A01a05_AuditoriaSistemas_WebAulas

Prévia do material em texto

Auditoria de Sistemas 
Prof. André Moura 
Com o processo da globalização e a velocidade dos avanços tecnológicos, a busca por informação se tornou alvo 
comum de toda a sociedade. As grandes empresas não mais sobrevivem sem o uso de um sistema bem formulado, e 
com eles podem surgir muitos problemas de vulnerabilidades, lentidão, falhas e distorções nas informações das 
empresas, em conseqüência de sistemas mal testados, documentação deficiente e, em certos casos, da pouca 
importância dada ao emprego da tecnologia de informação (TI). 
Para assegurar a integridade, confiabilidade, confidencialidade e disponibilidade das informações, tornam-se 
necessárias medidas de controle e segurança de sistemas de informação em operação. 
Cabe à auditoria de sistemas de informação validar e avaliar os resultados gerados pelos sistemas informatizados, a 
eficiência dos processos envolvidos e a segurança das informações. 
Nesse contexto, a disciplina apresenta os conceitos básicos que se aplicam a uma auditoria de sistemas de 
informação e destaca as etapas necessárias para realização da auditoria, bem como os controles a serem verificados 
em um processo real de trabalho. 
Ao final dessa disciplina você será capaz de: 
•Conhecer as principais definições e conceitos relacionados à auditoria de sistemas de informação 
•Saber preparar um plano de contingências 
•Saber definir uma política de segurança 
•Identificar e empregar ferramentas e técnicas que podem vir a ser utilizadas em um processo de auditoria. 
•Estabelecer as fases necessárias para realização da auditoria, bem como acompanhar a sua execução. 
•Analisar o tipo adequado de auditoria que será mais aderente aos negócios da organização 
•Realizar auditoria de sistemas de informação 
•Preparar o relatório final da auditoria. 
Aula 1: Auditoria De Sistemas De Informação – Abordagem Inicial 
Nesta aula, você irá: 
 
1 - Saber o que é Auditoria de Sistemas; 
2 - Conhecer o papel e o perfil do auditor de sistemas; 
3 - Identificar os tipos de auditorias da Tecnologia da Informação (TI); 
4 - Entender o comportamento e a ética de um auditor. 
 
 
 
 
Perfil do auditor de Sistemas 
O auditor de Sistemas deve ter conhecimento teórico e prático em Sistemas de Informação. Deve também ter visão 
abrangente da empresa, pois irá verificar se os sistemas que estará auditando suportam adequadamente os usuários 
do mesmo. Com isto não afirmo que o auditor de Sistemas deva conhecer tudo da empresa, mas o suficiente para 
saber o que perguntar a quem, quando no exercício de sua função, ou seja, consultar especialistas quando o assunto 
fugir de seu domínio tal como assuntos legais. 
Seu comportamento deve ser condizente com quem tem autoridade no assunto. 
E o auditor de Sistemas a tem, entretanto, não precisa apregoar isto a ninguém, as pessoas sabem do poder de um 
auditor!!! (as vulnerabilidades encontradas em um sistema, se não corrigidas a tempo, poderão retirar o sistema de 
operação gerando demissões dos responsáveis). Da mesma forma que o comportamento adequado, deve ser sua 
maneira de vestir. Nada de extravagâncias. O auditor não precisa chamar atenção com roupas de um colorido 
berrante, barba por fazer ou bijuterias parecendo árvore de natal. Seu domínio no assunto impressionará mais que 
qualquer adorno fora de contexto. E, principalmente, nada de gírias. Observe que elas não cairiam bem na figura de 
alguém em tão alto posto no organograma da empresa. 
Recomendação!!! Nada de Agradinhos. 
Lembro-me que quando comecei a trabalhar na auditoria do banco, meu chefe disse que eu não poderia aceitar 
presentes, almoços ou jantares dos auditados. Com certeza, isso poderia sugerir um agrado para eu não mencionar 
alguma vulnerabilidade encontrada nos sistemas. 
 
 
 
 
 
 
 
 
 
Biblioteca Técnica 
 
 
 
 
 
 
 
Abordagem ao redor do computador: 
 
Abordagem através do computador: 
 
Abordagem com o computador: 
 
Padrões e Código de Ética para a Auditoria de Sistemas de Informação 
Conforme padrões emitidos pelo Comitê de Padrões da Associação de Controle de tecnologia de Informação dos 
estados Unidos, os padrões são: 
 
 
 
 
 
 
 
Código De Ética Profissional (ISACA) 
A Associação de Auditores de Sistemas e Controles (ISACA, USA), estabeleceu o código de ética profissional para 
guiar seus membros na condução de suas atividades profissionais. De acordo com o disposto no Código, os membros 
da ISACA devem: 
Livro 1: Apoiar a implementação de padrões sugeridos para procedimentos e controles dos sistemas de 
informações e encorajar o seu cumprimento; 
Livro 2: Exercer suas funções com objetividade, diligência e zelo profissional de acordo com os padrões 
profissionais e melhores práticas; 
Livro 3: Servir aos interesses dos stakeholders (toda e qualquer pessoa que esteja de uma forma ou de outra 
ligada ao objeto da auditoria) de forma legal e honesta, atentando para a manutenção de alto padrão de conduta 
e caráter profissional, e não encorajar atos de descrédito à profissão; 
Livro 4: Manter a privacidade e a confidencialidade das informações obtidas no decurso de suas funções, exceto 
quando exigido legalmente. Tais informações não devem ser utilizadas em vantagem própria ou entregues a 
pessoas desautorizadas; 
 
Livro 5 : 
 
Livro 6: 
 
Livro 7: 
Qualificação Profissional 
Os auditores devem ser encorajados a obter qualificações profissionais que testem se seus 
conhecimentos estão atualizados e compatíveis com os padrões profissionais. Algumas 
organizações certificadoras: 
Information Systems Audit and Control Association (ISACA) - Certificado de Auditor de Sistemas 
de Informação (ISACA Certified Information Systems Auditor – CISA) 
British Computer Society – Exame da Sociedade Britânica de Informática 
Institute of Internal Auditors (IIA) – Qualificação em Auditoria Computacional (IIA Qualification 
in Computer Auditing). 
 
 
Nesta aula, você: - - - 
 Conheceu o que é Auditoria de Sistemas; 
 Distinguiu o papel e o perfil do auditor de sistemas; 
 Identificou tipos de auditorias da Tecnologia da Informação (TI); 
 Entendeu o comportamento e a ética de um auditor de sistemas. 
Na próxima aula, você estudará sobre Planos de Contingência (Atividades a serem executadas na eventualidade de 
ocorrência de um dano, a fim de manter a continuidade dos negócios da empresa), constituído de três subplanos: 
 Plano de backup; 
 Plano de emergência; 
 Plano de recuperação. 
 
 
Aula 2: Planos De Contingência – Gerenciar Mudanças Ou Surpresas? 
Nesta aula, você irá: 
1. Conhecer o que é um plano de contingência; 
2. Identificar ameaças e desenvolver suas respostas de risco; 
3. Desenvolver uma matriz de risco; 
4. Tomar ciência de processos/sistemas críticos de uma área/empresa. 
Gerenciando Mudanças 
Para quem observou a tragédia ocorrida em 11 de setembro de 2001 em Nova York, foi possível perceber que, 
poucos minutos após a explosão do segundo edifício, o trânsito na ilha estava liberado apenas para ambulâncias e o 
corpo de bombeiros. 
 Vocês pararam para pensar como eles conseguiram se organizar tão rapidamente? Posso jurar que havia um plano 
de contingência da prefeitura da cidade de Nova York para a evacuação das ruas, permitindo apenas o trânsito de 
ambulâncias e do corpo de bombeiros. Bastou que fosse decretado estado de emergência para trânsito nas ruas, 
que todas as pessoas envolvidas na organização para deixar as ruas livres atuassem como havia sido previamente 
planejado (só complementando o exemplo, na construção das duas torres gêmeas foi pensada a hipótese de choque 
aéreo, considerando um impacto com tanque cheio do maior avião existente na época). 
Isto é um plano de contingência: uma sequência de ações a serem seguidas em situações de emergência, 
previstas ou não, para assegurar a continuidade do serviço. 
Estas ações são definidas antes que os riscos ocorram.Na tranquilidade, podemos imaginar as consequências e o 
que será necessário fazer para restabelecermos a ordem. Teremos calma e tempo para contactarmos fornecedores, 
treinarmos pessoas a evacuarem locais e definirmos locais alternativos para trabalharmos na eventualidade de não 
podermos acessar nossos escritórios. 
Normalmente, as catástrofes têm baixa frequência de ocorrência, altos riscos de incerteza, mas, se ocorrem, suas 
consequências podem ser devastadoras. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Nesta aula, você: 
 Conheceu o que é um plano de contingência; 
 Tornou-se apto a identificar ameaças e a desenvolver suas respostas de risco; 
 Aprendeu como desenvolver uma matriz de risco; 
 Tomou ciência de processos/sistemas críticos de uma área/empresa. 
Na próxima aula, você estudará sobre as fases para a realização de uma auditoria: 
 Planejamento; 
 Execução; 
 Emissão e divulgação de relatórios; 
 Follow-up. 
 
 
 
1. 
 O Plano de Emergência: 
 1) provê recursos para sua execução, contém respostas de risco e provê meios de frear o dano. 
 2) provê recursos para frear o dano, contém informações que atualizam a biblioteca externa e é acionado após aprovação. 
 3) contém respostas de risco, provê recursos de backup e atualiza a biblioteca externa. 
 4) contém respostas de risco, é acionado quando ocorre uma ameaça e informa quem deve acionar o mesmo. 
 5) é acionado quando ocorre uma ameaça, provê recursos de back-up e contém respostas de risco. 
 
2. 
 Sistemas críticos são aqueles: 
 1) sujeitos à aprovação da crítica dos gerentes da área usuária. 
 2) essenciais para manter a continuidade do serviço. 
 3) opcionais para determinar o escore de risco. 
 4) definidos após brainstorming crítico do cliente. 
 5) elaborados para serem acionados em sistemas de emergência. 
 
3. 
 Um plano de contingência é necessário para: 
 1) gerenciar os sistemas do Departamento de Sistemas. 
 2) minimizar defeitos nos sistemas. 
 3) reduzir a descontinuidade de rotinas. 
 4) assegurar a documentação do schedule da produção. 
 5) dar manutenção aos sistemas críticos. 
 
4. 
 Ao se fazer um plano de backup devemos: 
 1) excluir os sistemas críticos. 
 2) identificar as respostas de risco. 
 3) identificar recursos necessários para o plano de emergência. 
 4) solicitar ordem de serviço para execução do plano de emergência. 
 5) contratar pessoas para executarem o plano de emergência. 
 
Aula 3: Realizando Uma Auditoria 
Nesta aula, você irá: 
1. Conhecer as fases de uma auditoria; 
2. Saber como planejar uma auditoria; 
3. Aprender como conduzir a execução de uma auditoria; 
4. Saber como comunicar as falhas encontradas para os auditados; 
5. Entender a importância do follow-up (acompanhamento). 
 
 
 
 
 
O cronograma é baseado na estimativa de tempo que será gasto em cada ponto de controle a ser trabalhado, além 
da confecção e emissão do relatório da auditoria. Um auditor trabalha em mais de um ponto de controle por dia, 
mas isto não significa que o terminará em um dia! A sugestão é que englobe pontos de controle de mesma 
pertinência para serem verificados ao mesmo tempo. 
Além das atividades pertinentes à auditoria em si (contatos, revisão de documentação, documentação, preparação 
de fluxos de sistemas, testes, execução de walkthroughs – representação gráfica de todo o ambiente computacional 
sob auditoria), planejamento, análise de risco, avaliação de ponto de controle, confecção de observações, viagem 
de projeto, familiarização com o projeto), devemos considerar atividades não específicas de auditoria (viagens, 
treinamento de auditoria, ausência, atividades administrativas, interface com auditoria externa, reuniões outras 
que não as do projeto) para efeito de determinação dos prazos. 
 
 
 
 
Saiba mais: 
Não deixe de verificar o conteúdo do link www.iso27001security.com onde você poderá encontrar todos os critérios 
solicitados na norma ISO 27000, Information Security Management Systems (Sistemas de Gerenciamento de 
Segurança da Informação), que visa proteger a confidencialidade, integridade e disponibilidade da informação. 
Nesta aula, você: 
 Conheceu as fases de uma auditoria: planejamento, execução, emissão e divulgação de relatórios e follow-
up dos acertos das falhas encontradas na auditoria; 
 Aprendeu a planejar uma auditoria; 
 Aprendeu como conduzir a execução de uma auditoria; 
 Aprendeu como comunicar as falhas encontradas para os auditados; 
 Entendeu a importância do follow-up (acompanhamento) dos acertos das falhas encontradas na auditoria. 
Na próxima aula, você estudará sobre ferramentas de auditoria. 
 
 
 
 
1. Um ponto de controle é: 
1) um ponto de auditoria recusado. 
2) uma unidade de controle a ser auditada. 
3) um processo a ser definido. 
4) um arquivo de dados. 
5) um controle de negócio inválido. 
 
2. Assim que o auditor descobre uma falha em um sistema ele: 
1) conserta a falha. 
2) a registra internamente para posterior uso no relatório de auditoria. 
3) informa-a verbalmente ao auditado para depois enviar comunicação por escrito. 
4) sugere modo de acerto da mesma. 
5) inclui a falha no relatório de auditoria. 
 
3. O relatório de auditoria: 
1) é emitido a cada falha encontrada. 
2) deve ser discutido previamente com os auditados. 
3) contém os dados testados na auditoria. 
4) não admite discordância dos auditados. 
5) considera, para efeito de nota, todas as fraquezas encontradas na auditoria. 
 
4. Um conjunto de rotinas e arquivos de controle que permitem a reconstrução de dados ou procedimentos é 
chamado de: 
1) controle interno. 
2) ponto de controle. 
3) ponto de auditoria. 
4) walkthrough. 
5) trilha de auditoria. 
 
 
Aula 4: Ferramentas E Algumas Técnicas De Auditoria 
Nesta aula, você será capaz de: 
 
1. Conhecer algumas ferramentas de auditoria; 
2. Aprender o que são hash total, header e trailler label; 
3. Aprender como preparar programas especializados para auditoria; 
4. Ser apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas). 
Fases de uma Auditoria de Sistemas 
Podemos realizar uma auditoria de sistemas, em sistemas, em desenvolvimento ou em operação. Quando estamos 
em auditorias de sistemas em desenvolvimento, nossa atenção é focada no que foi planejado em termos de 
controles internos, processos e controles de negócios a serem implementados nos sistemas. Já para sistemas em 
operação, além de vermos se tais pontos de controle foram implementados, devemos testá-los. Saber quantos 
registros serão testados é algo a ser definido, considerando-se os pontos de controle. 
 Para tanto, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação: 
 1. Softwares generalistas; 
2. Softwares especializados; 
3. Softwares utilitários. (saiba mais aula 04 consultar) 
 
 saiba mais aula04 
 
 
 
 
 
Programa De Computador Para Auditoria. 
São programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem 
usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma 
(microcomputadores). 
 
Algumas funções que podem ser incluídas em programas para auditoria: 
Tabulação de campos: somatório de datas de vencimento de títulos, gerando hash total que deverá ser 
confrontado com o campo correspondente no header ou trailler label; somatório de campos quantitativos para 
efeito de confrontação ou acompanhamento de acumulados, inclusive controle de lote. 
Contagem de campos/registro: apuração de totais por tipo de registro ou campo. 
Análise do conteúdo de campos/registros: verificação da existência de campos ou registros em um arquivo; 
correlação entre campos de um arquivo para verificação da coerência e validade desses campos; cruzamentohorizontal entre campos em um registro com vistas à integridade do registro. 
Correlação de arquivos: confronto de campos entre registros com vistas à garantia de ambos os arquivos. 
Estatísticas dos campos dos arquivos: apuração de média, desvio-padrão, moda e/ou outras medidas estatísticas 
em um universo de registros e/ou campos de um arquivo para efetuarmos análises do comportamento desse 
universo. 
Questionários Para Auditoria (muito útil e importante) 
Para cada ponto de controle, deverá existir um questionário contendo perguntas relevantes ao ponto de controle e 
espaço para o auditor assinalar se o sistema satisfaz ou não aquele ponto de controle, além de local para que 
possam ser escritas observações e referências sobre papéis de trabalho. Para os quesitos que obtiverem resposta 
negativa, o auditor deverá agir no sentido de solicitar acertos. 
 Reconheço que fazer questionários para todos os possíveis pontos de controle é um trabalho árduo, mas pensem 
bem, só será feito uma vez! A Auditoria guardará os questionários em um banco de questionários e a cada 
auditoria, ao selecionar os pontos de controle, recuperará os respectivos questionários para o trabalho de campo. 
Programa De Computador Para Auditoria. 
Para auditorias em CPD´s, podemos ter questionários voltados para pontos de controle cujas perguntas guardarão 
características intrínsecas referentes à: 
Segurança de Rede de Computadores: - Segurança física dos equipamentos computacionais; - Segurança lógica e 
confidencialidade dos programas e informações que trafegam nos canais de comunicação. 
Segurança do centro de computação: - Controle de acesso físico e lógico às instalações de processamento de 
dados; - Segurança ambiental no tocante à infraestrutura de combate a incêndio, inundações, contra atentado e 
sabotagens, situações de greve, etc. 
Eficiência no uso de recursos computacionais: - Tempo médio de resposta em terminal; - Tempo de uso dos 
equipamentos a cada dia; - Quantidade existente de rotinas catalogadas 
Eficácia de sistemas de aplicativos: Quantidade de informações geradas pelo computador e consumidas pelos 
usuários; Prazo de atendimento de novos sistemas, aos usuários; Tempo médio de solução dos problemas dos 
usuários da rede de computação, provida pelo help-desk. 
A técnica de questionário é, normalmente, aplicada de forma casada a outras técnicas de auditoria, como 
entrevistas e visita in loco. Eu, pessoalmente, não aprovo o envio de questionários para serem preenchidos à 
distância, embora alguns autores mencionem sua validade. É importante verificar o comportamento do auditado ao 
ser questionado sobre algum ponto de controle... (exemplo em saiba mais) 
 
Visita in loco 
É a presença do auditor na área do auditado (ou do CPD) para verificação dos pontos de controle. Normalmente 
esta ferramenta é utilizada em conjunto com outras ferramentas, tais como entrevista semiestruturada e 
questionários. A visita do auditor é importante para que sejam esclarecidos pontos nebulosos. A visita deve ser 
marcada formalmente, com data e hora, com a pessoa responsável para responder às perguntas do auditor e/ou 
fornecer o que lhe for pedido. 
Nesta visita o auditor poderá obter dados, seja por observação, por teste, por documentação ou informação 
solicitada. Fará anotações sobre as informações obtidas para posterior documentação em seus papéis de trabalho. 
Caso seja encontrada uma fraqueza, o auditor informará verbalmente ao auditado na hora e, posteriormente, por 
escrito. 
Quando em realização de auditoria em CPD, a presença do auditor é fundamental para a constatação física da 
existência de ativos computacionais da empresa, bem como seu estado de conservação e eficiência dos 
procedimentos de uso, incluindo segurança física. Também são verificados: 
Inventário de volumes de arquivos magnéticos (discos, fitas, CD´s) armazenados na fitoteca, com respectivo 
período de retenção anotado em cada volume; 
Inventário de suprimentos armazenados (fitas de impressora, cartuchos de impressora, formulários contínuos, 
formulários pré-impressos, etiquetas gomadas, etc); 
Utilização dos computadores com o objetivo de verificação de controle de acesso, uso de Ordem de Serviço, 
arquivos magnéticos, schedule de produção, distribuição de relatórios; 
Acompanhamento das rotinas de back-up e atualização da biblioteca externa. 
Entrevista (conferir saiba mais aula 04) 
As entrevistas podem ser pessoais, por telefone ou vídeo conferência. Seja lá de que meio for, deverá ser feito 
previamente um roteiro do que se pretende abordar na mesma, preferencialmente classificado por ponto de 
controle. Este roteiro servirá como guia para o auditor. 
A entrevista visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está 
auditando, portanto, flexibilidade é sempre bem-vinda! 
 As entrevistas de campo podem ser de dois tipos: 
- Estruturada: aquela que utiliza formulários na coleta de dados; 
- Não estruturada: aquela que não utiliza formulários na coleta de dados. 
 A entrevista deve seguir uma sequência lógica, orientada pelo fluxo de eventos do processo. Esta estrutura é 
particularmente útil nas situações em que o auditor tem conhecimento limitado do processo a ser auditado ou 
quando não há procedimento documentado para esse processo. 
(conferir o saiba mais da aula 04). 
Para saber mais 
Leia o artigo Técnicas de entrevista do TCU (Tribunal de Contas da União), postado na biblioteca do curso. Nele 
vocês poderão aprimorar o conhecimento sobre entrevistas de auditoria e como elaborar questionários (de 
pesquisa) de uma forma mais completa.Bibliografia utilizada nesta aula:Auditoria de Sistemas de Informação, 
IMONIANA, Joshua Onome, Editora Atlas, Capítulo 5.Auditoria de Computadores, GIL, Antonio de Loureiro, Ed. 
Atlas, Capítulo 3. 
Nesta aula, você: 
 Conheceu algumas ferramentas de auditoria; 
 Aprendeu o que são hash total, header e trailler label; 
 Aprendeu como preparar programas especializados para auditoria; 
 Foi apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas). 
Na próxima aula, você estudará sobre mais técnicas de auditoria. 
1. 
 Somar os centavos de depósitos realizados no dia em um sistema de contas correntes seria um exemplo de: 
 1) header label 
 2) um ponto de auditoria 
 3) controle de acesso 
 4) trailler label 
 5) hash-total 
 
2. 
 Programas utilitários são usados para: 
 1) cálculos complexos 
 2) classificar registros 
 3) comparar cálculos entre arquivos 
 4) completar dados de registros incompletos 
 5) completar dados de registros omissos 
 
3. 
 Software generalista, guia para gestão de tecnologia da informação recomendado pelo ISACF: 
 1) Galileo 
 2) Audimation 
 3) Snort 
 4) CobiT 
 5) Nmap 
 
4. 
 Marque a afirmativa correta: 
 1) Questionários são importantes para visitas in loco. 
 2) Controles cruzados são gerados em programas utilitários. 
 3) As entrevistas devem ser apenas in loco. 
 4) Programas generalistas exigem que os auditores sejam experientes em tecnologia da informação. 
 5) Quando em entrevista, o auditor deve expressar suas opiniões, concordando sobre os pontos de controle verificados 
 
Aula 5: Mais Técnicas De Auditoria 
Nesta aula, você irá: 
 
1. Conhecer novas técnicas de teste de auditoria; 
2. Aprender como fazer uma simulação paralela; 
3. Ser apresentado à lógica de auditoria embutida nos sistemas; 
4. Aprender como fazer rastreamento e mapeamento; 
5. Conhecer a técnica de análise de log/accounting; 
6. Compreender a importância da análise do programa fonte. 
 
 
Teste substantivos 
 Este tipo de teste é empregado pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as 
transações, que lhe proporcionem fundamentação para a sua opinião sobre determinados fatos.Como objetivos 
fundamentais dos testes substantivos,destacam-se as seguintes constatações: 
 Existência real: que as transações comunicadas/registradas realmente tenham ocorrido; Integridade: que não 
existam transações além daquelas registradas/demonstradas e que as informações permaneçam inalteradas nos 
registros desde a sua gravação; Parte interessada: que os interessados naquele registro/comunicação tenham obtido 
as informações na sua totalidade; Avaliação e aferição: que os itens que compõem determinada transação/registro 
tenham sido avaliados e aferidos corretamente; Divulgação: que as/os transações/registros tenham sido 
corretamente divulgadas/divulgados. 
Os testes substantivos são imprescindíveis em trabalhos de auditoria, uma vez que é através da aplicação correta 
destes que o auditor obtém evidências sobre os saldos e/ou transações apresentadas pela empresa. 
Este tipo de teste é de fundamental importância na complementação dos testes de observância, considerando que 
são através dos testes substantivos que o auditor tem condições de constatar sobre a fidedignidade das transações e 
registros. 
Veremos agora mais algumas técnicas de auditoria. 
 
Dados De Teste 
Esta técnica, também conhecida como test data ou test deck, é aplicada em ambiente batch. O auditor prepara um 
conjunto de dados com o objetivo de testar os controles programados e os controles do sistema aplicativo para 
rotinas sistêmicas ou manuais. 
 Esta massa de dados deve contemplar um determinado número de transações, com dias (úteis) de processamento 
suficiente para que o resultado seja conclusivo. Após executar o sistema auditado com esta massa de dados, o 
auditor irá comparar o resultado com aquele predeterminado (elaborado na confecção da massa de dados de teste). 
 Para a efetividade do teste, esta massa de dados deve conter várias possibilidades de simulações do processamento 
real, cobrindo os controles internos que a auditoria pretende verificar. 
Os dados simulados de teste devem prever situações corretas e incorretas de natureza: 
Transações com campos incorretos 
Transações com valores ou quantidades nos limites de tabelas de cálculos 
Transações incompletas; 
Transações incompatíveis; 
Transações em duplicidade. 
Um teste que eu costumava fazer em relação a campos de controle numérico era testar o campo todo zerado. Se o 
algoritmo de cálculo do dígito verificador for o módulo 10 ou 11, o campo todo zerado passará como válido, embora 
não o seja. Vale a pena este teste... 
A mecânica de aplicação do test deck implica nas etapas: 
 
 
 
 
 
 
 
 
 
 
 
Facilidade De Teste Integrado 
Esta técnica, conhecida também por Integrated Test Facility (ITF), somente pode ser processada com maior eficiência 
em ambiente on-line e real time. Os dados de teste são integrados aos ambientes reais de processamento, 
utilizando-se de versões atuais da produção. 
A execução da técnica envolve aplicação de entidades fictícias (tais como funcionários fantasmas na folha de 
pagamento ou clientes inexistentes em saldos bancários). Confrontamos os dados no processamento de transações 
reais com esses dados e os resultados são comparados com aqueles predeterminados. 
Esta facilidade evita que se atualizem as bases reais da organização com os dados fictícios, mas criam-se arquivos de 
resultado em separado. Este procedimento é utilizado em ambiente de produção normal, sem o consentimento dos 
operadores de computador. 
Simulação Paralela 
Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema 
sob auditoria, com foco nos pontos de controle a serem verificados. 
Esta técnica utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do 
programa de computador para auditoria, simulado e elaborado pelo auditor. 
 Enquanto no test deck simulamos dados e os submetemos ao programa de computador que, normalmente, é 
processado na produção, na simulação paralela simulamos o programa e o processamos com a massa real. 
A estrutura de aplicação desta técnica corresponde a: 
 
 
 
Lógica de auditoria embutida nos sistemas 
Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. 
Periodicamente os relatórios de auditoria são emitidos para a revisão e o acompanhamento dos procedimentos 
operacionais. 
 Nesta técnica poderiam ser incluídas as rotinas para gravação de arquivos logs (arquivo log: arquivo com dados 
históricos), principalmente no que se refere a acesso de sistema e arquivos. Cabe alertar para o fato de que devem 
ser incluídas as rotinas realmente necessárias, pois como estas farão parte dos procedimentos rotineiros do sistema, 
poderíamos ter um aumento de ineficiência do mesmo. 
Relatórios de exceção também podem ser incluídos nesta categoria. Por exemplo, em um sistema de cartão de 
crédito, como um dos controles de negócio, teríamos o desvio no comportamento do cliente. O sistema faria um 
monitoramento de como o cliente, possuidor do cartão, costuma comprar: em que cidades, que valores médios de 
compra, quantas compras por semana, mês. Sempre que houvesse um desvio neste sentido, o sistema geraria uma 
entrada no relatório de exceção que seria imediatamente direcionado ao responsável pela área de segurança do 
negócio. Este, analisando o fato, entraria ou não em contato com o cliente para apuração de fatos, podendo mesmo 
bloquear o cartão na hora e solicitar envio de um novo cartão ao cliente. 
 
Mapeamento Estatístico Dos Programas De Computador (Mapping) 
Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de 
programas, flagrando situações tais como: 
- Rotinas não utilizadas; 
- Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de 
dados 
A análise dos relatórios emitidos pela aplicação do mapeamento estatístico permite a constatação de situações: 
- Rotinas existentes em programas já desativados ou de uso esporádico; 
- Rotinas mais utilizadas, normalmente a cada processamento do programa; 
- Rotinas fraudulentas e de uso em situações irregulares; 
- Rotinas de controle acionadas a cada processamento. 
Para a utilização do mapping, há a necessidade de ser processado um software de apoio em conjugação com o 
processamento do sistema aplicativo, ou rotinas específicas deverão ser embutidas no sistema operacional utilizado. 
Há a necessidade de inclusão de instruções especiais junto aos programas em processamento na produção. Além de 
um custo possivelmente alto, esta técnica pode degradar o desempenho do sistema. 
Esta técnica pode ser utilizada tanto em ambiente de teste como de produção, a exemplo da técnica de 
rastreamento, que veremos a seguir. 
Rastreamento Dos Programas De Computador 
 
 
Análise da lógica de programação 
 
 
 
 
Ppt diz bem mais sobre análise do LOG. 
Nesta aula, você: 
 Conheceu novas técnicas de teste de auditoria; 
 Aprendeu como fazer uma simulação paralela; 
 Foi apresentado à lógica de auditoria embutida nos sistemas; 
 Aprendeu como fazer rastreamento e mapeamento; 
 Conheceu a técnica de análise de log/accounting; 
 Compreendeu a importância da análise do programa fonte. 
Na próxima aula, você estudará sobre políticas organizacionais e estrutura administrativa em tecnologia da 
informação. 
1. 
 A técnica de auditoria em que o auditor prepara um programa de computador e usa a massa de dados real (de produção) para 
teste se chama: 
 1) test deck 
 2) teste integrado 
 3) simulação paralela 
 4) log/accounting 
 5) rastreamento 
 
2. 
 Marque a afirmativa correta: 
 1) A técnica Integrated Test Facility só pode ser processada na modalidade batch. 
 2) A técnica de mapeamento só pode ser utilizada em ambiente de teste. 
 3) A técnica de rastreamento só pode ser utilizada em ambiente de teste. 
 4) É através dos testes substantivos que o auditor possui evidências da validação de um ponto de controle.5) Através da técnica de análise lógica de programação podemos detectar rotinas não utilizadas. 
 
3. 
 Os testes que verificam a conformidade com a metodologia de desenvolvimento de sistemas são os testes: 
 1) de dados fictícios 
 2) integrados 
 3) substantivos 
 4) de dados aleatórios 
 5) de observância 
 
4. 
 Dentre outras funções, a análise do arquivo Log/accounting serve para: 
 1) identificar transações incompletas. 
 2) validar o uso de metodologia de desenvolvimento de sistemas. 
 3) assegurar que as/os transações/registros tenham sido corretamente divulgadas/divulgados. 
 4) verificar a análise e a qualidade da estrutura do programa. 
 5) mostrar quais usuários utilizaram quais programas e por quanto tempo.