A maior rede de estudos do Brasil

Grátis
27 pág.
A01a04_AuditoriaSistemas_WebAulas

Pré-visualização | Página 3 de 3

horizontal entre campos em um registro com vistas à integridade do registro. 
Correlação de arquivos: confronto de campos entre registros com vistas à garantia de ambos os arquivos. 
Estatísticas dos campos dos arquivos: apuração de média, desvio-padrão, moda e/ou outras medidas estatísticas 
em um universo de registros e/ou campos de um arquivo para efetuarmos análises do comportamento desse 
universo. 
Questionários Para Auditoria (muito útil e importante) 
Para cada ponto de controle, deverá existir um questionário contendo perguntas relevantes ao ponto de controle e 
espaço para o auditor assinalar se o sistema satisfaz ou não aquele ponto de controle, além de local para que 
possam ser escritas observações e referências sobre papéis de trabalho. Para os quesitos que obtiverem resposta 
negativa, o auditor deverá agir no sentido de solicitar acertos. 
 Reconheço que fazer questionários para todos os possíveis pontos de controle é um trabalho árduo, mas pensem 
bem, só será feito uma vez! A Auditoria guardará os questionários em um banco de questionários e a cada 
auditoria, ao selecionar os pontos de controle, recuperará os respectivos questionários para o trabalho de campo. 
Programa De Computador Para Auditoria. 
Para auditorias em CPD´s, podemos ter questionários voltados para pontos de controle cujas perguntas guardarão 
características intrínsecas referentes à: 
Segurança de Rede de Computadores: - Segurança física dos equipamentos computacionais; - Segurança lógica e 
confidencialidade dos programas e informações que trafegam nos canais de comunicação. 
Segurança do centro de computação: - Controle de acesso físico e lógico às instalações de processamento de 
dados; - Segurança ambiental no tocante à infraestrutura de combate a incêndio, inundações, contra atentado e 
sabotagens, situações de greve, etc. 
Eficiência no uso de recursos computacionais: - Tempo médio de resposta em terminal; - Tempo de uso dos 
equipamentos a cada dia; - Quantidade existente de rotinas catalogadas 
Eficácia de sistemas de aplicativos: Quantidade de informações geradas pelo computador e consumidas pelos 
usuários; Prazo de atendimento de novos sistemas, aos usuários; Tempo médio de solução dos problemas dos 
usuários da rede de computação, provida pelo help-desk. 
A técnica de questionário é, normalmente, aplicada de forma casada a outras técnicas de auditoria, como 
entrevistas e visita in loco. Eu, pessoalmente, não aprovo o envio de questionários para serem preenchidos à 
distância, embora alguns autores mencionem sua validade. É importante verificar o comportamento do auditado ao 
ser questionado sobre algum ponto de controle... (exemplo em saiba mais) 
 
Visita in loco 
É a presença do auditor na área do auditado (ou do CPD) para verificação dos pontos de controle. Normalmente 
esta ferramenta é utilizada em conjunto com outras ferramentas, tais como entrevista semiestruturada e 
questionários. A visita do auditor é importante para que sejam esclarecidos pontos nebulosos. A visita deve ser 
marcada formalmente, com data e hora, com a pessoa responsável para responder às perguntas do auditor e/ou 
fornecer o que lhe for pedido. 
Nesta visita o auditor poderá obter dados, seja por observação, por teste, por documentação ou informação 
solicitada. Fará anotações sobre as informações obtidas para posterior documentação em seus papéis de trabalho. 
Caso seja encontrada uma fraqueza, o auditor informará verbalmente ao auditado na hora e, posteriormente, por 
escrito. 
Quando em realização de auditoria em CPD, a presença do auditor é fundamental para a constatação física da 
existência de ativos computacionais da empresa, bem como seu estado de conservação e eficiência dos 
procedimentos de uso, incluindo segurança física. Também são verificados: 
Inventário de volumes de arquivos magnéticos (discos, fitas, CD´s) armazenados na fitoteca, com respectivo 
período de retenção anotado em cada volume; 
Inventário de suprimentos armazenados (fitas de impressora, cartuchos de impressora, formulários contínuos, 
formulários pré-impressos, etiquetas gomadas, etc); 
Utilização dos computadores com o objetivo de verificação de controle de acesso, uso de Ordem de Serviço, 
arquivos magnéticos, schedule de produção, distribuição de relatórios; 
Acompanhamento das rotinas de back-up e atualização da biblioteca externa. 
Entrevista (conferir saiba mais aula 04) 
As entrevistas podem ser pessoais, por telefone ou vídeo conferência. Seja lá de que meio for, deverá ser feito 
previamente um roteiro do que se pretende abordar na mesma, preferencialmente classificado por ponto de 
controle. Este roteiro servirá como guia para o auditor. 
A entrevista visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está 
auditando, portanto, flexibilidade é sempre bem-vinda! 
 As entrevistas de campo podem ser de dois tipos: 
- Estruturada: aquela que utiliza formulários na coleta de dados; 
- Não estruturada: aquela que não utiliza formulários na coleta de dados. 
 A entrevista deve seguir uma sequência lógica, orientada pelo fluxo de eventos do processo. Esta estrutura é 
particularmente útil nas situações em que o auditor tem conhecimento limitado do processo a ser auditado ou 
quando não há procedimento documentado para esse processo. 
(conferir o saiba mais da aula 04). 
Para saber mais 
Leia o artigo Técnicas de entrevista do TCU (Tribunal de Contas da União), postado na biblioteca do curso. Nele 
vocês poderão aprimorar o conhecimento sobre entrevistas de auditoria e como elaborar questionários (de 
pesquisa) de uma forma mais completa.Bibliografia utilizada nesta aula:Auditoria de Sistemas de Informação, 
IMONIANA, Joshua Onome, Editora Atlas, Capítulo 5.Auditoria de Computadores, GIL, Antonio de Loureiro, Ed. 
Atlas, Capítulo 3. 
Nesta aula, você: 
 Conheceu algumas ferramentas de auditoria; 
 Aprendeu o que são hash total, header e trailler label; 
 Aprendeu como preparar programas especializados para auditoria; 
 Foi apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas). 
Na próxima aula, você estudará sobre mais técnicas de auditoria. 
1. 
 Somar os centavos de depósitos realizados no dia em um sistema de contas correntes seria um exemplo de: 
 1) header label 
 2) um ponto de auditoria 
 3) controle de acesso 
 4) trailler label 
 5) hash-total 
 
2. 
 Programas utilitários são usados para: 
 1) cálculos complexos 
 2) classificar registros 
 3) comparar cálculos entre arquivos 
 4) completar dados de registros incompletos 
 5) completar dados de registros omissos 
 
3. 
 Software generalista, guia para gestão de tecnologia da informação recomendado pelo ISACF: 
 1) Galileo 
 2) Audimation 
 3) Snort 
 4) CobiT 
 5) Nmap 
 
4. 
 Marque a afirmativa correta: 
 1) Questionários são importantes para visitas in loco. 
 2) Controles cruzados são gerados em programas utilitários. 
 3) As entrevistas devem ser apenas in loco. 
 4) Programas generalistas exigem que os auditores sejam experientes em tecnologia da informação. 
 5) Quando em entrevista, o auditor deve expressar suas opiniões, concordando sobre os pontos de controle verificados