Professional Documents
Culture Documents
657.6:681.3
B823m
HOMERO SANTOS
APRESENTAO
Homero Santos
Presidente
SUMRIO
Pgina
LISTA DE QUADROS................................................................................................
12
LISTA DE SIGLAS.....................................................................................................
13
INTRODUO...........................................................................................................
14
16
17
18
18
19
20
20
21
22
22
24
24
25
25
25
26
26
27
27
27
28
29
29
7
4.1.1.Controles organizacionais....................................................................
4.1.2.Controles de projeto, desenvolvimento e modificao de
sistemas................................................................................................
4.1.3. Controles de segurana.......................................................................
4.2. Controles aplicativos......................................................................................
4.2.1. Controles da entrada de dados............................................................
4.2.2. Controles de processamento de dados................................................
4.2.3. Controles da sada de dados...............................................................
4.3. Avaliao extensiva dos controles de sistema...............................................
4.4. Avaliao moderada dos controles de sistema..............................................
4.5. Avaliao reduzida dos controles de sistema................................................
29
5. ESTUDO DE CASO.........................................................................................................
5.1. Situao hipottica.........................................................................................
5.2. Informaes bsicas sobre a rea auditada...................................................
5.3. Procedimentos de avaliao..........................................................................
5.4. Determinao do uso planejado para os dados.............................................
5.5. Levantamento dos elementos de conhecimento prvio sobre os dados e o
sistema............................................................................................................
5.6. Avaliao dos controles do sistema...............................................................
5.6.1. Avaliao extensiva..............................................................................
5.6.2. Avaliao moderada..............................................................................
5.7. Determinao da confiabilidade de dados.....................................................
5.8. Teste de dados...............................................................................................
5.8.1. Teste extensivo.....................................................................................
5.8.2. Teste reduzido......................................................................................
5.9. Concluso.......................................................................................................
35
35
35
35
35
30
31
31
31
32
32
33
34
34
36
36
37
37
37
37
37
39
39
41
43
43
43
44
45
46
47
48
48
48
49
8
50
50
65
50
51
51
52
53
53
53
53
53
54
54
54
55
55
55
57
57
58
60
60
60
61
62
63
63
63
64
64
65
9
66
67
67
67
67
67
2. CONTROLES DE APLICATIVOS..........................................................................
2.1. Controles da Entrada de Dados......................................................................
2.1.1. Documentos
ou
telas
de
entradas
de
dados ............................................
2.1.2. Rotinas de preparao dos dados (batch)................................................
2.1.3. Autorizao para entrada de dados..........................................................
2.1.4. Reteno de documentos de entrada (sistema batch).............................
2.1.5. Validao dos dados de entrada..............................................................
2.1.6. Tratamento de erros.................................................................................
2.1.7. Mecanismos de suporte para entrada de dados.......................................
2.2. Controles do Processamento de Dados....................................................
2.2.1. Integridade do processamento.................................................................
2.2.2. Validao do processamento....................................................................
2.2.3. Tratamento de erros do processamento...................................................
2.3. Controles da Sada de Dados.........................................................................
2.3.1. Reviso dos dados de sada.......................................................................
2.3.2. Distribuio dos dados de sada.................................................................
2.3.3. Segurana dos dados de sada...................................................................
68
68
68
3. DESENVOLVIMENTO DE SISTEMAS..................................................................
3.1. Fase 1: Planejamento.....................................................................................
3.2. Fase 2: Elaborao do plano de desenvolvimento e incio do projeto...........
3.3. Fase 3: Organizao do projeto.....................................................................
3.4. Fase 4: Elaborao do projeto do sistema.....................................................
3.5. Fase 5: Reviso e aprovao pelos dirigentes..............................................
3.6. Fase 6: Desenvolvimento e Implantao........................................................
3.6.1. Teste do sistema..................................................................................
3.6.2. Implementao.....................................................................................
3.6.3. Bibliotecas de controles.......................................................................
3.7. Fase 7: Reviso de ps-implementao........................................................
75
75
76
77
77
78
78
79
79
80
80
81
81
82
82
82
83
84
84
84
85
69
69
70
70
71
72
72
72
73
73
73
73
73
74
10
85
85
86
86
87
88
88
89
90
90
90
91
91
91
92
92
92
93
6. MICROCOMPUTADORES ....................................................................................
6.1. Controles do software em uso........................................................................
6.2. Controles de segurana.................................................................................
6.3. Controles sobre a operao...........................................................................
94
95
95
96
GLOSSRIO.............................................................................................................
97
BIBLIOGRAFIA..........................................................................................................
102
104
FOLHA DE SUGESTES..........................................................................................
105
11
LISTA DE QUADROS
PARTE 1 TECNOLOGIA DA INFORMAO E ATIVIDADE DE FISCALIZAO
- AVALIAO DA CONFIABILIDADE DE DADOS PROCESSADOS POR COMPUTADOR
Pgina
19
21
23
23
24
44
12
LISTA DE SIGLAS
13
INTRODUO
14
1.
16
17
3.
TCNICAS E PROCEDIMENTOS
CONFIABILIDADE DOS DADOS
DE
AVALIAO
LIMITADA
DA
18
TIPO DE USO
nica evidncia
Evidncia auxiliar
Informao geral
EXIGNCIA
DE AVALIAO
DOS DADOS PROCESSADOS
POR COMPUTADOR
SIM
NO
NO
Inexistentes
NO*
SIM
(*) A menos que haja razes para se acreditar que uma falta de rigor nos dados pode de alguma forma
distorcer os resultados do trabalho
19
20
AMPLITUDE
DA AVALIAO
DOS
CONTROLES
DO
SISTEMA
CONHECIMENTO
PRVIO SOBRE
O SISTEMA OU OS DADOS
As
informaes
so
insuficientes ou avaliaes
anteriores detectaram erros
significativos nos controles
do sistema ou nos prprios
dados.
CONHECIMENTO
PRVIO SOBRE
USO
PLANEJADO
PARA
OS
RISCO DE CONFIABILIDADE
22
O SISTEMA OU OS DADOS
DADOS
As
informaes
so
insuficientes ou avaliaes
anteriores detectaram erros
significativos nos controles
do sistema ou nos prprios
dados.
nica
evidncia
possveis achados
A confiabilidade do sistema
ou dos dados j foi avaliada
e considerada adequada em
trabalhos anteriores.
nica
evidncia
para Moderado
possveis achados
Evidncia auxiliar
Baixo
Informaes gerais (histrico, Muito baixo
descrio etc.)
para Alto
Evidncia auxiliar
Moderado
Informaes gerais (histrico, Baixo
descrio etc.)
RISCO
DE
CONFIABILIDADE
INICIALMENTE CALCULADO
Alto
Moderado
Baixo
Muito baixo
Fracos/Indeterminados
Adequados
Slidos
Fracos/Indeterminados
Adequados
Slidos
Fracos/Indeterminados
Adequados
Slidos
normalmente no necessria e de
alto custo-benefcio
RISCO DE CONFIABILIDADE
AJUSTADO
Alto
Alto a moderado
Moderado a baixo
Moderado
Moderado a baixo
Baixo
Baixo
Baixo a muito baixo
Muito baixo
Muito baixo
23
RISCO DE CONFIABILIDADE
Alto
Extensivo
Moderado
Moderado
Baixo
Reduzido
3.6. Teste de dados
25
computador;
o grau de importncia desses dados para os objetivos de auditoria, e as fontes
adicionais que podem confirm-los;
as informaes coletadas sobre os dados, o sistema que os processa e seus
controles.
3.7.2. Informaes que devem constar do relatrio
Quando os dados processados por computador so usados apenas para
elaborao de histrico, descrio, ou informao geral sobre o rgo, e no tm influncia
sobre os resultados de auditoria, geralmente ser suficiente a citao da fonte dos dados no
relatrio. Para os dados processados por computador que sejam cruciais para os objetivos de
auditoria, o relatrio deve assegurar aos leitores que a informao em que se baseia
confivel. Especificamente, devem ser informados:
28
4.
ROTEIRO PARA AVALIAO DOS CONTROLES DE SISTEMA
29
30
pela
segurana
dos
computadores
formalmente
estabelecidas;
controle, para garantir que nenhum dado foi extraviado ou adicionado durante
o processo; e
32
sistemas:
os mtodos de superviso e acompanhamento da administrao e do
desempenho dos sistemas; e
aes corretivas em relao s recomendaes da auditoria interna e
reclamaes dos usurios.
Organizao das funes dos sistemas, incluindo a atribuio formal das
responsabilidades e segregao de funes, no sentido de garantir que
funes crticas e responsabilidades de autorizar, processar, registrar e revisar
transaes sejam atribudas a diferentes indivduos.
33
34
ESTUDO DE CASO
5.
pertinente;
as dedues sobre os salrios esto corretas, e foram transferidas para as
contas apropriadas;
existem controles suficientes para garantir que no haja desvio de valores
destinados ao pagamento da folha.
5.2. Informaes bsicas sobre a rea auditada
A Empresa X tem 500 funcionrios, cuja folha de pagamento preparada pelo
Setor de Pagamento do seu Departamento de Pessoal. O Setor de Pagamento usa um
sistema informatizado denominado Folha de Pagamento para o clculo dos salrios e
dedues. Esse sistema foi desenvolvido pelo Centro de Processamento de Dados (CPD)
da Empresa, e administrado pelo Setor de Pagamento, que tambm responsvel por
solicitar ao CPD quaisquer alteraes necessrias no sistema.
5.3. Procedimentos de avaliao
Uma vez que os dados que iro fundamentar o trabalho de auditoria devero ser
extrados do sistema informatizado Folha de Pagamento, antes de iniciar a auditoria
propriamente dita, a equipe de auditoria dever proceder avaliao da confiabilidade
desses dados.
O objetivo dessa avaliao determinar se as declaraes contidas no sistema
correspondem efetivamente situao real auditada, respondendo pergunta: os dados
provenientes do sistema 'Folha de Pagamento', que sero utilizados como evidncia para
os objetivos de auditoria, so confiveis - completos e exatos?
Aplicando-se os procedimentos indicados no captulo 3 deste mdulo, a
confiabilidade dos dados ser avaliada com o propsito de obter-se uma segurana
razovel de que os dados do sistema Folha de Pagamento no contm erros capazes de
comprometer a credibilidade das anlises e concluses da equipe de auditoria.
5.4.
ESTUDO DE CASO
O TCU utilizou esta mesma base de dados como suporte para achados de
auditoria em outros trabalhos recentes? Se a resposta for sim, qual foi a
avaliao da confiabilidade desses dados naquela ocasio?
5.6.
Avaliao extensiva
36
ESTUDO DE CASO
Teste de dados
Teste extensivo
ESTUDO DE CASO
38
ESTUDO DE CASO
39
1 CONTROLES GERAIS
controles
organizacionais:
polticas,
procedimentos
e
estrutura
organizacional estabelecidos para organizar as responsabilidades de todos os
envolvidos nas atividades relacionadas rea da informtica;
programa geral de segurana: oferece a estrutura para: (1) gerncia do
risco, (2) desenvolvimento de polticas de segurana, (3) atribuio das
responsabilidades de segurana, e (3) superviso da adequao dos controles
gerais da entidade;
continuidade do servio: controles que garantem que, na ocorrncia de
eventos inesperados, as operaes crticas no sejam interrompidas, ou sejam
imediatamente retomadas, e os dados crticos sejam protegidos.
controles de software de sistema: limitam e supervisionam o acesso aos
programas e arquivos crticos para o sistema, que controlam o hardware do
sistema computacional e protegem as aplicaes presentes;
controles de acesso: limitam ou detectam o acesso a recursos
computacionais (dados, programas, equipamentos e instalaes), protegendo
esses recursos contra modificao no autorizada, perda e divulgao de
informaes confidenciais;
controles de desenvolvimento e alterao de softwares aplicativos:
previnem a implementao ou modificao no autorizada de programas.
Para cada uma dessas seis categorias, este manual identifica os elementos
crticos que iro determinar a qualidade dos controles auditados e apresenta as tcnicas e
procedimentos de auditoria recomendveis para a avaliao desses controles.
De modo a facilitar a utilizao dessas informaes em auditorias, o manual
contm um roteiro que rene todas as tcnicas e procedimentos distribudos nos diversos
41
itens. O roteiro apresentado deve servir apenas como referncia para a equipe de auditoria,
que dever determinar, em cada caso, quais as tcnicas e procedimentos a serem aplicados
e a extenso dos testes a serem realizados, levando em conta o mbito da auditoria e a
complexidade da organizao auditada.
Alm do roteiro apresentado a seguir a equipe de auditoria deve utilizar os
Procedimentos de Auditoria de Sistemas (PA-02) para planejar e executar um trabalho mais
completo e com maior nvel de detalhe.
42
Gerente de T.I.
(ou de Processamento de Dados)
43
CONTROLES GERAIS
Gerente de Operaes
Supervisor de
Controle de
Dados
Lderes de
Turno
Gerente de Sistemas
Gerente de Suporte
Tcnico
Especialista
Tcnico
Administrador
de Banco de
Dados
Operadores
Lderes de
Projetos
Analistas/
Programadores
Os funcionrios do DTI:
44
CONTROLES GERAIS
45
CONTROLES GERAIS
do
DTI
so
adequadamente
CONTROLES GERAIS
Recursos computacionais
econmica
gerenciados
de
forma
eficiente
47
CONTROLES GERAIS
48
CONTROLES GERAIS
deve ser reavaliado toda vez que houver mudana na operao da organizao, ou em
influncias externas que afetem essa operao.
1.2.3. Estrutura de segurana
As organizaes de grande porte que possuam uma estrutura completa de
administrao da segurana apresentaro os seguintes cargos, que podem assumir
diferentes denominaes em cada caso:
Superintendente de segurana: administrador snior que tem a
responsabilidade final pela segurana da organizao. Ele o elo de ligao
com os outros rgos e entidades da Administrao e presta contas por todas
as questes de segurana dentro da organizao.
Diretor de segurana: gerente snior, com autoridade delegada pelo
Superintendente de Segurana, com a responsabilidade de administrar as
questes rotineiras de segurana dentro da organizao.
Gerente de segurana computacional: gerente snior, com autoridade
delegada pelo Superintendente de Segurana, que presta contas ao Diretor de
Segurana, tendo a responsabilidade de administrar a rotina da administrao
da segurana das questes de informtica e tecnologia de toda a organizao.
Equipe de segurana: grupo de indivduos provenientes de diversos setores
da organizao, designados para realizar o exame da segurana e efetuar
recomendaes para a correo das vulnerabilidades detectadas. A equipe de
segurana deve preferivelmente ser chefiada por um membro influente do
grupo de usurios, de forma a que suas recomendaes possam ser mais
facilmente aceitas pelos dirigentes e usurios, do que se partissem de
"especialistas tcnicos".
Os elementos crticos que definem a qualidade dos controles do programa de
segurana so:
atribuio
clara
de
49
CONTROLES GERAIS
50
CONTROLES GERAIS
CONTROLES GERAIS
CONTROLES GERAIS
CONTROLES GERAIS
foi aprovado pelos grupos mais afetados, incluindo a alta administrao, DTI e
gerentes proprietrios dos sistemas;
atribui as responsabilidades de recuperao de forma clara;
54
CONTROLES GERAIS
1.3.3.3.
CONTROLES GERAIS
56
CONTROLES GERAIS
acesso;
Implantao de controles lgicos e fsicos para prevenir ou detectar acesso
no autorizado;
Superviso do acesso, investigao de indcios de violao da segurana e
adoo das medidas corretivas apropriadas.
A seguir apresentado um roteiro contendo os elementos crticos do Controle de
Acesso.
1.4.1. Classificao dos recursos de informao de acordo com sua
importncia e vulnerabilidade
Existem polticas e procedimentos documentados para a classificao dos
recursos de informao pelos critrios de importncia e vulnerabilidade dos dados.
Os proprietrios dos recursos esto cientes dos critrios de classificao
estabelecidos e efetuaram a classificao dos principais recursos sob sua responsabilidade.
A classificao dos recursos foi baseada em avaliaes de risco, documentada e
aprovada pela alta administrao e periodicamente revisada.
1.4.2. Manuteno de lista atualizada de usurios autorizados e nveis de
acesso
As autorizaes de acesso so:
documentadas em formulrios padronizados e mantidas
organizado;
aprovadas pelo proprietrio do recurso computacional;
em
arquivo
CONTROLES GERAIS
CONTROLES GERAIS
59
CONTROLES GERAIS
CONTROLES GERAIS
61
CONTROLES GERAIS
utilitrios de sistema;
sistemas de bibliotecas de programas;
software de manuteno de arquivos;
software de segurana;
sistemas de comunicao de dados;
sistemas de gerncia de base de dados (SGBD).
62
CONTROLES GERAIS
Caminhos de acesso
63
CONTROLES GERAIS
reviso dos resultados dos testes e das opinies documentadas, pelo gerente
de T.I.;
autorizao do gerente de T.I. para colocar a nova verso do software de
sistema em uso.
Existem procedimentos para controlar alteraes de emergncia, incluindo a
forma de autorizao e documentao das alteraes de emergncia, relatrio do fato
gerncia e reviso da alterao por um responsvel pelo controle dessas alteraes.
1.5.3.1. Instalao do software de sistema
A instalao programada de forma a minimizar o impacto no processamento de
dados, sendo comunicada com antecedncia para os usurios.
A migrao para o uso do novo software testado e aprovado feita por um grupo
independente, responsvel pelo controle da biblioteca.
Verses ultrapassadas do software do sistema so removidas das bibliotecas de
programas em uso.
A instalao de todo software de sistema documentada e registrada, para
estabelecer uma trilha de auditoria e permitir a superviso da gerncia de informtica.
O software de sistema conta com o suporte do fornecedor.
O software de sistema e sua documentao so mantidos atualizados. Entrevistar
a gerncia e os programadores de sistema a respeito da atualizao do software de sistema
e sua documentao, e examinar a documentao para constatar se as alteraes mais
recentes foram incorporadas.
64
CONTROLES GERAIS
CONTROLES GERAIS
1.6.2.1.
Alteraes de emergncia
66
CONTROLES GERAIS
realizadas,
pelos
gerentes
de
1.6.3.2.
67
2 CONTROLES DE APLICATIVOS
Controles de aplicativos so aqueles incorporados diretamente em programas
aplicativos, nas trs reas de operao (entrada, processamento e sada de dados), com o
objetivo de garantir um processamento confivel e acurado.
A avaliao dos controles de aplicativo deve sempre ser executada em conjunto
com a verificao dos controles gerais do sistema informatizado, bem como da legalidade
do processamento efetuado (isto , se o seu produto final est de acordo com as leis em
vigor e se est acarretando ou no desvio de recursos pblicos).
O presente mdulo tem por objetivo apresentar os controles que devem ser
verificados em trabalhos de fiscalizao que incluam a avaliao de um ou mais programas
aplicativos da organizao auditada.
2.1. Controles da Entrada de Dados
Os controles desta categoria so projetados para garantir que os dados so
convertidos para um formato padro e inseridos na aplicao de forma precisa, completa e
tempestiva.
Os controles de entrada de dados devem detectar transaes no autorizadas,
incompletas, duplicadas ou errneas, e assegurar que sejam controladas at serem
corrigidas.
2.1.1.
68
DESENVOLVIMENTO DE SISTEMAS
2.1.2.
DESENVOLVIMENTO DE SISTEMAS
DESENVOLVIMENTO DE SISTEMAS
Tratamento de erros
71
DESENVOLVIMENTO DE SISTEMAS
72
DESENVOLVIMENTO DE SISTEMAS
DESENVOLVIMENTO DE SISTEMAS
74
3. DESENVOLVIMENTO DE SISTEMAS
A auditoria do desenvolvimento de sistemas objetiva avaliar a adequao das
metodologias e procedimentos de projeto, desenvolvimento, implantao e reviso psimplantao dos sistemas produzidos dentro da organizao auditada. Essa avaliao pode
abranger apenas o ambiente de desenvolvimento da organizao ou prever tambm a
anlise do processo de desenvolvimento de um sistema especfico, ainda na fase de
planejamento, j em andamento ou aps sua concluso.
O desenvolvimento de um sistema de informao representa um investimento
que no pode ser assumido sem dados confiveis e precisos sobre o custo do projeto, seus
benefcios e os riscos envolvidos. Todos os projetos de desenvolvimento de sistemas
precisam ter sido avaliados em profundidade, devendo ser precedidos de anlises de
custo/benefcio, capacidade de satisfao dos usurios e de atendimento aos objetivos da
organizao, custos de desenvolvimento, medidas de desempenho, planos de
implementao, previso de recursos humanos etc. So necessrios, tambm, mecanismos
gerenciais que auxiliem a definio da prioridade dos projetos e permitam sua avaliao e
controle durante todo o processo de desenvolvimento.
O desenvolvimento de sistemas possui diversas fases de evoluo que podem
ser separadas da seguinte forma: Planejamento; Elaborao do plano de desenvolvimento e
incio do projeto; Organizao do projeto; Elaborao do projeto de sistema; Reviso e
aprovao pelos dirigentes; Desenvolvimento e Implantao; e Reviso de psimplementao.
A seguir apresentado um roteiro para auditoria em sistemas em
desenvolvimento, que ir permitir a avaliao do ambiente e do processo de
desenvolvimento de sistemas na organizao auditada.
3.1. Fase 1: Planejamento
A organizao:
identifica as necessidades de informao ainda no atendidas e estabelece
um plano de ao para o desenvolvimento dos sistemas de maior prioridade;
estabelece e documenta as metodologias de desenvolvimento a serem
adotadas;
define e documenta as responsabilidades de todas as pessoas envolvidas no
desenvolvimento de sistemas.
A organizao possui uma estratgia de desenvolvimento de sistemas de
informao e elaborou um plano operacional consistente com essa estratgia,
estabelecendo a prioridade dos sistemas a serem desenvolvidos de acordo com sua
importncia para o cumprimento da misso institucional.
Foi estabelecida uma metodologia de desenvolvimento de sistemas que:
fornece uma abordagem estruturada de desenvolvimento, compatvel com os
conceitos e prticas geralmente aceitos;
75
DESENVOLVIMENTO DE SISTEMAS
sistemas;
prev o uso de tcnicas atuais, tais como tecnologia de banco de dados, redes
de comunicao de dados, ferramentas CASE, linguagens de quarta gerao,
prototipao etc.;
suficientemente documentada, sendo capaz de oferecer orientao a
funcionrios com diversos nveis de conhecimento e experincia;
oferece meios de controlar mudanas nos requisitos de projeto que ocorram
durante a vida do sistema;
inclui requisitos de programao, documentao, padres para usurios,
programadores, desenvolvedores de sistemas e operadores do centro de
processamento de dados;
estabelece mecanismos de reavaliao, acompanhamento e controle em todas
as fases do processo, pela equipe e as gerncias envolvidas, permitindo
redirecionar os trabalhos ou abandonar o projeto, quando se concluir que o
novo sistema no ir atender s necessidades da organizao.
76
DESENVOLVIMENTO DE SISTEMAS
DESENVOLVIMENTO DE SISTEMAS
Os projetos fsico e lgico esto dentro dos padres adotados pela organizao
no que diz respeito a hardware, software, sistema operacional e linguagem de
programao.
Os relatrios de viabilidade tcnica, anlise de riscos e custo/benefcio so
consistentes e confiveis.
3.5. Fase 5: Reviso e aprovao pelos dirigentes
Os departamentos envolvidos revisam todos os documentos produzidos para
determinar se o projeto adequado para atender s necessidades organizacionais e de
usurios; confirmam a exeqibilidade do projeto dos pontos de vista tecnolgico e
oramentrio; analisam o risco de atrasos ou extrapolao do oramento e aprovam o
ingresso na fase de desenvolvimento.
A equipe de projeto submeteu aos superiores um relatrio (ou documento similar)
para reviso e aprovao do projeto.
O gerente de TI analisou os documentos produzidos nas fases anteriores e
concordou com o seu contedo.
A rea usuria aprovou o relatrio da equipe do projeto, autorizando-a a seguir
para a fase de desenvolvimento e implantao do sistema
3.6. Fase 6: Desenvolvimento e Implantao
A equipe desenvolve (isto , codifica, integra e testa) o sistema e avalia sua
qualidade.
Os usurios testam o sistema e aprovam ou no sua implantao (etapa tambm
conhecida como homologao).
O sistema aprovado implantado, de acordo com planos detalhados de testes,
transio, implantao e operao.
78
DESENVOLVIMENTO DE SISTEMAS
Teste do sistema
Bibliotecas de controle
DESENVOLVIMENTO DE SISTEMAS
80
4. BANCO DE DADOS
Tradicionalmente, o termo banco de dados foi usado para descrever um arquivo
contendo dados acessveis por um ou mais programas ou usurios. Os arquivos de dados
eram designados para aplicaes especficas e o programa era projetado para acess-los
de uma forma predeterminada. Essa abordagem, no entanto, oferecia muitas dificuldades,
caso os dados ou o programa tivessem que ser modificados.
Uma alternativa mais moderna o acesso do banco dados por meio de um
sistema gerenciador de banco de dados (SGBD ou DBMS, do ingls Database Management
System).
Os SGBD surgiram para resolver problemas relativos a dados duplicados e
deficincias na integridade e segurana dos dados. Antes deles, medida que um aplicativo
era desenvolvido, os dados necessrios eram produzidos quase sempre em um formato
especfico para aquele programa. Se, por exemplo, um sistema de pessoal era criado,
seguido por um sistema de folha de pagamento, era normal que os dois sistemas tivessem
cpias separadas de elementos de dados comuns. Dessa forma, os dados eram duplicados
e sua integridade ameaada, j que as cpias de dados rapidamente perdiam o
sincronismo.
O papel do SGBD manter e organizar os dados e torn-los disponveis para
programas aplicativos, quando requisitados. O gerenciador de banco de dados um
software complexo, que se responsabiliza tambm pela segurana e integridade dos dados,
eliminando diversas tarefas de administrao que antes precisavam ser executadas pelos
aplicativos.
Os sistemas gerenciadores de banco de dados tornaram-se um requisito
essencial na maioria dos ambientes de tecnologia da informao. Apesar do alto custo de
sua instalao, suas vantagens costumam compens-lo.
As principais funes desempenhadas pelo SGBD so:
manter os arquivos que constituem o banco de dados;
BANCO DE DADOS
BANCO DE DADOS
dados duplicados em cada localidade, com uma cpia de todos os dados ou apenas dos
dados locais. Isso oferece independncia a cada localidade com relao disponibilidade
dos dados, caso seja interrompido o acesso ao sistema central, mas acarreta problemas de
manuteno, integridade e duplicao dos dados.
A melhor soluo, nesses casos, o uso de um SGBD que permita um banco de
dados distribudo. Cada localidade participante executa uma cpia do SGBD, que coopera
com as demais por meio da rede e, para todos os efeitos, forma um sistema nico.
Os dados que so compartilhados por meio da rede pelas diversas localidades
tambm so tratados pelo SGBD como um banco de dados nico e completo. Os dados so
distribudos pela a rede de acordo com as solicitaes de cada localidade, aumentando a
velocidade do acesso.
Por exemplo, um vendedor poderia solicitar informaes sobre todos os pedidos
dos clientes da companhia em que trabalha. O SGBD responderia juntando todos os
pedaos da informao espalhados pela rede e formando o conjunto de dados solicitado.
Os dados podem ser distribudos de forma horizontal (por registros) ou vertical,
(por campos dentro de uma tabela), de acordo com a necessidade especfica. A distribuio
do banco de dados evita a dependncia de uma s mquina e a necessidade da duplicao
de dados.
Os banco de dados distribudos so projetados para manter todas as vantagens
oferecidas pelos SGBD e funcionam, do ponto de vista do usurio, da mesma forma que um
banco de dados centralizado.
4.5. Administrao de banco de dados
O tamanho e a complexidade das bases de dados exigem que as organizaes
possuam um pessoal especificamente designado para cuidar de todos os aspectos da
administrao do banco de dados (coletivamente chamados de administrador de banco de
dados). As tarefas do administrador de banco de dados incluem a manuteno de estruturas
e sub-estruturas de dados, do software de SGBD e programas relacionados, documentao
do banco de dados, verificao da compatibilidade de novos sistemas com o banco de
dados, procedimentos de cpias de segurana, registros histricos e recuperao de falhas
do banco de dados etc. O administrador de banco de dados responsvel, tambm, pela
manuteno de controles sobre os dados, podendo combinar responsabilidades que
abranjam procedimentos e controles, que em sistemas convencionais seriam normalmente
efetuados por pessoas diferentes. Quando esses procedimentos e controles estiverem
muito concentrados no administrador de banco de dados, importante, para preservar a
adequada segregao de funes, que esse administrador seja impedido de obter acesso
no supervisionado s instalaes computacionais e aos sistemas em operao, bem como
de iniciar transaes.
BANCO DE DADOS
84
BANCO DE DADOS
4.7.2.
85
BANCO DE DADOS
86
5. REDES DE COMPUTADORES
Atualmente, bastante comum que os usurios de um sistema estejam em um
local diferente de onde se encontram os recursos computacionais da organizao. Isso
torna necessrio o uso de mecanismos de transporte de informaes entre diferentes
computadores e entre computadores e seus perifricos.
As redes de comunicao de computadores permitem s pessoas o acesso
instantneo a dados e a usurios em diferentes escritrios ou localidades da organizao.
Em resumo, as redes oferecem as seguintes facilidades:
acesso compartilhado a dados, aplicaes, impressoras e outros dispositivos;
correio eletrnico;
acesso a usurios e dispositivos remotos;
reduo do custo de software, por meio de licenas de multi-usurio;
acesso e execuo de processamentos em sistemas remotos.
REDES DE COMPUTADORES
ininteligveis para aqueles que no possuem a chave secreta necessria para decifr-los,
mantendo assim o contedo do arquivo ou mensagem confidencial. Servem tambm para
fornecer uma assinatura eletrnica, a qual pode indicar se alguma alterao foi feita no
arquivo, garantindo sua integridade e identificando o autor da mensagem.
Alm dos riscos associados facilidade de acesso a dados e programas, a
auditoria das redes de comunicao de computadores deve contemplar os riscos relativos
operao incorreta do sistema, perda de informaes no protegidas por cpias de
segurana e outras situaes que podem causar dano ou prejuzo organizao em funo
do ambiente de rede.
A auditoria de redes de comunicao deve abranger os seguintes elementos
crticos:
Gerncia de rede
88
REDES DE COMPUTADORES
localidades;
testes de aceitao a serem executados pelo DTI (Departamento de
Tecnologia da Informao), pelo controle de qualidade e por usurios
selecionados.
Os procedimentos de controle do processamento em rede so testados e
avaliados periodicamente.
Existem procedimentos documentados que definem as atividades permitidas no
ambiente de rede.
Os procedimentos de operao da rede foram distribudos aos usurios de cada
departamento.
Foi estabelecido um mecanismo para garantir a compatibilidade de arquivos
entre as aplicaes, medida que a rede cresce em tamanho e complexidade.
Foi estabelecida uma poltica de auditoria e de backup para a rede.
Existem procedimentos documentados e responsabilidades atribudas para as
atividades de inicializao (start-up), superviso e uso da rede, e recuperao de defeitos
de funcionamento do hardware.
O Departamento de Tecnologia da Informao possui polticas, procedimentos e
padres documentados, atualizados e divulgados para o pessoal responsvel, cobrindo as
seguintes reas:
descrio resumida de cada aplicativo rodando na rede;
5.1.2.
definies
de
dados
5.1.2.1.
REDES DE COMPUTADORES
Existem controles para garantir que a integridade dos dados seja mantida durante
a transferncia de dados na rede, tais como:
procedimentos de autenticao de mensagens;
Segurana da rede
do sistema operacional;
dos aplicativos relevantes;
dos dados considerados confidenciais.
Existe segregao de funes adequada entre gerncia de rede e gerncia de
segurana.
5.1.3.1.
Controle do acesso
REDES DE COMPUTADORES
5.1.3.2.
roteamento incorreto;
alterao no autorizada de mensagens;
divulgao no autorizada de informaes.
Os dispositivos de conexo da rede possuem controles de segurana, incluindo
pacotes de software e dispositivos de criptografia.
Existem controles de acesso e de implementao sobre as seguintes funes de
comunicao:
mudana do ambiente de rede;
acesso discado;
registro histrico de atividade da rede;
criptografia de dados.
5.1.4.
Segurana fsica
Plano de contingncia
91
REDES DE COMPUTADORES
5.1.6.
Operao da rede
tempo de resposta;
requerimentos de backup;
requerimentos de controle e segurana.
Software de rede
REDES DE COMPUTADORES
5.1.7.1.
Controle de alteraes
93
6. MICROCOMPUTADORES
Normalmente so chamados de microcomputadores os computadores de mesa
que compreendem um processador, discos rgido e flexvel, monitor e teclado. Os
microcomputadores podem ser utilizados isoladamente ou estar conectados a uma rede,
com o propsito de compartilhar dados ou perifricos.
Os microcomputadores oferecem s organizaes diversas vantagens quanto ao
aumento de eficincia e flexibilidade. Entretanto, em razo da necessidade de mecanismos
de segurana prprios, que diferem daqueles tipicamente instalados num centro de
processamento de dados, a organizao tambm pode ficar exposta a riscos substanciais.
Exemplos dos riscos especficos associados aos microcomputadores:
familiaridade - por causa da aparente simplicidade e facilidade de uso, existe o
risco de que o uso inadequado seja subestimado por usurios e pela gerncia;
custo - ainda que os microcomputadores em si possam ser considerados de
baixo custo, importante levar em conta o custo dos softwares, perifricos e
manuteno, que pode elevar significativamente o custo de uma mquina;
localizao - microcomputadores normalmente esto localizados em escritrios
comuns, com pouca proteo contra furto, acesso no autorizado ou dano
acidental;
softwares proprietrios - apesar de ser mais barato adquirir programas do que
desenvolv-los internamente, os softwares oferecidos pelo mercado muitas
vezes no apresentam mecanismos de segurana adequados;
conexo com outros computadores - quando os microcomputadores so
usados como terminais de mainframes ou inseridos em uma rede de
comunicao de computadores, o seu uso no autorizado pode levar ao
acesso indevido a dados e programas de toda a organizao.
Para que possa proteger-se contra esses riscos, a organizao precisa adotar
polticas e procedimentos especficos quanto ao uso de microcomputadores pelos seus
funcionrios, compreendendo padres de hardware, software, aquisio, treinamento e
suporte, alm dos controles gerais e de aplicativos.
Os microcomputadores precisam de controles especficos destinados a proteglos da perda de dados e programas por furto ou acidente (a ser evitada por restries
fsicas de acesso s mquinas, controles de software, tais como senhas de acesso e
realizao peridica de cpias de segurana), e do furto de equipamentos (por meio de
mecanismos adequados de segurana no local de trabalho).
Os elementos crticos para a auditoria dos microcomputadores so:
94
MICROCOMPUTADORES
documentao;
controles de entrada, sada e processamento;
backup e recuperao de dados e programas;
autorizao para o uso de software, hardware e dados.
MICROCOMPUTADORES
peridicas
preventivas
em
todos
os
96
GLOSSRIO
Aplicativo ou aplicao: programa ou conjunto de programas de computador que efetua
uma ou mais tarefas aplicadas a um campo especfico. Dependendo do tipo de tarefa para o
qual foi projetado, o aplicativo pode manipular texto, nmeros, grficos ou a combinao de
todos estes elementos.
Arquivo: coleo organizada de informaes, preparada para ser usada com finalidade
especfica e identificada por um nome.
Banco ou base de dados: (1) coleo de dados organizados. (2) conjunto de todas as
informaes armazenadas em um sistema de computao.
Cdigos-fonte: (1) arquivo (texto) ou instrues originais a partir das quais um programa
criado; (2) representao textual de um programa ou procedimento.
Controle de acesso: recurso que permite bloquear acesso a dados, de pessoas no
autorizadas.
Controles de aplicativo: mtodos e procedimentos contidos no software do aplicativo cuja
funo garantir autoridade para originar dados, exatido dos dados de entrada,
integridade do processamento e distribuio dos dados de sada.
Controles gerais: controles aplicveis a todos os processamentos executados em um
ambiente informatizado, visando garantir que o ambiente computacional como um todo seja
eficiente, eficaz, seguro e confivel. Esto relacionados organizao, projeto,
desenvolvimento, modificao e segurana dos sistemas.
Dados: (1) representao formalizada de fatos, conceitos ou instrues, adequada para
comunicao, interpretao ou processamento; (2) qualquer representao, tais como
caracteres, smbolos etc., a qual pode ser associado um significado.
Dados de teste: conjunto de dados escolhidos especificamente para testar um sistema.
DBMS: v. Sistema gerenciador de banco de dados.
Departamento de Tecnologia da Informao (DTI): termo utilizado para substituir o antigo
CPD (Centro de Processamento de Dados), representando o departamento responsvel por
todos os servios ligados rea de informtica, tais como de redes de computadores,
centrais de telecomunicao, etc. Normalmente composto pelas seguintes categorias de
pessoal:
soluo de problemas e falhas do sistema. Essa diviso pode tambm ser responsvel pela
administrao de base de dados para aplicaes.
registro
original
que
dever
ser
convertido
para
linguagem
Elemento de dado: item especfico de informao que tem parmetros definidos (exemplo:
nmero de CGC).
Elementos-chave de controle: pontos de controle que, num sistema, desempenham uma
funo essencial para evitar ou detectar erros em fases decisivas dos procedimentos ou
operaes.
Entrada de dados: mtodo de introduzir dados em um computador para processamento,
normalmente via terminais ou micros.
Firewall: conjunto de componentes de hardware e software instalado entre redes com o
propsito de segurana. A implementao deste dispositivo pode prevenir ou reduzir
ataques ou invases s bases de dados corporativas. Pode-se instalar firewalls entre as
sub-redes de uma rede interna ou firewalls externos para proteger a rede corporativa de
ataques vindos do exterior. O firewall composto por duas partes: choke e gate. Ambas
podem estar no mesmo computador ou em computadores diferentes. Na configurao do
firewall aconselhvel desabilitar os servios de rede no necessrios para a organizao.
Gateway: mquina ou conjunto de mquinas que fornecem servios entre duas redes. So
dispositivos usados na traduo entre protocolos de aplicao.
Gerenciador de banco de dados: v. Sistema gerenciador de banco de dados.
Hardware: - (1) componentes fsicos (equipamentos) de um sistema de processamento de
dados; (2) equipamento mecnico e eletrnico, combinado com software (programas,
instrues etc.) na implementao de um sistema de processamento de informaes
eletrnicas.
Integridade de dados: (1) qualidade de resistncia do dado a perdas ou a tentativas de
destruio ou alterao, acidental ou intencional; (2) qualidade dos dados mantidos em
computador de, em conjunto, representarem o universo completo dos dados originais em
que se baseiam.
98
99
100
101
BIBLIOGRAFIA
102
BIBLIOGRAFIA
103
ESTRATGIAS
Manual
Manual
Manual
Manual
Manual
de Auditoria
de Auditoria de Desempenho
de Auditoria de Sistemas
de Instruo de Tomada de Contas Especiais
de Instruo de Tomada e Prestao de Contas
PROCEDIMENTOS DE AUDITORIA
PA-01 Convnios
PA-02 Sistemas
PA-03 Licitaes
PA-04 - Contratos Administrativos
PA-05 Pessoal
PA-06 - Obras Pblicas
PA-07 - Imveis
PA-08 - Publicidade e Propaganda
PA-09 - Unidades Sediadas no Exterior
ROTEIROS DE AUDITORIA
LTIMA
ATUALIZAO
1998
LTIMA
ATUALIZAO
1996
1998
1998
1997
1997
LTIMA
ATUALIZAO
1998
1998
1995
1995
1997
1998
1998
1998
1998
LTIMA
ATUALIZAO
1997
1998
1998
LTIMA
ATUALIZAO
1998
LTIMA
ATUALIZAO
1997
1997
104
FOLHA DE SUGESTES
105
QUESTIONRIO DE AVALIAO
MANUAL DE AUDITORIA DE SISTEMAS
FINALIDADE
Este questionrio tem por objetivo obter a opinio dos leitores sobre o Manual de Auditoria de Sistemas, com
vistas ao seu aperfeioamento.
Por favor, responda s questes abaixo assinalando com um X a alternativa mais adequada. Desde j
agradecemos a sua colaborao.
1. Em que esfera do governo voc trabalha?
Federal
Estadual ou DF
Municipal
Poder Judicirio
Controle Interno
Poder Legislativo
Poder Executivo
Outro
________________
[especificar]
Todo
4. Leia com ateno cada indicador e escolha o ponto da escala que melhor descreve a sua opinio sobre o
Manual de Auditoria de Sistemas. Marque com um X a opo que melhor representa o seu julgamento.
Concorda integralmente Concorda
5
4
O manual :
Fcil de ser lido
Fcil de ser entendido
Lgico
Sucinto
Completo
til
Indiferente
3
Quando recebeu
Divulgao interna do TCU
Por mensagem do SIAFI
Pela Internet
Pela imprensa
Outros [especificar]_______________________
Outros [especificar]
_________________
106
QUADRO DE SUGESTES
MANUAL DE AUDITORIA DE SISTEMAS
FINALIDADE
N do item
Fundamentao
107
PTR/BSB
880/92
UP-AC/TCU
DR/BSB
CARTA - RESPOSTA
NO NECESSRIO SELAR
70099-999