PROJETOS DE AUDITORIA DE TI

Documentos relacionados
SISTEMA DE GESTÃO AMBIENTAL AULA 13 AUDITORIA DE SISTEMAS

FORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO

AUDITORIAS AUDITORIAS

Treinamento 2015 Módulo 4

Curso EAD. Formação de Auditores com base na norma NBR ISO 19011: /12/18

Primeira Edição: 23/08/2010 Página 1 de 6 Revisão 02 AUDITORIA INTERNA PROCEDIMENTO

Curso e- Learning. Formação de Auditores Internos do Meio Ambiente NBR ISO 14001, com base na NBR ISO 19011

Tradução livre Uso Exclusivo em Treinamento

Auditoria. Controle de Qualidade. Professor Marcelo Spilki.

6.5 Conduzindo atividades de auditoria no local Conduzindo a reunião de abertura

PADRÃO DE GESTÃO. Aplica-se aos colaboradores do IHEF Medicina Laboratorial contemplados no SGQ.

SISTEMA DE GESTÃO DA QUALIDADE

Curso Capacitação de Auditores

Ética Conduta Respeito Confiabilidade Responsabilidade

AUDITORIA AMBIENTAL Norma ISO 19011

Procedimento C 11 Certificação de Sistemas de Gestão Informações Públicas

Qualidade: reflexões e críticas

AUDITORIA. Conceito de auditoria

NBR ISO Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental

Modeloo de Estatuto do Comitê de Auditoria

SISTEMA DE GESTÃO DE SEGURANÇA, MEIO AMBIENTE E SAÚDE OCUPACIONAL

Fundamentos em auditoria

7. Competência e avaliação de auditores 7.1 Generalidades

Auditorias a Sistemas de Gestão na Construção com base na norma NP EN ISO 19011:2011

AUDITORIAS AUDITORIAS PROCESSO

2. Gerenciamento do Serviço de Auditoria

AUDITORIAS DE SISTEMAS DE GESTÃO

07/06/2015 Imprimir Auditorias de Qualidade e/ou Ambiente preparação e... Gestão Ambiental Naturlink

MÓDULO CONTROLE DE REGISTROS 4.14 AUDITORIAS INTERNAS ANÁLISE CRÍTICA PELA DIREÇÃO

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

A auditoria baseia-se em amostragem. número de registro governamental

Auditoria Trabalhos Especiais Principais Aspectos de Aplicação Prática. Cristiano Seguecio 21/10/2015

Competências de um auditor. Competências de um auditor. Competências de um auditor. Competências de um auditor 13/03/2017

GUIA DE CONDUTA NA AUDITORIA

PSGQ 006 Transferência, Suspensão, Cancelamento, Extensão e Redução de Escopo de Certificação

Correlações: Artigo 4 e Anexo II alterados pela Resolução CONAMA nº 381/06

PROCEDIMENTO OPERACIONAL PADRÃO

RECLAMAÇÕES, APELAÇÕES E SUGESTÕES DE MELHORIAS

GERENCIAMENTO DE PROJETOS. Prof. Glauco Carvalho

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Auditoria de Meio Ambiente da SAE/DS sobre CCSA

Capítulo 5 Gerenciamento do Escopo do projeto. Introdução. Antes de iniciarmos vamos pensar um pouco.

Certificação de grupo de produtores orgânicos Passo a passo

Treinamento Módulo 2 Auditoria ISO

GUIMAR ENGENHARIA LTDA

Certificação Fair Trade Passo a passo

CHECK-LIST ISO 14001:

REGULAMENTO DA AUDITORIA INTERNA CORPORATIVA

P- 06 TRATAMENTO DE APELAÇÃO E RECLAMAÇÃO

Atuar no planejamento e execução das Auditorias da Qualidade. Estabelecer lista de verificação para auditoria;

Formação Técnica em Administração. Modulo de Padronização e Qualidade

Módulo 7 Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 8.1, 8.2 e 8.3

O ciclo de vida do projeto

Auditorias ISO âmbito. Termos e definições. João Noronha ESAC 2013/2014. Linhas de orientação para auditoria a sistemas de gestão

Módulo 5 Requisito 8 Validação, verificação e melhoria do Sistema de Gestão da Segurança de Alimentos Etapas para implementação do APPCC e da ISO

Estágio 2 Auditoria de Certificação. Plano de Ações. Follow up. Emissão do Certificado

Certificação Ingredientes Naturais Passo a passo

Procedimento Geral para Certificação de Sistema de Gestão da Qualidade

01 de agosto de 2017 Observação: 1.1. Avaliação Inicial para Certificação

Norma 2110 Governança

Revisão 12 Página 1/8 Emissão Fev/2016

AULA 02 Qualidade em TI

Grupos de Processos de Gerenciamento de Projetos

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

AUDITORIAS DA QUALIDADE

RECLAMAÇÃO, APELAÇÃO E SUGESTÃO PARA MELHORIA

Lista de Verificação de Auditorias Internas do SGI - MA - SST

Transferência de Certificação Acreditada de Sistemas de Gestão

Sistema de Gestão da Qualidade

GERENCIAMENTO DAS AQUISIÇÕES DO PROJETO

Certificação de Sistemas de Gestão

PROJETO INTEGRADO AULA 4 INTEGRAÇÃO E ESCOPO

Gerencial Industrial ISO 9000

Realização de Auditorias

LISTA DE VERIFICAÇÃO

Agenda. Projeto Projeto Manhattan. Considerado o 1º projeto com gerenciamento estruturado.

TÍTULO: APELAÇÕES E RECLAMAÇÕES HISTÓRICO DAS ALTERAÇÕES

Utilização do Trabalho de Auditoria Interna

PROCEDIMENTO DE SISTEMA AUDITORIA INTERNA DA QUALIDADE

Certificação e Auditoria Ambiental

Gerenciamento da Integração de Projetos. Parte 03. Gerenciamento de Projetos Espaciais CSE-301. Docente: Petrônio Noronha de Souza

CAPÍTULO 1 - GERAL ESCOPO CRITÉRIOS TERMINOLOGIA... 3 CAPÍTULO 2 DEFINIÇÃO DE CONTRATO APLICAÇÃO...

ALC- AMÉRICA LATINA CERTIFICAÇÕES

Transcrição:

PROJETOS DE AUDITORIA DE TI Elaborado pelo professor André Campos Uma visão mais ampla sobre segurança da informação poderá ser obtida no livro Sistema de Segurança da Informação Controlando os riscos, de André Campos, Editora Visual Books.

PROJETOS DE AUDITORIA DE TI Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação. O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos. Este material não pode ser vendido. Seu uso é permitido sem qualquer custo. Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI. Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos". Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro. Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.

Iniciando a auditoria A auditoria é conduzida por um líder, ou auditor líder, que é designado pelo gerente responsável pelo programa de auditoria. Quando acontecem auditorias conjuntas é importante que as organizações envolvidas na auditoria cheguem a um consenso quanto a que será o auditor líder e qual será sua autoridade sobre a equipe de auditoria, que neste caso será mista. Não podem haver dois auditores líderes para a mesma auditoria.

Iniciando a auditoria Ca deve possuir uma definição dos objetivos, escopo e critério de auditoria, documentados. Os objetivos podem ser: 1 Avaliação de conformidade (compliance); 2 Avaliação da capacidade do Sistema de Gestão; 3 Avaliação da eficácia do Sistema de Gestão; 4 Identificação de áreas do Sistema de Gestão para potencial melhoria.

Iniciando a auditoria O escopo determina a abrangência e os limites, envolvendo inclusive os limites físicos, da estrutura hierárquica formal ou informal, dos processos, e do período de auditoria. O critério de auditoria é a referência contra a qual a conformidade será determinada, podendo ser políticas, normas, procedimentos, leis, regulamentos, requisitos do Sistema de Gestão, requisitos contratuais, entre outros.

Iniciando a auditoria Os objetivos são definidos pelo cliente, e o escopo e critério de auditoria são acordados entre o cliente e o auditor líder. Qualquer eventual mudança de objetivos, escopo ou critério após o início, deve ser devidamente documentado e assinado pelo cliente e pelo auditor líder. Nos casos de auditorias combinadas é especialmente importante que o auditor líder garanta que os objetivos, escopo e critério sejam adequados para a auditoria em questão.

Iniciando a auditoria É importante, antes de executar um projeto de auditoria, determinar a viabilidade deste projeto. Existem informações suficientes para suportar a auditoria? O auditado está disposto a cooperar ou é resistente ao processo? O tempo e os recursos planejados são realmente suficientes? Não vale a pena começar um projeto que não poderá ser concluído. O cliente, o auditado e o auditor líder devem garantir a viabilidade.

Iniciando a auditoria Após o estudo de viabilidade, o próximo passo é definir a equipe de auditores. É importante que a equipe, coletivamente, possua os conhecimentos e as habilidades necessárias para conduzir a auditoria em questão. Devem ser considerados aspectos tais como: a) objetivos, escopo e critério ; b) se a auditoria é simples, combinada ou conjunta; c) requisitos legais, regulamentares, certificações, etc; d) a garantia de independência e imparcialidade; e) bom relacionamento inter-pessoal do grupo); f) o idioma, se for o caso.

Iniciando a auditoria Se a equipe de auditores não for suficiente para garantir o conjunto de conhecimentos e habilidades necessárias, será necessário convidar (contratar) especialistas que atendam a esta demanda. Membros da equipe poderão ser substituídos a pedido do cliente ou do auditado, caso haja conflito de interesses ou relato de conduta inapropriada de um dos auditores ou especialistas.

Iniciando a auditoria No início, é adequado que o contato inicial com o cliente seja estabelecido de maneira formal (apesar de não ser obrigatório), onde são definidos: a) Canais de comunicação; b) Confirmar a autoridade; c) Detalhamento do projeto de auditoria; d) Solicitação de acessos a informação; e) Definição das regras de segurança física e lógica pertinentes; f) Explicitar se haverão observadores e e guias.

Análise crítica de documentos Na fase de execução, antes das atividades no local, é importante fazer uma análise crítica dos documentos, que podem incluir documentos e registros específicos do Sistema de Gestão e relatórios de auditorias anteriores. No caso da ISO 27.001 é importante avaliar o documento de definição de escopo e a declaração de aplicabilidade, além do registro de incidentes de segurança da informação.

Análise crítica de documentos Caso a documentação não se encontre nas condições mínimas necessárias para o início, é provável que a auditoria seja interrompida até que a documentação seja providenciada. Esta decisão deve ser tomada entre o auditor líder e o cliente.

Preparando atividades no local O auditor líder deve apresentar para o cliente e para o auditado um plano de auditoria, que sirva de base central para a comunicação entre todos os participantes e interessados no projeto. Este plano deve ser detalhado e dar uma idéia clara do escopo, do tempo, dos recursos e dos resultados esperados par ao projeto. Uma prática adequada é construir um cronograma do projeto que inclua todas estas informações. Uma ferramenta muito utilizada é o MS Project.

Preparando atividades no local O plano de auditoria deve conter pelo menos as seguintes informações: 1 Os objetivos ; 2 O critério de auditoria selecionado; 3 O escopo ; 4 As datas e locais onde ocorrerão as atividades de auditoria; 5 O tempo estimado das atividades; 6 As funções e responsabilidades dos envolvidos;

Preparando atividades no local Continuação... 7 A alocação de recursos; 8 A identificação dos stakeholders (partes interessadas); 9 O idioma vigente para auditoria, se for diferente do idioma nativo; 10 As principais entregas, a serem apresentadas no relatório de auditoria; 11 Questões de logística (viajens, etc); 12 Termos de sigilo e confidencilidade; 13 Termos sobre ações de acompanhamento.

Preparando atividades no local É essencial que o plano de auditoria seja avaliado pelos principais envolvidos, ou seja, a equipe de auditoria, o cliente e o auditado. O cliente deverá expressar formalmente sua aprovação para o plano de auditoria, através de um documento assinado por ele. Eventuais alterações no plano de auditoria deverão ser aprovadas novamente, também de maneira formal.

Preparando atividades no local O auditor líder, conhecendo melhor o auditado, tendo analisado os documentos da organização ou área, tendo avaliado a viabilidade, e tendo elaborado o plano de auditoria, agora tem totais condições de dividir o trabalho para sua equipe. Ele considerará a competência de cada auditor frente à demanda de cada tarefa, além de observar a questão da independência dos auditores.

Preparando atividades no local O auditor líder conduzirá sua equipe na preparação dos documentos para trabalho. Este documentos são compostos basicamente de listas de verificação (check-lists) e eventualmente formulários para o registro de informações de suporte, tais como evidências e constatações, entre outros. Os documentos de trabalho devem ser preservados, pelo menos, até a conclusão da auditoria.

Conduzindo projeto de auditoria A reunião de abertura é importante, e deve ser conduzida com a alta direção da organização auditado e envolver as lideranças das áreas, funções e processos a serem auditados. Esta reunião tem os seguintes objetivos: 1 Confirmar o plano de auditoria; 2 Fornecer informações sobre como será conduzida a auditoria; 3 Confirmar os canais de comunicação; 4 Abrir espaço para perguntas.

Conduzindo projeto de auditoria A comunicação durante a auditoria é um fator chave de sucesso, e deve ser feita adequadamente. É impressionante o fato de que todos os envolvidos em projetos, de qualquer espécie, estão cientes da importância da comunicação. No entanto, um grande número de problemas ocorrem durante o projeto exatamente em decorrência de falhas ligadas a comunicação.

Conduzindo projeto de auditoria Um plano formal de comunicação precisa ser elaborado. Os stakeholders são identificados e comunicados do andamento, tanto no que se refere aos resultados positivos quanto aos resultados negativos. Problemas que estejam inviabilizando ou prejudicando a auditoria precisam ser levadas ao cliente imediatamente, para que as devidas providências sejam tomadas. Caso contrário, o inteiro projeto de auditoria poderá fracassar.

Conduzindo projeto de auditoria Caso, durante a auditoria, sejam encontradas falhas graves, que possam gerar prejuízo para a organização, devem ser comunicados imediatamente ao cliente e ao auditado, e não aguardar a conclusão para isso. Qualquer necessidade de mudança de escopo durante a auditoria, deve ser devidamente documentada e amplamente comunicada para todos os stakeholders.

Conduzindo projeto de auditoria É comum que as auditorias contem com observadores e guias. Estes indivíduos não devem interferir de maneira alguma na auditoria. O guia pode ser designado pelo auditado para cumprir as seguintes responsabilidades: 1 Estabelecer contados e programar visitas; 2 Organizar as visitas; 3 Garantir o respeito às normas e regras; 4 Testemunhar a auditoria; 5 Ajudar na coleta de informações.

Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério De acordo com os objetivos, escopo e critério, serão coletadas informações por amostragem. Isto inclui informações sobre funções, processos e atividades. Apenas informações verificáveis são válidas. Constatações Analisar criticamente Conclusões

Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Os métodos mais utilizados para a coleta de informações são: 1 Entrevistas; 2 Observação das atividades; 3 Análise de documentos. Constatações Analisar criticamente Conclusões

Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério As evidências serão avaliadas contra o critério de auditoria. Esta avaliação demonstrará conformidade ou não conformidade com o critério. As não conformidades serão oportunidades de melhoria. Constatações Analisar criticamente Conclusões

Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério A identificação das conformidades, não conformidades, e oportunidades de melhoria são chamadas de constatações. A equipe de auditoria, durante o projeto, deverá se reunir para avaliar as constatações de auditoria. Constatações Analisar criticamente Conclusões

Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Se for objeto, todas a conformidades individuais serão registradas, e com elas, o registro da evidência (verificável) que a suporta. Deve estar claro em que local, ativo, função, ou processo a conformidade foi encontrada. Constatações Analisar criticamente Conclusões

Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Do mesmo modo, e principalmente, as não conformidades devem ser registradas. Estas não conformidades podem ser graduadas, se for o caso. O auditado deve estar ciente e concordar com a constatação. Constatações Analisar criticamente Conclusões

Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Caso haja qualquer divergência entre o auditado e a equipe de auditoria, deve ser feito todo o esforço possível para se chegar a um consenso. Não sendo possível, um registro detalhado da divergência deverá fazer parte dos registros da auditoria. Constatações Analisar criticamente Conclusões

Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Após toda a atividade de coleta de informações e avaliação das evidências, é a hora de analisar todo este material e gerar as conclusões. Geralmente, isto é feito em uma longa reunião com todos os membros da equipe de auditoria. Constatações Analisar criticamente Conclusões

Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério O objetivo da reunião é: 1 Analisar todas as constatações, e qualquer informação adicional; 2 Acordar sobre as conclusões ; 3 Preparar recomendações (se for o caso); 4 Discutir eventuais ações de acompanhamento. Constatações Analisar criticamente Conclusões

Conduzindo projeto de auditoria Ao final o auditor líder conduzirá uma reunião de encerramento, onde participarão a equipe de auditoria, o auditado, o cliente, e eventualmente outros stakeholders. O objetivo é deixar claro todas as constatações e eventualmente definir prazos para que o auditado alcance a conformidade. Estes prazos não devem ser definidos sem a presença e concordância do auditado.

Conduzindo projeto de auditoria Este é o momento para que as divergências entre a equipe de auditoria e o auditado sejam trazidas à tona, e que haja um esforço conjunto no sentido de resolver estas divergências. Se constar dos objetivos, as recomendações de melhoria poderão ser apresentadas também neste momento, bem como a proposta de ações de acompanhamento.

O relatório de auditoria Ao final o auditor líder providenciará a elaboração do relatório de auditoria. Não há um modelo oficial para este tipo de relatório, mas é importante que ele garanta um registro completo, preciso, conciso e claro. No entanto, é importante que pelo menos alguns elementos fundamentais componham este relatório.

O relatório de auditoria Entre estes elementos podemos citar: 1 Os objetivos ; 2 O escopo ; 3 A identificação do cliente; 4 A identificação do auditor líder; 5 As datas e locais onde as atividades foram realizadas; 6 O critério de auditoria; 7 As constatações ; 8 As conclusões.

O relatório de auditoria Outras informações opcionais: 1 O plano de auditoria; 2 Lista de representantes do auditado; 3 Resumo do processo de auditoria; 4 Retorno sobre o atendimento dos objetivos; 5 Áreas planejadas mas não cobertas; 6 Divergências não resolvidas; 7 Recomendações para melhoria; 8 Plano de ação para acompanhamentos; 9 Lista de distribuição do relatório.

O relatório de auditoria Geralmente, o relatório de auditoria é entregue em uma data posterior à conclusão da mesma. Caso haja qualquer tipo de atraso, isto deve ser informado ao cliente e ao auditado e também constar como registro no próprio relatório. Este relatório é de propriedade do cliente, e a confidencialidade dele deve ser amplamente respeitada. Qualquer registro ou documento referente a auditoria deve ser devolvido ou destruído completamente.

Concluindo a auditoria Quando todas estas atividades foram realizadas e o plano de auditoria seguido até o fim, a auditoria é data por encerrada. Caso tenham havido contratações de qualquer tipo ou o estabelecimento de acordos para viabilizar a realização, este é o momento para encerrar estes contratos e acordos de maneira formal. Todos os envolvidos, incluindo terceiros, deverão assinar termos de sigilo e confidencialidade a fim de preservar o cliente e o auditado.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback