Aula 8

Prévia do material em texto

Aula 8 – Mais auditorias direcionadas 
 
Auditoria de aquisição, desenvolvimento, manutenção e documentação de sistemas 
 
Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um 
determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos 
envolvidos e ao custo-benefício de ambas as alternativas. 
 
Em qualquer das opções (desenvolvimento em casa ou aquisição), há que se fazer um estudo preliminar 
 para o sistema em questão, considerando a viabilidade econômica, operacional e técnica. 
 
Cabe lembrar que aquisição de software pode abranger um sistema/programa novo (com ou sem 
modificações de customização) ou alterações em algum software já existente na empresa. 
 
Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management 
Institute), em seu capítulo 12, dedicado à gerência de aquisições, os grandes grupos de processos a serem 
seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da 
empresa são: 
 
1. Planejamento das aquisições – Define o que adquirir e quando fazê-lo. Definimos as declarações de 
trabalho (declaração de trabalho = descreve a aquisição a ser feita detalhadamente o suficiente para que os 
fornecedores em potencial possam avaliar se são capazes ou não de fornecer o produto ou serviço) 
2. Planejamento das solicitações – Documenta os requisitos dos produtos ou bens e identifica fontes 
potenciais. 
3. Solicitação – Obtém a cotação, ofertas, propostas. 
4. Seleção da fonte – Escolhe a melhor proposta. 
5. Administração do contrato – Gerencia e relaciona-se com o fornecedor. 
6. Fechamento do contrato – Finaliza o contrato, incluindo itens abertos. 
 
Considerando esses processos, o auditor deverá verificar se todos os passos foram seguidos e estão 
documentados. 
 
08AS_doc01.pdf 
 
Objetivos de auditoria 
 
As seguintes questões referentes aos objetivos de auditoria dos controles e processos de aquisição, 
desenvolvimento, manutenção e documentação de sistema aplicativos devem ser respondidas: 
- Há procedimentos de formalização da real necessidade para um novo sistema? 
- Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento 
interno? 
- As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise 
de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa? 
- A especificação de requisitos é feitas de forma cuidadosa, confrontando os conhecimentos dos usuários 
com os dos analistas de sistema, visando eliminar gaps semânticos? 
- Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os 
usuários? 
- O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os 
sistemas já existentes? 
- Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem? 
- As manutenções são feitas sem interrupção das operações normais da empresa? 
- A documentação é consistente e disponível para orientar os usuários? 
 
 
 
Programa de teste de controles 
 
Nas páginas 96 a 101, capítulo 7, do material recebido por vocês, há um questionário para testes de 
controles onde encontram-se controles que devem ser observados pelo auditor e que requerem as respostas 
“sim”, “não” ou “não aplicável”. 
 
Listarei, abaixo, os controles, em níveis mais gerais. Não deixem de verificar o programa em detalhes no 
livro! 
 
Especificação do sistema 
 
Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de 
escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes? 
 
Se sim, descreva os controles existentes para assegurar que: 
- Os usuários dos sistemas estejam envolvidos. 
- O gerente do projeto seja identificado. 
- As reuniões com usuários são documentadas, incluindo as deliberações. 
- Dados de entrada e o meio de entrada desses dados no sistema sejam identificados. 
- Formato, o meio e a distribuição dos relatórios sejam especificados. 
- Passos, lógica de processamento e fórmulas utilizadas, quando for o caso, sejam identificados. 
- Ambientes de software e hardware apropriados sejam especificados. 
- Requisitos de segurança de informação sejam adequadamente considerados. 
- Controles internos embutidos no sistema e do usuário sejam incorporados ao desenho do sistema. Esses 
controles podem incluir totais de lote, edição de entrada, campos com dígito verificador, rotinas de 
verificação e relatórios de controle. 
 
Aquisição de Sistemas 
 
Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? 
 
 
 
Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção, especificação ou 
modificação de sistemas? 
 
Há rotinas e procedimentos estabelecidos para determinar prioridades para os projetos de desenvolvimento e 
manutenção de sistemas? 
 
Há rotinas e procedimentos estabelecidos para rever as especificações dos projetos por pessoal apropriado de 
processamento de dados, fora da área de desenvolvimento e manutenção de sistemas (por exemplo: 
operação, segurança e suporte)? 
 
Programação 
 
A empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente? 
Se sim, descreva os controles existentes para assegurar que: 
- os programas sejam desenvolvidos de maneira consistente e de acordo com os padrões de programação ou 
outras orientações usadas pela empresa. 
- a codificação de programas novos ou alterados esteja sujeita à revisão pelos supervisores de programação. 
- sistemas novos ou modificados não sejam colocados em operação antes de estarem autorizados e 
aprovados para implantação. 
 
Teste 
 
Há rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças 
significativas? 
 
Se sim, descreva os controles existentes para assegurar que os testes incluam alguns ou todos os itens a 
seguir, de acordo com as circunstâncias: 
- Testes da lógica dos programas. 
- Testes dos procedimentos de entrada de dados do usuário. 
- Testes das interfaces com outros sistemas. 
- Testes paralelos com o sistema existente a ser substituído. 
- Testes de regressão (teste de regressão = ao fazermos alguma modificação nos requisitos de um sistema e 
alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças 
não afetaram o que já estava funcionado a contento). 
- Testes de controles e características de segurança. 
- Existência de plano de teste, incluindo os casos de teste. 
- Evidências de testes unitários, de sistema e de integração. 
- Evidências de participação do usuário na definição e testes do projeto. 
 
Documentação 
 
A empresa mantém documentação para a totalidade dos sistemas contábeis significativos, que atenda às 
necessidades do usuário e do pessoal de processamento de dados? 
 
Se sim, descreva os controles existentes para assegurar que: 
 
A documentação seja atualizada e reflita exatamente o sistema em operação. 
A documentação seja suficientemente detalhada para suportar futuras mudanças no sistema. 
As instruções do usuário e do operador sejam suficientemente detalhadas para possibilitar o correto uso e 
operação do sistema. 
A documentação sigilosa seja guardada em área fisicamente segura. 
 
Manutenção 
 
A empresa executa projetos de manutenção em sistemas aplicativos internamente? 
 
Se sim, descreva os controles existentes para assegurar que:- Solicitações de manutenção de programas sejam documentadas e autorizadas pelo usuário e pela gerencia 
de projetos. 
- A manutenção de programas esteja sujeita aos padrões de programação aplicáveis. 
- A manutenção seja executada por pessoal apropriado. 
- Os usuários revisem os resultados dos testes e dêem seu “aceite” aos mesmos, antes de serem 
implementados na produção. 
- A documentação seja apropriadamente atualizada para refletir a alteração do sistema. 
 
 
 
 
Auditoria de operação de sistemas 
 
A operação do computador envolve as funções de acionar o Inicial Program Loader (IPL) e os programas 
que ligam e desligam os computadores. 
O auditor necessita conhecer todas as operações e serviços disponibilizados pelos centros de processamento 
de dados e documentar os controles organizacionais. São as seguintes as operações mais comuns: 
 
- Planejamento, controle e monitoração das operações. 
- Planejamento da capacidade. 
- Monitoramento de todos os sistemas e as redes. 
- Inicialização do sistema e do desligamento. 
- Gravação (logging), rastreamento (tracking) dos problemas e monitoramento do tempo de resposta. 
- Gerenciamento de mudanças estruturais e pessoais. 
- Gestão das unidades, dos periféricos e equipamentos remotos. 
- Gerenciamento de bibliotecas. 
- Programação dos serviços (job scheduling) e acompanhamento das operações. 
- Automação da produção. 
- Backup dos sistemas, programas, dados e banco de dados. 
- Gerenciamento do help desk. 
- Coordenação e programação de upgrades dos equipamentos; 
- Gestão de restart/recovery. 
 
Além de garantir que todos os passos envolvidos na criação de dados, que as lógicas envolvidas no 
processamento das tarefas e os procedimentos mínimos de emissão de relatórios sejam obedecidos, é 
objetivo da auditoria de controle de operações de computador levantar a existência de controles que 
assegurem que as operações das transações executadas na empresa sejam fidedignas. 
 
Esperam-se encontrar procedimentos para assegurar que os jobs (serviços) sejam programados (para 
execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e 
forma controlada e tendo os meios de arquivos de dados devidamente protegidos. Falhas frequentes do 
sistema, erros significativos de processamento, atrasos e perdas de dados podem indicar a existência de 
deficiências no controle de operações. 
 
“Programa de teste de controles para a operação de sistemas” 
 
08AS_doc02.pdf 
 
Auditoria de suporte técnico 
 
A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com 
responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua 
utilização nas empresas. 
 
As funções de suporte técnico dividem-se em dois grandes grupos: 
 
Funções rotineiras 
 
- Gerenciamento de help desk. 
- Socorro aos problemas de instalação de redes. 
- Monitoramento da ocorrência de problemas. 
- Treinamento de usuários dos softwares. 
- Revisão preventiva de equipamentos. 
- Substituição dos equipamentos antigos. 
- Segurança de informação quando não há administrador de segurança de informação 
 
Funções esporádicas 
 
- Dimensionamento de banco de dados. 
- Instalação de softwares utilitários. 
- Manutenção dos sistemas operacionais. 
- Instalação de upgrades. 
- Avaliação de software para fins de compra. 
- Padronização dos recursos de tecnologia da informação. 
- Ativação de redes (estações etc). 
 
Saiba mais sobre suporte técnico 
08AS_doc03.pdf 
 
Auditoria de sistemas aplicativos 
 
Os controles internos, processos e controles de negócios, conforme visto nesta aula e na aula 3, devem ser 
verificados, não só em sistemas novos (em desenvolvimento ou adquiridos), mas também nos sistemas em 
produção. Alguns pontos de controle são fundamentais e serão aplicados em todos os sistemas, como por 
exemplo, controle de acesso. Outros controles, específicos, serão identificados e aplicados conforme o 
sistema sob auditoria. 
 
O COBIT define sete critérios de informações que podemos adotar como sendo objetivo de uma auditoria de 
sistemas: efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiança. 
 
A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste 
dos controles internos e programados como ferramentas de auditoria. Podemos dividir as tarefas de 
avaliação sob dois enfoques: 
 
Verificação da estrutura dos sistemas e seus controles. 
Testes substantivos das transações executadas pelos sistemas. 
 
Saiba mais sobre auditoria de sistemas aplicativos 
08AS_doc04.pdf 
 
 
 
 
 Veja um questionário detalhado sobre testes de controles para aquisição, desenvolvimento, documentação 
e manutenção de sistemas, nas páginas 96 a 101, capítulo 7, do material recebido por você. 
 Veja um questionário detalhado sobre testes de controles de operação de computadores, nas páginas 127 a 
132, capítulo 10, do material recebido por você. 
 Veja um questionário detalhado sobre testes de controles de suporte técnico, nas páginas 135 a 138, 
capítulo 11, do material recebido por você. 
 Veja um questionário específico para testes de controles do sistema de faturamento, nas páginas 145 a 148, 
capítulo 12, do material recebido por você.