Categorias
Auditoria Tecnologia da Informação

Auditoria de TI na prática: primeiros passos

Auditoria de TI é uma das linhas de defesa voltada para a avaliação de riscos e controles (ITGC) que envolvem tecnologia da Informação (GTAG-1), segurança da Informação e uso de dados pessoais na Auditoria Interna.

Auditar o ITGC (Information Technology General Controls) é um dos primeiros aprendizados do auditor com formação em TI.

ITGC

ITGC é sigla em inglês para o conjunto de Controles Gerais de Tecnologia da Informação. O ITGC é dividido em 4 grupos:

Access to Program and Data

Acesso a Programas e Dados geralmente considera os seguintes itens:

  • Políticas e procedimentos;
  • Revisões periódicas de acessos;
  • Parâmetros de senha;
  • Contas de acessos privilegiados (root, superuser);
  • Acesso físico;
  • Segregação de funções de acesso;
  • Criptografia;
  • Autenticação de sistemas;
  • Logs de auditoria;
  • Segurança de rede.

Program Changes and Development

Programa de Mudanças ou gestão de mudanças e desenvolvimento envolve os seguintes temas:

  • Políticas e Procedimentos;
  • Metodologia de desenvolvimento de sistemas;
  • Migração entre ambientes e segregação de funções (desenvolvimento, homologação e produção);
  • Configuração de mudanças;
  • Mudanças emergenciais;
  • Migração de dados e controle de versões;
  • Pós implementação: testes e revisão.

Computer Operations

Operação de Computadores abrange atividades cotidianas como:

  • Processamento Batch;
  • Monitoramento de jobs;
  • Procedimentos de cópia de segurança (backup) e recuperação (recovery) de dados;
  • Mudanças no agendamento de jobs batch;
  • Controles de ambiente (temperatura, fumaça, inundação);
  • Plano de Recuperação de Desastres (DRP);
  • Plano de Continuidade de Negócio (BCP);
  • Gerenciamento de atualizações.

GTAG

Como complemento ao ITGC, o GTAG (Global Technology Audit Guide) é um guia de boas práticas para auditar TI. Este guia foi desenvolvido pelo Instituto de Auditores Internos (IIA).

  • GTAG 1: Information Technology Controls
  • GTAG 2: Change and Patch Management Controls: Critical for Organizational Success
  • GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
  • GTAG 4: Management of IT Auditing
  • GTAG 5: Managing and Auditing Privacy Risks
  • GTAG 6: Managing and Auditing IT Vulnerabilities
  • GTAG 7: Information Technology Outsourcing
  • GTAG 8: Auditing Application Controls
  • GTAG 9: Identity and Access Management
  • GTAG 10: Business Continuity Management
  • GTAG 11: Developing the IT Audit Plan
  • GTAG 12: Auditing IT Projects
  • GTAG 13: Fraud Prevention and Detection in the Automated World
  • GTAG 14: Auditing User-developed Applications
  • GTAG 15: Formerly Information Security Governance–Removed and combined with GTAG 17
  • GTAG 16: Data Analysis Technologies
  • GTAG 17: Auditing IT Governance

Gestão de Acessos Lógicos

A gestão de acessos lógicos é a célula responsável por conceder, bloquear e revogar acessos lógicos. Estes acessos podem ser à sistemas (AD, aplicações, bancos de dados), infraestrutura (pastas de rede, firewall, VPN) ou hardware (usb, impressoras, servidores, data centers).

Auditar este processo (GTAG-9) envolve verificar:

  • Há exigência de senhas fortes (tamanho mínimo, caracteres especiais, letras e números, caracteres especiais)?
  • Na troca, as senhas anteriores podem ser reutilizadas?
  • Há expiração por tempo de uso?
  • Há bloqueio por tentativas incorretas e consecutivas?
  • As senhas são armazenadas com criptografia?
  • Há senhas compartilhadas?
  • Há usuários genéricos, sem responsável ou sem senha definida?
  • Os acessos são revisados periodicamente?
  • Movimentações e desligamentos são comunicados para revogação ou adequação de acessos?

Existem companhias que centralizam a Gestão de Acessos em um departamento de Segurança da Informação.

Segurança da Informação

ISO27000 é talvez um dos principais guias na condução de trabalhos que avaliem riscos de segurança da informação.

Geralmente são avaliados os seguintes temas: gestão de acessos de software e rede, atualizações de segurança, atualização de antivírus, regras de firewall, acesso remoto (VPN – Virtual Private Network), gestão de incidentes de segurança, prevenção de vazamento de informações (DLP – Data Loss Prevention), uso de dispositivos móveis, mídias removíveis, proteção contra hackers e ciber ataques. (GTAG-15).

A segurança dos dados pessoais é especialmente importante com a implantação da nova lei de proteção de dados pessoais – LGPD. Os dados de uma empresa podem conter inúmeras informações pessoais. A proteção destes dados exige criptografia, armazenamento seguro, anonimizar dados pessoais completos e novos cuidados na coleta de dados web.

Desenvolvimento de Software

Avaliar o SDLC (Software Development Life Cycle) envolve o controle de versões, armazenamento seguro de código fonte, uso seguro de bibliotecas e API’s. (GTAG-8)

Operação

Avaliar os riscos e controles que garantem o funcionamento do negócio. Como garantir que os dados estejam disponíveis, acessíveis e íntegros?

Quando algo deixa de funcionar, como são os processos de Suporte, solução de Incidentes e Problemas?

Propriedade e Uso de Software

Existem controles de Licenciamento de software? Há uso de software livre (open source) e shadown IT (GTAG-14)?

Projetos e Terceirização

Há gestão de projetos que permita o acompanhamento do uso de recursos, qualidade das entregas, cumprimento de cronograma? (GTAG-12)

Há projetos terceirizados? Existe risco trabalhista? Conflito de interesses? (GTAG-7)

Os terceiros têm acesso a dados desnecessários, sensíveis, sigilosos ou estratégicos? (GTAG-5)

Continuidade

O programa de Continuidade ou BCM (Business Continuity Management) contém uma série de documentos e atividades para garantir a retomada de sistemas críticos. (GTAG-10)

DRP (Disaster Recovery Plan) é o plano de recuperação de desastres.

No caso de um evento negativo que interrompa as atividades da Companhia, o DRP indica as ações que devem ser tomadas para a retomada dos serviços e quem são os responsáveis por cada uma delas.

Governança

Cada vez mais comum nos departamentos de TI, a área de governança de TI participa e auxilia na primeira linha de defesa de riscos e controles.

Algumas das atividades podem ser: gestão de SLA (Service Level Agreement), acompanhamento de indicadores, orçamento, gestão de fornecedores, mudanças, incidentes, problemas e etc (GTAG-2).

Curso de auditoria de TI

Em geral, não há muitas opções de curso de auditoria de tecnologia da informação. Há pós-graduações, matérias em alguns cursos de graduação, certificações profissionais, mas poucos cursos de base profissionalizante.

Como começar na auditoria de TI?

Normalmente, o profissional inicia a sua carreira em um processo de trainee em uma Big 4. Estão neste grupo as 4 maiores empresas de Consultoria ou Auditoria Externa. São elas: Deloitte, E&Y, KPMG e PwC.

Auditoria Contínua de TI

Quando o teste de riscos e controles é realizado de forma automatizada e periódica chamamos a atividade de Auditoria Contínua (GTAG-3). O ACL Analytics é uma das principais ferramentas de Auditoria Interna. Leia mais aqui.

Referências sobre Auditoria de TI

COBIT, Isaca

ITIL, Axelos

ISO/IEC, ABNT

GTAG, IIA

Categorias
ACL Analytics Auditoria Big Data Compliance Data Analytics Data Science Estatística Inteligência Artificial Python R RPA SAP Segurança da Informação Tecnologia da Informação

Auditoria Contínua e Data Analytics na Auditoria Interna

Auditoria Contínua ou Monitoramento Contínuo de Riscos é um tema relativamente recente para profissionais de auditoria interna, governança corporativa e análise de dados.

Assim sendo, o assunto é pertinente em qualquer uma das linhas de defesa (Gestão, Auditoria Interna, Auditoria Externa, Gerenciamento de Riscos, Controles Internos, Compliance, Prevenção de Fraudes, etc.).

O que é Auditoria Contínua?

A metodologia de auditoria interna já é muito bem consolidada:

  • Mapeamento de processo e controle interno;
  • Criação do mapa de risco;
  • Análise de probabilidade e impacto;
  • Programa de testes para auditar;
  • Documentação dos papéis de trabalho;
  • Emissão de relatório ou parecer.

Auditoria Contínua é o processo de criação de rotinas automatizadas e periódicas de análise de dados e monitoramento contínuo. Gatilhos e critérios são pré-definidos em scripts (código-fonte/programação) para identificar exceções ou outliers (situações não usuais). São “robôs” que utilizam sistemas e ferramentas de análise de dados. Os robôs auxiliam na identificação de riscos, prevenção de fraudes, avaliação da segurança da informação, auditoria preventiva e testes de conformidade.

Uma atividade estreitamente relacionada aos auditores de TI, a Auditoria Contínua, ou Monitoramento Contínuo, provavelmente iniciou-se com as técnicas de auditoria com auxílio de sistemas, mais conhecidas como CAATs (Computer-Assisted Audit Techniques).

Monitoramento Contínuo

Usando ferramentas de análise de dados, como ACL (Audit Command Language) – agora chamado de Galvanize ACL Analytics, este profissional, aplica os conhecimentos de auditoria com o auxílio da ferramenta.

Consistindo relatórios, sumarizando campos, relacionando bases de diferentes sistemas, e criando amostras aleatórias com facilidade.

Há ainda outras ferramentas de análise de dados como Arbutus, SAS, IDEA e até mesmo o SQL Server pode ser utilizado com esta finalidade.

Transformando essas análises em scripts ACL, pode-se criar rotinas automatizadas de:

  • Monitoramento contínuo de riscos inerentes ao processo;
  • Testes de controles;
  • Simulação de controles;
  • Identificação e prevenção de fraude;
  • Gerar alertas de eventos ou comportamentos não usuais de acordo com o objetivo da auditoria.

Estes podem estar relacionados à segurança da informação, controle efetivo de inventário, quebra de alçada, pagamentos duplicados ou suspeitos e etc..

A automatização traz muitos benefícios:

  • Otimizar o plano de auditoria;
  • Implantar uma metodologia ágil;
  • Ganhar eficiência;
  • Evitar o retrabalho;
  • Reduzir custos;
  • Ampliar o escopo;
  • Novos métodos de visualização do parecer de auditoria;
  • Execução recorrente;
  • Análise em larga escala;
  • Alinhar interesses da auditoria e das áreas de negócios;
  • Fazer mais com menos.

Segurança dos Dados

Com alguns acessos de leitura ao AD (Active Directory) e relatórios gerenciais em ferramentas como o SCCM (System Center Configuration Manager), testes típicos de ITGC (Information Technology General Controls) podem ser realizados à distância e em tempo real sem a dependência da área de TI.

O monitoramento de transações críticas através de logs de acesso, revisão de perfis e funções pode ser facilmente avaliado comparando os dados eletrônicos e identificando situações em desacordo com as políticas e procedimentos da organização.

Auditoria Contábil

Escandalos recentes de corrupção e lavagem de dinheiro no Brasil demonstraram a importância de fortalecer a Governança Corporativa. Ficou evidente que o combate corrupção está intimamente ligado à identificação da “Contabilidade Criativa”. Movimentações atípicas reportadas pelo antigo COAF demonstraram a efetividade inegável de seguir “a rota do dinheiro do dinheiro sujo”.

A auditoria contabil, antes baseada em amostras aleatórias, evidências fornecidas pelo contador e testes de journal entries. Agora pode ser realizada de forma automática para a base completa com o cruzamento de dados. Isso amplia a cobertura de Riscos analisados.

Mapeando-se os processos, contas contábeis, tipos de documentos e comportamentos esperados podem-se identificar outliers: valores inconsistentes, atípicos, incompatíveis com o restante da série.

A análise de dados é facilitada quando a companhia utiliza dados estruturados em um sistema de ERP (Enterprise Resource Planning) como por exemplo o SAP. Neste tipo de sistema, há transações standard para cada processo, e as informações podem ser acessadas e extraídas diretamente na transação.

O ganho de eficiência vêm com conhecimento das tabelas internas do SAP. Pode-se extrair grandes volumes de dados de uma vez. Utilizamos a transação SE16, conectores ou transações ABAP.

Inovação na Auditoria Interna

A inovação é peça chave neste tipo de atividade, e está cada vez mais relacionada às tendências da área de TI: RPA, BI, Big Data, Data Science. Novos cenários se apresentam ao auditor:

  • Cloud Computing;
  • Gamificação;
  • Aplicativos mobile;
  • Internet das Coisas (IOT);
  • Trabalho remoto;
  • BYOD (Bring Your Own Device);
  • Metodologias ágeis e etc.

Exige-se portanto uma visão disruptiva do profissional para novos riscos, novos tipos de auditoria e novas possibilidades de auditar.

Automatização e RPA

O RPA (Robot Process Automation) vêm se destacando no mercado como solução de ganho de eficiência. No RPA, um robô é programado para executar tarefas sequenciais e repetitivas.

Quando associado à Inteligência Artificial, permite ainda a execução de atividades mais sofisticadas com um alto grau de precisão e aprimoramento contínuo.

Os humanos ficam liberados para atividades mais complexas, subjetivas, que exijam planejamento, estratégia e julgamento como conduta e integridade na prevenção de fraudes.

Data Science e Big Data

As Companhias estão estruturando planos de Transformação Digital, e temas como ciência de dados, data warehouse, data lake e os 3 V´s do Big Data já são corriqueiros.

O cientista de dados já um profissional cobiçado no mercado, embora o tema ainda seja bastante novo e esteja em constante aprimoramento.

As empresas de auditoria interna, consultoria, auditoria externa, faculdades, os profissionais – todos querem surfar esta onda cheia de jargões de análise de dados.

Resta ao profissional de gestão de riscos corporativos que deseja acompanhar estas inovações buscar a atualização de conhecimentos. Procure fortalecer a base teórica em matemática, especialmente estatística, desenvolver habilidades de programação e análise de dados.

Um bom começo pode ser o ACL ou ferramenta semelhante de análise de dados. Depois, cabe conhecer a linguagem R, Python e acompanhar os impactos da Inteligência Artificial e Robotização nos processos da Companhia.

Referências sobre Auditoria Contínua

Ficando Um Passo À Frente O Uso da Tecnologia por parte da Auditoria Interna (IIA/Michael P. Cangemi, 2015)

Auditoria Interna no Brasil

Categorias
Auditoria

5 livros para gostar (e entender) de matemática

Resumo: Indicação de livros sobre matemática. Como entender matemática básica, estatística e cálculo. Se você busca por matemática para concursos, pós-graduação (mestrado, doutorado ou MBA), ou mesmo aplicações de modelos de ciência de dados e inteligência artificial, este artigo pode ajudá-lo.

Matemática é muito difícil! Não sou de exatas!

Será? Se você viu a figura do artigo e ficou com arrepios, você não está sozinho! A matemática é um desafio para muitos. Seja na fase escolar, faculdade ou MBA, os conceitos matemáticos atormentam a maioria dos alunos. Mas, se você chegou até aqui, imagino que você tenha algum interesse pelo assunto. Ou, como eu, tenha aquela vontade de dar o troco, e, finalmente entender esse bicho de sete cabeças que sempre lhe atormentou na fase de estudante.

Neste post, destaco alguns livros que me ajudaram a gostar de matemática e a entender muitos conceitos dessa área de conhecimento. Neles, você verá que não precisa ser de “exatas” para entender o assunto – tem muita “humanas” na matemática! Muitos filósofos discutiram e criaram conceitos que direcionaram esta área da ciência. Vamos aos livros!

A Matemática do Dia a Dia

Já no prefácio, o Steven Strotgatz assume o desafio de te convencer a gostar dessa matéria. Com uma linguagem simples, o leitor entende o surgimento da matemática e seus conceitos.

Como surgiram os números? E o zero? Por que contamos de um a dez? Como a matemática foi influenciada pela religião? Compre no link da Amazon.

O Poder do Infinito

Para leitores mais avançados – mas nem tanto. Aqui o brilhante professor Steven Strogatz explica conceitos do cálculo: integrais, derivadas, limites. O que é o infinito? Como funciona o GPS? O que essas coisas tem a ver com filosofia?

O livro também conta muitas curiosidades históricas sobre pessoas que contribuíram para a evolução do cálculo. Compre no link da Amazon.

O Andar do Bêbado

Este livro genial abre a sua cabeça. Sério! Acreditamos que tudo tem motivo, que somos responsáveis por nossas conquistas e derrotas. Mas não é bem assim. Neste livro, o professor Leonard Mlodinow explica como os eventos aleatórios permeiam o nosso dia a dia e influenciam nossa vida.

O livro também trás curiosidades, muitas inesperadas, sobre os grandes gênios da matemática e estatística. Compre no link da Amazon.

Como Mentir com Estatística

Bem humorado e repleto de ilustrações, este livro de 1954 (!), continua mais atual do que nunca.

Darrel Huff (um jornalista!), mostra como dados estatísticos são distorcidos para te fazer acreditar em uma fake news. Como selecionada uma amostra? Como são feitas as pesquisas de “boca de urna”? E a tal da média – seria útil em todos os casos? Compre no link da Amazon.

Estatística: O que é, para que serve, como funciona

Mais didático – impossível! Charles Wheelan (outro jornalista!) faz o assunto parecer fácil! Compre no link da Amazon.

Para mais detalhes sobre ciência de dados, inteligência artificial e auditoria, acesse Audit Insight.

Categorias
Auditoria

Git: Controle de Versões – Básico I

E esse tal de GitHub? Resolvi estudar sobre o assunto e fiz este post com o aprendizado. Ao realizar uma busca, você com certeza já se deparou com muitas soluções disponíveis na plataforma: códigos em Python, projetos do Arduino, portfólios de Machine Learning e até mesmo livros!

No GitHub o autor pode compartilhar os códigos-fonte de sua obra, como no caso do livro “Mãos à Obra: Aprendizado de Máquina com Scikit-Learn, Keras & TensorFlow“, de Aurélien Géron. Todos os códigos fontes estão disponíveis no GitHub do autor neste link.

Git e GitHub

O que é Git? O Git é um sistema de controle de versões desenvolvido em 2005 pelo criador do Linux, Linus Torvalds. O Git é gratuito e open source e tem apoio de toda uma comunidade de desenvolvedores pelo mundo. Já o GitHub é um dos repositórios – talvez o mais famoso e utilizado.

Mais do que um simples backup – o controle de versões permite que você controle de forma organizada e sistemática cada uma das alterações que ocorreram no projeto. Com ele, é possível saber quando ocorreu cada mudança, o que mudou, quem mudou e porque mudou.

Você também fazer o rollback – voltar para uma versão específica antes de uma mudança significativa ou mesmo um erro.

Crie uma conta no Github e Instale o Git

Acesse o GitHub e crie uma conta gratuita. Depois faça o download do instalador do Git de acordo com o seu sistema operacional e crie um repositório. Os repositórios podem ser públicos ou privados dependendo do seu objetivo.

Defina uma diretório para sincronização na sua máquina.

Crie uma pasta no seu computador onde ficarão todos os seus projetos hospedados no GitHub. Por exemplo: c:\Repositorios\.

cd c:\
mkdir Repositorios
cd Repositorios

Utilize o Git Bash

Após instalar o Git, procure no menu iniciar pelo Git Bash. Aqui você poderá digitar os principais comandos Git. Para verificar em qual diretório você se encontra, utilize o comando abaixo.

git pwd

Para listar os diretórios da pasta atual:

ls

Stage, Commit, Push

Verifique o status de sincronização dos seus diretórios:

git status

Para realizar o Stage e selecionar todos os itens da pasta atual, digite o comando:

git add .

Para realizar o Commit, digite o comando:

git commit -m "Atualizando meu diretório"

O último passo é subir todo o conteúdo para o seu repositório no GitHub, com o comando Push:

git push

Contribua

Por ser tratar de uma tecnologia Open Source, você pode baixar o código-fonte do Git – utilizando o próprio Git, com o comando:

git clone https://github.com/git/git

Utilize o mesmo comando para copiar projetos para o seu repositório.

Referências

O Coursera possui diversos cursos sobre Git, GitHub e Controle de versões. Este artigo foi escrito com base no conteúdo deste curso da Emory University: Modelos reproduzíveis para análise e divulgação.

Você pode utilizar este cheatsheet do GitHub como guia de referência. Se você trabalha com a linguagem R, outro guia muito legal é o HappyGitWithR. Consulte também estes documentos: cheatsheet do RStudio, Atlassian e GitLab.

Este artigo do Medium pode ser útil.

Post original: Linkedin

você está offline!