T2 AUDITORIA DE SISTEMAS GRUPO 3 MATERIAL DE APOIO PROVINHAS. ERP - Um breve Histórico

Documentos relacionados
Conceitos de Auditoria de Sistemas

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Política Controles Internos

POLÍTICA PCT 007 GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS

Política de Controles Internos

CB.POL a. 1 / 7

FORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO

2. Gerenciamento do Serviço de Auditoria

Política de Controles Internos

Auditoria e Segurança em S.I.

EXAME DE SUFICIÊNCIA DO CFC AUDITORIA CONTÁBIL Profª. Camila Gomes

AUDITORIA INTERNA. A Auditoria Interna é exercida nas pessoas jurídicas de direito público, interno ou externo, e de direito privado.

Conteúdo Programático Completo

REGULAMENTO DA AUDITORIA INTERNA CORPORATIVA

05/05/2017. AUDITORIA INTERNA Definição e Objetivos Auditoria Interna x auditoria Externa SUMÁRIO AUDITORIA INTERNA X AUDITORIA EXTERNA

ADMINISTRAÇÃO DE SISTEMAS DE INFORMAÇÃO. Unidade VI Planejamento Estratégico de TI. Luiz Leão

Gerencial Industrial ISO 9000

ANEXO II REQUISITOS, ATRIBUIÇÕES E REMUNERAÇÕES DOS CARGOS CARGO/GRUPO ATRIBUIÇÕES REQUISITOS REMUNERA

COMPANHIA RIOGRANDENSE DE SANEAMENTO A Vida Tratada Com Respeito

REGULAMENTO DE AUDITORIA INTERNA. Cooperativa de Economia e Crédito Mútuo Dos Empregados do Banrisul

AULA 02 Qualidade em TI

ABNT NBR ISO/IEC NÃO CONFORMIDADES MAIS FREQUENTES

CHECK-LIST ISO 14001:

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

Gestão da Tecnologia da Informação

Respostas aos Riscos Avaliados

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

Conteúdo Programático Completo

Sumário Parte I Estrutura e Controle da Administração Pública, 1 1 Estado e Administração Pública, 3 2 Controle na Administração Pública, 21

CONTABILIDADE GERAL. Procedimentos Específicos. Sistemas Contábeis e Controles Internos Parte 2. Prof. Cláudio Alves

Abaixo, o Profº. Marcos Assi lista algumas dicas para o combate de fraudes na empresa.

Aula 00 Extra. Auditoria para Agente da Fiscalização TCE SP Teoria e Exercícios Aula 00 Extra Professor Marcelo Seco

Companhia de Saneamento de Minas Gerais REGIMENTO INTERNO DA SUPERINTENDÊNCIA DE CONFORMIDADE E RISCOS DA COPASA MG

LISTA DE VERIFICAÇÃO

Gestão da Tecnologia da Informação

POLÍTICA DE CONTRATAÇÃO DE AUDITOR INDEPENDENTE E DE SERVIÇOS EXTRA AUDITORIA

POLÍTICA DE CONTROLES INTERNOS

Fonte : sistemaerp.org

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

EMENTA. Agenda. Disciplina. Agenda. Dado 06/02/2017. Auditoria e Segurança em Sistemas de Informação. Conceitos Básicos. O Conceitos básicos

Auditoria de controles organizacionais. Prof. Dr. Joshua Onome Imoniana

PROPOSTA DE SERVIÇO PS-027/09

Curso e- Learning. Formação de Auditores Internos do Meio Ambiente NBR ISO 14001, com base na NBR ISO 19011

POLIÍTICA DE GERENCIAMENTO DO SISTEMA DE CONTROLES INTERNOS

10) Implementação de um Sistema de Gestão Alimentar

Que esta sistemática se aplicará para a capacitação de inspetores Intra MERCOSUL. O GRUPO MERCADO COMUM RESOLVE:

Relatório de. atividades Ouvidoria. 2º semestre de 2016

ÍNDICE 1. OBJETIVO ABRANGÊNCIA DEFINIÇÕES GESTÃO DE RISCOS ETAPAS DA GESTÃO DE RISCOS E CONTROLES INTERNOS...

Código: MSFC-P-004 Versão: 05 Emissão: 10/2011 Última Atualização em: 02/2016

Formação Técnica em Administração. Modulo de Padronização e Qualidade

Segurança da Informação

POLÍTICA DE CONFORMIDADE

DE ATIVIDADES. Relatório Ouvidoria

Política de Responsabilidade Sócio Ambiental (PRSA)

AULA EXTRA: Prova de Auditoria TRF-3/2016 comentada.

Unidade I NORMAS PROFISSIONAIS. Prof. Geraldo Carlos

Controles de acordo com o Anexo A da norma ISO/IEC 27001

Lista de Verificação de Auditorias Internas do SGI - MA - SST

Segurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer

Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

GERÊNCIA DE AUDITORIA INTERNA PLANEJAMENTO ESTRATÉGICO

POLÍTICA DE CONTRATAÇÃO DE AUDITOR INDEPENDENTE E DE SERVIÇOS DE NÃO AUDITORIA COSAN S.A.

IPPF - International Professional Practices Framework

ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL


Por Constantino W. Nassel

UERN 2015 AUDITÓRIA CONTÁBIL EMERSON FIRMINO

ÍNDICE DO MÓDULO Atendimento ao cliente Reclamações dos clientes Controle de ensaios e calibrações não conformes

POLÍTICA CONTROLES INTERNOS E CONFORMIDADE SICOOB COCRED COOPERATIVA DE CRÉDITO

Prof. Esp. Ailton Nóbrega.

Gestão da Tecnologia da Informação

Elaboração: Everaldo Mota Engenheiro Mecânico/Pós-Graduação em Engenharia de Segurança do Trabalho e Gestão Ambiental.

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

Padrão Gerencial. Gestão de Mudança

ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

PROGRAMA DE COMPLIANCE

Política da Segurança da Informação e Comunicações da Eletrobras Distribuição Alagoas. Versão 1.0

Especificar os requisitos de um Sistema de Gestão Ambiental, permitindo à organização desenvolver e implementar :

Cartilha LEI RIO DE JANEIRO

Por Carolina de Moura 1

POLÍTICA ORGANIZACIONAL

AUDITORIAS DE SISTEMAS DE GESTÃO

Gestão de Pessoas Revisão: 02 Página 1 de 6

Exame CIA: FAQs. Atualizado. Alinhado. Focado. Outubro de Traduzido por:

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

CONTEÚDO CAPÍTULO I - DA MISSÃO E DO ESCOPO DO TRABALHO CAPÍTULO II - DA VINCULAÇÃO E ABRANGÊNCIA

ANEXO II DETALHAMENTO DOS CARGOS

Auditoria. Controle de Qualidade. Professor Marcelo Spilki.

Referencial Técnico da Atividade de Auditoria Interna Governamental Instrução Normativa nº 3, de 9 de Junho de 2017

AUDITORIA INTERNA. Relatório Anual de Atividades de Auditoria Interna

REGULAMENTO DO CONSELHO DE AUDITORIA DO BANCO CENTRAL DE S. TOMÉ E PRÍNCIPE (BCSTP)

Instrução Normativa IN CO Política de Compliance da CIP

Segurança e Auditoria de Sistemas

Transcrição:

T2 AUDITORIA DE SISTEMAS GRUPO 3 MATERIAL DE APOIO PROVINHAS ERP - Um breve Histórico Link 1: http://www.empari.com.br/a-historia-do-erp-e-sua-importancia-nas-empresas.html Link 2: Auditoria de sistema passa por processo de auditoria? Auditoria de Sistemas O que é? Validação e avaliação do controle interno de sistemas de informação. Objetivo: Verificar se as informações armazenadas em meio eletrônico atendem aos requisitos de confiança e segurança e se os controles internos foram implementados e também se são efetivos. Importância: As organizações realizam altos investimentos em sistemas computadorizados e, consequentemente precisam garantir a segurança de seus computadores. É necessário possuir garantia do alcance da qualidade dos sistemas computadorizados e também auxiliar a organização a avaliar e validar o ciclo administrativo. Funções: A auditoria de sistema promove adequação (avaliação e recomendações para aprimoramento) dos controles internos nos sistemas de informação da empresa. Além de utilização de recursos humanos, materiais e tecnológicos envolvidos no processo dos mesmos. Dificuldades da auditoria: Defasagem tecnológica, falta de bons profissionais, falta de cultura da empresa, tecnologia variada e abrangente. Boa empresa de auditoria: deve ser eficiente e oferecer serviços de qualidade, estar preparada para ser a melhor do mercado (ou uma das melhores do mercado). Deve ainda oferecer treinamento de pessoal e superação de resistência à tecnologia; avaliar, escolher e implementar software de auditoria; gerenciar arquivos eletrônicos, dispositivos de segurança e bkp; disponibilizar equipamentos para que sua equipe de auditores possa trabalhar em rede; instalar e manter uma boa malha de comunicação; permitir maior transferência de conhecimento entre os membros da equipe e entre equipes diferentes; ser independente das limitações impostas por documentos de auditoria em papel; economizar tempo em documentação, obter maior rapidez no fluxo de informação, obter maior produtividade. Tipos de abordagem da auditoria: Ao redor do computador: trabalha a partir de documentos de E/S; não envolve muita T.I.; Não se preocupa muito com funções de processamento; Apropriada para pequenas empresas; Vantagens: Não exige muito conhecimento de TI, baixo custo. Desvantagens: Incompleta, poucos parâmetros de auditoria, documentos ficam desatualizados, decisões são baseadas em relatórios e documentos podem ser distorcidos. Através do computador: Além de envolver a confrontação de documentos, alerta quanto ao manuseio do dos dados, aprovação e registro de transações comerciais, mas não constrói controles de programas junto aos sistemas. Utiliza técnicas de verificação, como os dados são

processados e os resultados intermediários através de simulações. Vantagens: Capacita melhor o adutor a respeito de habilidade profissional no que tange ao conhecimento de processamento eletrônico de dados. Desvantagens: Necessidade de treinamento de auditores, aquisição e manutenção de pacotes de software; há risco de que os programas de teste estejam incorretos ou viciados. Ignora as tarefas executadas manualmente. O papel do auditor: Validação do fluxo administrativo (planejamento, execução e controle); ênfase nos processos computacionais; comprovação da efetividade dos sistemas computadorizados; garantia da segurança lógica e física e da confidencialidade dos sistemas. Auditor Interno: É empregado da empresa auditada, possui menor grau de independência, executa auditoria contábil, operacional, de gestão, de qualidade, de processos, de produtos e outros. Os principais objetivos dele: Verificar a existência, a suficiência e aplicação dos controles internos, bem como contribuir para o seu aprimoramento; verificar se as normas internas estão sendo seguidas; verificar a necessidade de monitoramento das normas internas vigentes. Seu trabalho apresenta como característica um maior volume de testes em função da maior disponibilidade de tempo na empresa para executar os serviços de auditoria. Auditor Externo: Não tem vínculo empregatício com a empresa auditada, possui maior grau de independência; Seu trabalho tem como principal objetivo emitir um parecer ou opinião sobre os processos de negócio, no sentido de verificar se estes refletem adequadamente a as regas da empresa e normas legais; apresenta como característica um menor volume de testes, já que o auditor externo está interessado em erros que individualmente ou cumulativamente possam alterar de maneira substancial as informações dos processos da empresa. Treinamento do auditor: Conceituação de auditoria de sistemas; controle interno; momentos de atuação do auditor de sistemas, produtos finais da auditoria de sistemas; mecânica de implantação das recomendações de auditoria; postura do auditado durante a atuação da auditoria de sistemas; Padroes e Código de Ética: Auditoria de sistemas de informações e considerada uma parte da auditoria geral de uma organização; as normas de auditoria geralmente não tratam isoladamente a auditoria de sistemas; nunca foi vista como uma profissão isolada, mas sim um avanço na auditoria geral para acompanhar a tecnologia da informação nas organizações. Padrões: Responsabilidade, autoridade, prestação de contas, independência profissional, ética profissional, competência, planejamento, emissão de relatório. Ética: Código de ética para auditoria de sistemas de acordo com a ISACA EUA: Apioar a implementação e encorajar o cumprimento dos padrões sugeridos para controles de SI; exercer suas funções com objetividade, diligência e zelo profissional de acordo com as melhores práticas; servir aos interesses de alta administração de forma legal e honesta com alto padrão de conduta e caráter profissional; manter privacidade e confidencialidade das informações obtidas no decurso de suas funções; atuar smente nas atividades para as quais estiver capacitado, informar as partes envolvidas sobre o andamento dos atrabalhos, auxiliar a alta administração na compreensão dos sistemas de informação, segurança e controle; Auditoria de Sistemas Informatizados Compreende o exame e a avaliação dos processos de planejamento, desenvolvimento, teste e implantação dos sistemas informatizados da empresa. Também visa ao exame e à avaliação:

de estruturas lógicas, físicas e ambientais; de sistemas de controle, segurança e proteção de determinados ativos; de aplicativos desenvolvidos pela empresa ou adquiridos no mercado; e das informações, visando à qualidade de controles internos sistêmicos e de sua observância em todos os níveis gerenciais. Enfoque em processo x Auditoria de Sistemas Informatizados Na verdade, a Auditoria de Sistemas Informatizados não representa uma modalidade de Auditoria diferenciada da Auditoria de Processo. Com um melhor conhecimento técnico dos processos informatizados da empresa, a Auditoria de Sistemas Informatizados pode muito bem atuar com um enfoque de processo ou ser utilizada como um suporte ao auditor de processo. O processo de Certificação Atualmente a certificação CISA Certified Information Systems Auditor, oferecida pela ISACA Information Systems and Control Association é uma das mais reconhecidas e avaliadas por organismos internacionais, já que o processo de seleção consta de uma prova extensa que requer conhecimentos avançados, além de experiência profissional e a necessidade de manter-se sempre atualizado, através de uma política de educação continuada (CPE) na qual o portador da certificação deve acumular carga horária de treinamento por período estabelecido. Link 1: http://www.auditsafe.com.br/pag.asp?p=1&cod=265 Link 2: http://www.isaca.org/chapters9/brasilia/certification/pages/page1.aspx CISA destinado a avaliar o grau de proficiência e excelência nas disciplinas de auditoria, controle e segurança em TI. Este exame tem sido considerado um dos mais eficazes instrumentos de certificação em âmbito global. Passar em um exame específico, demonstrar experiência e qualificações proffionais requeridas, fornecendo evidências de prática conforme o tipo de certificação. Aderir formalmente ao código de ética da ISACA, aderir à política de eduação profissional continuada da isaca (que envolve uma quantidade mínima de horas anuais em treinamentos e qatividades de contribuição à profissão).[ Para manutenção do certificado, o postulante deve evidenciar 120h de CPE ao longo de três anos (sendo no mínimo 20 h CPE a cada ano). Isso é demonstrado pela participação em atividades educacionais das quais participa e atividades que demonstrem as contribuição para a profissão, como ministrar cursos no tema, participar em pesquisas da ISACA, etc. Auditoria da Tecnologia da Informação (TI) As implicações da Tecnologia da Informação (TI) Principais riscos Ineficácia da estrutura organizacional da área de TI: Quando a empresa não possui uma estrutura da área de Tecnologia de Comunicação, capaz de atender a todas as suas necessidades, existe a grande possibilidade de pendências de atendimento serem acumuladas, permitindo o atraso de ações voltadas para a própria manutenção da rentabilidade da atividade de negócio exercida.

Recursos materiais e humanos de TI insuficientes e/ou ineficientes: A falta de equipamentos ou de técnicos especializados coloca em risco a qualidade do serviço de TI prestado junto à empresa, possibilitando falta de segurança sobre a eficácia de todos os processos que envolvam sistemas informatizados. Fraudes e problemas operacionais: A utilização de sistemas informatizados gera a oportunidade de que, na falta de controles de acessos e de segurança adequados, pessoas não bem intencionadas possam criar fraudes ou problemas para a empresa, acessando, manipulando ou deteriorando os dados registrados em seus bancos de dados. Atribuições básicas e perfil ideal do Auditor de Sistemas formular, aprimorar e verificar o cumprimento das normas e políticas de TI da organização; avaliar a estrutura organizacional e a sua gestão da TI (eficácia e eficiência); auditar o processo de desenvolvimento de sistemas; auditar os sistemas aplicativos; e apurar fraudes. Perfil ideal do Auditor de Sistemas ético; sólida formação em tecnologia; conhecimentos profundos em Auditoria e Negócios/Atualizado tecnicamente; capacidade de negociação/relacionamento pessoal; raciocínio lógico acurado/criatividade; e domínio dos idiomas Português e Inglês. Áreas de atuação da Auditoria de Sistemas Gerenciamento e Organização de TI: planejamento estratégico de TI; terceirizações; orçamento; planejamento de capacidade e crescimento; padrões de documentação; e processos de TI. Disponibilidade, Confidencialidade e Integridade dos Sistemas de Informação: controle de acesso lógico; senhas; criptografia; controle de acesso físico; controle de ambiente; e plano de continuidade de negócios. Desenvolvimento, Aquisição e Manutenção dos Sistemas de Informação. SDLC Ciclo de Vida de Desenvolvimento de Sistemas; metodologias de desenvolvimento; o papel do auditor: a) determinar os riscos e as exposições que o sistema pode inserir; b) identificar controles que eliminem ou reduzam os riscos e exposições; e c) monitorar o desenvolvimento do sistema de forma a garantir que os controles estejam sendo implementados. COBIT Control Objectives for Information & Related Technology

é publicado pelo ISACA (Information Systems Audit and Control Association); representa um guia de melhores práticas para Gestão, Controle e Audi-toria de TI; consiste em quatro domínios, que são constituídos por 34 processos de TI; pode balizar o Plano Anual de Auditoria; e é de grande valia na elaboração de programas de trabalho. Internet Oportunidades Para o Auditor de Sistemas: a) fonte de pesquisas e conhecimento; b) permanente atualização profissional; c) contato direto com seus pares no mundo inteiro; e d) benchmarking com outras empresas e auditorias. Para os negócios da empresa: a) recrutamento e seleção de pessoal; b) prestação e obtenção de serviços; c) fonte de pesquisas e conhecimento; d) benchmarking; e) globalização do seu mercado potencial; f) globalização dos seus fornecedores em potencial; g) marketing individualizado/disponibilidade. Riscos Divulgação de informações sigilosas: A Internet facilita o acesso a informações pertinentes apenas à Empresa. Isto ocorre quando não existem atividades de controle sobre os acessos aos bancos de dados e cadastros de seus processos. Interrupção das comunicações/operações: O acesso ou invasão pode chegar ao cúmulo de interromper a atividade de negócio exercida pela empresa, proporcionando, além da perda financeira, prejuízo a sua imagem perante o mercado e seus clientes. Pagamentos indevidos a fornecedores fictícios: Casos de distorções ou manipulações nos sistemas financeiros estão cada dia mais corriqueiros e, no caso da inexistência de controles adequados, proporcionam prejuízos imensos às empresas. Desvio de recursos financeiros: Sem controle, desvios financeiros podem nem ser percebidos. Corrupção dos sistemas de compras e vendas. A informatização da área de compras deve ser totalmente monitorada e documentada, visando minimizar o risco de corrupção ou fraudes. Pontos de Auditoria com enfoque em TI Agregar valor aos acionistas, identificando se o ambiente de TI contempla os seguintes aspectos: a) atendimento às necessidades da empresa e dos usuários;

b) processamento e controles corretos, adequados e no tempo ideal; c) segurança física e lógica; d) vida útil/atualização tecnológica; e) documentação; e f) segregação de funções. Fonte: http://webserver.crcrj.org.br/apostilas/a1039p0147.pdf

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback