Download - Auditoria de Sistemas e COBIT
1
Grupo 3Auditoria de Sistemas & COBIT
Integrantes:
Rafael Ribas Ferreira, 7976054
Leandro Massaki Yonemura, 7975870
2 Agenda
1. Introdução
i. Contextualização
ii. A informática nos negócios
iii. Os sistemas de informação
iv. A estrutura de T.I. nas empresas
v. O gestor de T.I.
2. A Auditoria de Sistemas
i. O que é?
ii. Como funciona?
iii. Quais são os tipos existentes?
iv. As certificações
v. QOS (Quality of Service)
3 Agenda
3. COBIT
i. O que é?
ii. Quais seus objetivos?
iii. Quais seus princípios?
iv. Habilitadores / Viabilizadores
v. Cascata de objetivos
vi. Quais os benefícios?
vii. Evolução histórica
viii. Implementação
4. Perguntas
4 1. Introdução
i. Contextualização
ii. A informática nos negócios
iii. Os sistemas de informação
iv. A estrutura de T.I. nas empresas
v. O gestor de T.I.
AUDITORIA DE SISTEMAS & COBIT
5 1. Introduçãoi. Contextualização
Capitalismo
Objetivo: Lucro
Aumentar receitas e reduzir custos
P&D: Invenções e inovações tecnológicas
± 1940: Surgimentos dos primeiros computadores
± 1980: Popularização dos computadores nas empresas
6 1. Introduçãoi. Contextualização
Desenvolvimento de Sistemas de Informação Empresariais
Tipos: SPT, SIG, SAD, SAE, etc...
Uso da T.I. como ferramenta competitiva
Aumento da complexidade dos negócios e das instalações
Necessidade de maior organização
Das informações e das operações
7 1. Introduçãoii. A informática nos negócios
Alcançar clientes potenciais
Desenvolver laços de negócios
Maior controle interno
Reduzir custos e desperdícios
Automação de tarefas
Objetivo: aumentar a eficiência dos processos
Melhores informações p/ a tomada de decisão
8 1. Introduçãoii. A informática nos negócios
Tantos benefícios = Intenso uso da T.I. nos negócios
Negócios totalmente digitais
Dados sensíveis de P.F. e P.J. circulando na rede
Exposição da empresa a diversos riscos tecnológicos
Preocupação com o risco total do negócio
Ferramentas de Controle de Risco:
Gestão de T.I.
Governança de T.I.
Auditoria de Sistemas
9 1. Introduçãoiii. Os sistemas de informação
Operacional
• SPT• Processamento
De Transações• CRM
• Relacionamento c/ o Consumidor
Tático
• SIG• Informação
Gerencial• SAD
• Apoio à Decisão
Estratégico
• SAE• Apoio ao
Executivo
Podem ser divididos em3 Níveis Organizacionais:
10 1. Introduçãoiv. A estrutura de T.I. nas empresas
11 1. Introduçãoiv. A estrutura de T.I. nas empresas
12 1. Introduçãoiv. A estrutura de T.I. nas empresas
Estruturas
Complexas
13 1. Introduçãoiv. A estrutura de T.I. nas empresas
CIO / CTO
Desenvolvimento de Sistemas
Gestão de Infraestrutura
Solução e Inovação
Segurança da Informação
Governança de T.I.
14 1. Introduçãov. O gestor de T.I.
C.I.O.
Chief Information Officer
C.T.O.
Chief Technology Officer
Cargos muito parecidos
Participam da tomada de decisão em questões tecnológicas
Controlam o fluxo das informações da organização
Tarefas principais:
“Guru” tecnológico da organização
Desenvolver e manter a infraestrutura de rede
Desenvolver políticas de controle de acesso
Gerenciar os hardwares e softwares da empresa
Fomentar e supervisionar projetos relacionados à T.I.
15 1. Introduçãov. O gestor de T.I.
CIO planejamento e estratégia de
tecnologia
gerenciamento de risco do projeto
fechamento de parcerias e acordos estratégicos
gerenciamento do conhecimento
gerenciamento de demanda
articular e identificar oportunidades de negócios
CTO arquitetura e implementação da
tecnologia
gerenciamento de segurança de sistemas
estratégias de outsourcing
Terceirizar recursos mais adequados para a empresa
infraestrutura e administração de hardware e software
gerenciamento de suprimento
integração de recursos de T.I. e fornecedores
16 1. Introduçãov. O gestor de T.I.
Experiência(em anos)
Faixa Salarial Mensal(em milhares)
0-2 R$ 20 a R$ 27
3-5 R$ 23 a R$ 31
6-9 R$ 27 a R$ 40
>10 R$ 32 a R$ 57 Presente somente em empresas do tipo “G”
Faturamento > R$ 500 milhões
Cargo: CIO / CTO
17 2. A Auditoria de Sistemas
i. O que é?
ii. Quais seus objetivos?
iii. Qual o perfil do profissional?
iv. As certificações
v. Quem regulamenta esse profissional no Brasil?
vi. Como funciona?
vii. Quais são os tipos existentes?
viii. QoS (Quality of Service)
18 2. A Auditoria de Sistemasi. O que é?
Uma avaliação dos procedimentos de controle e segurança das informações processadas pela empresa.
Avalia: Segurança dos ativos Integridade dos dados
19 2. A Auditoria de Sistemasii. Quais seus objetivos?
Emitir um relatório acerca da:
Veracidade e tempestividade das informações
Adequação da estrutura de T.I. da empresa às normas
Processamento adequado das informações
Proteção dos sistemas e processos contra fraudes
Proteção contra situações de emergência
1. Paralisação de processamento
2. Perda de arquivos
3. Desastres ambientais
20 2. A Auditoria de Sistemasiii. Qual o perfil do profissional?
Formação:
Áreas relacionadas a Negócios e T.I.
Tecnologia da Informação, Sistemas de Informação, Contabilidade, Administração, ECEC..
Habilidades Requeridas:
Boa habilidade de comunicação
Conseguir entender, explicar e traduzir jargões técnicos
Estar sempre atualizado
Possuir certificações que comprovem sua capacidade intelectual
21 2. A Auditoria de Sistemasiv. As certificações
Dependendo da formação do profissional, algumas certificações são mais importantes que outras para garantir sua empregabilidade
Certified Information Systems Auditor - CISA
Auditor Certificado em Sistemas de Informação
Amplamente reconhecido na área de Auditoria de T.I.
Certifica profissionais em segurança da informação, auditoria e controle
22 2. A Auditoria de Sistemasiv. As certificações
Adm., Planej. e Organização de S.I.
Infraestruturas e Práticas Operacionais
Proteção de ativos de informação
Recuperação de disastres e continuidade do negócio
Desenv. de Sistemas p/Negócios, Aquisição, Implementação e Manutenção
Avaliação de Processos de Negócios e Gestão de Riscos
Procedimentos de Auditoria de S.I.
0 5 10 15 20 25 30
11
13
25
10
16
15
10
23 2. A Auditoria de Sistemasiv. As certificações
Certified Information Systems Security Professional - CISSP
Profissional Certificado em Segurança da Informação
Atesta o conhecimento do indivíduo na área de segurança da informaçõe
Certified Information Security Manager - CISM
Administrador Certificado em Segurança da Informação
Microsoft Certified Systems Engineer - MCSE
Engenheiro de Sistemas Certificado pela MSFT
24 2. A Auditoria de Sistemasiv. As certificações
Global Information Assurance Certification - GIAC
Certificado em Segurança da Informação
Mais de 67.800 certificações emitidas
Certificações e treinamentos promovidos pelos seguintes órgãos:
Institute of Internal Auditors – IIA
SANS Institute
Information System Audit and Control Association - ISACA
25 2. A Auditoria de Sistemasiv. As certificações
1. Certified Information Systems Auditor (CISA)
2. Certified Internal Auditor (CIA)
3. Certified in Risk and Information Systems Control (CRISC)
4. Certification and Accreditation Professional (CAP)
5. Certified Computer Professional (CCP)
6. Certified Information Privacy Professional (CIPP)
7. Certified Information Systems Security Professional (CISSP)
8. Certified Information Security Manager (CISM)
9. Certified Public Accountant (CPA)
10. Certified Internal Controls Auditor (CICA)
11. Forensics Certified Public Accountant (FCPA)
12. Certified Fraud Examiner (CFE)
13. Chartered Accountant (CA)
14. Certified Commercial Professional Accountant (CCPA)
15. Certified Accounts Executive (CEA)
16. Certified Professional Internal Auditor (CPIA)
17. Certified Professional Management Auditor (CPMA)
18. Chartered Certified Accountant (CCA)
19. GIAC Certified System & Network Auditor (GSNA)
20. Certified Information Technology Professional (CITP)
21. Certified e-Forensic Accounting Professional (CFAP)
22. Certified ERP Audit Professional (CEAP)
26 2. A Auditoria de Sistemasv. Quem regulamenta esse profissional no Brasil?
No Brasil o CFC é o órgão responsável por regulamentar o trabalho dos auditores.
Função similar à do Public Company Accounting Oversight Board (PCAOB), que cumpre esse papel nos EUA, após ter sido criado com a Lei SOX (Sarbanes-Oxley).
27 2. A Auditoria de Sistemasvi. Como funciona?
1. Levantamento de informações
avaliação dos recursos; tamanho do sistema; valor das transações; quantidade de usuários, políticas de acesso, controles existentes, etc..
2. Análise de risco
Análise das variáveis de risco no ambiente virtual e no real, onde o sistema está presente
Dependendo dos pontos observados nas etapas 1 e 2, o Controle de Qualidade dos Sistemas em Desenvolvimento (CQSD) determina os objetos da auditoria
Se todo ou parte do sistema
28 2. A Auditoria de Sistemasvi. Como funciona?
Práticas & Procedimentos = Diferencial Competitivo
No entanto, existem “checklists” para orientar o trabalho após o planejamento inicial
1. Planejamento do trabalho
2. Análise do ambiente físico operacional
3. Análise de pontos básicos importantes do sistema
4. Análise de pontos críticos de acordo c/ o CQSD
5. Elaboração de um relatório
• Todo o trabalho é documentado na forma de papéis de trabalho
29 2. A Auditoria de Sistemasvii. Quais são os tipos existentes?
Planejamento e Gestão
Legal ou Regulatória
Integridade de Dados
Segurança da Informação
Segurança Física
Desenvolv. de Sistemas
Infraestrutura
A taxonomia muda de acordo c/ o
autor!
30 2. A Auditoria de Sistemasvii. Quais são os tipos existentes?
De Planejamento e Gestão
Procedimentos para contratação de bens e serviços de T.I.
Procedimentos de documentação de projetos
Análise de orçamentos e projetos
Legal ou Regulatória
Atendimento a regulamentações locais e internacionais
Ex: Lei Sarbanes-Oxley, Basileia II, CVM
31 2. A Auditoria de Sistemasvii. Quais são os tipos existentes?
De Integridade de Dados
Classificação e atualização dos dados
Estudo das políticas de acesso e do log de acessos
Estudo dos fluxos de transmissão de informação
Análise dos controles de verificação de qualidade
Verificação da confiabilidade das informações
32 2. A Auditoria de Sistemasvii. Quais são os tipos existentes?
De Segurança da Informação
Métodos de autenticação e autorização
Criptografia de dados
Gestão de certificados digitais
Segurança de redes
Gestão dos usuários
Configuração de antivírus
Atualizações de sistema
Políticas de acesso
Normas internas
Manuais operacionais
33 2. A Auditoria de Sistemasvii. Quais são os tipos existentes?
De Segurança Física
Avaliação de riscos ambientais
Possibilidades de furto/roubo
Políticas de acesso ao ambiente
Controles de umidade e temperatura
Proteções:
Perímetros de segurança
Câmeras
Sensores
Guardas
34 2. A Auditoria de Sistemasvii. Quais são os tipos existentes?
De Desenvolvimento de Sistemas
Validação dos processos de gestão de projetos
Cumprimento de metodologia de qualidade
Orçamentos previstos e realizados
Avaliação de desvios
De Infraestrutura e Operações de T.I.
Averiguar resistência do ambiente a:
Erros e Acidentes
Fraudes das operações em servidores e estações
Alterações em softwares, hardwares e canais de comunicação
35 2. A Auditoria de Sistemasviii. QoS (Quality of Services)
É um conjunto de testes quantitativos para medir a qualidade da transferência de dados de um sistema, como visto pelos outros usuários da rede.
36 2. A Auditoria de Sistemasviii. QoS (Quality of Services)
É necessário definir alguns parâmetros para serem testados estatisticamente, e então realizar medições em intervalos regulares
Taxas de erro
Taxa de conflito
Largura de banda
Atrasos de transmissão de pacotes
Perda de pacotes
37 2. A Auditoria de Sistemasviii. QoS (Quality of Services)
O indicador QOS avalia a qualidade de serviços como:
Netflix, Skype, Youtube, LoL, etc..
Sistemas bancários
Sistemas governamentais
Cada indústria tem um QoS “mínimo” aceitável
VoIP
Streaming de Áudio
Streaming de Vídeo
Jogos Online
38 3. COBIT
i. O que é?
ii. Quais seus objetivos?
iii. Quais seus princípios?
iv. Habilitadores / Viabilizadores
v. Cascata de objetivos
vi. Quais os benefícios?
vii. Evolução histórica
viii. O modelo de processos
COBIT
39 3. COBITi. O que é?
É um modelo de negócios e de gestão global para governança e gestão de T.I. corporativa desenvolvido pela ISACA
Information System Audit and Control Association
Ajuda as empresas a administrar e gerenciar suas informações e tecnologias
Auxilia na resolução de problemas críticos relacionados à governança e gestão da tecnologia da informação.
Permite às organizações maximizar o valor e minimizar o risco relacionado à informação
40 3. COBITii. Quais seus objetivos?
Fornecer uma estrutura abrangente que auxilia as empresas a alcançar seus objetivos e agregar valor através da governança e gestão de T.I..
Ajudar as empresas a criar valor através de T.I. da mantendo um equilíbrio entre os benefícios, os níveis de risco e utilização de recursos.
Criar uma linguagem comum entre T.I. , governança e gestão corporativa
41 3. COBITiii. Quais seus princípios?
Conhecer as necessidades dos stakeholders
As Organizações existem para criar valor para os stakeholders, ou seja, para todas as partes interessadas (acionistas, auditores, fornecedores, consultores, alta administração, etc.)
As necessidades dos stakeholders devem ser transformadas em estratégias corporativas. Sendo assim, esse conjunto de princípios alinha as estratégias de T.I. e negócios.
42 3. COBITiii. Quais seus princípios?
Cobrir a organização de ponta a ponta
Integra a governança corporativa de T.I. dentro da governança corporativa da empresa
Cobre todas as funções e processos requeridos dentro da organização
Não foca apenas as funções de T.I.
43 3. COBITiii. Quais seus princípios?
Aplicar um Framework único e integrado
Frameworks da ISACA: COBIT 4.1; Val IT (valor do T.I. para o negócio); Risk IT (risco relacionado ao uso de T.I.); BMIS (segurança)
Frameworks de gestão corporativa: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
Frameworks relacionados a T.I.: ISO/IEC 38500; ITIL; ISO/IEC 27000 series; TOGAF; PMBOK/PRINCE2; CMMI
O COBIT 5 age como um integrador dos frameworks de governança e gestão
44 3. COBITiii. Quais seus princípios?
Possibilitar uma abordagem holística
Utilizar uma abordagem que engloba a organização como um todo, incluindo seus componentes e suas inter-relações
Não foca apenas na área de T.I.
45 3. COBITiii. Quais seus princípios?
Princípios
Nec. dos Stakeholder
s
Cobrir a organização de ponta a ponta
Aplicar um framework único
e integrado
Possibilitar uma
abordagem holística
Separar governança da
gestão
46 3. COBITiii. Quais seus princípios?
Separar Governança de Gestão
Na governança são discutidos e aprovados as políticas e os planos de alinhamento estratégico, e a implementação de processos e os mecanismos de controle que direcionarão a gestão da T.I. – responsabilidade do conselho de administração
A gestão consiste em planejar, construir, executar e monitorar atividades alinhadas com a direção estratégica estabelecida para atingir os objetivos de negócio – responsabilidade da gerência executiva
47 3. COBITiv. Habilitadores / Viabilizadores
1. Princípios, Políticas e Frameworks
2. Processos3. Estrutura
Organizacional4. Cultura, Ética e Comportamento
5. Informação6. Serviços,
Infraestrutura e Aplicações
7. Pessoas, Habilidades e Competências
48 3. COBITv. Cascata de objetivos
1. Princípios, Políticas e Frameworks
2. Processos3. Estrutura
Organizacional4. Cultura, Ética e Comportamento
5. Informação6. Serviços,
Infraestrutura e Aplicações
7. Pessoas, Habilidades e Competências
49 3. COBITvi. Quais os benefícios?
Manutenção da qualidade das informações para a tomada de decisões
Atingir metas estratégicas e gerar benefícios de negócios por meio do uso efetivo de T.I.
Conquista da excelência operacional por meio da aplicação confiável e eficiente da tecnologia
50 3. COBITvi. Quais os benefícios?
Diminuição dos riscos relacionados com a T.I.
Otimização dos custos relacionados aos serviços de T.I.
Manutenção da conformidade com leis, regulamentos, acordos contratuais e políticas
51
O COBIT foi criado em 1996, como um framework para auditoria e controle de T.I., com foco nos objetivos de controle
Em 2000, foi lançada a terceira versão com a inclusão de orientações para a gestão de T.I.
Em 2005, com o COBIT 4.0, se tornou o framework de governança de T.I., com a inclusão de processos de governança e compliance (conformidade)
Atualmente, na quinta versão, é o framework integrador de governança e gestão de T.I. corporativa
A principal novidade do COBIT 5 é que ele está focado em governança corporativa de T.I., deixando claro a separação entre governança e gestão, a fim de aumentar sua utilização nas empresas, ressaltando o papel da alta administração nas tomadas de decisões de T.I..
3. COBITvii. Evolução Histórica
Governança Corporativa de T.I.
COBIT5
Governança de T.I.
COBIT4.0/4.1
Gerenciamento
COBIT3
Controle
COBIT2
An business framework from ISACA ®, at www.isaca.org/COBIT
Auditoria
COBIT1
2005/720001998
Evo
luçã
o d
o E
scop
o
1996 2012
Val IT 2
(2008)
Risk IT
(2009)
52 3. COBITvii. Evolução Histórica
53
O modelo de referência de processos do COBIT 5 subdivide as áreas de governança e gestão em 7 domínios, que por sua vez são divididos em 37 processos
3. COBITviii. O Modelo de Processos
54 Processos de Governança
Contém 1 domínio
Avaliar, Dirigir e Monitorar (EDM) com 5 processos de governança
Estes processos ditam as responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de T.I. para a criação de valor
55
Contém 4 domínios
Alinhar, Planejar e Organizar (APO): 13 processos Diz respeito à identificação de como T.I. pode contribuir melhor com os objetivos de
negócio. Estão relacionados com a estratégia e táticas de T.I., arquitetura corporativa, inovação e gerenciamento de portfólio, orçamento, qualidade, riscos e segurança
Construir, Adquirir e Implementar (BAI): 10 processos
Torna a estratégia de T.I. concreta, identificando os requisitos para a T.I. e gerenciando o programa de investimentos em T.I. e projetos associados
Este domínio também aborda a mudança organizacional, gerenciamento de mudanças, aceite e transição, e gerenciamento de ativos, configuração e conhecimento
Processos de Gestão
56
Entregar, Servir e Auxiliar (DSS): 6 processos
Refere-se à entrega dos serviços de T.I. necessários para atender aos planos táticos e estratégicos. Inclui processos para gerenciar operações, requisições de serviços e incidentes, assim como gerenciamento de problemas, continuidade, serviços de segurança e controle de processos de negócios
Monitorar, Avaliar e Medir (MEA): 3 processos
O domínio visa monitorar o desempenho dos processos de T.I., avaliando a conformidade com os objetivos e com os requisitos externos
Processos de Gestão
57Modelo de Processos do COBIT 5
58Modelo de Processos do COBIT 5
59 Implementação do COBIT 5
A ISACA oferece um guia de implementação baseado em um ciclo de vida de melhoria contínua
O guia previne dos problemas mais comuns encontrados, adota as boas práticas e contribui na geração de resultados esperados
Tópicos importantes para a implementação do COBIT 5:
Fazer um plano de negócios (business case) para a implementação e melhoria da governança e gestão de T.I.
Reconhecer as deficiências (pain points) e eventos de gatilho (trigger events)
Criar o ambiente adequado para a implementação
60
Cada organização precisa desenvolver seu próprio road map ou plano de implementação, levando em consideração o seu contexto, ou seja, fatores do ambiente interno e externo específico da organização, tais como:
Ética e cultura
Leis, regulamentos e políticas aplicáveis
Missão, visão e valores
Políticas e práticas de governança
Plano de negócios (business plan) e intenções estratégicas
Modelo de funcionamento e nível de maturidade
Estilo de gestão
O apetite pelo risco
Capacidades e recursos disponíveis
Práticas da indústria
Como implementar o COBIT 5
61
Ter um ambiente apropriado para se implementar a governança corporativa de T.I. :
1. Patrocínio da alta direção da organização
2. Estabelecer um Comitê Estratégico e Executivo de T.I.
Executivos e Conselheiros p/ monitorar e direcionar a T.I.
Como implementar o COBIT 5
62 Ciclo de Vida de Implementação
A aplicação de uma abordagem de ciclo de vida de melhoria contínua fornece um método para as organizações enfrentarem a complexidade e os desafios normalmente encontrados durante a implementação da governança corporativa de T.I..
3 componentes inter-relacionados neste ciclo de vida:
Melhoria contínua (núcleo)
Habilitação de mudança (2º anel)
Gestão do programa (3º anel)
O ciclo de vida possui 7 fases
63
Ciclo de vida da Implementação
64
Ciclo de vida da ImplementaçãoFase 1: reconhecimento da necessidade de uma iniciativa de implementação ou melhoria. Identifica os pontos de dor atuais e cria um desejo de mudança nos níveis de gestão executiva.
65
Ciclo de vida da ImplementaçãoFase 2: Avaliação do estado atual, identificação de problemas ou deficiências através de uma avaliação de capacidade de processo.
66
Ciclo de vida da ImplementaçãoFase 3: Define uma meta de melhoria por uma análise mais detalhada para identificar as lacunas e as possíveis soluções.
67
Ciclo de vida da ImplementaçãoFase 4: planeja soluções práticas através da definição de projetos. Um plano de mudança para execução também é desenvolvido.
68
Ciclo de vida da ImplementaçãoFase 5: as soluções propostas são implementadas nas práticas do dia-a-dia.
As medidas podem ser definidas e o monitoramento estabelecido, utilizando metas e métricas do COBIT para que o alinhamento de negócios seja alcançado e o desempenho possa ser medido.
69
Ciclo de vida da ImplementaçãoFase 6: incide sobre o monitoramento da realização dos benefícios esperados.
70
Ciclo de vida da ImplementaçãoFase 7: o sucesso global da iniciativa é revista, outras exigências para a governança ou gestão de organizações de T.I. são identificadas e a necessidade de melhoria contínua é reforçada.
71 4. Perguntas ?
72 4. Perguntas
73 Referências
1. ww.isaca.org/COBIT/pages/default.aspx
2. http://www.isaca.org/certification/cisa-certified-information-systems-auditor/pages/default.aspx
3. http://pt.wikipedia.org/wiki/Auditoria_de_sistemas
4. http://pt.wikipedia.org/wiki/COBIT
5. http://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/whitepaper_evolution-of-auditing.pdf
6. http://
www.davidpublishing.com/Upfile/12/2/2012/2012120283233169.pdf
7. http://ns1.facape.br/socrates/Trabalhos/Auditoria_de_Sistemas.htm
8. http://www.educacaopublica.rj.gov.br/biblioteca/geografia/0016.html
9. http://pt.wikipedia.org/wiki/Sistema_de_informação
10. http://en.wikipedia.org/wiki/Corporate_governance_of_information_technology
11. http://esr.rnp.br/gti
12. http://www.bcs.org/upload/pdf/cio-competency-report.pdf
13. http://www.hrvillage.com/hrjobdesc/CIO.HTM
14. http://www.computerhistory.org
15. http://www.dsc.ufcg.edu.br/~pet/jornal/agosto2010/materias/carreira.html
16. http://www.roberthalf.com.br/
17. http://www.themanagementor.com/enlightenmentorareas/sm/SFM/StepsISA.htm
18. http://pt.wikipedia.org/wiki/Normas_brasileiras_de_auditoria
19. http://www.portaldeauditoria.com.br/ler_noticia.asp?id=48&a=CVM%20fecha%cerco%20aos%20auditores
20. http://en.wikipedia.org/wiki/Information_technology_audit
21. http://www.sans.org
22. http://www.giac.org
23. http://www.networkmagazineindia.com/200312/securedview01.shtml
24. http://www.csoonline.com/article/2124025/it-audit/information-systems-audit--the-basics.html