Auditoria de Sistemas. UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima

Transcrição

1 Auditoria de Sistemas UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima

2 Auditoria É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certo objetivos e política institucionais, orçamentos, regras, normas ou padrões. Dividida em 3 fases: planejamento, execução e relatório

3 Objeto Campo Período Área de Verificação Natureza Âmbito

4 Objeto: a própria entidade completa, apenas uma parte dela ou uma função dessa Período: um mês, um ano ou até mesmo o período completo da gestão de um determinado administrador Natureza: operacional, financeira ou de legalidade

5 Termos importantes Controle É a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos, ou sobre produtos, para que tais atividades ou produtos, não se desviem das normas preestabelecidas. Pode ser classificado em 3 tipos

6 Controles preventivos Usados para prevenir erros, omissões ou atos fraudulentos (por exemplo, senhas de acesso a um determinado sistema). Controles detectivos Usados para detectar erros, omissões ou atos fraudulentos e ainda relatar sua ocorrência (por exemplo, softwares de controle de acesso e relatórios de tentativas de acesso não autorizado a um determinado sistema).

7 Controles corretivos Usados para reduzir impactos ou corrigir erros uma vez detectados (por exemplo, planos de contingências). Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados. Esses objetivo de controle, para serem alcançados na prática, são traduzidos em diversos procedimentos de auditoria.

8 Os procedimentos de auditoria formam um conjunto de verificações e averiguações que permite obter e analisar as informações necessárias à formulação da opinião do auditor. Em geral são listas de pontos a serem verificados durante a auditoria. O estabelecimento desses procedimentos antes de iniciar a execução propriamente dita da auditoria, é uma prática altamente recomendável pois proporciona um aumento de produtividade e de qualidade do trabalho do auditor.

9 Os achados de auditoria são fatos significativos observados pelo auditor durante a execução da auditoria. Para que conste do relatório, o achado deve ser relevante e baseado em fatos e evidência irrefutáveis.

10 Os papéis de trabalho são registros que evidenciam atos e fatos observados pelo auditor. Esses registros podem estar sob a forma de documentos, tabelas, planilhas, listas de verificações, arquivos informatizados,... Esses documentos dão suporte ao relatório de auditoria, pois contêm o registro da metodologia adotada, procedimentos, verificações, fontes de informação, teste, enfim, todas as informações relacionadas ao trabalho de auditoria executado.

11 Já na fase de relatório, são feitas as recomendações de auditoria. Essas recomendações são medidas corretivas possíveis, sugeridas pela instituição fiscalizadora ou pelo auditor em seu relatório, para corrigir as deficiências detectadas durante a auditoria.

12 Natureza da Auditoria Quanto ao Órgão fiscalizador Auditoria Interna Auditoria Externa Auditoria Articulada Trabalho conjunto de auditorias internas e externas, devido à superposição de responsabilidades dos órgãos fiscalizadores, caracterizado pelo uso comum de recursos e comunicação recíproca dos resultados.

13 Quanto à Forma de Abordagem do Tema Auditoria horizontal Auditoria com tema específico realizada em várias entidades ou serviços paralelamente Auditoria orientada Auditoria focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes.

14 Quanto ao Tipo ou Área Envolvida Auditoria de programas de governo Auditoria do planejamento estratégico Auditoria administrativa Auditoria contábil Auditoria financeira Auditoria de legalidade Auditoria operacional Auditoria integrada Auditoria da Tecnologia da Informação

15 Auditoria da Tecnologia da Informação A auditoria da tecnologia da informação é um tipo de auditoria operacional, isto é, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade.

16 Dependendo da área de verificação escolhida pelo auditor, esse tipo de auditoria pode abranger o ambiente de informática como um todo[1] ou a organização do departamento de informática[2]. Pode ainda envolver controles sobre banco de dados, redes de comunicação e de microcomputadores e controles sobre os aplicativos (desenvolvimento de sistemas, entrada, processamento e saída de dados). [1] analisando aspectos que influenciam a segurança dos outros controles, como segurança física e lógica, planejamento de contingências e operação do centro de processamento de dados [2] analisando aspectos administrativos da organização, tais como, políticas, padrões e procedimentos, responsabilidades organizacionais, gerência de pessoal e planejamento de capacidade

17 Sub-áreas de auditoria em ambientes informatizados Auditoria da segurança de informações - avaliação da política de segurança; - controles de acesso lógico; - controles de acesso físico; - controles ambientais; - plano de contingência e continuidade de serviços.

18 Auditoria da tecnologia da informação - organizacionais; - de mudanças; - de operação dos sistemas; - sobre banco de dados; - sobre microcomputadores; - sobre ambientes cliente-servidor.

19 Auditoria de aplicativos - Controles sobre o desenvolvimento de sistemas aplicativos; - Controles de entrada, processamento e saída de dados; - Controles sobre conteúdo e funcionamento do aplicativo, com relação à área por ele atendida.

20 Equipe de Auditoria Conhecimentos Necessários Segundo padrões internacionais de auditoria, o auditor deve ter conhecimento suficiente de sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado. Cabe ao auditor avaliar se será necessário um nível de conhecimento mais especializado e aprofundado para a realização da auditoria.

21 Quanto mais técnico e complexo o sistema ou o ambiente de informática, maior a necessidade de incluir na equipe profissionais de maior competência técnica. Dependendo da complexidade pode ser avaliada a hipótese de se contratar, no mercado, mão-de-obra especializada.

22 Composição da Equipe Três opções: - contratar consultoria externa; - desenvolver a capacidade técnica em informática de auditores com formação básica em contabilidade e auditoria; - desenvolver tecnicamente, em auditoria, funcionários com formação em análise de sistemas, processamento de dados, engenharia de software, ciência da computação...

23 Contratando Consultoria Externa Deve-se comparar o custo-benefício, comparando a alternativa caseira (utilizando mão-de-obra interna e investindo em seu treinamento) e a consultoria. Dependendo do caso os serviços da consultoria podem ser utilizados em tarefas específicas em uma auditoria, apenas naqueles pontos em que seus conhecimentos sejam realmente indispensáveis, por não haver auditor especializado naquela área em particular, na própria equipe.

24 A possibilidade de contratação de serviços externos de auditoria deve ser considerada desde as primeiras fases do planejamento da auditoria. A partir do momento em que são definidos o campo da auditoria, seu âmbito e as sub-áreas a serem auditadas, deve-se avaliar se a equipe interna tem condições de realizar o trabalho ou não, levando em conta a possibilidade de treinamento específico.

25 Dois tipos de consultoria externa: - Firma ou organização especializada em auditoria. - Profissional ou grupo de profissionais envolvidos em pesquisas ou atividades acadêmicas na área a se auditada, especializados em determinadas técnicas e ferramentas de auditoria, ou com especialização no objeto da auditoria.

26 Durante a auditoria é recomendável a transferência de conhecimentos entre os consultores e os outros membros da equipe, visando a capacitação dos auditores da empresa para realizarem auditorias semelhantes no futuro. Ao final do trabalho é importante avaliar seus resultados em uma discussão franca entre consultores externos, membros da equipe de auditoria, coordenador e gerência da organização contratante.

27 Geralmente são comparados os objetivos esperados e os resultados alcançados, o orçamento previsto e o custo real, os prazos estimados e real, e os níveis de qualidade esperado e alcançado.

28 Capacitando auditores para atuarem como Auditores de Sistemas Capacitar auditores em informática é uma tarefa bastante árdua, pois uma formação sólida em sistemas geralmente só pode ser conseguida com anos de estudos, treinamento ou experiência prática e aprimoramento contínuo, já que as tecnologias estão sempre avançando nesse campo.

29 Capacitando Profissionais de Informática em Auditoria Com o aumento da complexidade dos sistemas computacionais, o uso de softwares como ferramentas de apoio à auditoria e o desenvolvimento da área de segurança de informações, a capacitação de profissionais de informática em auditoria torna-se uma alternativa mais natural do que a apresentada anteriormente. O potencial do profissional de informática (suas habilidades, experiência e conhecimentos técnicos) deve ser avaliado, assim como sua capacidade de adaptação à nova função de auditor de sistemas.

30 Organização da Equipe Especializada Dada a complexidade e a extensão dos conhecimentos necessários em auditoria da tecnologia da informação, dificilmente uma única pessoa deterá todos esses conhecimentos. É comum encontrar, em equipes de auditoria da TI de várias organizações, auditores com formação e especialização em diferentes áreas.

31 Planejamento de Atividades Plano Estratégico de Longo Prazo É estabelecido, normalmente, para um período de 3 a 5 anos, devendo ser revisado anualmente. Seus objetivos são mais amplos, atingem toda a instituição e são aprovados pele gerência superior. Define as metas da gerência de auditoria da TI, seu modo de atuação, os recursos necessários (pessoal, equipamento e financeiros) e as necessidades de treinamento.

32 Plano Estratégico de Médio Prazo Traduz o plano de longo prazo em um programa de atividades para o ano que se inicia. Normalmente aprovado pela gerência intermediária. Define os objetivos macro das principais auditorias do próximo ano e é flexível para aceitar as alterações necessárias

33 Plano Operacional Baseia-se em auditorias individualizadas e contém detalhes exatos dos objetivos a serem atingidos, as áreas a serem auditadas, os recursos necessários e em que prazo, os objetivos de controle e os procedimentos de auditoria a serem seguidos.

34 Planejamento e Execução Pesquisa de Fontes de Informação A equipe deve reunir a maior quantidade possível de informações sobre a entidade auditada e seu ambiente de informática (plataforma de hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento, principais sistemas,...). Com essas informações poderá esboçar seu plano de auditoria e partir para a fase de delimitação dos trabalhos.

35 Saber com antecedência o tipo de ambiente computacional com o qual o auditor vai se deparar, é sem dúvida, bastante vantajoso, já que haverá mais tempo para se preparar tecnicamente ou para incluir um especialista na equipe. As principais fontes de informação sobre a entidade auditada são relatórios de auditorias anteriores, base de dados, documentos ou páginas da entidade na Internet, notícias veiculadas na imprensa, visitas anteriores à entidade e relatórios da auditoria interna.

36 Definindo Campo, Âmbito e Sub-áreas De posse das informações sobre a entidade e seu ambiente computacional, a equipe de auditoria delimita sua atuação definindo o campo, o âmbito e as sub-áreas na serem auditadas.

37 Área de Verificação Backup Campo Âmbito Avaliação da eficácia dos controles Objeto Segurança de Informações da empresa. Período De 01/01/2004 a 19/06/2004 Natureza Auditoria da TI Controles de acesso lógico Controles de acesso físico

38 Após a definição da áreas e sub-áreas a serem auditadas, o auditor retorna à fase de pesquisa para relacionar as fontes de consulta especializadas necessárias durante a auditoria, tais como livros técnicos, manuais de auditoria, artigos especializados, sites na Internet especializados em segurança ou outras áreas específicas de informática.

39 Evitando Falsas Expectativas Antes de iniciar a execução propriamente dita da auditoria, é recomendado que a equipe sempre discuta e defina claramente com sua gerência, o campo da auditoria, o grau de profundidade de suas verificações e o nível de capacitação técnica e profissional necessário para auditar as sub-áreas escolhidas.

40 Definindo os Recursos necessários - Recursos humanos - Recursos econômicos - Recursos técnicos

41 Metodologias Vária metodologias podem ser utilizada em uma auditoria tecnologia da informação, desde uma simples observação, em visita à entidade, até entrevista com sues funcionários e dirigentes e uso de técnicas ou ferramentas de apoio.

42 Entrevistas Entrevista de apresentação É recomendável que a equipe de auditoria, no início de seus trabalhos de campo, faça um entrevista de apresentação com os dirigentes da entidade auditada. Essa entrevista deve ser objetiva e transcorrer em um clima tranqüilo e profissional, dentro do tempo estipulado.

43 Em geral, nessa entrevista são apresentados todos os membros da equipe, o cronograma de atividades, os objetivos da auditoria, as áreas a serem auditadas, o período de execução dos trabalhos e as metodologias que serão adotadas. Normalmente é solicitada a cooperação do auditado, assim como acomodações adequadas para a equipe (sala, mesa, armário,...), durante a execução dos trabalhos de campo. Geralmente é mostrada a estrutura do relatório, para que a instituição tenha uma noção do que será apresentado como resultado da auditoria.

44 Entrevista de Coleta de Dados Durante a auditoria podem ser feitas entrevistas com gerentes e funcionários do departamento auditado, com intuito de coletar dados sobre os sistemas ou ambiente de informática. Nessa entrevistas podem ser identificados os pontos fortes de controle, as falhas e possíveis irregularidades. A equipe de auditoria, de forma alguma, deve coagir o entrevistado. É importante que a interação entre auditores e entrevistados seja a melhor possível.

45 O entrevistado deve saber de antemão de que forma serão utilizadas suas declarações. A equipe deve confirmar os fatos relatados e, de preferência, apresentar ao entrevistados, antes da revisão final do relatório, partes do texto referentes a assuntos tratados com ele durante a entrevista. Com isso evita-se qualquer mal-entendido ou desvios de interpretação do que foi dito por cada entrevistado.

46 Entrevistas de Discussão das Deficiências Encontradas Ao término das investigações, é comum serem apresentadas, aos responsáveis de cada área auditada, as deficiências encontradas. Nessas entrevistas os responsáveis podem discutir abertamente os pontos críticos e apresentar justificativas para tais falhas. Dependendo da justificativa dada, a falha correspondente pode ser desconsiderada ou a própria justificativa pode ser incluída no relatório de auditoria. Dessa forma interativa, a equipe de auditoria dá oportunidade ao auditado de expor seus pontos de vista.

47 Entrevista de Encerramento Ao final dos trabalhos de auditoria, a equipe se reúne novamente com os dirigentes da entidade auditada. Nessa ocasião, são feitos agradecimento à colaboração da direção e seus funcionários e são relembrados os objetivos da auditoria. A equipe apresenta um resumo dos resultados da auditoria (pontos fortes e falhas encontradas mais relevantes), comentários adicionais e recomendações para correção das falhas. Por fim, se dispõe a esclarecer dúvidas e entrega o relatório.

48 Uso de técnicas ou Ferramentas de Apoio (CAATs) O termo CAATs (Computer Assisted Audit Techniques) define uma série de técnicas reconhecidamente úteis na execução de auditorias, as quais podem ser divididas em três categorias básicas: técnicas para análise de dados, técnicas para verificação de controles de sistemas e outras ferramentas.

49 Técnicas para análise de dados Os dados do auditado podem ser coletados e analisados com o auxílio de softwares de extração de dados, amostragem, de análise de logs e módulos ou trilhas de auditoria embutidas nos próprios sistemas aplicativos da entidade.

50 Técnicas para verificação de Controles de Sistemas Essas técnicas permitem ao auditor testar a efetividade dos controles dos sistemas do auditado. Pode-se analisar sua confiabilidade e ainda determinar se estão operando corretamente a ponto de garantir a fidedignidade dos dados. Dentre as técnicas mais utilizadas, pode-se citar: massa de dados de teste, simulações, software de comparação de programas, mapeamento e rastreamento de processamento.

51 Outras Ferramentas Nessa categoria se encontram os editores de texto, planilhas eletrônicas, banco de dados e softwares para apresentações.

52 Objetivos de Controle e Procedimentos de Auditoria Enquanto os objetivos de controle abrangem um área mais ampla, os procedimento de auditoria descrevem padrões individualizados, mais detalhados, dentro de cada objetivo de controle.

53 Por exemplo, na área de segurança, um dos objetivos pode ser o estabelecimento de regras para acesso aos recursos computacionais. Alguns procedimentos de auditoria relacionados a esse objetivo poderiam ser: verificar se há documento formal que justifique a necessidade do usuário para acessar determinados recursos computacionais; ou verificar se existem procedimentos que definam os recursos computacionais que poderão ser acessados e os tipos de transações que poderão ser executadas por cada usuário autorizado.

54 Execução Ao longo da execução da auditora, a equipe deve reunir evidências suficientemente confiáveis, relevantes e úteis para a consecução dos objetivos da auditoria. Os achados de auditoria e as conclusões da equipe devem ser suportados pela correta interpretação e análise dessa evidências.

55 As evidências podem ser divididas em 4 tipos: - Evidência Física - Evidência Documentária - Evidência Fornecida pelo auditado - Evidência Analítica Nem todas as evidências são investigadas detalhadamente e descritas no relatório final.

56 Relatório O auditor normalmente apresenta seus achados e conclusões na forma de um relatório escrito, o qual inclui fatos sobre a entidade auditada, comprovações, conclusões e, eventualmente, recomendações e/ou determinações. A linguagem deve ser clara, objetiva e simples, evitando-se o uso de jargões técnicos ou siglas.

57 Relatórios Preliminares A apresentação desses relatórios intermediários evita quaisquer constrangimentos, erros ou inconsistências, que poderão ser identificados, corrigidos ou eliminados antes da apresentação do relatório final.

58 Relatório Final Deve ser revisado por todos os membros da equipe de auditoria com intuito de verificar sua conformidade com os padrões e práticas da organização auditoria e a inexistência de inconsistências, erros ou lacunas.

59 Estrutura Dados da Entidade Auditada Síntese Dados da Auditoria Introdução Falhas detectadas Conclusão Pareceres da Gerência Superior