Baixe o app para aproveitar ainda mais
Prévia do material em texto
Mais sobre Auditoria de sistemas aplicativos Ao analisarmos a documentação do sistema a ser auditado, devemos atentar para: a) Descrição do sistema : Levanta a finalidade do sistema na condução do negócio, incluindo sua importância relativa nas operações da empresa. Verificar os controles que minimizam os riscos, sejam manuais (controles dos usuários) ou controles programados (controles embutidos nos programas, que compõem o sistema). Resume-se ao plano de negócios do sistema. b) Descrição do perfil do sistema: Estima o volume aproximado de transações médias processadas no mes. Menciona os softwares em uso. Especifica se o sistema foi desenvolvido em casa ou adquirido de terceiros, as linguagens de programação utilizadas e o número de programas do sistema c) Documentação da visão geral do processamento: Workflow das funções-chaves no processamento das informações, incluindo sua periodicidade. Os programas refletem os processos de negócio que são descritos no workflow através de tarefas, com suas regras de funcionalidade. Devemos observar a necessidade de documentar o fluxo das transações através de Diagrama de Fluxo de Dados (DFD), enfatizando entradas-chave (fontes das principais entradas, inclusive alimentação remota), lógica de processamento e saídas-chaves (relatórios, arquivos, telas, queries) mencionando arquivos mestre e tabelas importantes, incluindo integração com outros sistemas. Isso reflete a declaração de escopo vista anteriormente. São considerados objetivos gerais da auditoria de sistemas aplicativos: Integridade: o auditor poderia ter confiança nas transações processadas? O sistema garante as consistências das transações? Os usuários podem tomar decisões baseadas nas informações geradas pelo sistema, sem medo? Confidencialidade: as informações são reveladas somente para as pessoas que necessitam conhecê-las nos processos do negócio? As respostas a essa pergunta refletirão a efetividade dos controles implementados no sistema. Privacidade: as funções incompatíveis nos sistemas são segregadas? Como são os controles para assegurar que as informações estratégicas estão protegidas de acesso não autorizado? Acuidade: as transações processadas podem ser validadas. Os módulos de consistência de dados de entrada no sistema podem auxiliar na verificação dos dados-fontes atentando para sua veracidade, evitando desta forma que dados não qualificados sejam alimentados nos sistemas. Disponibilidade: o sistema está disponível para uso na hora em que o usuário necessita dele, mesmo que em situações adversas? Há procedimentos de restart / recovery , backup ? Auditabilidade: os sistemas devem documentar logs operacionais que permitam trilhas de auditoria. Versatilidade: os sistemas são amigáveis? Pode-se facilmente adaptar os workflows operacionais da empresa ao sistema? O sistema utiliza recursos de janelas tanto para importação como para exportação de dados? As tecnologias avançadas podem ser sempre contempladas para garantir vantagens competitivas? Manutenibilidade: os sistemas são fáceis de serem atualizados em caso de manutenção, seja ela do tipo que for (preventiva, corretiva, de otimização)? As políticas e procedimentos operacionais contemplam controles quanto a testes, conversão, implementação e documentação de sistemas novos ou modificados? São objetivos específicos da auditoria procedimentos para certificar-se de que: as transações registradas nos sistemas são provenientes das operações normais da empresa; as transações estejam corretamente contabilizadas nos sistemas, de conformidade com os princípios fundamentais emanados das legislações vigentes; os princípios sejam uniformemente aplicados nos sistemas, subsistemas e sistemas consolidadores das contas ou grupos de contas contábeis e ainda em relação aos exercícios anteriores; os controles independentes embutidos nos sistemas aplicativos sejam plenamente aplicados para certificar as consistências dos lançamentos, garantia dos processamentos e emissão dos relatórios que reflitam o resultado das transações. Veja, a título de exemplo, um questionário específico sobre testes de controles do sistema de faturamento , nas páginas 145 a 148, capítulo 12, do material recebido por você. Além dos controles de negócio, que fique claro que devem ser verificados controles internos e processos. A seguir farei um breve resumo do referido programa de teste. Programa de teste de controles do sistema de faturamento (específico para o negócio) C1 – As funções incompatíveis de faturamento, liberação de crédito e alteração de tabelas de preço são adequadamente segregadas? Preocupa-se com a segregação de funções. C2 – Propagação de acessos pode facilitar atualização indevida quando há usuários masters que têm recursos para suprimir as restrições de acesso? Avalia se há controles e se são eficazes no tangente a alteração de limites de crédito dos clientes, imputação de preço de mercadorias manualmente. C3 – Acessos remotos através dos recursos de propagação de acessos das funções corporativas podem liberar funções restritas sem consentimento dos usuários? (Teste de integridade) Observa se há liberação de funções através de senhas, com limite de alçada, e se existe monitoração de acessos de terminais. C4 – É possível a emissão de nota fiscal sem alimentação de um pedido de vendas? (Teste de validade) C5 - É possível a emissão de nota fiscal sem estoque disponível? (teste de validade) C6 – Existe possibilidade de emissão de nota fiscal que não seja transferida para atualização de contas a receber e razão geral? Verifica procedimentos de consistências e existência de interfaces Faturamento/Contas a Receber/ Contabilidade em tempo hábil e conclui sobre sua razoabilidade. C7 – Quantidades faturadas podem ser diferentes das quantidades despachadas?
Compartilhar