Mais sobre Auditoria de sistemas aplicativos

Prévia do material em texto

Mais sobre Auditoria de sistemas aplicativos 
 
 
Ao analisarmos a documentação do sistema a ser auditado, devemos atentar para: 
 
a) Descrição do sistema : Levanta a finalidade do sistema na condução do negócio, 
incluindo sua importância relativa nas operações da empresa. Verificar os controles 
que minimizam os riscos, sejam manuais (controles dos usuários) ou controles 
programados (controles embutidos nos programas, que compõem o sistema). 
Resume-se ao plano de negócios do sistema. 
 
b) Descrição do perfil do sistema: Estima o volume aproximado de transações 
médias processadas no mes. Menciona os softwares em uso. Especifica se o sistema 
foi desenvolvido em casa ou adquirido de terceiros, as linguagens de programação 
utilizadas e o número de programas do sistema 
 
c) Documentação da visão geral do processamento: Workflow das funções-chaves 
no processamento das informações, incluindo sua periodicidade. Os programas 
refletem os processos de negócio que são descritos no workflow através de tarefas, 
com suas regras de funcionalidade. Devemos observar a necessidade de documentar 
o fluxo das transações através de Diagrama de Fluxo de Dados (DFD), enfatizando 
entradas-chave (fontes das principais entradas, inclusive alimentação remota), lógica 
de processamento e saídas-chaves (relatórios, arquivos, telas, queries) mencionando 
arquivos mestre e tabelas importantes, incluindo integração com outros sistemas. 
Isso reflete a declaração de escopo vista anteriormente. 
 
São considerados objetivos gerais da auditoria de sistemas aplicativos: 
 
 Integridade: o auditor poderia ter confiança nas transações processadas? O 
sistema garante as consistências das transações? Os usuários podem tomar 
decisões baseadas nas informações geradas pelo sistema, sem medo? 
 Confidencialidade: as informações são reveladas somente para as pessoas que 
necessitam conhecê-las nos processos do negócio? As respostas a essa 
pergunta refletirão a efetividade dos controles implementados no sistema. 
 Privacidade: as funções incompatíveis nos sistemas são segregadas? Como 
são os controles para assegurar que as informações estratégicas estão 
protegidas de acesso não autorizado? 
 Acuidade: as transações processadas podem ser validadas. Os módulos de 
consistência de dados de entrada no sistema podem auxiliar na verificação dos 
dados-fontes atentando para sua veracidade, evitando desta forma que dados 
não qualificados sejam alimentados nos sistemas. 
 Disponibilidade: o sistema está disponível para uso na hora em que o usuário 
necessita dele, mesmo que em situações adversas? Há procedimentos de 
restart / recovery , backup ? 
 Auditabilidade: os sistemas devem documentar logs operacionais que 
permitam trilhas de auditoria. 
 Versatilidade: os sistemas são amigáveis? Pode-se facilmente adaptar os 
workflows operacionais da empresa ao sistema? O sistema utiliza recursos de 
janelas tanto para importação como para exportação de dados? As tecnologias 
avançadas podem ser sempre contempladas para garantir vantagens 
competitivas? 
 Manutenibilidade: os sistemas são fáceis de serem atualizados em caso de 
manutenção, seja ela do tipo que for (preventiva, corretiva, de otimização)? 
As políticas e procedimentos operacionais contemplam controles quanto a 
testes, conversão, implementação e documentação de sistemas novos ou 
modificados? 
 
São objetivos específicos da auditoria procedimentos para certificar-se de que: 
 
 
 as transações registradas nos sistemas são provenientes das operações 
normais da empresa; 
 as transações estejam corretamente contabilizadas nos sistemas, de 
conformidade com os princípios fundamentais emanados das legislações 
vigentes; 
 os princípios sejam uniformemente aplicados nos sistemas, subsistemas e 
sistemas consolidadores das contas ou grupos de contas contábeis e ainda 
em relação aos exercícios anteriores; 
 os controles independentes embutidos nos sistemas aplicativos sejam 
plenamente aplicados para certificar as consistências dos lançamentos, 
garantia dos processamentos e emissão dos relatórios que reflitam o 
resultado das transações. 
 
Veja, a título de exemplo, um questionário específico sobre testes de controles do sistema de 
faturamento , nas páginas 145 a 148, capítulo 12, do material recebido por você. Além dos 
controles de negócio, que fique claro que devem ser verificados controles internos e processos. 
A seguir farei um breve resumo do referido programa de teste. 
 
Programa de teste de controles do sistema de faturamento (específico para o 
negócio) 
 
C1 – As funções incompatíveis de faturamento, liberação de crédito e alteração de tabelas de 
preço são adequadamente segregadas? 
Preocupa-se com a segregação de funções. 
C2 – Propagação de acessos pode facilitar atualização indevida quando há usuários masters 
que têm recursos para suprimir as restrições de acesso? 
Avalia se há controles e se são eficazes no tangente a alteração de limites de crédito dos 
clientes, imputação de preço de mercadorias manualmente. 
C3 – Acessos remotos através dos recursos de propagação de acessos das funções 
corporativas podem liberar funções restritas sem consentimento dos usuários? (Teste de 
integridade) 
Observa se há liberação de funções através de senhas, com limite de alçada, e se existe 
monitoração de acessos de terminais. 
C4 – É possível a emissão de nota fiscal sem alimentação de um pedido de vendas? (Teste de 
validade) 
C5 - É possível a emissão de nota fiscal sem estoque disponível? (teste de validade) 
C6 – Existe possibilidade de emissão de nota fiscal que não seja transferida para atualização 
de contas a receber e razão geral? 
Verifica procedimentos de consistências e existência de interfaces Faturamento/Contas a 
Receber/ Contabilidade em tempo hábil e conclui sobre sua razoabilidade. 
C7 – Quantidades faturadas podem ser diferentes das quantidades despachadas?