Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouAlexandra Pinheiro Bento Alterado mais de 8 anos atrás
1
Software para Auditoria Prof. Henrique J. Brodbeck
Auditoria em Sistemas Software para Auditoria Prof. Henrique J. Brodbeck
2
© 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria É um software que provê meios para obter acesso e manipulação de dados mantidos em sistemas computacionais © Prof. Henrique J. Brodbeck
3
© 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria Obtenção direta de evidências viabilizando julgamento de qualidade sobre dados / aplicações / sistemas Motivado pelos problemas da diversidade dos ambientes computacionais © Prof. Henrique J. Brodbeck
4
Software de Auditoria - Funcionalidades
Acesso a arquivos (diferentes formatos) Reorganização de arquivos (sort/merge) Seleção (extração de dados qualificados, SQL) © Prof. Henrique J. Brodbeck
5
Software de Auditoria - Funcionalidades
Estatísticas (random, amostragem, análises estatísticas básicas, exportação de dados) Aritméticas (operadores aritméticos, cálculos) © Prof. Henrique J. Brodbeck
6
Software de Auditoria - Funcionalidades
Análise de freqüência e estratificação Reporting (padrões, estatísticas gerais atributos selecionados, com problemas) © Prof. Henrique J. Brodbeck
7
Software de Auditoria – Atividades
Exame da qualidade dos dados Exame da qualidade dos processos (simulações paralelas) © Prof. Henrique J. Brodbeck
8
Software de Auditoria - Atividades
Exame da existência das entidades que os dados representam (modelo-mundo real via amostragem selecionada no software) © Prof. Henrique J. Brodbeck
9
Software de Auditoria - Atividades
Revisões analíticas (pasta de auditoria) Extração de dados Análise de regressão (tendências e modelagem) © Prof. Henrique J. Brodbeck
10
Software de Auditoria - Limitações
Somente auditoria após fato, somente após o processamento Limitação na verificação da lógica de processamento - verifica dados, não a lógica © Prof. Henrique J. Brodbeck
11
Software de Auditoria - Limitações
Limitação para verificar propensão a erros Envolve avaliação da qualidade do desenvolvimento para suportar mudanças no sistema © Prof. Henrique J. Brodbeck
12
© 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria Específicos de segmento da industria Linguagens de alto nível SQL, SPSS, 4GL © Prof. Henrique J. Brodbeck
13
© 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria Sistemas especialistas Análise de risco, Controles Internos, planejamento da auditoria (AAF) Redes neurais padrões incertos, de aprendizagem Sistema específicos © Prof. Henrique J. Brodbeck
14
© 2003 - Prof. Henrique J. Brodbeck
CAATS CAATS = Computer Assisted Audit Techniques Ferramentas e técnicas que dão ao auditor a habilidade de maximizar sua eficiência e eficácia na função de auditoria © Prof. Henrique J. Brodbeck
15
© 2003 - Prof. Henrique J. Brodbeck
CAATS Automação de Escritório: processador de texto, planilhas, apresentação, , internet Software Geral de Auditoria: ACL, IDEA © Prof. Henrique J. Brodbeck
16
© 2003 - Prof. Henrique J. Brodbeck
Aplicações do CAATS Aplicações Tradicionais Contas a Receber, Contas a Pagar Estoques Folha de Pagamentos Contabilidade © Prof. Henrique J. Brodbeck
17
© 2003 - Prof. Henrique J. Brodbeck
Aplicações do CAATS Aplicações não tradicionais Logs de telefonemas Logs de firewall, proxy, eventos de sistema Bancos de dados gerais © Prof. Henrique J. Brodbeck
18
© 2003 - Prof. Henrique J. Brodbeck
Visual Assurance Controles internos e compliance Auto-avaliação (auditoria interna) Base de conhecimentos (melhores práticas) por negócio © Prof. Henrique J. Brodbeck
19
© 2003 - Prof. Henrique J. Brodbeck
Visual Assurance Gera relatórios e recomendações Vendido por Kirclare Software - © Prof. Henrique J. Brodbeck
20
© 2003 - Prof. Henrique J. Brodbeck
CobiT Advisor Automatiza as recomendações de gestão do CobiT Automatiza a auditoria do CoBIT Vendido por Methodware - © Prof. Henrique J. Brodbeck
21
Segurança e Vulnerabilidades
Microsoft Baseline Security Analyzer Microsoft Software Inventory Analyzer LANguard Network Scanner © Prof. Henrique J. Brodbeck
22
Segurança e Vulnerabilidades
Ethereal - sniffer HFNetChk IIS Lockdown Tool nmap, tcpdump, satan, nessus © Prof. Henrique J. Brodbeck
23
© 2003 - Prof. Henrique J. Brodbeck
Microsoft Project Gestão do projeto de auditoria Atividades Recursos Custos © Prof. Henrique J. Brodbeck
24
© 2003 - Prof. Henrique J. Brodbeck
Microsoft Project Alocação dinâmica Controle executado x planejado Indispensável em equipes grandes Integrável ao e à Web © Prof. Henrique J. Brodbeck
25
© 2003 - Prof. Henrique J. Brodbeck
Access e Excel Access: banco de dados, programável, mais adequado para grandes volumes ou processamento intenso sobre os dados © Prof. Henrique J. Brodbeck
26
© 2003 - Prof. Henrique J. Brodbeck
Access e Excel Excel: até linhas por planilha, ideal para fórmulas sofisticadas ou análise rápida Programáveis em VBA-Visual Basic para Aplicações Tabela Dinâmica (pivot tables) © Prof. Henrique J. Brodbeck
27
Auditoria de Planilhas
Problema: Erros escondidos nas planilhas Análise/programação inadequada Fórmulas corrompidas pelo usuário © Prof. Henrique J. Brodbeck
28
Auditoria de Planilhas
Solução: The Spreadsheet Detective The Excel Auditor © Prof. Henrique J. Brodbeck
29
Auditoria de Planilhas
Auditoria intrínseca do Excel 2002 Fórmulas inconsistentes Histórico de alterações Rastrear precedentes e dependentes Células usadas em fórmulas © Prof. Henrique J. Brodbeck
30
© 2003 - Prof. Henrique J. Brodbeck
ACL Análise de dados em arquivos simples isolados ou relacionados Acesso direto ao arquivo ou a bancos de dados via ODBC Operação por menus © Prof. Henrique J. Brodbeck
31
© 2003 - Prof. Henrique J. Brodbeck
ACL Pode ser automatizado por programação Muito conhecido e usado Veja o demo em © Prof. Henrique J. Brodbeck
32
© 2003 - Prof. Henrique J. Brodbeck
IDEA Muito semelhante ao ACL Análise de dados em arquivos simples isolados ou relacionados Acesso direto ao arquivo ou a bancos de dados via ODBC © Prof. Henrique J. Brodbeck
33
© 2003 - Prof. Henrique J. Brodbeck
IDEA Operação por menus ou Scripts Tabelas dinâmicas (Pivot tables) Demo em © Prof. Henrique J. Brodbeck
34
Técnicas de Auditoria de Sistemas Prof. Henrique J. Brodbeck
Auditoria em Sistemas Técnicas de Auditoria de Sistemas Prof. Henrique J. Brodbeck
35
Auditoria Computacional
Correlaciona arquivos, tabula e analisa o conteúdo Usualmente trabalha em cópia da base real Usa software de apoio © Prof. Henrique J. Brodbeck
36
Etapas da Auditoria Computacional
Análise do fluxo do sistema Identificação do arquivo, tabela ou BD a ser auditado Entrevista analista / usuário Identificação código / layout arquivo © Prof. Henrique J. Brodbeck
37
Etapas da Auditoria Computacional
Elaboração sistema para auditoria / definição do sw para auditoria Cópia BD / arquivo para auditoria Aplicação do sistema de auditoria Análise dos resultados © Prof. Henrique J. Brodbeck
38
Etapas da Auditoria Computacional
Emissão do relatório Documentação do processo de auditoria © Prof. Henrique J. Brodbeck
39
Questionário para auditoria
Elaboração de conjunto de perguntas com objetivo de verificar determinado PC Verificar aderência aos parâmetros de CI © Prof. Henrique J. Brodbeck
40
Questionário para auditoria
Dados quantitativos, se possível Via , entrevista, in loco, etc... Etapas: analisar PC e elaborar questionário / pré-teste © Prof. Henrique J. Brodbeck
41
Questionário para auditoria
Etapas: definir população / selecionar amostra instruções de como responder distribuir / remeter questionários controlar recebimento © Prof. Henrique J. Brodbeck
42
Questionário para auditoria
Etapas: analisar respostas / uso sw estatístico qualitativo: Sphinx quantitativo: SPSS, ACL, Excel relacionar com parâmetros avaliação PC e elaborar relatório © Prof. Henrique J. Brodbeck
43
Simulação de Dados (Test-Deck)
Técnica mais utilizada para testes computacionais Uso de técnicas de simulação de modelagem de sistemas © Prof. Henrique J. Brodbeck
44
Simulação de Dados (Test-Deck)
Elaboração de conjunto de dados de teste a ser submetido ao sistema ou processo (rotina) sob auditoria Simular situações corretas e incorretas © Prof. Henrique J. Brodbeck
45
Simulação de Dados (Test-Deck)
Etapas: compreensão do módulo do sistema simulação dos dados de teste elaboração de formulários de controle do teste transcrição dos dados do teste © Prof. Henrique J. Brodbeck
46
Simulação de Dados (Test-Deck)
Etapas: preparação do ambiente de teste processamento dos dados de teste avaliação dos resultados emissão de opinião sobre o PC © Prof. Henrique J. Brodbeck
47
© 2003 - Prof. Henrique J. Brodbeck
Visita in-loco Corresponde à atuação pessoal do auditor junto a sistemas, procedimentos e instalações do ambiente auditado © Prof. Henrique J. Brodbeck
48
© 2003 - Prof. Henrique J. Brodbeck
Visita in-loco Procedimentos formais: marcar hora / definir elemento surpresa mínimo questionário semi-estruturado registros formais / latentes © Prof. Henrique J. Brodbeck
49
© 2003 - Prof. Henrique J. Brodbeck
Visita in-loco Procedimentos formais: registro de hora / duração / participantes (ata) analisar respostas e situação identificada relatório de fraquezas do CI © Prof. Henrique J. Brodbeck
50
Mapeamento estatístico - mapping
Técnica de computação utilizada para efetuar verificações durante o processamento de programas Inserção de rotinas específicas nos sistemas em uso ou software de apoio © Prof. Henrique J. Brodbeck
51
Mapeamento estatístico - mapping
Verificar situações tipo: rotinas mais utilizadas (freqüências) rotinas fraudulentas / irregulares / desativadas © Prof. Henrique J. Brodbeck
52
Rastreamento de programas
Técnica que possibilita seguir o caminho de uma transação durante o processamento de um programa Lista a seqüência de instruções do código executada para determinada rotina © Prof. Henrique J. Brodbeck
53
Rastreamento de programas
Identificar rotinas fraudulentas Diversos ambientes implementam funções tipo tracing, usadas no debug de sistemas em desenvolvimento © Prof. Henrique J. Brodbeck
54
© 2003 - Prof. Henrique J. Brodbeck
Entrevistas Reunião entre auditor e auditado Uso conjunto com questionário, visita in loco, test-deck, etc. © Prof. Henrique J. Brodbeck
55
© 2003 - Prof. Henrique J. Brodbeck
Entrevistas Etapas: analisar PC e preparar reunião com auditado elaborar questionário / roteiro definir procedimentos (chefias / individuais) © Prof. Henrique J. Brodbeck
56
© 2003 - Prof. Henrique J. Brodbeck
Entrevistas Etapas: realizar reunião / respostas / latente preparar ata da reunião / distribuir análise das respostas emissão relatório das fraquezas do PC © Prof. Henrique J. Brodbeck
57
Análise de relatório / telas
Técnica típica de avaliação de resultado, no tocante a eficácia do sistema © Prof. Henrique J. Brodbeck
58
Análise de relatório / telas
Usualmente envolvem desativação / redefinição total / parcial de telas / relatórios / documentos (procedimentos) © Prof. Henrique J. Brodbeck
59
Análise de relatório / telas
Etapas: identificar, de acordo com processo de negócio, relatórios / telas / documentos pertinentes ao PC por usuário ou grupo de usuário © Prof. Henrique J. Brodbeck
60
Análise de relatório / telas
Etapas: Elaborar check-list de aderência processo de negócio suportado / telas, relatórios, docs Marcar reunião com usuários / grupos © Prof. Henrique J. Brodbeck
61
Análise de relatório / telas
Etapas: Realizar reuniões / registrar observações e conteúdos latentes Analisar respostas Formar e emitir opinião sobre CI envolvido © Prof. Henrique J. Brodbeck
62
© 2003 - Prof. Henrique J. Brodbeck
Simulação paralela Elaboração de programa para simular as funções de rotina do sistema sob auditoria Utiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk) © Prof. Henrique J. Brodbeck
63
© 2003 - Prof. Henrique J. Brodbeck
Simulação paralela Etapas: levantamento e identificação, via documentação do sistema, da rotina auditada e arquivos / BD © Prof. Henrique J. Brodbeck
64
© 2003 - Prof. Henrique J. Brodbeck
Simulação paralela Etapas: elaboração programa de simulação preparação do ambiente computacional para executar programa (dados reais) © Prof. Henrique J. Brodbeck
65
Análise de log/accounting
Arquivo gerado pelo sistema (SO, BD, SI) que contém registros da utilização do hardware ou software em questão © Prof. Henrique J. Brodbeck
66
Análise de log/accounting
Permite verificação da intensidade de uso dos dispositivos componentes de uma configuração, rede e software aplicativo e de apoio © Prof. Henrique J. Brodbeck
67
Análise de log/accounting
Facilidade típica de ambientes computacionais que pode e deve ser utilizada e incrementada pelo AS © Prof. Henrique J. Brodbeck
68
Análise de log/accounting
Normalmente utilizado como indicadores de qualidade e performance do ambiente computacional, planejamento de capacidade de configuração, rede, etc.. © Prof. Henrique J. Brodbeck
69
Análise de log/accounting
Requer conhecimento de computação e trabalho conjunto com pessoal da área de computação. © Prof. Henrique J. Brodbeck
70
Análise de log/accounting
Uso: identificar ineficiência no uso de recursos, desbalanceamento de configuração, erros de programas ou operação, uso de programas fraudulentos ou indevidos, acessos indevidos. © Prof. Henrique J. Brodbeck
71
Análise de programa fonte
Análise visual do código fonte, também chamado de “teste de mesa” Envolve necessidade de profundo conhecimento do ambiente computacional por parte do AS © Prof. Henrique J. Brodbeck
72
Análise de programa fonte
Permite verificar: uso de normas de padronização de código de rotinas, arquivos, BD, programas, etc. qualidade do sistema e documentação © Prof. Henrique J. Brodbeck
73
Análise de programa fonte
Permite verificar: vícios de programação e atendimentos às características da linguagem / ambiente © Prof. Henrique J. Brodbeck
74
© 2003 - Prof. Henrique J. Brodbeck
Snapshot Técnica que fornece listagem ou gravação do conteúdo das variáveis do programa em determinada rotina em execução Corresponde a um dump de memória, na área de dados © Prof. Henrique J. Brodbeck
75
© 2003 - Prof. Henrique J. Brodbeck
Snapshot Necessita de software específico rodando junto com o aplicativo (como tracing ou mapping) © Prof. Henrique J. Brodbeck
76
© 2003 - Prof. Henrique J. Brodbeck
Snapshot Técnica usada na depuração de programas, que requer forte conhecimento do ambiente computacional pelo AS © Prof. Henrique J. Brodbeck
77
© 2003 - Prof. Henrique J. Brodbeck
Técnicas de AS Condicionadas ao ambiente computacional existente e ao conhecimento do AS Normalmente uso combinado de diversas técnicas, padrões da área de AS © Prof. Henrique J. Brodbeck
78
© 2003 - Prof. Henrique J. Brodbeck
Técnicas de AS Conhecimento básico de simulação e modelagem é importante diferencial Uso da técnica reflete plano de auditoria desenvolvido © Prof. Henrique J. Brodbeck
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.