AUDITORIA DE SISTEMAS

AVALIAÇÃO DE SOFTWARE DE
AUDITORIA DE SISTEMA

-1-
Olá!
Nesta aula, você irá:

1. Ver critérios de avaliação de software generalista para auditoria de sistemas.

2. Conhecer uma metodologia de seleção para aquisição de software.

3. Ser apresentado a alguns softwares disponíveis no mercado.

1 Introdução
Já vimos que o auditor necessita de uma ferramenta que o auxilie nas funções do dia-a-dia. Quando a empresa

pretende adotar as funções de auditoria interna, ela pode desenvolver softwares próprios ou comprar um

existente e já testado no mercado.

Devido à complexidade do contexto das funções de auditoria de sistemas, selecionar e comprar um software

generalista não nos parece tão trivial. Devemos tomar alguns cuidados, buscar informações sobre a

confiabilidade do fabricante, sobre a abrangência do escopo do sistema, sobre sua maturidade e outros fatores

que determinarão a escolha de um software em detrimento de outro.

É isso o que veremos nesta aula: como avaliar um software generalista para auditoria de sistemas. Veremos,

também, alguns softwares e ferramentas existentes no mercado.

2 Desenvolvimento X Sistema Pronto

O software de auditoria consiste em programas aplicativos cujo objetivo é auxiliar o auditor em suas tarefas

rotineiras, melhorando seu desempenho. Desenvolver um sistema de auditoria em casa, ou comprar um sistema

pronto no mercado, requer uma avaliação, cuja tomada de decisão, por parte da administração, tem por fim um

sistema que melhor atenda suas necessidades.

Se a opção for adquirir um sistema pronto, devemos fazer comparações entre os softwares existentes no

mercado e sua adequação aos objetivos da empresa, considerando-se os riscos, custos, segurança, integridade,

confiabilidade, controle de documentos e manutenção entre outros fatores.

-2-
3 Aquisição de Software
Atualmente, a modernização dos processos está diretamente ligada à automação de rotinas e serviços. O sistema

de gestão de auditoria compõe o centro do conjunto software-hardware-network projetado para apoiar as

atividades de auditoria, podendo fazer parte do conjunto outros programas, a exemplo dos extratores e

analisadores de dados, conforme afirma Imoniana, no capítulo 13 de Auditoria de Sistemas de Informação,

Editora Atlas.

A seleção e a aquisição de um software devem levar em conta características funcionalmente diversificadas, com

possibilidades de interligar todo o processo de auditoria.

4 Metodologia de seleção
A metodologia utilizada para escolha não só de um software generalista de auditoria de sistemas, corno para

qualquer outro software, envolve aspectos referentes a:

• Análise de documentos que registram experiências semelhantes.
• Contato com fabricantes de pacotes.
• Análise de catálogos, prospectos, folders e documentação sobre pacotes disponíveis no mercado.
• Visitas a usuários dos produtos, para verificar seu grau de satisfação e problemas detectados, quando da
implantação, acompanhamento e manutenção dos serviços.
• Trocas de informações com empresas semelhantes.
• Análise organizacional, capacidade institucional, tecnológica e computacional da empresa, seus produtos
e serviços.
• Análise da idoneidade das instituições detentoras dos produtos, evitando a contratação de uma empresa
sem história e credibilidade no mercado.

5 Coletas de dados
Após essas etapas, passamos à coleta de dados para identificação dos produtos disponíveis no mercado, através

de demonstração dos produtos pelos representantes, visitas, reuniões internas de discussão e perguntas técnicas

e específicas encaminhadas às empresas vendedoras. Essas perguntas podem estar em forma de questionário,

onde colocamos questões que poderão esclarecer a adequabilidade do software às nossas exigências e espaço

para os fornecedores preencherem com sim ou não.

Devem ser examinadas características funcionais e tecnológicas, consideradas relevantes para o processo de

planejamento, estruturação, execução, controle e emissão de relatório de auditoria, assim como aspectos

referentes a fornecedor, suporte e custos.

-3-
6 Aspectos a serem considerados na escolha de um
software
Aspectos funcionais

Dizem respeito às características gerais e obrigatórias para o processo de auditoria, sendo diretamente

identificados pelos auditores usuários como importantes para seus trabalhos:

• Apoiar o planejamento da auditoria.
• Apresentar papéis de auditoria.
• Extrair diretamente dados de banco de dados.
• Permitir à auditoria criar novos modelos de papéis de trabalho de auditoria.
• Facilitar o uso de procedimentos pré-cadastrados.
• Permitir a inserção de outros documentos nos papéis de auditoria.
• Manter controle sobre arquivos gerados por outros programas.
• Armazenar imagens relacionadas ao processo.
• Utilizar listas para o preenchimento de campos.
• Permitir comentários do auditor.
• Apoiar o acesso on line ao banco de documentos de processos.
• Customizar as políticas, normas e legislações no mesmo banco de dados dos processos.
• Permitir trabalho off line independentemente dos processos normais.
• Apoiar auditoria em grupos e em lugares distintos e distantes.
• Emitir notificação de falhas e recomendações.
• Emitir relatório final a partir dos dados armazenados nos bancos.
Aspectos de gestão

Dizem respeito às características gerenciais relacionadas com o processo da auditoria, sendo diretamente

identificados pelos gerentes e supervisores de auditoria no desenvolvimento de seus trabalhos:

• Apoiar o planejamento anual dos projetos de auditoria.
• Alocar tempo do auditor.
• Permitir a supervisão on line.
• Apoiar o processo de análise do relator e de julgamento do plenário.
• Permitir anexação de recurso.
Aspectos relacionados à tecnologia

Referem-se à capacidade de atualização com novos recursos tecnológicos, facilidade de manutenção futura e

integração com outros programas:

• Interface com sistema operacional da empresa.
• Integração com e-mail.
• Arquitetura cliente/servidor para acesso e atualização de dados em redes locais e remotas.
• Pesquisa por palavra ou string.
• Replicação do banco de dados.
• Criptografia dos dados.
• Proteção de documento para edição apenas peto autor.
• Proteção de documento aberto por vários usuários.
• Níveis diferenciados de acesso aos documentos.
• Log de alterações.

• Permissão de importação de arquivos Word, Excel etc.

-4-
 • Permissão de importação de arquivos Word, Excel etc.
• Facilidade de programação extra. Interface gráfica.
• Acesso a base de dados, via browser, da internet.
• Segurança na forma e no registro de gerenciamento dos dados, compartilháveis ou não.
• Capacidade de armazenamento compatível com o volume de dados.
• Recuperação de base de dados textuais.
• Acesso simultâneo de usuários à base de dados.
• Treinamento para os diferentes níveis de usuários.
Aspectos de fornecimento de suporte

Incluem aspectos relacionados com a capacidade do fornecedor em apoiar o processo de implantação e de uso

do pacote, principalmente em relação a:

• Apoio na implantação.
• Contrato de assistência técnica para instalação/manutenção.
• Disponibilização do código fonte aberto.
• Relação de clientes usuários do sistema.
• Upgrade de versão, sem custo para o contratante.
• Implementação de solicitações da empresa feitas pelo fornecedor (customização).
Aspectos relacionados a custos
• Valor da licença de uso.
• Taxa de manutenção.
• Serviços de customização.
• Serviços de treinamento.
• Serviços de apoio na implantação.
• Viagens e diárias.

7 Pacotes disponíveis no mercado

Além dos softwares generalistas vistos na aula 4, podemos destacar:

Audit Automation Facilities (ME)

Software de propriedade da WJ Informática é um programa de gestão de auditoria interna, que visa o aumento

de eficiência e de produtividade dos processos com redução de custos. O ME padroniza ações, integra equipes,

automatiza processos de cobranças, gera gráficos e relatórios, disponibiliza dados com segurança permitindo

inserção, documentação, verificação e acompanhamento dos controles internos. Clique no link a seguir e saiba

mais sobre o Audit Automation Facilities: http://estaciodocente.webaula.com.br/cursos/gra097/docs

/10AS_doc02.pdf

Sistema de AUDITAR

Segundo Imoniana, em Auditoria de Sistemas de Informação, Capítulo 13, trata-se de um sistema integrado de

auditoria da gestão pública, constituído por um software operacional voltado para as atividades típicas de

auditoria de sistemas de controle interno do Poder Executivo Federal. O sistema cobre os seguintes processos:

• Pré-auditoria - Trata-se de um banco de dados que compõe os elementos referenciais (análise

-5-
 • Pré-auditoria - Trata-se de um banco de dados que compõe os elementos referenciais (análise
estratégica e operacional) de qualidade, de desempenho e de criticidade;
• Planejamento - Módulo que trata dos papéis de planejamento: programação, planos de auditoria,
programas de trabalho e solicitações prévias;
• Execução dos exames - Módulo que registra os exames de campo (pressupõe utilização de notebook),
compondo os papéis de campo, com ou sem verificação de impactos;
• Comunicação de resultados - Módulo que trata dos relatórios de auditoria, certificados e pareceres;
• Monitoramento dos resultados - Módulo destinado ao registro das auto-avaliações dos trabalhos
realizados, assim como das avaliações de resultados da auditoria, das recomendações e soluções,
demonstrações de situações gerenciais e as avaliações de gestão.
Sistema SAP

Software de gestão desenvolvido pela empresa alemã Systeme, Anwendung and Programme (Sistemas,

Aplicações e Produtos), inserido em seu ERP (Enterprise Resource Planning - Planejamento de Recursos da

Empresa), muito difundido no mercado, contemplando uma vasta abrangência de processos da empresa. Os

módulos são integrados e contém a maior parte das funcionalidades necessárias às organizações, incluindo

manufatura, finanças, recursos humanos, vendas e distribuição. Cada módulo é responsável por mais de 1.000

processos de negócios. O sistema possui uma ferramenta específica de auditoria chamada AIS (Audit Information

System), que proporciona relatórios e transações ao auditor, não só de sistemas mas também para auditoria de

processos e financeira. Os auditores podem criar seus próprios relatórios, buscando informações na base de

dados do sistema (R/3) via queries ou, opcionalmente, ter seus resultados exportados para softwares externos.

A transferência (download) de banco de dados, saldos de contas, informações de dados mestres e informações

de documentos pode ser realizada pelo auditor interno para seu computador, com intuito de serem utilizadas na

continuação do processo de análise dos dados com o uso de softwares como ACL (Audit Command Language),

IDEA, Excel, Editores de texto ou outros , na estruturação de relatórios de auditoria e em trabalhos de

monitoramento on line do Sistema SAP.

Algumas áreas de atuação e tratamentos de verificação/análises disponíveis para serem executados com o AIS

do SAP são:

Controles online nas áreas.

Auditorias de Sistemas.

Auditorias Contábeis.

Auditorias de Processos de Negócios.

Auditorias Especiais/ apuração.

Exportação de bancos de dados para subsidiar informações à alta direção da organização.

Temos algumas ferramentas de análise de dados que merecem ser vistas com atenção:

-6-
ACL (Audit Command Language)

Já citada na aula 4. É uma ferramenta de análise de dados utilizada também quando aplicável como software de

auditoria para extração de informações de arquivos em meios magnéticos para geração de relatórios de exceção,

ou para confronto de informações entre arquivos.

O ACL é utilizado por muitas empresas de auditoria independentes em mais de 100 países. Podemos definir

aplicações variadas para aumentar a eficiência e eficácia de testes de controles, como:

• Localizar erros e fraudes potenciais, através de comparação e análise de arquivos, conforme critérios
pré-definidos.
• Identificar tendências, evidenciar exceções e ressaltar as áreas potenciais de interesse.
• Recalcular e verificar saldos.
• Analisar e calcular a idade de contas a receber/a pagar ou de quaisquer transações que envolvam datas.
• Recuperar despesas ou perdas de receitas, detectando pagamentos duplicados, falhas na sequência das
faturas e serviços não cobrados.
CAS WORKBENCH

Ferramenta utilizada pela Deloitte Touche Tohmatsu, para auditoria de sistemas e confiabilidade de controles.

Consiste em um banco de dados desenvolvido para possibilitar a elaboração de programas específicos e

detalhados para cada tipo de trabalho, considerando individualmente a área de avaliação desejada e o ambiente

tecnológico envolvido. Inclui os seguintes tópicos:

• Definição geral do trabalho a ser realizado.
• Riscos potenciais para cada etapa/área.
• Roteiro de entrevistas.
• Guia geral de controles.
• Programa de testes de controle direcionados.
SEKCHEK (Security Check)

Ferramenta de uso exclusivo da Deloitte Touche Tohmatsu para análise do nível de segurança de redes locais,

segundo padrões internacionais. O serviço está disponível para plataformas Windows NT, Netware, AS/400,

UNIX e MVS. As análises efetuadas pelo SEKCHEK variam de acordo com a plataforma de processamento. Em

linhas gerais, podemos destacar:

• Política de parametrização dos acessos dos usuários
• Trilhas de auditoria existentes.
• Análise de usuários com perfis de acesso administrativos e outros.
• Análise de tentativas inválidas de acesso.
• Relação de contas desabilitadas e bloqueadas.
• Direitos e privilégios de acesso.
• Análise de servidores e estações de trabalho.
• Análise de privilégios em servidores RAS (Remote Access Services).
• Análise de restrições de acesso a arquivos e diretórios.

-7-
CONCLUSÃO
Nesta aula, você:
• Viu critérios de avaliação de software generalista para auditoria de sistemas.
• Conheceu uma metodologia de seleção para aquisição de software.
• Foi apresentado a alguns softwares disponíveis no mercado.

-8-