Segurança informática em auditoria

4.2. A Segurança nos controlos aplicacionais

A avaliação dos controlos aplicacionais é uma tarefa difícil que obriga a análise do software e dos dados. A experiência diz-nos que a maior parte das aplicações dispõe apenas de versões executáveis nas empresas que as usam. Os fornecedores de software guardam as linhas de código para si (sources) porque são a sua garantia de não haver cópia.

O facto de não dispormos do código fonte e sendo tão extenso quando existe, inviabiliza a análise do software. Resta a hipótese de reprocessar os dados para avaliar a qualidade do software e analisar os dados através de software especializado como WinIdea ou ACL.

De facto, porque a auditoria intervém em regra depois do processamento, nunca temos certezas quando avaliamos controlos aplicacionais. Os dados de input podem ser alterados, o software que processou pode ter usado várias versões, os dados de output podem ter sido modificados. Os dados podem ter sido martelados. Pode não existir segregação de funções entre a operação dos sistemas centrais e o desenvolvimento de software.

a. Software aplicacional

Certo é que nunca poderemos certificar documentos produzidos a partir de um sistema de informação sem avaliar os controlos gerais e aplicacionais.

A melhor abordagem aos controlos aplicacionais faz-se após a avaliação do Controlos Gerais das Tecnologias de Informação, dirigindo-nos aos dados que consideramos críticos ou sensíveis para a segurança, através do percurso seguinte:

• Autorização de Input



• Verificação de Dados depois de inseridos e antes do processamento



• Controlo de erros de Input



• Controlo de processamento em lotes (Batch) ou on-line



• Controlo de Ficheiros



• Controlo sobre output electrónico ou de papel

A existência de sistemas empresariais (ERP – Enterprise Resouce Planning) do tipo SAP traz alguma tranquilidade porque têm componentes de auditoria que podem ser postos em acção.

b. DADOS, Classificação e Controlo

Com a modificação dos suportes preferenciais, do papel para os electrónicos, verificou-se uma grande transformação. Até aqui, praticamente só um incêndio ou uma inundação podiam destruir os dados da empresa. A partir deste ponto tudo se complicou porque além destes acidentes juntaram-se outros riscos que foi necessário considerar. Acessos indevidos, vírus, avaria nos discos, facilidade de cópia, rapidez de processamento para outras utilizações, etc.

Um bom software de Data Mining pode facilitar a segmentação de clientes e reduzir custos de marketing e publicidade por evitar desperdícios com campanhas desajustadas aos interesses dos clientes.

Os gestores das empresas tomaram consciência da importância que os dados têm e passaram a classificá-los e a protegê-los. Por isso o controlo de acesso aos dados se tornou tão importante nos nossos dias.