Professional Documents
Culture Documents
Ementa: Auditoria de sistemas, PED nas empresas; segurana, formao de Departamentos de auditoria, levantamentos, procedimentos. Contedo: 1- Conceitos e Organizao de Auditoria 2 Segurana nas informaes 3 Auditoria da Tecnologia da Informao 4 Segurana em Redes e Internet.
Bibliografia: Dias, Cludia. Segurana e Auditoria da Tecnologia da Informao. 1 Edio, AXCEL BOOKS, 2000. LYRA, Maurcio Rocha. Segurana e Auditoria em Sistemas de Informao. Gil; Antonio de Loureiro. Auditoria de Computadores 5 Edio, Atlas 2000 Autor Annimo. Segurana Mxima, 2 Edio, Editora Campus, 2000 Tribunal de Contas da Unio, Manual de Auditoria de Sistemas, 1999. SMOLA, Marcos. Gesto da Segurana da Informao: uma viso executiva. Rio de Janeiro: Campus, 2003.
1. CAMPO 1.1 Objeto. Pode ser uma entidade completa (instituio pblica ou privada), uma parte selecionada ou uma funo dessa entidade. 1.2 Perodo. Pode ser de um ano, um ms ou perodo de uma gesto. 1.3 Natureza. Sero apresentados em seguida os tipos mais comuns, classificados sob os aspectos: rgo fiscalizador, forma de abordagem do tema e tipo ou rea envolvida.
Natureza da Auditoria
Quanto ao rgo Fiscalizador: Auditoria Interna Auditoria Externa Auditoria Articulada Quanto Forma de Abordagem do Tema: Auditoria Horizontal Auditoria com tema especfico realizada em vrias entidades ou servios paralelamente. Auditoria Orientada Auditoria focada em uma atividade especfica qualquer ou em atividade com fortes indcios de erros ou fraudes. Quanto ao Tipo ou rea Envolvida: Auditoria de programas de governo Auditoria de planejamento estratgico Auditorias administrativa, contbil, financeira, legalidade Auditoria operacional Auditoria de TI
5
AMBITO Constitui-se da amplitude e exausto dos processos de auditoria, incluindo uma limitao racional dos trabalhos a serem executados. Define ento at que ponto sero aprofundadas as tarefas de auditoria e seu grau de abrangncia. 3. REA DE VERIFICAO o conjunto formado por campo e mbito da auditoria. Delimita de modo preciso os temas da auditoria, em funo da entidade a ser fiscalizada e da natureza da auditoria.
Abrangncia de Auditoria
rea de Verificao
mbito
Campo
Objeto
Perodo
Natureza
Sub 1
Sub 2
Sub 3
7
Controles
a fiscalizao exercida sobre as atividades de pessoas, rgos, departamentos para que tais atividades, ou produtos, no se desviem das normas preestabelecidas. Tipos de Controle: Controle Preventivo - Usados para prevenir erros, omisses ou atos fraudulentos. Controle Detectivos - Usados para detectar erros, omisses ou atos fraudulentos e ainda relatar sua ocorrncia Controles Corretivos - Usados para reduzir impactos ou corrigir erros uma vez detectados.
Objetivo de Controle
So metas de controle a serem alcanadas, ou efeitos negativos a serem evitados, para cada tipo de transao, atividade ou funo fiscalizada.
Procedimentos
Formam um conjunto de verificaes necessrias formulao da opinio do auditor. Em geral, so lista de pontos a serem verificados durante a auditoria.
Achados de Auditoria
So fatos significativos observados pelo auditor durante a execuo da auditoria. Podem ser falhas ou irregularidades ou mesmo pontos fortes da instituio auditada.
Papis de Trabalho
So registros que evidenciam atos e fatos observados pelo auditor. Podem estar na forma de documentos, arquivos informatizados, etc... Estes papis do suporte ao relatrio final da auditoria, pois registram a metodologia adotada, procedimentos, verificaes, fontes, etc..
Relatrio de Auditoria
Onde so feitas as recomendaes ou determinaes da auditoria, para corrigir eventuais falhas detectadas, alm de apontar responsveis, quando for o caso.
10
11
Escopo: Avaliao da poltica de segurana Controles de acesso lgico Controles de acesso fsico Controles ambientais Planos de contingncias e continuidade dos servios
12
Controles: Organizacionais De mudanas De operao dos sistemas Sobre bancos de dados Sobre microcomputadores Sobre ambientes cliente-servidor
13
Auditoria de aplicativos
Controles: Desenvolvimento de sistemas aplicativos Entrada, processamento e sada de dados Sobre contedo e funcionamento do aplicativo, com relao a rea por ele atendida
14
Exerccios
1. Definir AUDITORIA. 2. Quais as principais FASES de uma Auditoria? Comente sobre cada uma. 3. Definir CONTROLE. 4. A Auditoria uma atividade de controle? 5. Como pode ser classificado os Controles? Fale sobre cada um. 6. O que so OBJETIVOS DE CONTROLE? 7. O que so PROCEDIMENTOS DE AUDITORIA? Exemplifique. 8. Falar da relao Objetivos de Controle X Procedimentos de Auditoria. 9. Citar os tipos mais comuns (NATUREZA) de Auditoria. 10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAO. 11. Quais as 3 grandes reas da Auditoria da Tecnologia da Informao? Fale sobre cada uma delas. 12. Quais as sub-reas da Auditoria da Segurana da Informao? 13. Quais as sub-reas da Auditoria da Tecnologia da Informao? 14. Quais as sub-reas da Auditoria de Aplicativos? Cludia Dias pgs 08 a 14
15
Equipe de Auditoria
Profissionais de alta capacidade tcnica, em constante aperfeioamento, comprometidos com a organizao e com postura adequada. Conhecimentos necessrios: Na rea que atua, com experincias prticas anteriores. Bom nvel em sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. Quanto mais complexos os elementos do ambiente computacional e o grau de profundidade esperado dos exames de auditoria, maior a necessidade de especializao da equipe e/ou do auditor. Algumas vezes torna-se necessrio contratao externa. Normalmente os conhecimentos bsicos englobam sistemas operacionais, software bsico, bancos de dados, redes LAN/WAN, avanando at softwares de controle de acesso, planos de contingncias e de recuperao e metodologias de desenvolvimento de sistemas
16
Equipe de Auditoria
Composio da Equipe:
Desenvolver habilidades em informtica nos auditores com formao bsica em contabilidade e auditoria
Desenvolver habilidades em auditoria funcionrios com formao em anlise de sistemas, cincia da computao, etc...
17
Equipe de Auditoria
Contratao de consultoria externa Recomendvel para sistemas de alta complexidade e especializao. Anlise minuciosa do custo-benefcio. Extenso do trabalho dos consultores, utilizando externa somente onde no houver disponibilidade na prpria equipe. Em caso de contratao, os acertos financeiros e clusulas contratuais devem ser o mais claros possveis. Deve-se optar por empresas/pessoas j com experincia na atividade e checar seus desempenhos em trabalhos anteriores. A equipe externa deve se envolver desde o incio dos trabalhos. Deve-se estabelecer etapas bem definidas e pontos de controle, com superviso contnua de integrante da organizao contratante.
18
Equipe de Auditoria
Contratao de consultoria externa Qual o tipo de consultoria mais adequada? Deve ter recursos (humanos e tecnolgicos) adequados para atingir os objetivos da auditoria dentro do prazo e com a qualidade esperada. Firmas ou organizaes podem dispor de mais recursos e oferecer uma gama maior de servios ou profissionais para cada tipo de atividade. No entanto isso no garante a qualidade dos seus servios. Profissionais autnomos podem atuar no planejamento estratgico da auditoria ou nas verificaes de campo. Podem complementar a equipe interna em todo a verificao ou em determinadas fases do processo. Tanto firmas como especialistas autnomos podem ser de grande utilidade no planejamento da auditoria, na conduo de entrevistas com o auditado, na avaliao de controles, na captao de dados dos sistemas, na reviso dos resultados obtidos e nas recomendaes finais do relatrio de auditoria.
19
Equipe de Auditoria
Contratao de consultoria externa
Analisando os Candidatos ao Servio de Consultoria Externa Estudar bem as propostas, detalhando os custos do servios, os recursos humanos oferecidos, suas habilidades tcnicas, plano de trabalho, etc... Seleo inicial dos possveis candidatos, identificando consultores que j prestaram servios organizao e reconhecidos no mercado por sua especializao e qualidade dos servios. Definir os critrios para a anlise das propostas dos consultores. A proposta tem que ser compatvel com os requisitos e prazos estabelecidos. Os custos devem ser bem explicitados para que no haja dvidas sobre sua composio.
20
Equipe de Auditoria
Contratao de consultoria externa
Relacionamento com os Consultores Externos Para assegurar a qualidade do trabalho, o entrosamento da equipe essencial, principalmente se membros no fizerem parte do corpo funcional da organizao. Nas auditorias com participao externa, necessrio que os aspectos relevantes estejam sempre sob o controle do coordenador da equipe, necessariamente um funcionrio da organizao. Devem ser estipulados pontos de controle durante a execuo da auditoria para que o coordenador avalie periodicamente o trabalho. recomendvel a transferncia de conhecimentos entre os consultores e os membros internos da equipe, visando a capacitao dos mesmos para auditorias semelhantes no futuro.
21
Equipe de Auditoria
Contratao de consultoria externa
Avaliando o trabalho realizado importante analisar os resultados, com a participao da equipe interna, coordenador e gerncia da organizao contratante. Discutir os pontos fortes e fracos, relatar as dificuldades . Comparar resultados esperados com alcanados. Oramento, Prazos, Nveis de qualidade : previsto X real Cooperao entre equipe externa e interna, sugestes para futuras auditorias.
22
Equipe de Auditoria
Composio da Equipe: Desenvolver habilidades em informtica nos auditores com formao bsica em contabilidade e auditoria A compreenso pode ser mais difcil. A linguagem tcnica e as evolues constantes podem dificultar um aprendizado adequado. As dificuldades decorrentes da falta de boa vontade dos profissionais de informtica ou o uso excessivo de vocabulrio tcnico. Um bom nvel de especializao s conseguido aps anos de de formao e prticas.
23
Equipe de Auditoria
Composio da Equipe: Desenvolver habilidades em auditoria funcionrios com formao em anlise de sistemas, cincia da computao, etc... Pode produzir resultados mais satisfatrios e em menor tempo. Normalmente as ferramentas de auditoria so computacionais. O potencial do profissional de informtica que se deseja capacitar e sua capacidade de adaptao devem ser avaliados criteriosamente. A preparao tem que ser contnua, mesmo um profissional j experiente deve-se manter em dia com os assuntos referentes a auditoria de sistemas. Participaes em seminrios e cursos de especializao indispensvel. Participao em fruns e consultas a sites de referncia tambm so vlidos. A equipe deve se preocupar em montar um Manual de Auditoria da TI para a organizao, alm de manter um acervo com livros e revistas especializadas para consultas a qualquer tempo.
24
A computao est em constante evoluo tecnolgica; O treinamento constante de auditores imprescindvel para que estejam preparados para realizar auditorias com qualidade e com grau de profundidade tcnica adequado; Os sistemas atuais so muito complexos e exigem conhecimentos que vo desde sistemas operacionais, planos de contingncias, desenvolvimento de aplicativos, segurana de informaes que trafegam pela internet etc.; Devem ser traadas estratgias diferentes de treinamentos a depender do nvel de conhecimento dos auditores.
25
Devem ser estimulados a participar de: . Seminrios . Cursos de especializao . Workshops . Congressos . Grupos de discusso . Boletins . Home pages de organizaes especializadas.
26
27
O IIA e a ISACA, em especial, desempenham um papel ativo no desenvolvimento de padres de auditoria e controle de sistemas de informao. Sob demanda, provem informaes sobre suas publicaes, padres e qualificao. A certificao de auditor de sistemas sempre atualizada. Algumas organizaes ao contratar servios de auditoria exigem a apresentao de certificados atualizados.
28
Tecnologia da Informao
Orientar o trabalho dos auditores Difundir o conhecimento nessa rea - O nvel de detalhamento desse material depender do tamanho da equipe, do tempo disponvel para desenvolver essa documentao e do grau de qualificao tcnica de seus componentes. - Caber chefia decidir se sero elaborados documentos especficos ou se sero utilizadas publicaes de outras entidades de fiscalizao e controle em TI.
29
O grupo de auditores dever ter sua disposio uma biblioteca tcnica para consulta. Com isso: Os trabalhos sero orientados de acordo com padres existentes; A equipe estar sempre atualizada; Tero disposio publicaes tcnicas como fonte de pesquisa; Deve manter nessa biblioteca todos os relatrios de auditorias em TI; Dever dispor ainda: legislao e normas, manuais de auditoria e procedimentos, livros de informtica, revistas, manuais de treinamentos, artigos de jornais relacionados etc.
30
Uma nica pessoa no deter todos os conhecimentos necessrios em TI para uma auditoria; necessrio que uma equipe de auditoria seja formada por auditores com diferentes especializaes; Cabe gerncia desenvolver as especializaes que faltam, atravs de treinamento adequado, e administrar o grupo como um time coeso que se complementa; Formada essa equipe, esta pode atuar em auditorias de tecnologia da informao ou como suporte tcnico a outras equipes de auditoria.
31
Auditores de sistemas so considerados recursos humanos escassos, por isso suas atividades so definidas apenas nos casos em que sua atuao realmente necessria; Uma forma de amenizar essa escassez formando auditores para atuar como suporte bsico de informtica nas equipes de auditoria de carter genrico - AUDITOR GENERALISTA; Normalmente o auditor generalista executa atividades de carter preliminar em ambientes de informtica ou sistemas considerados pouco complexos para determinar a estratgia de auditoria mais adequada.
32
necessrio que as atividades de cada auditor sejam bem definidas, bem como o suporte tcnico dado pelos auditores especializados, limites de atuao, relacionamentos entre eles, etc.; Os planos de auditoria devem ser elaborados levando em conta os recursos humanos disponveis. Devem ser elaborados planos de preferncia anual; A tendncia que no futuro todos os auditores tenham conhecimentos necessrios para realizar auditorias de sistemas; necessrio que a funo de auditoria se adapte aos novos ambientes e necessidades do mercado. Espera-se com o uso cada vez mais intenso do computador que haja um aumento no mercado desse profissionais.
33
34
Em organizaes de auditoria geralmente as atividades so planejadas em trs nveis, baseados em perodos de tempo diferentes:
Plano Estratgico de Mdio Prazo: Traduz o plano de longo prazo para um programa de atividades para o ano que se inicia; Em geral, procura atender as demandas das auditorias genrica por auditorias mais especializadas; Normalmente aprovada pela gerncia intermediria, define os objetivos macros das auditorias a serem feitas em seguida; Deve ser flexvel para aceitar as alteraes necessrias.
35
36
Exerccios
1. Que habilidade deve ter um gerente de equipe de auditoria? 2. Que habilidade deve ter um Auditor de Tecnologia da Informao? 3. Que habilidade deve ter um Auditor de Tecnologia da Informao, segundo o Padro Internacional de Auditoria? 4. Quais so as 3 opes possveis na formao de uma equipe de auditoria? 5. Das 3 opes da questo anterior qual a que voc considera mais vivel para a formao de uma equipe de Auditoria em Tecnologia da Informao? 6. Quais so as 2 categorias de consultoria externa? Fale sobre cada uma delas. 7. Quais os principais meios de qualificao/atualizao na rea de tecnologia da informao? Fale sobre cada um deles. 8. Quais so os nveis de planejamento de atividades em auditoria de tecnologia da informao? Fale sobre cada um deles. Cludia Dias pgs 14 a 25
37
DEPARTAMENTO DE INFORMTICA
Campo
Objeto
Segurana de informaes
Perodo
01/08 a 30/09/2002
Natureza
Audit. TI
Sub 1
Controles de Acesso Fsico
Sub 2
Controles de Acesso Lgico
Sub 3
Backup
40
Metodologias
Entrevistas Apresentar o plano de auditoria, coletar dados, identificar falhas e apresentar os resultados do trabalho. Entrevista de Apresentao Entrevistas de Coleta de Dados Entrevistas de discusso das deficincias encontradas Entrevistas de encerramento
Uso de Ferramentas de Apoio (CAATs) Tcnicas de anlise dados Tcnicas para verificao de controles de sistemas Outras ferramentas
41
Tcnicas de anlise dados Os dados do auditado pode ser coletados e analisados com o auxlio de softwares de extrao de dados, de amostragem, de anlise de logs e mdulos ou trilhas de auditoria embutidas nos prprios sistemas aplicativos da entidade Tcnicas para verificao de controles de sistemas Permite testar a efetividade dos controles dos sistemas do auditado. Podese analisar sua confiabilidade, e ainda determinar se esto operando corretamente a ponto de garantir a fidedignidade dos dados. Dentre as tcnicas mais utilizadas, pode-se citar: - Massa de dados de teste, simulaes, software de comparao de programas, - mapeamento e rastreamento de processamento
42
Metodologias
Outras ferramentas Existem ferramentas que no so necessariamente de apoio auditoria, mas auxilia o auditor durante a execuo da auditoria e na elaborao do relatrio. Se encontram nessa categoria: editores de textos, planilhas eletrnicas, banco de dados e softwares para apresentaes.
43
Os objetivos de controle norteiam a auditoria em vrias reas especializadas e organizacionais. Para realizar uma avaliao da atuao de outros profissionais, necessrio que o avaliador tenha um modelo normativo, um conjunto de padres, de como a atividade deveria estar sendo feita. O modelo normativo traduzido em objetivos de controle a serem avaliados pelo auditor em cada rea especfica.
44
EXEMPLO: Na rea de segurana, um dos objetivos de controle pode ser o estabelecimento de regras para acesso aos recursos computacionais. Alguns procedimentos de auditoria relacionados ao objetivo acima citado pode ser: verificar se h documento formal que justifique a necessidade do usurio para acessar determinados recursos computacionais; ou verificar se existem procedimentos que definem os recursos computacionais que podero ser acessados e os tipos de transaes que podero ser executadas por cada usurio autorizado.
45
ENFOQUES E MOTIVAES: Segurana dados e sistemas em que so essenciais a confidencialidade, a integridade, a disponibilidade de informaes; Atendimento a solicitaes externas verificao de indcios de irregularidades motivados pela imprensa, denuncia, solicitao de rgos superiores; Materialidade valor significativo dos sistemas computacionais, transaes, em termos econmico-financeiro; Altos custos de desenvolvimento sistemas com altos custos de desenvolvimento envolvem riscos mais altos para a organizao.
46
ENFOQUES E MOTIVAES:
Grau de envolvimento dos usurios - sistemas elaborados sem o envolvimento dos usurios em geral no atendem satisfatoriamente s suas necessidades; A partir do momento em que foram definidas a rea de verificao e as subreas a serem auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza procedimentos de auditoria para testar se os respectivos objetivos de controle esto sendo seguidos pela entidade. Normalmente as organizaes ligadas auditoria da tecnologia da informao publicam manuais de orientao contendo objetivos de controle e procedimentos de auditoria tpicos em um ambiente de informtica.
47
Procedimentos de Auditoria
Execuo: Na execuo, a equipe deve reunir evidncias confiveis, relevantes e teis para os objetivos da auditoria. Tipos: Evidncia fsica Evidncia documentria Evidncia fornecida pelo auditado Evidncia analtica Todas essas evidncias devem estar organizadas nos papis de trabalhos, para facilitar a elaborao do relatrio.
48
Relatrio
A forma como o auditor apresenta seus achados e concluses, com comprovaes, incluindo recomendaes e, conforme o caso, determinaes. Deve ser claro, objetivo, sem uso exagerado de termos tcnicos. Glossrio ao final, caso haja uso de termos e siglas. Bem organizado. Relatrios preliminares podem ser apresentados e discutidos com a parte auditada e/ou com a autoridade contratante. O relatrio final deve ser revisado por todos os membros da equipe, para verificar sua consistncia, omisses como tambm uma reviso gramatical.
49
Relatrio
Estrutura: Dados da entidade auditada. Sntese breve resumo do relatrio objetivos, perodo, equipe, metodologia, etc..
Dados da auditoria
Introduo breve histrico, resumo de audit. Anteriores, estrutura hierrquica dos dept auditados, etc... Falhas detectadas Detalhamento das falhas e irregularidades, com comentrios e justificativas e parecer da equipe. Concluso Resumo dos principais pontos e recomendaes finais para correo das falhas e apontar pontos fortes. Pareceres Quando necessrio, de instncias superiores.
50
Exerccios Propostos
1. Qual o objetivo do Planejamento de Auditoria? 2. Quais as informaes bsicas que devem estar contidas em um Plano de Auditoria? 3. Quais as principais fontes de informaes para a elaborao de um Plano de Auditoria? 4. Quais os recursos necessrios para uma auditoria? Fale sobre cada um. 5. Quais as principais metodologias utilizadas em uma atividade de auditoria. Fale sobre cada uma delas. 6. Em uma auditoria, a equipe deve reunir evidncias suficientemente confiveis, relevantes e teis para a consecuo dos objetivos da auditoria. Fale sobre cada uma dessas evidncias. 7. O que deve conter em um relatrio de auditoria?
51