Professional Documents
Culture Documents
Auditoria Informtica
Vantagens e Inconvenientes
Metodologia
que as polticas estabelecidas pela Gesto esto a ser seguidas a mxima eficincia e segurana na gesto da organizao
Promover
responsabilidade da Gesto assegurar que as operaes da empresa decorrem de forma eficiente e eficaz e em cumprimento da legislao
Auditoria Informtica
Evoluo
1960
Auditoria Informtica
Information
promover a definio e cumprimento de normas, procedimentos e controlos promover a necessidade de controlos informticos adequados desempenhar as suas responsabilidades de forma leal e honesta e no tomar parte em quaisquer actividades ilegais ou incorrectas promover a compreenso da interligao entre informtica e auditoria comunicar as suas opinies de uma forma objectiva e preparar evidncia suportando o seu julgamento profissional
manter confidencial toda a informao privilegiada obtida manter a sua competncia quanto a informtica e auditoria atravs da participao em actividades de desenvolvimento profissional manter padres elevados de conduta, caracter e moralidade nas suas actividades profissionais e pessoais no participar em actividades que possam ou aparentem estar em conflito com as normas dos seus empregadores ou clientes
Auditoria Informtica
Normas
em:
Reportando para:
Ao
10
Outsourcing da funo
11
Capacidade de anlise e sntese Capacidade de assimilao rpida Capacidade de adaptao Elevado esprito crtico Bom relacionamento social Honestidade, Discrio Bom senso, Objectividade e Ponderao Fora de Persuaso, Iniciativa Boa Memria Tenacidade, Perseverana Esprito Independente mas com sentido de colaborao (equipa) Sentido de formao permanente
12
Informtica
Ambiente informtico da empresa Processos informticos (p.e. desenvolvimento, operao, gesto de projectos, etc.) Comunicaes Novas
tecnologias
Auditoria Informtica
Metodologias Ferramentas
13
apoiar o auditor e dar-lhe informao (e formao) em todos os aspectos relacionados com o processamento de informao proceder avaliao e teste de controlos aplicacionais (em sistemas de informao complexos) proceder avaliao e teste de controlos gerais (ou de Tecnologias de Informao) bem como avaliao da organizao da funo informtica em termos humanos, fsicos e lgicos utilizar software de auditoria para seleco de amostras para validao, reexecuo de procedimentos programados ou para teste de controlos gerais proceder reviso de sistemas em desenvolvimento quanto incluso de controlos adequados e, por vezes, da gesto do projecto efectuar revises de segurana de informao
14
15
vs
Consultor
16
Difcil
a um auditor avaliar tecnologias de informao, controlos gerais e segurana Sem as avaliaes (e testes) acima no se consegue assegurar a correco do processamento
17
Metodologia de Auditoria
Como
Metodologia de Auditoria
19
Preliminar
Compreenso Preliminar Compreenso e Registo Avaliao
Controlo
Deficincias Relatrio Follow -up
Deficincias Testes
Desenho Relatrio
e Execuo de Testes
Registo
Preparao,
20
CobiT
Metodologia de Auditoria
Control Objectives for Information and Related Technology Critrios de Informao
de de da a i a m lid an r r a o nf gu Qu Co Se
Processos de IT
Processos Actividades
Domnios
T eI d os s r cu Re
10
21
CobiT
Metodologia de Auditoria
Control Objectives for Information and Related Technology
Requisitos de Qualidade
Requisitos
Eficcia e Eficincia das operaes Confiana na informao financeira Conformidade com legislao e regulamentos
Requisitos
de Segurana
22
& Organizao
Information Criteria
IT Resources
PO1 define a strategic IT plan P S P S S PO2 define the information architecture P S PO3 determine technological direction P S PO4 define the IT organisation and relationships P P PO5 manage the investment in IT P PO6 communicate management aims and direction P P PO7 manage human resources P PO8 ensure compliance with external requirements P S P PO9 assess risks P P PO10 manage projects P P PO11 manage quality
CobiT
eff ec tive ef nes co ficie s nfid nc e y int ntiali eg ty av rity ail co abilit mp y lia rel nce iab ility pe ap ople plic tec ation hn s fac ology iliti es da ta
S S S P P P P S S S
11
Auditoria do Risco
efi c c efi ia ci co nci nfid a en int cialid eg a dis rida de po de nib co ilida nfo de rel rmid iab ad ility e
Informtico
Planning & Organisation Acquisiton & Implementation
23
S
O controlo de
Processos de IT
Requisitos Negcio
permitdo por
Definies de Controlo
e toma em considerao
Prticas de Controlo
CobiT
M Avaliao
Mteste
M Substanciar
de ...
CobiT
12
25
Avaliao de risco Avaliao de controlos aplicacionais Avaliao de controlos gerais Avaliao de segurana de informao Avaliao de sistemas IBM Avaliao de sistemas UNIX Avaliao de sistemas Windows NT Avaliao de redes / micro -computadores Avaliao de comunicaes Avaliao de implementao de aplicaes Interrogao de ficheiros
26
de Ficheiros
de ...
13
27
Tcnicas de auditoria
Around
Computer
Throught
Computer
With
computer
28
Tcnicas de auditoria
Around
Computer
forma completamente errada de efectuar uma auditoria o auditor identifica o input e confere-o com o respectivo output. ser que:
14
29
Tcnicas de auditoria
Throught
Computer
de segurana de acessos acessos comensurveis com funes dos utilizadores tentativas de acesso de operao do sistema problemas na operao informticos a nvel da aplicao testes por simulao que os controlos funcionam
controlos
controlos
30
Tcnicas de auditoria
With
computer
o auditor recorre a software de auditoria para facilitar a avaliao e teste de procedimentos e controlos informticos o auditor desenvolve programas de interrogao para facilitar a determinao de:
operao
processamento
15
31
O Auditor Informtico
Questes
Auditoria Informtica
16