Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
GTI – ANDRE MOURA MAIS AUDITORIAS DIRECIONADAS 1 MAIS AUDITORIAS DIRECIONADAS 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas Auditoria de operação de sistemas Auditoria de suporte técnico Auditoria de sistemas aplicativos 2 MAIS AUDITORIAS DIRECIONADAS 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas Auditoria de Auditoria de operação de sistemas Auditoria de suporte técnico Auditoria de sistemas aplicativos 3 AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Uma das maiores dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. 4 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Em qualquer das opções (desenvolvimento ou aquisição), há que se fazer um estudo preliminar para o sistema em questão, considerando a viabilidade econômica, operacional e técnica. Cabe lembrar que aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS 5 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 1.Planejamento das aquisições: o que adquirir e quando fazê-lo. Definimos as declarações de trabalho (= descreve a aquisição a ser feita detalhadamente o suficiente para que os fornecedores em potencial possam avaliar se atendem) 2.Planejamento das solicitações: documenta os requisitos 3.Solicitação: obtém a cotação, ofertas e propostas 4.Seleção da fonte: escolhe a melhor proposta 5.Administração do contrato: Gerencia e relaciona-se com o fornecedor 6.Fechamento do contrato: finaliza o contrato, incluindo itens abertos AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS PMBOK 6 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Aprovação para início do projeto Definição da especificação de requisitos Definição do escopo e da declaração de escopo (= todos os deliverables (entregáveis) gerados para o projeto com as devidas observações sobre cada um. Em síntese, tudo o que o sistema terá que gerar, em detalhes: dados, arquivos, relatórios, telas, manuais, etc.) Lista de atividades, sequenciada, priorizada e com identificação de inter-dependência Cronograma do projeto AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS Roteiro de auditoria, segundo o PMBOK 7 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Orçamento do projeto Equipe e outros recursos necessários Necessidades de treinamento Plano de implantação contendo ou não planos de conversão e paralelo Plano de conting. envolvendo inclusive riscos do negócio Inclusão de programas fontes/executáveis na biblioteca de produção Baixa/atualização de programas fontes/executáveis da/para a biblioteca de produção AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS Roteiro de auditoria, segundo o PMBOK 8 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS Se for manutenção em sistemas existentes, recomenda-se que o gerente do projeto solicite uma cópia da versão do programa que está em produção, que deverá ser baixada na biblioteca de programas de desenvolvimento, a fim de garantir que não serão feitas alterações em versões equivocadas. Este pedido deve ser por escrito e justificado, dizendo exatamente o que será alterado no programa/sistema, quem solicitou tal alteração e aprovação do gerente de sistemas. O manuseio da biblioteca de programas em produção é de competência do pessoal de Produção. 9 10 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS A inclusão de programa na biblioteca de produção também deverá ser solicitada pelo gerente de projetos, por escrito, com justificativa e autorização explícita do cliente (área que solicitou tal alteração ou desenvolvimento) e da gerência de Sistemas. Estes procedimentos asseguram que as versões em produção são as autorizadas e atuais e qualquer alteração será feita em cima desta versão. 10 11 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS TESTE DO SISTEMA Garantir o cumprimento dos requisitos funcionais e não funcionais descritos na especificação de requisitos USUÁRIO 11 12 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS DOCUMENTAÇÃO A documentação de um projeto é um conjunto de documentos que apóiam e explicam o sistema/programa Padrões necessários para uma boa documentação 12 13 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 A documentação deve ser guardada em uma biblioteca que tenha controle de acesso A documentação deve estar sujeita a padrões uniformes relativos a técnicas de flowcharting, codificação e procedimentos de modificação (incluindo a própria autorização) A documentação de sistemas inclui narrativas, fluxograma lógico do sistema, arquivos e planos de registro, contribuição e formas de produção, controles, autorizações de mudança e procedimentos AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS 13 14 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 A documentação de programas contém descrições, fluxograma de programa, listagem dos programas fontes, planos e dados de teste, contribuição e produção, arquivos detalhados e planos de registro, pedidos de mudança, instruções de operação e controles A documentação operacional (manual de operação) provê informações sobre arquivos e dispositivos necessários, procedimento de contribuição, mensagens de console e ações de operação, tempos necessários, procedimentos de recuperação, disposição de produção e controles AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS 14 15 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 A documentação processual inclui o plano-mestre do sistema e operações a serem executadas, padrões para análise de sistemas, programação, operações, segurança e definição de dados A documentação do usuário (manual do usuário) descreve o sistema e procedimentos para entrada de dados, conferência e correção de erros, formatos e usos de relatórios AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS 15 16 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Há procedimentos de formalização da real necessidade para um novo sistema? Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno? As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa? AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS OBJETIVOS DE AUDITORIA 16 17 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 A especificação de requisitos é feitas de forma cuidadosa, confrontando os conhecimentos dos usuários com os dos analistas de sistema, visando eliminar gaps semânticos? Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários? O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes? AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS OBJETIVOS DE AUDITORIA 17 18 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem? As manutenções são feitas sem interrupção das operações normais da empresa? A documentação é consistente e disponível para orientar os usuários? AUDITORIA DE AQUISIÇÃO, DES, MANUT E DOCUMENTAÇÃO DE SISTEMAS OBJETIVOS DE AUDITORIA 18 Programa de teste de controle <especificação do sistema> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 –Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes? S/N/NA Ref.W/P OBS Os usuários dos sistemas estejam envolvidos O gerente do projeto seja identificado As reuniões com usuários são documentadas, incluindo as deliberações AUD DE AQUIS, DES, MANUT E DOC DE SIST 19 19 Programa de teste de controle <especificação do sistema> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 –Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes? S/N/NA Ref.W/P OBS Dados de entrada e o meio de entrada desses dados no sistema sejam identificados Formato, o meio e a distribuição dos relatórios sejam especificados AUD DE AQUIS, DES, MANUT E DOC DE SIST 20 20 Programa de teste de controle <especificação do sistema> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 –Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes? S/N/NA Ref.W/P OBS Passos, lógica de processamento e fórmulas utilizadas, quando for o caso, sejam identificados Ambientes de software e hardware apropriados sejam especificados AUD DE AQUIS, DES, MANUT E DOC DE SIST 21 21 Programa de teste de controle <especificação do sistema> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 –Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes? S/N/NA Ref.W/P OBS Requisitos de segurança de informação sejam adequadamente considerados AUD DE AQUIS, DES, MANUT E DOC DE SIST 22 22 Programa de teste de controle <especificação do sistema> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 –Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes? S/N/NA Ref.W/P OBS Controles internos embutidos no sistema e do usuário sejam incorporados ao desenho do sistema. Esses controles podem incluir totais de lote, edição de entrada, campos com dígito verificador, rotinas de verificação e relatórios de controle. AUD DE AQUIS, DES, MANUT E DOC DE SIST 23 23 Programa de teste de controle < AQUISIÇÃO DE SISTEMAS> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2–Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? S/N/NA Ref.W/P OBS As declarações de trabalho estão especificadas e aprovadas pelos usuários Houve participação na concorrência de pelo menos três possíveis fornecedores AUD DE AQUIS, DES, MANUT E DOC DE SIST 24 24 Programa de teste de controle < AQUISIÇÃO DE SISTEMAS> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2–Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? S/N/NA Ref.W/P OBS A seleção da melhor proposta foi feita em critérios previamente estabelecidos e distribuidos para os possíveis fornecedores (custo, prazo de entrega, referências de clientes, conhecimento do negócio, etc) AUD DE AQUIS, DES, MANUT E DOC DE SIST 25 25 Programa de teste de controle < AQUISIÇÃO DE SISTEMAS> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2–Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? S/N/NA Ref.W/P OBS Há documentação que assegure garantia de manutenção do sistema fornecido por parte dos fornecedores AUD DE AQUIS, DES, MANUT E DOC DE SIST 26 26 Programa de teste de controle < AQUISIÇÃO DE SISTEMAS> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C3–Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção, especificação ou modificação de sistemas? S/N/NA Ref.W/P OBS AUD DE AQUIS, DES, MANUT E DOC DE SIST 27 27 Programa de teste de controle < AQUISIÇÃO DE SISTEMAS> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C4–Há rotinas e procedimentos estabelecidos para determinar prioridades para os projetos de desenvolvimento e manutenção de sistemas? S/N/NA Ref.W/P OBS AUD DE AQUIS, DES, MANUT E DOC DE SIST 28 28 Programa de teste de controle < AQUISIÇÃO DE SISTEMAS> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C5–Há rotinas e procedimentos estabelecidos para rever as especificações dos projetos por pessoal apropriado de processamento de dados, fora da área de desenvolvimento e manutenção de sistemas (por exemplo: operação, segurança e suporte)? S/N/NA Ref.W/P OBS AUD DE AQUIS, DES, MANUT E DOC DE SIST 29 29 Programa de teste de controle < PROGRAMAÇÃO> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C6–A empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente? Se sim, descreva os controles existentes para assegurar que: S/N/NA Ref.W/P OBS Os programas sejam desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa A codificação de programas novos ou alterados esteja sujeita à revisão pelos supervisores de programação AUD DE AQUIS, DES, MANUT E DOC DE SIST 30 30 Programa de teste de controle < PROGRAMAÇÃO> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C6–A empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente? Se sim, descreva os controles existentes para assegurar que: S/N/NA Ref.W/P OBS Sistemas novos ou modificados não sejam colocados em operação antes de estarem autorizados e aprovados para implantação AUD DE AQUIS, DES, MANUT E DOC DE SIST 31 31 Programa de teste de controle < TESTE> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C7–Há rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas? S/N/NA Ref.W/P OBS Testes incluam alguns ou todos os itens a seguir, de acordo com as circunstâncias: testes da lógica dos programas testes dos procedimentos de entrada de dados do usuário testes das interfaces com outros sistemas testes paralelos com o sistema existente a ser substituído AUD DE AQUIS, DES, MANUT E DOC DE SIST 32 32 Programa de teste de controle < TESTE> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C7–Há rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas? S/N/NA Ref.W/P OBS testes de regressão (= ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento) testes de controles e características de segurança AUD DE AQUIS, DES, MANUT E DOC DE SIST 33 33 Programa de teste de controle < TESTE> CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C7–Há rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas? S/N/NA Ref.W/P OBS - Existência de plano de teste, incluindo os casos de teste; - Evidências de testes unitários, de sistema e de integração - Evidências de participação do usuário na definição e testes do projeto AUD DE AQUIS, DES, MANUT E DOC DE SIST 34 34 Programa de teste de controle < DOCUMENTAÇÃO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C8–A empresa mantém documentação para a totalidade dos sistemas contábeis significativos, que atenda às necessidades do usuário e do pessoal de processamento de dados? S/N/NA Ref.W/P OBS A documentação é atualizada e reflete exatamente o sistema em operação A documentação é suficientemente detalhada para suportar futuras mudanças no sistema AUD DE AQUIS, DES, MANUT E DOC DE SIST 35 35 Programa de teste de controle < DOCUMENTAÇÃO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C8–A empresa mantém documentação para a totalidade dos sistemas contábeis significativos, que atenda às necessidades do usuário e do pessoal de processamento de dados? S/N/NA Ref.W/P OBS As instruções do usuário e do operador são suficientemente detalhadas para possibilitar o correto uso e operação do sistema A documentação sigilosa é guardada em área fisicamente segura AUD DE AQUIS, DES, MANUT E DOC DE SIST 36 36 Programa de teste de controle < MANUTENÇÃO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C9–A empresa executa projetos de manutenção em sistemas aplicativos internamente? S/N/NA Ref.W/P OBS Solicitações de manutenção de programas sejam documentadas e autorizadas pelo usuário e pela gerencia de projetos A manutenção de programas esteja sujeita aos padrões de programação aplicáveis AUD DE AQUIS, DES, MANUT E DOC DE SIST 37 37 Programa de teste de controle < MANUTENÇÃO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C9–A empresa executa projetos de manutenção em sistemas aplicativos internamente? S/N/NA Ref.W/P OBS Os usuários revisem os resultados dos testes e deem seu “aceite” aos mesmos, antes de serem implementados na produção A documentação seja apropriadamente atualizada para refletir a alteração do sistema A manutenção seja executada por pessoal apropriado AUD DE AQUIS, DES, MANUT E DOC DE SIST 38 38 MAIS AUDITORIAS DIRECIONADAS 39 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas Auditoria de operação de sistemas Auditoria de suporte técnico Auditoria de sistemas aplicativos 39 39 AUDITORIA DE OPERAÇÃO DE SISTEMAS 40 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 A operação do computador envolve as função da área de informática que aciona os programas que ligam e desligam os computadores. Quando os computadores são ligados, todos os recursos presentes nos scripts são acionados juntos com o sistema operacional. 40 41 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 O auditor necessita conhecer todas as operações e serviços disponibilizados pelos centros de processamento de dados e documentar os controles organizacionais. AUDITORIA DE OPERAÇÃO DE SISTEMAS 41 42 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Planejamento, controle e monitoração das operações Planejamento da capacidade Monitoramento de todos os sistemas e as redes Inicialização do sistema e do desligamento Gravação (logging), rastreamento (tracking) dos problemas e monitoramento do tempo de resposta Gerenciamento de mudanças estruturais e pessoais Gestão das unidades, dos periféricos e equipamentos remotos Gerenciamento de bibliotecas OPERAÇÕES MAIS COMUNS AUDITORIA DE OPERAÇÃO DE SISTEMAS 42 43 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Programação dos serviços (job scheduling) e acompanhamento das operações Automação da produção Backup dos sistemas, programas, dados e banco de dados; Gerenciamento do help desk Coordenação e programação de upgrades dos equipamentos Gestão de restart / recovery OPERAÇÕES MAIS COMUNS AUDITORIA DE OPERAÇÃO DE SISTEMAS 43 44 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Além de garantir que todos os passos envolvidos na criação de dados, que as lógicas envolvidas no processamento das tarefas e os procedimentos mínimos de emissão de relatórios sejam obedecidos, é objetivo da auditoria de controle de operações de computador levantar a existência de controles que assegurem que as operações das transações executadas na empresa sejam fidedignas. AUDITORIA DE OPERAÇÃO DE SISTEMAS 44 45 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Espera-se encontrar procedimentos para assegurar que os jobs (serviços) sejam programados (para execução) e processados adequadamente sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos. Falhas freqüentes do sistema, erros significativos de processamento, atrasos e perdas de dados podem indicar a existência de deficiências no controle de operações. AUDITORIA DE OPERAÇÃO DE SISTEMAS 45 Programa de teste de controle < OPERAÇÃO DE SISTEMAS > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1–Controle sobre o processo operacional S/N/NA Ref.W/P OBS Avalia se há supervisão e revisão de atividades para cada turno de processamento, se é exigido um registro de todas as atividades dos operadores no console, existência de job scheduling, inicialização e desligamento dos equipamentos AUD DE AQUIS, DES, MANUT E DOC DE SIST 46 46 Programa de teste de controle < OPERAÇÃO DE SISTEMAS > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2–Controles sobre monitoramento.Verifica: S/N/NA Ref.W/P OBS relatórios de ocorrência com totais de controle para a operação (mesmo que seja com total zero para indicar que não houve ocorrência) procedimentos descritos em detalhes, para o setor, sobre restart / recovery automação da operação minimizando os processos manuais dos operadores AUD DE AQUIS, DES, MANUT E DOC DE SIST 47 47 Programa de teste de controle < OPERAÇÃO DE SISTEMAS > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2–Controles sobre monitoramento.Verifica: S/N/NA Ref.W/P OBS procedimentos para casos de abends (abnormal end, cancelamento) de programas, orientando a quem chamar treinamento suficiente para toda a equipe de operação procedimentos para controle de entradas locais e remotas nos sistemas procedimentos para reconciliação de totais processados com totais de entrada AUD DE AQUIS, DES, MANUT E DOC DE SIST 48 48 Programa de teste de controle < OPERAÇÃO DE SISTEMAS > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C3–Controles sobre as entradas embatch S/N/NA Ref.W/P OBS Avalia controle de lotes para a digitação e prazos de recebimento e digitação de documentos em relação ao cronograma e a exatidão dos dados digitados. Verifica a existência de uma central de atendimento/apoio para usuários de transações online AUD DE AQUIS, DES, MANUT E DOC DE SIST 49 49 Programa de teste de controle < OPERAÇÃO DE SISTEMAS > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C4–Controles sobre a identificação e correção de problemas. Verifica: S/N/NA Ref.W/P OBS elaboração de relatórios estatísticos e gerenciais identificação de treinamento direcionado a usuários finais baseado nos problemas operacionais encontrados atualização dos manuais de usuários e help desk, com base na soluções tomadas AUD DE AQUIS, DES, MANUT E DOC DE SIST registros dos problemas ocorridos e as respectivas ações corretivas 50 50 Programa de teste de controle < OPERAÇÃO DE SISTEMAS > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C5–Controles derestart/recovery.Verifica Plano de Contingência: S/N/NA Ref.W/P OBS classificação das informações priorização das operações a guarda de arquivos na biblioteca externa a escolha do hot-site ao teste do hot-site AUD DE AQUIS, DES, MANUT E DOC DE SIST 51 51 Programa de teste de controle < OPERAÇÃO DE SISTEMAS > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C6–Verificação da existência de controles que evitem que as operações diárias sejam interrompidas e que evitem perdas financeiras, no caso de uma eventual mudança de ambiente de operação S/N/NA Ref.W/P OBS AUD DE AQUIS, DES, MANUT E DOC DE SIST 52 52 MAIS AUDITORIAS DIRECIONADAS 53 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas Auditoria de operação de sistemas Auditoria de suporte técnico Auditoria de sistemas aplicativos 53 AUDITORIA DE SUPORTE TÉCNICO 54 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções classificam-se em dois grandes grupos: Funções rotineiras e funções esporádicas 54 55 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Gerenciamento de help desk Socorro aos problemas de instalação de redes Monitoramento da ocorrência de problemas Treinamento de usuários dos softwares Revisão preventiva de equipamentos Substituição dos equipamentos antigos Segurança de informação quando não há administrador de segurança de informação AUDITORIA DE SUPORTE TÉCNICO Funções rotineiras: 55 56 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Dimensionamento de banco de dados Instalação de softwares utilitários Manutenção dos sistemas operacionais Instalação de upgrades Avaliação de software para fins de compra; Padronização dos recursos de tecnologia da informação Ativação de redes (estações, etc.) AUDITORIA DE SUPORTE TÉCNICO Funções esporádicas: 56 57 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 O auditor necessita estar alerta aos controles de banco de dados, redes de comunicação, configuração de software de sistema operacional e outros, pois se as funções destes recursos não funcionarem com segurança, dados e programas podem ser perdidos ou alterados, controles de segurança lógica podem ser ignorados, falhas de sistema podem ocorrer mais frequentemente, em suma, os sistemas podem não processar de forma confiável as suas informações. AUDITORIA DE SUPORTE TÉCNICO 57 Programa de teste de controle < suporte técnico > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 –Os sistemas operacionais processam aplicativos relevantes aos processos do negócio? S/N/NA Ref.W/P OBS AUDITORIA DE SUPORTE TÉCNICO Preocupa-se com controles que possam assegurar que as mudanças no sistema operacional sejam revistas e testadas antes de instaladas 58 58 Programa de teste de controle < suporte técnico > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2 –Existem procedimentos padronizados para aquisição de softwares utilitários? S/N/NA Ref.W/P OBS AUDITORIA DE SUPORTE TÉCNICO Verifica se somente softwares que seguem padrões da empresa são adquiridos, revistos e testados antes da instalação 59 59 Programa de teste de controle < suporte técnico > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C3 –O cliente possui um sistema de banco de dados que mantém dados usados no processo contábil? S/N/NA Ref.W/P OBS AUDITORIA DE SUPORTE TÉCNICO Verifica se mudanças no software de banco de dados são revistas e testadas antes da instalação 60 60 Programa de teste de controle < suporte técnico > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C4 –O cliente tem um grupo de suporte técnico que efetua a manutenção do sistema operacional e outrossoftwaresde sistema? S/N/NA Ref.W/P OBS AUDITORIA DE SUPORTE TÉCNICO Verifica se mudanças no software de sistema são revisadas e testadas antes da instalação 61 61 Programa de teste de controle < suporte técnico > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C5 –O grupo de suporte técnico mantém pessoas para treinar usuários sobre o uso pleno dos recursos de tecnologia da informação? S/N/NA Ref.W/P OBS AUDITORIA DE SUPORTE TÉCNICO Assegura que todos os usuários sejam agendados para treinamento e se este procedimento é repetido a cada upgrade dos recursos de tecnologia da informação 62 62 Programa de teste de controle < suporte técnico > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C6 –O grupo de suporte técnico possui equipe dehelpdesk? S/N/NA Ref.W/P OBS AUDITORIA DE SUPORTE TÉCNICO As chamadas para socorro dos usuários sejam documentadas As resoluções das ocorrências sejam atendidas em tempo hábil As resoluções dos problemas sejam documentadas para que os usuários possam acessá-las periodicamente, independente do apoio do suporte técnico 63 63 Programa de teste de controle < suporte técnico > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C6 –O grupo de suporte técnico possui equipe dehelpdesk? S/N/NA Ref.W/P OBS AUDITORIA DE SUPORTE TÉCNICO Sejam monitorados os índices de atendimento e suas oscilações Os usuários sejam treinados nos tópicos que abrangem os problemas mais freqüentes 64 64 Programa de teste de controle < suporte técnico > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C7 –O cliente utiliza comunicação extensiva de dados que envolvam locais distantes e o uso de linhas de comunicação? S/N/NA Ref.W/P OBS AUDITORIA DE SUPORTE TÉCNICO A rede de comunicação seja adequadamente suportada por pessoal técnico Todas as tentativas de acesso remoto sejam através de uso de senhas, rotinas de callback ou técnicas similares 65 65 Programa de teste de controle < suporte técnico > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C7 –O cliente utiliza comunicação extensiva de dados que envolvam locais distantes e o uso de linhas de comunicação? S/N/NA Ref.W/P OBS AUDITORIA DE SUPORTE TÉCNICO Hardware de comunicação e de documentação da rede sejam fisicamente seguros e o acesso seja restrito a pessoal do suporte técnico autorizado Mudanças no hardware e software de comunicação sejam aprovadas e testadas antes da instalação 66 66 MAIS AUDITORIAS DIRECIONADAS 67 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas Auditoria de operação de sistemas Auditoria de suporte técnico Auditoria de sistemas aplicativos 67 AUDITORIA DE SISTEMAS APLICATIVOS 68 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Os controles internos, processos e controles de negócios devem ser verificados não só em sistemas novos (em desenvolvimento ou adquiridos), mas também nos sistemas em produção. Alguns pontos de controle são fundamentais e serão aplicados em todos os sistemas como por exemplo, controle de acesso. Outros serão identificados e aplicados conforme o sistema sob auditoria 68 69 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 O COBIT define sete critérios de informações que podemos adotar como sendo objetivo de uma auditoria de sistemas: Efetividade Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiança AUDITORIA DE SISTEMAS APLICATIVOS 69 70 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos controles internos e programados como ferramentas de auditoria. AUDITORIA DE SISTEMAS APLICATIVOS Avaliação: Verificação da estrutura dos sistemas e seus controles e Testes substantivos das transações executadas pelos sistemas. 70 71 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 AUDITORIA DE SISTEMAS APLICATIVOS Ao analisarmos a documentação do sistema a ser auditado, devemos atentar para: Descrição do sistema: levanta a finalidade do sistema na condução do negócio, incluindo sua importância relativa nas operações da empresa. Verificar os controles que minimizam os riscos, sejam manuais (controles dos usuários) ou controles programados (controles embutidos nos programas, que compõem o sistema). Resume-se ao plano de negócios do sistema. 71 72 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 AUDITORIA DE SISTEMAS APLICATIVOS Ao analisarmos a documentação do sistema a ser auditado, devemos atentar para: Descrição do perfil do sistema: estima o volume aproximado de transações médias processadas no mes. Menciona os softwares em uso. Especifica se o sistema foi desenvolvido em casa ou adquirido de terceiros, as linguagens de programação utilizadas e o número de programas do sistema 72 73 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 AUDITORIA DE SISTEMAS APLICATIVOS Ao analisarmos a documentação do sistema a ser auditado, devemos atentar para: Documentação da visão geral do processamento: workflow das funções-chaves no processamento das informações, incluindo sua periodicidade. Os programas refletem os processos de negócio que são descritos no workflow através de tarefas, com suas regras de funcionalidade. 73 74 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Integridade: Confiança nas transações processadas? Sistema garante consistências das transações? Usuários podem tomar decisões baseadas no sistema, sem medo? Confidencialidade: Informações reveladas somente para quem necessita conhecê-las nos processos do negócio? Privacidade: Funções incompatíveis nos sistemas são segregadas? Controles para assegurar que as informações estratégicas estão protegidas de acesso não autorizado? Acuidade: as transações processadas podem ser validadas? Objetivos gerais da auditoria: AUDITORIA DE SISTEMAS APLICATIVOS 74 75 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Disponibilidade: O sistema está disponível para uso na hora em que o usuário necessita dele, mesmo que em situações adversas? Há procedimentos de restart / recovery , backup ? Auditabilidade: Os sistemas devem documentar logs operacionais que permitam trilhas de auditoria. Versatilidade: Os sistemas são amigáveis? Pode-se facilmente adaptar os workflows operacionais da empresa ao sistema? competitivas? Manutenibilidade: Os sistemas são fáceis de serem atualizados em caso de manutenção? Objetivos gerais da auditoria: AUDITORIA DE SISTEMAS APLICATIVOS 75 76 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 As transações registradas nos sistemas são provenientes das operações normais da empresa As transações estejam corretamente contabilizadas nos sistemas, de conformidade com os princípios fundamentais emanados das legislações vigentes Os princípios sejam uniformemente aplicados nos sistemas, sub-sistemas e sistemas consolidadores das contas ou grupos de contas contábeis, e ainda em relação aos exercícios anteriores Objetivos específicos da auditoria: AUDITORIA DE SISTEMAS APLICATIVOS 76 77 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 07 Os controles independentes embutidos nos sistemas aplicativos sejam plenamente aplicados para certificar as consistências dos lançamentos, garantia dos processamentos e emissão dos relatórios que reflitam o resultado das transações Objetivos específicos da auditoria: AUDITORIA DE SISTEMAS APLICATIVOS 77 Programa de teste de controle < SISTEMA DE FATURAMENTO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C1 –As funções incompatíveis de faturamento, liberação de crédito e alteração de tabelas de preço são adequadamente segregadas? S/N/NA Ref.W/P OBS Preocupa-se com a segregação de funções AUDITORIA DE SISTEMAS APLICATIVOS 78 78 Programa de teste de controle < SISTEMA DE FATURAMENTO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C2 –Propagação de acessos pode facilitar atualização indevida quando há usuáriosmastersque tem recursos para suprimir as restrições de acesso? S/N/NA Ref.W/P OBS Avalia se há controles e se são eficazes no tangente a alteração de limites de crédito dos clientes, imputação de preço de mercadorias manualmente AUDITORIA DE SISTEMAS APLICATIVOS 79 79 Programa de teste de controle < SISTEMA DE FATURAMENTO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C3 – Acessos remotos através dos recursos de propagação de acessos das funções corporativas podem liberar funções restritas sem consentimento dos usuários? (teste de integridade) S/N/NA Ref.W/P OBS Observa se há liberação de funções através de senhas, com limite de alçada, e se existe monitoração de acessos de terminais AUDITORIA DE SISTEMAS APLICATIVOS 80 80 Programa de teste de controle < SISTEMA DE FATURAMENTO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C4 –É possível a emissão de nota fiscal sem alimentação de um pedido de vendas? (teste de validade) S/N/NA Ref.W/P OBS AUDITORIA DE SISTEMAS APLICATIVOS 81 81 Programa de teste de controle < SISTEMA DE FATURAMENTO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C5 -É possível a emissão de nota fiscal sem estoque disponível? (teste de validade) S/N/NA Ref.W/P OBS AUDITORIA DE SISTEMAS APLICATIVOS 82 82 Programa de teste de controle < SISTEMA DE FATURAMENTO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C6 –Existe possibilidade de emissão de nota fiscal que não seja transferida para atualização de contas a receber e razão geral? S/N/NA Ref.W/P OBS Verifica procedimentos de consistências e existência de interfaces Faturamento/Contas a Receber/ Contabilidade em tempo hábil e conclui sobre sua razoabilidade AUDITORIA DE SISTEMAS APLICATIVOS 83 83 Programa de teste de controle < SISTEMA DE FATURAMENTO > CLIENTE: Feito Por: DATA:___/___/___ REVISADO POR: C7 –Quantidades faturadas podem ser diferentes das quantidades despachadas? S/N/NA Ref.W/P OBS AUDITORIA DE SISTEMAS APLICATIVOS 84 84 GTI – ANDRE MOURA F I M MAIS AUDITORIA DIRECIONADAS 85
Compartilhar