BUSINESS SCHOOL – FAE/CDE
AUDITORIA EM AMBIENTE INFORMATIZADO
VOLUME II
ÍNDICEProfª VERA CALIL
Av. Sete de Setembro, 5388 – cj. 201 – Batel Curitiba – PR – CEP: 80.240-000
FONE: 0xx(41) 244-8507 / [email protected]
www.vlcalil.com.br
BUSINESS SCHOOL – FAE/CDE...........................................................................................1
AUDITORIA EM AMBIENTE INFORMATIZADO...........................................................1
1. AUDITORIA DE SEGURANÇA FÍSICA DAS INSTALAÇÕES DE PROCESSAMENTO DE DADOS...........................................................................................4
1.1 A EMPRESA.....................................................................................................................41.1.1 CARACTERÍSTICAS ORGANIZACIONAIS........................................................51.1.2 ESTRATÉGIA EMPRESARIAL..................................................................................61.1.3 POLÍTICAS.................................................................................................................7
1.2 CULTURA ORGANIZACIONAL...................................................................................71.2.1 ÓRGÃO RESPONSÁVEL PELAS ATIVIDADES DE SEGURANÇA.........................71.2.2 TREINAMENTO.........................................................................................................8
1.3 INSTALAÇÕES DO CPD................................................................................................91.3.1 LOCALIZAÇÃO..........................................................................................................9
2. AUDITORIA DE SISTEMAS EM PRODUÇÃO.............................................................11
2.1 POSICIONAMENTO DA AUDITORIA........................................................................112.2 NATUREZA E PROFUNDIDADE DOS CONTROLES...............................................122.3 ORGANIZAÇÃO E RESPONSABILIDADE................................................................14
3. PROCEDIMENTOS DE CONTROLE.............................................................................17
4. SISTEMAS PARA AUDITORIA.......................................................................................21
5. TÉCNICAS DE AUDITORIA EM SISTEMAS APLICATIVOS..................................22
VANTAGENS...............................................................................................................25
6. OBJETIVOS E TÉCNICAS DE CONTROLE.................................................................28
7. AUDITORIA EM MICROINFORMÁTICA....................................................................30
7.1 ORGANIZAÇÃO E RESPONSABILIDADES..............................................................307.2 PROCEDIMENTOS DE CONTROLE...........................................................................30
8. PREPARANDO A AUDITORIA INTERNA....................................................................33
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
2
8.1 AUDITORIA INTERNA..................................................................................................33
8.1.1 Primeiro Passo:........................................................................................................348.1.2 Segundo Passo:.........................................................................................................348.1.3 Terceiro Passo:.........................................................................................................358.1.4 Quarto Passo:...........................................................................................................358.1.5 Legalização...............................................................................................................368.1.6 Visita do Consultor...................................................................................................368.1.7 Certificação..............................................................................................................37
9. EXEMPLO DE RESUMO DE AUDITORIA DE SOFTWARE.....................................38
NOME DA EMPRESA......................................................................................................................38
Versão...................................................................................................................................39
10. EXEMPLO DE RELATÓRIO DE AUDITORIA DE SOFTWARE............................40
10.1 INSTRUÇÕES PARA O PREENCHIMENTO DO RELATÓRIO DE AUDITORIA DE SOFTWARE...................................................................................................................4210.2. EXEMPLO DE COMUNICADO INTERNO..............................................................43
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
3
1. AUDITORIA DE SEGURANÇA FÍSICA DAS INSTALAÇÕES DE PROCESSAMENTO DE DADOS.
A presente pesquisa consubstancia-se na ação de pesquisa e complicação de
informações, opiniões, diretrizes, textos legais e normativos de especialistas em informática e
auditoria, legisladores e técnicos, de renome em suas áreas de ação. Tem como objetivo
precípuo reunir em uma única fonte de consulta, de forma genérica e abrangente (não é
intenção esgotar o assunto) os requisitos necessários para que os auditores, especialmente os
da área de informática, possam desenvolver seus programas de trabalho e listas de testes, no
que se refere a “Segurança Física de Informática”.
1.1 A EMPRESA
O conhecimento pleno da empresa é de suma importância para o desenvolvimento de
qualquer trabalho de auditoria, principalmente quando o assunto envolve segurança
empresarial, haja vista a crença de que os valores absorvidos por tal atividade constituem
“gastos”, quando na verdade são investimentos que preservam a organização.
Segurança deve ser entendida como o conjunto de meios, processos e medidas que
visam, efetivamente, à proteção empresarial.
Na maioria das vezes, a organização investe milhões em sistemas voltados para a
“produtividade”, “qualidade do produto” e “eficiência”, quando um simples incêndio, uma
sabotagem, a falta de treinamento ou até o furto de segredos industriais podem aniquilar tudo
isso.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
4
É importante que coloquemos algumas questões, passíveis de reflexão quando da decisão
sobre a implantação de medidas de segurança:
Quanto tempo nossa empresa sobreviverá sem seu CPD?
Quem será afetado se ocorrer um desastre no CPD?
Qual a capacidade de recuperação da empresa, em quanto tem e a que custo?
As atividades são desenvolvidas de forma centralizada ou descentralizadas?
Qual é o percentual de descentralização?
1.1.1 CARACTERÍSTICAS ORGANIZACIONAIS
A empresa é um sistema aberto, composto por três subsistemas ou níveis
organizacionais, sendo que em cada nível, podemos identificar:
A hierarquia;
O poder de decisão;
Funções e responsabilidades;
Relacionamento com o ambiente interno e externo.
Os três níveis são:
Nível institucional (ou nível estratégico)
É o nível dos diretoresproprietários (ou acionistas), alto executivos. É responsável pela
definição dos objetivos empresariais e estratégicos da empresa.
É o nível que interage com o ambiente externo da organização.
Nível intermediário (nível mediador ou tático)
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
5
É o nível posicionado entre o nível institucional e o nível operacional. Cabe a ele
adequar as decisões tomadas a nível institucional com as ações que devem ser realizadas no
nível operacional.
Nível operacional
É geralmente composto pelas áreas encarregadas de programar e executar as tarefas e
operações básicas da empresa.
1.1.2 ESTRATÉGIA EMPRESARIAL
A estratégia empresarial constitui o conjunto de objetivos e políticas principais, capazes
de guiar e orientar o comportamento global da empresa em longo prazo, em relação ao seu
ambiente externo.
Independentemente do tamanho da empresa, da maneira como será organizada sua
segurança, ou do número de pessoas envolvidas com ela, a responsabilidade em termos de
estratégia e políticas envolvidas com ela, a responsabilidade em termos de estratégia e
políticas, ainda reside no nível institucional da organização.
A alta administração deverá, portanto evidenciar questões relacionadas aos riscos de
segurança, tais como:
Existe um Plano Diretor de Informática?
Que ativos constituem o maior potencial de risco?
Com que tipo de risco a gerência deveria estar mais preocupada?
Que técnicas de controle estão sendo atualmente empregadas?
Essas técnicas de controle são suficientes para a salvaguarda de riscos?
Que ajustes e melhorias de segurança de sistemas e de dados deveriam ser introduzidos?
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
6
1.1.3 POLÍTICAS
Por filosofia de segurança, entende-se política elaborada, implantada e em contínuo
processo de revisão, válida para toda a organização, com regras as mais claras e simples
possíveis e estrutura gerencial e material de suporte a essa política, claramente sustentada pela
alta hierarquia.
1.2 CULTURA ORGANIZACIONAL
1.2.1 ÓRGÃO RESPONSÁVEL PELAS ATIVIDADES DE SEGURANÇA
Na maioria das organizações a visão que se tem é de que os procedimentos de segurança
referem-se e limita-se a ações corretivas, ou seja, somente após o incidente é que existe ação.
Não existem procedimentos preventivos e normalmente o “status” de segurança está
desvinculado da administração superior. O excessivo número de níveis intermediários entre a
segurança e a alta direção contribui para as dificuldades operacionais.
A idéia ultrapassada de segurança como mero mecanismo de vigilância com pessoal
armado e normalmente despreparado, limitada ao menor gasto, faz com que a segurança perca
sua função mais efetiva que é a de “inteligência”, não no sentido orgânico mas no funcional,
basicamente quanto a:
Análise de risco;
Controle discreto, mas eficiente do processo;
Qualidade e eficiência.
Dentro desse conceito, surge a figura do “Administrador de Segurança” que terá como
atribuições principais:
Proteção dos ativos;
Ligação entre os departamentos usuários;
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
7
Monitoração e análise de riscos;
Acompanhamento de custos;
Programas e reciclagens de treinamento;
Definição, implantação e acompanhamento de normas de segurança.
Hierarquicamente deve estar subordinado ao nível intermediário da organização.
Não cabe a ele a aplicação dos procedimentos, tarefa afeta aos órgãos de linha (nível)
(operacional), mas sim como elo de ligação entre os níveis institucional e operacional.
Sua maior atribuição será a de identificar e sugerir políticas de segurança à alta
administração e implementa-las no nível operacional, retornando os resultados novamente ao
nível superior.
1.2.2 TREINAMENTO
Cultura, palavra originária do latim e que significa Ato, efeito ou modo de cultivar, isso
extensivo à civilização. Cultura é à história particular de um povo.
O componente primordial para a existência de uma forma cultural adequada é o traço de
recusa, da negação, da contestação às normas e valores estabelecidos.
Alcança-se a evolução da cultura através de um processo de treinamento e reciclagem
constante, incutindo-se na população alvo o interesse e a consciência plena sobre a atividade.
Em vista da população heterogênea, o programa de treinamento deve prever algumas
premissas, tais como:
A duração de cada palestra não deve ultrapassar a 60 minutos;
Deve prever uma parte teórica e uma parte prática, percorrendo-se os locais enfocados na
mesma ocasião em que o instrutor fará comentários a respeito (críticas a situações de falhas
não é recomendável);
Deve ser ministrada, se possível, no local apropriado ao motivo da palestra;
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
8
A palestra deve contemplar basicamente, os seguintes itens:
Limpeza e conservação;
Controle de acesso e vigilância;
Instalações elétricas;
Instalações de ar-condicionado;
Instalações hidráulicas e sanitárias;
Prevenção e combate ao fogo.
É evidente que nem todos os itens poderão ser enfocados em uma única palestra e o ideal
é que se combinem dois itens correlatos em cada uma, como por exemplo: instalação elétrica e
ar condicionado ou ainda, limpeza e conservação e prevenção e combate ao fogo.
1.3 INSTALAÇÕES DO CPD
1.3.1 LOCALIZAÇÃO
Por ocasião da construção do Centro de Processamento de Dados, a escolha do local é de
fundamental importância como base de toda uma sistemática de segurança contra incêndio e
demais acidentes passíveis de ocorrer em um CPD.
Dessa forma, objetivando fornecer subsídios para a escolha desse local, descrevemos a
seguir alguns requisitos para a escola desse local:
Evitar subsolos, face aos riscos de inundações e também os últimos andares em virtude da
propagação de gases, fumaça, etc.
Evitar lugares com grandes aglomerações ou manifestações públicas;
Distanciar de dispositivos que causam interferências, tais como: torres de TV, torres de
microondas, rádio, radar, linhas de metrô, aeroporto, etc;
Evitar proximidades de postos de gasolina, fábricas, depósitos inflamáveis, tóxicos
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
9
corrosivos, cozinhas, refeitórios, etc;
Não estar próximo de estacionamentos e garagens de modo a evitar ações de sabotagens
e/ou atos de vandalismo;
Procurar local que haja, se possível, dois ou mais ramais de energia elétrica, de forma a se
precaver contra eventuais falhas no sistema de fornecimento. Esse requisito também pode
ser negociado com as empresas de energia elétrica que atendam a região.
Além dos requisitos anteriormente citados, aconselha-se que o Centro de Processamento de
Dados seja instalado em local próprio e específico, isto é, em terreno e edifício de
propriedade da empresa, de modo a evitar imprevistos que venham por em risco o
desenvolvimento das atividades do CPD e conseqüentemente as da empresa.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
10
2. AUDITORIA DE SISTEMAS EM PRODUÇÃO
2.1 POSICIONAMENTO DA AUDITORIA
Os desafios decorrentes de uma economia globalizada e altamente competitiva requerem
sistemas aplicativos que assegurem agilidade e confiabilizada às tomadas de decisão e à
operacionalização dos negócios.
Sistemas de informação assumem papel significativo na própria viabilização de novos
negócios, e sua interrupção traria resultados desastrosos às organizações.
Ter a informação correta, disponível da forma mais rápida possível, pode representar
significativa vantagem competitiva.
Do ponto de visto do auditor, é fundamental que em qualquer trabalho realizado, estejam
claramente identificados os negócios suportados pelo sistema aplicativo, os objetivos da
empresa em relação ao negócio e o uso de informações do sistema, tanto a nível operacional
quanto em nível de gestão.
A utilização de sistemas aplicativos como suporte de negócios requer ainda, a utilização
de tecnologia sofisticada, envolvendo ambientes de software e hardware altamente complexos.
Interfaces com diferentes sistemas, transações que atualizam arquivos em “real-time”,
transferências eletrônica de dados com clientes, fornecedores e instituições financeiras.
Atender a normas e legislação complexas, variadas e alteradas com freqüência, também são
exigências cada vez mais comuns dos sistemas aplicativos.
Por sua vez, a evolução do software e hardware propicia o surgimento de sistemas a
cada vez mais descentralizados e integrados. Esta integração, envolvendo equipamentos de
grande porte, médio e microcomputadores, utilizando os mais diversos tipos de software,
interligados entre si, caracteriza um ambiente de processamento cooperativo, onde novas
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
11
técnicas de controles são necessárias para assegurar integridade dos dados que trafegam pelo
sistema.
A utilização de sistemas especialistas, embora ainda pequena a nível comercial, transfere
cada vez mais o poder de decisão do homem para os sistemas, inclusive algumas de
importância vital para o sucesso e a continuidade das organizações.
2.2 NATUREZA E PROFUNDIDADE DOS CONTROLES
Existem várias técnicas para satisfazer um padrão mínimo de controle. A decisão sobre a
técnica específica a ser utilizada em cada caso, depende dos seguintes fatores:
A Estrutura do Sistema de Informação.
O correto funcionamento de alguns sistemas pode ser facilmente verificado através de
controles executados pelos usuários. Outros sistemas podem incorporar o uso de passos de
cálculo e lógica complexos, para os quais uma combinação de procedimentos de controle
programados e a confiabilidade nos controles gerais sobre o ambiente de PED são apropriados.
O Custo dos controles.
O custo dos recursos humanos e de sistemas necessários para executar os controles,
variam para cada aplicação. Quando da seleção das técnicas de controle, devem ser
comparados com os riscos de ocorrência de erros e com os custos associados ao uso de
informações incompletas e incorretas, se os erros não forem detectados e corrigidos; os
controles devem justificar seus custos. Em um sistema de folha de pagamento, os cheques e os
relatórios precisam ser produzidos automaticamente usando valores e tabelas de deduções
mantidas pelo computador, junto com dados de horas fornecidos pelo pessoal de apontamento.
Assumindo que os controles gerais são adequados, isto é, controles adequados sobre o
desenvolvimento ou aquisição de sistemas de informação, processamento dos sistemas,
segurança de funções incompatíveis, segurança física e lógica, o risco de um erro de
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
12
processamento deveria ser pequeno. Nestas circunstâncias, o custo de um erro de
processamento deveria ser pequeno. Nestas circunstâncias, o custo de checar manualmente os
cálculos da folha, dificilmente seria justificado.
Entretanto, erros humanos poderiam causar eventuais alterações incorretas de um valor a
pagar ou de uma dedução. O efeito de cada erro deveria ser multiplicado pelo número de
pessoas afetadas em cada período de pagamento, até o erro ser detectado. Dessa forma, um
controle para verificar se todas as mudanças são corretamente executadas, deveria ter um custo
efetivo, dado o largo potencial de efeitos cumulativos, mesmo de um pequeno erro.
A Eficácia dos Controles Gerais sobre o Ambiente de PED.
O risco de procedimentos automatizados serem executados de formam inconsistente ou
incorreta é reduzido quando os controles gerais atendem um padrão mínimo de controle. É
razoável esperar-se, por exemplo, que os programas computacionais sejam executados
corretamente, quando existem controles efetivos sobre a segregação de funções incompatíveis
relacionadas com os sistemas de informação, desenvolvimento aquisição e manutenção dos
sistemas e sobre a segurança física e lógica. A eficácia dos controles gerais pode, portanto,
influenciar a natureza e o tipo (programados ou do usuário) dos controles da aplicação
selecionados.
A Eficiência de outros Controles da Aplicação.
Por exemplo, uma organização pode optar pela reconciliação das contas de fornecedores
para identificar obrigações não registradas, em lugar de realizar uma verificação da seqüência
numérica dos relatórios de recebimento de materiais processados.
A Oportunidade do Controle.
A operação de algum procedimento de controle requer tempo. Se o tempo requerido é
excessivo, a utilidade deste controle pode ser prejudicada, ou uma demora não aceitável pode
ocorrer no processamento das transações. A escolha por uma técnica de controle alternativa
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
13
deve considerar o efeito que este controle terá sobre a disponibilidade da informação e a sua
conseqüência para um determinado sistema, Num sistema de vendas on-line, por exemplo, no
qual uma confirmação verbal de aceitação é dada para o cliente no ato do pedido, um
procedimento automático deveria ser usado para checar o crédito do cliente. Isto poderia ser
preferível do que aguardar um funcionário realizar a análise de crédito antes da confirmação
do pedido.
2.3 ORGANIZAÇÃO E RESPONSABILIDADE
A responsabilidade pelos controles e segurança dos aplicativos envolve usuários,
analistas responsáveis pelo desenvolvimento e manutenção, produção e operação de
computador e redes de teleprocessamento, além de outras envolvidas com controles de
ambiente, tais como segurança física e lógica.
As metodologias de desenvolvimento devem prever a participação do usuário desde o
desenho até a implementação do sistema. Esta participação é de fundamental importância para
garantir que o sistema foi desenvolvido de acordo com as especificações e autorização. Dentre
os usuários, o mais importante é nomeado o gestor do produto daquele sistema/projeto e a este
cabe gerenciar todas as manutenções e alterações que eventualmente venham a ocorrer. Ele
também deve participar dos testes e implementação destas alterações e da decisão de
contratar-se ou não técnicos no mercado para desenvolvimento/manutenção ou operação do
sistema.
O usuário deve ter controle sobre a elaboração e aprovação das transações, sobre o
efetivo processamento, sobre os documentos de saída e documentos rejeitados no
processamento. Verificar se transações processadas são conferidas e validadas pelos
responsáveis, incluindo os próprios usuários; se os comandos (inclusive on-line) possuem
algum Mecanismo de controle por pessoa independente da sua execução; se todos os erros e
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
14
pendências foram corrigidos e processados e se há compatibilidade entre os dados alimentados
no sistema e o conteúdo dos cadastros principais e informações gerada.
Aos órgãos responsáveis pela produção do sistema, incluindo preparação técnica,
operação do computador e rede de teleprocessamento, assim como funções de apoio como
administração de dados e administração de segurança, compete executar os procedimentos de
controle específicos do aplicativo e, principalmente, executar os procedimentos de controles
gerais, que asseguram que o sistema aplicativo está sendo produzido dentro do planejado.
Finalmente, aos órgãos responsáveis pelo desenvolvimento e manutenção das aplicações,
compete atender e implementar as solicitações dos usuários relacionadas a controles, bem
como estudar e sugerir aquelas técnicas de controle que assegurem confiabilidade ao
aplicativo com a maior eficiência e menor custo.
2.4 NÍVEL CRÍTICO/RISCOS
Garantir a integridade dos dados envolve o estabelecimento de proteção contra acesso
não autorizado e salvaguarda do dado acessado pela aplicação.
Devem ser verificados os mecanismos existentes para restrição de acesso para consultas,
alterações ou destruição dos dados, bem como os controles de recuperação do banco de dados,
em caso de perda da integridade.
Os arquivos e banco de dados podem ser acessados independentemente dos aplicativos
que os utilizam. Assegurar a integridade e inviolabilidade destes dados envolve o
estabelecimento de política de segurança. A execução destas políticas pode ser feita com a
utilização de softwares de segurança.
A segurança lógica dos dados corporativos deve basear-se em políticas de proteção
estabelecidas para a corporação, que orientem os acessos dentro ou fora dos aplicativos.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
15
Os controles internos devem garantir a segurança, integridade e disponibilidade dos
sistemas aplicativos. Para tanto, é de fundamental importância que alguns procedimentos
preventivos e corretivos sejam tomados quanto à proteção e manutenção dos equipamentos de
PED, além da existência de um plano de contingências que assegure a continuidade do
processamento dos sistemas em caso de perda parcial ou total dos recursos de PED.
Sob o enfoque dos aplicativos, estes devem prever estas situações e as alternativas de
processamento ou mesmo de usos de procedimentos manuais para a sua continuação,
incluindo as interrupções temporárias no processamento (queda de sistema, manutenção de
equipamentos etc).
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
16
3. PROCEDIMENTOS DE CONTROLEApós a avaliação dos riscos pertinentes ao não atendimento dos padrões mínimos de
controle interno, o auditor deverá avaliar se os controles existentes asseguram:
A integridade e confidencialidade dos dados mantidos e das informações produzidas pelo
aplicativo;
A disponibilidade dos sistemas;
A eficiência na utilização dos recursos de PED;
A compatibilidade dos sistemas aplicativos em relação aos objetivos de negócios e
operacional da organização;
Diante do exposto o auditor deve seguir alguns passos quando realizando trabalho de
auditoria em sistemas aplicativos:
Definir objetivos;
Obter conhecimento básico da aplicação;
Obter conhecimento profundo da aplicação (*);
Identificar e avaliar controles críticos, processos e exposições aparentes (riscos potenciais);
Definir procedimentos de auditoria;
Testar os controles críticos, processos e exposições aparentes;
Avaliar os resultados dos testes;
Reportar resultados.
Se estes passos foram previamente preparados para uma aplicação que está sendo
auditada novamente, o auditor pode ganhar tempo para conhecer a aplicação, avaliar controles
e definir os procedimentos. Ele deve identificar todas as modificações ocorridas desde a última
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
17
revisão, fazer as modificações necessárias nos procedimentos de avaliação e verificação e
incrementar os testes e avaliar resultados.
a) Definir Objetivo
O objetivo geral de uma auditoria em um aplicativo é verificar os processos e controles
necessários que tornem a aplicação livre de exposições significativas.
A natureza específica deste objetivo pode variar de acordo com a ênfase que se dê para
algumas exposições em relação a outras, tidas como significativas.
b) Obter Conhecimento Básico da aplicação
O auditor vai obter conhecimento geral da aplicação através da documentação e de
entrevistas com as pessoas-chave do desenvolvimento.
c) Obter Conhecimento Detalhado
Depois de definido o escopo da avaliação, o auditor deve aprofundar-se no conhecimento
do aplicativo. Este conhecimento detalhado irá concentra-ser nos controles específicos e
procedimentos relacionados a avaliação. Procedimentos considerados irrelevantes devem ser
anotados, porém não revisados.
A documentação consiste na principal fonte de consulta para que o auditor conheça a
aplicação em detalhes. Ele deve centralizar sua atenção, para melhor entender os detalhes do
aplicativo, em três grandes elementos:
Dados
Procedimentos
Controles
Os DADOS constituem-se no elemento de informação mais importante, porque todos os
procedimentos e controles, se devidamente implementados, são dependentes da natureza dos
dados disponíveis.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
18
Todos os PROCEDIMENTOS manuais ou automatizados, aos quais os dados são
submetidos, incluem as funções de negócio, suportada pelo sistema. Estes procedimentos
devem ser entendidos em detalhes, para que o auditor possa julgar se são apropriados e
eficientes.
Os CONTROLES sobre a aplicação devem estar integrados aos procedimentos.
Devem ser implementados manualmente ou através dos programas.
Devem diferenciar dos procedimentos apenas nos propósitos.
d) Obter e Avaliar Controles Críticos, Processos e Exposições Aparentes.
Avaliação da ineficácia, ineficiência e fragilidade do controle é um processo subjetivo.
Não existem fórmulas ou procedimentos definidos que respondam todas as perguntas ou que
tornem esta função fácil de ser executada.
Este é o processo que mais requer o perfil profissional do auditor. Aqui o auditor precisa
responder as seguintes questões:
O sistema fornece resultados confiáveis?
Que controles devem o auditor verificar para substanciar a análise?
Que funções são frágeis e quais devem ser avaliadas?
e) Definir os Procedimentos de Auditoria
O auditor tendo desenvolvido a avaliação do aplicativo, deve agora definir os testes dos
controles chave que identificou.
Três passos devem ser seguidos:
Selecionar a técnica de verificação: dois métodos podem ser utilizados – teste de
resultado e teste de processamento.
Determinar qual a ferramenta irá utilizar, inclusive o próprio computador.
Preparar o programa de teste.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
19
f) Testar Controles Críticos
Usando ferramentas e técnicas de auditoria, o auditor executa os testes para verificar se
aqueles controles previamente identificados como chave ou principais para a aplicação, estão
de fato operando eficiente.
g) Avaliar Resultados dos Testes
O objetivo de avaliação final é resolver o grau de confiabilidade que o auditor pode
determinar para o controle interno. Esta avaliação é baseada no conhecimento que ele adquiriu
dos procedimentos e controles, durante o desenvolvimento do trabalho de auditoria.
h) Reportar o Resultado
O auditor deve relatar os pontos de fragilidade detectados durante as fases da avaliação
do aplicativo. É de fundamental importância que a área de desenvolvimento esteja envolvida e
comprometida com resultado, para garantia da eficiência e eficácia do próprio trabalho.
É necessário lembrar que o trabalho de auditoria vale enquanto está ocorrendo e que este
é o momento de envolver as pessoas responsáveis pelo sistema. Esta atitude garante a
implementação das recomendações da auditoria.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
20
4. SISTEMAS PARA AUDITORIANo início dos trabalhos de revisão e avaliação de sistemas aplicativos, há um número
elevado de sistemas em operação e recursos reduzidos de profissionais para essa função, o que
torna necessário estabelecer critérios adequados para selecionar e priorizar estes sistemas para
efeito de auditoria.
Os auditores internos que habitualmente praticam auditoria operacional nas suas
empresas, já dispõem de conhecimentos de características e condições operativas que
permitem identificar aplicativos para avaliação. Contudo, constata-se que nem sempre são
consideradas toadas as informações e elementos que seriam necessários para comparar os
sistemas entre si, em uma base comum.
Esse objetivo pode ser alcançado mediante uma análise e definição prévia de elementos e
características que possam qualificar os sistemas do ponto de vista de sua importância perante
objetivos operacionais, de gestão e de controle interno da empresa.
A título de exemplo pode ser estabelecido se o sistema é de vital importância operacional
para a empresa; atende-se requisitos estatutários da organização. Controlam-se ativos
financeiros ou outros considerados relevantes; gera-se produtos de apoio direto e decisões
gerenciais; consome-se volume elevado dos recursos de processamento; exige-se grande
volume de manutenção e assim por diante.
A partir de uma lista de elementos de qualificação previamente definida, devem ser
levantadas informações dos sistemas em operação, que serão posteriormente relacionadas e
comparadas, de modo a permitir que a seleção e priorização sejam suportada em dados e
informações adequadas e uniformes para o direcionamento dos exames de auditoria.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
21
5. TÉCNICAS DE AUDITORIA EM SISTEMAS APLICATIVOSA avaliação de controles sobre aplicativos requer a utilização de técnicas de auditoria
específicas, que permitam validar programas, dados e informações relacionadas aos sistemas.
A aplicação destas técnicas, normalmente depende das características do sistema a ser
avaliado, dos objetivos da auditoria e da abrangência dos exames.
Com o intuito de buscar formas sempre mais eficazes e seguras de proceder aos exames,
e em função do dinamismo e complexidade crescente dos sistemas implantados, foram criadas
técnicas e ferramentas de apoio à avaliação dos controles relacionados aos sistemas
aplicativos.
Algumas destas técnicas, porém são 1 de difícil aplicação e adaptação às condições
específicas de cada sistema ou instalação. Cabe ao auditor conhece-las e avaliar custos e
benefícios efetivos de sua utilização.
Apresentamos a seguir algumas das principais técnicas, que são de maior utilidade,
classificada conforme o objetivo a que se destinam.
Massa de Teste
Esta técnica consiste em preparar dados de entrada com as mais diversas condições e
variáveis que se deseja testar. Os dados são alimentados e processados através de rotinas e
programas normais de produção, em processamento separado, permitindo avaliar sua exatidão
e os controles existentes.
A técnica de massa de teste pode ser usada para segmentos específicos de um sistema e
possibilita verificar:
Rotinas de validação de dados de entrada, detecção de erros e consistência das
transações.
Lógica de processamento e controles relacionados à criação e manutenção de arquivos.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
22
Adequação da atualização dos programas e do sistema.
VANTAGENS DESVANTAGENS
- Permite identificar e avaliar os controles
exercidos, bem como se as políticas, normas
e procedimentos definidos estão sendo
seguidos.
É possível que não sejam consideradas todas
as possibilidades e situações geradoras de
transações.
O auditor não necessita assistência para
preparar os dados de entrada e avaliar os
resultados esperados.
Dependendo do escopo do teste, pode tornar-
se bastante complexo e demorado.
Não há necessidade de programas especiais e
o auditor necessita apenas de conhecimentos
básicos de informática.
INTEGRATED TEST FACILITY – ITF
Esta técnica é uma variação da técnica de massa de teste e consiste em gerar uma
entidade fictícia (departamento, vendedor etc.) dentro do sistema e gerar transações para esta
entidade, as quais serão processadas dentro do ciclo normal de processamento do sistema.
É chamada de “Integrated” (integrada) porque as transações de auditoria serão
processadas junto com as transações normais e registradas nos mesmos arquivos. É utilizada
para testar e verificar sistemas complexos e de grande porte, onde não é possível separar o
processamento em ciclos específicos.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
23
DESVANTAGENS
Possibilita um exame bastante abrangente,
sem necessidade de processamento especial.
Necessidade de estabelecer procedimentos
de separação e retirada dos dados de
auditoria das transações normais.
Custo operacional reduzido, pois sua
execução se dá durante o processamento
normal da aplicação.
Possibilidade de inclusão de dados não
íntegros nos registros normais da empresa.
Requer um planejamento detalhado do teste
e participação do pessoal de análise de
sistema.
SOFTWARE DE AUDITORIA
Esta técnica permite que o auditor faça uma análise independente sobre os dados de um
arquivo de um sistema aplicativo. Constitui-se em um programa ou um grupo de programas
adquiridos (pacotes) ou preparados pelo auditor, com o objetivo de avaliar e validar dados de
arquivos mediante parâmetros e condições definidas.
Diferencia-se dos Módulos de Auditoria inseridos no sentido em que não integram as
rotinas normais de processamento e são executados no momento em que o auditor julgar
conveniente.
VANTAGENS DESVANTAGENS
Permite grande abrangência na execução de
avaliações, segundo a criatividade do
auditor.
Necessidade de conhecimento e treinamento
em linguagem de programação e/ou
aprendizado do software adquirido.
Possibilita independência à auditoria na
determinação e execução dos seus exames.
Custo e limitações do software de auditoria
adquirido.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
24
MÓDULOS DE AUDITORIA INSERIDOS
Esta ferramenta constitui-se em programa ou rotina específicos definidos e
desenvolvidos pelo auditor (ou por pessoal da área de informática) e que é incorporado ao
sistema aplicativo. Seu propósito é analisar as transações e seleciona-las mediante critérios
predeterminados, para posterior exame pela Auditoria.
VANTAGENS DESVANTAGENS
Possibilita que as transações sejam
selecionadas e examinadas no momento em
que efetivamente ocorreram.
Exige conhecimento e esforço de
programação para escrever os módulos de
auditoria.
Permite o exame de todas as transações
consideradas de interesse da auditoria.
Necessita definições e ajustes do sistema,
preferencialmente na ocasião de seu
desenvolvimento.
É necessário revisar e atualizar
continuamente o módulo para que seus
resultados sejam efetivos.
Técnicas de Monitoração e Rastreamento
As técnicas, utilizadas pelos profissionais de processamento de dados para depurar
programas, podem ser extremamente úteis como técnicas de auditoria.
Entre elas, estão o Mapping, Tracing e Snapshot, que permitem analisar os resultados
do computador durante a execução de um programa.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
25
O mapping consiste na utilização de um software monitor, que indica o número de
vezes que cada instrução foi executada em um processamento, além de outras informações tais
como segmentos não utilizados e tempo de processamento. Esse tipo de informação permite ao
auditor a identificação de segmentos pouco utilizados dos programas, que têm maior
probabilidade de estar associados a rotinas não autorizadas.
Para utilização desta técnica o auditor deverá:
Verificar se este tipo de software está disponível no CPD da empresa ou como obtê-lo,
caso não exista.
Selecionar programas críticos da aplicação a serem analisados.
Executar o mapeamento dos programas a serem analisados.
Analisar os resultados e concluir sobre a existência de eventuais procedimentos
programados em desacordo com o previsto.
A técnica de tracing detalha as instruções executadas pelo programa e em que seqüência
foram executadas.
Esta técnica propicia ao auditor o conhecimento das instruções executadas durante o
processamento de transações específicas. Com base na análise das instruções processadas, o
auditor pode determinar porque alguns resultados foram obtidos no processamento de
terminada transação. Isto pode ser comparado com as políticas e procedimentos definidos na
empresa, para teste de aderência e auxiliar na determinação de resultados questionáveis do
processamento.
O snapshot fornece um quadro dos dados, que é extraído em determinados pontos de seu
processamento. Esta técnica permite ao auditor ver chaves de programas, os acumuladores, as
áreas de armazenamento, o código do computador e qualquer outra informação disponível no
programa. O tamanho ou número de quadros de dados extraídos é determinado pelo auditor.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
26
Dessa forma é possível acompanhar transações específicas através do programa e determinar o
seu caminho lógico, condições de controle e seqüência de processamento.
COMPARAÇÃO DE CÓDIGO FONTE
Esta técnica consiste na manutenção pela auditoria, de uma cópia dos principais
programas em linguagem fonte e linguagem objeto.
Estas cópias de programas são utilizadas para comparação com as versões dos mesmos
programas em produção. Essa comparação é executada pelo auditor utilizando o próprio
computador, com o auxílio de um software que compara programas objeto das diferentes
bibliotecas. A comparação é feita instrução a instrução e indica as diferenças.
Esta técnica é útil para auxiliar na avaliação de procedimentos de manutenção de
software, bibliotecas de programas e controles sobre mudanças.
6. OBJETIVOS E TÉCNICAS DE CONTROLENeste capítulo estão abordados os objetivos de controle relacionados a sistemas
aplicativos e as respectivas técnicas/pontos de controle, cuja existência indicará se o objetivo
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
27
de controle está ou não sendo atendido. Serve como um roteiro para planejamento e execução
de trabalhos de auditoria na área.
Algumas das técnicas de controle mencionadas poderão ser atendidas pelos controles
gerias ou controles sobre o ambiente, como, por exemplo, aquelas relacionadas a acesso físico
e lógico a terminais, sobre banco de dados etc. Por esse motivo, é de fundamental importância
que o auditor já tenha realizado uma avaliação dos controles gerais, para definir o escopo de
auditoria sobre os sistemas aplicativos.
As técnicas de controle relacionadas buscam abranger todas as possibilidades
relacionadas a cada objetivo de controle. A sua aplicabilidade dependerá dos recursos
utilizados e da tipicidade do aplicativo, como processamento batch, on-line, processamento
distribuído ou centralizado etc.
A evolução tecnológica, que traz como conseqüência o uso intensivo de sistemas
distribuídos, integrados e utilizando técnicas on-line para entrada e recuperação de dados,
tendem a juntar algumas das etapas aqui descritas separadamente.
Como exemplo, é cada vez mais comum a transação ser informada para processamento
diretamente pelo usuário, no momento em que ela ocorre, integrando as etapas tradicionais de
preparação da transação, digitação, entrada, crítica e correção, bem como do processamento e
atualização dos arquivos principais.
Os objetivos de controle foram estabelecidos em função das seguintes etapas ou
atividades relacionadas com os sistemas aplicativos:
ETAPAS DESCRIÇÃO
ORIGEM E PREPARAÇÃO
DAS TRANSAÇÕES
Visa assegurar que todas as transações estão autorizadas e são preparadas
corretamente e remetidas para processamento na sua totalidade.
ENTRADA DE DADOS Visa assegurar que todas as transações são entradas para processamento, seja
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
28
através de lotes ou on-line, na sua totalidade e corretamente.
PROCESSAMENTO
Visa assegurar que os dados são tratados de forma correta durante o
processamento e que todas as transações são processadas e os arquivos
atualizados na sua totalidade.
SAÍDAS Visa assegurar que todas as informações produzidas pelo sistema são
completas, corretas, oportunas e são preparadas de forma a facilitar seu uso e
entendimento.
INTEGRIDADE DE DADOS
E CADASTROS
Visa assegurar que os dados mantidos em cadastros e arquivos permanentes e
semi-permanentes somente são lidos e atualizados por programas
autorizados, Independente de existirem procedimentos adequados para
alimentação dos dados e cadastros mantidos pelo sistema, através de técnicas
adequadas para validação dos dados de entrada ou daqueles gerados durante o
processamento, procedimentos de controle adicionais devem existir na
instalação, que impeçam que através de meios alternativos os dados e
cadastros possam ser alterados, tanto para leitura quanto alteração.
BACK-UP E
RECUPERAÇÃO
Visa assegurar a continuidade do processamento em caso de paralisação ou
perda de recursos e dados. Os mecanismos para assegurar a recuperação de
dados e programas em decorrência de problemas técnicos ou sinistros que
impeçam o uso do recurso original, compreendem a procedimentos de
retenção e back-up dos meios magnéticos.
DOCUMENTAÇÃO Visa assegurar a eficiência na operação e manutenção do sistema,
continuidade do processamento e treinamento e desenvolvimento de pessoal.
Ao avaliar um sistema aplicativo, o auditor deve conhecer previamente os
padrões de desenvolvimento e manutenção de sistemas estabelecidos para a
entidade.
7. AUDITORIA EM MICROINFORMÁTICAOs controles internos da área de Microinformática de maneira geram refletem os
controles gerados a partir da área de Informática (Gerais, Ambiente, Sistemas Aplicativos e
Metodológicos), mas encontraram ambientes propícios e algumas especificidades da área,
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
29
como a eliminação da divisão entre Produção e Usuário, já que a microinformática quem usa,
produz.
Controles Gerais de Informática são normalmente identificados como atuantes sobre
todo o espectro da área, mas comumente deixam a desejar por tratar apenas de grande porte.
Atuam ou deveriam atuar sobre os sistemas aplicativos gerados tanto no grande porte quanto
nos micros das Organizações. Assim alertamos para o entendimento que Controles Gerais de
Informática devem atuar obrigatoriamente sobre Grande Porte e Microinformática.
7.1 ORGANIZAÇÃO E RESPONSABILIDADES
A responsabilidade pelos controles e segurança de dados e aplicativos envolve a
administração da Organização, usuários, pessoal de suporte de microinformática e o pessoal
responsável pela gestão da microinformática.
7.2 PROCEDIMENTOS DE CONTROLE
Tendo em vista os riscos, o Auditor deve obedecer a padrões mínimos de controle
interno que assegurem:
Ausência de vírus;
Integridade dos dados armazenados;
Ausência de softwares não autorizados;
Compatibilidade de equipamentos, softwares e aplicativos;
A continuidade contigencial.
Tais padrões devem ter como fontes de controle:
Aspectos Legais;
Políticas de Gestão;
Controles Internos;
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
30
Trilhas de controle;
Documentação
CONTROLE DESCRIÇÃO
ASPECTOS LEGAIS A lei como fonte do Direito deve orientar os Auditores no
sentido de tornar-se também uma fonte de auditoria. Várias
leis preocupam-se com a matéria, como por exemplo:
* importação de equipamentos de microinformática;
* duplicação de softwares sem autorização (pirataria);
* aquisição de softwares no exterior;
* contaminação de produto legal por vírus;
* assistência técnica mal feita;
* softwares com documentação insuficiente;
perda de dados por sistemas mal desenvolvidos e outros.
POLÍTICAS DE GESTÃO A gestão da microinformática deve estar corretamente
definida nos manuais da organização de tal modo que sirva
como fonte de auditoria.
CONTROLES INTERNOS O Auditor deve obter padrões mínimos que assegurem:
ausência de vírus de qualquer tipo, inclusive os mutantes;
integridade doa dados armazenados; ausência de softwares
não autorizados; compatibilidade total de equipamentos,
softwares e aplicativos, etc.
TRILHAS DE CONTROLE O Auditor deve ter condições de seguir qualquer informação
de sua origem até suas saídas; e por obra reversa, de suas
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
31
saídas até sua fonte primária de entrada no sistema.
DOCUMENTAÇÃOA documentação em microinformática deve ser tratada de
forma cuidadosa, já que culturalmente nunca foi bem
entendida. O Auditor não deve permitir que se repita o erro
do grande porte que durante décadas não deu atenção à
documentação.
8. PREPARANDO A AUDITORIA INTERNA
Antes de iniciar o processo de auditoria interna tenha certeza de estar cobrindo os
seguintes pontos;
Tenha o comprometimento dos gerentes para suportar o processo de auditoria e comunique
o processo para todos os funcionários
Marque uma data para a auditoria
Determine o nível de funcionários que participarão diretamente no processo
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
32
Localize todos os computadores da sua empresa
Crie os formulários necessários. O mínimo que você vai necessitar;
o Comunicado interno sobre a auditoria e agenda das tarefas
o Relatório de Auditoria de Software
o Resumo da Auditoria de Software
Obs.: Segue em anexo um modelo de cada um dos formulários citados acima.
8.1 AUDITORIA INTERNA
Este processo de auditoria física envolve a verificação de todos os computadores e
servidores da sua organização para determinar quais programas de computador estão
instalados. Como explicado no segundo passo você pode economizar muito tempo e esforços
usando uma ou mais ferramentas de auditoria para ajudá-lo nesta tarefa.
8.1.1 Primeiro Passo:Faça um inventário físico dos computadores da empresa. Registre TODOS os computadores,
incluindo os servidores, laptops, notebooks e qualquer computador que não esteja em uso.
Lembre-se de todos os lugares da empresa, como outras unidades, fábricas e filiais. Você
deverá obter informações como número de série, modelo, local de uso e usuários regulares.
Obs.: Caso os funcionários possuam programas pertencentes a empresa instalados em seus
computadores domésticos, estes também deverão ser considerados.
8.1.2 Segundo Passo:Faça um inventário de todos os software instalados em todos os computadores identificados no
inventário físico, incluindo os que não estão em uso. Existem várias ferramentas disponíveis
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
33
que podem ajuda-lo nesse processo. As ferramentas SoftScan e PC Analizer permitem que
você pesquise confidencialmente os discos rígidos dos computadores e identifique todos os
software instalados.
Além destas ferramentas estamos enviando em anexo modelos de relatórios para fazer o
levantamento e o resumo dos dados coletados.
Independentemente da maneira pela qual a auditoria é executada, certifique-se de coletar,
para CADA CÓPIA do software instalado em cada computador, as seguintes informações;
Nome do Produto
Versão (Ex.: Office 97 , Lótus 123)
Número de Série
Dependendo do tamanho da empresa, a auditoria de software pode levar algum tempo. Antes
de iniciar, informe aos funcionários que nenhum software deve ser adicionado, eliminado ou
movido de suas máquinas durante a auditoria.
8.1.3 Terceiro Passo:Faça um inventário de toda a documentação de software existente, incluindo;
Notas fiscais de compra dos computadores com o software descrito na nota
Notas fiscais de compra de software/programas de computador
Contratos de Licença de Uso ou documento equivalente
Todos os manuais e documentação de referências originais
Todos os discos e CDs utilizados para a instalação de software nos computadores
8.1.4 Quarto Passo:Compare. Neste ponto, já deverá ser possível ter um diagrama completo dos programas
instalados e de sua documentação, demonstrando quais são os software legítimos da empresa.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
34
Compare estes dois inventários cuidadosamente, cruze as informações do inventário de
software instalados com a documentação existente. Ao fazer isso considere a ocorrência de
múltiplos usuários de um único produto e se a licença permite este uso, por exemplo; um
programa que é usado em rede e compartilhado por vários usuários, a licença do programa
deverá estabelecer a permissão do uso simultâneo, do contrário cada usuário que estiver
acessando este programa deverá possuir uma licença de uso.
Em caso de dúvidas sobre suas licenças durante este processo, entre em contato com o
fabricante do produto em questão ou acesse o seu site na web para obter assistência.
Alguns aspectos que devem ser considerados:
Atualizações: Para todas as atualizações de software serem consideradas legítimas, é
necessário que haja uma licença para a versão que está sendo atualizada, por exemplo;
um produto chamado de “Versão Upgrade” só é válido se a empresa possuir a versão
anterior completa, pois estes produtos versões de atualização são mais baratos, devido
o fabricante do software considerar que a empresa já pagou pela versão completa
anteriormente.
Certificados de Autenticidade: Um certificado de autenticidade não é uma licença,
procure, portanto o contrato de licença de uso original.
Discos ou CDs originais: A posse de um disco ou CD original não implica a
existência da licença de uso deste programa, portanto o disco e ou CD não provam a
legalidade do mesmo. A prova da legalidade é feita através da Licença de Uso e/ou
nota fiscal do produto.
8.1.5 LegalizaçãoAgora que você sabe quais programas são legítimos e quais são ilegais, é possível proteger a
empresa dos riscos jurídicos e financeiros.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
35
Em primeiro lugar determinem quais são os programas necessários para atingir suas
necessidades, com isso você saberá quantos programas deverão ser legalizados e quantos
deverão ser desinstalados.
No caso dos programas a serem legalizados recomendamos que a sua empresa procure
um revendedor autorizado do produto, onde o mesmo poderá fornecer informações precisas
em relação as melhores e mais acessíveis formas de licenciar grandes quantidades e a formas
corretas de licenciamento dos programas.
8.1.6 Visita do ConsultorDepois de passar por todos os passos da Auditoria Interna e se necessário, ter legalizado
a quantidade de programas sem licenças, você poderá ligar novamente para o telefone 0800-
110039 e agendar a visita do consultor.
A visita do consultor consiste nos seguintes pontos:
Verificação da documentação legal fornecida (Licenças e notas-fiscais)
Verificação aleatória em alguns computadores da empresa (auditoria de software)
Receber cópia dos documentos apresentados e formulários da auditoria preenchidos
8.1.7 CertificaçãoA partir do momento do recebimento das cópias da documentação das licenças e notas fiscais,
os técnicos da Associação Brasileira de Software irão analisá-las. Após esta análise se não for
necessária qualquer outra verificação, o certificado será assinado pelo presidente da entidade e
enviado para a sua empresa pelo correio.
________________________________________________________________________
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
36
9. EXEMPLO DE RESUMO DE AUDITORIA DE SOFTWARE
Resumo de Auditoria de Software
Seção 1: Dados da Empresa & Outros
Nome da Empresa Data Preenchimento Nome e Cargo do
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
37
Responsável Total de PCs em Uso
Seção 2: Resumo dos Dados Coletados
Perfil dos Programas Documentação de Licenças de
Uso dos Produtos
Necessidade
Nome dos Produtos em
Uso e FabricanteVersão
Número de
Instalações
Cartões de
Licenças
de Uso
Contratos
Especiais
Notas
Fiscais
Licenças a
serem
adquiridas
Seção 3: Instruções de Uso do Formulário
Versão
São todos os "modelos"de um mesmo produto, que se diferenciam
um dos outros de acordo com seu desenvolvimento. Ex.:
Windows95 e Windows98
Número de Instalações
Dentro daquele número total de PCs em uso apontado, é a
quantidade de máquinas nas quais estão instalados um
determinado produto/programa.
Cartões de Licenças de Uso
São os documentos impressos que acompanham as caixas dos
produtos adquiridos. Normalmente está em anexo ao guia de
instruções ou manual. No formulário, basta preencher com a
quantidade encontrada, ou que esteja em poder da empresa.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
38
Contratos Especiais São programas de vendas especiais que possibilitam a aquisição
de licenças de uso de software em quantidade, sem ter que pagar o
custo unitário do produto completo, várias vezes. No formulário,
preencha com o número de licenças admitidas pelo contrato que
esteja em vigor para a sua empresa.
Notas Fiscais
No formulário, basta preencher com a quantidade correta de
produtos para os quais sua empresa possui esse registro de
aquisição. Todos descriminados, no documento fiscal de um
fornecedor legal.
Licenças a Serem Adquiridas
É a diferença entre a quantidade de programas instalados e o
número de licenças e ou notas fiscais que comprovam a legalidade
dos produtos instalados.
10. EXEMPLO DE RELATÓRIO DE AUDITORIA DE SOFTWARE
Este formulário é para ser usado em cada PC, workstation e servidor verificado durante o processo de
auditoria de software. Se for utilizada uma ferramenta de auditoria, ela vai obter melhor a necessidade
de informações; Se você não estiver usando uma ferramenta de auditoria, você terá que obter estas
informações através de uma pesquisa física no disco rígido dos equipamentos.
Relatório de Auditoria de Software
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
39
Seção 1: Localização da Auditoria & Dados do Contato:
1. Data: Horário:
2 Departamento/Negócio
Unidade/Departamento:
3 Localização da Instalação:
4 Nome do Contato:
5 Ramal do Funcionário:
6 Cargo:
7 Ferramenta de Auditoria
Usada:
Seção 2: PC, Workstation ou Servidor:
8
Nome do
Software &
Fabricante
9
Versão
10
Número de
Série
11
Nome do
Arquivo
12
Tamanho
do
Arquivo
13
Data da
Instalação
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
40
10.1 INSTRUÇÕES PARA O PREENCHIMENTO DO RELATÓRIO DE AUDITORIA DE SOFTWARE
(Seção 1) Localização da Auditoria & Dados do Contato:
1. Entre com a data e horário específico que cada computador (PC), workstation e servidor foi
vistoriado para a captura dos dados.
2. Entre o nome específico do departamento, unidade de negócio ou divisão da empresa onde o a
auditoria de software está sendo realizada. Ex: Contabilidade, recursos humanos.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
41
3. Entre com a localização da área: Ex: Quinto andar do prédio principal da empresa
4. Entre com o nome do contato. Deve ser a pessoa responsável pela utilização do computador no uso
diário.
5. Entre com o número de telefone e ramal da pessoa de contato.
6. Entre com o cargo da pessoa de contato
7. Se você está utilizando uma ferramenta de auditoria para capturar os dados, entre com o nome da
ferramenta.
(Seção 2) Computador (PC), Workstation ou Servidor:
8. Entre com o nome do produto e o nome do fabricante (Ex: Microsoft Word).
9. Entre com o número da versão do produto (Ex: 97).
10. Entre com o número de série do produto.
11. Entre com o nome do arquivo executável do produto (Ex: WINWORD.EXE).
12. Entre com o tamanho do arquivo executável (Ex.: 5.2 MB).
13. Entre com a data de instalação do produto, se você souber.
10.2. EXEMPLO DE COMUNICADO INTERNO
Data:
Para: Todos os funcionários
De: Departamento de Informática
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
42
Assunto: Auditoria de Software
Durante o mês de ___________, o departamento de Informática irá conduzir nossa auditoria
anual de software utilizado pela nossa empresa. Seu departamento está agendado para ser
visitado em ____(dia)__________, _____(data)__________. A proposta da auditoria é
determinar quais são os programas de computador em uso em cada máquina e se existe licença
de uso ou documento equivalente que comprove a legalidade de cada programa.
Para que o processo de auditoria não interrompa o seu trabalho, nós vamos realizar esta tarefa
o mais rápido possível.
O resultado da auditoria será um melhor gerenciamento e controle do inventário de nossos
programas de computador. Isso irá nós ajudar a ter um melhor planejamento nas compras
futuras de software e a aquisição de software com custos mais acessíveis, sobrando assim mais
investimentos para outros recursos.
Sua cooperação será muito apreciada.
Profª VERA CALILAv. Sete de Setembro, 5388 – cj. 201 – Batel
Curitiba – PR – CEP: 80.240-000FONE: 0xx(41) 244-8507 / 244-6882
43