Conteudo_Online_08

Prévia do material em texto

1 
Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá 
 
 
AUDITORIA DE SISTEMAS 
AULA 08: MAIS AUDITORIAS DIRECIONADAS 
Nesta aula, você irá: 
1. Estudar auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção 
de sistemas. 
2. Ser introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK. 
3. Ser apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e 
de sistemas aplicativos. 
4. Examinar alguns programas de auditoria direcionada. 
 
Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas 
 Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou 
desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, 
principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. 
Em qualquer das opções (desenvolvimento em casa ou aquisição), há que se fazer um estudo 
preliminar para o sistema em questão, considerando a viabilidade econômica, operacional e 
técnica. 
 Cabe lembrar que aquisição de software pode abranger um sistema/programa novo (com 
ou sem modificações de customização) ou alterações em algum software já existente na 
empresa. 
 Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI 
(Project Management Institute), em seu capítulo 12, dedicado à gerência de aquisições, os 
grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de 
bem ou serviço que não esteja disponível dentro da empresa são: 
1. Planejamento das aquisições – Define o que adquirir e quando fazê-lo. Definimos as 
declarações de trabalho (declaração de trabalho = descreve a aquisição a ser feita 
detalhadamente o suficiente para que os fornecedores em potencial possam avaliar se são 
capazes ou não de fornecer o produto ou serviço) 
2. Planejamento das solicitações – Documenta os requisitos dos produtos ou bens e identifica 
fontes potenciais. 
3. Solicitação – Obtém a cotação, ofertas, propostas. 
4. Seleção da fonte – Escolhe a melhor proposta. 
5. Administração do contrato – Gerencia e relaciona-se com o fornecedor. 
6. Fechamento do contrato – Finaliza o contrato, incluindo itens abertos. 
Considerando esses processos, o auditor deverá verificar se todos os passos foram seguidos e 
estão documentados. 
 
Objetivos de auditoria 
 As seguintes questões referentes aos objetivos de auditoria dos controles e processos de 
aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos devem ser 
respondidas: 
 Há procedimentos de formalização da real necessidade para um novo sistema? 
 Há informações apresentadas para que os usuários possam decidir entre aquisição e 
desenvolvimento interno? 
 As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, 
segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de 
compra externa? 
2 
Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá 
 
 
 A especificação de requisitos é feitas de forma cuidadosa, confrontando os 
conhecimentos dos usuários com os dos analistas de sistema, visando eliminar gaps semânticos? 
 Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem 
traumas para os usuários? 
 O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para 
alinhá-lo com os sistemas já existentes? 
 Os usuários são treinados para utilizar os sistemas com todos os potenciais que 
possuem? 
 As manutenções são feitas sem interrupção das operações normais da empresa? 
 A documentação é consistente e disponível para orientar os usuários? 
 
Programa de teste de controles 
 Nas páginas 96 a 101, capítulo 7, do material recebido por vocês, há um questionário 
para testes de controles onde encontram-se controles que devem ser observados pelo auditor e 
que requerem as respostas “sim”, “não” ou “não aplicável”. 
 Listarei, abaixo, os controles, em níveis mais gerais. Não deixem de verificar o programa 
em detalhes no livro! 
 
Especificação do sistema 
 Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos 
e declaração de escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos 
sistemas existentes? 
Se sim, descreva os controles existentes para assegurar que: 
 Os usuários dos sistemas estejam envolvidos. 
 O gerente do projeto seja identificado. 
 As reuniões com usuários são documentadas, incluindo as deliberações. 
 Dados de entrada e o meio de entrada desses dados no sistema sejam identificados. 
 Formato, o meio e a distribuição dos relatórios sejam especificados. 
 Passos, lógica de processamento e fórmulas utilizadas, quando for o caso, sejam 
identificados. 
 Ambientes de software e hardware apropriados sejam especificados. 
 Requisitos de segurança de informação sejam adequadamente considerados. 
 Controles internos embutidos no sistema e do usuário sejam incorporados ao desenho do 
sistema. Esses controles podem incluir totais de lote, edição de entrada, campos com 
dígito verificador, rotinas de verificação e relatórios de controle. 
 
Aquisição de Sistemas 
 Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de 
sistemas? 
 
3 
Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá 
 
 
 Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção, 
 especificação ou modificação de sistemas? 
 Há rotinas e procedimentos estabelecidos para determinar prioridades para os projetos de 
 desenvolvimento e manutenção de sistemas? 
 Há rotinas e procedimentos estabelecidos para rever as especificações dos projetos por 
pessoal apropriado de processamento de dados, fora da área de desenvolvimento e manutenção 
de sistemas (por exemplo: operação, segurança e suporte)? 
 
Programação 
 A empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente? 
Se sim, descreva os controles existentes para assegurar que: 
 os programas sejam desenvolvidos de maneira consistente e de acordo com os padrões de 
programação ou outras orientações usadas pela empresa. 
 a codificação de programas novos ou alterados esteja sujeita à revisão pelos supervisores 
 de programação. 
 sistemas novos ou modificados não sejam colocados em operação antes de estarem 
autorizados e aprovados para implantação. 
 
Testes 
 Há rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram 
mudanças significativas? 
Se sim, descreva os controles existentes para assegurar que os testes incluam alguns ou todos 
os itens a seguir, de acordo com as circunstâncias: 
 - Testes da lógica dos programas. 
 - Testes dos procedimentos de entrada de dados do usuário. 
 - Testes das interfaces com outros sistemas. 
 - Testes paralelos com o sistema existente a ser substituído. 
 - Testes de regressão (teste de regressão = ao fazermos alguma modificação nos 
requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi 
testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a 
contento). 
 - Testes de controles e características de segurança. 
 - Existência de plano de teste, incluindo os casos de teste. 
 - Evidências de testes unitários, de sistema e de integração. 
 - Evidências de participação do usuário na definição e testes do projeto. 
 
Documentação 
 A empresa mantém documentação para a totalidade dos sistemas contábeis significativos, 
que atenda às necessidades do usuário e do pessoalde processamento de dados? 
Se sim, descreva os controles existentes para assegurar que: 
 A documentação seja atualizada e reflita exatamente o sistema em operação. 
 A documentação seja suficientemente detalhada para suportar futuras mudanças no 
sistema. 
 As instruções do usuário e do operador sejam suficientemente detalhadas para possibilitar 
o correto uso e operação do sistema. 
 A documentação sigilosa seja guardada em área fisicamente segura. 
 
4 
Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá 
 
 
Manutenção 
 A empresa executa projetos de manutenção em sistemas aplicativos internamente? 
Se sim, descreva os controles existentes para assegurar que: 
 - Solicitações de manutenção de programas sejam documentadas e autorizadas pelo 
usuário e pela gerencia de projetos. 
 - A manutenção de programas esteja sujeita aos padrões de programação aplicáveis. 
 - A manutenção seja executada por pessoal apropriado. 
 - Os usuários revisem os resultados dos testes e dêem seu “aceite” aos mesmos, antes de 
serem implementados na produção. 
 - A documentação seja apropriadamente atualizada para refletir a alteração do sistema. 
 
Auditoria de operação de sistemas 
 A operação do computador envolve as funções de acionar o Inicial Program Loader (IPL) e 
os programas que ligam e desligam os computadores. 
 O auditor necessita conhecer todas as operações e serviços disponibilizados pelos centros 
de processamento de dados e documentar os controles organizacionais. São as seguintes as 
operações mais comuns: 
 Planejamento, controle e monitoração das operações. 
 Planejamento da capacidade. 
 Monitoramento de todos os sistemas e as redes. 
 Inicialização do sistema e do desligamento. 
 Gravação (logging), rastreamento (tracking) dos problemas e monitoramento do tempo de 
resposta. 
 Gerenciamento de mudanças estruturais e pessoais. 
 Gestão das unidades, dos periféricos e equipamentos remotos. 
 Gerenciamento de bibliotecas. 
 Programação dos serviços (job scheduling) e acompanhamento das operações. 
 Automação da produção. 
 Backup dos sistemas, programas, dados e banco de dados. 
 Gerenciamento do help desk. 
 Coordenação e programação de upgrades dos equipamentos; 
 Gestão de restart/recovery. 
 
 Além de garantir que todos os passos envolvidos na criação de dados, que as lógicas 
envolvidas no processamento das tarefas e os procedimentos mínimos de emissão de relatórios 
sejam obedecidos, é objetivo da auditoria de controle de operações de computador levantar a 
existência de controles que assegurem que as operações das transações executadas na empresa 
sejam fidedignas. 
 Esperam-se encontrar procedimentos para assegurar que os jobs (serviços) sejam 
programados (para execução) e processados adequadamente, sendo os relatórios e outros 
outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados 
devidamente protegidos. Falhas frequentes do sistema, erros significativos de processamento, 
 atrasos e perdas de dados podem indicar a existência de deficiências no controle de operações. 
 
LEI OTEXTO AOBAIXO 
Programa de teste de controles para a operação de sistemas 
Nas páginas 127 a 132, capítulo 10, do material recebido por vocês, há um questionário para testes de 
controles de operação de computadores. Farei um resumo a seguir. 
5 
Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá 
 
 
 
C1 – Controle sobre o processo operacional. 
Avalia se há supervisão e revisão de atividades para cada turno de processamento, se é exigido um 
registro de todas as atividades dos operadores no console, existência de job scheduling, inicialização e 
desligamento dos equipamentos. 
 
C2 – Controles sobre monitoramento. 
 Verifica se há: 
com total zero para 
indicar que não houve ocorrência); 
rocedimentos descritos em detalhes, para o setor, sobre restart/recovery; 
 
programas, orientando a quem 
chamar; 
 
 
 
 
C3 – Controles sobre as entradas em batch. 
Avalia controle de lotes para a digitação e prazos de recebimento e digitação de documentos em relação 
ao cronograma e acurácia (exatidão) dos dados digitados. Verifica a existência de uma central de 
atendimento/apoio para usuários de transações on line. 
 
C4 – Controles sobre a identificação e correção de problemas. 
Verifica a existência de procedimentos formais e claramente definidos para: 
spectivas ações corretivas ; 
 
operacionais 
encontrados; 
 na soluções tomadas. 
 
C5 – Controles de restart/recovery 
Verifica se os planos de contingência recebem tratamento especial quanto a : 
 
 
 
colha do hot-site; 
-site. 
 
C6 – Verificação da existência de controles que evitem que as operações diárias sejam 
interrompidas e que evitem perdas financeiras, no caso de uma eventual mudança de ambiente de 
operação. 
 
 
Auditoria de suporte técnico 
 A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos 
indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta 
tecnologia e de dar apoio a sua utilização nas empresas. 
 As funções de suporte técnico dividem-se em dois grandes grupos: 
►Funções Rotineiras 
- Gerenciamento de help desk. 
- Socorro aos problemas de instalação de redes. 
- Monitoramento da ocorrência de problemas. 
- Treinamento de usuários dos softwares. 
- Revisão preventiva de equipamentos. 
- Substituição dos equipamentos antigos. 
6 
Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá 
 
 
- Segurança de informação quando não há administrador de segurança de informação 
►Funções Esporádicas 
- Dimensionamento de banco de dados. 
- Instalação de softwares utilitários. 
- Manutenção dos sistemas operacionais. 
- Instalação de upgrades. 
- Avaliação de software para fins de compra. 
- Padronização dos recursos de tecnologia da informação. 
- Ativação de redes (estações etc). 
 
Leia o texto 
Suporte Técnico 
A compreensão do processo de suporte técnico é necessária para que os auditores possam levantar os 
recursos existentes, níveis de complexidade, qualificação dos funcionários, frequências de prestação de 
suporte para os usuários e as tendências empresariais em acompanhar avanços da tecnologia da 
informação. 
Esperamos encontrar procedimentos específicos de suporte técnico estabelecidos para a manutenção do 
sistema operacional e outros recursos importantes, como gerenciador de banco de dados e redes de 
comunicação. Falhas frequentes no sistema, tais como: 
incapacidade dos sistemas aplicativos de acessarem transações on line, de acesso ao computador 
central ou outros problemas que indicam desativação das capacidades de compartilhamento dos recursos 
de redes, tais como impressoras, podem indicar a existência de deficiências no controle da área de 
suporte técnico. 
Independente da complexidade do assunto, o auditor necessita estar alerta aos controles de banco de 
dados, redes de comunicação, configuração de software de sistema operacional e outros, pois, se as 
funções destes recursos não funcionarem com segurança, dados e programas podem ser perdidos ou 
alterados, controles de segurança lógica podem ser ignorados, falhas de sistema podem ocorrer mais 
frequentemente, em suma, os sistemas podem não processar de forma confiável as suas informações. 
Programa de testes de controles para suporte técnico 
 
Veja um questionário detalhado sobre testes de controles de suporte técnico nas páginas 135 
a 138, capítulo 11, do material recebido por você. Farei um resumo a seguir. 
 
C1 – Os sistemas operacionais processam aplicativos relevantes aos processos do negócio?Preocupa-se com controles que possam assegurar que as mudanças no sistema operacional sejam 
revistas e testadas antes de instaladas. 
 
C2 – Existem procedimentos padronizados para aquisição de softwares utilitários? 
Verifica se somente softwares que seguem padrões da empresa são adquiridos, revistos e testados antes 
da instalação. 
 
C3 – O cliente possui um sistema de banco de dados que mantém dados usados no processo contábil? 
Verifica se mudanças no software de banco de dados são revistas e testadas antes da instalação. 
 
C4 – O cliente tem um grupo de suporte técnico que efetua a manutenção do sistema operacional e 
outros softwares de sistema? 
Verifica se mudanças no software de sistema são revisadas e testadas antes da instalação. 
 
C5 – O grupo de suporte técnico mantém pessoas para treinar usuários sobre o uso pleno dos recursos 
de tecnologia da informação? 
Assegura que todos os usuários sejam agendados para treinamento e se este procedimento é repetido a 
cada upgrade dos recursos de tecnologia da informação. 
 
C6 – O grupo de suporte técnico possui equipe de help desk? 
Verifica se há controles para que: 
 
7 
Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá 
 
 
 
acessá-las 
periodicamente, independente do apoio do suporte técnico; 
 
frequentes. 
 
C7 – O cliente utiliza comunicação extensiva de dados que envolvam locais distantes e o uso de linhas de 
comunicação? 
Preocupa-se em assegurar controles para que: 
 
 de senhas, rotinas de callback ou técnicas 
similares; 
antes da instalação; 
e o acesso seja 
restrito a pessoal do suporte técnico autorizado. 
 
 
Auditoria de sistemas aplicativos 
 Os controles internos, processos e controles de negócios, conforme visto nesta aula e na 
 aula 3, devem ser verificados, não só em sistemas novos (em desenvolvimento ou adquiridos), 
mas também nos sistemas em produção. Alguns pontos de controle são fundamentais e serão 
aplicados em todos os sistemas, como por exemplo, controle de acesso. Outros controles, 
específicos, serão identificados e aplicados conforme o sistema sob auditoria. 
 O COBIT define sete critérios de informações que podemos adotar como sendo objetivo de 
uma auditoria de sistemas: efetividade, eficiência, confidencialidade, integridade, disponibilidade, 
conformidade e confiança. 
 A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão 
documental, teste dos controles internos e programados como ferramentas de auditoria. Podemos 
dividir as tarefas de avaliação sob dois enfoques: 
 Verificação da estrutura dos sistemas e seus controles. 
 Testes substantivos das transações executadas pelos sistemas. 
 
 
 
 
Veja um questionário detalhado sobre testes de controles para aquisição, desenvolvimento, documentação e 
manutenção de sistemas, nas páginas 96 a 101, capítulo 7, do material recebido por você. 
Veja um questionário detalhado sobre testes de controles de operação de computadores, nas páginas 127 a 132, 
capítulo 10, do material recebido por você. 
Veja um questionário detalhado sobre testes de controles de suporte técnico, nas páginas 135 a 138, capítulo 11, do 
material recebido por você. 
Veja um questionário específico para testes de controles do sistema de faturamento, nas páginas 145 a 148, capítulo 
12, do material recebido por você. 
 
Nesta aula, você: 
Estudou auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção de sistemas. 
Foi introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK. 
Foi apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e de sistemas 
aplicativos. 
8 
Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá 
 
 
Examinou alguns programas de auditoria direcionada. 
 
 
Na próxima aula, você estudará: 
Sobre como um auditor comunica seus pareceres sobre a auditoria, ou seja, os relatórios de auditoria.