aula 04 FERRAMENTAS E ALGUMAS TÉCNICAS DE

Prévia do material em texto

- -1
AUDITORIA DE SISTEMAS
FERRAMENTAS E ALGUMAS TÉCNICAS DE 
AUDITORIA
- -2
Olá!
Nesta aula, você irá:
1. Conhecer algumas ferramentas de auditoria;
2. Aprender o que são hash total, header e trailler label;
3. Aprender como preparar programas especializados para auditoria;
4. Ser apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas).
1 Fases de uma auditoria de sistemas
Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação.
Quando estamos em auditorias de sistemas em desenvolvimento, nossa atenção é focada no que foi planejado em
termos de controles internos, processos e controles de negócios a serem implementados nos sistemas.
Já para sistemas em operação, além de vermos se tais pontos de controle foram implementados, devemos testá-
los. Saber quantos registros serão testados é algo a ser definido, considerando-se os pontos de controle.
Para tanto, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação:
1. Softwares generalistas;
2. Softwares especializados;
3. Softwares utilitários.
1.1 Softwares Generalistas
São constituídos de um conjunto de programas em ambiente batch (ambiente batch: processamento offline do
sistema, ou seja, o oposto do processamento real time, quando a base de dados é atualizada na hora em que a
transação online é inserida no sistema.), que pode processar várias funções de auditoria e simulação paralela
(técnica que veremos na próxima aula), no formato desejado. Normalmente são sistemas comprados prontos,
que carecem de personalização conforme necessidade dos auditores.
Como funções, podemos citar extração de dados de amostra, testes, geração de dados estatísticos para análise,
sumarização, gravação de arquivos auxiliares, detecção de duplicidades, sequência incorreta, totais inválidos
entre outras.
Vantagens
• O software pode processar vários arquivos ao mesmo tempo;•
- -3
• O software pode processar vários arquivos ao mesmo tempo;
• Pode processar vários tipos de arquivos, com formatos distintos;
• Pode fazer integração sistêmica com vários tipos de softwares e hardwares;
• O auditor não precisa ser especialista em informática para desenvolver aplicativos para testar seus 
dados.
Desvantagens
• As aplicações não podem ser feitas omine já que gravam diversos arquivos para serem analisados em 
separado;
• Não provê cálculos específicos para sistemas específicos (como cartão de crédito, por exemplo).
1.2 Softwares Especializados em Auditoria
São programas desenvolvidos pelos auditores (ou sob sua encomenda) a fim de testar particularidades de
sistemas auditados que possuem características incomuns como, por exemplo, sistema de leasing, crédito
imobiliário, câmbio, etc.
Vantagens
• Inclusão de testes de controles internos específicos tais como dígito verificador, controle de lote, 
personalizando o que se quer testar.
• Inclusão de (hash total: campos de controle colocados nos ou a fim hash total header* trailler labels**
de assegurar a integridade dos dados. Pode ser um algoritmo sem sentido funcional como, por exemplo, 
somar dia e mês de nascimento dos clientes atualizados na base de dados).
*header label: registro de controle. É o primeiro registro do arquivo, contendo dados de controle tais como
nome do arquivo, data de movimento, número de registros gravados, número de registros lidos, número de
registros com erro, versão do arquivo, etc.
**trailler label: registro de controle. É o último registro do arquivo e contem campos de controle tais como no 
header
Desvantagens
• Necessita que o auditor esteja familiarizado com o desenvolvimento de tecnologia da informação;
• Há custos de desenvolvimento de programas.
•
•
•
•
•
•
Saiba mais
Clique no link a seguir e veja alguns exemplos de softwares generalistas:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc01.pdf
•
•
•
•
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc01.pdf
- -4
1.3 Softwares Utilitários
São programas utilitários para funções básicas de processamento como somar determinados campos de um
arquivo, classificar o arquivo, listar determinados campos de registros de um arquivo. Normalmente os sistemas
operacionais ou os bancos de dados possuem um certo número desses programas que não são específicos de
auditoria, podendo (e sendo) utilizados para debug e testes de sistemas.
Vantagens
• São fáceis de serem aprendidos;
• São fáceis de serem utilizados.
Desvantagens
• Executam apenas funções padrões.
Nem todas as auditorias de sistemas requerem as mesmas técnicas. Tudo dependerá do escopo da auditoria (o
conjunto de controles internos, processos e controles de negócios) do sistema a ser auditado. Há técnicas que
quase sempre serão utilizadas e veremos algumas delas agora. Estas técnicas estão descritas em Auditoria de
, GIL, Antonio de Loureiro, Ed. Atlas, capítulo 3.Computadores
2 Programa de Computador para Auditoria
São programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos.
Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa
plataforma (microcomputadores).
Algumas funções que podem ser incluídas em programas para auditoria:
Tabulação de campos
• somatório de datas de vencimento de títulos, gerando hash total que deverá ser confrontado com o 
campo correspondente no header ou trailler label;
• somatório de campos quantitativos para efeito de confrontação ou acompanhamento de
• acumulados, inclusive controle de lote.
Contagem de campos/registros
• apuração de totais por tipo de registro ou campo.
Análise do conteúdo de campos/registros
• verificação da existência de campos ou registros em um arquivo;
• correlação entre campos de um arquivo para verificação da coerência e validade desses campos;
• cruzamento horizontal entre campos em um registro com vistas à integridade do registro.
Correlação de arquivos
• confronto de campos entre registros com vistas à garantia de ambos os arquivos.
Estatísticas dos campos dos arquivos
• apuração de média, desvio-padrão, moda e/ou outras medidas estatísticas em um universo de registros e
•
•
•
•
•
•
•
•
•
•
•
•
- -5
• apuração de média, desvio-padrão, moda e/ou outras medidas estatísticas em um universo de registros e
/ou campos de um arquivo para efetuarmos análises do comportamento desse universo.
Questionários para Auditoria
Para cada ponto de controle, deverá existir um questionário contendo perguntas relevantes ao ponto de controle
e espaço para o auditor assinalar se o sistema satisfaz ou não aquele ponto de controle, além de local para que
possam ser escritas observações e referências sobre papéis de trabalho. Para os quesitos que obtiverem resposta
negativa, o auditor deverá agir no sentido de solicitar acertos.
Reconheço que fazer questionários para todos os possíveis pontos de controle é um trabalho árduo, mas pensem
bem, só será feito uma vez! A Auditoria guardará os questionários em um banco de questionários e a cada
auditoria, ao selecionar os pontos de controle, recuperará os respectivos questionários para o trabalho de
campo.
Para auditorias em CPDs, podemos ter questionários voltados para pontos de controle cujas perguntas
guardarão características intrínsecas referentes à:
Segurança de rede de computadores
• Segurança física dos equipamentos computacionais;
• Segurança lógica e confidencialidade dos programas e informações que trafegam nos canais de 
comunicação.
Segurança do centro de computação
• Controle de acesso físico e lógico às instalações de processamento de dados;
• Segurança ambiental no tocante à infraestrutura de combate a incêndio, inundações, contra atentado e 
sabotagens, situações de greve, etc.
Eficiência no uso de recursos computacionais
• Tempo médio de resposta em terminal;
• Tempo de uso dos equipamentos a cada dia;
• Quantidade existente de rotinas catalogadas.
Eficácia desistemas aplicativos
• Quantidade de informações geradas pelo computador e consumidas pelos usuários;
• Prazo de atendimento de novos sistemas, aos usuários;
• Tempo médio de solução dos problemas dos usuários da rede de computação, provida pelo help-desk.
•
Saiba mais
Clique no link a seguir e saiba um pouco mais sobre Programa de Computador para Auditoria:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc02.pdf
•
•
•
•
•
•
•
•
•
•
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc02.pdf
- -6
A técnica de questionário é, normalmente, aplicada de forma casada a outras técnicas de auditoria, como
entrevistas e visita in loco. Eu, pessoalmente, não aprovo o envio de questionários para serem preenchidos à
distância, embora alguns autores mencionem sua validade. É importante verificar o comportamento do auditado
ao ser questionado sobre algum ponto de controle...
3 Visita in loco
É a presença do auditor na área do auditado (ou do CPD) para verificação dos pontos de controle.
Normalmente esta ferramenta é utilizada em conjunto com outras ferramentas, tais como entrevista
semiestruturada e questionários. A visita do auditor é importante para que sejam esclarecidos pontos nebulosos.
A visita deve ser marcada formalmente, com data e hora, com a pessoa responsável para responder às perguntas
do auditor e/ou fornecer o que lhe for pedido.
Nesta visita o auditor poderá obter dados, seja por observação, por teste, por documentação ou informação
solicitada. Fará anotações sobre as informações obtidas para posterior documentação em seus papéis de
trabalho. Caso seja encontrada uma fraqueza, o auditor informará verbalmente ao auditado na hora e,
posteriormente, por escrito.
Quando em realização de auditoria em CPD, a presença do auditor é fundamental para a constatação física da
existência de ativos computacionais da empresa, bem como seu estado de conservação e eficiência dos
procedimentos de uso, incluindo segurança física. Também são verificados:
• Inventário de volumes de arquivos magnéticos (discos, fitas, CDs) armazenados na fitoteca, com 
respectivo período de retenção anotado em cada volume;
• Inventário de suprimentos armazenados (fitas de impressora, cartuchos de impressora, formulários 
contínuos, formulários pré-impressos, etiquetas gomadas, etc);
• Utilização dos computadores com o objetivo de verificação de controle de acesso, uso de Ordem de 
Serviço, arquivos magnéticos, schedule de produção, distribuição de relatórios;
• Acompanhamento das rotinas de back-up e atualização da biblioteca externa.
Saiba mais
Clique no link a seguir e veja um exemplo de questionário:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc03.pdf
•
•
•
•
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc03.pdf
- -7
4 Entrevista
As entrevistas podem ser pessoais, por telefone ou vídeo conferência. Seja lá de que meio for, deverá ser feito
previamente um roteiro do que se pretende abordar na mesma, preferencialmente classificado por ponto de
controle. Este roteiro servirá como guia para o auditor.
A entrevista visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está
auditando, portanto, flexibilidade é sempre bem-vinda!
As entrevistas de campo podem ser de dois tipos:
Estruturada Aquela que utiliza formulários na coleta de dados.
N ã o
estruturada
Aquela que não utiliza formulários na coleta de dados.
A entrevista deve seguir uma sequência lógica, orientada pelo fluxo de eventos do processo. Esta estrutura é
particularmente útil nas situações em que o auditor tem conhecimento limitado do processo a ser auditado ou
quando não há procedimento documentado para esse processo.
Fique ligado
Clique no link a seguir e saiba mais sobre entrevista:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc04.pdf
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc04.pdf
- -8
O que vem na próxima aula
Na próxima aula, você estudará sobre o seguinte assunto:
• Mais técnicas de auditoria.
CONCLUSÃO
Nesta aula, você:
• Conheceu algumas ferramentas de auditoria;
• Aprendeu o que são hash total, header e trailler label;
• Aprendeu como preparar programas especializados para auditoria;
• Foi apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas).
Referências
Auditoria de Sistemas de Informação, IMONIANA, Joshua Onome, Editora Atlas, Capítulo 5.
Auditoria de Computadores, GIL, Antonio de Loureiro, Ed. Atlas, Capítulo 3.
Saiba mais
Para saber mais sobre os tópicos estudados nesta aula, pesquise na internet sites, vídeos e
artigos relacionados ao conteúdo visto. Se ainda tiver alguma dúvida, fale com seu professor
online utilizando os recursos disponíveis no ambiente de aprendizagem.
Leia o artigo Técnicas de entrevista do TCU (Tribunal de Contas da União), postado na
biblioteca do curso.
Nele vocês poderão aprimorar o conhecimento sobre entrevistas de auditoria e como elaborar
questionários (de pesquisa) de uma forma mais completa.
•
•
•
•
•
	Olá!
	1 Fases de uma auditoria de sistemas
	1.1 Softwares Generalistas
	1.2 Softwares Especializados em Auditoria
	1.3 Softwares Utilitários
	2 Programa de Computador para Auditoria
	3 Visita in loco
	4 Entrevista
	O que vem na próxima aula
	CONCLUSÃO
	Referências