Software para Auditoria Prof. Henrique J. Brodbeck

Software para Auditoria Prof. Henrique J. Brodbeck
Auditoria em Sistemas Software para Auditoria Prof. Henrique J. Brodbeck

© 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria É um software que provê meios para obter acesso e manipulação de dados mantidos em sistemas computacionais © Prof. Henrique J. Brodbeck

Software de Auditoria Obtenção direta de evidências viabilizando julgamento de qualidade sobre dados / aplicações / sistemas Motivado pelos problemas da diversidade dos ambientes computacionais © Prof. Henrique J. Brodbeck

Software de Auditoria - Funcionalidades
Acesso a arquivos (diferentes formatos) Reorganização de arquivos (sort/merge) Seleção (extração de dados qualificados, SQL) © Prof. Henrique J. Brodbeck

Estatísticas (random, amostragem, análises estatísticas básicas, exportação de dados) Aritméticas (operadores aritméticos, cálculos) © Prof. Henrique J. Brodbeck

Análise de freqüência e estratificação Reporting (padrões, estatísticas gerais atributos selecionados, com problemas) © Prof. Henrique J. Brodbeck

Software de Auditoria – Atividades
Exame da qualidade dos dados Exame da qualidade dos processos (simulações paralelas) © Prof. Henrique J. Brodbeck

Software de Auditoria - Atividades
Exame da existência das entidades que os dados representam (modelo-mundo real via amostragem selecionada no software) © Prof. Henrique J. Brodbeck

Software de Auditoria - Atividades
Revisões analíticas (pasta de auditoria) Extração de dados Análise de regressão (tendências e modelagem) © Prof. Henrique J. Brodbeck

Software de Auditoria - Limitações
Somente auditoria após fato, somente após o processamento Limitação na verificação da lógica de processamento - verifica dados, não a lógica © Prof. Henrique J. Brodbeck

Software de Auditoria - Limitações
Limitação para verificar propensão a erros Envolve avaliação da qualidade do desenvolvimento para suportar mudanças no sistema © Prof. Henrique J. Brodbeck

Software de Auditoria Específicos de segmento da industria Linguagens de alto nível SQL, SPSS, 4GL © Prof. Henrique J. Brodbeck

Software de Auditoria Sistemas especialistas Análise de risco, Controles Internos, planejamento da auditoria (AAF) Redes neurais padrões incertos, de aprendizagem Sistema específicos © Prof. Henrique J. Brodbeck

CAATS CAATS = Computer Assisted Audit Techniques Ferramentas e técnicas que dão ao auditor a habilidade de maximizar sua eficiência e eficácia na função de auditoria © Prof. Henrique J. Brodbeck

CAATS Automação de Escritório: processador de texto, planilhas, apresentação, , internet Software Geral de Auditoria: ACL, IDEA © Prof. Henrique J. Brodbeck

Aplicações do CAATS Aplicações Tradicionais Contas a Receber, Contas a Pagar Estoques Folha de Pagamentos Contabilidade © Prof. Henrique J. Brodbeck

Aplicações do CAATS Aplicações não tradicionais Logs de telefonemas Logs de firewall, proxy, eventos de sistema Bancos de dados gerais © Prof. Henrique J. Brodbeck

Visual Assurance Controles internos e compliance Auto-avaliação (auditoria interna) Base de conhecimentos (melhores práticas) por negócio © Prof. Henrique J. Brodbeck

Visual Assurance Gera relatórios e recomendações Vendido por Kirclare Software - © Prof. Henrique J. Brodbeck

CobiT Advisor Automatiza as recomendações de gestão do CobiT Automatiza a auditoria do CoBIT Vendido por Methodware - © Prof. Henrique J. Brodbeck

Segurança e Vulnerabilidades
Microsoft Baseline Security Analyzer Microsoft Software Inventory Analyzer LANguard Network Scanner © Prof. Henrique J. Brodbeck

Segurança e Vulnerabilidades
Ethereal - sniffer HFNetChk IIS Lockdown Tool nmap, tcpdump, satan, nessus © Prof. Henrique J. Brodbeck

Microsoft Project Gestão do projeto de auditoria Atividades Recursos Custos © Prof. Henrique J. Brodbeck

Microsoft Project Alocação dinâmica Controle executado x planejado Indispensável em equipes grandes Integrável ao e à Web © Prof. Henrique J. Brodbeck

Access e Excel Access: banco de dados, programável, mais adequado para grandes volumes ou processamento intenso sobre os dados © Prof. Henrique J. Brodbeck

Access e Excel Excel: até linhas por planilha, ideal para fórmulas sofisticadas ou análise rápida Programáveis em VBA-Visual Basic para Aplicações Tabela Dinâmica (pivot tables) © Prof. Henrique J. Brodbeck

Auditoria de Planilhas
Problema: Erros escondidos nas planilhas Análise/programação inadequada Fórmulas corrompidas pelo usuário © Prof. Henrique J. Brodbeck

Solução: The Spreadsheet Detective The Excel Auditor © Prof. Henrique J. Brodbeck

Auditoria intrínseca do Excel 2002 Fórmulas inconsistentes Histórico de alterações Rastrear precedentes e dependentes Células usadas em fórmulas © Prof. Henrique J. Brodbeck

ACL Análise de dados em arquivos simples isolados ou relacionados Acesso direto ao arquivo ou a bancos de dados via ODBC Operação por menus © Prof. Henrique J. Brodbeck

ACL Pode ser automatizado por programação Muito conhecido e usado Veja o demo em © Prof. Henrique J. Brodbeck

IDEA Muito semelhante ao ACL Análise de dados em arquivos simples isolados ou relacionados Acesso direto ao arquivo ou a bancos de dados via ODBC © Prof. Henrique J. Brodbeck

IDEA Operação por menus ou Scripts Tabelas dinâmicas (Pivot tables) Demo em © Prof. Henrique J. Brodbeck

Técnicas de Auditoria de Sistemas Prof. Henrique J. Brodbeck
Auditoria em Sistemas Técnicas de Auditoria de Sistemas Prof. Henrique J. Brodbeck

Auditoria Computacional
Correlaciona arquivos, tabula e analisa o conteúdo Usualmente trabalha em cópia da base real Usa software de apoio © Prof. Henrique J. Brodbeck

Etapas da Auditoria Computacional
Análise do fluxo do sistema Identificação do arquivo, tabela ou BD a ser auditado Entrevista analista / usuário Identificação código / layout arquivo © Prof. Henrique J. Brodbeck

Elaboração sistema para auditoria / definição do sw para auditoria Cópia BD / arquivo para auditoria Aplicação do sistema de auditoria Análise dos resultados © Prof. Henrique J. Brodbeck

Emissão do relatório Documentação do processo de auditoria © Prof. Henrique J. Brodbeck

Questionário para auditoria
Elaboração de conjunto de perguntas com objetivo de verificar determinado PC Verificar aderência aos parâmetros de CI © Prof. Henrique J. Brodbeck

Dados quantitativos, se possível Via , entrevista, in loco, etc... Etapas: analisar PC e elaborar questionário / pré-teste © Prof. Henrique J. Brodbeck

Etapas: definir população / selecionar amostra instruções de como responder distribuir / remeter questionários controlar recebimento © Prof. Henrique J. Brodbeck

Etapas: analisar respostas / uso sw estatístico qualitativo: Sphinx quantitativo: SPSS, ACL, Excel relacionar com parâmetros avaliação PC e elaborar relatório © Prof. Henrique J. Brodbeck

Simulação de Dados (Test-Deck)
Técnica mais utilizada para testes computacionais Uso de técnicas de simulação de modelagem de sistemas © Prof. Henrique J. Brodbeck

Elaboração de conjunto de dados de teste a ser submetido ao sistema ou processo (rotina) sob auditoria Simular situações corretas e incorretas © Prof. Henrique J. Brodbeck

Etapas: compreensão do módulo do sistema simulação dos dados de teste elaboração de formulários de controle do teste transcrição dos dados do teste © Prof. Henrique J. Brodbeck

Etapas: preparação do ambiente de teste processamento dos dados de teste avaliação dos resultados emissão de opinião sobre o PC © Prof. Henrique J. Brodbeck

Visita in-loco Corresponde à atuação pessoal do auditor junto a sistemas, procedimentos e instalações do ambiente auditado © Prof. Henrique J. Brodbeck

Visita in-loco Procedimentos formais: marcar hora / definir elemento surpresa mínimo questionário semi-estruturado registros formais / latentes © Prof. Henrique J. Brodbeck

Visita in-loco Procedimentos formais: registro de hora / duração / participantes (ata) analisar respostas e situação identificada relatório de fraquezas do CI © Prof. Henrique J. Brodbeck

Mapeamento estatístico - mapping
Técnica de computação utilizada para efetuar verificações durante o processamento de programas Inserção de rotinas específicas nos sistemas em uso ou software de apoio © Prof. Henrique J. Brodbeck

Mapeamento estatístico - mapping
Verificar situações tipo: rotinas mais utilizadas (freqüências) rotinas fraudulentas / irregulares / desativadas © Prof. Henrique J. Brodbeck

Rastreamento de programas
Técnica que possibilita seguir o caminho de uma transação durante o processamento de um programa Lista a seqüência de instruções do código executada para determinada rotina © Prof. Henrique J. Brodbeck

Rastreamento de programas
Identificar rotinas fraudulentas Diversos ambientes implementam funções tipo tracing, usadas no debug de sistemas em desenvolvimento © Prof. Henrique J. Brodbeck

Entrevistas Reunião entre auditor e auditado Uso conjunto com questionário, visita in loco, test-deck, etc. © Prof. Henrique J. Brodbeck

Entrevistas Etapas: analisar PC e preparar reunião com auditado elaborar questionário / roteiro definir procedimentos (chefias / individuais) © Prof. Henrique J. Brodbeck

Entrevistas Etapas: realizar reunião / respostas / latente preparar ata da reunião / distribuir análise das respostas emissão relatório das fraquezas do PC © Prof. Henrique J. Brodbeck

Análise de relatório / telas
Técnica típica de avaliação de resultado, no tocante a eficácia do sistema © Prof. Henrique J. Brodbeck

Usualmente envolvem desativação / redefinição total / parcial de telas / relatórios / documentos (procedimentos) © Prof. Henrique J. Brodbeck

Etapas: identificar, de acordo com processo de negócio, relatórios / telas / documentos pertinentes ao PC por usuário ou grupo de usuário © Prof. Henrique J. Brodbeck

Etapas: Elaborar check-list de aderência processo de negócio suportado / telas, relatórios, docs Marcar reunião com usuários / grupos © Prof. Henrique J. Brodbeck

Etapas: Realizar reuniões / registrar observações e conteúdos latentes Analisar respostas Formar e emitir opinião sobre CI envolvido © Prof. Henrique J. Brodbeck

Simulação paralela Elaboração de programa para simular as funções de rotina do sistema sob auditoria Utiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk) © Prof. Henrique J. Brodbeck

Simulação paralela Etapas: levantamento e identificação, via documentação do sistema, da rotina auditada e arquivos / BD © Prof. Henrique J. Brodbeck

Simulação paralela Etapas: elaboração programa de simulação preparação do ambiente computacional para executar programa (dados reais) © Prof. Henrique J. Brodbeck

Análise de log/accounting
Arquivo gerado pelo sistema (SO, BD, SI) que contém registros da utilização do hardware ou software em questão © Prof. Henrique J. Brodbeck

Permite verificação da intensidade de uso dos dispositivos componentes de uma configuração, rede e software aplicativo e de apoio © Prof. Henrique J. Brodbeck

Facilidade típica de ambientes computacionais que pode e deve ser utilizada e incrementada pelo AS © Prof. Henrique J. Brodbeck

Normalmente utilizado como indicadores de qualidade e performance do ambiente computacional, planejamento de capacidade de configuração, rede, etc.. © Prof. Henrique J. Brodbeck

Uso: identificar ineficiência no uso de recursos, desbalanceamento de configuração, erros de programas ou operação, uso de programas fraudulentos ou indevidos, acessos indevidos. © Prof. Henrique J. Brodbeck

Análise de programa fonte
Análise visual do código fonte, também chamado de “teste de mesa” Envolve necessidade de profundo conhecimento do ambiente computacional por parte do AS © Prof. Henrique J. Brodbeck

Permite verificar: uso de normas de padronização de código de rotinas, arquivos, BD, programas, etc. qualidade do sistema e documentação © Prof. Henrique J. Brodbeck

Permite verificar: vícios de programação e atendimentos às características da linguagem / ambiente © Prof. Henrique J. Brodbeck

Snapshot Técnica que fornece listagem ou gravação do conteúdo das variáveis do programa em determinada rotina em execução Corresponde a um dump de memória, na área de dados © Prof. Henrique J. Brodbeck

Snapshot Necessita de software específico rodando junto com o aplicativo (como tracing ou mapping) © Prof. Henrique J. Brodbeck

Snapshot Técnica usada na depuração de programas, que requer forte conhecimento do ambiente computacional pelo AS © Prof. Henrique J. Brodbeck

Técnicas de AS Condicionadas ao ambiente computacional existente e ao conhecimento do AS Normalmente uso combinado de diversas técnicas, padrões da área de AS © Prof. Henrique J. Brodbeck

Técnicas de AS Conhecimento básico de simulação e modelagem é importante diferencial Uso da técnica reflete plano de auditoria desenvolvido © Prof. Henrique J. Brodbeck

Software para Auditoria Prof. Henrique J. Brodbeck

Apresentações semelhantes

Apresentação em tema: "Software para Auditoria Prof. Henrique J. Brodbeck"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback

Login

Autorizar-se através da rede social:

Software para Auditoria Prof. Henrique J. Brodbeck

Apresentações semelhantes

Apresentação em tema: "Software para Auditoria Prof. Henrique J. Brodbeck"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback