definição de auditoria de TI – uma auditoria de TI pode ser definida como qualquer auditoria que abranja a revisão e avaliação de sistemas automatizados de processamento de informação, processos não automatizados relacionados e as interfaces entre eles. O planeamento da auditoria informática envolve dois passos importantes. O primeiro passo é recolher informações e fazer algum planejamento o segundo passo é obter uma compreensão da estrutura de controle interno existente. Cada vez mais organizações estão se movendo para uma abordagem de auditoria baseada no risco, que é usada para avaliar o risco e ajuda um auditor de TI a tomar a decisão de realizar testes de conformidade ou testes substantivos. Numa abordagem baseada no Risco, Os auditores de TI dependem de controlos internos e operacionais, bem como do conhecimento da empresa ou do negócio. Este tipo de decisão de avaliação de Riscos pode ajudar a relacionar a análise custo-benefício do controlo com o risco conhecido. Na fase de “recolha de informações”, o auditor de TI precisa de identificar cinco itens:informações financeiras recentes estatutos regulamentares avaliações de risco inerentes a uma nota lateral sobre “riscos inerentes”, é defini-la como o risco de existir um erro que possa ser significativo ou significativo quando combinado com outros erros encontrados durante a auditoria, assumindo que não existem controlos de compensação relacionados. Como um exemplo, atualizações complexas de banco de dados são mais propensas a serem escritas incorretamente do que simples, e as unidades de polegar são mais propensas a serem roubadas (desviadas) do que servidores blade em um armário de servidores. Os riscos inerentes existem independentemente da auditoria e podem ocorrer devido à natureza da empresa.na fase “obter uma compreensão da estrutura de Controlo Interno existente”, o auditor de TI precisa de identificar cinco outros domínios/itens:procedimentos de controlo avaliação do risco de detecção avaliação do risco de controlo avaliação do risco de controlo equacionar o risco total quando o auditor de TI tiver “recolhido informações” e “compreenda o controlo”, estão prontos para iniciar o planeamento ou a selecção das áreas a serem auditadas. Lembre-se de uma das principais informações de que precisará nas etapas iniciais é uma análise de Impacto de negócios atual (BIA), para ajudá-lo a selecionar a aplicação que suporta as funções de negócios mais críticas ou sensíveis.objectivos de uma auditoria de TI na maioria das vezes, os objectivos de auditoria de TI concentram-se em comprovar que os controlos internos existem e estão a funcionar como previsto para minimizar o risco comercial. Estes objetivos de auditoria incluem garantir o cumprimento dos Requisitos Legais e regulamentares, bem como a confidencialidade, integridade e disponibilidade (CIA – não a agência federal, mas a segurança da informação) de sistemas de informação e dados.
estratégias de auditoria de TI
Existem duas áreas para falar aqui, a primeira é se deve fazer testes de conformidade ou substantivos e a segunda é “Como faço para obter as provas para me permitir auditar o pedido e fazer o meu relatório para a gestão?”Então, qual é a diferença entre conformidade e testes substantivos? O teste de Conformidade está recolhendo provas para testar se uma organização está seguindo seus procedimentos de controle. Por outro lado, os testes substantivos estão a recolher provas para avaliar a integridade dos dados individuais e de outras informações. Por exemplo, os ensaios de Conformidade dos controlos podem ser descritos com o seguinte exemplo. Uma organização tem um procedimento de controle que afirma que todas as mudanças de aplicação devem passar pelo controle de mudança. Como auditor de TI, você pode pegar a configuração atual de execução de um roteador, bem como uma cópia da geração-1 do arquivo de configuração para o mesmo roteador, executar um arquivo comparar para ver quais eram as diferenças; e, em seguida, pegar essas diferenças e procurar suporte para a documentação de controle de mudança. Não se surpreenda ao descobrir que os administradores da rede, quando eles são simplesmente re-sequenciando regras, se esquecem de colocar a mudança através do controle de mudança. Para testes substantivos, digamos que uma organização tem Política / procedimento sobre fitas de backup no local de armazenamento offsite que inclui 3 gerações (avô, pai, filho). Um auditor de TI faria um inventário físico das fitas no local de armazenamento fora do local e comparar esse inventário com o inventário das organizações, bem como olhando para garantir que todas as 3 gerações estavam presentes.
A Segunda Área trata de ” Como faço para obter as evidências que me permitem auditar a aplicação e fazer o meu relatório para a gerência?”Não deve ser surpresa que precises:
- Revisão da estrutura organizacional da TI
- Revisão de políticas e procedimentos
- Revisão de normas de TI
- Revisão de documentação
- Análise da organização BIA
- Entrevista pessoal apropriado,
- Observar os processos e o desempenho do funcionário
- Exame, que incorpora, por necessidade, o teste de controles, e, portanto, inclui os resultados dos testes.
como comentário adicional sobre a recolha de provas, a observação do que um indivíduo realmente faz versus o que é suposto fazer, pode fornecer ao auditor de TI provas valiosas quando se trata de controlar a implementação e compreensão pelo utilizador. Também realizar um passeio pode dar uma visão valiosa sobre como uma função particular está sendo realizada.os controlos Gerais aplicam-se a todas as áreas da organização, incluindo a infra-estrutura de TI e os Serviços de apoio. Alguns exemplos de controlos gerais são::controlos administrativos políticas e procedimentos de segurança física e lógica para todos os centros de dados e recursos informáticos os controlos de Aplicação referem-se às transacções e aos dados relativos a cada sistema de Aplicação informatizado; portanto, eles são específicos para cada aplicação. Os objectivos dos controlos dos pedidos são assegurar a exaustividade e a exactidão dos registos e a validade das entradas que lhes são feitas. Os controlos de aplicação são controlos das funções IPO (input, processing, output) e incluem métodos para garantir que::
- Somente completas, precisas e válidas dados são inseridos e atualizados em um sistema de aplicação
- Processamento realiza o projetado e corrigir a tarefa
- Os resultados do processamento de atender às expectativas
- Dados são mantidos
Como um auditor de TI, suas tarefas quando executar uma aplicação de controle de auditoria deve incluir:
- Identificar o significativo componentes da aplicação; o fluxo de transações por meio do aplicativo (sistema); e obter uma compreensão detalhada da aplicação, revendo toda a documentação disponível e entrevistando o pessoal adequado, como proprietário do sistema, proprietário dos dados, depositário dos dados e administrador do sistema.
- Identificar o controle da aplicação de forças e avaliar o impacto, se houver, de fraquezas que você encontrar na aplicação de controles
- o Desenvolvimento de uma estratégia de teste
- Teste os controles para garantir a sua funcionalidade e eficácia
- Avaliação de seus resultados de teste e quaisquer outras evidências de auditoria para determinar se os objetivos de controle foram alcançados
- Avaliação da aplicação contra objetivos da administração para o sistema, para garantir a eficiência e a eficácia.
revisão do controlo de auditoria de TI
Depois de reunir todas as provas, o auditor de TI irá analisá-las para determinar se as operações auditadas são bem controladas e eficazes. Agora é aqui que seu julgamento subjetivo e experiência entram em jogo. Por exemplo, você pode encontrar uma fraqueza em uma área que é compensada por um controle muito forte em outra área adjacente. Como auditor de TI, é da sua responsabilidade comunicar estas duas constatações no seu relatório de auditoria.
o entregável da auditoria
assim, o que está incluído na documentação da auditoria e o que o auditor de TI precisa fazer quando a auditoria estiver concluída. Aqui está a lista de lavanderia do que deve ser incluído em sua documentação de auditoria:
- Planejamento e preparação da auditoria, escopo e objetivos
- Descrição e/ou orientações sobre o escopo de auditoria da área
- programa de Auditoria
- Auditoria etapas executadas e evidências de auditoria reuniu
- Se os serviços de outros auditores e especialistas foram utilizados e suas contribuições
- resultados da Auditoria, conclusões e recomendações
- documentos de Auditoria relação com a identificação de documentos e datas (sua referência cruzada das evidências de auditoria passo)
- Uma cópia do relatório emitido como resultado do trabalho de auditoria
- Evidência de auditoria de supervisão revisão
Quando comunicar os resultados da auditoria à organização, normalmente será feita numa entrevista de saída, onde terá a oportunidade de discutir com a direcção quaisquer conclusões e recomendações. Você precisa estar absolutamente certos de:
- Os fatos apresentados no relatório estão corretas
- As recomendações são realistas e custo-benefício, ou alternativas têm sido objeto de negociação com a gestão da organização
- O recomendado datas de implementação será acordado para as recomendações que você tem em seu relatório.
a sua apresentação nesta entrevista de saída incluirá um resumo executivo de alto nível (como o Sgt. Friday costumava dizer, apenas os factos, por favor, apenas os factos). E por qualquer razão, uma imagem vale mil palavras, assim como alguns slides PowerPoint ou gráficos em seu relatório.o seu relatório de auditoria deve ser estruturado de modo a incluir::
- introdução (resumo executivo)
- Os resultados estão em uma seção separada e agrupados por destinatário
- a Sua conclusão geral e parecer sobre a adequação dos controles examinados e identificados riscos potenciais
- Qualquer ressalvas com respeito à auditoria
- Detalhadas conclusões e recomendações
Finalmente, existem algumas outras considerações que você precisa para estar ciente de quando a preparação e a apresentação de seu relatório final. Quem é o público? Se o relatório for para o Comité de auditoria, eles podem não precisar de ver a minúcia que entra no relatório da unidade de negócios local. Você terá que identificar os critérios organizacionais, profissionais e governamentais aplicados, como GAO-Yellow Book, CobiT ou NIST SP 800-53. O vosso relatório vai querer ser oportuno para encorajar medidas correctivas rápidas.