Segurança, Controle e Auditoria de Dados

Segurança, Controle e Auditoria de Dados 2 – Conceitos

Conceitos • Campo: • Objeto a ser fiscalizado; • Entidade completa (pública ou privada); • Uma parte selecionada da entidade; • Uma função da entidade • Período de fiscalização, • Mês, ano... • A gestão de algum administrador. • Natureza da auditoria • Operacional; • Financeira; • Legalidade; etc.

Conceitos • Âmbito: • Amplitude e exaustão dos processos de auditoria; • Limitação racional dos trabalhos executados; • Definirá: • Aprofundamento das tarefas de auditoria; • Grau de abrangência.

Conceitos • Área de Verificação: • Formado pelo campo e âmbito da auditoria; • Delimita de forma precisa os temas da auditoria.

Conceitos • Controle: • Fiscalização exercida sobre as: • Atividades; • Órgãos; • Departamentos; • Produtos. • O objetivo é que estes não se desviem das normas; • Três tipos de controle: • Preventivo; • Detectivo; • Corretivo.

Conceitos • Controle Preventivo: • Prevenção de erros, omissões ou atos fraudulentos. • Controle Detectivo: • Detectar os erros, omissões ou atos fraudulentos; • Relatar sua ocorrência. • Controle Corretivo: • Usados para reduzir impactos ou corrigir os erros detectados (planos de contingência).

Conceitos • Objetivos de Controle: • Metas de controle a serem alcançadas; • Efeitos negativos a serem evitados em: • Transações; • Atividades; • Funções. • Para serem alcançados, são traduzidos em diversos procedimentos de auditoria.

Conceitos • Procedimentos de Auditoria: • Formam um conjunto de verificações que permitem obter e analisar as informações necessárias à formulação de opiniões no auditor; • É necessário estabelecer estes procedimentos antes da auditoria iniciar, pois aumenta a produtividade e a qualidade do trabalho do auditor; • Alguns órgãos têm manuais contendo os procedimentos padrões utilizados para as auditorias.

Conceitos • Achados de Auditoria: • Fatos observados pelo auditor; • Não necessariamente são falhas e/ou irregularidades, podem também ser pontos fortes da organização; • Somente deve constar no relatório se for, de fato, algo relevante, e se for baseado em fatos e evidências irrefutáveis.

Conceitos • Papéis de Trabalho: • Registros dos atos e fatos observados pelo auditor; • Podem ser documentos, planilhas, tabelas, listas de verificações, arquivos informatizados, imagens, etc; • Dão suporte ao relatório de auditoria; • Contém o registro de metodologia adotada, procedimentos, verificações, fontes de informação, testes, entre outras informações relacionadas ao trabalho de auditoria.

Conceitos • Recomendações de Auditoria: • Realizada na fase final da auditoria; • Medidas corretivas possíveis, sugeridas pela instituição fiscalizadora, por meio do auditor; • Podem ser (mas não necessariamente serão) transformadas em determinações a serem cumpridas.

Conceitos • Natureza da Auditoria: • Não existe classificação padrão; • As classificações mais comuns são: • Quanto ao órgão fiscalizador, • Quanto à forma de abordagem do tema; • Quanto ao tipo ou área envolvida.

Conceitos • Quanto ao órgão fiscalizador: • Auditoria Interna: • Realizada por um setor ou departamento interno da organização avaliada; • Esse setor/departamento deve ser um específico, encarregado de avaliar e verificar os sistemas e procedimentos internos; • Tem como objetivo reduzir as probabilidades de: • Erros, • Fraudes, • Práticas ineficientes ou ineficazes; • Deve ser independente e prestar contas diretamente à direção da organização.

Conceitos • Quanto ao órgão fiscalizador: • Auditoria Externa: • Realizada por uma instituição externa e independente da organização avaliada; • Emite pareceres sobre: • Gestão de recursos; • Situação financeira; • Legalidade e regularidade das operações.

Conceitos • Quanto ao órgão fiscalizador: • Auditoria Articulada: • Utiliza ambos modos de auditoria: interna e externa; • Beneficiada pela superposição de tarefas e responsabilidades; • Caracteriza-se pelo: • Uso comum de recursos; • Comunicação recíproca dos resultados. • Custo mais alto; • Falhas na comunicação afetariam o processo e, como conseqüência, o resultado.

Conceitos • Quanto à Forma de Abordagem do Tema: • Auditoria Horizontal: • Um único tema; • Avalia-se várias entidades ou serviços paralelamente. • Auditoria Orientada: • Auditoria focada em uma atividade; • Esta atividade pode ser uma qualquer, como também pode ser (mais provável e recomendável) uma com fortes indícios de erros ou fraudes.

Conceitos • Quanto ao Tipo ou Área Envolvida: • Auditoria de Programas de Governo: • Acompanhamento, exame e avaliação da execução de programas e projetos governamentais específicos; • Preocupa-se também com a efetividade das medidas governamentais. • Auditoria Administrativa: • Engloba o plano da organização: • Procedimentos; • Documentos. • Avalia os elementos que dão suporte à tomada de decisão.

Conceitos • Quanto ao Tipo ou Área Envolvida: • Auditoria do Planejamento Estratégico: • Verifica se: • Os principais objetivos da organização são atingidos; • As políticas e estratégias de aquisição, utilização e alienação de recursos são respeitadas. • Auditoria Contábil: • Relativa à salvaguarda dos ativos e à fidedignidade das contas da instituição; • Fornece certa garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações; • Realizada em intervalos razoáveis de tempo; • Exige medidas corretivas adequadas, caso sejam detectadas falhas.

Conceitos • Quanto ao Tipo ou Área Envolvida: • Auditoria Financeira (ou de Contas): • Analisa as contas, a situação financeira, legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais; • Verifica se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas; • Averigua se foram tomadas as medidas necessárias para registrar com exatidão e proteger todos os ativos; • Confere se todas as operações registradas (assim como o próprio registro) estão em conformidade com a legislação em vigor.

Conceitos • Quanto ao Tipo ou Área Envolvida: • Auditoria Operacional: • Incide em todos os níveis de gestão; • Atua nas fases de programação, execução e supervisão; • Tem como ponto de vista a economia, eficiência e eficácia; • Pode ser conhecida também como “de Eficiência”, “de Gestão”, “de Resultados”, “de Práticas de Gestão”; • Audita todos os sistemas e métodos utilizados pelo gestor para tomar decisões; • Analisa a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos.

Conceitos • Quanto ao Tipo ou Área Envolvida: • Auditoria de integrada: • Inclui, simultaneamente, a auditoria financeira e a operacional. • Auditoria de Legalidade: • Também conhecida como “de Regularidade” ou “de Conformidade”; • Analisa a legalidade e regularidade das atividades, funções, operações ou gestão de recursos; • Verifica se todos esses elementos estão em conformidade com a legislação vigente.

Conceitos • Quanto ao Tipo ou Área Envolvida: • Auditoria de Tecnologia da Informação: • Auditoria essencialmente operacional; • Analisa os sistemas de informática, o ambiente computacional, a segurança de informações, e o controle interno da entidade fiscalizada; • Identifica os pontos fortes e fracos da organização; • Pode ser conhecida também como Auditoria “Informática”, “Computacional” ou “de Sistemas”.

Conceitos • Auditoria de Tecnologia da Informação: • Analisa a gestão de recursos, com foco na eficiência, eficácia, economia e efetividade; • Pode abranger diversos aspectos, dependendo do enfoque do auditor: • O ambiente de informática como todo: analisando aspectos que influencias a segurança dos outros controles, como segurança física e lógica, planejamento de contingencias... • A organização do departamento como um todo, analisando: aspectos administrativos, como políticas, padrões e procedimentos organizacionais, gerencia de pessoal e planejamento de capacidades .

Conceitos • Auditoria de Tecnologia da Informação: • Pode envolver controles sobre banco de dados, redes de comunicação e de microcomputadores e controles sobre os aplicativos; • Não exige uma classificação padronizada de sub-áreas; • Aqui usaremos as seguintes: • Auditoria de Segurança de Informações; • Auditoria de Tecnologia da Informação; • Auditoria de Aplicativos.

Conceitos • Auditoria de Tecnologia da Informação: • Auditoria de Segurança de Informações; • Determina a postura da organização em relação à segurança; • Avalia a política de segurança e os controles a ela relacionados, principalmente de modo global; • Envolve: • Avaliação da política de segurança; • Controles de acesso lógico; • Controles de acesso físico; • Controles ambientais; • Plano de contingências e continuidade de serviços.

Conceitos • Auditoria de Tecnologia da Informação: • Auditoria de Tecnologia da Informação; • Abrange aspectos da Auditoria de Segurança de Informações; • Além deles, têm também outros controles, que podem também influenciar a segurança, estes controles são: • Organizacionais; • De mudanças; • De operação dos sistemas; • Sobre banco de dados; • Sobre microcomputadores; • Sobre ambientes cliente-servidor.

Conceitos • Auditoria de Tecnologia da Informação: • Auditoria de Aplicativos: • Está voltada para a segurança de aplicações específicas, incluindo elementos intrinsecos da área que o aplicativo atende, como orçamento, contabilidade, estoque, venda, pessoal etc. • Esta auditoria compreende: • Controle sobre o desenvolvimento de sistemas aplicativos; • Controles de entrada, processamento e saída de dados; • Controles sobre o conteúdo e funcionamento do aplicativo, em relação à área por ele atendida.

Conceitos • Acesso Lógico • Está relacionado com o acesso ao conteúdo da informação. • Abrange aspectos como: • acesso de pessoas a terminais e outros equipamentos de computação, • manuseio de listagens (uma questão também de acesso físico), • funções autorizadas dentro do ambiente informatizado (transações e programas que pode executar), • arquivos aos quais tenham acesso, etc. • Mesmo que as informações não estejam armazenadas em computadores, valem os mesmos conceitos de segurança de acesso lógico.

Conceitos • Propriedade da Informação • O conceito deriva do direito de posse direta ou delegada sobre os ativos de informações, exercido em nome da organização. • Em princípio, a propriedade de um ativo pertence a quem dele faz uso em função de uma necessidade funcional. • Normalmente, quem faz uso de um determinado ativo é o seu criador, a pessoa que recebeu autorização do mesmo. • Também recebe o nome de gestão, sendo o responsável pela administração das informações conhecido também como gestor.

Conceitos • Custódia da Informação • Refere-se à pessoa ou organização responsável pela guarda de um ativo de propriedade de terceiros, sendo o conceito estendido ao domínio das informações. • A área de informática, ao contrário da visão clássica ainda bastante aceita, é custodiante dos ativos de informações das áreas usuárias, os legítimos proprietários dos mesmos. • Geralmente, uma vez recebida do proprietário, a custódia não pode ser delegada. • Implica a responsabilidade do receptor quanto à integridade dos ativos custodiados.

Conceitos • Controle de Acesso • Está relacionado diretamente ao acesso concedido. Sua função é garantir que o acesso seja feito somente dentro dos limites estabelecidos. Esse controle é exercido por meio de mecanismos como senhas, listas de acesso, categorias, níveis de acesso, privilégios de acesso, etc. • Senhas • Constituem o mecanismo de controle de acesso mais antigo usado pelo ser humano para impedir acessos não autorizados. Foram e ainda são muito usadas como forma de se controlar o acesso a recursos de informação. • Modernamente, tendem a ser usadas apenas como mecanismo de autenticação de identidade de usuários, através da atribuição de uma senha exclusiva para cada chave de acesso ou identificação de usuários individuais. • Á medida que evolui a tecnologia, as senhas tendem a ser substituídas por alguma característica físico-biométrica do usuário, como a imagem da íris, a impressão digital, a voz, etc.

Conceitos • Controle de Acesso • Chaves de acesso ou identificações • Códigos de acesso atribuídos a usuários; cada um recebe uma chave de acesso única e individual. A cada chave de acesso é associada uma senha destinada a autenticar a identidade do usuário que possui essa chave. • Listas de acesso • Constitui uma espécie de tabela onde constam o tipo e o nome do recurso, ao qual são associadas as identificações de usuários com os tipos de operações permitidas aos mesmos.

Conceitos • Controle de Acesso • Operações • Determinam o que cada usuário pode fazer em relação a determinado recurso. Normalmente, consistem no seguinte: • Leitura - o usuário pode somente consultar informações; • Gravação - o usuário pode incluir informações; • Alteração - o usuário pode alterar informações existentes; • Exclusão - o usuário pode excluir informações existentes; • Eliminação - o usuário pode eliminar o meio físico de suporte das informações; • Execução - em ambientes informatizados, permite que o usuário possa executar comandos ou programas contidos em arquivos.

Conceitos • Acesso Físico • Acesso ou posse de um ativo do ponto de vista físico é o uso que se faz de determinado recurso. No caso de informações, está representado pelo acesso ao meio de registro ou suporte que abriga as informações; • Normalmente, os riscos relacionados com o acesso físico afetam os meios de registro e suporte das informações, ao passo que os riscos relacionados com o acesso lógico afetam o conteúdo.

Conceitos • Plano de contingência • Um plano global destinado a manter o ambiente de informações da organização totalmente seguro contra quaisquer ameaças a sua integridade e disponibilidade. • Consiste em procedimentos de recuperação pré-estabelecidos, com a finalidade de minimizar o impacto sobre as atividades da organização no caso de ocorrência de um dano ou desastre que os procedimentos de segurança não conseguiram evitar. • Estatísticas européias demonstram que mais de três quartos das empresas que sofreram um desastre envolvendo a perda de seu ambiente de informações fecham imediatamente ou no máximo em dois anos.

Conceitos • Preservação e recuperação de informações • O conceito de preservação está ligado à necessidade de sobrevivência dos acervos de informações, evitando eventos que causem sua destruição. • O conceito de recuperação aplica-se a recursos que tenham sido destruídos ou danificados, permitindo que os mesmos sejam novamente disponibilizados para uso

Segurança, Controle e Auditoria de Dados

Segurança, Controle e Auditoria de Dados

Presentation Transcript

Auditoria e Enfermagem

As Boas Práticas de Fabricação e Controle

Estruturas de Dados Espaciais

AUDITORIA MEDICA

CONTRÔLE DE GESTION F ondements, objectifs et organisation du contrôle de gestion Gérald Naro

Controle de Doenças de Plantas

Capítulo 3: Camada de Transporte

Planejamento Programação Controle Produção

Estruturas de Dados e Algoritmos

CF/88 –

Conceitos básicos de Auditoria O que é Auditoria; Campo de Aplicação; Objeto; Objetivos.

METODOLOGIA

AUDITORIA AMBIENTAL

CURSO ENGENHARIAS ELÉTRICA E MECÂNICA ALGORITMO E PROGRAMAÇÃO

Lic. Geovani José Rodriguez Master en Contabilidad con énfasis en Auditoría.

Exercícios SQL

LE DEMARREUR

Planejamento e Controle da Produção

Gerência de Dados XML em Bancos de Dados

CAPÍTULO 3

AUDITORÍA 2010 MATERIAL DE APOYO QUE NO REEMPLAZA LA LECTURA DE LA BIBLIOGRAFÍA

Coordenação-Geral de Auditoria da Área de Pessoal e Benefícios e de Tomada de Contas Especial