Auditoria de sistemas 5

Prévia do material em texto

- -1
AUDITORIA DE SISTEMAS
MAIS TÉCNICAS DE AUDITORIA
- -2
Olá!
Nesta aula, você irá:
1. Conhecer novas técnicas de teste de auditoria;
2. Aprender como fazer uma simulação paralela;
3. Ser apresentado à lógica de auditoria embutida nos sistemas;
4. Aprender como fazer rastreamento e mapeamento;
5. Conhecer a técnica de análise de log/accounting;
6. Compreender a importância da análise do programa fonte.
1 Mais Técnicas de Auditoria
Uma técnica sempre presente nas auditorias se refere ao teste do sistema auditado. Inicialmente cabe fazer a
distinção entre teste de observância e teste substantivo.
1.1 Teste de observância
Os testes de observância são aqueles empregados pelo auditor, a fim de determinar se os procedimentos
internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. Destinam-se em um
primeiro momento a constatar a credibilidade dos procedimentos de controle da empresa, e não
necessariamente os registros corretos das operações. O objetivo do teste de observância é proporcionar razoável
segurança de que os procedimentos de controle interno estão sendo executados na forma determinada pela
organização. Esta observação é essencial para o auditor, uma vez que é através dos testes de observância que ele
pode vir a depositar maior ou menor confiança no sistema de controles internos aplicados. Os testes de
observância são largamente aplicados em auditorias operacionais, onde a preocupação central do auditor é
verificar se os colaboradores da organização respeitam as normas internas preestabelecidas: padrões,
metodologias, políticas, etc. A aplicação destes testes requer muita atenção e acuidade do auditor, e
normalmente são aplicados sem que os envolvidos no processo auditado percebam, pois caso isto fosse notado,
certamente fariam o correto, pelo menos na frente do auditor.
- -3
1.2 Teste substantivos
Este tipo de teste é empregado pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as
transações, que lhe proporcionem fundamentação para a sua opinião sobre determinados fatos.
Como objetivos fundamentais dos testes substantivos, destacam-se as seguintes constatações:
• Existência real: que as transações comunicadas/registradas realmente tenham ocorrido; 
• Integridade: que não existam transações além daquelas registradas/demonstradas e que as 
informações permaneçam inalteradas nos registros desde a sua gravação;
• Parte interessada: que os interessados naquele registro/comunicação tenham obtido as informações 
na sua totalidade;
• Avaliação e aferição: que os itens que compõem determinada transação/registro tenham sido 
avaliados e aferidos corretamente;
• Divulgação: que as/os transações/registros tenham sido corretamente divulgadas/divulgados. 
Os testes substantivos são imprescindíveis em trabalhos de auditoria, uma vez que é através da aplicação correta
destes que o auditor obtém evidências sobre os saldos e/ou transações apresentadas pela empresa.
Este tipo de teste é de fundamental importância na complementação dos testes de observância, considerando
que são através dos testes substantivos que o auditor tem condições de constatar sobre a fidedignidade das
transações e registros.
Veremos agora mais algumas técnicas de auditoria.
2 Dados de Teste
Esta técnica, também conhecida como test data ou test deck, é aplicada em ambiente batch. O auditor prepara
um conjunto de dados com o objetivo de testar os controles programados e os controles do sistema aplicativo
para rotinas sistêmicas ou manuais.
Esta massa de dados deve contemplar um determinado número de transações, com dias (úteis) de
processamento suficiente para que o resultado seja conclusivo. Após executar o sistema auditado com esta
massa de dados, o auditor irá comparar o resultado com aquele predeterminado (elaborado na confecção da
massa de dados de teste).
Para a efetividade do teste, esta massa de dados deve conter várias possibilidades de simulações do
processamento real, cobrindo os controles internos que a auditoria pretende verificar.
•
•
•
•
•
- -4
Os dados simulados de teste devem prever situações corretas e incorretas de natureza:
• Transações com campos incorretos;
• Transações com valores ou quantidades nos limites de tabelas de cálculos;
• Transações incompletas;
• Transações incompatíveis;
• Transações em duplicidade.
Um teste que eu costumava fazer em relação a campos de controle numérico era testar o campo todo zerado. Se
o algoritmo de cálculo do dígito verificador for o módulo 10 ou 11, o campo todo zerado passará como válido,
embora não o seja. Vale a pena este teste...
A mecânica de aplicação do test deck implica nas etapas:
1. Compreensão do módulo do sistema a ser avaliado, identificação de programas e arquivos;
2. Simulação dos dados de teste pertinentes, com foco nos pontos de controle que se quer testar;
3. Elaboração de formulários de controle do teste, o que significa apurar resultados esperados e pré-calculados
para a confrontação com os resultados alcançados no teste e gravados em arquivos;
4.Transcrição dos dados de teste para um meio aceito pelo computador (uma opção do auditor é copiar partes
do arquivo real de entrada no programa e fazer, via programa de computador, as alterações desejadas para
alimentação da simulação de dados necessária);
5. Preparação do ambiente necessário para a execução do teste;
 6. Processamento dos dados de teste com a utilização do programa real que contém as rotinas do sistema sob
auditoria a serem validadas;
7.Avaliação dos resultados do teste via análise de listagens obtidas a partir do arquivo magnético gerado;
8.Emissão de opinião sobre o ponto de controle testado com a elaboração da devida documentação, ou seja,
papéis de trabalho referentes à simulação de dados realizada.
•
•
•
•
•
- -5
3 Facilidade de Teste Integrado
Esta técnica, conhecida também por (ITF), somente pode ser processada com maiorIntegrated Test Facility
eficiência em ambiente on-line e real time. Os dados de teste são integrados aos ambientes reais de
processamento, utilizando-se de versões atuais da produção.
A execução da técnica envolve aplicação de entidades fictícias (tais como funcionários fantasmas na folha de
pagamento ou clientes inexistentes em saldos bancários). Confrontamos os dados no processamento de
transações reais com esses dados e os resultados são comparados com aqueles predeterminados.
Esta facilidade evita que se atualizem as bases reais da organização com os dados fictícios, mas criam-se
arquivos de resultado em separado.
Este procedimento é utilizado em ambiente de produção normal, sem o consentimento dos operadores de
computador.
4 Simulação Paralela
Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do
sistema sob auditoria, com foco nos pontos de controle a serem verificados.
Esta técnica utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do
programa de computador para auditoria, simulado e elaborado pelo auditor.
Enquanto no test deck simulamos dados e os submetemos ao programa de computador que, normalmente, é
processado na produção, na simulação paralela simulamos o programa e o processamos com a massa real.
A estrutura de aplicação desta técnica corresponde a:
1
Levantamento e identificação via documentação do sistema, da rotina a ser auditada e
respectivos arquivos de dados;
2
Elaboração de programa de computador com a lógica da rotina a ser auditada. Compilação
e teste deste programa que irá simular em paralelo a lógica do programa de computador
sob auditoria;
3
Preparação do ambiente de computação para o processamento do programa de
computador elaborado pelo auditor.
- -6
5 Lógica de Auditoria Embutida nos Sistemas
Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
Periodicamente os relatórios de auditoria são emitidos para a revisão e o acompanhamento dos procedimentosoperacionais.
Nesta técnica poderiam ser incluídas as rotinas para gravação de arquivos logs (arquivo log: arquivo com dados
históricos), principalmente no que se refere a acesso de sistema e arquivos. Cabe alertar para o fato de que
devem ser incluídas as rotinas realmente necessárias, pois como estas farão parte dos procedimentos rotineiros
do sistema, poderíamos ter um aumento de ineficiência do mesmo.
Relatórios de exceção também podem ser incluídos nesta categoria. Por exemplo, em um sistema de cartão de
crédito, como um dos controles de negócio, teríamos o desvio no comportamento do cliente. O sistema faria um
monitoramento de como o cliente, possuidor do cartão, costuma comprar: em que cidades, que valores médios
de compra, quantas compras por semana, mês. Sempre que houvesse um desvio neste sentido, o sistema geraria
uma entrada no relatório de exceção que seria imediatamente direcionado ao responsável pela área de
segurança do negócio. Este, analisando o fato, entraria ou não em contato com o cliente para apuração de fatos,
podendo mesmo bloquear o cartão na hora e solicitar envio de um novo cartão ao cliente.
6 Mapeamento Estatístico dos Programas de Computador 
(Mapping)
Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento
de programas, flagrando situações tais como:
• Rotinas não utilizadas;
• Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma 
quantidade de dados.
A análise dos relatórios emitidos pela aplicação do mapeamento estatístico permite a constatação de situações:
• Rotinas existentes em programas já desativados ou de uso esporádico;
• Rotinas mais utilizadas, normalmente a cada processamento do programa;
• Rotinas fraudulentas e de uso em situações irregulares;
• Rotinas de controle acionadas a cada processamento.
Para a utilização do mapping, há a necessidade de ser processado um software de apoio em conjugação com o
processamento do sistema aplicativo, ou rotinas específicas deverão ser embutidas no sistema operacional
utilizado.
Há a necessidade de inclusão de instruções especiais junto aos programas em processamento na produção. Além
de um custo possivelmente alto, esta técnica pode degradar o desempenho do sistema.
•
•
•
•
•
•
- -7
Esta técnica pode ser utilizada tanto em ambiente de teste como de produção, a exemplo da técnica de
rastreamento, que veremos a seguir.
7 Rastreamento dos Programas de Computador
Técnica que possibilita seguir o caminho de uma transação durante o processamento do programa.
Durante a aplicação da técnica, a sequência de instruções executadas é listada. Desta forma, obtemos os
endereços das instruções conforme sua ordem de execução. Ao testar determinada transação, podemos
acompanhar sua lógica de instruções e identificar inadequações e ineficiências.
Esta abordagem viabiliza a identificação de rotinas fraudulentas pela alimentação de transações particulares. Por
exemplo: ao processar um sistema de Folha de Pagamento, podemos acionar a condição de tracing para
matrículas pertencentes ao departamento X, marcando esses registros para rastreamento das instruções (saber
se não há algum processamento peculiar para determinada situação obscura).
Esta técnica implica na análise visual do código fonte (linguagem em que o usuário ou o programador escreveu o
programa), buscando a verificação da lógica dos programas, normalmente feita de uma forma manual, a fim de
verificar que as instruções dos programas são as mesmas já identificadas na documentação do sistema
aplicativo. Com certeza, para aplicação desta técnica, o auditor deve ser um conhecedor de programação de
computador.
Esta técnica possibilita a verificação da efetividade dos controles programados. Além disso, ela também permite
que o auditor:
• Verifique se o programador cumpriu normas de padronização de código de rotinas, arquivos, 
programas, relatórios;
• Analise a qualidade da estrutura do programa;
•
•
- -8
programas, relatórios;
• Analise a qualidade da estrutura do programa;
• Detecte vícios de programação e o nível de atendimento às características da linguagem de programação 
utilizada.
O auditor de sistemas necessita assegurar-se que está testando a versão correta do programa que "rodou" ou
"roda" em produção. Atém de comparar o label do programa fonte gravado na biblioteca fonte com o label do
programa objeto gravado na biblioteca objeto de produção, o auditor pode, para maior certeza de que verifica as
instruções que efetivamente compõem o programa em linguagem de máquina, executar os seguintes
procedimentos:
1. Preencher uma ordem de serviço determinando à produção que compile o módulo fonte que se encontra na
biblioteca fonte;
2. Executar um programa (software específico) que compare o código objeto gerado em a, com o código objeto do
programa que se encontra gravado na biblioteca objeto, de produção;
3. Efetuar verificações em eventuais divergências que ocorram em b.
8 Análise do Log/accounting
O é um arquivo, gerado por uma rotina do sistema operacional, que contém registros deLog/accounting 
utilização do hardware e do software que compõem um ambiente computacional.
•
•
- -9
A tabulação deste arquivo permite a verificação da intensidade de uso dos dispositivosLog/accounting 
componentes de uma configuração ou rede de computadores, bem como o uso do software aplicativo e de apoio
vigente.
Tanto a rotina quanto o correspondente arquivo de foram desenvolvidos para serem utilizados Log/accounting 
pelo pessoal de computação. Também representam excelente fonte para a auditoria de sistemas, mormente em
situações dúbias que poderiam ser originadas de fraudes.
Saiba mais
Clique no link a seguir e saiba mais sobre Log/accounting.
http://estaciodocente.webaula.com.br/cursos/gra097/docs/05AS_doc01.pdf
Saiba mais
Verifique na biblioteca virtual do curso exemplo da matriz de Ponto de Controle com as
respectivas técnicas sugeridas. (São dois arquivos.)
- -10
O que vem na próxima aula
Na próxima aula, você estudará sobre o seguinte assunto:
• Políticas organizacionais e estrutura administrativa em tecnologia da informação.
CONCLUSÃO
Nesta aula, você:
• Conheceu novas técnicas de teste de auditoria;
• Aprendeu como fazer uma simulação paralela;
• Foi apresentado à lógica de auditoria embutida nos sistemas;
• Aprendeu como fazer rastreamento e mapeamento;
• Conheceu a técnica de análise de ;log/accounting
• Compreendeu a importância da análise do programa fonte.
•
•
•
•
•
•
•