96 — AUDITORIA DE SISTEMAS DE INFORMAGAO * Ha procedimento de formalizacao da real necessidade para um novo sistema? * Asespecificacées so feitas de forma diligente, confrontando os conhe- cimentos dos usuarios com os de analista de sistema, visando dar suporte aos projetos? * Os desenvolvimentos de testes e instalagao na producio sao feitos sem traumas para os usuarios? * Ha informacées apresentadas para que os usudrios possam decidir en- tre aquisig&o e desenvolvimento interno? * O desenvolvimento segue os padrées e utiliza todas as ferramentas para alinhd-lo com os sistemas ja existentes? * As questées basicas operacionais/funcionalidade, tecnologia, pds-ven- das, seguranga e de andlise de custo e beneficios, entre outras, sao es- clarecidas quando da decisiio de compras externas? * Os usuarios sao treinados para utilizar os sistemas com todos os poten- ciais que possuem? * As manutenges sao feitas sem interrupgao das operacées normais da empresa? * As documentagées sao consistentes e disponiveis para orientar os usudrios? 7.5 PROGRAMAS DE TESTE DE CONTROLES SIM NAO REF.: W/P ESPECIFICAGAO DO SISTEMA 1. Ha rotinas e procedimentos estabelecidos para ela- boragao de especificagdes, visando dar suporte a projetos de novos sistemas ou mudangas nos siste- mas existentes? Se sim, descreva os controles existentes para asse- gurar que: « Os usudrios dos sistemas, principalmente o pro- Prietario dos sistemas, estejam envolvidos. + Oanalista de sistema responsdvel seja identifica- do O analista documente o agendamento de reu- nides, inclusive as deliberagdes.AQUISIGAO, DESENVOLVIMENTO, MANUTENGAO E DOCUMENTAGAO DE SISTEMAS 97 Dados de entrada e o meio de entrada desses da- dos no sistema sejam identificados. * Formato, o meio e a distribuigéo dos relatérios sejam especificados. Passos ea légica de processamento sejam identi- ficados. « Ambientes de software e hardware apropriados sejam especificados. * Os requisitos de seguranga de informagao sejam adequadamente considerados. Oscontroles internos, embutidos no sistema e do usuario, sejam incorporados ao desenho do sis- tema. Esses controles podem incluir totais de lote, edigéo de entrada, consisténcia, rotinas de verificagao ¢ relatérios principais de controle? AQUISIGAO DE SISTEMAS 2 Ha rotinas e procedimentos estabelecidos para o envolvimento do usuario na selegao de sistemas? Se sim, descreva os controles existentes para asse- gurar que: « Usuarios descrevam as especificagdes das fun- Ges imprescindiveis do sistema © Asespeciticagées sejam revisadas pelo comité de informatica. Um numero significativo de fornecedores mais con- ceituados é convidado a apresentar propostas de fornecimento. A decisao para o fornecimento é feita com atengao aos critérios de andlise custo/beneficios. Se nao, sistemas comprados podem nao atender as necessidades do usuario. Conseqiientemente, os sistemas podem funcionar incorretamente. Se as especificagdes sdo inadequadas, as transa- Ges processadas por sistemas adquiridos, desen- volvidos ou modificados sem as adequadas espe- cificagdes podem ser processadas sem confiabili- dade. SIM NAO REF.: W/P-98 AUDITORIA DE SISTEMAS DE INFORMAGAO Hé rotinas e procedimentos estabelecidos para 0 envolvimento do usuario na sele¢do, especificacao ou modificagao de sistemas? Se sim, descreva os controles existentes para asse- gurar que: * Usuarios sejam solicitados a descrever as carac- teristicas ou mudangas de que necessitam. « Especificagdes sejam revistas por usuérios ou por um Comité Executivo de informatica, que in- clui representantes dos usudrios. Se nao, sistemas desenvolvidos podem nao atender as necessidades do usuario. Conseqdentemente, os sistemas podem funcionar incorretamente. Proce- dimentos adequados de teste, envolvendo usuarios, podem reduzir o risco de erro na especificagao do sistema Hé rotinas e procedimentos estabelecidos para de- terminar prioridades para os projetos de desenvol- vimento e manutencdo de sistemas? Se sim, descreva os controles existentes para asse- gurar que: * Mudangas criticas sejam classificadas como de alta prioridade. ‘* Mudangas nos sistemas sejam feitas na ordem correta. « Mudangas nas prioridades e cronograma sejam comunicadas aos usudrios. Se nao, a empresa pode nao estar fazendo as mu- dangas necessarias, na ordem correta. Por exem- plo, mudangas no sistema de faturamento talvez de- vam ser feitas antes de modificagdes no sistema de contas a receber, para prevenir erros que ocorre- riam nos sistemas. Ha rotinas e procedimentos estabelecidos para rever as especificagGes dos projetos por pessoal apropria- do de processamento de dados, fora da area de de- senvolvimento e manutengéo de sistemas (por exemplo: operagdo, seguranga e suporte)? siM NAO REF.: W/PAQUISIGAO, DESENVOLVIMENTO, MANUTENGAO E DOCUMENTACAO DE SISTEMAS 99 Se sim, descreva os controles existentes para asse- gurar que 0 efeito de sistemas novos ou alterados, nas atividades de cada um desses grupos, é consi- derado e que a especificagao é viével. Se nao, o sistema pode nao ser projetado e progra- mado de maneira consistente com as atividades e procedimentos de cada um desses outros grupos, € certas caracteristicas desejadas no sistema podem nao ser passiveis de implementacao. PROGRAMAGAO 6. A empresa faz desenvolvimento ou modificagdes de sistemas aplicativos internamente? Se sim, descreva os controles existentes para asse- gurar que Programas sejam desenvolvidos de maneiracon- sistente e de acordo com os padres de progra- magao ou outras orientagGes usadas pela empre- sa, * A codificagao de programas novos ou alterados esteja sujeita a revisao pelos supervisores de pro- gramagao (analistas, lideres de projeto). # Sistemas novos ou modificados nao sejam colo- cados em operacdo antes de estarem autorizados e aprovados para implantagio. Se os controles sobre o desenvolvimento interno nao atendem aos itens anteriores, programas nao autorizados ou inadequados podem ser postos em operagao ou sistemas podem ser de dificil manuten- G40, resultando em erros de processamento, infor- magdo incorreta ou enganosa? TESTE 7. Hé rotinas e procedimentos estabelecidos para tes- tar aplicativos novos ou que sofreram mudancas significativas? Se sim, descreva os controles existentes para asse- gurar que: «# testes incluam alguns ou todos os itens a seguir, de acordo com as circunstancias: SIM NAO REF.: W/P100 AUDITORIA DE SISTEMAS DE INFORMAGAO — testes da légica dos programas; — testes dos procedimentos de entrada de da- dos do usuario; — testes das interfaces (interligagées) com ou- tros sistemas; — testes paralelos com o sistema existente a ser substituido, se apropriado; — testes de controles e caracteristicas de segu- ranga, * Testes sejam executados com dados hipotéticos @ ndo com dados reais. * Geragdo de massa de teste seja feita através de ferramenta especifica. + Testes sejam completados e analisados antes de 0s sistemas novos ou modificados serem postos em operagao. * Os usuarios revisem os resultados dos testes e déem um “aceite” ao sistema antes de ele ser Posto em operagao. Se nao, sistemas novos ou modificados que conte- nham erros podem ser postos em operagio, cau- sando resultados nao confidveis ou perda/alterago de dados. DOCUMENTAGAO 8. Aempresa mantém documentagao para totalidade dos sistemas contabeis significativos, que atenda 4s necessidades do usuario e do pessoal de proces- samento de dados? Se sim, descreva os controles existentes para asse- gurar que: A documentacao seja atualizada e reflita exata- mente o sistema em operagao. * A documentagao seja suficientemente detalhada ara suportar futuras mudangas no sistema + Asinstrugdes do usuario e do operador sejam su- ficientemente detalhadas para possibilitar 0 cor- reto uso @ operagao do sistema. NAO REF.: W/PAQUISICAO, DESENVOLVIMENTO, MANUTENGAO E DOCUMENTAGAO DE SISTEMAS 101. + A documentagao sigilosa seja guardada em area fisicamente segura. Para obter maior entendimento dos controles de do- cumentagdo mencionados, considere o seguinte: Os tipos de usuarios que necessitam de docu- mentagao e as informagdes aplicaveis para eles. * Os passos ¢ a ldgica de processamento. + Os pontos de controle importantes. ‘Se a documentacao é inexistente, desatualizada ou inadequada, podem ocorrer erros na operagado ou uso do sistema, ou na introdugao de futuras altera- goes. MANUTENGAO 9. Aempresa executa projetos de manutengao em sis- ‘temas aplicativos internamente? Se sim, descreva os controles existentes para asse- gurar que: © Solicitagdes de manutencao de programas sejam documentadas e autorizadas pelo usuario e pela geréncia de processamento de dados. . ‘A manutengao de programas esteja sujeita aos padres de programacao aplicaveis. A manutengao seja executada por pessoal apro- priado (programadores, usuarios e analistas). Os usuérios revisem os resultados dos testes € déem um “aceite” & manutengdo antes de ela ser posta em operacao. A documentacao seja apropriadamente atualiza- da para refletir a alteragao do sistema. SiM NAO REF.: W/P AMPUS URUGUAIANA = PUCRS- BIBLIOTECA lene