2.
ASI – Auditoria de Sistemas de Informação
SI – Sistemas de Informação
TAAC - Técnica de auditoria assistida por
computador
3.
1. Fundamentos de Auditoria de Sistemas de
Informações.......................................................4-8;
2. Padrões e código de ética para ASI................9-10;
3. Desenvolvimento de equipe de auditoria sistemas
de informação.................................................11-12;
4. Controles internos e avaliações:...................13-19;
5. Ferramentas e Técnicas de Auditoria de TI...20-25;
6. Auditoria de Controles Organizacionais e
Operacionais..................................................26-29;
4.
1.1 Histórico de Sistemas de Informação:
Cálculos no ano 5000 a.C ;
Invenção dos cartões perfurados(punch cards) por
Herman Hollerith;
Construção do ENIAC durante a 2ª Guerra
Mundial;
Mudanças provocadas durante o ano de 1950 em
todos ambientes de negócios criaram uma grande
complexidade que causou a adoção de sistemas
de informação para o processamento de dados;
5.
1.2 Conceito de Sistemas:
Sistema é um conjunto de elementos inter-
relacionados com um objetivo: produzir relatórios
para ajudar na tomada de decisões;
1.3 Conceito de Auditoria de Tecnologia de
Informação:
Tem objetivo de garantir que informações em
forma eletrônica são confiáveis;
6.
1.4 Abordagem de Auditoria de Sistemas de
Informações:
1.4.1 Abordagem ao redor do computador :
Baseia-se na confrontação de documentos-fonte com
resultados esperados;
1.4.2 Abordagem através do computador:
O auditor acompanha o processamento por dentro do
computador;
1.4.3 Abordagem com o computador:
Uma abordagem com o computador completamente
assistida;
7.
1.5 Organização do Trabalho de Auditoria
de Tecnologia de Informação:
Planejamento
Escolher a equipe
Programar a equipe
Execução de trabalhos e supervisão
Revisão de papéis e trabalhos
Atualização do conhecimento permanente
Avaliação da equipe
8.
1.6 Documentação dos papéis de trabalhos :
Papéis
de trabalhos constituem conjunto de
formulários preenchidos logicamente no processo de
auditoria de sistemas.
Figuras que possuem acesso:
▪ Sócio: responsável pelo serviço de auditoria;
▪ Encarregado supervisor e gerente: chefe da equipe de
auditoria que deve cadastrar identificação da auditoria;
▪ Preparador (assistente ou sênior de auditoria): capta
informações e diretrizes de auditoria nos banco de dados
central;
9.
2.1 Comitê de padrões da associação de
controle e audit de tecnologia de informação:
-Conforme padrões emitidos:
Responsabilidade, autoridade e prestação de contas;
Independência profissional;
Ética profissional e padrões;
Competência;
Planejamento;
Emissão de relatório;
Atividades de follow-up;
10.
2.2 Associação de auditores de sistemas e
controles(ISACA): - código dos membros 1. apoiar a implementação e encorajar cumprimento de
padrões;
2. exercer suas funções com objetividade;
3. servir aos interesses dos stakeholders de forma legal e
honesta;
4. manter privacidade e confidencialidade de informações;
5. manter competência nas respectivas especialidades;
6. informar as partes envolvidas
7. apoiar conscientização profissional dos stakeholders;
11.
3.1 problemática de desenvolvimento “...”:
Crescente complexidade de ambientes de TI e
dificuldades e relutância de auditores com relação a
adaptação para auditar estes ambientes;
3.1.1 Programa de desenvolvimento
carreira de auditoria de TI:
de
Programa utilizado por auditores independentes, que
contratam formandos em áreas afins, e os treinam;
Treinamento dividido em duas partes:(i) categoria
com pouca ou nenhuma experiência em TI; e (ii)
aqueles que possuem experiência;
12.
Carreira de auditor de TI:
Nível 1- Básico: trainee;
Nível 2 – Fundação: assistentes;
Nível 3 – Focal: seniores e supervisores;
Nível 4 – Integração: gerentes;
Nível 5 – Aconselhamento: sócio de auditoria;
13.
4.1 Fundamentos de controle internos em
SI:
Conforme Instituto Americano de Contadores
Públicos: “planos organizacionais e conjuntos de
métodos e medidas adotados numa empresa, a
fim de salvaguardar o ativo, verificar a exatidão e
veracidade registros contábeis, promover
efetividade de SI e eficiência operacional ”;
14.
4.1.1 Controles internos em PED, princípios
e objetivos:
Supervisão;
Registro e comunicação;
Segregação de funções;
Classificação de informação;
Tempestividade;
Auditoriabilidade;
16.
4.1.1.1 Tipos de controle:
Controles administrativos e gerências - controles
que possuem a separação de funções ou
responsabilidades;
Controles de segurança e privacidade;
▪ Propriedades:
SIGILO,
INTEGRIDADE,
DISPONIBILIDADE,
CONTABILIDADE
e
AUDITORIABILIDADE;
17.
4.1.1.1 Tipos de controle:(II)
Controles de preparação e captação de dados –
controle que é exercido no começo de cada
atividade de processamento de dados;
Controles de entrada de dados – controle de
inputs (entrada) de dados, que visa reduzir
dúvidas que possam existir no ponto de entrada;
Controles de processamento – são programados e
construídos no computador de forma segura;
18.
4.1.1.1 Tipos de controle:(III)
Controles de saída e de emissão de relatórios –
procedimentos de manuseio de output;
Controles de gravação e recuperação de dados –
este controle certifica a integridade de dados
recebidos dentro da data-base e qualquer
indivíduo que pode acessá-lo com o mínimo
esforço;
19.
4.2 Avaliação dos procedimentos
controles internos e avaliações:
de
Trabalho executado pelo auditor que tenha
habilidade em TI
4.3 Análise de risco de avaliação de sistema
de controle interno:
Metodologia adotada pelos auditores de TI para
saber, com antecedência, quais ameaças puras ou
prováveis em um ambiente de TI de uma
organização;
20.
5.1 Ferramentas:
Auxiliam na extração, sorteio, seleção de dados e
transações;
5.1.1 Software generalista de auditoria de TI:
ACL
IDEA
Audimation
Galileo
Pentana
21.
5.1.2 Softwares especializados de auditoria:
programa desenvolvido especificamente;
5.1.3 Programas utilitários:
Geralmente banco de dados: SQL, Dbase 2, etc.
5.2 Técnicas:
Variadas metodologias que são chamadas de
técnicas, que proporcionam várias vantagens:
produtividade, custo, qualidade assegurada, valor
agregado, benefícios corporativos e benefícios
para o auditor.
22.
5.2.1 Dados de teste:
Conhecido por test data ou test deck, envolve um
conjunto de dados de entrada especialmente
preparados com objetivos de testar os controles
programados e controles de sistema aplicativo;
5.2.2 Facilidade de teste integrado:
Conhecida por Integrated Test Facility(ITF), ela usa
dados de testes integrados aos ambientes reais de
processamento utilizando-se versões correntes da
produção.
23.
5.2.3 Simulação paralela:
Envolve o uso de um programa especialmente
desenvolvido que atenda as lógicas necessárias
para um aplicativo devidamente testado.
5.2.4 Lógica de auditoria embutida nos
sistemas:
Envolve a inclusão de lógicas de auditoria nos
sistemas quando são desenvolvidos.
24.
5.2.5 Rastreamento e mapeamento:
Envolve desenvolvimento e implementação de
uma trilha de auditoria para acompanhar certos
pontos da lógica de processamento de algumas
transações;
5.2.6 Análise lógica de programação:
Técnica que envolve verificação da lógica de
programação para certificar que instruções dadas
ao computador são as mesmas já identificadas
nas documentações dos sistemas e aplicativos;
25.
5.3 Aplicação de técnica de auditoria
assistida por computador (TAAC):
5.4 Documentação dos papéis de trabalhos
TAAC:
Deve
conter informações suficientes para
descrever testes e conclusões. São por exemplo:
planejamento, execução e evidenciação;
26.
6.1 Introdução:
Controles
organizacionais – são controles
administrativos instalados nos processos de fluxo
de transações econômicas;
6.2 Políticas Organizacionais:
Políticas de responsabilidades;
Política de continuidade de negócios (Business
Continuity Plan - BCP);
27.
6.3 Descrição de Cargos:
Supervisão de infraestrutura de TI;
Administração de redes;
Administração de banco de dados;
Administração de dados;
Administração de segurança;
Análise, programação e manutenção de sistemas;
Design para WEB;
28.
6.3 Descrição de Cargos:(II)
Operador de console;
Operadores de conversão de dados;
Bibliotecários;
Suporte técnico;
Supervisão de Help desk;
Grupo de controle de dados;
Supervisão de Restart/Recovery;
29.
6.4 Objetivos de auditoria:
O principal objetivo de auditoria de controles
organizacionais de área de informática é testar a
grande essência de controle interno, promover
eficiência das operações e fomentar maior adesão
às políticas prescritas pela gerência com maios
foco na responsabilidade;
6.5 Programa de auditoria – Controle
Organizacionais e Operacionais;