Este documento fornece uma introdução às técnicas de auditoria assistidas por computador (CAATs). Discute os tipos de CAATs, incluindo software de auditoria generalizado e personalizado. Também apresenta exemplos de ferramentas CAATs como ACL e IDEA e discute os benefícios das CAATs na análise de dados e auditoria.
1. IAI
Introdução a Auditoria
Informática
CAATS – Auditoria/Análise de dados
Noémia Bacar
noemiabacar@hotmail.com
13/11/12 1
2. Nesta aula…
Ferramentas CAATs
Análise de dados
Tipos de CAATS
TIPOS de Software de Auditoria
13/11/12 2
3. Introdução
Dados
são palavras, números ou imagens
resultantes duma experiência ou observação
de outras informações dentro de um sistema
(computadorizado ou não).
Análise de dados
É o processo de descrever e interpretar
dados referentes a uma pesquisa com a
intenção de extrair informações úteis e
desenvolver conclusões.
13/11/12 3
4. Introdução (cont.)
Auditoria/ Análise de dados
Objecto: dados contidos em meios de
armazenamento electrónico.
Objectivo: verificar se os dados são
íntegros, confiáveis e em conformidade
com as regras que regem o negócio.
13/11/12 4
5. Que tipos de problemas podemos
encontrar com os dados?
Formato (SAP, XML, ODBC, Excel,
Notepad/ASCII, AS400, Lotus, dBase);
Podem não estar completos;
Podem não ser válidos e correctos;
Dimensão;
Falta de capacidade técnica para a
extracção dos dados; e
Interpretação dos resultados.
13/11/12 5
7. O que são ferramentas CAAT
Resumem-se na prática de usar
computadores para automatizar ou
simplificar o processo de auditoria.
CAAT - Computer Assisted Audit
Techniques - Técnicas de Auditoria
Auxiliadas por Computador (TAAC).
Ferramentas automatizadas de suporte ao
trabalho de auditoria de dados.
13/11/12 7
8. CAATS
Esta representa uma das áreas emergentes
na profissão de auditoria.
CAATs tornou-se sinónimo de incorporaração
de dados analíticos no processo de auditoria.
Permitem manipulação dos dados de forma
que se podem simular as regras de negócio
sobre eles (dados), verificando a
conformidade dos sistemas ou a ocorrência
de fraude.
13/11/12 8
10. Tipos de CAATs (cont.)
Software de Auditoria Generalizado (GAS) –
Apresenta variadas formas. Este tipo de software de
auditoria pode ser usado para testes de controlo ou como
procedimento substantivo.
Software de Auditoria Personalizado (CAS) –
geralmente desenhado pelos auditores para tarefas
específicas de auditoria. O CAS é necessário quando o
sistema informático da organização não é compatível com
o GAS usado pelo auditor ou quando o auditor pretende
efectuar alguns testes que podem não ser realizados com
o GAS.
Dados de Teste – o auditor utiliza esta ferramenta para
testar os controlos da aplicação nos programas
informáticos do cliente. O auditor inclui Dados de Teste
simulados (válidos ou inválidos), usados para testar a
precisão das operações do sistema informático. Esta
técnica pode ser utilizada para verificar os controlos de
validação de dados e as rotinas de detecção de erros,
13/11/12
processar controlos lógicos e cálculos aritméticos, etc. 10
11. Tipos de CAATs (cont.)
Simulação Paralela – o auditor deve construir uma simulação
computarizada que imite os programas de produção do cliente.
Facilidade de Teste Integrado – o auditor introduz os dados de
teste, com os dados reais numa execução normal da aplicação.
Análise do código do programa É a análise do código do
programa do cliente que permite assegurar que as instruções
dadas ao computador são as mesmas que o auditor identificou
antes de rever a documentação dos sistemas.
Software especializado de auditoria É o software de auditoria
desenhado para realizar tarefas específicas em circunstâncias
específicas, tais como, comparação do código fonte e objecto;
análise do código não-executado e a geração de Dados de Teste.
É usado para recolher evidência quanto à eficiência do desenho do
software do cliente.
13/11/12 11
12. Exemplos:
BÁSICOS INTERMEDIOS COMPLEXOS
• Processadores de texto • ACL (Audit Control • ORACLE
Language)
(MS Word) • SQL Server
• IDEA (Interactive Data
• Apresentações (MS • Informix
Extraction and Analysis)
Power Point, FlashMX) • MySQL
• Products Methodware:
• Planilhas de cálculo (MS • MS Access
o Ranking Advisor
Excel) • TOAD
• Programas estatísticos o ProAudit Advisor
(SPSS) o COBIT Advisor
• Software de produção o Audit Builder
pessoal
13/11/12 12
13. Tipos de Software de Auditoria
1. PLANIFICAÇÃO DE AUDITORIA
1.1. Planning Advisor
2. Execução – SUPERVISÃO
2.1. CobiT Advisor
2.2. Pro Audit Advisor
3. ANÁLISE DE RISCO
3.1. RISK2K – Pilar - Chinchón
3.2. Enterprise Risk Assessor (ERA Lite)
3.3. Risk Assesment Program - RAP
3.4. Audicontrol
13/11/12 13
14. Tipos de Software de Auditoria
4. ANÁLISE E AVALIAÇÃO DE BASE DE DADOS
4.1 ACL: (Audit Command/Control Language)
4.2 IDEA: (Interactive Data Extraction and Analisis)
5. FERRAMENTAS INTEGRADAS
5.1. Gestor F1 Audisis
5.2. Auditor 2000
5.2. Audit System 2
5.3. TeamMate
6. PROGRAMAS PARA PROPÓSITOS ESPECÍFICOS
6.1. Sistema de Auditoria e Segurança – SAS
6.2. Statistical Techniques of Analytical Review
6.3. DATAS - Digital Analysis Tests And Statistics
13/11/12 14
16. Revisão
O que entende por CAATs?
Enuncie dois tipos de CAATs e
explique
Exemplos de ferramentas CAATs...
13/11/12 16
17. Selecção da Ferramenta - Os Factores de
Escolha
Nr Critério de selecção Descrição
1 Objectivo da Auditoria O que é que se pretende atingir? Que aspecto da
auditoria é que necessita ser assegurado no sistema
ex.: segregação de funções;
2 Dimensão dos dados Qual a quantidade de dados que se está a procura?
Será que a aplicação poderá acomodar a quantidade
de dados necessária para a análise?
3 Complexidade dos dados Qual é a complexidade dos procedimentos de
auditoria necessários para a analise de dados? Será
que a aplicação escolhida é capaz de cobrir a
complexidade das operações?
13/11/12 17
18. Selecção da Ferramenta - Os Factores de
Escolha
Nr Critério de selecção Descrição
4 Resultados (Duração e Será que a aplicação é fácil de se usar e permite uma
Data limite) utilização adequada e suficiente para obter os
resultados esperados?
5 Habilidades técnicas Existe treinamento específico para a aplicação?
Temos pessoal suficiente com as habilidades
técnicas necessárias para o uso da aplicação?
6 Disponibilidade de Onde é que a aplicação pode ser encontrada? É fácil
ferramentas adequadas de se encontrar? Existe suporte disponível para a
aplicação?
13/11/12 18
19. Selecção da Ferramenta - Os Factores de
Escolha
Nr Critério de selecção Descrição
7 Eficiência e efectividade Existe a necessidade de uso do CAATs?
do uso de CAATs Vs.
técnicas manuais
8 Integridade dos Sistemas Qual é a importância da informação?
de Informação
9 Nível do risco de auditoria Qual é o nível de risco que está a ser coberto?
13/11/12 19
20. Auditoria Tradicional vs CAATs
Auditoria Tradicional CAATs
Tradicionalmente, os auditores têm sido Estas dificuldades encontradas com a
criticados pelo facto de tirarem conclusões auditoria tradicional são já abordadas pelas
baseadas em amostras limitadas. É comum CAATs.
um auditor servir-se de 30-50 transações CAATs podem analisar grandes volumes de
como amostra e declarar um problema ou dados em busca de anomalias. Uma
concluir que “ o sistema de controlo parece auditoria bem concebida e que use CAATs
ser eficaz“ . A gestão tem conhecimento do não é considerada uma amostra, mas sim
volume de transacções efectuadas durante uma revisão completa de todas as
o período a auditar e sabe de antemão que transações. Usando CAATs o auditor poderá
o auditor apenas utilizará uma parte extrair todas as transações da unidade de
reduzida como amostra. O auditor irá negócio realizadas durante o período
declarar que seleccionou a amostra com examinado e realizará os devidos testes a
base em normas de auditoria geralmente fim de identificar possíveis anomalias.
aceites, e que a mesma é estatisticamente
válida. Então o auditor vê-se na necessidade
de defender a sua metodologia.
13/11/12 20
21. Auditoria Tradicional vs CAATs
O que fica melhor num relatório de auditoria?
“A auditoria analisou 50 transacções tendo
detectado uma transacção processada de
forma incorrecta”.
Ou
“A auditoria utilizou CAATs e testou todas as
transacções realizadas ao longo do último ano.
Verificamos XXX excepções em que a empresa
pagou YYY dólares em políticas de cessação de
contratos”.
13/11/12 21
22. Quando Usar CAATs?
Dependendo do volume e complexidade dos dados, o auditor poderá usar as
CAATs que melhor se ajustem às necessidades da auditoria.
13/11/12 22
23. Os Software especializados de Auditoria
pode facilmente executar:
Consultas de dados;
Estratificação de dados;
Extracção de amostras;
Identificação de sequência
omitida ;
Análise estatística;
Cálculos;
Identificação de
duplicações;
Tabelas pivot; e
Tabelas de entrada
múltipla.
13/11/12 23
24. Vantagens de software
especializado de auditoria
Processamento de rotinas;
Manipulação Extensiva de Fórmula;
Importação e exportação de Dados ;
Importação de grandes volumes de dados;
Codificação avançada de Dados;
Operações de bases de dados apoiadas em SQL;
Geração de dados estatísticos;
Análise Funcional;
Critérios avançados de busca;
Gestão de arquivos; e
Ligação a bases de dados.
13/11/12 24
25. Desvantagens no uso das
CAATs
Como em todos os sistemas as CAATs apresentam algumas
desvantagens, como por exemplo:
Perca de informação no processo da extração;
Alocação de tempo adicional na organização dos dados;e
Limitação da informação.
13/11/12 25
26. Análise de Dados e CAATs - Resumo
CAATs são aplicações de procedimentos de auditoria que
usam as tecnologia de Informação como uma ferramenta.
CAATs são usadas para testar os controlos das aplicações,
bem como para executar testes substantivos em itens de
amostras.
CAATs podem aperfeiçoar o processo de auditoria,
permitindo a execução de revisões rápidas e extensas.
CAATs são ferramentas que auxiliam aos auditores a
seleccionar, recolher, analisar e elaborar relatórios sobre os
dados.
13/11/12 26
Effectiveness : general goal, how good is the system at doing what it is supposed to do. Can users access information they need, buy products they want? Efficiency: How well does the system support users in carrying out their tasks? Once they learn how to use the system, can they retain a high level of productivity. A good example is e-tailing, users being able to save personal information for future purchases. Safety: Protect the user from dangerous (external) conditions and undesirable situations (i.e. making accidental choices leading to unwanted actions). External conditions – i.e. when designing an X-ray machine, advisable to have remote controls for x-ray. Undesirable situations – e.g. accidentally selecting Delete instead of Save from a file menu. The prospect of initiating an undesirable situation often affects users behaviour (tends to reduce their productivity as they take more time to complete a task). Suggestion to address this issue is to include Warning messages (i.e. do you want to save your work before closing the application?), providing an “undo” facility or providing alternative methods of recovery work. The question posed is “does the system prevent users from making serious errors and, if they do make an error, does it permit them to recover easily?” Utility: What extent does the system provide functionality to users so that they can complete what it is that they need to do? For example, an internet banking site that allows users to schedule future transfers/payments would be considered as having higher utility then a banking site that only allows one-off immediate transfers/payments. Learnability: How easy is a system to learn? Generally people don’t like taking long to learn how to use a system (with the exception of a system providing more variety or complex functions). Need to consider how easy is it and how long will it take to: Get started and complete core tasks; Learn a wider range of operations. Memorability: How easy is it to remember how to use the system once learnt (particularly when used infrequently) Compare programming a VCR to tape a show to sending a text (SMS) message on your mobile phone. Users shouldn’t have to keep relearning how to complete tasks. This often occurs when the steps are obscure, illogical or poorly sequenced. Recommend that the user be helped to remember via meaningful icons, command names, menu options, etc.