Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá AUDITORIA DE SISTEMAS AULA 08: MAIS AUDITORIAS DIRECIONADAS Nesta aula, você irá: 1. Estudar auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção de sistemas. 2. Ser introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK. 3. Ser apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e de sistemas aplicativos. 4. Examinar alguns programas de auditoria direcionada. Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. Em qualquer das opções (desenvolvimento em casa ou aquisição), há que se fazer um estudo preliminar para o sistema em questão, considerando a viabilidade econômica, operacional e técnica. Cabe lembrar que aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo 12, dedicado à gerência de aquisições, os grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa são: 1. Planejamento das aquisições – Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho (declaração de trabalho = descreve a aquisição a ser feita detalhadamente o suficiente para que os fornecedores em potencial possam avaliar se são capazes ou não de fornecer o produto ou serviço) 2. Planejamento das solicitações – Documenta os requisitos dos produtos ou bens e identifica fontes potenciais. 3. Solicitação – Obtém a cotação, ofertas, propostas. 4. Seleção da fonte – Escolhe a melhor proposta. 5. Administração do contrato – Gerencia e relaciona-se com o fornecedor. 6. Fechamento do contrato – Finaliza o contrato, incluindo itens abertos. Considerando esses processos, o auditor deverá verificar se todos os passos foram seguidos e estão documentados. Objetivos de auditoria As seguintes questões referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos devem ser respondidas: Há procedimentos de formalização da real necessidade para um novo sistema? Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno? As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa? 2 Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá A especificação de requisitos é feitas de forma cuidadosa, confrontando os conhecimentos dos usuários com os dos analistas de sistema, visando eliminar gaps semânticos? Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários? O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes? Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem? As manutenções são feitas sem interrupção das operações normais da empresa? A documentação é consistente e disponível para orientar os usuários? Programa de teste de controles Nas páginas 96 a 101, capítulo 7, do material recebido por vocês, há um questionário para testes de controles onde encontram-se controles que devem ser observados pelo auditor e que requerem as respostas “sim”, “não” ou “não aplicável”. Listarei, abaixo, os controles, em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro! Especificação do sistema Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes? Se sim, descreva os controles existentes para assegurar que: Os usuários dos sistemas estejam envolvidos. O gerente do projeto seja identificado. As reuniões com usuários são documentadas, incluindo as deliberações. Dados de entrada e o meio de entrada desses dados no sistema sejam identificados. Formato, o meio e a distribuição dos relatórios sejam especificados. Passos, lógica de processamento e fórmulas utilizadas, quando for o caso, sejam identificados. Ambientes de software e hardware apropriados sejam especificados. Requisitos de segurança de informação sejam adequadamente considerados. Controles internos embutidos no sistema e do usuário sejam incorporados ao desenho do sistema. Esses controles podem incluir totais de lote, edição de entrada, campos com dígito verificador, rotinas de verificação e relatórios de controle. Aquisição de Sistemas Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? 3 Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção, especificação ou modificação de sistemas? Há rotinas e procedimentos estabelecidos para determinar prioridades para os projetos de desenvolvimento e manutenção de sistemas? Há rotinas e procedimentos estabelecidos para rever as especificações dos projetos por pessoal apropriado de processamento de dados, fora da área de desenvolvimento e manutenção de sistemas (por exemplo: operação, segurança e suporte)? Programação A empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente? Se sim, descreva os controles existentes para assegurar que: os programas sejam desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa. a codificação de programas novos ou alterados esteja sujeita à revisão pelos supervisores de programação. sistemas novos ou modificados não sejam colocados em operação antes de estarem autorizados e aprovados para implantação. Testes Há rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas? Se sim, descreva os controles existentes para assegurar que os testes incluam alguns ou todos os itens a seguir, de acordo com as circunstâncias: - Testes da lógica dos programas. - Testes dos procedimentos de entrada de dados do usuário. - Testes das interfaces com outros sistemas. - Testes paralelos com o sistema existente a ser substituído. - Testes de regressão (teste de regressão = ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento). - Testes de controles e características de segurança. - Existência de plano de teste, incluindo os casos de teste. - Evidências de testes unitários, de sistema e de integração. - Evidências de participação do usuário na definição e testes do projeto. Documentação A empresa mantém documentação para a totalidade dos sistemas contábeis significativos, que atenda às necessidades do usuário e do pessoalde processamento de dados? Se sim, descreva os controles existentes para assegurar que: A documentação seja atualizada e reflita exatamente o sistema em operação. A documentação seja suficientemente detalhada para suportar futuras mudanças no sistema. As instruções do usuário e do operador sejam suficientemente detalhadas para possibilitar o correto uso e operação do sistema. A documentação sigilosa seja guardada em área fisicamente segura. 4 Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá Manutenção A empresa executa projetos de manutenção em sistemas aplicativos internamente? Se sim, descreva os controles existentes para assegurar que: - Solicitações de manutenção de programas sejam documentadas e autorizadas pelo usuário e pela gerencia de projetos. - A manutenção de programas esteja sujeita aos padrões de programação aplicáveis. - A manutenção seja executada por pessoal apropriado. - Os usuários revisem os resultados dos testes e dêem seu “aceite” aos mesmos, antes de serem implementados na produção. - A documentação seja apropriadamente atualizada para refletir a alteração do sistema. Auditoria de operação de sistemas A operação do computador envolve as funções de acionar o Inicial Program Loader (IPL) e os programas que ligam e desligam os computadores. O auditor necessita conhecer todas as operações e serviços disponibilizados pelos centros de processamento de dados e documentar os controles organizacionais. São as seguintes as operações mais comuns: Planejamento, controle e monitoração das operações. Planejamento da capacidade. Monitoramento de todos os sistemas e as redes. Inicialização do sistema e do desligamento. Gravação (logging), rastreamento (tracking) dos problemas e monitoramento do tempo de resposta. Gerenciamento de mudanças estruturais e pessoais. Gestão das unidades, dos periféricos e equipamentos remotos. Gerenciamento de bibliotecas. Programação dos serviços (job scheduling) e acompanhamento das operações. Automação da produção. Backup dos sistemas, programas, dados e banco de dados. Gerenciamento do help desk. Coordenação e programação de upgrades dos equipamentos; Gestão de restart/recovery. Além de garantir que todos os passos envolvidos na criação de dados, que as lógicas envolvidas no processamento das tarefas e os procedimentos mínimos de emissão de relatórios sejam obedecidos, é objetivo da auditoria de controle de operações de computador levantar a existência de controles que assegurem que as operações das transações executadas na empresa sejam fidedignas. Esperam-se encontrar procedimentos para assegurar que os jobs (serviços) sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos. Falhas frequentes do sistema, erros significativos de processamento, atrasos e perdas de dados podem indicar a existência de deficiências no controle de operações. LEI OTEXTO AOBAIXO Programa de teste de controles para a operação de sistemas Nas páginas 127 a 132, capítulo 10, do material recebido por vocês, há um questionário para testes de controles de operação de computadores. Farei um resumo a seguir. 5 Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá C1 – Controle sobre o processo operacional. Avalia se há supervisão e revisão de atividades para cada turno de processamento, se é exigido um registro de todas as atividades dos operadores no console, existência de job scheduling, inicialização e desligamento dos equipamentos. C2 – Controles sobre monitoramento. Verifica se há: com total zero para indicar que não houve ocorrência); rocedimentos descritos em detalhes, para o setor, sobre restart/recovery; programas, orientando a quem chamar; C3 – Controles sobre as entradas em batch. Avalia controle de lotes para a digitação e prazos de recebimento e digitação de documentos em relação ao cronograma e acurácia (exatidão) dos dados digitados. Verifica a existência de uma central de atendimento/apoio para usuários de transações on line. C4 – Controles sobre a identificação e correção de problemas. Verifica a existência de procedimentos formais e claramente definidos para: spectivas ações corretivas ; operacionais encontrados; na soluções tomadas. C5 – Controles de restart/recovery Verifica se os planos de contingência recebem tratamento especial quanto a : colha do hot-site; -site. C6 – Verificação da existência de controles que evitem que as operações diárias sejam interrompidas e que evitem perdas financeiras, no caso de uma eventual mudança de ambiente de operação. Auditoria de suporte técnico A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: ►Funções Rotineiras - Gerenciamento de help desk. - Socorro aos problemas de instalação de redes. - Monitoramento da ocorrência de problemas. - Treinamento de usuários dos softwares. - Revisão preventiva de equipamentos. - Substituição dos equipamentos antigos. 6 Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá - Segurança de informação quando não há administrador de segurança de informação ►Funções Esporádicas - Dimensionamento de banco de dados. - Instalação de softwares utilitários. - Manutenção dos sistemas operacionais. - Instalação de upgrades. - Avaliação de software para fins de compra. - Padronização dos recursos de tecnologia da informação. - Ativação de redes (estações etc). Leia o texto Suporte Técnico A compreensão do processo de suporte técnico é necessária para que os auditores possam levantar os recursos existentes, níveis de complexidade, qualificação dos funcionários, frequências de prestação de suporte para os usuários e as tendências empresariais em acompanhar avanços da tecnologia da informação. Esperamos encontrar procedimentos específicos de suporte técnico estabelecidos para a manutenção do sistema operacional e outros recursos importantes, como gerenciador de banco de dados e redes de comunicação. Falhas frequentes no sistema, tais como: incapacidade dos sistemas aplicativos de acessarem transações on line, de acesso ao computador central ou outros problemas que indicam desativação das capacidades de compartilhamento dos recursos de redes, tais como impressoras, podem indicar a existência de deficiências no controle da área de suporte técnico. Independente da complexidade do assunto, o auditor necessita estar alerta aos controles de banco de dados, redes de comunicação, configuração de software de sistema operacional e outros, pois, se as funções destes recursos não funcionarem com segurança, dados e programas podem ser perdidos ou alterados, controles de segurança lógica podem ser ignorados, falhas de sistema podem ocorrer mais frequentemente, em suma, os sistemas podem não processar de forma confiável as suas informações. Programa de testes de controles para suporte técnico Veja um questionário detalhado sobre testes de controles de suporte técnico nas páginas 135 a 138, capítulo 11, do material recebido por você. Farei um resumo a seguir. C1 – Os sistemas operacionais processam aplicativos relevantes aos processos do negócio?Preocupa-se com controles que possam assegurar que as mudanças no sistema operacional sejam revistas e testadas antes de instaladas. C2 – Existem procedimentos padronizados para aquisição de softwares utilitários? Verifica se somente softwares que seguem padrões da empresa são adquiridos, revistos e testados antes da instalação. C3 – O cliente possui um sistema de banco de dados que mantém dados usados no processo contábil? Verifica se mudanças no software de banco de dados são revistas e testadas antes da instalação. C4 – O cliente tem um grupo de suporte técnico que efetua a manutenção do sistema operacional e outros softwares de sistema? Verifica se mudanças no software de sistema são revisadas e testadas antes da instalação. C5 – O grupo de suporte técnico mantém pessoas para treinar usuários sobre o uso pleno dos recursos de tecnologia da informação? Assegura que todos os usuários sejam agendados para treinamento e se este procedimento é repetido a cada upgrade dos recursos de tecnologia da informação. C6 – O grupo de suporte técnico possui equipe de help desk? Verifica se há controles para que: 7 Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá acessá-las periodicamente, independente do apoio do suporte técnico; frequentes. C7 – O cliente utiliza comunicação extensiva de dados que envolvam locais distantes e o uso de linhas de comunicação? Preocupa-se em assegurar controles para que: de senhas, rotinas de callback ou técnicas similares; antes da instalação; e o acesso seja restrito a pessoal do suporte técnico autorizado. Auditoria de sistemas aplicativos Os controles internos, processos e controles de negócios, conforme visto nesta aula e na aula 3, devem ser verificados, não só em sistemas novos (em desenvolvimento ou adquiridos), mas também nos sistemas em produção. Alguns pontos de controle são fundamentais e serão aplicados em todos os sistemas, como por exemplo, controle de acesso. Outros controles, específicos, serão identificados e aplicados conforme o sistema sob auditoria. O COBIT define sete critérios de informações que podemos adotar como sendo objetivo de uma auditoria de sistemas: efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiança. A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos controles internos e programados como ferramentas de auditoria. Podemos dividir as tarefas de avaliação sob dois enfoques: Verificação da estrutura dos sistemas e seus controles. Testes substantivos das transações executadas pelos sistemas. Veja um questionário detalhado sobre testes de controles para aquisição, desenvolvimento, documentação e manutenção de sistemas, nas páginas 96 a 101, capítulo 7, do material recebido por você. Veja um questionário detalhado sobre testes de controles de operação de computadores, nas páginas 127 a 132, capítulo 10, do material recebido por você. Veja um questionário detalhado sobre testes de controles de suporte técnico, nas páginas 135 a 138, capítulo 11, do material recebido por você. Veja um questionário específico para testes de controles do sistema de faturamento, nas páginas 145 a 148, capítulo 12, do material recebido por você. Nesta aula, você: Estudou auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção de sistemas. Foi introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK. Foi apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e de sistemas aplicativos. 8 Aula 8: Auditoria de sistemas: Mais Auditorias Direcionadas - Estácio de Sá Examinou alguns programas de auditoria direcionada. Na próxima aula, você estudará: Sobre como um auditor comunica seus pareceres sobre a auditoria, ou seja, os relatórios de auditoria.
Compartilhar