O conjunto de mdulos deste curso foram adaptados a partir de trabalho do Prof. Henrique J.

Brodbeck

Agenda

Conceitos de Auditoria de TI mbito, Problemas, Atuao Controles Internos Pontos de Controle Parmetros de Controles Internos O Planejamento da Auditoria reas de foco

O mbito da Auditoria de Sistemas

Auditoria de TI: ferramenta da gesto, do controle acionrio, do meio externo e das pessoas para:
Checar, opinar, avaliar, validar a qualidade dos dados (da informao) referente aos sistemas geradores e mantenedores, referente segurana, integridade, confiabilidade e eficincia.

Interna ou Externa Exige conhecimentos de TI Exige conhecimentos do negcio

3

Problemas da Auditoria de Sistemas

Os auditores quando muito bons tecnologicamente, tendem a se transformarem em analistas.

Auditores tendem a ficar desatualizados em termos tecnolgicos em relao aos cenrios computacionais do mercado e da organizao.

Carncia de bons profissionais em auditoria, combinando experincia e conhecimento em TI e auditoria.

CIOS e CEOs carecem de orientao no sentido de obterem melhores resultados a partir do conceitos de auditoria.

Problemas da Auditoria de Sistemas 2

Ambiente computacional complexo

Mltiplos cenrios computacionais:

Microcomputadores stand alone Redes (LANs, MANs, WANs, etc)

Ambiente cliente/servidor
Networking

Ambiente atual

web services e organizaes interconectadas

Complexidade Crescente da TI

Novos modelos de desenvolvimento de software Mtodos geis CMM/CMMI Metodologias Gerncia de projetos Governana Cobit Itil PMI/PMBOK Processos Novos aspectos da segurana e avaliao de riscos

O futuro da auditoria de sistemas

Novas funes no ambiente
Analista de Segurana (security officer) Analista de Qualidade Analista de Conformidade (compliance officer)

Auditoria de segurana e qualidade Maior automao do processo de auditoria, atravs de suporte intrnseco dos sistemas Anlise de custo/benefcio da auditoria Gesto e qualidade da auditoria

Controle Interno
Controle interno funo administrativa, exercida pelo auditor de sistemas, que valida as demais funes administrativas planejamento, execuo e controle nfase da auditoria nos processos computacionais e na administrao de tecnologia da informao Certificar a qualidade intrnseca dos sistemas e dos processos

Controle Interno e Auditoria

Administrao por confronto

Ambiente de contestao, buscando otimizao, eficincia, eficcia e segurana

Administrao por exceo

onde atuar? que subconjunto avaliar e validar? otimizao da anlise de risco

Ponto de Controle
subconjunto submetido auditoria alto risco

Controle Interno e Auditoria

Frameworks de Controles Internos

CoCo (CICA - Canad) COSO - Comittee of Sponsoring Organizations of the Threadway (USA) Cadbury - The Cadbury Commision (UK) BIS (Comit da Basilia): A Framework for Internal Control for Banking Organizations

Auto-avaliao
Utiliza o framework para determinar o grau de risco

10

Parmetros de Controle Interno

Controle Interno Sistemas Fidelidade do dado em relao fonte Segurana fsica Segurana lgica Confidencialidade Segurana ambiental Obedincia legislao Controle Interno Administrativo Eficincia Eficcia Obedincia s polticas da administrao
11

Pontos de Controle

Abordagem do parmetro de controle interno Abordagem da fraqueza buscada

erro, omisso, falha de procedimentos falta, erro, correo de resultados

Formado por rotinas e informaes operacionais e de controle Recursos humanos, materiais, tecnolgicos

12

Forma de Atuao
Atravs dos sistemas de informaes Atravs do centro de computao Atravs dos processos ou resultados Analisando Rotinas operacionais Informaes operacionais Rotinas de controle Informaes de controle
13

Ponto de Controle

a situao do ambiente computacional caracterizada como de interesse para validao e avaliao

Processo sistema mdulo de um sistema banco de dados tabela de um banco de dados (arquivo) coluna de uma tabela (campo) linhas na tabela (registros) Objetos de uma classe.

14

Auditoria do Ponto de Controle

Identificao dentro do ambiente Caracterizao em termos de recursos, processos e resultados Anlise de risco parmetros do controle interno fraquezas passveis de ocorrer

Tcnica de auditoria x Risco

15

Aplicar a tcnica de auditoria

Analisar os resultados apurados

Apresentar uma opinio

Ciclo de Vida do Ponto de Controle

Incio

Ponto de Controle identificado

Avaliar?

Fraquezas?

Ponto de Auditoria

Fim

Auditoria

16

Anlise de Risco
Conhecer o ambiente a ser auditado levantamento de dados fluxo do processamento inventrio de recursos humanos e materiais arquivos processados (bancos de dados)

relatrios e consultas produzidos

estudo da documentao do ambiente complementao de informaes

visita ao ambiente computacional

entrevistas com os profissionais do ambiente
17

Anlise de Risco 2
Planejamento da auditoria
conhecimento do ambiente computacional determinao dos Pontos de Controle estabelecimento dos objetivos de validao e avaliao dos Pontos de Controle tcnicas de auditoria prazos de execuo da validao custos incorridos com a validao nvel de tecnologia exigida do auditor natureza da fraqueza do controle internos passvel de ser alcanada

18

Anlise de Risco 3
Planejamento da auditoria (cont)
anlise da sensibilidade de cada Ponto de Controle matriz Ponto de Controle, Parmetro, Voto, Fraqueza do Controle, Voto, Tcnica de Auditoria a aplicar, Voto, Voto Mdio hierarquizao dos Pontos de Controle documentao do processo de planejamento da auditoria

19

Produtos Gerados

Relatrios de Fraquezas de Controle Interno

Objetivos do projeto de auditoria pontos de controle auditados concluso sobre cada ponto de controle alternativas de soluo propostas (pontos de recomendao)

Certificado de Controle Interno

No devemos ter neuras por certificao externa ou interna, porm, no custa ter o mnimo necessrio sade tecnolgica da empresa.

20

Tcnicas de AS

Questionrio Simulao de dados (test-deck) Visita in loco Mapeamento estatstico Rastreamento Entrevista JAD

Anlise relatrio / tela Simulao paralela Anlise de log Anlise de programa fonte Snapshot Observao Delphos

21

Auditoria do Ambiente Computacional

Sistemas em operao Desenvolvimento de sistemas Centro de computao

Gesto Segurana

22

Workshop

Analise o CPD de sua empresa e tente identificar (sem explorao profunda) as vulnerabilidades existentes. Identifique pelo menos quatro processos de TI (no vale processos negociais), clarificando seus insumos de entrada e produtos de sada.

23