Professional Documents
Culture Documents
Tutorial
Setembro/2000
TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS Palestrante: Marco Antnio TOM Scio-diretor da GALEGALE & ASSOCIADOS Empresa membro da Ps-graduado em Auditoria e Controladoria e Tecnlogo em Processamento de Dados (Fatec-Unesp) Professor de Auditoria de Sistemas e de Informtica Diretor da ABAS Associao Brasileira de Auditores de Sistemas Atuao: Informtica (25 anos) e Auditoria de Sistemas (18 anos) matome @ galegale.com.br Fone: (11) 3862.6069
Setembro/2000
Conceitos Aplicados s Tcnicas de Auditoria de Sistemas Metodologia para Aplicao de Tcnicas de Auditoria Anlise de Riscos nas Auditorias de Sistemas Tcnicas de Auditoria de Sistemas
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS
O QUE TCNICA ?
O QUE FERRAMENTA ?
O QUE METODOLOGIA ?
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS
FERRAMENTAS :
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS
TCNICAS :
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS
METODOLOGIA :
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS
FERRAMENTAS
TCNICAS
METODOLOGIA
TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS SUMRIO Conceitos Aplicados s Tcnicas de Auditoria de Sistemas Metodologia para Aplicao de Tcnicas de Auditoria Anlise de Riscos nas Auditorias de Sistemas Tcnicas de Auditoria de Sistemas
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (1)
RECURSOS
Facilidades
Aplicativos
Tecnologia
PROCESSOS DE NEGCIO
Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa
X X X X X X X
Pessoal
Dados
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (2)
CICLO PDCA REQUISITOS
PLAN
AVALIAO
Qualidade:
Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade
X X X X X X X X X X X X X X X
Marco Antnio TOM
Confiana:
Segurana:
ACT
DO
DE
CHECK
X X X X
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (3)
CICLO PDCA
CHECK
X X X X X X X
PLAN
Facilidades
Aplicativos
Tecnologia
Pessoal
Dados
AVALIAO
Qualidade:
Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X
X X X X X X X X X X X
Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X
Confiana:
Segurana: X
ACT
DO
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (4)
CICLO PDCA
CHECK
X X X X X X X
PLAN
Facilidades
Aplicativos
Tecnologia
Pessoal
Dados
AVALIAO
Qualidade:
Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X
X X X X X X X X X X X
Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X
Confiana:
Segurana: X
ACT
DO
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (5)
CICLO PDCA
CHECK
X X X X X X X
PLAN
Facilidades
Aplicativos
Tecnologia
Pessoal
Dados
AVALIAO
Qualidade:
Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X
X X X X X X X X X X X
Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X
Confiana:
Segurana: X
ACT
DO
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (6)
CICLO PDCA
CHECK
X X X X X X X
PLAN
Facilidades
Aplicativos
Tecnologia
Pessoal
Dados
AVALIAO
Qualidade:
Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X
X X X X X X X X X X X
Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X
Confiana:
Segurana: X
ACT
DO
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (7)
CICLO PDCA
CHECK
X X X X X X X
PLAN
Facilidades
Aplicativos
Tecnologia
Pessoal
Dados
AVALIAO
Qualidade:
Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X
X X X X X X X X X X X
Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X
Confiana:
Segurana: X
ACT
DO
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (8)
CICLO PDCA
CHECK
X X X X X X X
PLAN
Facilidades
Aplicativos
Tecnologia
Pessoal
Dados
AVALIAO
Qualidade:
Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X
X X X X X X X X X X X
Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X
Confiana:
Segurana: X
ACT
DO
TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS SUMRIO Conceitos Aplicados s Tcnicas de Auditoria de Sistemas Metodologia para Aplicao de Tcnicas de Auditoria Anlise de Riscos nas Auditorias de Sistemas Tcnicas de Auditoria de Sistemas
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica ANLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS
ANLISE DE RISCOS Uma avaliao dos pontos de interesse da auditoria de sistemas, quanto aos riscos que podem enfrentar. RISCO A possibilidade de sofrer perdas nas operaes de negcio, danos aos recursos e/ou mal s pessoal. Os riscos podem ser naturais, ou provocados pelo homem, e esto sempre presentes.
EXPOSIO AOS RISCOS A medida de exposio aos riscos pode ser avaliada por um conjunto de critrios baseados nas suas probabilidades de ocorrncia e nos nveis de severidade dos impactos.
Galegale & Associados Marco Antnio TOM
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica ANLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS
PROBABILIDADE DE OCORRNCIAS DE RISCOS
Ponto de Interesse da Auditoria de Sistemas Ex: Recursos de Tecnologia e Facilidades Ex: Cadastro de Contas a Pagar Ex: Sistema de Controle de Estoques Requisitos de Avaliao Probabilidade de Ocorrncias de Riscos
Probabilidade
Ex: Segurana Fsica e Lgica Ex: Integridade dos dados Ex: Qualidade e Atendimento aos Usurios
No h
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica ANLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS
NVEL DE SEVERIDADE DOS IMPACTOS
Ponto de Interesse da Auditoria de Sistemas Ex: Recursos de Tecnologia e Facilidades Ex: Cadastro de Contas a Pagar Ex: Sistema de Controle de Estoques Requisitos de Avaliao Nvel de Severidade dos Impactos
Severidade
Ex: Segurana Fsica e Lgica Ex: Integridade dos dados Ex: Qualidade e Atendimento aos Usurios
Alta = envolvem muitas pessoas, perdas de grandes valores, interrupes expressivas Mdia = envolvem poucas pessoas, perdas de valores mdios, interrupes leves Baixa = envolvem pouqussimas pessoas, perdas de valores pequenos Sem Impacto
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica ANLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS
EXPOSIO AOS RISCOS
Ponto de Interesse da Auditoria de Sistemas Requisitos de Avaliao Probabilidade de Ocorrncias (A) 3 3 2 2 3 1 2 1 1 0
Galegale & Associados
Score de Exposio aos Riscos (A x B) 9 = Muito Alta 6 = Alta 6 = Alta 4 = Mdia Alta 3 = Mdia 3 = Mdia 2 = Mdia Baixa 2 = Mdia Baixa 1 = Baixa Sem Risco
Marco Antnio TOM
TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS SUMRIO Conceitos Aplicados s Tcnicas de Auditoria de Sistemas Metodologia para Aplicao de Tcnicas de Auditoria Anlise de Riscos nas Auditorias de Sistemas Tcnicas de Auditoria de Sistemas
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS PROCESSOS Operao de Negcios AVALIAR Servio a Usurios Sistema Aplicativo Transao Online Rotina de Processamento PROCESSO RESULTADO Programa de Computador Processo Operacional Processo de Controle Processo de Gesto RESULTADOS Banco de Dados Telas e Menus Pginas Web Relatrios e Formulrios Documentos e Manuais Materiais e Suprimentos Software e Ferramentas Equipamentos e Dispositivos Instalaes Pessoal
Marco Antnio TOM
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
Programas em Construo
TESTES DE CAIXA BRANCA
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
Documentos e Manuais
ANLISE DE DOCUMENTOS
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
Instalaes
ENTREVISTA VERIFICAO IN-LOCO
Pessoal
ENTREVISTA QUESTIONRIO QDT - QUADRO DE DISTRIBUIO DE TRABALHO
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
SIMULAO PARALELA
O MTODO QUE CONSISTE NA ELABORAO DE PROGRAMAS DE COMPUTADOR PARA SIMULAR AS FUNES DA ROTINA DO SISTEMA EM OPERAO QUE EST SENDO AUDITADA. UTILIZA-SE OS MESMOS DADOS DE INPUT, DA ROTINA EM PRODUO, COMO INPUT DO PROGRAMA DE SIMULAO.
Galegale & Associados Marco Antnio TOM
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
TESTE DE DESEMPENHO
O MTODO QUE IMPLICA EM AVALIAR UM SISTEMA EM OPERAO QUANTO AO CONSUMO DE RECURSOS COMPUTACIONAIS E AOS TEMPOS DE RESPOSTA DE SUAS OPERAES. EXIGE-SE O USO DE INSTRUMENTAO PARA MONITORAR HARDWARE E SOFTWARE.
Galegale & Associados Marco Antnio TOM
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
TESTE DE SEGURANA
O MTODO QUE CONSISTE EM EXAMINAR A ESTRUTURAO E TODOS OS PROCEDIMENTOS E MECANISMOS DE SEGURANA, PREVENTIVA E CORRETIVA, APLICADOS NUM SISTEMA EM OPERAO.
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
TESTE BETA
O MTODO QUE CONSISTE EM TESTAR O SOFTWARE EM IMPLANTAO, SEM ASSISTNCIA DO DESENVOLVEDOR E NO AMBIENTE DA PRPRIA AUDITORIA.
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
TRACING:
POSSIBILITA SEGUIR O CAMINHO DE PROCESSAMENTO DENTRO DE UM PROGRAMA, ISTO , VISUALIZAR QUAIS INSTRUES DE UMA TRANSAO FORAM EXECUTADAS E EM QUE ORDEM. VARIVEIS DO PROGRAMA, DURANTE SUA EXECUO, DE ACORDO COM CONDIES PR-ESTABELECIDAS.
Galegale & Associados Marco Antnio TOM
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
VERIFICAO IN-LOCO
O MTODO QUE IMPLICA NA OBSERVAO PESSOAL DO AUDITOR SOBRE AS ATIVIDADES, INSTALAES E/OU PRODUTOS AUDITADOS. NO PERMITE OBSERVAR TODAS AS SITUAES E A PRESENA DO AUDITOR MODIFICA O COMPORTAMENTO DAS PESSOAS.
Galegale & Associados Marco Antnio TOM
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
ANLISE DE DOCUMENTO
O MTODO QUE CONSISTE EM ESTUDAR E ANALISAR O CONTEDO DE DOCUMENTAES SOBRE O ASSUNTO E/OU O SOBRE O OBJETO DA AUDITORIA.
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
AVALIAR RESULTADOS
ANLISE DE DADOS
O MTODO QUE CONSISTE NA ANLISE DE ARQUIVOS MAGNTICOS ATRAVS DE SOFTWARE ESPECFICOS OU PROGRAMAS DE COMPUTADOR QUE PODERO REALIZAR, ENTRE OUTRAS, AS SEGUINTES FUNES: 1. SELEO DE REGISTROS. 2. CONTAGEM DE REGISTROS. 3. SOMA, CLCULO DA MDIA, VARINCIA, DESVIO PADRO, MODA, MEDIANA ETC. 4. CONSTRUO DE HISTOGRAMAS. 5. ANLISE HORIZONTAL = COMPARAO ENTRE CAMPOS DE UM MESMO REGISTRO . 6. ANLISE VERTICAL = COMPARAO DE CAMPOS ENTRE REGISTROS.
Galegale & Associados Marco Antnio TOM
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
1. SELEO DE REGISTROS (A QUE NO EST EM B; B QUE NO EST EM A OU QUE EST EM A E EM B). 2. CONTAGEM DE REGISTROS. 3. SOMA, CLCULO DA MDIA, VARINCIA, DESVIO PADRO, MODA, MEDIANA ETC.
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
ANLISE DE DESIGN
O MTODO QUE CONSISTE EM ESTUDAR E ANALISAR AS ESTRUTURAS, OS PROJETOS E/OU OS DESENHOS, DOS RELATRIOS, FORMULRIOS, TELAS, MENUS E PGINAS WEB, OBJETOS DA AUDITORIA.
Galegale & Associados Marco Antnio TOM
CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS
Muito Obrigado !
Fone: (11) 3862.6069
Galegale & Associados Setembro/2000
matome @ galegale.com.br