Auditoria de Sistemas

AULA 1 CONCEITOS INICIAIS

Definio de Auditoria
uma atividade que engloba o exame/avaliao das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres

Objetivo da Auditoria
Tem por objetivo promover a adequao (avaliaes e recomendaes para o aprimoramento) dos controles internos dos sistemas de informaes da empresa, bem como da utilizao dos recursos humanos, materiais e tecnolgicos envolvidos. Em um processo de auditoria se avalia os controles gerais que atuam sobre o sistema computacional da organizao Controles gerais: consistem na estrutura, polticas e procedimentos que se aplicam s operaes do sistema computacional de uma organizao como um todo

Fases da Auditoria
Planejamento

Execuo

Relatrio

Conceitos Bsicos de Auditoria

Situao Atual
As organizaes esto cada vez mais dependentes dos sistemas de informao e das redes de computadores Ambiente heterogneo e complexo Difcil de ser mantido, protegido e controlado. Auditoria uma atividade complexa (vrias reas)
Mudanas de tecnologias Provocam mudanas administrativas e gerenciais

Auditoria hoje envolve preocupaes com a segurana

Obstculos: mudanas tecnolgicas e carncia de normas, metodologias e procedimentos

Conceitos Bsicos de Auditoria

Objeto CAMPO Perodo

Natureza
rea de Verificao

Sub 1

Sub 2

Sub 3

mbito

Conceitos Bsicos de Auditoria

Campo da auditoria
objeto a ser fiscalizado (entidade completa ou uma parte selecionada)
perodo a ser fiscalizado (1 ms, ou 1 ano, toda uma administrao) natureza da auditoria (operacional, financeira ou de legalidade)

mbito da auditoria amplitude e exausto dos processos de auditoria, incluindo uma limitao racional dos trabalhos a serem executados (grau de abrangncia) rea de verificao (conjunto formado por campo e mbito de auditoria) delimita de modo preciso os temas da auditoria, em funo da entidade a ser fiscalizada e da natureza da auditoria

Conceitos Bsicos de Auditoria

Controle a fiscalizao exercida sobre as atividades de pessoas, rgos, departamentos, ou sobre produtos, para que tais atividades, ou produtos, no se desviem das normas preestabelecidas
Preventivos (erros, omisses, atos fraudulentos): senhas de acesso
Detectivos (detectar e relatar sua ocorrncia): logs

Corretivos: usados para reduzir impactos ou corrigir erros aps detectados - PCN

Objetivos de controle so metas de controle a serem alcanadas, ou efeitos negativos a serem evitados, para cada tipo de transao, atividade ou funo fiscalizada

Conceitos Bsicos de Auditoria

Procedimentos de auditoria conjunto de verificaes e averiguaes que permite obter e analisar as informaes necessrias formulao da opinio do auditor.
Chamados de checklist (listas de pontos a serem verificados) Definidos na fase de planejamento

Manuais de auditoria contem objetivos de controle e procedimentos de auditoria preestabelecidos para cada rea de verificao ou natureza de auditoria
Entidades Fiscalizadoras Superiores Ex. TCU

Conceitos Bsicos de Auditoria

Achados de auditoria so fatos significativos observados pelo auditor durante a execuo da auditoria. Geralmente so associados a falhas e irregularidades, porm podem tambm indicar pontos fortes da instituio auditada. O achado deve ser relevante e baseado em fatos e evidncias irrefutveis Papis de trabalho: Registro que evidenciam atos e fatos observados pelo auditor Recomendaes de auditoria medidas corretivas possveis, sugeridas pela instituio fiscalizadora ou pelo auditor em seu relatrio, para corrigir as deficincias detectadas durante a auditoria.

Natureza da Auditoria

No h um padro quanto aos diversos tipos de auditoria existentes Quanto ao rgo Fiscalizador
Auditoria interna Auditoria externa Auditoria articulada

Quanto forma de abordagem do tema

Auditoria horizontal Auditoria orientada

Natureza da Auditoria
Quanto ao Tipo ou rea envolvida
Auditoria de Programas de Governo Auditoria do Planejamento Estratgico Auditoria administrativa Auditoria contbil Auditoria financeira Auditoria de legalidade Auditoria operacional Auditoria integrada Auditoria de Tecnologia da informao

Auditoria da Tecnologia da Informao

Operacional: eficincia, eficcia, economia e efetividade No h padro para as sub-reas (grupos de controles ou verificaes Auditoria da Segurana de Informaes
Postura da organizao com relao segurana Avaliao da poltica de segurana Controles de acesso lgicos, fsicos e ambientais Avaliao do Plano de Continuidade de Negcios (PCN)

Auditoria da Tecnologia da Informao

Auditoria da Tecnologia da Informao
Outros controles que podem influenciar a segurana de informao e o bom funcionamento dos sistemas Controles Organizacionais Controles de Mudana Controles de Operao dos Sistemas Controles sobre Banco de Dados Controles sobre Microcomputadores Controles sobre ambientes cliente-servidor

Auditoria da Tecnologia da Informao

Auditoria de Aplicativos
Segurana e o controle de aplicativos especficos Controles sobre o desenvolvimento de sistemas aplicativos Controles de entrada, processamento e sada de dados Controles sobre contedo e funcionamento do aplicativo (rea por ele atendida) Em funo dessas especificidades, a auditoria de aplicativos no ser tratada neste livro

Equipe de Auditoria
Conhecimentos necessrios Meios efetivos de desenvolver seus profissionais

Gerente da equipe: recrutar ou formar profissionais com capacitao tcnica adequada Conhecimentos Necessrios
Conhecimento da rea e experincia prtica Planejar, dirigir, supervisionar e revisar o trabalho executado Diferentes nveis de especializao Depende do tipo de ambiente computacional
CAATs (Computer Assisted Audit Techniques)

Princpios ticos de auditoria e outras habilidades

Equipe de Auditoria
Composio da Equipe

(1) Contratar consultoria externa, (2) desenvolver a capacidade tcnica em informtica(contabilidade + auditoria) (3) desenvolver tecnicamente em auditoria (anlise de sistemas, engenharia de software, cincia da computao) Depende do tamanho da organizao e do perfil do funcionrio
Recrutamento e o treinamento X consultoria externa

Contratando Consultoria Externa

Anlise minuciosa de custo-benefcio Extenso do trabalho dos consultores Quais os pontos crticos dessa alternativa ? Essencial identificar as tarefas em que seus conhecimentos so imprescindveis Bom relacionamento Fim da auditoria se avalia Em que estgio os consultores devem ser contratados?
Primeiras fases de planejamento o que a empresa, antes de ser contratada deve saber ?

Contratando Consultoria Externa

Qual o tipo de consultor mais adequado ?
Recursos e as habilidades para atingir os objetivos Firma ou organizao especializada em auditoria
No garante a qualidade dos servios

Profissional ou grupo de profissionais

Planejamento estratgico como nas verificaes especficas em campo. Podem ser parte da equipe ou serem usados em fases da auditoria

Analisando os Candidatos ao Servio de Consultoria Externa

Estudo de Propostas / Concorrncia Antes:
Seleo inicial dos possveis candidatos Critrio que sero utilizados na anlise
Proposta compatvel com os requisitos e prazos Plano de trabalho claro e preciso Custos e sua composio

Relacionamento com os Consultores Externos

Bom entrosamento na equipe (pessoas de fora) Coordenador da equipe de auditoria (dever ser um funcionrio da organizao) Flexibilidade com relao aos consultores externos Nas reunies: consultor deve explanar os pontos levantados

Relacionamento com os Consultores Externos

Todas as atividades desenvolvidas devem ser gerenciadas pelo coordenador Estipulados pontos de controle durante a execuo Transferncia de conhecimento entre consultores e os outros membros da equipe Avaliando o trabalho realizado
Discusso franca entre consultores, membros da equipe de auditoria, coordenador e gerncia da organizao
Pontos fortes e fracos, dificuldades encontradas e comparaes

Verificar se houve cooperao e sugestes

Capacitando Auditores para Atuarem como Auditores de Sistemas Auditor com formao em contabilidade e auditoria geral
Muitos profissionais de informtica no explicam os assuntos tcnicos e jarges Auditor nem entende o que respondido

Capacitar auditores em informtica tarefa rdua

Anos de estudo ou experincia prtica e aprimoramentos contnuos

Capacitando Profissionais de Informtica em Auditoria

Resultados mais efetivos e com maior rapidez Complexidade dos sistemas e uso de softwares Recruta diretamente profissionais de cada rea especfica Treinamento
Constante treinamento dos auditores Muito abrangente Treinamento bsico de auditoria de TI para todos As tcnicas e mtodos devem ser disseminados

Treinamento
Participao em Seminrios e Cursos de Especializao
Listas, boletins e homepages de organizaes especializadas tambm so uma boa fonte

Qualificao Profissional
Certificaes de qualificao de auditores
ISACA Information Systems Audit and Control Association British Computer Society Exame IIA- Institute os Internal Auditors Qualificao em Auditoria Computacional

Qualificao deve ser atualizada

Treinamento
Manuais de Auditoria da Tecnologia da Informao
Equipe de especialistas: elaborao de um ou mais manuais (instrues para a conduo de auditorias) Sero elaborados documentos especficos ou sero utilizados publicaes de outras entidades?

Biblioteca Tcnica
Ter uma para consulta durante a auditoria e elaborao do relatrio Arquivar todos os relatrios Conter legislao e normas, manuais de auditoria, revistas especializadas, livros de informtica, etc...

Organizao da Equipe Especializada

Dificilmente uma nica pessoa possura todos os conhecimentos necessrios Gerncia: ver o que falta e administrar o grupo Equipe: cobrir todas as reas Administrando Recursos Escassos
Auditores: recursos escassos Difundir o conhecimento: treinar alguns auditores para atuarem como suporte bsico auditor generalista
Analise preliminar estratgia de auditoria

Plano de auditoria de sistemas anual Aumento e oferta de profissionais gabaritados na rea de auditoria e segurana de informaes

Planejamento de uma Auditoria

Estabelecer os recursos (instrumentos) necessrios para a execuo dos trabalhos, a rea de verificao, as metodologias, os objetivos de controle e os procedimentos a serem adotados Pesquisa de Fontes de Informao conhecer a entidade e o ambiente computacional Hardwares, SOs, Softwares, Softwares de Segurana pessoas responsveis.
Relatrio de auditorias anteriores, bases de dados, documentos ou pginas da entidade na Internet, notcias, relatrios de auditoria internas, entrevista

Definindo Campo, mbito e Sub-areas

Campo
Objeto: segurana de informaes da empresa Perodo: 30/03/2009 a 30/04/2009 Natureza: auditoria da TI

mbito (abrangncia/amplitude)
Avaliao da eficcia dos controles

Sub-reas de verificao
Controles de acesso lgico Controles de acesso fsicos Backup

Volta para a Pesquisa de Fontes de Informao livros tcnicos, manuais de auditoria, artigos especializados, sites na Internet, etc.

Negociando com a Gerncia

Evitar falsas expectativa Discuta e defina claramente com a gerncia
o campo da auditoria o grau de profundidade de suas verificaes o nvel de capacitao tcnica e profissional necessrio para auditar as sub-reas escolhidas.

Permite equipe definir as metodologias a serem utilizadas, os objetivos de controle a serem atingidos e os procedimentos de auditoria mais adequados

Definindo os Recursos Necessrios

Recursos Humanos - analisar o tamanho dos sistemas, o grau de sofisticao e a complexidade do ambiente computacional, o nvel de experincia necessrio e se a necessidade de ferramentas ou tcnicas mais sofisticadas de auditoria da TI. o Recursos Econmicos previso de despesas o Recursos Tcnicos hardware (computador e laptops), software (ferramentas de auditoria), manuais tcnicos sobre o ambiente e sistemas da entidade.

Metodologias
Entrevistas (dirigentes e funcionrios) coletar dados, identificar falhas e indcios e apresentar resultados.
Entrevista de Apresentao membros, cronograma, objetivos, reas que sero auditadas, metodologias Entrevistas de Coleta de Dados- identificar os pontos fortes, falhas e irregularidades. Entrevistas de Discusso das Deficincias Encontradas: apresentar aos responsveis da rea os pontos crticos. Justificativas para as falhas. Entrevista de Encerramento: agradecimentos, resumo dos resultados (pontos fortes e falhas), comentrios e recomendaes

Metodologias
Uso de Tcnicas e Ferramentas de Apoio (CAATs)
Tcnicas para anlise de dados: SW de extrao de dados, de amostragem ou anlise das trilhas de auditoria dos sistemas aplicativos. Tcnicas para Verificao de Controles de Sistemas
Testar a efetividade dos controles (injeo de falhas) Massa de dados de testes (test desk), simulaes paralelas, software de comparao de programas, mapeamento e rastreamento de processamento (debug), chamados de mapping, tracing e snapshot. Extra: Mdulos de Operao de Tarefas de Auditoria (ERPs)

Outras ferramentas
Editores de texto, planilhas eletrnicas, banco de dados e software para apresentaes

Execuo
Reunir evidncias confiveis, relevantes e teis
Achados de auditoria e as concluses devem estar baseados na correta interpretao e anlise das evidncias Evidncia Fsica- atividades desenvolvida pelos funcionrios, sistemas em funcionamento, local, equipamentos Evidncia documentria resultados de extraes de dados, registros de transaes, logs, listagens Evidncia fornecida pelo auditado: entrevistas, cpias de documentos, fluxogramas, polticas internas, e-mails, relatrios publicados Evidncia analtica comparaes, clculos e interpretaes de documentos de entidades e similares

Relatrio
Em linhas gerais, o que deve conter no relatrio? Como deve ser a linguagem ? A quem se dirige o relatrio ? Quando deve ser apresentado os relatrio parciais e por que eles devem ser elaborados ? Sobre a estrutura proposta para o relatrio, escreva brevemente o que deve conter em cada uma das sees, a saber:
Dados da Entidade Auditada, Sntese, Dados da Auditoria, Introduo, Falhas Detectadas, Introduo, Falhas Detectadas, Concluso