Académique Documents
Professionnel Documents
Culture Documents
SUMRIO
SUMRIO .......................................................................................................................... 2 LISTA DE FIGURAS......................................................................................................... 3 UNIDADE I INTRODUO.......................................................................................... 4 1.1-Auditoria nas organizaes....................................................................................... 4 1.2-Importncia da auditoria de sistemas........................................................................ 6 1.3-Necessidades na rea de auditoria de sistemas ......................................................... 7 1.4-Papel do auditor de sistemas..................................................................................... 8 1.5- Tendncias da Auditoria de Sistemas na Organizao............................................ 9 UNIDADE II AUDITORIA DE SISTEMAS................................................................ 12 2.1-Conceitos ................................................................................................................ 12 2.2-Organizao do trabalho......................................................................................... 13 2.3-Produtos gerados..................................................................................................... 15 2.4-Apresentao dos resultados da auditoria alta administrao.............................. 16 UNIDADE III TCNICAS DE AUDITORIA .............................................................. 18 3.1-Programas de computador ...................................................................................... 18 3.2-Questionrios .......................................................................................................... 19 3.3-Simulao de dados ................................................................................................ 20 3.4-Visita in loco........................................................................................................... 21 3.5-Mapeamento estatstico .......................................................................................... 21 3.6-Rastreamento de programas.................................................................................... 22 3.7-Entrevista ................................................................................................................ 22 3.8-Anlise de relatrios/telas....................................................................................... 23 3.9-Simulao paralela.................................................................................................. 24 3.10-Anlise de log/accounting .................................................................................... 24 3.11-Anlise do programa fonte ................................................................................... 26 3.12-Exibio parcial da memria snap shot ................................................................ 27 3.13-Ciclo PDCA.......................................................................................................... 27 UNIDADE IV FERRAMENTAS DE AUDITORIA DE SISTEMAS.......................... 28 4.1- Software generalista de auditoria de tecnologia da informao ............................ 28 4.2- Softwares Especialistas de auditoria...................................................................... 29 4.3- Programas utilitrios.............................................................................................. 29 UNIDADE V AUDITORIA DO AMBIENTE COMPUTACIONAL .......................... 30 5.1-Auditoria de Sistemas em Operao....................................................................... 30 5.2-Auditoria de Sistemas em Desenvolvimento.......................................................... 31 5.3-Auditoria do Centro de Computao ...................................................................... 33 5.4-Auditoria em ambiente de Microcomputadores ..................................................... 34 5.5-Auditoria em ambiente de Teleprocessamento e Bancos de Dados ....................... 35 5.6-Auditoria em segurana fsica e ambiental do Centro de Computao.................. 36 5.7-Auditoria de segurana lgica e da confidencialidade ........................................... 36 5.8-Auditoria do Plano Diretor de Informtica............................................................. 37 5.9-Auditoria no ambiente de Inteligncia Artificial.................................................... 37 ANEXO 1 Bibliografia/Webliografia ............................................................................ 38
LISTA DE FIGURAS
Figura 1: Ambiente empresarial e situao da rea de informtica e da rea de auditoria de sistemas .......................................................................................................................... 5 Figura 2: Etapas da simulao de dados ........................................................................... 20
UNIDADE I INTRODUO
1.1-Auditoria nas organizaes
Auditoria 1 Cargo de auditor. 2 Casa ou tribunal onde o auditor desempenha as suas funes. 3 Funo de auditor junto s empresas comerciais. 4 Econ Exame analtico minucioso da contabilidade de uma empresa ou instituio. Entidades governamentais e privadas, independente de porte ou ramo de atividade, convivem e subsistem graas a doses cada vez mais elevadas de tecnologia computacional. A maioria das organizaes de hoje no conseguem funcionar nem por poucas horas com a ausncia dos computadores. A auditoria pode ser interna ou externa. Pode ser uma auditoria permanente (constante) ou espordica (eventual). Auditoria Interna Com o aumento da complexidade das operaes de uma empresa, aumentou a necessidade de normas e procedimentos internos (controles internos). Como o proprietrio da empresa (ou o administrador) no poderia fazer isto, algum deveria fazer isto por ele. Da surge a figura do auditor interno cuja funo principal verificar se as normas internas vem sendo seguidas. Paralelamente o auditor interno executa auditoria contbil. O auditor interno funcionrio da empresa mas como executa auditoria contbil e operacional, deve ter uma certa independncia dentro da entidade. Em empresas de grande porte, existe um verdadeiro departamento de auditoria interna. Auditoria Externa feita por um profissional totalmente independente da empresa auditada. O objetivo do auditor externo emitir uma opinio (chamado parecer) sobre as demonstraes financeiras. Note que o objetivo apenas emitir um parecer sobre as demonstraes contbeis. Logo conclui-se que a auditoria externa no realizada para detectar fraudes, erros ou para interferir na administrao da empresa, ou ainda, reorganizar o processo produtivo ou demitir pessoas ineficientes. Naturalmente, no decorrer do processo de auditoria, o auditor pode encontrar fraudes ou erros, mas o seu objetivo no este. Seu objetivo emitir um parecer. A auditoria nas organizaes um instrumento da direo da entidade, dos acionistas, do ambiente externo organizao, do povo para validar e avaliar a qualidade em termos de segurana, eficincia dos trabalhos desenvolvidos com a tecnologia computacional. O advento do microcomputador provocou pulverizao acentuada da tecnologia de processamento eletrnico de dados (PED), e a distribuio e a descentralizao da criao e da execuo de processos computadorizados constituem a tnica empresarial atual.
Podemos considerar que PED apia e sustenta todas as atividades meio e fim das organizaes, sendo imprescindvel a aproximao dos profissionais de computao com os profissionais responsveis pelas atividades meio e fim das empresas. Na realidade, o modelo de implantao de PED a transferncia dessa tecnologia diretamente ao usurio, atravs de linguagens de programao de 4 gerao ou do uso da inteligncia artificial, eliminando ou diminuindo a participao de uma srie de profissionais de computao (programadores, digitadores, operadores de computador, etc).
ATIVIDADE EMPRESARIAL
COMPUTAO
AUDITORIA DE SISTEMAS
- Apoio e envolvimento do usurio - Disseminao da inteligncia artificial - Total integrao empresarial - Velocidade no acompanhamento do binmio computaoempresa - Agente de maior participao do computador na empresa
CARACTERSTICAS COMPUTACIONAIS - Crescentes investimentos em tecnologia de computao - Necessidade de treinamento em processamento eletrnico de dados aos funcionrios - Iniciando convvio com o conceito de inteligncia artificial - Falta de profissionais de computao, com a necessidade de investimentos nos profissionais existentes, para o posterior repasse de tecnologia e sustentao do pessoal usurio - Necessidade de especializao de profissionais de computao - Forte evoluo da rea em termos de compreenso do papel da auditoria de sistemas por parte do auditor contbil-financeiro - Tecnologia em intensa evoluo - Escassez de profissionais
A invaso da pgina de Internet de uma empresa, com modificao de contedo, ou at mesmo a indisponibilidade de servios on-line, revela a negligncia com a segurana da informao e causa perdas financeiras a quem sofreu algum tipo de ataque. A auditoria de suma importncia para os negcios, independente de sua origem, seja ela contbil ou de tecnologia de informao. O termo auditoria relacionado com diversas reas de nossa sociedade.
Os principais servios prestados por auditores so: assurance; consultoria gerencial; certificao de normas. Assim, os servios de assurance so as tradues de informaes provindas dos recursos encontrados no objeto auditado, melhorando o contexto e a qualidade para que a camada executiva possa tomar suas decises. Os servios de consultoria gerencial abrangem as recomendaes sobre como utilizar os sistemas de informao do cliente de uma forma mais proveitosa e que atenda aos objetivos de negcio da empresa auditada. Os servios de certificao de normas so aqueles em que o auditor ir prover um check-list apontando conformidades e no-conformidades segundo determinada norma e ir emitir uma parecer sobre a emisso ou no para uma empresa daquele certificado.
Gesto por Exceo Quantificada Usar a auditoria baseada na metodologia integrada por procedimentos com foco em minimizar possveis fracassos quando do desenvolvimento, instalao ou operao de sistemas informatizados. Tratamento de Excees mais eficiente. Ter mecanismos de auditoria que tratem excees de forma
FCS (Fatores Crticos de Sucesso) Mecanismos que auxiliem a auditoria atravs de fatores crticos de sucesso. Que so os pontos chave que definem o sucesso ou o fracasso de um objetivo definido por um planejamento de determinada organizao. Pontos de Falha auditoria. Usar mecanismos e tcnicas que venham a ser utilizados para
Auditoria de Negcio Criao, aprimoramento da auditoria de sistemas no nvel do negcio. Uma forma de auditoria mais direcionada para o negcio em si. Novas necessidades e restries com o aperfeioamento da informtica a) Necessidades: . reformulao dos programas e currculos para treinamento dos profissionais de computao, com novas matrias/assuntos a serem abordados: . negociao tcnica, com nfase no desenvolvimento de argumentao lgica para negociao de solues a problemas empresariais; . critrios negociais, para formao de raciocnio em conceitos de mercado, concorrncia, linhas de negcios/produtos/servios, novos empreendimentos, pioneirismo, inovaes tecnolgicas; . estmulos criatividade, via discusso de aspectos comportamentais dos profissionais dos centros de responsabilidade das empresas, para gerao de sinergia de qualidade organizacional. . desenvolvimento e delimitao de know-how em informtica, j de domnio dos profissionais de computao, para consumo dos usurios: . metodologia (etapas, tcnicas, documentao) de desenvolvimento de sistemas pelos usurios; . sistemtica e critrios para suporte tcnico, como atendimento a chamadas de defeitos/registro de ocorrncias, e s atividades de processamento de processamento eletrnico de dados; . planejamento e controle das atividades e tecnologia de informtica. b) Restries: . baixo nvel, em geral, de formao dos usurios, quanto tecnologia de processamento eletrnico de dados, particularmente no tocante a sua abrangncia e em termos histricos; . agregao ao ambiente usurio de mais uma varivel, que vai acelerar os processos de mudanas nas reas organizacionais (uso total de informatica); . aumento de responsabilidade para os executivos e profissionais, quanto ao desempenho empresarial, pela disponibilizao direta da tecnologia de informtica a esses usurios.
10
Criao de novas funes: a) analista de qualidade em informtica: responsvel pelo planejamento, controle e operacionalizao de sistemas/aes/indicadores de qualidade em informtica em toda a organizao; b) analista de segurana em informtica: atua via segurana lgica/fsica/ocupacional/ambiental/confidencial, com a tecnologia de informtica como base; c) engenheiro do conhecimento: projeta e dinamiza a fluncia do conhecimento empresarial em todos os pontos da organizao.
11
12
Varredura das bases de dados (back end) . Fundamental verificar a base de dados com programas de varredura. Como? - Examinando cada campo e comparando com a listagem da consistncia. - Submetendo os dados a uma bateria de testes em ambiente apropriado (no de produo).
2.2-Organizao do trabalho
Planejamento 1 Passo: Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do ambiente computacional (fluxo de processamento, recursos humanos e materiais envolvidos, arquivos processados, relatrios e telas produzidos). 2 Passo: Determinar os pontos de controle (processos crticos) 3 Passo: Definio dos objetivos da auditoria: . Tcnicas a serem aplicadas; . Prazos de execuo; . Custos de execuo; . Nvel de tecnologia a ser utilizada. 4 Passo: Estabelecimento de critrios para anlise de risco 5 Passo: Anlise de Risco Avaliar para cada ponto de controle o grau de risco apresentado para posterior hierarquizao: Grau de Risco 1 Muito Fraco 2 Fraco 3 Regular 4 Forte 5 Muito forte 6 Passo: Hierarquizao dos pontos de controle
13
Definio da Equipe 1 passo: Escolher a equipe. . Perfil e histrico profissional; . Experincia na atividade; . Conhecimentos especficos; . Formao acadmica; . Linguas estrangeiras; . Disponibilidade para viagens, etc. 2 passo: Programar a equipe Gerar programas de trabalho; Selecionar procedimentos apropriados; Incluir novos procedimentos; Classificar trabalhos por visita; Orar tempo e registrar o real. 3 passo: Execuo dos trabalhos Dividir as tarefas de acordo com a formaao, experincia e treinamento dos auditores; Efetuar superviso para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente. 4 passo: Reviso dos papis Verificar pendncias e rever o papel de cada auditor para suprir as falhas encontradas. 5 passo: Avaliao da equipe Avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e superao de fraquezas do auditor; Ter um sistema de avaliao de desempenho automatizado. Documentao do trabalho Documentao de todo o processo de Auditoria de Sistemas a ser executado.
14
2.3-Produtos gerados
Relatrio de problemas/fraquezas no controle interno Este relatrio tem por objetivo apresentar os resultados do trabalho da auditoria de sistema e esta estruturado em: . Objetivos da auditoria; . Pontos de controle auditados: O banco de dados; Um sistema; Um sistema integrado; Um acesso (password); Etc. . Concluso alcanada a cada ponto de controle; . Alternativas de soluo proposta para correo das fraquezas de controle interno identificadas: Segurana fsica; Confidncialidade; Obedincia legislao; Eficcia; Etc. Certificado de controle interno O certificado contm as colocaes claras se o ambiente computacional auditado se encontra em boa, razovel ou m situao no tocante aos parmetros de controle interno: . Segurana fsica; . Confidncialidade; . Obedincia legislao; . Eficcia; . Etc. Apresenta a opinio da auditoria em termo globais e sintticos, permitindo a colocao e reunio dos achados, de fraquezas de controle interno, dos vrios pontos de controle auditados, sob uma tica de avaliao e de emisso de opinio total; O certificado permite a venda imediata dos resultados dos trabalhos de auditoria de sistemas para a alta administrao.
15
Relatrio de reduo de custos Tem o objetivo de explicitar as economias financeiras a serem feitas com a adoo das recomendaes efetuadas; Serve de base para a realizao das anlises de retorno de investimento e de custo / beneficio a serem realizadas como parte da aplicao dos controles constantes dos projetos de auditoria de sistemas. Manual de auditoria do sistema auditado Tem por objetivo: . Armazenar o planejamento da auditoria; . Conter os pontos de controles inventariados; . Conter os pontos de controle testados; . Conter os pontos de auditoria flagrados. um referencial e base para as futuras auditorias daquele mesmo ambiente computacional a serem realizadas; Contribui para a evoluo tanto do ambiente computacional quanto dos processos de auditagem; O conjunto de manuais de auditoria ir, ao longo dos anos, servir como comprovao histrica das atividades de auditoria de sistemas.
16
Obedincia a legislao em vigor Verificar a aderncia dos requisitos a legislao no que tange a clculos e tratamento do dado, padres de apresentao das informaes definidos em lei e as orientaes para guarda das informaes no que tange a periodicidade. Obedincia as polticas da alta administrao Verificar a aderncia dos requisitos as normas e orientaes no que tange a concesses e restries, a necessidade das informaes a serem apresentadas e distribudas. O Relatrio do auditor o produto final do seu trabalho e, como tal, deve ser apresentado, visto e entendido pelo auditado, ou mesmo pelo usurio da auditoria. Considerado como veculo principal de relacionamento entre o auditor e a entidade auditada, o Relatrio documento tcnico e deve obedecer a normas de apresentao, forma e objetivos. O Relatrio o ponto de ligao entre o trabalho planejado e o efetivamente realizado. o instrumento que revela administrao da empresa a qualidade e a contribuio da Auditoria Interna, suas constataes, opinies tcnicas e recomendaes. Serve tambm como documento de avaliao do trabalho efetuado pelo auditor. O Relatrio do auditor o produto final do seu trabalho e, como tal, deve ser apresentado, visto e entendido pelo auditado, ou mesmo pelo usurio da auditoria. Considerado como veculo principal de relacionamento entre o auditor e a entidade auditada, o Relatrio documento tcnico e deve obedecer a normas de apresentao, forma e objetivos.
17
18
3.2-Questionrios
Corresponde elaborao de um conjunto de perguntas com o objetivo de verificao de determinado ponto de controle do ambiente computacional. Essas questes buscam verificar a adequacidade do ponto de controle aos parmetros do controle interno (segurana lgica, segurana fsica, obedincia legislao, eficcia, eficincia, etc.). Dois aspectos so crticos na aplicao da tcnica de questionrio: . Caractersticas do ponto de controle; . Momento histrico empresarial ou objetivos da verificao do ponto de controle. Os objetivos de verificao do ponto de controle vo determinar a nfase a ser dada ao parmetro do controle interno. As caractersticas do ponto de controle tm agregada a natureza da tecnologia computacional e o correspondente perfil tcnico do auditor que ir aplicar o questionrio. Dessa forma, podemos ter questionrios voltados para pontos de controle cujas perguntas guardaro caractersticas intrnsecas referentes a: . Segurana em redes computacionais . Segurana do centro de computao . Eficincia no uso dos recursos computacionais . Eficcia de sistemas aplicativos A tcnica do questionrio pode ser aplicada com outras tcnicas: Entrevistas, Visita in loco entre outras. O questionrio pode ser aplicado distncia. Desta forma possvel que ocorra uma auditagem maior com menor nmero de auditores. A sequncia bsica de aplicao de questionrios distncia : . Analisar o ponto de controle e elaborar o questionrio; . Selecionar os profissionais auditados que devero responder ao questionrio; . Elaborar um conjunto de instrues de como responder s questes; . Distribuir/remeter o questionrio para os profissionais selecionados; . Controlar o recebimento dos questionrios respondidos; . Analisar as respostas s questes; . Formar uma opinio do ponto de controle auditado em decorrncia das respostas obtidas; . Elaborar relatrio de auditoria.
19
3.3-Simulao de dados
a tcnica por excelncia aplicada para teste de porcessos computacionais. Corresponde elaborao de um conjunto de dados de teste a ser submetido ao programa de computador ou a determinada rotina que o compe, que necessita ser verificada em sua lgica de processamento. Evidentemente, uma vez comprovada a inadequao da lgica do processo auditado, podemos concluir pela correo de todos os resultados que forem gerados por aquela rotina irregular. Os dados simulados de teste necessitam prever situaes corretas e situaes incorretas de natureza: . Transaes com campos invlidos; . Transaes com valores ou quantidades nos limites de tabelas de clculos; . Transaes incompletas; . Transaes incompatveis; . Transaes em duplicididade. Tambm conhecida como test-deck.
Algumas caractersticas para simulao de dados: a) o auditor necessita conhecer computao em termos de anlise de sistemas; b) a documentao dos sistemas deficiente, o que implica o auditor precisar atualizar ou complementar a documentao existente, principalmente no tocante a fluxos de informao e de programas. Muitas vezes a documentao existente compreende somente listagens de programas e fluxos ou sequncia de execuo de programas de produo; c) a elaborao do ambiente de teste complexa, particularmente em programas principais que manipulem grande quantidade de arquivos de entrada, sada e de trabalho.
20
3.4-Visita in loco
Corresponde atuao pessoal do auditor junto a sistemas, procedimentos e instalaes do ambiente computadorizado. Normalmente, combina com outras tcnicas de auditoria de computador, particularmente questionrio, a visita in loco implica o cumprimento dos seguintes procedimentos: . Marcar data e hora com a pessoa responsvel que ir acompanhar as verificaes, ou convoc-la no momento da verificao. . Anotar procedimentos e acontecimentos, coletar documentos, caracterizar graficamente a situao via elaborao de fluxo de rotinas e de layout de instalaes. . Anotar nomes completos das pessoas e data/hora das visitas realizadas; . Analisar os papis de trabalhos obtidos, avaliar respostas e a situao identificada; . Emitir opinio via relatrio de fraquezas de controle interno.
Essa tcnica aplicada em vrios pontos de controle clssicos de auditoria de sistemas, como: . inventrio de volume de arquivos magnticos (discos, fitas, disquetes, CDs, DVDs); . inventrio de insumos computacionais armazenados em almoxarifado (fitas de impressora, formulrios contnuos); . visita sala de operao/utilizao de computadores com o objetivo de verificar problemas de controle de acesso, etc.; . acompanhamento da rotina de backup de arquivos magnticos (se todas as etapas so feitas de forma correta).
3.5-Mapeamento estatstico
Tambm conhecido como mapping. Tcnica de computao que pode ser utilizada pelo auditor para efetuar verificaes durante o processamento dos programas flagrando situaes como: . Rotinas no utilizadas; . Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. A anlise dos relatrios emitidos pela aplicao do mapeamento estatstico permite a constatao de situaes: . Rotinas existentes em programas j desativadas ou de uso espordico; . Rotinas mais utilizadas, normalmente a cada processamento do programa; . Rotinas fraudulentas e de uso em situaes irregulares; . Rotinas de controel acionadas a cada processamento. 21
H necessidade de ser processado um software de apoio em conjunto com o processamento do sistema aplicativo, ou rotinas especficas devero estar embutidas no sistema. Incluir instrues especiais junto aos programas em processamento na produo.
3.6-Rastreamento de programas
Tcnica que possibilita seguir o caminho de uma transao durante o processamento do programa. Durante a aplicao da tcnica, a sequncia de instrues executadas listada. Dessa forma obtemos os nmeros das instrues segundo sua ordem de execuo. 00001-00002-00003-001150-001151-00115290190-90191-90192- etc. Quando o teste de alimentao de determinada transao a um programa realizado, podemos identificar as inadequaes e ineficncia na lgica de um programa. Esta abordagem viabiliza a identificao de rotinas fraudulentas pela alimentao de transaes particulares.
3.7-Entrevista
O mtodo de trabalho corresponde realizao de reunio entre o auditor e os auditados profissionais e usurios envolvidos com o ambiente ou o sistema de informao sob auditoria. A sequncia de procedimentos corresponde a: . Analisar o ponto de controle e planejar a reunio com os profissionais envolvidos. . Marcar antecipadamente data, hora e local com os auditados bem como comunicar a natureza do trabalho a ser desenvolvido. . Elaborar um questionrio para realizao da entrevista. . As questes devem ser divididas por parmetro do controle interno, por rea ou por assunto de processamento eletrnico de dados (PED). . Realizao da reunio com aplicao do questionrio e anotao das respostas e comentrios dos entrevistados a cada questo efetuada. . dependendo do nvel de sensibilidade das questes, as reunies devem ser individuais; . os nveis hierrquicos das reas auditadas devem ser respeitados, comunicandose aos superiores a natureza das entrevistas com os subordinados.
22
. Elaborao de uma ata de reunio com o registro dos principais pontos discutidos a cada questo apresentada. . distribuir cpia da ata da reunio para cada participante da entrevista. . Anlise das respostas e formao de opinio acerca do nvel controle interno do ponto de controle. . Emisso do relatrio de fraquezas de controle interno. A tcnica de entrevistas frequentemente casada com outras tcnicas de auditoria, visita in loco, questionrio, etc.
3.8-Anlise de relatrios/telas
Implica a anlise de documentos, relatrios e telas do sistema sob auditoria no tocante a: . Nvel de utilizao pelo usurio; . Esquema de distribuio e njmero de vias emitido; . Grau de confiabilidade do seu contedo; . Forma de utilizao e integrao entre relatrios/telas/documentos; . Distribuio das informaes segundo o layout vigente. Implica no cumprimento das seguintes etapas: . Relacionar por usurio todos os relatrios/telas/documentos que pertenam ao ponto de controle a ser analisado. . Poder ser feita uma classificao desses relatrios para efeito de estabelecimento de prioridades na anlise; . Obteno de modelo ou cpia de cada relatrio/documento/tela para compor a pasta de papis de trabalho; . Elaborar um questionrio para a realizao dos levantamentos acerca dos relatrios/telas/documentos; . Marcar antecipadamente a data e hora com as pessoas que fornecero opinio acerca dos relatrios; . Realizar as entrevistas e anotar as observaes e comentrios dos usurios; . Analisar as respostas, formar e emitir opinio acerda do nvel de controle interno. Principais fraquezas identificadas: a) Relatrios/telas/documentos no mais utilizados; b) Layout inadequado; c) Distribuio indevida de vias; d) Confidencialidade no estabelecida ou no respeitada.
23
Esta tcnica primordial para avaliao do parmetro eficcia do sistema. As concluses do trabalho, frequentemente possibilitam reduo de custo com a desativao total ou parcial de relatrios/telas/documentos.
3.9-Simulao paralela
Elaborao de um programa de computador para simular as funes de rotina do sistema sob auditoria. Esta tcnica utiliza-se dos dados rotineiros alimentados rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Enquanto no test-deck simulamos dados e submetemos ao programa de computador que, normalmente processado na produo, na simulao paralela simulamos o programa e submetemos os mesmos dados que foram alimentados ao programa em processamento normal. A estrutura de aplicao desta tcnica corresponde a: . Levantamento e identificao, via documentao do sistema, da rotina a ser auditada e respectivos arquivos de dados trabalhados. . Elaborao do programa de computador com a lgica da rotina a ser auditada. Compilao e teste deste programa que ir simular em paralelo a lgica do programa de computador sob auditoria. . Preparao do ambiente de computao para processamento do programa de computador elaborado pelo auditor.
3.10-Anlise de log/accounting
O Log/Accounting um arquivo, gerado por uma rotina componente do sistema operacional, que contm registros de utilizao do hardware e do software que compem um ambiente computacional. A tabulao destes arquivo Log/Accounting permite a verificao da intensidade de uso dos dispositivos componentes de uma configurao ou rede de computadores, bem como o uso do software aplicativo e de apoio vigente. Tanto a rotina quanto o corresponddente arquivo de Log/Accounting foram desenvolvidos para serem usados pelo pessoal de computao. Excelente ferramenta para a auditoria de sistema para: . identificao de ineficincia, no uso do computador; . apurao do desbalanceamento da configurao do computador, pela caracterizao de dispositivos (unidade de disco, fita magntica, impressora, terminais) que esto com folga ou sobrecarregados;
24
. determinao de erros de programas ou de operao do computador; . flagrar uso de programas fraudulentos ou utilizao indevida do computador; . captar tentativas de acesso a arquivos indevidos, ou seja, por senhas no autorizadas. O trabalho da rea de computao sobre Log/Accounting deve gerar Indicadores de Qualidade (IQ) do monitoramento do computador, bem como estudos de planejamento de capacidade da configurao/rede de equipamentos, com a finalidade de obter maior rendimento do parque computacional dentro de um nvel de segurana adequado. O auditor poder construir um software para auditoria de Log/Accounting, o qual trabalhar registros de: a) Contabilizao . Quais usurios utilizam quias programas e por quanto tempo; . Identificao do usurio, caractersticas do hardware necessrio para trabalhar o job (sequncia de programas) e como o job foi completado. b) Atividade dos arquivos . Quais arquivos de dados foram usados durante o processamento e que usurio solicitou o uso do arquivo; . Registro: nome do arquivo, tamanho do registro, nmero de srie do volume e usurio do arquivo. Obs.: Pode ser usado o termo data set ao invs de arquivo. Para esta tcnica o auditor dever: a) Entrevistar o pessoal de software bsico e do planejamento e controle da produo para entender: . o sistema de monitorao de uso de software e de hardware existente; . o layout dos registros gerados no arquivo log/accounting; . as opes possveis de rotina de job/accounting; . o tempo de reteno do arquivo log/accounting. b) Decidir que tipo de verificao sero efetuados em cima dos dados do arquivo de log como perodo de tempo que ser contemplado, quando ser efetuado o teste, etc. c) Elaborar e aplicar o programa de computador de auditoria de Log, ou utilizar a mecnica de anlise do Log praticada pelos profissionais de computao; d) Analisar os resultados da tabulao do Log; e) Emitir opinio acerca da qualidade do uso do hardware e do software em determinado perodo de tempo.
25
Existem dois tipos de Log: 1. Aqueles que registram o uso da CPU, dos arquivos, da carga e do nvel de utilizao dos dispositivos computacionais. 2. Log de transaes, ou seja, um arquivo que registra todos os dados que foram processados/transmitidos. Este tipo de arquivos de Log comum em ambiente online no qula todas as transaes processadas ficam registradas em um arquivo - log de transaes - para posterior uso ou anlise.
26
3.13-Ciclo PDCA
O ciclo PDCA abrange: Planejar - Plan (P), Executar - Do (D), Verificar Check (C) e Atuar Action (A). um ciclo de gerenciamento a ser seguido para que seja feita a auditoria de forma mais organizada. Apresentam as seguintes caractersticas:
. Definir as metas (Planejar P); . Definir os mtodos que permitiro atingir as metas propostas (Planejar P); . Educar e treinar (Executar D); . Executar a tarefa coletar dados (Executar D); . Verificar os resultados da tarefa executada (Verificar C); . Atuar corretivamente (Atuar A).
27
28
29
Pontos de Controle auditados: Anlise dos Relatrios Emitidos pelo Sistema Parmetros avaliados: Eficcia - Verifica o nvel de satisfao dos usurios com: Natureza, correo e qualidade das informaes recebidas; Periodicidade e intensidade das informaes recebidas; Forma de apresentao da informao (sinttica / analtica) e distribuio do relatrio. Confidencialidade sigilo das informaes contidas no relatrio, distribuio e destruio fsica dos relatrios. Segurana fsica falta de qualidade na distribuio dos relatrios (rasgados, sujos, faltando vias, etc...). Anlise de Cadastro Parmetros avaliados: Segurana fsica Verifica cuidados com transporte, armazenagem e manuseio de dispositivos que contm os cadastros, contra calor, poeira, magnetismo, queda, etc.; Segurana lgica Verifica a existncia de pontos de controle tais como: somatrio de campos de valor, password, data de gravao e expirao do arquivo, quantidade de registros; Eficincia Forma de organizao do arquivo; campos ou registros existentes no arquivo e que no so utilizados. Outros pontos de controle: Rotinas de Atualizao, Programas de Clculo, Rotinas de Backup, Documentao do Sistema.
30
Documentao utilizada: O DFD O auditor necessitar de uma documentao do sistema e dever elaborar, caso no exista, um DFD (Diagrama de Fluxo de Dados). O DFD: Obedece o esquema TOP DOWN; D prioridade representao de processos; Permite a representao grfica at o nvel de detalhamento desejado. Os pontos de controle podem ser definidos em quaisquer um dos nveis, sendo mais aconselhvel coloc-los no nvel mais baixo, para maior facilidade de entendimento. Tcnicas mais utilizadas: Questionrios, Visita in loco, Mapeamento estatstico (mapping), Entrevistas, Anlise de relatrios/telas.
O auditor de sistemas em desenvolvimento deve conhecer: Uma metodologia de desenvolvimento de sistemas computadorizados, com suas etapas, tcnicas, formulrios e conceitos bem como o papel dos profissionais da rea de sistemas Uma metodologia de auditoria que delineie a conceituao e a forma de participao do auditor na elaborao do sistema em computador. 5.2.1. O ciclo de desenvolvimento de sistemas Inicializao do projeto Estudo de viabilidade Anlise da situao atual Projeto lgico Projeto fsico Desenvolvimento e testes Implantao Administrao Manuteno
31
5.2.2. Pontos de controle para auditoria de desenvolvimento de sistemas Processos: Etapas do ciclo de desenvolvimento Rotina operacional Rotina de Controle Resultados: Documentao Relatrios Estrutura lgica Estrutura fsica Modelo de dados Projeto de arquivos Layouts de telas Definio de programas 5.2.3 Anlise da Metodologia de Desenvolvimento de Sistemas Entendimento da metodologia atravs da documentao Identificao dos pontos de controle: Encadeamento lgico de idias Objetivos de cada etapa Tcnicas de anlise utilizadas Produtos gerados Responsabilidade pela execuo de cada etapa Documentao exigida nas etapas de desenvolvimento Qualidade de desenvolvimento do sistema Avaliao da adequao dos equipamentos ao sistema Emisso de opinio e debate com a equipe de computao 5.2.4. Anlise da documentao do desenvolvimento de sistemas Entendimento das especificaes atravs da documentao Identificao dos pontos fracos da documentao no que se refere a: Objetivos do sistema Anlise de custo / benefcio Levantamento do sistema atual Anteprojeto Projeto lgico Projeto fsico Testes isolados e integrados Programao Implantao Documentao geral Analisar e avaliar os resultados obtidos emitindo o relatrio.
32
33
Documentao das normas e procedimentos: Informaes sobre o objetivo da normatizao; Facilidade de atualizao; Distribuio dos manuais; Padro esttico; Consistncia do contedo; Atualizao das informaes. Tcnicas utilizadas: questionrios, visita in loco, entrevistas, anlise da documentao. 5.3.5. Auditoria dos custos de PED Verificar os critrios para apurao de custos; Verificar os indicadores de custo apurados e sua evoluo histrica e comparao com o mercado; Verificar o esquema de anlise de custo vigente; Verificar as aes tomadas e as pendncias para minimizao de custos Exemplos: Custo de digitao de um pedido Custo de utilizao de mquina por tem de estoque processado Tcnicas utilizadas: entrevista, visita in loco, questionrios
34
Objetivo da auditoria: Anlise das funes do CI; Avaliao das atividades de treinamento; Avaliao das atividades de controle de utilizao de hardware e software; Avaliao da estrutura do CI; Anlise de normas e procedimentos do CI (backup, linguagens de programao, utilizao de editores de texto, planilhas, documentao de programas, contratao de hardware e software, atendimento aos usurios). 5.4.2. Auditoria dos microcomputadores e seus usurios Envio de questionrios aos usurios para levantamento de dados de seu micro (hardware, software, interfaces, procedimentos de segurana, backup, etc.); Recebimento de respostas para levantamento de usurios que meream uma auditoria mais detalhada. Tcnica utilizada: questionrio.
35
Procedimentos de segurana: Criao da funo de administrador de dados (descrio do BD, manuteno do dicionrio, monitoramento da utilizao do BD, controle de acesso, etc); Segurana fsica dos terminais; Definir normas para uso de passwords. Tcnicas utilizadas: Questionrios, visita in loco, entrevistas.
36
37
ANEXO 1 Bibliografia/Webliografia
. GIL, Antnio de Loureiro. Auditoria de Computadores 5 Edio. Atlas, 2000. . IMONIANA, Joshua Onome. Auditoria de Sistemas de Informao 1 Edio. Atlas, 2005. . http://michaelis.uol.com.br/ . http://busca.unisul.br/pdf/88277_Abilio.pdf . http://www.lyfreitas.com/artigos_mba/arttrilhaauditoria.pdf . http://www.vemconcursos.com/opiniao/index.phtml?page_ordem=assunto&page_id=233 &page_parte=2 . http://ix.congresso.iscap.ipp.pt/resumos/brasil/a_contabilidade_de_gestao/sistema_integr ado_de_informacao.pdf . http://www.inf.pucrs.br/~jaudy/audit%20face%20modulo%204%20definicoes%20e%20 gestao%20da%20area%20de%20AS.pdf . http://www.portaldomarketing.com.br/Artigos/Fatores_Criticos_de_Sucesso.htm . http://tecspace.com.br/paginas/aula/asi/aula01.pdf . http://www.reitoria.rei.unicamp.br/auditoria/documentos/mod2_ap_dia9.pdf . http://www.fes.br/disciplinas/cic/ASC/012-%20Relatorios%20de%20auditoria.pdf . http://www.qualidade.eng.br/auditoria_alta_direcao.htm . http://www.qualityservicesconsultoria.com.br/faq2.html http://www.deloitte.com/assets/Dcom. Brazil/Local%20Assets/Documents/auditoria%20interna.pdf . www.apcontabilidade.com.br/artigos/auditoria.htm . http://tecspace.com.br/paginas/aula/asi/aula05.pdf . http://tecspace.com.br/paginas/aula/asi/aula06.pdf . http://www.trf4.jus.br/trf4/upload/editor/apg_ROGER_CANDEMIL.pdf . AUDITORIA E SEGURANA DE SISTEMAS - Sandra Regina da Luz Incio (arquivo da Internet). . Normas e Tcnicas de Auditoria I - Henrique Hermes Gomes de Morais (arquivo da Internet).
38