22

Programa

Técnicas de auditoria de sistemas: visão geral características procedimentos associados aplicabilidade

33

Forma de atuação da auditoria

Compreensão do ambiente: levantamento e documentação

Análise do ambiente, situações sensíveis: análise de risco

Elaboração de massa de testes: escopo do teste, dados de teste, resultados padrão esperados

Aplicação do teste: simulação do comportamento do sistema e processos

44

Forma de atuação da auditoria 2

Análise do teste e julgamento dos resultados

Emissão de opinião sobre o ambiente: recomendações e sugestão de soluções

Discussão com os profissionais do ambiente sobre as alternativas de solução: ajuste ou substituição

Acompanhamento da implantação da alternativa escolhida

55

Forma de atuação da auditoria 3

Auditoria da funcionalidade da solução implantadaNovas auditorias de sistemas (follow-up)

66

Técnicas de AS

Condicionadas ao ambiente computacional existente e ao conhecimento do AS

Normalmente uso combinado de diversas técnicas, padrões da área de AS

Conhecimento básico de simulação e modelagem é importante diferencial

Uso da técnica reflete plano de auditoria desenvolvido

77

Auditoria na Base de Dados

Correlaciona arquivos, tabula e analisa o conteúdo

Usualmente gerando cópia da base real

88

Etapas da Auditoria da Base de Dados

Análise do fluxo do sistemaIdentificação do arquivo, tabela ou BD a ser auditadoEntrevista analista / usuárioIdentificação código / layout arquivoElaboração sistema para auditoria / definição do sw para auditoriaCópia BD / arquivo para auditoriaAplicação do sistema de auditoriaAnálise dos resultadosEmissão do relatórioDocumentação do processo de auditoria

99

Questionário para auditoria

Elaboração de conjunto de perguntas com objetivo de verificar determinado PCVerificar aderência aos parâmetros de CIDados quantitativos, se possívelVia rede, entrevista, in loco, etc...Etapas:

analisar PC e elaborar questionário / pré-teste

1010

Questionário para auditoria

Etapas: definir população / selecionar amostra instruções de como responder distribuir / remeter questionários controlar recebimento analisar respostas / uso sw estatístico

qualitativo: Sphinx quantitativo: SPSS

relacionar com parâmetros avaliação PC elaborar relatório

1111

Simulação de Dados (Test-Deck)

Técnica mais utilizada para testes computacionais

Uso de técnicas de simulação de modelagem de sistemas

Elaboração de conjunto de dados de teste a ser submetido ao sistema ou processo (rotina) sob auditoria

Simular situações corretas e incorretas

1212

Simulação de Dados (Test-Deck)

Etapas: compreensão do módulo do sistema simulação dos dados de teste elaboração de formulários de controle do teste transcrição dos dados do teste preparação do ambiente de teste processamento dos dados de teste avaliação dos resultados emissão de opinião sobre o PC

1313

Visita in-loco

Corresponde à atuação pessoal do auditor junto a sistemas, procedimentos e instalações do ambiente auditadoProcedimentos formais:

marcar hora / definir elemento surpresa mínimo questionário semi-estruturado registros formais / latentes registro de hora / duração / participantes (ata) analisar respostas e situação identificada relatório de fraquezas do CI

1414

Mapeamento estatístico - mapping

Técnica de computação utilizada para efetuar verificações durante o processamento de programasInserção de rotinas específicas nos sistemas em uso ou software de apoioVerificar situações tipo:

rotinas mais utilizadas (freqüências) rotinas fraudulentas / irregulares / desativadas

1515

Rastreamento de programas

Técnica que possibilita seguir o caminho de uma transação durante o processamento de um programa

Lista a seqüência de instruções do código executada para determinada rotina

Identificar rotinas fraudulentas

Diversos ambientes implementam funções tipo tracing, usadas no debug de sistemas em desenvolvimento

1616

Entrevistas

Reunião entre auditor e auditadoUso conjunto com questionário, visita in loco, test-deck, etc.Etapas:

analisar PC e preparar reunião com auditado elaborar questionário / roteiro definir procedimentos (chefias / individuais) realizar reunião / respostas / latente preparar ata da reunião / distribuir análise das respostas emissão relatório das fraquezas do PC

1717

Análise de relatório / telas

Técnica típica de avaliação de resultado, no tocante a eficácia do sistemaUsualmente envolvem desativação / redefinição total / parcial de telas / relatórios / documentos (procedimentos)Etapas:

identificar, de acordo com processo de negócio, relatórios / telas / documentos pertinentes ao PC por usuário ou grupo de usuário

compor pasta com documentos e rotinas associadas

1818

Análise de relatório / telas

Etapas: Elaborar check-list de aderência processo de negócio suportado /

telas, relatórios, docs Marcar reunião com usuários / grupos Realizar reuniões / registrar observações e conteúdos latentes Analisar respostas Formar e emitir opinião sobre CI envolvido

1919

Simulação paralela

Elaboração de programa para simular as funções de rotina do sistema sob auditoriaUtiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk)Etapas:

levantamento e identificação, via documentação do sistema, da rotina auditada e arquivos / BD

elaboração programa de simulação preparação do ambiente computacional para executar

programa (dados reais)

2020

Análise de log/accounting

Arquivo gerado pelo sistema (SO, BD, SI) que contém registros da utilização do hardware ou software em questão

Permite verificação da intensidade de uso dos dispositivos componentes de uma configuração, rede e software aplicativo e de apoio

Facilidade típica de ambientes computacionais que pode e deve ser utilizada e incrementada pelo AS

2121

Análise de log/accounting

Normalmente utilizado como indicadores de qualidade e performance do ambiente computacional, planejamento de capacidade de configuração, rede, etc.

Requer conhecimento de computação e trabalho conjunto com pessoal da área de computação

Uso: identificar ineficiência no uso de recursos, desbalanceamento de configuração, erros de programas ou operação, uso de programas fraudulentos ou indevidos, acessos indevidos.

2222

Análise de programa fonte

Análise visual do código fonte, também chamado de “teste de mesa”Envolve necessidade de profundo conhecimento do ambiente computacional por parte do ASPermite verificar:

uso de normas de padronização de código de rotinas, arquivos, BD, programas, etc.

qualidade do sistema e documentação vícios de programação e atendimentos às características da

linguagem / ambiente

2323

Snapshot

Técnica que fornece listagem ou gravação do conteúdo das variáveis do programa em determinada rotina em execução

Corresponde a um dump de memória, na área de dados

Necessita de software específico rodando junto com o aplicativo (como tracing e mapping)

Técnica usada na depuração de programas, que requer forte conhecimento do ambiente computacional pelo AS

2424