Auditoria em Sistemas Software para Auditoria Prof. Henrique J. Brodbeck.

Auditoria em Sistemas

Software para AuditoriaProf. Henrique J. Brodbeck

© 2003 - Prof. Henrique J. Brodbeck 2

Software de Auditoria

• É um software que provê meios para obter acesso e manipulação de dados mantidos em sistemas computacionais



• Obtenção direta de evidências viabilizando julgamento de qualidade sobre dados / aplicações / sistemas

• Motivado pelos problemas da diversidade dos ambientes computacionais


Software de Auditoria - Funcionalidades• Acesso a arquivos (diferentes

formatos)• Reorganização de arquivos

(sort/merge)• Seleção (extração de dados

qualificados, SQL)


Software de Auditoria - Funcionalidades

• Estatísticas (random, amostragem, análises estatísticas básicas, exportação de dados)

• Aritméticas (operadores aritméticos, cálculos)


Software de Auditoria - Funcionalidades

• Análise de freqüência e estratificação• Reporting (padrões, estatísticas

gerais atributos selecionados, com problemas)


Software de Auditoria – Atividades

• Exame da qualidade dos dados• Exame da qualidade dos processos

(simulações paralelas)


Software de Auditoria - Atividades

• Exame da existência das entidades que os dados representam (modelo-mundo real via amostragem selecionada no software)


Software de Auditoria - Atividades

• Revisões analíticas (pasta de auditoria)

• Extração de dados• Análise de regressão (tendências e

modelagem)


Software de Auditoria - Limitações

• Somente auditoria após fato, somente após o processamento

• Limitação na verificação da lógica de processamento - verifica dados, não a lógica


Software de Auditoria - Limitações

• Limitação para verificar propensão a errosEnvolve avaliação da qualidade do desenvolvimento para suportar mudanças no sistema



• Específicos de segmento da industria• Linguagens de alto nível

– SQL, SPSS, 4GL



• Sistemas especialistas– Análise de risco, Controles Internos,

planejamento da auditoria (AAF)• Redes neurais

– padrões incertos, de aprendizagem• Sistema específicos


CAATS

• CAATS = Computer Assisted Audit Techniques

• Ferramentas e técnicas que dão ao auditor a habilidade de maximizar sua eficiência e eficácia na função de auditoria


CAATS

• Automação de Escritório: processador de texto, planilhas, apresentação, e-mail, internet

• Software Geral de Auditoria: ACL, IDEA


Aplicações do CAATS

• Aplicações Tradicionais– Contas a Receber, Contas a Pagar– Estoques– Folha de Pagamentos– Contabilidade


Aplicações do CAATS

• Aplicações não tradicionais– Logs de telefonemas– Logs de firewall, proxy, eventos de

sistema– Bancos de dados gerais


Visual Assurance

• Controles internos e compliance• Auto-avaliação (auditoria interna)• Base de conhecimentos (melhores

práticas) por negócio


Visual Assurance

• Gera relatórios e recomendações• Vendido por Kirclare Software -

www.visualassurance.com


CobiT Advisor

• Automatiza as recomendações de gestão do CobiT

• Automatiza a auditoria do CoBIT• Vendido por Methodware -

www.methodware.com


Segurança e Vulnerabilidades

• Microsoft Baseline Security Analyzer• Microsoft Software Inventory

Analyzer• LANguard Network Scanner


Segurança e Vulnerabilidades

• Ethereal - sniffer• HFNetChk• IIS Lockdown Tool• nmap, tcpdump, satan, nessus


Microsoft Project

• Gestão do projeto de auditoria• Atividades• Recursos• Custos


Microsoft Project

• Alocação dinâmica• Controle executado x planejado• Indispensável em equipes grandes• Integrável ao e-mail e à Web


Access e Excel

• Access: banco de dados, programável, mais adequado para grandes volumes ou processamento intenso sobre os dados


Access e Excel

• Excel: até 64000 linhas por planilha, ideal para fórmulas sofisticadas ou análise rápida

• Programáveis em VBA-Visual Basic para Aplicações

• Tabela Dinâmica (pivot tables)


Auditoria de Planilhas

• Problema:– Erros escondidos nas planilhas– Análise/programação inadequada– Fórmulas corrompidas pelo usuário



• Solução:– The Spreadsheet Detective

http://www.uq.net.au/detective/– The Excel Auditor

http://www.bygsoftware.com/auditor/auditor.htm



• Auditoria intrínseca do Excel 2002– Fórmulas inconsistentes– Histórico de alterações– Rastrear precedentes e dependentes– Células usadas em fórmulas


ACL

• Análise de dados em arquivos simples isolados ou relacionados

• Acesso direto ao arquivo ou a bancos de dados via ODBC

• Operação por menus


ACL

• Pode ser automatizado por programação

• Muito conhecido e usado• Veja o demo em http://www.acl.com


IDEA

• Muito semelhante ao ACL• Análise de dados em arquivos

simples isolados ou relacionados• Acesso direto ao arquivo ou a

bancos de dados via ODBC


IDEA

• Operação por menus ou Scripts• Tabelas dinâmicas (Pivot tables)• Demo em http://www.audittols.com

Auditoria em Sistemas

Técnicas de Auditoria de Sistemas

Prof. Henrique J. Brodbeck


Auditoria Computacional

• Correlaciona arquivos, tabula e analisa o conteúdo

• Usualmente trabalha em cópia da base real

• Usa software de apoio


Etapas da Auditoria Computacional

• Análise do fluxo do sistema• Identificação do arquivo, tabela ou

BD a ser auditado• Entrevista analista / usuário• Identificação código / layout arquivo



• Elaboração sistema para auditoria / definição do sw para auditoria

• Cópia BD / arquivo para auditoria• Aplicação do sistema de auditoria• Análise dos resultados



• Emissão do relatório• Documentação do processo de

auditoria


Questionário para auditoria

• Elaboração de conjunto de perguntas com objetivo de verificar determinado PC

• Verificar aderência aos parâmetros de CI



• Dados quantitativos, se possível• Via e-mail, entrevista, in loco, etc...• Etapas:

– analisar PC e elaborar questionário / pré-teste



• Etapas:– definir população / selecionar amostra– instruções de como responder– distribuir / remeter questionários– controlar recebimento



• Etapas:– analisar respostas / uso sw estatístico

qualitativo: Sphinxquantitativo: SPSS, ACL, Excel

– relacionar com parâmetros avaliação PC e elaborar relatório


Simulação de Dados (Test-Deck)

• Técnica mais utilizada para testes computacionais

• Uso de técnicas de simulação de modelagem de sistemas



• Elaboração de conjunto de dados de teste a ser submetido ao sistema ou processo (rotina) sob auditoria

• Simular situações corretas e incorretas



• Etapas:– compreensão do módulo do sistema– simulação dos dados de teste– elaboração de formulários de controle do

teste– transcrição dos dados do teste



• Etapas:– preparação do ambiente de teste– processamento dos dados de teste– avaliação dos resultados– emissão de opinião sobre o PC


Visita in-loco

• Corresponde à atuação pessoal do auditor junto a sistemas, procedimentos e instalações do ambiente auditado


Visita in-loco

• Procedimentos formais:– marcar hora / definir elemento surpresa– mínimo questionário semi-estruturado– registros formais / latentes


Visita in-loco

• Procedimentos formais:– registro de hora / duração / participantes

(ata)– analisar respostas e situação

identificada– relatório de fraquezas do CI


Mapeamento estatístico - mapping

• Técnica de computação utilizada para efetuar verificações durante o processamento de programas

• Inserção de rotinas específicas nos sistemas em uso ou software de apoio


Mapeamento estatístico - mapping

• Verificar situações tipo:– rotinas mais utilizadas (freqüências)– rotinas fraudulentas / irregulares /

desativadas


Rastreamento de programas

• Técnica que possibilita seguir o caminho de uma transação durante o processamento de um programa

• Lista a seqüência de instruções do código executada para determinada rotina


Rastreamento de programas

• Identificar rotinas fraudulentas• Diversos ambientes implementam

funções tipo tracing, usadas no debug de sistemas em desenvolvimento


Entrevistas

• Reunião entre auditor e auditado• Uso conjunto com questionário, visita

in loco, test-deck, etc.


Entrevistas

• Etapas:– analisar PC e preparar reunião com

auditado– elaborar questionário / roteiro definir

procedimentos (chefias / individuais)


Entrevistas

• Etapas:– realizar reunião / respostas / latente– preparar ata da reunião / distribuir– análise das respostas– emissão relatório das fraquezas do PC


Análise de relatório / telas

• Técnica típica de avaliação de resultado, no tocante a eficácia do sistema



• Usualmente envolvem desativação / redefinição total / parcial de telas / relatórios / documentos (procedimentos)



• Etapas: – identificar, de acordo com processo de

negócio, relatórios / telas / documentos pertinentes ao PC por usuário ou grupo de usuário



• Etapas: – Elaborar check-list de aderência

processo de negócio suportado / telas, relatórios, docs

– Marcar reunião com usuários / grupos



• Etapas: – Realizar reuniões / registrar

observações e conteúdos latentes– Analisar respostas– Formar e emitir opinião sobre CI

envolvido


Simulação paralela

• Elaboração de programa para simular as funções de rotina do sistema sob auditoria

• Utiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk)



• Etapas:– levantamento e identificação, via

documentação do sistema, da rotina auditada e arquivos / BD



• Etapas:– elaboração programa de simulação– preparação do ambiente computacional

para executar programa (dados reais)


Análise de log/accounting

• Arquivo gerado pelo sistema (SO, BD, SI) que contém registros da utilização do hardware ou software em questão



• Permite verificação da intensidade de uso dos dispositivos componentes de uma configuração, rede e software aplicativo e de apoio



• Facilidade típica de ambientes computacionais que pode e deve ser utilizada e incrementada pelo AS



• Normalmente utilizado como indicadores de qualidade e performance do ambiente computacional, planejamento de capacidade de configuração, rede, etc..



• Requer conhecimento de computação e trabalho conjunto com pessoal da área de computação.



• Uso: identificar ineficiência no uso de recursos, desbalanceamento de configuração, erros de programas ou operação, uso de programas fraudulentos ou indevidos, acessos indevidos.


Análise de programa fonte

• Análise visual do código fonte, também chamado de “teste de mesa”

• Envolve necessidade de profundo conhecimento do ambiente computacional por parte do AS



• Permite verificar:– uso de normas de padronização de

código de rotinas, arquivos, BD, programas, etc.

– qualidade do sistema e documentação



• Permite verificar:– vícios de programação e atendimentos

às características da linguagem / ambiente


Snapshot

• Técnica que fornece listagem ou gravação do conteúdo das variáveis do programa em determinada rotina em execução

• Corresponde a um dump de memória, na área de dados


Snapshot

• Necessita de software específico rodando junto com o aplicativo (como tracing ou mapping)


Snapshot

• Técnica usada na depuração de programas, que requer forte conhecimento do ambiente computacional pelo AS


Técnicas de AS

• Condicionadas ao ambiente computacional existente e ao conhecimento do AS

• Normalmente uso combinado de diversas técnicas, padrões da área de AS


Técnicas de AS

• Conhecimento básico de simulação e modelagem é importante diferencial

• Uso da técnica reflete plano de auditoria desenvolvido

Auditoria em Sistemas Software para Auditoria Prof. Henrique J. Brodbeck.

Documents

Transcript of Auditoria em Sistemas Software para Auditoria Prof. Henrique J. Brodbeck.