Baixe o app para aproveitar ainda mais
Prévia do material em texto
- -1 AUDITORIA DE SISTEMAS MAIS AUDITORIAS DIRECIONADAS - -2 Olá! Nesta aula, você irá: 1. Estudar auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção de sistemas. 2. Ser introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK. 3. Ser apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e de sistemas aplicativos. 4. Examinar alguns programas de auditoria direcionada. 1 Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. Em qualquer das opções (desenvolvimento em casa ou aquisição), há que se fazer um estudo preliminar para o sistema em questão, considerando a viabilidade econômica, operacional e técnica. Cabe lembrar que aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. - -3 Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo 12, dedicado à gerência de aquisições, os grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa são: 1. Planejamento das aquisições – Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho (declaração de trabalho = descreve a aquisição a ser feita detalhadamente o suficiente para que os fornecedores em potencial possam avaliar se são capazes ou não de fornecer o produto ou serviço) 2. Planejamento das solicitações – Documenta os requisitos dos produtos ou bens e identifica fontes potenciais. 3. Solicitação – Obtém a cotação, ofertas, propostas. 4. Seleção da fonte – Escolhe a melhor proposta. 5. Administração do contrato – Gerencia e relaciona-se com o fornecedor. 6. Fechamento do contrato – Finaliza o contrato, incluindo itens abertos. Considerando esses processos, o auditor deverá verificar se todos os passos foram seguidos e estão documentados. 2 Objetivos de auditoria As seguintes questões referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos devem ser respondidas: • Há procedimentos de formalização da real necessidade para um novo sistema? • Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno? • As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa? • A especificação de requisitos é feitas de forma cuidadosa, confrontando os conhecimentos dos usuários com os dos analistas de sistema, visando eliminar gaps semânticos? • Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários? • O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os Saiba mais Clique no link a seguir para saber mais sobre este assunto: http://estaciodocente.webaula.com.br/cursos/gra097/docs/08AS_doc01.pdf • • • • • • - -4 • O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes? • Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem? • As manutenções são feitas sem interrupção das operações normais da empresa? • A documentação é consistente e disponível para orientar os usuários? Programa de teste de controles Nas páginas 96 a 101, capítulo 7, do material recebido por vocês, há um questionário para testes de controles onde encontram-se controles que devem ser observados pelo auditor e que requerem as respostas “sim”, “não” ou “não aplicável”. Listarei, abaixo, os controles, em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro! 3 Especificação do sistema Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes? Se sim, descreva os controles existentes para assegurar que: • Os usuários dos sistemas estejam envolvidos. • O gerente do projeto seja identificado. • As reuniões com usuários são documentadas, incluindo as deliberações. • Dados de entrada e o meio de entrada desses dados no sistema sejam identificados. • Formato, o meio e a distribuição dos relatórios sejam especificados. • Passos, lógica de processamento e fórmulas utilizadas, quando for o caso, sejam identificados. • Ambientes de software e hardware apropriados sejam especificados. • Requisitos de segurança de informação sejam adequadamente considerados. • Controles internos embutidos no sistema e do usuário sejam incorporados ao desenho do sistema. Esses controles podem incluir totais de lote, edição de entrada, campos com dígito verificador, rotinas de verificação e relatórios de controle. 4 Aquisição de Sistemas Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? Se sim, descreva os controles existentes para assegurar que: • As declarações de trabalho estão especificadas e aprovadas pelos usuários. • Houve participação na concorrência de pelo menos três possíveis fornecedores. • A seleção da melhor proposta foi feita em critérios previamente estabelecidos e distribuídos para os possíveis fornecedores (custo, prazo de entrega, referências de clientes, conhecimento do negócio etc.). • Há documentação que assegure garantia de manutenção do sistema fornecido por parte dos fornecedores. • Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção, especificação ou modificação de sistemas? • Há rotinas e procedimentos estabelecidos para determinar prioridades para os projetos de desenvolvimento e manutenção de sistemas? • Há rotinas e procedimentos estabelecidos para rever as especificações dos projetos por pessoal • • • • • • • • • • • • • • • • • • • • - -5 • Há rotinas e procedimentos estabelecidos para rever as especificações dos projetos por pessoal apropriado de processamento de dados, fora da área de desenvolvimento e manutenção de sistemas (por exemplo: operação, segurança e suporte)? 5 Programação A empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente? Se sim, descreva os controles existentes para assegurar que: Os programas sejam desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa. A codificação de programas novos ou alterados esteja sujeita à revisão pelos supervisores de programação. Sistemas novos ou modificados não sejam colocados em operação antes de estarem autorizados e aprovados para implantação. 6 Teste Há rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas? Se sim, descreva os controles existentes para assegurar que os testes incluam alguns ou todos os itens a seguir, de acordo com as circunstâncias: • Testes da lógica dos programas. • Testes dos procedimentos de entrada de dados do usuário. • Testes das interfaces com outros sistemas. • Testes paralelos com o sistema existente a ser substituído. • (teste de regressão = ao fazermos alguma modificação nos requisitos de um Testes de regressão sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento). • Testes de controles e características de segurança. • Existência de plano de teste, incluindo os casos de teste. • Evidências de testes unitários,de sistema e de integração. • Evidências de participação do usuário na definição e testes do projeto. 7 Documentação A empresa mantém documentação para a totalidade dos sistemas contábeis significativos, que atenda às necessidades do usuário e do pessoal de processamento de dados? Se sim, descreva os controles existentes para assegurar que: • • • • • • • • • • - -6 1 A documentação seja atualizada e reflita exatamente o sistema em operação. 2 A documentação seja suficientemente detalhada para suportar futuras mudanças no sistema. 3 As instruções do usuário e do operador sejam suficientemente detalhadas para possibilitar o correto uso e operação do sistema. 4 A documentação sigilosa seja guardada em área fisicamente segura. 8 Manutenção A empresa executa projetos de manutenção em sistemas aplicativos internamente? Se sim, descreva os controles existentes para assegurar que: • Solicitações de manutenção de programas sejam documentadas e autorizadas pelo usuário e pela gerencia de projetos. • A manutenção de programas esteja sujeita aos padrões de programação aplicáveis. • A manutenção seja executada por pessoal apropriado. • Os usuários revisem os resultados dos testes e deem seu “aceite” aos mesmos, antes de serem implementados na produção. • A documentação seja apropriadamente atualizada para refletir a alteração do sistema. • • • • • - -7 9 Auditoria de operação de sistemas A operação do computador envolve as funções de acionar o Inicial Program Loader (IPL) e os programas que ligam e desligam os computadores. O auditor necessita conhecer todas as operações e serviços disponibilizados pelos centros de processamento de dados e documentar os controles organizacionais. São as seguintes as operações mais comuns: • Planejamento, controle e monitoração das operações. • Planejamento da capacidade. • Monitoramento de todos os sistemas e as redes. • Inicialização do sistema e do desligamento. • Gravação (logging), rastreamento (tracking) dos problemas e monitoramento do tempo de resposta. • Gerenciamento de mudanças estruturais e pessoais. • Gestão das unidades, dos periféricos e equipamentos remotos. • Gerenciamento de bibliotecas. • Programação dos serviços (job scheduling) e acompanhamento das operações. • Automação da produção. • Backup dos sistemas, programas, dados e banco de dados. • Gerenciamento do help desk. • Coordenação e programação de upgrades dos equipamentos; • Gestão de restart/recovery. Além de garantir que todos os passos envolvidos na criação de dados, que as lógicas envolvidas no processamento das tarefas e os procedimentos mínimos de emissão de relatórios sejam obedecidos, é objetivo da auditoria de controle de operações de computador levantar a existência de controles que assegurem que as operações das transações executadas na empresa sejam fidedignas. Esperam-se encontrar procedimentos para assegurar que os jobs (serviços) sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos. Falhas frequentes do sistema, erros significativos de processamento, atrasos e perdas de dados podem indicar a existência de deficiências no controle de operações. • • • • • • • • • • • • • • Saiba mais Leia o texto “Programa de teste de controles para a operação de sistemas” clicando no link a seguir: http://estaciodocente.webaula.com.br/cursos/gra097/docs/08AS_doc02.pdf - -8 10 Auditoria de suporte técnico A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: Funções rotineiras • Gerenciamento de help desk. • Socorro aos problemas de instalação de redes. • Monitoramento da ocorrência de problemas. • Treinamento de usuários dos softwares. • Revisão preventiva de equipamentos. • Substituição dos equipamentos antigos. • Segurança de informação quando não há administrador de segurança de informação. Funções esporádicas • Dimensionamento de banco de dados. • Instalação de softwares utilitários. • Manutenção dos sistemas operacionais. • Instalação de upgrades. • Avaliação de software para fins de compra. • Padronização dos recursos de tecnologia da informação. • Ativação de redes (estações etc). 11 Auditoria de sistemas aplicativos Os controles internos, processos e controles de negócios, conforme visto nesta aula e na aula 3, devem ser verificados, não só em sistemas novos (em desenvolvimento ou adquiridos), mas também nos sistemas em produção. Alguns pontos de controle são fundamentais e serão aplicados em todos os sistemas, como por exemplo, controle de acesso. Outros controles, específicos, serão identificados e aplicados conforme o sistema sob auditoria. • • • • • • • • • • • • • • Saiba mais Clique aqui e saiba mais sobre suporte técnico: http://estaciodocente.webaula.com.br/cursos/gra097/docs/08AS_doc03.pdf - -9 O COBIT define sete critérios de informações que podemos adotar como sendo objetivo de uma auditoria de sistemas: efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiança. A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos controles internos e programados como ferramentas de auditoria. Podemos dividir as tarefas de avaliação sob dois enfoques: • Verificação da estrutura dos sistemas e seus controles. • Testes substantivos das transações executadas pelos sistemas. O que vem na próxima aula Na próxima aula, você estudará sobre o seguinte assunto: • Como um auditor comunica seus pareceres sobre a auditoria, ou seja, os relatórios de auditoria. • • Fique ligado Clique no link a seguir e saiba mais sobre auditoria de sistemas aplicativos: http://estaciodocente.webaula.com.br/cursos/gra097/docs/08AS_doc04.pdf Saiba mais • Veja um questionário detalhado sobre testes de controles para aquisição, desenvolvimento, documentação e manutenção de sistemas, nas páginas 96 a 101, capítulo 7, do material recebido por você. • Veja um questionário detalhado sobre testes de controles de operação de computadores, nas páginas 127 a 132, capítulo 10, do material recebido por você. • Veja um questionário detalhado sobre testes de controles de suporte técnico, nas páginas 135 a 138, capítulo 11, do material recebido por você. • Veja um questionário específico para testes de controles do sistema de faturamento, nas páginas 145 a 148, capítulo 12, do material recebido por você. • • • • • - -10 CONCLUSÃO Nesta aula, você: • Estudou auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção de sistemas. • Foi introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK. • Foi apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e de sistemas aplicativos. • Examinou alguns programas de auditoria direcionada. • • • •
Compartilhar