Análise de
Relatórios/Telas e
Programa Fonte
Ana Regina
Dikson Hebert
Douglas Monteiro
John Lennon
Sumário

Análise de Relatório/Telas

Controle de Acesso pelo Usuário

Esquema de Distribuição e Número de Vias Emitido

Grau de Confidencialidade de seu Conteúdo

Forma
de
Utilização
Relatórios/Telas/Documentos

Distribuição das Informações Segundo o Layout Vigente

Etapas da Auditoria

Fraquezas Identificadas

Análise do Programa-Fonte

Conclusão
e
Integração
entre
Análise de Relatórios/Telas

Implica a análise de documentos, relatórios e
telas do sistema sob auditoria no tocante a:
 Controle
de Acesso pelo Usuário;
 Esquema
de Distribuição e Número de Vias Emitido;
 Grau
de Confidencialidade de seu Conteúdo;
 Forma
de Utilização e Integração entre
Relatórios/Telas/Documentos;
 Distribuição
das Informações Segundo o Layout Vigente.
Controle de Acesso Pelo Usuário


O controle de acesso é composto pelo processo de autenticação, autorização
e auditoria. Nesse contexto o controle de acesso pode ser entendido como a
habilidade de permitir ou negar a utilização de um relatório/tela por
determinado usuário.

A autenticação identifica quem acessa o relatório/tela;

A autorização determina o que o usuário autenticado poderá fazer; e

A auditoria diz o que o usuário fez.
Os controles de acesso são categorizado como: discricionários, obrigatórios e
baseado em papéis

Controle de Acesso Discricionário (Discretionary Access Control): É uma política
de controle de acesso determinada pelo administrador do sistema. O administrador
decide quem tem permissão para acessar determinada tela/relatório e quais
privilégios o usuário tem.

Controle de Acesso Obrigatório (Mandatory Access Control): A política de acesso
é determinada pelo sistema e não pelo administrador do mesmo. Este tipo de
controle é utilizado quando os dados a serem apresentados são altamente
sensíveis, como governamentais e militares.

Rótulos de Sensibilidade: Todos os sujeitos devem ter rótulos de sensibilidade
associados, definindo assim o seu nível de confiabilidade. Por exemplo,
senhas, crachás, etc.
Controle de Acesso Pelo Usuário

Controle de Acesso Baseado em Papéis: Estratégias de
acesso a usuários autorizados. Os controles baseados em
papéis definem os direitos e permissões baseados no papel
que determinado usuário desempenha na organização.
Esta estratégia simplifica o gerenciamento das permissões
dadas ao usuário uma vez que é só inserir os grupos de
acesso e depois relacioná-los ao seus respectivos usuários.
Esquema de Distribuição e Número de
Vias Emitido

O auditor deverá identificar como estar distribuída uma determinada
tela ou um determinado relatório pelos usuários da organização, ou
seja, identificar quantos usuários da organização tem acesso a esses
mesmos recursos e quais são as consequências potenciais que esse
acesso poderá trazer a organização.


Por exemplo, todos os usuários do depósito tem acesso de realizar o
inventário de algum produto.
É papel do auditor verificar também o número de vias que é impressa
de um determinado relatório. Ele deve levar em conta:

O grau de confidencialidade da informação que está sendo impressa;

O solicitante dos relatórios; e

Os impactos que poderá trazer a empresa.
Grau de Confidencialidade de seu
Conteúdo

Confidencialidade é definida como a propriedade que limita o acesso à informação
tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da
informação.

O grau de confidencialidade da informação é definido de acordo com os regulamentos
da empresa, cultura, processos, entre outros. Mas no geral o grau de
confidencialidade encaixa-se em três níveis:

Baixo: Usuário operacionais podem ter acesso irrestrito a essas informações. Se essa
informação vazar trará um impacto mínimo para a organização. Por exemplo, relatório de
clientes, fornecedores, produtos, etc;

Médio: Apenas alguns usuários privilegiados podem ter acesso a essas informações, o
controle de acesso é restringido pelo administrador do sistema ou de acordo como a
demanda alta direção. Se essa informação vazar trará um impacto grande para a
organização, mas sem comprometer o seu funcionamento;

Alto: Apenas alguns usuários privilegiados podem ter acesso a essas informações, o controle
de acesso é restringido pelo administrador do sistema ou de acordo como a demanda alta
direção. Se essa informação vazar trará um impacto grande para a organização
comprometendo o seu funcionamento, podendo levar a empresa a falência;
Grau de Confidencialidade de seu
Conteúdo

O auditor deve identificar o grau de
confidencialidade do conteúdo que está sendo
auditado (telas e/ou relatórios) e relacioná-los
aos respectivos usuários que as acessam.

O auditor deverá verificar se as políticas de
controle de acesso, esquemas de distribuição e
número de vias impressas são aceitáveis para o
grau de confidencialidade da informação
auditada, se estão corretamente implantadas e
respeitadas.
Forma de Utilização e Integração entre
relatórios/telas/documentos

O auditor deverá verificar se os relatórios/telas estão sendo utilizados para os
seus devidos fins.

O auditor deverá verificar se o usuário dispõe das informações necessárias para a
realização de suas atividades;

O auditor deverá verificar se as informações que o usuário dispõe são relevantes
para as suas atividades;

O auditor deverá verificar a conformidade de utilização das informações em
relação as atividades desempenhadas pelo usuário; entre outros.

O auditor deverá verificar a integração entre os relatórios/telas e
documentos da organização. Por exemplo, não seria viável se a tela de
visualização de clientes tivesse uma opção para imprimir o saldo em estoque
dos produtos.

O auditor deve verificar se os relatórios impressos contém as informações
precisas, completas, econômicas, confiáveis, simples e verificáveis.
Distribuição das Informações Segundo o
Layout Vigente

O auditor deve verificar se os relatórios impressos
seguem o padrão de layout definido pela
organização, pelo governo, etc e se as
informações se enquadram nesse padrão.
 Por
exemplo, o software de validação da nota fiscal
eletrônica (nf-e) analisa os arquivos enviados e verifica
se o layout está de acordo com o definido e se as
informações do arquivo estão corretas, se não estiver a
impressão da DANFE não é autorizada.
Etapas da Auditoria

A mecânica de aplicação da técnica implica no
cumprimento de 6 etapas.

1ª Etapa: Relacionar por usuário todos os
relatórios/telas/documentos que pertençam ao
ponto de controle a ser analisado.
 Poderá
ser feita uma classificação desses relatórios
para efeito de estabelecimento de prioridades na
análise;
Etapas da Auditoria

2ª Etapa: Obtenção de modelo ou cópia de cada
relatório/documento/tela para compor a pasta de
papéis de trabalho;
Etapas da Auditoria

3ª Etapa: Elaborar um check-list/questionário
para a realização dos levantamentos acerca dos
relatórios/telas/documentos;
Etapas da Auditoria

4ª Etapa: Marcar antecipadamente a data e hora
com as pessoas que fornecerão opinião acerca dos
relatórios;
Etapas da Auditoria

5ª Etapa: Realizar as entrevistas e anotar as
observações e comentários dos usuários;
Etapas da Auditoria

6ª Etapa: Analisar as respostas, formar e emitir
opinião acerca da auditoria para a alta direção,
apontando
as
conformidades
de
nãoconformidades;
Etapas da Auditoria

Estas etapas são de suma importância para
avaliação do parâmetro de eficácia do sistema.

As conclusões do trabalho, frequentemente,
possibilitam redução de custos com a desativação
total ou parcial de relatórios/telas/documentos.

No tocante a telas, a aplicação da técnica poder
ser dificultada, no ambiente de microinformática,
pela facilidade que os usuários têm na criação e
descarte de telas.
Fraquezas Identificadas
 As
principais fraquezas identificadas
são:
Relatórios/telas/documentos
não
mais
utilizados;
Layout
Inadequado;
Distribuição
indevida de vias;
Confidencialidade
respeitada.
não estabelecida e não
Análise do Programa-Fonte
 Implica
em uma análise visual do códigofonte do programa de computador
componente do sistema sob auditoria.
Análise do Programa-Fonte
O objetivo da análise do programa-fonte é
assegurar-se que:
 Está
testando a versão correta do programa
que “rodou” ou irá “rodar”.
 Para
tal, ele compara o label do programafonte gravado na biblioteca-fonte com o
label do programa objeto gravado na
biblioteca-objeto (onde os programas estão
em linguagem de máquina, ou seja, módulo
de carga executável).
Análise do Programa-Fonte
O auditor pode ainda:

Para maior certeza de que verifica as instruções
que efetivamente compõem o programa em
linguagem de máquinas, executar os seguintes
procedimentos:

A) Preencher uma ordem de serviço determinando à produção que
compile o módulo-fonte que se encontra na biblioteca;

B) Executar um programa (software especifico) que compare o
código-objeto gerado em A, com o código-objeto do programa que
se encontra gravado na biblioteca-objeto da produção;

C) Efetuar verificações em eventuais divergências que ocorram em
B.
Análise do Programa-Fonte

É importante ressaltar que esta técnica exige
profundo conhecimentos de processamento
eletrônico de dados por parte do auditor de
sistemas. Entretanto, a análise visual do códigofonte do programa auditado permite ao auditor:
 Verificar
se o programador cumpriu normas de
padronização de código (labels) de rotinas, arquivos,
programas;
 Analisar
a qualidade da estruturação dos programas;
 Detectar
vícios de programação e o nível de
atendimento às caraterísticas da linguagem de
programação utilizada.
Conclusão
Diante do que foi mostrado anteriormente, com o
avanço tecnológico que vem crescendo cada vez
mais, novas ferramentas surgem e precisam ser
auditadas com o objetivo de assegurar a sua
conformidade com a empresa que as utiliza. As
ferramentas atualmente disponíveis requerem um
alto grau de conhecimento do auditor. Então há uma
necessidade de verificar/auditar também esses
novos
mecanismos
para
obter
o correto
funcionamento e se os procedimentos estão de
acordo com os padrões/normas estabelecidos.
Referências

www.ebah.com.br/content/ABAAAAgZcAD/seguranca-informacao-conceitos.
Acesso em 27 de Outurbo de 2013 às 16:26

nti.facape.br/socrates/Trabalhos/Auditoria_de_Sistemas.htm. Acesso em 26 de
Outubro de 2013 às 23:34

siunibanosasco.files.wordpress.com/2013/10/audit-01-apostila-auditoria-emsi.pdf. Acesso em 24 de Outubro de 2013 às 22:01

www.youblisher.com/p/269736-Auditoria-e-Seguranca-Informatica-Unidade-III/.
Acesso em 27 de Outubro de 2013 às 18:23

tecspace.com.br/paginas/aula/asi/aula06.pdf. Acesso em 27 de Outubro de 2013
às 13:34

www.cra-ma.org.br/ead/images/auditoria.pdf. Acesso em 25 de Outubro de 2013
às 23:12

www.avm.edu.br/docpdf/monografias_publicadas/K220517.pdf. Acesso em 27 de
Outubro de 2013 às 16:15

Gil, Antônio de Loureiro. Auditoria de Computadores, 2000, Atlas, 5a. Edição

Imoniana, Joshua Onome. Auditoria de Sistemas de Informação, 2005, Atlas, 1a.
Edição
Download
  1. No category

Análise de Relatórios-Telas-Programa Fonte

Gestão de Auditoria e Qualidade: um campo promissor para

Gestão de Auditoria e Qualidade: um campo promissor para

Controle Interno - Advogado Edwin Costa

Controle Interno - Advogado Edwin Costa

Aula 1 – Introdutória – 1ª. parte

Aula 1 – Introdutória – 1ª. parte

quest_mestrado_no_7jun2012_1339155387

quest_mestrado_no_7jun2012_1339155387

Apresentação Dr. Paulo Mauricio Fernandes de Oliveira

Apresentação Dr. Paulo Mauricio Fernandes de Oliveira

Guillermo Braunbeck

Guillermo Braunbeck

Marcio Fernandes – Coordenador de Auditoria UHY

Marcio Fernandes – Coordenador de Auditoria UHY

TÍTULO: CENTRALIZADO, NEGRITO E MAIÚSCULAS Subtítulo

TÍTULO: CENTRALIZADO, NEGRITO E MAIÚSCULAS Subtítulo

Auditoria dos Procedimentos de Registros

Auditoria dos Procedimentos de Registros

Escola Estadual de Educação Profissional em Estrela

Escola Estadual de Educação Profissional em Estrela