AUDITORIA DE SISTEMAS

MAIS AUDITORIAS DIRECIONADAS

-1-
Olá!
Nesta aula, você irá:

1. Estudar auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção de sistemas.

2. Ser introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK.

3. Ser apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e de sistemas

aplicativos.

4. Examinar alguns programas de auditoria direcionada.

1 Auditoria de aquisição, desenvolvimento, manutenção e

documentação de sistemas
Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um

determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos

e ao custo-benefício de ambas as alternativas.

Em qualquer das opções (desenvolvimento em casa ou aquisição), há que se fazer um estudo preliminar para o

sistema em questão, considerando a viabilidade econômica, operacional e técnica.

Cabe lembrar que aquisição de software pode abranger um sistema/programa novo (com ou sem modificações

de customização) ou alterações em algum software já existente na empresa.

-2-
Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management

Institute), em seu capítulo 12, dedicado à gerência de aquisições, os grandes grupos de processos a serem

seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da

empresa são:

1. Planejamento das aquisições – Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho

(declaração de trabalho = descreve a aquisição a ser feita detalhadamente o suficiente para que os fornecedores

em potencial possam avaliar se são capazes ou não de fornecer o produto ou serviço)

2. Planejamento das solicitações – Documenta os requisitos dos produtos ou bens e identifica fontes potenciais.

3. Solicitação – Obtém a cotação, ofertas, propostas.

4. Seleção da fonte – Escolhe a melhor proposta.

5. Administração do contrato – Gerencia e relaciona-se com o fornecedor.

6. Fechamento do contrato – Finaliza o contrato, incluindo itens abertos.

Considerando esses processos, o auditor deverá verificar se todos os passos foram seguidos e estão

documentados.

Saiba mais
Clique no link a seguir para saber mais sobre este assunto:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/08AS_doc01.pdf

2 Objetivos de auditoria
As seguintes questões referentes aos objetivos de auditoria dos controles e processos de aquisição,

desenvolvimento, manutenção e documentação de sistema aplicativos devem ser respondidas:

• Há procedimentos de formalização da real necessidade para um novo sistema?
• Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento
interno?
• As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de
análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa?
• A especificação de requisitos é feitas de forma cuidadosa, confrontando os conhecimentos dos usuários
com os dos analistas de sistema, visando eliminar gaps semânticos?
• Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os
usuários?

• O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os

-3-
 • O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os
sistemas já existentes?
• Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem?
• As manutenções são feitas sem interrupção das operações normais da empresa?
• A documentação é consistente e disponível para orientar os usuários?
Programa de teste de controles

Nas páginas 96 a 101, capítulo 7, do material recebido por vocês, há um questionário para testes de controles

onde encontram-se controles que devem ser observados pelo auditor e que requerem as respostas “sim”, “não”

ou “não aplicável”.

Listarei, abaixo, os controles, em níveis mais gerais. Não deixem de verificar o programa em detalhes no livro!

3 Especificação do sistema
Há rotinas e procedimentos estabelecidos para elaboração de especificações de requisitos e declaração de

escopo, visando dar suporte a projetos de novos sistemas ou mudanças nos sistemas existentes?

Se sim, descreva os controles existentes para assegurar que:

• Os usuários dos sistemas estejam envolvidos.
• O gerente do projeto seja identificado.
• As reuniões com usuários são documentadas, incluindo as deliberações.
• Dados de entrada e o meio de entrada desses dados no sistema sejam identificados.
• Formato, o meio e a distribuição dos relatórios sejam especificados.
• Passos, lógica de processamento e fórmulas utilizadas, quando for o caso, sejam identificados.
• Ambientes de software e hardware apropriados sejam especificados.
• Requisitos de segurança de informação sejam adequadamente considerados.
• Controles internos embutidos no sistema e do usuário sejam incorporados ao desenho do sistema. Esses
controles podem incluir totais de lote, edição de entrada, campos com dígito verificador, rotinas de
verificação e relatórios de controle.

4 Aquisição de Sistemas
Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas?

Se sim, descreva os controles existentes para assegurar que:

• As declarações de trabalho estão especificadas e aprovadas pelos usuários.
• Houve participação na concorrência de pelo menos três possíveis fornecedores.
• A seleção da melhor proposta foi feita em critérios previamente estabelecidos e distribuídos para os
possíveis fornecedores (custo, prazo de entrega, referências de clientes, conhecimento do negócio etc.).
• Há documentação que assegure garantia de manutenção do sistema fornecido por parte dos
fornecedores.
• Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção, especificação ou
modificação de sistemas?
• Há rotinas e procedimentos estabelecidos para determinar prioridades para os projetos de
desenvolvimento e manutenção de sistemas?

• Há rotinas e procedimentos estabelecidos para rever as especificações dos projetos por pessoal

-4-
 • Há rotinas e procedimentos estabelecidos para rever as especificações dos projetos por pessoal
apropriado de processamento de dados, fora da área de desenvolvimento e manutenção de sistemas (por
exemplo: operação, segurança e suporte)?

5 Programação
A empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente?

Se sim, descreva os controles existentes para assegurar que:

Os programas sejam desenvolvidos de maneira consistente e de acordo com os padrões de programação ou

outras orientações usadas pela empresa.

A codificação de programas novos ou alterados esteja sujeita à revisão pelos supervisores de programação.

Sistemas novos ou modificados não sejam colocados em operação antes de estarem autorizados e aprovados para

implantação.

6 Teste
Há rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças

significativas?

Se sim, descreva os controles existentes para assegurar que os testes incluam alguns ou todos os itens a seguir,

de acordo com as circunstâncias:

• Testes da lógica dos programas.
• Testes dos procedimentos de entrada de dados do usuário.
• Testes das interfaces com outros sistemas.
• Testes paralelos com o sistema existente a ser substituído.
• Testes de regressão (teste de regressão = ao fazermos alguma modificação nos requisitos de um
sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que
as mudanças não afetaram o que já estava funcionado a contento).
• Testes de controles e características de segurança.
• Existência de plano de teste, incluindo os casos de teste.
• Evidências de testes unitários, de sistema e de integração.
• Evidências de participação do usuário na definição e testes do projeto.

7 Documentação
A empresa mantém documentação para a totalidade dos sistemas contábeis significativos, que atenda às

necessidades do usuário e do pessoal de processamento de dados?

Se sim, descreva os controles existentes para assegurar que:

-5-
 1 A documentação seja atualizada e reflita exatamente o sistema em operação.

A documentação seja suficientemente detalhada para suportar futuras mudanças no

2
sistema.

As instruções do usuário e do operador sejam suficientemente detalhadas para possibilitar

3
o correto uso e operação do sistema.

4 A documentação sigilosa seja guardada em área fisicamente segura.

8 Manutenção
A empresa executa projetos de manutenção em sistemas aplicativos internamente?

Se sim, descreva os controles existentes para assegurar que:

• Solicitações de manutenção de programas sejam documentadas e autorizadas pelo usuário e pela
gerencia de projetos.
• A manutenção de programas esteja sujeita aos padrões de programação aplicáveis.
• A manutenção seja executada por pessoal apropriado.
• Os usuários revisem os resultados dos testes e deem seu “aceite” aos mesmos, antes de serem
implementados na produção.
• A documentação seja apropriadamente atualizada para refletir a alteração do sistema.

-6-
9 Auditoria de operação de sistemas
A operação do computador envolve as funções de acionar o Inicial Program Loader (IPL) e os programas que

ligam e desligam os computadores.

O auditor necessita conhecer todas as operações e serviços disponibilizados pelos centros de processamento de

dados e documentar os controles organizacionais. São as seguintes as operações mais comuns:

• Planejamento, controle e monitoração das operações.
• Planejamento da capacidade.
• Monitoramento de todos os sistemas e as redes.
• Inicialização do sistema e do desligamento.
• Gravação (logging), rastreamento (tracking) dos problemas e monitoramento do tempo de resposta.
• Gerenciamento de mudanças estruturais e pessoais.
• Gestão das unidades, dos periféricos e equipamentos remotos.
• Gerenciamento de bibliotecas.
• Programação dos serviços (job scheduling) e acompanhamento das operações.
• Automação da produção.
• Backup dos sistemas, programas, dados e banco de dados.
• Gerenciamento do help desk.
• Coordenação e programação de upgrades dos equipamentos;
• Gestão de restart/recovery.
Além de garantir que todos os passos envolvidos na criação de dados, que as lógicas envolvidas no

processamento das tarefas e os procedimentos mínimos de emissão de relatórios sejam obedecidos, é objetivo

da auditoria de controle de operações de computador levantar a existência de controles que assegurem que as

operações das transações executadas na empresa sejam fidedignas.

Esperam-se encontrar procedimentos para assegurar que os jobs (serviços) sejam programados (para execução)

e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e

tendo os meios de arquivos de dados devidamente protegidos. Falhas frequentes do sistema, erros significativos

de processamento, atrasos e perdas de dados podem indicar a existência de deficiências no controle de

operações.

Saiba mais
Leia o texto “Programa de teste de controles para a operação de sistemas” clicando no link a
seguir:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/08AS_doc02.pdf

-7-
10 Auditoria de suporte técnico
A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com

responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua

utilização nas empresas.

As funções de suporte técnico dividem-se em dois grandes grupos:

Funções rotineiras
• Gerenciamento de help desk.
• Socorro aos problemas de instalação de redes.
• Monitoramento da ocorrência de problemas.
• Treinamento de usuários dos softwares.
• Revisão preventiva de equipamentos.
• Substituição dos equipamentos antigos.
• Segurança de informação quando não há administrador de segurança de informação.
Funções esporádicas
• Dimensionamento de banco de dados.
• Instalação de softwares utilitários.
• Manutenção dos sistemas operacionais.
• Instalação de upgrades.
• Avaliação de software para fins de compra.
• Padronização dos recursos de tecnologia da informação.
• Ativação de redes (estações etc).

Saiba mais
Clique aqui e saiba mais sobre suporte técnico:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/08AS_doc03.pdf

11 Auditoria de sistemas aplicativos

Os controles internos, processos e controles de negócios, conforme visto nesta aula e na aula 3, devem ser

verificados, não só em sistemas novos (em desenvolvimento ou adquiridos), mas também nos sistemas em

produção. Alguns pontos de controle são fundamentais e serão aplicados em todos os sistemas, como por

exemplo, controle de acesso. Outros controles, específicos, serão identificados e aplicados conforme o sistema

sob auditoria.

-8-
O COBIT define sete critérios de informações que podemos adotar como sendo objetivo de uma auditoria de

sistemas: efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiança.

A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos

controles internos e programados como ferramentas de auditoria. Podemos dividir as tarefas de avaliação sob

dois enfoques:
• Verificação da estrutura dos sistemas e seus controles.
• Testes substantivos das transações executadas pelos sistemas.

Fique ligado
Clique no link a seguir e saiba mais sobre auditoria de sistemas aplicativos:
http://estaciodocente.webaula.com.br/cursos/gra097/docs/08AS_doc04.pdf

Saiba mais

• Veja um questionário detalhado sobre testes de controles para aquisição,

desenvolvimento, documentação e manutenção de sistemas, nas páginas 96 a
101, capítulo 7, do material recebido por você.
• Veja um questionário detalhado sobre testes de controles de operação de
computadores, nas páginas 127 a 132, capítulo 10, do material recebido por
você.
• Veja um questionário detalhado sobre testes de controles de suporte técnico,
nas páginas 135 a 138, capítulo 11, do material recebido por você.
• Veja um questionário específico para testes de controles do sistema de
faturamento, nas páginas 145 a 148, capítulo 12, do material recebido por você.

O que vem na próxima aula

Na próxima aula, você estudará sobre o seguinte assunto:
• Como um auditor comunica seus pareceres sobre a auditoria, ou seja, os relatórios de auditoria.

-9-
CONCLUSÃO
Nesta aula, você:
• Estudou auditoria direcionada para aquisição, desenvolvimento, documentação e manutenção de
sistemas.
• Foi introduzido aos processos básicos para aquisição de softwares, segundo o PMBOK.
• Foi apresentado a auditorias direcionadas de operação de computadores, de suporte técnico e de
sistemas aplicativos.
• Examinou alguns programas de auditoria direcionada.

- 10 -