Escolar Documentos
Profissional Documentos
Cultura Documentos
JOAQUIM CHISSANO
Introdução
à Auditoria
Informática
Tema 1 –
Fudamentos da
Auditoria
Informática
Sérgio Simbine
sergio.simbine@gmail.com
1
Agosto, 2023
Apresentação
Sérgio Simbine
✓ Mestre em Sistemas de Informação pela UEM;
✓ Certified Information System Auditor (CISA) – pela ISACA;
✓ Certified COBIT 5 Foundation – pela ISACA;
✓ Certified COBIT 4.1 – pela ISACA;
✓ Certified ISO 22301 Lead Auditor – pela Continuity Link.
✓ Consultor de TI: IT Governance, Continuidade de Negócios, Gestão de
Riscos de TI, Reengenharia de Processos e Segurança Cibernética
✓ Membro do ISACA – Information Systems Audit and Control Association
(ISACA ID 748519);
✓ Auditor de TI com mais de 20 anos de experiência
✓ Docente Universitário com mais de 15 anos de experiência
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 2
Objectivos
Aplicar os conhecimentos e ferramentas para o exercício da auditoria informática em
ambientes de gestão informatizados.
auditoria;
✓ Utilizar CAAT’s (Computer Audit Auxiliary Techniques and Tools) como forma de
Tema 1 –
Fudamentos da
Auditoria
Informática
Sérgio Simbine
sergio.simbine@gmail.com
Agosto, 2023
4
Agenda
✓Fundamentos Teóricos da Auditoria Informática
✓ Conceitos importantes para a actividade de auditoria;
✓ Incidentes que impulsionaram a criação de Auditoria Informática;
✓ Auditoria de TI: Conceito, Tipos
✓ Funções de Auditor Informático;
✓ Perfil de Auditor Informático: Técnicas e de Personalidade
✓ Controlos: Conceitos, Tipos
✓ O processo de auditoria;
✓ Materialidade
✓ Evidências
✓ Normas técnicas de auditoria em ambientes informatizados
✓ COBIT
✓ Referências bibliográficas
5
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Introdução Histórica da Função Auditoria
✓ È difícil determinar quando começou a Auditoria. Está historicamente comprovado que em
tempos muito remotos já existiam pessoas cuja função, embora sem uma designação específica,
se resumia ao objectivo de garantir a exactidão dos dados financeiros relativos aos interesses dos
governantes da época.
✓ Segundo se depreende dos relatos históricos a prática de nomear altos funcionários, para
efeitos de controlo da cobrança de impostos e de acompanhamento das operações
financeiras, já era seguida pelos imperadores romanos, prosseguiu em França no século III e
difundiu-se em Inglaterra no tempo do rei Eduardo I.
✓ Apesar da função desses altos representantes não ser suportada por quaisquer metodologias de
6
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Introdução Histórica da Função Auditoria
✓ Com a revolução industrial, ocorrida nos finais do século XIX, foi gerado um grande incremento da
actividade industrial e comercial à nível europeu e em consequência as empresas foram forçadas a rever
os seus sistemas de trabalho e os seus processos organizativos, em especial ao nível contabilístico e do
controlo.
✓ Este incremento da actividade empresarial (especialmente na Grã-Bretanha), conduziu à necessidade das
industrial.
7
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Introdução Histórica da Função Auditoria
✓ Mais tarde, em plena crise económica americana de 1929, foi constituído o Comité May com o objectivo de
estudar e de definir um conjunto de procedimentos e de regras aplicáveis ás empresas cotadas na Bolsa.
✓ Dado que o referido Comité institui a obrigatoriedade de ser efectuada uma avaliação independente das DF
dessas empresas (designada por Auditoria Contabilística Independente), pode-se dizer que a Auditoria
Externa, enquanto “ferramenta” reconhecida e utilizada pelas empresas terá começado por volta de 1930.
✓ Importa reconhecer que a implantação e o desenvolvimento da Auditoria não ocorreram uniformemente em
todos os países e continentes da mesma forma que os seus objectivos fundamentais não foram entendidos e
interpretados e assumidos de modo idêntico em todos os países, regimes e continentes.
✓ No entanto apesar de algumas dificuldades de percurso , é inquestionável que os últimos 30/40 anos o
percurso trilhado pela Auditoria é seguro, afirmativo e florescente. Esta evolução positiva resultou
basicamente de exigências legais e da capacidade de afirmação da Auditoria.
✓ De facto, através da progressiva melhoria e sofisticação das técnicas e dos métodos de trabalho e,
essencialmente, com base nos resultados obtidos, a Auditoria foi criando uma aceitação, uma imagem e um
estatuto de inequívoca eficiência e credibilidade.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 8
Conceito de Auditoria
✓ Auditoria é a actividade que consiste na emissão de uma opinião profissional sobre
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 9
Tipos de Auditoria
A Auditoria pode ser classificada atendendo a diferentes critérios:
a) Quanto ao conteúdo e fins
b) Quanto à amplitude
c) Quanto à frequência
d) Quanto ao período temporal
e) Quanto à obrigatoriedade
f) Quanto ao sujeito que a efectua
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 10
Tipos de Auditoria
Quanto ao Conteúdo e fins:
✓ Auditoria das Demonstrações Financeiras – consiste num exame às DF com o objectivo de
expressar uma opinião sobre a conformidade, ou não, de acordo com os critérios
preestabelecidos , ou princípios contabilísticos geralmente aceites e as normas de
contabilidade.
✓ Auditoria de Conformidade – Consiste na verificação do cumprimento, pela entidade
auditada, das condições, regras e regulamentos específicos por diversas fontes, externas ou
internas
✓ Auditoria operacional – consiste numa revisão sistemática das áreas operacionais da
entidade auditada, com o objectivo de avaliar a economia, eficiência e eficácia das actividades
e/ou operações.
✓ Auditoria de gestão – consiste na avaliação da performance da conformidade das decisões e
o desempenho dos gestores.
✓ Auditoria estratégica – conformidade na avaliação da conformidade das decisões com as
políticas estratégicas previamente estabelecidas.
11
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Tipos de Auditoria
Quanto à amplitude:
✓ Auditoria geral – envolve a entidade na sua globalidade.
Quanto à frequência:
✓ Auditoria permanente – realizada de forma regular, permitindo um
acompanhamento contínuo.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 12
Tipos de Auditoria
Quanto ao período temporal:
✓ Auditoria da informação histórica – o objecto é o conjunto da informação
histórica, cuja auditoria é elaborada à posteriori.
Quanto à obrigatoriedade:
✓ Auditoria de fonte legal – baseada em fonte legal.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 13
Tipos de Auditoria
Quanto ao ao sujeito que a efectua:
✓Auditoria externa – se efectuada por profissionais externos não
14
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Principais diferenças entre AI e AE
Auditoria Interna Auditoria externa
15
Principais diferenças entre AI e AE
Auditoria Interna Auditoria externa
Os relatórios não são dotados de “fé pública” Os relatórios podem ser dotados de “fé
embora devam ser elaborados com pública”, caso da “certificação legal das
objectividade e o detalhe adequado aos contas”, só podendo ser impugnada
destinatários; judicialmente;
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 16
•
17
Incidentes que impulsionaram a criação de Auditoria Informática
AT&T
✓ Em 1998 a AT&T sofreu uma falha tecnológica que causou impacto no comércio e
comunicação a nível mundial. Um interruptor principal falhou devido a lacunas no
software e erros nos procedimentos, que deixaram muitos utilizadores de cartão de
crédito sem acesso aos fundos por mais 18 horas. Eventos como estes fazem-nos
pensar na nossa dependência em relação às Tecnologias de Informação e lembra-nos a
necessidade de garantia de acesso aos sistemas de informação.
18
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Incidentes que impulsionaram a criação de Auditoria Informática
Enron e Arthur Andersen
✓ O escândalo de Enron e Arthur Andersen LLP
contribuíram para a falência de uma grande empresa de
Contabilidade. A investigação detectou uma fraude de
mais de 60 bilhões dólares e esta foi a maior história de
falência norte-americana. Este escândalo teve um impacto
significativo no Acto de Sarbanes-Oxley e foi considerado
uma violação de auto-regulação.
19
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Incidentes que impulsionaram a criação de Auditoria Informática
✓ Barings Bank
✓ Union Bank of Switzerland
✓ Societé Generale
✓ Lehman Brothers
20
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Auditoria Informática
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 21
Auditoria Informática
22
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Auditoria Informática
Funções de Auditor Informático:
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 23
Auditoria Informática
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 24
Auditoria Informática
Conhecimentos técnicos exigíveis para auditor:
O Capítulo 3 da Norma Técnica do ICAC de Auditoria em ambientes
informatizados, estabeleçe que o auditor deve ter conhecimento suficiente
dos sistemas informáticos que lhe permitam:
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 25
Auditoria Informática
Conhecimentos técnicos exigíveis para auditor:
procedimentos substantivos.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 27
Auditoria Informática
Conhecimentos técnicos exigíveis para auditor:
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 28
Auditoria Informática
Conhecimento recomendado
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 29
Conhecimento recomendado Auditoria Informática
✓ Provas informáticas.
procedimentos de auditoria.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 30
Conhecimento recomendado Auditoria Informática
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 31
Auditoria Informática
Qualidades de um Auditor – Qualidades Técnicas:
33
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Auditoria Informática
Qualidades de um Auditor – Personalidade Profissional:
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 34
Auditoria Informática
35
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Auditoria Informática
Qualidades de um Auditor – Personalidade Profissional:
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 36
•
37
Auditoria Informática
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 38
Auditoria Informática
Algumas áreas que devem ser auditadas
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 39
Auditoria Informática
Tipos de Auditoria (âmbito)
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 40
Auditoria Informática
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 41
Auditoria Informática
Tipos de Auditoria de TI?
▪ Auditoria interna
▪ Auditoria externa
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 42
Auditoria Informática
Tipos de Auditoria de TI?
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 43
Controlos
O que é um Controlo?
44
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Controlos
O que é um Controlo?
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 45
Controlos
O que é um Controlo?
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 46
Controlos
Hieraquia de Controlos
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 47
Controlos
Hieraquia de Controlos
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 48
Controlos
Tipos de Controlo
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 49
Controlos
Tipo Função Exemplos
• Monitora ambos operações e inputs. • Uso de software de controlo de acesso que permite só
Preventivo pessoal autorizado ter acesso a arquivos sensíveis.
• Prognostica potenciais problemas
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 50
Controlos
Tipos de Controlo
51
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Controlos
• Totais Hash
• Mensagens de erro
• Descobre e informa a
Detectivos ocorrência de um erro,
• Redobrar a verificação de cálculos
omissão ou acto malicioso
• Função de auditoria Interna
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 52
Controlos
Tipos de Controlo
53
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Controlos
54
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Auditoria Informática
Tipos de Controlo sobre Sistemas de Informação
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 55
Controlos sobre STI
Tipos de Controlo sobre Sistemas de Informação
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 56
Controlos sobre STI
Tipos de Controlo sobre Sistemas de Informação
Domínios
▪ Infra-estrutura tecnológica
▪ Organização (Funções, Recursos/dependência, Capacidade
técnica / Formação, Desempenho)
▪ Aquisição /desenvolvimento e implementação de Software
▪ Manutenção e implementação de Software
▪ Segurança de informação
▪ Operação do Sistema
57
Controlos sobre STI
Tipos de Controlo sobre Sistemas de Informação
▪ Totalidade de transacções
▪ Exactidão de transacções
▪ Validade/Autorização de transacções
▪ Restrição de acessos
▪ Manutenção de dados em ficheiro
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
58
Controlos sobre STI
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 59
Controlos sobre STI
60
Controlos sobre STI
Teste de Controlo
✓ Teste de Desenho (Test of Design - TOD):
▪ Teste para determinar se um controlo foi projectado
corretamente. De forma que, se fosse implementado
conforme planeado, operaria com eficácia.
▪ TOD pode ser executado por meio de vários métodos para
concluir sobre a adequação do projecto.
61
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Controlos sobre STI
Teste de Controlo
✓ Teste de Eficácia Operacional (Test of Operating Effectiveness -
TOE)
▪ TOE é usado para determinar se um controlo está operando
conforme pretendido quando projectado.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 62
Controlos sobre STI
Teste de Controlo
✓ Natureza e frequência dos controlos
63
Controlos sobre STI
Técnicas de Teste de Controlo
✓ Teste de Desenho (TOD):
▪ Teste de Design
▪ Inquérito,
▪ Inspeção,
▪ Observação
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
64
Controlos sobre STI
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 65
Controlos sobre STI
Exemplo de Teste de Controlo (Análise do Controlo)
✓ Controlo: as senhas da rede e do aplicativo devem ter no
mínimo 8 caracteres alfanuméricos e expirar a cada 90 dias
▪ Controlo está de Conformidade (Passa, Adequado, OK)
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 66
Controlos sobre STI
Exercicio de Teste de Controlo
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 67
Controlos sobre STI
Exercicio de Teste de Controlo
✓ Controlo: Acesso de superuser na Base de Dados SQL Server é
restrito a DBAs.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
68
Controlos sobre STI
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
69
Riscos
Risco
✓ Qualquer “aspecto” que possa afectar a capacidade de se
atingirem os objectivos definidos.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 70
Riscos
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 71
Riscos
Tipos de Risco
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 72
Riscos
Risco Inerente vs Risco Residual
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
73
Riscos
Risco de Auditoria
Risco de Controlo
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
74
Riscos
Riscos Inerentes a STI
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 75
Riscos
Risco de detecção
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
76
Riscos
Estratégias de Resposta ao Risco
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
77
Metodologia de Auditoria de TI
Elementos principais da metodologia:
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
78
Metodologia de Auditoria de TI
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
79
Metodologia de Auditoria de TI
Elementos principais da metodologia:
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
80
Metodologia de Auditoria de TI
Fases/Etapas de Auditoria de TI
✓ Planeamento de auditoria
▪ Compreender a organização
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 81
Metodologia de Auditoria de TI
Fases/Etapas de Auditoria de TI
▪ Documentação
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 82
Metodologia de Auditoria de TI
Metodologia de Auditoria de TI
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
83
Metodologia de Auditoria de TI
Metodologia de Auditoria de TI
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
84
Metodologia de Auditoria de TI
Metodologia de Auditoria de TI
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 85
Metodologia de Auditoria de TI
Compreensão de sistemas - Preparação antecipada
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
88
Metodologia de Auditoria de TI
✓ Audibilidade
✓ Articulação
✓ Naturalidade e espontaneidade
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
89
Metodologia de Auditoria de TI
Compreensão de sistemas - Audição e resposta
✓ O auditor deverá escutar e tentar compreender o entrevistado (evitar manter
um monólogo)
✓ O auditor deve ser flexível para ajustar e modificar a entrevista à luz das
respostas obtidas
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 90
•
91
Normas de Auditoria
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 92
Normas de Auditoria
93
Normas de Auditoria
94
Normas de Auditoria
95
ISACA -NORMAS DE AUDITORIA INFORMÁTICA
• S1 Audit Charter (Código de Auditoria) 1 Janeiro 2005
• S2 Independência 1 Janeiro 2005
• S3 Ética e Padrões Profissionais 1 Janeiro 2005
• S4 Competência Profissional 1 Janeiro 2005
• S5 Planeamento 1 Janeiro 2005
• S6 Desempenho do Trabalho de Auditoria 1 Janeiro 2005
• S7Relatórios 1 Janeiro 2005
• S8 Actividades de Acompanhamento 1 Janeiro 2005
• S9 Irregularidade e actos ilegais 1 Setembro 2005
• S10 Governança de TI 1 Setembro 2005
• S11 Uso da avaliação de riscos no planeamento de auditoria 1 Novembro 2005
• S12 Materialidade da Auditoria 1 Julho 2006
• S13 Uso do Trabalho de Outros Especialistas 1 Julho 2006
• S14 Evidência de Auditoria 1 Julho 2006
• S15 Controlos TI 1 Fevereiro 2008
• S16 Comércio Electrónico 1 Fevereiro 2008
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
96
•
97
Histórico do Framework COBIT
COBIT
COBIT 4.1 vs COBIT 5
itério
Cobit 4.1
COBIT 5
Critério
Cobit 4.1
99
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
COBIT 5
COBIT 5 - O que é?
✓ O COBIT 5, desenvolvido e difundido pelo ISACA
(Information System Audit and Control) é um framework de
governança e gestão corporativa de TI.
✓ Governança Corporativa de TI: insere-se na Governança
Corporativa da organização e é dirigida por esta, e busca o
direccionamento da TI para atender o negócio e o
monitoramento para verificar a conformidade de acordo com
as orientações da administração da organização.
✓ A Governança Corporativa de TI não é de responsabilidade 100
101
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
COBIT 5
Alinhamento do COBIT 5 com Standards ✓ Outros Standards:
✓ Do ISACA: ▪ Information Technology
▪ COBIT 4.1; Infrastructure Library (ITIL);
▪ Val IT; ▪ International Organization for
▪ Risk IT; Standardization (ISO);
102
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
COBIT 5
Estrutura do COBIT 5
✓ Os 5 Princípios do COBIT 5
✓ Implementação do COBIT 5
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 103
COBIT 5
Os 5 Princípios do COBIT 5
1. Satisfazer as
necessidades
dos stakeholders
Princípios
do
COBIT 5
4. Possibilitar
3. Aplicar um
uma abordagem
framework único
holística
e integrado
104
Fonte: COBIT 5, ISACA, 2012
1. Satisfazer as necessidades dos stakeholders
✓ As organizações existem para criar valor para seus stakeholders.
✓ As organizações têm muitos stakeholders e a ‘criação de valor’ tem
diferentes e, às vezes, conflituantes significados para cada um deles.
Optimização Optimização
Realização de
de de
benefícios
riscos recursos
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 105
1. Satisfazer as necessidades dos Stakeholders
Influências
106
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
1. Satisfazer
as
necessidades
dos
stakeholders
2. Cobrir
5. Separar
todas as áreas
governança de
da
gestão
organização
Princípio
s do
COBIT 5
4. Possibilitar 3. Empregar
uma uma estrutura
abordagem única e
holística integrada
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 107
2. Cobrir todas as áreas da empresa
Ou seja:
✓ Integra a Governança Corporativa de TI com a Governança da
Organização, isto é, o Sistema de Governança de TI proposto pelo
COBIT 5 integra-se perfeitamente com qualquer sistema de governança
porque o COBIT 5 está alinhado com as visões de governança mais
recentes.
✓ Abrange todas as funções e todos os processos da empresa; o COBIT 5
não foca somente as ‘funções de TI’, mas trata a informação e as
tecnologias relacionadas como activos com os quais todos da
organização devem lidar, como qualquer outro activo da empresa.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 108
1. Satisfazer
as
necessidades
dos
stakeholders
2. Cobrir
5. Separar todas as áreas
governança de da
gestão organização
Princípio
s do
COBIT 5
4. Possibilitar 3. Aplicar um
uma framework
abordagem único e
holística integrado
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
109
COBIT 5
3. Aplicar um framework único e integrado
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
110
3. Aplicar um framework único e integrado
COBIT ® 5
®
COBIT 5 COBIT® 5 ®
® COBIT 5 Outros Guias
COBIT 5 Implementação Segurança Guião para
Riscos Profissionais
da Informação Validação
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
1. Satisfazer
as
necessidades
dos
stakeholders
2. Cobrir
5. Separar todas as áreas
governança de da
gestão organização
Princípio
s do
COBIT 5
4. Possibilitar 3. Aplicar um
uma framework
abordagem único e
holística integrado
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
4. Possibilitar uma abordagem holística
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
4. Possibilitar uma abordagem holística
Enablers (Facilitadores)
6. Infraestrutura 7. Pessoas,
5. Informação de serviços e habilidades e
aplicações competências
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
114
4. Possibilitar uma abordagem holística
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 115
1. Satisfazer
as
necessidades
dos
stakeholders
2. Cobrir
5. Separar todas as áreas
governança de da
gestão organização
Princípio
s do
COBIT 5
4. Possibilitar 3. Aplicar um
uma framework
abordagem único e
holística integrado
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 116
5. Separar Governança da Gestão
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
117
5. Separar Governança de Gestão
Necessidades da organização
Governança
(EDM ) Avaliar
Gestão
(PBRM )
Planear Desenvolver Executar Monitorar
(APO) (BAI) (DSS) (MEA)
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 118
Modelo de Referência de Processos
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
119
Modelo de Referência de Processos
120
Estrutura dos Processos
✓ Identificação do Processo
✓ Label do Processo: Domínio (EDM, APO, BAI, DSS, MEA) +Número do Processo;
✓ Nome de domínio
✓ Descrição – uma visão do que o processo faz e como o processo alcança seu propósito.
relacionados com a TI que são essencialmente suportados pelo processo e métricas para
medir o alcance dos objectivos relacionados com a TI.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 121
Estrutura de Processos
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC
- 2022
Implementação do COBIT 5
Porque implementar o COBIT 5?
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 123
Implementação do COBIT 5
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
124
? 1 Quais
i nâ mi ca s ão
ad os
s o ri e
mo nta
nte Inici do
ma cia
a rp re
mo i cá
rog
ra
s?
Co a ef ma
ar
7
a lis
An
Ins
ta
de ura
de sejo r o
2E
mu
mq
da
De opor
r
ue p
fini
e
eta?
r pro nidades
cios
onto e
Com de
, im
6 Atingimos a m
abordag ovas
Gestão do programa
tu
blemas
Realizar benefí
ens
pleme
por equipa
(círculo externo)
n
stamos?
Implantar
ntação
Promoção de mudanças
(círculo intermediário)
do a r
Promover
ul u n i c
s
melhorias
ra
re
E xe c
ta
m
sa C o es
5C
ão
en iro
r r
taç
em te
u ta
om
a r?
Identificar
pl r ro
rp
oa
eg
p a pé i s
im fini
lan
ch
tin
De
e a g ente s
o
gir
os
e
em
a
d
m
er
et
qu
a?
n de
Pla n e ar
3O
p ro g ra m a
4O
q u e p r e c i s a se r f e i t o ?
Fonte: COBIT 5 - ISACA,2012
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Benefícios da Implementação do COBIT 5
tecnologia;
✓ Manter riscos relacionados com TI num nível aceitável;
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
126
Modelo de Capacidade de Processos (PAM)
127
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
Modelo de Capacidade de Processos
4 Previsível (opera agora dentro dos limites definidos para produzir seus PA 4.1 Medição do Processo
resultados) PA 4.2 Controlo do Processo
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 128
Considerações Finais
• COBIT 5 é um framework (de 2012) que pode ser usado em todas as áreas de
(Cobit 4.1);
• COBIT 5 possui para além dos domínios de gestão de TI, um domínio de
Governança corportativa;
• O modelo de Maturidade do COBIT 5 é mais realístico e rígido baseado nos
resultados do processo;
• integra diferentes frameworks e normas de Governança de TI.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
129
•
130
Materialidade
Conceito de Materialidade
✓ É material o procedimento ou valor que, evidenciado, omitido ou
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 131
Materialidade
Conceito de Materialidade
✓ Uma informação diz-se relevante ou material se a sua omissão
de decisão
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
133
Materialidade
Aplicação de Materialidade na Auditoria de SI
✓ Ao planear e realizar a auditoria, o auditor de SI deve tentar
os objectivos da auditoria.
relacionados.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
134
Materialidade
Aplicação de Materialidade na Auditoria de SI
✓ A fraqueza no controlo é considerada "material" se a ausência do controlo
▪ Que os controlos não estão no lugar e/ou os controlos não estão em uso
e/ou os controlos são inadequados;
▪ Que permite agravamento.
✓ Uma fraqueza material é uma deficiência significativa ou uma combinação de
136
Materialidade
Aplicação de Materialidade na Auditoria de SI
✓ Ao determinar se uma deficiência de controlo ou combinação de deficiências
eficazes.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
137
•
138
Evidência de Auditoria
Conceito de Evidência de auditoria
✓ Evidência de auditoria é o conjunto de factos comprovados, suficientes,
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
139
Evidência de Auditoria
Tipos de Evidência
A evidência de auditoria é classificada segundo os
procedimentos que a originaram. Assim temos:
▪ Evidência física
▪ Evidência documental
▪ Evidência Testemunhal
▪ Evidência analítica
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
140
Evidência de Auditoria
Tipos de Evidência
✓ Evidência física: Obtida em decorrência de uma inspecção física
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
141
Evidência de Auditoria
Tipos de Evidência
✓ Evidência documental: É aquela obtida dos exames de oficios, contratos,
documentos comprobatórios (notas fiscais, recibos, etc) e informações prestadas
por pessoas de dentro e de fora da entidade auditada, sendo que a evidência
obtida de fontes externas adequadas é mais fidedigna que a obtida na própria
organização sob auditoria.
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023
142
Direitos reservados da autora Rossana Carimo@ Material produzido para o Seminário do Curso de Mestrado de SI da UEM - 2015 143
•
Bibliografia
144
Bibliografia
5. www.amai.org.mz
@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 145
146