1 Auditoria. 1.1 Introduo..

Se prev um futuro realmente muito promissor para as profisses no setor de auditoria, razo pela qual devem crescer , nos nossos crculos universitrios, ctedra para o estudo da matria, incentivando-se o aprendizado, organizando-se cursos similares aos que em outros pases j se realizam. O processo de administrao das companhias compreende funes bsicas, diferentes umas das outras, tais como planejamento, organizao, direo, execuo e controle. No mbito empresarial a Auditoria no se resume ao simples papel de controle dos processos administrativos, sendo, portanto uma ferramenta que permite freqentes correes nos rumos destas funes bsicas. A auditoria busca quantificar o alcance dos 3 s da administrao de empresa: EFICCIA, EFICINCIA, E EFETIVIDADE.Eficcia fazer o que deve ser feito, Eficincia como fazer o que deve ser feito e a Efetividade medida que avalia o sucesso do que foi feito.

Na teoria administrativa o conceito da eficincia herdado da economia e considera-se como um dos principais focos da avaliao do desempenho organizacional. Essa eficincia permite estabelecer em que grau os objetivos foram alcanados, se eles se identificam com os objetivos da direo, alm de avaliar a capacidade e a pertinncia das praticas administrativas. Ao realizar simplesmente a avaliao, a partir dos critrios de eficincia clssicos, se reduz o alcance e se setoriza a concepo da empresa, bem como a potencialidade da participao da ao humana. Ao medir, unicamente os resultados que so importantes para a direo da empresa, se reduz a avaliao da auditoria, a um instrumento de controle coercitivo da gerncia para com o resto dos integrantes da organizao. Conseqentemente faz-se necessrio uma recuperao crtica de perspectivas e das tcnicas que permitam uma avaliao integral do que envolve os distintos propsitos presentes nas organizaes. Em nosso caso concreto trataremos desenvolvimento da tcnica de Auditoria, seu crescimento ao longo dos anos; seus fins, princpios, objetivos, alcances e mtodos; e finalmente enfatizaremos as funes, as habilidades, destrezas e algo muito importante que a responsabilidade profissional do Auditor. 1.2 Antecedentes. A auditoria tem sua importncia reconhecida desde os tempos mais remotos, tendo-se conhecimentos de sua existncia nas remotas pocas da civilizao Sumria. Acredita-se, todavia, que o termo auditor evidenciando o ttulo do que pratica esta tcnica, apareceu no final do sculo XVIII, na Inglaterra durante o reinado de Eduardo I. Em diversos pases da Europa, durante a idade mdia, muitas eram as associaes profissionais, que se encarregavam de executar funes de auditorias, destacando-se entre elas os conselhos Londrinenses (Inglaterra), em 1.310, o Colgio de Contadores, de Veneza (Itlia), 1.581. A revoluo industrial, levada a cabo na segunda metade do sculo XVIII, imprimiu novas direes s tcnicas contbeis, especialmente a auditoria, passando a atender s necessidades criadas pelas apario das grandes empresas (onde a natureza e o servio praticamente obrigatrio). No prenncio de 1.845 ou seja, pouco depois de penetrar a contabilidade nos domnios cientfico o "Railway Companies Consolidation Act" obriga a verificao anual dos balanos que deviam fazer os auditores. Tambm nos Estados Unidos, uma importante associao cuida das normas de auditoria, a qual publicou diversos regulamentos,dos quais o primeiro que conhecemos data de outubro de 1.939, no entanto outros consolidaram as diversas normas em dezembro de 1.939, maro de 1.941, junho de 1.942 e dezembro de 1.943.

1.3 Definies.. O que fazer? PERSISTNCIA: tem tudo para fazer: aprender a fazer bem o que produz e colocar os comportamentos e atitudes dos empregados em sintonia. Eficincia alta DESCAMINHO: TREINAMENTO: o pessoal no est necessrio fazendo o que deveria treinamento em ser feito, mas seja l o conhecimentos e Eficcia baixa que estejam fazendo, o habilidades que custo pessoal dos permitam a produo do empregados baixo! que deve ser produzido. Eficincia CONFUSA: ALINHAMENTO: baixa est produzindo o que colocar em sintonia os deve ser produzido, mas comportamentos e a um custo pessoal atitudes das pessoas Eficcia alta muito alto, por parte dos para dar suporte empregados. misso. Eficincia alta SUCESSO: EFETIVIDADE: a empresa est dar mais concretizando a viso, responsabilidade, mais com produo de autonomia e mais excelente qualidade e recursos para o aumento Eficcia alta com relacionamento da qualidade do servio interpessoal de e melhoria do ambiente qualidade entre os de trabalho. empregados. Inicialmente, a auditoria se limitou s verificaes dos registros contbeis, dedicando-se a observar se os mesmos eram exatos. Portanto esta era a forma primria: Confrontar o escrito com as provas do acontecido e as respectivas referncias dos registros. Com o tempo , o campo de ao da auditoria continua estendendo-se; no obstante so muitos os que todavia a julgam com aquele exclusivo foco remoto, ou seja, observar a veracidade e exatido dos registros. De forma clara, escreve Holmes: "... a auditoria o exame das demonstraes e registros administrativos. O auditor observa a exatido, integridade e autenticidade de tais demonstraes, registros e documentos." Por outra parte temos a conceituao sinttica de um professor da universidade de Harvard o qual expressa o seguinte: "... o exame de todas as anotaes contbeis a fim de comprovar sua exatido, assim como a veracidade dos estados ou situaes que destas anotaes procedem". Tomando em conta os critrios anteriores podemos dizer que a auditoria a atividade pela qual se verifica a correo contbil das cifras dos estados financeiros; a reviso dos registros e fontes de contabilidade para determinar a racionabilidade das cifras que mostram os estados financeiros e administrativos emanados delas. QUADRANTE Como est a empresa? Eficincia baixa PERDIDA: as pessoas agem fora de sintonia e no produzem bem o que Eficcia baixa deve ser produzido. 1.4 Objetivo. O objetivo da Auditoria consiste em apoiar a os membros da empresa no desempenho de suas atividades. Para isso a Auditoria os proporciona anlises, avaliaes, recomendaes, assessoria e informaes sobre as atividades revisadas. Os membros da organizao a quem a Auditoria apia, incluem a Direo e as Gerencias. 1.5 Finalidade. A finalidade da auditoria so os aspectos para os quais seu objeto observado. Podemos descrev-los conforme o tipo de Auditoria em foco: 1.6 Tipos de Auditoria. Existem alguns tipos de Auditoria entre as quais a Auditoria de Sistemas integra um mundo paralelo porm diferente e peculiar ressaltando seu enfoque a funo informtica. necessrio refazer a anlise deste quadro que a Auditoria de Sistemas no o mesmo que Auditoria Financeira. Entre os principais enfoques de Auditoria temos os seguintes: Financeira que verifica os estados financeiros. Contbil que verifica a preparao de informes de acordo com os princpios contbeis. Avalia a eficincia.

 Operacional Eficcia. Economia dos mtodos e procedimentos que regem um processo de uma empresa. Sistemas se preocupam da funo informtica. Fiscal se dedica a observar o cumprimento das leis fiscais. Administrativa analisa os graus dos objetivos da Administrao. Desempenho de funes administrativas avalia: qualidade de mtodos, Medies, controles dos bens e servios, revisa a contribuio sociedade assim como a participao nas atividades socialmente orientadas. 1.7 Auditoria Interna. A Auditoria Interna os exames crticos, sistemticos e detalhados de um sistema de informaes de uma unidade econmica, realizado por um profissional com vnculos laborais com a mesma, utilizando tcnicas determinadas e com o objeto de emitir informe e formular sugestes para o melhoramento da mesma. Estes informes so de circulao interna e no tem interesse de terceiros, pois no se revestem da figura da F Pblica. As Auditorias internas so feitas por pessoas da empresa. Um auditor interno tem a responsabilidade da avaliao permanente do controles das transaes e operaes, e se preocupa em sugerir o melhoramento dos mtodos e procedimentos de Controle Interno que redundem em uma operao mais eficiente e eficaz. Quando a Auditoria est dirigida por Contadores Pblicos profissionais Independentes, a opinio de um perito desinteressado e imparcial constitui uma vantagem definida para a empresa e uma garantia de proteo para os interesses dos acionistas, os credores e o Pblico. A imparcialidade e independncia absolutas no so possveis no caso do auditor interno, posto que esse no pode divorciar-se completamente da influncia da alta administrao, e ainda manter uma atitude independente, esta pode ser questionada ante os olhos dos terceiros. Por isto se pode afirmar que o Auditor no somente deve ser independente, sendo imparcial para assim obter a confiana do pblico. A Auditoria Interna um servio que reporta ao mais alto nvel da direo da organizao e tem caractersticas de funo assessoria de controle, por tanto no pode nem deve ter autoridade hierrquica sobre nenhum funcionrio da empresa, a exceo dos que formal parte da coordenao da Auditoria interna, nem deve de modo algum participar ou comprometer-se com as operaes dos sistemas da empresa, pois sua funo avaliar e opinar sobre os mesmos, para que a alta direo tome as medidas necessrias para seu melhor funcionamento. A Auditoria interna s intervem nas operaes e decises prprias de seu departamento, porm nunca nas operaes e decises da organizao a qual presta seus servios, pois como se diz, uma funo assessoria. 1.8 Auditoria Externa. Aplicando o conceito geral, se pode dizer que a Auditoria Externa compreende os exames crticos, sistemticos e detalhados de um Sistema de Informao de uma unidade econmica, realizada por um Auditor sem vnculos laborais com a mesma, utilizando tcnicas determinadas e com o objetivo de emitir uma opinio independente sobre a forma como operam os Sistemas, o Controle Interno do mesmo e formular sugestes para seu melhoramento. A opinio Independente dever ter plena validade por ser gerado por um Auditor que dever ter F Pblica, o que obriga os mesmos a ter plena credibilidade na informao examinada. A Auditoria Externa examina e avalia qualquer erro dos sistemas de informao de uma organizao e emite uma opinio independente sobre os mesmos, porm as empresas geralmente requerem a avaliao de seu Sistema de Informao financeiro, de forma Independente, para outorgar validade ante aos usurios do produto desta, pelo qual tradicionalmente se tem associado o termo Auditoria Externa a Auditoria de Estados Financeiros. O qual como se observa no totalmente equivalente, pois podem existir Auditoria Externa do Sistema de Informao Tributrio, Auditoria Externa do Sistema de Informao Administrativo, Auditoria Externa do Sistema de Informao Automatizado etc. A Auditoria Externa ou Independente tem por objeto averiguar a razoabilidade, integridade e autenticidade dos estados, expedientes e documentos de toda aquela informao produzida pelos sistemas das organizaes. Realiza-se uma Auditoria Externa quando se tem a inteno de publicar o produto do Sistema de Informao examinado com a finalidade de acompanhar o mesmo com uma opinio Independente que promova a autenticidade e permita aos usurios destas informaes, tomar decises confiando nas declaraes do Auditor. Uma Auditoria deve ser feita por uma pessoa ou firma Independente de capacidade profissional reconhecidas. Esta pessoa ou firma deve ser capaz de oferecer uma opinio imparcial e profissional a cerca dos resultados da Auditoria, baseando-se no fato de que sua opinio deve acompanhar o informe apresentado ao trmino do exame e observando-se que esta opinio concedida baseada na veracidade dos documentos dos estados financeiros e que no foram impostas restries ao trabalho de investigao do auditor. Sobre qualquer circunstncia, um Auditor profissional contratado se distingue por uma combinao de conhecimentos completos dos princpios e procedimentos contbeis, jurdicos, estudos profissionais adequados e uma receptividade mental imparcial e razovel. 1.9 Diferenas entre Auditoria Interna e Externa: Existem diferenas substanciais entre a Auditoria Interna e a Auditoria Externa, algumas das quais se podemos citar: Em uma Auditoria Interna existe um vnculo laboral entre o auditor e a empresa, na Auditoria Externa a relao do tipo civil. Na Auditoria Interna o diagnstico do auditor est destinado empresa; no caso da Auditoria Externa este dictame se destina geralmente para terceiras pessoas alheias empresa.

 A Auditoria Interna est inabilitada para dar F Pblica, devido a sua vinculao contratual laboral, a Auditoria Externa tem a faculdade legal de dar F Pblica. 1.10 Auditoria de Adequao. O que ? uma auditoria para avaliar a documentao do sistema implantado, comparando-o com os padres especificados pelas normas ISO. Objetiva verificar se a empresa est seguindo e implementando adequadamente todas as Regras de Negcios que so derivadas da legislao e prticas do seu setor de atividades e se a Tecnologia de Informao que d suporte aos Processos de Negcios implementa efetivamente essas Regras. O que faz? O trabalho inclui a identificao de todas as legislaes tributrias, fiscais, contbeis e operacionais, especficas do ramo de atividade da empresa e a sua transformao em Regras de Negcios (que so a forma particular de como a empresa interpreta e aplica, ou deveria aplicar, essas legislaes). Sero verificados como os Processos de Negcios da empresa e os seus suportes de Tecnologia de Informao implementam essas Regras. Por que feita? Diminuio dos riscos associados no realizao de atividades que devem ser executadas e de atividades que esto sendo executadas de forma errada, para obedecer s determinaes legais e fiscais. 1.11 Auditoria Administrativa. 1.11.1 Antecedentes. Debruando-se atravs do tempo, conveniente revisar as contribuies dos autores que tem acontecido de maneira mais significativa ao longo da histria da administrao. No ano de 1935, James O. McKinsey, da American Economic Association criou as bases para o que hoje chamamos de "Auditoria administrativa", a qual, em suas palavras, consistia em "uma avaliao de uma empresa na totalidade dos seus aspectos, luz de seu ambiente presente e provvel futuro". No Brasil, a atividade de Auditoria teve incio com a chegada das companhias inglesas no incio do sculo, mas ganhou notvel expanso na dcada de 1970, com o desenvolvimento das S.As. e o ingresso de capitais estrangeiros. O Conselho Federal de Contabilidade e a Comisso de Valores Imobilirios foram os responsveis pela regulamentao do trabalho de Auditoria. 1.11.2 Definies. Podemos definir a Auditoria administrativa como o exame integral ou parcial de uma organizao com o propsito de precisar seu nvel de desempenho e oportunidades de melhoria. Segundo Williams P. Leonard a auditoria administrativa se define como: " Um exame completo e construtivo da estrutura organizacional da empresa, instituio ou departamento governamental; ou de qualquer outra entidade e de seus mtodos de controle, meios de operao e implementaes de seus recursos humanos e materiais". Fernndez Arena J.A. sustentam que as revises objetivas, metdicas e completas, da satisfao dos objetivos institucionais, com base nos nveis hierrquicos da empresa, passa pela estrutura, e pela participao individual dos integrantes da instituio.

O aspecto distintivo dos diversos usos do termo, que cada caso de auditoria levado a cabo segundo o sentido que tem esta auditoria para a direo superior. Outras definies de auditoria administrativa so formuladas em um contexto Independente da direo superior, a benefcio de terceiras partes. 1.11.2.1 Necessidades da auditoria administrativa. Na ltimas dcadas houve enormes progressos na tecnologia da informao, na presente dcada parece ser muito provvel que haver uma grande demanda de informaes a respeito do desempenho dos organismos sociais. A auditoria tradicional (financeira) tem se preocupado historicamente em cumprir com os requisitos e regulamentos de custdia e, sobre tudo se tem dedicado ao controle financeiro. Este servio tem sido, e continua sendo de grande significado e valor para nossas comunidades industriais, comerciais e de servios, a fim de manter a confiana nos informes financeiros.

Com o desenvolvimento da tecnologia de Sistemas de Informao tem crescido a necessidade de examinar e avaliar a adequao da informao administrativa, assim como sua exatido. Na atualidade, cada vez maior a necessidade por parte dos funcionrios, de contar com algum que seja capaz a de levar a cabo o exame e avaliao da: Qualidade tanto individual como coletiva dos gerentes (auditoria administrativa funcional). A qualidade dos processos mediante os quais se opera um organismo (auditoria analtica). O que realmente interessa destacar, que realmente existe uma necessidade de examinar e avaliar os fatores externos e internos da empresa e isso deve ser feito de maneira sistemtica, abarcando a totalidade da mesma. Objetivos da auditoria administrativa. Entre os objetivos prioritrios para instrument-la de maneira consistente temos os seguintes: De controle - Destinados a orientar os esforos na sua aplicao e poder avaliar o comportamento organizacional na relao com padres preestabelecidos. De produtividade - Incluem as aes para otimizar o aproveitamento dos recursos de acordo com a dinmica administrativa instituda pela organizao. De organizao - Determinam que seu curso apie a definio da estrutura, competncia, funes e processos atravs do manejo efetivo da delegao de autoridade e do trabalho de equipe. De servio - Representam a maneira na qual se pode constatar que a organizao est imersa em um processo que a vincula quantitativa e qualitativamente com as expectativas e satisfao de seus clientes. De qualidade Dispe da tentativa de elevar os nveis de atuao da organizao em todos seus mbitos, para que produza bens e servios altamente competitivos. De Mudana - A transformao em um instrumento que seja mais permevel e receptivo organizao. De aprendizagem.- Permitem que se transforme em um mecanismo de aprendizagem institucional para que a organizao possa assimilar suas experincias e as capitalize para convert-las na oportunidades de melhoria. De tomada de decises.- Traduzem em por em prtica os resultados em um slido instrumento de suporte ao processo de gesto da organizao. 1.11.2.2 Princpios de auditoria administrativa. 1.11.2.2.1 Definio. conveniente tratar dos princpios bsicos das auditorias administrativas, os quais vm a ser parte da estrutura terica desta, por tanto devemos destacar os princpios fundamentais que so os seguintes: 1.11.2.2.2 Sentido da avaliao: A auditoria administrativa no deseja avaliar a capacidade tcnica de engenheiros, contadores, advogados ou outros especialistas, na execuo de seus respectivos trabalhos. Mas se ocupa de levar a cabo um exame e avaliao da qualidade tanto individual como coletiva, dos gerentes, pessoas responsveis pela administrao de funes operacionais e ver se existem modelos pertinentes que assegurem a implantao de controles administrativos adequados, que assegure: que a qualidade do trabalho seja de acordo com normas estabelecidas, que os planos e objetivos se cumpram e que os recursos se apliquem de forma econmica. 1.11.2.2.3 Importncia do processo de verificao. Uma responsabilidade da auditoria administrativa determinar o que o que s esta fazendo realmente nos niveles diretivos, administrativos e operativos. A prtica nos indica que isso nem sempre est de acordo com o que o responsvel da rea e o supervisor pensam que esta ocorrendo. Os procedimentos de auditoria administrativa respaldam-se tecnicamente na comprovao na observao direta, na verificao de informao e na anlise e confirmao de dados, os quais so necessrios e imprescindveis. 1.11.2.2.4 Habilidade para pensar em termos administrativos. O auditor administrativo, dever colocar-se na posio de um administrador a quem se d a responsabilidade de uma funo operacional e dever pensar como este o faz (ou deveria faz-lo). 1.11.2.2.5 Alcance. Tudo o que se refere sua rea de influncia, compreende sua estrutura, nveis, relaes e formas de atuao. Esta conotao inclue aspectos tais como: Natureza jurdica. Critrios de funcionamento. Estilo de administrao. Processo administrativo. Setor de atividade. mbito de operao. Nmero de empregados. Relaes de coordenao. Desenvolvimento tecnolgico. Sistemas de comunicao e informao. Nvel de desempenho. Trato a clientes (internos e externos). Entorno. Produtos e/ou servios.

 Sistemas de qualidade. 1.11.2.2.6 Campo de Aplicao. A Auditoria administrativa pode instrumentar-se de todo tipo de organizao, seja esta pblica, privada ou social. 1.12 Auditoria Ambiental. 1.12.1 Definio. uma ferramenta de auditoria que compreende a avaliao sistemtica, documentada e peridica dos sistemas das organizaes destinados proteo do meio ambiente. 1.12.2 Antecedentes. A conscincia de problemas ambientais hoje uma preocupao para a grande maioria dos pases. Com isso um grande nmero de empresas (principalmente ad de exportao) tem criado polticas ambientais para atender s legislaes que esto surgindo. 1.12.3 Objetivos. Auditoria Completa Exame padronizado dos aspectos da interao da organizao com o meio ambiente. Auditoria de Gerncia Focaliza o sistema de gerncia. Auditoria tcnica Avalia a unidade de produo, processos de tratamento de resduos. Auditoria de responsabilidade Atribui potenciais obrigaes e custos relativos a futuras limpezas ambientais. 1.12.4 Benefcios. Garantia da continuidade da sanidade ambiental, prevenir potenciais aes de responsabilidade civil, agente facilitador de aquisio de seguro ambiental, abertura de crditos em organismos internacionais com certificao ISO 14000. 1.13 Auditoria de Capital Intelectual. Valor de Mercado

Capital financeiro

Capital estrutural

Capital humano

Capital de clientes

Capital organizacional

Capital da inovao

Capital de processos

O que Diz respeito ao tratamento contbil das empresas que possuem valor de mercado superior ao valor contbil em relao aos ativos intangveis. Por que existe Surgiu da necessidade das empresas em mensurar, avaliar, registrar e evidenciar as informaes referentes a seguinte estrutura: Objetiva ao processo de gesto do conhecimento como agente transformador dos bens e servios. Ainda carece de sistematizao para que se possa refletir alguma posio no sentido de como utiliz-las efetivamente como um diferencial competitivo. Como feita Encontra-se resistncia e falta de parmetros para a devida auditoria na contabilidade tradicional em virtude de a entidade no possuir sua propriedade e dada a complexidade de atribuir valor ao capital intelectual. Contudo, cada empresa deve decidir o que importante para ser medido em relao a sua viso e estratgia. Adotam-se medidas para o sucesso da auditoria como a do Balanced Scorecard, Datawarehouse e Datamining no mapa estratgico. 1.14 Auditoria de Concesso. O QUE ? A auditoria de concesso uma auditoria para efeitos de concesso da certificao. So verificadas todas as funes do Sistema de Gesto Ambiental, de modo a avaliar se todos os requisitos da norma de referncia so cumpridos. Como feita? 1 - Pedido de Certificao; 2 - Anlise do Pedido de Certificao; 3 - Visita Prvia; 4 Auditoria; A entidade responsvel pela certificao dever informar empresa candidata (por escrito) das datas fixadas para a respectiva auditoria e da equipe que ser nomeada para a mesma. Antes da auditoria, a equipe auditora enviar o plano da auditoria. A auditoria o principal passo na certificao do SGQ, pois permitir verificar se o sistema implementado est em conformidade com a norma de referncia. efetuada em duas fases: 1 Fase procede-se avaliao da documentao do SGA; 2 Fase feita a verificao do sistema global, de modo a conhecer o cumprimento dos requisitos da norma.

Da auditoria resultar um relatrio. Deste relatrio podero constar no conformidades/observaes constatadas e as respectivas aes corretivas a implementar. A empresa candidata dever elaborar um plano de aes corretivas com vista a corrigir as no conformidades/observaes e remet-lo entidade responsvel pela certificao. 4a - Auditoria de Seguimento Em funo do relatrio e das aes corretivas propostas pela empresa candidata, a empresa que confere a certificao faz a avaliao. Tal poder resultar na necessidade de realizao de uma auditoria de seguimento, ou seja, a verificao de que as aes corretivas esto a serem corretamente aplicadas antes de atribuir a certificao. 5 Certificao; 6 - Acompanhamento ou Renovao; Porque feita? 1.15 Auditoria Coorporativa. O que Auditoria realizada pela empresa para verificar a estrutura organizacional, os papis e responsabilidades e o desempenho na implementao da poltica empresarial estabelecida. A Auditoria Corporativa tambm analisar reclamaes de no-conformidade com os princpios de condies de trabalho, proteo sade, remunerao, jornada de trabalho e treinamento, em qualquer nvel. Mediante indicao de violao, a Auditoria Corporativa tomar as aes apropriadas. Como feita A auditoria corporativa pode ser feita identificando riscos do negocio e alertar a alta administrao da empresa acerca dos efeitos nos resultados operacionais e financeiros. Tambm voltada para a identificao de falhas ou deficincias e/ou tendo um carter preventivo, focando, principalmente, alem da fidedignidade das demonstraes contbeis, a identificao de fatores que possam acarretar a ocorrncia de erros. Por que feita Para aumentar a probabilidade de que os objetivos e metas estabelecidos sejam atingidos. Essas aes conferem preciso e confiabilidade aos dados contbeis, promovem a eficincia operacional e encorajam a aderncia as polticas administrativas prescritas. Atualmente a Tecnologia de Informao vem ajudando as empresas e seus administradores a gerirem de forma mais confivel. Esses sistemas de informao ajudam na tomada de decises com base em uma integrao de dados de todos os setores da organizao. E na auditoria ela tambm ajuda os auditores atravs de softwares que quando alimentados com todas as informaes necessrias, traz ao auditor relatrios que vo auxili-lo a emitir seu parecer final. 1.16 Auditoria de Descomissionamento. O que ? um tipo de Auditoria Ambiental. Tem carter investigativo e utilizada em unidades fabris, rea desativada ou em processo de desativao. Por que faz? Por que avalia os danos ao ecossistema e populao do entorno de alguma unidade empresarial em conseqncia de sua desativao (paralisao definitiva de suas atividades) Como faz? Desenvolve-se o processo pelo qual os componentes e sistemas de uma instalao so retirados de operao, de forma planejada, controlada e documentada. a) comprovar as condies previstas de isolamento da fonte e de controle da liberao de efluentes; b) prover meios para demonstrao ao pblico de que a fonte e a liberao de efluentes se encontram sob controle; c) avaliar os incrementos detectados nos nveis de radioatividade ou concentraes de atividades de radionucldeos, em relao fase pr-operacional, s reas de controle e aos nveis medidos nos anos anteriores; d) estimar o impacto devido aos incrementos detectados, e se necessrio, propor e implementar programa de monitorao complementar e outras aes corretivas que levem ao retorno das condies operacionais impostas; e) avaliar as tendncias em relao s medidas de nveis de radioatividade ou das concentraes de radionucldeos em reas Sujeitas ao impacto radiolgico da prtica e fora destas (reas de controle), que permitam distinguir a contribuio da prtica avaliada daquela de outras fontes; f) demonstrar a conformidade com os nveis operacionais estabelecidos; g) realizar a superviso da regio de modo a identificar modificaes em parmetros que indiquem a necessidade de reviso do programa; h) Manter registros continuados das medidas efetuadas que permitam os processos de acompanhamento e auditoria da prtica. 1.17 Auditoria de Desempenho. O que ?

 um exame sistemtico e objetivo de evidencias com o propsito de fornecer uma avaliao independente de desempenho de uma organizao governamental, seus programas, atividades ou funes, para prover informaes que aperfeioem accountability e facilitem a tomada de deciso dos responsveis pela superviso ou pela iniciativa de aes corretivas. A auditoria inclui auditoria de economia e eficincia, bem como auditoria de programas. Como feita? A auditoria de desempenho compara o desempenho do programa auditado com os padres que devero ser selecionados em cada auditoria. - examina a aplicao dos recursos oramentrios e financeiros, oriundos de quaisquer fontes, nos projetos e atividades a que se destinam, avaliando a gesto quanto aos aspectos de economicidade, da eficincia e da eficcia; - avalia as aes gerenciais e os procedimentos relacionados ao processo operacional, verificando a adequao entre os meios empregados e os resultados alcanados pelas unidades auditadas; - avalia a confiabilidade, a segurana e a adequao dos controles internos; - verifica o grau de controle e a proteo dos bens mveis e imveis, recomendados, se necessrio, a adoao de mecanismos que assegurem probidade em sua guarda e conservao. Porque feita? A auditoria de desempenho surgiu como uma resposta para as questes pertinentes a avaliao do uso de recursos no alcance dos objetivos da organizao e, conseqentemente, dos procedimentos adotados para a consecuo desses objetivos. Esse tipo de auditoria utilizado tanto na administrao publica como no setor privado particularmente em reas de planejamento de negcios estratgia de mercado. 1.18 Auditoria em Enfermagem. O que : Auditoria em enfermagem a avaliao sistemtica da qualidade da assistncia de enfermagem, verificada atravs das anotaes de enfermagem no pronturio do paciente e das prprias condies deste. Como feita: Auditoria retrospectiva: a auditoria feita aps a alta do paciente, em que se utiliza o pronturio para avaliao; portanto, os dados obtidos no revertero em benefcios deste paciente diretamente, mas sim para a assistncia de maneira global. Tambm tem a desvantagem de no permitir saber-se o que foi feito e no foi feito. Fatores que podem ser verificados nos pronturios: - condies do paciente no ato de internao; - mtodo de admisso do paciente; - atendimento das prescries mdicas; - sistema de elaborao de plano de servio para cada funcionrio dos diversos plantes; - anotaes dos sinais vitais e sintomas; - transferncias e suas causas; - condies de alta, orientao ao paciente no ato da alta e acompanhamento. Auditoria operacional ou concorrente: a auditoria feita enquanto o paciente est hospitalizado ou em atendimento ambulatorial, e pode ser realizada das seguintes maneiras: - exame do paciente e confronto das necessidades levantadas com a prescrio de enfermagem ou avaliao dos cuidados in loco (acompanhar o funcionrio e confrontar com os parmetros estabelecidos); - entrevista com o prprio funcionrio logo aps a prestao do cuidado, levando-o reflexo e servindo como material de auditoria; - avaliao feita pelo paciente e sua famlia, verificando a percepo destes quanto assistncia prestada; nesse caso, importante que sejam selecionados familiares que tenham realmente acompanhando o paciente; - pesquisa junto equipe mdica, verificando o cumprimento da prescrio mdica e interferncias das condutas de enfermagem na teraputica mdica (trabalho mais difcil e muito mais criterioso, em vista das questes ticas envolvidas. Porque feita: - Identificar as reas (unidades) deficientes do servio de enfermagem, auxiliando, por exemplo, para que as decises quanto ao remanejamento e aumento de pessoal sejam tomadas com base em dados concretos. - Identificar reas de deficincia em relao assistncia de enfermagem prestada, percebendo-se, por exemplo, defasagem no atendimento da rea psico-espiritual; - Fornecer dados para melhoria dos programas de enfermagem; - Fornecer dados para melhoria da qualidade do cuidado de enfermagem; - Obter dados para programao de reciclagem e atualizao do pessoal de enfermagem. 1.19 Auditoria Estratgica. O que ? Auditoria estratgica a avaliao de reas afetadas pelo funcionamento de um processo de administrao estratgica dentro de uma organizao. Tal tipo de auditoria pode ser ampla, enfatizando todas as facetas do processo, ou muito concentrada, enfatizando somente uma nica parte dele. Cada organizao, dentro de seu plano estratgico, deve projetar e implementar suas prprias ferramentas de auditoria para atender s suas necessidades especficas. Como feita? Fase I Diagnstico a. Revisar plano estratgico.

b. Identificar: principais atores, suas responsabilidades e suas interaes dentro da organizao; processo de tomada de deciso e principais decises que j foram tomadas; recursos disponveis, incluindo capital, instalao fsica, administrao e tecnologia; inter-relacionamento entre equipes funcionais e unidades operacionais. c. Identificar implicaes da estratgia que podem afetar a estrutura da organizao: padres de comportamento, sistemas e processos. d. Determinar perspectivas internas e externas: pesquisar as atitudes e percepes das alta e mdia administraes e de outros empregado chave para avaliar o seu grau de consistncia com as diretrizes estratgicas da empresa. Uma forma de se obter isso atravs de entrevistas focalizadas, em que os empregados devem identificar e apontar os objetivos e variveis que eles consideram mais importantes; e. entrevistar uma amostra selecionada de stakeholders (todos os envolvidos no processo) para compreender a imagem que a organizao tem. f. Identificar aspectos da estratgia que esto funcionando bem. Formular hipteses em relao a problemas e oportunidades de melhoria com base nas descobertas acima. Definir como e em que ordem cada uma delas deve ser perseguida. Fase II Anlise concentrada a. Testar as hipteses relacionadas com problemas e oportunidades de melhoria atravs da anlise de assuntos especficos. b. Formular concluses com relao aos pontos fracos na formulao da estratgia, deficincias de implementao ou a interao entre os dois. Fase III Recomendaes a. Desenvolver solues alternativas para problemas e formas de capitalizar oportunidades. b. Desenvolver recomendaes especficas, incluindo um novo plano de ao para melhorar os resultados estratgicos. Por que feita? realizada para aferir se a estratgia traada para empresa est sendo cumprida e identificar possveis problemas que possam atrapalhar o cumprimento do plano estratgico que foi projetado. 1.20 Auditoria de Estoques. O que ? A Auditoria dos Estoques tem como objetivo, verificar a exatido do saldo dos estoques demonstrado no Balano Patrimonial e ou declarado no livro prprio de registro de inventrio das empresas; e sob a tica da Auditoria fiscalcontbil, a elucidao de irregularidades fiscais que envolvem estes bens de venda, e as repercusses, que quase sempre resultam na reduo da parcela tributria pertencente ao errio pblico. Por que feita? A sonegao de tributos d-se na maioria dos casos, pela omisso de receitas. Atravs da Auditoria dos Estoques, podem-se descobrir artifcios usados pelos sonegadores para tentar ocultar aos olhos do Auditor Fiscal, tal prtica, como o caso da Superavaliao e a subavaliao de Estoques. Dentre os procedimentos de auditoria dos estoques, o levantamento especfico, tem sido uma tcnica bastante eficaz. H quem considere arcaico o procedimento de auditoria dos estoques, porm, nunca deixar de ser sempre um tema atual e um instrumento de grande valia para o auditor. No dizendo que o auditor deva se limitar apenas a Auditoria dos Estoques, porm, aliado a outros procedimentos eficazes existentes, estar assim , fechando cada vez mais as fendas abertas pelos que querem apropriar-se indevidamente da riqueza que mantm o estado; o tributo. Como feita? a) O procedimento inicial a ser executado pelo auditor, o confronto entre o saldo apresentado no Balano e o saldo declarado no livro registro de inventrio. As diferenas, a maior, verificadas na contabilidade caracterizam a superavaliao dos estoques, podendo o auditor acusar a empresa de omisso de receitas. b) A comprovao fsica dos estoques tambm indispensvel. A verificao pode ser realizada atravs de testes estatsticos, mas, recomendvel que se esteja atento medida ou extenso. A verificao deve ser o mais rigorosa possvel, examinando os detalhes de cada material, pois normalmente existem muitos de grande semelhana. Quando houver dificuldades para contagem ou medio do material, como cereais em silos, combustveis em tonis, pequenas peas em grandes quantidades, etc.; o auditor deve tambm apelar para o sentido prtico, usando de cubagens, etc., a fim de facilitar o trabalho e no torn-lo demasiadamente lento quanto a verificao. Deve ser procedida a avaliao do controle interno dos estoques, antecedendo a verificao do inventrio de modo a ter-se conscincia sobre os limites de alcance dos estoques em sua evidenciao e exatido. Quando os levantamentos fsicos de estoques so feitos fora da data do inventrio que serve de base para o balano, so necessrias reconciliaes , que visam alcanar o saldo de balano, como por exemplo: Estoque inventariado Unidades Levantamento em 25/03/1998 50 (+) Sadas no perodo 01/01 25/03 requisies efetivas 190 Subtotal 240 (-) Compras no perodo 01/01 25/03 150 SALDO DO BALANO 90

O saldo encontrado indica que na data do encerramento do balano, o saldo deveria ser de 90 unidades. Tal saldo deve o auditor conferi-lo com aquele registrado no livro de inventrios, e que serviu de base para o balano. c) O auditor deve proceder obrigatoriamente, ao exame da avaliao dos estoques, pois est correlacionado comprovao fsica; analisando os procedimentos da formao dos custos bem como os critrios de avaliao dos estoques. Quando a fixao do valor exigir o conhecimento do preo de mercado ou de reposio, necessrio se faz certificar-se das fontes fornecedoras de dados sobre a realidade dos nmeros como tambm se o critrio adotado respeitou o critrio do custo ou mercado, dos dois o menor. d) A veracidade da expresso contbil dos estoques deve ser verificada atravs do mais amplo exame dos registros, da realidade fsica, da exatido aritmtica e do valor, em consonncia com a legislao fiscal e os princpios fundamentais de contabilidade. O objetivo que o auditor certifique-se de que a cifra constante do Balano, bem como as apropriaes aos custos dos bens de venda que se converteram em receitas, representam de forma adequada a posio e a circulao dos estoques. A anlise deve envolver o manuseio da documentao julgada necessria e conveniente e relativa a entradas e sadas. O auditor deve apelar para todos os meios tcnicos auxiliares que lhe permitam garantir a realizao do levantamento e o exame documental. A verificao dos registros de estoques deve compreender: - observao da autenticidade dos documentos de sada (requisies) - confronto com as notas de entradas e sadas a fim de constatar se as quantidades lanadas esto corretas. - verificao aritmtica para comprovar se o saldo est corretamente calculado, e a verificao dos transportes de saldos. e) A abrangncia das provas um critrio pessoal do auditor, assim como o mtodo de amostragem, mas, ser sempre conveniente que se atribua maior ateno aos bens de maior valor e de maior volume de giro. f) Quando houver a impossibilidade de verificao dos estoques em armazns gerais ou consignados a terceiros ou de pouca relevncia, bem como aqueles gravados por nus, o auditor pode recorrer a circularizaes de correspondncias onde se solicitem dados analticos sobre as mercadorias, tais como: quantidade, qualidade, especificao completa, codificao, tipo de embalagem, obsoletos, danificados ou incompletos; ou a solicitaes de certificados de depsitos ou nus, solicitando sejam assinados por elementos credenciados dos informantes. g) O auditor deve atentar para a avaliao dos itens dos estoques que por natureza deve ter seus valores minimizados, como: resduos, retalhos, refugos, obsoletos avariados e semelhantes. Se a eles foram atribudos valores equivalentes ou aproximados dos demais itens do estoque. h) recomendvel que exista uma correlao entre a auditoria dos estoques, e os custos dos produtos vendidos ou mercadorias vendidas e as vendas, atravs de integrado critrio de exame i) Devoluo de Vendas - Verificar pelas fichas de estoque, casos de devoluo pelos clientes, examinar se as devolues se processaram com documento fiscal e devidamente lanadas nos livros de entrada de mercadorias; verificar no livro dirio e identificar lanamentos contbeis de devolues. O objetivo identificar a regularidade das devolues e se os lanamentos contbeis dessas operaes no escondem alguma situao irregular. 1.21 Auditoria Extraordinria. O que geralmente fruto de auditorias internas e sistemticas como a Auditoria da Qualidade ou Ambiental tendo como principal caracterstica a possibilidade de ser realizada a qualquer tempo, ou seja, fora do prazo da programao anual de auditorias por deciso da direo da empresa auditada ou do auditor interno. A auditoria extraordinria pode ser uma auditoria-testemunha. Porque feita Sempre que existirem fatos relevantes em relao a no-conformidades, oportunidades de melhoria para apoiar a os membros da empresa no desempenho de suas atividades e nvel de desempenho ou reclamaes/denncias que ponham em risco a credibilidade da organizao. Exemplo: O TCU (Tribunal de Contas da Unio) decidiu fazer auditoria extraordinria em 27 rgos pblicos envolvidos em supostos casos de corrupo e trocar informaes com as CPIs dos Correios, Bingo e Mensalo. As CPIs facilitariam a fiscalizao nos rgos porque tm poder de quebrar sigilos bancrio e fiscal. Cem auditores fizeram uma auditoria extraordinria com durao de 60 dias teis. Foram analisados contratos de publicidade e de informtica. Entre os rgos alvos estavam a Cmara dos Deputados, o gabinete da Presidncia da Repblica, BB, Correios, Petrobrs, Casa da Moeda, CEF, Ministrio da Justia e Furnas. Os processos relativos aos demais rgos pblicos, no listados pelo tribunal, ficaram parados at a concluso da auditoria extraordinria, que tinha prioridade. Como feita Antes do incio da auditoria, a equipe auditora deve realizar uma reunio de abertura com os representantes do organismo a ser auditado, visando: Apresentar a equipe auditora; - Confirmar o objetivo e os escopos da auditoria; - Confirmar ou traar o plano da auditoria; - Definir os canais formais de comunicao entre os auditores e os auditados; Durante a realizao da auditoria, os auditores devem: - Levantar todas as fontes que citaram as irregularidades ou denncias; - Comprovar as informaes levantadas, atravs de evidncias; - Comprovar a implementao e eficcia de aes corretivas registradas em auditorias anteriores ou na anlise da documentao;

- Manter fidelidade ao plano de auditoria, registrando as possveis alteraes; - Registrar as constataes ocorridas; - Comunicar ao auditado as no-conformidades constatadas, assegurando-se da sua compreenso. Antes da reunio de encerramento a equipe auditora, deve: - Realizar uma reunio da equipe auditora, para anlise e consenso dos resultados; - Realizar uma reunio final com os responsveis da organizao, objetivando: - Apresentar o resumo dos comentrios, positivos e negativos; - Entregar, se houver, os originais dos registros de no-conformidades organizao auditada, guardando cpias; - Emitir o parecer final e obter a assinatura do representante no relatrio. 1.22 Auditoria de Fraude. O que ? uma auditoria feita em empresas pblicas para descobrir se h alguma irregularidade (fraude) nas licitaes feitas. Por que? A auditoria feita quando h indcios de fraudes nas licitaes realizadas pelas organizaes pblicas. Como? Na deteco das fraudes, o auditor ter que fazer as seguintes anlises: Examinar documentos oficiais; Comparar os documentos; Inspecionar as empresas figuradas como participantes; Obter informaes dos scios da empresa participante, junto ao cartrio e a junta comercial. 1.23 Auditoria de Manuteno. O que ? A Auditoria de Manuteno ou Anlise Crtica da Manuteno um exame objetivo dos sistemas e procedimentos utilizados por uma organizao no gerenciamento completo de seus ativos, procurando sempre encontrar evidncias objetivas de conformidades dentro do sistema de gesto. Como feita? 1 parte Avaliar desempenho 2 Parte Auditoria realizada pela empresa junto aos seus fornecedores 3 Parte Auditoria realizada por um organismo independente para verificar as atividades da empresa em relao a requisitos especificados Porque feita? Para determinar se as atividades e seus resultados esto de acordo com as disposies planejadas, se estas foram efetivamente implementadas e se so adequadas consecuo dos objetivos. 1.24 Auditoria de Marketing. O que ? So exames abrangentes, sistemticos, independentes, detalhados e peridicos do ambiente de marketing, visando determinar reas de problemas e oportunidades, alm de recomendar um plano de ao para melhorar o desempenho de marketing da mesma. Por que feita? feita com o objetivo de efetuar um levantamento detalhado da atuao do(s) departamento(s) de marketing da empresa, de forma a identificar possibilidades de aumento do lucro da empresa, atravs da melhoria de atividades como anlise mercadolgica, definio de mercados-alvo, planejamento de estratgias e implementao ttica. Como feita? O processo inicia-se com entrevistas direcionadas com os acionistas e principais executivos da empresa, seguidas por entrevistas com os profissionais-chaves de cada departamento de marketing. A fase seguinte a anlise da documentao, compreendendo os planejamentos de marketing das diferentes linhas de produto, planejamentos de comunicao, pesquisas de mercado, relatrios sobre a concorrncia, relatrios de vendas, financeiros, discusso das estratgias em curso e da eficcia de sua implementao. O processo continua com o estudo das mudanas possveis para o ganho de produtividade. Logo aps, apresentado s concluses do trabalho. Avaliao O sistema de inteligncia de marketing est atuante e gerando informaes relevantes. As caractersticas do mercado que podero afetar o desempenho futuro da empresa esto bem definidas e se as dependncias do mercado em que atua so conhecidas. O grau de informaes sobre os concorrentes adequado. As estratgias e tticas adotadas esto bem fundamentadas e so consistentes com os objetivos ou aspiraes dos acionistas. O planejamento de marketing est sendo executado de acordo com padres aceitveis. O grau em que as necessidades dos clientes esto sendo atendidas e est influenciando positivamente o valor percebido dos produtos. A mecnica do sistema de preos est bem estruturada e compatvel com o posicionamento das marcas/produtos. O que ? E um trabalho de preveno que envolve o estabelecimento de determinadas medidas preventivas para evitar demandas judiciais ou infraes administrativas.

 Como fazer? O auditor examina as operaes trabalhistas, os direitos e deveres dos empregados e dos empregadores. Emite parecer com as possveis irregularidades e identifica caminhos para a melhoria da situao atual. uma forma de preveno e de reduo de custos e riscos na rea trabalhista. Por que fazer? Cientificar os riscos de possveis autuaes da fiscalizao do trabalho; Prevenir ou evitar reclamaes trabalhistas impetradas na Justia do Trabalho; Informar direo da empresa suas relaes com os empregados, segundo a legislao vigente. 1.25 Auditoria Operacional. O que ? A auditoria operacional tem por objetivo a reviso metodolgica da atividade ou segmentos operacionais, buscando avaliar se os recursos da organizao esto sendo usados de maneira eficaz e eficiente para atingir os objetivos operacionais. um processo de avaliao de riscos e de sistemas de controles internos inerentes atividade operacional, comparado com o esperado, o que propicia, inevitavelmente, a apresentao de recomendaes destinadas a melhorar o desempenho e aumentar o xito da organizao. Por que fazer? A deciso de contratar esse servio junto a uma empresa de auditoria independente, quase que na totalidade, motivada pela necessidade de obter conhecimentos e verificar se os recursos disponveis esto sendo utilizados de formas eficientes, eficazes e com economicidade. Essa parceria propicia inmeras vantagens, dentre as quais podemos destacar: Rpida implantao da auditoria interna; Acesso imediato tecnologias, metodologias e ferramentas de ltima gerao; Concentrao nas atividades fins da empresa; Participao de especialistas no desenvolvimento dos trabalhos; Compartilhamento de conhecimento, informaes e experincias; Reduo de custos (viagens, equipamentos, tecnologia, etc.); Instrumento externo para identificar oportunidades de mudanas; Flexibilidade para adequar a funo e o staff a freqentes mudanas de prioridades; Maior independncia e objetividade para uma funo importante na estrutura de controles internos, dentre outras. Essas vantagens mostram claramente que uma auditoria operacional bem planejada e bem executada pode traduzir-se em resultados positivos, suplantando facilmente os custos dos servios. Como fazer? A metodologia para se fazer uma auditoria operacional em uma organizao, deve contemplar os seguintes tpicos: - Os objetivos da empresa ou instituio e os motivos que sustentam os mesmos; - O passado do patrimnio (anlise comparativa das situaes patrimoniais, de resultado e de finanas); - O entorno scio-econmico em que a empresa se situou no passado e o que tem no presente; - A estrutura administrativa que possui o valor humano de liderana e o do pessoal; - A postura perante a Qualidade e o Planejamento (metas fixadas ou perseguidas); - A agilidade de comunicao e coordenao de pessoal interno e deste com os agentes externos; - A evoluo da clientela e tambm a do lucro. 1.26 Planejamento Estratgico. O que ? Conjunto de atividades necessrias para determinar as metas (viso) e os mtodos (estratgia) e o desdobramento destas metas e mtodos. a arte gerencial de posicionar os meios disponveis da empresa visando manter ou melhorar posies relativas a potenciais favorveis a futuras aes tticas na guerra comercial. O planejamento estratgico visa garantir a sobrevivncia da empresa. Como? O planejamento estratgico pode ser feito por trs etapas: Avaliao Estratgica, Definio de Prioridades e Programao das Aes. A Avaliao Estratgica, consiste na enumerao das principais oportunidades e ameaas encontradas no ambiente externo, aliada aos aspectos facilitadores (foras) e dificultadores (fraquezas), encontrados no ambiente interno da empresa, que podem afetar o negcio. Na Definio das Prioridades, identifica-se o que no pode deixar de ser feito frente s ameaas e s fraquezas e para potencializar as oportunidades e foras. nesse momento que se define o rumo que se deve tomar, levando-se em considerao a avaliao dos ambientes externo e interno. Na Programao das Aes so respondidas algumas perguntas fundamentais para que a estratgia esboada possa ampliar suas chances de ser bem sucedida: como fazer (as aes necessrias), quem vai fazer (os responsveis por sua realizao), quando vai ser feito (os prazos de realizao) e quanto vai custar (os recursos financeiros necessrios). Porque? O planejamento estratgico procura responder a questes bsicas, como: - Por que a organizao existe? - O que e como ela faz ? - Onde ela quer chegar?.

Dele resulta um plano estratgico, ou seja, conjunto flexvel de informaes consolidadas, que serve de referncia e guia para a ao organizacional. Pode ser considerado como um guia para os membros de uma determinada organizao. 1.27 Auditoria Porturia - certificao ISPS-CODE. O que ? - Cdigo Internacional de Servio de Segurana Porturia - Regulamentada pela portaria n 4 de 24 de fevereiro de 2003 do Dirio Oficial da Unio Por qu existe? - Aps 11 de setembro de 2001 - Antes era feita apenas nos aeroportos - A Petrobrs investiu no total de 36 milhes para adequar os portos. Objetivo. - Receber embarcaes procedentes do exterior ou a ele destinadas; - Efetuar operaes de carga, descarga, armazenagem ou passagem de mercadoria a granel procedente do exterior ou a ele destinada. Como feita? - Mede o nvel de segurana do porto (Nvel I, Nvel II e Nvel III) - Controlar o acesso de pessoas - Manter a segurana do navio enquanto o navio estiver atracado no porto 1.28 Auditoria do Produto. O que ? A organizao deve auditar produtos em fases apropriadas de produo e entrega para verificar conformidade a todos os requisitos especificados, como dimenses de produto, funcionalidade, embalagem, etiquetagem a uma freqncia definida. D nfase a reinspeo do produto pronto e anlise de registros dos resultados dos ensaios, testes e inspeo. avaliada a qualidade do produto sob considerao dos requisitos do cliente, das especificaes tcnicas, dos documentos de teste e de fabricao. Como feita? Investiga a conformidade de um nmero de produtos (amostras) quanto a caractersticas de qualidade predeterminadas, baseada nas instrues de controle e no check-list emitidos. A seguir um exemplo de um formulrio de Auditoria do Produto da Estamparia. - Os produtos esto embalados adequadamente? (conforme o manual de embalagem) - A embalagem est em bom estado de conservao? (amassada, oxidada, suja etc.). - O interior da caamba est com proteo adequada? (plstico/papelo) - A caamba est tarada? (especificao do peso marcado na caamba) - As etiquetas invlidas foram removidas? - Os produtos embalados ultrapassam a borda superior da caamba? - Os produtos embalados foram pulverizados com leo de proteo? - O produto est identificado adequadamente? - Existe produto com oxidao? Porque feita? feita para verificar se os produtos que sofreram inspeo esto completamente em conformidade com as exigncias e necessidades da qualidade. - As condies ticas da empresa em seu mercado e do volume de clientes. 1.29 Auditoria Pblica. 1.29.1 Definio. A auditoria governamental consiste no exame objetivo, isento de emisso de juzos pessoais imotivados, sistmico e independente, das operaes oramentrias, financeiras, administrativas e de qualquer outra natureza, objetivando verificar os resultados dos respectivos programas, sob os critrios de legalidade, legitimidade, economicidade e razoabilidade, tendo em vista sua eficincia e eficcia. 1.29.2 Planos e Objetivos. Examinar e discutir com a direo o estado atual dos planos e objetivos. No setor Pblico se implementa a funo da figura jurdica, atribuies, mbito de operao, nvel de autoridade, relao de coordenao, sistema de trabalho e linhas gerais de estratgia, com base nos critrios institucionais de cada ente pblico. Estes classificam-s e como: Dependente do Executivo Federal ou Estadual (Secretaria de Estado, Ministrios, centralizadas.). Entidades Paraestatais. Organismos Autnomos. Governos dos Estados (Entidades Federativas). Comisses Intersecretariais. Mecanismos Especiais.

1.29.3 Tipos de Auditoria Pblica. 1.29.3.1 Definio. A Auditoria Integrada, derivada da Comprehensive Audit (Canad), e que corresponde auditoria abrangente ou de amplo escopo, e englobando as Auditorias de Regularidade ou de Conformidade e a Operacional; tem elevado a capacidade do estado em controlar a efetividade dos gastos pblicos. 1.29.3.2 Auditoria de Regularidade ou de Conformidade (contbil e de cumprimento). Realiza o exame das operaes e transaes de natureza contbil, financeira, oramentria e patrimonial, com o objetivo de se emitir uma opinio sobre a adequao das demonstraes tomadas em conjunto, assim como verifica o atendimento s leis, normas e regulamentos aplicveis, alm dos aspectos de moralidade e legitimidade dos atos administrativos. 1.29.3.3 Auditoria Operacional (economicidade, eficincia, eficcia e efetividade). Acompanha e avalia a ao governamental, compreendendo a implementao de programas, a execuo de projetos e atividades, a gesto de sistemas e a administrao de rgos e entidades, tendo em vista a utilizao econmica dos recursos pblicos, a eficiente gerao de bens e servios, o cumprimento das metas programadas e o efetivo resultado das polticas governamentais. 1.29.3.4 Organizao. Estudar a estrutura da organizao na rea que se valora. Comparar a estrutura presente com a que aparece no organograma da organizao da empresa, (se que a h). Assegurar-se de existem princpios de uma boa organizao, funcionamento e departamentalizao. 1.29.3.5 Polticas e Prticas. Fazer um estudo para ver que ao (no caso de requerer-se) deve ser empreendida para melhorar a eficcia de polticas e praticas pblicas. 1.29.3.6 Regulamentos. Determinar se a organizao se preocupa de cumprir com as leis municipais, estatais e federais. 1.29.3.7 Sistemas e Procedimentos. Estudar os sistemas e procedimentos para ver se apresentam deficincias ou irregularidades nos seus elementos sujeitos a exame, e idealizar mtodos para lograr melhorias. INTOSAI International Organization of Supreme Audit Institutions aprovou as Normas de Auditoria (1992). 1.29.3.8 Controles. Determinar se os mtodos de controle so adequados e eficazes. 1.29.3.9 Operaes. Avaliar as operaes com objetivo de precisar quais aspectos necessitam de um melhor controle, comunicao, coordenao, com objetivo de lograr melhores resultados. 1.29.3.10 Pessoal. Estudar as necessidades gerais de pessoal e sua aplicao ao trabalho na rea sujeta a avaliao . 1.29.3.11 Equipe Fsica e sua Disposio. Determinar se poderiam levar a cabo melhorias na disposio da equipe para uma melhor ou ampliar a utilidade da mesma. 1.29.3.12 Relatrio. Preparar um informe das deficincias encontradas e consignar nestes as sugestes convenientes. O que ? o conjunto de tcnicas que visa avaliar a gesto pblica, pelos processos e resultados gerenciais, e a aplicao de recursos pblicos por entidades de direito pblico e privado, mediante a confrontao entre uma situao encontrada com um determinado critrio tcnico, operacional ou legal. Trata-se de uma importante tcnica de controle do Estado na busca da melhor alocao de seus recursos, no s atuando para corrigir os desperdcios, a improbidade, a negligncia e a omisso e, principalmente, antecipando-se a essas ocorrncias, buscando garantir os resultados pretendidos, alm de destacar os impactos e benefcios sociais advindos. Como feita? Essa auditoria feita nos meandros da mquina pblica em todas as unidades e entidades pblicas, observando os aspectos relevantes relacionados avaliao dos programas de governo e da gesto pblica. Por que feita? Para apurar os atos e fatos inquinados de ilegais ou de irregulares, praticados por agentes pblicos ou privados, na utilizao de recursos pblicos; examinar a regularidade e avaliar a eficincia e eficcia da gesto administrativa e dos resultados alcanados nas aes de governo. 1.30 Auditria de Risco. O que ? Constitui uma ferramenta geradora de valor agregado para a sustentao do julgamento profissional e para outorgar segurana sobre as concluses finais do trabalho que se realiza. David McNamee, que na revista Internal Auditor do ms de agosto de 1997, a respeito sustenta:... A mensurao do risco na auditoria identifica medidas e riscos prioritrios, colocando, assim, o enfoque que nas reas auditveis de grande importncia. Como feita? - Definio dos objetivos da empresa: com base nos objetivos, poderemos identificar quais so os fatores de riscos que podem influenciar negativamente as metas;

- Avaliao dos riscos: nesta fase identifica os riscos, mede as suas conseqncias e prioriza seu tratamento; - Gesto de Riscos: nesta fase devemos controlar os riscos atravs da monitorao de seus fatores, implantaes de medidas para reduzir as chances de sua concretizao. FOCO DE ATUAO CONCEITO AUDITORIA Risco no negcio TESTES Atividades de mitigao RELATRIOS Adequacidade e eficcia na mitigao RESULTADOS Mitigao do risco Por que feita? Porque permite medir e priorizar o tratamento dos riscos, que de forma direta expe o negcio da empresa. A avaliao de risco consegue de forma clara e pragmtica identificar as reas dentro da empresa de maior criticidade. Alm de possibilitar que o auditor desenhe um programa de auditoria que examine os controles com mais conscincia, o que conseqentemente, adicionar maior valor a organizao. 1.31 Auditoria de Superviso. O que ? Procedimento pelo qual uma equipe tcnica oficial realiza a avaliao do sistema de certificao de uma entidade certificadora em alguma empresa. Como feito? a auditoria realizada aps uma certificao, onde estabelecido um programa de auditorias peridicas, ao longo deste prazo. Estas auditorias garantem a contnua conformidade do sistema da empresa com as exigncias especificadas pela norma. necessria a realizao de, pelo menos, uma auditoria por ano. Para que feito? Verificar se a empresa certificada est em conformidade com as normas oficiais da entidade certificadora. 1.32 Auditoria Trabalhista. O que ? O servio de Auditoria, no caso trabalhista, , acima de tudo, um trabalho de preveno. Mais especificamente, envolvem o estabelecimento de determinadas medidas preventivas para evitar demandas judiciais ou infraes administrativas. Na verdade, ela uma auto-fiscalizao e, sendo assim, a empresa que deseja conhecer-se, procura a auditoria. Como feita: A partir de um exame da real situao da relao empresa versus empregada, por meio de anlise criteriosa na rea de recursos humanos, a fim de se verificar o cumprimento da legislao, as formas de vnculos trabalhistas existentes e os procedimentos adotados, chega-se ao auto-conhecimento do complexo trabalhista. A auditoria examina as operaes trabalhistas, os direitos e deveres dos empregados e dos empregadores. Emite parecer com as possveis irregularidades e identifica caminhos para a melhoria da situao atual. uma forma de preveno e de reduo de custos e riscos na rea trabalhista. O trabalho realizado nos procedimentos internos, face legislao trabalhista e previdenciria, desde a admisso do empregado at o seu desligamento. Contempla, dentre outros, os clculos da folha de folha de pagamento, verificao de horrio e jornada de trabalho, concesso de frias, clculos e recolhimentos do FGTS, INSS, do Seguro de Acidentes do Trabalho, do IRRF e reviso das rescises de contratos de trabalhos. Engloba ainda a identificao e a correo de procedimentos vulnerveis, com direcionamento a mtodos seguros e de bons resultados e minimiza o risco de eventuais autuaes por parte das autoridades fiscalizadoras do trabalho, da previdncia social e de reclamaes trabalhistas. Porque feita? A auditoria trabalhista uma importante ferramenta para a auto-fiscalizao e tem como principal objetivo, evitar passivo oculto, reduzir custos e aumentar a produtividade das empresas. Pode-se considerar tambm que ela possui trs finalidades bsicas: - Cientificar os riscos de possveis autuaes da fiscalizao do trabalho; - Prevenir ou evitar reclamaes trabalhistas impetradas na Justia do Trabalho; - Informar direo da empresa suas relaes com os empregados, segundo a legislao vigente. A Auditoria Trabalhista desempenha um papel de fundamental importncia, identificando ainda, fraudes, procedimentos irregulares ou desaconselhveis, direcionando a sociedade adoo de mtodos seguros e de retorno financeiro, corrigindo e prevenindo de eventuais dissabores. 1.33 Auditoria Tecnolgica. O que? A auditoria tecnolgica o processo de registro e avaliao sistemtico e peridico do potencial tecnolgico da organizao, contribuindo para que a tecnologia seja utilizada de forma eficaz para o atingimento dos objetivos organizacionais. Ela analisa o valor da tecnologia nos vrios setores da empresa e seus desdobramentos e relaes sobre a estratgia e competitividade da empresa. A auditoria tecnolgica torna-se fundamental para o planejamento tecnolgico da organizao, pois analisa e avalia a situao atual da empresa e de seus produtos. Por qu?

A auditoria tecnolgica tem o propsito de estabelecer uma referncia (piso) para a tecnologia sob exame e identificar novos produtos e sistemas que iro auxiliar o desenvolvimento da empresa interessada. Ele utilizado na identificao de tecnologias inovadoras, novo, processo e especialista, assim como reas especficas onde solues inovadoras so necessrias. Ela destinada a Companhias que desejam identificar, de modo bem estruturado, sua capacidade tecnolgica, avaliar a competitividade do seu atual conhecimento, assim como, selecionar as vrias aes necessrias para assegurar uma vantagem competitiva. Como? Um questionrio, seguindo os princpios acima, deve ser elaborado sob medida para a empresa de modo a enderear as exigncias do cliente que solicita o levantamento. Deve ser pensado/elaborado/configurado de forma a superar as limitaes usuais impostas pelo tempo e pelo ambiente da empresa. Deve-se minimizar o tempo de durao da auditoria, ter profunda discrio e prover a firma auditada com ferramentas adicionais de auto anlise, para serem utilizadas pela empresa a qualquer tempo. 1.34 Auditoria Tributria. O que ? Reviso dos procedimentos contbeis/fiscais adotados, no intuito de dar ao cliente a tranqilidade de que as obrigaes principais e acessrias esto atendendo a legislao em vigor. Como feita? A auditoria tributria tem como objetivo a anlise de contabilidades organizadas com recurso a tcnicas prprias, confirmando a veracidade (realidade e exaustividade) dos atos declarativos praticados, por verificao substantiva dos elementos (livros, registros e documentos) de suporte, tendo em vista a sua validao e comprovao de correspondncia efetiva situao econmica e patrimonial dos contribuintes. funo auditoria pressupe a existncia de contabilidades verificveis, portanto devidamente organizadas e com a presuno de terem sido elaboradas sem inteno fraudulenta. neste domnio que se centra uma parte substancial da atividade inspectiva, em especial no que se refere ao controle tributrio da atividade das empresas. Por que feita? feita para apurar a situao tributria dos contribuintes quando existir indcios de fraude por inexistncia de atos declarativos, documentos ou outros elementos de suporte dos atos presumivelmente praticados ou em que a contabilidade no existe, est oculta ou viciada, centrando-se em particular na averiguao de denncias ou participaes e na obteno de provas acusativas de evaso ou fraude fiscal relativamente s situaes descritas. 1.35 O Auditor. 1.35.1 Definio. aquele profissional que se dedica a trabalhos de auditoria habitualmente com livre exerccio de uma ocupao tcnica de nvel superior. 1.35.2 Funes gerais. Para ordenar e imprimir coeso ao seu labor, o auditor conta com uma srie de funes visando estudar, analisar e diagnosticar a estrutura e funcionamento geral de uma organizao. Estudar a normatividade, misso, objetivos, polticas, estratgias, planos e programas de trabalho. Desenvolver o programa de trabalho de uma auditoria. Definir os objetivos, alcance e metodologias para instrumentar uma auditoria. Captar a informao necessria para avaliar a funcionalidade e efetividade dos processos, funes e sistemas utilizados. Recobrar e revisar estatsticas sobre volumes e cargas de trabalho. Diagnosticar sobre os mtodos de operao e os sistemas de informao. Detectar as evidncias e incorpor-las aos papis de trabalho. Respeitar as normas de atuao ditadas pelos grupos de filiao, coorporativos, setoriais e instncias normativas e, em alguns casos, globalizadoras. Propor os sistemas administrativos e/ou as modificaes que permitam elevar a efetividade da organizao. Analisar a estrutura e funcionamento da organizao em todos seus mbitos e nveis. Revisar o fluxo de dados e formas. Considerar as variveis ambientais e econmicas que incidem no funcionamento da organizao. Analisar a distribuio do espao e o emprego de equipamentos de escritrios. Avaliar os registros contbeis e informaes financeiras. Manter o nvel de atuao atravs de uma interao e reviso contnua. Propor os elementos de tecnologia de ponta requeridos para impulsionar as mudanas organizacionais. Desenhar e preparar os relatrios de progresso e informes de uma auditoria. 1.35.3 Conhecimentos que deve possuir. 1.35.3.1 Definio. conveniente que a equipe de auditoria tenha uma preparao de acordo com os requerimentos de uma auditoria administrativa, j que isso lhe permitir interatuar de maneira natural e congruente com os mecanismos de estudo que de uma ou outra maneira se empregaram durante seu desenvolvimento. Atendendo a estas necessidades recomendvel apreciar os seguintes nveis de formao:

1.35.3.2 Acadmica. Estudos a nvel tcnico, licenciatura o ps-graduao em administrao, informtica, engenharia de sistemas, comunicao, cincias polticas, administrao pblica, relaes industriais, engenharia industrial, psicologia, pedagogia, contabilidade, direito, relaes internacionais. Outras especialidades como atuaria, matemtica, engenharia e arquitetura, podem contemplar-se sempre e quando hajam recebido uma capacitao que lhes permita intervir no estudo. 1.35.3.3 Complementares. Instrues na matria, obtida ao longo da vida profissional por meio de diplomas, seminrios e cursos, entre outros. 1.35.3.4 Empricas. Conhecimento resultante da implementao de Auditorias nas diferentes instituies sem contar com um grau acadmico. Adicionalmente, dever saber operar equipamentos de computao e de escritrios, e dominar os idiomas que sejam parte da dinmica de trabalho da organizao sobre exame. Tambm ter que ter em conta e compreender o comportamento organizacional. Uma atualizao continuada dos conhecimentos permitir ao auditor adquirir a maturidade de necessria para o exerccio de sua funo na forma prudente e justa. 1.35.4 Habilidades e destrezas. 1.35.4.1 Definio. Complementa a formao profissional, terica e/ou prtica, a equipe de auditoria demanda de outro tipo de qualidades que so determinantes no seu trabalho, referidas a recursos pessoais produto de seu desenvolvimento e dons intrnsecos a seu carter. A expresso destes atributos podem variar de acordo com o modo de ser e dever ser observado em cada caso em particular, sendo conveniente que, quem se de a tarefa de cumprir com o papel de auditor, seja possuidor das seguintes caractersticas: 1.35.4.2 Exemplos. Atitude positiva. Critrio. - Empenhar sua capacidade de discernimento de forma equilibrada. Estabilidade emocional e Equilbrio. - No perder a dimenso da realidade e o significado dos fatos. Objetividade - Manter umas vises Independentes dos fatos, evitando formular juzos de valor ou cair nas omisses, que alterem de alguma maneira os resultados que se obtenha. Sentido institucional ou Compromisso. - Ter presente suas obrigaes para consigo mesmo e a organizao para que presta seus servios. Facilidade para trabalhar em grupo - saber escutar e respeito s idias dos demais. Criatividade - Ser prepositivo e inovador no desenvolvimento de seu trabalho. Mente analtica e Imparcialidade - no se envolver de forma pessoal nos fatos, conservando sua objetividade margem de preferncias pessoais. Conscincia dos valores prprios e de seu entorno Manter a integridade, preservando seus valores acima das presses. Capacidade de negociao e observao. Imaginao e Iniciativa - Assumir uma atitude e capacidade de resposta gil e efetiva. Claridade de expresso verbal e escrita. Discrio ou Confidencialidade. - Conservar em segredo a informao e no utiliz-la em benefcio prprio ou de interesses alheios. Comportamento tico e Responsabilidade. - Observar uma conduta profissional, cumprindo com seus encargos oportuna e eficientemente e lembrar que seu tica profissional o obriga a respeitar e obedecer a organizao a que pertence. Honestidade. - Aceitar sua condio e tratar de dar seu melhor esforo com seus prprios recursos, evitando aceitar compromissos ou tratos de qualquer tipo. 1.35.5 Experincia. Um dos elementos fundamentais que se tem que considerar nas caractersticas da equipe relativo a sua experincia pessoal de seus integrantes, j que disso depende, em grande medida, o cuidado e diligncia profissional que se empregam para determinar a profundidade das observaes. Pela natureza da funo a desempenhar existem vrios campos que se tem que dominar: Conhecimento das reas que sustentam a organizao. Conhecimento das reas diretivas da organizao. Conhecimento de esforos anteriores. Conhecimento de casos prticos. Conhecimento derivado da implementao de estudos organizacionais de outra natureza. Conhecimento pessoal baseado em elementos diversos. Finalmente, o equipo auditor no deve duvidar de que a fortaleza de seu funo est sujeita a medida na que afronte seu compromisso com respeito e no apego s normas profissionais tais como:

1.35.6 Responsabilidade profissional. A equipe do auditor deve realizar seu trabalho utilizando toda sua capacidade, inteligncia e critrio para determinar o alcance, estratgia e tcnicas que ter de aplicar em uma Auditoria, assim como avaliar os resultados e apresentar os informes correspondentes.Para isto, deve de ter especial cuidado em: Preservar a independncia mental. Realizar seu trabalho sobre a base de Conhecimento e capacidade profissional adquiridas Cumprir com as normas ou critrios estabelecidos. Capacitar-se de forma contnua. 1.35.7 Impedimentos. 1.35.7.1 Definio. Tambm necessrio que se mantenha livre de impedimentos que prejudiquem a credibilidade de seus juzos, por que deve preservar sua autonomia e imparcialidade ao participar de uma Auditoria. conveniente sinalizar se os impedimentos aos que normalmente se pode enfrentar so pessoais e/ou externos. 1.35.7.2 Pessoais. Correspondem a circunstncias que recaem especificamente na pessoa do auditor e que por sua natureza podem afetar seu desempenho, destacando-se as seguintes: Vnculos pessoais, profissionais, financeiros ou oficiais com a organizao que se v auditar. Portanto no participar de auditorias em rgos e entidades em que membros da sua famlia, at o 3 grau, estejam ocupando posio diretiva, ou onde houver antecedentemente ocupado posto financeiro ou administrativo, sobretudo quando a situao superveniente for suscetvel de atentar contra sua independncia e objetividade. Interesse econmico pessoal na Auditoria e/ou Empresa. Co-responsabilidade nas condies de funcionamento incorretas. Relao com instituies que interatuem com a organizao. Vantagens prvias obtidas na forma ilcita ou antitica. 1.35.7.3 Externos. So relacionados com fatores que limitam ao auditor a levar a cabo sua funo de maneira pontual e objetiva como: Ingerncia externa na seleo ou aplicao de tcnicas ou metodologias para a execuo da Auditoria. Interferncia com os rgos internos de controle. Recursos limitados para desvirtuar o alcance da Auditoria. Presso injustificada para propiciar erros induzidos. Nestes casos, o Auditor tem o dever de informar a organizao para que se tomem as providncias necessrias. 1.35.8 Concluso Portanto a auditoria equivale a processos dinmicos, ao qual deve submeter-se formalmente toda empresa, Independentemente de sua magnitude e objetivos; e sua aplicao deve ser seqencial e constante para lograr eficincia. 1.36 BIBLIOGRAFA Alvin A. Arens. Ao 1995. Auditoria Um enfoque Integral. Editorial Ocano. Enciclopedia da Auditoria. Francisco Gmez Rondon. Auditoria Administrativa Joaqun Rodrguez Valencia. Ao 1997. Sinopsis de Auditoria Administrativa Profesor A. Lpez de SA. Ao 1974. Curso de Auditoria Vctor Lzzaro. Sistemas e Procedimentos William P. Leonard. Auditoria Administrativa 2 Auditoria de Sistemas de Informao. 2.1 Introduo. A natureza especializada da Auditoria dos sistemas de informao e as habilidades necessrias para levar a cabo este tipo de Auditoria requerem o desenvolvimento e a promulgao de normas gerais para a Auditoria dos Sistemas de Informao. Essa se define como qualquer Auditoria que abarca a reviso e avaliao de todos os aspectos (ou de qualquer poro destes) dos sistemas automticos de processamento da informao, includos os procedimentos no automticos relacionados com esses e as interfaces correspondentes. Para fazer um adequado planejamento da Auditoria na informtica, tem que se seguir uma srie de passos prvios que permitiro dimensionar o tamanho e caractersticas de rea dentro do organismo a auditar, seus sistemas, organizao e equipe. A continuao, a descrio dos principais objetivos de uma Auditoria de Sistemas, que so, as avaliaes do processamento dos dados e dos equipamentos de computao, com controles, tipos e segurana. No caso da Auditoria na informtica, o planejamento fundamental, pois ter que faz-la desde o ponto de vista destes objetivos. 2.2 Compreende. Auditoria. Sistemas de Informao.

 Processamento eletrnico de dados. Para fazer um planejamento eficaz, o primeiro procedimento obter informao geral sobre a organizao e sobre a funo de informtica a avaliar. Para isso preciso fazer uma investigao preliminar e algumas entrevistas prvias, com base nisto planejar o programa de trabalho, o qual dever incluir tempo, custo, pessoal necessrio e documentos auxiliares a solicitar ou formular durante o desenvolvimento da mesma. 2.3 Avaliao dos Sistemas: Avaliao dos diferentes sistemas na operao (fluxo de informao, procedimentos, documentao, redundncia, organizao de arquivos, erros de programao, controles, utilizao dos sistemas). Avaliao do avano dos sistemas no desenvolvimento e congruncia com o desenho geral. Segurana fsica e lgica dos sistemas, sua confidencialidade e respaldos. Avaliao de prioridades e recursos disponveis: Humanos. Materiais. Tecnolgicos. Financeiros. 2.4 Os trabalhos contemplam parmetros: Segurana ambiental. Obedincia legislao. Obedincia s polticas da administrao. Eficincia. Eficcia. Capacidades. Utilizao. Novos projetos. Segurana fsica e lgica. Avaliao fsica e lgica. 2.5 Conceitos de Auditoria de Sistemas. A palavra Auditoria vem do latim auditorius e desta provm o nome auditor, que tem a virtude de ouvir e revisar contas, porm deve estar perseguindo um objetivo especfico que o de avaliar a eficincia e eficcia com que se est operando para que, por meio da sinalizao de cursos alternativos de ao, para que se tomem decises que permitam corrigir os erros, no caso de que existam, algo a melhorar na forma de atuao. Alguns autores proporcionam outros conceitos porm todos concordam em dar nfase na reviso, avaliao e elaborao de um informe para a execuo encaminhando a um objetivo especfico no ambiente computacional e os sistemas. Na continuao detalhamos alguns conceitos reconhecidos por alguns experts na matria. Auditoria de Sistemas : A verificao de controles no processamento da informao, desenvolvimento de sistemas e instalao, com o objetivo de avaliar sua efetividade e apresentar recomendaes a Gerncia. A atividade dirigida a verificar e julgar informao. O exame e avaliao dos processos da rea de Processamento automtico de Dados (CPD) e da utilizao dos recursos que neles intervm, para chegar a estabelecer o grau de eficincia, efetividade e economia dos sistemas computadorizados em uma empresa e apresentar concluses e recomendaes encaminhadas a corrigir as deficincias existentes e melhor-las. O processo de coleo e avaliao de evidncia para determinar se existe em um sistema automatizado: Salvaguarda contra Danos. Salvaguarda contra destruio. Uso no autorizado. Roubo. Mantm integridade de informao precisa. Os dados Completos. Confiabilidade. Alcanar metas. Organizaes das funes de informtica. Consumo de recursos e utilizao adequada dos recursos. Eficincia no processamento da informao. o exame ou reviso de carter objetivo (Independente), crtico (evidncia), sistemtico (normas), seletivo (amostras) das polticas, normas, prticas, funes, processos, procedimentos e informes relacionados com os sistemas de informao computarizados, com a finalidade de emitir uma opinio profissional (imparcial) com respeito : Eficincia no uso dos recursos informticos. Validade da informao. Efetividade dos controles estabelecidos.

2.6 Etapas Bsicas de Atuao da Auditoria de Sistemas: Compreenso do Ambiente a ser Auditado Levantamento e documentao do mesmo; Anlise de Situaes Sensveis Anlise de riscos; Criao de Massa de Teste Definio do escopo, gerao de dados e de objetivos; Aplicao dos Testes Simulaes de Laboratrio ou de campo para a comprovao dos resultados; Anlise das Simulaes Julgamento dos resultados alcanados; Emisso de Opinio Apresentao de recomendaes; Debate Troca de informaes com os profissionais das reas auditadas para determinao de viabilidades e alternativas mais adequadas; Acompanhamento A nvel institucional das solues em novas auditorias; Relatrios Informes e pareceres. 2.7 Auditores, Controle de Qualidade e Padronizadores. 2.7.1 Definio. Depois que a anlise de sistemas, o projeto e a programao tenham encerrado suas tarefas e tenha comeado a atividade de testes formais. Nesse ponto, naturalmente, muito difcil fazer grandes modificaes no sistema. Dependendo do tamanho de seu projeto e da natureza da organizao em que trabalha voc pode ter ou no auditores, pessoal de controle de qualidade e/ou membros do setor de padronizao participando do projeto. Agrupa-se essas pessoas em uma s categoria porque o objetivo e as perspectivas delas so em geral semelhantes, se no forem iguais. O objetivo geral dessa heterognea tripulao garantir que o seu sistema ser desenvolvido de acordo com vrios padres externos (externos a seu projeto): padres de contabilidade desenvolvidos pelo setor de contabilidade de sua empresa; padres desenvolvidos por outros setores da organizao ou pelo cliente/usurio que receber seu sistema; e possivelmente padres impostos por diversos setores normatizadores governamentais. Existem trs problemas que devem ser tratados antecipadamente ao se lidar com auditores, controladores de qualidade ou componentes do setor de padronizao: 2.7.2 Eles muitas vezes no se envolvem no projeto at que esteja terminado. Depois que a anlise de sistemas, o projeto e a programao tenham encerrado suas tarefas e tenha comeado a atividade de testes formais. Nesse ponto, naturalmente, muito difcil fazer grandes modificaes no sistema. 2.7.3 Eles muitas vezes esto habituados com uma antiga notao ou formato para a documentao dos requisitos do sistema (p.ex.: fluxogramas). Assim, normalmente importante assegurar que os modelos do sistema que voc estiver desenvolvendo sejam compreensveis. 2.7.4 Infelizmente, os membros desse grupo esto freqentemente mais interessados na forma do que na substncia: se seus documentos no estiverem exatamente corretos, podero ser rejeitados. 2.8 Avaliao da Segurana. O computador um instrumento que armazena grande quantidade de informao, a qual pode ser confidencial para indivduos, empresas ou instituies, e pode ser mal utilizada ou divulgada para pessoas que faam mal uso desta. Tambm podem ocorrer roubos, fraudes ou sabotagens que provoquem a destruio total ou parcial da atividade computacional. Esta informao pode ser de suma importncia, e ou no t-la no momento preciso, pode provocar retardos sumamente custosos. Na atualidade e principalmente nos computadores pessoais, existem outros fatores que se deve considerar: o chamado "vrus"dos computadores, o qual, tem diferentes intenes, e se encontra principalmente disquetes ou downloads na Internet, que so copiados sem autorizao ("piratas") e estragam toda a informao que se tem no disco. Ao auditar o sistema se deve ter cuidado com a existncia de cpias "piratas" e que, ao conectarmos na rede com outros computadores, no exista a possibilidade de transmisso do vrus. O uso inadequado do computador comea desde a utilizao de tempo de mquina para usos alheios aos da organizao, a cpia de programas para fins de comercializao sem pagar os direitos do autor at o acesso por via telefnica base de dados com a finalidade de modificar a informao com propsitos fraudulentos. A segurana na informtica abarca os conceitos de segurana fsica e segurana lgica. A segurana fsica se refere proteo do Hardware, assim como a dos edifcios e instalaes que os albergam. Contempla as situaes de incndios, sabotagem, roubos, catstrofes naturais, etc. A segurana lgica se refere a segurana do uso do software, a proteo dos dados, processos e programas, assim como as normas de autorizao acesso dos usurios a informao. Um mtodo eficaz para proteger sistemas de computao o software de controle de acesso. Diz-se simplesmente, que o controle de acesso protege contra o acesso no autorizado, pois pedem do usurio uma contra senha antes de permitir o acesso a informao confidencial. 2.9 Atividades de Gesto da Segurana da Informao. A informatizao crescente reclama especial ateno das organizaes, uma vez que a utilizao da tecnologia da informao para a manipulao e armazenamento de dados introduz novos riscos e aumentam a fragilidade das informaes crticas. Assim, torna-se imperativa a ateno para as questes relacionadas segurana da informao. Bill Gates em seu livro "A Empresa na Velocidade do Pensamento", disse "Os negcios vo mudar mais nos prximos dez anos do que mudaram nos ltimos cinqenta". Bill Gates afirma que elas esto e sero mais aceleradas. O que complica o problema no sabermos para onde estamos correndo tanto: "a nica certeza quanto ao futuro a incerteza". Juntando as coisas,

resta-nos uma indagao altamente preocupante: nosso ambiente est evoluindo, de forma acelerada, como constatamos? Para onde? E como mantermos nossa informao segura? A intensa competio enfrentada em nossa moderna e dinmica indstria periodicamente nos leva inevitvel necessidade de inovaes e profundas mudanas, como resposta a fatores de mercado, associados ao cenrio particular de cada segmento e seus principais participantes. A globalizao fora mudanas nas empresas e em ns mesmos. As evolues e mudanas organizacionais, as reestruturaes, o abaixamento da pirmide hierrquica das organizaes e, mais recentemente, as diversas formas de associaes (joint-venture, coligaes, parcerias, aquisies e fuses) transformam profundamente o panorama empresarial. Como responderemos a estes desafios com a segurana das informaes necessrias para a organizao? Para fazer frente aos desafios, o conhecimento da prtica de gesto de segurana da informao tem crescido de incio separadamente em muitas organizaes, mas vm sendo gradativamente combinados, independentes do tamanho e do tipo da organizao. O gerenciamento de riscos alinhado as prticas de ROI (return on investment), passa a ser necessrio. Primeiramente, devemos nos lembrar que se vamos direo e falamos que a verba destinada segurana da informao investimento, a direo vai querer saber quando aquele investimento estar pago em funo da economia realizada. Isto retorno de investimento! Em qualquer novidade, para que os ganhos almejados sejam atingidos, sua adoo demanda planejamento cuidadoso, em que sejam pesados diversos aspectos e levados em conta critrios especficos para cada situao. A gesto da segurana est apresentando a arte de formular, implementar e avaliar linhas de ao multidepartamentais referentes s interaes da organizao com o seu ambiente, tentando garantir o seu principal patrimnio que a informao, para atingir seus objetivos de longo prazo, relativos a seus produtos, mercado, clientes, concorrentes, sociedade, etc. As organizaes passam a considerar, o ambiente externo, com suas oportunidades e ameaas, e o ambiente interno, com as foras e fraquezas em relao organizao. Como resultado, estabelece-se estratgias de atuao de longo prazo que, para sua eficiente obteno, devem ser divididos em objetivos de curto prazo, sendo catalisados por projetos distribudos em suas linhas de processos, como por exemplo, em desenvolvimento de sistemas, gerenciamento de operaes e comunicaes, segurana ambiental e fsica, continuidade de negcios dentre outros citados na ISO/IEC 17799. Falar sobre segurana particularmente difcil quando o executivo da rea o nico que est falando. Profissionais de segurana que no fizeram parcerias vitais com seus pares, nem implantaram iniciativas de educao que ampliem a base da responsabilidade pela segurana dificulta a implementao das estratgias que conseguida por meio da gesto da segurana com a definio de um modelo de gesto de segurana corporativa, definindo papis e atribuies para todos dentro da organizao e isto significa tratar partes de seus problemas correntes como pacotes de trabalhos. Com freqncia, os gestores de segurana hesitam em delegar responsabilidades. Eles se elegem a nica fonte de todas as informaes dentro da empresa. Em vez de disseminarem seus conhecimentos, optam por ouvir a voz da autopreservao que sussurra: se sou o nico que sabe o que est acontecendo, no podem me demitir. Mas a capacidade de criar consenso e delegar vital. E para isto uma poltica de segurana corporativa necessria. Poltica de segurana da informao basicamente um manual de procedimentos que descreve como os recursos de que manipulam as informaes da empresa devem ser protegidos e utilizados e o pilar da eficcia da segurana da informao, estabelecendo investimentos em recursos humanos e tecnolgicos. Sem regras pr-estabelecidas, decises tornam-se inconsistentes e vulnerabilidades surgem. Com isto a previso de auditorias necessria, palavra auditoria significa: "examinar no intento de verificar". E, a auditoria da segurana deve estar atenta em verificar se o dia-a-dia de operao da segurana dentro da organizao est em alinhamento com a poltica de segurana. A poltica de segurana deve ser a base da auditoria. Este o padro ao quais as configuraes e processos esto ponderados. Sem uma poltica de segurana compreensiva no h como medir se est se conseguindo alcanar a meta de manter um ambiente seguro. evidente que a gesto da segurana deve se juntar s operaes permanentes interagindo e s vezes concorrendo por um mesmo recurso, mas com o objetivo nico de garantir a credibilidade e imagem da organizao. importante visualizar que a gesto da segurana existe dentro de um processo permanente dentro da organizao, e esta a meta! Se conseguirmos viver a segurana da informao dentro da organizao sem ao menos sentirmos os impactos no dia-a-dia, estaremos vivendo o Estado da Arte.

Outro autor, Rabener (2001) define a segurana como algo essencial. Salienta que a segurana no um firewall, no um IDS, no um software antivrus. uma pea integrante do ambiente de computao, onde um elemento nico no pode proteger efetivamente uma rede. O fator humano tambm crtico. O gerenciamento precisa ficar alerta dos riscos e apoiar os esforos para proteger os recursos da corporao. Os funcionrios de tecnologia precisam compreender seus papis e responsabilidades. Os usurios devem ser treinados nas regras de segurana para proteger a s mesmos e aos bens da companhia. Kisser (2000) confirma essa viso, salientando que "segurana slida um processo e no um produto". Para o CIT (2000), a segurana de computadores parte do Gerenciamento de Recursos de Informaes e preocupado com a aplicao de protees (tcnicas e administrativas) para minimizar as vulnerabilidades, com o objetivo de anular potencial perigo. 2.10 Controles administrativos em um ambiente de Processamento de dados: A mxima autoridade da rea de Informtica de uma empresa ou instituio deve implantar os seguintes controles: 2.11 Controles. 2.11.1 Definio. Conjunto de dispositivos e mtodos, cujo fim vigiar as funes e atitudes das empresas e para isso permitem verificar se tudo se realiza conforme os programas adotados, ordens enviadas e princpios admitidos, e podem ser classificados como: 2.11.2 Controles Preventivos. 2.11.2.1 Definio. Prevenir evitar antes que acontea, reduzindo a freqncia com que ocorrem as causas do risco, permitindo certa margem de violaes. Divide-se em: 2.11.2.2 Exemplos: Letreiro "No fumar" para salvaguardar as instalaes

2.11.2.3

Sistemas de chaves de acesso. 2.11.2.4 Proteo de hardware: Normalmente chamado de segurana fsica, de vital importncia. Negando acessos fsicos desautorizados a infraestrutura da rede, previne-se de possveis roubos de dados, desligamento de equipamentos e demais danos possveis quando se est fisicamente no local; Asseguram a disponibilidade dos dados, Manuteno de ativos, Proteo de Ativos, Destruio ou corrupo de informao ou do hardware, Extintores, Passwords, Efetividade, Assegurar o alcance dos objetivos, Nvel de satisfao, Medio de nveis de servio, Eficincia, assegurando o uso timo dos recursos, Programas monitores, Anlises custobenefcio. 2.11.2.5 Proteo do permetro da rede: 2.11.2.5.1 Definio. Ferramentas firewall cuidam desse aspecto, mantendo a rede protegida contra invases de usurios no autorizados. 2.11.2.5.2 Ameaas e Problemas de Segurana de Redes de Computadores. Nesse tpico, procurou-se descrever algumas das ameaas a Segurana das Redes de Computadores. Hackers. O termo hacker definido pela RFC 2828 (Request for Coments n 2828), como sendo alguma pessoa com um grande interesse e conhecimento em tecnologia, no utilizando eventuais falhas de segurana descoberta em benefcio prprio. O termo usado erroneamente, especialmente pelos jornalistas, como algum que efetue crimes cibernticos. O termo cracker ou intruder, esse sim, definido pela mesma RFC 2828 como sendo algum que tente quebrar a segurana ou ganhar acesso a sistemas de outras pessoas sem ser convidado. No obrigatoriamente uma pessoa com grande conhecimento de tecnologia como um hacker. Com o passar dos anos e a evoluo da tecnologia, percebe-se uma grande mudana no perfil do cracker. No passado, na sua maioria eram especialistas em informtica, com alto grau de conhecimento em sistemas operacionais, redes e tecnologia em geral. Atualmente, devido a vrios fatores como a grande facilidade de troca de informaes pela Internet, o enorme aumento de hosts na Internet sem o devido preparo quanto a segurana, o surgimento das ferramentas automatizadas para hacking entre outros, percebe-se uma grande diminuio do conhecimento tcnico necessrio para realizar um ataque ou uma invaso. Providenciado por autenticao, controle de acesso e antivrus. No processo de autenticao, verificado se quem est pedindo acesso realmente quem diz ser. No processo de controle de acesso, s so disponibilizadas as transaes realmente pertinentes a essa pessoa (Ex.: s leitura de arquivos, leitura e escrita, quais pastas ou arquivos a pessoa pode utilizar, etc.) 2.11.2.5.3 Atualidades Sobre o Uso da Internet. O nmero de sites de phishing (Tcnica de criar pginas falsas, idnticas s oficiais, para capturar informaes) no mundo saltou de 41 mil em 2005 para 609 mil em 2006, segundo dados da empresa de servios de internet inglesa Netcraft. No final do ano passado, a expanso das URLs maliciosas j ganhavam um ritmo vertiginoso. De 45 mil em outubro, subiram para 135 mil em novembro e chegaram a 240 mil em dezembro. Os incidentes relatados ao CERT.br, o Centro de Estudos, Resposta e Tratamento de Segurana no Brasil, cresceram 191% ao longo de 2006, aumentando de 68 mil em 2005 para 197 mil.

Os programas maliciosos que alimentam o cibercrime subiram de 53.950 em 2005 para 86.876 no ano passado, de acordo com dados do laboratrio da empresa russa Kaspersky. O nmero de tcnicas de despiste em malware (Programa que invadem e danificam sistemas), adware (Programas que mostram anncios depois de serem instalados, alguns enviam informaes sobre o usurio a terceiros) e aplicaes comerciais se multiplicou por seis nos ltimos trs anos, conforme dados do laboratrio da empresa de segurana americana McAfee. Para piorar ainda nos complicamos mais, voluntariamente, oferecendo dados pessoais em troca de cartes de desconto, uso de freeware, participao em promoes e programas de marketing sem fim. Para no falar nas informaes pessoais abertas no Orkut, fruns e numa infinidade de outros sites de relacionamento... bastou um descuido da AOL nos Estados Unidos para que os dados privados de 650 mil pessoas irem para o espao num segundo no ano passado. Esses dados retirados da Revista INFO Exame de Fevereiro de 2007. 2.11.2.5.4 Estatsticas de usurios de Internet, Domnios e Hosts no Brasil. Usurios de Internet no Brasil: 32,0 milhes (PNAD 2005). O IBGE atravs do PNAD 2005 estimou que em 2005, 21% da populao de 10 anos ou mais de idade acessaram Internet, pelo menos uma vez, por meio de computador, em algum local. Usurios de Internet em Locais Pblicos - O Brasil tem 6 milhes de pessoas que acessam a Internet exclusivamente de locais pblicos pagos ou gratuitos, assim distribudos: Os 4,4 milhes que acessam a Internet exclusivamente de locais pblicos pagos, como cibercafs e Lan Houses, o fazem pelo menos duas vezes por semana e gastam, em mdia, entre 10 e 15 reais por ms. Destes, 42% so das classes A e B e 40% da classe C; Entre os 1,6 milhes que acessam a web de locais gratuitos, 42% so da Classe C e 22% das classes D e E. Este o resultado da pesquisa Internet Pblica Ibope/NetRatings realizada em julho de 2006. Onde oviu-se 16 mil pessoas em cidades - So Paulo, Rio de Janeiro, Belo Horizonte, Curitiba, Porto Alegre, Fortaleza, Salvador, Distrito Federal e Recife. Usurios Domiciliares de Internet - O IBOPE/Net ratings acompanha o nmero de usurios domiciliares de Internet no Brasil. Segundo esta pesquisa em dezembro de 2005 existiam 18,9 milhes de usurios com acesso em suas residncias, sendo que 12,2 milhes haviam efetivamente acessado a Internet em dezembro de 2005. A tabela a seguir apresenta o acompanhamento destes dados. Se em 2005 o total computado de usurio foi de 32,2 milhes, este em 2006 em 2006 foi de 33.9 milhes sendo maior que em 2005, e de acordo com o que foi pesquisado em fevereiro em 2007 o numero de usurio ainda continua crescendo j que na pesquisa o total computado para janeiro totalizou 36.2 milhes. Fonte: IBOPE NetRatings e Ncleo de Informao e Coordenao (NIC) do Comit Gestor de Internet (CGI): Teleco Informaes em Telecomunicaes 2.11.2.6 Proteo de arquivos e dados: 2.11.2.7 Vulnerabilidades: Pontos suscetveis a ataques, causados por uma brecha do software ou hardware, m configurao e administrao ou ambos; 2.11.2.8 Ameaas: Problemas que podem atacar as vulnerabilidades. Normalmente so agrupadas em trs categorias: pessoais (ex.: omisso ou inteno criminal), de peas (ex.: falha de um equipamento) ou de eventos (ex.: fogo, inundao); 2.11.2.9 Protees: Tcnicas para proteger-se contra uma ameaa. A instituio define tambm trs objetivos gerais para a segurana de computadores. Esses objetivos so confirmados por Freitas (2000): 2.11.2.10 Confidencialidade: Proteger contra a revelao acidental ou deliberada de informaes crticas; 2.11.2.11 Integridade: Proteger contra corrupo deliberada ou acidental de informaes; 2.11.2.12 Disponibilidade: Proteger contra aes que causem a indisponibilidade de informaes crticas aos usurios quando necessitarem.

2.11.2.13 Controles de Preinstalao. 2.11.2.13.1Definio. Fazem referncia aos processos e atividades prvios s aquisies e instalaes de um equipamento de computao e obviamente a automatizao dos sistemas existentes. 2.11.2.13.2Objetivos: Garantir que o hardware e software sejam adquiridos sempre e quando tenham a segurana de que os sistemas computarizados proporcionaram maiores benefcios que qualquer alternativa. Garantir a seleo adequada de equipes e sistemas de computao. Assegurar a elaborao de um plano de atividades prvio instalao. 2.11.2.13.3Aes a seguir: Elaborar um informe tcnico no qual se justifique a aquisio do equipamento, software e servios de computao, incluindo um estudo custo-benefcio. Formar de um comit que coordene e se responsabilize por todo o processo de aquisio e instalao. Elaborar um plano de instalao de equipamento e software (fichas, atividades, responsveis) que dever contar com a aprovao dos provedores da equipe. Elaborar um documento instrutivo com procedimentos a seguir para a seleo e aquisio de equipamentos, programas e servios computacionais. Este processo deve se balizar nas normas e disposies legais. Efetuar as aes necessrias para uma maior participao de provedores. Assegurar respaldo de manuteno e assistncia tcnica.

2.11.2.14 Controles de organizao e Planejamento: 2.11.2.14.1Objetivos: Garantir que o hardware e software sejam adquiridos sempre e quando tenham a segurana de que os sistemas computadorizados proporcionaram maiores benefcios que qualquer alternativa. Garantir a seleo adequada de equipes e sistemas de computao. Assegurar a elaborao de um plano de atividades prvio instalao. Refere-se definio clara de funes, hierarquia de autoridade e responsabilidade das diferentes unidades da rea CPD, nas tarefas tais como: Modular o sistema. Elaborar os programas. Operar o sistema. Controle de qualidade. Evitar que uma mesma pessoa tenha o controle de toda uma operao. 2.11.2.14.2Aes a seguir: A unidade de informtica deve estar no mais alto nvel da pirmide administrativa, de maneira que cumpra com seus objetivos, conte com o apoio necessrio da direo efetiva. As funes de operao, programao e modulagem dos sistemas devem estar claramente delimitadas. Devem existir mecanismos necessrios a fim de assegurar que os programadores e analistas no tenham acesso operao do computador e os operadores por sua vez no conheam a documentao de programas e sistemas. Deve existir uma unidade de controle de qualidade, tanto de entrada de dados como dos resultados do processamento. O manuseio e posse de dispositivos e arquivos magnticos devem estar expressamente definidos por escrito. As atividades do PDI - "Plano Diretor de Informtica" devem obedecer a planejamentos de curto, mdio e longo prazo sujeitos a avaliao e ajustes peridicos. Deve existir uma participao efetiva de diretores, usurios e pessoal do PDI, no planejamento e avaliao do cumprimento do plano. As instrues devem estar por escrito.

2.11.2.15 Controles de Sistema em desenvolvimento e Produo. 2.11.2.15.1Introduo. Os sistemas tem sido a melhor opo para as empresas, proporcionam uma baixa relao custo-benefcio e proporcionam informao oportuna e efetiva. Deseja-se que os sistemas sejam desenvolvidos atravs de adequado planejamento e se encontrem devidamente documentados. 2.11.2.15.2Aes a seguir. Os usurios devem participar do desenho e implantao dos sistemas, por possurem conhecimento e experincia na rea. Alm do que, esta atividade facilita no processo de troca de informaes. O pessoal de Auditoria interna deve formar parte do grupo de desenho para sugerir e solicitar a implantao de rotinas de controle. O desenvolvimento, desenho e manuteno de sistemas obedecem a planos especficos, padres metodolgicos, procedimentos e no geral s normas escritas e aprovadas. Cada fase concluda deve ser aprovada e documentada pelos usurios mediante atas ou outros mecanismos, a fim de evitar reclamaes posteriores. Os programas antes de passar para a Produo devem ser testados com dados que esgotem todas as excees possveis. Todos os sistemas devem estar devidamente documentados e atualizados. A documentao dever conter: - Informe de facilidades. - Diagrama de bloqueio. - Diagrama de lgica do programa. - Objetivos do programa. - Formatos de sada. - Resultados de provas realizadas. - Impresso original do programa e verses que incluam as mudanas efetuadas com antecedentes de pedido e aprovao de modificaes. Implantar procedimentos de solicitao, aprovao e execuo de mudanas nos programas, e nos formatos dos sistemas em desenvolvimento. O sistema concludo ser entregue ao usurio com prvio treinamento e elaborao dos manuais de operao respectivos. 2.11.3 Controles Detectivos. 2.11.3.1 Definio. So aqueles que no evitam que ocorram as causas do risco sendo dectados logo depois de ocorridos. So os mais importantes para o auditor. De certa forma servem para avaliar a eficincia dos controles preventivos. Exemplo: Arquivos e processos que sirvam como pistas de Auditoria como Procedimentos de validao. Deteco: detectar o problema o mais cedo possvel. Divide-se em: 2.11.3.2 Auditoria: Periodicamente deve-se analisar os componentes crticos do sistema a procura de mudanas suspeitas. Esse processo pode ser realizado por ferramentas que procuram, por exemplo, modificaes no tamanho nos arquivos de senhas, usurios com inatividade longa, etc.

2.11.3.3 Alertas: Sistemas de deteco de intrusos (IDS - Intrusion Detection System) podem avisar os administradores e responsveis pela segurana da rede a qualquer sinal de invaso ou mudana suspeita no comportamento da rede que parea um padro de ataque ou mude o comportamento normal da rede. Os avisos podem ser via e-mail, via mensagem no terminal do administrador, etc.; 2.11.3.4 Controles Automticos ou Lgicos. 2.11.3.4.1 Definio. Controles particulares tanto na parte automtica como na lgica se detalham na: Autenticidade, Permitem verificar a identidade, Passwords, Firmas digitais, Exatido, Asseguram a correo dos dados, Validao de campos, Validao de excessos, Totalidade, Evitam a omisso de registros assim como garantia da concluso de um processo de envio do contedo dos registros, Cifras de controle, Redundncia, Evitam a duplicidade de dados, Cancelamento de lotes, Verificao de seqncias, Privacidade, Asseguram a proteo dos dados, Compactao, Encriptao, Existncia. Periodicidade de troca de chaves de acesso. 2.11.3.4.2 As Mudanas de Chaves de Acesso aos Programas, Devem Realizar-se Periodicamente. Normalmente os usurios se acostumaram a conservar a mesma chave inicial. No mudar as chaves periodicamente aumenta a possibilidade de que pessoas no autorizadas conheam e utilizem chaves de usurios do sistema de computao. Por tanto se recomenda mudar chaves pelo menos trimestralmente. 2.11.3.4.3 Combinao de Alfanumricos nas Chaves de Acesso. No conveniente que a chave seja composta por cdigos de empregados, j que uma pessoa no autorizada atravs de provas simples ou de dedues pode identificar estas chave. Para redefinir chaves, necessrio considerar os tipos de chaves que existem: Individuais. Pertencem a um s usurio, por tanto individual e pessoal. Esta chave permite no momento de efetuar as transaes registrar os responsveis por qualquer alterao. Confidenciais. De forma confidencial os usurios devero ser instrudos formalmente a respeito do uso das chaves. No significativas. As chaves no devem corresponder a nmeros seqenciais sem fachas de nomes. 2.11.3.4.4 Verificao de Dados de Entrada. Incluir rotinas que verifiquem a compatibilidade dos dados mas no sua exatido ou preciso; tal o caso da validao do tipo de dados que contem os campos ou verifica se estes se encontram dentro de um limite. 2.11.3.4.5 Contedo de Registros. Consiste em criar campos de memria para ir acumulando cada registro que se inclui e verificar com os totais j registrados. 2.11.3.4.6 Totais de Controle. Se realiza mediante a criao de totais de linha, colunas, quantidade de formulrios, cifras de control, etc., e automaticamente verificar com um campo no qual se vo acumulando os registros, separando s aqueles formulrios ou registros com diferenas. 2.11.3.4.7 Verificao de Limites. Consiste na verificao automtica de tabelas, cdigos, limites mnimos e mximos atravs de determinadas condies dadas previamente. 2.11.3.4.8 Verificao de Seqncias. Em certos processos os registros devem observar certa seqncia numrica ou alfabtica, ascendente ou descendente, esta verificao deve fazer-se mediante rotinas independentes do programa em si. 2.11.3.4.9 Dgito Verificador. Consiste em incluir um dgito adicional a uma codificao, o mesmo resultado da aplicao de um algoritmo ou frmula, conhecida como MDULOS, que detecta a correo o no do cdigo. Tal o caso por exemplo do dcimo dgito da cdula de identidade, calculado com o mdulo 10 ou o ltimo dgito do CPF calculado com o mdulo 11. 2.11.3.4.10Utilizar Software de Segurana. O software de Segurana permite restringir o acesso ao microcomputador, de tal modo que s o pessoal autorizado poda utiliz-lo. Adicionalmente, este software permite reforar a segregao de funes e a confidencialidade da informao mediante controles para que os usurios possam acessar s aos programas e dados para os que esto autorizados.Programas de

este tipo son: WACHDOG, LATTICE, SECRET DISK.

Custo

PONTO TIMO

Integridade, Segurana

FAIXA ACEITVEL Eficincia, Eficcia

Controles

2.11.3.5 Controles de Processamento. 2.11.3.5.1 Objetivos: Os controles de processamento se referem ao ciclo que segue a informao desde a entrada at a sada da informao, o que requer o estabelecimento de uma srie de medidas de segurana para: Assegurar que todos os dados sejam processados. Garantir a exatido dos dados processados. Assegurar que os resultados sejam entregues aos usurios na forma oportuna e nas melhores condies. Garantir que se grave um arquivo para uso da gerncia e com fins de Auditoria OLAP (Online Analitical Processing). 2.11.3.5.2 Aes a seguir: Validaes prvias de dados de entrada devem ser realizadas na forma automtica: chave, dgito verificador, total de lotes, etc. Preparao de dados de entrada deve ser responsabilidade de usurios e conseqentemente sua correo. Recepo de dados de entrada e distribuio de informao de sada deve obedecer a um horrio elaborado na coordenao com o usurio, realizando um devido controle de qualidade. Adaptar aes necessrias para correes de erros. Analisar a convenincia custo-benefcio de elaborao de formulrios, para agilizar a captura de dados e minimizar erros. Os processos interativos devem garantir uma adequada inter-relao entre usurio e sistema. Planejar a manuteno do hardware e software, tomando todas as medidas de segurana para garantir a integridade da informao e o bom servio a usurios. 2.11.3.6 Controles de Operao. 2.11.3.6.1 Objetivos: Abarcam todo o ambiente de operao do equipamento central de computao e dispositivos de armazenamento, a administrao e a operao de terminais e equipamentos de comunicao por parte dos usurios de sistemas on-line. Os controles tm como fim: Prevenir ou detectar erros acidentais que possam ocorrer no centro de computao durante um processo. Evitar ou detectar o manuseio de dados com fins fraudulentos por parte de funcionrios do CPD. Garantir a integridade dos recursos informticos. Assegurar a utilizao adequada de equipes de acordo com os planos e objetivos. 2.11.3.6.2 Aes a seguir: O acesso ao centro de computao deve contar com as seguranas necessrias para preservar o ingresso somente de pessoal autorizado. Implantar chaves ou passwords para garantir a operao de equipamento central (mainframe), somente pessoal autorizado. Formular polticas a respeito da segurana, privacidade e proteo das facilidades de processamento contra eventos como: incndio, vandalismo, roubo e uso indevido, violao e como responder ante esses eventos. Manter um registro permanente (Log) de todos os processos realizados, informando a constncia de suspenses ou cancelamento de processos.

 Os operadores do equipamento central devem estar preparados para recuperar ou restaurar informaes no caso de destruio de arquivos. Os backups devem ser guardados em lugares seguros e adequados, preferentemente em cofres de bancos. Devem-se implantar calendrios de operao a fim de estabelecer prioridades de processos. Todas as atividades do Centro de Computao devem ser descritas mediante manuais, instrutivos, normas, regulamentos, etc. O fornecedor de hardware e software dever proporcionar o seguinte: - Manual de operao de equipamentos. - Manual da linguagem de programao. - Manual de utilitrios disponveis. - Manual de Sistemas Operacionais As instalaes devem contar com sistema de alarme detectando a presena de fogo e umidade; devendo contar tambm com extintores de incndio, conexes eltricas seguras, entre outras. Instalar equipamentos que protejam a informao e os dispositivos no caso de variao de voltagem como: reguladores de voltagem, supressores pico, geradores de energia. Contratar empresas de segurana para proteger a informao, equipes, pessoal; evitando a todo custo prejuzos produzidos por casos fortuitos ou m operao. 2.11.3.7 Controles no uso do Microcomputador. 2.11.3.7.1 Definio. a tarefa mais difcil, pois o equipamento muito vulnervel, de fcil acesso, de fcil explorao, porem os controles que se implantam ajudam a garantir a integridade e confidencialidade da informao. 2.11.3.7.2 Aes a seguir: Aquisio de equipamentos de proteo como supressores de pico, reguladores de voltagem. Vencida a garantia de manuteno do fornecedor, se deve contratar manuteno preventiva e corretiva. Estabelecer procedimentos para obteno de backups de sistemas e de arquivos de dados. Reviso surpresa e peridica do contedo do disco, para verificar a instalao de aplicaes no relacionadas a gesto da empresa. Manter programas e procedimentos de deteco e imunizao de vrus nas cpias no autorizadas ou dados processados por outras equipes. Propiciar a padronizao do Sistema Operacional e software utilizados como editores de texto, planilhas eletrnicas, manipuladores de base de dados e manter atualizadas as verses e a capacitao sobre modificaes includas. Reviso de Centros de Computao que consiste na reviso dos controles nas operaes do centro de processamento de informao nos seguintes aspectos: 1.- Reviso de controles de equipamento. Faz-se para verificar se existem formas adequadas de detectar erros de processamento, prevenir acessos no autorizados e manter um registro detalhado de todas as atividades do computador que deve ser analisado periodicamente. 2.- Reviso de programas de operao. Verifica-se o cronograma de atividades para processar a informao e assegurar a utilizao efetiva do computador. 3.- Reviso de controles ambientais Faz-se para verificar se os equipamentos tem um cuidado adequado, dizer se contam com deshumidificadores, arcondicionado, fontes de energia contnua, extintores de incndios, etc. 4.- Reviso do plano de manuteno. Aqui se verifica se todos os equipamentos principais tenham uma adequada manuteno que garanta seu funcionamento contnuo. 5.- Reviso do sistema de administrao de arquivos. Faz-se para verificar se existem formas adequadas de organizar os arquivos no computador, se esto respaldados, assim como assegurar que o uso que lhe do o autorizado. 6.- Reviso do plano de contingncias. Aqui se verifica se adequado o plano de recuperao no caso de desastre. 2.11.4 Controles Corretivos. 2.11.4.1 Definio. Ajudam a investigao e correo das causas de risco. A correo adequada pode resultar-se difcil e ineficiente, sendo necessria implantao de controles detectivos sobre os controles corretivos, devido a ser a correo de erros uma atividade altamente propensa a erros. A Recuperao: como voltar ao funcionamento normal aps um incidente. Divide-se em: 2.11.4.2 Cpia de segurana dos dados (Backup): Manter completo, atualizado e testado, backup dos dados em meio diferente e separado dos servidores; aplicao para realizar o Backup: ferramentas que proporcionem recuperao rpida dos dados do backup;

2.11.4.3 Backup do Hardware: A compra ou utilizao de backup de hardware (ex: servidor reserva, no-break reserva, linhas de dados reserva, etc.) podem ser justificados levando-se em conta o custo de uma parada do sistema e determinando-se a importncia da informtica para a organizao. 2.12 Causas de realizao de uma Auditoria de Segurana. Esta constitui a FASE 0 da Auditoria e a ordem 0 da atividade da mesma. A equipe de auditoria deve conhecer as razes pelas quais o cliente deseja realizar o Ciclo de Segurana. Pode haver muitas causas: Regras internas do cliente, Incrementos no previstos de cortes, Obrigaes legais, Situao de ineficincia global notria, etc. Desta maneira o auditor conhecer o entorno inicial. Assim a equipe de auditoria elaborar o plano de Trabalho. 2.12.1 Ciclo de Segurana. O objetivo da Auditoria de segurana revisar a situao e as quotas de eficincia da mesma nos rgos mais importantes da estrutura de informtica. Para isso, devem ser fixados os seguintes pontos de partida: A rea auditada a Segurana. A rea a auditar se divide em Segmentos. Os segmentos se dividem em Sees. As sees se dividem em Subsees. Deste modo a Auditoria se realizar nestes 3 nveis. Os seguimentos a auditar, so: Segmento 1: Segurana do cumprimento de normas e padres. Segmento 2: Segurana de Sistema Operacional. Segmento 3: Segurana de Software. Segmento 4: Segurana de Comunicaes. Segmento 5: Segurana de Base de Dados. Segmento 6: Segurana de Processo. Segmento 7: Segurana de Aplicaes. Segmento 8: Segurana Fsica. Conceitualmente a auditoria de informtica em geral e a de segurana em particular, se desenvolvem em seis fases bem diferenciadas: Fase 0. Causas da realizao do ciclo de Segurana. Fase 1. Estratgia e logstica do ciclo de Segurana. Fase 2. Ponderao dos setores do ciclo de Segurana. Fase 3. Operatividade do ciclo de Segurana. Fase 4. Clculos e resultados do ciclo de Segurana. Fase 5. Confeco do informe do ciclo de Segurana. Por sua vez, as atividades auditorias se realizam na ordem seguinte: Comeo do projeto de Auditoria de Informtica. Apresentao da equipe do auditor. Apresentao da equipe interlocutora do cliente. Verificao de formulrios globais e parciais por parte do cliente. Apresentao de pesos tcnicos por parte da equipe do auditor. Apresentao de pesos polticos por parte do cliente. Apresentao de pesos finais a segmentos e sees. Preparao e confirmao de entrevistas. Entrevistas, confrontaes e anlises e repasse de documentao. Clculo e ponderao de subsees, sees e segmentos. Identificao reas melhorveis. Eleio das reas de atuao prioritrias. Preparao de recomendaes e de informes. Discusso de recomendao com o cliente. Entrega do informe. Concluso. A Auditoria na informtica a reviso e a avaliao dos controles, sistemas, procedimentos de informtica; das equipes de computao, sua utilizao, eficincia e segurana, das organizaes que participam no processamento da informao, a fim de que, por meio da sinalizao de cursos alternativos onde se logre uma utilizao mais eficiente e segura da informao, que servir para uma adequada tomada de decises.

A Auditoria na informtica dever compreender no s a avaliao das equipes de computao, de um sistema de procedimento especfico, mas tambm ter de avaliar os sistemas de informao em geral, desde suas entradas, procedimentos, controles, arquivos, segurana e obteno de informao. A Auditoria na informtica de vital importncia para o bom desempenho dos sistemas de informaes, j que proporcionam os controles necessrios para que os sistemas sejam confiveis e com um bom nvel de Segurana. Ademais deve avaliar tudo (informtica, organizao de centros de informao, hardware e software). 2.13 Objetivos Gerais de uma Auditoria de Sistemas: Buscar uma melhor relao custo-benefcio dos sistemas automticos o computadorizados desenhados e implantados pelo CPD. Incrementar a satisfao dos usurios dos sistemas computadorizados. Assegurar uma maior integridade, confidencialidade e confiabilidade da informao mediante a recomendao de Seguranas e controles. Conhecer a situao atual do rea de informtica e as atividades e esforos necessrios para lograr os objetivos propostos. Segurana de pessoal, dados, hardware, software e instalaes. Apoio funo informtica a s metas e objetivos da organizao. Segurana, utilidade, confiana, privacidade e disponibilidade no ambiente de informtica. Minimizar a existncias de riscos no uso de tecnologia de informao Decises de inverses e gastos desnecessrios. Capacitao e educao sobre controles nos Sistemas de Informao. 2.14 Justificativas para efetuar uma Auditoria de Sistemas. Aumento considervel e injustificado do pressuposto do CPD (Centro de Processamento de Dados). Desconhecimento no nvel diretivo da situao informtica da empresa. Falta total ou parcial de seguranas lgicas e fsicas que garantissem a integridade do pessoal, equipes e informao. Descobrimento de fraudes efetuadas com o computador. Falta de uma planejamento de informtica. Organizao que no funciona corretamente, falta de polticas, objetivos, normas, metodologia, padronizaes de reas e adequada administrao do Recurso Humano. Descontentamento geral dos usurios por descumprimento de prazos e m qualidade dos resultados. Falta de documentao ou documentao incompleta de sistemas, que revela a dificuldade de efetuar o manuteno dos sistemas na produo.

2.15 Bibliografa http://www.geocities.com/lsialer/NotasInteresantes.htm http://www.monografias.com/trabalhos/auditoinfo/auditoinfo.shtml http://www.monografias.com/trabalhos/maudisist/maudisist.shtml

3 Auditoria de Dados. 3.1 Requisitos Para a Utilizao de Evidncia Proveniente de Dados Processados por Computadores. Ao utilizar dados fornecidos por computador para fundamentar achados de auditoria, a equipe precisa levar em considerao as seguintes questes:

Qual a importncia desses dados para o alcance dos objetivos da auditoria?

Os dados podem ser considerados completos e exatos? O que se sabe sobre o sistema que os processou? Quando os dados processados por computador so utilizados pela equipe de auditoria ou includos no relatrio apenas com o propsito de fornecer um histrico ou relatar fatos no significativos para os resultados do trabalho, a citao da fonte dos dados no relatrio normalmente ser suficiente para estabelecer a confiabilidade das informaes apresentadas. Se esses dados servirem como o principal instrumento para se atingir os objetivos de auditoria, a equipe deve atestar sua confiabilidade, mediante a prtica de procedimentos de avaliao tanto dos dados quanto do sistema que os processou. Os dados somente podero ser considerados confiveis se forem completos (sem omisses ou incluses indevidas capazes de distorcer as anlises) e exatos (sem incorrees significativas nos valores atribudos). Eles no precisam estar 100% corretos, mas tm que representar "adequadamente" o universo auditado. Na prtica, pode ser que a equipe de auditoria tenha que estimar, com a ajuda de mtodos estatsticos, o valor provvel do erro mximo dos dados, ou "limite superior do erro", e compar-lo com o nvel de materialidade, a ser estabelecido levandose em conta o uso previsto para os dados. 3.2 A determinao da confiabilidade dos dados. necessria independentemente de serem eles fornecidos pela organizao auditada ou extrados dos sistemas pela prpria equipe de auditoria. A anlise da confiabilidade dos dados processados por computador deve ser iniciada ainda na fase de planejamento da auditoria, sempre que os estudos preparatrios permitam identificar e investigar as fontes dos dados que iro servir para se alcanar os objetivos de auditoria. Se os dados a serem utilizados no forem suficientemente confiveis para atender aos objetivos da auditoria, eles no servem de evidncia primria, e a equipe ter que planejar um procedimento alternativo. As seguintes opes devem ser consideradas e discutidas com os superiores:

Obter os dados de outras fontes, cuja confiabilidade possa ser confirmada;

Coletar dados primrios para atender aos objetivos, em vez de utilizar fontes secundrias (esse procedimento somente pode ser adotado se for impossvel completar o trabalho no tempo previsto para a auditoria); Redefinir os objetivos da auditoria, para eliminar a necessidade de utilizar dados no confiveis; Utilizar os dados, explicando sua limitao e abstendo-se de extrair concluses ou recomendaes;

Interromper a tarefa se nenhuma nova alternativa for possvel. 3.3 Mtodos de Avaliao de Dados Processados por Computador. A eficcia da utilizao dos procedimentos aqui recomendados depender da capacidade da equipe de auditoria em julgar a qualidade dos controles do sistema e a extenso e forma do teste dos dados. Erros nesse julgamento podem trazer conseqncias indesejveis: um aprofundamento excessivo da investigao desperdia recursos valiosos, enquanto um esforo insuficiente pe em risco a confiabilidade do trabalho. Em algumas circunstncias, a equipe poder concluir ser necessria a presena de um especialista na rea de auditoria de sistemas informatizados para auxili-la no trabalho. Para que esse auxlio possa ser providenciado, o coordenador da equipe dever informar o fato ao responsvel pela superviso do trabalho. Existem basicamente dois mtodos para a avaliao da confiabilidade de dados extrados de computadores: - Avaliao do sistema: testa e avalia com profundidade todos os controles num sistema informatizado, abrangendo suas aplicaes e produtos. Os procedimentos utilizados so: (1) exame dos controles gerais e de aplicativos do sistema; (2) teste da observncia dos controles; e (3) teste dos dados produzidos pelo sistema. Apesar de oferecer uma melhor compreenso da finalidade e da forma de operao do sistema, este tipo de avaliao tende a consumir muito tempo e exige a participao de um especialista na rea de Auditoria de Sistemas Informatizados. - Avaliao limitada: direcionada para dados especficos. Por essa razo, ela normalmente requer uma avaliao menos profunda dos controles gerais e de aplicativos, podendo ser realizada por equipes compostas, somente, por tcnicos generalistas. Os controles pertinentes so examinados na extenso necessria para julgar o grau de abrangncia dos testes a serem feitos nos dados visando a determinar sua confiabilidade. H casos em que opo pela avaliao do sistema ser mais vantajosa. Por exemplo: quando uma unidade tcnica utiliza repetidamente dados do mesmo sistema informatizado em suas atividades de fiscalizao. Nessas circunstncias, uma avaliao extensiva, periodicamente atualizada, pode revelar-se menos onerosa, em longo prazo, que sucessivas avaliaes limitadas dos dados. Na maioria das auditorias, entretanto, o segundo mtodo de avaliao adequado e suficiente, podendo ser aplicado atravs das tcnicas e procedimentos constantes dos itens seguintes: 3.4 Tcnicas e Procedimentos de Avaliao Limitada da Confiabilidade dos Dados. Para se determinar a confiabilidade de dados processados por computador, pelo mtodo de avaliao limitada, so utilizados os seguintes passos: - Determinao do uso dos dados - decidir quais os dados processados por computador iro ser utilizados para se alcanar dos objetivos de auditoria, assim como de que maneira esses dados sero utilizados, identificando aqueles que:

(a) provavelmente iro servir como nica evidncia para um achado; (b) podero ser confirmados por outras fontes independentes; (c) serviro apenas como referncia para os trabalhos, no influindo nos resultados da auditoria; - Definio dos dados que devero ter sua confiabilidade avaliada; - Levantamento do conhecimento prvio sobre o sistema e/ou os dados; - Avaliao dos controles do sistema de processamento dos dados - restrita aos controles relevantes do sistema, que podem reduzir o risco de erro para um nvel aceitvel; - Determinao do risco de confiabilidade dos dados e da extenso do teste de dados; - Teste de dados - execuo de procedimentos para avaliar a integridade e autenticidade dos dados e a exatido do seu processamento por computador; - Divulgao da fonte dos dados e da confiabilidade atribuda aos mesmos. Sempre que possvel, as atividades relacionadas aos passos 1 a 3 devem ser executadas durante a etapa de planejamento da auditoria. Entretanto, em muitos casos no ser possvel obter ainda nessa fase as informaes necessrias. Nessas situaes ou quando durante os trabalhos surgirem novas evidncias ou achados que exijam o uso de outros dados processados por computador, todas as etapas podero ser cumpridas no perodo de execuo da auditoria. A seguir, so apresentados as tcnicas e procedimentos associados a cada etapa da avaliao da confiabilidade dos dados. 3.5 Determinao do Uso dos Dados. Quando uma auditoria requer o uso de dados processados por computador, o primeiro passo decidir como eles sero utilizados para se alcanar os objetivos de auditoria. Normalmente, os dados so utilizados como:

nica evidncia para fundamentar um achado; Evidncia auxiliar, ou de ratificao; ou

Informao geral (histrico, descries, etc.). Inicialmente, devem-se identificar os dados e sistemas a serem utilizados. Em seguida, cada grupo de dados deve ser classificado de acordo com sua utilidade (nica evidncia, comprovao auxiliar ou dado de informao geral). 3.6 Definio dos dados que devero ter sua confiabilidade avaliada. A partir da definio do uso a ser dado s informaes provenientes de sistemas informatizados, podem-se determinar quais os grupos de dados que precisaro ter sua confiabilidade avaliada, antes de poderem ser utilizados como evidncia no relatrio de auditoria. Com base na classificao definida no passo anterior, tem-se uma das seguintes situaes: Dados classificados como nica evidncia - quando os dados processados por computador so o nico suporte para um objetivo de auditoria, o grau de confiabilidade exigido deles alto, devendo a equipe de auditoria proceder a um rigoroso teste de avaliao dos dados e do sistema. Dados classificados como evidncia auxiliar - quando os dados processados por computador podem ser ratificados por outras comprovaes de auditoria, o grau de confiabilidade exigido vai depender do quanto s outras evidncias seriam suficientes para, vistas isoladamente, respaldar as concluses. Dados classificados como de informao geral - menor risco de se usar dados informatizados ocorre quando esses tm uma funo apenas informativa, no contribuindo para os resultados da auditoria. Nesse caso, a citao da fonte dos dados e a garantia de que estes so os melhores disponveis satisfaro os padres de confiabilidade esperados do relatrio, a menos que haja razo para se acreditar que uma falta de rigor nos dados pode distorcer os resultados do trabalho. O Quadro a seguir resume as implicaes dos trs usos possveis para os dados.

Quadro 1 - Determinao da necessidade ou no de avaliao da confiabilidade dos dados quando outras evidncias comprobatrias esto disponveis. TIPO DE USO CARACTERSTICAS DAS OUTRAS EVIDNCIAS EXIGNCIA DE AVALIAO DOS
DADOS PROCESSADOS POR COMPUTADOR

nica evidncia

Evidncia auxiliar Informao geral

Fonte primria de informao (ex: comprovao fsica da existncia de um bem, documento bancrio que confirma um valor declarado etc.) Fontes auxiliares que por si ss no podem ser consideradas suficientes (ex: entrevista com funcionrios da unidade) Fontes primrias ou auxiliares Inexistentes

SIM NO SIM NO NO*

(*) A menos que haja razes para se acreditar que uma falta de rigor nos dados pode de alguma forma distorcer os resultados do trabalho 3.7 Levantamento do Conhecimento Prvio Sobre o Sistema e/ou os Dados. Nos casos em que se inferiu a necessidade de avaliao da confiabilidade dos dados, a prxima etapa consiste no levantamento de todas as informaes disponveis sobre o sistema e os dados. Informaes favorveis sobre a confiabilidade do sistema ou dos dados podem reduzir o risco de confiabilidade, e diminuir o trabalho de avaliao dos controles do sistema e de teste de dados. Informaes desfavorveis levaro ao aumento do risco, exigindo maior cuidado na avaliao dos controles e na realizao de testes de dados, os quais devero ser suficientes para garantir que as informaes que iro servir de evidncia sejam completas e exatas. Os seguintes exemplos ilustram como a equipe pode saber mais sobre os dados ou o sistema que os processou:

Os mesmos dados j foram utilizados em auditorias anteriores, aps ter sido estabelecida sua confiabilidade. O risco de se utilizar os mesmos dados novamente em outro relatrio seria baixo, mas seria necessrio averiguar se os dados no foram modificados aps a ltima auditoria. Os controles do sistema que processou os dados foram avaliados em uma auditoria recente e considerados adequados. Aps certificar-se de que nenhuma mudana significativa ocorreu no sistema desde aquela avaliao, a equipe de auditoria pode reduzir a extenso do teste de dados que ir determinar sua confiabilidade. Uma auditoria de sistemas informatizados, executada recentemente, abrangeu o sistema responsvel pelo processamento dos dados sob exame, ainda que em outra aplicao. Os resultados dessa avaliao do sistema, aps confirmada a ausncia de alteraes significativas em sua operao, podem ser utilizados para definir a amplitude dos testes a serem realizados nos dados. 3.8 Avaliao dos Controles do Sistema de Processamento dos Dados. Durante a fase de execuo da auditoria, e antes de se proceder ao teste de dados (procedimento que, em ltima instncia, ir determinar a sua confiabilidade), normalmente indicada a avaliao dos controles presentes no sistema de processamento desses dados. Segundo princpios geralmente aceitos de auditoria, quanto menor a confiabilidade dos controles gerais ou de aplicativo (ou se esses no forem avaliados), maior a extenso do teste necessrio para determinar a confiabilidade dos dados. A abrangncia da avaliao dos controles depende do conhecimento prvio sobre os dados e o sistema. O quadro 3 mostra como pode ser definida a extenso da avaliao dos controles a partir das informaes obtidas: Quadro 2 - Determinao da extenso da avaliao dos controles do sistema CONHECIMENTO PRVIO SOBRE O USO PLANEJADO PARA OS DADOS
SISTEMA OU OS DADOS

AMPLITUDE DA AVALIAO
CONTROLES DO SISTEMA

DOS

As informaes so insuficientes ou avaliaes anteriores detectaram erros significativos nos controles do sistema ou nos prprios dados. A confiabilidade do sistema ou dos dados j foi avaliada e considerada adequada em trabalhos anteriores.

nica evidncia para possveis achados Evidncia auxiliar Informaes gerais (histrico, descrio, etc.).

Extensiva Moderada Desnecessria*

nica evidncia para possveis Moderada achados Evidncia auxiliar Reduzida Informaes gerais (histrico, Desnecessria descrio, etc.) (*) A menos que haja razes para se acreditar que uma falta de rigor nos dados pode de alguma forma distorcer os resultados do trabalho. Nesse caso, a equipe deve decidir entre avaliar a existncia e eficcia dos elementos-chave de controle, desistir do uso das informaes ou confirmar sua validade atravs de outras fontes.

No item 4 deste mdulo, so apresentados os procedimentos para a avaliao dos controles dos sistemas, nos trs nveis indicados (extensivo, moderado e reduzido). A seguir, apresentam-se os indcios que podem caracterizar a inadequao dos controles de sistema, e um mtodo para a classificao desses controles, de acordo com o grau de eficcia a eles atribudos. 3.9 Indcios de Ineficcia dos Controles de Sistema. Ainda que bem planejados e projetados, se aplicados de forma inconsistente ou incorreta, os controles de sistema sero ineficazes. H muitas razes para que os controles sejam desconsiderados ou ignorados pelo pessoal envolvido, tais como falta de tempo, fadiga, tdio, falta de ateno, controles que oneram a operao do sistema e at mesmo conluio para ganho pessoal. Por esse motivo, a equipe deve selecionar os procedimentos de controle mais significativos e confirmar sua eficcia. A documentao de um sistema bem controlada deve ser completa e atualizada. A ausncia dessa documentao pode indicar que no existem controles, que eles no so compreendidos ou so inadequadamente aplicados. Outros sinais que sugerem vulnerabilidade de dados a erros podem ser:

Sistemas antigos, que exigem muita manuteno; Grande volume de dados; Atividades de atualizao muito freqentes; Numerosos tipos de transao e de fontes de dados;

Grande nmero de elementos de dados codificados (por exemplo, itens do estoque representados por meio de cdigos numricos, em vez do nome do bem, podem dificultar a identificao at mesmo de erros grosseiros); Alta rotatividade de pessoal (digitadores, operadores, programadores, analistas) e treinamento inadequado ou em escala insuficiente; Estruturas de dados complexas ou desorganizadas; Falta de padres para o processamento de dados, especialmente quanto segurana, acesso e controle de mudana de programas. Entrevistas com funcionrios com grande conhecimento da organizao podem auxiliar a equipe no entendimento dos controles do sistema. A evidncia testemunhal, entretanto, sempre que possvel, deve ser corroborada atravs de observao direta e outros testes. 3.10 Parecer Sobre a Eficcia dos Controles do Sistema. Aps avaliar os controles do sistema, a equipe dever dar um parecer sobre a sua eficcia, isso , sua capacidade de prevenir erros e detectar e corrigir aqueles que venham a ocorrer. De acordo com os resultados da anlise efetuada, a equipe de auditoria ir classific-los em: Controles slidos - quando se assumir que o sistema como um todo est capacitado a prevenir, detectar e corrigir qualquer erro significativo nos dados; Controles adequados - quando forem detectadas deficincias nos controles, mas de modo geral esses demonstrarem ser suficiente para prevenir os erros mais significativos, e acusar os que venham a ocorrer; ou; Controles fracos/indeterminados - quando se identificar a ausncia ou ineficcia dos controles de sistema, e, conseqentemente, oportunidades de introduo de dados incorretos no sistema. A opinio da equipe quanto ao grau de eficcia dos controles depender de evidncia que seja ao mesmo tempo relevante e confivel. Assim como em outras atividades de auditoria (conforme prev o Manual de Auditoria do TCU), pode ser necessrio definir ndices de materialidade e outros critrios a serem observados como base de comparao, julgamento e apreciao de desempenho. 3.11 Determinao do Risco de Confiabilidade dos Dados. O risco de confiabilidade dos dados definido como sendo o "risco de que os dados utilizados no sejam suficientemente confiveis para o fim a que se destinam", ou seja, o risco de que esses no sejam exatos e completos o suficiente para servir de fundamento para achados de auditoria. A partir das informaes reunidas e do uso planejado para os dados, pode-se identificar o risco de confiabilidade envolvido, a ser definido como alto, moderado ou baixo, como mostra o quadro abaixo. Quadro 3 - Determinao do risco de confiabilidade dos dados, a partir do conhecimento prvio sobre o sistema e o uso planejado para os dados.

CONHECIMENTO PRVIO
SISTEMA OU OS DADOS

SOBRE O

USO PLANEJADO PARA OS DADOS nica evidncia para possveis achados Evidncia auxiliar Informaes gerais (histrico, descrio etc.) nica evidncia para possveis achados Evidncia auxiliar Informaes gerais (histrico, descrio etc.)

RISCO DE CONFIABILIDADE Alto Moderado Baixo Moderado Baixo Muito baixo

As informaes so insuficientes ou avaliaes anteriores detectaram erros significativos nos controles do sistema ou nos prprios dados. A confiabilidade do sistema ou dos dados j foi avaliada e considerada adequada em trabalhos anteriores.

O risco de confiabilidade dos dados pode ser ajustado pelos resultados da avaliao dos controles do sistema, como mostra o quadro a seguir. Quadro 4 - Determinao do risco de confiabilidade ajustado dos dados. RISCO DE CONFIABILIDADE + AVALIAO DOS CONTROLES DO
INICIALMENTE CALCULADO SISTEMA

RISCO DE CONFIABILIDADE
AJUSTADO

Alto Moderado Baixo Muito baixo

Fracos/Indeterminados Adequados Slidos Fracos/Indeterminados Adequados Slidos Fracos/Indeterminados Adequados Slidos normalmente no necessria e de alto custo-benefcio

Alto Alto a moderado Moderado a baixo Moderado Moderado a baixo Baixo Baixo Baixo a muito baixo Muito baixo Muito baixo

Com a determinao do risco de confiabilidade ajustado, define-se a extenso do teste de dados, como mostra o quadro 5. Quadro 5 - Determinao da extenso do teste de dados. RISCO DE CONFIABILIDADE ABRANGNCIA DO TESTE DE DADOS Alto Extensivo Moderado Moderado Baixo Reduzido 3.12 Teste de Dados. Os princpios de auditoria exigem que qualquer evidncia (independentemente de sua fonte ou formato) seja confivel, relevante e suficiente. O teste dos dados tem o objetivo de estabelecer a consistncia deles em relao ao uso planejado. Algum teste de dados sempre ser necessrio quando se pretende avaliar a confiabilidade de informaes processadas por computador. Mesmo quando os controles do sistema so bem projetados e, de modo geral, eficazes, a exatido dos dados no garantida. Ainda que a equipe possa fiar-se em bons controles para reduzir a amplitude do teste dos dados, como demonstra o quadro 5, a avaliao dos controles do sistema no pode substitu-lo. Embora seja improvvel que qualquer sistema de computador contenha dados completamente livres de erro, o conceito de confiabilidade no exige dados perfeitos. Ele pressupe, no entanto, a execuo de procedimentos para avaliar a integridade e autenticidade dos dados e a exatido do seu processamento por computador, abrangendo: Testes da integridade dos dados: determinam se o universo contm todos os elementos de dados e registros relevantes para o objetivo de auditoria, no perodo abrangido. A omisso de dados particularmente danosa se ela representar um segmento especfico da populao total (exemplo, todos os pagamentos efetuados a um mesmo fornecedor). Testes de autenticidade dos dados: verificam se os dados computadorizados refletem com exatido sua fonte (os registros de entrada de dados devem reproduzir fielmente os documentos-fonte). Testes de exatido do processamento: informam se todos os registros relevantes foram processados de forma completa, e se todos os processamentos atenderam aos objetivos pr-estabelecidos. Existem duas maneiras de se testar dados processados por computador. Elas so diferenciadas pela participao ou no do sistema computadorizado no processo. O mtodo apropriado, ou a combinao de mtodos, vai depender da natureza do sistema envolvido.

3.13 Auditoria sem o auxlio do computador. 3.13.1 Definio. A auditoria sem o auxlio do computador parte do princpio de que as tcnicas e procedimentos que o computador utiliza para processar dados no precisam ser considerados, desde que exista uma trilha de auditoria visvel e/ou o resultado do processo possa ser manualmente verificado. Existem trs formas de se realizar esse tipo de auditoria: confrontao dos dados de entrada e sada do computador com fontes independentes, duplicao manual dos processos executados pelo computador e verificaes ditadas pelo senso comum, as quais sero descritas a seguir. 3.13.2 Confrontao dos dados de entrada e sada do computador com fontes independentes. Este procedimento confronta os dados mantidos pelo computador com os dados provenientes de outras fontes (tais como relatrios de inspeo, arquivos, registros documentais), ou compara dados com contagens fsicas ou inspees que confirmem quantidades, tipos e condies de bens tangveis. Relatrios de programas do governo e outros documentos produzidos por terceiros (tais como universidades, auditorias independentes e organizaes privadas) tambm podem fornecer uma base de dados til para comparao. - Outras fontes independentes das quais pode-se obter confirmao incluem:

Bancos (extratos bancrios, etc.); Almoxarifado (bens armazenados, volume de sada, etc.);

Instituies de treinamento (nmero de estudantes ou valor dos contratos). 3.13.3 Duplicao manual dos processos executados pelo computador. Outro meio de se evitar o uso do computador ao confirmar a confiabilidade dos dados selecionar transaes, duplicar manualmente os processos do computador e comparar os resultados com a sada de dados. Esse procedimento poderia ser usado, por exemplo, em uma auditoria na rea de licitaes e contratos, em que os dados relativos aos contratos auditados fossem processados por um sistema informatizado. Nesse caso, a equipe poderia utilizar uma frmula matemtica para o clculo do reajuste dos preos contratuais, a ser aplicados a uma amostra de contratos, para posteriores confrontaes com os valores calculados pelo sistema auditado. 3.13.4 Verificaes ditadas pelo senso comum. possvel, tambm, revelar problemas potenciais de confiabilidade, por meio de verificaes ditadas pelo senso comum. As questes a seguir so exemplos de testes que podem ser executados, especialmente nos casos em que for concludo que um teste reduzido de dados j suficiente para atender aos objetivos do trabalho (quando testes extensivos ou moderados forem necessrios, essas verificaes devem ser completadas com outros testes mais abrangentes):

Os valores so pequenos demais (o custo mensal de manuteno dos veculos da entidade igual a R$ 0,01) ou muito altos (uma bolsa de estudante no valor de R$ 200.000,00). Os campos de dados no esto todos preenchidos (as datas de pagamento mensal de um contrato esto em branco). Os resultados so invlidos (o valor do inventrio um nmero negativo). 3.13.5 Observaes sobre o uso da auditoria sem o auxlio do computador. Apesar de os testes mencionados indicarem a preciso dos dados mantidos pelo computador, muito difcil identificar todas as situaes que ameacem a integridade e a autenticidade dos dados, assim como a exatido do processamento. Quando a autenticidade dos dados do computador estiver sob suspeita (ou seja, quando existir a possibilidade da presena de dados fictcios), deve ser considerada a hiptese de complementao dos testes atravs do rastreamento de uma amostra de dados da sada do computador at os seus documentos-fonte. Se a dvida for quanto integridade dos dados (isto , quando houver suspeita de que os dados no esto completos), uma amostra vlida de documentosfonte pode ser acompanhada at se chegar aos dados de sada do sistema, para confirmar se todos os documentos de origem foram devidamente inseridos. A utilidade de se auditar sem o auxlio do computador diminui medida que aumenta o nmero e a complexidade das decises por ele tomadas, podendo tornar-se invivel quando o processamento dos dados abranger muitos elementos e operaes que dificultem a anlise manual dessas informaes. 3.14 Auditoria com o auxlio do computador. 3.14.1 Definio. Auditar com o auxlio do computador, no contexto deste manual, significa utilizar testes programados em computador para auxiliar a medio da confiabilidade dos dados. Aps a determinao da integridade e exatido dos documentos-fonte, utilizam-se testes programados por computador (que podem ser desenvolvidos pela prpria equipe de auditoria) para examinar a legitimidade dos dados e identificar defeitos que poderiam torn-los no confiveis. Uma vantagem de se auditar com o auxlio do computador que esse mtodo pode ser usado independentemente da complexidade do sistema ou do nmero de decises que o computador tem que tomar durante o processo. Tal procedimento proporciona, alm de rapidez e exatido, uma amplitude muito maior de teste do que seria possvel com outros mtodos. Para se desenvolver um teste de dados programado em computador, necessrio identificar quais os elementos de dados que afetam os objetivos de auditoria. Todos os dados significativos para os resultados da auditoria devem ser testados. Quando um elemento de dado significativo para a auditoria derivado (isto , calculado pelo computador baseado em outros elementos de dados), a equipe deve tambm testar os elementos de dados de origem. Por exemplo, o elemento

salrio lquido pode ser empregado como evidncia para atingir um objetivo de auditoria. Se o dicionrio de dados do sistema indicar que um programa de computador usa trs outros elementos de dados (salrio por hora de trabalho, horas trabalhadas e dedues) para calcular esse valor, erros em quaisquer desses elementos acarretariam erros no valor do pagamento. Dessa forma, a equipe deve determinar a exatido de cada um desses elementos. Alguns sistemas possuem ambiente de processamento de dados de teste, com funes idnticas s do ambiente de operao normal. Esse ambiente comumente utilizado para testes de sistemas e aplicativos antes de sua aprovao pelos usurios, e pode ser aproveitado pela equipe de auditoria para o processamento e anlise de dados de teste. 3.14.2 Divulgao da fonte dos dados e da confiabilidade atribuda aos mesmos. Concludo o processo de avaliao da confiabilidade dos dados, necessrio documentar os resultados obtidos, mediante o preenchimento de papis de trabalho e a incluso de um parecer no relatrio de auditoria. 3.15 Papis de trabalho. Os papis de trabalho devem ser documentados de forma a deixarem claro:

Os objetivos de auditoria que sero fundamentados por dados processados por computador; O grau de importncia desses dados para os objetivos de auditoria, e as fontes adicionais que podem confirm-los;

As informaes coletadas sobre os dados, o sistema que os processa e seus controles. 3.16 Informaes que devem constar do relatrio. Quando os dados processados por computador so usados apenas para elaborao de histrico, descrio, ou informao geral sobre o rgo, e no tm influncia sobre os resultados de auditoria, geralmente ser suficiente a citao da fonte dos dados no relatrio. Para os dados processados por computador que sejam cruciais para os objetivos de auditoria, o relatrio deve assegurar aos leitores que a informao em que se baseia confivel. Especificamente, devem ser informados:

A abrangncia da avaliao dos controles, quando a confiana atribuda aos controles do sistema utilizada para reduzir o teste de dados; Os tipos de teste de dados executados, seu propsito, e as taxas de erro encontradas nas trs reas de operao (entrada, processamento e sada de dados); Qualquer fator conhecido que limite a confiabilidade dos dados, e o tipo de influncia que essa limitao teria sobre os resultados e concluses apresentados. Se uma amostragem foi usada para determinar a confiabilidade dos dados, o relatrio dever incluir o objetivo de sua utilizao, os tamanhos do universo e da amostra, a base para o dimensionamento da amostra, o tipo de amostra (randmica, sistemtica etc.) e os erros porventura detectados. No caso de a confiabilidade dos dados no ter sido determinada no nvel desejado, o relatrio dever incluir uma declarao clara dessa situao. A equipe dever considerar a convenincia de se apresentar concluso ou proposta de determinao baseada nesses dados. 3.17 Modelos a serem utilizados nos relatrios. A seguir, apresentam-se exemplos que ilustram as formas como podem ser apresentados os resultados da avaliao da confiabilidade dos dados em relatrios: Dados confiveis so utilizados: Para alcanar o objetivo de auditoria, nos baseamos em dados processados pelo sistema (citar a base de dados utilizada). Avaliamos a confiabilidade desses dados atravs dos controles gerais e de aplicao relevantes, e os consideramos adequados. Tambm conduzimos testes suficientes nos dados. Baseados nesses testes e avaliaes, conclumos que os dados so suficientemente confiveis para serem utilizados como evidncia para fundamentar as concluses e proposies apresentadas". Dados no confiveis no so utilizados: Para alcanar o objetivo de auditoria, nos baseamos em dados processados pelo sistema (citar a base de dados utilizada). A avaliao dos controles dos sistema e o resultado dos testes de dados demonstram uma taxa de erro que coloca em dvida a validade dos dados. Uma vez que o objetivo de auditoria depende de informaes baseadas nesses dados, e fatos e provas suficientes para servir de evidncia independente no esto disponveis, no nos foi possvel prover projees, concluses ou propostas de determinao especficas. A confiabilidade no foi estabelecida: Para alcanar o objetivo de auditoria, nos baseamos em dados processados pelo sistema (citar a base de dados utilizada). No estabelecemos a confiabilidade desses dados porque (citar as razes). Desta forma, estamos impossibilitados de prover projees, concluses ou determinaes sobre esses dados. Com exceo do acima informado, o trabalho foi conduzido de acordo com os padres previstos nas normas e procedimentos de auditoria. 4 Data Warehouse. 4.1 Definio. Um data warehouse (ou armazm de dados) um sistema de computao utilizado para armazenar informao relativa s atividades de uma organizao em bancos de dados, de forma consolidada. O desenho da base de dados favorece os relatrios e anlise de grandes volumes de dados e obteno de informaes estratgicas que podem facilitar a tomada de deciso.

O processamento de dados em um data warehouse sempre referenciado como Online Transaction Processing OLTP usado para armazenar as operaes de negcios ou Online Analytical Processing - OLAP ou Processo Analtico em Tempo Real. A diferena que os dados em uma data warehouse OLTP no so volteis, ou seja, eles no mudam, salvo quando necessrio fazer correes de dados previamente carregados. Os dados ento so somente para leitura e no podem ser alterados (ACL). O data warehouse possibilita a anlise de grandes volumes de dados, armazenados pelos sistemas transacionais (OLTP). So as chamadas sries histricas que possibilitam uma melhor anlise de eventos passados para a tomada de decises presentes e a previso de eventos futuros. 4.2 Histrico. Os data warehouse surgiram como conceito acadmico na dcada de 80. Com o amadurecimento dos sistemas de informao empresariais, e o crescimento paralelo das necessidades de anlise dos dados. Os sistemas OLTP no conseguiam cumprir a tarefa de anlise com a simples gerao de relatrios. Nesse contexto a implementao da data warehouse passou a se tornar realidade nas grandes corporaes. O mercado de ferramentas de data warehouse, que faz parte do mercado de Business Intelligence, cresceu ento, e ferramentas melhores e mais sofisticadas foram desenvolvidas para apoiar a estrutura do data warehouse e sua utilizao. Pela sua capacidade de sumarizar grandes volumes de dados e de possibilitar anlises os data warehouses so atualmente o ncleo dos sistemas de informaes gerenciais e apoio deciso das principais solues de business intelligence do mercado. 4.3 Arquitetura. 4.3.1 Armazenamento. Um data warehouse pode armazenar grandes quantidades de informao, s vezes divididas em unidades lgicas menores que so chamadas de Data marts. O esquema de dados mais utilizado o Star Schema (Esquema Estrela), tambm conhecido como Modelagem multidimensional. Apesar de bastante utilizado no existe um padro na indstria de software para o armazenamento de dados. Existem, na verdade, algumas controvrsias sobre qual a melhor maneira para estruturar os dados em uma data warehouse. Geralmente a data warehouse no armazena informaes sobre os processos correntes de uma nica atividade de negcio e sim cruzamentos e consolidaes de vrias unidades de negcios de uma empresa. 4.3.2 Modelagem. Os sistemas de base de dados tradicionais utilizam a normalizao no formato de dados para garantir consistncia dos dados e uma minimizao do espao de armazenamento necessrio. Entretanto frequentemente as transaes e consultas em bases de dados normalizadas so lentas. Uma data warehouse utiliza dados em formato mais denormalizados. Isto aumenta a performance das consultas e como benefcio adicional, mais intuitivo para utilizadores comuns. 4.3.3 Metadado. Metadado considerado como sendo "dado sobre o dado", ou dados sobre os sistemas que operam com estes dados. Um repositrio de metadados uma ferramenta essencial no gerenciamento de uma Data Warehouse no momento de converter dados em informaes para o negcio. Entre outras coisas, um repositrio de metadados bem construdo deve conter informaes sobre a origem do dado, regras de transformao, nomes e alias, formatos de dados etc. Ou seja, este "dicionrio" deve conter muito mais do que descriao sobre colunas e tabelas, deve conter informao que adicione valor ao dado. 4.3.4 Tipo de Informao considerada Metadado. Metadados so utilizados normalmente como um dicionrio de informaes e sendo assim, devem incluir: ORIGEM DOS DADOS - Todo elemento de dado precisa ter identificado, sua origem ou o processo que o gera. Esta identificao muito importante no caso de se necessitar saber informaes sobre a fonte geradora do dado. Esta informao deve ser nica, ou seja, cada dado deve ter uma e somente uma fonte de origem. FLUXO DO DADO - Todo elemento de dado precisa ter identificado os fluxos nos quais sofre transformaes. importante saber que dados servem de base para processos. FORMATO DOS DADOS - Todo elemento de dados deve ter identificado seu tamanho e tipo de dado. NOMES E ALIAS - Todo elemento de dados deve ser identificado por um nome. Este nome pode ser da rea de Negcios ou um nome tcnico. No caso de serem usados alias para os nomes, podem-se ter os dois. Devem existir padres para criao de nomes e alias (ex: convenes para abreviaes), evitando assim ambigidades. DEFINIES DE NEGCIO - Estas definies so as informaes mais importantes contidas nos metadados. Cada elemento de dado deve ser suportado por uma definio do mesmo no contexto da rea de Negcio. O mtodo de manuteno destas informaes tambm deve ser muito consistente, de forma que o usurio possa obter facilmente definies para as informaes desejadas. Nestas definies devem ser evitadas referncias a outros metadados que necessitem de uma segunda pesquisa para melhor entendimento. REGRAS DE TRANSFORMAO - So consideradas como sendo as Regras de Negcio codificadas. Estas regras so geradas no momento da extrao, limpeza e agrupamento dos dados dos Sistemas Operacionais. Cada regra de transformao codificada deve estar associada a um elemento de Metadado. Se mais de uma aplicao contiver a mesma regra de transformao, dever ser garantido que estas sejam idnticas. ATUALIZAO DOS DADOS - O histrico das atualizaes normalmente mantido pelo prprio banco de dados, mas ter definido um elemento de metadado indicando as datas de atualizao dos dados, pode facilitar o usurio no momento de verificar a atualidade dos dados e a consistncia da dimenso tempo da Data Warehouse.

 REQUISITOS DE TESTE - Identifica os critrio de julgamento de cada elemento de dado. Valores possveis e intervalos de atuao. Deve conter tambm padres para procedimentos de teste destes dados. INDICADORES DE QUALIDADE DE DADOS - Podem ser criados ndices de qualidade, baseados na origem do dado, nmero de processamentos feito sobre este dado, valores atmicos X valores sumariados, nvel de utilizao do dado etc. TRIGGERS AUTOMTICOS - Podem existir processos automticos associados aos metadados definidos. Estes processos ou triggers devem estar definidos de forma que possam ser consultados por usurio e desenvolvedores, para que os mesmos no venham a criar situaes conflitantes entre as regras definidas nestes processos. RESPONSABILIDADE SOBRE INFORMAES - Deve ser identificada responsabilidade por cada elemento de dados da Data Warehouse e tambm o responsvel pela entrada de metadados. ACESSO E SEGURANA - Os metadados devem conter informao suficiente para que sejam determinados perfis de acesso aos dados. Deve-se poder identificar que usurios podem ler, atualizar, excluir ou inserir dados na base. Deve haver tambm informaes sobre quem gerencia estes perfis de acesso e como se fazer contato com o Administrador da Base de Dados. 4.3.5 Data Marts. O data warehouse normalmente acedido atravs de data marts, que so pontos especficos de acesso sub-conjuntos do data warehouse. Os Data marts so construdos para responder provveis perguntas de um tipo especfico de usurio. Por exemplo: uma data mart financeiro poderia armazenar informaes consolidadas dia-a-dia para um usurio gerencial e em periodicidades maiores (semana, ms, ano) para um usurio no nvel da diretoria. Uma data mart pode ser composta por um ou mais cubos de dados. Hoje em dia o conceito de Datawarehouse e Datamarts, fazem parte de um conceito muito maior chamado de Corporate Performance Management. 4.3.6 Extrao de Dados Os dados introduzidos numa data warehouse geralmente passam por uma rea conhecida como rea de stage. O stage de dados ocorre quando existem processos peridicos de leitura de dados de fontes como sistemas OLTP. Os dados podem passar ento por um processo de qualidade, de normalizao e gravao dos dados na data warehouse. Este processo geralmente realizado por ferramentas ETL. 4.3.7 Ferramentas 4.3.8 Data Mining. Data Mining ou minerao de dados so ferramentas que varrem o data warehouse e atravs de algoritmos especficos conseguem encontrar padres de comportamento nas informaes armazenadas. 4.3.9 OLAP. 4.3.10 Definio. OLAP (On-Line Analytical Processing) um termo inventado para descrever uma abordagem dimensional para o suporte deciso, ou seja, processamento analtico em tempo-real, para rapidamente dar resposta a queries complexas base de dados. Este tipo de anlise, base de dados, essencialmente usada em relatrios de vendas, de gesto, marketing, data mining e outras reas do gnero. A principal razo do uso de OLAP, para responder as queries, a rapidez das suas respostas. As base de dados relacionais armazenam entidades em tabelas discretas devidamente normalizadas e apesar deste tipo de estrutura ser bom para base de dados operacionais, para queries complexas em esquemas de multi-tabelas torna-se demasiado lento. Neste caso, um modelo melhor para estes esquemas, mas com resultados piores para os anteriores, sero as bases de dados dimensionais. O funcionamento OLAP baseia-se em restruturar as base de dados relacionais num esquema de dados dimensional. Depois as queries sero executadas neste novo esquema de dados. J foi afirmado, at, que para queries complexas, as respostas produzidas por OLAP correspondem a 0.1% do tempo das produzidas em base de dados relacionais. A uma estrutura OLAP criada a partir da informao operacional chamamos um OLAP cube (cubo OLAP). O cubo criado a partir de um esquema estrela (em ingls: star schema) de tabelas. No centro est a tabela de factos (em ingls:fact table) que lista os fatos principais de que consiste a pesquisa. Vrias tabelas dimensionais esto ligadas s tabelas de factos. Estas tabelas indicam como as agregaes de dados relacionais podem ser analisadas. O nmero de agregaes possveis determinado por todas as maneiras possveis em que os dados originais podem ser conectados hierarquicamente. Por exemplo, um grupo de clientes pode ser agrupado por cidade, por distrito ou por pas; por isso com 50 cidades, 8 distritos e dois pases h trs nveis hierrquicos com 60 membros. Estes clientes podem ser considerados em relao a produtos; se h 250 produtos com 20 categorias, trs famlias e trs departamentos, ento h 276 membros de produto. Com apenas estas duas dimenses h 16.560 agregaes possveis. medida que os dados considerados aumentam, o nmero de agregaes pode facilmente chegar s dezenas de milhes ou mais. O clculo de agregaes e a base de dados combinada fazem um cubo OLAP, que pode potencialmente conter todas as respostas para cada query que pode ser respondida dos dados. Devido ao potencial nmero de agregaes para ser calculado, freqentemente apenas um nmero predeterminado completamente calculado enquanto o restante resolvido quando h demanda. Essas ferramentas tm como funo a navegao nos dados de uma data warehouse, possuindo uma estrutura adequada tanto para as pesquisas como para a apresentao das informaes. Algumas caractersticas que devem ser bem transparentes para o departamento de TI so: Os produtos OLAP no abertos. Isto , no processam SQL padro e

que os produtos OLAP no possuem capacidade suficiente para desenvolvimento de Data Warehouses empresariais. No conseguem armazenar nem consultar bases com grandes volumes de dados. Se os fornecedores OLAP conseguirem solucionar esses dois problemas, sero concorrentes formidveis dos fornecedores de banco de dados relacionais tradicionais, porque esto mais alinhados abordagem dimensional necessria para o armazenamento de dados.Hoje o mercado contribui com tecnologias OLAP nas mais diferentes solues. A competitividade est mais acirrada entre duas abordagens que diferem nas suas arquiteturas internas e so elas: ROLAP (Relational OLAP) e MOLAP (Multidimenional OLAP). Ambas as solues esto alinhadas com o conceito de sistema de suporte a deciso. Na seqncia , veremos caractersticas das tecnologias ROLAP e MOLAP que sero o foco principal dos argumentos elaborados neste documento. Nas ferramentas de navegao OLAP possvel navegar entre diferentes granularidades (detalhamento) de um cubo de dados. Atravs de um processo chamado Drill o usurio pode aumentar (Drill down) ou diminuir (Drill up) o nvel de detalhamento dos dados. Por exemplo, um relatrio pode estar consolidado por Pases. Fazendo um Drill down os dados passam a ser apresentado por estados, cidades, bairros e assim sucessivamente at o menor nvel possvel. O processo contrrio Drill up faz com que os dados sejam consolidados em nveis superiores. Outra possibilidade apresentada pela maioria das ferramentas de navegao OLAP a de rearranjar colunas e linhas. Esse recurso se chama Slice and dice. possvel trocar a ordem de colunas e linhas bem como suprim-las ou exibir aquelas que estejam ocultadas na visualizao dos dados. A possibilidade de manipular dados e formas de apresentao de maneira rpida um dos pontos fortes de uma data warehouse. Essa caracterstica faz com que os relatrios sejam mais comumente utilizados em tela e no impressos. O analista de informao ou pessoa que precisa dos dados, pode ento navegar nas informaes por diversas maneiras e ao final pode imprimir e at mesmo salvar aquela viso para uma futura consulta. 4.3.11 A Histria de produtos. O primeiro produto que executou OLAP quaries foi a IRI Expresso em 1970 (e adquirido pelar Oracle em 1995). No entanto, o termo no apareceu at que 1993 quando Ted Cood, que foi descrito como "o pai da base de dados de relational", publicou as "doze leis de processamento analtico online". E.F. Codd props um conjunto de 12 critrios, OLAP, que deveriam representar um padro de comparao para sistemas de suporte a deciso. Entretanto, diferentemente dos 12 critrios originais voltados para OLTP propostos por Codd na dcada de 1980, os 12 critrios OLAP so muito vagos para serem usados como diretrizes de avaliao de um sistema. Alm disso, as definies originais de Codd dessas metas foram seriamente comprometidas por estarem acompanhadas de uma "classificao" de um fornecedor (que atingiu os 12 pontos) que mais tarde foi acusado de realizar sua prpria avaliao.Paralelamente proposta de Codd, h um consrcio que se denomina fornecedores OLAP. De modo geral, vendem produtos proprietrios, no relacionais destinados a suporte deciso e competem como substitutos para banco de dados relacionais e ferramentas de front-end baseadas em SQL. 4.3.12 Diviso do Mercado. De acordo com OLAP Report site, o mercado em 2005 tinha: - Microsoft - Microsoft Analysis Services - 28.0%. Produto: Plato. - Hyperion Solutions Corporation - 19.3% Produto: Essbase. - Cognos - 14.0%. - Business Objects - 7.4%. - MicroStrategy - 7.3%. - SAP AG SAP Information Warehouse - 5.9%. - Cartesis SA - 3.8%. - Systems Union/MIS AG - 3.4%. - Oracle Corporation Oracle Discoverer for OLAP / Siebel Analytics - 3.4%. Produto: Oracle Discovery e Oracle Express. - Applix Applix TM1 - 3.2%. - Celequest. - DataWarehouse Explorer (CNS International). - Holos (defunct). - IBM's DB2 Cube Views. - Information Builders WebFOCUS. - MicroStrategy. Produto: DSS Agent - ProClarity. - SAS. - Business Objects OLAP Intelligence.Produto: Crystal Analysis Professional. - Pointer Software e comercializado em parceria com os produtos GFMI Software. Produto: Data Habitat - Sybase. Produto: Power Dimension. - Informix. Produto: Metacube 4.3.13 H trs tipos de OLAP. OLAP Relacional: ROLAP trabalha diretamente com bancos de dados relacionais. Os dados e as tabelas de dimenses so armazenados como tabelas relacionais e novas tabelas so criadas para receber a informao agregada. OLAP Multidimensional: MOLAP a clssica forma de OLAP e s vezes referida a como OLAP justo. MOLAP usa estruturas de base de dados que so geralmente otimizadas por atribuies de perodo de tempo, localizao, situao, produto ou cdigo de conta. De forma que cada dimenso agregada definida de forma avanada por um ou mais hierarquias.

OLAP hbrido: no h claro acordo da indstria com o que constitui HOLAP, exceto que uma base de dados dividir dados entre armazenamento relacional e especializado. Por exemplo, para alguns vendedores, uma base de dados de HOLAP usar tabelas de relacionamentos para conter quantidades maiores de dados detalhados, e usaro armazenamento especializado para ao menos alguns aspectos das quantidades menores de dados mais-agregados ou menos-detalhados. 4.3.14 Comparao. Cada tipo de OLAP contm certos benefcios, embora haja discordncia sobre a especificao dos benefcios entre fornecedores. - MOLAP melhor em menores bancos de dados, mais rpido para calcular as agregaes e o tempo de respostas e necessitam de menos espao de armazenamento. - ROLAP considerado mais escalonvel. Embora seja difcil a implementao eficiente de pre-processamento de grandes de volumes de dados. - HOLAP est entre os dois em todas reas, mas pode pre-processar rapidamente e escalonar bem sua base de dados. A tendncia, cada vez maior, da expanso da quantidade de espao de armazenamento das bases de dados um fenmeno que propicia o uso de bases de dados em OLAP quando certas condies so encontradas: nmero alto de dimenses, resultados pre-calculados e dados esparsos e multidimensionais. A dificuldade de implementar OLAP esta relacionada s formas de pesquisa, escolha da base de dados e desenvolver o esquema de acesso s informaes. Em conseqncia disto os produtos modernos de OLAP vem com bibliotecas enormes de queries pre-configuradas. Outro problema est na qualidade da base de dados - que deve estar integro e consistente. - Outros tipos Outros tipos Os seguintes acrnimos tambm so usados s vezes, embora eles no so to comuns quanto os outros acima. WOLAP - Web-based OLAP. DOLAP - Desktop OLAP. RTOLAP - Real-Time OLAP. 4.3.15 APIs. e query languages. Embora Banco de Dados Relacionais usem SQL com linguagem de pesquisa e APIs comum tais como ODBC, JDBC e OLEDB esto longe de unificar o mundo de OLAP. O primeiro API real foi o OLEDB para especificao de OLAP da Microsoft que apareceu em 1997 e introduziu o MDX query linguagem. Vrios vendedores de OLAP - tanto servidor como cliente - adotaram eles. Em 2001 a Microsoft e Hyperion anunciaram o XML para especificao de Anlise, que foi endossado pela maioria dos vendedores de OLAP. Desde que este MDX, tambm usado como query linguagem, MDX tornou-se o padro no mundo de OLAP. 5 NBR ISO/IEC 17799: Benefcios e Aplicaes. 5.1 Introduo.. perceptvel que o crescimento da economia mundial impulsionado pela tecnologia da informao, e que os computadores so os grandes responsveis pelo fenmeno so eles os processadores e armazenadores destas informaes, transmitidas entre organizaes, clientes e parceiros de negcios. Uma falha em um sistema informatizado, seja esta intencional ou no, pode causar a paralisao das atividades da organizao com perdas muito significativas quando no, irreparveis. A nova norma brasileira NBR ISO/IEC 17799 traz consigo a experincia da prtica dos maiores players mundiais, perfazendo os mais diferentes segmentos de mercado. Esta norma uma padronizao dos controles mnimos, e deve ser implementada e gerenciada pelas empresas que consideram as suas informaes como de importncia crtica na sua estratgia de negcio. Certificar-se por um rgo acreditado internacionalmente tornar pblico seu interesse e preocupao com as informaes do seu ambiente corporativo. Uma gerncia de segurana da informao bem implementada, alm de manter sua organizao preparada para eventualidades, marca suas informaes confidenciais pela legitimidade. Atravs de uma metodologia desenhada nos padres e nos critrios de competncia da NBR ISO/IEC 17799 possvel executar uma anlise dos processos, envolvendo todas as unidades de negcio. As no-conformidades identificadas devem ser documentadas e avaliadas por um profissional com profundo conhecimento do negcio da empresa. Deve ser definido um plano para a normatizao da situao de risco, em sintonia ao planejamento estratgico da organizao, desta forma possvel mapear investimentos futuros e eqalizar a relao entre custo e benefcio. A aplicao da anlise normativa da NBR ISO/IEC 17799 pode ser aplicada a qualquer organizao, no importando o segmento, tamanho ou a tecnologia utilizada na gesto do seu negcio. J comum observarmos a aplicao dos padres em setores (ex.: financeiro) para depois estend-la a toda a empresa. A NBR ISO/IEC 17799 prov padres consistentes para as organizaes avaliarem qual o nvel de segurana aplicado s suas regras de negcio em comparao ao mercado internacional. uma tima ferramenta de benchmark. 5.2 Os Objetivos da Normatizao para qualquer empresa so: Economia Proporcionar a reduo da crescente variedade de produtos e procedimentos. Comunicao Proporcionar meios mais eficientes na troca de informao entre o fabricante e o cliente, melhorando a confiabilidade das relaes comerciais e de servios.

Segurana

Proteger a vida humana e a sade.

Proteo do Consumidor Prover a sociedade de meios eficazes para aferir a qualidade dos produtos. Eliminao de Barreiras Evitar a existncia de regulamentos conflitantes sobre produtos e Tcnicas e Comerciais. servios em diferentes pases, facilitando assim, o intercmbio comercial.

Uma certificao NBR ISO/IEC 17799 evidencia a prtica da melhor poltica de segurana, baseada no relato de auditores externos portanto, imparciais. A certificao deve tambm ser encarada com fundamental para o interesse de parceiros de negcios, com maior importncia queles que confiam informaes sensveis sua empresa (ex.:relao de e-business). 5.3 Poltica de Segurana da Informao. O primeiro passo, prescrito pela NBR ISO/IEC 17799, a definio formal de um documento com as polticas de segurana da informao da empresa. A simples existncia deste documento, que deve refletir a viso da Alta Administrao frente importncia da informao, demonstra o comprometimento do grupo executivo com o plano estratgico de segurana da informao. uma declarao simples que apresenta a informao como parte do negcio, um bem valiosssimo e que deve ser salvaguardado. Este documento deve ser claro. Ser dividido em grupos, conforme os enfoques estratgicos, tticos e operacionais. Dever apresentar regras simples, sem o famoso tecniqus, utilizando sempre a NBR ISO/IEC 17799 como base. Alguns itens so escolhas individuais, e devem ser cuidadosamente avaliados para permitir uma adequao com impacto mnimo ao ambiente tecnolgico e cultural da organizao (ex.: checagem de todas as mdias magnticas em busca de vrus). Para que uma poltica seja um documento verdadeiramente til, deve deixar o detalhamento excessivo de lado, e imaginar como seria sua aplicao prtica. 5.4 Anlise de Risco. Os controles que devero ser utilizados para a eliminao das no-conformidades ao padro NBR ISO/IEC 17799, so apresentados aps uma detalhada anlise de risco. Esta anlise deve ser executada e documentada metodicamente. Cada classe de dados deve ser identificada e classificada com um valor correspondido em uma escala, determinada pelo especialista em segurana da informao em conjunto a equipe da sua organizao, indicando a importncia e criticidade da informao nos quesitos confidencialidade, integridade e disponibilidade. Grande parte dos eventos de segurana da informao podem ser caracterizado pelo cruzamento das variveis probabilidade da sua ocorrncia e impacto potencial. Esta escala deve ser precisa, a ponto de caracterizar todos os riscos e uma ordem crtica, apontando o melhor controle para cada vulnerabilidade. 5.5 Declarao da Aplicao. Aps a criao de uma coordenao interna para o processo de segurana da informao, nosso prximo passo ser criar uma Declarao da Aplicao. Esta declarao pode ser criada de vrias formas, mas a mais adequada talvez seja listar todos os controles da NBR ISO/IEC 17799 e identificar aqueles considerados ideais aos resultados da anlise de riscos. Esta aproximao dever corresponder positivamente aos benefcios mapeados pela Alta Administrao e fornecer material para a auditoria na reviso da documentao. Resumindo, a declarao da aplicao responder Qual o nosso objetivo?, e servir como mtrica para responder: At onde chegamos?. 5.6 Gesto da Segurana. Depois de implementados o controle de segurana, faz-se necessria a criao de uma frente gestora para a manuteno do nvel de segurana da informao alcanado. imprescindvel a criao de um documento de gesto, guia de referncia continuidade do processo de segurana, imaginando que cada novo processo inserido ao negcio dever obrigatoriamente ser avaliado e protegido conforme um modelo padro, atendendo os quesitos de qualidade e normatizao. Neste ponto inclumos a criao de um fluxograma de avaliao de riscos, treinamento dos recursos humanos, desenvolvimento de procedimentos e cheklists personalizados e etc. 5.7 Certificao. Assim como ocorre com outras certificaes, a certificao NBR ISO/IEC 17799 no um produto, um processo que pode continuar indefinidamente. Desenvolver e administrar um processo de segurana da informao em uma organizao pode ser inicialmente difcil, mas com o tempo se ganha experincia e isto permite que as ferramentas de gesto sejam mais bem adaptadas, determinando uma sinergia cada vez maior entre o seu negcio e os mecanismos de proteo utilizados. A auditoria dividida da seguinte maneira: uma pr-auditoria, uma auditoria mensal e uma auditoria peridica. Estas auditorias tm o objetivo de avaliar a eficincia e eficcia das prticas adotadas na organizao. Seus pontos fundamentais so: Anlise de Riscos: reviso da documentao frente as mudanas na organizao. Por exemplo, durante ou aps um processo de fuso necessrio que seja realizada uma reflexo sobre os seus efeitos na segurana da informao. Declarao de Aplicao: documento que deve ser revisado em curtos intervalos de tempo. Reflete mudanas imediatas, mercado de atuao, metas, produtos,

estratgias e etc. 5.8 Requerimentos Bsicos para Certificao. Abaixo listarei os requerimentos mnimos para o processo de certificao: I.) Plano de Gesto de Segurana da Informao; II.) Criao de uma Coordenao de Segurana da Informao; III.) Administrao e controle dos processos, neste devem estar inclusos: a. Reviso do Plano de Gesto; b. Formulrios desta reviso; c. Modo para administrao da documentao; d. Modo para administrao das gravaes digitais; e. Existncia de uma base mnima de controles, como formulrio para reportar incidentes, juntamente com sua anlise e correo. Alm disso, a certificao depender da implementao dos mecanismos de controle selecionados. Todos os aspectos so igualmente necessrios para a certificao, variam em forma, mas no em contedo. Veremos a seguir que alguns dos controles da NBR ISO/IEC 17799, quando bem adaptados, podem at mesmo diminuir custos dentro de uma empresa. O grande desafio do consultor identificar os riscos e o seu grau de relevncia, para no cercar com cuidados excessivos todo o tipo de informao. 5.9 Processo de Certificao. A auditoria peridica para checagem dos processos da NBR ISO/IEC 17799 possui duas partes obrigatrias: 1- A primeira tem uma funo muito parecida com as outras formas de certificao. Dever ser preparada uma reviso de documentao interna. Para isso devero ser preparados adendos com o resultado da avaliao dos documentos na gesto de segurana da informao corrente, refletindo todos os aspectos abordados na NBR ISO/IEC 17799. Estas obrigaes devero ser discutidas em cada auditoria. 2- O auditor trabalhar para desenvolver um plano que cubra todos os requerimentos considerados importantes verificados na anlise de riscos. Sero efetuadas outras auditorias peridicas. Apresentarei agora os objetivos do padro NBR ISO/IEC 17799 que sero listados e discutidos individualmente. Esta apresentao no deve ser exaustiva: espero que este documento seja til na hora de definir o escopo da anlise de sua organizao. Conforme andar a certificao, o processo de auditoria ajudar, afinando cada vez mais o seu sistema. 5.10 Objetivos detalhados. -Poltica de segurana da informao: prover direo uma orientao e apoio para a segurana da informao. Convm que a direo estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao. -Infra-estrutura da segurana da informao: gerenciar a segurana dentro da organizao. Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao. -Segurana no acesso de prestadores de servio: manter a segurana dos recursos de processamento de informao e ativos de informao organizacionais acessados por prestadores de servio. Convm que seja controlado o acesso de prestadores de servios aos recursos de processamento da informao da organizao. -Terceirizao: manter a segurana da informao quando a responsabilidade pelo processamento da informao terceirizada para uma outra organizao. Convm que o acordo de terceirizao considere riscos, controles de segurana e procedimentos para os sistemas de informao, rede de computadores e/ou estaes de trabalho no contrato entre as partes. -Contabilizao dos ativos: manter a proteo adequada dos ativos da organizao. Convm que todos os principais ativos de informao sejam inventariados e tenham um proprietrio responsvel. -Classificao da informao: assegurar que os ativos de informao recebam um nvel adequado de proteo. Convm que a informao seja classificada para indicar a importncia, a propriedade e o nvel de proteo. -Segurana na definio e nos recursos de trabalho: reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalaes. Convm que responsabilidades de segurana sejam atribudas na fase de recrutamento, includas em contratos e monitoradas durante a vigncia de cada contrato de trabalho. -Treinamento dos usurios: Assegurar que os usurios esto cientes das ameaas e das preocupaes de segurana da informao e esto equipados para apoiar a poltica de segurana da organizao durante a execuo normal do seu trabalho. Convm que usurios sejam treinados nos procedimentos de segurana e no uso correto das instalaes de processamento da informao, de forma a minimizar possveis riscos de segurana. Respondendo aos incidentes de segurana e ao mau funcionamento: Minimizar danos originados pelos incidentes de segurana e mau funcionamento, e monitorar e aprender com tais incidentes. Convm que os incidentes que afetam a segurana sejam reportados atravs dos canais apropriados o mais rapidamente possvel. -reas de Segurana: prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao. Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. Convm que estas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia. -Segurana dos equipamentos: prevenir perda, dano ou comprometimento dos ativos, e a interrupo das atividades do negcio. Convm que os equipamentos sejam fisicamente protegidos contra ameaas sua segurana e perigos

ambientais. A proteo dos equipamentos necessria para reduzir o risco de acessos no autorizados a dados e para proteo contra perda ou dano. -Controles gerais: evitar exposio ou roubo de informao e de recursos de processamento da informao. Convm que informaes e recursos de processamento da informao sejam protegidos de divulgao, modificao ou roubo por pessoas no autorizadas, e que sejam adotados controles de forma a minimizar sua perda ou dano. -Procedimentos e responsabilidades operacionais: garantir a operao segura e correta dos recursos de processamento da informao. Convm que os procedimentos e responsabilidades pela gesto e operao de todos os recursos de processamento das informaes sejam definidos. Minimizar o risco de falhas nos sistemas: Convm que projees de demanda de recursos e de carga de mquina futura sejam feitas para reduzir o risco de sobrecarga dos sistemas. -Proteo contra software malicioso: Proteger a integridade do software e da informao. necessrio que se adotem precaues para prevenir e detectar a introduo de softwares maliciosos. Housekeeping: Manter a integridade disponibilidade dos servios de comunicao e processamento da informao. Convm que sejam estabelecidos procedimentos de rotina para a execuo das cpias de segurana e para a disponibilizao dos recursos de reserva, conforme definido na estratgia de contingncia, de forma a viabilizar a restaurao em tempo hbil, controlando e registrando eventos e falhas e, quando necessrio, monitorando o ambiente operacional. -Gerenciamento de rede: Garantir a salvaguarda das informaes na rede e a proteo da infra-estrutura de suporte. O gerenciamento de segurana de rede que se estendam alm dos limites fsicos da organizao requer particular ateno. -Segurana e tratamento de mdias: Prevenir danos aos ativos e interrupes das atividades do negcio. Convm que as mdias sejam controladas e fisicamente protegidas. -Troca de informao e software: Prevenir a perda, modificao ou mau uso de informaes trocadas entre organizaes. Convm que as trocas de informaes e software entre organizaes sejam controladas e estejam em conformidade com toda a legislao pertinente. -Requisitos do negcio para o controle de acesso: Controlar o acesso informao. Convm que o acesso informao e processos do negcio seja controlado na base dos requisitos de segurana e do negcio. -Gerenciamento de acessos do usurio: Prevenir acessos no autorizados aos sistemas de informao. Convm que procedimentos formais sejam estabelecidos para controlar a concesso de direitos de acesso aos sistemas de informao e servios. -Responsabilidade dos usurios: Prevenir acesso no autorizado dos usurios. Convm que os usurios estejam cientes de suas responsabilidades para a manuteno efetiva dos controles de acesso, considerando particularmente o uso de senhas e a segurana de seus equipamentos. -Controle de acesso rede: Proteo dos servios de rede. Convm que o acesso aos servios de rede internos e externos seja controlado. -Controle de acesso ao sistema operacional: Prevenir acesso no autorizado ao computador. Convm que as funcionalidades de segurana do sistema operacional sejam usadas para restringir o acesso aos recursos computacionais. -Controle de acesso s aplicaes: Prevenir acesso no autorizado informao contida nos sistemas de informao. Convm que os recursos de segurana sejam utilizados para restringir o acesso aos sistemas de aplicao. -Monitorao do uso e acesso ao sistema: Descobrir atividades no autorizadas. Convm que os sistemas sejam monitorados para detectar divergncias entre a poltica de controle de acesso e os registros de eventos monitorados, fornecendo evidncias no caso de incidentes de segurana. -Computao mvel: Garantir a segurana da informao quando se utilizam a computao mvel e os recursos de trabalho remoto. Convm que a proteo requerida seja proporcional com o risco desta forma especfica de trabalho. -Requisitos de segurana de sistemas: Garantir que a segurana seja parte integrante dos sistemas de informao. Convm que todos os requisitos de segurana, incluindo a necessidade de acordos de contingncia, sejam identificados na fase de levantamento de requisitos de um projeto e justificados, acordados e documentados como parte do estudo de caso de um negcio para um sistema de informao. -Segurana nos sistemas de aplicao: Prevenir perda, modificao ou uso imprprio de dados do usurio nos sistemas de aplicaes. Convm que os controles apropriados e trilhas de auditoria ou registro de atividades sejam previstos para os sistemas de aplicao, incluindo escritas pelos usurios. Convm que estes incluam a validao dos dados de entrada, processamento interno e dados de sada. -Controles de criptografia: proteger a confidencialidade, autenticidade ou integridade das informaes. -Segurana de arquivos do sistema: garantir que os projetos de tecnologia da informao e as atividades de suporte sero conduzidos de maneira segura. Convm que o acesso aos arquivos do sistema seja controlado. -Segurana nos processos de desenvolvimento e suporte: Manter a segurana do software e da informao do sistema de aplicao. Convm que os ambientes de desenvolvimento e suporte sejam rigidamente controlados. Aspectos da gesto da continuidade do negcio: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos. Convm que o processo de gesto da continuidade seja implementado para reduzir, para um nvel aceitvel, a interrupo causada por desastres ou falhas de segurana atravs da combinao de aes de preveno e recuperao. Conformidade com requisitos legais: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. Convm que consultoria em requisitos legais especficos

seja procurada em organizaes de consultoria jurdica ou em profissionais liberais, adequadamente qualificada nos aspectos legais. -Anlise crtica da poltica de segurana e da conformidade tcnica: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana. Convm que a segurana dos sistemas de informao seja analisada criticamente a intervalos regulares. Consideraes quanto auditoria de sistemas: Maximizar a eficcia e minimizar a interferncia no processo de auditoria de sistema. Convm que existam controles para a salvaguarda dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema. 6 Certificao da Qualidade. 6.1 Definio Um aspecto interessante da qualidade que no basta que ela exista. Ela deve ser reconhecida pelo cliente. Por causa disso, necessrio que exista algum tipo de certificao oficial, emitida com base em um padro. Alguns tipos de certificados so bastante conhecidos, como: O selo do SIF de inspeo da carne O selo da ABIC nos pacotes de caf O certificado da Secretaria de Sade para restaurantes (classe "A" so os melhores) A classificao em estrelas dos hotis (hotis com cinco estrelas so timos) Os certificados de qualidade da srie ISO-9000 Ouvimos muitas propagandas de empresas falando de sua certificao ISO-9000. Isto nada mais do que um padro de qualidade (reconhecido mundialmente) pelo qual esta empresa foi avaliada e julgada. Para que seja possvel realizar uma avaliao e um julgamento, necessrio haver um padro ou norma. Existem alguns organismos normalizadores reconhecidos mundialmente: ISO - International Organization for Standardization IEEE - Instituto de Engenharia Eltrica e Eletrnica ABNT - Associao Brasileira de Normas Tcnicas A norma ISO-9000, por exemplo, foi criada pela ISO para permitir que todas as empresas do mundo possam avaliar e julgar sua qualidade. Existindo um padro nico mundial, uma empresa do Brasil, mesmo no tendo nenhum contato com uma outra empresa na Europa, pode garantir a ela a qualidade de seu trabalho. A Certificao em uma norma ou padro a emisso de um documento oficial indicando a conformidade com esta determinada norma ou padro. claro que, antes da emisso do certificado, preciso realizar todo um processo de avaliao e julgamento de acordo com uma determinada norma. Embora uma empresa possa auto-avaliar-se ou ser avaliada por seus prprios clientes, o termo Certificao costuma ser aplicado apenas quando efetuado por uma empresa independente e idnea, normalmente especializada neste tipo de trabalho. No Brasil, o INMETRO o rgo do governo responsvel pelo credenciamento destas instituies que realizam a certificao de sistemas de qualidade. 6.2 Qualidade Produto x Qualidade Processo. Uma das evolues mais importantes no estudo da qualidade est em notar que a qualidade do produto algo bom, mas que qualidade do processo de produo ainda mais importante. No caso do prato de comida, por exemplo, voc pode dizer mais sobre a qualidade observando como o prato foi preparado do que analisando o produto final. Afinal, voc no consegue ter certeza da higiene ou o valor nutricional apenas comendo o prato. Esta descoberta aconteceu durante a prpria evoluo dos conceitos de qualidade, ao longo dos anos. Observe na tabela abaixo como aconteceu esta evoluo: 1. Controle estatstico da produo Avalia os subprodutos das etapas de produo 1940 2. Procedimento de produo Avalia todo o procedimento de produo 1950 3. Educao das pessoas Avalia as pessoas envolvidas no processo 1960 4. Otimizao dos processos Avalia e otimiza cada processo 1970 5. Projeto robusto Avalia o projeto de produo 1980 6. Engenharia simultnea Avalia a prpria concepo do produto 1990 Hoje em dia, voc pode consultar normas e padres tanto para produtos quanto para processos. Obviamente, os certificados mais valiosos so aqueles que certificam o processo de produo de um produto e no aqueles que simplesmente certificam o produto. Entretanto, comum encontrar empresas que perseguem os dois tipos de padro de qualidade. 7 Qualidade de Software: 7.1 Introduo: Agora que voc j sabe o que qualidade e como ela pode ser avaliada, vamos tentar aplicar estes conceitos aos produtos de software e ao processo de desenvolvimento de software. Inicialmente, vamos encontrar um grande problema: muitas pessoas acham que criar programas uma arte que no pode seguir regras, normas ou padres. Isto acontece principalmente porque: Produtos de software so complexos, at mais do que o hardware onde executam Software no tem produo em srie. Seu custo est no projeto e desenvolvimento Software no se desgasta e nem de modifica com o uso Software invisvel. Sua representao em grficos e diagramas no precisa. A Engenharia de Software ainda no est madura, uma tecnologia em evoluo No h um acordo entre os profissionais da rea sobre o que Qualidade de Software

Apesar de tudo isso, precisamos entender que o problema no est no Software em si, mas na forma como as pessoas tem desenvolvido software at os dias de hoje. Precisamos nos conscientizar que necessitamos aplicar na indstria de software os conceitos de qualidade, urgentemente. Atualmente, muitas instituies se preocupam em criar normas para permitir a correta avaliao de qualidade tanto de produtos de software quanto de processos de desenvolvimento de software. Apenas para ter uma viso geral, observe o quadro a seguir, com as principais normas nacionais e internacionais nesta rea: Norma ISO 9126 NBR 13596 ISO 14598 ISO 12119 IEEE P1061 ISO 12207 NBR ISO 9001 NBR ISO 9000-3 NBR ISO 10011 CMM SPICE ISO 15504 Comentrio Caractersticas da qualidade de produtos de software. Verso brasileira da ISO 9126 Guias para a avaliao de produtos de software, baseados na utilizao prtica da norma ISO 9126 Caractersticas de qualidade de pacotes de software (software de prateleira, vendido com um produto embalado) Standard for Software Quality Metrics Methodology (produto de software) Software Life Cycle Process. Norma para a qualidade do processo de desenvolvimento de software. Sistemas de qualidade - Modelo para garantia de qualidade em Projeto, Desenvolvimento, Instalao e Assistncia Tcnica (processo) Gesto de qualidade e garantia de qualidade. Aplicao da norma ISO 9000 para o processo de desenvolvimento de software. Auditoria de Sistemas de Qualidade (processo) Capability Maturity Model. Modelo da SEI (Instituto de Engenharia de Software do Departamento de Defesa dos EEUU) para avaliao da qualidade do processo de desenvolvimento de software. No uma norma ISO, mas muito bem aceita no mercado. Projeto da ISO/IEC para avaliao de processo de desenvolvimento de software. Ainda no uma norma oficial ISO, mas o processo est em andamento.

8 Engenharia de Software 8.1 Introduo: A disciplina que nos ajuda a entender o processo de desenvolvimento de software a Engenharia de Software. atravs dela que poderemos chegar qualidade. Existe, entretanto, um grande problema a ser resolvido: tecnicamente, ela no existe. O problema que, para que uma disciplina seja considerada realmente uma Engenharia, necessrio atender a alguns requisitos bsicos que a Engenharia de Software, pelos menos at agora, no atende. Veja a definio de Engenharia: "A Engenharia deve criar solues com uma relao custo-benefcio adequada para problemas prticos, pela aplicao de conhecimentos cientficos, para construir coisas a servio da humanidade." Dentro destes conceitos, a Engenharia de Software falha principalmente no que diz respeito adequao do custo-benefcio e aplicao, em toda a sua extenso, de conhecimentos cientficos. Atualmente, estes requisitos so atendidos apenas em parte. necessrio definir, portanto, o que exatamente a Engenharia de Software. Veja algumas tentativas de definio: "... a disciplina que integra mtodos, ferramentas e procedimentos para o desenvolvimento de software para computadores." "... uma coleo de processos de gerenciamento, ferramental de software e atividades de projeto para o desenvolvimento de software. " "... um termo usado para referir-se a modelos de ciclo de vida, metodologias de rotina, tcnicas de estimativa de custo, estruturas de documentao, ferramentas de gerenciamento de configurao, tcnicas de garantia de qualidade e outras tcnicas de padronizao da atividade de produo de software." 9 Qualidade de Produtos de Software - ISO 9126. 9.1 Definio: Quando se pensa em qualidade de um "produto fsico", fcil imaginar padres de comparao, provavelmente ligado s dimenses do produto ou alguma outra caracterstica fsica. Quando se trata de software, como podemos definir exatamente o que a qualidade? Parece difcil... Felizmente, para ns, a ISO (Organizao Internacional de Padres) j pensou bastante sobre o assunto. O suficiente para publicar uma norma que representa a atual padronizao mundial para a qualidade de produtos de software. Esta norma chama-se ISO/IEC 9126 e foi publicada em 1991. Ela uma das mais antigas da rea de qualidade de software e j possui sua traduo para o Brasil, publicada em agosto de 1996 como NBR 13596. Mas, afinal de contas, o que est escrito nesta norma ISO/IEC 9126 ou na NBR 13596? Bem, estas normas listam o conjunto de caractersticas que devem ser verificadas em um software para que ele seja considerado um "software de qualidade". So seis grandes grupos de caractersticas, cada um dividido em algumas subcaractersticas. Os nomes dados pelo ISO/IEC para as caractersticas e subcaractersticas so um pouco complexos (para dizer a verdade, acho at que os prprios termos "caractersticas" e "subcaractersticas" so mais complexos que o necessrio). Entretanto, uma pessoa que trabalha com software no ter dificuldade em entend-las. Observe na tabela abaixo a lista completa:

10 Mtricas de Software. 10.1 Definio Embora a atual norma ISO 9126/NBR 13596 e numere as caractersticas e subcaractersticas um software, ela ainda no define como dar uma nota a um software em cada um destes itens. Se voc no est familiarizado com o processo de avaliao de software, pode ter dificuldades em tentar utilizar a norma. Se voc pretende avaliar um software segundo esta norma, deve tentar atribuir valores (como se fossem notas ou conceitos) a cada uma das sub-caractersticas. Algumas caractersticas podem ser realmente medidas, como o tempo de execuo de um programa, nmero de linhas de cdigo, nmero de erros encontrados em uma sesso de teste ou o tempo mdio entre falhas. Nestes casos, possvel utilizar uma tcnica, uma ferramenta ou um software para realizar medies. Em outros casos, a caracterstica to subjetiva que no existe nenhuma forma bvia de medi-la. Ficam, portanto, as questes: como dar uma nota, em valor numrico, a uma caracterstica inteiramente subjetiva? O que representa, por exemplo, uma "nota 10" em termos de "Segurana de Acesso"? Quando se pode dizer que a Inteligibilidade de um software pode ser considerada satisfatria"? Criou-se, ento, uma rea de estudo parte dentro da Qualidade de Software conhecida como Mtricas de Software. O que se pretende fazer definir, de forma precisa, como medir numericamente uma determinada caracterstica. Para avaliar uma determinada sub-caracterstica subjetiva de forma simplificada, por exemplo, voc pode criar uma srie de perguntas do tipo "sim ou no". Crie as perguntas de forma tal que as respostas "sim" sejam aquelas que indicam uma melhor nota para a caracterstica. Depois de prontas as perguntas, basta avaliar o software, respondendo a cada pergunta. Se voc conseguir listar 10 perguntas e o software obtiver uma resposta "sim" em 8 delas, ter obtido um valor de 80% nesta caracterstica. Obviamente, a tcnica acima no muito eficiente. Para melhor-la, entretanto, voc pode garantir um nmero mnimo perguntas para cada caracterstica. Alm disso, algumas perguntas mais importantes podem ter pesos maiores. possvel, ainda, criar perguntas do tipo ABCDE, onde cada resposta indicaria um escore diferenciado. Alguns estudiosos sugerem formas diferentes de medir uma caracterstica, baseada em conceitos do tipo "no satisfaz", "satisfaz parcialmente", "satisfaz totalmente" e "excede os padres". Estes conceitos, embora parecem muito subjetivos, no deixam de ser uma forma eficiente de medir uma caracterstica. Em todos os casos, um fato fica claro: nada ajuda mais a avaliar caractersticas de um software do que uns avaliadores experientes, que j realizou esta tarefa diversas vezes e em diversas empresas diferentes. Afinal, medir comparar com padres e um avaliador experiente ter maior sensibilidade do que um profissional que acaba de ler uma norma pela primeira vez. Atualmente, a norma ISO/IEC 9126 est sendo revisada. A reviso, que dever estar pronta nos prximos anos, no dever modificar nenhuma das caractersticas bsicas da 9126. A maior modificao ser a incluso de dois documentos adicionais para descrever mtricas externas (relativas ao uso do produto) e mtricas internas (relativas arquitetura do produto). Veja algumas das modificaes previstas para esta reviso: Algumas novas subcaractersticas: Conformidade far parte de todas as caractersticas. Atratividade ser uma subcaracterstica de Usabilidade. Capacidade de coexistir ser uma subcaracterstica de portabilidade. A norma ser dividida em trs partes. A primeira (9126-1) incluir definies e caractersticas. As duas seguintes descrevero mtricas externas (9126-2) e internas (9126-3). A verso brasileira da reviso desta norma dever ser chamada de NBR 9126-1, 9126-2 e 9126-3, segundo a numerao original da ISO/IEC. Guias para Avaliao da Qualidade - Iso 14598. Todos notaram a necessidade de mais detalhes sobre como avaliar a qualidade de um software. As caractersticas e subcaractersticas da norma ISO/IEC 9126 apenas comearam o trabalho. Faltava definir, em detalhes, como atribuir um conceito para cada item. Afinal, sem uma padronizao, que valor teria uma avaliao? A ISO, consciente deste problema, est finalizando o trabalho em um conjunto de Guias para a Avaliao da Qualidade segundo a norma ISO/IEC 9126. Estes guias descrevem, detalhadamente, todos os passos para que se avalie um software. Embora o trabalho nesta norma ainda no esteja totalmente pronto, j existem informaes detalhadas sobre o que ser esta norma, quando for oficialmente publicada. Esta nova norma trar muitos recursos interessantes aos avaliadores, j que trata o processo de avaliao em grande detalhe. Ela leva em conta a existncia de trs grupos interessados em avaliar um software, o que define os trs tipos bsicos de certificao: Certificao de 1a. parte de 2a. parte de 3a. parte Quem realiza Empresas que desenvolvem software Empresas que adquirem software Empresas que fazem certificao Finalidade Melhorar a qualidade de seu prprio produto Determinar a qualidade do produto que iro adquirir Emitir documento oficial sobre a qualidade de um software

Esta norma se constituir, na verdade, de seis documentos distintos, relacionados entre si. Veja: Norma 14598-1 14598-2 14598-3 14598-4 14598-5 Nome Viso Geral Planejamento e Gerenciamento Guia para Desenvolvedores Guia para Aquisio Guia para Avaliao Finalidade Ensina a utilizar as outras normas do grupo Sobre como fazer uma avaliao, de forma geral Como avaliar sob o ponto do vista de quem desenvolve Como avaliar sob o ponto de vista de quem vai adquirir Como avaliar sob o ponto de vista de quem certifica

14598-6

Mdulos de Avaliao

Detalhes sobre como avaliar cada caracterstica

Em resumo, esta nova norma complementar a ISO/IEC 9126 e permitir uma avaliao padronizada das caractersticas de qualidade de um software. importante notar que, ao contrrio da 9126, a 14598 vai a detalhes mnimos, incluindo modelos para relatrios de avaliao, tcnicas para medio das caractersticas, documentos necessrios para avaliao e fases da avaliao. Como um exemplo, observe um modelo de relatrio de avaliao, segundo um anexo da norma 14598-5: Seo 1 Prefcio Itens Identificao do avaliador Identificao do relatrio de avaliao Identificao do contratante e fornecedor Descrio geral do domnio de aplicao do produto Descrio geral dos objetivos do produto Lista dos requisitos de qualidade, incluindo - Informaes do produto a serem avaliadas - Referncias s caractersticas de qualidade - Nveis de avaliao Abrangncia da avaliao Referncia cruzada entre os requisitos de avaliao e os componentes do produto Especificao das medies e dos pontos de verificao Mapeamento entre a especificao das medies com os requisitos de avaliao Mtodos e componentes nos quais o mtodo ser aplicado Resultados da avaliao propriamente ditos Resultados intermedirios e decises de interpretao Referncia s ferramentas utilizadas

2 Requisitos

3 - Especificao

4 Mtodos 5 Resultado

As normas 14598-1, 14598-4 e 14598-5 j foram publicadas. As demais esto em processo de finalizao. Est sendo feito pela ABNT um trabalho de traduo desta norma (tanto dos itens j publicados quanto das verses preliminares dos itens restantes). Com isso, esta norma ter sua verso brasileira pouco tempo depois do final de sua publicao pela ISO. 11 Qualidade de Pacotes de Software - Iso 12119. 11.1 Definio: Esta norma foi publicada em 1994 e trata da avaliao de pacotes de software, tambm conhecidos como "software de prateleira". Alm de estabelecer os requisitos de qualidade para este tipo de software, ela tambm destaca a necessidade de instrues para teste deste pacote, considerando estes requisitos. A norma divide-se em itens, da seguinte forma: Item 1. Escopo 2. Definies 3. Requisitos de qualidade 3.1. Descrio do Produto Descrio

3.2. Documentao do usurio 3.3. Programas e dados

Descreve o produto, de forma a ajudar o comprador em potencial, servindo como base para testes. Cada declarao deve ser correta e testvel. Deve incluir declaraes sobre funcionalidade, confiabilidade, usabilidade, eficincia, manutenibilidade e portabilidade. Deve ser completa, correta, consistente, fcil de entender e capaz de dar uma viso geral do produto. Descreve em detalhes cada uma das funes do software, incluindo declaraes sobre funcionalidade, confiabilidade, usabilidade, eficincia, manutenibilidade e portabilidade. Lista de itens necessrios ao teste, incluindo documentos includos no pacote, componentes do sistema e material de treinamento. Instrues detalhadas sobre os procedimentos de teste, inclusive instalao e execuo de cada uma das funes descritas. Informaes sobre como os testes foram realizados, de tal forma a permitir uma reproduo destes testes. Deve incluir parmetros utilizados, resultados associados, falhas ocorridas e at a identidade do pessoal envolvido. Relatrio inlcuindo: identificao do produto, hardware e software utilizado, documentos utilizados, resultados dos testes, lista de no conformidade com os requisitos, lista de no conformidade com as recomendaes, datas, etc.

4. Instrues para teste 4.1. Pr-requisitos de teste 4.2. Atividades de teste 4.3. Registro de teste

4.4. Relatrio de teste

Um dos grandes mritos desta norma est na profundidade com que so descritas cada uma das caractersticas e subcaractersticas mencionadas na norma 9126. A norma inclui detalhes que devem estar presentes no produto, tais como: Documentao do usurio de fcil compreenso Um sumrio e um ndice remissivo na documentao do usurio Presena de um Manual de instalao com instrues detalhadas Possibilidade de verificar se uma instalao foi bem sucedida Especificao de valores limites para todos os dados de entrada, que devero ser testados Operao normal mesmo quando os dados informados esto fora dos limites especificados Consistncia de vocabulrio entre as mensagens e a documentao Funo de auxlio (help) com recursos de hipertexto Mensagens de erro com informaes necessrias para a soluo da situao de erro Diferenciao dos tipos de mensagem: confirmao, consulta, advertncia e erro Clareza nos formatos das telas de entrada e relatrios Capacidade de reverter funes de efeito drstico Alertas claros para as conseqncias de uma determinada confirmao Identificao dos arquivos utilizados pelo programa Identificao da funo do programa que est sendo executada no momento Capacidade de interromper um processamento demorado Outras caractersticas importante so a nfase nos testes e os modelos de relatrios includos. Tudo isso facilita grandemente o trabalho do avaliador. Uma verso traduzida desta norma ser publicada em breve ABNT. 12 Qualidade de Processo de Software: 12.1 Definio: Os estudos sobre qualidade mais recentes so na sua maioria voltados para o melhoramento do processo de desenvolvimento de software. No que a qualidade do produto no seja importante, ela . Mas o fato que, ao garantir a qualidade do processo, j se est dando um grande passo para garantir tambm a qualidade do produto. O estudo da Qualidade do Processo de Software uma rea ligada diretamente Engenharia de Software. O estudo de um ajuda a entender e aprimorar o outro. Em ambas as disciplinas, estuda-se modelos do processo de desenvolvimento de software. Estes modelos so uma tentativa de explicar em detalhes como se desenvolve um software, quais so as etapas envolvidas. necessrio compreender cada pequena tarefa envolvida no desenvolvimento. 13 A Srie Isso 9000: 13.1 Definio: Esta srie um conjunto de normas da ISO que define padres para garantia e gerenciamento da qualidade. Veja algumas destas normas abaixo: Norma ISO 9001 Trata de Modelo para garantia da qualidade em projeto, desenvolvimento, produo, instalao e assistncia tcnica. ISO 9002 Modelo para garantia da qualidade em produo e instalao ISO 9003 Modelo para garantia da qualidade em inspeo e ensaios finais ISO 9000-1 Diretrizes para escolher entre as normas ISO 9001, 9002 e 9003 ISO 9000-3 Orientao para a aplicao da ISO 9001 em Software Entre as normas 9001, 9002 e 9003, a primeira a que mais se adequa ao desenvolvimento e manuteno de software. Como toda norma deste grupo, ela usada para garantir que um fornecedor atende aos requisitos especificados nos diversos estados do desenvolvimento. Estes estgios incluem projeto, desenvolvimento, produo, instalao e suporte. A norma ISO 9000-3 (no confundir com a ISO 9003) traz os roteiros para aplicar a ISO 9001 especificamente na rea de desenvolvimento, fornecimento e manuteno de software. Todas as orientaes giram em torno de uma "situao contratual", onde uma outra empresa contrata a empresa em questo para desenvolver um produto de software. Veja na tabela abaixo os processos definidos na ISO 9000-3: Grupo Estrutura do Sistema de Qualidade Atividade Responsabilidade do fornecedor Responsabilidade do comprador Anlise crtica conjunta Anlise crtica do contrato Especificao dos requisitos do comprador Planejamento do desenvolvimento Projeto e implementao Testes e validao Aceitao

Atividades do Ciclo de Vida

Atividades de Apoio

Cpia, entrega e instalao Manuteno Gerenciamento de configurao Controle de documentos Registros da qualidade Medio Regras, convenes Aquisio Produto de software includo Treinamento

O processo de certificao de uma empresa de software segundo as normas ISO 9001 / 9000-3 segue um conjunto de passos bem definidos: A empresa estabelece o seu sistema de qualidade A empresa faz uma solicitao formal a um rgo certificador, incluindo detalhes do negcio da empresa, escopo da certificao solicitada e cpia do manual de qualidade O rgo certificador faz uma visita empresa, colhe mais dados e explica o processo de certificao O rgo certificador verifica se a documentao do sistema de qualidade est de acordo com a norma ISO O rgo certificador envia uma equipe empresa com fins de auditoria. Nesta visita, ser verificado se todos na empresa cumprem o que est documentado no manual de qualidade. O rgo certificador emite o certificado de qualidade O rgo certificador realiza visitas peridicas empresa para assegurar que o sistema continua sendo efetivo 14 ISO 12207 Processo de Vida do Ciclo de Software. 14.1 Definio: Este padro formaliza a arquitetura do ciclo de vida do software, que um assunto bsico em Engenharia de Software e tambm em qualquer estudo sobre Qualidade do Processo de Software. Esta norma possui mais de 60 pginas e detalha os diversos processos envolvidos no ciclo de vida do software. Estes processos esto divididos em trs classes: Processos Fundamentais, Processos de Apoio e Processos Organizacionais. Veja a lista completa dos processos na tabela abaixo: Processos Fundamentais Aquisio Incio e execuo do desenvolvimento, operao ou manuteno do software durante o seu ciclo de vida. Atividades de quem um software. Inclui: definio da necessidade de adquirir um software (produto ou servio), pedido de proposta, seleo de fornecedor, gerncia da aquisio e aceitao do software. Atividades do fornecedor de software. Inclui preparar uma proposta, assinatura de contrato, determinao recursos necessrios, planos de projeto e entrega do software. Atividades do desenvolvedor de software. Inclui: anlise de requisitos, projeto, codificao, integrao, testes, instalao e aceitao do software. Atividades do operador do software. Inclui: operao do software e suporte operacional aos usurios. Atividades de quem faz a manuteno do software. Auxiliam um outro processo. Registro de informaes produzidas por um processo ou atividade. Inclui planejamento, projeto, desenvolvimento, produo, edio, distribuio e manuteno dos documentos necessrios a gerentes, engenheiros e usurios do software. Identificao e controle dos itens do software. Inclui: controle de armazenamento, liberaes, manipulao, distribuio e modificao de cada um dos itens que compem o software. Garante que os processos e produtos de software estejam em conformidade com os requisitos e os planos estabelecidos. Determina se os produtos de software de uma atividade atendem completamente aos requisitos ou condies impostas a eles. Determina se os requisitos e o produto final (sistema ou software) atendem ao uso especfico proposto. Define as atividades para avaliar a situao e produtos de uma atividade de um projeto, se apropriado. Determina adequao aos requisitos, planos e contrato, quando apropriado.

Fornecimento

Desenvolvimento Operao Manuteno Processos de Apoio Documentao

Gerncia de Configurao

Garantia da Qualidade Verificao Validao Reviso Conjunta Auditoria

Resoluo de Problemas

Processos Organizacionais Gerncia Infra-estrutura Melhoria Treinamento

Anlisar e resoluo dos problemas de Qualquer natureza ou fonte, descobertos durante a execuo do desenvolvimento, operao, manuteno ou outros processos. . Implementam uma estrutura constituda de processos de ciclo de vida e pessoal associados, melhorando continuamente a estrutura e os processos. Gerenciamento de processos. Fornecimento de recursos para outros processos. Inclui: hardware, software, ferramentas, tcnicas, padres de desenvolvimento, operao ou manuteno. Atividades para estabeler, avaliar, medir, controlar e melhorar um processo de ciclo de vida de software. Atividades para prover e manter pessoal treinado.

A norma detalha cada um dos processos acima. Ela define ainda como eles podem ser usados de diferentes maneiras por diferentes organizaes (ou parte destas), representando diversos pontos de vista para esta utilizao. Cada uma destas vises representa a forma como uma organizao emprega estes processos, agrupando-os de acordo com suas necessidades e objetivos. As Vises tm o objetivo de organizar melhor a estrutura de uma empresa, para definir suas gerncias e atividades alocadas s suas equipes. Existem cinco vises diferentes: contrato, gerenciamento, operao, engenharia e apoio. Veja na figura abaixo como estas vises se relacionam aos processos. A ISO/IEC 12207 a primeira norma internacional que descreve em detalhes os processos, atividades e tarefas que envolvem o fornecimento, desenvolvimento, operao e manuteno de produtos de software. A principal finalidade desta norma servir de referncia para os demais padres que venham a surgir. Lanada em agosto de 1995, ela citada em quase todos os trabalhos relacionados Engenharia de Software desde ento, inclusive aqueles relativos qualidade. A futura norma ISO 15504 (SPICE), por exemplo, organiza seu trabalho segundo o que est descrito na 12207. A verso brasileira da norma foi encaminhada para votao na ABNT em junho de 1997 e a expectativa da comisso encarregada da traduo que ela se transforme em norma brasileira ainda em 1997.