Você está na página 1de 8

AUDITORIA DE SISTEMAS

FERRAMENTAS E ALGUMAS TÉCNICAS DE


AUDITORIA

-1-
Olá!
Nesta aula, você irá:

1. Conhecer algumas ferramentas de auditoria;

2. Aprender o que são hash total, header e trailler label;

3. Aprender como preparar programas especializados para auditoria;

4. Ser apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas).

1 Fases de uma auditoria de sistemas


Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação.

Quando estamos em auditorias de sistemas em desenvolvimento, nossa atenção é focada no que foi planejado em

termos de controles internos, processos e controles de negócios a serem implementados nos sistemas.

Já para sistemas em operação, além de vermos se tais pontos de controle foram implementados, devemos testá-

los. Saber quantos registros serão testados é algo a ser definido, considerando-se os pontos de controle.

Para tanto, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação:

1. Softwares generalistas;

2. Softwares especializados;

3. Softwares utilitários.

1.1 Softwares Generalistas

São constituídos de um conjunto de programas em ambiente batch (ambiente batch: processamento offline do

sistema, ou seja, o oposto do processamento real time, quando a base de dados é atualizada na hora em que a

transação online é inserida no sistema.), que pode processar várias funções de auditoria e simulação paralela

(técnica que veremos na próxima aula), no formato desejado. Normalmente são sistemas comprados prontos,

que carecem de personalização conforme necessidade dos auditores.

Como funções, podemos citar extração de dados de amostra, testes, geração de dados estatísticos para análise,

sumarização, gravação de arquivos auxiliares, detecção de duplicidades, sequência incorreta, totais inválidos

entre outras.

Vantagens

• O software pode processar vários arquivos ao mesmo tempo;

-2-
• O software pode processar vários arquivos ao mesmo tempo;
• Pode processar vários tipos de arquivos, com formatos distintos;
• Pode fazer integração sistêmica com vários tipos de softwares e hardwares;
• O auditor não precisa ser especialista em informática para desenvolver aplicativos para testar seus
dados.
Desvantagens
• As aplicações não podem ser feitas omine já que gravam diversos arquivos para serem analisados em
separado;
• Não provê cálculos específicos para sistemas específicos (como cartão de crédito, por exemplo).

Saiba mais
Clique no link a seguir e veja alguns exemplos de softwares generalistas:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc01.pdf

1.2 Softwares Especializados em Auditoria

São programas desenvolvidos pelos auditores (ou sob sua encomenda) a fim de testar particularidades de

sistemas auditados que possuem características incomuns como, por exemplo, sistema de leasing, crédito

imobiliário, câmbio, etc.

Vantagens
• Inclusão de testes de controles internos específicos tais como dígito verificador, controle de lote,
personalizando o que se quer testar.
• Inclusão de hash total (hash total: campos de controle colocados nos header* ou trailler labels** a fim
de assegurar a integridade dos dados. Pode ser um algoritmo sem sentido funcional como, por exemplo,
somar dia e mês de nascimento dos clientes atualizados na base de dados).
*header label: registro de controle. É o primeiro registro do arquivo, contendo dados de controle tais como

nome do arquivo, data de movimento, número de registros gravados, número de registros lidos, número de

registros com erro, versão do arquivo, etc.

**trailler label: registro de controle. É o último registro do arquivo e contem campos de controle tais como no

header

Desvantagens
• Necessita que o auditor esteja familiarizado com o desenvolvimento de tecnologia da informação;
• Há custos de desenvolvimento de programas.

-3-
1.3 Softwares Utilitários

São programas utilitários para funções básicas de processamento como somar determinados campos de um

arquivo, classificar o arquivo, listar determinados campos de registros de um arquivo. Normalmente os sistemas

operacionais ou os bancos de dados possuem um certo número desses programas que não são específicos de

auditoria, podendo (e sendo) utilizados para debug e testes de sistemas.

Vantagens
• São fáceis de serem aprendidos;
• São fáceis de serem utilizados.
Desvantagens
• Executam apenas funções padrões.
Nem todas as auditorias de sistemas requerem as mesmas técnicas. Tudo dependerá do escopo da auditoria (o

conjunto de controles internos, processos e controles de negócios) do sistema a ser auditado. Há técnicas que

quase sempre serão utilizadas e veremos algumas delas agora. Estas técnicas estão descritas em Auditoria de

Computadores, GIL, Antonio de Loureiro, Ed. Atlas, capítulo 3.

2 Programa de Computador para Auditoria


São programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos.

Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa

plataforma (microcomputadores).

Algumas funções que podem ser incluídas em programas para auditoria:

Tabulação de campos
• somatório de datas de vencimento de títulos, gerando hash total que deverá ser confrontado com o
campo correspondente no header ou trailler label;
• somatório de campos quantitativos para efeito de confrontação ou acompanhamento de
• acumulados, inclusive controle de lote.
Contagem de campos/registros
• apuração de totais por tipo de registro ou campo.
Análise do conteúdo de campos/registros
• verificação da existência de campos ou registros em um arquivo;
• correlação entre campos de um arquivo para verificação da coerência e validade desses campos;
• cruzamento horizontal entre campos em um registro com vistas à integridade do registro.
Correlação de arquivos
• confronto de campos entre registros com vistas à garantia de ambos os arquivos.
Estatísticas dos campos dos arquivos

• apuração de média, desvio-padrão, moda e/ou outras medidas estatísticas em um universo de registros e

-4-
• apuração de média, desvio-padrão, moda e/ou outras medidas estatísticas em um universo de registros e
/ou campos de um arquivo para efetuarmos análises do comportamento desse universo.

Saiba mais
Clique no link a seguir e saiba um pouco mais sobre Programa de Computador para Auditoria:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc02.pdf

Questionários para Auditoria

Para cada ponto de controle, deverá existir um questionário contendo perguntas relevantes ao ponto de controle

e espaço para o auditor assinalar se o sistema satisfaz ou não aquele ponto de controle, além de local para que

possam ser escritas observações e referências sobre papéis de trabalho. Para os quesitos que obtiverem resposta

negativa, o auditor deverá agir no sentido de solicitar acertos.

Reconheço que fazer questionários para todos os possíveis pontos de controle é um trabalho árduo, mas pensem

bem, só será feito uma vez! A Auditoria guardará os questionários em um banco de questionários e a cada

auditoria, ao selecionar os pontos de controle, recuperará os respectivos questionários para o trabalho de

campo.

Para auditorias em CPDs, podemos ter questionários voltados para pontos de controle cujas perguntas

guardarão características intrínsecas referentes à:

Segurança de rede de computadores


• Segurança física dos equipamentos computacionais;
• Segurança lógica e confidencialidade dos programas e informações que trafegam nos canais de
comunicação.
Segurança do centro de computação
• Controle de acesso físico e lógico às instalações de processamento de dados;
• Segurança ambiental no tocante à infraestrutura de combate a incêndio, inundações, contra atentado e
sabotagens, situações de greve, etc.
Eficiência no uso de recursos computacionais
• Tempo médio de resposta em terminal;
• Tempo de uso dos equipamentos a cada dia;
• Quantidade existente de rotinas catalogadas.
Eficácia de sistemas aplicativos
• Quantidade de informações geradas pelo computador e consumidas pelos usuários;
• Prazo de atendimento de novos sistemas, aos usuários;
• Tempo médio de solução dos problemas dos usuários da rede de computação, provida pelo help-desk.

-5-
A técnica de questionário é, normalmente, aplicada de forma casada a outras técnicas de auditoria, como

entrevistas e visita in loco. Eu, pessoalmente, não aprovo o envio de questionários para serem preenchidos à

distância, embora alguns autores mencionem sua validade. É importante verificar o comportamento do auditado

ao ser questionado sobre algum ponto de controle...

Saiba mais
Clique no link a seguir e veja um exemplo de questionário:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc03.pdf

3 Visita in loco
É a presença do auditor na área do auditado (ou do CPD) para verificação dos pontos de controle.

Normalmente esta ferramenta é utilizada em conjunto com outras ferramentas, tais como entrevista

semiestruturada e questionários. A visita do auditor é importante para que sejam esclarecidos pontos nebulosos.

A visita deve ser marcada formalmente, com data e hora, com a pessoa responsável para responder às perguntas

do auditor e/ou fornecer o que lhe for pedido.

Nesta visita o auditor poderá obter dados, seja por observação, por teste, por documentação ou informação

solicitada. Fará anotações sobre as informações obtidas para posterior documentação em seus papéis de

trabalho. Caso seja encontrada uma fraqueza, o auditor informará verbalmente ao auditado na hora e,

posteriormente, por escrito.

Quando em realização de auditoria em CPD, a presença do auditor é fundamental para a constatação física da

existência de ativos computacionais da empresa, bem como seu estado de conservação e eficiência dos

procedimentos de uso, incluindo segurança física. Também são verificados:


• Inventário de volumes de arquivos magnéticos (discos, fitas, CDs) armazenados na fitoteca, com
respectivo período de retenção anotado em cada volume;
• Inventário de suprimentos armazenados (fitas de impressora, cartuchos de impressora, formulários
contínuos, formulários pré-impressos, etiquetas gomadas, etc);
• Utilização dos computadores com o objetivo de verificação de controle de acesso, uso de Ordem de
Serviço, arquivos magnéticos, schedule de produção, distribuição de relatórios;
• Acompanhamento das rotinas de back-up e atualização da biblioteca externa.

-6-
4 Entrevista
As entrevistas podem ser pessoais, por telefone ou vídeo conferência. Seja lá de que meio for, deverá ser feito

previamente um roteiro do que se pretende abordar na mesma, preferencialmente classificado por ponto de

controle. Este roteiro servirá como guia para o auditor.

A entrevista visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está

auditando, portanto, flexibilidade é sempre bem-vinda!

As entrevistas de campo podem ser de dois tipos:

Estruturada Aquela que utiliza formulários na coleta de dados.

N ã o
Aquela que não utiliza formulários na coleta de dados.
estruturada

A entrevista deve seguir uma sequência lógica, orientada pelo fluxo de eventos do processo. Esta estrutura é

particularmente útil nas situações em que o auditor tem conhecimento limitado do processo a ser auditado ou

quando não há procedimento documentado para esse processo.

Fique ligado
Clique no link a seguir e saiba mais sobre entrevista:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/04AS_doc04.pdf

-7-
Saiba mais
Para saber mais sobre os tópicos estudados nesta aula, pesquise na internet sites, vídeos e
artigos relacionados ao conteúdo visto. Se ainda tiver alguma dúvida, fale com seu professor
online utilizando os recursos disponíveis no ambiente de aprendizagem.
Leia o artigo Técnicas de entrevista do TCU (Tribunal de Contas da União), postado na
biblioteca do curso.
Nele vocês poderão aprimorar o conhecimento sobre entrevistas de auditoria e como elaborar
questionários (de pesquisa) de uma forma mais completa.

O que vem na próxima aula


Na próxima aula, você estudará sobre o seguinte assunto:
• Mais técnicas de auditoria.

CONCLUSÃO
Nesta aula, você:
• Conheceu algumas ferramentas de auditoria;
• Aprendeu o que são hash total, header e trailler label;
• Aprendeu como preparar programas especializados para auditoria;
• Foi apresentado a algumas técnicas de auditoria (questionários, visita in loco e entrevistas).

Referências
Auditoria de Sistemas de Informação, IMONIANA, Joshua Onome, Editora Atlas, Capítulo 5.

Auditoria de Computadores, GIL, Antonio de Loureiro, Ed. Atlas, Capítulo 3.

-8-

Você também pode gostar