A auditoria de um sistema eletrônico consiste em um
exame sistemático e detalhado do funcionamento deste sistema afim
de apurar irregularidades ou sugerir melhorias. Dentre as diversas
técnicas de auditoria que existem para esse fim, destacam-se:
Comparação;
Testes de
consistência e razoabilidade;
Test-Deck;
ITF (integrated Test Facility);
Mapping/Tracing;
Simulação
paralela;
Análise de Log-Accounting;
Rastreamento
de programas;
Análise de
código fonte;
SCARF
BCSE
A comparação
é uma das técnicas mais simples que, conforme o próprio nome já sugere, procura
comparar dados do sistema com dados levantados pelo auditor. Um exemplo disso, seria a verificação da existência ou não, no almoxarifado,
de produtos cadastrados ou baixados no controle de estoque, existência de
credores de pagamentos lançados no controle de contas a pagar, etc.
Testes de
consistência e razoabilidade
consistem na verificação da integridade do sistema quando ao cadastramento de dados,
no sentido de que este não permita o registro indevido de informações. Exemplo:
cadastramento de datas inválidas, CPF inválido, CNPJ inválido, etc.
Ao utilizar a técnica Test-Deck, o auditor prepara uma massa de dados e alimenta o sistema com
esses dados, verificando se o resultado fornecido pelo sistema é o esperado.
Como exemplo disso, poderiam ser efetuados lançamentos
contábeis para verificar se o cálculo do saldo feito pelo sistema confere com o
cálculo feito pelo auditor.
A técnica ITF(integrated Test Facility), refere-se a integração de dados fictícios ao
processamento normal do sistema, promovendo a interação desses dados com dados
já armazenados, como exemplo teria-se a criação de
transações para um entidade inventada pelo auditor.
Uma auditoria realizada com Mapping/Tracing, nada mais é do que a utilização
de programas especializados em fazer o mapeamento do processamento de dados
realizado pelo sistema da empresa. Nesse processo o objetivo é saber a
seqüência das instruções executadas, rotinas ou programas que não foram
executados, identificação de rotinas que consomem mais tempo da CPU, etc.
Simulação
paralela é uma técnica de auditoria
onde se utiliza um sistema que realize o mesmo processamento do sistema usado
pela empresa auditada, alimentando-o com os dados da
empresa e comparando-se os relatórios de resultados.
Com o objetivo de se detectar fraudes ou operações
indevidas praticadas por usuários de um sistema, pode-se utilizar a técnica análise de Log-Accounting,
um arquivo que contém o histórico das ações de cada usuário no sistema, com
registro detalhado de cada operação, dia e hora em que foram praticadas.
Um rastreamento
de programas, pode
ser útil na identificação de rotinas ou módulos fraudulentos implantados junto
ao sistema com fins espúrios. Nos atuais sistemas que operam de forma on line, essa técnica pode ser
empregada na detecção de programas espiões utilizados para roubo de
informações.
A análise de
código fonte visa identificar fraudes cometidas por programadores, onde investiga-se alterações, no código fonte de um programa, que
poderiam levar a um processamento de dados vicioso com fins ilícitos. Com o
crescimento de sistemas open-source (código fonte
aberto), está técnica vem sendo cada vez mais empregada.
SCARF é uma técnica onde se faz mapeamento estatístico para
identificação de irregularidades, muito utilizada por instituições financeiras
como bancos. Consiste na análise do registro de ações dos usuários de um
sistema com o objetivo de identificar se este está efetuando transações que
fogem as suas práticas cotidianas. Exemplo: saque em uma conta com valor muito
acima ao da média, saques realizados em regiões longínquas num curto intervalo
de tempo, etc.
A técnica BCSE
é semelhante ao Test-Deck, diferenciando-se pelo fator de ser
aplicada na fase de desenvolvimento de um sistema, objetivando melhoria da
qualidade e não apuração de fraudes.
Um boa auditoria não depende apenas das técnicas, mas da
capacidade do auditor ou da equipe de auditores em aplica-las. Este
texto trata apenas alguns aspectos da auditoria de sistemas eletrônicos, um
estudo mais detalhado é recomendável.