Software para Auditoria Prof. Henrique J. Brodbeck Auditoria em Sistemas Software para Auditoria Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Software de Auditoria É um software que provê meios para obter acesso e manipulação de dados mantidos em sistemas computacionais © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Software de Auditoria Obtenção direta de evidências viabilizando julgamento de qualidade sobre dados / aplicações / sistemas Motivado pelos problemas da diversidade dos ambientes computacionais © 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria - Funcionalidades Acesso a arquivos (diferentes formatos) Reorganização de arquivos (sort/merge) Seleção (extração de dados qualificados, SQL) © 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria - Funcionalidades Estatísticas (random, amostragem, análises estatísticas básicas, exportação de dados) Aritméticas (operadores aritméticos, cálculos) © 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria - Funcionalidades Análise de freqüência e estratificação Reporting (padrões, estatísticas gerais atributos selecionados, com problemas) © 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria – Atividades Exame da qualidade dos dados Exame da qualidade dos processos (simulações paralelas) © 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria - Atividades Exame da existência das entidades que os dados representam (modelo-mundo real via amostragem selecionada no software) © 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria - Atividades Revisões analíticas (pasta de auditoria) Extração de dados Análise de regressão (tendências e modelagem) © 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria - Limitações Somente auditoria após fato, somente após o processamento Limitação na verificação da lógica de processamento - verifica dados, não a lógica © 2003 - Prof. Henrique J. Brodbeck
Software de Auditoria - Limitações Limitação para verificar propensão a erros Envolve avaliação da qualidade do desenvolvimento para suportar mudanças no sistema © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Software de Auditoria Específicos de segmento da industria Linguagens de alto nível SQL, SPSS, 4GL © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Software de Auditoria Sistemas especialistas Análise de risco, Controles Internos, planejamento da auditoria (AAF) Redes neurais padrões incertos, de aprendizagem Sistema específicos © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck CAATS CAATS = Computer Assisted Audit Techniques Ferramentas e técnicas que dão ao auditor a habilidade de maximizar sua eficiência e eficácia na função de auditoria © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck CAATS Automação de Escritório: processador de texto, planilhas, apresentação, e-mail, internet Software Geral de Auditoria: ACL, IDEA © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Aplicações do CAATS Aplicações Tradicionais Contas a Receber, Contas a Pagar Estoques Folha de Pagamentos Contabilidade © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Aplicações do CAATS Aplicações não tradicionais Logs de telefonemas Logs de firewall, proxy, eventos de sistema Bancos de dados gerais © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Visual Assurance Controles internos e compliance Auto-avaliação (auditoria interna) Base de conhecimentos (melhores práticas) por negócio © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Visual Assurance Gera relatórios e recomendações Vendido por Kirclare Software -www.visualassurance.com © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck CobiT Advisor Automatiza as recomendações de gestão do CobiT Automatiza a auditoria do CoBIT Vendido por Methodware -www.methodware.com © 2003 - Prof. Henrique J. Brodbeck
Segurança e Vulnerabilidades Microsoft Baseline Security Analyzer Microsoft Software Inventory Analyzer LANguard Network Scanner © 2003 - Prof. Henrique J. Brodbeck
Segurança e Vulnerabilidades Ethereal - sniffer HFNetChk IIS Lockdown Tool nmap, tcpdump, satan, nessus © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Microsoft Project Gestão do projeto de auditoria Atividades Recursos Custos © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Microsoft Project Alocação dinâmica Controle executado x planejado Indispensável em equipes grandes Integrável ao e-mail e à Web © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Access e Excel Access: banco de dados, programável, mais adequado para grandes volumes ou processamento intenso sobre os dados © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Access e Excel Excel: até 64000 linhas por planilha, ideal para fórmulas sofisticadas ou análise rápida Programáveis em VBA-Visual Basic para Aplicações Tabela Dinâmica (pivot tables) © 2003 - Prof. Henrique J. Brodbeck
Auditoria de Planilhas Problema: Erros escondidos nas planilhas Análise/programação inadequada Fórmulas corrompidas pelo usuário © 2003 - Prof. Henrique J. Brodbeck
Auditoria de Planilhas Solução: The Spreadsheet Detective http://www.uq.net.au/detective/ The Excel Auditor http://www.bygsoftware.com/auditor/auditor.htm © 2003 - Prof. Henrique J. Brodbeck
Auditoria de Planilhas Auditoria intrínseca do Excel 2002 Fórmulas inconsistentes Histórico de alterações Rastrear precedentes e dependentes Células usadas em fórmulas © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck ACL Análise de dados em arquivos simples isolados ou relacionados Acesso direto ao arquivo ou a bancos de dados via ODBC Operação por menus © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck ACL Pode ser automatizado por programação Muito conhecido e usado Veja o demo em http://www.acl.com © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck IDEA Muito semelhante ao ACL Análise de dados em arquivos simples isolados ou relacionados Acesso direto ao arquivo ou a bancos de dados via ODBC © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck IDEA Operação por menus ou Scripts Tabelas dinâmicas (Pivot tables) Demo em http://www.audittols.com © 2003 - Prof. Henrique J. Brodbeck
Técnicas de Auditoria de Sistemas Prof. Henrique J. Brodbeck Auditoria em Sistemas Técnicas de Auditoria de Sistemas Prof. Henrique J. Brodbeck
Auditoria Computacional Correlaciona arquivos, tabula e analisa o conteúdo Usualmente trabalha em cópia da base real Usa software de apoio © 2003 - Prof. Henrique J. Brodbeck
Etapas da Auditoria Computacional Análise do fluxo do sistema Identificação do arquivo, tabela ou BD a ser auditado Entrevista analista / usuário Identificação código / layout arquivo © 2003 - Prof. Henrique J. Brodbeck
Etapas da Auditoria Computacional Elaboração sistema para auditoria / definição do sw para auditoria Cópia BD / arquivo para auditoria Aplicação do sistema de auditoria Análise dos resultados © 2003 - Prof. Henrique J. Brodbeck
Etapas da Auditoria Computacional Emissão do relatório Documentação do processo de auditoria © 2003 - Prof. Henrique J. Brodbeck
Questionário para auditoria Elaboração de conjunto de perguntas com objetivo de verificar determinado PC Verificar aderência aos parâmetros de CI © 2003 - Prof. Henrique J. Brodbeck
Questionário para auditoria Dados quantitativos, se possível Via e-mail, entrevista, in loco, etc... Etapas: analisar PC e elaborar questionário / pré-teste © 2003 - Prof. Henrique J. Brodbeck
Questionário para auditoria Etapas: definir população / selecionar amostra instruções de como responder distribuir / remeter questionários controlar recebimento © 2003 - Prof. Henrique J. Brodbeck
Questionário para auditoria Etapas: analisar respostas / uso sw estatístico qualitativo: Sphinx quantitativo: SPSS, ACL, Excel relacionar com parâmetros avaliação PC e elaborar relatório © 2003 - Prof. Henrique J. Brodbeck
Simulação de Dados (Test-Deck) Técnica mais utilizada para testes computacionais Uso de técnicas de simulação de modelagem de sistemas © 2003 - Prof. Henrique J. Brodbeck
Simulação de Dados (Test-Deck) Elaboração de conjunto de dados de teste a ser submetido ao sistema ou processo (rotina) sob auditoria Simular situações corretas e incorretas © 2003 - Prof. Henrique J. Brodbeck
Simulação de Dados (Test-Deck) Etapas: compreensão do módulo do sistema simulação dos dados de teste elaboração de formulários de controle do teste transcrição dos dados do teste © 2003 - Prof. Henrique J. Brodbeck
Simulação de Dados (Test-Deck) Etapas: preparação do ambiente de teste processamento dos dados de teste avaliação dos resultados emissão de opinião sobre o PC © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Visita in-loco Corresponde à atuação pessoal do auditor junto a sistemas, procedimentos e instalações do ambiente auditado © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Visita in-loco Procedimentos formais: marcar hora / definir elemento surpresa mínimo questionário semi-estruturado registros formais / latentes © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Visita in-loco Procedimentos formais: registro de hora / duração / participantes (ata) analisar respostas e situação identificada relatório de fraquezas do CI © 2003 - Prof. Henrique J. Brodbeck
Mapeamento estatístico - mapping Técnica de computação utilizada para efetuar verificações durante o processamento de programas Inserção de rotinas específicas nos sistemas em uso ou software de apoio © 2003 - Prof. Henrique J. Brodbeck
Mapeamento estatístico - mapping Verificar situações tipo: rotinas mais utilizadas (freqüências) rotinas fraudulentas / irregulares / desativadas © 2003 - Prof. Henrique J. Brodbeck
Rastreamento de programas Técnica que possibilita seguir o caminho de uma transação durante o processamento de um programa Lista a seqüência de instruções do código executada para determinada rotina © 2003 - Prof. Henrique J. Brodbeck
Rastreamento de programas Identificar rotinas fraudulentas Diversos ambientes implementam funções tipo tracing, usadas no debug de sistemas em desenvolvimento © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Entrevistas Reunião entre auditor e auditado Uso conjunto com questionário, visita in loco, test-deck, etc. © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Entrevistas Etapas: analisar PC e preparar reunião com auditado elaborar questionário / roteiro definir procedimentos (chefias / individuais) © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Entrevistas Etapas: realizar reunião / respostas / latente preparar ata da reunião / distribuir análise das respostas emissão relatório das fraquezas do PC © 2003 - Prof. Henrique J. Brodbeck
Análise de relatório / telas Técnica típica de avaliação de resultado, no tocante a eficácia do sistema © 2003 - Prof. Henrique J. Brodbeck
Análise de relatório / telas Usualmente envolvem desativação / redefinição total / parcial de telas / relatórios / documentos (procedimentos) © 2003 - Prof. Henrique J. Brodbeck
Análise de relatório / telas Etapas: identificar, de acordo com processo de negócio, relatórios / telas / documentos pertinentes ao PC por usuário ou grupo de usuário © 2003 - Prof. Henrique J. Brodbeck
Análise de relatório / telas Etapas: Elaborar check-list de aderência processo de negócio suportado / telas, relatórios, docs Marcar reunião com usuários / grupos © 2003 - Prof. Henrique J. Brodbeck
Análise de relatório / telas Etapas: Realizar reuniões / registrar observações e conteúdos latentes Analisar respostas Formar e emitir opinião sobre CI envolvido © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Simulação paralela Elaboração de programa para simular as funções de rotina do sistema sob auditoria Utiliza mesmos dados do mundo real e confronta resultados (inverso do test-desk) © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Simulação paralela Etapas: levantamento e identificação, via documentação do sistema, da rotina auditada e arquivos / BD © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Simulação paralela Etapas: elaboração programa de simulação preparação do ambiente computacional para executar programa (dados reais) © 2003 - Prof. Henrique J. Brodbeck
Análise de log/accounting Arquivo gerado pelo sistema (SO, BD, SI) que contém registros da utilização do hardware ou software em questão © 2003 - Prof. Henrique J. Brodbeck
Análise de log/accounting Permite verificação da intensidade de uso dos dispositivos componentes de uma configuração, rede e software aplicativo e de apoio © 2003 - Prof. Henrique J. Brodbeck
Análise de log/accounting Facilidade típica de ambientes computacionais que pode e deve ser utilizada e incrementada pelo AS © 2003 - Prof. Henrique J. Brodbeck
Análise de log/accounting Normalmente utilizado como indicadores de qualidade e performance do ambiente computacional, planejamento de capacidade de configuração, rede, etc.. © 2003 - Prof. Henrique J. Brodbeck
Análise de log/accounting Requer conhecimento de computação e trabalho conjunto com pessoal da área de computação. © 2003 - Prof. Henrique J. Brodbeck
Análise de log/accounting Uso: identificar ineficiência no uso de recursos, desbalanceamento de configuração, erros de programas ou operação, uso de programas fraudulentos ou indevidos, acessos indevidos. © 2003 - Prof. Henrique J. Brodbeck
Análise de programa fonte Análise visual do código fonte, também chamado de “teste de mesa” Envolve necessidade de profundo conhecimento do ambiente computacional por parte do AS © 2003 - Prof. Henrique J. Brodbeck
Análise de programa fonte Permite verificar: uso de normas de padronização de código de rotinas, arquivos, BD, programas, etc. qualidade do sistema e documentação © 2003 - Prof. Henrique J. Brodbeck
Análise de programa fonte Permite verificar: vícios de programação e atendimentos às características da linguagem / ambiente © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Snapshot Técnica que fornece listagem ou gravação do conteúdo das variáveis do programa em determinada rotina em execução Corresponde a um dump de memória, na área de dados © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Snapshot Necessita de software específico rodando junto com o aplicativo (como tracing ou mapping) © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Snapshot Técnica usada na depuração de programas, que requer forte conhecimento do ambiente computacional pelo AS © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Técnicas de AS Condicionadas ao ambiente computacional existente e ao conhecimento do AS Normalmente uso combinado de diversas técnicas, padrões da área de AS © 2003 - Prof. Henrique J. Brodbeck
© 2003 - Prof. Henrique J. Brodbeck Técnicas de AS Conhecimento básico de simulação e modelagem é importante diferencial Uso da técnica reflete plano de auditoria desenvolvido © 2003 - Prof. Henrique J. Brodbeck