250 likes | 442 Views
Capítulo 6 Metodologia. Auditoria de Sistemas Computacionais Professora Jaciara S. Carosia. Capítulo 6- Metodologia. Metodologia - Introdução. As técnicas são específicas para cada auditoria, mas a filosofia metodológica normalmente é a mesma. Metodologia... Metodologia e Auditoria.
E N D
Capítulo 6 Metodologia Auditoria de Sistemas Computacionais Professora Jaciara S. Carosia
Capítulo 6- Metodologia Metodologia - Introdução • As técnicas são específicas para cada auditoria, mas a filosofia metodológica normalmente é a mesma. • Metodologia... • Metodologia e Auditoria.
Capítulo 6- Metodologia Metodologia – Fases e etapas • 1ª. Fase - Auditoria de Posição: • Etapas: • Planejamento e controle do projeto de auditoria. • Levantamento do ambiente e/ou sistema a ser auditado. • Identificação e inventário dos pontos de controle. • Priorização e seleção dos pontos de controle. • Revisão e avaliação dos pontos de controle. • Conclusão. • 2ª. Fase – Auditoria de Acompanhamento: • Etapa: • Acompanhamento da auditoria.
Capítulo 6- Metodologia Auditoria de Posição - 1ª Etapa: Planejamento e controle do projeto de auditoria • Objetivo: Identificação dos instrumentos indispensáveis a sua execução. • Definir as necessidades de recursos humanos, tecnológicos, materiais e financeiros para desenvolvimento do projeto. • Tais recursos devem ser dimensionados em função do enfoque, abrangência e delimitação do sistema a ser auditado, e em relação ao prazo estabelecido pela alta administração. • Definição preliminar do recursos humanos: • Grupo de coordenação: composto pelo gerente de auditoria, coordenador de auditoria, gerente da área responsável pelo sistema a ser auditado e gerente da área de informática. • O presidente/diretor da empresa (patrocinador) deve participar das atividades relacionadas a decisões mais importantes e acompanhar os resultados destas decisões. • Grupo de execução: composto por auditores e técnicos da área de sistemas de informação, os quais efetuarão a auditoria propriamente dita. A execução desta auditoria deverá obedecer às normas e aos procedimentos estabelecidos pelo grupo de coordenação.
Capítulo 6- Metodologia Planejamento e controle do projeto de auditoria (continuação) • Levantamento prévio da entidade auditada e de seu ambiente de TI • Conhecer as características gerais da empresa (visão macro). • Conhecer seu ambiente de TI (plataforma de hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento, principais sistemas, softwares de segurança, pessoas responsáveis, etc.). Lema: “Sem conhecer é impossível gerenciar” Primeira etapa do gerenciamento de projetos: PLANEJAMENTO!!! • Permite ao auditor ter uma noção do grau de complexidade de seus sistemas e, então, estabelecer os recursos e os conhecimentos técnicos necessários à equipe de auditoria. • Exemplo: Suponha que o auditor identifique que a entidade auditada possua em seu ambiente de tecnologia computadores de grande porte, rodando um determinado sistema operacional, com software de controle de acesso e banco de dados. Certamente a equipe de auditoria deverá contar com pessoas que entendam desse ambiente operacional – redefinição do grupo de execução. • Principais fontes de informações: relatórios de auditorias anteriores, bases de dados, documentos ou páginas na internet, notícias veiculadas na empresa, visitas anteriores à entidade e relatórios de auditoria interna.
Capítulo 6- Metodologia Planejamento e controle do projeto de auditoria (continuação) • Definição do campo, âmbito e área (ou sub-áreas) • Campo: • Natureza: auditoria da tecnologia da informação ou operacional (exame dos aspectos econômicos, de eficiência e eficácia, etc.). • Objeto: pode englobar um sistema computacional específico, uma ou várias seções do departamento de informática, ou até mesmo toda a organização (em termos de políticas de informática e de segurança ou nos casos em que o negócio da organização resume-se à prestação de serviços computacionais). • Período: diretamente do âmbito (grau de profundidade das verificações) e das sub-áreas de sistemas escolhidas pela equipe. Natureza Campo Objeto Período
Capítulo 6- Metodologia Planejamento e controle do projeto de auditoria (continuação) • Natureza (tipo de auditoria): • Auditoria de programa de governo. • Auditoria de planejamento estratégico. • Auditoria administrativa. • Auditoria contábil. • Auditoria financeira (auditoria de contas). • Auditoria da legalidade (auditora da regularidade ou de conformidade). • Auditoria operacional : Auditoria que incide em todos os níveis de gestão, nas fases de programação, execução e supervisão, sob o ponto de vista da economia, eficiência e eficácia. É também conhecida como auditoria da eficiência, de gestão, de resultados ou de prática de gestão, onde são auditados todos os sistemas e métodos utilizados pelo gestor em tomadas de decisões. Analisa a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos. • Auditoria integrada.
Capítulo 6- Metodologia Planejamento e controle do projeto de auditoria (continuação) • Âmbito : constitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados, isto é, o âmbito define até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência e a amplitude. • Área ou sub-áreas: conjunto formado por campo e âmbito de auditoria, delimita de modo muito preciso os temas da auditoria em função da entidade a ser fiscalizada e da natureza da auditoria e pode ser subdividida em sub-áreas. Natureza Campo Objeto Área de Verificação Período Âmbito Sub1 Sub3 Sub2
Capítulo 6- Metodologia Planejamento e controle do projeto de auditoria (continuação) • Exemplo de campo, âmbito e área. • Natureza: Auditoria de TI Campo • Objeto: Sistemas e procedimentos de segurança de informações da empresa • Período: De 01/09/2008 a 01/09/2009 Área de Verificação Âmbito:verificação da eficácia dos controles Sub1: Backup • Sub2: Controle de acesso lógico • Sub3: Controle de acesso físico
Capítulo 6- Metodologia Planejamento e controle do projeto de auditoria (continuação) • Definição dos recursos necessários • A equipe deve analisar os requisitos: • Tamanho dos sistemas. • Grau de sofisticação e a complexidade do ambiente computacional auditado. • Nível de experiência necessário para executar cada tarefa. • Necessidade de utilização de ferramentas ou técnicas mais sofisticadas de auditoria de TI. • Se anteriormente foram identificadas irregularidades ou falhas graves no ambiente de informática. • Se há um histórico de fraudes, erros ou quebras de segurança nos sistemas computacionais.
Capítulo 6- Metodologia Planejamento e controle do projeto de auditoria (continuação) • Recursos Humanos: • Maior dificuldade: determinar o grau técnico da equipe. • Recursos Econômicos: • Com relação a recursos econômicos, a equipe deve fazer uma previsão de despesas, especialmente se a auditoria envolver viagens e contratação de mão-de-obra externa. • Recursos Técnicos: • Os recursos técnicos para realização da auditoria devem também ser identificados neste momento, tais como recursos de hardware, software (ferramentas de auditoria ou extração de dados, por exemplo), manuais técnicos sobre o ambiente operacional e sistemas da entidade auditada.
Capítulo 6- Metodologia Auditoria de Posição - 2ª Etapa: Levantamento do ambiente e/ou sistema a ser auditado. • Processo de levantamento: grupo de execução. “O levantamento deve ser executado em caráter macro, suficiente e abrangente para o atendimento pleno e global das características do sistema”. • Técnicas e métodos de levantamentos: entrevistas e análise de documentação existente, colocando as informações de forma descritiva e/ou gráfica. • Outras ferramentas: Diagrama de Fluxo de Dados (DFD), Dicionário de Dados (DD), Modelo Entidade Relacionamento (MER) e UML. • Limitar o sistema e identificar seus pontos de integração com outros sistemas: • facilita a determinação da abrangência da auditoria. • impede a execução de auditoria em áreas não pertencentes ao escopo do trabalho.
Capítulo 6- Metodologia Auditoria de Posição - 3ª Etapa: Identificação e inventário dos pontos de controle. • Inventário dos pontos de controle: identificação de diversos pontos de controle que merecem ser avaliados (grupo de execução). • Os pontos de controle podem ser definidos e identificados pelos documentos de entrada, relatórios de saídas, telas, arquivos, rotinas e/ou programas de computador, pontos de integração e demais elementos que compõem um sistema de informação. • Para cada ponto de controle, especificar: • seus objetivos; • as funções que exercem; • sua influência no sistema como um todo; • parâmetros ou especificações de controles internos mais afetados em função da sua fraqueza; • técnicas de auditoria que podem ser aplicadas para sua validação. • Este levantamento deverá ser encaminhado para o grupo de coordenação para fins de triagem e realização da etapa seguinte.
Capítulo 6- Metodologia Auditoria de Posição - 4ª Etapa: Priorização e seleção dos pontos de controle • Priorizar e selecionar os pontos de controle que devem ser auditados: grupo de coordenação. • Analise de risco: identificar as ameaças prováveis em um SI e verificar os prejuízos que poderão ser acarretados pelo sistema a curto, médio e longo prazo. • Prioridade [importância, ameaça, impacto] • Importância: relevância do ponto de controle para o sistema. • Ameaça: riscos que o ponto tem de possuir fraquezas. • Impacto: conseqüências para o sistema como um todo. • O fato de um determinado ponto de controle ser prioritário não implica em despender esforços para sua execução, é necessário considerar os recursos disponíveis. • Tamanho da amostragem: deve ser satisfatória para a formação de uma opinião dos auditores e demais componentes do grupo de coordenação.
Capítulo 6- Metodologia Priorização e seleção dos pontos de controle (continuação) “A definição clara dos itens a serem auditados facilita o trabalho da equipe de auditoria e evita as falsas expectativas, tanto dos membros da equipe como de sua gerência”. • Exemplo de insatisfação: • Quando a gerência da equipe de auditoria espera um trabalho de verificação breve, sucinto e preliminar de um sistema de informática e a equipe executa um a auditoria extremamente detalhada e aprofundada: • A gerência tende a cobrar insistentemente a conclusão do trabalho, por considerá-lo apenas uma análise superficial. • A equipe de auditoria se dedica a completar todas as suas tarefas dentro do prazo reduzido. • Esse problema de falsas expectativas pode acontecer em qualquer auditoria, não necessariamente em auditorias da TI.
Capítulo 6- Metodologia Auditoria de Posição - 5ª Etapa: Revisão e avaliação dos pontos de controle • Auditoria propriamente dita: aplicar técnicas de auditoria que evidenciem falhas ou fraquezas de controle interno. • O objetivo da auditoria e as características do ponto de controle definem as técnicas a serem utilizadas. • Ao longo desta fase, a equipe deve reunir evidências suficientemente confiáveis, relevantes e úteis para a construção do relatório. • As evidências podem ser : • Evidência física: observações de atividades desenvolvidas pelos funcionários e gerentes, sistemas em funcionamento, local, equipamentos, etc. • Evidência documentária geradas pelo auditor:transcrições de entrevistas, atas de reuniões, resultados de extração de dados, registros de transações, listagens, etc. • Evidência fornecida pelo auditado:, cópias de documentos cedidos pelos auditado, fluxogramas, políticas internas, e-mails trocados com a gerência da entidade, justificativas, relatórios publicados pelo auditado (impressos ou on-line), etc. • Evidência analítica: comparações, cálculos e interpretações de documentos de entidades similares ou da mesma entidade em períodos de tempo diferentes.
Capítulo 6- Metodologia Auditoria de Posição - 6ª Etapa: Conclusão “O auditor apresenta seus achados e conclusões na forma de um relatório escrito”. • Relatório Final de Auditoria: contém os resultados da auditoria, sejam eles quais forem, descrevendo o diagnóstico ou situação atual em que se encontram os pontos de controle e apontando as fraquezas do controle interno (comprovações, conclusões e recomendações/solicitações de melhoria). • Linguagem utilizada: • Utilizar uma linguagem clara, objetiva e simples. • Evitar o uso de jargões técnicos ou siglas. • Anexar um glossário de termos técnicos (se necessário). • Apresentar uma estrutura bem organizada. • Abranger todas as informações relevantes para análise pela gerência ou entidade que solicitou a realização da auditoria.
Capítulo 6- Metodologia Conclusão (continuação) • Relatório deve ser encaminhado: • à diretoria da organização: auditoria solicitada para identificar falhas em sua própria administração. • ao organismo que financia a auditoria: auditoria como forma de proteger seus investimentos (acionistas, comprador, etc.). • ao organismo responsável pelo controle: auditoria de sistemas solicitada como parte de uma auditoria contábil, financeira, de regularidades, etc. • Os tipos de informação e a estrutura do Relatório: • Mudam de uma instituição para outra. • Dependem do objetivo da auditoria. • Dependem para quem o relatório será apresentado, deve ser adaptado às necessidades do público alvo. • Revisão: o relatório final deve ser revisado pela equipe de execução e coordenação para verificar sua conformidade com os padrões e práticas da organização auditora e a inexistência de inconsistências, erros ou lacunas.
Capítulo 6- Metodologia Conclusão(continuação) • Itens constantes em um Relatório Final: • Dados da entidade auditada: nome e endereço da entidade auditada, sua natureza jurídica (órgão do governo, empresa pública, autarquia, empresa privada, etc.), relação de responsáveis pela entidade (presidente, diretores, gerentes, ministrados, etc.) e outras informação consideradas relevantes pela equipe. • Síntese: breve resumo do conteúdo do relatório. • Visão geral dirigida a alta administração. • Dados da Auditoria: objetivo, período de fiscalização, composição da equipe, metodologia adotada, natureza da auditoria (da TI, operacional, financeira, de regularidades, etc.), e objeto (controles gerais da organização, desenvolvimento de sistemas, um sistema aplicativo específico, etc.). • Introdução: pode conter um breve histórico sobre a entidade e mencionar conclusões de auditorias anteriores feitas na mesma área. No caso de auditoria de TI é recomendável incluir a descrição hierárquica do departamento de informática, sua relação com outros departamentos e com os níveis hierárquicos superiores, descrição do ambiente computacional, evolução tecnológica, principais sistema e projetos.
Capítulo 6- Metodologia Conclusão(continuação) • Falhas detectadas: é a parte mais importante do relatório, pois apresenta em detalhes as falhas e irregularidades detectadas durante a auditoria. • Para cada ponto de controle com fraqueza - ponto de auditoria: • nome do ponto de controle auditado; • descrição sucinta do ponto de controle; • problemas detectados; • evidências; • impacto; • recomendações. • Conclusão: são sintetizados os pontos principais do relatório e descritos os pareceres dos auditores. • Pareceres da gerência superior: em alguns casos, as gerências superiores dão seu parecer a respeito dos achados e recomendações da equipe de auditoria, concordando ou não com os resultados.
Capítulo 6- Metodologia Metodologia – Fases e etapas • 1ª. Fase - Auditoria de Posição: • Etapas: • Planejamento e controle do projeto de auditoria. • Levantamento do ambiente e/ou sistema a ser auditado. • Identificação e inventário dos pontos de controle. • Priorização e seleção dos pontos de controle do ambiente e/ou sistema de auditoria. • Revisão e avaliação dos pontos de controle. • Conclusão. • 2ª. Fase – Auditoria de Acompanhamento: • Etapa: • Acompanhamento da auditoria.
Capítulo 6- Metodologia Auditoria de Acompanhamento - Etapa: Acompanhamento da Auditoria (follow-up) • Acompanhamento da auditoria (follow-up): revisar e avaliar os pontos de auditoria elencados no Relatório de Auditoria, ou seja, acompanhar a implementação das recomendações de melhoria. • Deve ser efetuado até que todos os requisitos das especificações do controle interno sejam atendidos e o parecer conclusivo seja satisfatório. • A atividade de acompanhamento tem por finalidade: • identificar se os problemas foram resolvidos; • identificar se medidas estão sendo adotadas no sentido de eliminar as deficiências apontadas na auditoria de posição; • adequar e atualizar as recomendações em face de novas realidades tecnológicas e de mudanças na organização empresarial; • avaliar o comprometimento da administração frente aos parâmetros de controle interno determinados no início do projeto de trabalho da auditoria.
Capítulo 6- Metodologia Acompanhamento da Auditoria (continuação) • O retorno da auditoria deve ser dado em função dos seguintes fatores: • grau de importância do cumprimento das especificações de controle interno determinado pelo sistema de informação; • dinâmica e freqüência de manutenção ocorrida durante um determinado período de tempo; • disponibilidade de recursos financeiros, humanos e tecnológicos. “Qualquer que seja o resultado do trabalho de auditoria, ou seja, apontando ou não falhas, é importante que os sistemas sejam reavaliados periodicamente, de modo a assegurar proteção e manutenção permanentes”. • Sistemas de informação normalmente sofrem mudanças em função da dinâmica do ambiente em que eles estão operando (mudança de estrutura, aplicação de novas políticas da alta administração, adequação às exigências legais, desenvolvimento organizacional, novas estratégias de negócios, etc. ) isso faz com que todos os sistemas envolvidos sofram alterações localizadas ou em forma global.
Capítulo 6- Metodologia Bibliografia • ARIMA, Carlos Hideo; SANTOS, José Luiz e SCHMIDT, Paulo. Fundamentos de Auditoria de Sistemas. São Paulo: ATLAS, 2006. • DIAS, C. Segurança e Auditoria Da Tecnologia da Informação. Rio de janeiro: Axcel Books, 2000.