1. 1
Introdução
Actualmente, a informática está presente em todos os ramos de actividade conhecidos pelo
homem, directa ou indirectamente, participando do nosso dia, quando transmitimos informações
pela internet, ou seja, somos altamente dependentes dos meios de comunicação.O objectivo
global e o âmbito de uma auditoria não se alteram quando esta é efectuada em ambiente de
sistema de tecnologia de informação. Contudo, a utilização dos computadores altera o
processamento, armazenagem e comunicação da informação financeira e pode afectar os
sistemas contabilísticos e de controlo interno em vigor nas empresa.Com a crescente evolução
tecnológica, o uso da internet tornam-se cada vez mais rotineiro e imprescindível. Devido ao
grande avanço tecnológico ocorrido nas grandes empresas e a maior necessidade de informações
úteis e tempestivas aos gestores, a Contabilidade vem se adaptando a esse novo ambiente, de
forma a cumprir sua função de geradora de informações. Com isso, empresas e contadores
buscam tornar as informações cada vez mais eficazes, dinâmicas, transmissões e recebimentos de
informações através de sistemas informatizados.
Objectivos
Objectivo geral
Informar detalhada e circunstancialmente sobre Auditoria no contexto de Sistemas de
informação computadorizados
Objectivo especial
Estar ciente acerca da auditoria de sistemas a avaliação, o ambiente de sistema de processamento
de dados para avaliar e identificar os possíveis riscos (erros, falhas, irregularidades, ineficiência,
etc.) que estejam ocorrendo ou que possam ocorrer dentro de uma organização.
Estar informado acerca reflectir sobre os riscos e consequências que advêm desta.
Metodologia
Para a concretização deste trabalho, o grupo baseou-se na pesquisa bibliográfica, tendo se
destacado a pesquisa de navegação entre outras.
2. 2
1. Auditoria no contexto de Sistemas de informação computadorizados
Cada vez mais as empresas utilizam equipamentos informáticos próprios mesmo que de
dimensão reduzida. No entanto, continua a assistir-se á grande utilização de serviços prestados
por firmas de processamento informático, mesmo por parte de empresas médias e grandes. A
informação na empresa, que começou por se preocupar apenas com a divulgação dos factos
patrimoniais, estende-se hoje a todos os seus sectores.
O órgão de gestão de uma empresa será tanto mais eficiente enquanto maior for a quantidade e
qualidade de informações úteis de que possa dispor em tempo oportuno. A importância da
informação nos seus aspectos de abundância e rapidez deu origem ao aparecimento e
desenvolvimento da informática palavra está que, resultando de outras duas-informação e
automática- significa o tratamento racional e automático da informação.(BENTO, 1997)
O objectivo global e o âmbito de uma auditoria não se alteram quando esta é efectuada em
ambiente de sistema de tecnologia de informação. Contudo, a utilização dos computadores altera
o processamento, armazenagem e comunicação da informação financeira e pode afectar os
sistemas contabilísticos e de controlo interno em vigor na empresa.
De facto, um ambiente de sistemas de tecnologias de informação pode afectar:
Os procedimentos seguidos pelo auditor aquando da obtenção da compreensão dos
sistemas contabilísticos e de controlo interno;
A consideração do risco inerente e do risco de controlo através dos quais o auditor chega
á determinação do risco de auditoria;
A concepção e realização, pelo auditor, dos testes aos controlos e dos procedimentos
substantivos apropriados para atingir o objectivo da auditoria.(BORGES;1993)
Os suportes técnicos da informática são conjuntos electrónicos conhecidos por computadores,
constituídos por três (3) tipos de órgãos:
Órgãos periféricos de entrada (input) que tem por missão captarem, através de registo
electrónico, as informações que devem ser tratadas;
3. 3
Órgão central constituídos por três (3) unidades: a unidade central de memória, a unidade
aritmética e lógica e a unidade de controlo - onde se efectuam as operações de tratamento
das informações e se guardam algumas delas;
Órgãos periféricos de saída (output) que se encarregam de mostrar os resultados do
tratamento das informações.
Os órgãos periféricos de entrada, após um trabalho de codificação, permitem a introdução das
informações (input) na unidade central, onde se realiza a leitura, o controlo, os cálculos, as
comparações e as operações lógicas. As informações tratadas são memorizadas em suportes
magnéticos (bandas ou discos) constituindo resultados parciais para serem explorados mais tarde
ou para darem de imediato origem á emissão de resultados directamente exploráveis pelo homem
(outputs).
O computador não é um «cérebro» electrónico, mas apenas e simplesmente, uma máquina
automática muito independente pois para funcionar não necessita de ter a intervenção nem ser
conduzida pelo homem. O computador apenas necessita que sejam registados na sua «memória»
os programas que lhe permitam efectuar os processamentos, entendendo-se por programa (rotina)
a sequência das operações que o computador terá de executar quando lhe transmitirem
determinadas informações. É este funcionamento que se faz sem a intervenção do
homem.(COSTA, 1999)
1. Acontecimentos que ocorrem após a data do balanço
Acontecimentos após a data do balanço: são aqueles acontecimentos, favoráveis e desfavoráveis,
que ocorram entre a data do balanço e a data em que as demonstrações financeiras forem
autorizadas para emissão, pelo órgão de gestão. Podem ser identificados dois tipos de
acontecimentos:
Aqueles que proporcionem prova de condições que existiam à data do balanço
(acontecimentos após a data do balanço que dão lugar a ajustamentos),
Aqueles que sejam indicativos de condições que surgiram após a data do balanço
(acontecimentos após a data do balanço que não dão lugar a ajustamentos).
4. 4
Uma entidade deve ajustar as quantias reconhecidas nas suas demonstrações financeiras para
reflectir os acontecimentos após a data do balanço que dão lugar a ajustamentos.
Exemplos de acontecimentos ocorridos após a data do balanço que dão lugar a ajustamentos e
que exigem que uma entidade ajuste as quantias reconhecidas nas suas demonstrações
financeiras, ou que reconheça itens que não foram anteriormente reconhecidos.
A resolução, após a data do balanço, de um caso judicial que confirma que a entidade tinha uma
obrigação presente à data do balanço. A entidade ajusta qualquer provisão anteriormente
reconhecida relacionada com este caso judicial de acordo com a NCRF 21, Provisões, Passivos
Contingentes e Activos Contingentes ou reconhece uma nova provisão. A entidade não pode
divulgar meramente um passivo contingente porque a resolução proporciona provas adicionais
que seriam consideradas de acordo com a NCRF 21.
A recepção de informação após a data do balanço que indique que um activo estava em
imparidade à data do balanço, ou que a quantia da perda por imparidade anteriormente
reconhecida para esse activo necessita de ser ajustada, tal como ocorre, designadamente, nas
seguintes situações:
A falência de um cliente que ocorre após a data do balanço confirma, normalmente, que
existia uma perda à data do balanço numa conta a receber comercial e que a entidade
necessita de ajustar a respectiva quantia escriturada; e
A venda de inventários após a data do balanço pode dar evidência acerca do valor
realizável líquido à data do balanço.
2. Auditoria de sistemas
É uma actividade independente que tem como missão o gerenciamento de risco operacional
envolvido e avaliar a adequação das tecnologias e sistemas de informação utilizados na
organização através da revisão e avaliação dos controles, desenvolvimento de sistemas,
procedimentos de TI., infra-estrutura, operação, desempenho e segurança da informática que
envolve o processamento de informações críticas para a tomada de decisão. Ou seja é a avaliação
do controle interno de sistemas de informação.
5. 5
3.1. Objectivos da auditoria de sistemas
A auditoria de sistemas é um processo realizado por profissionais capacitados e consiste em
reunir, agrupar e avaliar evidências para determinar se um sistema de informação suporta
adequadamente um activo de negócio, mantendo a integridade dos dados, e realiza os objectivos
esperados, utiliza eficientemente os recursos e cumpre com as regulamentações e leis
estabelecidas.
Permite detectar de forma automática o uso dos recursos e dos fluxos de informação dentro de
uma empresa e determinar qual informação é crítica para o cumprimento de sua missão e
objectivos, identificando necessidades, processos repetidos, custos valor e barreiras que impacta
fluxos de informações eficientes.
O s objectivos da auditoria de sistemas, são a missão de um parecer (ou uma nota) sobre:
O controlo da área de tecnologia;
Análise das eficiências dos sistemas de informação;
A verificação do cumprimento das legislações e normativos a qual estão sujeitos;
A gestão eficaz dos recursos de informática.
A auditoria de sistema contribui para a melhoria constante dos negócios suportada pela
tecnologia, nos seguintes aspectos:
Desempenho;
Confiabilidade;
Integridade;
Disponibilidade;
Segurança;
Confidencialidade;
Privacidade.
6. 6
2.2.Funções da auditoria de sistemas
Promover a adequação (avaliações e recomendações para o aprimoramento) dos
controles nos sistemas de informação da empresa;
Utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento
dos mesmos.
2.3.Dificuldades de auditoria de sistemas
Desfasagem tecnológica;
Falta de bons profissionais;
Falta de cultura da empresa;
Tecnologia avariada e abrangente.
2.4.O auditor de sistemas
O auditor de sistemas verifica eficácia dos controles e procedimentos de segurança existentes, a
eficiência dos processos em uso, a correcta utilização dos recursos disponíveis, assessorando a
administração na elaboração de planos e definição de metas, colaborando no aperfeiçoamento
dos controles internos, apontando deficiências e irregularidades que possam comprometer a
segurança e o desempenho organizacional.
Com a larga utilização da tecnologia para o armazenamento das informações contábeis,
financeiras e operacionais, o auditor de sistemas tem de se aprimorar no campo de actuação
(processos) da organização para extrair, analisar banco de dados envolvidos e suportar decisões
das demais áreas de auditoria. (MACHADO; 1997)
7. 7
3. Auditoria informática
Auditoria informática é um exame do sistema informático, com objectivo de o avaliar em toda
sua complexidade, que inclui:
Conhecer o ambiente e seu envolvimento;
Conhecer o tipo de operações e as formas de as processar (armazenar e controlar) e por
último;
Formar uma opinião.
Consiste em verificar o funcionamento de um sistema de informação, aplicando uma série de
conhecimentos, técnicas e métodos com o propósito de examinar a operatividade dos sistemas.
No processo de investigação o auditor comprova se os sistemas estão aplicando medidas de
segurança e de controlo apropriadas para assegurar a integridade da informação. O auditor deve
realizar análises profundas de todos os componentes que integram o sistema informático. A
auditoria informática em uma empresa é essencial devido a que um sistema mal desenhado seja
perigosa a empresa.
Perante o crescente valor da informação, baseada na construção de sistemas de tecnologia de
informação (TI) e tecnologias de comunicação (TC), é indispensável que sejam estabelecidas
protecções adequadas que venham a ser avaliadas ou recomendadas pela auditoria de segurança.
Numa perspectiva tradicional, a segurança de todos os activos informáticos continua a ser a área
principal a auditar e, por isso, algumas organizações criaram inicialmente a função de Auditoria
Informática, que teria por principal objectivo a análise avaliadora da segurança.
4.1. Auditoria de segurança
Se a protecção dos SI não é definida e devidamente implementada e controlada torna se possível
perder informação vital no processo de decisão e, por isso, aumenta a probabilidade de tomar
decisões erradas ou de cumprir prazos contratados com outras entidades ou prazos inerentes à
legislação vigente, o que pode traduzir-se em graves infracções e nas consequentes punições.
A realização da auditoria dos SI informatizados tem de acompanhar as diferentes linhas de
evolução das várias tecnologias que estão incluídas no domínio das operações informáticas.
8. 8
É necessário avaliar se os modelos de segurança concordam e estão em consonância com as
novas arquitecturas, as diferentes plataformas e as formas de comunicação, visto que não se pode
auditar com conceitos, técnicas ou recomendações que se tornaram obsoletas.
Ao falar de segurança considera-se sempre as suas três dimensões clássicas:
Confidencialidade da informação
Quando só os utilizadores autorizados (e num sentido amplo poder-se-ia falar também de
sistemas) têm acesso a um dado tipo de dados e à informação correspondente.
Integridade da informação
Só os utilizadores devidamente autorizados é que poderiam modificar ou apagar alguns dados. Se
o fizerem, tais modificações devem ser registadas, a fim de ser possível o controlo posterior, o
que facilita as operações de auditoria.
Disponibilidade da informação
Se os utilizadores autorizados podem ter acesso atempadamente à informação, à qual estejam
autorizados.
O dispor da informação apenas depois do momento em que a mesma é necessária pode equivaler
à falta de disponibilidade. Ainda mais grave, pode ser a ausência de disponibilidade absoluta
devida a algum desastre que tenha acontecido.
Além disso, tem de existir autenticidade
Isto significa que os dados e/ou a informação são autênticos, introduzidos ou comunicados por
utilizadores identificados e com as autorizações julgadas necessárias.
9. 9
4. Auditoria nas TIC
A área de TIC (tecnologia da informação e comunicação) sempre está em auditoria. Quando não
em uma auditoria de TIC especifica, ela está envolvida numa auditoria da área de negócios.
Quando não existem observações sobre não conformidade de processos e controles, a auditoria é
encerrada sem alardes. Entretanto, se identificada alguma não conformidade, o desgaste é
gigantesco. São necessárias horas e horas de elaboração de justificativas, argumentações, novos
testes e reuniões intermináveis na tentativa de convencer os auditores que o risco da não
conformidade é pequeno. O melhor investimento é garantir que não haja problemas de
conformidade.
As auditorias de TIC são baseadas no framework de governança de TI CobIT. O CobIT orienta
sobre as melhores práticas de gestão para cada área da organização de TI. Entretanto, não
descreve detalhadamente os procedimentos, mesmo porque cada organização tem suas próprias
características. O CobIT possui quatro quadrantes básicos: Planejamento e Organização;
Aquisição e Implementação; Entrega e Suporte; e, Controle e Avaliação. O investimento em
processo e controle de mudanças para implantar o CobIT não é insignificante. Para acelerar o
projeto é recomendável contratar ajudar externa. (BENTO; 1997)
Normalmente, as auditorias de TIC avaliam o desempenho e conformidade da área nos seguintes
pontos de controle: alinhamento de TIC com os objetivos de negócio; controle e segurança da
infraestrutura, incluindo o datacenter; controle e segurança lógica; controles nos sistemas que
estão em produção; e o processo e controles no desenvolvimento de sistemas.
5.1. Funções em auditoria de TIC
Segurança;
Qualidade;
Conformidade.
4.2.Perspectivas da auditoria de TIC
Tecnológica;
Organizacional;
Pessoas.
10. 10
4.3.Objectivos da auditoria de TIC
Fidelidade da informação em relação ao dado processo;
Segurança física – recursos humanos e materiais;
Segurança lógica – sistema informatizado;
Confidencialidade – sigilo acesso ao sistema;
Segurança ambiental – infra-estrutura;
Obediência à legislação em vigor;
Eficiência – maximização da relação custo benefício;
Eficácia – nível de satisfação do usuário;
Obediência às políticas da alta administração.
11. 11
Conclusão
A necessidade de implementação de processos de auditoria contínuo nas organizações para
verificar a segurança do funcionamento de seus sistemas informatizados é suma importância,
considerando-se que na actualidade em face ao processo de globalização, a necessidade de
disponibilização de dados das mais variadas características é fundamental para a sobrevivência
das empresas em um ambiente económico de características plenamente competitivas.
Manter sistemas informatizados em funcionamento sem segurança de uma operação eficaz, é
inscrever a empresa na relação das suicidas, pois não tendo informações auditadas, estará
trabalhando com dados inconsistentes que, naturalmente poderão causar danos nas suas
operações comerciais.
12. 12
Bibliografia
BENTO, José e MACHADO, José Fernandes – “O Plano Oficial de Contabilidade Explicado”,
23.ª Edição, Porto Editora, Porto, 1997
BORGES, António e FERRÃO, Martins – “A Contabilidade e a Prestação de Contas”, 14.ª
Edição, Ed. Rei dos Livros, Lisboa, 1993;
BORGES, António, RODRIGUES, Azevedo, RODRIGUES, Rogério – “Elementos de
Contabilidade
Geral”, 13.ª Edição, Rei dos Livros, Lisboa, 1993;
COSTA, Carlos Baptista – “Como preparar de forma adequada o Anexo ao Balanço e à
Demonstração dos Resultados”, in JTCE n.os 344, 345 e 346, de Maio a Junho/94;
MANOTTI, Alessandro – Auditoria de Sistemas, Curso Pratico. Editora, Ciência Moderna,
2010, ISBN.
BIOGRAFIA DO AUTOR
Nome Completo: Sérgio Alfredo Macore / Helldriver Rapper
Nascimento: 22 de Fevereiro de 1993
Especialização: Gestão de Empresas e Finanças
Pais / Cidade: Moçambique / Pemba
Contacto: +258 846458829 ou +258 826677547
E-mail: Sergio.macore@gmail.com ou Helldriverrapper@hotmail.com
Facebook: Helldriver Rapper ou Sergio Alfredo Macore