ACL Analytics é uma ferramenta de auditoria muito conhecida para os profissionais de Auditoria Contínua. Como criar um script padrão?

ACL Analytics: Como Criar Um Script Padrão

ACL Analytics é uma ferramenta de auditoria muito conhecida para os profissionais de Auditoria Contínua. Trata-se de um software para a auditoria de dados. O ACL permite a análise atualizada e eficiente das informações da estrutura de uma gestão e a automatização de processos.

Todo trainee de BIG4 faz algum tipo de treinamento sobre essa ferramenta ou outra semelhante para compilar grande quantidade de dados. Dependendo das atividades diárias, deixamos de utilizá-la, acabamos esquecendo e perdendo um poderoso aliado de análise.

Mas, o ACL é grande aliado na auditoria de base de dados de todos os processos: fiscal, contábil, TI. Ele é especialmente útil em dados estruturados como relatórios extraídos do SAP ou SQL Server.

Atualmente o ACL é fornecido pela Galvanize e faz parte de uma plataforma maior de Governança Corporativa chamada Highbond.

Principais Comandos do ACL Analytics

Abaixo listei os comandos essenciais para criar um script básico no ACL Analytics:

  • COMMENT;
  • SET;
  • IMPORT;
  • OPEN;
  • DEFINE;
  • EXTRACT;
  • SUMMARIZE;
  • EXPORT;

Comando COMMENT

O COMMENT cria comentários no script. São trechos que serão ignorados durante a execução. Utilize para explicar o que está sendo feito e com qual objetivo.

Eles permitem que outras pessoas estejam habilitadas a entender, executar e alterar os seus scripts.

 COMMENT
** Criado por: Daniel Oyama
** Data: 04/12/2019
** Script: Script Padrão
** Objetivo: Testar o controle XYZ
**

Comando SET

O comando SET define parâmetros globais da ferramenta como: formato numérico, padrão de datas, ligar e desligar a geração de logs.

É interessante começar todo script com os seguintes comandos:

SET SAFETY OFF
SET FOLDER /RESULTADOS

O primeiro comando desliga a “segurança” do ACL. Durante a execução ele não irá confirmar se o as arquivos podem ser excluídos, ou sobrescritos. Isso evita que o script pare no meio e fique aguardando alguém responder a pergunta “Este arquivo já existe. Deseja realmente sobrescrever o arquivo?”

O segundo comando, SET FOLDER, cria uma pasta chamada RESULTADOS, e guarda as tabelas geradas dentro desta pasta. Isto é util para organizar o projeto, principalmente quando você tem muitos scripts e muitas tabelas que não podem ser apagadas.

Comando IMPORT

O Comando IMPORT traz as informações externas para dentro do ACL. Ele faz uma cópia dos dados originais para a pasta do projeto ACL. A tabela importada é salva com a extensão “.fil”.

 IMPORT ... NomeDaTabela 

Considerando o arquivo de exemplo TabelaProdutos.csv, com as seguintes linhas:

codigo;produto;categoria;preço
1;"Produto A";"Categoria 1";10,00
2;"Produto B";"Categoria 1";10,00
3;"Produto C";"Categoria 1";10,00
4;"Produto D";"Categoria 2";15,00
5;"Produto E";"Categoria 2";15,00
6;"Produto F";"Categoria 3";18,00
7;"Produto G";"Categoria 3";18,00
8;"Produto H";"Categoria 4";20,00

Após a importação no ACL, o comando ficaria assim:

IMPORT DELIMITED TO TabelaProdutos "TabelaProdutos.fil" FROM "C:\ACL_EXEMPLO\TabelaProdutos.csv" 0 SEPARATOR ";" QUALIFIER '"' CONSECUTIVE STARTLINE 1 KEEPTITLE FIELD "codigo" N AT 1 DEC 0 WID 1 PIC "" AS "" FIELD "produto" C AT 2 DEC 0 WID 9 PIC "" AS "" FIELD "categoria" C AT 11 DEC 0 WID 11 PIC "" AS "" FIELD "preço" N AT 22 DEC 2 WID 5 PIC "" AS "" 

Comando OPEN

O comando OPEN é o início de tudo. Só é possível executar um comando, se antes você abrir uma tabela pré existente (já importada).

 OPEN NomeDaTabela 

Comando DEFINE

O comando DEFINE é utilizado para definir parâmetros no layout da tabela. É possível criar um campo calculado – uma nova coluna baseada nos dados originais. O campo calculado utiliza fórmulas semelhantes ao Excel para tratar o dado original, e transformá-lo, facilitando a análise do auditor.

DEFINE FIELD CC_Campo_Calculado_1 COMPUTED

ALLTRIM(NomeDaColuna)

Comando EXTRACT

O EXTRACT serve para criar uma nova tabela. Depois de filtrar algo, você pode separar esse grupo menor em uma nova tabela, para análise posterior.

OPEN NomeDaTabela

EXTRACT RECORD TO TabelaFiltrada IF CC_Campo_Calculado_1 <> "" OPEN

OPEN TabelaFiltrada

Comando SUMMARIZE

O SUMMARIZE é usado para agrupar linhas por categorias. Tem um efeito semelhante ao GROUP BY se você está familiarizado com a linguagem SQL.

OPEN TabelaFiltrada

SUMMARIZE ON CC_Campo_Calculado_1 TO TabelaSumarizada OPEN PRESORT

Comando EXPORT

O comando EXPORT leva os dados para fora do ACL. Use por exemplo para gerar uma planilha Excel com os resultados do teste.

EXPORT FIELDS ALL XLSX TO PlanilhaResultado WORKSHEET Planilha

Criando um Script Padrão do ACL Analytics

Sugestão de script padrão:

COMMENT
** Criado por: Daniel Oyama
** Data: 04/12/2019
** Script: Script Padrão
** Objetivo: Testar o controle XYZ
**

SET SAFETY OFF
SET FOLDER /RESULTADOS

IMPORT ... NomeDaTabela

OPEN NomeDaTabela

DEFINE FIELD CC_Campo_Calculado_1 COMPUTED ALLTRIM(NomeDaColuna)

EXTRACT RECORD TO TabelaFiltrada IF CC_Campo_Calculado_1 <> "" OPEN

OPEN TabelaFiltrada
SUMMARIZE ON CC_Campo_Calculado_1 TO TabelaSumarizada OPEN PRESORT

OPEN TabelaSumarizada
EXPORT FIELDS ALL XLSX TO PlanilhaResultado WORKSHEET Planilha

Altere os trechos em negrito conforme a sua necessidade.

Dicas

É importante seguir uma padronização ao criar scripts, como em qualquer linguagem de programação:

  • Procure usar identação para facilitar a leitura;
  • Use letras maiúsculas e minúsculas como forma de organização do código: OPEN (upper case), open (lower case), TabelaProdutos (camel case);
  • Crie comentários para relembrar o objetivo de cada trecho;
  • Separe os scripts por assunto, ou por etapa;
  • Use variáveis para coisas que se repetem e podem ser alteradas no futuro;

Scripts ACL agendados no windows podem ser utilizados para a auditoria contínua de riscos e controles. Basta que o script seja estruturado em sequência lógica e padronizada.

Auditoria de TI: avaliando riscos e controles, ITGC e segurança da informação na Auditoria Interna

Auditoria de TI na prática: primeiros passos

Auditoria de TI é uma das linhas de defesa voltada para a avaliação de riscos e controles (ITGC) que envolvem tecnologia da Informação (GTAG-1), segurança da Informação e uso de dados pessoais na Auditoria Interna.

Auditar o ITGC (Information Technology General Controls) é um dos primeiros aprendizados do auditor com formação em TI.

ITGC

ITGC é sigla em inglês para o conjunto de Controles Gerais de Tecnologia da Informação. O ITGC é dividido em 4 grupos:

Access to Program and Data

Acesso a Programas e Dados geralmente considera os seguintes itens:

  • Políticas e procedimentos;
  • Revisões periódicas de acessos;
  • Parâmetros de senha;
  • Contas de acessos privilegiados (root, superuser);
  • Acesso físico;
  • Segregação de funções de acesso;
  • Criptografia;
  • Autenticação de sistemas;
  • Logs de auditoria;
  • Segurança de rede.

Program Changes and Development

Programa de Mudanças ou gestão de mudanças e desenvolvimento envolve os seguintes temas:

  • Políticas e Procedimentos;
  • Metodologia de desenvolvimento de sistemas;
  • Migração entre ambientes e segregação de funções (desenvolvimento, homologação e produção);
  • Configuração de mudanças;
  • Mudanças emergenciais;
  • Migração de dados e controle de versões;
  • Pós implementação: testes e revisão.

Computer Operations

Operação de Computadores abrange atividades cotidianas como:

  • Processamento Batch;
  • Monitoramento de jobs;
  • Procedimentos de cópia de segurança (backup) e recuperação (recovery) de dados;
  • Mudanças no agendamento de jobs batch;
  • Controles de ambiente (temperatura, fumaça, inundação);
  • Plano de Recuperação de Desastres (DRP);
  • Plano de Continuidade de Negócio (BCP);
  • Gerenciamento de atualizações.

GTAG

Como complemento ao ITGC, o GTAG (Global Technology Audit Guide) é um guia de boas práticas para auditar TI. Este guia foi desenvolvido pelo Instituto de Auditores Internos (IIA).

  • GTAG 1: Information Technology Controls
  • GTAG 2: Change and Patch Management Controls: Critical for Organizational Success
  • GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
  • GTAG 4: Management of IT Auditing
  • GTAG 5: Managing and Auditing Privacy Risks
  • GTAG 6: Managing and Auditing IT Vulnerabilities
  • GTAG 7: Information Technology Outsourcing
  • GTAG 8: Auditing Application Controls
  • GTAG 9: Identity and Access Management
  • GTAG 10: Business Continuity Management
  • GTAG 11: Developing the IT Audit Plan
  • GTAG 12: Auditing IT Projects
  • GTAG 13: Fraud Prevention and Detection in the Automated World
  • GTAG 14: Auditing User-developed Applications
  • GTAG 15: Formerly Information Security Governance–Removed and combined with GTAG 17
  • GTAG 16: Data Analysis Technologies
  • GTAG 17: Auditing IT Governance

Gestão de Acessos Lógicos

A gestão de acessos lógicos é a célula responsável por conceder, bloquear e revogar acessos lógicos. Estes acessos podem ser à sistemas (AD, aplicações, bancos de dados), infraestrutura (pastas de rede, firewall, VPN) ou hardware (usb, impressoras, servidores, data centers).

Auditar este processo (GTAG-9) envolve verificar:

  • Há exigência de senhas fortes (tamanho mínimo, caracteres especiais, letras e números, caracteres especiais)?
  • Na troca, as senhas anteriores podem ser reutilizadas?
  • Há expiração por tempo de uso?
  • Há bloqueio por tentativas incorretas e consecutivas?
  • As senhas são armazenadas com criptografia?
  • Há senhas compartilhadas?
  • Há usuários genéricos, sem responsável ou sem senha definida?
  • Os acessos são revisados periodicamente?
  • Movimentações e desligamentos são comunicados para revogação ou adequação de acessos?

Existem companhias que centralizam a Gestão de Acessos em um departamento de Segurança da Informação.

Segurança da Informação

ISO27000 é talvez um dos principais guias na condução de trabalhos que avaliem riscos de segurança da informação.

Geralmente são avaliados os seguintes temas: gestão de acessos de software e rede, atualizações de segurança, atualização de antivírus, regras de firewall, acesso remoto (VPN – Virtual Private Network), gestão de incidentes de segurança, prevenção de vazamento de informações (DLP – Data Loss Prevention), uso de dispositivos móveis, mídias removíveis, proteção contra hackers e ciber ataques. (GTAG-15).

A segurança dos dados pessoais é especialmente importante com a implantação da nova lei de proteção de dados pessoais – LGPD. Os dados de uma empresa podem conter inúmeras informações pessoais. A proteção destes dados exige criptografia, armazenamento seguro, anonimizar dados pessoais completos e novos cuidados na coleta de dados web.

Desenvolvimento de Software

Avaliar o SDLC (Software Development Life Cycle) envolve o controle de versões, armazenamento seguro de código fonte, uso seguro de bibliotecas e API’s. (GTAG-8)

Operação

Avaliar os riscos e controles que garantem o funcionamento do negócio. Como garantir que os dados estejam disponíveis, acessíveis e íntegros?

Quando algo deixa de funcionar, como são os processos de Suporte, solução de Incidentes e Problemas?

Propriedade e Uso de Software

Existem controles de Licenciamento de software? Há uso de software livre (open source) e shadown IT (GTAG-14)?

Projetos e Terceirização

Há gestão de projetos que permita o acompanhamento do uso de recursos, qualidade das entregas, cumprimento de cronograma? (GTAG-12)

Há projetos terceirizados? Existe risco trabalhista? Conflito de interesses? (GTAG-7)

Os terceiros têm acesso a dados desnecessários, sensíveis, sigilosos ou estratégicos? (GTAG-5)

Continuidade

O programa de Continuidade ou BCM (Business Continuity Management) contém uma série de documentos e atividades para garantir a retomada de sistemas críticos. (GTAG-10)

DRP (Disaster Recovery Plan) é o plano de recuperação de desastres.

No caso de um evento negativo que interrompa as atividades da Companhia, o DRP indica as ações que devem ser tomadas para a retomada dos serviços e quem são os responsáveis por cada uma delas.

Governança

Cada vez mais comum nos departamentos de TI, a área de governança de TI participa e auxilia na primeira linha de defesa de riscos e controles.

Algumas das atividades podem ser: gestão de SLA (Service Level Agreement), acompanhamento de indicadores, orçamento, gestão de fornecedores, mudanças, incidentes, problemas e etc (GTAG-2).

Curso de auditoria de TI

Em geral, não há muitas opções de curso de auditoria de tecnologia da informação. Há pós-graduações, matérias em alguns cursos de graduação, certificações profissionais, mas poucos cursos de base profissionalizante.

Como começar na auditoria de TI?

Normalmente, o profissional inicia a sua carreira em um processo de trainee em uma Big 4. Estão neste grupo as 4 maiores empresas de Consultoria ou Auditoria Externa. São elas: Deloitte, E&Y, KPMG e PwC.

Auditoria Contínua de TI

Quando o teste de riscos e controles é realizado de forma automatizada e periódica chamamos a atividade de Auditoria Contínua (GTAG-3). O ACL Analytics é uma das principais ferramentas de Auditoria Interna. Leia mais aqui.

Referências sobre Auditoria de TI

COBIT, Isaca

ITIL, Axelos

ISO/IEC, ABNT

GTAG, IIA