Upload
alexandra-pinheiro-bento
View
223
Download
0
Embed Size (px)
Citation preview
Auditoria em Sistemas
Software para AuditoriaProf. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck 2
Software de Auditoria
• É um software que provê meios para obter acesso e manipulação de dados mantidos em sistemas computacionais
© 2003 - Prof. Henrique J. Brodbeck 3
Software de Auditoria
• Obtenção direta de evidências viabilizando julgamento de qualidade sobre dados / aplicações / sistemas
• Motivado pelos problemas da diversidade dos ambientes computacionais
© 2003 - Prof. Henrique J. Brodbeck 4
Software de Auditoria - Funcionalidades• Acesso a arquivos (diferentes
formatos)• Reorganização de arquivos
(sort/merge)• Seleção (extração de dados
qualificados, SQL)
© 2003 - Prof. Henrique J. Brodbeck 5
Software de Auditoria - Funcionalidades
• Estatísticas (random, amostragem, análises estatísticas básicas, exportação de dados)
• Aritméticas (operadores aritméticos, cálculos)
© 2003 - Prof. Henrique J. Brodbeck 6
Software de Auditoria - Funcionalidades
• Análise de freqüência e estratificação• Reporting (padrões, estatísticas
gerais atributos selecionados, com problemas)
© 2003 - Prof. Henrique J. Brodbeck 7
Software de Auditoria – Atividades
• Exame da qualidade dos dados• Exame da qualidade dos processos
(simulações paralelas)
© 2003 - Prof. Henrique J. Brodbeck 8
Software de Auditoria - Atividades
• Exame da existência das entidades que os dados representam (modelo-mundo real via amostragem selecionada no software)
© 2003 - Prof. Henrique J. Brodbeck 9
Software de Auditoria - Atividades
• Revisões analíticas (pasta de auditoria)
• Extração de dados• Análise de regressão (tendências e
modelagem)
© 2003 - Prof. Henrique J. Brodbeck 10
Software de Auditoria - Limitações
• Somente auditoria após fato, somente após o processamento
• Limitação na verificação da lógica de processamento - verifica dados, não a lógica
© 2003 - Prof. Henrique J. Brodbeck 11
Software de Auditoria - Limitações
• Limitação para verificar propensão a errosEnvolve avaliação da qualidade do desenvolvimento para suportar mudanças no sistema
© 2003 - Prof. Henrique J. Brodbeck 12
Software de Auditoria
• Específicos de segmento da industria• Linguagens de alto nível
– SQL, SPSS, 4GL
© 2003 - Prof. Henrique J. Brodbeck 13
Software de Auditoria
• Sistemas especialistas– Análise de risco, Controles Internos,
planejamento da auditoria (AAF)• Redes neurais
– padrões incertos, de aprendizagem• Sistema específicos
© 2003 - Prof. Henrique J. Brodbeck 14
CAATS
• CAATS = Computer Assisted Audit Techniques
• Ferramentas e técnicas que dão ao auditor a habilidade de maximizar sua eficiência e eficácia na função de auditoria
© 2003 - Prof. Henrique J. Brodbeck 15
CAATS
• Automação de Escritório: processador de texto, planilhas, apresentação, e-mail, internet
• Software Geral de Auditoria: ACL, IDEA
© 2003 - Prof. Henrique J. Brodbeck 16
Aplicações do CAATS
• Aplicações Tradicionais– Contas a Receber, Contas a Pagar– Estoques– Folha de Pagamentos– Contabilidade
© 2003 - Prof. Henrique J. Brodbeck 17
Aplicações do CAATS
• Aplicações não tradicionais– Logs de telefonemas– Logs de firewall, proxy, eventos de
sistema– Bancos de dados gerais
© 2003 - Prof. Henrique J. Brodbeck 18
Visual Assurance
• Controles internos e compliance• Auto-avaliação (auditoria interna)• Base de conhecimentos (melhores
práticas) por negócio
© 2003 - Prof. Henrique J. Brodbeck 19
Visual Assurance
• Gera relatórios e recomendações• Vendido por Kirclare Software -
www.visualassurance.com
© 2003 - Prof. Henrique J. Brodbeck 20
CobiT Advisor
• Automatiza as recomendações de gestão do CobiT
• Automatiza a auditoria do CoBIT• Vendido por Methodware -
www.methodware.com
© 2003 - Prof. Henrique J. Brodbeck 21
Segurança e Vulnerabilidades
• Microsoft Baseline Security Analyzer• Microsoft Software Inventory
Analyzer• LANguard Network Scanner
© 2003 - Prof. Henrique J. Brodbeck 22
Segurança e Vulnerabilidades
• Ethereal - sniffer• HFNetChk• IIS Lockdown Tool• nmap, tcpdump, satan, nessus
© 2003 - Prof. Henrique J. Brodbeck 23
Microsoft Project
• Gestão do projeto de auditoria• Atividades• Recursos• Custos
© 2003 - Prof. Henrique J. Brodbeck 24
Microsoft Project
• Alocação dinâmica• Controle executado x planejado• Indispensável em equipes grandes• Integrável ao e-mail e à Web
© 2003 - Prof. Henrique J. Brodbeck 25
Access e Excel
• Access: banco de dados, programável, mais adequado para grandes volumes ou processamento intenso sobre os dados
© 2003 - Prof. Henrique J. Brodbeck 26
Access e Excel
• Excel: até 64000 linhas por planilha, ideal para fórmulas sofisticadas ou análise rápida
• Programáveis em VBA-Visual Basic para Aplicações
• Tabela Dinâmica (pivot tables)
© 2003 - Prof. Henrique J. Brodbeck 27
Auditoria de Planilhas
• Problema:– Erros escondidos nas planilhas– Análise/programação inadequada– Fórmulas corrompidas pelo usuário
© 2003 - Prof. Henrique J. Brodbeck 28
Auditoria de Planilhas
• Solução:– The Spreadsheet Detective
http://www.uq.net.au/detective/– The Excel Auditor
http://www.bygsoftware.com/auditor/auditor.htm
© 2003 - Prof. Henrique J. Brodbeck 29
Auditoria de Planilhas
• Auditoria intrínseca do Excel 2002– Fórmulas inconsistentes– Histórico de alterações– Rastrear precedentes e dependentes– Células usadas em fórmulas
© 2003 - Prof. Henrique J. Brodbeck 30
ACL
• Análise de dados em arquivos simples isolados ou relacionados
• Acesso direto ao arquivo ou a bancos de dados via ODBC
• Operação por menus
© 2003 - Prof. Henrique J. Brodbeck 31
ACL
• Pode ser automatizado por programação
• Muito conhecido e usado• Veja o demo em http://www.acl.com
© 2003 - Prof. Henrique J. Brodbeck 32
IDEA
• Muito semelhante ao ACL• Análise de dados em arquivos
simples isolados ou relacionados• Acesso direto ao arquivo ou a
bancos de dados via ODBC
© 2003 - Prof. Henrique J. Brodbeck 33
IDEA
• Operação por menus ou Scripts• Tabelas dinâmicas (Pivot tables)• Demo em http://www.audittols.com
Auditoria em Sistemas
Técnicas de Auditoria de Sistemas
Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck 35
Auditoria Computacional
• Correlaciona arquivos, tabula e analisa o conteúdo
• Usualmente trabalha em cópia da base real
• Usa software de apoio
© 2003 - Prof. Henrique J. Brodbeck 36
Etapas da Auditoria Computacional
• Análise do fluxo do sistema• Identificação do arquivo, tabela ou
BD a ser auditado• Entrevista analista / usuário• Identificação código / layout arquivo
© 2003 - Prof. Henrique J. Brodbeck 37
Etapas da Auditoria Computacional
• Elaboração sistema para auditoria / definição do sw para auditoria
• Cópia BD / arquivo para auditoria• Aplicação do sistema de auditoria• Análise dos resultados
© 2003 - Prof. Henrique J. Brodbeck 38
Etapas da Auditoria Computacional
• Emissão do relatório• Documentação do processo de
auditoria
© 2003 - Prof. Henrique J. Brodbeck 39
Questionário para auditoria
• Elaboração de conjunto de perguntas com objetivo de verificar determinado PC
• Verificar aderência aos parâmetros de CI
© 2003 - Prof. Henrique J. Brodbeck 40
Questionário para auditoria
• Dados quantitativos, se possível• Via e-mail, entrevista, in loco, etc...• Etapas:
– analisar PC e elaborar questionário / pré-teste
© 2003 - Prof. Henrique J. Brodbeck 41
Questionário para auditoria
• Etapas:– definir população / selecionar amostra– instruções de como responder– distribuir / remeter questionários– controlar recebimento
© 2003 - Prof. Henrique J. Brodbeck 42
Questionário para auditoria
• Etapas:– analisar respostas / uso sw estatístico
qualitativo: Sphinxquantitativo: SPSS, ACL, Excel
– relacionar com parâmetros avaliação PC e elaborar relatório
© 2003 - Prof. Henrique J. Brodbeck 43
Simulação de Dados (Test-Deck)
• Técnica mais utilizada para testes computacionais
• Uso de técnicas de simulação de modelagem de sistemas
© 2003 - Prof. Henrique J. Brodbeck 44
Simulação de Dados (Test-Deck)
• Elaboração de conjunto de dados de teste a ser submetido ao sistema ou processo (rotina) sob auditoria
• Simular situações corretas e incorretas
© 2003 - Prof. Henrique J. Brodbeck 45
Simulação de Dados (Test-Deck)
• Etapas:– compreensão do módulo do sistema– simulação dos dados de teste– elaboração de formulários de controle do
teste– transcrição dos dados do teste
© 2003 - Prof. Henrique J. Brodbeck 46
Simulação de Dados (Test-Deck)
• Etapas:– preparação do ambiente de teste– processamento dos dados de teste– avaliação dos resultados– emissão de opinião sobre o PC
© 2003 - Prof. Henrique J. Brodbeck 47
Visita in-loco
• Corresponde à atuação pessoal do auditor junto a sistemas, procedimentos e instalações do ambiente auditado
© 2003 - Prof. Henrique J. Brodbeck 48
Visita in-loco
• Procedimentos formais:– marcar hora / definir elemento surpresa– mínimo questionário semi-estruturado– registros formais / latentes
© 2003 - Prof. Henrique J. Brodbeck 49
Visita in-loco
• Procedimentos formais:– registro de hora / duração / participantes
(ata)– analisar respostas e situação
identificada– relatório de fraquezas do CI
© 2003 - Prof. Henrique J. Brodbeck 50
Mapeamento estatístico - mapping
• Técnica de computação utilizada para efetuar verificações durante o processamento de programas
• Inserção de rotinas específicas nos sistemas em uso ou software de apoio
© 2003 - Prof. Henrique J. Brodbeck 51
Mapeamento estatístico - mapping
• Verificar situações tipo:– rotinas mais utilizadas (freqüências)– rotinas fraudulentas / irregulares /
desativadas
© 2003 - Prof. Henrique J. Brodbeck 52
Rastreamento de programas
• Técnica que possibilita seguir o caminho de uma transação durante o processamento de um programa
• Lista a seqüência de instruções do código executada para determinada rotina
© 2003 - Prof. Henrique J. Brodbeck 53
Rastreamento de programas
• Identificar rotinas fraudulentas• Diversos ambientes implementam
funções tipo tracing, usadas no debug de sistemas em desenvolvimento
© 2003 - Prof. Henrique J. Brodbeck 54
Entrevistas
• Reunião entre auditor e auditado• Uso conjunto com questionário, visita
in loco, test-deck, etc.
© 2003 - Prof. Henrique J. Brodbeck 55
Entrevistas
• Etapas:– analisar PC e preparar reunião com
auditado– elaborar questionário / roteiro definir
procedimentos (chefias / individuais)
© 2003 - Prof. Henrique J. Brodbeck 56
Entrevistas
• Etapas:– realizar reunião / respostas / latente– preparar ata da reunião / distribuir– análise das respostas– emissão relatório das fraquezas do PC
© 2003 - Prof. Henrique J. Brodbeck 57
Análise de relatório / telas
• Técnica típica de avaliação de resultado, no tocante a eficácia do sistema
© 2003 - Prof. Henrique J. Brodbeck 58
Análise de relatório / telas
• Usualmente envolvem desativação / redefinição total / parcial de telas / relatórios / documentos (procedimentos)
© 2003 - Prof. Henrique J. Brodbeck 59
Análise de relatório / telas
• Etapas: – identificar, de acordo com processo de
negócio, relatórios / telas / documentos pertinentes ao PC por usuário ou grupo de usuário
© 2003 - Prof. Henrique J. Brodbeck 60
Análise de relatório / telas
• Etapas: – Elaborar check-list de aderência
processo de negócio suportado / telas, relatórios, docs
– Marcar reunião com usuários / grupos
© 2003 - Prof. Henrique J. Brodbeck 61
Análise de relatório / telas
• Etapas: – Realizar reuniões / registrar
observações e conteúdos latentes– Analisar respostas– Formar e emitir opinião sobre CI
envolvido
© 2003 - Prof. Henrique J. Brodbeck 62
Simulação paralela
• Elaboração de programa para simular as funções de rotina do sistema sob auditoria
• Utiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk)
© 2003 - Prof. Henrique J. Brodbeck 63
Simulação paralela
• Etapas:– levantamento e identificação, via
documentação do sistema, da rotina auditada e arquivos / BD
© 2003 - Prof. Henrique J. Brodbeck 64
Simulação paralela
• Etapas:– elaboração programa de simulação– preparação do ambiente computacional
para executar programa (dados reais)
© 2003 - Prof. Henrique J. Brodbeck 65
Análise de log/accounting
• Arquivo gerado pelo sistema (SO, BD, SI) que contém registros da utilização do hardware ou software em questão
© 2003 - Prof. Henrique J. Brodbeck 66
Análise de log/accounting
• Permite verificação da intensidade de uso dos dispositivos componentes de uma configuração, rede e software aplicativo e de apoio
© 2003 - Prof. Henrique J. Brodbeck 67
Análise de log/accounting
• Facilidade típica de ambientes computacionais que pode e deve ser utilizada e incrementada pelo AS
© 2003 - Prof. Henrique J. Brodbeck 68
Análise de log/accounting
• Normalmente utilizado como indicadores de qualidade e performance do ambiente computacional, planejamento de capacidade de configuração, rede, etc..
© 2003 - Prof. Henrique J. Brodbeck 69
Análise de log/accounting
• Requer conhecimento de computação e trabalho conjunto com pessoal da área de computação.
© 2003 - Prof. Henrique J. Brodbeck 70
Análise de log/accounting
• Uso: identificar ineficiência no uso de recursos, desbalanceamento de configuração, erros de programas ou operação, uso de programas fraudulentos ou indevidos, acessos indevidos.
© 2003 - Prof. Henrique J. Brodbeck 71
Análise de programa fonte
• Análise visual do código fonte, também chamado de “teste de mesa”
• Envolve necessidade de profundo conhecimento do ambiente computacional por parte do AS
© 2003 - Prof. Henrique J. Brodbeck 72
Análise de programa fonte
• Permite verificar:– uso de normas de padronização de
código de rotinas, arquivos, BD, programas, etc.
– qualidade do sistema e documentação
© 2003 - Prof. Henrique J. Brodbeck 73
Análise de programa fonte
• Permite verificar:– vícios de programação e atendimentos
às características da linguagem / ambiente
© 2003 - Prof. Henrique J. Brodbeck 74
Snapshot
• Técnica que fornece listagem ou gravação do conteúdo das variáveis do programa em determinada rotina em execução
• Corresponde a um dump de memória, na área de dados
© 2003 - Prof. Henrique J. Brodbeck 75
Snapshot
• Necessita de software específico rodando junto com o aplicativo (como tracing ou mapping)
© 2003 - Prof. Henrique J. Brodbeck 76
Snapshot
• Técnica usada na depuração de programas, que requer forte conhecimento do ambiente computacional pelo AS
© 2003 - Prof. Henrique J. Brodbeck 77
Técnicas de AS
• Condicionadas ao ambiente computacional existente e ao conhecimento do AS
• Normalmente uso combinado de diversas técnicas, padrões da área de AS
© 2003 - Prof. Henrique J. Brodbeck 78
Técnicas de AS
• Conhecimento básico de simulação e modelagem é importante diferencial
• Uso da técnica reflete plano de auditoria desenvolvido