Auditoria de Sistemas

29/09/12
AUDITORIA DE SISTEMAS
AUTARQUIA EDUCACIONAL DO VALE DO SO FRANCISCO - AEVSF FACULDADE DE CINCIAS APLICADAS E SOCIAIS PETROLINA - FACAPE
CURSO DE CINCIAS CONTBEIS
www.f acape.br/socrates/Trabalhos/Auditoria_de_Sistemas.htm
1/24
29/09/12
Alunas: Francirose Silvan Edna Maria Aparecida Patrcia Miranda
Petrolina/PE Setembro- 2004 AUDITORIA DE SISTEMAS
1. INTRODUO A segurana , hoje, um dos maiores problemas enfrentados pelas indstrias e redes bancrias. A soluo assegurar a permanente exatido e proteo dos bens e servios existentes em todas as reas da empresa. Para tanto, torna-se necessrio que as medidas de controle e segurana de sistemas sejam sistematicamente revisadas e avaliadas por um auditor independente. A auditoria de sistemas avalia o ambiente de processamento de dados para identificar e avaliar os possveis riscos (erros, falhas, irregularidades, ineficincia, etc.) que estejam ocorrendo, ou que possam ocorrer, e faz recomendaes para correo e melhoria dos controles internos para diminuio dos riscos levantados. A maioria das atividades nas empresas est vinculada direta ou indiretamente ao processamento eletrnico de dados. A complexidade das atividades de uma empresa leva criao de auditorias especializadas.
www.f acape.br/socrates/Trabalhos/Auditoria_de_Sistemas.htm 2/24
29/09/12
1.1. Sistema de informao Podemos dividir os componentes fundamentais de uma organizao em trs: deciso, informao e operao, que em sentido amplo se designam por processadores devido a sua estrutura ativa e relacionada. O processador decisorial compreende todo o conjunto que produz deciso. O processador operacional identifica todas as aes de produo e processador de informao engloba todas as atividades relativas informao e est sempre situado entre os dois. Podemos dizer que o subsistema de informao inclui todos os componentes humanos e materiais que participam na memorizao, processamento e difuso da informao. Uma organizao sem sistema de informao um ser inerte, no funciona nem existe, os seus componentes de deciso no podem comunicar com os componentes de operao, no entram recursos nem saem produtos, porque ningum dispe de informao para agir. por isso que o subsistema de informao se torna fundamental no funcionamento e evoluo das organizaes.
1.2. Auditoria de sistemas Auditoria de sistemas uma atividade voltada avaliao dos procedimentos de controle e segurana vinculados ao processamento das informaes. Tem como funes: documentar, avaliar e monitorar sistemas de controle legais, gerencias de aplicao e operacionais. Os instrumentos para desempenhar tais funes podem variar do uso da auditoria de software ao uso habilidoso de tcnicas de entrevistas. A auditoria de sistemas objetiva certificar-se que: as informaes so corretas e oportunas; existe um processamento adequado das operaes; as informaes esto protegidas contra fraudes; existe proteo das instalaes e equipamentos; existe a proteo contra situaes de emergncia (paralisao de processamento, perda de arquivos, inundaes, incndios, etc.).
2. COMO REALIZAR A AUDITORIA EM SISTEMAS INFORMATIZADOS Inicialmente, h que se estabelecer quais as necessidades de conhecimento dos auditores (equipe) para operar em ambiente informatizado. Esse conhecimento , genericamente, composto por um conjunto de especialidades nas quais esto inseridas as habilidades para: a. auditar sistemas em desenvolvimento: metodologia de desenvolvimento de sistemas; tcnicas de prototipao; elaborao de plano diretor de informtica; documentao de sistema; fluxogramao; linguagem de programao; b. auditar sistemas em operao: legislao e normas administrativas; software de segurana; controle de acesso; contratos de software; amostragens;
29/09/12
c. auditar o CPD: normas administrativas; normas tcnicas; procedimentos operacionais; funes operacionais das reas de processamento eletrnico de dados (PED) e de centro de processamento de dados (CPD); contratos de software e de hardware. O que se tenta evidenciar por esse enfoque uma viso global do trabalho. O objetivo fundamental desenvolver o processo metodolgico para auditoria dos sistemas contbeis computadorizados, sob a tica dos auditores externos. A primeira atitude ao auditar um sistema informatizado o cuidado em distinguir duas situaes fundamentais: os sistemas em desenvolvimento e os sistemas em operao. Para sistemas em desenvolvimento, o auditor deve definir quais os ciclos do sistema e quais os processos e tcnicas de auditoria utilizados, como: levantamento, planejamento, reviso e negociao com os gestores. Para os sistemas em operao, o auditor deve definir quais os encadeamentos de tarefas que contemplam o planejamento, a execuo e a anlise, compreendendo tambm a auditoria do CPD. A utilidade da auditoria de sistemas contbeis em ambiente computadorizado est em verificar-se: o processo contbil, a adequacidade e a eficincia dos programas e dos sistemas, com relao ao ambiente e aos propsitos para os quais estes programas e sistemas esto sendo desenvolvidos ou utilizados.
3. AUDITORIA DE SISTEMAS EM DESENVOLVIMENTO A auditoria de um sistema em desenvolvimento exige profundo conhecimento de anlise de sistemas por parte do auditor, sendo recomendvel para esta complexa tarefa que o auditor rena: conhecimento de auditoria e conhecimento de PED. fundamental que o auditor de sistemas em desenvolvimento conhea: metodologias, tcnicas, papis de trabalho; o papel desempenhado por analistas, programadores e profissionais de suporte e de operao. Em qualquer auditoria, exige-se uma metodologia que garanta a independncia do trabalho do auditor. A auditoria de sistemas em desenvolvimento, basicamente, consiste em avaliar recursos que sero empregados no futuro processo, tais como: ciclo de desenvolvimento do sistema; processos e tcnicas de auditoria do sistema em desenvolvimento; negociao e elaborao do relatrio. 3.1 Ciclo de desenvolvimento do sistema O ciclo de desenvolvimento de um sistema computadorizado pode ser dividido nas seguintes etapas: Inicializao do projeto; Estudo da viabilidade; Anlise da situao atual; Projeto lgico; Projeto fsico; Testes;
29/09/12
Implantao; Administrao do projeto; Manuteno. 3.2. Processos e tcnicas de auditoria do sistema em desenvolvimento Em uma abordagem bsica, esses processos e tcnicas compreendem as seguintes etapas: levantamento de informaes, anlise de risco, planejamento da auditoria do projeto, reviso do projeto PED e tcnicas de auditoria de sistemas. 1. Levantamento de informaes O levantamento de informaes a primeira fase da auditoria de um sistema em desenvolvimento. A sua finalidade propiciar o conhecimento do projeto a ser auditado e das caractersticas organizacionais do ambiente onde o projeto ser executado.
2. Anlise de risco A anlise de risco tem como base o cuidado que o auditor deve ter ao selecionar e classificar os projetos de acordo com os critrios de importncia para garantir que todos os novos sistemas crticos e importantes sejam revisados. Compreende tambm a deteco e aferio das reas possveis de incidncia de erro, com base nos controles internos propostos nos projetos. A identificao das reas e o dimensionamento do risco envolvido permitir ao auditor determinar a amplitude e o aprofundamento dos procedimentos de auditoria a serem aplicados, a delimitao do escopo e anlise da relao custo/benefcio da auditoria. Definidas as reas em que sero aplicados os procedimentos de auditoria, necessria a identificao dos "pontos de controle". A seleo destes pontos compreendem importante fase do trabalho de auditoria do projeto e pode ser desenvolvida por meio de: a. levantamento de dados do ambiente computacional: fluxo de processamento; inventrio de equipamentos (hardware); inventrio de arquivos (software); arquivos processados; diviso do ambiente; hierarquizao da diviso do ambiente. a. Localizao do ambiente de PED e CPD; b. Visitas ao ambiente de PED e CPD;
29/09/12
c. Entrevistas com o pessoal de trabalho da programao, operao, suporte. As prticas metodolgicas recomendadas para a anlise dos pontos de controle, aqui listadas, podem-se valer da utilizao de: Matrizes Questionrios As matrizes identificam os principais pontos de controle que sensibilizam o auditor para elaborar o planejamento, e tambm a execuo da auditoria de sistemas em desenvolvimento. Os questionrios registram situaes que propiciam ao auditor conhecer: plano diretor de informtica; ambiente de banco de dados; segurana lgica. 1. Planejamento da auditoria do projeto Ao desenvolver o planejamento, fundamental que o auditor esteja atento s oportunidades de execuo da auditoria, pois a temporariedade fator de maior relevncia e, se no for planejada com rigor, poder tornlo invivel. O planejamento feito observando-se a seqncia de atividades: conhecimento do ambiente computacional; determinao dos pontos de controle; definio dos objetivos de validao dos pontos de controle; anlise de sensibilidade do nvel de interesse da validao e avaliao de cada ponto de controle; hierarquizao dos pontos de controle; documentao de todo o processo de planejamento. O planejamento objetiva um modelo operacional que seja capaz de refletir a cultura da empresa. Nessa fase, devem ser definidos: o mix de talentos necessrios equipe; quais papis de trabalho sero utilizados; como escolher os projetos para serem revisados. A metodologia recomendada consiste nas seguintes etapas 1. auditoria da metodologia de desenvolvimento de sistemas: documentao do sistema; tcnicas de anlise estruturada; 2. auditoria das especificaes do sistema; 3. auditoria da administrao do projeto; 4. auditoria de pr implantao do sistema. Veja a ilustrao desse processo:
6/24
29/09/12
1. Reviso do projeto de PED e tcnicas de auditoria de sistemas Reviso do projeto: a reviso do projeto comea com o levantamento de informaes: datas; equipe; recursos; interfaces; volume; valor das transaes; quantidade de usurios. Essas informaes so bsicas para o planejamento. Em funo delas o Controle de Qualidade dos Sistemas em Desenvolvimento (CQSD) determina os objetivos da reviso, em que se pode analisar todo o projeto ou apenas parte dele. Na execuo do trabalho de reviso podem-se conduzir as tarefas de auditoria por meio de: entrevista com usurios; entrevista com a equipe; anlise da documentao do projeto; participao em reunies. Essas tarefas permitem ao auditor/revisor a deteco de problemas que devem ser colocados em um nvel gerencial; qual o risco e custo do controle; se o usurio os aceita. Tcnicas de auditoria de sistemas: entre as tcnicas de auditoria de sistemas em desenvolvimento, destacam-se: A validao do processo de gerao das especificaes nas respectivas fases da metodologia, examinando-se e acompanhando-se as tcnicas aplicadas e os procedimentos seguidos; A validao dos resultados gerados em cada fase da metodologia, no tocante ao cumprimento das normas e da qualidade das especificaes. As tcnicas de auditoria de sistema de PED em desenvolvimento devem dar condies de se testar as tcnicas de desenvolvimento dos referidos sistemas que, segundo Gil (1989:121-122) podem ser classificados da seguinte forma: A) Tcnicas no ciclo de desenvolvimento do sistema Uma aplicao dessas tcnicas exige pelo menos que se faa: 1) Anlise da metodologia de desenvolvimento de sistemas. Essa tcnica avalia a metodologia do desenvolvimento do sistema e ser utilizada pela equipe de projeto do sistema em desenvolvimento, empregando os seguintes procedimentos: a. compreender a metodologia pela leitura dos manuais; b. compreender a metodologia por meio de contratos com a gerncia de desenvolvimento de sistemas; c. identificao dos "pontos de controle";
29/09/12
encadeamento lgico das fases; objetivos dessas fases; tcnicas de anlise para estrutura e funcionamento; produto gerado em cada fase; responsabilidade pela execuo de cada fase; documentao exigida em cada fase; controles de execuo em cada fase; controles de execuo geral; mecanismos de avaliao da qualidade. d. Avaliao da adequacidade de hardware e de software; e. Avaliao da adequacidade do pessoal de PED. 2) Anlise da documentao de desenvolvimento de sistema. Essa anlise avalia as especificaes e construes geradas para o sistema, ao final de cada fase ou etapa, da metodologia utilizada para o desenvolvimento do sistema. Esses procedimentos analticos so para: a. compreender as especificaes e as construes pela leitura da documentao; b. identificar os "pontos fracos" das especificaes, com respeito a: objetivos do sistema; anlise custo/benefcio; anteprojeto; projeto lgico; arquivos, programas, relatrios e telas; testes; implantao; treinamento; documentao do projeto. c. Avaliar resultados e emitir o "relatrio de fraquezas" e de controle interno. B) Tcnicas complementares
29/09/12
So utilizadas trs tcnicas complementares ao sistema PED durante seu desenvolvimento. Segundo Gil (1989:122-123), os critrios de uso dessas tcnicas so: 1. Base Case System Evaluation: criada e utilizada na implantao do sistema e no ciclo da operao para plotar alteraes ocorridas (a correo de falhas realizada antecipadamente, o que permite melhorar a qualidade dos primeiros processamentos reais). 2. Integrated Test Facility: criada para facilitar a integrao dos testes durante o desenvolvimento do sistema, podendo ser usado tambm no ciclo operacional (consiste no desenvolvimento de rotinas dentro dos programas para selecionar dados de testes de auditoria). 3. System Control Audit Review File: criada durante o desenvolvimento do sistema (com a finalidade de gerar rotinas especficas de auditoria dentro dos programas para selecionar transaes reais), intensamente usada em sistemas real time. Sua utilizao pode ser feita no ciclo de desenvolvimento e no de operao. Agrupamento das tcnicas aplicadas pela auditoria durante o desenvolvimento de sistemas.
3.3. Negociao e elaborao do relatrio Essa uma etapa do trabalho de auditoria que operacionalizada ao trmino de cada tarefa, e tambm antes da elaborao do relatrio final, e que pode ser empregada em auditoria contbil, em auditoria de sistemas em desenvolvimento e em auditoria de sistemas em operao. a oportunidade em que o auditor deve discutir com o cliente, com os gerentes de sistemas, ou mesmo com os supervisores, as situaes encontradas durante as fases da execuo da auditoria para valid-las ou ajust-las a uma situao desejada. O objetivo da negociao discutir o teor da recomendao e/ou negociar suas resolues. Concludas todas as negociaes que o auditor julgar necessrias, poder, ento, considerar a tarefa e/ou o trabalho terminado, elaborar e apresentar o relatrio, que deve ser claro, consistente e preciso.
4. AUDITORIA DE SISTEMAS EM OPERAO A auditoria de um sistema em operao exige do auditor, alm das condies de conhecimento de auditoria, de sistemas de informao e de PED, conhecimentos de controle internos e CPD. No se pode dispensar do profissional para auditar sistemas de operao a independncia profissional e
29/09/12
domnio de: metodologia de auditoria em PED; tcnicas de auditoria com auxlio de computador (TAAC); conhecimento das tarefas do pessoal de programao, operao e suporte. A auditoria de sistemas em operaes consiste em avaliar recursos empregados em PED e os resultados obtidos. A metodologia para auditoria de sistemas computadorizados em operao objetiva avaliar: os dados e informaes, que compem os resultados do sistema, e as rotinas de processos do sistema. A metodologia desenvolvida em duas fases: (1) planejamento da auditoria dos sistemas e (2) levantamento dos sistemas sob auditoria.
4.1. Planejamento da auditoria dos sistemas em operao A primeira atividade a ser desenvolvida em planejamento de auditoria de sistemas em operao conhecer o ambiente do sistema, ou seja, tomar conhecimento dos recursos: hardware e software; pessoal de programao, operao e apoio; estrutura organizacional do CPD; produto final obtido do CPD. Uma tcnica de auditoria recomendada para conhecer o ambiente dos sistemas em operao o contato com a gerncia desses por meio de visitas ou entrevistas. O registro desta tarefa pode ser feito com a utilizao de questionrios. Esses questionrios objetivam esclarecer situaes de operao do sistema, como: plano diretor de informtica; sistemas aplicativos batch em operaes; sistemas aplicativos on-line em operao; microinformtica no ambiente do usurio; segurana lgica dos sistemas em operao; ambiente de banco de dados; ambiente de auditoria interna. A atividade subseqente a anlise de risco, que servir de base para determinao do escopo da auditoria do sistema em operao e para o estudo da relao custo/ benefcio. A anlise de risco efetuada por meio de investigaes nos controles internos, quando se podero identificar as possveis fraquezas e seu correto cumprimento. A anlise do controle interno deve preocupar-se com: reconhecimento dos eventos; design de formas; controle de recepo de lotes; inputs em on-line; estatsticas de erro; segurana de funes; qualidade de programao. Essas indicaes sero obtidas pela inspeo de: documentao dos sistemas no ciclo de desenvolvimento; relatrios de auditoria anteriores dos sistemas em desenvolvimento e em operaes; manuais de programao e operao; layout do CPD; diagramao dos sistemas em uso.
29/09/12
A razo do planejamento direcionar e coordenar a execuo da auditoria dos sistemas em operaes. O planejamento da auditoria inclui a seleo das "reas de risco" do controle interno, segundo parmetros que podem determinar o aprofundamento e ampliao dos procedimentos de auditoria, como, por exemplo: testes de aderncia e testes de detalhes. Esses parmetros de controle interno so: fidelidade da informao perante o dado; segurana fsica; segurana lgica; confidencialidade; segurana ambiental; obedincia legislao; eficincia; eficcia; obedincia s polticas administrativas. O planejamento permeia todo o processo de auditoria, desde o conhecimento do ambiente, o estabelecimento de estratgias, a aplicao das tcnicas, a anlise das etapas executadas, a negociao e os relatrios finais. E ser evidenciado por papis de trabalho como: o Plano Especfico da Auditoria, em que so definidas as reas de risco e pontos de controle; as prioridades de execuo; as tarefas; o tempo de execuo; a equipe de auditoria; os recursos metodolgicos; os custos da auditoria.
4.2. Segurana lgica, confiabilidade e eficincia dos aplicativos Prioritariamente, depois de satisfeita a fase inicial de planejamento, a atuao do auditor de sistemas em operao ser verificar o nvel de satisfao do usurio, a saber: natureza e qualidade das informaes recebidas; periodicidade e intensidade das informaes; forma de apresentao, distribuio e adequao dos relatrios; confidencialidade das informaes; atendimento dos objetivos dos sistemas. A auditoria da segurana lgica e confiabilidade dos sistemas em operao compreendem a razovel validao dos controles e est fundamentada nas normas internacionais. A finalidade desses controles de aplicao de PED estabelecer procedimentos especficos de controles sobre os aplicativos, de forma a prover razovel segurana de que todas as transaes so autorizadas, registradas e processadas de maneira correta, completa e tempestiva. Essa metodologia compreende: a) controles sobre entradas: desenhados para prover razovel segurana de que as transaes so autorizadas, antes de serem processadas: so corretamente convertidas para forma legvel pelo computador e registradas nos arquivos de dados; no so perdidas, adicionadas, duplicatas ou alteradas indevidamente; as incorretas so rejeitadas, corrigidas e, se necessrio, ressubmetidas tempestivamente. b) controle de processamento de arquivos: desenhados para prover razovel segurana de que as transaes:
geradas pelo sistema so adequadamente processadas; no so perdidas, adicionadas, duplicadas ou alteradas indevidamente; quando erradas, so identificadas e corrigidas tempestivamente. c. controles de sada: desenhados para prover razovel segurana de que: os resultados do processamento so corretos; o acesso sada restrito ao pessoal autorizado.
4.3. Preparao do ambiente para testes A identificao dos arquivos a serem validados o primeiro passo na execuo da auditoria de sistemas em operao. Eis alguns desses procedimentos: Anlise do fluxo do sistema para identificao do momento no processo sistemtico em que teremos o contedo do arquivo desejado; Entrevista com o analista de sistemas ou com o usurio para confirmao do ponto exato no fluxo em que h dados a auditar; Identificao do cdigo do arquivo e de seu layout; Seleo de software para auditoria do sistema em operao; Anlise do log/accounting de utilizao do arquivo; Anlise dos resultados de cada fase de auditoria; Documentao de todo o processo de auditoria; Uso de Tcnicas de Auditoria com o auxlio de Computador (TAAC). importante que a metodologia de auditoria de sistemas em operao contemple a identificao dos "pontos de controle", tanto nos sistemas em batch como nos sistemas on-line/real-time. Nos sistemas em batch (processamento em lotes): Anlise da documentao de entrada; Rotina de preparao de dados; Rotina de crtica e consistncia de dados; Rotina de clculo e atualizao de arquivos; Rotina de acertos de erro de consistncia e atualizao; Arquivo mestre;
29/09/12
Arquivo de manuteno; Rotinas de emisso de relatrios; Rotina de controle de qualidade e de distribuio de relatrios; Anlise de relatrios de sada. Nos sistemas on-line/real time (processamento direto e instantneo): Rotinas de senhas de autorizao e acesso ao banco de dados; Rotinas de transaes e atualizao de banco de dados: entrada de dados, critica e consistncia de dados, clculos, atualizao de arquivos; Banco de dados; Log (arquivo movimento); Rotina de manuteno de banco de dados e arquivos; Rotina de consulta e/ou emisso de relatrios; Anlise de telas e relatrios.
4.4. Tcnicas de auditoria para sistemas em operao As tcnicas formam um conjunto que, didaticamente, pode ser operado ao redor do computador, por meio do computador e com o computador. Sua diagramao nos d uma viso mais compreensvel de seus usos.
13/24
29/09/12
4.5. Tcnicas aplicveis ao redor do computador As tcnicas aplicveis ao redor do computador so uma extenso daquelas utilizadas para execuo das metodologias de controles lgicos e podem ser operadas por meio de questionrio. a. Programas de crtica: da consincia e integridade dos dados e suas compatilidade com as informaes do cadastro; b. Programa de processamento: com verificao da correo do funcionamento do sitema e alimentao dos arquivos.
4.6. Tcnicas aplicveis por meio do computador A) Test-deck (test-data): tcnica de aplicao Implica as seguintes fases: Compreenso do modulo do sistema a ser avaliado; Identificao de programas e arquivos; e Simulao dos dados de testes pertinentes. Foi a primeira tcnica de auditoria por meio do computador e, conseqentemente, a mias simples. Nessa tcnica, os dados de entrada so preparadas pelo auditor e processados no sistema auditado, sob seu controle. Aps o processamento, o auditor confronta os outputs previstos por ele com os gerados pelo sistema. A combinao dos dados de entrada para o teste dever compreender o maior nmero possvel de situaes. A principal desvantagem dessa tcnica que o teste fica limitado ao universo de situaes previstas pelo auditor, o qual se torna to mais restrito quanto maior for a complexidade do sistema.
29/09/12
B) Integrated Test Facility (ITF) Tambm chamada de mini-company, consiste na criao de um arquivo especfico para testes de auditoria, ou seja, uma miniempresa dentro do sistema, onde transaes fictcias passam a ser processadas. Isso possibilita a execuo dos testes de auditoria junto com o processamento normal da empresa, assegurando ao auditor que o programa do cliente utilizado para processar os testes o mesmo utilizado para processar as operaes normais da empresa. Outra vantagem a possibilidade de efetuar tambm auditorias contnuas, acompanhando-se eventuais alteraes nos programas. C) Tracing (ou rastreamento) Possibilita seguir uma trilha das transaes no curso do processamento. Durante o rastreamento, a seqncia da instruo executada listada (exemplos: 0001 0002 - ... 0015), permitindo ao auditor identificar as inadequaes e ineficincias na lgica de um programa, o que pode viabilizar a identificao de rotinas fraudulentas, improcedentes ou inadequadas pela alimentao de transaes. D) a Mapping of Software (das rotinas) Tcnica utilizada nas verificaes durante o processamento dos programas, com a finalidade de: Flagrar rotinas no utilizadas; Flagrar quantidades de vezes que uma rotina foi utilizada. A anlise dos relatrios emitidos pela aplicao do mapeamento estatstico pertinente das rotinas permite constatar: Rotinas j desativadas ou de pouco uso; Rotinas mais utilizadas; Rotinas fraudulentas. A utilizao da maping exige a conjugao do software aplicativo. A maping e o aplicativo em operao so utilizados como instrumentos especiais junto aos programas do sistema em operao. E) a Snapshot processada mediante captura instantnea, com a gravao de todos os estados de um computador (em determinado instante) e armazenamento na memria principal de toda a informao de uma tela em determinado instante. Essa tcnica usada como auxlio depurao de programas, quando h problemas. Sua utilizao exige elevado conhecimento de PED por parte do auditor. Corresponde, na realidade a um dump parcial da memria, basicamente, das reas de dados. semelhana da maping e da tracing, necessita de um software especial "rodando" junto com o programa aplicativo, ou seja que as caractersticas snapshot estejam embutidas no sistema operacional. F) a Simulation Paralleel aplicada por meio de um programa de computador para simular as funes de rotina do sistema sob auditoria. Essa tcnica exige profundo conhecimento de programao por parte do auditor, e suas limitaes circunscrevem-se em no examinar as regras e etapas do processamento dos dados do sistema de
29/09/12
informao sob auditoria. Essa tcnica utiliza-se dos dados (rotineiros) alimentados para a rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Assim, simulamos o programa ao qual submetemos o dados que foram alimentados ao programa em processamento normal. A estrutura de aplicao dessa tcnica corresponde a: Levantamento e identificao, via documentao do sistema, da rotina a ser auditada e respectivos arquivos de dados trabalhados; Elaborao de programa com a lgica da rotina a ser auditada compilao e teste deste programa que ir simular em paralelo lgica do programa de computador sob auditoria; Preparao do ambiente de computao para processamento do programa de computador elaborado pelo auditor. Nessa tcnica, o auditor cria uma srie de programas que efetuam as mesmas funes-chaves de rotina do sistema sob auditoria. Os mesmos dados, processados no programa a ser analisado, tambm o so no programa de simulao criado pelo auditor, para posterior comparao. Os dados simulados de testes devem prever situaes incorretas de: Transaes com campos invlidos; Transaes com valores ou quantidades nos limites de tabelas de clculos; Transaes incompletas; Transaes incompatveis; Transaes em duplicidade. Como forte desvantagem, registra-se que quando detectadas diferenas entre os dados de sada gerados pela simulao paralela e pelo sistema auditado, haver a possibilidade de o erro estar no programa elaborado para a simulao. G) a Analysis of Log/Accounting A Log/Accounting um arquivo gerado por rotina componente do sistema operacional, que contm registros de utilizao do hardware e do software que compem um ambiente computacional. A tabulao desse arquivo permite a verificao da intensidade de uso dos componentes de uma configurao ou de rede de computadores, bem como o uso de software aplicativo e de apoio vigente. Excelente ferramenta para auditoria de sistemas com o objetivo de: Identificao de ineficincia, no uso do computador; Apurao do deslocamento da configurao do computador, pela caracterizao de dispositivos (unidades de disco, fita magntica, impressoras, terminais) que esto em folga ou sobrecarregados; Determinao de erros de programas ou de operao do computador;
29/09/12
Flagrar uso de programas fraudulentos ou utilizao indevida do computador; Captar tentativas de acesso a arquivos indevidos, ou seja por passwords no autorizadas. H) a Analysis of Programme/Fountain Implica anlise visual do cdico-fonte do programa de computador do sistema sob auditoria. Ressalta-se que esta tcnica exige profundos conhecimento de processamento eletrnico de dados por parte do auditor de sistemas. A anlise do cdico-fonte do programa auditado permite ao auditor: Verificar se o programador cumpriu normas de padronizao de cdigos de rotinas, arquivos, programas; Analisar a qualidade da estruturao dos programas; Detectar vcios de programao e o nvel de atendimento s caractersticas da linguagem de programao utilizada.
4.7. Tcnicas aplicveis com o computador A) a General Audit Software (GAS) So programas desenvolvidos para efetuar variedades de funes de processamento de dados, que auxiliam na realizao de testes e exames de auditoria. Essas funes incluem a leitura de arquivos e banco de dados, seleo e ordenao de informaes, execuo de clculos e emisso de relatrios nos formatos especificados pelo auditor. Essa tcnica de auditoria em sistemas com PED tem como vantagem o elevado grau de independncia do auditor em relao ao pessoal de CPD, da empresa auditada. Seus programas so pr-elaborados e flexveis aos vrios ambientes de teste, com acesso ampla variedade de registros integrados, sem a preparao de programas especiais para cada caso. B) a Embedded Audit Module (EAM) Insero de mdulos de auditoria os mdulos de auditoria inseridos so programas escritos e compilados com o sistema de aplicao, a fim de realizar procedimentos de auditoria. Quando acionados, extraem as informaes requisitadas pela auditoria, sem interferir no processamento normal dos dados. A EAM d ao auditor a capacidade de averiguar o processamento de transaes, continuamente, e de escolher as transaes para testes, com base em critrios predeterminados.
4.8. Anlise dos sistemas e das operaes Compreende anlise de documentos, relatrios e telas de sistema, no que diz respeito a: nvel de utilizao pelo usurio; esquema de distribuio e nmero de vias emitidas; grau de confidencialidade de seu contedo; forma de utilizao e integrao entre relatrios/telas/documentos/; layout de distribuio.
29/09/12
A aplicao dessas anlises implica o cumprimento das seguintes fases: Relacionar, por usurio, os relatrios, as telas e os documentos de cada ponto de controle; Obter modelo ou cpia de cada relatrio, de cada tela, de cada documento e compor pasta de papis de trabalho; Elaborar um questionrio para realizao para realizao dos levantamentos de relatrios, telas e documentos; Realizar entrevistas e registrar observaes e informaes dos usurios; Analisar as respostas. A principal utilidade dessa tcnica validar a eficcia do sistema.
5. TCNICAS DE AUDITORIA EM CPD (Centro de Processamento de Dados) Tratando-se das tcnicas de auditoria, importante o conhecimento formado por um conjunto de especialidades com insero de habilidades em: normas e procedimentos administrativos; normas tcnicas; procedimentos operacionais; funes operacionais das reas de processamento eletrnico de dados (PED) e do centro de processamento de dados (CPD); contratos de Software e de Hardware. notrio como alvo principal a metodologia e as tcnicas de auditoria do CPP, assim como a segurana fsica do ambiente computacional, validando entretanto a razovel infra-estrutura de sustentao dos sistemas. Essa infra-estrutura compreende: Recrusos Humanos Avaliao dos recursos humanos disposio, para verificar se so suficientes quantitativa e qualitativamente para o cumprimento das atribuies, devendo ser identificadas possveis distores (excesso, falta, m distribuio, falta de treinamento etc) e vulnerabilidade em funo de atividades essenciais no estarem sendo controladas por pessoal-chave da prpria instituio, como por exemplo s reas de normas e fiscalizao. Identificar se existe pessoal cedido ou emprestado por outros rgos da prpria entidade ou de outras, caracterizando a proporo entre o pessoal utilizado nas atividades meio e fim. Instalaes e Equipamentos - Avaliao dos recursos materiais disposio, para verificar se so adequados e seguros de modo a garantir a continuidade das atividades da instituio e no causam dependncia com relao aos seus fornecedores, devendo verificar a disponibilidade dos equipamentos vinculados atividade fim; sua utilizao e a proporo entre os obsoletos e em mau estado de conservao com o total disposio; identificao do nvel de propriedade e terceirizao dos bancos de dados; existncia de informaes-chave que esto fora do controle tcnicooperacional da instituio, bem como a vulnerabilidade de perda ou extravio de informaes por terceiros; Software de Sistema - o conjunto de programas projetados para operar e controlar as atividades de processamento de um equipamento computacional. Normalmente, um software de sistema utilizado para dar suporte e controlar uma variedade de aplicaes que possam ser executadas num mesmo hardware de computador. O software de sistema auxilia a controlar e coordenar a entrada, processamento, sada e armazenamento dos dados relativos a todas as aplicaes executadas no
29/09/12
sistema. Alguns softwares de sistema podem alterar dados e cdigos de programa em arquivos, sem deixar uma trilha de auditoria. Portanto, o controle sobre o acesso e a alterao do software de sistema essencial para oferecer uma garantia razovel de que os controles de segurana baseados no sistema operacionais no esto comprometidos. Se os controles nessa rea forem inadequados, indivduos no autorizados podem utilizar o software de sistema para desviar dos controles de segurana, bem como ler, modificar ou apagar informaes e programas crticos ou vulnerveis. Softwares de sistema com controles ineficazes podem ser utilizados, ainda, para neutralizar controles presentes em programas aplicativos, diminuindo significativamente a confiabilidade da informao produzida pelas aplicaes existentes no sistema computacional, e aumentando o risco de fraude e sabotagem. As preocupaes com o controle de software de sistema so similares s de controle de acesso e de controle de mudana de software. Entretanto, por causa do alto nvel de risco associado com atividades de software de sistema, a maioria das entidades possui um conjunto separado de procedimentos de controle para essas atividades. Os controles de software de sistema so avaliados atravs dos seguintes elementos crticos: Acesso limitado ao software de sistema; Acesso e uso supervisionado do software de sistema; Controle das alteraes do software de sistema. Redes de Comunicao para integrao local Redes de Comunicao - para Teleprocessamento Plano de Integrao planejamento de insero e compreenso dos dados envolvidos no sitema. Planos Tcnicos existncia e aplicao das tcnicas adequadas. Plano de Contigncia confirmao positiva em termos de segurana. Quanto a segurana fsica do ambiente computacional, o auditor ir se valer de tcnicas habitusais de auditoria de sistema que compreende: Visitas ao CPD - para as devidas inspeo e investigao. Entrevistas com pessoal de operao e suporte, podendo detectar algum indcio que lhe mostre falha ou fraude. Questionrios efetu-los de forma discreta onde investigue dados informativos. Ainda quanto segurana fsica, a auditoria do CPD tem a finalidade de avaliar o ambiente computacional, como por exemplo: Sistema de alimentao eltrica Estabilizadores Segurana contra fogo Extintores adequadamente em dia com a manuteno.
19/24
Controle de acesso ao ambiente - Restrio de frequncia apenas aos interessados. Segurana das construes Se oferece risco de desabamento etc. Segurana dos equipamentos e instalaes contra fogo, inundaes, umidade e interpries. Segurana do pessoal vigilncia adequada.
5.1. Dos Contratos Com o objetivo de assegurar a razovel garantia de utilizao do software e do hardware existe a auditoria dos contratos que reza o seguinte: A durao, qual o perodo qiue compreende; A validade das assinaturas; As condies de pagamentos; Os critrios de reajuste de preos; A aprovao dos contratos pelo departamento jurdico; Quanto a manuteno dos equipamentos; Quanto a assitncia dos programas.
5.2. Das Funes A auditoria das funes demostra a anlise de funes da estrutura do posicionamento do CPD e do fluxo de informaes de trabalho do ambiente computacional. Sendo que para auditar as funes do PED necessrio o seguinte: Objetivos assegurar a qualidade, que realmente atenda necessidade esperada; o rendimento, que demonstre produtividade adequada; eficcia, que d bom resultado. Formas de atuao anlise do perfil da funo; anlide do processo administrativos versus nveis da empresa, se h uma interao adequada. necessria uma estrutura organizacional onde as responsabilidades de suas unidades estejam claramente estabelecidas, documentadas e divulgadas, e polticas de pessoal adequadas, quanto seleo, segregao de funes, treinamento e avaliao de desempenho. Essa estrutura deve gerenciar racionalmente os recursos computacionais da organizao, de modo a suprir as necessidades de informao de forma eficiente e econmica. Evitando que um indivduo venha a controlar todos os estgios crticos de um processo (por exemplo, um programador com permisso para independentemente escrever, testar e aprovar alteraes de programa). Freqentemente, a segregao de funes alcanada pela diviso de responsabilidades entre dois ou mais grupos organizacionais. Com essa diviso, a probabilidade de que erros e aes indevidas sejam detectadas aumenta sensivelmente, visto que as atividades de um grupo ou indivduo iro servir para checar as atividades do outro.
29/09/12
A ausncia ou inadequao da segregao de funes de informtica aumenta o risco de ocorrncia de transaes errneas ou fraudulentas, alteraes imprprias de programa e danos em recursos computacionais. A extenso da segregao de funes a ser aplicada ir depender do seu tamanho e do risco associado s suas instalaes e atividades. Uma organizao de grande porte ter mais flexibilidade em separar funeschave que organizaes pequenas, que dependem de poucos indivduos para executar suas operaes. Da mesma forma, atividades que envolvem transaes financeiras de alto valor, ou que de alguma outra forma so bastante arriscadas, devem ser divididas entre diversos indivduos e sujeitas a uma superviso mais rigorosa. Por causa da natureza da operao dos computadores, a segregao de funes por si s no garante que somente atividades autorizadas sejam executadas pelos funcionrios, especialmente operadores de computador. Para auxiliar na preveno e deteco de aes no autorizadas ou incorretas, tambm necessrio uma superviso gerencial efetiva e procedimentos formais de operao. Processo administrativo e nveis da empresa: documentos, relatrios, telas.
5.3. Das Normas e Procedimentos A auditoria das normas e procedimentos tem como finalidade analisar: a) os objetivos das normas: assegurar a divulgao e o uso de informaes referentes a: - poltica e diretrizes do PED e do CPD; - organizao formal do trabalho; - treinamento e capacitao do pessoal. b) formas de atuao: verificar a existncia e qualidade de normas formais e de aderncia de normas formais. c) tcnicas: as mais usuais so: questionrios; visitas; entrevistas e observao
6. FRAUDES EM SISTEMAS INFORMATIZADAS Fraude consiste em ao de agentes agressores que podem trazer prejuzos a uma entidade por procedimentos realizados com o objetivo de obter benefcios prprios por motivos de satisfao financeira, psicolgica ou material. Os agentes agressores podem ser de natureza interna ou externa. Entretanto, em face da complexidade e dos controles lgicos que devem existir na rea de informtica, raro a ocorrncia de fraude de origem exclusiva de agentes externos. A grande maioria das fraudes apuradas no ambiente de informtica tem tido participao de pessoas da prpria Organizao, tanto de forma consciente quanto inconsciente, sendo que em alguns casos, so exintegrantes do ambiente de informtica.
29/09/12
6.1. Fatores para fraudes So destacados a seguir os principais fatores que propiciam ocorrncia de fraudes: Integrao das plataformas de informtica, em nvel interno e com outras organizaes, enfraquecendo a aplicao do conceito de segregao de funes; Terceirizao ou quarteirizao com respectiva integrao dos ambientes de informtica entre as empresas parceiras. Profissionais polivalentes atuando em diversas reas da organizao permitindo acesso a informaes exclusivas de cada uma delas; Fragilizao de controles lgicos em face de necessidade de menores custos e prazos para desenvolvimento de atividades operacionais da organizao.
6.2. Indcios de fraudes Algumas ocorrncias podem ser indcios de fraude, so: Erros sistemticos no processamento; Omisso de verificao de controles; Descumprimento de normas; Totais de controle no fechados; No cumprimento de padres operacionais; Uso excessivo de procedimentos de exceo; Existncia de transaes integradas no correspondidas.
6.3. Causas de fraudes Muitas so as situaes que podem acarretar uma fraude, sendo as de maior incidncia: Satisfao psicolgica do agente fraudador em causar prejuzos organizao, em face de insatisfao de no-ascenso profissional, insatisfao salarial, preceitos de ideologia, desacordo com polticas empresariais, e/ou em solidariedade a colegas de trabalho considerados injustiados pela organizao. Por necessidades do agente fraudador para dispor de recursos financeiros para atender doena na famlia, perdas em jogo, realizao de negcios errados e/ou padro de vida alm de seu salrio. Por necessidades pessoais do agente fraudador para atender dificuldades materiais em termos de moradia, alimentao, desastres, catstrofes, acidentes, desagregao familiar; estar sofrendo
29/09/12
chantagem; envolvimento com drogas, txicos ou alcoolismo. Por outras razes do agente fraudador relativas m formao cultural, onde ele considera normais ou irrelevantes atos fraudulentos com aes de sabotagem; momentos empresariais de aquisies, fuses, incorporaes, falncias, concordatas; personalidade fraca.
7. CONCLUSO A necessidade de implantao de processos auditorial continuo nas organizaes para verificar a segurana do funcionamento de seus sistemas informatizados de suma importncia, considerando-se que na atualidade, em face do processo de globalizao, a necessidade de diponibilizao de dados das mais variadas caractersticas fundamental para a sobrevivncia das empresas em um ambiente econmico de caractersticas plenamente competitivas. Manter sistemas informatizados em funcionamento sem segurana de uma operao eficaz, inscrever a empresa na relao das suicidas, pois no tendo informaes auditadas, estar trabalhando com dados inconsistentes que, naturalmente, podero causar danos nas suas operaes comerciais. Por as situaes apontadas, no demais lembrar os j consagrados mandamentos de segurana para informtica, que sempre devero estar sendo observados por aqueles que tm a responsabilidade de gerir e utilizar sistemas informatizados em uma empresa: 1. tomar cuidado ao acessar determinados sites; 2. no utilizar programas cuja procedncia duvidosa; 3. no praticar correntes virtuais e no enviar spams; 4. lembrar que todo acesso monitorvel; 5. nunca aceitar instalaes e configuraes padres; 6. atualizar os patches e verses de programas; 7. avaliar freqentemente o LOG do sistema para deteco de intrusos; 8. buscar alternativas complementares de segurana; 9. contratar um servio para avaliar o quanto est vulnervel a invases (Teste de Intruso); 10. implementar regras, reforando-as com adoo de termos de compromisso.
BIBLIOGRAFIA
CONSELHO REGIONAL DE CONTABILIDADE DO ESTADO DE SO PAULO. Auditoria por meios eletrnicos 11. CRC SP. So Paulo: Atlas, 1999.
29/09/12
MAGALHES, Antnio de Deus F.; LUNKES, Irtes Cristina; MULLER, Aderbal Nicolas. Auditoria das organizaes: metodologias alternativas ao planejamento e operacionalizao dos mtodos e das tcnicas. So Paulo: Atlas, 2001.
24/24

Auditoria de Sistemas

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoria de Sistemas

Transféré par

Droits d'auteur :

Formats disponibles

29/09/12

CURSO DE CINCIAS CONTBEIS

Alunas: Francirose Silvan Edna Maria Aparecida Patrcia Miranda

Petrolina/PE Setembro- 2004 AUDITORIA DE SISTEMAS

Vous aimerez peut-être aussi