auditoria de aquisição desenvolvimento manutenção e ... · documentação deveria ser guardada...
TRANSCRIPT
Auditoria de Aquisição
Desenvolvimento Manutenção e
Documentação
Prof. Dr. Joshua Onome Imoniana
Definição de controles Aquisição,
Desenvolvimento, Manutenção e
Docuentação de Sistemas
As funções de aquisição, desenvolvimento, manutenção e documentação de sistemas são atribuídas aos indivíduos que têm competências para conceber e implantar sistemas. Naturalmente efetuado junto com os usuários com o propósito de atender aos objetivos dos negócios .
SDLC
Ênfase nos procedimentos de Systems Development Life Cycle
Tarefas dos controles ADMD
Planejamento de sistemas de informações; • aquisição de sistemas; • especificação, programação, teste e
implementação de sistemas novos; • modificação dos programas das aplicações
existentes; • manutenção preventiva dos sistemas
aplicativos; • Documentação; • Controle sobre versões de programas em
produção.
Familiarização com sistema novo
Quando os usuários não estão familiarizados com operação de um sistema novo ou com os relatórios, encontrarão dúvidas freqüentes de processamento ou dificuldades para sugestão de modificações nos sistemas que podem ter deficiências significativas no seu controle.
Desenvolvimento e
Responsabilidade da culpula
O desenvolvimento efetivo de um sistema requer participação da alta cúpula da administração. Envolvimento por um comitê de direção composto de representantes de alto nível de usuários de sistemas. O comitê aprova ou recomenda alterações nos projetos e revisa o progresso deles.
Estudo de viabilidade economica,
operacional e técnica do sistema Deve-se promover o estudo da viabilidade econômica; Deve-se promover o estudo operacional ; Deve-se promover o estudo técnica de aplicações novas necessariamente requerendo avaliações e também propondo ajustes nos sistemas.
Aquisição contempla – Confiabilidade,
compromisso com o serviço, prover treinamento,
suporte e documentação do produto Especificação; Custo do Produto Prazos e data de entregas; Compromissos com documentação, upgrades,
novo releases, etc; Compromissos para data de migração; Possibiidades de escrow agreement; Intalação e customização; Criterio de aceitação (UAT) Contrato de manutenção; Contratos de usos de cópias; Planos de pagamentos
Desenvolvimento
Desenho – representa o ponto ótimo para modelagem do software e acontece os cut-off com fase anterior
Desenvolvimento Codificação
Debugging e teste de programas
Uso de ferramentas de conversão
Data de sistemas antigos (execute the load of data into the legacy structures) ;
Criando procedimentos de usuários;
Treinando usuários replicadores;
Assegurar documentação
Planejamento do Projeto
CPM
PERT
Outros
Manutenção de sistema
Riscos na modificação de sistemas preocupa varios usuários e auditor também Quando novos sistemas ou modificações significativas nos sistemas existentes são implantados, o risco de erros relacionados a transações processadas pode crescer. Sistema sem histórico de precisão no seu processamento para suportar um ceticismo sobre existência de risco, o usuário preocupa-se com relação a onde efetivamente estão ocorrendo as modificações promovidas .
Riscos na modificação de sistema
Quando novos sistemas ou modificações significativas nos sistemas existentes são implantados, o risco de erros relacionados a transações processadas pode crescer. Sistema sem histórico de precisão no seu processamento para suportar um ceticismo sobre existência de risco, o usuário preocupa-se com relação a onde efetivamente estão ocorrendo as modificações promovidas .
Solicitação de Mudanças
Pedido por escrito solicitando uma mudança no programa de aplicação deveria ser feito por um usuário master e deveria ser autorizado por gerente imediato ou comitê de informática. .
Regras para mudanças no ambiente de produção
a) quando da modificação do programa em ambiente de produção, o mesmo deve ser redesenhado;
b) Mudanças no programa devem ser testadas pelo usuário e o auditor interno;
c) Quando existe atentar para um controle independente; recomenda-se que um funcionário que não era envolvido na projeção das mudanças faça análise dos resultados;
d) Aprovação da mudança deve ser documentada e o resultado de testes deveria ser aprovado por um gerente de sistemas.
e) Mudanças de programa sem autorização não podem ser implementadas em ambiente de produção.
f) Modificações indevidas devem ser descobertas por meio de comparação de versões e auditor usa softwares para executar este procedimento.
Controles de Documentação de Sistemas
Documentação deveria ser guardada em uma biblioteca que tenha um controle de acesso;
Documentação de sistema inclui descrições narrativas, flowcharts, a definição de ferramentas usadas para seu desenvolvimento, contribuição e formas de produção;
Listings de programa de fonte, dados de testes, contribuição e produção, arquivos detalhados e planos de registro, pedidos de mudança, instruções de operador e controles;
Documentação operacional (manual de operação do computador) provê informação sobre organização, arquivos necessários e dispositivos, procedimento de contribuição, mensagens do console e ações de operadores
Documentação processual inclui o plano-mestre do sistema e operações a serem executados, padrões de documentação, procedimentos para controlar arquivos e padrões para análise de sistemas, programação, operações, segurança e definição de dados;
documentação de usuário descreve o sistema e procedimentos para entrada de dados, conferência e correção de erros, formatos e usos de relatórios. ;
Objetivos de auditoria
Os principais objetivos de auditoria dos controles aquisição desenvolvimento, manutenção e documentação são:
– assegurar que sistemas adquiridos são realmente necessários,
– Desenvolvidos atentando para todos os critérios,
– Modificados conforme tendências das operações dos negócios;
– Documentados para orientar os usuários hoje e futuros.
Exemplo: Check-list de auditoria de
controles ADMD
Há procedimento de formalização da real necessidade para um novo
sistema?
As especificações são feitas de forma diligente, confrontando os
conhecimentos dos usuários com os de analista de sistema, visando dar
suporte aos projetos?
Os desenvolvimentos de testes e instalação na produção são feitos sem
traumas para os usuários?
Há informações apresentadas para que os usuários possam decidir entre
aquisição e desenvolvimento interno?
O desenvolvimento segue os padrões e utiliza todas as ferramentas para
alinhá-lo com os sistemas já existentes?
As questões básicas operacionais/funcionalidade, tecnologia, pós-
vendas, segurança e de análise de custo e benefícios, entre outras, são
esclarecidas quando da decisão de compras externas?
Os usuários são treinados para utilizar os sistemas com todos os
potenciais que possuem?
As manutenções são feitas sem interrupção das operações normais da
empresa?
As documentações são consistentes e disponíveis para orientar os
usuários?
Questão Prática
Como auditor de sistemas voce está avaliando se um projeto de sistema novo atende os objetivos dos negócios. Qual dos seguintes testes retrata asseguração de que objetivos foram alcançados?
A. User Acceptance Test (UAT)
B. Teste de Performance
C. Sociabilidade
D. Penetration Test
E. Teste de Escalabilidade