A presente pesquisa consubstancia-se na ação de pesquisa e ... 02 - Auditoria em... · Web...

BUSINESS SCHOOL – FAE/CDE

AUDITORIA EM AMBIENTE INFORMATIZADO

VOLUME II

ÍNDICEProfª VERA CALIL

Av. Sete de Setembro, 5388 – cj. 201 – Batel Curitiba – PR – CEP: 80.240-000

FONE: 0xx(41) 244-8507 / [email protected]

www.vlcalil.com.br

http://www.vlcalil.com.br/

mailto:[email protected]

BUSINESS SCHOOL – FAE/CDE...........................................................................................1

AUDITORIA EM AMBIENTE INFORMATIZADO...........................................................1

1. AUDITORIA DE SEGURANÇA FÍSICA DAS INSTALAÇÕES DE PROCESSAMENTO DE DADOS...........................................................................................4

1.1 A EMPRESA.....................................................................................................................41.1.1 CARACTERÍSTICAS ORGANIZACIONAIS........................................................51.1.2 ESTRATÉGIA EMPRESARIAL..................................................................................61.1.3 POLÍTICAS.................................................................................................................7

1.2 CULTURA ORGANIZACIONAL...................................................................................71.2.1 ÓRGÃO RESPONSÁVEL PELAS ATIVIDADES DE SEGURANÇA.........................71.2.2 TREINAMENTO.........................................................................................................8

1.3 INSTALAÇÕES DO CPD................................................................................................91.3.1 LOCALIZAÇÃO..........................................................................................................9

2. AUDITORIA DE SISTEMAS EM PRODUÇÃO.............................................................11

2.1 POSICIONAMENTO DA AUDITORIA........................................................................112.2 NATUREZA E PROFUNDIDADE DOS CONTROLES...............................................122.3 ORGANIZAÇÃO E RESPONSABILIDADE................................................................14

3. PROCEDIMENTOS DE CONTROLE.............................................................................17

4. SISTEMAS PARA AUDITORIA.......................................................................................21

5. TÉCNICAS DE AUDITORIA EM SISTEMAS APLICATIVOS..................................22

VANTAGENS...............................................................................................................25

6. OBJETIVOS E TÉCNICAS DE CONTROLE.................................................................28

7. AUDITORIA EM MICROINFORMÁTICA....................................................................30

7.1 ORGANIZAÇÃO E RESPONSABILIDADES..............................................................307.2 PROCEDIMENTOS DE CONTROLE...........................................................................30

8. PREPARANDO A AUDITORIA INTERNA....................................................................33

Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel

Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882

[email protected]

2



8.1 AUDITORIA INTERNA..................................................................................................33

8.1.1 Primeiro Passo:........................................................................................................348.1.2 Segundo Passo:.........................................................................................................348.1.3 Terceiro Passo:.........................................................................................................358.1.4 Quarto Passo:...........................................................................................................358.1.5 Legalização...............................................................................................................368.1.6 Visita do Consultor...................................................................................................368.1.7 Certificação..............................................................................................................37

9. EXEMPLO DE RESUMO DE AUDITORIA DE SOFTWARE.....................................38

NOME DA EMPRESA......................................................................................................................38

Versão...................................................................................................................................39

10. EXEMPLO DE RELATÓRIO DE AUDITORIA DE SOFTWARE............................40

10.1 INSTRUÇÕES PARA O PREENCHIMENTO DO RELATÓRIO DE AUDITORIA DE SOFTWARE...................................................................................................................4210.2. EXEMPLO DE COMUNICADO INTERNO..............................................................43



[email protected]

3



1. AUDITORIA DE SEGURANÇA FÍSICA DAS INSTALAÇÕES DE PROCESSAMENTO DE DADOS.

A presente pesquisa consubstancia-se na ação de pesquisa e complicação de

informações, opiniões, diretrizes, textos legais e normativos de especialistas em informática e

auditoria, legisladores e técnicos, de renome em suas áreas de ação. Tem como objetivo

precípuo reunir em uma única fonte de consulta, de forma genérica e abrangente (não é

intenção esgotar o assunto) os requisitos necessários para que os auditores, especialmente os

da área de informática, possam desenvolver seus programas de trabalho e listas de testes, no

que se refere a “Segurança Física de Informática”.

1.1 A EMPRESA

O conhecimento pleno da empresa é de suma importância para o desenvolvimento de

qualquer trabalho de auditoria, principalmente quando o assunto envolve segurança

empresarial, haja vista a crença de que os valores absorvidos por tal atividade constituem

“gastos”, quando na verdade são investimentos que preservam a organização.

Segurança deve ser entendida como o conjunto de meios, processos e medidas que

visam, efetivamente, à proteção empresarial.

Na maioria das vezes, a organização investe milhões em sistemas voltados para a

“produtividade”, “qualidade do produto” e “eficiência”, quando um simples incêndio, uma

sabotagem, a falta de treinamento ou até o furto de segredos industriais podem aniquilar tudo

isso.



[email protected]

4



É importante que coloquemos algumas questões, passíveis de reflexão quando da decisão

sobre a implantação de medidas de segurança:

Quanto tempo nossa empresa sobreviverá sem seu CPD?

Quem será afetado se ocorrer um desastre no CPD?

Qual a capacidade de recuperação da empresa, em quanto tem e a que custo?

As atividades são desenvolvidas de forma centralizada ou descentralizadas?

Qual é o percentual de descentralização?

1.1.1 CARACTERÍSTICAS ORGANIZACIONAIS

A empresa é um sistema aberto, composto por três subsistemas ou níveis

organizacionais, sendo que em cada nível, podemos identificar:

A hierarquia;

O poder de decisão;

Funções e responsabilidades;

Relacionamento com o ambiente interno e externo.

Os três níveis são:

Nível institucional (ou nível estratégico)

É o nível dos diretoresproprietários (ou acionistas), alto executivos. É responsável pela

definição dos objetivos empresariais e estratégicos da empresa.

É o nível que interage com o ambiente externo da organização.

Nível intermediário (nível mediador ou tático)



[email protected]

5



É o nível posicionado entre o nível institucional e o nível operacional. Cabe a ele

adequar as decisões tomadas a nível institucional com as ações que devem ser realizadas no

nível operacional.

Nível operacional

É geralmente composto pelas áreas encarregadas de programar e executar as tarefas e

operações básicas da empresa.

1.1.2 ESTRATÉGIA EMPRESARIAL

A estratégia empresarial constitui o conjunto de objetivos e políticas principais, capazes

de guiar e orientar o comportamento global da empresa em longo prazo, em relação ao seu

ambiente externo.

Independentemente do tamanho da empresa, da maneira como será organizada sua

segurança, ou do número de pessoas envolvidas com ela, a responsabilidade em termos de

estratégia e políticas envolvidas com ela, a responsabilidade em termos de estratégia e

políticas, ainda reside no nível institucional da organização.

A alta administração deverá, portanto evidenciar questões relacionadas aos riscos de

segurança, tais como:

Existe um Plano Diretor de Informática?

Que ativos constituem o maior potencial de risco?

Com que tipo de risco a gerência deveria estar mais preocupada?

Que técnicas de controle estão sendo atualmente empregadas?

Essas técnicas de controle são suficientes para a salvaguarda de riscos?

Que ajustes e melhorias de segurança de sistemas e de dados deveriam ser introduzidos?



[email protected]

6



1.1.3 POLÍTICAS

Por filosofia de segurança, entende-se política elaborada, implantada e em contínuo

processo de revisão, válida para toda a organização, com regras as mais claras e simples

possíveis e estrutura gerencial e material de suporte a essa política, claramente sustentada pela

alta hierarquia.

1.2 CULTURA ORGANIZACIONAL

1.2.1 ÓRGÃO RESPONSÁVEL PELAS ATIVIDADES DE SEGURANÇA

Na maioria das organizações a visão que se tem é de que os procedimentos de segurança

referem-se e limita-se a ações corretivas, ou seja, somente após o incidente é que existe ação.

Não existem procedimentos preventivos e normalmente o “status” de segurança está

desvinculado da administração superior. O excessivo número de níveis intermediários entre a

segurança e a alta direção contribui para as dificuldades operacionais.

A idéia ultrapassada de segurança como mero mecanismo de vigilância com pessoal

armado e normalmente despreparado, limitada ao menor gasto, faz com que a segurança perca

sua função mais efetiva que é a de “inteligência”, não no sentido orgânico mas no funcional,

basicamente quanto a:

Análise de risco;

Controle discreto, mas eficiente do processo;

Qualidade e eficiência.

Dentro desse conceito, surge a figura do “Administrador de Segurança” que terá como

atribuições principais:

Proteção dos ativos;

Ligação entre os departamentos usuários;



[email protected]

7



Monitoração e análise de riscos;

Acompanhamento de custos;

Programas e reciclagens de treinamento;

Definição, implantação e acompanhamento de normas de segurança.

Hierarquicamente deve estar subordinado ao nível intermediário da organização.

Não cabe a ele a aplicação dos procedimentos, tarefa afeta aos órgãos de linha (nível)

(operacional), mas sim como elo de ligação entre os níveis institucional e operacional.

Sua maior atribuição será a de identificar e sugerir políticas de segurança à alta

administração e implementa-las no nível operacional, retornando os resultados novamente ao

nível superior.

1.2.2 TREINAMENTO

Cultura, palavra originária do latim e que significa Ato, efeito ou modo de cultivar, isso

extensivo à civilização. Cultura é à história particular de um povo.

O componente primordial para a existência de uma forma cultural adequada é o traço de

recusa, da negação, da contestação às normas e valores estabelecidos.

Alcança-se a evolução da cultura através de um processo de treinamento e reciclagem

constante, incutindo-se na população alvo o interesse e a consciência plena sobre a atividade.

Em vista da população heterogênea, o programa de treinamento deve prever algumas

premissas, tais como:

A duração de cada palestra não deve ultrapassar a 60 minutos;

Deve prever uma parte teórica e uma parte prática, percorrendo-se os locais enfocados na

mesma ocasião em que o instrutor fará comentários a respeito (críticas a situações de falhas

não é recomendável);

Deve ser ministrada, se possível, no local apropriado ao motivo da palestra;



[email protected]

8



A palestra deve contemplar basicamente, os seguintes itens:

Limpeza e conservação;

Controle de acesso e vigilância;

Instalações elétricas;

Instalações de ar-condicionado;

Instalações hidráulicas e sanitárias;

Prevenção e combate ao fogo.

É evidente que nem todos os itens poderão ser enfocados em uma única palestra e o ideal

é que se combinem dois itens correlatos em cada uma, como por exemplo: instalação elétrica e

ar condicionado ou ainda, limpeza e conservação e prevenção e combate ao fogo.

1.3 INSTALAÇÕES DO CPD

1.3.1 LOCALIZAÇÃO

Por ocasião da construção do Centro de Processamento de Dados, a escolha do local é de

fundamental importância como base de toda uma sistemática de segurança contra incêndio e

demais acidentes passíveis de ocorrer em um CPD.

Dessa forma, objetivando fornecer subsídios para a escolha desse local, descrevemos a

seguir alguns requisitos para a escola desse local:

Evitar subsolos, face aos riscos de inundações e também os últimos andares em virtude da

propagação de gases, fumaça, etc.

Evitar lugares com grandes aglomerações ou manifestações públicas;

Distanciar de dispositivos que causam interferências, tais como: torres de TV, torres de

microondas, rádio, radar, linhas de metrô, aeroporto, etc;

Evitar proximidades de postos de gasolina, fábricas, depósitos inflamáveis, tóxicos



[email protected]

9



corrosivos, cozinhas, refeitórios, etc;

Não estar próximo de estacionamentos e garagens de modo a evitar ações de sabotagens

e/ou atos de vandalismo;

Procurar local que haja, se possível, dois ou mais ramais de energia elétrica, de forma a se

precaver contra eventuais falhas no sistema de fornecimento. Esse requisito também pode

ser negociado com as empresas de energia elétrica que atendam a região.

Além dos requisitos anteriormente citados, aconselha-se que o Centro de Processamento de

Dados seja instalado em local próprio e específico, isto é, em terreno e edifício de

propriedade da empresa, de modo a evitar imprevistos que venham por em risco o

desenvolvimento das atividades do CPD e conseqüentemente as da empresa.



[email protected]

10



2. AUDITORIA DE SISTEMAS EM PRODUÇÃO

2.1 POSICIONAMENTO DA AUDITORIA

Os desafios decorrentes de uma economia globalizada e altamente competitiva requerem

sistemas aplicativos que assegurem agilidade e confiabilizada às tomadas de decisão e à

operacionalização dos negócios.

Sistemas de informação assumem papel significativo na própria viabilização de novos

negócios, e sua interrupção traria resultados desastrosos às organizações.

Ter a informação correta, disponível da forma mais rápida possível, pode representar

significativa vantagem competitiva.

Do ponto de visto do auditor, é fundamental que em qualquer trabalho realizado, estejam

claramente identificados os negócios suportados pelo sistema aplicativo, os objetivos da

empresa em relação ao negócio e o uso de informações do sistema, tanto a nível operacional

quanto em nível de gestão.

A utilização de sistemas aplicativos como suporte de negócios requer ainda, a utilização

de tecnologia sofisticada, envolvendo ambientes de software e hardware altamente complexos.

Interfaces com diferentes sistemas, transações que atualizam arquivos em “real-time”,

transferências eletrônica de dados com clientes, fornecedores e instituições financeiras.

Atender a normas e legislação complexas, variadas e alteradas com freqüência, também são

exigências cada vez mais comuns dos sistemas aplicativos.

Por sua vez, a evolução do software e hardware propicia o surgimento de sistemas a

cada vez mais descentralizados e integrados. Esta integração, envolvendo equipamentos de

grande porte, médio e microcomputadores, utilizando os mais diversos tipos de software,

interligados entre si, caracteriza um ambiente de processamento cooperativo, onde novas



[email protected]

11



técnicas de controles são necessárias para assegurar integridade dos dados que trafegam pelo

sistema.

A utilização de sistemas especialistas, embora ainda pequena a nível comercial, transfere

cada vez mais o poder de decisão do homem para os sistemas, inclusive algumas de

importância vital para o sucesso e a continuidade das organizações.

2.2 NATUREZA E PROFUNDIDADE DOS CONTROLES

Existem várias técnicas para satisfazer um padrão mínimo de controle. A decisão sobre a

técnica específica a ser utilizada em cada caso, depende dos seguintes fatores:

A Estrutura do Sistema de Informação.

O correto funcionamento de alguns sistemas pode ser facilmente verificado através de

controles executados pelos usuários. Outros sistemas podem incorporar o uso de passos de

cálculo e lógica complexos, para os quais uma combinação de procedimentos de controle

programados e a confiabilidade nos controles gerais sobre o ambiente de PED são apropriados.

O Custo dos controles.

O custo dos recursos humanos e de sistemas necessários para executar os controles,

variam para cada aplicação. Quando da seleção das técnicas de controle, devem ser

comparados com os riscos de ocorrência de erros e com os custos associados ao uso de

informações incompletas e incorretas, se os erros não forem detectados e corrigidos; os

controles devem justificar seus custos. Em um sistema de folha de pagamento, os cheques e os

relatórios precisam ser produzidos automaticamente usando valores e tabelas de deduções

mantidas pelo computador, junto com dados de horas fornecidos pelo pessoal de apontamento.

Assumindo que os controles gerais são adequados, isto é, controles adequados sobre o

desenvolvimento ou aquisição de sistemas de informação, processamento dos sistemas,

segurança de funções incompatíveis, segurança física e lógica, o risco de um erro de



[email protected]

12



processamento deveria ser pequeno. Nestas circunstâncias, o custo de um erro de

processamento deveria ser pequeno. Nestas circunstâncias, o custo de checar manualmente os

cálculos da folha, dificilmente seria justificado.

Entretanto, erros humanos poderiam causar eventuais alterações incorretas de um valor a

pagar ou de uma dedução. O efeito de cada erro deveria ser multiplicado pelo número de

pessoas afetadas em cada período de pagamento, até o erro ser detectado. Dessa forma, um

controle para verificar se todas as mudanças são corretamente executadas, deveria ter um custo

efetivo, dado o largo potencial de efeitos cumulativos, mesmo de um pequeno erro.

A Eficácia dos Controles Gerais sobre o Ambiente de PED.

O risco de procedimentos automatizados serem executados de formam inconsistente ou

incorreta é reduzido quando os controles gerais atendem um padrão mínimo de controle. É

razoável esperar-se, por exemplo, que os programas computacionais sejam executados

corretamente, quando existem controles efetivos sobre a segregação de funções incompatíveis

relacionadas com os sistemas de informação, desenvolvimento aquisição e manutenção dos

sistemas e sobre a segurança física e lógica. A eficácia dos controles gerais pode, portanto,

influenciar a natureza e o tipo (programados ou do usuário) dos controles da aplicação

selecionados.

A Eficiência de outros Controles da Aplicação.

Por exemplo, uma organização pode optar pela reconciliação das contas de fornecedores

para identificar obrigações não registradas, em lugar de realizar uma verificação da seqüência

numérica dos relatórios de recebimento de materiais processados.

A Oportunidade do Controle.

A operação de algum procedimento de controle requer tempo. Se o tempo requerido é

excessivo, a utilidade deste controle pode ser prejudicada, ou uma demora não aceitável pode

ocorrer no processamento das transações. A escolha por uma técnica de controle alternativa



[email protected]

13



deve considerar o efeito que este controle terá sobre a disponibilidade da informação e a sua

conseqüência para um determinado sistema, Num sistema de vendas on-line, por exemplo, no

qual uma confirmação verbal de aceitação é dada para o cliente no ato do pedido, um

procedimento automático deveria ser usado para checar o crédito do cliente. Isto poderia ser

preferível do que aguardar um funcionário realizar a análise de crédito antes da confirmação

do pedido.

2.3 ORGANIZAÇÃO E RESPONSABILIDADE

A responsabilidade pelos controles e segurança dos aplicativos envolve usuários,

analistas responsáveis pelo desenvolvimento e manutenção, produção e operação de

computador e redes de teleprocessamento, além de outras envolvidas com controles de

ambiente, tais como segurança física e lógica.

As metodologias de desenvolvimento devem prever a participação do usuário desde o

desenho até a implementação do sistema. Esta participação é de fundamental importância para

garantir que o sistema foi desenvolvido de acordo com as especificações e autorização. Dentre

os usuários, o mais importante é nomeado o gestor do produto daquele sistema/projeto e a este

cabe gerenciar todas as manutenções e alterações que eventualmente venham a ocorrer. Ele

também deve participar dos testes e implementação destas alterações e da decisão de

contratar-se ou não técnicos no mercado para desenvolvimento/manutenção ou operação do

sistema.

O usuário deve ter controle sobre a elaboração e aprovação das transações, sobre o

efetivo processamento, sobre os documentos de saída e documentos rejeitados no

processamento. Verificar se transações processadas são conferidas e validadas pelos

responsáveis, incluindo os próprios usuários; se os comandos (inclusive on-line) possuem

algum Mecanismo de controle por pessoa independente da sua execução; se todos os erros e



[email protected]

14



pendências foram corrigidos e processados e se há compatibilidade entre os dados alimentados

no sistema e o conteúdo dos cadastros principais e informações gerada.

Aos órgãos responsáveis pela produção do sistema, incluindo preparação técnica,

operação do computador e rede de teleprocessamento, assim como funções de apoio como

administração de dados e administração de segurança, compete executar os procedimentos de

controle específicos do aplicativo e, principalmente, executar os procedimentos de controles

gerais, que asseguram que o sistema aplicativo está sendo produzido dentro do planejado.

Finalmente, aos órgãos responsáveis pelo desenvolvimento e manutenção das aplicações,

compete atender e implementar as solicitações dos usuários relacionadas a controles, bem

como estudar e sugerir aquelas técnicas de controle que assegurem confiabilidade ao

aplicativo com a maior eficiência e menor custo.

2.4 NÍVEL CRÍTICO/RISCOS

Garantir a integridade dos dados envolve o estabelecimento de proteção contra acesso

não autorizado e salvaguarda do dado acessado pela aplicação.

Devem ser verificados os mecanismos existentes para restrição de acesso para consultas,

alterações ou destruição dos dados, bem como os controles de recuperação do banco de dados,

em caso de perda da integridade.

Os arquivos e banco de dados podem ser acessados independentemente dos aplicativos

que os utilizam. Assegurar a integridade e inviolabilidade destes dados envolve o

estabelecimento de política de segurança. A execução destas políticas pode ser feita com a

utilização de softwares de segurança.

A segurança lógica dos dados corporativos deve basear-se em políticas de proteção

estabelecidas para a corporação, que orientem os acessos dentro ou fora dos aplicativos.



[email protected]

15



Os controles internos devem garantir a segurança, integridade e disponibilidade dos

sistemas aplicativos. Para tanto, é de fundamental importância que alguns procedimentos

preventivos e corretivos sejam tomados quanto à proteção e manutenção dos equipamentos de

PED, além da existência de um plano de contingências que assegure a continuidade do

processamento dos sistemas em caso de perda parcial ou total dos recursos de PED.

Sob o enfoque dos aplicativos, estes devem prever estas situações e as alternativas de

processamento ou mesmo de usos de procedimentos manuais para a sua continuação,

incluindo as interrupções temporárias no processamento (queda de sistema, manutenção de

equipamentos etc).



[email protected]

16



3. PROCEDIMENTOS DE CONTROLEApós a avaliação dos riscos pertinentes ao não atendimento dos padrões mínimos de

controle interno, o auditor deverá avaliar se os controles existentes asseguram:

A integridade e confidencialidade dos dados mantidos e das informações produzidas pelo

aplicativo;

A disponibilidade dos sistemas;

A eficiência na utilização dos recursos de PED;

A compatibilidade dos sistemas aplicativos em relação aos objetivos de negócios e

operacional da organização;

Diante do exposto o auditor deve seguir alguns passos quando realizando trabalho de

auditoria em sistemas aplicativos:

Definir objetivos;

Obter conhecimento básico da aplicação;

Obter conhecimento profundo da aplicação (*);

Identificar e avaliar controles críticos, processos e exposições aparentes (riscos potenciais);

Definir procedimentos de auditoria;

Testar os controles críticos, processos e exposições aparentes;

Avaliar os resultados dos testes;

Reportar resultados.

Se estes passos foram previamente preparados para uma aplicação que está sendo

auditada novamente, o auditor pode ganhar tempo para conhecer a aplicação, avaliar controles

e definir os procedimentos. Ele deve identificar todas as modificações ocorridas desde a última



[email protected]

17



revisão, fazer as modificações necessárias nos procedimentos de avaliação e verificação e

incrementar os testes e avaliar resultados.

a) Definir Objetivo

O objetivo geral de uma auditoria em um aplicativo é verificar os processos e controles

necessários que tornem a aplicação livre de exposições significativas.

A natureza específica deste objetivo pode variar de acordo com a ênfase que se dê para

algumas exposições em relação a outras, tidas como significativas.

b) Obter Conhecimento Básico da aplicação

O auditor vai obter conhecimento geral da aplicação através da documentação e de

entrevistas com as pessoas-chave do desenvolvimento.

c) Obter Conhecimento Detalhado

Depois de definido o escopo da avaliação, o auditor deve aprofundar-se no conhecimento

do aplicativo. Este conhecimento detalhado irá concentra-ser nos controles específicos e

procedimentos relacionados a avaliação. Procedimentos considerados irrelevantes devem ser

anotados, porém não revisados.

A documentação consiste na principal fonte de consulta para que o auditor conheça a

aplicação em detalhes. Ele deve centralizar sua atenção, para melhor entender os detalhes do

aplicativo, em três grandes elementos:

Dados

Procedimentos

Controles

Os DADOS constituem-se no elemento de informação mais importante, porque todos os

procedimentos e controles, se devidamente implementados, são dependentes da natureza dos

dados disponíveis.



[email protected]

18



Todos os PROCEDIMENTOS manuais ou automatizados, aos quais os dados são

submetidos, incluem as funções de negócio, suportada pelo sistema. Estes procedimentos

devem ser entendidos em detalhes, para que o auditor possa julgar se são apropriados e

eficientes.

Os CONTROLES sobre a aplicação devem estar integrados aos procedimentos.

Devem ser implementados manualmente ou através dos programas.

Devem diferenciar dos procedimentos apenas nos propósitos.

d) Obter e Avaliar Controles Críticos, Processos e Exposições Aparentes.

Avaliação da ineficácia, ineficiência e fragilidade do controle é um processo subjetivo.

Não existem fórmulas ou procedimentos definidos que respondam todas as perguntas ou que

tornem esta função fácil de ser executada.

Este é o processo que mais requer o perfil profissional do auditor. Aqui o auditor precisa

responder as seguintes questões:

O sistema fornece resultados confiáveis?

Que controles devem o auditor verificar para substanciar a análise?

Que funções são frágeis e quais devem ser avaliadas?

e) Definir os Procedimentos de Auditoria

O auditor tendo desenvolvido a avaliação do aplicativo, deve agora definir os testes dos

controles chave que identificou.

Três passos devem ser seguidos:

Selecionar a técnica de verificação: dois métodos podem ser utilizados – teste de

resultado e teste de processamento.

Determinar qual a ferramenta irá utilizar, inclusive o próprio computador.

Preparar o programa de teste.



[email protected]

19



f) Testar Controles Críticos

Usando ferramentas e técnicas de auditoria, o auditor executa os testes para verificar se

aqueles controles previamente identificados como chave ou principais para a aplicação, estão

de fato operando eficiente.

g) Avaliar Resultados dos Testes

O objetivo de avaliação final é resolver o grau de confiabilidade que o auditor pode

determinar para o controle interno. Esta avaliação é baseada no conhecimento que ele adquiriu

dos procedimentos e controles, durante o desenvolvimento do trabalho de auditoria.

h) Reportar o Resultado

O auditor deve relatar os pontos de fragilidade detectados durante as fases da avaliação

do aplicativo. É de fundamental importância que a área de desenvolvimento esteja envolvida e

comprometida com resultado, para garantia da eficiência e eficácia do próprio trabalho.

É necessário lembrar que o trabalho de auditoria vale enquanto está ocorrendo e que este

é o momento de envolver as pessoas responsáveis pelo sistema. Esta atitude garante a

implementação das recomendações da auditoria.



[email protected]

20



4. SISTEMAS PARA AUDITORIANo início dos trabalhos de revisão e avaliação de sistemas aplicativos, há um número

elevado de sistemas em operação e recursos reduzidos de profissionais para essa função, o que

torna necessário estabelecer critérios adequados para selecionar e priorizar estes sistemas para

efeito de auditoria.

Os auditores internos que habitualmente praticam auditoria operacional nas suas

empresas, já dispõem de conhecimentos de características e condições operativas que

permitem identificar aplicativos para avaliação. Contudo, constata-se que nem sempre são

consideradas toadas as informações e elementos que seriam necessários para comparar os

sistemas entre si, em uma base comum.

Esse objetivo pode ser alcançado mediante uma análise e definição prévia de elementos e

características que possam qualificar os sistemas do ponto de vista de sua importância perante

objetivos operacionais, de gestão e de controle interno da empresa.

A título de exemplo pode ser estabelecido se o sistema é de vital importância operacional

para a empresa; atende-se requisitos estatutários da organização. Controlam-se ativos

financeiros ou outros considerados relevantes; gera-se produtos de apoio direto e decisões

gerenciais; consome-se volume elevado dos recursos de processamento; exige-se grande

volume de manutenção e assim por diante.

A partir de uma lista de elementos de qualificação previamente definida, devem ser

levantadas informações dos sistemas em operação, que serão posteriormente relacionadas e

comparadas, de modo a permitir que a seleção e priorização sejam suportada em dados e

informações adequadas e uniformes para o direcionamento dos exames de auditoria.



[email protected]

21



5. TÉCNICAS DE AUDITORIA EM SISTEMAS APLICATIVOSA avaliação de controles sobre aplicativos requer a utilização de técnicas de auditoria

específicas, que permitam validar programas, dados e informações relacionadas aos sistemas.

A aplicação destas técnicas, normalmente depende das características do sistema a ser

avaliado, dos objetivos da auditoria e da abrangência dos exames.

Com o intuito de buscar formas sempre mais eficazes e seguras de proceder aos exames,

e em função do dinamismo e complexidade crescente dos sistemas implantados, foram criadas

técnicas e ferramentas de apoio à avaliação dos controles relacionados aos sistemas

aplicativos.

Algumas destas técnicas, porém são 1 de difícil aplicação e adaptação às condições

específicas de cada sistema ou instalação. Cabe ao auditor conhece-las e avaliar custos e

benefícios efetivos de sua utilização.

Apresentamos a seguir algumas das principais técnicas, que são de maior utilidade,

classificada conforme o objetivo a que se destinam.

Massa de Teste

Esta técnica consiste em preparar dados de entrada com as mais diversas condições e

variáveis que se deseja testar. Os dados são alimentados e processados através de rotinas e

programas normais de produção, em processamento separado, permitindo avaliar sua exatidão

e os controles existentes.

A técnica de massa de teste pode ser usada para segmentos específicos de um sistema e

possibilita verificar:

Rotinas de validação de dados de entrada, detecção de erros e consistência das

transações.

Lógica de processamento e controles relacionados à criação e manutenção de arquivos.



[email protected]

22



Adequação da atualização dos programas e do sistema.

VANTAGENS DESVANTAGENS

- Permite identificar e avaliar os controles

exercidos, bem como se as políticas, normas

e procedimentos definidos estão sendo

seguidos.

É possível que não sejam consideradas todas

as possibilidades e situações geradoras de

transações.

O auditor não necessita assistência para

preparar os dados de entrada e avaliar os

resultados esperados.

Dependendo do escopo do teste, pode tornar-

se bastante complexo e demorado.

Não há necessidade de programas especiais e

o auditor necessita apenas de conhecimentos

básicos de informática.

INTEGRATED TEST FACILITY – ITF

Esta técnica é uma variação da técnica de massa de teste e consiste em gerar uma

entidade fictícia (departamento, vendedor etc.) dentro do sistema e gerar transações para esta

entidade, as quais serão processadas dentro do ciclo normal de processamento do sistema.

É chamada de “Integrated” (integrada) porque as transações de auditoria serão

processadas junto com as transações normais e registradas nos mesmos arquivos. É utilizada

para testar e verificar sistemas complexos e de grande porte, onde não é possível separar o

processamento em ciclos específicos.



[email protected]

23



DESVANTAGENS

Possibilita um exame bastante abrangente,

sem necessidade de processamento especial.

Necessidade de estabelecer procedimentos

de separação e retirada dos dados de

auditoria das transações normais.

Custo operacional reduzido, pois sua

execução se dá durante o processamento

normal da aplicação.

Possibilidade de inclusão de dados não

íntegros nos registros normais da empresa.

Requer um planejamento detalhado do teste

e participação do pessoal de análise de

sistema.

SOFTWARE DE AUDITORIA

Esta técnica permite que o auditor faça uma análise independente sobre os dados de um

arquivo de um sistema aplicativo. Constitui-se em um programa ou um grupo de programas

adquiridos (pacotes) ou preparados pelo auditor, com o objetivo de avaliar e validar dados de

arquivos mediante parâmetros e condições definidas.

Diferencia-se dos Módulos de Auditoria inseridos no sentido em que não integram as

rotinas normais de processamento e são executados no momento em que o auditor julgar

conveniente.


Permite grande abrangência na execução de

avaliações, segundo a criatividade do

auditor.

Necessidade de conhecimento e treinamento

em linguagem de programação e/ou

aprendizado do software adquirido.

Possibilita independência à auditoria na

determinação e execução dos seus exames.

Custo e limitações do software de auditoria

adquirido.



[email protected]

24



MÓDULOS DE AUDITORIA INSERIDOS

Esta ferramenta constitui-se em programa ou rotina específicos definidos e

desenvolvidos pelo auditor (ou por pessoal da área de informática) e que é incorporado ao

sistema aplicativo. Seu propósito é analisar as transações e seleciona-las mediante critérios

predeterminados, para posterior exame pela Auditoria.


Possibilita que as transações sejam

selecionadas e examinadas no momento em

que efetivamente ocorreram.

Exige conhecimento e esforço de

programação para escrever os módulos de

auditoria.

Permite o exame de todas as transações

consideradas de interesse da auditoria.

Necessita definições e ajustes do sistema,

preferencialmente na ocasião de seu

desenvolvimento.

É necessário revisar e atualizar

continuamente o módulo para que seus

resultados sejam efetivos.

Técnicas de Monitoração e Rastreamento

As técnicas, utilizadas pelos profissionais de processamento de dados para depurar

programas, podem ser extremamente úteis como técnicas de auditoria.

Entre elas, estão o Mapping, Tracing e Snapshot, que permitem analisar os resultados

do computador durante a execução de um programa.



[email protected]

25



O mapping consiste na utilização de um software monitor, que indica o número de

vezes que cada instrução foi executada em um processamento, além de outras informações tais

como segmentos não utilizados e tempo de processamento. Esse tipo de informação permite ao

auditor a identificação de segmentos pouco utilizados dos programas, que têm maior

probabilidade de estar associados a rotinas não autorizadas.

Para utilização desta técnica o auditor deverá:

Verificar se este tipo de software está disponível no CPD da empresa ou como obtê-lo,

caso não exista.

Selecionar programas críticos da aplicação a serem analisados.

Executar o mapeamento dos programas a serem analisados.

Analisar os resultados e concluir sobre a existência de eventuais procedimentos

programados em desacordo com o previsto.

A técnica de tracing detalha as instruções executadas pelo programa e em que seqüência

foram executadas.

Esta técnica propicia ao auditor o conhecimento das instruções executadas durante o

processamento de transações específicas. Com base na análise das instruções processadas, o

auditor pode determinar porque alguns resultados foram obtidos no processamento de

terminada transação. Isto pode ser comparado com as políticas e procedimentos definidos na

empresa, para teste de aderência e auxiliar na determinação de resultados questionáveis do

processamento.

O snapshot fornece um quadro dos dados, que é extraído em determinados pontos de seu

processamento. Esta técnica permite ao auditor ver chaves de programas, os acumuladores, as

áreas de armazenamento, o código do computador e qualquer outra informação disponível no

programa. O tamanho ou número de quadros de dados extraídos é determinado pelo auditor.



[email protected]

26



Dessa forma é possível acompanhar transações específicas através do programa e determinar o

seu caminho lógico, condições de controle e seqüência de processamento.

COMPARAÇÃO DE CÓDIGO FONTE

Esta técnica consiste na manutenção pela auditoria, de uma cópia dos principais

programas em linguagem fonte e linguagem objeto.

Estas cópias de programas são utilizadas para comparação com as versões dos mesmos

programas em produção. Essa comparação é executada pelo auditor utilizando o próprio

computador, com o auxílio de um software que compara programas objeto das diferentes

bibliotecas. A comparação é feita instrução a instrução e indica as diferenças.

Esta técnica é útil para auxiliar na avaliação de procedimentos de manutenção de

software, bibliotecas de programas e controles sobre mudanças.

6. OBJETIVOS E TÉCNICAS DE CONTROLENeste capítulo estão abordados os objetivos de controle relacionados a sistemas

aplicativos e as respectivas técnicas/pontos de controle, cuja existência indicará se o objetivo



[email protected]

27



de controle está ou não sendo atendido. Serve como um roteiro para planejamento e execução

de trabalhos de auditoria na área.

Algumas das técnicas de controle mencionadas poderão ser atendidas pelos controles

gerias ou controles sobre o ambiente, como, por exemplo, aquelas relacionadas a acesso físico

e lógico a terminais, sobre banco de dados etc. Por esse motivo, é de fundamental importância

que o auditor já tenha realizado uma avaliação dos controles gerais, para definir o escopo de

auditoria sobre os sistemas aplicativos.

As técnicas de controle relacionadas buscam abranger todas as possibilidades

relacionadas a cada objetivo de controle. A sua aplicabilidade dependerá dos recursos

utilizados e da tipicidade do aplicativo, como processamento batch, on-line, processamento

distribuído ou centralizado etc.

A evolução tecnológica, que traz como conseqüência o uso intensivo de sistemas

distribuídos, integrados e utilizando técnicas on-line para entrada e recuperação de dados,

tendem a juntar algumas das etapas aqui descritas separadamente.

Como exemplo, é cada vez mais comum a transação ser informada para processamento

diretamente pelo usuário, no momento em que ela ocorre, integrando as etapas tradicionais de

preparação da transação, digitação, entrada, crítica e correção, bem como do processamento e

atualização dos arquivos principais.

Os objetivos de controle foram estabelecidos em função das seguintes etapas ou

atividades relacionadas com os sistemas aplicativos:

ETAPAS DESCRIÇÃO

ORIGEM E PREPARAÇÃO

DAS TRANSAÇÕES

Visa assegurar que todas as transações estão autorizadas e são preparadas

corretamente e remetidas para processamento na sua totalidade.

ENTRADA DE DADOS Visa assegurar que todas as transações são entradas para processamento, seja



[email protected]

28



através de lotes ou on-line, na sua totalidade e corretamente.

PROCESSAMENTO

Visa assegurar que os dados são tratados de forma correta durante o

processamento e que todas as transações são processadas e os arquivos

atualizados na sua totalidade.

SAÍDAS Visa assegurar que todas as informações produzidas pelo sistema são

completas, corretas, oportunas e são preparadas de forma a facilitar seu uso e

entendimento.

INTEGRIDADE DE DADOS

E CADASTROS

Visa assegurar que os dados mantidos em cadastros e arquivos permanentes e

semi-permanentes somente são lidos e atualizados por programas

autorizados, Independente de existirem procedimentos adequados para

alimentação dos dados e cadastros mantidos pelo sistema, através de técnicas

adequadas para validação dos dados de entrada ou daqueles gerados durante o

processamento, procedimentos de controle adicionais devem existir na

instalação, que impeçam que através de meios alternativos os dados e

cadastros possam ser alterados, tanto para leitura quanto alteração.

BACK-UP E

RECUPERAÇÃO

Visa assegurar a continuidade do processamento em caso de paralisação ou

perda de recursos e dados. Os mecanismos para assegurar a recuperação de

dados e programas em decorrência de problemas técnicos ou sinistros que

impeçam o uso do recurso original, compreendem a procedimentos de

retenção e back-up dos meios magnéticos.

DOCUMENTAÇÃO Visa assegurar a eficiência na operação e manutenção do sistema,

continuidade do processamento e treinamento e desenvolvimento de pessoal.

Ao avaliar um sistema aplicativo, o auditor deve conhecer previamente os

padrões de desenvolvimento e manutenção de sistemas estabelecidos para a

entidade.

7. AUDITORIA EM MICROINFORMÁTICAOs controles internos da área de Microinformática de maneira geram refletem os

controles gerados a partir da área de Informática (Gerais, Ambiente, Sistemas Aplicativos e

Metodológicos), mas encontraram ambientes propícios e algumas especificidades da área,



[email protected]

29



como a eliminação da divisão entre Produção e Usuário, já que a microinformática quem usa,

produz.

Controles Gerais de Informática são normalmente identificados como atuantes sobre

todo o espectro da área, mas comumente deixam a desejar por tratar apenas de grande porte.

Atuam ou deveriam atuar sobre os sistemas aplicativos gerados tanto no grande porte quanto

nos micros das Organizações. Assim alertamos para o entendimento que Controles Gerais de

Informática devem atuar obrigatoriamente sobre Grande Porte e Microinformática.

7.1 ORGANIZAÇÃO E RESPONSABILIDADES

A responsabilidade pelos controles e segurança de dados e aplicativos envolve a

administração da Organização, usuários, pessoal de suporte de microinformática e o pessoal

responsável pela gestão da microinformática.

7.2 PROCEDIMENTOS DE CONTROLE

Tendo em vista os riscos, o Auditor deve obedecer a padrões mínimos de controle

interno que assegurem:

Ausência de vírus;

Integridade dos dados armazenados;

Ausência de softwares não autorizados;

Compatibilidade de equipamentos, softwares e aplicativos;

A continuidade contigencial.

Tais padrões devem ter como fontes de controle:

Aspectos Legais;

Políticas de Gestão;

Controles Internos;



[email protected]

30



Trilhas de controle;

Documentação

CONTROLE DESCRIÇÃO

ASPECTOS LEGAIS A lei como fonte do Direito deve orientar os Auditores no

sentido de tornar-se também uma fonte de auditoria. Várias

leis preocupam-se com a matéria, como por exemplo:

* importação de equipamentos de microinformática;

* duplicação de softwares sem autorização (pirataria);

* aquisição de softwares no exterior;

* contaminação de produto legal por vírus;

* assistência técnica mal feita;

* softwares com documentação insuficiente;

perda de dados por sistemas mal desenvolvidos e outros.

POLÍTICAS DE GESTÃO A gestão da microinformática deve estar corretamente

definida nos manuais da organização de tal modo que sirva

como fonte de auditoria.

CONTROLES INTERNOS O Auditor deve obter padrões mínimos que assegurem:

ausência de vírus de qualquer tipo, inclusive os mutantes;

integridade doa dados armazenados; ausência de softwares

não autorizados; compatibilidade total de equipamentos,

softwares e aplicativos, etc.

TRILHAS DE CONTROLE O Auditor deve ter condições de seguir qualquer informação

de sua origem até suas saídas; e por obra reversa, de suas



[email protected]

31



saídas até sua fonte primária de entrada no sistema.

DOCUMENTAÇÃOA documentação em microinformática deve ser tratada de

forma cuidadosa, já que culturalmente nunca foi bem

entendida. O Auditor não deve permitir que se repita o erro

do grande porte que durante décadas não deu atenção à

documentação.

8. PREPARANDO A AUDITORIA INTERNA

Antes de iniciar o processo de auditoria interna tenha certeza de estar cobrindo os

seguintes pontos;

Tenha o comprometimento dos gerentes para suportar o processo de auditoria e comunique

o processo para todos os funcionários

Marque uma data para a auditoria

Determine o nível de funcionários que participarão diretamente no processo



[email protected]

32



Localize todos os computadores da sua empresa

Crie os formulários necessários. O mínimo que você vai necessitar;

o Comunicado interno sobre a auditoria e agenda das tarefas

o Relatório de Auditoria de Software

o Resumo da Auditoria de Software

Obs.: Segue em anexo um modelo de cada um dos formulários citados acima.

8.1 AUDITORIA INTERNA

Este processo de auditoria física envolve a verificação de todos os computadores e

servidores da sua organização para determinar quais programas de computador estão

instalados. Como explicado no segundo passo você pode economizar muito tempo e esforços

usando uma ou mais ferramentas de auditoria para ajudá-lo nesta tarefa.

8.1.1 Primeiro Passo:Faça um inventário físico dos computadores da empresa. Registre TODOS os computadores,

incluindo os servidores, laptops, notebooks e qualquer computador que não esteja em uso.

Lembre-se de todos os lugares da empresa, como outras unidades, fábricas e filiais. Você

deverá obter informações como número de série, modelo, local de uso e usuários regulares.

Obs.: Caso os funcionários possuam programas pertencentes a empresa instalados em seus

computadores domésticos, estes também deverão ser considerados.

8.1.2 Segundo Passo:Faça um inventário de todos os software instalados em todos os computadores identificados no

inventário físico, incluindo os que não estão em uso. Existem várias ferramentas disponíveis



[email protected]

33



que podem ajuda-lo nesse processo. As ferramentas SoftScan e PC Analizer permitem que

você pesquise confidencialmente os discos rígidos dos computadores e identifique todos os

software instalados.

Além destas ferramentas estamos enviando em anexo modelos de relatórios para fazer o

levantamento e o resumo dos dados coletados.

Independentemente da maneira pela qual a auditoria é executada, certifique-se de coletar,

para CADA CÓPIA do software instalado em cada computador, as seguintes informações;

Nome do Produto

Versão (Ex.: Office 97 , Lótus 123)

Número de Série

Dependendo do tamanho da empresa, a auditoria de software pode levar algum tempo. Antes

de iniciar, informe aos funcionários que nenhum software deve ser adicionado, eliminado ou

movido de suas máquinas durante a auditoria.

8.1.3 Terceiro Passo:Faça um inventário de toda a documentação de software existente, incluindo;

Notas fiscais de compra dos computadores com o software descrito na nota

Notas fiscais de compra de software/programas de computador

Contratos de Licença de Uso ou documento equivalente

Todos os manuais e documentação de referências originais

Todos os discos e CDs utilizados para a instalação de software nos computadores

8.1.4 Quarto Passo:Compare. Neste ponto, já deverá ser possível ter um diagrama completo dos programas

instalados e de sua documentação, demonstrando quais são os software legítimos da empresa.



[email protected]

34



Compare estes dois inventários cuidadosamente, cruze as informações do inventário de

software instalados com a documentação existente. Ao fazer isso considere a ocorrência de

múltiplos usuários de um único produto e se a licença permite este uso, por exemplo; um

programa que é usado em rede e compartilhado por vários usuários, a licença do programa

deverá estabelecer a permissão do uso simultâneo, do contrário cada usuário que estiver

acessando este programa deverá possuir uma licença de uso.

Em caso de dúvidas sobre suas licenças durante este processo, entre em contato com o

fabricante do produto em questão ou acesse o seu site na web para obter assistência.

Alguns aspectos que devem ser considerados:

Atualizações: Para todas as atualizações de software serem consideradas legítimas, é

necessário que haja uma licença para a versão que está sendo atualizada, por exemplo;

um produto chamado de “Versão Upgrade” só é válido se a empresa possuir a versão

anterior completa, pois estes produtos versões de atualização são mais baratos, devido

o fabricante do software considerar que a empresa já pagou pela versão completa

anteriormente.

Certificados de Autenticidade: Um certificado de autenticidade não é uma licença,

procure, portanto o contrato de licença de uso original.

Discos ou CDs originais: A posse de um disco ou CD original não implica a

existência da licença de uso deste programa, portanto o disco e ou CD não provam a

legalidade do mesmo. A prova da legalidade é feita através da Licença de Uso e/ou

nota fiscal do produto.

8.1.5 LegalizaçãoAgora que você sabe quais programas são legítimos e quais são ilegais, é possível proteger a

empresa dos riscos jurídicos e financeiros.



[email protected]

35



Em primeiro lugar determinem quais são os programas necessários para atingir suas

necessidades, com isso você saberá quantos programas deverão ser legalizados e quantos

deverão ser desinstalados.

No caso dos programas a serem legalizados recomendamos que a sua empresa procure

um revendedor autorizado do produto, onde o mesmo poderá fornecer informações precisas

em relação as melhores e mais acessíveis formas de licenciar grandes quantidades e a formas

corretas de licenciamento dos programas.

8.1.6 Visita do ConsultorDepois de passar por todos os passos da Auditoria Interna e se necessário, ter legalizado

a quantidade de programas sem licenças, você poderá ligar novamente para o telefone 0800-

110039 e agendar a visita do consultor.

A visita do consultor consiste nos seguintes pontos:

Verificação da documentação legal fornecida (Licenças e notas-fiscais)

Verificação aleatória em alguns computadores da empresa (auditoria de software)

Receber cópia dos documentos apresentados e formulários da auditoria preenchidos

8.1.7 CertificaçãoA partir do momento do recebimento das cópias da documentação das licenças e notas fiscais,

os técnicos da Associação Brasileira de Software irão analisá-las. Após esta análise se não for

necessária qualquer outra verificação, o certificado será assinado pelo presidente da entidade e

enviado para a sua empresa pelo correio.

________________________________________________________________________



[email protected]

36



9. EXEMPLO DE RESUMO DE AUDITORIA DE SOFTWARE

Resumo de Auditoria de Software

Seção 1: Dados da Empresa & Outros

Nome da Empresa Data Preenchimento Nome e Cargo do



[email protected]

37



Responsável Total de PCs em Uso

Seção 2: Resumo dos Dados Coletados

Perfil dos Programas Documentação de Licenças de

Uso dos Produtos

Necessidade

Nome dos Produtos em

Uso e FabricanteVersão

Número de

Instalações

Cartões de

Licenças

de Uso

Contratos

Especiais

Notas

Fiscais

Licenças a

serem

adquiridas

Seção 3: Instruções de Uso do Formulário

Versão

São todos os "modelos"de um mesmo produto, que se diferenciam

um dos outros de acordo com seu desenvolvimento. Ex.:

Windows95 e Windows98

Número de Instalações

Dentro daquele número total de PCs em uso apontado, é a

quantidade de máquinas nas quais estão instalados um

determinado produto/programa.

Cartões de Licenças de Uso

São os documentos impressos que acompanham as caixas dos

produtos adquiridos. Normalmente está em anexo ao guia de

instruções ou manual. No formulário, basta preencher com a

quantidade encontrada, ou que esteja em poder da empresa.



[email protected]

38



Contratos Especiais São programas de vendas especiais que possibilitam a aquisição

de licenças de uso de software em quantidade, sem ter que pagar o

custo unitário do produto completo, várias vezes. No formulário,

preencha com o número de licenças admitidas pelo contrato que

esteja em vigor para a sua empresa.

Notas Fiscais

No formulário, basta preencher com a quantidade correta de

produtos para os quais sua empresa possui esse registro de

aquisição. Todos descriminados, no documento fiscal de um

fornecedor legal.

Licenças a Serem Adquiridas

É a diferença entre a quantidade de programas instalados e o

número de licenças e ou notas fiscais que comprovam a legalidade

dos produtos instalados.

10. EXEMPLO DE RELATÓRIO DE AUDITORIA DE SOFTWARE

Este formulário é para ser usado em cada PC, workstation e servidor verificado durante o processo de

auditoria de software. Se for utilizada uma ferramenta de auditoria, ela vai obter melhor a necessidade

de informações; Se você não estiver usando uma ferramenta de auditoria, você terá que obter estas

informações através de uma pesquisa física no disco rígido dos equipamentos.

Relatório de Auditoria de Software



[email protected]

39



Seção 1: Localização da Auditoria & Dados do Contato:

1. Data: Horário:

2 Departamento/Negócio

Unidade/Departamento:

3 Localização da Instalação:

4 Nome do Contato:

5 Ramal do Funcionário:

6 Cargo:

7 Ferramenta de Auditoria

Usada:

Seção 2: PC, Workstation ou Servidor:

8

Nome do

Software &

Fabricante

9

Versão

10

Número de

Série

11

Nome do

Arquivo

12

Tamanho

do

Arquivo

13

Data da

Instalação



[email protected]

40



10.1 INSTRUÇÕES PARA O PREENCHIMENTO DO RELATÓRIO DE AUDITORIA DE SOFTWARE

(Seção 1) Localização da Auditoria & Dados do Contato:

1. Entre com a data e horário específico que cada computador (PC), workstation e servidor foi

vistoriado para a captura dos dados.

2. Entre o nome específico do departamento, unidade de negócio ou divisão da empresa onde o a

auditoria de software está sendo realizada. Ex: Contabilidade, recursos humanos.



[email protected]

41



3. Entre com a localização da área: Ex: Quinto andar do prédio principal da empresa

4. Entre com o nome do contato. Deve ser a pessoa responsável pela utilização do computador no uso

diário.

5. Entre com o número de telefone e ramal da pessoa de contato.

6. Entre com o cargo da pessoa de contato

7. Se você está utilizando uma ferramenta de auditoria para capturar os dados, entre com o nome da

ferramenta.

(Seção 2) Computador (PC), Workstation ou Servidor:

8. Entre com o nome do produto e o nome do fabricante (Ex: Microsoft Word).

9. Entre com o número da versão do produto (Ex: 97).

10. Entre com o número de série do produto.

11. Entre com o nome do arquivo executável do produto (Ex: WINWORD.EXE).

12. Entre com o tamanho do arquivo executável (Ex.: 5.2 MB).

13. Entre com a data de instalação do produto, se você souber.

10.2. EXEMPLO DE COMUNICADO INTERNO

Data:

Para: Todos os funcionários

De: Departamento de Informática



[email protected]

42



Assunto: Auditoria de Software

Durante o mês de ___________, o departamento de Informática irá conduzir nossa auditoria

anual de software utilizado pela nossa empresa. Seu departamento está agendado para ser

visitado em ____(dia)__________, _____(data)__________. A proposta da auditoria é

determinar quais são os programas de computador em uso em cada máquina e se existe licença

de uso ou documento equivalente que comprove a legalidade de cada programa.

Para que o processo de auditoria não interrompa o seu trabalho, nós vamos realizar esta tarefa

o mais rápido possível.

O resultado da auditoria será um melhor gerenciamento e controle do inventário de nossos

programas de computador. Isso irá nós ajudar a ter um melhor planejamento nas compras

futuras de software e a aquisição de software com custos mais acessíveis, sobrando assim mais

investimentos para outros recursos.

Sua cooperação será muito apreciada.



[email protected]

43



A presente pesquisa consubstancia-se na ação de pesquisa e ... 02 - Auditoria em... · Web...

Documents

Transcript of A presente pesquisa consubstancia-se na ação de pesquisa e ... 02 - Auditoria em... · Web...