auditoria de sistemas de informação
DESCRIPTION
Auditoria de Sistemas de Informação Joshua Imoniana- resumoTRANSCRIPT
RESUMO 2ª EDIÇÃO (PG 15-89) – JOSHUA ONOME IMONIANA - IFBA
ASI – Auditoria de Sistemas de Informação SI – Sistemas de Informação TAAC - Técnica de auditoria assistida por
computador
1. Fundamentos de Auditoria de Sistemas de Informações.......................................................4-8;
2. Padrões e código de ética para ASI................9-10; 3. Desenvolvimento de equipe de auditoria sistemas
de informação.................................................11-12; 4. Controles internos e avaliações:...................13-19; 5. Ferramentas e Técnicas de Auditoria de TI...20-25; 6. Auditoria de Controles Organizacionais e
Operacionais..................................................26-29;
1.1 Histórico de Sistemas de Informação: Cálculos no ano 5000 a.C ;
Invenção dos cartões perfurados(punch cards) por Herman Hollerith;
Construção do ENIAC durante a 2ª Guerra Mundial;
Mudanças provocadas durante o ano de 1950 em todos ambientes de negócios criaram uma grande complexidade que causou a adoção de sistemas de informação para o processamento de dados;
1.2 Conceito de Sistemas:
Sistema é um conjunto de elementos inter-relacionados com um objetivo: produzir relatórios para ajudar na tomada de decisões;
1.3 Conceito de Auditoria de Tecnologia de Informação:
Tem objetivo de garantir que informações em forma eletrônica são confiáveis;
1.4 Abordagem de Auditoria de Sistemas de Informações:
1.4.1 Abordagem ao redor do computador : Baseia-se na confrontação de documentos-fonte com
resultados esperados; 1.4.2 Abordagem através do computador: O auditor acompanha o processamento por dentro do
computador; 1.4.3 Abordagem com o computador: Uma abordagem com o computador completamente
assistida;
1.5 Organização do Trabalho de Auditoria de Tecnologia de Informação: Planejamento
Escolher a equipe
Programar a equipe
Execução de trabalhos e supervisão
Revisão de papéis e trabalhos
Atualização do conhecimento permanente
Avaliação da equipe
1.6 Documentação dos papéis de trabalhos :
Papéis de trabalhos constituem conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas.
Figuras que possuem acesso:
▪ Sócio: responsável pelo serviço de auditoria;
▪ Encarregado supervisor e gerente: chefe da equipe de auditoria que deve cadastrar identificação da auditoria;
▪ Preparador (assistente ou sênior de auditoria): capta informações e diretrizes de auditoria nos banco de dados central;
2.1 Comitê de padrões da associação de controle e audit de tecnologia de informação:
-Conforme padrões emitidos: Responsabilidade, autoridade e prestação de contas;
Independência profissional;
Ética profissional e padrões;
Competência;
Planejamento;
Emissão de relatório;
Atividades de follow-up;
2.2 Associação de auditores de sistemas e controles(ISACA): - código dos membros - 1. apoiar a implementação e encorajar cumprimento de
padrões;
2. exercer suas funções com objetividade;
3. servir aos interesses dos stakeholders de forma legal e honesta;
4. manter privacidade e confidencialidade de informações;
5. manter competência nas respectivas especialidades;
6. informar as partes envolvidas
7. apoiar conscientização profissional dos stakeholders;
3.1 problemática de desenvolvimento “...”: Crescente complexidade de ambientes de TI e
dificuldades e relutância de auditores com relação a adaptação para auditar estes ambientes;
3.1.1 Programa de desenvolvimento de carreira de auditoria de TI: Programa utilizado por auditores independentes, que
contratam formandos em áreas afins, e os treinam;
Treinamento dividido em duas partes:(i) categoria com pouca ou nenhuma experiência em TI; e (ii) aqueles que possuem experiência;
Carreira de auditor de TI:
Nível 1- Básico: trainee;
Nível 2 – Fundação: assistentes;
Nível 3 – Focal: seniores e supervisores;
Nível 4 – Integração: gerentes;
Nível 5 – Aconselhamento: sócio de auditoria;
4.1 Fundamentos de controle internos em SI:
Conforme Instituto Americano de Contadores Públicos: “planos organizacionais e conjuntos de métodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a exatidão e veracidade registros contábeis, promover efetividade de SI e eficiência operacional ”;
4.1.1 Controles internos em PED, princípios e objetivos:
Supervisão;
Registro e comunicação;
Segregação de funções;
Classificação de informação;
Tempestividade;
Auditoriabilidade;
4.1.1 Controles internos em PED, princípios e objetivos:(II)
Controle independente;
Monitoramento;
Implantação;
Contingência;
Custo efetivo;
4.1.1.1 Tipos de controle:
Controles administrativos e gerências - controles que possuem a separação de funções ou responsabilidades;
Controles de segurança e privacidade;
▪ Propriedades: SIGILO, INTEGRIDADE, DISPONIBILIDADE, CONTABILIDADE e AUDITORIABILIDADE;
4.1.1.1 Tipos de controle:(II)
Controles de preparação e captação de dados – controle que é exercido no começo de cada atividade de processamento de dados;
Controles de entrada de dados – controle de inputs (entrada) de dados, que visa reduzir dúvidas que possam existir no ponto de entrada;
Controles de processamento – são programados e construídos no computador de forma segura;
4.1.1.1 Tipos de controle:(III)
Controles de saída e de emissão de relatórios – procedimentos de manuseio de output;
Controles de gravação e recuperação de dados – este controle certifica a integridade de dados recebidos dentro da data-base e qualquer indivíduo que pode acessá-lo com o mínimo esforço;
4.2 Avaliação dos procedimentos de controles internos e avaliações: Trabalho executado pelo auditor que tenha
habilidade em TI 4.3 Análise de risco de avaliação de sistema
de controle interno: Metodologia adotada pelos auditores de TI para
saber, com antecedência, quais ameaças puras ou prováveis em um ambiente de TI de uma organização;
5.1 Ferramentas:
Auxiliam na extração, sorteio, seleção de dados e transações;
5.1.1 Software generalista de auditoria de TI:
ACL
IDEA
Audimation
Galileo
Pentana
5.1.2 Softwares especializados de auditoria: programa desenvolvido especificamente;
5.1.3 Programas utilitários: Geralmente banco de dados: SQL, Dbase 2, etc.
5.2 Técnicas: Variadas metodologias que são chamadas de
técnicas, que proporcionam várias vantagens: produtividade, custo, qualidade assegurada, valor agregado, benefícios corporativos e benefícios para o auditor.
5.2.1 Dados de teste: Conhecido por test data ou test deck, envolve um
conjunto de dados de entrada especialmente preparados com objetivos de testar os controles programados e controles de sistema aplicativo;
5.2.2 Facilidade de teste integrado: Conhecida por Integrated Test Facility(ITF), ela usa
dados de testes integrados aos ambientes reais de processamento utilizando-se versões correntes da produção.
5.2.3 Simulação paralela:
Envolve o uso de um programa especialmente desenvolvido que atenda as lógicas necessárias para um aplicativo devidamente testado.
5.2.4 Lógica de auditoria embutida nos sistemas:
Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
5.2.5 Rastreamento e mapeamento: Envolve desenvolvimento e implementação de
uma trilha de auditoria para acompanhar certos pontos da lógica de processamento de algumas transações;
5.2.6 Análise lógica de programação: Técnica que envolve verificação da lógica de
programação para certificar que instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas e aplicativos;
5.3 Aplicação de técnica de auditoria assistida por computador (TAAC):
5.4 Documentação dos papéis de trabalhos TAAC:
Deve conter informações suficientes para descrever testes e conclusões. São por exemplo: planejamento, execução e evidenciação;
6.1 Introdução:
Controles organizacionais – são controles administrativos instalados nos processos de fluxo de transações econômicas;
6.2 Políticas Organizacionais:
Políticas de responsabilidades;
Política de continuidade de negócios (Business Continuity Plan - BCP);
6.3 Descrição de Cargos:
Supervisão de infraestrutura de TI;
Administração de redes;
Administração de banco de dados;
Administração de dados;
Administração de segurança;
Análise, programação e manutenção de sistemas;
Design para WEB;
6.3 Descrição de Cargos:(II)
Operador de console;
Operadores de conversão de dados;
Bibliotecários;
Suporte técnico;
Supervisão de Help desk;
Grupo de controle de dados;
Supervisão de Restart/Recovery;
6.4 Objetivos de auditoria:
O principal objetivo de auditoria de controles organizacionais de área de informática é testar a grande essência de controle interno, promover eficiência das operações e fomentar maior adesão às políticas prescritas pela gerência com maios foco na responsabilidade;
6.5 Programa de auditoria – Controle Organizacionais e Operacionais;