Auditoria de TI: Conceitos, Técnicas e Gestão Essencial

Classificado em Tecnologia

Escrito em em português com um tamanho de 23,39 KB

Auditoria Crítica: Eficiência e Metas

Avalia a eficiência e eficácia de um sistema, determinando caminhos alternativos para melhoria e alcance de metas.

Auditoria Informática: Análise e Avaliação

Análise e avaliação de controles, sistemas e procedimentos de computador, equipamentos informáticos, sua utilização, eficiência e segurança. Visa apontar caminhos alternativos para uma utilização mais eficiente, fiável e segura, apoiando a tomada de decisão.

Controle Interno: Conceitos e Objetivos

O controle interno compreende o plano de organização e todos os métodos e procedimentos coordenados em um contexto empresarial para salvaguardar seus ativos, verificar a razoabilidade e a fiabilidade da informação financeira, promover a eficiência operacional e a adesão às políticas estabelecidas pela administração.

Objetivos Básicos do Controle Interno:

  • Proteção dos ativos da empresa.
  • Obtenção de informações financeiras precisas, confiáveis e oportunas.
  • Promoção da eficiência na operação do negócio.
  • Garantia de que a execução das operações atende às políticas estabelecidas pela gestão da empresa.

Objetivos Gerais:

  • Autorização.
  • Processamento e classificação das operações.
  • Garantias físicas.
  • Verificação e avaliação.

Avaliação do Departamento de TI

O Departamento de TI deve ser avaliado de acordo com:

  • Objetivos, metas, planos, políticas e procedimentos.
  • Organização.
  • Estrutura Organizacional.
  • Funções e níveis de autoridade e responsabilidade.

Técnicas Avançadas de Auditoria

  • Testes Abrangentes: Processamento de dados em um ambiente fictício, comparando os resultados com os esperados.
  • Simulação: Desenvolvimento de programas de aplicação de teste específico e comparação dos resultados da simulação com a aplicação real.
  • Revisão de Acesso: Manutenção de um cadastro informatizado de todos os acessos a determinado arquivo, com informações de identificação de terminais e usuários.
  • Operações em Paralelo: Verificação da exatidão das informações e resultados produzidos por um novo sistema que substitui um já auditado.
  • Registros Estendidos: Adição de um controle a um registro específico, como um campo especial para registrar dados extras de todos os programas de aplicação.

Objetivos da Auditoria de Informação

  • O controle da função do computador.
  • Análise da eficiência dos SI e TI.
  • Verificação do cumprimento do Regulamento Geral da Organização.
  • Revisão dos planos, programas e orçamentos de Sistemas de Informação.
  • Revisão da gestão eficaz dos recursos humanos, materiais e software.
  • Análise e verificação dos controles gerais e específicos sobre técnicas operacionais.
  • Análise e verificação da segurança: cumprimento de regulamentos e normas, sistema operacional, software de segurança, segurança das comunicações, segurança de banco de dados, segurança do processo, segurança do aplicativo, segurança física, abastecimento e reabastecimento, contingência.
  • Análise dos resultados do controle.
  • Análise e verificação da exposição a fraquezas e defeitos.

Fases da Auditoria

  • Planejamento: Desenvolvimento do plano de auditoria, objetivos, programas de trabalho de auditoria e relatório de atividades para entender e atender às necessidades da entidade.
  • Execução: Análise e avaliação de informações, coleta, análise e interpretação de informações e documentos para apoiar os resultados da auditoria (questionários, entrevistas, análise de documentos, tabulação das informações).
  • Elaboração e Emissão do Relatório: Preparação (por escrito) e apresentação (comentário) à administração. A comunicação deve ser refinada na maneira de expressão.
  • Acompanhamento: Deve ser planejado para verificar o cumprimento, preparação e apresentação dos resultados (se concluído ou não, se o que foi planejado foi feito, etc.).

Responsabilidades da Auditoria Interna (AI)

  • Os auditores são supervisionados adequadamente.
  • Os relatórios da auditoria são precisos, objetivos, claros, concisos, construtivos e oportunos.
  • Os objetivos da auditoria são atingidos.
  • A auditoria é devidamente documentada e as provas são mantidas sob supervisão.
  • Os auditores cumprem as normas de conduta profissional.
  • Os auditores de TI possuem o conhecimento, experiência e disciplinas essenciais para a sua revisão.

Conhecimento e Experiência do Auditor Interno

  • É necessária experiência na aplicação de normas, procedimentos e técnicas de auditoria interna para o desenvolvimento das revisões.
  • Ter a capacidade de aplicar um conhecimento amplo a situações que serão apresentadas, reconhecendo as situações significativas e efetuando investigações para se chegar a soluções razoáveis.

Conteúdo da Agenda de Trabalho de Auditoria

Propósito Geral, objetivos, escopo, cronograma e programa. Para cada auditoria específica, deve-se desenvolver um programa de auditoria que inclua os procedimentos a serem implementados, seu âmbito e os funcionários designados para executar a auditoria.

Testes Essenciais e de Conformidade

  • Testes Materiais: Examinam os procedimentos para determinar se os resultados produzidos pelo sistema estão corretos (por exemplo, operações simples, como adição, subtração, divisão e multiplicação).
  • Testes de Regularidade: Representam os procedimentos de auditoria destinados a verificar se o sistema está sendo implementado de acordo com as regras (conforme descrito pelo auditor e de acordo com a intenção da gerência). Se, após a verificação, os controles parecem funcionar de forma eficaz, o auditor será capaz de justificar a confiança no sistema e, consequentemente, reduzir seus testes substantivos.

Tipos de Testes de Regularidade:

  • Testes para garantir a qualidade dos dados.
  • Testes para identificar inconsistências de dados.
  • Testes para comparação com dados físicos.
  • Testes para confirmar a boa comunicação.
  • Testes para determinar a falta de segurança.

Ciclo de Vida da Auditoria de Sistemas

Durante o ciclo de vida, devem ser avaliados:

  • Instalação
  • Manutenção
  • Operação

Instalação e Manutenção

Esta é a primeira fase do ciclo de vida do software em que o auditor analisa os seguintes pontos:

  • Procedimentos para o início, os testes e aprovação de alterações ao software.
  • Procedimentos para gerar e modificar o software.
  • Os procedimentos utilizados para executar o software e a manutenção do dicionário de dados.
  • Os procedimentos de emergência utilizados para fornecer soluções para problemas específicos de software.
  • Manutenção e conteúdo dos logs de auditoria de todos os SGBD (DBMS) e modificação do dicionário de dados.
  • Log dos parâmetros do software e as sentenças da linguagem de execução de aplicações. Acesso ao programa e bibliotecas.

Operação

Na segunda fase do ciclo de vida do software, serão revistos:

  • Controle de acesso aos programas, bibliotecas, parâmetros, seções ou arquivos associados ao software.
  • Procedimentos destinados a assegurar que o sistema não está instalado (carregamento inicial do programa) sem o software original, criando um procedimento de segurança.
  • Disponibilidade e comandos de controle de acesso que podem ser usados para desativar o software.
  • Área de responsabilidade pelo controle do software, funcionamento e coerência da acessibilidade.
  • Horário durante o qual o software está disponível.
  • O controle de acesso nos consoles mestres e terminais.
  • Processo de execução normal ou log de erros, o que pode indicar problemas na integridade do software e documentação dos resultados em programas de segurança.
  • Os controles de acesso em scripts e programas em execução, linguagens e bibliotecas de aplicações. Log de auditoria sobre as atividades do software.
  • Software de outra unidade para continuar a operação, ou dependência de operações automatizadas programadas.

Estudo de Viabilidade e Sua Importância

O estudo de viabilidade conclui sobre a disponibilidade dos recursos necessários para realizar os objetivos propostos, execução e comissionamento de um sistema. Sua importância reside no fato de que esta pesquisa avalia a relação custo/benefício do sistema, o desenvolvimento do modelo lógico, e apoia a decisão de produzi-lo ou rejeitá-lo, incluindo o estudo de viabilidade técnica e recomendações.

Objetivos da Segurança da Informação

  1. Proteger a integridade, exatidão e sigilo das informações.
  2. Proteger os ativos contra desastres provocados por ações humanas hostis.
  3. Proteger a empresa contra situações externas, como catástrofes naturais e sabotagem.
  4. Em caso de desastre, ter planos e políticas para uma rápida recuperação.
  5. Ter o seguro necessário para cobrir as perdas econômicas em caso de desastre.

Princípios da Segurança da Informação

  • Integridade: Garantir a precisão e integridade da informação e dos processamentos.
  • Privacidade: Garantir que as informações sejam acessíveis apenas àqueles autorizados a ter acesso.
  • Disponibilidade: Garantir que os usuários autorizados tenham acesso quando solicitarem informações e ativos associados.

Etapas do Plano de Contingência

  1. Análise do Impacto sobre a Organização: Identificar os processos críticos ou essenciais e suas repercussões caso não estejam em execução.
  2. Seleção da Estratégia de Desastres: Buscará operar sistemas de acordo com suas prioridades, e não de forma tradicional.
  3. Plano de Preparação: Deve ser projetado e testado. Exige a participação de pessoal para garantir que estejam disponíveis quando for posto em prática.
  4. Plano de Teste: Destina-se a garantir que funciona de forma eficiente.
  5. Manutenção: Deve-se garantir que, após a criação, o plano seja monitorado e mantido regularmente para refletir as mudanças organizacionais ou modificações, adaptando os procedimentos.

Importância da Segurança da Informação (PED)

No Processamento Eletrônico de Dados (PED), o ato que gera 80% das ocorrências é o furto ou roubo de informações por parte de colaboradores internos. Isso ocorre porque, dentro da empresa, existem fatores que atraem a informação, e este é um problema que destrói a organização interna, criando um ambiente inseguro.

É importante monitorar a segurança de informações (PED), porque é um motor da empresa e representa um importante instrumento estratégico que fornece energia, dependendo da forma como é utilizado. É importante e necessário que as empresas destinem orçamento à segurança interna, pois é na segurança interna que ocorrem a maioria dos problemas, maliciosos ou não, que podem causar grandes perdas econômicas e financeiras para a empresa. Além disso, é importante criar uma cultura organizacional e pessoal entre os trabalhadores, pois estes desempenham um papel crucial na segurança da informação (PED), permitindo que a empresa tome decisões atempadas.

O Trabalho do Auditor

O trabalho do auditor é constante e dinâmico, avaliando se há práticas e procedimentos para garantir a qualidade e fiabilidade das informações, medindo o grau de cumprimento dos objetivos e da utilização adequada dos recursos.

Importância do Plano Estratégico de TI

O Plano Estratégico de TI serve como uma ferramenta para apoiar a alta administração na tomada de decisões, tanto nos investimentos em TI realizados em cada passo estratégico do negócio para facilitar o fluxo de informação através de redes de comunicação, bem como para saber o impacto das decisões empresariais sobre as novas tecnologias que implicam em uma vantagem competitiva para a empresa. Permite ter uma ideia clara dos benefícios tangíveis e intangíveis a serem obtidos e uma estimativa dos custos e prazos para cada hardware e software de orientação da empresa ou o desenvolvimento interno de sistemas que são desenvolvidos. Isso significa que tudo é baseado em algo sólido para servir como base para a empresa, uma vez que é responsabilidade de todos, eliminando a improvisação e resultando em um avanço de forma segura e clara.

Elementos do Plano de Auditoria de TI

  • Definição de objetivos e âmbito do trabalho.
  • Obtenção de informações básicas sobre as atividades a serem auditadas.
  • Determinação dos recursos necessários para realizar a auditoria.
  • Estabelecimento da comunicação necessária com todos os envolvidos na auditoria.
  • Programa ou processo de agendamento.
  • Inspeção física.
  • Utilização de técnicas.
  • Relatório final dos resultados.

Controles Gerais em TI

  • Controle de documentação.
  • Estrutura Organizacional de TI.
  • Controle de Sistemas de Operação.
  • Controle de Desenvolvimento de Sistemas.
  • Controle de Contratos.

Classificação de Controles

  • Preventivo: Visa impedir a ocorrência de um evento (ex: UPS para falta de energia, procedimentos de backup, dispositivos redundantes em computadores, disco espelho).
  • Detectivo: Quando o evento ocorre, é detectado (ex: validação da entrada de número de conta, tentativas fracassadas de acesso de usuário, alarmes de fumaça).
  • Corretivo: Quando o evento já aconteceu, corrige-o (ex: retransmissão de dados por falhas de sistema, restauração de backups de dados, conversão de dados, aplicação de patches).

Tipos de Planos de Auditoria e Avaliação

  • Plano Estratégico: É responsabilidade de todos, elimina a improvisação, definindo a direção a longo prazo (5 anos). Define a direção em hardware e desenvolvimento de sistemas de software, e novas tecnologias de rede.
  • Plano Operacional: Plano que traduz a visão estratégica em atividades de curto prazo (um ano). Deve ter uma estreita ligação com o Plano Estratégico, ser coordenado com as áreas usuárias e avaliado quanto ao cumprimento dos objetivos propostos.
  • Planejamento de Projetos de TI: Aborda um dos maiores problemas em projetos de TI, o gerenciamento de projetos. Utiliza termos como PMBOK e ferramentas de monitoramento para fases como concepção, iniciação, desenvolvimento, recursos, produtos, riscos, mudanças, custos, datas, gráficos GANTT e PERT-CPM.
  • Plano de Formação: Derivado da evolução tecnológica, a formação deve ser contínua. A gestão de TI deve propor planos para atualizar funcionários e usuários em novas tecnologias e tendências de mercado (combate ao analfabetismo tecnológico).
  • Plano de Compra: Aquisição de software e hardware que respondam às necessidades em mudança. Inclui programação, uso de ferramentas, avaliação de projetos de mudança para evitar obsolescência tecnológica, e medidas de desempenho consistentes para evitar improvisação.
  • Plano de Mudanças e Conversão: Abrange dispositivos de servidor central (memória, discos, processadores), mudança de versões de software (sistema operacional, banco de dados, aplicativos). Deve usar gerenciamento de projeto: agendamento de backups, testes, informações aos usuários e gestores.
  • Plano de Continuidade: Surge do nível de dependência. Identifica atividades suscetíveis de interromper a operação diária, prioriza atividades críticas para atenção, e deve ser testado ou simulado.

Passos para um Relatório de Auditoria Detalhado

  1. Problemas identificados.
  2. Possíveis causas, desafios e falhas que levaram à situação apresentada.
  3. Impacto que os problemas detectados podem ter.
  4. Soluções alternativas.
  5. Comentários e observações dos gestores de TI e usuários sobre as soluções propostas.

Requisitos, Técnicas e Problemas Comuns

Um requisito é uma necessidade que um sistema de informação deve satisfazer. São descrições de como o sistema de informação se comporta e como deve funcionar.

Técnicas:

  • Entrevistas.
  • Questionários.
  • Revisão de Registros.
  • Observação.
  • Testes.
  • Especialistas.
  • Debate.
  • Análise de mercado/concorrência.

Problemas Comuns:

  • Sistemas instalados com atraso.
  • Estimativas orçamentárias distantes da realidade.
  • Sistemas não fazem o que os usuários realmente querem.

Níveis da Pirâmide de Sistemas de Informação

O auditor deve avaliar os três níveis da pirâmide para a implementação de um Sistema de Informação:

  1. Nível Estratégico: Sistemas de apoio à tomada de decisão, usados por comandantes e que possuem sistemas mais complexos que afetam a tomada de decisão.
  2. Nível Tático: Sistemas de gestão, usados por gerentes de nível médio, são mais específicos e auxiliam na tomada de decisão.
  3. Nível Operacional: Sistemas de operações, que são transacionais. As entradas de informações são dadas em alto volume e, por esta razão, devem ser confiáveis. Relatórios podem ser gerados a partir deste nível.

Sintomas da Necessidade de Auditoria de Sistemas

Quatro sintomas que indicam a necessidade de auditoria de sistemas em uma organização:

  1. Falta de Coordenação e Desorganização:
    • Incompatibilidade de TI com os objetivos da empresa.
    • Padrões de produtividade caíram e continuam a cair.
    • Sistemas com baixa obsolescência tecnológica.
    • Baixo envolvimento de TI no planejamento de projetos.
  2. Má Imagem e Insatisfação dos Usuários:
    • Não responde aos pedidos de alterações do usuário.
    • Não é reparado a tempo.
    • Hardware com falhas constantes, falhas no sistema.
    • Falta de atenção a sistemas críticos.
    • O usuário é percebido como abandonado.
  3. Fraquezas Econômicas e Financeiras:
    • Aumento excessivo dos custos operacionais.
    • Falta de credibilidade dos investimentos em TI.
    • Desenvolvimento de projetos de TI excede o tempo e o custo.
  4. Insegurança:
    • Segurança lógica.
    • Segurança física.
    • Incerteza na confiabilidade de dados.
    • Insegurança no uso dos recursos e suprimentos.

Funções da Administração em Projetos de TI

  1. Diretor do Usuário: É o responsável pela exploração dos sistemas, especialmente no período experimental, mas deve também assegurar a conformidade com as disposições que envolvem o usuário.
  2. Diretor Executivo: Representa a empresa e tem o poder de decisão.
  3. Diretor de TI: Responsável pela área de TI, apesar da participação de diversos funcionários no projeto de TI.

Ferramentas de Auditoria e Uso da Lista de Verificação

Três ferramentas de auditoria comumente usadas são:

  • Entrevistas.
  • Questionários.
  • Lista de Verificação (Checklist).

A Lista de Verificação (Checklist) é usada para avaliar uma tarefa ou processo específico.

Políticas de Segurança Física e Lógica

As políticas de segurança devem ser:

  1. Holísticas: A segurança deve ser vista como um todo, não em partes.
  2. Realistas: Devem ser plenamente realizáveis.
  3. Contínuas: Devem ser mantidas atualizadas, não sendo deixadas de lado ou esquecidas.

Recursos para a Criação de uma Auditoria

  1. Recursos de Software (SW): Programas ou sistemas de monitoramento.
  2. Recursos de Hardware (HW): Equipamentos de informática.
  3. Recursos Humanos: Pessoal especializado em redes e sistemas de comunicações.

Domínios do COBIT 4

  1. Planejamento e Organização: Este domínio é responsável pelo planejamento e definição dos objetivos e âmbito de aplicação, bem como pelos recursos a serem utilizados, objetivos e cronograma para todo o processamento.
  2. Aquisição e Implementação: Neste domínio, avalia-se como os sistemas são adquiridos ou desenvolvidos, seja por desenvolvedores locais (internos) ou, se necessário, por outsourcing. Aqui também se analisa como será a implementação.
  3. Entrega e Suporte: Nesta fase, o sistema é entregue ao usuário, o formulário é devidamente preenchido e são discutidas questões sobre o suporte adequado necessário para a manutenção das diferentes áreas.
  4. Monitoramento e Avaliação: É nesta fase que todas as atividades são exibidas e todo o processo é acompanhado.

Componentes Avaliados na Auditoria de TI

No decurso da auditoria em TI, são avaliados os seguintes componentes:

  1. Administrativo:
    • Organização.
    • Funções.
    • Estrutura.
    • Cumprimento dos objetivos.
    • Recursos Humanos.
    • Regras e políticas.
    • Formação.
  2. Sistemas:
    • Avaliação da análise e das suas diferentes fases.
    • Avaliação do projeto lógico do sistema.
    • Avaliação do desenvolvimento físico.
    • Facilidade para o desenvolvimento de sistemas.
    • Controle de projetos.
  3. Operação e Equipamentos:
    • Estudos de viabilidade ambiental e econômica para aquisição.
    • Capacidades.
    • Aplicação.
    • Padronização.
    • Controles.
    • Novos projetos de aquisição.
    • Armazenagem.
  4. Processamento de Dados:
    • Controle da fonte de dados e gerenciamento de dados.
    • Controle da operação.
    • Controle da produção.
    • Controle de processos matemáticos.
    • Controle de meios de armazenamento em massa.
    • Controle dos meios de comunicação.
  5. Segurança:
    • Segurança física e lógica.
    • Privacidade.
    • Suporte.
    • Pessoal de segurança.
    • Seguros.
    • Segurança na utilização do equipamento.
    • Plano de contingências.
    • Restauração dos equipamentos e sistemas.
Karma: -31%
Visitas: 0

Entradas relacionadas:

Etiquetas:
3 fases da segurança fisíca lógica e operacional o que é visão auditora? fases da auditoria informatica as fases de preparação e avaliação de um projecto descreve os tipos de Auditoria Financeira principais fases da auditoria informática questionario auditoria rh problemas em projetos de ti auditoria informatica eficiencia definicao de prova de auditoria fases da auditoria modelo papeis de trabalho de auditoria os três niveis da organização: direção, controle e fases de controle. dicionário“visão auditora" questionario de auditoria interna auditoria por níveis conhecimento do negócio em auditoria