Adicionar à colecção (s) Adicionar a salvo
  1. Negócios
  2. Administração

Segurança, Controle e Auditoria de Dados

Propaganda 
SEGURANÇA, CONTROLE E
AUDITORIA DE DADOS
2 – Conceitos
CONCEITOS

Campo:

Objeto a ser fiscalizado;
Entidade completa (pública ou privada);
 Uma parte selecionada da entidade;
 Uma função da entidade


Período de fiscalização,
Mês, ano...
 A gestão de algum administrador.


Natureza da auditoria
Operacional;
 Financeira;
 Legalidade; etc.

CONCEITOS

Âmbito:
Amplitude e exaustão dos processos de auditoria;
 Limitação racional dos trabalhos executados;
 Definirá:

Aprofundamento das tarefas de auditoria;
 Grau de abrangência.

CONCEITOS

Área de Verificação:
Formado pelo campo e âmbito da auditoria;
 Delimita de forma precisa os temas da auditoria.

Objeto
Sub 1
Sub 2
Sub 3
Área de
verificação
Campo
Campo
Período
Natureza
Âmbito
CONCEITOS

Controle:

Fiscalização exercida sobre as:
Atividades;
 Órgãos;
 Departamentos;
 Produtos.

O objetivo é que estes não se desviem das normas;
 Três tipos de controle:

Preventivo;
 Detectivo;
 Corretivo.

CONCEITOS

Controle Preventivo:


Prevenção de erros, omissões ou atos fraudulentos.
Controle Detectivo:
Detectar os erros, omissões ou atos fraudulentos;
 Relatar sua ocorrência.


Controle Corretivo:

Usados para reduzir impactos ou corrigir os erros
detectados (planos de contingência).
CONCEITOS

Controle Preventivo:


Prevenção de erros, omissões ou atos fraudulentos.
Controle Detectivo:
Detectar os erros, omissões ou atos fraudulentos;
 Relatar sua ocorrência.


Controle Corretivo:

Usados para reduzir impactos ou corrigir os erros
detectados (planos de contingência).
CONCEITOS

Objetivos de Controle:
Metas de controle a serem alcançadas;
 Efeitos negativos a serem evitados em:

Transações;
 Atividades;
 Funções.


Para serem alcançados, são traduzidos em diversos
procedimentos de auditoria.
CONCEITOS

Procedimentos de Auditoria:
Formam um conjunto de verificações que permitem
obter e analisar as informações necessárias à
formulação de opiniões no auditor;
 É necessário estabelecer estes procedimentos antes
da auditoria iniciar, pois aumenta a produtividade e
a qualidade do trabalho do auditor;
 Alguns órgãos têm manuais contendo os
procedimentos padrões utilizados para as auditorias.

CONCEITOS

Achados de Auditoria:
Fatos observados pelo auditor;
 Não necessariamente são falhas e/ou irregularidades,
podem também ser pontos fortes da organização;
 Somente deve constar no relatório se for, de fato, algo
relevante, e se for baseado em fatos e evidências
irrefutáveis.

CONCEITOS

Papéis de Trabalho:
Registros dos atos e fatos observados pelo auditor;
 Podem ser documentos, planilhas, tabelas, listas de
verificações, arquivos informatizados, imagens, etc;
 Dão suporte ao relatório de auditoria;
 Contém o registro de metodologia adotada,
procedimentos, verificações, fontes de informação,
testes, entre outras informações relacionadas ao
trabalho de auditoria.

CONCEITOS

Recomendações de Auditoria:
Realizada na fase final da auditoria;
 Medidas corretivas possíveis, sugeridas pela
instituição fiscalizadora, por meio do auditor;
 Podem ser (mas não necessariamente serão)
transformadas em determinações a serem cumpridas.

CONCEITOS

Natureza da Auditoria:
Não existe classificação padrão;
 As classificações mais comuns são:

Quanto ao órgão fiscalizador,
 Quanto à forma de abordagem do tema;
 Quanto ao tipo ou área envolvida.

CONCEITOS

Quanto ao órgão fiscalizador:

Auditoria Interna:
Realizada por um setor ou departamento interno da
organização avaliada;
 Esse setor/departamento deve ser um específico,
encarregado de avaliar e verificar os sistemas e
procedimentos internos;
 Tem como objetivo reduzir as probabilidades de:
 Erros,
 Fraudes,
 Práticas ineficientes ou ineficazes;
 Deve ser independente e prestar contas diretamente à
direção da organização.

CONCEITOS

Quanto ao órgão fiscalizador:

Auditoria Externa:
Realizada por uma instituição externa e independente da
organização avaliada;
 Emite pareceres sobre:
 Gestão de recursos;
 Situação financeira;
 Legalidade e regularidade das operações.

CONCEITOS

Quanto ao órgão fiscalizador:

Auditoria Articulada:
Utiliza ambos modos de auditoria: interna e externa;
 Beneficiada pela superposição de tarefas e
responsabilidades;
 Caracteriza-se pelo:
 Uso comum de recursos;
 Comunicação recíproca dos resultados.
 Custo mais alto;
 Falhas na comunicação afetariam o processo e, como
conseqüência, o resultado.

CONCEITOS

Quanto à Forma de Abordagem do Tema:

Auditoria Horizontal:
Um único tema;
 Avalia-se várias entidades ou serviços paralelamente.


Auditoria Orientada:
Auditoria focada em uma atividade;
 Esta atividade pode ser uma qualquer, como também pode
ser (mais provável e recomendável) uma com fortes indícios
de erros ou fraudes.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria de Programas de Governo:
Acompanhamento, exame e avaliação da execução de
programas e projetos governamentais específicos;
 Preocupa-se também com a efetividade das medidas
governamentais.


Auditoria Administrativa:
Engloba o plano da organização:
 Procedimentos;
 Documentos.
 Avalia os elementos que dão suporte à tomada de decisão.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria do Planejamento Estratégico:


Verifica se:
 Os principais objetivos da organização são atingidos;
 As políticas e estratégias de aquisição, utilização e
alienação de recursos são respeitadas.
Auditoria Contábil:
Relativa à salvaguarda dos ativos e à fidedignidade das
contas da instituição;
 Fornece certa garantia de que as operações e o acesso aos
ativos se efetuem de acordo com as devidas autorizações;
 Realizada em intervalos razoáveis de tempo;
 Exige medidas corretivas adequadas, caso sejam detectadas
falhas.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria Financeira (ou de Contas):
Analisa as contas, a situação financeira, legalidade e
regularidade das operações e aspectos contábeis,
financeiros, orçamentários e patrimoniais;
 Verifica se todas as operações foram corretamente
autorizadas, liquidadas, ordenadas, pagas e registradas;
 Averigua se foram tomadas as medidas necessárias para
registrar com exatidão e proteger todos os ativos;
 Confere se todas as operações registradas (assim como o
próprio registro) estão em conformidade com a legislação em
vigor.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria Operacional:
Incide em todos os níveis de gestão;
 Atua nas fases de programação, execução e supervisão;
 Tem como ponto de vista a economia, eficiência e eficácia;
 Pode ser conhecida também como “de Eficiência”, “de
Gestão”, “de Resultados”, “de Práticas de Gestão”;
 Audita todos os sistemas e métodos utilizados pelo gestor
para tomar decisões;
 Analisa a execução das decisões tomadas e aprecia até que
ponto os resultados pretendidos foram atingidos.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria de integrada:


Inclui, simultaneamente, a auditoria financeira e a
operacional.
Auditoria de Legalidade:
Também conhecida como “de Regularidade” ou “de
Conformidade”;
 Analisa a legalidade e regularidade das atividades, funções,
operações ou gestão de recursos;
 Verifica se todos esses elementos estão em conformidade
com a legislação vigente.

CONCEITOS

Quanto ao Tipo ou Área Envolvida:

Auditoria de Tecnologia da Informação:
Auditoria essencialmente operacional;
 Analisa os sistemas de informática, o ambiente
computacional, a segurança de informações, e o controle
interno da entidade fiscalizada;
 Identifica os pontos fortes e fracos da organização;
 Pode ser conhecida também como Auditoria “Informática”,
“Computacional” ou “de Sistemas”.

CONCEITOS

Auditoria de Tecnologia da Informação:
Analisa a gestão de recursos, com foco na eficiência,
eficácia, economia e efetividade;
 Pode abranger diversos aspectos, dependendo do
enfoque do auditor:

O ambiente de informática como todo: analisando aspectos
que influencias a segurança dos outros controles, como
segurança física e lógica, planejamento de contingencias...
 A organização do departamento como um todo, analisando:
aspectos administrativos, como políticas, padrões e
procedimentos organizacionais, gerencia de pessoal e
planejamento de capacidades .

CONCEITOS

Auditoria de Tecnologia da Informação:
Pode envolver controles sobre banco de dados, redes
de comunicação e de microcomputadores e controles
sobre os aplicativos;
 Não exige uma classificação padronizada de subáreas;
 Aqui usaremos as seguintes:

Auditoria de Segurança de Informações;
 Auditoria de Tecnologia da Informação;
 Auditoria de Aplicativos.

CONCEITOS

Auditoria de Tecnologia da Informação:

Auditoria de Segurança de Informações;
Determina a postura da organização em relação à
segurança;
 Avalia a política de segurança e os controles a ela
relacionados, principalmente de modo global;
 Envolve:
 Avaliação da política de segurança;
 Controles de acesso lógico;
 Controles de acesso físico;
 Controles ambientais;
 Plano de contingências e continuidade de serviços.

CONCEITOS

Auditoria de Tecnologia da Informação:

Auditoria de Tecnologia da Informação;
Abrange aspectos da Auditoria de Segurança de
Informações;
 Além deles, têm também outros controles, que podem
também influenciar a segurança, estes controles são:
 Organizacionais;
 De mudanças;
 De operação dos sistemas;
 Sobre banco de dados;
 Sobre microcomputadores;
 Sobre ambientes cliente-servidor.

CONCEITOS

Auditoria de Tecnologia da Informação:

Auditoria de Aplicativos:
Está voltada para a segurança de aplicações específicas,
incluindo elementos intrinsecos da área que o aplicativo
atende, como orçamento, contabilidade, estoque, venda,
pessoal etc.
 Esta auditoria compreende:
 Controle sobre o desenvolvimento de sistemas
aplicativos;
 Controles de entrada, processamento e saída de dados;
 Controles sobre o conteúdo e funcionamento do
aplicativo, em relação à área por ele atendida.

CONCEITOS

Acesso Lógico
Está relacionado com o acesso ao conteúdo da
informação.
 Abrange aspectos como:

acesso de pessoas a terminais e outros equipamentos de
computação,
 manuseio de listagens (uma questão também de acesso
físico),
 funções autorizadas dentro do ambiente informatizado
(transações e programas que pode executar),
 arquivos aos quais tenham acesso, etc.


Mesmo que as informações não estejam armazenadas
em computadores, valem os mesmos conceitos de
segurança de acesso lógico.
CONCEITOS

Propriedade da Informação
O conceito deriva do direito de posse direta ou
delegada sobre os ativos de informações, exercido em
nome da organização.
 Em princípio, a propriedade de um ativo pertence a
quem dele faz uso em função de uma necessidade
funcional.
 Normalmente, quem faz uso de um determinado ativo
é o seu criador, a pessoa que recebeu autorização do
mesmo.
 Também recebe o nome de gestão, sendo o
responsável pela administração das informações
conhecido também como gestor.

CONCEITOS

Custódia da Informação
Refere-se à pessoa ou organização responsável pela
guarda de um ativo de propriedade de terceiros,
sendo o conceito estendido ao domínio das
informações.
 A área de informática, ao contrário da visão clássica
ainda bastante aceita, é custodiante dos ativos de
informações das áreas usuárias, os legítimos
proprietários dos mesmos.
 Geralmente, uma vez recebida do proprietário, a
custódia não pode ser delegada.
 Implica a responsabilidade do receptor quanto à
integridade dos ativos custodiados.

CONCEITOS

Controle de Acesso
Está relacionado diretamente ao acesso concedido. Sua
função é garantir que o acesso seja feito somente dentro dos
limites estabelecidos. Esse controle é exercido por meio de
mecanismos como senhas, listas de acesso, categorias,
níveis de acesso, privilégios de acesso, etc.
 Senhas




Constituem o mecanismo de controle de acesso mais antigo
usado pelo ser humano para impedir acessos não autorizados.
Foram e ainda são muito usadas como forma de se controlar o
acesso a recursos de informação.
Modernamente, tendem a ser usadas apenas como mecanismo
de autenticação de identidade de usuários, através da
atribuição de uma senha exclusiva para cada chave de acesso
ou identificação de usuários individuais.
Á medida que evolui a tecnologia, as senhas tendem a ser
substituídas por alguma característica físico-biométrica do
usuário, como a imagem da íris, a impressão digital, a voz, etc.
CONCEITOS

Controle de Acesso

Chaves de acesso ou identificações


Códigos de acesso atribuídos a usuários; cada um recebe
uma chave de acesso única e individual. A cada chave de
acesso é associada uma senha destinada a autenticar a
identidade do usuário que possui essa chave.
Listas de acesso

Constitui uma espécie de tabela onde constam o tipo e o
nome do recurso, ao qual são associadas as identificações de
usuários com os tipos de operações permitidas aos mesmos.
CONCEITOS

Controle de Acesso
Operações
 Determinam o que cada usuário pode fazer em
relação a determinado recurso. Normalmente,
consistem no seguinte:

Leitura - o usuário pode somente consultar informações;
 Gravação - o usuário pode incluir informações;
 Alteração - o usuário pode alterar informações existentes;
 Exclusão - o usuário pode excluir informações existentes;
 Eliminação - o usuário pode eliminar o meio físico de
suporte das informações;
 Execução - em ambientes informatizados, permite que o
usuário possa executar comandos ou programas contidos em
arquivos.

CONCEITOS

Acesso Físico
Acesso ou posse de um ativo do ponto de vista físico é
o uso que se faz de determinado recurso. No caso de
informações, está representado pelo acesso ao meio de
registro ou suporte que abriga as informações;
 Normalmente, os riscos relacionados com o acesso
físico afetam os meios de registro e suporte das
informações, ao passo que os riscos relacionados com
o acesso lógico afetam o conteúdo.

CONCEITOS

Plano de contingência
Um plano global destinado a manter o ambiente de
informações da organização totalmente seguro contra
quaisquer ameaças a sua integridade e
disponibilidade.
 Consiste em procedimentos de recuperação préestabelecidos, com a finalidade de minimizar o
impacto sobre as atividades da organização no caso
de ocorrência de um dano ou desastre que os
procedimentos de segurança não conseguiram evitar.
 Estatísticas européias demonstram que mais de três
quartos das empresas que sofreram um desastre
envolvendo a perda de seu ambiente de informações
fecham imediatamente ou no máximo em dois anos.

CONCEITOS

Preservação e recuperação de informações
O conceito de preservação está ligado à necessidade
de sobrevivência dos acervos de informações, evitando
eventos que causem sua destruição.
 O conceito de recuperação aplica-se a recursos que
tenham sido destruídos ou danificados, permitindo
que os mesmos sejam novamente disponibilizados
para uso

Documentos relacionados
Princípios de Auditoria
Princípios de Auditoria
doc
doc
Realização - Professor Sandro
Realização - Professor Sandro
A Importância da Auditoria Externa na Gestão de uma
A Importância da Auditoria Externa na Gestão de uma
Banco de Dados, Sistemas de Informações
Banco de Dados, Sistemas de Informações
A SUGESTÃO DE UM MODELO PARA REALIZAÇÃO DE UM
A SUGESTÃO DE UM MODELO PARA REALIZAÇÃO DE UM
Auditoria Subsidiando Ações Preventivas de Saúde
Auditoria Subsidiando Ações Preventivas de Saúde
Abordagens Ao redor do computador Ao redor do computador
Abordagens Ao redor do computador Ao redor do computador
slide 2 - Congresso Brasileiro de Contabilidade
slide 2 - Congresso Brasileiro de Contabilidade
Resumo_20030292
Resumo_20030292
Download
Propaganda