolvimento deve conhecer:

Uma metodologia de desenvolvimento de sistemas computadorizados, com suas etapas, tcnicas, formulrios e conceitos bem como o papel dos profissionais da rea de sistemas Uma metodologia de auditoria que delineie a conceituao e a forma de participao do auditor na elaborao do sistema em computador.

2.1. O ciclo de desenvolvimento de sistemas: Inicializao do projeto Estudo de viabilidade Anlise da situao atual Projeto lgico Projeto fsico Desenvolvimento e testes Implantao Administrao Manuteno

O ciclo de vida do sistema pode ser extremamente longo ou extremamente curto. A auditoria de sistemas ajuda a definir este perodo. Sistemas de microcomputadores costumam ter ciclo de vida muito curto.

Participao da auditoria no ciclo de vida de um sistema:

Mudanas no ambiente empresarial Ciclo de Desenvolvimento Ciclo de Operao

Relatrios de Auditoria do Sistema em Operao

Plano Diretor de Informtica

Relatrios de Auditoria

Relatrios de Auditoria

Profissionais que atuam no ciclo de desenvolvimento: Lder de Projeto Analista de Sistemas Programador de Computador

reas de relacionamento da equipe de desenvolvimento: Administrador de dados Analista de Bancos de Dados Analista de Software Bsico Analista de Teleprocessamento Analista de Segurana Analista de Qualidade Profissional do Centro de Informaes

2.2. Pontos de controle para auditoria de desenvolvimento de sistemas: Processos: Etapas do ciclo de desenvolvimento Rotina operacional Rotina de Controle

Resultados: Documentao Relatrios Estrutura lgica Estrutura fsica Modelo de dados Projeto de arquivos Layouts de telas Definio de programas

2.3 Anlise da Metodologia de Desenvolvimento de Sistemas: Entendimento da metodologia atravs da documentao Identificao dos pontos de controle: Encadeamento lgico de idias Objetivos de cada etapa Tcnicas de anlise utilizadas Produtos gerados

Responsabilidade pela execuo de cada etapa Documentao exigida nas etapas de desenvolvimento Qualidade de desenvolvimento do sistema Avaliao da adequao dos equipamentos ao sistema Emisso de opinio e debate com a equipe de computao

2.4. Anlise da documentao do desenvolvimento de sistemas Entendimento das especificaes atravs da documentao Identificao dos pontos fracos da documentao no que se refere a: Objetivos do sistema Anlise de custo / benefcio Levantamento do sistema atual Anteprojeto Projeto lgico Projeto fsico Testes isolados e integrados Programao Implantao Documentao geral Analisar e avaliar os resultados obtidos emitindo o relatrio.

3. Auditoria do Centro de Computao Deve abranger: Instalaes Profissionais que executam tarefas comuns a todos os aplicativos Contratos de hardware e software Equipamentos Software bsico e de apoio Redes de comunicao, para integrao local e remota Procedimentos administrativos, tcnicos e gerenciais Plano de integrao de tecnologia

3.1. Auditoria de Contratos de Hardware e Software Auditar transaes de compra, venda, aluguel, leasing, seguros e manuteno de equipamentos, compra, locao e manuteno de software e seus contratos.

3.2. Auditoria de utilizao de hardware e software

Utiliza a tcnica de anlise de log / accounting, podendo tambm ser utilizadas as tcnicas de entrevista e questionrios. Utiliza indicadores que permitem: Estabelecer critrios para treinamento de profissionais e usurios Montar um PDI possvel de ser cumprido Manter um oramento de hardware, software e pessoal equilibrado Conduzir a inovao tecnolgica do ambiente Estabelecer critrios de depreciao de equipamentos Desclassificar fornecedores no idneos Identificar a causa de mau uso de hardware e software 3.3. Auditoria de funes Anlise de funes, estrudo do CPD e fluxo de informaes do ambiente Assegurar a qualidade, o rendimento, a eficcia e a produtividade na rea sob auditoria; Assegurar o aproveitamento da especializao, a maximizao dos recursos, o controle e a coordenao Assegurar a adequao do fluxo de informaes entre os setores do CPD e os usurios Tcnicas utilizadas: Questionrios, entrevistas, anlises de documentos/relatrios e telas. 3.4. Auditoria de Normas e Procedimentos Assegurar a divulgao e o uso de informaes referentes a politica, diretrizes, organizao e servios de forma sistematizada, criteriosa e segmentada. Assegurar o treinamento e a capacitao dos recursos humanos e o funcionamento do CPD.

Documentao das normas e procedimentos: Informaes sobre o objetivo da normatizao Facilidade de atualizao Distribuio dos manuais Padro esttico Consistncia do contedo Atualizao das informaes.

Tcnicas utilizadas: questionrios, visita in loco, entrevistas, anlise da documentao. 3.5. Auditoria dos custos de PED Verificar os critrios para apurao de custos Verificar os indicadores de custo apurados e sua evoluo histrica e comparao com o mercado Verificar o esquema de anlise de custo vigente Verificar as aes tomadas e as pendncias para minimizao de custos

Exemplos: Custo de digitao de um pedido Custo de utilizao de mquina por tem de estoque processado

Tcnicas utilizadas: entrevista, visita in loco, questionrios 4. Auditoria em ambiente de Microinformtica Identificar inventrio de micros, localizao fsica, usurios, configurao, softwares, etc. Identificar a poltica do Centro de Informao da empresa Verificar tempo, natureza, segurana fisica, segurana lgica e confidencialidade no uso dos microcomputadores dentro da empresa. Verificar integrao entre os micros Verificar a documentao dos sistemas.

4.1. Auditoria do Centro de informao Problemtica de relacionamento usurios X CPD :fila de espera para desenvolvimento de novas aplicaes, alto custo de desenvolvimento de pequenos projetos, custo de hardware baixo X custo de software alto, etc. Objetivo do Centro de informaes: acesso s informaes em tempo curto, prover ferramentas ao usurio, reduzir a carga de sistemas processados no mainframe, treinamento de usurios, suporte ao desenvolvimento de aplicativos para microcomputadores, apoio escolha de software para microcomputadores, orientao na utilizao dos micros na empresa.

Objetivo da auditoria: Anlise das funes do CI Avaliao das atividades de treinamento Avaliao das atividades de controle de utilizao de hardware e software Avaliao da estrutura do CI Anlise de normas e procedimentos do CI (backup, linguagens de programao, utilizao de editores de texto, planilhas, documentao de programas, contratao de hardware e software, atendimento aos usurios)

4.2. Auditoria dos microcomputadores e seus usurios Envio de questionrios aos usurios para levantamento de dados de seu micro (hardware, software, interfaces, procedimentos de segurana, backup, etc) Recebimento de respostas para levantamento de usurios que meream uma auditoria mais detalhada para detalhamento.

Tcnicas utilizadas: questionrios

5. Auditoria em ambiente de teleprocessamento e bancos de dados O Banco de Dados deve conter as informaes a serem tratadas pelos sistemas aplicativos da organizao, com os conceitos de unicidade do dado. Aspectos importantes: Existncia do administrador de dados Existncia de um dicionrios de dados Existencia de um SGBD Existncia de um analista de banco de dados Existncia de controle de acesso ao BD. Problemas encontrados: Leitura extrao de dados por entidade no autorizada Alterao dos dados ou procedimentos de programas Adio ou excluso de dados estranhos aos arquivos Utilizao de equipamento ou software sem autorizao Controles a serem verificados pelo auditor: Verificao de password Verificao da autorizao de acesso aos dados Confirmao da digitao de dados antes da atualizao do BD Verificao da integridade do Banco de Dados Verificao da ltima transao processada versus a ltima transao recuperada no BD, quando da queda do sistema Verificao de protocolos de arquivos (header e trailler) Verificao dos protocolos de linhas Verificao da utilizao de terminais. Procedimentos de segurana: Criao da funo de administrador de dados (descrio do BD, manuteno do dicionrio, monitoramento da utilizao do BD, controle de acesso, etc) Segurana fsica dos terminais Definir normas para uso de passwords Tcnicas utilizadas: Questionrios, visita in loco, entrevistas 6. Auditoria da segurana fsica e ambiental do Centro de Computao Infra-estrutura do Centro de computao (eltrica, hidrulica, ar condicionado, segurana contra fogo, inundao, etc) Acesso fsico (porteiro, catraca, etc) Segurana da rede de comunicao de dados Segurana fisica de recursos humanos e materiais Plano de contingncia

Tcnicas utilizadas: Questionrios, visita in loco, entrevistas. 7. Auditoria da segurana lgica e confidencialidade Segurana lgica : modificao inadequada dos recursos tecnolgicos, informaes e softwares. Confidencialidade: captao indevida dos recursos tecnolgicos, informaes e softwares. Programas de crtica e consistncia : verificam integridade do dado e sua compatibilidade com as informaes contidas no cadastro Programas de processamento: verificam a correo do funcionamento do sistema e a alimentao dos arquivos corretos Programas de sada: evitam a passagem de informaes erradas aos usurios

8. Auditoria do Plano Diretor de Informtica (PDI) Documentao que formaliza o planejamento estratgico de informtica para uma organizao: Estabelece a filosofia de PED para a empresa Define os objetivos e a estrutura da rea de informtica Apresenta o plano de sistemas a serem desenvolvidos e mantidos Estabelece critrios para aquisio de software e hardware Define a necessidade de recursos humanos Apresenta um oramento de custos na rea de informtica Enumera os benefcios a serem alcanados e as restries previstas. O auditor deve: Discutir se os novos sistemas a serem desenvolvidos esto priorizados segundo a gravidade da fraqueza do controle interno Acompanhar se os relatrios de auditoria serviram de base para a elaborao do PDI. Verificar a adequabilidade do plano de sistemas as fraquezas detectadas pelo relatrio de auditoria Acompanhar o cumprimento dos objetivos definidos para o PDI Analisar a metodologia aplicada e o contedo do PDI Avaliar a qualidade do planejamento do PDI.

9. Auditoria no ambiente de inteligncia artificial Sistemas especialistas: Novos conceitos de computao banco de dados do conhecimento, software de inferncia, software com regras de deciso (sistemas especialistas). Aparecimento de duas novas funes: engenheiro do conhecimento (para estruturao dos sistemas especialistas de do software de inferncia) e especialistas (para alimentao do bando de dados do conhecimento e criao das novas regras de deciso)

Desafios do auditor: Dificuldade de manter a documentao atualizada Constante mudana nos objetivos dos sistemas especialistas Carter extremamente interativo de manuteno e uso do sistema especialista.

TCNICAS E PROCEDIMENTOS DE AVALIAO DOS CONTROLES DE PROCESSAMENTO DE DADOS 1. Controles Gerais Existem seis categorias de controles gerais que devem ser consideradas em auditorias: controles organizacionais: polticas, procedimentos e estrutura organizacional estabelecidos para organizar as responsabilidades de todos os envolvidos nas atividades relacionadas rea da informtica; programa geral de segurana: oferece a estrutura para: (1) gerncia do risco, (2) desenvolvimento de polticas de segurana, (3) atribuio das responsabilidades de segurana, e (3) superviso da adequao dos controles gerais da entidade; continuidade do servio: controles que garantem que, na ocorrncia de eventos inesperados, as operaes crticas no sejam interrompidas, ou sejam imediatamente retomadas, e os dados crticos sejam protegidos. controles de software de sistema: limitam e supervisionam o acesso aos programas e arquivos crticos para o sistema, que controlam o hardware do sistema computacional e protegem as aplicaes presentes; controles de acesso: limitam ou detectam o acesso a recursos computacionais (dados, programas, equipamentos e instalaes), protegendo esses recursos contra modificao no autorizada, perda e divulgao de informaes confidenciais; controles de desenvolvimento e alterao de softwares aplicativos: previnem a implementao ou modificao no autorizada de programas. 2. Controles do Sistema Aplicativo Durante a fase de execuo da auditoria, e antes de se proceder ao teste de dados (procedimento que, em ltima instncia, ir determinar a sua confiabilidade), normalmente indicada a avaliao dos controles presentes no sistema de processamento desses dados. Segundo princpios geralmente aceitos de auditoria, quanto menor a confiabilidade dos controles gerais ou de aplicativo (ou se esses no forem avaliados), maior a extenso do teste necessrio para determinar a confiabilidade dos dados. A abrangncia da avaliao dos controles depende do conhecimento prvio sobre os dados e o sistema. O quadro abaixo mostra como pode ser definida a extenso da avaliao dos controles a partir das informaes obtidas:

Conhecimento prvio sobre o sistema ou os dados As informaes so insuficientes ou avaliaes anteriores detectaram erros significativos nos controles do sistema ou nos prprios dados. A confiabilidade do sistema ou dos dados j foi avaliada e considerada adequada em trabalhos anteriores.

Amplitude da avaliao dos controles do sistema Extensiva

Reduzida

Indcios de ineficcia de controles do sistema A documentao de um sistema bem controlado deve ser completa e atualizada. A ausncia dessa documentao pode indicar que no existem controles, que eles no so compreendidos ou so inadequadamente aplicados. Outros sinais que sugerem vulnerabilidade de dados a erros podem ser: sistemas antigos, que exigem muita manuteno; grande volume de dados; atividades de atualizao muito freqentes; numerosos tipos de transao e de fontes de dados; grande nmero de elementos de dados codificados (por exemplo, itens do estoque representados por meio de cdigos numricos, em vez do nome do bem, podem dificultar a identificao at mesmo de erros grosseiros); alta rotatividade de pessoal (digitadores, operadores, programadores, analistas) e treinamento inadequado ou em escala insuficiente; estruturas de dados complexas ou desorganizadas; falta de padres para o processamento de dados, especialmente quanto segurana, acesso e controle de mudana de programas. Entrevistas com funcionrios com grande conhecimento da organizao podem auxiliar a equipe no entendimento dos controles do sistema. Parecer da auditoria sobre a eficcia dos controles do sistema Aps avaliar os controles do sistema, a equipe dever dar um parecer sobre a sua eficcia, isso , sua capacidade de prevenir erros e detectar e corrigir aqueles que venham a ocorrer. De acordo com os resultados da anlise efetuada, a equipe de auditoria ir classific-los em: Controles slidos - quando assumir-se que o sistema como um todo est capacitado a prevenir, detectar e corrigir qualquer erro significativo nos dados;

Controles adequados - quando forem detectadas deficincias nos controles, mas de modo geral esses demonstrarem ser suficientes para prevenir os erros mais significativos, e acusar os que venham a ocorrer; ou Controles fracos/indeterminados - quando identificar-se a ausncia ou ineficcia dos controles de sistema, e, conseqentemente, oportunidades de introduo de dados incorretos no sistema.

Avaliao extensiva dos controles de sistema pela auditoria Controles Gerais: Grau de comprometimento da administrao com o projeto e a operao dos sistemas: os mtodos de superviso e acompanhamento da administrao e do desempenho dos sistemas; e aes corretivas em relao s recomendaes da auditoria interna e reclamaes dos usurios. Organizao das funes dos sistemas, incluindo a atribuio formal das responsabilidades e segregao de funes, no sentido de garantir que funes crticas e responsabilidades de autorizar, processar, registrar e revisar transaes sejam atribudas a diferentes indivduos. Segurana fsica das instalaes, especialmente quanto s restries de acesso. Segurana lgica (controle de acesso aos sistemas e dados atravs de senhas e outros mtodos) que ajudam a garantir a confiabilidade dos dados reduzindo o risco de ocorrer entrada ou modificao no autorizada de dados.

Controles de aplicativos: Existncia de procedimentos que garantam que os programas aplicativos e suas modificaes subseqentes sejam autorizados e testados antes de sua implementao. Freqncia das alteraes no sistema e motivo de sua realizao. Procedimentos adequados de controle e documentao das alteraes nos programas. Procedimentos de reviso, aprovao, controle e edio de dados de entrada, para garantir sua integridade e prevenir erros. Existncia de documentao e fluxogramas atualizados para os sistemas. Confrontao entre registros de sada e entrada (para confirmar que todos os registros vlidos de entrada foram processados, e somente esses). Procedimentos de deteco de erro e correo. Opinio dos usurios sobre a confiabilidade dos dados. Relatrios da auditoria interna e outros estudos de avaliao.

GESTO DA AUDITORIA E GESTO DA INFORMTICA 1. Uso do microcomputador na auditoria interna 1.1. Auditoria em Computador Anlise de arquivos Confronto de arquivos Emisso de check-lists e questionrios Preparao de test deck Anlise de log Tabulao de respostas e questionrios 1.2. Acompanhamento de projetos de auditoria Controle de horas Controle de alocao de recursos 1.3. Plano de treinamento do auditor 1.4. Documentao automatizada de relatrios de auditoria 1.5. Monitorao do cadastro de pontos de controle 1.6. Monitorao do cadastro de indicadores de qualidade 1.7. Treinamento de auditores internos 1.8. Acessar logs de outros micros em rede 1.9. Solicitar arquivos atravs da rede. 2. A Carreira do Auditor Interno CARGO Gerente / Subgerente Supervisor Auditor Snior FUNO Gerencia a atividade de auditoria Audita o centro de computao, PDI e sistemas especialistas Audita sistemas em desenvolvimento e teleprocessamento / bancos de dados Conhece metodologia de desenvolvimento Audita segurana em informtica Realiza auditoria em sistemas em operao mainframe Conhece linguagem de programao mainframe Realiza auditoria em microinformtica Conhece linguagem de programao em microinformtica

Auditor Pleno

Auditor Jnior

3. Atividades do gestor de auditoria planejamento e controle de trabalhos / projetos de auditoria treinamento de auditores internos administrao da qualidade dos trabalhos de auditoria elaborao do plano diretor da auditoria contato com executivos e chefes das reas auditadas participao nas reunies de apresentao e discusso dos relatrios de auditoria apresentao do plano diretor de auditoria para a alta administrao discusso do oramento da auditoria

Comit de auditoria: composto pelo executivo principal da organizao e demais gerentes de auditoria. 3.1. Plano Diretor de Auditoria de Sistemas Estabelece indicadores de qualidade e mtricas. Deve conter: Objetivos Indicadores de qualidade da auditoria de sistemas Recursos necessrios auditoria Treinamento para auditores Custos Cronograma de atividades Suporte auditoria operacional pela auditoria de sistemas

3.2. Relatrio anual de auditoria de sistemas Resume o controle exercido pelo gerente de auditoria sobre as atividade da auditoria de sistemas e deve conter: Descrio dos objetivos propostos Detalhamento das mudanas de objetivo ocorridas Caracterizao dos indicadores de qualidade usados Quadros de indicadores de qualidade e mtricas Estatsticas quanto evoluo das mtricas alcanadas Comentrios quanto aos indicadores Comentrios quanto atuao da auditoria de sistemas (problemas enfrentados, parmetros para a auditoria do prximo ano, etc).

4. Indicadores de qualidade na auditoria de sistemas Atendem ao planejamento e controle da auditoria de sistemas So criados com base na anlise de pontos de controle Servem de referncia para a organizao da qualidade dos trabalhos de auditoria de sistemas realizados

So estabelecidos pela alta administrao Permitem a administrao por execuo Atendem aos parmetros de controle interno

Permitem caracterizar: - Produtividade dos trabalhos da auditoria - Eficincia nos processos de auditagem (uso de tcnicas otimizadas) - Eficcia dos resultados das auditorias de sistemas efetuadas (alcance dos objetivos) - Segurana dos recursos tangveis alocados a processos e resultados. Exemplo de Indicador de qualidade: quantidade mdia de horas de auditoria aplicada por ponto de controle: = Quantidade de horas de auditoria __________________________ Quantidade de PC validados Necessria a existncia de um software (Sistema de Administrao de Pontos de Controle) que apure: Tempo disponvel para realizao da auditoria Anlise de risco e eleio de pontos de controle Tcnicas mais adequadas a serem aplicadas a cada ponto de controle Evidncias de auditoria obtidas das valiaes efetuadas Natureza das fraquezas de controle interno Tipo de alternativas de soluo propostas para as fraquezas Relao custo / benefcio da auditoria interna

5. Auditoria da Administrao da Informtica A administrao da informtica formada por: - Alta administrao - Executivos, gerentes, chefes e profissionais de reas usurias - Executivos, gerentes, chefes e profissionais da rea de informtica - Executivos, gerentes, chefes e profissionais de empresas de prestao de servios de informtica Precisa atuar sobre: - Engenharia de produto, engenharia do processo, especificao do processo. - Plataformas de informtica e sistemas aplicativos.

Auditoria da administrao da informtica

ENTIDADES RESPONSVEIS Alta administrao Executivos Usurios Executivos de Informtica Executivos de Terceiros

FORMAS DE GERENCIA MENTO DE INFORMTI CA Planejamento e Controle de Processos e Resultados

MOMENTOS DE MONITORA O DA INFORMTI CA Projetos e Recursos Tecnolgicos

FOCO NO CICLO DE VIDA DA INFORMTI CA Engenharia do Produto Engenharia do processo Especificao do processo

NIVEL DE ESTRUTURA O DA INFORMTI CA Plataformas Operacionais Sistemas Aplicativos

Responsabilidades de gerenciamento da alta administrao: Discutir e aprovar cronograma fsico e financeiro referente ao desenvolvimento de novos sistemas Conhecer e exigir o cumprimento da metodologia para desenvolvimento Analisar e aprovar a estrutura e o contedo do prottipo de cada novo sistema aplicativo (principalmente informaes, telas e relatrios de interesse da alta administrao). Avaliar a aplicao de procedimentos e tcnicas por coordenadores e usurios de informtica quando do desenvolvimento de novos aplicativos Ler e avaliar o resultado final / produto de cada fase da metodologia e relatrios de progresso do projeto.

Responsabilidades da auditoria da administrao da informtica: - Verificar qualidade da metodologia, seu uso e aplicao - Apresentar relatrio com recomendaes para melhoria da qualidade das metodologias e para o cumprimento das etapas e procedimentos definidos pela alta administrao.

AS TRANSFORMAES NA FUNO DA AUDITORIA Novas exigncias das organizaes: Continuidade Operacional Pesquisa e desenvolvimento para alcance da inovao tecnolgica Pioneirismo (entrar no mercado no momento da ascenso do negcio) Identificao da itensidade e potencial da concorrncia Lucratividade de cada linha de negcio/produto/servio

Ajuste da informtica e da Auditoria de Sistemas Novo papel da auditoria: Assessoria, emisso de opinies e proposta de aes de otimizao Papel da rea de informtica: Consultoria quanto tecnologia de PED, buscando melhoria em processos e resultados Foco da atividade de auditoria: Auditoria Operacional: Atua em nvel de atividades fim e meio, tanto no ambiente interno como externo com foco no presente em relao ao passado. Auditoria de Gesto: Mesma atuao da auditoria operacional, mas com foco no futuro. Auditoria da Qualidade: Verifica e avalia os esforos de melhoria e otimizao Auditoria de Sistemas: Atua segundo o foco operacional, da gesto e da qualidade em informtica.

Auditoria de sistemas em termos operacionais Atendimento a regulamentaes internas e externas da organizao, a nvel de processos e resultados gerado pelo PED. Segurana lgica e fsica dos ativos computacionais (hardware, sofware, sistemas aplicativos e plataformas computacionais) Eficincia de processos e eficcia dos resultados de reas empresariais e centros de responsabilidade que utilizam o PED.

Auditoria em sistemas em termos de gesto Verificao do PDI e todo planejamento de informtica da empresa Avaliao de cenrios futuros de posicionamento da organizao no mercado Validao de projees empresariais, realizadas em computador.

Auditoria de sistemas em termos de qualidade Reviso da expectativa de continuidade operacional, explicitados por indicadores de qualidade organizacional gerados por PED. Avaliao de contratos de gesto e metas de qualidade direcionadas ou sustentadas por PED. Emisso de opinio quanto s inovaes tecnolgicas e sua utilidade no ambiente de informtica.

Novos pontos de controle Aud.Sistemas Auditoria Momento Operacional Cumprimento da metoSistema em dologia de desenvolviDesenvolvimento mento de sistemas Auditoria da Qualidade Tempo de resposta Indicador de estimado / projetado Qualidade tempo para as transaes mdio de atraso no desenvolvimento Sistema em Operao Nvel de satisfao dos Cronograma mensal de Aes de qualidade de usurios com contedo carga de trabalho por natureza inovao de telas / relatrios sistema aplicativo por tecnolgica plataforma implantadas para computacional sistemas on-line Custo de plataformas / Investimento em Metas de qualidades Centro de redes operacionais hardware e software para contratos de Computao bsico gesto da rea de informtica Ganhos no novo enfoque da auditoria de sistemas: Enquadramento dos pontos de contole em focos mais precisos Realce em atividade de planejamento e controle, tcnicas estatsticas e linhas de negcio Enfoque nos interesses dos executivos e profissionais no produto final dos trabalhos de auditagem Maior argumentao e susteno lgica nas propostas da auditoria. Auditoria de Gesto

Novo papel da Auditoria de Sistemas: Atuar em regime de parceria com auditores de outras reas e auditados, para definio de solues conjuntas agente de mudana

O AMBIENTE FUTURO DA TECNOLOGIA DE INFORMTICA Usurios proprietrios: usurios que desenvolvem e operam seus sistemas Rede total de computao: Uso de micros portteis e conectados em rede para transmisso, recepo e acesso a dados Conhecimento compartilhado: Aplicao da tecnologia de sistemas especialistas Novas funes computacionais: Realce no papel da consultoria da rea de informtica para divulgao de novas tecnologias e treinamento.

Novas necessidades na rea de informtica: Novas abordagens de treinamento para profissionais de informtica Capacidade de negociao: argumentao lgica para negociao de solues Critrios negociais: Racioco em termos de mercado, concorrncia, linhas de negcio, novos empreendimentos, etc. Estmulo criatividade : Discusso de aspectos comportamentais dos profissionais das reas de responsabilidade da empresa. Desenvolvimento de know-how de informtica para os usurios Metodologia de desenvolvimento de sistemas Critrios para suporte tcnico Planejamento e controle das atividades e tecnologias de informtica

Novos problemas: Baixo nvel de formao dos usurios em PED Processo de mudana nas reas organizacionais acelerado pelo usuo total da informtica pelos usurios Aumento da responsabilidade para executivos e profissionais pela disponibilizao direta da informtica para os usurios

Novas funes dos profissionais de informtica Analista de qualidade em informtica: responsvel pelo planejamento, controle e operacionalizao de sistemas / aes / indicadores de qualidade. Analista de Segurana em informtica: responsvel pela segurana fsica, lgica e ambiental da informtica Engenheiro do conhecimento: responsvel por disseminar o conhecimento empresarial em todos os pontos da organizao.

Prioridades da rea de informtica: Recrutamento e seleo de profissionais com vivncia em microinformtica, Bancos de Dados e redes de computadores Generalizao do uso da informtica em funes primrias da organizao: e-mail, agendas, planilhas eletrnicas, etc.

Treinamento dos usurios em qualidade em PED, controles lgicos e plataformas computacionais. NOVA AUDITORIA DE SISTEMAS X NOVO AMBIENTE DE INFORMTICA Maior nfase em tcnicas de auditoria como montagem de cenrios alternativos ou futuros com o uso de sistemas especialistas e aplicao de questionrios distncia para acelerar o processo de auditagem Maior interesse em reas para auditoria como centros de pesquisas e reas de novos produtos / tecnologias e pesquisas em ambientes externos para levar novas idias para dentro da organizao. Auto auditoria pelas reas empresariais Diversificao no produto final da auditoria Atuao da auditoria com as novas funes da rea de informtica (Analista de Segurana, Analista de Qualidade, Analista do Conhecimento) Avaliao dos indicadores de qualidade.

Novo perfil do auditor de informtica: Auditor da qualidade da aplicao da informtica s linhas de negcio/produtos/servos nos momentos de planejamento/execuo/controle e nas esferas operacional/ttica/estratgica.

BIBLIOGRAFIA: Gil, Antnio de Loureiro. Auditoria de Computadores, 2000, Atlas, 5a. Edio Imoniana, Joshua Onome. Auditoria de Sistemas de Informao, 2005, Atlas, 1a. Edio

Você também pode gostar