Presidente:
Ministro Homero Santos
Vice-Presidente:
Ministro Iram de Almeida Saraiva
Ministros:
Adhemar Paladini Ghisi
Carlos Átila Álvares da Silva
Marcos Vinicios Rodrigues Vilaça
Humberto Guimarães Souto
Bento José Bugarin
Antônio Valmir Campelo Bezerra
Auditores:
José Antônio Barreto de Macedo
Lincoln Magalhães da Rocha
Benjamin Zymler
Procurador-Geral:
Walton Alencar Rodrigues
Subprocuradores-Gerais:
Jatir Batista da Cunha
Lucas Rocha Furtado
Paulo Soares Bugarin
Procuradores:
Maria Alzira Ferreira
Marinus Eduardo Vries Marsico
Ubaldo Alves Caldas
Cristina Machado da Costa e Silva
SAFS Lt. 01
CEP: 70.042-900 - Brasília (DF)
José Nagel
HOMERO SANTOS
APRESENTAÇÃO
Homero Santos
Presidente
SUMÁRIO
Página
LISTA DE QUADROS................................................................................................ 12
LISTA DE SIGLAS..................................................................................................... 13
INTRODUÇÃO........................................................................................................... 14
7
4.1. Controles gerais............................................................................................. 29
4.1.1.Controles organizacionais.................................................................... 29
4.1.2.Controles de projeto, desenvolvimento e modificação de
sistemas................................................................................................ 30
4.1.3. Controles de segurança....................................................................... 31
4.2. Controles aplicativos...................................................................................... 31
4.2.1. Controles da entrada de dados............................................................ 31
4.2.2. Controles de processamento de dados................................................ 32
4.2.3. Controles da saída de dados............................................................... 32
4.3. Avaliação extensiva dos controles de sistema............................................... 33
4.4. Avaliação moderada dos controles de sistema.............................................. 34
4.5. Avaliação reduzida dos controles de sistema................................................ 34
5. ESTUDO DE CASO......................................................................................................... 35
5.1. Situação hipotética......................................................................................... 35
5.2. Informações básicas sobre a área auditada................................................... 35
5.3. Procedimentos de avaliação.......................................................................... 35
5.4. Determinação do uso planejado para os dados............................................. 35
5.5. Levantamento dos elementos de conhecimento prévio sobre os dados e o
sistema............................................................................................................ 36
5.6. Avaliação dos controles do sistema............................................................... 36
5.6.1. Avaliação extensiva.............................................................................. 37
5.6.2. Avaliação moderada.............................................................................. 37
5.7. Determinação da confiabilidade de dados..................................................... 37
5.8. Teste de dados............................................................................................... 37
5.8.1. Teste extensivo..................................................................................... 37
5.8.2. Teste reduzido...................................................................................... 39
5.9. Conclusão....................................................................................................... 39
2. CONTROLES DE APLICATIVOS.......................................................................... 68
2.1. Controles da Entrada de Dados...................................................................... 68
2.1.1. Documentos ou telas de entradas de dados ............................................ 68
2.1.2. Rotinas de preparação dos dados (batch)................................................ 69
2.1.3. Autorização para entrada de dados.......................................................... 69
2.1.4. Retenção de documentos de entrada (sistema batch)............................. 70
2.1.5. Validação dos dados de entrada.............................................................. 70
2.1.6. Tratamento de erros................................................................................. 71
2.1.7. Mecanismos de suporte para entrada de dados....................................... 72
2.2. Controles do Processamento de Dados.................................................... 72
2.2.1. Integridade do processamento................................................................. 72
2.2.2. Validação do processamento.................................................................... 73
2.2.3. Tratamento de erros do processamento................................................... 73
2.3. Controles da Saída de Dados......................................................................... 73
2.3.1. Revisão dos dados de saída....................................................................... 73
2.3.2. Distribuição dos dados de saída................................................................. 73
2.3.3. Segurança dos dados de saída................................................................... 74
3. DESENVOLVIMENTO DE SISTEMAS.................................................................. 75
3.1. Fase 1: Planejamento..................................................................................... 75
3.2. Fase 2: Elaboração do plano de desenvolvimento e início do projeto........... 76
3.3. Fase 3: Organização do projeto..................................................................... 77
3.4. Fase 4: Elaboração do projeto do sistema..................................................... 77
3.5. Fase 5: Revisão e aprovação pelos dirigentes.............................................. 78
3.6. Fase 6: Desenvolvimento e Implantação........................................................ 78
3.6.1. Teste do sistema.................................................................................. 79
3.6.2. Implementação..................................................................................... 79
3.6.3. Bibliotecas de controles....................................................................... 80
3.7. Fase 7: Revisão de pós-implementação........................................................ 80
6. MICROCOMPUTADORES 94
....................................................................................
6.1. Controles do software em uso........................................................................ 95
6.2. Controles de segurança................................................................................. 95
6.3. Controles sobre a operação........................................................................... 96
GLOSSÁRIO............................................................................................................. 97
BIBLIOGRAFIA.......................................................................................................... 102
11
LISTA DE QUADROS
Página
12
LISTA DE SIGLAS
13
MANUAL DE AUDITORIA DE SISTEMAS
15
1. REQUISITOS PARA A UTILIZAÇÃO DE EVIDÊNCIA PROVENIENTE DE DADOS
PROCESSADOS POR COMPUTADORES
16
2. MÉTODOS DE AVALIAÇÃO DE DADOS PROCESSADOS POR COMPUTADOR
A eficácia da utilização dos procedimentos aqui recomendados dependerá da
capacidade da equipe de auditoria em julgar a qualidade dos controles do sistema e a
extensão e forma do teste dos dados. Erros nesse julgamento podem trazer conseqüências
indesejáveis: um aprofundamento excessivo da investigação desperdiça recursos valiosos,
enquanto um esforço insuficiente põe em risco a confiabilidade do trabalho. Em algumas
circunstâncias, a equipe poderá concluir ser necessária a presença de um especialista na
área de auditoria de sistemas informatizados para auxiliá-la no trabalho. Para que esse
auxílio possa ser providenciado, o coordenador da equipe deverá informar o fato ao
responsável pela supervisão do trabalho.
Avaliação limitada: é direcionada para dados específicos. Por essa razão, ela
normalmente requer uma avaliação menos profunda dos controles gerais e de
aplicativos, podendo ser realizada por equipes compostas, somente, por técnicos
generalistas. Os controles pertinentes são examinados na extensão necessária
para julgar o grau de abrangência dos testes a serem feitos nos dados visando a
determinar sua confiabilidade.
Há casos em que opção pela avaliação do sistema será mais vantajosa. Por
exemplo: quando uma unidade técnica utiliza repetidamente dados do mesmo sistema
informatizado em suas atividades de fiscalização. Nessas circunstâncias, uma avaliação
extensiva, periodicamente atualizada, pode revelar-se menos onerosa, a longo prazo, que
sucessivas avaliações limitadas dos dados. Para execução de uma avaliação extensiva
deve-se utilizar os capítulos 1 e 2 da Parte 2 deste Manual. Na maioria das auditorias,
entretanto, o segundo método de avaliação é adequado e suficiente, podendo ser aplicado
através das técnicas e procedimentos constantes dos itens 3 e 4 seguintes.
17
3. DOS
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE
DADOS
18
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE DOS DADOS
3.2. Definição dos dados que deverão ter sua confiabilidade avaliada
O Quadro a seguir resume as implicações dos três usos possíveis para os dados.
Quadro 1 - Determinação da necessidade ou não de avaliação da confiabilidade dos dados quando outras
evidências comprobatórias estão disponíveis.
EXIGÊNCIA DE AVALIAÇÃO
CARACTERÍSTICAS DAS OUTRAS EVIDÊNCIAS
TIPO DE USO DOS DADOS PROCESSADOS
POR COMPUTADOR
Única evidência - SIM
Fonte primária de informação (ex.:
comprovação física da existência de um NÃO
bem, documento bancário que confirma
um valor declarado etc.)
Evidência auxiliar
Fontes auxiliares que por si sós não
SIM
podem ser consideradas suficientes (ex.:
entrevista com funcionários da unidade)
Informação geral Fontes primárias ou auxiliares NÃO
Inexistentes NÃO*
(*) A menos que haja razões para se acreditar que uma falta de rigor nos dados pode de alguma forma
distorcer os resultados do trabalho
3.3. Levantamento do conhecimento prévio sobre o sistema e/ou os dados
19
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE DOS DADOS
Os seguintes exemplos ilustram como a equipe pode saber mais sobre os dados
ou o sistema que os processou:
20
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE DOS DADOS
AMPLITUDE DA AVALIAÇÃO
CONHECIMENTO PRÉVIO SOBRE
USO PLANEJADO PARA OS DADOS DOS CONTROLES DO
O SISTEMA OU OS DADOS
SISTEMA
As informações são Única evidência para possíveis Extensiva
insuficientes ou avaliações achados
anteriores detectaram erros Evidência auxiliar Moderada
significativos nos controles do *
Informações gerais (histórico, Desnecessária
sistema ou nos próprios
descrição etc.)
dados.
A confiabilidade do sistema Única evidência para possíveis Moderada
ou dos dados já foi avaliada e achados
considerada adequada em Evidência auxiliar Reduzida
trabalhos anteriores.
Informações gerais (histórico, Desnecessária
descrição etc.)
(*) A menos que haja razões para se acreditar que uma falta de rigor nos dados pode de alguma forma
distorcer os resultados do trabalho. Nesse caso, a equipe deve decidir entre avaliar a existência e eficácia dos
elementos-chave de controle, desistir do uso das informações ou confirmar sua validade através de outras
fontes.
21
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE DOS DADOS
Após avaliar os controles do sistema, a equipe deverá dar um parecer sobre a sua
eficácia, isso é, sua capacidade de prevenir erros e detectar e corrigir aqueles que venham a
ocorrer.
Quadro 3 - Determinação do risco de confiabilidade dos dados, a partir do conhecimento prévio sobre o
sistema e o uso planejado para os dados.
23
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE DOS DADOS
Existem duas maneiras de se testar dados processados por computador. Elas são
diferenciadas pela participação ou não do sistema computadorizado no processo. O método
apropriado, ou a combinação de métodos, vai depender da natureza do sistema envolvido.
25
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE DOS DADOS
26
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE DOS DADOS
27
TÉCNICAS E PROCEDIMENTOS DE AVALIAÇÃO LIMITADA DA CONFIABILIDADE DOS DADOS
28
4. ROTEIRO PARA AVALIAÇÃO DOS CONTROLES DE SISTEMA
Se for concluído que os controles do sistema são insuficientes para limitar o teste
de dados ou que continuar a avaliação dos controles será mais custoso que efetuar um teste
extensivo de dados, a fase de avaliação dos controles do sistema deve ser interrompida.
Nesses casos, a equipe deve passar para a etapa de teste extensivo de dados, como se os
controles do sistema fossem fracos ou inexistentes.
30
ROTEIRO PARA AVALIAÇÃO DOS CONTROLES DE SISTEMA
São projetados para garantir que os dados sejam convertidos para um formato
padrão e inseridos na aplicação de forma precisa, completa e tempestiva. Controles a serem
verificados:
31
ROTEIRO PARA AVALIAÇÃO DOS CONTROLES DE SISTEMA
São utilizados para garantir que os dados sejam manipulados pelo computador de
uma forma precisa, completa e tempestiva. Devem ser verificados:
32
ROTEIRO PARA AVALIAÇÃO DOS CONTROLES DE SISTEMA
33
ROTEIRO PARA AVALIAÇÃO DOS CONTROLES DE SISTEMA
34
5. ESTUDO DE CASO
Uma vez que os dados que irão fundamentar o trabalho de auditoria deverão ser
extraídos do sistema informatizado “Folha de Pagamento”, antes de iniciar a auditoria
propriamente dita, a equipe de auditoria deverá proceder à avaliação da confiabilidade
desses dados.
Tendo sido planejado o uso a ser feito dos dados processados pelo sistema
“Folha de Pagamento”, e identificada a necessidade de avaliação da sua confiabilidade
pode-se passar ao levantamento das informações disponíveis sobre esse sistema.
• O TCU utilizou esta mesma base de dados como suporte para achados de
auditoria em outros trabalhos recentes? Se a resposta for sim, qual foi a
avaliação da confiabilidade desses dados naquela ocasião?
• A Auditoria Interna da Empresa X avaliou recentemente o sistema, ou a
confiabilidade desses dados? Se a resposta for sim, qual foi a opinião emitida
sobre esses dados? Foram feitas recomendações para melhorar os controles
do sistema? O Departamento de Pessoal e o CPD adotaram as medidas
necessárias para implementar essas recomendações?
• O que os funcionários do Departamento de Pessoal e outros usuários do
sistema dizem sobre a exatidão dos dados? Com que freqüência eles
encontram erros nesses dados? Qual a importância desses erros?
• Os funcionários têm relatado problemas ou dúvidas quanto à exatidão dos
valores declarados no sistema? Eles confiam nos dados para desempenhar
suas funções, ou mantêm registros manuais em separado?
• Outras fontes de informação tendem a confirmar ou contradizer os dados
processados por computador?
36
ESTUDO DE CASO
37
ESTUDO DE CASO
38
ESTUDO DE CASO
5.9. Conclusão
39
MANUAL DE AUDITORIA DE SISTEMAS
41
CONTROLES GERAIS
Para cada uma dessas seis categorias, este manual identifica os elementos
críticos que irão determinar a qualidade dos controles auditados e apresenta as técnicas e
procedimentos de auditoria recomendáveis para a avaliação desses controles.
42
CONTROLES GERAIS
Gerente de T.I.
(ou de Processamento de Dados)
43
CONTROLES GERAIS
Operadores Analistas/
Programadores
44
CONTROLES GERAIS
Os funcionários do DTI:
45
CONTROLES GERAIS
47
CONTROLES GERAIS
1
V. termo "vulnerabilidade de dados" no Glossário deste manual.
48
CONTROLES GERAIS
49
CONTROLES GERAIS
O plano de segurança:
• foi documentado e aprovado pela alta gerência e pelos setores afetados;
• cobre todas as instalações e operações essenciais;
• é mantido atualizado, com revisões periódicas e ajustes que reflitam as
mudanças nas condições de operação e nos riscos.
O plano de segurança:
• estabelece uma estrutura de gerência de segurança com independência,
autoridade e conhecimento suficientes;
• prevê a existência de gerentes de segurança dos sistemas de informação tanto
em nível geral quanto nos níveis subordinados;
• identifica precisamente o proprietário de cada recurso computacional e os
responsáveis pela gerência do acesso a esses recursos;
• define as responsabilidades de segurança nos seguintes níveis: (1)
proprietários e usuários dos recursos de informação; (2) pessoal de
processamento de dados; (3) alta gerência; e (4) administradores de
segurança;
• é periodicamente revisto e atualizado, estando em dia com as necessidades da
entidade.
50
CONTROLES GERAIS
As ações corretivas são testadas após terem sido implementadas para confirmar
sua eficácia e, quando necessário, supervisionadas periodicamente. Verificar a situação das
recomendações mais recentes da auditoria interna e se as medidas corretivas adotadas
foram testadas quanto à sua eficácia.
Controles físicos foram implementados para evitar outros desastres, tais como
inundação, elevação excessiva da temperatura etc. Os controles físicos são periodicamente
testados.
53
CONTROLES GERAIS
54
CONTROLES GERAIS
Visitantes em áreas críticas, tais como sala do computador central e fitoteca, são
formalmente registrados e acompanhados. Verificar o registro de entradas de visitantes;
entrevistar os vigias e responsáveis pela segurança; observar o trânsito de pessoas pelas
áreas críticas nos períodos dentro e fora do expediente normal.
As senhas são:
• únicas para indivíduos específicos, não grupos;
• controladas pelos usuários e não sujeitas a divulgação;
• alteradas periodicamente (entre 30 e 90 dias);
58
CONTROLES GERAIS
59
CONTROLES GERAIS
60
CONTROLES GERAIS
61
CONTROLES GERAIS
62
CONTROLES GERAIS
63
CONTROLES GERAIS
A migração para o uso do novo software testado e aprovado é feita por um grupo
independente, responsável pelo controle da biblioteca.
64
CONTROLES GERAIS
65
CONTROLES GERAIS
66
CONTROLES GERAIS
O código em uso, código-fonte e cópias extras dos programas são protegidos por
software de controle de acesso e por características de segurança do sistema operacional.
67
2 CONTROLES DE APLICATIVOS
Controles de aplicativos são aqueles incorporados diretamente em programas
aplicativos, nas três áreas de operação (entrada, processamento e saída de dados), com o
objetivo de garantir um processamento confiável e acurado.
O presente módulo tem por objetivo apresentar os controles que devem ser
verificados em trabalhos de fiscalização que incluam a avaliação de um ou mais programas
aplicativos da organização auditada.
Os controles desta categoria são projetados para garantir que os dados são
convertidos para um formato padrão e inseridos na aplicação de forma precisa, completa e
tempestiva.
68
DESENVOLVIMENTO DE SISTEMAS
70
DESENVOLVIMENTO DE SISTEMAS
71
DESENVOLVIMENTO DE SISTEMAS
72
DESENVOLVIMENTO DE SISTEMAS
74
3. DESENVOLVIMENTO DE SISTEMAS
A organização:
• identifica as necessidades de informação ainda não atendidas e estabelece um
plano de ação para o desenvolvimento dos sistemas de maior prioridade;
• estabelece e documenta as metodologias de desenvolvimento a serem
adotadas;
• define e documenta as responsabilidades de todas as pessoas envolvidas no
desenvolvimento de sistemas.
75
DESENVOLVIMENTO DE SISTEMAS
77
DESENVOLVIMENTO DE SISTEMAS
Os projetos físico e lógico estão dentro dos padrões adotados pela organização
no que diz respeito a hardware, software, sistema operacional e linguagem de programação.
78
DESENVOLVIMENTO DE SISTEMAS
O ambiente de teste é diverso do ambiente real e dados reais não são usados no
teste de programas, exceto para construir arquivos de dados de teste.
3.6.2. Implementação
79
DESENVOLVIMENTO DE SISTEMAS
80
4. BANCO DE DADOS
Tradicionalmente, o termo banco de dados foi usado para descrever um arquivo
contendo dados acessíveis por um ou mais programas ou usuários. Os arquivos de dados
eram designados para aplicações específicas e o programa era projetado para acessá-los
de uma forma predeterminada. Essa abordagem, no entanto, oferecia muitas dificuldades,
caso os dados ou o programa tivessem que ser modificados.
81
BANCO DE DADOS
Geralmente as consultas aos dados são feitas por um mecanismo interativo, por
meio do qual o usuário é instado a fornecer instruções sobre que dados estão sendo
requisitados. Esse mecanismo de solicitação de dados é freqüentemente específico para um
sistema, mas hoje há uma linguagem padrão ANSI chamada SQL, que foi projetada para
atender ao modelo de banco de dados relacional mencionado anteriormente.
82
BANCO DE DADOS
Os dados que são compartilhados por meio da rede pelas diversas localidades
também são tratados pelo SGBD como um banco de dados único e completo. Os dados são
distribuídos pela a rede de acordo com as solicitações de cada localidade, aumentando a
velocidade do acesso.
83
BANCO DE DADOS
84
BANCO DE DADOS
86
5. REDES DE COMPUTADORES
Atualmente, é bastante comum que os usuários de um sistema estejam em um
local diferente de onde se encontram os recursos computacionais da organização. Isso torna
necessário o uso de mecanismos de transporte de informações entre diferentes
computadores e entre computadores e seus periféricos.
ininteligíveis para aqueles que não possuem a chave secreta necessária para decifrá-los,
mantendo assim o conteúdo do arquivo ou mensagem confidencial. Servem também para
fornecer uma assinatura eletrônica, a qual pode indicar se alguma alteração foi feita no
arquivo, garantindo sua integridade e identificando o autor da mensagem.
88
REDES DE COMPUTADORES
Existem controles para garantir que a integridade dos dados seja mantida durante
a transferência de dados na rede, tais como:
• procedimentos de autenticação de mensagens;
• mecanismos de garantia da exatidão e integridade da transmissão.
5.1.3. Segurança da rede
90
REDES DE COMPUTADORES
91
REDES DE COMPUTADORES
A rede contém mecanismos que minimizam o impacto provocado por uma falha
do sistema e existem procedimentos documentados para o retorno à operação, caso ocorra
uma interrupção inesperada do serviço.
92
REDES DE COMPUTADORES
93
6. MICROCOMPUTADORES
Normalmente são chamados de microcomputadores os computadores de mesa
que compreendem um processador, discos rígido e flexível, monitor e teclado. Os
microcomputadores podem ser utilizados isoladamente ou estar conectados a uma rede,
com o propósito de compartilhar dados ou periféricos.
Para que possa proteger-se contra esses riscos, a organização precisa adotar
políticas e procedimentos específicos quanto ao uso de microcomputadores pelos seus
funcionários, compreendendo padrões de hardware, software, aquisição, treinamento e
suporte, além dos controles gerais e de aplicativos.
94
MICROCOMPUTADORES
95
MICROCOMPUTADORES
96
GLOSSÁRIO
Arquivo: coleção organizada de informações, preparada para ser usada com finalidade
específica e identificada por um nome.
Banco ou base de dados: (1) coleção de dados organizados. (2) conjunto de todas as
informações armazenadas em um sistema de computação.
Códigos-fonte: (1) arquivo (texto) ou instruções originais a partir das quais um programa é
criado; (2) representação textual de um programa ou procedimento.
Controle de acesso: recurso que permite bloquear acesso a dados, de pessoas não
autorizadas.
97
problemas e falhas do sistema. Essa divisão pode também ser responsável pela
administração de base de dados para aplicações.
• Divisão de software de sistema: o grupo de programação de sistema que
será responsável pela instalação e manutenção de software de sistema e dar suporte ao
resto do pessoal de TI e usuários em matérias técnicas. Eles garantem que os sistemas de
hardware e software operam com desempenho ótimo.
• Divisão de comunicação de dados: o grupo de comunicação de dados ou
rede oferece assistência e auxílio aos usuários do sistema que experimentem problemas de
teleprocessamento ou precisam comunicar com dispositivos ou usuários remotos. São
responsáveis pelo desenvolvimento e manutenção de toda a rede de comunicação da
entidade.
Elemento de dado: item específico de informação que tem parâmetros definidos (exemplo:
número de CGC).
Gateway: máquina ou conjunto de máquinas que fornecem serviços entre duas redes. São
dispositivos usados na tradução entre protocolos de aplicação.
98
computador de, em conjunto, representarem o universo completo dos dados originais em
que se baseiam.
Log: arquivo em disco ou fita no qual são registrados todos os fatos relevantes relativos ao
processamento de uma transação. Muito útil para a recuperação de informações para fins de
auditoria ou recuperação após falhas.
Nível de acesso: conjunto de características que define o tipo de atividade permitida pelo
usuário em um sistema computacional (ex.: somente consulta, entrada de dados, alteração
de configurações, etc.).
Projeto de sistema: fase de produção dos sistemas em que se elaboram os projetos físico
e lógico do sistema, com especificações detalhadas para o seu desenvolvimento.
Registro: grupo de fatos ou campos de informação relacionados entre si, tratados como
unidade.
Risco: efeito latente resultante da exposição de um sistema a uma situação à qual este é
vulnerável.
Risco de confiabilidade: (1) risco de que os dados utilizados não sejam suficientemente
confiáveis para o fim a que se destinam; (2) risco de que os dados não sejam exatos e
completos o suficiente para servir de fundamento para achados de auditoria.
99
Segurança computacional: conceitos e técnicas (medidas físicas, administrativas e
técnicas) usadas para proteger hardware, software e dados de um sistema contra dano,
destruição, acesso, manipulação, modificação, uso ou perda, decorrente de ação deliberada
ou acidental. O objetivo da segurança computacional é assegurar integridade e
disponibilidade do sistema e o sigilo das informações nele contidas.
Segurança de dados: prevenção contra acesso ou uso de dados por pessoal não
autorizado.
Software: conjunto de programas e instruções que operam o computador. São dois os tipos
de software de computador: software de sistema, o qual engloba operações básicas
necessárias para operar o hardware (por exemplo, sistema operacional, utilitários de
comunicação, monitores de performance, editores, compiladores etc.) e software aplicativo,
o qual executa tarefas específicas para auxiliar os usuários em suas atividades.
Teste: execução de um programa, processo ou rotina com intuito de identificar suas falhas.
Trilha de auditoria: (1) rotinas específicas programadas nos sistemas para fornecerem
informações de interesse da auditoria. (2) conjunto cronológico de registros que
proporcionam evidências do funcionamento do sistema. Estes registros podem ser utilizados
para reconstruir, revisar e examinar transações desde a entrada de dados até a saída dos
resultados finais, bem como para rastrear o uso do sistema, detectando e identificando
usuários não autorizados.
100
Usuários de dados: funcionários ou terceiros que possuem direitos de acesso concedidos
pelos proprietários do sistema.
101
BIBLIOGRAFIA
102
BIBLIOGRAFIA
AUDINET (1997). LAN Audit Program in ASAP – Auditor Sharing Audit Programs. Internet.
------ (1997). LAN Basic Audit in ASAP – Auditor Sharing Audit Programs. Internet.
GAO (1997). Assessing Risks and Returns: A Guide for Evaluating Federal Agencies'
IT Investment Decision-making. Washington-DC, EUA.
------ (1996). Federal Information System Control Audit Manual, Vol I - Financial
Statement Audits. Washington-DC, EUA.
JENKINS, Brian (1992). An Audit Approach to Computers. London: Coopers & Lybrand.
103
RELAÇÃO DOS DOCUMENTOS ELABORADOS NA ÁREA DE FISCALIZAÇÃO E
CONTROLE EXTERNO
ESTRATÉGIAS ÚLTIMA
ATUALIZAÇÃO
Estratégia de Atuação para o Controle da Gestão Ambiental 1998
104
FOLHA DE SUGESTÕES
Sugestões sobre este manual também podem ser enviadas como se segue:
E-mail: saudi@tcu.gov.br
Fax: (061) 316-7538
Fone: (061) 316-7388
Endereço: Tribunal de Contas da União - TCU
SAUDI/DIPEA
Setor de Administração Federal Sul - Lote 01
CEP: 70042-900 – Brasília - DF
105
Tribunal de Contas da União QUESTIONÁRIO DE AVALIAÇÃO
MANUAL DE AUDITORIA DE SISTEMAS
FINALIDADE
Este questionário tem por objetivo obter a opinião dos leitores sobre o Manual de Auditoria de Sistemas, com
vistas ao seu aperfeiçoamento.
Por favor, responda às questões abaixo assinalando com um “X” a alternativa mais adequada. Desde já
agradecemos a sua colaboração.
O manual é : 5 4 3 2 1
Fácil de ser lido
Fácil de ser entendido
Lógico
Sucinto
Completo
Útil
5. Como você tomou conhecimento do Manual de Auditoria de Sistemas?
Quando recebeu Pela Internet
Divulgação interna do TCU Pela imprensa
Por mensagem do SIAFI Outros [especificar]_______________________
6. Como você obteve o Manual de Auditoria de Sistemas?
Solicitou diretamente ao TCU Download pela Internet Outros [especificar]
_________________
7. Apresente, a seguir, comentários e sugestões para o aprimoramento da qualidade do Manual de Auditoria de
Sistemas. No caso de sugestões para alteração/supressão/aditamento de itens de verificação, favor
preencher o quadro anexo.
106
Tribunal de Contas da União QUADRO DE SUGESTÕES
MANUAL DE AUDITORIA DE SISTEMAS
FINALIDADE
107