Auditoria em Sistemas de Informao

Graduao Tecnolgica: Tecnologia da Informao

Autor: Prof. Carlos Eduardo Gertners de Magalhes

Fundamentos de Banco de Dados

SUMRIO
SUMRIO .......................................................................................................................... 2 LISTA DE FIGURAS......................................................................................................... 3 UNIDADE I INTRODUO.......................................................................................... 4 1.1-Auditoria nas organizaes....................................................................................... 4 1.2-Importncia da auditoria de sistemas........................................................................ 6 1.3-Necessidades na rea de auditoria de sistemas ......................................................... 7 1.4-Papel do auditor de sistemas..................................................................................... 8 1.5- Tendncias da Auditoria de Sistemas na Organizao............................................ 9 UNIDADE II AUDITORIA DE SISTEMAS................................................................ 12 2.1-Conceitos ................................................................................................................ 12 2.2-Organizao do trabalho......................................................................................... 13 2.3-Produtos gerados..................................................................................................... 15 2.4-Apresentao dos resultados da auditoria alta administrao.............................. 16 UNIDADE III TCNICAS DE AUDITORIA .............................................................. 18 3.1-Programas de computador ...................................................................................... 18 3.2-Questionrios .......................................................................................................... 19 3.3-Simulao de dados ................................................................................................ 20 3.4-Visita in loco........................................................................................................... 21 3.5-Mapeamento estatstico .......................................................................................... 21 3.6-Rastreamento de programas.................................................................................... 22 3.7-Entrevista ................................................................................................................ 22 3.8-Anlise de relatrios/telas....................................................................................... 23 3.9-Simulao paralela.................................................................................................. 24 3.10-Anlise de log/accounting .................................................................................... 24 3.11-Anlise do programa fonte ................................................................................... 26 3.12-Exibio parcial da memria snap shot ................................................................ 27 3.13-Ciclo PDCA.......................................................................................................... 27 UNIDADE IV FERRAMENTAS DE AUDITORIA DE SISTEMAS.......................... 28 4.1- Software generalista de auditoria de tecnologia da informao ............................ 28 4.2- Softwares Especialistas de auditoria...................................................................... 29 4.3- Programas utilitrios.............................................................................................. 29 UNIDADE V AUDITORIA DO AMBIENTE COMPUTACIONAL .......................... 30 5.1-Auditoria de Sistemas em Operao....................................................................... 30 5.2-Auditoria de Sistemas em Desenvolvimento.......................................................... 31 5.3-Auditoria do Centro de Computao ...................................................................... 33 5.4-Auditoria em ambiente de Microcomputadores ..................................................... 34 5.5-Auditoria em ambiente de Teleprocessamento e Bancos de Dados ....................... 35 5.6-Auditoria em segurana fsica e ambiental do Centro de Computao.................. 36 5.7-Auditoria de segurana lgica e da confidencialidade ........................................... 36 5.8-Auditoria do Plano Diretor de Informtica............................................................. 37 5.9-Auditoria no ambiente de Inteligncia Artificial.................................................... 37 ANEXO 1 Bibliografia/Webliografia ............................................................................ 38

Fundamentos de Banco de Dados

LISTA DE FIGURAS
Figura 1: Ambiente empresarial e situao da rea de informtica e da rea de auditoria de sistemas .......................................................................................................................... 5 Figura 2: Etapas da simulao de dados ........................................................................... 20

Fundamentos de Banco de Dados

UNIDADE I INTRODUO
1.1-Auditoria nas organizaes
Auditoria 1 Cargo de auditor. 2 Casa ou tribunal onde o auditor desempenha as suas funes. 3 Funo de auditor junto s empresas comerciais. 4 Econ Exame analtico minucioso da contabilidade de uma empresa ou instituio. Entidades governamentais e privadas, independente de porte ou ramo de atividade, convivem e subsistem graas a doses cada vez mais elevadas de tecnologia computacional. A maioria das organizaes de hoje no conseguem funcionar nem por poucas horas com a ausncia dos computadores. A auditoria pode ser interna ou externa. Pode ser uma auditoria permanente (constante) ou espordica (eventual). Auditoria Interna Com o aumento da complexidade das operaes de uma empresa, aumentou a necessidade de normas e procedimentos internos (controles internos). Como o proprietrio da empresa (ou o administrador) no poderia fazer isto, algum deveria fazer isto por ele. Da surge a figura do auditor interno cuja funo principal verificar se as normas internas vem sendo seguidas. Paralelamente o auditor interno executa auditoria contbil. O auditor interno funcionrio da empresa mas como executa auditoria contbil e operacional, deve ter uma certa independncia dentro da entidade. Em empresas de grande porte, existe um verdadeiro departamento de auditoria interna. Auditoria Externa feita por um profissional totalmente independente da empresa auditada. O objetivo do auditor externo emitir uma opinio (chamado parecer) sobre as demonstraes financeiras. Note que o objetivo apenas emitir um parecer sobre as demonstraes contbeis. Logo conclui-se que a auditoria externa no realizada para detectar fraudes, erros ou para interferir na administrao da empresa, ou ainda, reorganizar o processo produtivo ou demitir pessoas ineficientes. Naturalmente, no decorrer do processo de auditoria, o auditor pode encontrar fraudes ou erros, mas o seu objetivo no este. Seu objetivo emitir um parecer. A auditoria nas organizaes um instrumento da direo da entidade, dos acionistas, do ambiente externo organizao, do povo para validar e avaliar a qualidade em termos de segurana, eficincia dos trabalhos desenvolvidos com a tecnologia computacional. O advento do microcomputador provocou pulverizao acentuada da tecnologia de processamento eletrnico de dados (PED), e a distribuio e a descentralizao da criao e da execuo de processos computadorizados constituem a tnica empresarial atual.

Fundamentos de Banco de Dados

Podemos considerar que PED apia e sustenta todas as atividades meio e fim das organizaes, sendo imprescindvel a aproximao dos profissionais de computao com os profissionais responsveis pelas atividades meio e fim das empresas. Na realidade, o modelo de implantao de PED a transferncia dessa tecnologia diretamente ao usurio, atravs de linguagens de programao de 4 gerao ou do uso da inteligncia artificial, eliminando ou diminuindo a participao de uma srie de profissionais de computao (programadores, digitadores, operadores de computador, etc).

Figura 1: Ambiente empresarial e situao da rea de informtica e da rea de auditoria de sistemas

ATIVIDADE EMPRESARIAL

OBJETIVOS - Evoluo tecnolgica - Poder de competio - Capacidade de adaptao - Especializao - Crescimento

COMPUTAO

AUDITORIA DE SISTEMAS

- Apoio e envolvimento do usurio - Disseminao da inteligncia artificial - Total integrao empresarial - Velocidade no acompanhamento do binmio computaoempresa - Agente de maior participao do computador na empresa

CARACTERSTICAS COMPUTACIONAIS - Crescentes investimentos em tecnologia de computao - Necessidade de treinamento em processamento eletrnico de dados aos funcionrios - Iniciando convvio com o conceito de inteligncia artificial - Falta de profissionais de computao, com a necessidade de investimentos nos profissionais existentes, para o posterior repasse de tecnologia e sustentao do pessoal usurio - Necessidade de especializao de profissionais de computao - Forte evoluo da rea em termos de compreenso do papel da auditoria de sistemas por parte do auditor contbil-financeiro - Tecnologia em intensa evoluo - Escassez de profissionais

Evoluo da computao no ambiente empresarial e consequente acompanhamento pela auditoria de sistemas

Fundamentos de Banco de Dados

1.2-Importncia da auditoria de sistemas

Sistemas de informao adquiriram uma importncia vital para a sobrevivncia da maioria das organizaes modernas, j que, sem computadores e redes de comunicao, a prestao de servios de informao pode se tornar invivel. A esta constatao, voc pode adicionar o fato de que hoje em dia no existem mais empresas que no dependam da tecnologia da informao, num maior ou menor grau. Pelo fato de que esta mesma tecnologia permitiu o armazenamento de grande quantidade de informaes em um local restrito e centralizado, criou-se a uma grande oportunidade ao acesso no autorizado. A segurana da informao tornou-se estratgica, pois interfere na capacidade das organizaes de realizarem negcios e no valor de seus produtos no mercado. Visando minimizar as ameaas, a ISO (International Standardization Organization) e a ABNT (Associao Brasileira de Normas Tcnicas), em sintonia com a ISO, publicaram uma norma internacional para garantir a segurana das informaes nas empresas, a ISO 17799:1. As normas ISO e ABNT so resultantes de um esforo internacional que consumiu anos de pesquisa e desenvolvimento para se obter um modelo de segurana eficiente e universal. Este modelo tem como caracterstica principal tentar preservar a disponibilidade, a integridade e o carter confidencial da informao. O comprometimento do sistema de informaes, por problemas de segurana, pode causar grandes prejuzos organizao. Diversos tipos de incidentes podem ocorrer a qualquer momento, podendo atingir a informao confidencial, a integridade e disponibilidade. Problemas de quebra de confidncia, por vazamento ou roubo de informaes sigilosas, podem expor para o mercado ou concorrncia as estratgias ou tecnologias da organizao, eliminando um diferencial competitivo, comprometendo a sua eficcia, podendo perder mercado e at mesmo ir falncia. Problemas de disponibilidade podem ter um impacto direto sobre o faturamento, pois deixar uma organizao sem matria-prima ou sem suprimentos importantes ou mesmo, o impedimento de honrar compromissos com clientes, prejudicam sua imagem perante os clientes, gerando problemas com custos e levando a margem de lucro a ficar bem comprometida. Problemas de integridade, causados por invaso ou fatores tcnicos em dados sensveis, sem uma imediata percepo, iro impactar sobre as tomadas de decises. Decises erradas fatalmente reduziro o faturamento ou aumentaro os custos, afetando novamente a margem de lucros.

Fundamentos de Banco de Dados

A invaso da pgina de Internet de uma empresa, com modificao de contedo, ou at mesmo a indisponibilidade de servios on-line, revela a negligncia com a segurana da informao e causa perdas financeiras a quem sofreu algum tipo de ataque. A auditoria de suma importncia para os negcios, independente de sua origem, seja ela contbil ou de tecnologia de informao. O termo auditoria relacionado com diversas reas de nossa sociedade.

1.3-Necessidades na rea de auditoria de sistemas

Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a necessidade de desenvolvimento de equipes cada vez mais especializadas para a sua implementao e gerncia. Constatou que o crescente uso de solues informatizadas dentro das empresas cresceu muito nos ltimos anos. Um novo mundo de oportunidades surgiu com o uso descontrolado dos sistemas de informao, havendo a necessidade iminente de controle e as empresas optaram por um plano de auditoria. Necessidade do envolvimento da alta direo, que ter a responsabilidade de fazer refletir o carter oficial da poltica da empresa atravs de comunicao e compartilhamento com seus funcionrios. A auditoria surgiu ento da necessidade de confirmao por parte dos investidores e proprietrios, dos valores retratados no patrimnio das empresas que possuam ou as que pretendiam realizar seus investimentos, principalmente com o grande crescimento econmico-financeiro e com o aparecimento das grandes empresas que so representadas em vrios pases. Existe a necessidade de segurana em sistemas de informao em poder saber quais aes foram executadas e quem as executou. Neste contexto, torna-se necessrio um mecanismo de gravao e recuperao das aes ou eventos que foram realizados no sistema. de grande importncia que as informaes geradas por este mecanismo sejam precisas, pois formaro as trilhas de auditoria. A gerao de trilhas de auditoria, a anlise e a forma de armazenamento so definidas de acordo com a necessidade da aplicao e so os principais pontos para o planejamento de um sistema de auditoria.

Fundamentos de Banco de Dados

1.4-Papel do auditor de sistemas

O auditor de sistemas informatizados uma pessoa que acima de tudo deve estar atenta s novidades de mercado, pois todos os dias so descobertas novas formas de se invadir os computadores e redes. Para garantir que os investimentos feitos em tecnologia da informao retornem para a empresa na forma de lucros, custos menores e um menor custo total de propriedade que o auditor de sistemas informatizados ir atuar. De posse dos objetivos, normas ou padres da corporao o auditor ir verificar se tudo est funcionando como deveria. De mero fiscalizador de processos, o auditor de sistemas tornou-se um profissional com participao estratgica no desenvolvimento da competitividade da empresa. Para se ter uma noo do crescimento da profisso de auditor, observe que em 1900 eram apenas 250 auditores autorizados a exercer a profisso nos Estados Unidos e hoje so mais de 500.000. (Fonte: Wise, 2002). Os sistemas informatizados tm afetado duas funes bsicas dos auditores: coleta e avaliao das evidncias. Coletar evidncias sobre a segurana em um sistema informatizado muito mais complexo do que em um sistema manual, sem automao, justamente devido diversidade e complexidade da tecnologia de controle interno. Os auditores devem entender estes controles e ter know-how para coletar evidncias corretamente. Com seu conhecimento do negcio, o auditor pode reconhecer que uma companhia no est utilizando adequadamente os seus ativos de informao e pode fazer recomendaes sobre como outras empresas o fazem ou, at mesmo, como as normas e padres de segurana mais conceituados no mercado o fariam. O auditor ocupa posio privilegiada em nossa sociedade por entender o funcionamento de vrias organizaes e saber de que forma elas utilizam os recursos de tecnologia para atingir seus objetivos. possvel resumir, em trs caractersticas, os principais valores de um auditor: . manter princpios ticos; . possuir integridade; . possuir objetividade. Auditores necessitam de grande capacidade de comunicao, pois o servio pede que ao levantar-se questes relacionadas com o objeto auditado, a discusso seja levada para a camada executiva da empresa e os resultados deste trabalho tambm. O auditor deve procurar fazer com que suas competncias no somente sejam ditadas por normas, mas decorram de foco no cliente e no mercado.

Fundamentos de Banco de Dados

Os principais servios prestados por auditores so: assurance; consultoria gerencial; certificao de normas. Assim, os servios de assurance so as tradues de informaes provindas dos recursos encontrados no objeto auditado, melhorando o contexto e a qualidade para que a camada executiva possa tomar suas decises. Os servios de consultoria gerencial abrangem as recomendaes sobre como utilizar os sistemas de informao do cliente de uma forma mais proveitosa e que atenda aos objetivos de negcio da empresa auditada. Os servios de certificao de normas so aqueles em que o auditor ir prover um check-list apontando conformidades e no-conformidades segundo determinada norma e ir emitir uma parecer sobre a emisso ou no para uma empresa daquele certificado.

1.5- Tendncias da Auditoria de Sistemas na Organizao

Internet Fazer com que sejam criadas novas ferramentas e tcnicas de auditoria atravs da internet. Comrcio Eletrnico Criar utilitrios, ferramentas de auditoria mais especficas para o comrcio eletrnico. Que est tendo uma grande utilizao. BPR Business Process Reengineering. Reengenharia de processos do negcio. Melhorias que visam uma aproximao da gerncia por meio do aumento da eficincia e a eficcia dos processos no qual existem dentro das organizaes. Privacidade dos dados Ter mecanismos mais eficientes para manter a privacidade dos dados. Evitando que pessoas indevidas tenham acesso. Outsourcing Fazer a auditoria a partir de mo de obra externa a organizao. Auditar o que est sendo feito por indivduos que no pertenam organizao de forma direta. Obs.: Outsourcing Contratao de mo de obra externa a empresa. Muitas empresas hoje esto buscando focar mais no seu negcio (na sua atividade fim), deixando atividades no vitais serem desempenhas por no funcionrios. Base de conhecimento e minerao de dados Utilizar tcnicas atravs de bases de conhecimento e minerao de dados para tornar mais eficiente a auditoria de sistemas na organizao.

Fundamentos de Banco de Dados

Gesto por Exceo Quantificada Usar a auditoria baseada na metodologia integrada por procedimentos com foco em minimizar possveis fracassos quando do desenvolvimento, instalao ou operao de sistemas informatizados. Tratamento de Excees mais eficiente. Ter mecanismos de auditoria que tratem excees de forma

FCS (Fatores Crticos de Sucesso) Mecanismos que auxiliem a auditoria atravs de fatores crticos de sucesso. Que so os pontos chave que definem o sucesso ou o fracasso de um objetivo definido por um planejamento de determinada organizao. Pontos de Falha auditoria. Usar mecanismos e tcnicas que venham a ser utilizados para

Auditoria de Negcio Criao, aprimoramento da auditoria de sistemas no nvel do negcio. Uma forma de auditoria mais direcionada para o negcio em si. Novas necessidades e restries com o aperfeioamento da informtica a) Necessidades: . reformulao dos programas e currculos para treinamento dos profissionais de computao, com novas matrias/assuntos a serem abordados: . negociao tcnica, com nfase no desenvolvimento de argumentao lgica para negociao de solues a problemas empresariais; . critrios negociais, para formao de raciocnio em conceitos de mercado, concorrncia, linhas de negcios/produtos/servios, novos empreendimentos, pioneirismo, inovaes tecnolgicas; . estmulos criatividade, via discusso de aspectos comportamentais dos profissionais dos centros de responsabilidade das empresas, para gerao de sinergia de qualidade organizacional. . desenvolvimento e delimitao de know-how em informtica, j de domnio dos profissionais de computao, para consumo dos usurios: . metodologia (etapas, tcnicas, documentao) de desenvolvimento de sistemas pelos usurios; . sistemtica e critrios para suporte tcnico, como atendimento a chamadas de defeitos/registro de ocorrncias, e s atividades de processamento de processamento eletrnico de dados; . planejamento e controle das atividades e tecnologia de informtica. b) Restries: . baixo nvel, em geral, de formao dos usurios, quanto tecnologia de processamento eletrnico de dados, particularmente no tocante a sua abrangncia e em termos histricos; . agregao ao ambiente usurio de mais uma varivel, que vai acelerar os processos de mudanas nas reas organizacionais (uso total de informatica); . aumento de responsabilidade para os executivos e profissionais, quanto ao desempenho empresarial, pela disponibilizao direta da tecnologia de informtica a esses usurios.

10

Fundamentos de Banco de Dados

Criao de novas funes: a) analista de qualidade em informtica: responsvel pelo planejamento, controle e operacionalizao de sistemas/aes/indicadores de qualidade em informtica em toda a organizao; b) analista de segurana em informtica: atua via segurana lgica/fsica/ocupacional/ambiental/confidencial, com a tecnologia de informtica como base; c) engenheiro do conhecimento: projeta e dinamiza a fluncia do conhecimento empresarial em todos os pontos da organizao.

11

Fundamentos de Banco de Dados

UNIDADE II AUDITORIA DE SISTEMAS

2.1-Conceitos
A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e politicas institucionais, oramentos, regras, normas e padres. A auditoria de sistemas o ramo da auditoria que revisa e avalia o controles internos informatizados, visando: . proteger os ativos da organizao; . manter a integridade e autenticidade dos dados; . atingir eficaz e eficientemente os objetivos da organizao. Auditoria de Sistema de Informao instrumento da direo, dos acionistas, do ambiente externo, do usurio para: opinar, avaliar, validar a qualidade dos dados, da informao e dos sistemas que a geram e mantm, em termos de segurana, confiabilidade e eficincia. Todo e qualquer sistema deve ser observado sob 3 enfoques: Os programas . Existe mquina prpria para desenvolvimento ou a rea de desenvolvimento utiliza a mquina de produo? . Existe norma de Catalogao de Programas de Produo com registro de alteraes que demonstre: - a data da alterao; - impacto da alterao na rea do usurio; - outros impactos (em outros programas, rotinas ou sistemas); - as instrues alteradas dentro dos programas. A entrada de dados (front end) . Submeter a entrada de dados a todas as condies possveis de teste. Como? - Separando todas as telas e documentos de entrada. - Examinando cada campo e comparando com a listagem da consistncia. - Submetendo os dados a uma bateria de testes em ambiente apropriado (no de produo).

12

Fundamentos de Banco de Dados

Varredura das bases de dados (back end) . Fundamental verificar a base de dados com programas de varredura. Como? - Examinando cada campo e comparando com a listagem da consistncia. - Submetendo os dados a uma bateria de testes em ambiente apropriado (no de produo).

2.2-Organizao do trabalho
Planejamento 1 Passo: Conhecer o ambiente a ser auditado: Levantamento dos dados acerca do ambiente computacional (fluxo de processamento, recursos humanos e materiais envolvidos, arquivos processados, relatrios e telas produzidos). 2 Passo: Determinar os pontos de controle (processos crticos) 3 Passo: Definio dos objetivos da auditoria: . Tcnicas a serem aplicadas; . Prazos de execuo; . Custos de execuo; . Nvel de tecnologia a ser utilizada. 4 Passo: Estabelecimento de critrios para anlise de risco 5 Passo: Anlise de Risco Avaliar para cada ponto de controle o grau de risco apresentado para posterior hierarquizao: Grau de Risco 1 Muito Fraco 2 Fraco 3 Regular 4 Forte 5 Muito forte 6 Passo: Hierarquizao dos pontos de controle

13

Fundamentos de Banco de Dados

Definio da Equipe 1 passo: Escolher a equipe. . Perfil e histrico profissional; . Experincia na atividade; . Conhecimentos especficos; . Formao acadmica; . Linguas estrangeiras; . Disponibilidade para viagens, etc. 2 passo: Programar a equipe Gerar programas de trabalho; Selecionar procedimentos apropriados; Incluir novos procedimentos; Classificar trabalhos por visita; Orar tempo e registrar o real. 3 passo: Execuo dos trabalhos Dividir as tarefas de acordo com a formaao, experincia e treinamento dos auditores; Efetuar superviso para garantir a qualidade do trabalho e certificar que as tarefas foram feitas corretamente. 4 passo: Reviso dos papis Verificar pendncias e rever o papel de cada auditor para suprir as falhas encontradas. 5 passo: Avaliao da equipe Avaliar o desempenho, elogiando os pontos fortes e auxiliando no reconhecimento e superao de fraquezas do auditor; Ter um sistema de avaliao de desempenho automatizado. Documentao do trabalho Documentao de todo o processo de Auditoria de Sistemas a ser executado.

14

Fundamentos de Banco de Dados

2.3-Produtos gerados
Relatrio de problemas/fraquezas no controle interno Este relatrio tem por objetivo apresentar os resultados do trabalho da auditoria de sistema e esta estruturado em: . Objetivos da auditoria; . Pontos de controle auditados: O banco de dados; Um sistema; Um sistema integrado; Um acesso (password); Etc. . Concluso alcanada a cada ponto de controle; . Alternativas de soluo proposta para correo das fraquezas de controle interno identificadas: Segurana fsica; Confidncialidade; Obedincia legislao; Eficcia; Etc. Certificado de controle interno O certificado contm as colocaes claras se o ambiente computacional auditado se encontra em boa, razovel ou m situao no tocante aos parmetros de controle interno: . Segurana fsica; . Confidncialidade; . Obedincia legislao; . Eficcia; . Etc. Apresenta a opinio da auditoria em termo globais e sintticos, permitindo a colocao e reunio dos achados, de fraquezas de controle interno, dos vrios pontos de controle auditados, sob uma tica de avaliao e de emisso de opinio total; O certificado permite a venda imediata dos resultados dos trabalhos de auditoria de sistemas para a alta administrao.

15

Fundamentos de Banco de Dados

Relatrio de reduo de custos Tem o objetivo de explicitar as economias financeiras a serem feitas com a adoo das recomendaes efetuadas; Serve de base para a realizao das anlises de retorno de investimento e de custo / beneficio a serem realizadas como parte da aplicao dos controles constantes dos projetos de auditoria de sistemas. Manual de auditoria do sistema auditado Tem por objetivo: . Armazenar o planejamento da auditoria; . Conter os pontos de controles inventariados; . Conter os pontos de controle testados; . Conter os pontos de auditoria flagrados. um referencial e base para as futuras auditorias daquele mesmo ambiente computacional a serem realizadas; Contribui para a evoluo tanto do ambiente computacional quanto dos processos de auditagem; O conjunto de manuais de auditoria ir, ao longo dos anos, servir como comprovao histrica das atividades de auditoria de sistemas.

2.4-Apresentao dos resultados da auditoria alta administrao

Os seguintes fatores na comunicao precisam ser atendidos: 1.Objetividade na transmisso dos resultados da auditoria; 2.Esclarecimento dos debates entre auditoria e auditado; 3.Clareza nas recomendaes de solues; 4.Explicao da coerncia de atuao de auditoria. Os auditores devem preparar os seus relatrios de auditoria de forma a torn-los apropriados para apresentao alta direo das organizaes. Pode ser adequado apresentar um sumrio executivo de cada relatrio de auditoria, para apresentao a essa alta direo e a outros setores importantes, interessados, da organizao. O sumrio executivo deve destacar os resultados principais, positivos e negativos e identificar as oportunidades de melhorias. Eficcia Avalia quais os objetivos definidos para o sistema a ser criado e se as informaes a serem geradas e apresentadas atravs de relatrios e grficos, atendem aos requisitos.

16

Fundamentos de Banco de Dados

Obedincia a legislao em vigor Verificar a aderncia dos requisitos a legislao no que tange a clculos e tratamento do dado, padres de apresentao das informaes definidos em lei e as orientaes para guarda das informaes no que tange a periodicidade. Obedincia as polticas da alta administrao Verificar a aderncia dos requisitos as normas e orientaes no que tange a concesses e restries, a necessidade das informaes a serem apresentadas e distribudas. O Relatrio do auditor o produto final do seu trabalho e, como tal, deve ser apresentado, visto e entendido pelo auditado, ou mesmo pelo usurio da auditoria. Considerado como veculo principal de relacionamento entre o auditor e a entidade auditada, o Relatrio documento tcnico e deve obedecer a normas de apresentao, forma e objetivos. O Relatrio o ponto de ligao entre o trabalho planejado e o efetivamente realizado. o instrumento que revela administrao da empresa a qualidade e a contribuio da Auditoria Interna, suas constataes, opinies tcnicas e recomendaes. Serve tambm como documento de avaliao do trabalho efetuado pelo auditor. O Relatrio do auditor o produto final do seu trabalho e, como tal, deve ser apresentado, visto e entendido pelo auditado, ou mesmo pelo usurio da auditoria. Considerado como veculo principal de relacionamento entre o auditor e a entidade auditada, o Relatrio documento tcnico e deve obedecer a normas de apresentao, forma e objetivos.

17

Fundamentos de Banco de Dados

UNIDADE III TCNICAS DE AUDITORIA

3.1-Programas de computador
Simulao paralela O mtodo que consiste na elaborao de programas de computador para simular as funes da rotina do sistema em operao que est sendo auditada. Utiliza-se os mesmos dados de input, da rotina em produo, como input do programa de simulao. Anlise de dados Mtodo que consiste na anlise de arquivos atravs de programas de computador que podero realizar, entre outras, as seguintes funes: 1. Seleo de registros; 2. Contagem de registros; 3. Soma, clculo da mdia, varincia, desvio padro, modo, mediana, etc; 4. Construo de histogramas; 5. Anlise horizontal = comparao entre campos de um mesmo registro; 6. Anlise vertical = comparao de campos entre registros. Comparao de dados O mtodo que consiste na comparao entre os registros de dois arquivos a e b, diferentes, atravs de programas de computador, objetivando averiguar a existncia de possveis inconsistncias que podero realizar, entre outras, as seguintes funes: 1. Seleo de registros (a que no est em b; b que no est em a ou que est em a e em b). 2. Contagem de registros. 3. Soma, clculo da mdia, varincia, desvio padro, moda, mediana etc. Confirmao de dados O mtodo que consiste na confirmao dos dados armazenados em um arquivo, atravs de programas de computador, possibilitando verificar a veracidade dos mesmos. A estratgia mais utilizada para atingirmos tal objetivo implica na realizao de uma circularizao. Particularmente, neste caso, deve-se utilizar as tcnicas de anlise de dados e de comparao de dados, de forma integrada e/ou complementar.

18

Fundamentos de Banco de Dados

3.2-Questionrios
Corresponde elaborao de um conjunto de perguntas com o objetivo de verificao de determinado ponto de controle do ambiente computacional. Essas questes buscam verificar a adequacidade do ponto de controle aos parmetros do controle interno (segurana lgica, segurana fsica, obedincia legislao, eficcia, eficincia, etc.). Dois aspectos so crticos na aplicao da tcnica de questionrio: . Caractersticas do ponto de controle; . Momento histrico empresarial ou objetivos da verificao do ponto de controle. Os objetivos de verificao do ponto de controle vo determinar a nfase a ser dada ao parmetro do controle interno. As caractersticas do ponto de controle tm agregada a natureza da tecnologia computacional e o correspondente perfil tcnico do auditor que ir aplicar o questionrio. Dessa forma, podemos ter questionrios voltados para pontos de controle cujas perguntas guardaro caractersticas intrnsecas referentes a: . Segurana em redes computacionais . Segurana do centro de computao . Eficincia no uso dos recursos computacionais . Eficcia de sistemas aplicativos A tcnica do questionrio pode ser aplicada com outras tcnicas: Entrevistas, Visita in loco entre outras. O questionrio pode ser aplicado distncia. Desta forma possvel que ocorra uma auditagem maior com menor nmero de auditores. A sequncia bsica de aplicao de questionrios distncia : . Analisar o ponto de controle e elaborar o questionrio; . Selecionar os profissionais auditados que devero responder ao questionrio; . Elaborar um conjunto de instrues de como responder s questes; . Distribuir/remeter o questionrio para os profissionais selecionados; . Controlar o recebimento dos questionrios respondidos; . Analisar as respostas s questes; . Formar uma opinio do ponto de controle auditado em decorrncia das respostas obtidas; . Elaborar relatrio de auditoria.

19

Fundamentos de Banco de Dados

3.3-Simulao de dados
a tcnica por excelncia aplicada para teste de porcessos computacionais. Corresponde elaborao de um conjunto de dados de teste a ser submetido ao programa de computador ou a determinada rotina que o compe, que necessita ser verificada em sua lgica de processamento. Evidentemente, uma vez comprovada a inadequao da lgica do processo auditado, podemos concluir pela correo de todos os resultados que forem gerados por aquela rotina irregular. Os dados simulados de teste necessitam prever situaes corretas e situaes incorretas de natureza: . Transaes com campos invlidos; . Transaes com valores ou quantidades nos limites de tabelas de clculos; . Transaes incompletas; . Transaes incompatveis; . Transaes em duplicididade. Tambm conhecida como test-deck.

Figura 2: Etapas da simulao de dados

Algumas caractersticas para simulao de dados: a) o auditor necessita conhecer computao em termos de anlise de sistemas; b) a documentao dos sistemas deficiente, o que implica o auditor precisar atualizar ou complementar a documentao existente, principalmente no tocante a fluxos de informao e de programas. Muitas vezes a documentao existente compreende somente listagens de programas e fluxos ou sequncia de execuo de programas de produo; c) a elaborao do ambiente de teste complexa, particularmente em programas principais que manipulem grande quantidade de arquivos de entrada, sada e de trabalho.

20

Fundamentos de Banco de Dados

3.4-Visita in loco
Corresponde atuao pessoal do auditor junto a sistemas, procedimentos e instalaes do ambiente computadorizado. Normalmente, combina com outras tcnicas de auditoria de computador, particularmente questionrio, a visita in loco implica o cumprimento dos seguintes procedimentos: . Marcar data e hora com a pessoa responsvel que ir acompanhar as verificaes, ou convoc-la no momento da verificao. . Anotar procedimentos e acontecimentos, coletar documentos, caracterizar graficamente a situao via elaborao de fluxo de rotinas e de layout de instalaes. . Anotar nomes completos das pessoas e data/hora das visitas realizadas; . Analisar os papis de trabalhos obtidos, avaliar respostas e a situao identificada; . Emitir opinio via relatrio de fraquezas de controle interno.

Essa tcnica aplicada em vrios pontos de controle clssicos de auditoria de sistemas, como: . inventrio de volume de arquivos magnticos (discos, fitas, disquetes, CDs, DVDs); . inventrio de insumos computacionais armazenados em almoxarifado (fitas de impressora, formulrios contnuos); . visita sala de operao/utilizao de computadores com o objetivo de verificar problemas de controle de acesso, etc.; . acompanhamento da rotina de backup de arquivos magnticos (se todas as etapas so feitas de forma correta).

3.5-Mapeamento estatstico
Tambm conhecido como mapping. Tcnica de computao que pode ser utilizada pelo auditor para efetuar verificaes durante o processamento dos programas flagrando situaes como: . Rotinas no utilizadas; . Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. A anlise dos relatrios emitidos pela aplicao do mapeamento estatstico permite a constatao de situaes: . Rotinas existentes em programas j desativadas ou de uso espordico; . Rotinas mais utilizadas, normalmente a cada processamento do programa; . Rotinas fraudulentas e de uso em situaes irregulares; . Rotinas de controel acionadas a cada processamento. 21

Fundamentos de Banco de Dados

H necessidade de ser processado um software de apoio em conjunto com o processamento do sistema aplicativo, ou rotinas especficas devero estar embutidas no sistema. Incluir instrues especiais junto aos programas em processamento na produo.

3.6-Rastreamento de programas
Tcnica que possibilita seguir o caminho de uma transao durante o processamento do programa. Durante a aplicao da tcnica, a sequncia de instrues executadas listada. Dessa forma obtemos os nmeros das instrues segundo sua ordem de execuo. 00001-00002-00003-001150-001151-00115290190-90191-90192- etc. Quando o teste de alimentao de determinada transao a um programa realizado, podemos identificar as inadequaes e ineficncia na lgica de um programa. Esta abordagem viabiliza a identificao de rotinas fraudulentas pela alimentao de transaes particulares.

3.7-Entrevista
O mtodo de trabalho corresponde realizao de reunio entre o auditor e os auditados profissionais e usurios envolvidos com o ambiente ou o sistema de informao sob auditoria. A sequncia de procedimentos corresponde a: . Analisar o ponto de controle e planejar a reunio com os profissionais envolvidos. . Marcar antecipadamente data, hora e local com os auditados bem como comunicar a natureza do trabalho a ser desenvolvido. . Elaborar um questionrio para realizao da entrevista. . As questes devem ser divididas por parmetro do controle interno, por rea ou por assunto de processamento eletrnico de dados (PED). . Realizao da reunio com aplicao do questionrio e anotao das respostas e comentrios dos entrevistados a cada questo efetuada. . dependendo do nvel de sensibilidade das questes, as reunies devem ser individuais; . os nveis hierrquicos das reas auditadas devem ser respeitados, comunicandose aos superiores a natureza das entrevistas com os subordinados.

22

Fundamentos de Banco de Dados

. Elaborao de uma ata de reunio com o registro dos principais pontos discutidos a cada questo apresentada. . distribuir cpia da ata da reunio para cada participante da entrevista. . Anlise das respostas e formao de opinio acerca do nvel controle interno do ponto de controle. . Emisso do relatrio de fraquezas de controle interno. A tcnica de entrevistas frequentemente casada com outras tcnicas de auditoria, visita in loco, questionrio, etc.

3.8-Anlise de relatrios/telas
Implica a anlise de documentos, relatrios e telas do sistema sob auditoria no tocante a: . Nvel de utilizao pelo usurio; . Esquema de distribuio e njmero de vias emitido; . Grau de confiabilidade do seu contedo; . Forma de utilizao e integrao entre relatrios/telas/documentos; . Distribuio das informaes segundo o layout vigente. Implica no cumprimento das seguintes etapas: . Relacionar por usurio todos os relatrios/telas/documentos que pertenam ao ponto de controle a ser analisado. . Poder ser feita uma classificao desses relatrios para efeito de estabelecimento de prioridades na anlise; . Obteno de modelo ou cpia de cada relatrio/documento/tela para compor a pasta de papis de trabalho; . Elaborar um questionrio para a realizao dos levantamentos acerca dos relatrios/telas/documentos; . Marcar antecipadamente a data e hora com as pessoas que fornecero opinio acerca dos relatrios; . Realizar as entrevistas e anotar as observaes e comentrios dos usurios; . Analisar as respostas, formar e emitir opinio acerda do nvel de controle interno. Principais fraquezas identificadas: a) Relatrios/telas/documentos no mais utilizados; b) Layout inadequado; c) Distribuio indevida de vias; d) Confidencialidade no estabelecida ou no respeitada.

23

Fundamentos de Banco de Dados

Esta tcnica primordial para avaliao do parmetro eficcia do sistema. As concluses do trabalho, frequentemente possibilitam reduo de custo com a desativao total ou parcial de relatrios/telas/documentos.

3.9-Simulao paralela
Elaborao de um programa de computador para simular as funes de rotina do sistema sob auditoria. Esta tcnica utiliza-se dos dados rotineiros alimentados rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Enquanto no test-deck simulamos dados e submetemos ao programa de computador que, normalmente processado na produo, na simulao paralela simulamos o programa e submetemos os mesmos dados que foram alimentados ao programa em processamento normal. A estrutura de aplicao desta tcnica corresponde a: . Levantamento e identificao, via documentao do sistema, da rotina a ser auditada e respectivos arquivos de dados trabalhados. . Elaborao do programa de computador com a lgica da rotina a ser auditada. Compilao e teste deste programa que ir simular em paralelo a lgica do programa de computador sob auditoria. . Preparao do ambiente de computao para processamento do programa de computador elaborado pelo auditor.

3.10-Anlise de log/accounting
O Log/Accounting um arquivo, gerado por uma rotina componente do sistema operacional, que contm registros de utilizao do hardware e do software que compem um ambiente computacional. A tabulao destes arquivo Log/Accounting permite a verificao da intensidade de uso dos dispositivos componentes de uma configurao ou rede de computadores, bem como o uso do software aplicativo e de apoio vigente. Tanto a rotina quanto o corresponddente arquivo de Log/Accounting foram desenvolvidos para serem usados pelo pessoal de computao. Excelente ferramenta para a auditoria de sistema para: . identificao de ineficincia, no uso do computador; . apurao do desbalanceamento da configurao do computador, pela caracterizao de dispositivos (unidade de disco, fita magntica, impressora, terminais) que esto com folga ou sobrecarregados;

24

Fundamentos de Banco de Dados

. determinao de erros de programas ou de operao do computador; . flagrar uso de programas fraudulentos ou utilizao indevida do computador; . captar tentativas de acesso a arquivos indevidos, ou seja, por senhas no autorizadas. O trabalho da rea de computao sobre Log/Accounting deve gerar Indicadores de Qualidade (IQ) do monitoramento do computador, bem como estudos de planejamento de capacidade da configurao/rede de equipamentos, com a finalidade de obter maior rendimento do parque computacional dentro de um nvel de segurana adequado. O auditor poder construir um software para auditoria de Log/Accounting, o qual trabalhar registros de: a) Contabilizao . Quais usurios utilizam quias programas e por quanto tempo; . Identificao do usurio, caractersticas do hardware necessrio para trabalhar o job (sequncia de programas) e como o job foi completado. b) Atividade dos arquivos . Quais arquivos de dados foram usados durante o processamento e que usurio solicitou o uso do arquivo; . Registro: nome do arquivo, tamanho do registro, nmero de srie do volume e usurio do arquivo. Obs.: Pode ser usado o termo data set ao invs de arquivo. Para esta tcnica o auditor dever: a) Entrevistar o pessoal de software bsico e do planejamento e controle da produo para entender: . o sistema de monitorao de uso de software e de hardware existente; . o layout dos registros gerados no arquivo log/accounting; . as opes possveis de rotina de job/accounting; . o tempo de reteno do arquivo log/accounting. b) Decidir que tipo de verificao sero efetuados em cima dos dados do arquivo de log como perodo de tempo que ser contemplado, quando ser efetuado o teste, etc. c) Elaborar e aplicar o programa de computador de auditoria de Log, ou utilizar a mecnica de anlise do Log praticada pelos profissionais de computao; d) Analisar os resultados da tabulao do Log; e) Emitir opinio acerca da qualidade do uso do hardware e do software em determinado perodo de tempo.

25

Fundamentos de Banco de Dados

Existem dois tipos de Log: 1. Aqueles que registram o uso da CPU, dos arquivos, da carga e do nvel de utilizao dos dispositivos computacionais. 2. Log de transaes, ou seja, um arquivo que registra todos os dados que foram processados/transmitidos. Este tipo de arquivos de Log comum em ambiente online no qula todas as transaes processadas ficam registradas em um arquivo - log de transaes - para posterior uso ou anlise.

3.11-Anlise do programa fonte

Implica a anlise visual do cdigo fonte do programa de computador do sistema sob auditoria. O auditor de sistemas necessita assegurar-se de que est testando a verso correta do programa. O auditor pode verificar as instrues que efetivamente compem o programa em linguagem de mquina executando os seguintes procedimentos: . Preencher uma ordem de servio determinando produo que compile o mdulo-fonte que est na biblioteca-fonte; . Executar um programa (software especfico) que compare o cdigo objeto-gerado com o cdigo-objeto do programa que est em produo; . Fazer as devidas verificaes no caso de divergncia dos cdigos comparados. importante ressaltar que est tcnica existe profundos conhecimentos tcnicos por parte do auditor de sistemas. Entretanto, a anlise visual do cdigo-fonte do programa auditado permite ao auditor: . Verificar se o programador cumpriu normas de padronizao do cdigo de rotinas, arquivos, programas; . Analisar a qualidade da estruturao dos programas; . Detectar vcios de programao e o nvel de atendimento s caractersticas da linguagem de programao utilizada.

26

Fundamentos de Banco de Dados

3.12-Exibio parcial da memria snap shot

Tcnica que fornece uma listagem ou gravao do contedo das variveis do programa (acumuladores, chaves, reas de armazenamento) quando determinado registro est sendo processado. A quantidade de situaes a serem extradas predeterminada. Corresponde na realidade a um dump parcial de memria das reas de dados. semelhana do mapping e do traccing, necessita de um software especial "rodando" junto com o programa aplicativo, ou que as caractersticas SNAPSHOT estejam embutidas no sistema operacionol. uma tcnica usada como auxlio depurao de programas, quando h problemas e realmente exige fortes conhecimentos de processamento eletrnico de dados por parte do auditor de sistemas.

3.13-Ciclo PDCA
O ciclo PDCA abrange: Planejar - Plan (P), Executar - Do (D), Verificar Check (C) e Atuar Action (A). um ciclo de gerenciamento a ser seguido para que seja feita a auditoria de forma mais organizada. Apresentam as seguintes caractersticas:

. Definir as metas (Planejar P); . Definir os mtodos que permitiro atingir as metas propostas (Planejar P); . Educar e treinar (Executar D); . Executar a tarefa coletar dados (Executar D); . Verificar os resultados da tarefa executada (Verificar C); . Atuar corretivamente (Atuar A).

27

Fundamentos de Banco de Dados

UNIDADE IV FERRAMENTAS DE AUDITORIA DE SISTEMAS

4.1- Software generalista de auditoria de tecnologia da informao
Envolve o uso de software aplicativo em ambiente batch, que pode processar, alm de simulao paralela, uma variedade de funes de auditoria e nos formatos que o auditor desejar. Exemplos ACL (Audit Command Language): um software de extrao e anlise de dados desenvolvido no Canad; IDEA (Interactiva Data Extraction & Analysis) software para extrao e anlise de dados tambm desenvolvido no Canad; Audimation: a verso norte-americana do IDEA, da Caseware-IDEA, que desenvolve consultoria e d suporte para o produto; Galileo: software integrado de gesto de auditoria. Inclui gesto de riscos de auditoria, documentao e emisso de relatrios para auditoria interna; Pentana: software de planejamento estratgico da auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklists e programas de auditoria, inclusive de desenho e gerenciamento de plano de ao. Vantagens: Pode processar vrios arquivos ao mesmo tempo; Pode processar vrios tipos de arquivos com formatos diferentes, por exemplo EBCDIC ou ASCII; Poderia tambm fazer uma integrao sistmica com vrios tipos de softwares e hardwares; Reduz a dependncia do auditor do especialista de informtica para desenvolver aplicativos especficos para todos os auditores de sistemas de informao. Desvantagens: Como o processamento das aplicaes envolve gravao de dados (arquivos) em separado para serem analisados, poucas aplicaes podem ser feitas em ambiente on-line; O software no consegue processar clculos complexos, pois como se trata de um sistema generalista, no aprofunda na lgica e na matemtica muito complexas.

28

Fundamentos de Banco de Dados

4.2- Softwares Especialistas de auditoria

Consiste em programa desenvolvido especificamente para certas tarefas em certas circunstncias. Vantagens: Pode atender sistemas ou transaes no contempladas por softwares generalistas; O auditor, quando consegue desenvolver softwares especficos numa rea muito complexa, pode utilizar isso como vantagem competitiva. Desvantagens: Pode ser muito caro, pois ter uso limitado e normalmente restrito a determinado cliente; Atualizao pode ser complicada devido a falta de recursos que acompanhem as novas tecnologias.

4.3- Programas utilitrios

O auditor utiliza softwares utilitrios para executar funes muito comuns de processamento, como sortear arquivo, sumarizar, concatenar, gerar relatrios. Pode ser um EXCEL, ou recursos de bancos de dados como o SQL, OQL, etc. Vantagem: Pode ser utilizado como alternativa na ausncia de outros recursos. Desvantagem: Sempre necessitar do auxlio do funcionrio da empresa auditada para operar a ferramenta (no caso de ferramentas complexas, como bancos de dados).

29

Fundamentos de Banco de Dados

UNIDADE V AUDITORIA DO AMBIENTE COMPUTACIONAL

5.1-Auditoria de Sistemas em Operao
Transformao de dados em informao Captao e registro de dados Converso de dados Consistncia dos dados Atualizao de arquivos Armazenamento e recuperao de dados Apresentao das informaes Utilizao das informaes

Pontos de Controle auditados: Anlise dos Relatrios Emitidos pelo Sistema Parmetros avaliados: Eficcia - Verifica o nvel de satisfao dos usurios com: Natureza, correo e qualidade das informaes recebidas; Periodicidade e intensidade das informaes recebidas; Forma de apresentao da informao (sinttica / analtica) e distribuio do relatrio. Confidencialidade sigilo das informaes contidas no relatrio, distribuio e destruio fsica dos relatrios. Segurana fsica falta de qualidade na distribuio dos relatrios (rasgados, sujos, faltando vias, etc...). Anlise de Cadastro Parmetros avaliados: Segurana fsica Verifica cuidados com transporte, armazenagem e manuseio de dispositivos que contm os cadastros, contra calor, poeira, magnetismo, queda, etc.; Segurana lgica Verifica a existncia de pontos de controle tais como: somatrio de campos de valor, password, data de gravao e expirao do arquivo, quantidade de registros; Eficincia Forma de organizao do arquivo; campos ou registros existentes no arquivo e que no so utilizados. Outros pontos de controle: Rotinas de Atualizao, Programas de Clculo, Rotinas de Backup, Documentao do Sistema.

30

Fundamentos de Banco de Dados

Documentao utilizada: O DFD O auditor necessitar de uma documentao do sistema e dever elaborar, caso no exista, um DFD (Diagrama de Fluxo de Dados). O DFD: Obedece o esquema TOP DOWN; D prioridade representao de processos; Permite a representao grfica at o nvel de detalhamento desejado. Os pontos de controle podem ser definidos em quaisquer um dos nveis, sendo mais aconselhvel coloc-los no nvel mais baixo, para maior facilidade de entendimento. Tcnicas mais utilizadas: Questionrios, Visita in loco, Mapeamento estatstico (mapping), Entrevistas, Anlise de relatrios/telas.

5.2-Auditoria de Sistemas em Desenvolvimento

Exige fortes conhecimentos de anlise de sistemas por parte do auditor; necessrio que o auditor tenha atuado na auditoria de sistemas em operao antes de atuar na auditoria de sistemas em desenvolvimento.

O auditor de sistemas em desenvolvimento deve conhecer: Uma metodologia de desenvolvimento de sistemas computadorizados, com suas etapas, tcnicas, formulrios e conceitos bem como o papel dos profissionais da rea de sistemas Uma metodologia de auditoria que delineie a conceituao e a forma de participao do auditor na elaborao do sistema em computador. 5.2.1. O ciclo de desenvolvimento de sistemas Inicializao do projeto Estudo de viabilidade Anlise da situao atual Projeto lgico Projeto fsico Desenvolvimento e testes Implantao Administrao Manuteno

31

Fundamentos de Banco de Dados

5.2.2. Pontos de controle para auditoria de desenvolvimento de sistemas Processos: Etapas do ciclo de desenvolvimento Rotina operacional Rotina de Controle Resultados: Documentao Relatrios Estrutura lgica Estrutura fsica Modelo de dados Projeto de arquivos Layouts de telas Definio de programas 5.2.3 Anlise da Metodologia de Desenvolvimento de Sistemas Entendimento da metodologia atravs da documentao Identificao dos pontos de controle: Encadeamento lgico de idias Objetivos de cada etapa Tcnicas de anlise utilizadas Produtos gerados Responsabilidade pela execuo de cada etapa Documentao exigida nas etapas de desenvolvimento Qualidade de desenvolvimento do sistema Avaliao da adequao dos equipamentos ao sistema Emisso de opinio e debate com a equipe de computao 5.2.4. Anlise da documentao do desenvolvimento de sistemas Entendimento das especificaes atravs da documentao Identificao dos pontos fracos da documentao no que se refere a: Objetivos do sistema Anlise de custo / benefcio Levantamento do sistema atual Anteprojeto Projeto lgico Projeto fsico Testes isolados e integrados Programao Implantao Documentao geral Analisar e avaliar os resultados obtidos emitindo o relatrio.

32

Fundamentos de Banco de Dados

5.3-Auditoria do Centro de Computao

Deve abranger: Instalaes; Profissionais que executam tarefas comuns a todos os aplicativos; Contratos de hardware e software; Equipamentos; Software bsico e de apoio; Redes de comunicao, para integrao local e remota; Procedimentos administrativos, tcnicos e gerenciais; Plano de integrao de tecnologia. 5.3.1. Auditoria de Contratos de Hardware e Software Auditar transaes de compra, venda, aluguel, leasing, seguros e manuteno de equipamentos, compra, locao e manuteno de software e seus contratos. 5.3.2. Auditoria de utilizao de hardware e software Utiliza a tcnica de anlise de log/accounting, podendo tambm ser utilizadas as tcnicas de entrevista e questionrios. Utiliza indicadores que permitem: Estabelecer critrios para treinamento de profissionais e usurios; Montar um PDI possvel de ser cumprido; Manter um oramento de hardware, software e pessoal equilibrado; Conduzir a inovao tecnolgica do ambiente; Estabelecer critrios de depreciao de equipamentos; Desclassificar fornecedores no idneos; Identificar a causa de mau uso de hardware e software. 5.3.3. Auditoria de funes Anlise de funes, estudo do CPD e fluxo de informaes do ambiente: Assegurar a qualidade, o rendimento, a eficcia e a produtividade na rea sob auditoria; Assegurar o aproveitamento da especializao, a maximizao dos recursos, o controle e a coordenao; Assegurar a adequao do fluxo de informaes entre os setores do CPD e os usurios Tcnicas utilizadas: Questionrios, entrevistas, anlises de documentos/relatrios e telas. 5.3.4. Auditoria de Normas e Procedimentos Assegurar a divulgao e o uso de informaes referentes a politica, diretrizes, organizao e servios de forma sistematizada, criteriosa e segmentada; Assegurar o treinamento e a capacitao dos recursos humanos e o funcionamento do CPD.

33

Fundamentos de Banco de Dados

Documentao das normas e procedimentos: Informaes sobre o objetivo da normatizao; Facilidade de atualizao; Distribuio dos manuais; Padro esttico; Consistncia do contedo; Atualizao das informaes. Tcnicas utilizadas: questionrios, visita in loco, entrevistas, anlise da documentao. 5.3.5. Auditoria dos custos de PED Verificar os critrios para apurao de custos; Verificar os indicadores de custo apurados e sua evoluo histrica e comparao com o mercado; Verificar o esquema de anlise de custo vigente; Verificar as aes tomadas e as pendncias para minimizao de custos Exemplos: Custo de digitao de um pedido Custo de utilizao de mquina por tem de estoque processado Tcnicas utilizadas: entrevista, visita in loco, questionrios

5.4-Auditoria em ambiente de Microcomputadores

Identificar inventrio de micros, localizao fsica, usurios, configurao, softwares, etc.; Identificar a poltica do Centro de Informao da empresa; Verificar tempo, natureza, segurana fisica, segurana lgica e confidencialidade no uso dos microcomputadores dentro da empresa; Verificar integrao entre os micros; Verificar a documentao dos sistemas. 5.4.1. Auditoria do Centro de informao (CI) Problemtica de relacionamento usurios X CPD: fila de espera para desenvolvimento de novas aplicaes, alto custo de desenvolvimento de pequenos projetos, custo de hardware baixo X custo de software alto, etc.; Objetivo do Centro de informaes: acesso s informaes em tempo curto, prover ferramentas ao usurio, treinamento de usurios, suporte ao desenvolvimento de aplicativos para microcomputadores, apoio escolha de software para microcomputadores, orientao na utilizao dos micros na empresa.

34

Fundamentos de Banco de Dados

Objetivo da auditoria: Anlise das funes do CI; Avaliao das atividades de treinamento; Avaliao das atividades de controle de utilizao de hardware e software; Avaliao da estrutura do CI; Anlise de normas e procedimentos do CI (backup, linguagens de programao, utilizao de editores de texto, planilhas, documentao de programas, contratao de hardware e software, atendimento aos usurios). 5.4.2. Auditoria dos microcomputadores e seus usurios Envio de questionrios aos usurios para levantamento de dados de seu micro (hardware, software, interfaces, procedimentos de segurana, backup, etc.); Recebimento de respostas para levantamento de usurios que meream uma auditoria mais detalhada. Tcnica utilizada: questionrio.

5.5-Auditoria em ambiente de Teleprocessamento e Bancos de Dados

O Banco de Dados deve conter as informaes a serem tratadas pelos sistemas aplicativos da organizao, com os conceitos de unicidade do dado. Aspectos importantes: Existncia do administrador de dados; Existncia de um dicionrios de dados; Existencia de um SGBD; Existncia de um analista de banco de dados; Existncia de controle de acesso ao BD. Problemas encontrados: Leitura extrao de dados por entidade no autorizada; Alterao dos dados ou procedimentos de programas; Adio ou excluso de dados estranhos aos arquivos; Utilizao de equipamento ou software sem autorizao; Controles a serem verificados pelo auditor: Verificao de password; Verificao da autorizao de acesso aos dados; Confirmao da digitao de dados antes da atualizao do BD; Verificao da integridade do Banco de Dados; Verificao da ltima transao processada versus a ltima transao recuperada no BD, quando da queda do sistema; Verificao de protocolos de arquivos (header e trailler); Verificao dos protocolos de linhas; Verificao da utilizao de terminais.

35

Fundamentos de Banco de Dados

Procedimentos de segurana: Criao da funo de administrador de dados (descrio do BD, manuteno do dicionrio, monitoramento da utilizao do BD, controle de acesso, etc); Segurana fsica dos terminais; Definir normas para uso de passwords. Tcnicas utilizadas: Questionrios, visita in loco, entrevistas.

5.6-Auditoria em segurana fsica e ambiental do Centro de Computao

Infra-estrutura do Centro de computao (eltrica, hidrulica, ar condicionado, segurana contra fogo, inundao, etc.); Acesso fsico (porteiro, catraca, etc.); Segurana da rede de comunicao de dados; Segurana fisica de recursos humanos e materiais; Plano de contingncia. Tcnicas utilizadas: Questionrios, visita in loco, entrevistas.

5.7-Auditoria de segurana lgica e da confidencialidade

Segurana lgica : modificao inadequada dos recursos tecnolgicos, informaes e softwares. Confidencialidade: captao indevida dos recursos tecnolgicos, informaes e softwares. Programas de crtica e consistncia: verificam integridade do dado e sua compatibilidade com as informaes contidas no cadastro; Programas de processamento: verificam a correo do funcionamento do sistema e a alimentao dos arquivos corretos; Programas de sada: evitam a passagem de informaes erradas aos usurios.

36

Fundamentos de Banco de Dados

5.8-Auditoria do Plano Diretor de Informtica

Documentao que formaliza o planejamento estratgico de informtica para uma organizao: Estabelece a filosofia de PED para a empresa; Define os objetivos e a estrutura da rea de informtica; Apresenta o plano de sistemas a serem desenvolvidos e mantidos; Estabelece critrios para aquisio de software e hardware; Define a necessidade de recursos humanos; Apresenta um oramento de custos na rea de informtica; Enumera os benefcios a serem alcanados e as restries previstas. O auditor deve: Discutir se os novos sistemas a serem desenvolvidos esto priorizados segundo a gravidade da fraqueza do controle interno; Acompanhar se os relatrios de auditoria serviram de base para a elaborao do PDI; Verificar a adequabilidade do plano de sistemas as fraquezas detectadas pelo relatrio de auditoria; Acompanhar o cumprimento dos objetivos definidos para o PDI; Analisar a metodologia aplicada e o contedo do PDI; Avaliar a qualidade do planejamento do PDI.

5.9-Auditoria no ambiente de Inteligncia Artificial

Sistemas especialistas: Novos conceitos de computao banco de dados do conhecimento, software de inferncia, software com regras de deciso (sistemas especialistas); Aparecimento de duas novas funes: engenheiro do conhecimento (para estruturao dos sistemas especialistas de do software de inferncia) e especialistas (para alimentao do banco de dados do conhecimento e criao das novas regras de deciso). Desafios do auditor: Dificuldade de manter a documentao atualizada; Constante mudana nos objetivos dos sistemas especialistas; Carter extremamente interativo de manuteno e uso do sistema especialista.

37

Fundamentos de Banco de Dados

ANEXO 1 Bibliografia/Webliografia
. GIL, Antnio de Loureiro. Auditoria de Computadores 5 Edio. Atlas, 2000. . IMONIANA, Joshua Onome. Auditoria de Sistemas de Informao 1 Edio. Atlas, 2005. . http://michaelis.uol.com.br/ . http://busca.unisul.br/pdf/88277_Abilio.pdf . http://www.lyfreitas.com/artigos_mba/arttrilhaauditoria.pdf . http://www.vemconcursos.com/opiniao/index.phtml?page_ordem=assunto&page_id=233 &page_parte=2 . http://ix.congresso.iscap.ipp.pt/resumos/brasil/a_contabilidade_de_gestao/sistema_integr ado_de_informacao.pdf . http://www.inf.pucrs.br/~jaudy/audit%20face%20modulo%204%20definicoes%20e%20 gestao%20da%20area%20de%20AS.pdf . http://www.portaldomarketing.com.br/Artigos/Fatores_Criticos_de_Sucesso.htm . http://tecspace.com.br/paginas/aula/asi/aula01.pdf . http://www.reitoria.rei.unicamp.br/auditoria/documentos/mod2_ap_dia9.pdf . http://www.fes.br/disciplinas/cic/ASC/012-%20Relatorios%20de%20auditoria.pdf . http://www.qualidade.eng.br/auditoria_alta_direcao.htm . http://www.qualityservicesconsultoria.com.br/faq2.html http://www.deloitte.com/assets/Dcom. Brazil/Local%20Assets/Documents/auditoria%20interna.pdf . www.apcontabilidade.com.br/artigos/auditoria.htm . http://tecspace.com.br/paginas/aula/asi/aula05.pdf . http://tecspace.com.br/paginas/aula/asi/aula06.pdf . http://www.trf4.jus.br/trf4/upload/editor/apg_ROGER_CANDEMIL.pdf . AUDITORIA E SEGURANA DE SISTEMAS - Sandra Regina da Luz Incio (arquivo da Internet). . Normas e Tcnicas de Auditoria I - Henrique Hermes Gomes de Morais (arquivo da Internet).

38