3auditoriadesistemas PDF

1
AUDITORIA DE SISTEMAS
IMPORTNCIA DA AUDITORIA DE SISTEMAS
Altos investimentos das organizaes em
sistemas computadorizados
Necessidade de garantir a segurana dos
computadores e seus sistemas
Garantia do alcance da qualidade dos
sistemas computadorizados
Auxiliar a organizao a avaliar e validar o
ciclo administrativo
CONCEITOS DE AUDITORIA
AUDITORIA
uma atividade que engloba o exame das
operaes, processos, sistemas e responsabilidades
gerenciais de uma determinada entidade, com o
intuito de verificar sua conformidade com certos
objetivos e polticas institucionais, oramentrias,
regras, normas ou padres.
Compreende 3 fases
Planejamento
Execuo
Relatrio
ALGUNS CONCEITOS BSICOS
relacionados com qualquer tipo de auditoria
CAMPO
Compe-se de aspectos como Objeto a ser
fiscalizado, perodo e natureza da auditoria
CONTROLE
a fiscalizao exercida sobre as atividades de
pessoas, rgos, departamentos ou sobre
produtos, para que no se desviem das normas
preestabelecidas.
Controles Preventivos
Prevenir erros (senhas de acesso)
Controles Detectivos
Detectar erros, omisses ou atos fraudulentos (tentativas de acessos no
autorizados)
Controles Corretivos
Reduzir impacto ou corrigir erros detectados
2
PROCEDIMENTOS DE AUDITORIA
Lista de pontos a serem verificados durante a
auditoria (manuais de auditoria TCU)
ACHADOS DE AUDITORIA
Fatos significativos observados pelo auditor durante
a execuo da auditoria.
No s falhas e irregularidades, mas tambm
pontos fortes. Para que conste no relatrio, deve ser
relevante e baseado em fatos e evidncias
irrefutveis.
PAPEIS DE TRABALHO
So registros que evidenciam atos e fatos observados
pelo auditor (planilhas, tabelas, etc.)
RELATRIO
So feitas as recomendaes da auditoria.
NATUREZA DA AUDITORIA
Auditoria Interna
Realizada por departamento interno responsvel
pela verificao e avaliao de sistemas e
procedimentos internos de uma entidade. Deve ser
independente e prestar contas diretamente direo
da instituio
Auditoria Externa
Realizada por instituio externa e
independente da entidade fiscalizada
Auditoria Articulada
Trabalho conjunto de auditorias internas e
externas.
FORMA DE ABORDAGEM
Auditoria Horizontal
Com tema especfico realizada em vrias entidades
ou servios paralelamente.
Auditoria Orientada
Focada em uma atividade especfica qualquer ou em
atividade com fortes indcios de erros ou fraudes.
3
PONTO DE CONTROLE
Situao do ambiente computacional
considerada pelo auditor como sendo de
interesse para validao e avaliao
CONTROLE INTERNO
Verificao e validao dos seguintes parmetros
do Sistema de Informao:
Fidelidade da informao em relao ao dado
Segurana fsica
Segurana lgica
Confidencialidade
Obedincia legislao em vigor
Eficincia
Eficcia
Obedincia s polticas e s regras de negcio da
organizao
QUANTO AO TIPO OU REA ENVOLVIDA
Auditoria contbil
Auditoria programas de governo
Auditoria planejamento estratgico
Auditoria administrativa
Auditoria de sistemas
CONCEITOS DE AUDITORIA DE SISTEMAS
CONCEITO AUDITORIA DE SISTEMAS
Avaliao dos procedimentos de controle e
segurana vinculados ao processamento
eletrnico das informaes
OBJETIVOS DA AUDITORIA DE SISTEMAS
OBJETIVOS
As informaes so corretas e oportunas
Existem um processamento adequado das operaes
As informaes esto protegidas contra as fraudes
Existe a proteo das instalaes e equipamentos
Existe a proteo contra situaes de emergncia
Tem como funo promover a adequao,
reviso, avaliao e recomendaes para o
aprimoramento dos controles internos nos
sistemas de informao da empresa, bem
como avaliar a utilizao dos recursos
humanos, materiais e tecnolgicos envolvidos
no processamento dos mesmos.
4
Deve atuar em qualquer sistema de
informao da empresa, quer no nvel
estratgico, quer no gerencial, quer no
operacional.
PAPEL DO AUDITOR DE SISTEMAS
PAPEL DO AUDITOR DE SISTEMAS
Validao do fluxo administrativo (planejamento,
execuo e controle)
nfase nos processos computacionais
Comprovao da efetividade dos sistemas
computadorizados
Garantia da segurana lgica e fsica e da
confidencialidade dos sistemas
PERFIL DO AUDITOR DE SISTEMAS
PERFIL DO AUDITOR DE SISTEMAS
Ser independente s reas a serem auditadas
Ter formao em auditoria de computao,
conhecendo o ambiente a ser auditado
NECESSIDADES NA REA AUDITORIA DE SISTEMAS
NECESSIDADES NA REA DE AUDITORIA DE SISTEMAS
Fortalecimento das tcnicas de auditoria de sistemas para
atuao em ambientes computacionais complexos
Criao de metodologias de auditoria de sistemas
Estudo do custo / benefcio
Ampliao do campo de atuao da auditoria de sistemas
ETAPAS DA ATUAO DO AUDITOR DE SISTEMAS
ETAPAS DA ATUAO DO AUDITOR DE SISTEMAS
Compreenso do ambiente
Anlise do ambiente e determinao das situaes mais sensveis
Elaborao de uma massa de testes
Anlise das simulaes
Emisso da opinio quanto ao ambiente auditado
Debate com os profissionais da rea auditada para discusso das
alternativas recomendadas
Acompanhamento da implantao da soluo proposta
Auditoria da soluo implantada
Novas auditorias no ambiente
Auditoria de Sistemas o ramo da auditoria que
revisa e avalia os controles internos informatizados,
objetivando:
5
VERIFICAR A EFICINCIA
No tocante a eficincia, verifica-se a utilizao de
recursos de computao alocados aos sistemas.
Esses recursos dizem respeito tanto ao uso de
Sistemas ("Software") e de Equipamentos
("Hardware"), quanto ao trabalho dos profissionais
envolvidos, atentando principalmente, para gerao
de resultados corretos, no tempo programado e pelo
custo esperado.
CONSTATAR A EFICCIA
A eficcia compreende a validao dos
resultados gerados pelos sistemas, cujos
produtos oferecidos, devero ter condies de
atender adequadamente as necessidades de
seus usurios
ATESTAR A SEGURANA
Segurana Fsica
As instalaes, equipamentos, suprimentos, documentao,
dados, pessoal, e outros recursos.
Segurana Lgica
Os sistemas ("software") e informaes.
Segurana em Comunicao
A veiculao de dados por meios de comunicao
FUXO DA INFORMAO NAS ORGANIZAES
FUNO DO AUDITOR DE SISTEMAS
Necessita conhecimentos na rea de auditoria, Sistemas
de Informao e Processamento Eletrnico de Dados
(PED). Impe treinamento constante e forte
embasamento cultural.
O auditor de sistemas dever:
Ao auditar sistemas em operao, conhecer:
Documentao de sistemas;
Fluxogramao;
Uma linguagem de programao.
6
Ao auditar sistemas em desenvolvimento, conhecer:
Metodologia de desenvolvimento de sistemas;
Tcnicas de prototizao;
Elaborao de Plano Diretor de Informtica.
Ao auditar centros de computao, conhecer:
Apurao de custos em centro de computao;
Normas administrativo-tcnico-operacinais;
Funes e mecnica operacional da rea de
computao;
Contratos de hardware e software.
ALGUNS CONCEITOS
O que Tecnologia da Informao?
O termo Tecnologia da Informao, serve para
designar o conjunto de hardware e software usado
por uma organizao para armazenar, processar,
transmitir, e disseminar informaes.
ALGUNS CONCEITOS
Por que usar Sistemas de Informao?
Algumas das razes que levaram a disseminao do uso
dos sistemas de informao:
nica maneira de fazer determinado trabalho;
Melhorar a eficincia;
Aplicar controles melhores;
Reduzir custos.
ALGUNS CONCEITOS
O principal benefcio que a tecnologia da informao traz
para as organizaes e a sua capacidade de melhorar a
qualidade e a disponibilidade de informaes e
conhecimentos importantes para a empresa, seus
clientes e fornecedores. Os sistemas de informao mais
modernos oferecem s empresas oportunidades sem
precedentes para a melhoria dos processos internos e
dos servios prestados ao consumidor final.
ALGUNS CONCEITOS
O sucesso das empresas passou a depender de sua
capacidade de inovar das reas de produtos,
servios, canais e processos. Nesse contexto, a
tecnologia da informao assume papel crtico,
permitindo s empresas modificar-se rapidamente e
levar essas inovaes at o mercado.
7
ALGUNS CONCEITOS
Como funciona o departamento de Tecnologia da
Informao?
O Departamento de Tecnologia da Informao responsvel
por todas as funes de informtica de uma organizao. Os
termos Sistemas de Informao ou Tecnologia da
Informao, substituram o ttulo Processamento de Dados,
que tende a ser associado a leitoras de carto perfurados e
antigas mquinas de teleprocessamento.
ALGUNS CONCEITOS
O departamento de TI precisa ter uma estrutura organizacional bem
definida, com as responsabilidades de suas unidades
organizacionais claramente estabelecidas, documentadas e
divulgadas, e polticas de pessoal adequadas, quanto seleo,
segregao de funes, treinamento e avaliao de desempenho.
Esta estrutura necessria para que se gerencie racionalmente os
recursos computacionais da organizao, de modo a suprir as
necessidades corporativas de informao de forma eficiente e
econmica.
ALGUNS CONCEITOS
O Departamento de Tecnologia da Informao de uma
empresa de grande porte apresenta tipicamente, as seguintes
divises:
Administrao
A administrao do departamento de TI j vista como uma diviso
corporativa separada, com seu prprio diretor executivo.
Desenvolvimento e suporte de aplicao
Diviso dedicada ao projeto, desenvolvimento e manuteno de
software aplicativo. Pode englobar muitas equipes de
desenvolvimento, formadas por analistas de sistemas, projetistas de
sistemas e programadores.
ALGUNS CONCEITOS
Suporte de produo
Faz a interligao entre o usurio e as demais divises de TI,
prestando servios na determinao de problemas, registro de
defeitos, etc. Este grupo tambm pode prover servios de
administrao de banco de dados.
Software de sistemas
Diviso responsvel pela instalao e manuteno do software de
sistemas, e pelo servio de suporte de natureza tcnica para o resto
do pessoal de TI e usurios finais. Esto encarregados de
providenciar para que o hardware e software do sistema operem
com um desempenho timo.
ALGUNS CONCEITOS
Comunicao de dados
Esta diviso oferece servios para os usurios de
sistema que estejam experimentando problemas de
teleprocessamento ou desejem comunicar-se com
dispositivos ou usurios remotos. Eles so
responsveis pelo desenvolvimento e manuteno
de rede de comunicao da organizao.
LINHAS MESTRAS DE ATUAO D AUDITORIA
AUDITORIA EM SISTEMAS EM PRODUO
Abrange os procedimentos e resultados dos sistemas de
informao j implantados (caractersticas preventivas,
detectivas e corretivas)
8
AUDITORIA DURANTE O DESENVOLVIMENTO DE SISTEMAS
Abrange todo o processo de construo de sistemas de
informao, desde a fase de levantamento do sistema a
ser informatizado at o teste e implantao
(caracterstica preventiva)
AUDITORIA DO AMBIENTE DE TECNOLOGIA DA
INFORMAO
Abrange a anlise do ambiente de informtica em
termos de estrutura orgnica, contratos de software e
hardware, normas tcnicas e operacionais, custos, nvel
de utilizao dos equipamentos e planos de segurana e
de contingncia
AUDITORIA DE EVENTOS ESPECFICOS
Abrange a anlise da causa, da conseqncia e da
ao corretiva cabvel, de eventos localizados que
no se encontram sob auditoria, detectados por
outros rgos e levados ao seu conhecimento
(caracterstica corretiva)
CICLO DE VIDA DE UM SI
UM SISTEMA TEM O CICLO DE VIDA CONSTITUDO DE DUAS
FASES:
DESENVOLVIMENTO
PRODUO
O desenvolvimento do SI compreende:
Aplicar recursos financeiros, humanos, materiais e
tecnolgicos
Process-los atravs da aplicao de mtodos e tcnicas de
anlise e desenvolvimento de sistemas
Gerar, como produto final, um sistema de informao
Geralmente, a anlise e o desenvolvimento de sistemas de informao
computadorizados compe-se das seguintes etapas:
Levantamento do sistema atual;
Estudo de viabilidade;
Anteprojeto do novo sistema, tambm conhecido como projeto lgico;
Detalhamento do projeto;
Programao e depurao, tambm conhecidos como projeto fsico;
Implantao do sistema
9
A produo do sistema consiste em:
Ter como entrada os dados;
Process-los, mantendo-os em arquivos magnticos e/ou
banco de dados;
Divulgar as informaes teis.
Est relacionada a todas as etapas do fluxo da
informao. Requisitos para garantir proteo da
informao:
Sigilo proteo contra a divulgao indevida de informaes.
Integridade proteo contra a modificao no autorizada de
informao.
Autenticidade garantia de que a informao seja proveniente da fonte
qual ela atribuda.
Disponibilidade garantia de que a informao e servios importantes
estejam disponveis para os usurios quando requisitados.
SEGURANA DA INFORMAO
ASPECTOS QUE HOJE AUMENTAM A PREOCUPAO
SOBRE A SEGURANA DAS OPERAES NAS
EMPRESAS COM A IMPLANTAO DE SIG
Ausncia de papel
Aprovaes eletrnicas
Diminuio da quantidade de recursos humanos
Complexidade de operaes
Autorizaes especiais (superusurios)
Poltica de segurana versus prtica
AMEAAS
Prestadores de Servios
Funcionrios insatisfeitos
Falta de polticas
Crime organizado
Falta de conscientizao
Tecnologia com proteo inadequada
Hacker
Falta de legislao
Falhas de desenvolvimento
CRENAS
No preciso controlar o acesso
Todos os usurios so honestos
A empresa vai ganhar dinheiro
O pessoal da informtica resolve tudo
No precisamos porqu temos o equipamento X
Isso no se aplica a ns
Hacker atacam empresas grandes e famosas
Meu sistema no possui falhas
Tenho 100% de segurana
PRINCIPAIS CAUSAS
Sinistros naturais e provocados
(incndios/enchentes/exploses/desabamentos/que
da de energia)
Fraudes e sabotagens
(uso indevido da informao: espionagem, venda,
vrus)
Falhas de transmisso de dados
Erros de hardware
10
PRINCIPAIS CAUSAS
Erros de lgica
Erros de operao
Erros de entrada de dados
Erros de arredondamento
Erros intencionalmente desconsiderados
PLANOS DE SEGURANA - RECOMENDAES
FSICA DO SISTEMA E BASE DE DADOS
Construo em local adequado
Construo adequada
Equipamentos de identificao e combate incndio
Duplicidade de componentes vitais e locais diferentes
Cpias de segurana de sistemas
QUANTO AO ACESSO FSICO
Uso de cofres para guarda de backup
Bloqueios de acesso a pessoas no autorizadas
QUANTO AO ACESSO LGICO
Uso e controle de senhas
Determinao de normas para criao de senhas
PROCESSO DE TRANSMISSO DE INFORMAES
Sistemas detectores de espionagem
Sistemas detectores de erros de transmisso
Sistemas de criptografia

3auditoriadesistemas PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

3auditoriadesistemas PDF

Enviado por

Direitos autorais:

Formatos disponíveis

1

Você também pode gostar