Beruflich Dokumente
Kultur Dokumente
SUMRIO
I INTRODUO ........................................................................................................................... 3
II AUDITORIA DE SISTEMAS .................................................................................................. 5
III TCNICAS DE AUDITORIA .................................................................................................. 9
IV FERRAMENTAS DE AUDITORIA DE SISTEMAS ........................................................... 14
V AUDITORIA DO AMBIENTE COMPUTACIONAL ............................................................ 16
VI TCNICAS E PROCEDIMENTOS DE AVALIAO DOS CONTROLES DE
PROCESSAMENTO DE DADOS ............................................................................................... 26
VII GESTO DA AUDITORIA E GESTO DA INFORMTICA ........................................... 29
VIII AS TRANSFORMAES NA FUNO DA AUDITORIA ............................................ 33
IX O AMBIENTE FUTURO DA TECNOLOGIA DE INFORMTICA .................................. 35
I INTRODUO
1. A auditoria nas organizaes
Presidncia
Executiva
Auditoria de
Sistemas
Diretoria
Administrativa
Diretoria
Financeira
Diretoria de
Vendas
Diretoria de
Informtica
Defasagem tecnolgica
Falta de bons profissionais
Falta de cultura da empresa
Tecnologia variada e abrangente
4. Necessidades na rea de auditoria de sistemas
Compreenso do ambiente
Anlise do ambiente e determinao das situaes mais sensveis
Elaborao de uma massa de testes
Aplicao da massa de testes
Anlise das simulaes
Emisso da opinio quanto ao ambiente auditado
Debate com os profissionais da rea auditada para discusso das alternativas recomendadas
Acompanhamento da implantao da soluo proposta
Auditoria da soluo implantada
Novas auditorias no ambiente
7. Perfil do Auditor de Sistemas
II AUDITORIA DE SISTEMAS
1. Conceitos
Processamento Eletrnico de Dados: Hardware, Software e Teleprocessamento
Sistemas de Informao: Conjunto de recursos humanos, materiais, tecnolgicos e financeiros
combinados segundo uma sequncia lgica para transformar dados em informaes.
Auditoria de Sistemas: Validao e Avaliao do controle interno de sistemas de informao.
Ponto de Controle: Situao do ambiente computacional considerada pelo auditor como sendo de
interesse para validao e avaliao.
Controle Interno: Verificao e validao dos seguintes parmetros do Sistema de Informao:
Fidelidade da informao em relao ao dado
Segurana fsica
Segurana lgica
Confidencialidade
Obedincia legislao em vigor
Eficincia
Eficcia
Obedincia s polticas e s regras de negcio da organizao
Exemplos de parmetros de Controle Interno:
Para fidelidade da informao em relao ao dado:
AIC (Arquivos de Informaes de Controle);
AUDIT TRAIL (permite a monitorao do processamento dos dados);
Arquivos de erros de processamentos no corrigidos
Informaes do cdigo do arquivo gravadas no header
Para Segurana lgica:
Password do arquivo gravada no header
Informaes do relatrio de crtica ou de consistncia dos dados alimentados no sistema
Informaes de total gravadas no trailler do arquivo.
Para confidencialidade:
Rotina de criptografia de informaes sigilosas.
Exemplo do Ponto de Controle Programa de Atualizao :
Rotina operacional de atualizao do cadastro
Rotina de controle: incluso, excluso, alterao indevida do arquivo de movimento
Informao operacional: contedo do arquivo movimento anterior atualizao
Informaes de controle: contedo do arquivo de erros.
Definio da Equipe
1o. passo: Escolher a equipe.
Perfil e histrico profissional
Experincia na atividade
Conhecimentos especficos
Formao acadmica
Linguas estrangeiras
Disponibilidade para viagens, etc.
2o. passo: Programar a equipe
Gerar programas de trabalho
Selecionar procedimentos apropriados
Programas de computador
Questionrios
Simulao de dados
Visita in loco
Mapeamento estatstico
Rastreamento de programas
Entrevista
Anlise de relatrios / telas
Simulao paralela
Anlise de log / accounting
Anlise do programa fonte
Exibio parcial da memria snap shot
1. Programas de computador
Correlaciona arquivos, tabula e analisa o contedo dos mesmos.
Passos
-
2. Questionrios distncia
Verifica a adequao do ponto de controle aos parmetros de controle interno (segurana fsica,
lgica, eficcia, eficincia, etc).
Analisa:
-
10
Passos:
-
Passos:
-
4. Visita in loco
Consiste na atuao do pessoal de auditoria junto ao pessoal de sistemas e instalaes
Passos:
-
11
Rotinas no utilizadas
Quantidade de vezes que cada rotina foi utilizada
Rotinas existentes em programas mas j desativadas
Rotinas mais utilizadas
Rotinas fraudulentas ou irregulares
Rotinas de controle
6. Rastreamento de programas
Possibilita seguir o caminho de uma transao durante o processamento do programa.
Objetiva identificar as inadequaes e ineficincia na lgica de um programa.
7. Entrevistas no ambiente computacional
Realizao de reunies entre o auditor e o auditado
Passos
-
12
Passos:
-
Permite detectar:
-
9. Simulao paralela
Elaborao de um programa de computador para simular as funes da rotina sob auditoria
Enquanto o test deck simula dados a simulao pararela simula a lgica do programa
Passos
-
13
Passos:
-
12. Snapshot
Tcnica que fornece uma listagem ou gravao do contedo do programa (acumuladores, chaves,
reas de armazenamento), quando determinado registro est sendo processado (dump parcial de
memria).
Necessita confeco de um software especfico.
14
Envolve o uso de software aplicativo em ambiente batch, que pode processar, alm de
simulao paralela, uma variedade de funes de auditoria e nos formatos que o auditor
desejar.
Exemplos
ACL (Audit Command Language) : um software de extrao e anlise de dados
desenvolvido no Canad;
IDEA (Interactiva Data Extraction & Analysis) software para extrao e anlise de dados
tambm desenvolvido no Canad
Audimation: a verso norte-americana do IDEA, da Caseware-IDEA, que desenvolve
consultoria e d suporte para o produto
Galileo: software integrado de gesto de auditoria. Inclui gesto de riscos de auditoria,
documentao e emisso de relatrios para auditoria interna;
Pentana: software de planejamento estratgico da auditoria, sistema de planejamento e
monitoramento de recursos, controle de horas, registro de checklists e programas de
auditoria, inclusive de desenho e gerenciamento de plano de ao.
Vantagens:
Pode processar vrios arquivos ao mesmo tempo
Pode processar vrios tipos de arquivos com formatos diferentes, por exemplo EBCDIC
ou ASCII
Poderia tambm fazer uma integrao sistmica com vrios tipos de softwares e
hardwares
Reduz a dependncia do auditor do especialista de informtica para desenvolver
aplicativos especficos para todos os auditores de sistemas de informao
Desvantagens:
Como o processamento das aplicaes envolve gravao de dados (arquivos) em separado
para serem analisados, poucas aplicaes podem ser feitas em ambiente on-line
O software no consegue processar clculos complexos, pois como se trata de um sistema
generalista, no aprofunda na lgica e na matemtica muito complexas
15
Vantagens:
Pode atender sistemas ou transaes no contempladas por softwares generalistas
O auditor, quando consegue desenvolver softwares especficos numa rea muito
complexa, pode utilizar isso como vantagem competitiva
Desvantagens:
Pode ser muito caro, pois ter uso limitado e normalmente restrito a determinado cliente
Atualizao pode ser complicada devido a falta de recursos que acompanhem as novas
tecnologias.
3.Programas utilitrios
Vantagem:
Pode ser utilizado como alternativa na ausncia de outros recuros
Desvantagem:
Sempre necessitar do auxlio do funcionrio da empresa auditada para operar a
ferramenta (no caso de ferramentas complexas, como bancos de dados).
16
1.
2.
3.
4.
5.
6.
7.
8.
9.
Anlise de Cadastro
Parmetros avaliados:
17
Os pontos de controle podem ser definidos em quaisquer um dos nveis, sendo mais aconselhvel
coloc-los no nvel mais baixo, para maior facilidade de entendimento.
Exemplo: DFD Contas Correntes Bancrio
Pontos de Controle:
1) Avisos de dbito e crdito que fluem entre a matriz e o ambiente externo / sistema de carteiras
(nivel 1 ou mais detalhado no nvel 2).
2) Avisos de D/C que fluem entre a rea de operao do computador da matriz (processo 2.3) e
o sistema de carteiras.
3) Subsistema de C/C on-line sendo processado na matriz (processo 2.3) e no Caixa/terminal online da agncia (processo 1.3).
Tcnicas mais utilizadas:
18
Inicializao do projeto
Estudo de viabilidade
Anlise da situao atual
Projeto lgico
Projeto fsico
Desenvolvimento e testes
Implantao
Administrao
Manuteno
O ciclo de vida do sistema pode ser extremamente longo ou extremamente curto. A auditoria de
sistemas ajuda a definir este perodo. Sistemas de microcomputadores costumam ter ciclo de vida
muito curto.
Mudanas no
ambiente
empresarial
Relatrios de
Auditoria do
Sistema em
Operao
Plano Diretor de
Informtica
Ciclo de
Desenvolvimento
Relatrios de
Auditoria
Ciclo de
Operao
Relatrios de
Auditoria
19
Lder de Projeto
Analista de Sistemas
Programador de Computador
Administrador de dados
Analista de Bancos de Dados
Analista de Software Bsico
Analista de Teleprocessamento
Analista de Segurana
Analista de Qualidade
Profissional do Centro de Informaes
Resultados:
Documentao
Relatrios
Estrutura lgica
Estrutura fsica
Modelo de dados
Projeto de arquivos
Layouts de telas
Definio de programas
20
Instalaes
Profissionais que executam tarefas comuns a todos os aplicativos
Contratos de hardware e software
Equipamentos
Software bsico e de apoio
Redes de comunicao, para integrao local e remota
Procedimentos administrativos, tcnicos e gerenciais
Plano de integrao de tecnologia
21
Utiliza a tcnica de anlise de log / accounting, podendo tambm ser utilizadas as tcnicas de
entrevista e questionrios.
Utiliza indicadores que permitem:
Estabelecer critrios para treinamento de profissionais e usurios
Montar um PDI possvel de ser cumprido
Manter um oramento de hardware, software e pessoal equilibrado
Conduzir a inovao tecnolgica do ambiente
Estabelecer critrios de depreciao de equipamentos
Desclassificar fornecedores no idneos
Identificar a causa de mau uso de hardware e software
3.3. Auditoria de funes
Anlise de funes, estrudo do CPD e fluxo de informaes do ambiente
Assegurar a qualidade, o rendimento, a eficcia e a produtividade na rea sob auditoria;
Assegurar o aproveitamento da especializao, a maximizao dos recursos, o controle e a
coordenao
Assegurar a adequao do fluxo de informaes entre os setores do CPD e os usurios
Tcnicas utilizadas: Questionrios, entrevistas, anlises de documentos/relatrios e telas.
3.4. Auditoria de Normas e Procedimentos
22
Exemplos:
Objetivo da auditoria:
Envio de questionrios aos usurios para levantamento de dados de seu micro (hardware,
software, interfaces, procedimentos de segurana, backup, etc)
Recebimento de respostas para levantamento de usurios que meream uma auditoria mais
detalhada para detalhamento.
23
24
25
Desafios do auditor:
26
Existem seis categorias de controles gerais que devem ser consideradas em auditorias:
controles organizacionais: polticas, procedimentos e estrutura organizacional estabelecidos
para organizar as responsabilidades de todos os envolvidos nas atividades relacionadas rea
da informtica;
programa geral de segurana: oferece a estrutura para: (1) gerncia do risco, (2)
desenvolvimento de polticas de segurana, (3) atribuio das responsabilidades de
segurana, e (3) superviso da adequao dos controles gerais da entidade;
continuidade do servio: controles que garantem que, na ocorrncia de eventos inesperados,
as operaes crticas no sejam interrompidas, ou sejam imediatamente retomadas, e os dados
crticos sejam protegidos.
controles de software de sistema: limitam e supervisionam o acesso aos programas e arquivos
crticos para o sistema, que controlam o hardware do sistema computacional e protegem as
aplicaes presentes;
controles de acesso: limitam ou detectam o acesso a recursos computacionais (dados,
programas, equipamentos e instalaes), protegendo esses recursos contra modificao no
autorizada, perda e divulgao de informaes confidenciais;
controles de desenvolvimento e alterao de softwares aplicativos: previnem a
implementao ou modificao no autorizada de programas.
2. Controles do Sistema Aplicativo
27
Amplitude da avaliao
dos controles do sistema
Extensiva
Reduzida
Controles slidos - quando assumir-se que o sistema como um todo est capacitado a
prevenir, detectar e corrigir qualquer erro significativo nos dados;
28
Controles adequados - quando forem detectadas deficincias nos controles, mas de modo
geral esses demonstrarem ser suficientes para prevenir os erros mais significativos, e acusar
os que venham a ocorrer; ou
Controles fracos/indeterminados - quando identificar-se a ausncia ou ineficcia dos controles
de sistema, e, conseqentemente, oportunidades de introduo de dados incorretos no
sistema.
Controles de aplicativos:
29
FUNO
Gerencia a atividade de auditoria
Supervisor
Auditor Snior
Auditor Pleno
Auditor Jnior
30
Objetivos
Indicadores de qualidade da auditoria de sistemas
Recursos necessrios auditoria
Treinamento para auditores
Custos
Cronograma de atividades
Suporte auditoria operacional pela auditoria de sistemas
31
Permitem caracterizar:
- Produtividade dos trabalhos da auditoria
- Eficincia nos processos de auditagem (uso de tcnicas otimizadas)
- Eficcia dos resultados das auditorias de sistemas efetuadas (alcance dos objetivos)
- Segurana dos recursos tangveis alocados a processos e resultados.
Exemplo de Indicador de qualidade: quantidade mdia de horas de auditoria aplicada por ponto
de controle:
32
ENTIDADES
RESPONSVEIS
Alta
administrao
Executivos
Usurios
Executivos de
Informtica
FORMAS DE
GERENCIA
MENTO DE
INFORMTI
CA
Planejamento
e Controle de
Processos e
Resultados
MOMENTOS
DE
MONITORA
O DA
INFORMTI
CA
Projetos e
Recursos
Tecnolgicos
Executivos de
Terceiros
FOCO NO
CICLO DE
VIDA DA
INFORMTI
CA
Engenharia do
Produto
Engenharia do
processo
NIVEL DE
ESTRUTURA
O DA
INFORMTI
CA
Plataformas
Operacionais
Sistemas
Aplicativos
Especificao
do processo
33
Continuidade Operacional
Pesquisa e desenvolvimento para alcance da inovao tecnolgica
Pioneirismo (entrar no mercado no momento da ascenso do negcio)
Identificao da itensidade e potencial da concorrncia
Lucratividade de cada linha de negcio/produto/servio
Auditoria Operacional: Atua em nvel de atividades fim e meio, tanto no ambiente interno
como externo com foco no presente em relao ao passado.
Auditoria de Gesto: Mesma atuao da auditoria operacional, mas com foco no futuro.
Auditoria da Qualidade: Verifica e avalia os esforos de melhoria e otimizao
Auditoria de Sistemas: Atua segundo o foco operacional, da gesto e da qualidade em
informtica.
34
Auditoria de Gesto
Auditoria da
Qualidade
Tempo de resposta
Indicador de
estimado / projetado
Qualidade tempo
para as transaes
mdio de atraso no
desenvolvimento
Sistema em Operao Nvel de satisfao dos Cronograma mensal de Aes de qualidade de
usurios com contedo carga de trabalho por natureza inovao
de telas / relatrios
sistema aplicativo por tecnolgica
plataforma
implantadas para
computacional
sistemas on-line
Custo de plataformas / Investimento em
Metas de qualidades
Centro de
redes operacionais
hardware e software
para contratos de
Computao
bsico
gesto da rea de
informtica
Ganhos no novo enfoque da auditoria de sistemas:
Novo papel da Auditoria de Sistemas: Atuar em regime de parceria com auditores de outras
reas e auditados, para definio de solues conjuntas agente de mudana
35
Novos problemas:
36
37
BIBLIOGRAFIA:
Gil, Antnio de Loureiro. Auditoria de Computadores, 2000, Atlas, 5a. Edio
Imoniana, Joshua Onome. Auditoria de Sistemas de Informao, 2005, Atlas, 1a. Edio