Guia de Técnicas e Ferramentas de Auditoria de Sistemas

Técnicas de Auditoria

As principais técnicas aplicadas incluem:

• Programas de computador
• Questionários
• Simulação de dados
• Visita in loco
• Mapeamento estatístico
• Rastreamento de programas
• Entrevista
• Análise de relatórios / telas
• Simulação paralela
• Análise de log / accounting
• Análise do programa fonte
• Exibição parcial da memória (snapshot)

Programas de Computador

Correlaciona arquivos, tabula e analisa o conteúdo dos mesmos.

Passos:

• Análise do fluxo do sistema
• Identificação do arquivo a ser auditado
• Entrevista com o analista / usuário
• Identificação do código / layout do arquivo
• Elaboração do programa para auditoria
• Cópia do arquivo a ser auditado
• Aplicação do programa de auditoria
• Análise dos resultados
• Emissão de relatórios
• Documentação

Questionários à Distância

Verifica a adequação do ponto de controle aos parâmetros de controle interno (segurança física, lógica, eficácia, eficiência, etc.).

Analisa:

• Segurança em redes de computadores
• Segurança do centro de computação
• Eficiência no uso de recursos computacionais
• Eficácia de sistemas aplicativos

Passos:

• Análise do ponto de controle
• Elaboração do questionário
• Seleção dos profissionais que irão responder o questionário
• Elaboração de instruções
• Distribuição / remessa dos formulários
• Controle do recebimento pelo usuário
• Análise das respostas
• Formação de opinião quanto às respostas
• Elaboração do relatório de auditoria

Simulação de Dados (Test Deck)

Elaboração de massa de teste a ser submetida ao programa ou rotina. Deve prever as seguintes situações:

• Transações com campos inválidos
• Transações com valores nos limites
• Transações incompletas
• Transações incompatíveis
• Transações em duplicidade

Passos:

• Compreensão da lógica do programa
• Simulação dos dados (pertinentes ao teste a ser realizado)
• Elaboração dos formulários de controle
• Transcrição dos dados para o computador
• Preparação do ambiente de teste
• Processamento do teste
• Avaliação dos resultados
• Emissão de opinião sobre o teste

Visita in loco

Consiste na atuação do pessoal de auditoria junto ao pessoal de sistemas e instalações.

Passos:

• Marcar data e hora para visita
• Anotar procedimentos e acontecimentos
• Anotar nomes das pessoas e data e hora das visitas
• Analisar a documentação obtida
• Emitir opinião via relatório

Mapeamento Estatístico (Mapping)

Permite verificar situações como:

• Rotinas não utilizadas
• Quantidade de vezes que cada rotina foi utilizada
• Rotinas existentes em programas mas já desativadas
• Rotinas mais utilizadas
• Rotinas fraudulentas ou irregulares
• Rotinas de controle

Rastreamento de Programas

Possibilita seguir o caminho de uma transação durante o processamento do programa. Objetiva identificar as inadequações e ineficiência na lógica de um programa.

Entrevistas no Ambiente Computacional

Realização de reuniões entre o auditor e o auditado.

Passos:

• Analisar o ponto de controle
• Planejar a reunião
• Elaborar o questionário da entrevista
• Realizar a reunião
• Elaborar ata da reunião
• Analisar a entrevista
• Emitir relatório da auditoria

Análise de Relatórios / Telas

Analisar relatórios e tela no que se refere a:

• Nível de utilização pelo usuário
• Esquema de distribuição e número de vias
• Grau de confidencialidade
• Forma de utilização de integração com outras telas / relatórios
• Padronização dos layouts
• Distribuição das informações conforme layout

Passos:

• Relacionar telas e relatórios por usuário
• Obter modelo ou cópia de todas as telas / relatórios
• Elaborar um check-list para levantamento
• Marcar data e hora para obter opiniões dos usuários
• Realizar entrevistas e anotar opiniões
• Analisar as respostas
• Emitir opinião

Permite detectar:

• Relatórios e telas não mais utilizados
• Layout inadequado
• Distribuição indevida de vias
• Confidencialidade não respeitada

Simulação Paralela

Elaboração de um programa de computador para simular as funções da rotina sob auditoria. Enquanto o test deck simula dados, a simulação paralela simula a lógica do programa.

Passos:

• Identificação da rotina a ser auditada
• Elaboração de programa com a mesma lógica
• Preparação do ambiente
• Aplicação da rotina
• Elaboração de relatório

Esta técnica requer um grande conhecimento de computação.

Análise de Log / Accounting

Verifica o uso dos dispositivos componentes de uma configuração ou rede de computadores e do software aplicativo.

Permite verificar:

• Ineficiência do uso do computador
• Configuração do computador (dispositivos com folga ou sobrecarregados)
• Determinação de erros de programa ou de operação
• Uso de programas fraudulentos ou utilização indevida
• Tentativas de acesso indevidas

Passos:

• Entrevistar o pessoal de software básico e Planejamento e Controle da Produção para entender o software / hardware existentes, layout do log accounting, etc.
• Decidir parâmetros para utilização do log / accounting (tipos de verificação a serem feitas, período de tempo para auditoria, data do teste, etc.).
• Aplicar o log / accounting
• Analisar os resultados
• Emitir opinião

Esta técnica requer um grande conhecimento de computação.

Análise do Programa Fonte

Consiste na análise visual do programa e na comparação da versão do objeto que está sendo executado com o objeto resultante da última versão do programa fonte compilado.

Permite verificar:

• Se o programador cumpriu as normas de padronização do código (tabelas de rotinas, arquivos, programas).
• Qualidade de estruturação do programa fonte.

Esta técnica requer um grande conhecimento de computação.

Snapshot (Exibição Parcial da Memória)

Técnica que fornece uma listagem ou gravação do conteúdo do programa (acumuladores, chaves, áreas de armazenamento), quando determinado registro está sendo processado (dump parcial de memória). Necessita confecção de um software específico.

Ferramentas de Auditoria de Sistemas

Auxiliam na extração, sorteio, seleção de dados e transações, atentando para discrepâncias e desvios.

1. Software Generalista de Auditoria de TI

Envolve o uso de software aplicativo em ambiente batch, que pode processar, além de simulação paralela, uma variedade de funções de auditoria e nos formatos que o auditor desejar.

Exemplos:

• ACL (Audit Command Language): software de extração e análise de dados desenvolvido no Canadá.
• IDEA (Interactive Data Extraction & Analysis): software para extração e análise de dados também desenvolvido no Canadá.
• Audimation: versão norte-americana do IDEA, da Caseware-IDEA.
• Galileo: software integrado de gestão de auditoria (riscos, documentação e relatórios).
• Pentana: software de planejamento estratégico, monitoramento de recursos, controle de horas e checklists.

Vantagens:

• Processa vários arquivos simultaneamente.
• Suporta diferentes formatos (ex: EBCDIC ou ASCII).
• Integração sistêmica com diversos softwares e hardwares.
• Reduz a dependência de especialistas em informática.

Desvantagens:

• Poucas aplicações em ambiente on-line devido à gravação separada de dados.
• Não processa cálculos ou lógicas matemáticas extremamente complexas.

2. Softwares Especialistas de Auditoria

Programas desenvolvidos especificamente para certas tarefas em circunstâncias particulares.

Vantagens:

• Atende sistemas não contemplados por softwares generalistas.
• Vantagem competitiva em áreas complexas.

Desvantagens:

• Custo elevado e uso limitado.
• Atualização tecnológica complicada.

3. Programas Utilitários

Uso de ferramentas comuns para funções como sortear arquivos, sumarizar ou gerar relatórios (ex: Excel, SQL, Dbase2).

Vantagem: Alternativa na ausência de outros recursos.

Desvantagem: Necessita de auxílio de funcionários da empresa auditada para ferramentas complexas.

Ciclo de Vida do Ponto de Controle

O Ponto de Controle (PC) será identificado e eleito para validação. Uma vez validado, será determinado se é um ponto sem fraqueza ou um ponto de auditoria, recebendo uma nota correspondente.

Organização do Trabalho de AUSC

Planejamento

• 1º Passo: Conhecer o ambiente (fluxo, RH, materiais, arquivos, relatórios).
• 2º Passo: Determinar os PCs dos processos críticos.
• 3º Passo: Definição dos objetivos (técnicas, prazos, custos, nível tecnológico).
• 4º Passo: Definir critérios da análise de riscos.
• 5º Passo: Análise de riscos e avaliação de cada PC.
• 6º Passo: Hierarquização dos PCs.

Definição da Equipe

• 1º Passo: Escolha da equipe (perfil, experiência, formação, línguas, disponibilidade).
• 2º Passo: Programação (programas de trabalho, procedimentos, orçamento de tempo).
• 3º Passo: Execução (divisão de tarefas e supervisão de qualidade).
• 4º Passo: Revisão de papéis e pendências.
• 5º Passo: Avaliação de desempenho e feedback.

Auditoria de Sistemas Computacionais: Introdução

Importância: Altos investimentos em TI, necessidade de segurança, garantia de qualidade e validação do ciclo administrativo.

Dificuldades: Defasagem tecnológica, falta de profissionais qualificados, falta de cultura organizacional e abrangência da tecnologia.

Necessidades: Fortalecimento de técnicas, criação de metodologias, estudo de custo/benefício e ampliação do campo de atuação.

Papel do Auditor: Validação do fluxo administrativo, ênfase em processos computacionais, comprovação de efetividade e garantia de segurança física/lógica.

Etapas da Atuação do Auditor

• Compreensão e análise do ambiente.
• Determinação de situações sensíveis.
• Elaboração e aplicação de massa de testes.
• Análise de simulações e emissão de opinião.
• Debate de alternativas e acompanhamento da implantação.
• Auditoria da solução e novas auditorias periódicas.

Perfil e Treinamento: O auditor deve ser independente, ter formação específica em auditoria de computação e domínio de controles internos e mecânica de implantação de recomendações.

Tendências: Criação de profissionais focados em segurança e qualidade da informação (Analistas de Segurança e Qualidade).

Conceitos Fundamentais

• Processamento Eletrônico de Dados (PED): Hardware, Software e Teleprocessamento.
• Sistemas de Informação: Recursos humanos, materiais e tecnológicos para transformar dados em informações.
• Auditoria de Sistemas: Validação e avaliação do controle interno.
• Ponto de Controle: Situação de interesse para validação.
• Controle Interno: Verificação de fidelidade, segurança, confidencialidade, legislação, eficiência e eficácia.

Exemplos de Parâmetros de Controle Interno (PCI):

• Fidelidade: AIC (Arquivos de Informações de Controle), Audit Trail, arquivos de erros.
• Segurança Lógica: Senhas no header, relatórios de consistência, totais no trailer.
• Confidencialidade: Criptografia.

Documentação e Apresentação de Resultados

• Certificado de Controle Interno: Indica a condição do ambiente (boa, razoável ou má).
• Relatório de Redução de Custos: Explicita economias e base para ROI.
• Manual da AUSC: Armazena o planejamento e serve de referência futura.
• Pastas de Documentos: Relação de programas, fluxos, diagramas e atas.

Apresentação: Objetividade, clareza nas recomendações, coerência e exposição detalhada da documentação gerada.

Parâmetros de Controle Interno (PCI)

Os PCIs seguem as definições do AICPA (American Institute of Certified Public Accountants), traduzidas pelo Ibracon no Brasil, abrangendo:

• Fidelidade da informação (Dados > Sistema > Informação)
• Segurança física, lógica e ambiental
• Confidencialidade e Legislação
• Eficiência, Eficácia e Políticas da administração