Tecnologia e Segurança da Informação no trabalho de auditoria

Transcrição

1 Tecnologia e Segurança da Informação no trabalho de auditoria Cesar Morales CIA, CISA, CCSA Diretor de Auditoria de TI e Projetos Especiais Walmart

2 Tópicos Processos de Auditoria e a tecnologia Pesquisa Global de Auditoria Interna O que está por vir Próximos Passos

3 Processos de Auditoria

4 Pesquisa Global de Auditoria Interna

5 Pesquisa Global de Auditoria Interna

6 Pesquisa Global de Auditoria Interna

7 CAATS 1220.A2 No exercício do zelo profissional devido, os auditores internos devem considerar a utilização de auditoria baseada em tecnologia e outras técnicas de análise de dados.

8 CAATS Ferramentas mais usadas Necessidade Capacidade de processamento Rastreabilidade Facilidade de uso Técnicas de análise mais comum Seleção estatística e aleatória GAPs, Duplicidades Sumarização, Classificação, Filtros Relacionamentos, Associações, Cáculos, Lógicas

9 Desafios Dependência de TI para: CAATS Acesso aos dados Identificação das informações Integridade dos dados Restrições Orçamentárias

10 CAATS Exemplos de análises Duplicidades de Pagamentos Notas fiscais sem o pedido associado Compras de mercadorias para estoque sem giro

11 Workpapers Eletrônicos Auditores devem documentar: planejamento do trabalho de auditoria (2200) entendimento com o cliente para trabalhos significativos de consultoria (2201.C1) programas de trabalho (2240) informações relevantes para suportar às conclusões e resultados do trabalho de auditoria (2330). informações suficientes para cumprir o trabalho de auditoria (2340)

12 Workpapers Eletrônicos Executivo chefe deve: Controlar acesso aos registros do trabalho (2330. A1) Desenvolver requisitos de retenção das informações (2330.A2) Desenvolver políticas para custódia, retenção e liberação para partes internas e externas (2330.C1) Assegurar que a evidência apropriada da supervisão seja documentada e mantida (2340)

13 Workpapers Eletrônicos Base de dados centralizada Registro das revisões/supervisão Restrição de acesso Facilidade na implementação de políticas de retenção e cópias de segurança Informações para medição da perfomance do trabalho e auditores Trabalho remoto

14 Workpapers Eletrônicos

15 Auditoria Contínua/real-time Definição dos indicadores Entendimento do ambiente tecnológico Definição da solução Mapeamento das bases de dados Extração dos dados Definição e implementação das regras para análise Construir um painel com os resultados

16 Auditoria Contínua/real-time

17 Auditoria Contínua/real-time Desafios Acesso e identificação das bases de dados Integridades dos dados Performance dos sistemas Gestão de mudança Atualização das regras de negócio

18 Data Mining processo de extração de conhecimento de grandes bases de dados, convencionais ou não. procuram relações de similaridade ou discordância entre dados. propósito de transformar dados, aparentemente ocultos, em informações úteis para a tomada de decisão e/ou avaliação de resultados.

19 Data Mining

20 Plano de Auditoria Baseado em Risco Executivo chefe deve: estabelecer um planejamento baseado em riscos para determinar as prioridades da atividade de auditoria interna, de forma consistente com as metas da organização (2010). documentar a avaliação de risco (2011.A1) Auditores devem: conduzir uma avaliação preliminar dos riscos (2210.A1)

21 Plano de Auditoria Baseado em Risco Auditores devem: Avaliar o potencial de ocorrência de fraude (2120.A2) Endereçar os riscos de forma consistente (2120.C1) Avaliar a adequação e eficácia dos controles em resposta aos riscos (2130.A1)

22 Plano de Auditoria Baseado em Risco

23 Follow up

24 Control Self Assessment

25 Forense

26 Preservação dos dados Fonte: SegInfo IV Workshop de Segurança da Informação

27 Administrativo

28 Administrativo Ferramentas para comunicação (Ex: Sharepoint, Voip, Communicator, etc) Definição e monitoramento de indicadores da auditoria

29 O que está por vir?

30 Tendências de Tecnologia Mobilidade e mídia para os Tablets Interface e aplicações para suportar a mobilidade Redes Sociais e tecnologias contextuais Internet das coisas Lojas online de aplicações Fonte: Gartner -

31 Tendências de Tecnologia Next generation Analytics Big data Computação em memória Servidores com consumo extremamente baixo de energia Computação na Nuvem Fonte: Gartner -

32 Próximos Passos Avaliar o atual uso da tecnologia Efetuar o inventário das ferramentas Desenvolver planos e estratégias para alavancar o potencial da tecnologia e manter atualizado com os avanços tecnologicos Criar parcerias com a área de TI

33