Aula - Auditoria de Software
Aula - Auditoria de Software
Aula - Auditoria de Software
INTRODUÇÃO
Presidência
Executiva
Auditoria de
Sistemas
• Defasagem tecnológica
• Falta de bons profissionais
• Falta de cultura da empresa
• Tecnologia variada e abrangente
1
• Estudo do custo / benefício
• Ampliação do campo de atuação da auditoria de sistemas
• Compreensão do ambiente
• Análise do ambiente e determinação das situações mais sensíveis
• Elaboração de uma massa de testes
• Aplicação da massa de testes
• Análise das simulações
• Emissão da opinião quanto ao ambiente auditado
• Debate com os profissionais da área auditada para discussão das alternativas
recomendadas
• Acompanhamento da implantação da solução proposta
• Auditoria da solução implantada
• Novas auditorias no ambiente
2
AUDITORIA DE SISTEMAS
1. CONCEITOS
Para confidencialidade:
• Rotina de criptografia de informações sigilosas.
3
2. ORGANIZAÇÃO DO TRABALHO DA AUDITORIA
Planejamento
Avaliar para cada ponto de controle o grau de risco apresentado para posterior
hierarquização:
Grau de Risco
1 – Muito Fraco
2 – Fraco
3 – Regular
4 – Forte
5 – Muito forte
Definição da Equipe
4
• Efetuar supervisão para garantir a qualidade do trabalho e certificar que as tarefas
foram feitas corretamente
Documentação do trabalho
Tem por objetivo explicitar as economias financeiras a serem feitas com a adoção das
recomendações efetuadas. Serve de base para a realização das análises de retorno
de investimento e do custo/beneficio da auditoria de auditoria de sistemas.
5
3.5. Pastas contendo a documentação da auditoria de sistemas
Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação
de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos,
atas de reunião, etc.
6
TÉCNICAS DE AUDITORIA
• Programas de computador
• Questionários
• Simulação de dados
• Visita in loco
• Mapeamento estatístico
• Rastreamento de programas
• Entrevista
• Análise de relatórios / telas
• Simulação paralela
• Análise de log / accounting
• Análise do programa fonte
• Exibição parcial da memória snap shot
1. PROGRAMAS DE COMPUTADOR
Passos
2. QUESTIONÁRIOS À DISTÂNCIA
Analisa:
Passos:
Passos:
4. VISITA IN LOCO
Passos:
8
6. RASTREAMENTO DE PROGRAMAS
Passos
Passos:
Permite detectar:
9. SIMULAÇÃO PARALELA
9
Enquanto o test deck simula dados a simulação pararela simula a lógica do programa.
Passos
Permite verificar:
Passos:
Permite verificar.
10
12. SNAPSHOT
11
FERRAMENTAS DE AUDITORIA DE SISTEMAS
Auxiliam na extração, sorteio, seleção de dados e transações, atentando para
discrepâncias e desvios.
• Envolve o uso de software aplicativo em ambiente batch, que pode processar, além
de simulação paralela, uma variedade de funções de auditoria e nos formatos que
o auditor desejar.
Exemplos:
• ACL (Audit Command Language): é um software de extração e análise de dados,
desenvolvido no Canadá.
• IDEA (Interactiva Data Extraction & Analysis): software para extração e análise de
dados, também desenvolvido no Canadá.
• Audimation: é a versão norte-americana do IDEA, da Caseware-IDEA, que
desenvolve consultoria e dá suporte para o produto.
• Galileo: software integrado de gestão de auditoria. Inclui gestão de riscos de
auditoria, documentação e emissão de relatórios para auditoria interna.
• Pentana: software de planejamento estratégico da auditoria, sistema de
planejamento e monitoramento de recursos, controle de horas, registro de
checklists e programas de auditoria, inclusive de desenho e gerenciamento de
plano de ação.
Vantagens:
• Pode processar vários arquivos ao mesmo tempo.
• Pode processar vários tipos de arquivos com formatos diferentes, por exemplo,
EBCDIC ou ASCII.
• Pode também fazer uma integração sistêmica com vários tipos de softwares e
hardwares.
• Reduz a dependência do auditor do especialista de informática para desenvolver
aplicativos específicos para todos os auditores de sistemas de informação.
Desvantagens:
• Como o processamento das aplicações envolve gravação de dados (arquivos) em
separado, para serem analisados, poucas aplicações podem ser feitas em
ambiente on-line.
• O software não consegue processar cálculos complexos, pois como se trata de um
sistema generalista, não aprofunda na lógica e na matemática, muito complexas.
Vantagens:
• Pode atender sistemas ou transações não contempladas por softwares
generalistas.
12
• O auditor, quando consegue desenvolver softwares específicos numa área muito
complexa, pode utilizar isso como vantagem competitiva.
Desvantagens:
• Pode ser muito caro, pois terá uso limitado e normalmente restrito a determinado
cliente.
• Atualização pode ser complicada devido a falta de recursos que acompanhem as
novas tecnologias.
3. PROGRAMAS UTILITÁRIOS
Vantagem:
• Pode ser utilizado como alternativa na ausência de outros recursos.
Desvantagem:
• Sempre necessitará do auxílio do funcionário da empresa auditada para operar
a ferramenta (no caso de ferramentas complexas, como bancos de dados).
13
AUDITORIA DO AMBIENTE COMPUTACIONAL
Parâmetros avaliados:
Análise de Cadastro
Parâmetros avaliados:
14
• Eficiência – Forma de organização do arquivo; campos ou registros existentes no
arquivo e que não são utilizados.
O DFD:
Os pontos de controle podem ser definidos em quaisquer um dos níveis, sendo mais
aconselhável colocá-los no nível mais baixo, para maior facilidade de entendimento.
Pontos de Controle:
1) Avisos de débito e crédito que fluem entre a matriz e o ambiente externo / sistema de
carteiras (nivel 1 ou mais detalhado no nível 2).
2) Avisos de D/C que fluem entre a área de operação do computador da matriz (processo
2.3) e o sistema de carteiras.
3) Subsistema de C/C on-line sendo processado na matriz (processo 2.3) e no
Caixa/terminal on-line da agência (processo 1.3).
• Inicialização do projeto
• Estudo de viabilidade
• Análise da situação atual
• Projeto lógico
15
• Projeto físico
• Desenvolvimento e testes
• Implantação
• Administração
• Manutenção
Mudanças no
ambiente
empresarial
Ciclo de Ciclo de
Plano Diretor de Desenvolvi Operação
Informática -mento
Relatórios de
Auditoria do
Sistema em
Operação
Relatórios Relatórios
de de Auditoria
Auditoria
• Líder de Projeto
• Analista de Sistemas
• Programador de Computador
• Administrador de dados
• Analista de Bancos de Dados
• Analista de Software Básico
• Analista de Teleprocessamento
• Analista de Segurança
• Analista de Qualidade
• Profissional do Centro de Informações
Processos:
16
Resultados:
• Documentação
• Relatórios
• Estrutura lógica
• Estrutura física
• Modelo de dados
• Projeto de arquivos
• Layouts de telas
• Definição de programas
Deve abranger:
• Instalações
• Profissionais que executam tarefas comuns a todos os aplicativos
17
• Contratos de hardware e software
• Equipamentos
• Software básico e de apoio
• Redes de comunicação, para integração local e remota
• Procedimentos administrativos, técnicos e gerenciais
• Plano de integração de tecnologia
18
• Atualização das informações.
Exemplos:
Objetivo da auditoria:
19
4.2. Auditoria dos microcomputadores e seus usuários
Aspectos importantes:
• Existência do administrador de dados
• Existência de um dicionários de dados
• Existencia de um SGBD
• Existência de um analista de banco de dados
• Existência de controle de acesso ao BD.
Problemas encontrados:
• Leitura extração de dados por entidade não autorizada
• Alteração dos dados ou procedimentos de programas
• Adição ou exclusão de dados estranhos aos arquivos
• Utilização de equipamento ou software sem autorização
Procedimentos de segurança:
• Criação da função de administrador de dados (descrição do BD, manutenção do
dicionário, monitoramento da utilização do BD, controle de acesso, etc)
• Segurança física dos terminais
• Definir normas para uso de passwords
20
• Acesso físico (porteiro, catraca, etc)
• Segurança da rede de comunicação de dados
• Segurança fisica de recursos humanos e materiais
• Plano de contingência
O auditor deve:
Sistemas especialistas:
21
alimentação do bando de dados do conhecimento e criação das novas regras de
decisão).
Desafios do auditor:
22
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO DOS
CONTROLES DE PROCESSAMENTO DE DADOS
1. CONTROLES GERAIS
Existem seis categorias de controles gerais que devem ser consideradas em auditorias:
• controles organizacionais: políticas, procedimentos e estrutura organizacional
estabelecidos para organizar as responsabilidades de todos os envolvidos nas
atividades relacionadas à área da informática;
• programa geral de segurança: oferece a estrutura para: (1) gerência do risco, (2)
desenvolvimento de políticas de segurança, (3) atribuição das responsabilidades de
segurança, e (3) supervisão da adequação dos controles gerais da entidade;
• continuidade do serviço: controles que garantem que, na ocorrência de eventos
inesperados, as operações críticas não sejam interrompidas, ou sejam imediatamente
retomadas, e os dados críticos sejam protegidos.
• controles de software de sistema: limitam e supervisionam o acesso aos programas e
arquivos críticos para o sistema, que controlam o hardware do sistema computacional
e protegem as aplicações presentes;
• controles de acesso: limitam ou detectam o acesso a recursos computacionais (dados,
programas, equipamentos e instalações), protegendo esses recursos contra
modificação não autorizada, perda e divulgação de informações confidenciais;
• controles de desenvolvimento e alteração de softwares aplicativos: previnem a
implementação ou modificação não autorizada de programas.
23
Indícios de ineficácia de controles do sistema
Após avaliar os controles do sistema, a equipe deverá dar um parecer sobre a sua
eficácia, isto é, sua capacidade de prevenir erros e detectar e corrigir aqueles que
venham a ocorrer.
• Controles sólidos - quando assumir-se que o sistema como um todo está capacitado a
prevenir, detectar e corrigir qualquer erro significativo nos dados;
• Controles adequados - quando forem detectadas deficiências nos controles, mas de
modo geral esses demonstrarem ser suficientes para prevenir os erros mais
significativos, e acusar os que venham a ocorrer; ou
• Controles fracos/indeterminados - quando identificar-se a ausência ou ineficácia dos
controles de sistema, e, conseqüentemente, oportunidades de introdução de dados
incorretos no sistema.
Controles Gerais:
24
críticas e responsabilidades de autorizar, processar, registrar e revisar transações
sejam atribuídas a diferentes indivíduos.
• Segurança física das instalações, especialmente quanto às restrições de acesso.
• Segurança lógica (controle de acesso aos sistemas e dados através de senhas e
outros métodos) que ajudam a garantir a confiabilidade dos dados reduzindo o risco de
ocorrer entrada ou modificação não autorizada de dados.
Controles de aplicativos:
25
GESTÃO DA AUDITORIA E GESTÃO DA INFORMÁTICA
• Análise de arquivos
• Confronto de arquivos
• Emissão de check-lists e questionários
• Preparação de test deck
• Análise de log
• Tabulação de respostas e questionários
• Controle de horas
• Controle de alocação de recursos
CARGO FUNÇÃO
Gerente / Subgerente Gerencia a atividade de auditoria
26
3. ATIVIDADES DO GESTOR DE AUDITORIA
- Objetivos
- Indicadores de qualidade da auditoria de sistemas
- Recursos necessários à auditoria
- Treinamento para auditores
- Custos
- Cronograma de atividades
- Suporte à auditoria operacional pela auditoria de sistemas
Permitem caracterizar:
- Produtividade dos trabalhos da auditoria
- Eficiência nos processos de auditagem (uso de técnicas otimizadas)
27
- Eficácia dos resultados das auditorias de sistemas efetuadas (alcance dos objetivos)
- Segurança dos recursos tangíveis alocados a processos e resultados.
Quantidade de PC validados
NIVEL DE
ENTIDADES FORMAS DE MOMENTOS FOCO NO
ESTRUTURA
RESPONSÁ- GERENCIAM DE CICLO DE
ÇÃO DA
VEIS ENTO DE MONITORAÇ VIDA DA
INFORMÁTIC
INFORMÁTIC ÃO DA INFORMÁTIC
A
Alta A INFORMÁTIC A
administração A
Plataformas
Planejamento Engenharia do
Operacionais
Executivos e Controle de Projetos e Produto
Usuários Processos e Recursos
Sistemas
Resultados Tecnológicos Engenharia do
Aplicativos
Executivos de processo
Informática
Especificação
Executivos de do processo
Terceiros
28
Responsabilidades de gerenciamento da alta administração:
29
AS TRANSFORMAÇÕES NA FUNÇÃO DA AUDITORIA
Novas exigências das organizações:
• Continuidade Operacional
• Pesquisa e desenvolvimento para alcance da inovação tecnológica
• Pioneirismo (entrar no mercado no momento da ascensão do negócio)
• Identificação da intensidade e potencial da concorrência
• Lucratividade de cada linha de negócio/produto/serviço
30
• Avaliação de contratos de gestão e metas de qualidade direcionadas ou sustentadas
por PED.
• Emissão de opinião quanto às inovações tecnológicas e sua utilidade no ambiente de
informática.
Aud. Sistemas
Auditoria Auditoria de Auditoria da
Operacional Gestão Qualidade
Momento
Cumprimento da Tempo de resposta Indicador de
Sistema em metodologia de estimado / projetado Qualidade tempo
Desenvolvimento desenvolvimento de para as transações médio de atraso no
sistemas desenvolvimento
Nível de satisfação Cronograma mensal Ações de qualidade
dos usuários com de carga de trabalho de natureza
Sistema em conteúdo de telas / por sistema inovação tecnológica
Operação relatórios aplicativo por implantadas para
plataforma sistemas on-line
computacional
Custo de Investimento em Metas de qualidades
Centro de plataformas / redes hardware e software para contratos de
Computação operacionais básico gestão da área de
informática
31
O AMBIENTE FUTURO DA TECNOLOGIA DE INFORMÁTICA
• Usuários proprietários: usuários que desenvolvem e operam seus sistemas.
• Rede total de computação: uso de micros portáteis e conectados em rede para
transmissão, recepção e acesso a dados.
• Conhecimento compartilhado: Aplicação da tecnologia de sistemas especialistas.
• Novas funções computacionais: Realce no papel da consultoria da área de informática
para divulgação de novas tecnologias e treinamento.
Novos problemas:
32
NOVA AUDITORIA DE SISTEMAS
X
NOVO AMBIENTE DE INFORMÁTICA
BIBLIOGRAFIA:
33