Auditoria em Sistemas Software para Auditoria Prof. Henrique J. Brodbeck

Auditoria em Sistemas

Software para AuditoriaProf. Henrique J. Brodbeck

© 2003 - Prof. Henrique J. Brodbeck 2

Software de Auditoria

• É um software que provê meios para obter acesso e manipulação de dados mantidos em sistemas computacionais



• Obtenção direta de evidências viabilizando julgamento de qualidade sobre dados / aplicações / sistemas

• Motivado pelos problemas da diversidade dos ambientes computacionais


Software de Auditoria - Funcionalidades• Acesso a arquivos (diferentes

formatos)• Reorganização de arquivos

(sort/merge)• Seleção (extração de dados

qualificados, SQL)


Software de Auditoria - Funcionalidades

• Estatísticas (random, amostragem, análises estatísticas básicas, exportação de dados)

• Aritméticas (operadores aritméticos, cálculos)


Software de Auditoria - Funcionalidades

• Análise de freqüência e estratificação• Reporting (padrões, estatísticas

gerais atributos selecionados, com problemas)


Software de Auditoria – Atividades

• Exame da qualidade dos dados• Exame da qualidade dos processos

(simulações paralelas)


Software de Auditoria - Atividades

• Exame da existência das entidades que os dados representam (modelo-mundo real via amostragem selecionada no software)


Software de Auditoria - Atividades

• Revisões analíticas (pasta de auditoria)

• Extração de dados• Análise de regressão (tendências e

modelagem)


Software de Auditoria - Limitações

• Somente auditoria após fato, somente após o processamento

• Limitação na verificação da lógica de processamento - verifica dados, não a lógica


Software de Auditoria - Limitações

• Limitação para verificar propensão a errosEnvolve avaliação da qualidade do desenvolvimento para suportar mudanças no sistema



• Específicos de segmento da industria• Linguagens de alto nível

– SQL, SPSS, 4GL



• Sistemas especialistas– Análise de risco, Controles Internos,

planejamento da auditoria (AAF)• Redes neurais

– padrões incertos, de aprendizagem• Sistema específicos


CAATS

• CAATS = Computer Assisted Audit Techniques

• Ferramentas e técnicas que dão ao auditor a habilidade de maximizar sua eficiência e eficácia na função de auditoria


CAATS

• Automação de Escritório: processador de texto, planilhas, apresentação, e-mail, internet

• Software Geral de Auditoria: ACL, IDEA


Aplicações do CAATS

• Aplicações Tradicionais– Contas a Receber, Contas a Pagar– Estoques– Folha de Pagamentos– Contabilidade


Aplicações do CAATS

• Aplicações não tradicionais– Logs de telefonemas– Logs de firewall, proxy, eventos de

sistema– Bancos de dados gerais


Visual Assurance

• Controles internos e compliance• Auto-avaliação (auditoria interna)• Base de conhecimentos (melhores

práticas) por negócio


Visual Assurance

• Gera relatórios e recomendações• Vendido por Kirclare Software -

www.visualassurance.com


CobiT Advisor

• Automatiza as recomendações de gestão do CobiT

• Automatiza a auditoria do CoBIT• Vendido por Methodware -

www.methodware.com


Segurança e Vulnerabilidades

• Microsoft Baseline Security Analyzer• Microsoft Software Inventory

Analyzer• LANguard Network Scanner


Segurança e Vulnerabilidades

• Ethereal - sniffer• HFNetChk• IIS Lockdown Tool• nmap, tcpdump, satan, nessus


Microsoft Project

• Gestão do projeto de auditoria• Atividades• Recursos• Custos


Microsoft Project

• Alocação dinâmica• Controle executado x planejado• Indispensável em equipes grandes• Integrável ao e-mail e à Web


Access e Excel

• Access: banco de dados, programável, mais adequado para grandes volumes ou processamento intenso sobre os dados


Access e Excel

• Excel: até 64000 linhas por planilha, ideal para fórmulas sofisticadas ou análise rápida

• Programáveis em VBA-Visual Basic para Aplicações

• Tabela Dinâmica (pivot tables)


Auditoria de Planilhas

• Problema:– Erros escondidos nas planilhas– Análise/programação inadequada– Fórmulas corrompidas pelo usuário



• Solução:– The Spreadsheet Detective

http://www.uq.net.au/detective/– The Excel Auditor

http://www.bygsoftware.com/auditor/auditor.htm



• Auditoria intrínseca do Excel 2002– Fórmulas inconsistentes– Histórico de alterações– Rastrear precedentes e dependentes– Células usadas em fórmulas


ACL

• Análise de dados em arquivos simples isolados ou relacionados

• Acesso direto ao arquivo ou a bancos de dados via ODBC

• Operação por menus


ACL

• Pode ser automatizado por programação

• Muito conhecido e usado• Veja o demo em http://www.acl.com


IDEA

• Muito semelhante ao ACL• Análise de dados em arquivos

simples isolados ou relacionados• Acesso direto ao arquivo ou a

bancos de dados via ODBC


IDEA

• Operação por menus ou Scripts• Tabelas dinâmicas (Pivot tables)• Demo em http://www.audittols.com

Auditoria em Sistemas

Técnicas de Auditoria de Sistemas

Prof. Henrique J. Brodbeck


Auditoria Computacional

• Correlaciona arquivos, tabula e analisa o conteúdo

• Usualmente trabalha em cópia da base real

• Usa software de apoio


Etapas da Auditoria Computacional

• Análise do fluxo do sistema• Identificação do arquivo, tabela ou

BD a ser auditado• Entrevista analista / usuário• Identificação código / layout arquivo



• Elaboração sistema para auditoria / definição do sw para auditoria

• Cópia BD / arquivo para auditoria• Aplicação do sistema de auditoria• Análise dos resultados



• Emissão do relatório• Documentação do processo de

auditoria


Questionário para auditoria

• Elaboração de conjunto de perguntas com objetivo de verificar determinado PC

• Verificar aderência aos parâmetros de CI



• Dados quantitativos, se possível• Via e-mail, entrevista, in loco, etc...• Etapas:

– analisar PC e elaborar questionário / pré-teste



• Etapas:– definir população / selecionar amostra– instruções de como responder– distribuir / remeter questionários– controlar recebimento



• Etapas:– analisar respostas / uso sw estatístico

qualitativo: Sphinxquantitativo: SPSS, ACL, Excel

– relacionar com parâmetros avaliação PC e elaborar relatório


Simulação de Dados (Test-Deck)

• Técnica mais utilizada para testes computacionais

• Uso de técnicas de simulação de modelagem de sistemas



• Elaboração de conjunto de dados de teste a ser submetido ao sistema ou processo (rotina) sob auditoria

• Simular situações corretas e incorretas



• Etapas:– compreensão do módulo do sistema– simulação dos dados de teste– elaboração de formulários de controle do

teste– transcrição dos dados do teste



• Etapas:– preparação do ambiente de teste– processamento dos dados de teste– avaliação dos resultados– emissão de opinião sobre o PC


Visita in-loco

• Corresponde à atuação pessoal do auditor junto a sistemas, procedimentos e instalações do ambiente auditado


Visita in-loco

• Procedimentos formais:– marcar hora / definir elemento surpresa– mínimo questionário semi-estruturado– registros formais / latentes


Visita in-loco

• Procedimentos formais:– registro de hora / duração / participantes

(ata)– analisar respostas e situação

identificada– relatório de fraquezas do CI


Mapeamento estatístico - mapping

• Técnica de computação utilizada para efetuar verificações durante o processamento de programas

• Inserção de rotinas específicas nos sistemas em uso ou software de apoio


Mapeamento estatístico - mapping

• Verificar situações tipo:– rotinas mais utilizadas (freqüências)– rotinas fraudulentas / irregulares /

desativadas


Rastreamento de programas

• Técnica que possibilita seguir o caminho de uma transação durante o processamento de um programa

• Lista a seqüência de instruções do código executada para determinada rotina


Rastreamento de programas

• Identificar rotinas fraudulentas• Diversos ambientes implementam

funções tipo tracing, usadas no debug de sistemas em desenvolvimento


Entrevistas

• Reunião entre auditor e auditado• Uso conjunto com questionário, visita

in loco, test-deck, etc.


Entrevistas

• Etapas:– analisar PC e preparar reunião com

auditado– elaborar questionário / roteiro definir

procedimentos (chefias / individuais)


Entrevistas

• Etapas:– realizar reunião / respostas / latente– preparar ata da reunião / distribuir– análise das respostas– emissão relatório das fraquezas do PC


Análise de relatório / telas

• Técnica típica de avaliação de resultado, no tocante a eficácia do sistema



• Usualmente envolvem desativação / redefinição total / parcial de telas / relatórios / documentos (procedimentos)



• Etapas: – identificar, de acordo com processo de

negócio, relatórios / telas / documentos pertinentes ao PC por usuário ou grupo de usuário



• Etapas: – Elaborar check-list de aderência

processo de negócio suportado / telas, relatórios, docs

– Marcar reunião com usuários / grupos



• Etapas: – Realizar reuniões / registrar

observações e conteúdos latentes– Analisar respostas– Formar e emitir opinião sobre CI

envolvido


Simulação paralela

• Elaboração de programa para simular as funções de rotina do sistema sob auditoria

• Utiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk)



• Etapas:– levantamento e identificação, via

documentação do sistema, da rotina auditada e arquivos / BD



• Etapas:– elaboração programa de simulação– preparação do ambiente computacional

para executar programa (dados reais)


Análise de log/accounting

• Arquivo gerado pelo sistema (SO, BD, SI) que contém registros da utilização do hardware ou software em questão



• Permite verificação da intensidade de uso dos dispositivos componentes de uma configuração, rede e software aplicativo e de apoio



• Facilidade típica de ambientes computacionais que pode e deve ser utilizada e incrementada pelo AS



• Normalmente utilizado como indicadores de qualidade e performance do ambiente computacional, planejamento de capacidade de configuração, rede, etc..



• Requer conhecimento de computação e trabalho conjunto com pessoal da área de computação.



• Uso: identificar ineficiência no uso de recursos, desbalanceamento de configuração, erros de programas ou operação, uso de programas fraudulentos ou indevidos, acessos indevidos.


Análise de programa fonte

• Análise visual do código fonte, também chamado de “teste de mesa”

• Envolve necessidade de profundo conhecimento do ambiente computacional por parte do AS



• Permite verificar:– uso de normas de padronização de

código de rotinas, arquivos, BD, programas, etc.

– qualidade do sistema e documentação



• Permite verificar:– vícios de programação e atendimentos

às características da linguagem / ambiente


Snapshot

• Técnica que fornece listagem ou gravação do conteúdo das variáveis do programa em determinada rotina em execução

• Corresponde a um dump de memória, na área de dados


Snapshot

• Necessita de software específico rodando junto com o aplicativo (como tracing ou mapping)


Snapshot

• Técnica usada na depuração de programas, que requer forte conhecimento do ambiente computacional pelo AS


Técnicas de AS

• Condicionadas ao ambiente computacional existente e ao conhecimento do AS

• Normalmente uso combinado de diversas técnicas, padrões da área de AS


Técnicas de AS

• Conhecimento básico de simulação e modelagem é importante diferencial

• Uso da técnica reflete plano de auditoria desenvolvido

Documents

Auditoria em Sistemas Software para Auditoria Prof. Henrique J. Brodbeck