You are on page 1of 45

CNASI2000

IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica

Tutorial

TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS


Marco Antnio TOM

Galegale & Associados

Setembro/2000

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica

TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS Palestrante: Marco Antnio TOM Scio-diretor da GALEGALE & ASSOCIADOS Empresa membro da Ps-graduado em Auditoria e Controladoria e Tecnlogo em Processamento de Dados (Fatec-Unesp) Professor de Auditoria de Sistemas e de Informtica Diretor da ABAS Associao Brasileira de Auditores de Sistemas Atuao: Informtica (25 anos) e Auditoria de Sistemas (18 anos) matome @ galegale.com.br Fone: (11) 3862.6069

Setembro/2000

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica

TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS SUMRIO

Conceitos Aplicados s Tcnicas de Auditoria de Sistemas Metodologia para Aplicao de Tcnicas de Auditoria Anlise de Riscos nas Auditorias de Sistemas Tcnicas de Auditoria de Sistemas

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS

O QUE TCNICA ?

O QUE FERRAMENTA ?

O QUE METODOLOGIA ?

QUAL O RELACIONAMENTO ENTRE TCNICA , FERRAMENTA E METODOLOGIA ?

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS

FERRAMENTAS :

INSTRUMENTOS EMPREGADOS NA REALIZAO DE UMA TAREFA

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS

TCNICAS :

MTODOS E HABILIDADES PARA EXECUTAR UMA TAREFA

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS

METODOLOGIA :

SISTEMTICA PARA ORGANIZAR, EXECUTAR E CONTROLAR UM TRABALHO


UMA METODOLOGIA DEVE CONTER:
DEFINIO E DESCRIO DOS PRODUTOS (O que? Para que?) DESCRIO DOS PROCESSOS (Quando?, Quem? Onde?) DETERMINAO DAS TCNICAS, FERRAMENTAS E PADRES (Como?)
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS

SEM TCNICA ? ...


FERRAMENTA ! ...

SEM METODOLOGIA ? ...


? ? ?

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica CONCEITOS APLICADOS S TCNICAS DE AUDITORIA DE SISTEMAS

FERRAMENTAS

TCNICAS

METODOLOGIA

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica

TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS SUMRIO Conceitos Aplicados s Tcnicas de Auditoria de Sistemas Metodologia para Aplicao de Tcnicas de Auditoria Anlise de Riscos nas Auditorias de Sistemas Tcnicas de Auditoria de Sistemas

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (1)
RECURSOS

Facilidades

Aplicativos

Tecnologia

PROCESSOS DE NEGCIO

Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa

X X X X X X X

Galegale & Associados

Pessoal

Dados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (2)
CICLO PDCA REQUISITOS

PLAN

AVALIAO

Qualidade:

Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade

X X X X X X X X X X X X X X X
Marco Antnio TOM

Confiana:

Segurana:

Galegale & Associados

ACT

DO

DE

CHECK

X X X X

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (3)

RECURSOS REQUISITOS PROCESSOS DE NEGCIO DE

CICLO PDCA

CHECK
X X X X X X X

PLAN

Facilidades

Aplicativos

Tecnologia

Pessoal

Dados

AVALIAO

Qualidade:

Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X

X X X X X X X X X X X

Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X

Confiana:

Segurana: X

Galegale & Associados

Marco Antnio TOM

ACT

DO

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (4)

RECURSOS REQUISITOS PROCESSOS DE NEGCIO DE

CICLO PDCA

CHECK
X X X X X X X

PLAN

Facilidades

Aplicativos

Tecnologia

Pessoal

Dados

AVALIAO

Qualidade:

Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X

X X X X X X X X X X X

Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X

Confiana:

Segurana: X

Galegale & Associados

Marco Antnio TOM

ACT

DO

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (5)

RECURSOS REQUISITOS PROCESSOS DE NEGCIO DE

CICLO PDCA

CHECK
X X X X X X X

PLAN

Facilidades

Aplicativos

Tecnologia

Pessoal

Dados

AVALIAO

Qualidade:

Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X

X X X X X X X X X X X

Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X

Confiana:

Segurana: X

Galegale & Associados

Marco Antnio TOM

ACT

DO

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (6)

RECURSOS REQUISITOS PROCESSOS DE NEGCIO DE

CICLO PDCA

CHECK
X X X X X X X

PLAN

Facilidades

Aplicativos

Tecnologia

Pessoal

Dados

AVALIAO

Qualidade:

Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X

X X X X X X X X X X X

Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X

Confiana:

Segurana: X

Galegale & Associados

Marco Antnio TOM

ACT

DO

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (7)

RECURSOS REQUISITOS PROCESSOS DE NEGCIO DE

CICLO PDCA

CHECK
X X X X X X X

PLAN

Facilidades

Aplicativos

Tecnologia

Pessoal

Dados

AVALIAO

Qualidade:

Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X

X X X X X X X X X X X

Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X

Confiana:

Segurana: X

Galegale & Associados

Marco Antnio TOM

ACT

DO

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica METODOLOGIA PARA APLICAO DE TCNICAS DE AUDITORIA
O QUE DESEJAMOS AUDITAR ? (8)

RECURSOS REQUISITOS PROCESSOS DE NEGCIO DE

CICLO PDCA

CHECK
X X X X X X X

PLAN

Facilidades

Aplicativos

Tecnologia

Pessoal

Dados

AVALIAO

Qualidade:

Qualificao Custeio Oportunidade Efetividade Eficincia Confiabilidade Conformidade Confidencialidade Integridade Disponibilidade X

X X X X X X X X X X X

Tecnologia da Informao Processos da Atividade-Fim Processos de Suporte Operacional Processos de Gesto Corporativa X X X X X

Confiana:

Segurana: X

Galegale & Associados

Marco Antnio TOM

ACT

DO

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica

TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS SUMRIO Conceitos Aplicados s Tcnicas de Auditoria de Sistemas Metodologia para Aplicao de Tcnicas de Auditoria Anlise de Riscos nas Auditorias de Sistemas Tcnicas de Auditoria de Sistemas

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica ANLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS
ANLISE DE RISCOS Uma avaliao dos pontos de interesse da auditoria de sistemas, quanto aos riscos que podem enfrentar. RISCO A possibilidade de sofrer perdas nas operaes de negcio, danos aos recursos e/ou mal s pessoal. Os riscos podem ser naturais, ou provocados pelo homem, e esto sempre presentes.

EXPOSIO AOS RISCOS A medida de exposio aos riscos pode ser avaliada por um conjunto de critrios baseados nas suas probabilidades de ocorrncia e nos nveis de severidade dos impactos.
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica ANLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS
PROBABILIDADE DE OCORRNCIAS DE RISCOS
Ponto de Interesse da Auditoria de Sistemas Ex: Recursos de Tecnologia e Facilidades Ex: Cadastro de Contas a Pagar Ex: Sistema de Controle de Estoques Requisitos de Avaliao Probabilidade de Ocorrncias de Riscos

Probabilidade

Ex: Segurana Fsica e Lgica Ex: Integridade dos dados Ex: Qualidade e Atendimento aos Usurios

Alta = ocorrncias esperadas

Mdia = podem ocorrer

Baixa = ocorrncias muito raras

No h

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica ANLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS
NVEL DE SEVERIDADE DOS IMPACTOS
Ponto de Interesse da Auditoria de Sistemas Ex: Recursos de Tecnologia e Facilidades Ex: Cadastro de Contas a Pagar Ex: Sistema de Controle de Estoques Requisitos de Avaliao Nvel de Severidade dos Impactos

Severidade

Ex: Segurana Fsica e Lgica Ex: Integridade dos dados Ex: Qualidade e Atendimento aos Usurios

Alta = envolvem muitas pessoas, perdas de grandes valores, interrupes expressivas Mdia = envolvem poucas pessoas, perdas de valores mdios, interrupes leves Baixa = envolvem pouqussimas pessoas, perdas de valores pequenos Sem Impacto

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica ANLISE DE RISCOS NAS AUDITORIAS DE SISTEMAS
EXPOSIO AOS RISCOS
Ponto de Interesse da Auditoria de Sistemas Requisitos de Avaliao Probabilidade de Ocorrncias (A) 3 3 2 2 3 1 2 1 1 0
Galegale & Associados

Nvel de Severidade dos Impactos (B) 3 2 3 2 1 3 1 2 1 0

Score de Exposio aos Riscos (A x B) 9 = Muito Alta 6 = Alta 6 = Alta 4 = Mdia Alta 3 = Mdia 3 = Mdia 2 = Mdia Baixa 2 = Mdia Baixa 1 = Baixa Sem Risco
Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica

TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS SUMRIO Conceitos Aplicados s Tcnicas de Auditoria de Sistemas Metodologia para Aplicao de Tcnicas de Auditoria Anlise de Riscos nas Auditorias de Sistemas Tcnicas de Auditoria de Sistemas

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS PROCESSOS Operao de Negcios AVALIAR Servio a Usurios Sistema Aplicativo Transao Online Rotina de Processamento PROCESSO RESULTADO Programa de Computador Processo Operacional Processo de Controle Processo de Gesto RESULTADOS Banco de Dados Telas e Menus Pginas Web Relatrios e Formulrios Documentos e Manuais Materiais e Suprimentos Software e Ferramentas Equipamentos e Dispositivos Instalaes Pessoal
Marco Antnio TOM

Galegale & Associados

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS AUTOMATIZADOS Operaes de Negcios, Transaes, Rotinas e Sistemas em Operao


TEST-DECK SIMULAO PARALELA TESTE DE RECUPERAO TESTE DE DESEMPENHO TESTE DE ESTRESSE TESTE DE SEGURANA

Transaes, Rotinas e Sistemas em Implantao


BCSE -BASE CASE SYSTEM EVALUATION ITF - INTEGRATED TEST FACILITY TESTE ALFA TESTE BETA

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS AUTOMATIZADOS Programas em Operao


TESTES DE CAIXA PRETA MAPPING, TRACING E SNAPSHOT

AVALIAR PROCESSOS MANUAIS


Servios e Processos de Gesto, de Controle e Operacionais
ENTREVISTA VERIFICAO IN-LOCO QUESTIONRIO ANLISE DE DOCUMENTOS MTODO 5W 1H DIAGRAMA DE CAUSA EFEITO
Marco Antnio TOM

Programas em Construo
TESTES DE CAIXA BRANCA

Galegale & Associados

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR RESULTADOS Bancos de Dados


ANLISE DE DADOS COMPARAO DE DADOS CONFIRMAO DE DADOS SCARF - SYSTEM CONTROL AUDIT REVIEW FILE

Relatrios, Formulrios, Telas, Menus e Pginas Web


ANLISE DE DESIGN ANLISE DE DISTRIBUIO

Documentos e Manuais
ANLISE DE DOCUMENTOS

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR RESULTADOS Equipamentos, Dispositivos, Software, Ferramentas, Materiais e Suprimentos


ENTREVISTA VERIFICAO IN-LOCO ANLISE DE DOCUMENTOS

Instalaes
ENTREVISTA VERIFICAO IN-LOCO

Pessoal
ENTREVISTA QUESTIONRIO QDT - QUADRO DE DISTRIBUIO DE TRABALHO

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS AUTOMATIZADOS TEST-DECK


O MTODO QUE CONSISTE NA APLICAO DO CONCEITO DE MASSA DE TESTE PARA SISTEMAS EM OPERAO, ENVOLVENDO TESTES NORMAIS E CORRETOS, COM CAMPOS INVLIDOS, COM VALORES INCOMPATVEIS, COM DADOS INCOMPLETOS ETC.

SIMULAO PARALELA
O MTODO QUE CONSISTE NA ELABORAO DE PROGRAMAS DE COMPUTADOR PARA SIMULAR AS FUNES DA ROTINA DO SISTEMA EM OPERAO QUE EST SENDO AUDITADA. UTILIZA-SE OS MESMOS DADOS DE INPUT, DA ROTINA EM PRODUO, COMO INPUT DO PROGRAMA DE SIMULAO.
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS AUTOMATIZADOS TESTE DE RECUPERAO


O MTODO QUE IMPLICA EM AVALIAR UM SISTEMA EM OPERAO QUANTO AOS PROCEDIMENTOS, MANUAIS E/OU AUTOMTICOS, DE RECUPERAO E RETOMADA DO PROCESSAMENTO, EM SITUAES DE FALHAS.

TESTE DE DESEMPENHO
O MTODO QUE IMPLICA EM AVALIAR UM SISTEMA EM OPERAO QUANTO AO CONSUMO DE RECURSOS COMPUTACIONAIS E AOS TEMPOS DE RESPOSTA DE SUAS OPERAES. EXIGE-SE O USO DE INSTRUMENTAO PARA MONITORAR HARDWARE E SOFTWARE.
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS AUTOMATIZADOS TESTE DE ESTRESSE


O MTODO QUE CONSISTE EM AVALIAR QUAL SERIA O COMPORTAMENTO DE UM SISTEMA EM OPERAO, SE SUBMETIDO A CONDIES DE FUNCIONAMENTO ANORMAIS, ENVOLVENDO QUANTIDADES, VOLUMES E FREQNCIAS.

TESTE DE SEGURANA
O MTODO QUE CONSISTE EM EXAMINAR A ESTRUTURAO E TODOS OS PROCEDIMENTOS E MECANISMOS DE SEGURANA, PREVENTIVA E CORRETIVA, APLICADOS NUM SISTEMA EM OPERAO.

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS AUTOMATIZADOS BCSE - BASE CASE SYSTEM EVALUATION


O MTODO QUE IMPLICA NA ELABORAO DE DADOS DE TESTE, PELO AUDITOR EM CONJUNTO COM OS USURIOS, PARA APLICAO NOS PROGRAMAS QUE COMPEM UM SISTEMA EM IMPLANTAO, MEDIDA QUE OS MESMOS VO SENDO LIBERADOS.

ITF - INTEGRATED TEST FACILITY


O MTODO QUE CONSISTE NA IMPLEMENTAO DE ROTINAS ESPECFICAS DE AUDITORIA DENTRO DOS PROGRAMAS DO SISTEMA EM IMPLANTAO, QUE PODERO SER ACIONADAS COM DADOS DE TESTE, JUNTAMENTE COM OS DADOS REAIS DA PRODUO, SEM CONTUDO, COMPROMETER AS INFORMAES GERADAS.
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS AUTOMATIZADOS TESTE ALFA


O MTODO QUE CONSISTE EM TESTAR O SOFTWARE EM IMPLANTAO, COM ASSISTNCIA E AMBIENTE CONTROLADO PELO DESENVOLVEDOR.

TESTE BETA
O MTODO QUE CONSISTE EM TESTAR O SOFTWARE EM IMPLANTAO, SEM ASSISTNCIA DO DESENVOLVEDOR E NO AMBIENTE DA PRPRIA AUDITORIA.

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS AUTOMATIZADOS MAPPING, TRACING E SNAPSHOT


MTODOS QUE IMPLICAM NA INSERO DE ROTINAS ESPECIAIS NOS PROGRAMAS EM OPERAO, UTILIZADAS PARA DEPUR-LOS (DEBUG) APS SEREM EXECUTADOS.

MAPPING: LISTA AS INSTRUES NO UTILIZADAS E


DETERMINA A FREQNCIA DAQUELAS EXECUTADAS.

TRACING:

POSSIBILITA SEGUIR O CAMINHO DE PROCESSAMENTO DENTRO DE UM PROGRAMA, ISTO , VISUALIZAR QUAIS INSTRUES DE UMA TRANSAO FORAM EXECUTADAS E EM QUE ORDEM. VARIVEIS DO PROGRAMA, DURANTE SUA EXECUO, DE ACORDO COM CONDIES PR-ESTABELECIDAS.
Galegale & Associados Marco Antnio TOM

SNAPSHOT: FORNECE O CONTEDO DE DETERMINADAS

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS AUTOMATIZADOS TESTE DE CAIXA PRETA


O MTODO QUE SE CONCENTRA NOS REQUISITOS FUNCIONAIS DOS PROGRAMAS EM OPERAO. OS CASOS DE TESTES, NORMALMENTE DERIVADOS DAS CONDIES DE ENTRADA, AVALIAM FUNES, INTERFACES, ACESSOS A B.D., INICIALIZAO E TRMINO.

TESTE DE CAIXA BRANCA


O MTODO QUE SE CONCENTRA NAS ESTRUTURAS INTERNAS DOS PROGRAMAS EM CONSTRUO. OS CASOS DE TESTES AVALIAM DECISES LGICAS, LAOS (LOOPS), ESTRUTURAS INTERNAS DE DADOS E CAMINHOS DENTRO DOS MDULOS.
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS MANUAIS MTODO 5W E 1H


O MTODO QUE CONSISTE DE UM CHECK-LIST UTILIZADO PARA GARANTIR QUE AS TAREFAS SO CONDUZIDAS SEM NENHUMA DVIDA PELOS EXECUTORES E AUDITORES. WHAT? (O QUE?), WHO? (QUEM?), WHERE? (ONDE?), WHEN? (QUANDO?), WHY? (POR QUE?) E HOW? (COMO?)

DIAGRAMA DE CAUSA EFEITO


O MTODO QUE PERMITE CONHECER A ESTRUTURA DE UM PROBLEMA E, DESTA MANEIRA, A RELAO ENTRE AS CAUSAS E O EFEITO. DENOMINADO, TAMBM, ESPINHA DE PEIXE OU 6M (MO DE OBRA, MATERIAL, MTODO, MQUINA, MEIO AMBIENTE, MEDIDA)
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS MANUAIS E RESULTADOS ENTREVISTA


O MTODO QUE IMPLICA EM REUNIO ENTRE O AUDITOR (ENTREVISTADOR) COM OS ENVOLVIDOS COM O PONTO AVALIADO (ENTREVISTADOS) EXIGE CONVOCAES E ATAS, OU PR-MEMRIA, FORMAIS.

VERIFICAO IN-LOCO
O MTODO QUE IMPLICA NA OBSERVAO PESSOAL DO AUDITOR SOBRE AS ATIVIDADES, INSTALAES E/OU PRODUTOS AUDITADOS. NO PERMITE OBSERVAR TODAS AS SITUAES E A PRESENA DO AUDITOR MODIFICA O COMPORTAMENTO DAS PESSOAS.
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR PROCESSOS MANUAIS E RESULTADOS QUESTIONRIO


O MTODO QUE IMPLICA NA ELABORAO DE UM CONJUNTO DE PERGUNTAS PARA INTERROGAR MUITAS PESSOAS SIMULTANEAMENTE, SEM DESLOCAMENTO DO AUDITOR. EXIGE CONTROLE DOS QUESTIONRIOS ENVIADOS E DAS DEVOLUES COM AS RESPOSTAS.

ANLISE DE DOCUMENTO
O MTODO QUE CONSISTE EM ESTUDAR E ANALISAR O CONTEDO DE DOCUMENTAES SOBRE O ASSUNTO E/OU O SOBRE O OBJETO DA AUDITORIA.

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR RESULTADOS
ANLISE DE DADOS
O MTODO QUE CONSISTE NA ANLISE DE ARQUIVOS MAGNTICOS ATRAVS DE SOFTWARE ESPECFICOS OU PROGRAMAS DE COMPUTADOR QUE PODERO REALIZAR, ENTRE OUTRAS, AS SEGUINTES FUNES: 1. SELEO DE REGISTROS. 2. CONTAGEM DE REGISTROS. 3. SOMA, CLCULO DA MDIA, VARINCIA, DESVIO PADRO, MODA, MEDIANA ETC. 4. CONSTRUO DE HISTOGRAMAS. 5. ANLISE HORIZONTAL = COMPARAO ENTRE CAMPOS DE UM MESMO REGISTRO . 6. ANLISE VERTICAL = COMPARAO DE CAMPOS ENTRE REGISTROS.
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR RESULTADOS COMPARAO DE DADOS


O MTODO QUE CONSISTE NA COMPARAO ENTRE OS REGISTROS DE DOIS ARQUIVOS MAGNTICOS A E B, DIFERENTES, ATRAVS DE SOFTWARE ESPECFICOS OU PROGRAMAS DE COMPUTADOR, OBJETIVANDO AVERIGUAR A EXISTNCIA DE POSSVEIS INCONSISTNCIAS QUE PODERO REALIZAR, ENTRE OUTRAS, AS SEGUINTES FUNES:

1. SELEO DE REGISTROS (A QUE NO EST EM B; B QUE NO EST EM A OU QUE EST EM A E EM B). 2. CONTAGEM DE REGISTROS. 3. SOMA, CLCULO DA MDIA, VARINCIA, DESVIO PADRO, MODA, MEDIANA ETC.

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR RESULTADOS CONFIRMAO DE DADOS


O MTODO QUE CONSISTE NA CONFIRMAO DOS DADOS ARMAZENADOS EM UM ARQUIVO MAGNTICO , ATRAVS DE

SOFTWARE ESPECFICOS OU PROGRAMAS DE COMPUTADOR, POSSIBILITANDO VERIFICAR A VERACIDADE


DOS MESMOS. A ESTRATGIA MAIS UTILIZADA PARA ATINGIRMOS TAL OBJETIVO IMPLICA NA REALIZAO DE UMA CIRCULARIZAO. PARTICULARMENTE, NESTE CASO, DEVE-SE UTILIZAR AS TCNICAS DE ANLISE DE DADOS E DE COMPARAO DE DADOS, DE FORMA INTEGRADA E/OU COMPLEMENTAR.

Galegale & Associados

Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR RESULTADOS SCARF - SYSTEM CONTROL AUDIT REVIEW FILE


O MTODO QUE CONSISTE EM IMPLEMENTAR ROTINAS ESPECFICAS DE AUDITORIA DENTRO DOS PROGRAMAS DO SISTEMA PARA SELECIONAR DETERMINADAS TRANSAES COM DADOS REAIS DA PRODUO, GRAVANDO-AS EM UM ARQUIVO ESPECFICO DA AUDITORIA PARA POSTERIOR REVISO.

ANLISE DE DESIGN
O MTODO QUE CONSISTE EM ESTUDAR E ANALISAR AS ESTRUTURAS, OS PROJETOS E/OU OS DESENHOS, DOS RELATRIOS, FORMULRIOS, TELAS, MENUS E PGINAS WEB, OBJETOS DA AUDITORIA.
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica TCNICAS DE AUDITORIA DE SISTEMAS

AVALIAR RESULTADOS ANLISE DE DISTRIBUIO


O MTODO QUE CONSISTE EM ESTUDAR E ANALISAR O NMERO DE VIAS, A DISTRIBUIO E OS DESTINATRIOS DOS RELATRIOS E FORMULRIOS, BEM COMO OS ACESSOS DISPONIBILIZADOS S TELAS, MENUS E PGINAS WEB.

ANLISE DA DISTRIBUIO DO TRABALHO


O MTODO QUE CONSISTE NA ELABORAO DE UM QUADRO DE DISTRIBUIO DO TRABALHO QDT, OBJETIVANDO AVALIAR O PERFIL E CAPACITAO PROFISSIONAL, O EQUILBRIO NO VOLUME DE TRABALHO, AS TAREFAS E PROCEDIMENTOS DE EXECUO E AS CONDIES EXTERIORES DE MUDANA.
Galegale & Associados Marco Antnio TOM

CNASI2000 IX Congresso Nacional de Auditoria de Sistemas e Segurana em Informtica

TCNICAS DE AUDITORIA DE SISTEMAS E ANLISE DE RISCOS

Marco Antnio TOM

Muito Obrigado !
Fone: (11) 3862.6069
Galegale & Associados Setembro/2000

matome @ galegale.com.br

You might also like