Você está na página 1de 19

AUDITORIA DE SISTEMAS

Alunas: Francirose
Silvan Edna
Maria Aparecida
Patrícia Miranda

Petrolina/PE
Setembro- 2004
AUDITORIA DE SISTEMAS

1. INTRODUÇÃO
A segurança é, hoje, um dos maiores problemas enfrentados pelas indústrias e redes bancárias.
A solução é assegurar a permanente exatidão e proteção dos bens e serviços existentes em todas as
áreas da empresa. Para tanto, torna-se necessário que as medidas de controle e segurança de
sistemas sejam sistematicamente revisadas e avaliadas por um auditor independente.
A auditoria de sistemas avalia o ambiente de processamento de dados para identificar e avaliar os
possíveis riscos (erros, falhas, irregularidades, ineficiência, etc.) que estejam ocorrendo, ou que
possam ocorrer, e faz recomendações para correção e melhoria dos controles internos para
diminuição dos riscos levantados.
A maioria das atividades nas empresas está vinculada direta ou indiretamente ao processamento
eletrônico de dados. A complexidade das atividades de uma empresa leva à criação de auditorias
especializadas.

1.1. Sistema de informação


Podemos dividir os componentes fundamentais de uma organização em três: decisão, informação e
operação, que em sentido amplo se designam por processadores devido a sua estrutura ativa e
relacionada. O processador decisorial compreende todo o conjunto que produz decisão. O
processador operacional identifica todas as ações de produção e processador de informação engloba
todas as atividades relativas à informação e está sempre situado entre os dois. Podemos dizer que o
subsistema de informação inclui todos os componentes humanos e materiais que participam na
memorização, processamento e difusão da informação. Uma organização sem sistema de
informação é um ser inerte, não funciona nem existe, os seus componentes de decisão não podem
comunicar com os componentes de operação, não entram recursos nem saem produtos, porque
ninguém dispõe de informação para agir. É por isso que o subsistema de informação se torna
fundamental no funcionamento e evolução das organizações.

1.2. Auditoria de sistemas


Auditoria de sistemas é uma atividade voltada à avaliação dos procedimentos de controle e
segurança vinculados ao processamento das informações. Tem como funções: documentar, avaliar e
monitorar sistemas de controle legais, gerencias de aplicação e operacionais. Os instrumentos para
desempenhar tais funções podem variar do uso da auditoria de software ao uso habilidoso de
técnicas de entrevistas.
A auditoria de sistemas objetiva certificar-se que:
• as informações são corretas e oportunas;
• existe um processamento adequado das operações;
• as informações estão protegidas contra fraudes;
• existe proteção das instalações e equipamentos;
• existe a proteção contra situações de emergência (paralisação de processamento, perda de
arquivos, inundações, incêndios, etc.).

2. COMO REALIZAR A AUDITORIA EM SISTEMAS INFORMATIZADOS


Inicialmente, há que se estabelecer quais as necessidades de conhecimento dos auditores (equipe)
para operar em ambiente informatizado. Esse conhecimento é, genericamente, composto por um
conjunto de especialidades nas quais estão inseridas as habilidades para:
a. auditar sistemas em desenvolvimento: metodologia de desenvolvimento de sistemas;
técnicas de prototipação; elaboração de plano diretor de informática; documentação de
sistema; fluxogramaçào; linguagem de programação;
b. auditar sistemas em operação: legislação e normas administrativas; software de segurança;
controle de acesso; contratos de software; amostragens;
c. auditar o CPD: normas administrativas; normas técnicas; procedimentos operacionais;
funções operacionais das áreas de processamento eletrônico de dados (PED) e de centro de
processamento de dados (CPD); contratos de software e de hardware.
O que se tenta evidenciar por esse enfoque é uma visão global do trabalho. O objetivo fundamental
é desenvolver o processo metodológico para auditoria dos sistemas contábeis computadorizados,
sob a ótica dos auditores externos.
A primeira atitude ao auditar um sistema informatizado é o cuidado em distinguir duas situações
fundamentais: os sistemas em desenvolvimento e os sistemas em operação.
Para sistemas em desenvolvimento, o auditor deve definir quais os ciclos do sistema e quais os
processos e técnicas de auditoria utilizados, como: levantamento, planejamento, revisão e
negociação com os gestores.
Para os sistemas em operação, o auditor deve definir quais os encadeamentos de tarefas que
contemplam o planejamento, a execução e a análise, compreendendo também a auditoria do CPD.
A utilidade da auditoria de sistemas contábeis em ambiente computadorizado está em verificar-se: o
processo contábil, a adequacidade e a eficiência dos programas e dos sistemas, com relação ao
ambiente e aos propósitos para os quais estes programas e sistemas estão sendo desenvolvidos ou
utilizados.

3. AUDITORIA DE SISTEMAS EM DESENVOLVIMENTO


A auditoria de um sistema em desenvolvimento exige profundo conhecimento de análise de
sistemas por parte do auditor, sendo recomendável para esta complexa tarefa que o auditor reúna:
conhecimento de auditoria e conhecimento de PED.
É fundamental que o auditor de sistemas em desenvolvimento conheça: metodologias, técnicas,
papéis de trabalho; o papel desempenhado por analistas, programadores e profissionais de suporte e
de operação. Em qualquer auditoria, exige-se uma metodologia que garanta a independência do
trabalho do auditor.
A auditoria de sistemas em desenvolvimento, basicamente, consiste em avaliar recursos que serão
empregados no futuro processo, tais como: ciclo de desenvolvimento do sistema; processos e
técnicas de auditoria do sistema em desenvolvimento; negociação e elaboração do relatório.
3.1 Ciclo de desenvolvimento do sistema
O ciclo de desenvolvimento de um sistema computadorizado pode ser dividido nas seguintes etapas:
• Inicialização do projeto;
• Estudo da viabilidade;
• Análise da situação atual;
• Projeto lógico;
• Projeto físico;
• Testes;
• Implantação;
• Administração do projeto;
• Manutenção.
3.2. Processos e técnicas de auditoria do sistema em desenvolvimento
Em uma abordagem básica, esses processos e técnicas compreendem as seguintes etapas:
levantamento de informações, análise de risco, planejamento da auditoria do projeto, revisão do
projeto PED e técnicas de auditoria de sistemas.
1. Levantamento de informações
O levantamento de informações é a primeira fase da auditoria de um sistema
em desenvolvimento. A sua finalidade é propiciar o conhecimento do projeto
a ser auditado e das características organizacionais do ambiente onde o
projeto será executado.

2. Análise de risco
A análise de risco tem como base o cuidado que o auditor deve ter ao selecionar e classificar os
projetos de acordo com os critérios de importância para garantir que todos os novos sistemas
críticos e importantes sejam revisados. Compreende também a detecção e aferição das áreas
possíveis de incidência de erro, com base nos controles internos propostos nos projetos.
A identificação das áreas e o dimensionamento do risco envolvido permitirá ao auditor determinar a
amplitude e o aprofundamento dos procedimentos de auditoria a serem aplicados, a delimitação do
escopo e análise da relação custo/benefício da auditoria.
Definidas as áreas em que serão aplicados os procedimentos de auditoria, é necessária a
identificação dos "pontos de controle". A seleção destes pontos compreendem importante fase do
trabalho de auditoria do projeto e pode ser desenvolvida por meio de:
a. levantamento de dados do ambiente computacional:
• fluxo de processamento;
• inventário de equipamentos (hardware);
• inventário de arquivos (software);
• arquivos processados;
• divisão do ambiente;
• hierarquização da divisão do ambiente.
a. Localização do ambiente de PED e CPD;
b. Visitas ao ambiente de PED e CPD;
c. Entrevistas com o pessoal de trabalho da programação, operação, suporte.
As práticas metodológicas recomendadas para a análise dos pontos de controle, aqui listadas,
podem-se valer da utilização de:
• Matrizes
• Questionários
As matrizes identificam os principais pontos de controle que sensibilizam o auditor para elaborar o
planejamento, e também a execução da auditoria de sistemas em desenvolvimento.
Os questionários registram situações que propiciam ao auditor conhecer: plano diretor de
informática; ambiente de banco de dados; segurança lógica.
1. Planejamento da auditoria do projeto
Ao desenvolver o planejamento, é fundamental que o auditor esteja atento às oportunidades de
execução da auditoria, pois a temporariedade é fator de maior relevância e, se não for planejada
com rigor, poderá torná-lo inviável.
O planejamento é feito observando-se a seqüência de atividades: conhecimento do ambiente
computacional; determinação dos pontos de controle; definição dos objetivos de validação dos
pontos de controle; análise de sensibilidade do nível de interesse da validação e avaliação de cada
ponto de controle; hierarquização dos pontos de controle; documentação de todo o processo de
planejamento.
O planejamento objetiva um modelo operacional que seja capaz de refletir a cultura da empresa.
Nessa fase, devem ser definidos: o mix de talentos necessários à equipe; quais papéis de trabalho
serão utilizados; como escolher os projetos para serem revisados.
A metodologia recomendada consiste nas seguintes etapas
1. auditoria da metodologia de desenvolvimento de sistemas: documentação do sistema;
técnicas de análise estruturada;
2. auditoria das especificações do sistema;
3. auditoria da administração do projeto;
4. auditoria de pré – implantação do sistema.
Veja a ilustração desse processo:

1. Revisão do projeto de PED e técnicas de auditoria de sistemas


Revisão do projeto: a revisão do projeto começa com o levantamento de informações: datas;
equipe; recursos; interfaces; volume; valor das transações; quantidade de usuários.
Essas informações são básicas para o planejamento. Em função delas o Controle de Qualidade dos
Sistemas em Desenvolvimento (CQSD) determina os objetivos da revisão, em que se pode analisar
todo o projeto ou apenas parte dele.
Na execução do trabalho de revisão podem-se conduzir as tarefas de auditoria por meio de:
entrevista com usuários; entrevista com a equipe; análise da documentação do projeto; participação
em reuniões.
Essas tarefas permitem ao auditor/revisor a detecção de problemas que devem ser colocados em um
nível gerencial; qual o risco e custo do controle; se o usuário os aceita.
Técnicas de auditoria de sistemas: entre as técnicas de auditoria de sistemas em desenvolvimento,
destacam-se:
• A validação do processo de geração das especificações nas respectivas fases da
metodologia, examinando-se e acompanhando-se as técnicas aplicadas e os
procedimentos seguidos;
• A validação dos resultados gerados em cada fase da metodologia, no tocante ao
cumprimento das normas e da qualidade das especificações.
As técnicas de auditoria de sistema de PED em desenvolvimento devem dar condições de se testar
as técnicas de desenvolvimento dos referidos sistemas que, segundo Gil (1989:121-122) podem ser
classificados da seguinte forma:
A) Técnicas no ciclo de desenvolvimento do sistema
Uma aplicação dessas técnicas exige pelo menos que se faça:
1) Análise da metodologia de desenvolvimento de sistemas.
Essa técnica avalia a metodologia do desenvolvimento do sistema e será utilizada pela equipe de
projeto do sistema em desenvolvimento, empregando os seguintes procedimentos:
a. compreender a metodologia pela leitura dos manuais;
b. compreender a metodologia por meio de contratos com a gerência de desenvolvimento de
sistemas;
c. identificação dos "pontos de controle";
• encadeamento lógico das fases;
• objetivos dessas fases;
• técnicas de análise para estrutura e funcionamento;
• produto gerado em cada fase;
• responsabilidade pela execução de cada fase;
• documentação exigida em cada fase;
• controles de execução em cada fase;
• controles de execução geral;
• mecanismos de avaliação da qualidade.
d. Avaliação da adequacidade de hardware e de software;
e. Avaliação da adequacidade do pessoal de PED.
2) Análise da documentação de desenvolvimento de sistema.
Essa análise avalia as especificações e construções geradas para o sistema, ao final de cada fase ou
etapa, da metodologia utilizada para o desenvolvimento do sistema.
Esses procedimentos analíticos são para:
a. compreender as especificações e as construções pela leitura da documentação;
b. identificar os "pontos fracos" das especificações, com respeito a:
• objetivos do sistema;
• análise custo/benefício;
• anteprojeto;
• projeto lógico;
• arquivos, programas, relatórios e telas;
• testes;
• implantação;
• treinamento;
• documentação do projeto.
c. Avaliar resultados e emitir o "relatório de fraquezas" e de controle interno.
B) Técnicas complementares
São utilizadas três técnicas complementares ao sistema PED durante seu desenvolvimento. Segundo
Gil (1989:122-123), os critérios de uso dessas técnicas são:
1. Base Case System Evaluation: criada e utilizada na implantação do sistema e no ciclo da
operação para plotar alterações ocorridas (a correção de falhas é realizada antecipadamente,
o que permite melhorar a qualidade dos primeiros processamentos reais).
2. Integrated Test Facility: criada para facilitar a integração dos testes durante o
desenvolvimento do sistema, podendo ser usado também no ciclo operacional (consiste no
desenvolvimento de rotinas dentro dos programas para selecionar dados de testes de
auditoria).
3. System Control Audit Review File: criada durante o desenvolvimento do sistema (com a
finalidade de gerar rotinas específicas de auditoria dentro dos programas para selecionar
transações reais), é intensamente usada em sistemas real time. Sua utilização pode ser feita
no ciclo de desenvolvimento e no de operação.
Agrupamento das técnicas aplicadas pela auditoria durante o desenvolvimento de sistemas.

3.3. Negociação e elaboração do relatório


Essa é uma etapa do trabalho de auditoria que é operacionalizada ao término de cada tarefa, e
também antes da elaboração do relatório final, e que pode ser empregada em auditoria contábil, em
auditoria de sistemas em desenvolvimento e em auditoria de sistemas em operação.
É a oportunidade em que o auditor deve discutir com o cliente, com os gerentes de sistemas, ou
mesmo com os supervisores, as situações encontradas durante as fases da execução da auditoria
para validá-las ou ajustá-las a uma situação desejada.
O objetivo da negociação é discutir o teor da recomendação e/ou negociar suas resoluções.
Concluídas todas as negociações que o auditor julgar necessárias, poderá, então, considerar a tarefa
e/ou o trabalho terminado, elaborar e apresentar o relatório, que deve ser claro, consistente e
preciso.

4. AUDITORIA DE SISTEMAS EM OPERAÇÃO


A auditoria de um sistema em operação exige do auditor, além das condições de conhecimento de
auditoria, de sistemas de informação e de PED, conhecimentos de controle internos e CPD.
Não se pode dispensar do profissional para auditar sistemas de operação a independência
profissional e domínio de: metodologia de auditoria em PED; técnicas de auditoria com auxílio de
computador (TAAC); conhecimento das tarefas do pessoal de programação, operação e suporte.
A auditoria de sistemas em operações consiste em avaliar recursos empregados em PED e os
resultados obtidos.
A metodologia para auditoria de sistemas computadorizados em operação objetiva avaliar:
• os dados e informações, que compõem os resultados do sistema, e
• as rotinas de processos do sistema.
A metodologia é desenvolvida em duas fases: (1) planejamento da auditoria dos sistemas e (2)
levantamento dos sistemas sob auditoria.

4.1. Planejamento da auditoria dos sistemas em operação


A primeira atividade a ser desenvolvida em planejamento de auditoria de sistemas em operação é
conhecer o ambiente do sistema, ou seja, tomar conhecimento dos recursos:
• hardware e software;
• pessoal de programação, operação e apoio;
• estrutura organizacional do CPD;
• produto final obtido do CPD.
Uma técnica de auditoria recomendada para conhecer o ambiente dos sistemas em operação é o
contato com a gerência desses por meio de visitas ou entrevistas. O registro desta tarefa pode ser
feito com a utilização de questionários.
Esses questionários objetivam esclarecer situações de operação do sistema, como: plano diretor de
informática; sistemas aplicativos batch em operações; sistemas aplicativos on-line em operação;
microinformática no ambiente do usuário; segurança lógica dos sistemas em operação; ambiente de
banco de dados; ambiente de auditoria interna.
A atividade subseqüente é a análise de risco, que servirá de base para determinação do escopo da
auditoria do sistema em operação e para o estudo da relação custo/ benefício.
A análise de risco é efetuada por meio de investigações nos controles internos, quando se poderão
identificar as possíveis fraquezas e seu correto cumprimento.
A análise do controle interno deve preocupar-se com: reconhecimento dos eventos; design de
formas; controle de recepção de lotes; inputs em on-line; estatísticas de erro; segurança de funções;
qualidade de programação.
Essas indicações serão obtidas pela inspeção de: documentação dos sistemas no ciclo de
desenvolvimento; relatórios de auditoria anteriores dos sistemas em desenvolvimento e em
operações; manuais de programação e operação; layout do CPD; diagramação dos sistemas em uso.
A razão do planejamento é direcionar e coordenar a execução da auditoria dos sistemas em
operações.
O planejamento da auditoria inclui a seleção das "áreas de risco" do controle interno, segundo
parâmetros que podem determinar o aprofundamento e ampliação dos procedimentos de auditoria,
como, por exemplo: testes de aderência e testes de detalhes.
Esses parâmetros de controle interno são: fidelidade da informação perante o dado; segurança
física; segurança lógica; confidencialidade; segurança ambiental; obediência à legislação;
eficiência; eficácia; obediência às políticas administrativas.
O planejamento permeia todo o processo de auditoria, desde o conhecimento do ambiente, o
estabelecimento de estratégias, a aplicação das técnicas, a análise das etapas executadas, a
negociação e os relatórios finais. E será evidenciado por papéis de trabalho como: o Plano
Específico da Auditoria, em que são definidas as áreas de risco e pontos de controle; as prioridades
de execução; as tarefas; o tempo de execução; a equipe de auditoria; os recursos metodológicos; os
custos da auditoria.

4.2. Segurança lógica, confiabilidade e eficiência dos aplicativos


Prioritariamente, depois de satisfeita a fase inicial de planejamento, a atuação do auditor de sistemas
em operação será verificar o nível de satisfação do usuário, a saber:
• natureza e qualidade das informações recebidas;
• periodicidade e intensidade das informações;
• forma de apresentação, distribuição e adequação dos relatórios;
• confidencialidade das informações;
• atendimento dos objetivos dos sistemas.
A auditoria da segurança lógica e confiabilidade dos sistemas em operação compreendem a razoável
validação dos controles e está fundamentada nas normas internacionais. A finalidade desses
controles de aplicação de PED é estabelecer procedimentos específicos de controles sobre os
aplicativos, de forma a prover razoável segurança de que todas as transações são autorizadas,
registradas e processadas de maneira correta, completa e tempestiva. Essa metodologia
compreende:
a) controles sobre entradas: desenhados para prover razoável segurança de que as transações são
autorizadas, antes de serem processadas:
• são corretamente convertidas para forma legível pelo computador e
registradas nos arquivos de dados;
• não são perdidas, adicionadas, duplicatas ou alteradas indevidamente;
• as incorretas são rejeitadas, corrigidas e, se necessário, ressubmetidas
tempestivamente.
b) controle de processamento de arquivos: desenhados para prover razoável
segurança de que as transações:
• geradas pelo sistema são adequadamente processadas;
• não são perdidas, adicionadas, duplicadas ou alteradas indevidamente;
• quando erradas, são identificadas e corrigidas tempestivamente.
c. controles de saída: desenhados para prover razoável segurança de que:
• os resultados do processamento são corretos;
• o acesso à saída é restrito ao pessoal autorizado.

4.3. Preparação do ambiente para testes


A identificação dos arquivos a serem validados é o primeiro passo na execução da auditoria de
sistemas em operação. Eis alguns desses procedimentos:
• Análise do fluxo do sistema para identificação do momento no processo sistemático em que
teremos o conteúdo do arquivo desejado;
• Entrevista com o analista de sistemas ou com o usuário para confirmação do ponto exato no
fluxo em que há dados a auditar;
• Identificação do código do arquivo e de seu layout;
• Seleção de software para auditoria do sistema em operação;
• Análise do log/accounting de utilização do arquivo;
• Análise dos resultados de cada fase de auditoria;
• Documentação de todo o processo de auditoria;
• Uso de Técnicas de Auditoria com o auxílio de Computador (TAAC).
É importante que a metodologia de auditoria de sistemas em operação contemple a identificação dos
"pontos de controle", tanto nos sistemas em batch como nos sistemas on-line/real-time.
Nos sistemas em batch (processamento em lotes):
• Análise da documentação de entrada;
• Rotina de preparação de dados;
• Rotina de crítica e consistência de dados;
• Rotina de cálculo e atualização de arquivos;
• Rotina de acertos de erro de consistência e atualização;
• Arquivo mestre;
• Arquivo de manutenção;
• Rotinas de emissão de relatórios;
• Rotina de controle de qualidade e de distribuição de relatórios;
• Análise de relatórios de saída.
Nos sistemas on-line/real time (processamento direto e instantâneo):
• Rotinas de senhas de autorização e acesso ao banco de dados;
• Rotinas de transações e atualização de banco de dados: entrada de dados, critica e
consistência de dados, cálculos, atualização de arquivos;
• Banco de dados;
• Log (arquivo movimento);
• Rotina de manutenção de banco de dados e arquivos;
• Rotina de consulta e/ou emissão de relatórios;
• Análise de telas e relatórios.

4.4. Técnicas de auditoria para sistemas em operação


As técnicas formam um conjunto que, didaticamente, pode ser operado ao redor do computador, por
meio do computador e com o computador. Sua diagramação nos dá uma visão mais compreensível
de seus usos.
4.5. Técnicas aplicáveis ao redor do computador
As técnicas aplicáveis ao redor do computador são uma extensão daquelas utilizadas para execução
das metodologias de controles lógicos e podem ser operadas por meio de questionário.
a. Programas de crítica: da consiência e integridade dos dados e suas compatilidade com as
informações do cadastro;
b. Programa de processamento: com verificação da correção do funcionamento do sitema e
alimentação dos arquivos.

4.6. Técnicas aplicáveis por meio do computador


A) Test-deck (test-data): técnica de aplicação
Implica as seguintes fases:
• Compreensão do modulo do sistema a ser avaliado;
• Identificação de programas e arquivos; e
• Simulação dos dados de testes pertinentes.
Foi a primeira técnica de auditoria por meio do computador e, conseqüentemente, é a mias simples.
Nessa técnica, os dados de entrada são preparadas pelo auditor e processados no sistema auditado,
sob seu controle. Após o processamento, o auditor confronta os outputs previstos por ele com os
gerados pelo sistema. A combinação dos dados de entrada para o teste deverá compreender o maior
número possível de situações.
A principal desvantagem dessa técnica é que o teste fica limitado ao universo de situações previstas
pelo auditor, o qual se torna tão mais restrito quanto maior for a complexidade do sistema.
B) Integrated Test Facility (ITF)
Também chamada de mini-company, consiste na criação de um arquivo específico para testes de
auditoria, ou seja, uma miniempresa dentro do sistema, onde transações fictícias passam a ser
processadas. Isso possibilita a execução dos testes de auditoria junto com o processamento normal
da empresa, assegurando ao auditor que o programa do cliente utilizado para processar os testes é o
mesmo utilizado para processar as operações normais da empresa. Outra vantagem é a possibilidade
de efetuar também auditorias contínuas, acompanhando-se eventuais alterações nos programas.
C) Tracing (ou rastreamento)
Possibilita seguir uma trilha das transações no curso do processamento. Durante o rastreamento, a
seqüência da instrução executada é listada (exemplos: 0001 – 0002 - ... – 0015), permitindo ao
auditor identificar as inadequações e ineficiências na lógica de um programa, o que pode viabilizar
a identificação de rotinas fraudulentas, improcedentes ou inadequadas pela alimentação de
transações.
D) a Mapping of Software (das rotinas)
Técnica utilizada nas verificações durante o processamento dos programas, com a finalidade de:
• Flagrar rotinas não utilizadas;
• Flagrar quantidades de vezes que uma rotina foi utilizada.
A análise dos relatórios emitidos pela aplicação do mapeamento estatístico pertinente das rotinas
permite constatar:
• Rotinas já desativadas ou de pouco uso;
• Rotinas mais utilizadas;
• Rotinas fraudulentas.
A utilização da maping exige a conjugação do software aplicativo. A maping e o aplicativo em
operação são utilizados como instrumentos especiais junto aos programas do sistema em operação.
E) a Snapshot
É processada mediante captura instantânea, com a gravação de todos os estados de um computador
(em determinado instante) e armazenamento na memória principal de toda a informação de uma tela
em determinado instante. Essa técnica é usada como auxílio á depuração de programas, quando há
problemas. Sua utilização exige elevado conhecimento de PED por parte do auditor.
Corresponde, na realidade a um dump parcial da memória, basicamente, das áreas de dados. À
semelhança da maping e da tracing, necessita de um software especial "rodando" junto com o
programa aplicativo, ou seja que as características snapshot estejam embutidas no sistema
operacional.
F) a Simulation Paralleel
É aplicada por meio de um programa de computador para simular as funções de rotina do sistema
sob auditoria. Essa técnica exige profundo conhecimento de programação por parte do auditor, e
suas limitações circunscrevem-se em não examinar as regras e etapas do processamento dos dados
do sistema de informação sob auditoria.
Essa técnica utiliza-se dos dados (rotineiros) alimentados para a rotina do sistema sob auditoria
como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Assim,
simulamos o programa ao qual submetemos o dados que foram alimentados ao programa em
processamento normal.
A estrutura de aplicação dessa técnica corresponde a:
• Levantamento e identificação, via documentação do sistema, da rotina a ser auditada e
respectivos arquivos de dados trabalhados;
• Elaboração de programa com a lógica da rotina a ser auditada – compilação e teste deste
programa que irá simular em paralelo á lógica do programa de computador sob auditoria;
• Preparação do ambiente de computação para processamento do programa de computador
elaborado pelo auditor.
Nessa técnica, o auditor cria uma série de programas que efetuam as mesmas funções-chaves de
rotina do sistema sob auditoria. Os mesmos dados, processados no programa a ser analisado,
também o são no programa de simulação criado pelo auditor, para posterior comparação.
Os dados simulados de testes devem prever situações incorretas de:
• Transações com campos inválidos;
• Transações com valores ou quantidades nos limites de tabelas de cálculos;
• Transações incompletas;
• Transações incompatíveis;
• Transações em duplicidade.
Como forte desvantagem, registra-se que quando detectadas diferenças entre os dados de saída
gerados pela simulação paralela e pelo sistema auditado, haverá a possibilidade de o erro estar no
programa elaborado para a simulação.
G) a Analysis of Log/Accounting
A Log/Accounting é um arquivo gerado por rotina componente do sistema operacional, que contém
registros de utilização do hardware e do software que compõem um ambiente computacional. A
tabulação desse arquivo permite a verificação da intensidade de uso dos componentes de uma
configuração ou de rede de computadores, bem como o uso de software aplicativo e de apoio
vigente.
Excelente ferramenta para auditoria de sistemas com o objetivo de:
• Identificação de ineficiência, no uso do computador;
• Apuração do deslocamento da configuração do computador, pela caracterização de
dispositivos (unidades de disco, fita magnética, impressoras, terminais) que estão em folga
ou sobrecarregados;
• Determinação de erros de programas ou de operação do computador;
• Flagrar uso de programas fraudulentos ou utilização indevida do computador;
• Captar tentativas de acesso a arquivos indevidos, ou seja por passwords não autorizadas.
H) a Analysis of Programme/Fountain
Implica análise visual do códico-fonte do programa de computador do sistema sob auditoria.
Ressalta-se que esta técnica exige profundos conhecimento de processamento eletrônico de dados
por parte do auditor de sistemas.
A análise do códico-fonte do programa auditado permite ao auditor:
• Verificar se o programador cumpriu normas de padronização de códigos de rotinas,
arquivos, programas;
• Analisar a qualidade da estruturação dos programas;
• Detectar vícios de programação e o nível de atendimento às características da linguagem de
programação utilizada.

4.7. Técnicas aplicáveis com o computador


A) a General Audit Software (GAS)
São programas desenvolvidos para efetuar variedades de funções de processamento de dados, que
auxiliam na realização de testes e exames de auditoria. Essas funções incluem a leitura de arquivos
e banco de dados, seleção e ordenação de informações, execução de cálculos e emissão de relatórios
nos formatos especificados pelo auditor.
Essa técnica de auditoria em sistemas com PED tem como vantagem o elevado grau de
independência do auditor em relação ao pessoal de CPD, da empresa auditada. Seus programas são
pré-elaborados e flexíveis aos vários ambientes de teste, com acesso à ampla variedade de registros
integrados, sem a preparação de programas especiais para cada caso.
B) a Embedded Audit Module (EAM)
Inserção de módulos de auditoria – os módulos de auditoria inseridos são programas escritos e
compilados com o sistema de aplicação, a fim de realizar procedimentos de auditoria. Quando
acionados, extraem as informações requisitadas pela auditoria, sem interferir no processamento
normal dos dados.
A EAM dá ao auditor a capacidade de averiguar o processamento de transações, continuamente, e de
escolher as transações para testes, com base em critérios predeterminados.

4.8. Análise dos sistemas e das operações


Compreende análise de documentos, relatórios e telas de sistema, no que diz respeito a: nível de
utilização pelo usuário; esquema de distribuição e número de vias emitidas; grau de
confidencialidade de seu conteúdo; forma de utilização e integração entre
relatórios/telas/documentos/; layout de distribuição.
A aplicação dessas análises implica o cumprimento das seguintes fases:
• Relacionar, por usuário, os relatórios, as telas e os documentos de cada ponto de controle;
• Obter modelo ou cópia de cada relatório, de cada tela, de cada documento e compor pasta de
papéis de trabalho;
• Elaborar um questionário para realização para realização dos levantamentos de relatórios,
telas e documentos;
• Realizar entrevistas e registrar observações e informações dos usuários;
• Analisar as respostas.
A principal utilidade dessa técnica é validar a eficácia do sistema.

5. TÉCNICAS DE AUDITORIA EM CPD (Centro de Processamento de Dados)


Tratando-se das técnicas de auditoria, é importante o conhecimento formado por um conjunto de
especialidades com inserção de habilidades em: normas e procedimentos administrativos; normas
técnicas; procedimentos operacionais; funções operacionais das áreas de processamento eletrônico
de dados (PED) e do centro de processamento de dados (CPD); contratos de Software e de
Hardware. É notório como alvo principal a metodologia e as técnicas de auditoria do CPP, assim
como a segurança física do ambiente computacional, validando entretanto a razoável infra-estrutura
de sustentação dos sistemas.
Essa infra-estrutura compreende:
• Recrusos Humanos – Avaliação dos recursos humanos à disposição, para verificar se são
suficientes quantitativa e qualitativamente para o cumprimento das atribuições, devendo ser
identificadas possíveis distorções (excesso, falta, má distribuição, falta de treinamento etc) e
vulnerabilidade em função de atividades essenciais não estarem sendo controladas por
pessoal-chave da própria instituição, como por exemplo às áreas de normas e fiscalização.
Identificar se existe pessoal cedido ou emprestado por outros órgãos da própria entidade ou
de outras, caracterizando a proporção entre o pessoal utilizado nas atividades meio e fim.
• Instalações e Equipamentos - Avaliação dos recursos materiais à disposição, para verificar se
são adequados e seguros de modo a garantir a continuidade das atividades da instituição e
não causam dependência com relação aos seus fornecedores, devendo verificar a
disponibilidade dos equipamentos vinculados à atividade fim; sua utilização e a proporção
entre os obsoletos e em mau estado de conservação com o total à disposição; identificação
do nível de propriedade e terceirização dos bancos de dados; existência de informações-
chave que estão fora do controle técnico-operacional da instituição, bem como a
vulnerabilidade de perda ou extravio de informações por terceiros;
• Software de Sistema - é o conjunto de programas projetados para operar e controlar as
atividades de processamento de um equipamento computacional. Normalmente, um
software de sistema é utilizado para dar suporte e controlar uma variedade de aplicações que
possam ser executadas num mesmo hardware de computador. O software de sistema auxilia
a controlar e coordenar a entrada, processamento, saída e armazenamento dos dados
relativos a todas as aplicações executadas no sistema. Alguns softwares de sistema podem
alterar dados e códigos de programa em arquivos, sem deixar uma trilha de auditoria.
Portanto, o controle sobre o acesso e a alteração do software de sistema é essencial para
oferecer uma garantia razoável de que os controles de segurança baseados no sistema
operacionais não estão comprometidos.
Se os controles nessa área forem inadequados, indivíduos não autorizados podem utilizar o software
de sistema para desviar dos controles de segurança, bem como ler, modificar ou apagar informações
e programas críticos ou vulneráveis. Softwares de sistema com controles ineficazes podem ser
utilizados, ainda, para neutralizar controles presentes em programas aplicativos, diminuindo
significativamente a confiabilidade da informação produzida pelas aplicações existentes no sistema
computacional, e aumentando o risco de fraude e sabotagem.
As preocupações com o controle de software de sistema são similares às de controle de acesso e de
controle de mudança de software. Entretanto, por causa do alto nível de risco associado com
atividades de software de sistema, a maioria das entidades possui um conjunto separado de
procedimentos de controle para essas atividades.
Os controles de software de sistema são avaliados através dos seguintes elementos críticos:
Acesso limitado ao software de sistema;
Acesso e uso supervisionado do software de sistema;
Controle das alterações do software de sistema.
• Redes de Comunicação – para integração local
• Redes de Comunicação - para Teleprocessamento
• Plano de Integração – planejamento de inserção e compreensão dos dados envolvidos no
sitema.
• Planos Técnicos – existência e aplicação das técnicas adequadas.
• Plano de Contigência – confirmação positiva em termos de segurança.
Quanto a segurança física do ambiente computacional, o auditor irá se valer de técnicas habitusais
de auditoria de sistema que compreende:
• Visitas ao CPD - para as devidas inspeção e investigação.
• Entrevistas com pessoal de operação e suporte, podendo detectar algum indício que lhe
mostre falha ou fraude.
• Questionários – efetuá-los de forma discreta onde investigue dados informativos.
Ainda quanto á segurança física, a auditoria do CPD tem a finalidade de avaliar o ambiente
computacional, como por exemplo:
• Sistema de alimentação elétrica – Estabilizadores
• Segurança contra fogo – Extintores adequadamente em dia com a manutenção.
• Controle de acesso ao ambiente - Restrição de frequência apenas aos interessados.
• Segurança das construções – Se oferece risco de desabamento etc.
• Segurança dos equipamentos e instalações – contra fogo, inundações, umidade e interpéries.
• Segurança do pessoal – vigilância adequada.

5.1. Dos Contratos


Com o objetivo de assegurar a razoável garantia de utilização do software e do hardware existe a
auditoria dos contratos que reza o seguinte:
• A duração, qual o período qiue compreende;
• A validade das assinaturas;
• As condições de pagamentos;
• Os critérios de reajuste de preços;
• A aprovação dos contratos pelo departamento jurídico;
• Quanto a manutenção dos equipamentos;
• Quanto a assitência dos programas.

5.2. Das Funções


A auditoria das funções demostra a análise de funções da estrutura do posicionamento do CPD e do
fluxo de informações de trabalho do ambiente computacional. Sendo que para auditar as funções do
PED é necessário o seguinte:
• Objetivos – assegurar a qualidade, que realmente atenda à necessidade esperada; o
rendimento, que demonstre produtividade adequada; eficácia, que dê bom resultado.
• Formas de atuação – análise do perfil da função; análide do processo administrativos versus
níveis da empresa, se há uma interação adequada. É necessária uma estrutura organizacional
onde as responsabilidades de suas unidades estejam claramente estabelecidas, documentadas
e divulgadas, e políticas de pessoal adequadas, quanto à seleção, segregação de funções,
treinamento e avaliação de desempenho. Essa estrutura deve gerenciar racionalmente os
recursos computacionais da organização, de modo a suprir as necessidades de informação de
forma eficiente e econômica. Evitando que um indivíduo venha a controlar todos os estágios
críticos de um processo (por exemplo, um programador com permissão para
independentemente escrever, testar e aprovar alterações de programa). Freqüentemente, a
segregação de funções é alcançada pela divisão de responsabilidades entre dois ou mais
grupos organizacionais. Com essa divisão, a probabilidade de que erros e ações indevidas
sejam detectadas aumenta sensivelmente, visto que as atividades de um grupo ou indivíduo
irão servir para checar as atividades do outro.
A ausência ou inadequação da segregação de funções de informática aumenta o risco de ocorrência
de transações errôneas ou fraudulentas, alterações impróprias de programa e danos em recursos
computacionais.
A extensão da segregação de funções a ser aplicada irá depender do seu tamanho e do risco
associado às suas instalações e atividades. Uma organização de grande porte terá mais flexibilidade
em separar funções-chave que organizações pequenas, que dependem de poucos indivíduos para
executar suas operações. Da mesma forma, atividades que envolvem transações financeiras de alto
valor, ou que de alguma outra forma são bastante arriscadas, devem ser divididas entre diversos
indivíduos e sujeitas a uma supervisão mais rigorosa.
Por causa da natureza da operação dos computadores, a segregação de funções por si só não garante
que somente atividades autorizadas sejam executadas pelos funcionários, especialmente operadores
de computador. Para auxiliar na prevenção e detecção de ações não autorizadas ou incorretas, é
também necessário uma supervisão gerencial efetiva e procedimentos formais de operação.
• Processo administrativo e níveis da empresa: documentos, relatórios, telas.

5.3. Das Normas e Procedimentos


• A auditoria das normas e procedimentos tem como finalidade analisar:
a) os objetivos das normas: assegurar a divulgação e o uso de informações referentes a:
- política e diretrizes do PED e do CPD;
- organização formal do trabalho;
- treinamento e capacitação do pessoal.
b) formas de atuação: verificar a existência e qualidade de normas formais e de aderência de normas
formais.
c) técnicas: as mais usuais são: questionários; visitas; entrevistas e observação

6. FRAUDES EM SISTEMAS INFORMATIZADAS


Fraude consiste em ação de agentes agressores que podem trazer prejuízos a uma entidade por
procedimentos realizados com o objetivo de obter benefícios próprios por motivos de satisfação
financeira, psicológica ou material.
Os agentes agressores podem ser de natureza interna ou externa. Entretanto, em face da
complexidade e dos controles lógicos que devem existir na área de informática, é raro a ocorrência
de fraude de origem exclusiva de agentes externos.
A grande maioria das fraudes apuradas no ambiente de informática tem tido participação de pessoas
da própria Organização, tanto de forma consciente quanto inconsciente, sendo que em alguns casos,
são ex-integrantes do ambiente de informática.

6.1. Fatores para fraudes


São destacados a seguir os principais fatores que propiciam ocorrência de fraudes:
• Integração das plataformas de informática, em nível interno e com outras organizações,
enfraquecendo a aplicação do conceito de segregação de funções;
• Terceirização ou quarteirização com respectiva integração dos ambientes de informática
entre as empresas parceiras.
• Profissionais polivalentes atuando em diversas áreas da organização permitindo acesso a
informações exclusivas de cada uma delas;
• Fragilização de controles lógicos em face de necessidade de menores custos e prazos para
desenvolvimento de atividades operacionais da organização.

6.2. Indícios de fraudes


Algumas ocorrências podem ser indícios de fraude, são:
• Erros sistemáticos no processamento;
• Omissão de verificação de controles;
• Descumprimento de normas;
• Totais de controle não fechados;
• Não cumprimento de padrões operacionais;
• Uso excessivo de procedimentos de exceção;
• Existência de transações integradas não correspondidas.

6.3. Causas de fraudes


Muitas são as situações que podem acarretar uma fraude, sendo as de maior incidência:
• Satisfação psicológica do agente fraudador em causar prejuízos à organização, em face de
insatisfação de não-ascensão profissional, insatisfação salarial, preceitos de ideologia,
desacordo com políticas empresariais, e/ou em solidariedade a colegas de trabalho
considerados injustiçados pela organização.
• Por necessidades do agente fraudador para dispor de recursos financeiros para atender
doença na família, perdas em jogo, realização de negócios errados e/ou padrão de vida além
de seu salário.
• Por necessidades pessoais do agente fraudador para atender dificuldades materiais em
termos de moradia, alimentação, desastres, catástrofes, acidentes, desagregação familiar;
estar sofrendo chantagem; envolvimento com drogas, tóxicos ou alcoolismo.
• Por outras razões do agente fraudador relativas à má formação cultural, onde ele considera
normais ou irrelevantes atos fraudulentos com ações de sabotagem; momentos empresariais
de aquisições, fusões, incorporações, falências, concordatas; personalidade fraca.

7. CONCLUSÃO
A necessidade de implantação de processos auditorial continuo nas organizações para
verificar a segurança do funcionamento de seus sistemas informatizados é de suma
importância, considerando-se que na atualidade, em face do processo de globalização, a
necessidade de diponibilização de dados das mais variadas características é fundamental
para a sobrevivência das empresas em um ambiente econômico de características
plenamente competitivas.
Manter sistemas informatizados em funcionamento sem segurança de uma operação eficaz, é
inscrever a empresa na relação das suicidas, pois não tendo informações auditadas, estará
trabalhando com dados inconsistentes que, naturalmente, poderão causar danos nas suas
operações comerciais.
Por as situações apontadas, não é demais lembrar os já consagrados mandamentos de
segurança para informática, que sempre deverão estar sendo observados por aqueles que têm
a responsabilidade de gerir e utilizar sistemas informatizados em uma empresa:
1. tomar cuidado ao acessar determinados sites;
2. não utilizar programas cuja procedência é duvidosa;
3. não praticar correntes virtuais e não enviar spams;
4. lembrar que todo acesso é monitorável;
5. nunca aceitar instalações e configurações padrões;
6. atualizar os patches e versões de programas;
7. avaliar freqüentemente o LOG do sistema para detecção de intrusos;
8. buscar alternativas complementares de segurança;
9. contratar um serviço para avaliar o quanto está vulnerável a invasões (Teste de
Intrusão);
10. implementar regras, reforçando-as com adoção de termos de compromisso.

BIBLIOGRAFIA

CONSELHO REGIONAL DE CONTABILIDADE DO ESTADO DE SÃO PAULO.


Auditoria por meios eletrônicos – 11. CRC – SP. São Paulo: Atlas, 1999.
MAGALHÃES, Antônio de Deus F.; LUNKES, Irtes Cristina; MULLER, Aderbal Nicolas.
Auditoria das organizações: metodologias alternativas ao planejamento e à
operacionalização dos métodos e das técnicas. São Paulo: Atlas, 2001.

Você também pode gostar