Tehnici de audit asistate de calculator pentru analiza programelor

Tehnicile de audit asistate de calculator pentru analiza programelor pot fi grupate în următoarele categorii:

Examinarea fluxului de date
  • Snapshot (Instantaneu)
  • Tracing (Urmărirea)
  • Mapping (Cartografierea)
Verificarea integrităţii datelor şi a fişierelor
  • Simularea paralelă
  • Generatoare de teste şi Teste integrate
  • Module
Module de Audit Încorporate
  • System Control Audit Review File (SCARF)
  • Sample Audit Review File (SARF)
Alte instrumente
  • Source Code Review
  • Program Library Analysis
  • Code Comparison
  • User Log Analysis

Examinarea fluxului de date

Snapshot (instantaneu) – este un program utilitar care permite auditorului să îngheţe un program într-un anumit punct. Astfel, este posibil să verifice valorile unei tranzacţii şi procesarea ei pe durata rulării programului. Instantaneul este o metodă rapidă şi relativ uşor de folosit deşi are o utilizare limitată şi particulară. Un exemplu de instantaneu ar fi un şir de coduri într-un program care este oprit, ceea ce are drept rezultat valoarea unei anume variabile. Un alt exemplu este  aplicaţia pentru devirusare, comună multor instrumente, care permite programului să fie executat de o manieră  sistematică; valorile diferitelor componente ale datelor pot fi verificate pas cu pas.

Tracing (urmărirea) – aceasta presupune generarea unei piste de audit complete pentru a urmări tranzacţiile pe parcursul procesării lor. Utilizând urmărirea unei date de testare , este posibil să se observe efectul fiecărui şir de coduri asupra datei care este procesată sau chiar asupra programului. Dacă un program nu efectuează corect totalul, datele de testare poate indica locul unde apare eroarea. Avantajul principal al urmăririi este dat de faptul ca auditorul poate vedea etapele programului  care de obicei se succed foarte repede. Dezavantajele urmăririi, sunt faptul că auditorul necesită cunoştinţe de programare şi că funcţiile de urmărire variază de la un pachet la altul.

Mapping (cartografierea) – presupune monitorizarea execuţiei programului pentru a confirma informaţia statistică, de exemplu codul programului neexecutat, numărul de cazuri în care anumite şiruri au fost executate, etc. Auditorul poate utiliza cartografierea pentru a evidenţia codurile redundante sau codurile folosite în scopuri frauduloase.

Verificarea datelor şi a integrităţii fişierelor

Simularea paralelă – Este un instrument util care permite auditorului să ruleze din nou aplicaţia testată. Simularea paralelă presupune crearea unui şir de coduri independent care simulează funcţiile ariei testate. Rezultatele pot fi comparate cu cele produse de aplicaţie. Aceasta reprezintă o modalitate utilă de a dovedi precizia calculelor şi de a procesa procedurile din cadrul unui sistem fără a afecta sistemul. Auditorul necesită o bună cunoaştere a sistemului şi experienţă în programare.

Generatoarele de Date de Testare şi Modulele de Teste Integrate – acestea permit auditorului să producă date după anumite specificaţii. Este un mod indicat de a dovedi că aplicaţia testată procesează datele corect. Auditorul necesită o bună cunoaştere a aplicaţiei şi trebuie să fie sigur că datele produse nu vor afecta informaţia ‚‚pe viu ’’ din sistem. Modulele de testare integrate sunt produse chiar de aplicaţie, în vreme ce generatoarele de teste produc date în afara soft-ului aplicaţiei. Posibil ca rezultatele unor astfel de teste să trebuiască să fie eliminate din calculul final, deoarece ele pot afecta total. De asemenea, uneori este dificil să se anticipeze toate combinaţiile de date de testare necesare pentru a testa mijloacele de control ale aplicaţiei.

Module de audit încorporate

Acestea sunt utile atunci când auditorul nu are nevoie de toate datele produse de aplicaţia clientului. Modulul încorporat este utilizat la extragerea informaţiei care răspunde anumitor criterii, informaţie care este testată în detaliu de auditor. Modulele de Audit Încorporate pot fi de asemenea utilizate la îndeplinirea unor funcţii în timpul rulării unei aplicaţii, cum ar fi ştergerea informaţiei de testare folosită de auditor pentru a verifica validitatea sistemului.

Există trei avantaje ale Modulelor de Audit Încorporate:

  • auditorul poate obţine pentru verificare un fişier care conţine numai informaţia pertinentă pentru audit;
  • înregistrările testelor pot fi şterse din aplicaţie pentru a nu afecta rezultatele/totalul calculelor;
  • datele care sunt volatile (se modifică pe măsură ce rulează programul sau sunt afectate/schimbate în stadiile ulterioare ale programului) pot fi extrase la un punct prestabilit în formatul necesar auditorului.

Dezavantajele se manifestă sub trei aspecte:

  • Auditorul necesită o cunoaştere în profunzime a sistemului şi cunoştinţe de programare dacă intenţionează să proiecteze modulul;
  • dacă modulul este proiectat de structura auditată spre uzul auditorului, specificaţiile trebuie să fie precise şi uşor de urmat, deoarece adesea departamentul unui client trebuie să opereze modificări în program, astfel provocând întârzieri în obţinerea informaţiei necesare auditului;
  • auditorul trebuie să dobândească asigurarea privind caracterul complet al fişierului  din care sunt extrase datele pentru audit sau informaţiile pentru eşantionare. Un Modul de Audit Încorporat care este proiectat pentru uzul auditorului permite într-o oarecare măsură departamentelor clientului să efectueze investigaţii care de obicei cad în sarcina auditorului.

System Control Audit Review File (SCARF) (sau Fişierul de Audit al Sistemului de Control, FASC) şi  Sample Audit Review File (SARF) (sau Fişierul de Audit de Eşantionare, FAE) sunt două implementări specifice ale Modulelor de Audit Încorporat:

  • Metoda  SCARF presupune încorporarea  unor teste în cadrul programelor aplicaţiei, teste a căror justificare este determinată de auditor, şi copierea tranzacţiilor care nu se înscriu în coordonatele aşteptate într-un fişier separat care este revizuit mai târziu de auditori.
  • Metoda SARF este asemănătoare metodei SCARF, cu excepţia selecţiei aleatorii a tranzacţiilor, mai degrabă decât a celor care nu trec testul de justificare.

Alte instrumente

Source Code Reviews (sau Revizuirea Codului Sursei): auditorul încearcă să revizuiască secţiuni ale codului de program sursă.; de obicei auditorul se concentrează pe selecţia câtorva secţiuni care prezintă interes din punctul său de vedere, de exemplu calculele sumelor; puncte logice cheie.

Program Library Analysis (sau Analiza Bibliotecii Programului) : această analiză oferă înregistrarea modificărilor soft-ului programului, ceea ce permite auditorului să identifice orice potenţială problemă survenită în situaţia schimbărilor neprevăzute ale datelor de ieşire.

Code Comparison (sau Compararea Codurilor): permite auditorului să compare fie sursa fie codul obiectului dintr-o aplicaţie cu o copie master securizată. Adesea auditorul vrea să verifice dacă programul compilat (codul obiectului), care este şi cel utilizat, corespunde versiunii master din codul sursă. Această verificare va evidenţia orice modificare în scopuri frauduloase sau erori şi va asigura folosirea versiunii curente a soft-ului.

User Log Analysis Software (sau Softul de Analiza a Jurnalului Utilizatorului): permite identificarea încercărilor de  acces neautorizat şi de încălcare a parolei. Majoritatea sistemelor dispun de un jurnal a intrărilor utilizatorilor şi a încercărilor de conectare. Acest fişier este adesea unul simplu, de tip text, care poate fi uşor legat la un program de investigare sau care poate fi investigat folosind un program dezvoltat in-house.

Popularity: 2% [?]