Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
2009
1
Faculdade de Tecnologia de So Bernardo
INTRODUO
Presidncia
Executiva
Auditoria de
Sistemas
Defasagem tecnolgica
Falta de bons profissionais
Falta de cultura da empresa
Tecnologia variada e abrangente
Compreenso do ambiente
Anlise do ambiente e determinao das situaes mais sensveis
Elaborao de uma massa de testes
Aplicao da massa de testes
Anlise das simulaes
Emisso da opinio quanto ao ambiente auditado
Debate com os profissionais da rea auditada para discusso das alternativas recomendadas
Acompanhamento da implantao da soluo proposta
Auditoria da soluo implantada
Novas auditorias no ambiente
3
Faculdade de Tecnologia de So Bernardo
1. Conceitos
Ponto de Controle: Situao do ambiente computacional considerada pelo auditor como sendo de
interesse para validao e avaliao.
Para confidencialidade:
Rotina de criptografia de informaes sigilosas.
4
Faculdade de Tecnologia de So Bernardo
Planejamento
1 Passo: Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do ambiente
computacional (fluxo de processamento, recursos humanos e materiais envolvidos, arquivos
processados, relatrios e telas produzidos).
Avaliar para cada ponto de controle o grau de risco apresentado para posterior hierarquizao:
Grau de Risco
1 Muito Fraco
2 Fraco
3 Regular
4 Forte
5 Muito forte
Definio da Equipe
Documentao do trabalho
Tem por objetivo explicitar as economias financeiras a serem feitas com a adoo das
recomendaes efetuadas. Serve de base para a realizao das anlises de retorno de
investimento e do custo/beneficio da auditoria de auditoria de sistemas.
TCNICAS DE AUDITORIA
Programas de computador
Questionrios
Simulao de dados
Visita in loco
Mapeamento estatstico
Rastreamento de programas
Entrevista
Anlise de relatrios / telas
Simulao paralela
Anlise de log / accounting
Anlise do programa fonte
Exibio parcial da memria snap shot
1. Programas de computador
Passos
8
Faculdade de Tecnologia de So Bernardo
- Entrevista com o analista / usurio
- Identificao do cdigo / layout do arquivo
- Elaborao do programa para auditoria
- Cpia do arquivo a ser auditado
- Aplicao do programa de auditoria
- Anlise dos resultados
- Emisso de relatrios
- Documentao
2. Questionrios distncia
Verifica a adequao do ponto de controle aos parmetros de controle interno (segurana fsica,
lgica, eficcia, eficincia, etc).
Analisa:
Passos:
9
Faculdade de Tecnologia de So Bernardo
Passos:
4. Visita in loco
Passos:
- Rotinas no utilizadas
- Quantidade de vezes que cada rotina foi utilizada
- Rotinas existentes em programas mas j desativadas
- Rotinas mais utilizadas
- Rotinas fraudulentas ou irregulares
- Rotinas de controle
6. Rastreamento de programas
10
Faculdade de Tecnologia de So Bernardo
Passos
Passos:
Permite detectar:
9. Simulao paralela
Passos
Permite verificar:
Passos:
Consiste na anlise visual do programa e na comparao da verso do objeto que est sendo
executado com o objeto resultante da ltima verso do programa fonte compilado.
Permite verificar.
12
Faculdade de Tecnologia de So Bernardo
- Se o programador cumpriu as normas de padronizao do cdigo (tabelas de rotinas,
arquivos, programas).
- Qualidade de estruturao do programa fonte
12. Snapshot
Tcnica que fornece uma listagem ou gravao do contedo do programa (acumuladores, chaves,
reas de armazenamento), quando determinado registro est sendo processado (dump parcial de
memria).
Necessita confeco de um software especfico.
Envolve o uso de software aplicativo em ambiente batch, que pode processar, alm de
simulao paralela, uma variedade de funes de auditoria e nos formatos que o auditor
desejar.
Exemplos
ACL (Audit Command Language) : um software de extrao e anlise de dados
desenvolvido no Canad;
IDEA (Interactiva Data Extraction & Analysis) software para extrao e anlise de dados
tambm desenvolvido no Canad
Audimation: a verso norte-americana do IDEA, da Caseware-IDEA, que desenvolve
consultoria e d suporte para o produto
Galileo: software integrado de gesto de auditoria. Inclui gesto de riscos de auditoria,
documentao e emisso de relatrios para auditoria interna;
Pentana: software de planejamento estratgico da auditoria, sistema de planejamento e
monitoramento de recursos, controle de horas, registro de checklists e programas de
auditoria, inclusive de desenho e gerenciamento de plano de ao.
Vantagens:
Pode processar vrios arquivos ao mesmo tempo
Pode processar vrios tipos de arquivos com formatos diferentes, por exemplo EBCDIC
ou ASCII
Poderia tambm fazer uma integrao sistmica com vrios tipos de softwares e
hardwares
13
Faculdade de Tecnologia de So Bernardo
Reduz a dependncia do auditor do especialista de informtica para desenvolver
aplicativos especficos para todos os auditores de sistemas de informao
Desvantagens:
Como o processamento das aplicaes envolve gravao de dados (arquivos) em separado
para serem analisados, poucas aplicaes podem ser feitas em ambiente on-line
O software no consegue processar clculos complexos, pois como se trata de um sistema
generalista, no aprofunda na lgica e na matemtica muito complexas
Vantagens:
Pode atender sistemas ou transaes no contempladas por softwares generalistas
O auditor, quando consegue desenvolver softwares especficos numa rea muito
complexa, pode utilizar isso como vantagem competitiva
Desvantagens:
Pode ser muito caro, pois ter uso limitado e normalmente restrito a determinado cliente
Atualizao pode ser complicada devido a falta de recursos que acompanhem as novas
tecnologias.
3.Programas utilitrios
Vantagem:
Pode ser utilizado como alternativa na ausncia de outros recuros
Desvantagem:
Sempre necessitar do auxlio do funcionrio da empresa auditada para operar a
ferramenta (no caso de ferramentas complexas, como bancos de dados).
14
Faculdade de Tecnologia de So Bernardo
Parmetros avaliados:
15
Faculdade de Tecnologia de So Bernardo
Anlise de Cadastro
Parmetros avaliados:
O DFD:
Os pontos de controle podem ser definidos em quaisquer um dos nveis, sendo mais aconselhvel
coloc-los no nvel mais baixo, para maior facilidade de entendimento.
Pontos de Controle:
1) Avisos de dbito e crdito que fluem entre a matriz e o ambiente externo / sistema de carteiras
(nivel 1 ou mais detalhado no nvel 2).
2) Avisos de D/C que fluem entre a rea de operao do computador da matriz (processo 2.3) e o
sistema de carteiras.
3) Subsistema de C/C on-line sendo processado na matriz (processo 2.3) e no Caixa/terminal on-
line da agncia (processo 1.3).
16
Faculdade de Tecnologia de So Bernardo
Exige fortes conhecimentos de anlise de sistemas por parte do auditor.
necessrio que o auditor tenha atuado na auditoria de sistemas em operao antes
de atuar na auditoria de sistemas em desenvolvimento.
Inicializao do projeto
Estudo de viabilidade
Anlise da situao atual
Projeto lgico
Projeto fsico
Desenvolvimento e testes
Implantao
Administrao
Manuteno
O ciclo de vida do sistema pode ser extremamente longo ou extremamente curto. A auditoria de
sistemas ajuda a definir este perodo. Sistemas de microcomputadores costumam ter ciclo de vida
muito curto.
Mudanas no
ambiente
empresarial
Ciclo de Ciclo de
Plano Diretor de Desenvolvi Operao
Informtica -mento
Relatrios de
Auditoria do
Sistema em
Operao
17
Relatrios de Relatrios de
Auditoria Auditoria
Faculdade de Tecnologia de So Bernardo
Lder de Projeto
Analista de Sistemas
Programador de Computador
Administrador de dados
Analista de Bancos de Dados
Analista de Software Bsico
Analista de Teleprocessamento
Analista de Segurana
Analista de Qualidade
Profissional do Centro de Informaes
Processos:
Resultados:
Documentao
Relatrios
Estrutura lgica
Estrutura fsica
Modelo de dados
Projeto de arquivos
18
Faculdade de Tecnologia de So Bernardo
Layouts de telas
Definio de programas
Deve abranger:
Instalaes
Profissionais que executam tarefas comuns a todos os aplicativos
19
Faculdade de Tecnologia de So Bernardo
Contratos de hardware e software
Equipamentos
Software bsico e de apoio
Redes de comunicao, para integrao local e remota
Procedimentos administrativos, tcnicos e gerenciais
Plano de integrao de tecnologia
Utiliza a tcnica de anlise de log / accounting, podendo tambm ser utilizadas as tcnicas de
entrevista e questionrios.
Utiliza indicadores que permitem:
Estabelecer critrios para treinamento de profissionais e usurios
Montar um PDI possvel de ser cumprido
Manter um oramento de hardware, software e pessoal equilibrado
Conduzir a inovao tecnolgica do ambiente
Estabelecer critrios de depreciao de equipamentos
Desclassificar fornecedores no idneos
Identificar a causa de mau uso de hardware e software
Exemplos:
21
Faculdade de Tecnologia de So Bernardo
Problemtica de relacionamento usurios X CPD :fila de espera para desenvolvimento de
novas aplicaes, alto custo de desenvolvimento de pequenos projetos, custo de hardware
baixo X custo de software alto, etc.
Objetivo do Centro de informaes: acesso s informaes em tempo curto, prover
ferramentas ao usurio, reduzir a carga de sistemas processados no mainframe, treinamento
de usurios, suporte ao desenvolvimento de aplicativos para microcomputadores, apoio
escolha de software para microcomputadores, orientao na utilizao dos micros na empresa.
Objetivo da auditoria:
Envio de questionrios aos usurios para levantamento de dados de seu micro (hardware,
software, interfaces, procedimentos de segurana, backup, etc)
Recebimento de respostas para levantamento de usurios que meream uma auditoria mais
detalhada para detalhamento.
O Banco de Dados deve conter as informaes a serem tratadas pelos sistemas aplicativos da
organizao, com os conceitos de unicidade do dado.
Aspectos importantes:
Existncia do administrador de dados
Existncia de um dicionrios de dados
Existencia de um SGBD
Existncia de um analista de banco de dados
Existncia de controle de acesso ao BD.
Problemas encontrados:
Leitura extrao de dados por entidade no autorizada
Alterao dos dados ou procedimentos de programas
Adio ou excluso de dados estranhos aos arquivos
Utilizao de equipamento ou software sem autorizao
22
Faculdade de Tecnologia de So Bernardo
Controles a serem verificados pelo auditor:
Verificao de password
Verificao da autorizao de acesso aos dados
Confirmao da digitao de dados antes da atualizao do BD
Verificao da integridade do Banco de Dados
Verificao da ltima transao processada versus a ltima transao recuperada no BD,
quando da queda do sistema
Verificao de protocolos de arquivos (header e trailler)
Verificao dos protocolos de linhas
Verificao da utilizao de terminais.
Procedimentos de segurana:
Criao da funo de administrador de dados (descrio do BD, manuteno do dicionrio,
monitoramento da utilizao do BD, controle de acesso, etc)
Segurana fsica dos terminais
Definir normas para uso de passwords
23
Faculdade de Tecnologia de So Bernardo
Documentao que formaliza o planejamento estratgico de informtica para uma organizao:
Estabelece a filosofia de PED para a empresa
Define os objetivos e a estrutura da rea de informtica
Apresenta o plano de sistemas a serem desenvolvidos e mantidos
Estabelece critrios para aquisio de software e hardware
Define a necessidade de recursos humanos
Apresenta um oramento de custos na rea de informtica
Enumera os benefcios a serem alcanados e as restries previstas.
O auditor deve:
Sistemas especialistas:
Desafios do auditor:
1. Controles Gerais
24
Faculdade de Tecnologia de So Bernardo
Existem seis categorias de controles gerais que devem ser consideradas em auditorias:
controles organizacionais: polticas, procedimentos e estrutura organizacional estabelecidos
para organizar as responsabilidades de todos os envolvidos nas atividades relacionadas rea
da informtica;
programa geral de segurana: oferece a estrutura para: (1) gerncia do risco, (2)
desenvolvimento de polticas de segurana, (3) atribuio das responsabilidades de
segurana, e (3) superviso da adequao dos controles gerais da entidade;
continuidade do servio: controles que garantem que, na ocorrncia de eventos inesperados,
as operaes crticas no sejam interrompidas, ou sejam imediatamente retomadas, e os dados
crticos sejam protegidos.
controles de software de sistema: limitam e supervisionam o acesso aos programas e arquivos
crticos para o sistema, que controlam o hardware do sistema computacional e protegem as
aplicaes presentes;
controles de acesso: limitam ou detectam o acesso a recursos computacionais (dados,
programas, equipamentos e instalaes), protegendo esses recursos contra modificao no
autorizada, perda e divulgao de informaes confidenciais;
controles de desenvolvimento e alterao de softwares aplicativos: previnem a
implementao ou modificao no autorizada de programas.
25
Faculdade de Tecnologia de So Bernardo
A confiabilidade do sistema Reduzida
ou dos dados j foi avaliada
e considerada adequada em
trabalhos anteriores.
A documentao de um sistema bem controlado deve ser completa e atualizada. A ausncia dessa
documentao pode indicar que no existem controles, que eles no so compreendidos ou so
inadequadamente aplicados. Outros sinais que sugerem vulnerabilidade de dados a erros podem
ser:
sistemas antigos, que exigem muita manuteno;
grande volume de dados;
atividades de atualizao muito freqentes;
numerosos tipos de transao e de fontes de dados;
grande nmero de elementos de dados codificados (por exemplo, itens do estoque
representados por meio de cdigos numricos, em vez do nome do bem, podem dificultar a
identificao at mesmo de erros grosseiros);
alta rotatividade de pessoal (digitadores, operadores, programadores, analistas) e treinamento
inadequado ou em escala insuficiente;
estruturas de dados complexas ou desorganizadas;
falta de padres para o processamento de dados, especialmente quanto segurana, acesso e
controle de mudana de programas.
Entrevistas com funcionrios com grande conhecimento da organizao podem auxiliar a equipe
no entendimento dos controles do sistema.
Aps avaliar os controles do sistema, a equipe dever dar um parecer sobre a sua eficcia, isso ,
sua capacidade de prevenir erros e detectar e corrigir aqueles que venham a ocorrer.
Controles slidos - quando assumir-se que o sistema como um todo est capacitado a
prevenir, detectar e corrigir qualquer erro significativo nos dados;
Controles adequados - quando forem detectadas deficincias nos controles, mas de modo
geral esses demonstrarem ser suficientes para prevenir os erros mais significativos, e acusar
os que venham a ocorrer; ou
Controles fracos/indeterminados - quando identificar-se a ausncia ou ineficcia dos controles
de sistema, e, conseqentemente, oportunidades de introduo de dados incorretos no sistema.
Controles Gerais:
26
Faculdade de Tecnologia de So Bernardo
Controles de aplicativos:
Anlise de arquivos
Confronto de arquivos
Emisso de check-lists e questionrios
Preparao de test deck
Anlise de log
Tabulao de respostas e questionrios
1.2. Acompanhamento de projetos de auditoria
Controle de horas
Controle de alocao de recursos
27
Faculdade de Tecnologia de So Bernardo
1.3. Plano de treinamento do auditor
1.4. Documentao automatizada de relatrios de auditoria
1.5. Monitorao do cadastro de pontos de controle
1.6. Monitorao do cadastro de indicadores de qualidade
1.7. Treinamento de auditores internos
1.8. Acessar logs de outros micros em rede
1.9. Solicitar arquivos atravs da rede.
2. A Carreira do Auditor Interno
CARGO FUNO
Gerente / Subgerente Gerencia a atividade de auditoria
Supervisor Audita o centro de computao, PDI e sistemas
especialistas
Auditor Snior Audita sistemas em desenvolvimento e
teleprocessamento / bancos de dados
Conhece metodologia de desenvolvimento
Audita segurana em informtica
Auditor Pleno Realiza auditoria em sistemas em operao
mainframe
Conhece linguagem de programao mainframe
- Objetivos
- Indicadores de qualidade da auditoria de sistemas
28
Faculdade de Tecnologia de So Bernardo
- Recursos necessrios auditoria
- Treinamento para auditores
- Custos
- Cronograma de atividades
- Suporte auditoria operacional pela auditoria de sistemas
Resume o controle exercido pelo gerente de auditoria sobre as atividade da auditoria de sistemas
e deve conter:
Permitem caracterizar:
- Produtividade dos trabalhos da auditoria
- Eficincia nos processos de auditagem (uso de tcnicas otimizadas)
- Eficcia dos resultados das auditorias de sistemas efetuadas (alcance dos objetivos)
- Segurana dos recursos tangveis alocados a processos e resultados.
Exemplo de Indicador de qualidade: quantidade mdia de horas de auditoria aplicada por ponto
de controle:
29
Faculdade de Tecnologia de So Bernardo
Quantidade de PC validados
NIVEL DE
ENTIDADES FORMAS DE MOMENTO FOCO NO ESTRUTUR
RESPONS- GERENCIA S DE CICLO DE AO DA
VEIS Auditoria
MENTO DE da MONITORAda
administrao VIDA DA
informtica INFORMTI
INFORMTI O DA INFORMTI CA
Alta CA INFORMTI CA
administrao CA Plataformas
Planejamento Engenharia Operacionais
Executivos e Controle de Projetos e do Produto
Usurios Processos e Recursos Sistemas
Resultados Tecnolgicos Engenharia Aplicativos
Executivos de do processo
Informtica
Especificao
Executivos de do processo
Terceiros
30
Faculdade de Tecnologia de So Bernardo
Continuidade Operacional
Pesquisa e desenvolvimento para alcance da inovao tecnolgica
Pioneirismo (entrar no mercado no momento da ascenso do negcio)
Identificao da itensidade e potencial da concorrncia
Lucratividade de cada linha de negcio/produto/servio
31
Faculdade de Tecnologia de So Bernardo
Auditoria Operacional: Atua em nvel de atividades fim e meio, tanto no ambiente interno
como externo com foco no presente em relao ao passado.
Auditoria de Gesto: Mesma atuao da auditoria operacional, mas com foco no futuro.
Auditoria da Qualidade: Verifica e avalia os esforos de melhoria e otimizao
Auditoria de Sistemas: Atua segundo o foco operacional, da gesto e da qualidade em
informtica.
Novo papel da Auditoria de Sistemas: Atuar em regime de parceria com auditores de outras
reas e auditados, para definio de solues conjuntas agente de mudana
33
Faculdade de Tecnologia de So Bernardo
Novas necessidades na rea de informtica:
Novos problemas:
BIBLIOGRAFIA:
35