Ferramentas e Técnicas de Auditoria

- Aula 15

Profa Janniele Aparecida Soares Araujo

CSI463 – Segurança e Auditoria de Sistemas

●
São poderosas aliadas para auxiliar na evidenciação
de discrepâncias e desvios, auxiliam na:
●
Extração
●
Sorteio
●
Seleção de dados
●
Transações
●
Validações

2
 Ferramentas de Auditoria

●
Categorias de ferramentas disponíveis no mercado
●
Ferramentas generalistas de auditoria de Tecnologia da Informação
●
Ferramentas especializadas de auditoria
●
Programas utilitários em geral

3
 Ferramentas de Auditoria

●
Ferramentas generalistas de auditoria de Tecnologia
da Informação
●
Softwares de uso em ambiente batch, que podem processar, simular,
analisar amostras, gerar dados estatísticos, sumarizar, apontar
duplicidade e outras funções que o auditor desejar

4
 Ferramentas de Auditoria

●
Ferramentas generalistas de auditoria de Tecnologia da
Informação
●
ACL (Audit Command Language) – software para extração e análise de dados
desenvolvido no Canadá
●
IDEA (Interactive Data Extraction & Analisys) – software para extração e análise
de dados, também desenvolvido no Canadá
●
Audimation – Versão americana do IDEA, feita pela Caseware
●
Galileo – software integrado de gestão de auditoria, inclui gestão de risco de
auditoria, documentação e emissão de relatórios para auditoria interna
●
Pentana - software de planejamento estratégico de auditoria, com planejamento
e monitoramento de recursos, controle de horas, registro de check-lists e
programas de auditoria, inclusive de desenho e gerenciamento de plano de ação

5
 Ferramentas de Auditoria

●
Vantagens das ferramentas generalistas de auditoria
de Tecnologia da Informação
●
O aplicativo pode processar vários arquivos ao mesmo tempo
●
Pode processar vários tipos de arquivos em vários formatos
●
Integração sistêmica com vários tipos de software e hardware
●
Reduz a dependência do auditor em relação ao técnico em
informática

6
 Ferramentas de Auditoria

●
Desvantagens das ferramentas generalistas de
auditoria de Tecnologia da Informação
●
Em geral não pode ser utilizada no ambiente online
●
Se o auditor precisar executar cálculos complexos, o software
generalista poderá não atendê-lo

7
 Ferramentas de Auditoria

●
Ferramentas especializadas de auditoria
●
Softwares desenvolvidos especificamente para executarem certas
tarefas numa circunstância definida
●
Podem ser desenvolvidos pelo próprio auditor, especialista da
empresa ou por terceiros.

8
 Ferramentas de Auditoria

●
Vantagens das ferramentas especializadas de
auditoria
●
Atendem demandas mais específicas, tais como, crédito imobiliário,
leasing, cartão de crédito e outras funções que exijam tarefas
especializadas no segmento de mercado

9
 Ferramentas de Auditoria

●
Desvantagens das ferramentas especializadas de
auditoria
●
Pode ser muito caro, uma vez que seu uso será limitado ou restrito a
apenas um cliente
●
As atualizações deste software podem transformar-se em um
problema

10
 Ferramentas de Auditoria

●
Programas utilitários em geral
●
Softwares utilitários para executar algumas funções muito comuns,
tais como
●
Ordenar um arquivo
●
Concatenar textos
●
Sumarizar
●
Gerar relatórios
●
Não são desenvolvidos especificamente para auditoria e, por tanto,
não tem recursos tais como
●
verificação de totais de controle
●
gravação de trilhas de auditora

11
 Ferramentas de Auditoria

●
Vantagens dos programas utilitários em geral
●
Podem ser utilizados como “quebra-galho”na ausência de outro
recursos

12
 Ferramentas de Auditoria

●
Desvantagens dos programas utilitários em geral
●
Sempre necessitará do auxílio do usuário e do analista do sistema

13
 Técnicas de Auditoria

●
Há variadas metodologias de auditoria (técnicas),
considere as seguintes técnicas como subsídio para
uma primeira abordagem de auditoria
●
Dados de teste (test data, testdeck)
●
Facilidade de teste integrado (Integrated Test Facility – ITF)
●
Simulação paralela
●
Lógica de auditoria embutida nos sistemas
●
Rastreamento e mapeamento (accountability)
●
Análise da lógica de programação

14
 Técnicas de Auditoria

●
Dados de teste (test data, testdeck)
●
Uso de um conjunto de dados projetados e preparados com o objetivo
de testar as funcionalidades de entrada de dados do sistema
●
Verifica-se os resultados obtidos com os planejados após o
processamento dos arquivos
●
Pressupõe que os dados sejam abrangentes e verifiquem
principalmente os limites de cada intervalo permitido para as
variáveis
●
Quanto mais combinações de transações puderem ser feitas no
arquivo de carga, maior será a cobertura do teste
●
Normalmente aplicada no ambiente batch

15
 Técnicas de Auditoria

●
Vantagens da técnica de dados de teste
●
Os dados podem ser elaborados por pessoas que possuem um mínimo
conhecimento técnico de informática
●
Existem softwares que auxiliam na geração de dados e tornam a
tarefa bastante simples

16
 Técnicas de Auditoria

●
Desvantagens da técnica de dados de teste
●
Dificuldade em planejar e antecipar todas as combinações de
transações que possam acontecer em ambiente de negócios das
empresas

17
 Técnicas de Auditoria

●
Facilidade de teste integrado
●
É melhor aplicada em ambientes online e realtime
●
Os dados de testes são introduzidos nos ambientes reais de processamento
utilizando-se versões correntes da produção
●
O teste envolve a aplicação de entidades fictícias, tais como funcionários
fantasmas na folha de pagamento ou cliente inexistente nas contas a
receber
●
Os dados no processamento de transações reais são confrontados com os
dados fictícios e os resultados, comparados com os predeterminados.
●
Evita que se atualizem as bases reais da organização com os dados
fictícios, criando-se arquivos de resultados separados
●
É utilizado em ambiente de produção normal

18
 Técnicas de Auditoria

●
Vantagens da técnica facilidade de teste integrado
●
Não acarreta custo adicional ou ambiente de processamento exclusivo
pois funciona no ambiente de produção das empresas

19
 Técnicas de Auditoria

●
Desvantagens da técnica facilidade de teste integrado
●
Os efeitos das transações precisam ser estornados, dado trabalhos
adicionais e operacionais quando são misturados com dados reais
●
A quantidade e número de dados fictícios incluídos no ambiente de
produção devem ser limitados, a fim de não comprometer o
desempenho do sistema em produção
●
Existe possibilidade de se contaminar dados reais com dados fictícios
no ambiente de produção da empresa, causando grande transtorno
para a organização

20
 Técnicas de Auditoria

●
Simulação paralela
●
Envolve o uso de um programa especialmente desenvolvido que
comprovadamente, atenda a todas as lógicas necessárias para o
teste, simulando as funcionalidades do programa em produção
●
Faz-se o processamento das transações e/ou dados nos dois
programas e compara-se os resultados
●
É possível utilizar a técnica para rotinas que apresentam resultados
recorrentes que são incoerentes
●
Nesse processo, o auditor desenvolve o próprio programa para fazer
execução paralela de dados atuais

21
 Técnicas de Auditoria

●
Vantagens da técnica de simulação paralela
●
Os testes podem ser feitos in loco
●
Custos relacionados com a preparação de massa de dados ou dados
fictícios que tomam tempo nas técnicas anteriores não existem, visto
que o programa opera em ambiente real
●
Pode-se processar um grande volume de dados auditados, eliminando
dúvidas que amostras pequenas e não abrangentes possam
apresentar
●
Teste mais detalhado e mais representativo, dando maior segurança
para o auditor

22
 Técnicas de Auditoria

●
Desvantagens da técnica de simulação paralela
●
Usualmente, executa-se simulação paralela com uma porção do total
das transações de uma aplicação, não dando chance para um
julgamento representativo
●
O auditor necessitaria de uma habilidade específica para executar
uma operação paralela, atentando para prever um impacto negativo
sobre operações, que não é desejado.

23
 Técnicas de Auditoria

●
Lógica de auditoria embutida nos sistemas
●
Inclui a lógica de auditoria nos sistemas na fase de desenvolvimento
●
Relatórios de auditoria e logs do sistema podem ser impressos
periodicamente para revisão e acompanhamento dos procedimentos
operacionais

24
 Técnicas de Auditoria

●
Vantagens da técnica de lógica de auditoria embutida
nos sistemas
●
Todas as atividades do sistema podem ser monitoradas
permanentemente com simples acesso do auditor
●
Não apresenta restrições quanto à entrada de dados que podem ser
incluídos
●
Um dos métodos mais eficientes e eficazes de fazer auditoria

25
 Técnicas de Auditoria

●
Desvantagens da técnica de lógica de auditorias
embutida nos sistemas
●
Custo adicional no desenvolvimento do sistema
●
Custo adicional na utilização dos recursos de máquina
●
Perda de desempenho.

26
 Técnicas de Auditoria

●
Rastreamento e mapeamento (accountability)
●
Criar e implementar uma trilha de auditoria para acompanhar os
principais pontos da lógica do processamento das transações críticas,
registrando seu comportamento e resultados para análise futuras
●
As trilhas de auditoria são rotinas de controle que permitem recuperar de forma
inversa as informações processadas, por meio da reconstituição da composição das
mesmas, devidamente demonstradas, tanto de forma sintética quanto analítica, se
for necessário.

27
 Técnicas de Auditoria

●
Vantagens da técnica de rastreamento e mapeamento
(accountability)
●
Ajuda na avaliação dos controles internos que devem ser seguidos
●
Permite criar alertas quanto à aplicação de controles operacionais e
seus cumprimentos
●
Pode ser utilizado tanto em ambiente de teste como no ambiente de
produção

28
 Técnicas de Auditoria

●
Desvantagens da técnica de rastreamento e
mapeamento (accountability)
●
Exige que o auditor tenha habilidade avançada de tecnologia de
informação para que possa interpretar as lógicas de programação
●
Aumenta o tempo de processamento de transações

29
 Técnicas de Auditoria

●
Análise da lógica de programação
●
Consiste na verificação da lógica de programação para certificar que
as instruções dadas ao computador são as mesmas já identificadas
nas documentações dos sistemas aplicativos
●
Essa técnica pode ser feita manualmente nos principais programas do
sistema ou nos mais críticos para o negócio, ou pode ser suportada
por ferramentas automatizadas

30
 Aplicação de Técnicas de Auditoria

●
Técnica de auditoria assistida por computador (TAAC)
●
Quando tratamos a abordagem de auditora com o computador,
podem ser utilizados os software específicos ou generalistas para
levantar dados para análises

31
 Aplicação de Técnicas de Auditoria

●
Os importantes passos para aplicação de TAAC
●
Estabelecer os objetivos da aplicação de TAAC
●
Determinar os dados a serem utilizados para as técnicas, inclusive
forma de acesso
●
Identificar os arquivos e banco de dados a serem testados
●
Entender as entidades de relacionamento das tabelas de dados onde
a base de dados seja examinada
●
Definir testes e procedimentos de teste, inclusive as transações e
contas e grupos de contas afetadas
●
Definir os relatórios esperados

32
 Aplicação de Técnicas de Auditoria

●
Os importantes passos para aplicação de TAAC
●
Programar junto ao cliente e sua área de informática cópias de
arquivos ou bases de dados que devem ser gerados com cut-off de
data e tempo adequados
●
Identificar o técnico que irá processar a aplicação de TAAC
●
Estimar os custos de TAAC
●
Certificar que os processos de TAAC foram adequadamente
executados e os papéis de trabalhos documentados
●
Avaliar resultados

33
 Artigo

●
Motivações dos auditores para o uso das Tecnologias
de Informação na sua profissão: aplicação aos
Revisores Oficiais de Contas
●
Dê sua opinião sobre o artigo.
●
Quais os fatores encontrados que inibem o uso de TI?
●
Quais pontos foram levantados para motivar o uso da tecnologia nas
auditorias?
●
Quais os resultados/conclusão apresentados?

34
 Bibliografia básica

●
IMONIANA, Joshua Onome. Auditoria de sistemas de informação.
2.ed./3.ed São Paulo: Atlas, 2008/2016.
●
LYRA, Maurício Rocha. Segurança e auditoria em sistemas de
informação. Rio de Janeiro: Ciência Moderna, 2008.

35