Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Aula_05 AUDITORIA DE SISTEMAS
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
GTI – ANDRE MOURA MAIS TÉCNICAS DE AUDITORIA 1 MAIS TÉCNICAS DE AUDITORIA Mais técnicas de auditoria 2 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 3 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 5 Teste de observância Os testes de observância são aqueles empregados pelo auditor, a fim de determinar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. Destinam-se em um primeiro momento a constatar a credibilidade dos procedimentos de controle da empresa, e não necessariamente os registros corretos das operações. MAIS TÉCNICAS DE AUDITORIA 4 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 APLICAÇÃO Largamente aplicado em auditorias operacionais, onde a preocupação central do auditor é verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc. 5 Teste de observância MAIS TÉCNICAS DE AUDITORIA 5 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 APLICAÇÃO . . . Requer muita atenção e acuidade do auditor, e normalmente são aplicados sem que os envolvidos no processo auditado percebam, pois caso isto fosse notado, certamente fariam o correto, pelo menos na frente do auditor. 5 Teste de observância MAIS TÉCNICAS DE AUDITORIA 6 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 6 Teste substantivo Este tipo de teste é empregado pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para a sua opinião sobre determinados fatos. MAIS TÉCNICAS DE AUDITORIA 7 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 6 Teste substantivo Existência real: que as transações comunicadas/registradas realmente tenham ocorrido; Integridade: que não existam transações além daquelas registradas/demonstradas e que as informações permanecem inalteradas, nos registros, desde sua gravação; CONSTATAÇÕES MAIS TÉCNICAS DE AUDITORIA 8 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 6 Teste substantivo Parte interessada: que os interessados naquele registro/comunicação tenham obtido as informações na sua totalidade; Avaliação e aferição: que os itens que compõem determinada transação/registro tenham sido avaliados e aferidos corretamente; Divulgação: que as transações/registros tenham sido corretamente divulgados. CONSTATAÇÕES . . . MAIS TÉCNICAS DE AUDITORIA 9 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 7 Dados de teste (test data ou test deck) É aplicada em ambiente batch. O auditor prepara um conjunto de dados com o objetivo de testar os controles programados e os controles do sistema aplicativo, para rotinas sistêmicas ou manuais. MAIS TÉCNICAS DE AUDITORIA 10 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Contemplar um determinado número de transações, com dias (úteis) de processamento suficiente para que o resultado seja conclusivo. Após executar o sistema auditado com esta massa de dados, o auditor irá comparar o resultado com aquele pré-determinado (elaborado na confecção da massa de dados de teste). MAIS TÉCNICAS DE AUDITORIA 7 Dados de teste (test data ou test deck) Pontos de atenção 11 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Os dados simulados de teste devem prever situações corretas e incorretas de natureza: Transações com campos incorretos; Transações com valores ou quantidades nos limites de tabelas de cálculos; Transações incompletas; Transações incompatíveis; Transações em duplicidade. MAIS TÉCNICAS DE AUDITORIA 7 Dados de teste (test data ou test deck) Pontos de atenção . . . 12 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Compreensão do módulo do sistema a ser avaliado, identificação de programas e arquivos; Simulação dos dados de teste pertinentes, com foco nos pontos de controle que se quer testar; Elaboração de formulários de controle do teste, o que significa apurar resultados esperados e pré-calculados para confrontação com os resultados alcançados no teste e gravados em arquivos. MAIS TÉCNICAS DE AUDITORIA 7 Dados de teste (test data ou test deck) Etapas 13 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Transcrição dos dados de teste para um meio aceito pelo computador. (Uma opção do auditor é copiar partes do arquivo real de entrada no programa e fazer, via programa de computador, as alterações desejadas para alimentação da simulação de dados necessária); Preparação do ambiente necessário para execução do teste; MAIS TÉCNICAS DE AUDITORIA 7 Dados de teste (test data ou test deck) Etapas . . . 14 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Processamento dos dados de teste com utilização do programa real que contém as rotinas do sistema sob auditoria a serem validadas; Avaliação dos resultados do teste via análise de listagens obtidas a partir do arquivo magnético gerado; MAIS TÉCNICAS DE AUDITORIA 7 Dados de teste (test data ou test deck) Etapas . . . 15 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Emissão de opinião sobre o ponto de controle testado com a elaboração da devida documentação, ou seja, papéis de trabalho referentes à simulação de dados realizada. MAIS TÉCNICAS DE AUDITORIA 7 Dados de teste (test data ou test deck) Etapas . . . 16 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 8 Facilidade de teste integrado Esta técnica, conhecida também por Integrated Test Facility (ITF), somente pode ser processada com maior eficiência em ambiente on-line e real time. Os dados de teste são integrados aos ambientes reais de processamento utilizando-se de versões atuais da produção. MAIS TÉCNICAS DE AUDITORIA 17 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 A execução da técnica envolve aplicação de entidades fictícias (tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários). Confrontamos os dados no processamento de transações reais com esses dados e os resultados comparados com aqueles predeterminados. 8 Facilidade de teste integrado MAIS TÉCNICAS DE AUDITORIA 18 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Esta facilidade evita que se atualizem as bases reais da organização com os dados fictícios, mas criam-se arquivos de resultado em separado. Este procedimento é utilizado em ambiente de produção normal, sem o consentimento dos operadores de computador. 8 Facilidade de teste integrado MAIS TÉCNICAS DE AUDITORIA 19 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 9 Simulação paralela Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Esta técnica utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. MAIS TÉCNICAS DE AUDITORIA 20 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Enquanto no test deck simulamos dados e os submetemos ao programa de computador que normalmente é processado na produção, na simulação paralela simulamos o programa e o processamos com a massa real. 9 Simulação paralela MAIS TÉCNICAS DE AUDITORIA 21 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Levantamento e identificação, via documentação do sistema, da rotina a ser auditada e respectivos arquivos de dados. elaboração de programa de computador com a lógica da rotina a ser auditada. Compilação e teste deste programa que irá simular em paralelo a lógica do programa de computador sob auditoria. 9 Simulação paralela MAIS TÉCNICAS DE AUDITORIA ETAPAS 22 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Preparação do ambiente de computação para processamento do programa de computador elaborado pelo auditor. 9 Simulação paralela MAIS TÉCNICAS DE AUDITORIA ETAPAS . . . 23 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 10 Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Periodicamente os relatórios de auditoria são emitidos para revisão e acompanhamento dos procedimentos operacionais. MAIS TÉCNICAS DE AUDITORIA Lógica de auditoria embutida nos sistemas 24 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Lógica de auditoria embutida nos sistemas 10 Nesta técnica podem ser incluídas as rotinas para gravação de arquivos logs ( arquivo log: arquivo com dados históricos), principalmente no que se refere a acesso de sistema e arquivos. Cabe alertar para o fato de que devem ser incluídas as rotinas realmente necessárias pois como estas farão parte dos procedimentos rotineiros do sistema, poderíamos ter um aumento de ineficiência do mesmo. MAIS TÉCNICAS DE AUDITORIA 25 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Lógica de auditoria embutida nos sistemas 10 Relatórios de exceção também podem ser incluídos nesta categoria. Por exemplo, em um sistema de cartão de crédito, como um dos controles de negócio, teríamos o desvio no comportamento do cliente. O sistema faria um monitoramento de como o cliente, possuidor do cartão, costuma comprar: em que cidades, que valores médios de compra, quantas compras por semana, mês. MAIS TÉCNICAS DE AUDITORIA 26 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 11 Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas, flagrando situações tais como: Rotinas não utilizadas; Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. MAIS TÉCNICAS DE AUDITORIA Mapeamento estatístico dos programas de computador (mapping) 27 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Rotinas existentes em programas já desativados ou de uso esporádico; Rotinas mais utilizadas, normalmente a cada processamento do programa; Rotinas fraudulentas e de uso em situações irregulares; Rotinas de controle acionadas a cada processamento. 11 Mapeamento estatístico dos programas de computador (mapping) MAIS TÉCNICAS DE AUDITORIA SITUAÇÕES 28 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Necessidade de um software de apoio em conjugação com o processamento do sistema aplicativo, ou rotinas específicas deverão ser embutidas no sistema operacional utilizado. Necessidade de inclusão de instruções especiais junto aos programas em processamento na produção. Além de um custo possivelmente alto, esta técnica pode degradar o desempenho do sistema. 11 Mapeamento estatístico dos programas de computador (mapping) MAIS TÉCNICAS DE AUDITORIA PRÉ-REQ 29 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 12 Técnica que possibilita seguir o caminho de uma transação durante o processamento do programa. Durante a aplicação da técnica, a sequencia de instruções executadas é listada. Desta forma obtemos os endereços das instruções conforme sua ordem de execução. Ao testar determinada transação podemos acompanhar sua lógica de instruções e identificar problemas na lógica de um programa. MAIS TÉCNICAS DE AUDITORIA Rastreamento dos programas de computador (tracing) 30 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Esta abordagem viabiliza a identificação de rotinas fraudulentas pela alimentação de transações particulares. Por exemplo: ao processar um sistema de Folha de Pagamento, podemos acionar a condição de tracing para matriculas pertencentes ao departamento X , marcando esses registros para rastreamento das instruções (saber se não há algum processamento peculiar para determinada situação obscura). MAIS TÉCNICAS DE AUDITORIA 12 Rastreamento dos programas de computador (tracing) 31 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 13 Esta técnica implica na análise visual do código fonte (linguagem em que o usuário ou o programador escreveu o programa), buscando a verificação da lógica dos programas, normalmente feita de uma forma manual, a fim de verificar que as instruções dos programas são as mesmas já identificadas na documentação do sistema aplicativo. Para aplicação desta técnica, o auditor deve ser um conhecedor de programação de computador. MAIS TÉCNICAS DE AUDITORIA Análise da lógica de programação 32 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Verifica a efetividade dos controles programados. Verifica se o programador cumpriu as normas de padronização de código de rotinas, arquivos, programas, relatórios. Analisa a qualidade da estrutura do programa. Identifica vícios de programação e o nível de atendimento às características da linguagem de programação utilizada. MAIS TÉCNICAS DE AUDITORIA 13 Análise da lógica de programação AUDITOR 33 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Na dúvida, comparar o programa fonte com o código objeto da seguinte maneira: Solicitar que o setor de Produção compile o módulo fonte que se encontra na biblioteca fonte; Comparar o código objeto que acaba de ser gerado com o código objeto do programa que se encontra gravado na biblioteca objeto, de produção; Identificar as eventuais divergências. MAIS TÉCNICAS DE AUDITORIA 13 Análise da lógica de programação AUDITOR . . . 34 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 14 O Log/accounting é um arquivo, gerado por uma rotina do sistema operacional, que contém registros de utilização do hardware e do software que compõem um ambiente computacional. A tabulação deste arquivo Log/accounting permite a verificação da intensidade de uso dos dispositivos componentes de uma configuração ou rede de computadores, bem como o uso do software aplicativo e de apoio vigente. MAIS TÉCNICAS DE AUDITORIA Análise do Log/accounting 35 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Identificação de ineficiência no uso do computador; Apuração do desbalanceamento da configuração do computador, pela caracterização de dispositivos (unidades de disco, fitas magnéticas, impressoras, terminais) que estão com folga ou sobrecarregados; MAIS TÉCNICAS DE AUDITORIA FUNÇÕES 14 Análise do Log/accounting 36 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Determinação de erros de programas ou de operação do computador; Flagrar o uso de programas fraudulentos ou utilização indevida do computador; Captar tentativas de acesso a arquivo indevidas, ou seja, por senhas não autorizadas. MAIS TÉCNICAS DE AUDITORIA FUNÇÕES . . . 14 Análise do Log/accounting 37 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Indicadores de qualidade, através do monitoramento do computador; Estudos de planejamento de capacidade da configuração/rede de equipamentos, com a finalidade de obter maior rendimento do parque computacional dentro de um nível de segurança adequado. MAIS TÉCNICAS DE AUDITORIA GERAR 14 Análise do Log/accounting 38 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Construir um software para trabalhar com registros de: a) Contabilização Mostrar quais usuários utilizaram quais programas e por quanto tempo; Incluir identificação do usuário, características do hardware necessário para trabalhar o job e como o job foi finalizado. MAIS TÉCNICAS DE AUDITORIA AUDITOR 14 Análise do Log/accounting 39 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 b) Atividade do data set (um data set é um arquivo) Providenciar informações acerca de quais arquivos de dados foram utilizados durante o processamento e que usuário solicitou o uso do arquivo; As informações contidas nestes registros são: nome do data set, tamanho do registro, número de série do volume e o usuário do data set. MAIS TÉCNICAS DE AUDITORIA AUDITOR . . . 14 Análise do Log/accounting 40 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 O auditor deve entrevistar o pessoal de software básico e do Planejamento e Controle da Produção (PCP) para entender: O sistema de monitoração de uso de software e de hardware existente; O layout dos registros gerados no arquivo log/accounting; As opções possíveis de rotina de job/accounting; O tempo de retenção do arquivo log/accounting. MAIS TÉCNICAS DE AUDITORIA TÉCNICA 14 Análise do Log/accounting 41 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Decidir que tipos de verificação serão efetuados em cima dos dados do arquivo Log; Elaborar e aplicar o programa de computador de auditoria do Log, ou utilizar a mecânica de análise do Log praticada pelos profissionais de computação; MAIS TÉCNICAS DE AUDITORIA TÉCNICA . . . 14 Análise do Log/accounting 42 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Analisar os resultados da tabulação do Log. Emitir parecer sobre a qualidade do uso do hardware e do software em determinado período de tempo. MAIS TÉCNICAS DE AUDITORIA TÉCNICA . . . 14 Análise do Log/accounting 43 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 MAIS TÉCNICAS DE AUDITORIA FINALIZANDO 14 Análise do Log/accounting Existem dois tipos de arquivos Log 44 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Aqueles que registram o uso da CPU, dos arquivos magnéticos, da carga e do nível de utilização dos dispositivos computacionais MAIS TÉCNICAS DE AUDITORIA FINALIZANDO . . . 14 Análise do Log/accounting 45 Prof.: Andre Moura - 2011/2 - Auditoria de Sistemas - Aula 04 Log de transações, ou seja, um arquivo que registra todos os dados que foram processados/transmitidos. Este tipo de arquivo Log é comum em ambientes on-line no qual todas as transações processadas ficam registradas em um arquivo magnético chamado Log de transações, para posterior uso ou análise. MAIS TÉCNICAS DE AUDITORIA FINALIZANDO . . . 14 Análise do Log/accounting GTI – ANDRE MOURA F I M MAIS TÉCNICAS DE AUDITORIA 46
Compartilhar
Materiais relacionados
161 pág.
25 pág.
4 pág.
Perguntas relacionadas
Compartilhar