19/08/2017

Auditoria e Avaliação de Sistemas

Informações sobre o Curso

• Auditoria e Avaliação de Sistemas
– ICET – Instituto de Ciências Exatas e
Tecnologia.
– carga: 02 horas-aula semanais;
– princípios básicos da Auditoria e Avaliação de
Sistemas;
– procedimentos (padrão) de auditoria e
avaliação;
• Avaliação:
– provas e listas.
Atenção: buscar na secretaria o código e
detalhamento do curso!!

Bibliografia Básica
IMONIANA, Joshua Onome
Auditoria de Sistemas de Informação
Ed. Atlas, 2008

MANOTTI, Alessandro
Auditoria de Sistemas: Curso Prático
Ed. Ciência Moderna, 2010

CORTES, Pedro Luiz

Administração de Sistemas de Informação
Ed. Saraiva, São Paulo, 2008

1
 19/08/2017

Bibliografia Complementar
• CARNEIRO, Alberto, Auditoria e Controlo de Sistemas
de Informação, Coleção Sistemas de Informação,
Editora FCA, Lisboa, Portugal, 2009.
• ARIMA, Carlos Hideo; SCHMIDT, Paulo; SANTOS, José
Luiz dos, Fundamentos de Auditoria de Sistemas, Ed.
Atlas, 2006.
• DIAS, Sergio Vidal dos Santos, Auditoria de processos
organizacionais: Teoria, Finalidade, Metodologia de
Trabalho e Resultados Esperados, Ed. Atlas, 3ª edição,
São Paulo, 2011.
• CREPALDI, Silvio Aparecido, AUDITORIA CONTÁBIL:
Teoria e Prática, Ed. Atlas, 8ª edição, São Paulo, 2012.
• ATTIE, William, AUDITORIA INTERNA, Ed. Atlas, 2ª
edição, São Paulo, 2007.

Contato

• Paulo Freitas
• paulo.freitas@docente.unip.br
• representante(s) de turma:
– Ação enviar e-mail de contato
ao professor

Conteúdo Programático (Ementa)

• fundamentos de auditoria
– padrões, procedimentos e código de ética;
• equipe de auditoria, controles internos e avaliação;
– ferramentas, técnicas, controles organizacionais
e operacionais, aquisição, desenvolvimento,
manutenção e documentação;
– controles de hardware, software e de acesso;
• auditoria de operação, redes e de controles;
• avaliação de software de auditoria de sistemas;
• relatórios;
• BCP (Business Continuity Planning) e DRP
(Disaster Recovery Plan).
6

2
 19/08/2017

Conceitos

• Auditoria
– palavra de origem latina: audire (ouvir);
– utilizada originalmente pelos Ingleses (auditing);
• revisão escriturária e evidenciação de
registros contábeis;
• sentido atual mais abrangente;
– mapeamento da situação de uma empresa
frente a padrões e procedimentos adotados;
• fato ocorrido x o que deveria ocorrer;
– identificação das causas e efeitos de qualquer
divergência ou desconformidade encontrada.

Conceitos (cont.)

• Auditoria (cont.)
– efetividade baseada na análise conjunta de
quatro elementos:
• critério;
• condição;
• causa e
• efeito.
– avaliação / mensuração do risco para tomada
de decisão;
– fundamental critérios / conceitos de
independência e de ética.

Conceitos (cont.)

• Auditoria: exame cuidadoso, sistemático

e independente das atividades
desenvolvidas cujo objetivo é averiguar
se elas estão de acordo com as
disposições planejadas / estabelecidas
previamente (procedimento / norma), se
foram implementadas com eficácia e se
estão adequadas (em conformidade) aos
objetivos.

3
 19/08/2017

Dados

• nem toda informação é crucial ou

essencial a ponto de merecer cuidados
especiais. Por outro lado, determinada
informação pode ser tão vital que o
custo de sua integridade, qualquer que
seja, ainda será menor que o custo de
não dispor dela adequadamente.

10

Dados (cont.)

• Data Classification:
– Pública
• integridade dos dados da sua empresa;
• sem gerência da informação de terceiros;
– Interna – acesso controlado, integridade
importante;
– Confidencial – informação restrita, divulgação
pode gerar impactos operacionais, financeiros e
perda de credibilidade;
– Secreta – informação crítica, de acesso restrito.
Integridade deve ser preservada a qualquer
custo. Informação vital para a organização;

11

Dados (cont.)

• aspectos do Ciclo de Vida:

– manuseio;
• acessos e restrições;
– armazenagem;
• reproduzir e atualizar segurança;
– transporte;
• NDA
– descarte;
• garantia, procedimento.

12

4
 19/08/2017

Auditoria de Sistemas

• avaliação e revisão dos controles da área

de TI, demanda conhecimento específico;
• visa:
– proteger ativos
– integridade e autenticidade da informação;
– atender aos objetivos da organização;
• verifica se a operação atende a:
– requisitos de segurança;
– confiabilidade;
– qualidade e
– adequação ao uso.

13

Auditoria de Sistemas (cont.)

• tipos:
– processos de negócio
• verificação e validação (V&V) dos processos
frente aos objetivos, metas e estratégia e se
TI os suporta efetivamente;
– informações
• V&V do tratamento, manuseio e
armazenagem da informação e identificação
dos riscos associados e sua mitigação;
• determinação da consistência, coerência,
segurança e adequação das bases de
informação e identificação de divergências e
correções indicadas;

14

Auditoria de Sistemas (cont.)

• tipos (cont.):
– sistemas
• V&V dos requisitos de segurança,
confiabilidade, qualidade e adequação;
• mapeamento de todos os sistemas, sua
interdependência e adequação;
• identificação dos riscos associados e
mitigação indicada;
• análise do ponto de vista de (procedimentos,
normas e padronização):
– regras de negócio;
– procedimentos internos;
– normas de auditoria.

15

5
 19/08/2017

Auditoria de Sistemas (cont.)

• tipos (cont.):
– desenvolvimento
• V&V dos processos / metodologias de
desenvolvimento e implementação;
• V&V dos requisitos, normas e qualidade;
• identificação e análise de todos os aplicativos
em desenvolvimento (interno / externo);
• análise frente a normas e padronização da
empresa;
• identificação de riscos associados e
mitigação.

16

Objetivos

• V&V da eficiência
– utilização e alocação de recursos;
• relativos a infraestrutura, codificação e
pessoas (HW, SW e PW);
• comparação frente a geração de resultados
corretos / adequados, no tempo programado
/ necessário e pelo custo programado /
adequado;
• V&V da eficácia
– adequação dos resultados, serviços e produtos
obtidos às necessidades do usuário /
corporação.

17

Objetivos (cont.)

• V&V da segurança física e lógica

– física:
• avaliação dos recursos materiais e humanos;
– ambiente (ex.: data center, fitoteca,
suprimentos, rede, etc.);
– equipamentos (ex.: servidores, máquinas,
armazenagem, impressoras, routers, etc.)
– pessoal (analistas, programadores,
operadores, etc.)

18

6
 19/08/2017

Objetivos (cont.)

• V&V da segurança física e lógica (cont.)

– lógica:
• avaliação do nível de segurança e controles
utilizados;
• inclui procedimentos (manuais e
automatizados) e rotina operacional;
• abrange terceiros e acessos externos.

19

Critérios

• conjunto de políticas, procedimentos,

requisitos e normas;
• vários e diversificados, dependente do tipo
de auditoria;
• ISO 27.001 - específico para auditorias de
segurança da informação:
– avaliação da confidencialidade, disponibilidade
e integridade da informação;
– aspectos como Política de Segurança,
Classificação da Informação, segurança Física,
Lógica e de Sistemas, entre outros.

20

Critérios (cont.)

• Sarbanes-Oxley (SARBOX / SOX) -

específico de segurança para atividades
financeiras:
– legislação americana (US – Paul Sarbanes e
Michael Oxley);
– visa transparência de operações financeiras;
– regras de segurança e auditoria;
• fortemente baseada em sistemas (TI);
• estabelece comitês e comissões de
supervisão;
• atribui responsabilidade ao administrador.

21

7
 19/08/2017

Critérios (cont.)
• Sarbanes-Oxley (cont.):
Seção 302 Seção 404 Seção 409
seção Real-time
seção Corporate seção Management
Issuer Disclosures
Responsability for Assessment of Internal
determina a elaboração
Financial Reports Controls determina a
de relatório (claro)
determina que CEO's e documentação, teste e
Requisitos sobre "material
CFO's devem formalizar reporte da estrutura de
changes to the financial
que seus relatórios são controles internos.
condition or
corretos e precisos Qualidade atestada por
operations" em no
(trimestral) auditores externos.
máximo 48 horas.
garante avaliação garante
garante a existência
executiva da automatização da
Principais de controles internos
efetividade dos monitoração e suporte
Aspectos para sistemas
controles 90 dias antes a grande gama de
financeiros e ERP's.
do relatório. sistemas.
quem garante a como tratar
Principais integridade e inclusão de BCP e indisponibilidades e
Preocupações disponibilidade dos DRP? atualizações dos
sistemas? sistemas?

22

Critérios (cont.)

• ITIL (Information Technology Infrastructure Library) -

específico para serviços / operação de TI:
– mantido pelo ITSMF (Information Technology Service
Management Forum);
– desenvolvido a pedido do governo Inglês
(padronização de serviços);
– cinco livros:
• estratégia de serviço;
• desenho de serviço;
• transição de serviço;
• operação de serviço;
• melhoria contínua de serviço.

23

Critérios (cont.)

• ITIL (cont.)

24

8
 19/08/2017

Critérios (cont.)

• COBIT (Control OBjectives for Information and related

Technology) – específico para a governança de
tecnologia:
– mantido pelo ITGI (IT Governance Institute);
– importância realçada após SOX (lei);
– foco em:
• alinhamento estratégico;
• planejamento e acompanhamento e
• ROI de TI.

25

Critérios (cont.)

• ISO 12.207 – específica para o ciclo de vida

de software (Eng. SW):
– aborda aquisição / desenvolvimento de software
e suporte durante sua vida útil:
• treinamento e infraestrutura adequada;
• gestão e melhoria contínua;
• ISO 9.126 – específica para qualidade de
software (Qual. SW):
– aborda aspectos tais como funcionalidade
adequada, confiabilidade, usabilidade,
eficiência, manutenibilidade, e portabilidade.

26

Critérios (cont.)

• ISO 14.598 – norma de apoio a avaliação

da qualidade de software (Qual. SW);
• CMMI (Capability Maturity Model Integration) –
específico para a melhoria contínua do
processo de desenvolvimento de software:
– modelo de maturidade, permite a evolução
gradativa conforme etapas de implementação;

27

9
 19/08/2017

Critérios (cont.)

• diversidade de padrões, normas e

metodologias;
– empresas médias e grandes normalmente
possuem suas próprias;
– não necessariamente inferiores às de mercado;
• parte do trabalho de avaliação / auditoria
definir quais os mais apropriadas.

28

Observações

• configurações fracas de segurança (S.O.);

• não aplicação de patches;
– S.O., banco de dados e aplicações;
• anti malware:
– má configuração;
– assinaturas desatualizadas;
– não agendamento de verificações;
• equipe mal dimensionada:
– conhecimento e tamanho.

29

Observações (cont.)

• controles de acesso inadequados:

– senhas fracas, renovação inadequada
– acessos inadequados e sem revisão.
• portas de comunicação abertas;
• indefinição do nível de risco:
– conveniência x segurança;

30

10
 19/08/2017

Riscos

• acesso não autorizado (físico e lógico);

• manipulação de recursos e informação;
• utilização indevida de recursos;
• instalação, configuração e manutenção
inadequadas;
• falhas de monitoração, registro e
documentação;
• compartilhamento de informação
confidencial;
• estruturação inadequada da área e falta de
independência.
31

Problemas

• defasagem tecnológica da equipe de

auditoria;
• perfil complexo: experiência operacional,
conhecimento técnico e de auditoria;
– trabalho em equipe;
• maturidade da corporação;
• complexidade crescente do ambiente;
– modelos e metodologias de desenvolvimento e
operação;
– metodologia de gerência de projetos.

32

Competências

• resultado final de uma auditoria é

diretamente proporcional ao nível de
competência do time de auditoria;
• competência do auditor depende de:
– atributos pessoais;
– conhecimentos e habilidades;
– educação formal e
– experiência profissional;
• competência em auditoria e na área
específica na qual pretende conduzir a
auditoria.

33

11
 19/08/2017

Competências

• atributos pessoais são intrinsicamente

relacionados aos princípios essenciais de
uma auditoria;
• o auditor precisa ser ético, ter a mente
aberta, ser diplomático, observador,
perceptivo, versátil, persistente, racional, e
auto confiante;
• estes atributos não são todos facilmente
encontrados em uma só pessoa, mas
podem ser desenvolvidos.

34

Ética Profissional

• ética
– valores morais e princípios ideais do
comportamento humano;
– área da filosofia que se ocupa do estudo das
normas morais na sociedade;
• ética profissional
– grupo de princípios morais, padrões de
comportamento ou conjunto de valores
referentes à conduta apropriada;
• relacionada ao comportamento frente aos
colegas de trabalho, clientes e ativos da
empresa.

35

Ética Profissional (cont.)

• caracterizado tanto por posicionamento

ativo como passivo:
– roubo, falsificação e adulteração (ativo);
– procrastinação, apatia, absentismo (passivo);
• abusos:
– ato ilegal, não ético ou irresponsável
– exemplos:
• falsificação / adulteração de informação;
• quebra de confidencialidade ou NDA;
• ignorar políticas corporativas.

36

12
 19/08/2017

Ética Profissional (cont.)

• posturas típicas:
– “todo mundo faz isso...”;
– “a empresa não precisa disso...”
– “não me pagam o suficiente...”
– “não merecem minha lealdade”
• respostas típicas:
– aumento da segurança e controle;
– monitoração e vigilância;
– gerenciamento de perdas;
– ameaça de processo.

37

Ética Profissional (cont.)

• Código de ética para auditoria de sistemas,

segundo a ISACA (Information Systems Audit and Control
Association):
– apoiar a implementação e encorajar o
cumprimento dos padrões sugeridos;
– exercer funções com objetividade, diligência e
zelo profissional, segundo as melhores práticas;
– servir aos interesses da alta administração de
forma legal e honesta, com alto padrão de
conduta e caráter profissional.

38

Ética Profissional (cont.)

• Código de ética para auditoria de sistemas,

segundo a ISACA (cont.):
– manter privacidade e confidencialidade das
informações obtidas;
– atuar somente nas atividades para as quais
estiver capacitado;
– informar as partes envolvidas sobre o
andamento dos trabalhos;
– auxiliar a alta administração na compreensão
dos sistemas de informação, segurança e
controle.

39

13
 19/08/2017

Ética Profissional (cont.)

• na dúvida, pergunte:
– Isso é legal? Vai contra alguma política
corporativa?
– Minhas ações podem gerar perda ou dano?
– Caso alguém tome conhecimento de meus atos
/ ações, isso me incomoda? Não o faria?
• e procure aconselhamento de alguém mais
sênior e de maior experiência.

40

Pontos Chave
• Auditoria: mapeamento da situação de uma
empresa frente a padrões e procedimentos
adotados e identificação das causas e efeitos de
qualquer divergência ou desconformidade
encontrada;
• necessária a classificação de dados e
estabelecimento de sua vida útil;
• Auditoria de Sistemas: avaliação e revisão dos
controles da área de TI;
– requisitos de segurança;
– confiabilidade;
– qualidade e
– adequação ao uso.

41

Pontos Chave (cont.)

• tipos de auditoria de sistemas:

– processos de negócio;
– informações;
– sistemas e
– Desenvolvimento;
• objetivos - verificação e validação:
– eficiência e eficácia;
– segurança física e lógica;
• critérios: conjunto de políticas, procedimentos,
requisitos e normas.

42

14
 19/08/2017

Pontos Chave (cont.)

• riscos: perda potencial ou resultado indesejável

advindo de uma ação, atividade ou inatividade.
Implica em escolha;
– nível de acesso inadequado (lógico e físico);
– manipulação e utilização indevida de recursos;
– operação e estrutura inadequada;
• problemas:
– defasagem tecnológica, complexidade de perfil
e ambiente e maturidade corporativa;

43

Pontos Chave (cont.)

• resultado final de uma auditoria é diretamente

proporcional ao nível de competência do auditor;
• competência do auditor depende de:
– atributos pessoais;
– conhecimentos e habilidades;
– educação formal e
– experiência profissional;
• ética é um dos atributos fundamentais do auditor;
– não “admite” treinamento.

44

Pontos Chave (cont.)

• ética profissional: grupo de princípios morais,

padrões de comportamento ou conjunto de valores
referentes à conduta apropriada;
• código existente: ISACA;
– exercer funções com objetividade, diligência e
zelo profissional, segundo as melhores práticas;
– manter privacidade e confidencialidade das
informações obtidas;
– servir aos interesses corporativos de forma legal
e honesta, com alto padrão de conduta e
caráter profissional;
• sempre questione e procure orientação.

45

15
 19/08/2017

46

16