Escolar Documentos
Profissional Documentos
Cultura Documentos
Presidente:
Ministro Homero Santos
Vice-Presidente:
Ministro Iram de Almeida Saraiva
Ministros:
Adhemar Paladini Ghisi
Carlos Átila Álvares da Silva
Marcos Vinicios Rodrigues Vilaça
Humberto Guimarães Souto
Bento José Bugarin
Antônio Valmir Campelo Bezerra
Auditores:
José Antônio Barreto de Macedo
Lincoln Magalhães da Rocha
Benjamin Zymler
Procurador-Geral:
Walton Alencar Rodrigues
Subprocuradores-Gerais:
Jatir Batista da Cunha
Lucas Rocha Furtado
Paulo Soares Bugarin
Procuradores:
Maria Alzira Ferreira
Marinus Eduardo Vries Marsico
Ubaldo Alves Caldas
Cristina Machado da Costa e Silva
SAFS Lt. 01
CEP: 70.042-900 - Brasília (DF)
José Nagel
HOMERO SANTOS
APRESENTAÇÃO
Homero Santos
Presidente
SUMÁRIO
Página
LISTA DE QUADROS................................................................................................ 12
LISTA DE SIGLAS..................................................................................................... 13
INTRODUÇÃO........................................................................................................... 14
5. ESTUDO DE CASO......................................................................................................... 35
5.1. Situação hipotética......................................................................................... 35
5.2. Informações básicas sobre a área auditada................................................... 35
5.3. Procedimentos de avaliação.......................................................................... 35
5.4. Determinação do uso planejado para os dados............................................. 35
5.5. Levantamento dos elementos de conhecimento prévio sobre os dados e o
sistema............................................................................................................ 36
5.6. Avaliação dos controles do sistema............................................................... 36
5.6.1. Avaliação extensiva.............................................................................. 37
5.6.2. Avaliação moderada.............................................................................. 37
5.7. Determinação da confiabilidade de dados..................................................... 37
5.8. Teste de dados............................................................................................... 37
5.8.1. Teste extensivo..................................................................................... 37
5.8.2. Teste reduzido...................................................................................... 39
5.9. Conclusão....................................................................................................... 39
2. CONTROLES DE APLICATIVOS.......................................................................... 68
2.1. Controles da Entrada de Dados...................................................................... 68
2.1.1. Documentos ou telas de entradas de dados 68
............................................
2.1.2. Rotinas de preparação dos dados (batch)................................................ 69
2.1.3. Autorização para entrada de dados.......................................................... 69
2.1.4. Retenção de documentos de entrada (sistema batch)............................. 70
2.1.5. Validação dos dados de entrada.............................................................. 70
2.1.6. Tratamento de erros................................................................................. 71
2.1.7. Mecanismos de suporte para entrada de dados....................................... 72
2.2. Controles do Processamento de Dados.................................................... 72
2.2.1. Integridade do processamento................................................................. 72
2.2.2. Validação do processamento.................................................................... 73
2.2.3. Tratamento de erros do processamento................................................... 73
2.3. Controles da Saída de Dados......................................................................... 73
2.3.1. Revisão dos dados de saída....................................................................... 73
2.3.2. Distribuição dos dados de saída................................................................. 73
2.3.3. Segurança dos dados de saída................................................................... 74
3. DESENVOLVIMENTO DE SISTEMAS.................................................................. 75
3.1. Fase 1: Planejamento..................................................................................... 75
3.2. Fase 2: Elaboração do plano de desenvolvimento e início do projeto........... 76
3.3. Fase 3: Organização do projeto..................................................................... 77
3.4. Fase 4: Elaboração do projeto do sistema..................................................... 77
3.5. Fase 5: Revisão e aprovação pelos dirigentes.............................................. 78
3.6. Fase 6: Desenvolvimento e Implantação........................................................ 78
3.6.1. Teste do sistema.................................................................................. 79
3.6.2. Implementação..................................................................................... 79
3.6.3. Bibliotecas de controles....................................................................... 80
3.7. Fase 7: Revisão de pós-implementação........................................................ 80
4. BANCO DE DADOS 81
..............................................................................................
4.1. Dicionário de dados ....................................................................................... 81
4.2. Armazenamento de dados ............................................................................ 82
4.3. Acesso ao banco de dados ........................................................................... 82
4.4. Bancos de dados distribuídos ....................................................................... 82
4.5. Administração de banco de dados ................................................................ 83
1
0
4.6. Administração de dados ................................................................................ 84
4.7. Avaliação de Banco de Dados....................................................................... 84
4.7.1. Controles de Administração de dados................................................. 84
4.7.2. Controles de Administração de banco de dados ................................. 85
4.7.3. Controles de acesso ao banco de dados e dicionário de dados ......... 85
4.7.4. Controles sobre o conteúdo e alterações no dicionário de dados ....... 85
4.7.5. Disponibilidade e recuperação do banco de dados.............................. 86
4.7.6. Integridade do banco de dados ............................................................ 86
6. MICROCOMPUTADORES 94
....................................................................................
6.1. Controles do software em uso........................................................................ 95
6.2. Controles de segurança................................................................................. 95
6.3. Controles sobre a operação........................................................................... 96
GLOSSÁRIO............................................................................................................. 97
BIBLIOGRAFIA.......................................................................................................... 102
LISTA DE QUADROS
Página
1
1
2 - Determinação da extensão da avaliação dos controles do sistema 21
1
2
LISTA DE SIGLAS
13
MANUAL DE AUDITORIA DE SISTEMAS
15
1. REQUISITOS PARA A UTILIZAÇÃO DE EVIDÊNCIA PROVENIENTE DE DADOS
PROCESSADOS POR COMPUTADORES
16
2. MÉTODOS DE AVALIAÇÃO DE DADOS PROCESSADOS POR COMPUTADOR
Avaliação limitada: é direcionada para dados específicos. Por essa razão, ela
normalmente requer uma avaliação menos profunda dos controles gerais e de
aplicativos, podendo ser realizada por equipes compostas, somente, por técnicos
generalistas. Os controles pertinentes são examinados na extensão necessária
para julgar o grau de abrangência dos testes a serem feitos nos dados visando a
determinar sua confiabilidade.
Há casos em que opção pela avaliação do sistema será mais vantajosa. Por
exemplo: quando uma unidade técnica utiliza repetidamente dados do mesmo sistema
informatizado em suas atividades de fiscalização. Nessas circunstâncias, uma avaliação
extensiva, periodicamente atualizada, pode revelar-se menos onerosa, a longo prazo, que
sucessivas avaliações limitadas dos dados. Para execução de uma avaliação extensiva
deve-se utilizar os capítulos 1 e 2 da Parte 2 deste Manual. Na maioria das auditorias,
entretanto, o segundo método de avaliação é adequado e suficiente, podendo ser aplicado
através das técnicas e procedimentos constantes dos itens 3 e 4 seguintes.
17
3. TÉCNICAS
DOS DADOS
E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE
18
Inicialmente, deve-se identificar os dados e sistemas a serem utilizados. Em
seguida, cada grupo de dados deve ser classificado de acordo com sua utilidade (única
evidência, comprovação auxiliar ou dado de informação geral).
3.2. Definição dos dados que deverão ter sua confiabilidade avaliada
O Quadro a seguir resume as implicações dos três usos possíveis para os dados.
Quadro 1 - Determinação da necessidade ou não de avaliação da confiabilidade dos dados quando outras
evidências comprobatórias estão disponíveis.
19
Nos casos em que se inferiu a necessidade de avaliação da confiabilidade dos
dados, a próxima etapa consiste no levantamento de todas as informações disponíveis
sobre o sistema e os dados.
Os seguintes exemplos ilustram como a equipe pode saber mais sobre os dados
ou o sistema que os processou:
20
Quadro 2 - Determinação da extensão da avaliação dos controles do sistema
AMPLITUDE DA AVALIAÇÃO
CONHECIMENTO PRÉVIO SOBRE USO PLANEJADO PARA OS DADOS DOS CONTROLES DO
O SISTEMA OU OS DADOS
SISTEMA
As informações são Única evidência para possíveis Extensiva
insuficientes ou avaliações achados
anteriores detectaram erros Evidência auxiliar Moderada
significativos nos controles Desnecessária*
Informações gerais (histórico,
do sistema ou nos próprios
descrição etc.)
dados.
A confiabilidade do sistema Única evidência para possíveis Moderada
ou dos dados já foi avaliada achados
e considerada adequada em Evidência auxiliar Reduzida
trabalhos anteriores.
Informações gerais (histórico, Desnecessária
descrição etc.)
(*) A menos que haja razões para se acreditar que uma falta de rigor nos dados pode de alguma forma
distorcer os resultados do trabalho. Nesse caso, a equipe deve decidir entre avaliar a existência e eficácia dos
elementos-chave de controle, desistir do uso das informações ou confirmar sua validade através de outras
fontes.
21
grande número de elementos de dados codificados (por exemplo, itens do
estoque representados por meio de códigos numéricos, em vez do nome do
bem, podem dificultar a identificação até mesmo de erros grosseiros);
alta rotatividade de pessoal (digitadores, operadores, programadores,
analistas) e treinamento inadequado ou em escala insuficiente;
estruturas de dados complexas ou desorganizadas;
falta de padrões para o processamento de dados, especialmente quanto à
segurança, acesso e controle de mudança de programas.
RISCO DE CONFIABILIDADE
AVALIAÇÃO DOS CONTROLES DO =
RISCO DE CONFIABILIDADE
INICIALMENTE CALCULADO SISTEMA AJUSTADO
Alto Fracos/Indeterminados Alto
Adequados Alto a moderado
Sólidos Moderado a baixo
Moderado Fracos/Indeterminados Moderado
Adequados Moderado a baixo
Sólidos Baixo
Baixo Fracos/Indeterminados Baixo
Adequados Baixo a muito baixo
Sólidos Muito baixo
Muito baixo normalmente não necessária e de Muito baixo
alto custo-benefício
23
Quadro 5 - Determinação da extensão do teste de dados.
RISCO DE CONFIABILIDADE ABRANGÊNCIA DO TESTE DE DADOS
Alto Extensivo
Moderado Moderado
Baixo Reduzido
24
duplicação manual dos processos executados pelo computador e verificações ditadas pelo
senso comum, as quais serão descritas a seguir.
25
3.6.5. Observações sobre o uso da auditoria sem o auxílio do computador
26
3.7. Divulgação da fonte dos dados e da confiabilidade atribuída aos
mesmos
27
A seguir, apresentam-se exemplos que ilustram as formas como podem ser
apresentados os resultados da avaliação da confiabilidade dos dados em relatórios:
28
4. ROTEIRO PARA AVALIAÇÃO DOS CONTROLES DE SISTEMA
Se for concluído que os controles do sistema são insuficientes para limitar o teste
de dados ou que continuar a avaliação dos controles será mais custoso que efetuar um
teste extensivo de dados, a fase de avaliação dos controles do sistema deve ser
interrompida. Nesses casos, a equipe deve passar para a etapa de teste extensivo de
dados, como se os controles do sistema fossem fracos ou inexistentes.
30
4.1.3. Controles de segurança
São projetados para garantir que os dados sejam convertidos para um formato
padrão e inseridos na aplicação de forma precisa, completa e tempestiva. Controles a serem
verificados:
31
Rejeição e armazenagem automática de dados que não atendam aos
requisitos de entrada em um arquivo de dados de processamento interrompido;
Procedimentos documentados para o tratamento de erros (identificação,
correção e reprocessamento de dados rejeitados pela aplicação);
Análise periódica do arquivo de processamento interrompido para examinar a
taxa de erro de entrada de dados e a situação dos registros não corrigidos;
Medidas corretivas para redução de taxas de erro excessivas;
Controle da integridade dos dados de entrada, por meio da confrontação entre
total de registros inseridos (registros rejeitados + registros aceitos) e o total de
documentos de origem.
São utilizados para garantir que os dados sejam manipulados pelo computador
de uma forma precisa, completa e tempestiva. Devem ser verificados:
32
Armazenamento dos documentos de origem em uma seqüência lógica, para
fácil recuperação.
33
Os principais elementos que definem a adequação dos controles de aplicativos
são:
34
5. ESTUDO DE CASO
Nesta seção é apresentado um exemplo da aplicação dos procedimentos
mencionados neste módulo para determinar a confiabilidade de evidências processadas por
computador.
Uma vez que os dados que irão fundamentar o trabalho de auditoria deverão ser
extraídos do sistema informatizado “Folha de Pagamento”, antes de iniciar a auditoria
propriamente dita, a equipe de auditoria deverá proceder à avaliação da confiabilidade
desses dados.
35
Os dados serão realmente importantes para se atingir os objetivos de
auditoria? O sistema será utilizado apenas para estabelecer um histórico da
folha de pagamento, ou seus dados vão ser diretamente utilizados como
evidência nas conclusões do relatório?
Os dados do sistema “Folha de Pagamento” são a única fonte de informação
sobre as despesas com o pagamento de pessoal, ou fazem parte de um
conjunto maior de evidências comprobatórias?
Tendo sido planejado o uso a ser feito dos dados processados pelo sistema
“Folha de Pagamento”, e identificada a necessidade de avaliação da sua confiabilidade
pode-se passar ao levantamento das informações disponíveis sobre esse sistema.
O TCU utilizou esta mesma base de dados como suporte para achados de
auditoria em outros trabalhos recentes? Se a resposta for sim, qual foi a
avaliação da confiabilidade desses dados naquela ocasião?
A Auditoria Interna da Empresa X avaliou recentemente o sistema, ou a
confiabilidade desses dados? Se a resposta for sim, qual foi a opinião emitida
sobre esses dados? Foram feitas recomendações para melhorar os controles
do sistema? O Departamento de Pessoal e o CPD adotaram as medidas
necessárias para implementar essas recomendações?
O que os funcionários do Departamento de Pessoal e outros usuários do
sistema dizem sobre a exatidão dos dados? Com que freqüência eles
encontram erros nesses dados? Qual a importância desses erros?
Os funcionários têm relatado problemas ou dúvidas quanto à exatidão dos
valores declarados no sistema? Eles confiam nos dados para desempenhar
suas funções, ou mantêm registros manuais em separado?
Outras fontes de informação tendem a confirmar ou contradizer os dados
processados por computador?
36
Hipótese: os dados do sistema “Folha de Pagamento” são os únicos disponíveis
como evidência para os objetivos de auditoria, e as informações conhecidas sobre o sistema
não permitem considerá-lo confiável.
37
o sistema “Folha de Pagamento” é a única fonte disponível para os dados a
serem utilizados como evidência;
nenhum trabalho do TCU ou do controle interno determinou recentemente a
confiabilidade desses dados;
os controles gerais e de aplicação mostraram-se deficientes.
38
se os valores dos pagamentos informados pelo sistema estão dentro de
parâmetros “razoáveis” (não são quantias irrisórias ou extremamente elevadas)
e não extrapolam os limites legais;
se a soma dos valores dos pagamentos mensais corresponde ao valor da
despesa com pagamento de pessoal declarado pelo setor de contabilidade da
Empresa.
5.9. Conclusão
39
MANUAL DE AUDITORIA DE SISTEMAS
41
Para cada uma dessas seis categorias, este manual identifica os elementos
críticos que irão determinar a qualidade dos controles auditados e apresenta as técnicas e
procedimentos de auditoria recomendáveis para a avaliação desses controles.
42
1.1. Controles Organizacionais
Gerente de T.I.
(ou de Processamento de
Dados)
43
Gerente de Operações Gerente de Suporte Gerente de Sistemas
Técnico
Operadores Analistas/
Programadores
44
Os funcionários do DTI:
45
1.1.5. Política de segregação de funções e controles de acesso
47
1.2. Programa Geral de Segurança
1
V. termo "vulnerabilidade de dados" no Glossário deste manual.
48
Avaliação do risco e gerência do risco são esforços contínuos. Ainda que a
avaliação geral do risco possa ser feita mais espaçadamente (a cada ano ou dois), o risco
deve ser reavaliado toda vez que houver mudança na operação da organização, ou em
influências externas que afetem essa operação.
49
1.2.4. Avaliação periódica do risco
O plano de segurança:
foi documentado e aprovado pela alta gerência e pelos setores afetados;
cobre todas as instalações e operações essenciais;
é mantido atualizado, com revisões periódicas e ajustes que reflitam as
mudanças nas condições de operação e nos riscos.
O plano de segurança:
estabelece uma estrutura de gerência de segurança com independência,
autoridade e conhecimento suficientes;
prevê a existência de gerentes de segurança dos sistemas de informação tanto
em nível geral quanto nos níveis subordinados;
identifica precisamente o proprietário de cada recurso computacional e os
responsáveis pela gerência do acesso a esses recursos;
define as responsabilidades de segurança nos seguintes níveis: (1)
proprietários e usuários dos recursos de informação; (2) pessoal de
processamento de dados; (3) alta gerência; e (4) administradores de
segurança;
é periodicamente revisto e atualizado, estando em dia com as necessidades da
entidade.
50
1.2.7. Políticas de segurança eficazes
As ações corretivas são testadas após terem sido implementadas para confirmar
sua eficácia e, quando necessário, supervisionadas periodicamente. Verificar a situação das
recomendações mais recentes da auditoria interna e se as medidas corretivas adotadas
foram testadas quanto à sua eficácia.
52
2.2.1. Avaliação da vulnerabilidade das operações computadorizadas e
identificação dos recursos que as apoiam
Controles físicos foram implementados para evitar outros desastres, tais como
inundação, elevação excessiva da temperatura etc. Os controles físicos são periodicamente
testados.
53
Os funcionários do centro de processamento de dados receberam treinamento
para os casos de emergência, tendo sido informados de suas responsabilidades na
ocorrência de eventos do gênero. Verificar se existem registros de treinamentos periódicos
previstos e efetuados, para procedimentos de emergência envolvendo fogo, inundação e
disparo de alarmes.
54
O plano prevê pessoal substituto, de forma a poder ser implementado
independentemente de indivíduos específicos.
Visitantes em áreas críticas, tais como sala do computador central e fitoteca, são
formalmente registrados e acompanhados. Verificar o registro de entradas de visitantes;
entrevistar os vigias e responsáveis pela segurança; observar o trânsito de pessoas pelas
áreas críticas nos períodos dentro e fora do expediente normal.
As senhas são:
únicas para indivíduos específicos, não grupos;
controladas pelos usuários e não sujeitas a divulgação;
58
alteradas periodicamente (entre 30 e 90 dias);
não apresentadas na tela durante sua digitação;
compostas de pelo menos seis caracteres alfanuméricos e impedidas de
repetição antes de seis trocas pelo menos.
60
Números para discagem remota não são publicados e são periodicamente
alterados.
61
1.5. Controles de Software
62
A seguir é apresentado um roteiro contendo os elementos críticos do Software de
Sistema.
63
Os registros de acesso ao software de sistema e aos seus utilitários são
periodicamente examinados pela gerência de informática, e atividades suspeitas ou não
usuais são investigadas.
A migração para o uso do novo software testado e aprovado é feita por um grupo
independente, responsável pelo controle da biblioteca.
64
1.6. Controles de Desenvolvimento e Alteração de softwares Aplicativos
66
Existem procedimentos de alterações de emergência documentados.
O código em uso, código-fonte e cópias extras dos programas são protegidos por
software de controle de acesso e por características de segurança do sistema operacional.
67
2 CONTROLES DE APLICATIVOS
Controles de aplicativos são aqueles incorporados diretamente em programas
aplicativos, nas três áreas de operação (entrada, processamento e saída de dados), com o
objetivo de garantir um processamento confiável e acurado.
O presente módulo tem por objetivo apresentar os controles que devem ser
verificados em trabalhos de fiscalização que incluam a avaliação de um ou mais programas
aplicativos da organização auditada.
Os controles desta categoria são projetados para garantir que os dados são
convertidos para um formato padrão e inseridos na aplicação de forma precisa, completa e
tempestiva.
68
2.1.2. Rotinas de preparação dos dados (batch)
69
a aprovação da entrada de dados está limitada aos indivíduos especificados
pela organização em documento escrito.
o pessoal responsável pela autorização da entrada de dados não executa
outras tarefas incompatíveis pelo princípio da segregação de funções (v.
módulo de Controles Gerais, Controles Organizacionais - Segregação de
Funções - item 1.2.).
70
Existem mecanismos para a validação, edição e controle da entrada de dados
(terminais inteligentes ou software dedicado a essa função).
71
A rotina de entrada de dados possui procedimentos automáticos ou manuais que
permitem que dados errôneos sejam prontamente corrigidos e re-submetidos;
72
2.2.2. Validação do processamento
74
3. DESENVOLVIMENTO DE SISTEMAS
A organização:
identifica as necessidades de informação ainda não atendidas e estabelece um
plano de ação para o desenvolvimento dos sistemas de maior prioridade;
estabelece e documenta as metodologias de desenvolvimento a serem
adotadas;
define e documenta as responsabilidades de todas as pessoas envolvidas no
desenvolvimento de sistemas.
75
A organização possui uma estratégia de desenvolvimento de sistemas de
informação e elaborou um plano operacional consistente com essa estratégia,
estabelecendo a prioridade dos sistemas a serem desenvolvidos de acordo com sua
importância para o cumprimento da missão institucional.
Foi estabelecida uma metodologia de desenvolvimento de sistemas que:
fornece uma abordagem estruturada de desenvolvimento, compatível com os
conceitos e práticas geralmente aceitos;
prevê o envolvimento ativo dos usuários no processo de desenvolvimento de
sistemas;
prevê o uso de técnicas atuais, tais como tecnologia de banco de dados, redes
de comunicação de dados, ferramentas CASE, linguagens de quarta geração,
prototipação etc.;
é suficientemente documentada, sendo capaz de oferecer orientação a
funcionários com diversos níveis de conhecimento e experiência;
oferece meios de controlar mudanças nos requisitos de projeto que ocorram
durante a vida do sistema;
inclui requisitos de programação, documentação, padrões para usuários,
programadores, desenvolvedores de sistemas e operadores do centro de
processamento de dados;
estabelece mecanismos de reavaliação, acompanhamento e controle em todas
as fases do processo, pela equipe e as gerências envolvidas, permitindo
redirecionar os trabalhos ou abandonar o projeto, quando se concluir que o
novo sistema não irá atender às necessidades da organização.
77
A equipe de projeto elaborou os projetos físico e lógico do sistema e produziu um
documento que apresenta:
características do sistema - físicas (plataforma, recursos exigidos) e funcionais
(atividades a serem executadas);
restrições ou impedimentos que possam limitar sua implementação;
tecnologias envolvidas (arquitetura do sistema, sistemas de segurança,
questões de integração, tais como interconectividade e interoperabilidade);
abordagem adotada para o projeto, seus componentes mais importantes e
como eles deverão operar em conjunto para atingir os objetivos
organizacionais;
relatórios de viabilidade técnica, análise de riscos e custo/benefício do projeto;
controles preventivos e corretivos, e trilhas de auditoria para os pontos críticos
do sistema.
Os projetos físico e lógico estão dentro dos padrões adotados pela organização
no que diz respeito a hardware, software, sistema operacional e linguagem de programação.
78
O sistema foi produzido de acordo com a metodologia de desenvolvimento
adotada pela organização e atende às especificações de projeto.
O ambiente de teste é diverso do ambiente real e dados reais não são usados no
teste de programas, exceto para construir arquivos de dados de teste.
3.6.2. Implementação
79
As bibliotecas dos sistemas em desenvolvimento são independentes das de
sistemas em manutenção, testes e programas em uso.
80
4. BANCO DE DADOS
Tradicionalmente, o termo banco de dados foi usado para descrever um arquivo
contendo dados acessíveis por um ou mais programas ou usuários. Os arquivos de dados
eram designados para aplicações específicas e o programa era projetado para acessá-los
de uma forma predeterminada. Essa abordagem, no entanto, oferecia muitas dificuldades,
caso os dados ou o programa tivessem que ser modificados.
81
Normalmente, os Dicionários de Dados armazenam as seguintes informações
para cada elemento:
descrição (nome dos elementos de dados, descrição do seu conteúdo);
formato e estrutura dos elementos de dados;
relação com outros elementos de dados;
programas ou transações com acesso aos dados, e razão para esse acesso;
relatórios de saída que contêm os elementos de dados.
Geralmente as consultas aos dados são feitas por um mecanismo interativo, por
meio do qual o usuário é instado a fornecer instruções sobre que dados estão sendo
requisitados. Esse mecanismo de solicitação de dados é freqüentemente específico para um
sistema, mas hoje há uma linguagem padrão ANSI chamada SQL, que foi projetada para
atender ao modelo de banco de dados relacional mencionado anteriormente.
82
Em algumas organizações, entretanto, existe a necessidade de acesso aos
mesmos dados em diferentes localidades. Uma solução alternativa seria instalar banco de
dados duplicados em cada localidade, com uma cópia de todos os dados ou apenas dos
dados locais. Isso oferece independência a cada localidade com relação à disponibilidade
dos dados, caso seja interrompido o acesso ao sistema central, mas acarreta problemas de
manutenção, integridade e duplicação dos dados.
Os dados que são compartilhados por meio da rede pelas diversas localidades
também são tratados pelo SGBD como um banco de dados único e completo. Os dados são
distribuídos pela a rede de acordo com as solicitações de cada localidade, aumentando a
velocidade do acesso.
83
Outro técnico que merece destaque no DTI é a figura do administrador de dados.
Este é responsável pelo controle de todos os tipos de dados que são manipulados pelo
banco de dados, do ponto de vista do seu significado, seu formato e relacionamento com
outros tipos de dados. Difere do administrador de banco de dados porque preocupa-se, não
com os elementos operacionais e de segurança do funcionamento do banco de dados, mas
com os dados propriamente ditos, garantindo, por exemplo, que o mesmo dado (com
mesmo conteúdo) não seja armazenado como elementos de dados diferentes. Ele conhece,
sobretudo, o negócio da empresa, enquanto que o administrador de banco de dados deve
ser especialista no software gerenciador do banco de dados. Assim, o administrador de
dados garante, em primeira instância, a uniformidade e coerência do banco de dados,
possibilitando que os dados sejam inseridos de forma lógica e ordenada, pois nada
adiantaria possuir um software de última geração se os elementos de dados fossem
definidos aleatoriamente.
84
4.7.2. Controles da administração de banco de dados
86
5. REDES DE COMPUTADORES
Atualmente, é bastante comum que os usuários de um sistema estejam em um
local diferente de onde se encontram os recursos computacionais da organização. Isso
torna necessário o uso de mecanismos de transporte de informações entre diferentes
computadores e entre computadores e seus periféricos.
88
O plano de implantação de processamento em rede contempla:
participação dos usuários;
riscos da conversão dos sistemas;
as diferentes necessidades de processamento dos usuários das diversas
localidades;
testes de aceitação a serem executados pelo DTI (Departamento de
Tecnologia da Informação), pelo controle de qualidade e por usuários
selecionados.
90
5.1.3.2. Segurança de comunicação na rede
91
5.1.6. Operação da rede
A rede contém mecanismos que minimizam o impacto provocado por uma falha
do sistema e existem procedimentos documentados para o retorno à operação, caso ocorra
uma interrupção inesperada do serviço.
92
Existem procedimentos documentados tratando da manutenção de rotas de
comunicação normais e alternativas.
93
6. MICROCOMPUTADORES
Normalmente são chamados de microcomputadores os computadores de mesa
que compreendem um processador, discos rígido e flexível, monitor e teclado. Os
microcomputadores podem ser utilizados isoladamente ou estar conectados a uma rede,
com o propósito de compartilhar dados ou periféricos.
Para que possa proteger-se contra esses riscos, a organização precisa adotar
políticas e procedimentos específicos quanto ao uso de microcomputadores pelos seus
funcionários, compreendendo padrões de hardware, software, aquisição, treinamento e
suporte, além dos controles gerais e de aplicativos.
94
Segurança: controlam o acesso a recursos computacionais, dados e
programas, protegendo-os contra alterações indevidas, furtos, divulgação de
documentos sigilosos etc.
Controles sobre a operação: protegem os recursos de microinformática
contra prejuízos e danos causados por falta de treinamento de pessoal e de
manutenção adequada.
95
Códigos de identificação e senhas de uso compartilhado pelos funcionários não
são permitidos.
96
GLOSSÁRIO
Arquivo: coleção organizada de informações, preparada para ser usada com finalidade
específica e identificada por um nome.
Banco ou base de dados: (1) coleção de dados organizados. (2) conjunto de todas as
informações armazenadas em um sistema de computação.
Códigos-fonte: (1) arquivo (texto) ou instruções originais a partir das quais um programa é
criado; (2) representação textual de um programa ou procedimento.
Controle de acesso: recurso que permite bloquear acesso a dados, de pessoas não
autorizadas.
97
problemas e falhas do sistema. Essa divisão pode também ser responsável pela
administração de base de dados para aplicações.
Divisão de software de sistema: o grupo de programação de sistema que
será responsável pela instalação e manutenção de software de sistema e dar suporte ao
resto do pessoal de TI e usuários em matérias técnicas. Eles garantem que os sistemas de
hardware e software operam com desempenho ótimo.
Divisão de comunicação de dados: o grupo de comunicação de dados ou
rede oferece assistência e auxílio aos usuários do sistema que experimentem problemas de
teleprocessamento ou precisam comunicar com dispositivos ou usuários remotos. São
responsáveis pelo desenvolvimento e manutenção de toda a rede de comunicação da
entidade.
Elemento de dado: item específico de informação que tem parâmetros definidos (exemplo:
número de CGC).
Gateway: máquina ou conjunto de máquinas que fornecem serviços entre duas redes. São
dispositivos usados na tradução entre protocolos de aplicação.
98
computador de, em conjunto, representarem o universo completo dos dados originais em
que se baseiam.
Log: arquivo em disco ou fita no qual são registrados todos os fatos relevantes relativos ao
processamento de uma transação. Muito útil para a recuperação de informações para fins
de auditoria ou recuperação após falhas.
Nível de acesso: conjunto de características que define o tipo de atividade permitida pelo
usuário em um sistema computacional (ex.: somente consulta, entrada de dados, alteração
de configurações, etc.).
Projeto de sistema: fase de produção dos sistemas em que se elaboram os projetos físico
e lógico do sistema, com especificações detalhadas para o seu desenvolvimento.
Registro: grupo de fatos ou campos de informação relacionados entre si, tratados como
unidade.
Risco: efeito latente resultante da exposição de um sistema a uma situação à qual este é
vulnerável.
Risco de confiabilidade: (1) risco de que os dados utilizados não sejam suficientemente
confiáveis para o fim a que se destinam; (2) risco de que os dados não sejam exatos e
completos o suficiente para servir de fundamento para achados de auditoria.
99
Segurança computacional: conceitos e técnicas (medidas físicas, administrativas e
técnicas) usadas para proteger hardware, software e dados de um sistema contra dano,
destruição, acesso, manipulação, modificação, uso ou perda, decorrente de ação deliberada
ou acidental. O objetivo da segurança computacional é assegurar integridade e
disponibilidade do sistema e o sigilo das informações nele contidas.
Segurança de dados: prevenção contra acesso ou uso de dados por pessoal não
autorizado.
Software: conjunto de programas e instruções que operam o computador. São dois os tipos
de software de computador: software de sistema, o qual engloba operações básicas
necessárias para operar o hardware (por exemplo, sistema operacional, utilitários de
comunicação, monitores de performance, editores, compiladores etc.) e software aplicativo,
o qual executa tarefas específicas para auxiliar os usuários em suas atividades.
Teste: execução de um programa, processo ou rotina com intuito de identificar suas falhas.
Trilha de auditoria: (1) rotinas específicas programadas nos sistemas para fornecerem
informações de interesse da auditoria. (2) conjunto cronológico de registros que
proporcionam evidências do funcionamento do sistema. Estes registros podem ser utilizados
para reconstruir, revisar e examinar transações desde a entrada de dados até a saída dos
resultados finais, bem como para rastrear o uso do sistema, detectando e identificando
usuários não autorizados.
100
Usuários de dados: funcionários ou terceiros que possuem direitos de acesso concedidos
pelos proprietários do sistema.
101
BIBLIOGRAFIA
102
BIBLIOGRAFIA
AUDINET (1997). LAN Audit Program in ASAP – Auditor Sharing Audit Programs. Internet.
------ (1997). LAN Basic Audit in ASAP – Auditor Sharing Audit Programs. Internet.
GAO (1997). Assessing Risks and Returns: A Guide for Evaluating Federal Agencies'
IT Investment Decision-making. Washington-DC, EUA.
------ (1996). Federal Information System Control Audit Manual, Vol I - Financial
Statement Audits. Washington-DC, EUA.
JENKINS, Brian (1992). An Audit Approach to Computers. London: Coopers & Lybrand.
103
RELAÇÃO DOS DOCUMENTOS ELABORADOS NA ÁREA DE FISCALIZAÇÃO E
CONTROLE EXTERNO
ESTRATÉGIAS ÚLTIMA
ATUALIZAÇÃO
Estratégia de Atuação para o Controle da Gestão Ambiental 1998
104
FOLHA DE SUGESTÕES
Sugestões sobre este manual também podem ser enviadas como se segue:
E-mail: saudi@tcu.gov.br
Fax: (061) 316-7538
Fone: (061) 316-7388
Endereço: Tribunal de Contas da União - TCU
SAUDI/DIPEA
Setor de Administração Federal Sul - Lote 01
CEP: 70042-900 – Brasília - DF
105
Tribunal de Contas da União QUESTIONÁRIO DE AVALIAÇÃO
MANUAL DE AUDITORIA DE SISTEMAS
FINALIDADE
Este questionário tem por objetivo obter a opinião dos leitores sobre o Manual de Auditoria de Sistemas, com
vistas ao seu aperfeiçoamento.
Por favor, responda às questões abaixo assinalando com um “X” a alternativa mais adequada. Desde já
agradecemos a sua colaboração.
O manual é : 5 4 3 2 1
Fácil de ser lido □ □ □ □ □
Fácil de ser entendido □ □ □ □ □
Lógico □ □ □ □ □
Sucinto □ □ □ □ □
Completo □ □ □ □ □
Útil □ □ □ □ □
5. Como você tomou conhecimento do Manual de Auditoria de Sistemas?
□ Quando recebeu □ Pela Internet
□ Divulgação interna do TCU □ Pela imprensa
□ Por mensagem do SIAFI □ Outros [especificar]
6. Como você obteve o Manual de Auditoria de Sistemas?
□ Solicitou diretamente ao TCU □ Download pela Internet □ Outros [especificar]
106
Tribunal de Contas da União QUADRO DE SUGESTÕES
MANUAL DE AUDITORIA DE SISTEMAS
FINALIDADE
107
PTR/BSB
880/92
UP-AC/TCU
DR/BSB
CARTA - RESPOSTA
NÃO É NECESSÁRIO SELAR