A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos contábeis da organização, mas sim do próprio ambiente informatizado, garantindo a integridade dos dados manipulados
pelo computador. Assim, ela estabelece e mantém procedimentos documentados para planejamento e utilização dos recursos computacionais da empresa, verificando aspectos de segurança
e qualidade. O trabalho da auditoria de sistemas acontece com o estabelecimento de metodologias, objetivos de controle e procedimentos a serem adotados por todos aqueles que operam ou são responsáveis
por equipamentos de TI e/ou sistemas dentro da organização.
A Auditoria de Sistemas ou de E-commerce é um ramo da atividade de auditoria que tem como objetivo avaliar a gestão de recursos, tendo como foco os aspectos de eficácia, eficiência, efetividade e economia. Confere a adaptação dos recursos tecnológicos de sistemas de informação e os procedimentos utilizados na organização, mediante a análise e revisão dos
controles, da infraestrutura das tecnologias computacionais, do desenvolvimento de sistemas, do desempenho e da segurança da informação.
Ao se realizar uma auditoria em uma organização, devemos ficar atentos a três aspectos fundamentais em relação ao domínio de atuação:
1 – Modalidade: o tipo de modalidade de atuação da auditoria que será realizado na instituição, isto é, se será uma auditoria interna, externa ou mista;
2 – Objeto: definição da localidade ou instituição a ser auditada;
3 – Período: o tempo de duração, isto é, o prazo – que poderá ser definido em dias, semanas ou meses – que a auditoria ficará alocada para a realização do trabalho.
Classificações da Atuação da Auditoria quanto ao Órgão Fiscalizador
Existem diversos tipos de classificação na atuação da auditoria nas instituições. A categorização citada anteriormente é a mais comumente utilizada pelos profissionais da auditoria, porém, é importante frisar que não há um padrão de classificação, essa divisão exposta é baseada no
aspecto do órgão fiscalizador que será responsável pela auditoria, o qual especifico a seguir:
· Auditoria Externa: é realizada por meio da contração de um profissional independente.
O trabalho é realizado por um profissional sem vínculo empregatício com a empresa.
Esse auditor é especializado e possui profundos conhecimentos em técnicas de auditoria.
O seu objetivo é atender às necessidades de terceiros no que diz respeito à integridade e fidedignidade das informações;
· Auditoria Interna: é executada por um funcionário da empresa com a finalidade de atender às necessidades da direção, reduzindo a possibilidade de erros, práticas ineficientes ou ineficazes e fraudes. Portanto, esse tipo de auditoria tem como objetivo aferir o método de gestão, no que concerne a aspectos como a gestão de riscos e procedimentos de aderência
às normas. Essa auditoria irá assinalar ocasionais irregularidades e vulnerabilidade às quais a empresa esteja sujeita;
· Auditoria Mista: é aquela efetivada pela integração da ação realizada pela auditoria interna e externa. É caracterizada pelo uso de recursos e comunicações recíprocas dos resultados.
As Classificações dos Tipos de Controles da Auditoria
Com a finalidade de não se desviar das normas pré-estabelecidas, deve haver um controle
– que nada mais é do que a fiscalização, monitoração e exame minucioso – que obedecerá a determinadas expectativas, normas, convenções sobre as atividades dos órgãos, das pessoas ou ainda sobre os produtos.
Podemos classificar os tipos de controle da auditoria em três segmentos:
· Controle Preventivo – Avalia os aspectos legais e informais, buscando identificar preventivamente as discordâncias nos procedimentos. Procura corrigir, manter e aperfeiçoar os métodos que já se encontram dentro das conformidades legais. Estas são delineadas com o intuito de impedir o acontecimento de falhas, desvios ou desperdícios.
Portanto, podemos concluir que esse controle tem como principal característica evitar ocorrência de erros, fraudes ou omissões. Por exemplo: o fechamento da porta de sua casa com a chave, serve para prevenir que não seja roubada;
· Controle Detectivo – Opera com a detecção de problema no método, sem impedir que o mesmo aconteça. Esse tipo de controle detecta as falhas, desvios ou irregularidades no instante em que acontecem, permitindo atitudes oportunas de correção. Logo, podemos deduzir que esse controle tem como particularidade fundamental detectar a ocorrência
de fraudes, erros ou omissões. Por exemplo: quando o alarme de sua residência dispara, é porque detectou algo errado e tem a finalidade de evitar que algum fato aconteça;
· Controle Corretivo – Solucionam erros, desvios ou desperdícios depois que eles ocorreram, possibilitando a adoção posterior de medidas corretivas. Por exemplo: os testes de um carro de corrida de Fórmula 1, antes do seu lançamento, permitem que os construtores
detectem erros que possam existir e adotem medidas para correção dos mesmos.
Os Objetivos do Controle
As finalidades do controle são a verificação do atendimento aos seguintes tópicos:
a) Integridade e confiabilidade da informação produzida e sua disponibilidade à tomada de decisões e ao cumprimento de obrigações para ser encaminhada à prestação de contas e a instâncias superiores;
b) Eficiência, eficácia e efetividade operacional, mediante execução ordenada, ética e econômica das operações;
c) Adequada salvaguarda e proteção de bens, ativos e recursos contra desperdício, perda, mau uso, dano, utilização não autorizada ou
apropriação indevida;
d) Conformidade com os regulamentos aplicáveis; incluindo normas, políticas, programas, planos e procedimentos da própria instituição.
Devemos seguir as orientações acima para que não ocorram os efeitos negativos e para que as metas de controle possam ser alcançadas.
O âmbito da auditoria
O âmbito da auditoria é formado pela amplitude e exaustão dos processos de auditoria e incluem uma limitação racional dos trabalhos executados, do nível de aprofundamento e do grau de abrangência.
No exemplo anterior (Loja Roqueshop), poderíamos ampliar o nosso trabalho (aprofundamento e nível de detalhamento) se a instituição nos solicitasse uma ação mais detalhada.
Obviamente, o período para se realizar esse trabalho teria que ser ampliado. Todos esses parâmetros são acordados antes de se realizar o trabalho da auditoria.
O campo do âmbito da auditoria permite a verificação de atuação do que poderemos realizar.
Os procedimentos de auditoria
Os procedimentos de auditoria permitem que o auditor obtenha e analise as informações necessárias para formulação de seu parecer.
Elas são formadas por uma lista de procedimentos, contendo um conjunto de ações de verificação e averiguação.
Essa lista de procedimentos deve estar bem definida, para que possamos realizar e verificar os pontos que deverão ser analisados.
Geralmente, nos manuais de auditoria, estão contemplados esses objetivos de controle, e os procedimentos preestabelecidos para cada área de verificação.
Os achados de auditoria (evidências de auditoria)
Os achados/evidências de auditoria são todas as provas obtidas pelo auditor, resultantes da aplicação dos procedimentos de auditoria, e que avaliam se estão sendo atendidos os critérios preestabelecidos.
As evidencias observadas pela auditoria são as ocorrências significativas, e não precisam ser necessariamente erros, fraudes ou falhas. Elas devem ser relevantes e baseadas em fatos e dados incontestáveis.
Para que se possa obter evidências adequadas, relevantes, suficientes e com bases razoáveis para a sustentação de opiniões e conclusões, o Auditor deve ter um bom conhecimento das técnicas e também dos procedimentos de auditoria.
As evidências, que deverão estar adequadas, devem ser fidedignas, gozarem de autenticidade, confiabilidade, exatidão da fonte, pertinentes ao tema e diretamente relacionadas com o achado.
Elas são os elementos essenciais e que comprovam o achado.
Elas deverão ser completas e suficientes, a ponto de permitirem que pessoas que não participaram do trabalho de auditoria cheguem às mesmas conclusões que a equipe.
Reduzir a termo, ou seja, tornar escrito manifestação oral e evidencias testemunhais deve ser feito sempre que possível, e serem corroboradas por outras evidencias.
As evidências possuem os seguintes requisitos básicos: demonstração da relevância do fato, respaldo nos papéis de trabalho, objetividade, amparo a conclusões e recomendações e ainda poder de convencimento de pessoas alheias ao processo.
Documentação da Auditoria
O trabalho de auditoria deve ser documentado, de modo que permita a sua revisão e a sustentação das provas conseguidas. Todas as informações relevantes para dar suporte às conclusões e aos resultados da auditoria devem ser redigidas com o objetivo de comprovação das informações obtidas.
Os papéis dão suporte ao relatório emitido pelo auditor e são constituídos pelos registros que evidenciam os fatos e atos observados, que podem ser: documentos, planilhas, listas de verificações, tabelas e arquivos informatizados.
Na documentação estão os registros dos métodos adotados, dos procedimentos e das verificações utilizadas, das fontes de informações e de qualquer outra evidencia relacionada ao trabalho executado.
Ela constitui os papéis de trabalho desenvolvidos pelo auditor, os quais contêm os registros de todas as informações utilizadas, das verificações e das conclusões a que o auditor chegou.
Na preparação da documentação de auditoria, deve ser observado se os detalhes são suficientes para a compreensão clara do trabalho que foi realizado e incluem a fundamentação, a natureza, a oportunidade, o alcance do planejamento e, ainda, a extensão e os resultados dos
procedimentos, das evidencias e dos achados de auditoria.
São considerados papéis de trabalho aqueles preparados pelo auditor, pelo auditado, por terceiros, tais como: questionários respondidos; arquivos de dados, de vídeo e áudio; portarias; documentos originais ou cópias de contratos ou de termos de convênios; formulários; fotografias;
planilhas; programas de auditoria e registros da sua execução – e podem ser por qualquer meio, físico ou eletrônico, como matrizes de planejamento, de achados e responsabilização.
Os documentos que serão apresentados aos auditores sempre serão os originais e devem conter os nomes dos signatários, suas assinaturas ou rubricas e, na impossibilidade da apresentação do original, o responsável deve justificar sua ausência – e, havendo a necessidade, o auditor pode
requerer que sejam fornecidas cópias autenticadas dos documentos.
Os papéis de trabalho devem ser manuseados pelo auditor com cautela, inclusive os documentos extraídos de sistemas informatizados ou apresentações, gravações e transmissões de dados por meios eletrônicos, para que se evite a divulgação de seus conteúdos a pessoas não
autorizadas – o que pode ter consequências danosas.
Finalmente, o auditor deve ter em mente que o conteúdo e a organização dos papéis de trabalho refletem o seu grau de preparação, experiência e conhecimento; esses papéis de trabalho devem ser suficientemente completos e detalhados para permitir a um auditor experiente, sem
prévio envolvimento na auditoria, entender o trabalho que foi realizado e fundamentar as opiniões e conclusões do auditor.
Recomendações da auditoria
Devemos lembrar também das recomendações, que constituem uma seção exclusiva do relatório, na qual deve estar a resposta a fundamental questão da auditoria, que faz parte do enunciado do seu objetivo. Elas devem abordar as respostas aos quesitos formulados para a composição do objetivo da auditoria e para o alcance de seu objetivo.
É importante ressaltar que as recomendações dos auditores dependem da suficiência e adequação das evidencias que amparam os achados e da robustez da lógica utilizada para sua formulação. Serão mais fortes quando levam a propostas de encaminhamento, que façam os usuários do relatório concordarem com a necessidade das proposições.
Para a elaboração das recomendações, devemos observar os efeitos dos achados obtidos pela diferença do resultado que teria se observado caso tivessem sido seguidos os critérios da auditoria e a situação encontrada. Por fim, concluímos que as recomendações nada mais são
que medidas corretivas. Elas têm a finalidade de corrigir as deficiências encontradas durante o período de realização da auditoria e, dependendo da posição hierárquica ou da competência do órgão de controle da entidade auditada, as recomendações podem vir a ser determinações a serem cumpridas.
Métodos de avaliação de dados processados pela tecnologia
da informação
A seguir, detalharemos basicamente os dois métodos de avaliação de dados mais utilizados no que diz respeito a confiabilidade de dados processados pela Tecnologia da Informação:
a) Avaliação limitada: requer um exame mais superficial dos controles gerais e de aplicativos, é direcionada a dados específicos. Os controles serão analisados dependendo do grau de abrangência dos testes a serem feitos, objetivando a determinação da sua confiabilidade. Esse tipo de exame pode ser realizado por pessoas não especializadas em informática.
b) Avaliação do sistema: nesse exame: são testados todos os controles com
profundidade num sistema informatizado, abrangendo seus produtos e aplicações.
Geralmente, são utilizamos os seguintes procedimentos: exame dos controles gerais e de aplicativos do sistema; avaliação da observância dos controles; e avaliação dos dados produzidos pelo sistema.
Nesse tipo de avaliação, é necessário a participação de um especialista da área de informática e, frequentemente, é consumido muito tempo.
A utilização eficaz dos métodos recomendados depende da capacidade do auditor no julgamento da qualidade dos controles do sistema, da extensão e da forma do teste dos dados.
Erros nesse julgamento poderão trazer consequências indesejáveis. Um esforço insuficiente colocará em risco a confiabilidade do trabalho, sendo que o aprofundamento excessivo desperdiçará recursos valiosos.
Os controles internos da Auditoria de Sistemas
Como já foi citado, auditar é basicamente verificar os mecanismos de controle implantados em uma organização ou empresa, determinar se estão cumprindo seus objetivos e, caso necessário, estabelecer as mudanças necessárias para tanto.
Os controles internos da Auditoria de Sistemas têm como foco principal os processos computacionais com o objetivo de: prevenir erros; detectar erros; corrigir erros que tenham sido detectados; e compensar controles frágeis onde os riscos de perda são elevados. Os mecanismos
de controle podem ser de prevenção, correção, detecção ou recuperação.
O objetivo da Auditoria de Sistemas é composto de um parecer ou de uma nota acerca de:
a) Controle de Área de Tecnologia;
b) Análise da eficiência dos Sistemas de Informação;
c) Verificação do cumprimento da legislação e normativos aplicáveis;
d) Gestão eficaz dos recursos de informática.
Pré-requisitos necessários para os profissionais da Auditoria
de Sistemas
Qual é a melhor opção para escolher profissionais na área de Auditoria de Sistemas? Treinar e formar os profissionais da Auditoria Ecommerce, utilizando funcionários da própria empresa, ou aproveitar o conhecimento e a experiência dos Analistas de Sistemas e instruí-los para se tornarem auditores de sistemas?
Os que defendem a primeira opção dizem que o mais importante é o profissional ter a “vivência” na área de auditoria. Precisando somente que esses funcionários adquiram os conhecimentos técnicos de Tecnologia da Informação por meio de treinamento para a sua nova formação e especialização. Porém, devemos considerar que, na prática, essa formação
teórica educacional não é tão rápida quanto se gostaria. Além desse longo prazo necessário, o funcionário também deve adquirir experiência profissional no ambiente da área de Tecnologia da Informação. Decorrente dessas intempéries na sua formação, o rendimento desse novo
profissional de auditoria pode ser mais vagaroso, o que pode acarretar desconfiança e/ou descrédito por parte da alta direção. Outra vertente é daqueles que apoiam a segunda opção, entendendo que essa é a melhor alternativa, pois o funcionário, possuindo todo o conhecimento
técnico em Tecnologia da Informação, necessitaria apenas de um curso de Auditoria de Sistemas,para poder, em curto prazo, elaborar e realizar os trabalhos de auditoria.
Esse assunto ainda continua gerando muita polêmica, porém, independente das vertentes mencionadas, elencaremos alguns dos pré-requisitos desejáveis para todos os profissionais de Auditoria de Sistemas:
a) Conhecimentos técnicos desejáveis em: desenvolvimento de sistemas, ambientes operacionais, redes de computadores, banco de dados, plano de contingência, segurança na área de TI, sistemas operacionais, programação de computadores;
b) Experiência nas áreas de: Tecnologia da Informação (T.I.), Desenvolvimento de Sistemas, Centro de Processamento de Dados (CPD), Pesquisa Aplicada, e software e/ou serviços de consultoria técnica de informática;
c) Conhecimentos em software de auditoria, técnicas de auditoria e extração de dados;
d) Experiência em informática para o planejamento, a direção, supervisão e revisão do trabalho executado;
e) Possuir conhecimentos prévios sobre aspectos relevantes aos princípios éticos;
f)Ser honesto e educado;
g) Ter um bom relacionamento com a comunidade.
Situação estratégico-política do órgão e/ou da unidade de
auditoria no organograma de uma organização
É de suma importância a criação de uma unidade e/ou órgão de auditoria para a prestação de serviço de suporte, que ofereça informações preciosas a alta direção, permitindo tomadas de decisões apropriadas aos rumos da organização.
Tais informações devem chegar precisas, exatas e seguras aos tomadores de decisão da organização, para garantir que os resultados se ajustem, conforme for possível, aos objetivos instituídos.
Dada a importância das informações que serão prestadas pelo chefe da auditoria de uma organização, a unidade deve ser subordinada à alta direção da organização, ser o “staff”.
Veja a seguir um exemplo de como seria um organograma, demonstrando a importância e a localização do setor de auditoria de sistemas dentro de uma organização:
A missão dessa unidade ou órgão deverá ser bem definida, pois servirá de rumo aos trabalhos desenvolvidos. Nesse posicionamento de “staff” do órgão e/ou da unidade de auditoria no organograma, ela deve manter hierarquia, autoridade e autonomia suficientes para exercer com
êxito suas funções, resultando em um trabalho de boa qualidade.
A auditoria conseguirá realizar um trabalho de qualidade na situação de “staff”, pois manterá a hierarquia, autoridade e autonomia para exercer suas funções.