Você está na página 1de 19

Auditoria Sistemas Informticos

TPICOS PRINCIPAIS 1. 2. 3. 4. 5. 6. 7. 8. 9. Objectivos, Evoluo e Finalidades da Auditoria A Funo Auditoria Informtica Controlo e Segurana dos Sistemas de Informao Tcnicas de Anlise e de Controlo Metodologias de Auditoria de Sistemas de Informao Domnios da Auditoria Informtica Auditoria e Riscos de Segurana Auditoria, Controlo e Segurana na ptica da Gesto Estratgica Anlise de casos de Auditoria Informtica

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos


2

PROGRAMA: CAPTULO V METODOLOGIAS DE AUDITORIA DE SISTEMAS DE INFORMAO Objectivos Introduo Deciso e preparao de uma auditoria Processo decisional Elementos preparatrios Objectivos e mbitos Metodologia das operaes Anlise do ambiente geral Estrutura da organizao Caracterizao do ambiente das operaes Organizao dos recursos necessrios Formulao do plano de trabalho Fases da auditoria Seleco das tcnicas Questionrios de anlise Relatrio final

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos


3

PROGRAMA: CAPTULO V (continuao) METODOLOGIAS DE AUDITORIA DE SISTEMAS DE INFORMAO Resumo Caso de estudo Perguntas de Reviso ____________________________________________________________________________________ BIBLIOGRAFIA: Auditoria e Controlo de Sistemas de Informao de Alberto Carneiro ISBN: 978-972-722-407-4 Editora FCA Sistemas Informticos, Lda www.fca.pt

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
4

INTRODUO

Neste captulo vai ser abordada a metodologia geral da auditoria dos SI informatizados, sendo referidos os seus objectivos, fases, principais instrumentos e perspectivas de anlise e a estrutura do relatrio final. Pretende-se com este estudo: Discutir a necessidade e a deciso de uma auditoria Explicar os principais aspectos da sua preparao Apresentar e diferenciar as suas fases Mostrar os requisitos e a estrutura do relatrio final de uma auditoria de SI informatizados

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
5

METODOLOGIA DAS OPERAES

As metodologias de auditorias de sistemas dependem todas da matria a auditar. Depois de serem definidos os objectivos da auditoria, escolhida a entidade auditora e devidamente informados todos os colaboradores directamente envolvidos no processo, inicia-se a auditoria propriamente dita. De um modo geral, pode dizer-se que no decorrer da auditoria, o auditor ter de efectuar a avaliao dos controlos gerais e particulares, apontar os desvios encontrados elaborar e validar as solues possveis e redigir o seu relatrio final que ser apresentado aos responsveis da organizao. Por outro lado, os colaboradores mais directamente implicados nesta auditoria devem fornecer as informaes pedidas, compreender as razes dos desvios e das falhas detectadas e preparar as mudanas necessrias.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
6

METODOLOGIA DAS OPERAES

Depois da definio dos objectivos e do mbito da auditoria dos SI informatizados, a complexidade deste processo exige que sejam analisados os seguintes passos metodolgicos: Anlise do ambiente geral da empresa; Organizao da empresa onde se realiza a auditoria Caracterizao do ambiente das operaes no domnio informtico Organizao dos recursos existentes e necessrios Formulao do plano geral e dos programas de trabalho As fases de uma auditoria Aces, tcnicas e ferramentas da auditoria informtica Elaborao do relatrio final

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
7

METODOLOGIA DAS OPERAES

Anlise do ambiente geral indispensvel que o auditor estude a situao global da organizao, principalmente no que se refere s actividades e s condies de funcionamento da funo informtica, desde a sua estrutura e funcionamento at s aplicaes utilizadas. Estrutura da organizao A estrutura da organizao a auditar inicialmente mostrada por um organigrama, no qual se observa os departamentos existentes. Em particular, deve ser analisado tambm o organigrama do SI existente. O auditor tem de verificar claramente as funes de cada colaborador, as qualificaes, as remuneraes, a antiguidade, o nvel de experincia, a formao adquirida e as relaes hierrquicas e funcionais, as quais devem constar do manual da organizao.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
8

METODOLOGIA DAS OPERAES

Estrutura da organizao sobre esta rede de relaes que funcionam os fluxos de informao que so indispensveis para a eficiente gesto da empresa, desde que no ocorram omisses ou distores que afectem as regras de funcionamento interno. Deve ainda, o auditor analisar o nmero e a identificao funcional dos postos de trabalho, sobretudo para verificar at que ponto no existem funes demasiado semelhantes em departamentos ou sob nomes diferentes. Quando tal situao se verifica, o auditor ter de verificar as consequncias destas deficincias estruturais no funcionamento dos SI e propor solues no seu relatrio final.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
9

METODOLOGIA DAS OPERAES

Caracterizao do ambiente das operaes O auditor tem de conhecer as condies em que vai desenvolver o seu trabalho, designadamente no que concerne aos sistemas, aos equipamentos informticos, aos softwares, s redes de comunicao e aos processos informticos existentes. Deve, assim, recolher e analisar previamente informaes relativamente empresa, em geral, organizao dos servios informticos e s respectivas medidas de segurana, a fim de fundamentar as suas apreciaes em factos a partir da leitura de dossiers tcnicos, dos documentos da organizao e dos procedimentos. A recolha prvia de documentos prefervel, nos casos em que os documentos so utilizados como suporte de informao objectiva, mas o acesso a qualquer documentao relativa ao objecto da auditoria dever manter-se possvel ao longo de todo o processo de anlise.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
10

METODOLOGIA DAS OPERAES

Caracterizao do ambiente das operaes Exemplo de alguns dos documentos referidos Relatos internos sobre as actividades que esto em curso no que tange concepo, anlise e programao de novas aplicaes; Listas dos trabalhos que esto em curso e respectivos planeamentos; Prazos mdios de difuso dos extractos e desvios relativos s previses (detalhe mensal); Estado da implantao do sistema interno de informao O auditor tem de analisar previamente as interconeces dos centros de processamento, caso exista mais do que um, a arquitectura e a configurao dos vrios equipamentos e do software que so utilizados na empresa auditada, os quais devem constituir um sistema cujos elementos so comparveis.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
11

METODOLOGIA DAS OPERAES

Caracterizao do ambiente das operaes No que se refere ao software, o auditor tem de inventariar os programas bsicos e os utilitrios que foram adquiridos ou desenvolvidos internamente. Quanto ao hardware, tem de listar aspectos como: todas os computadores de mesa, servidores, perifricos e as respectivas interligaes. configurao do centro de recolha e processamento de dados os diferentes tempos do processamento de dados, de acordo com os seus conjuntos; tempos de utilizao das CPUs, entenda-se, computadores, e dos perifricos;

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
12

METODOLOGIA DAS OPERAES

Organizao dos recursos necessrios O terceiro aspecto a ter em conta na preparao de uma auditoria dos SI informatizados determinar os recursos materiais e humanos que tero de ser utilizados. No que se refere aos recursos materiais, so quase todos proporcionados pela empresa a auditar, sendo necessrio compreender as suas caractersticas, pois os processos de controlo devem ser realizados nos equipamentos dessa empresa. J com relao ao software, o auditor pode dispor de programas prprios, mas convm que verifique as execues dos processos do cliente. O auditor tem de saber qual o conjunto de relaes que vai utilizar nas suas tarefas. Pode chefiar e coordenar uma equipa de colaboradores, cujas caractersticas e perfis dependam dos objectivos da auditoria. Alm disso, tambm importante definir quem so os interlocutores da prpria empresa que podem apoiar e estar directamente relacionados com a sua actividade.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
13

METODOLOGIA DAS OPERAES

Formulao do plano de trabalho Depois de definidos os objectivos e conhecidos os recursos disponveis, o auditor tem de formular um plano de trabalho, incluindo naturalmente um programa de actividades devidamente calendarizado, o qual no deve ser inflexvel para permitir modificaes que possam ocorrer ao longo da auditoria. Este plano pode ser elaborado tendo em conta que devem ser estabelecidas as prioridades das reas a auditar, a estrutura das actividades a realizar pelo auditor e pelos seus eventuais colaboradores, a durao da auditoria, os recursos necessrios e os apoios so esperados por parte da empresa auditada.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
14

METODOLOGIA DAS OPERAES

Fases de auditoria As metodologias de auditorias de SI dependem todas da matria a auditar, mas pode-se salientar quatro fases bsicas de um processo de anlise: Estudo preliminar Nesta fase o auditor tem de definir se vai trabalhar isoladamente ou em equipa, estabelecer os objectivos da auditoria, preparar os questionrios (para recolha de dados preliminares), efectuar as entrevistas com os principais tcnicos da rea a auditar, tomar contacto directo com as unidades informticas, como o centro de processamento, etc, e conhecer a documentao vigente sobre o sistema Reviso e avaliao de controlos e processos de segurana Integra a apreciao dos diagramas de fluxo de processos, dos testes dos pontos de controlo, das provas do funcionamento adequado das seguranas e dos backups, da reviso de arquivos e das aplicaes das reas crticas.
UTANGA: Auditoria Sistemas Informticos Chicapa, E. - 2013

Auditoria Informtica
15

METODOLOGIA DAS OPERAES

Fases de auditoria Exame detalhado de reas crticas Com base nas fases anteriores e depois de definir mais especificamente os objectivos e o alcance do seu trabalho, o auditor definir a sua metodologia de anlise dos problemas detectados, os recursos a utilizar e apresentar o seu plano operacional. Apresentao de resultados Trata-se do relatrio final onde se apresenta a apreciao da situao e o parecer do auditor, incluindo as suas recomendaes tcnicas.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
16

METODOLOGIA DAS OPERAES

Seleco das tcnicas Principais tcnicas de trabalho Verificao Refere-se existncia da documentao que integra e apoia as diversas operaes do sistema de informao e das medidas de controlo interno que so habituais Entrevista As entrevistas podem ser com qualquer colaborador da funo informtica ou de outras reas funcionais de acordo com o mbito da auditoria, tendo-se em ateno que os interlocutores podem ser muito diferentes no respeita s funes profissionais e capacidade de dilogo e de disponibilidade para colaborar. As entrevistas devem ser sempre previamente preparadas no sentido de obter os resultados pretendidos, no devendo o auditor influenciar o sentido ou a natureza das respostas. Comprovao Anlise
UTANGA: Auditoria Sistemas Informticos Chicapa, E. - 2013

Auditoria Informtica
17

METODOLOGIA DAS OPERAES

Seleco das tcnicas Principais tcnicas de trabalho Comprovao O auditor tem de obter provas a fim de fundamentar o seu parecer. H dois tipos de provas: internas e externas. As provas internas so provenientes da prpria empresa que est a ser auditada, mas geradas internamente ( documentos, registos e ficheiros), outras so enviadas por terceiros directamente para a empresa (mensagens de fornecedores e relatrios sobre o funcionamento dos equipamentos). Quanto s provas externas, o auditor pode obt-las de outras fontes directamente relacionadas com o mbito da auditoria em curso, quando entender que a sua importncia condiciona o seu parecer final.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Informtica
18

METODOLOGIA DAS OPERAES

Seleco das tcnicas Principais tcnicas de trabalho Anlise Refere-se anlise completa das informaes recebidas da empresa auditada e daquela que provm dos dados recolhidos pelo prprio auditor, devendo-se confirmar a sua credibilidade e relacionar estes dois blocos a fim de tirar as primeiras concluses. As ferramentas de trabalho incluem tambm um conjunto de simulaes e de amostras que vo dando seguimento a este processo de anlise, uma checklist atravs da qual se verifica se foram dados todos os passos tidos como necessrios.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013