Abordagem metodológica à auditoria a sistemas de informação

3. Processo de auditoria

Por forma a organizar o processo de auditoria de SI a abordagem efectuada neste documento divide a auditoria a Sistemas de Informação em quatro fases:

1. Planeamento da auditoria;

2. Avaliação do controlo interno (testes de conformidade [4]);

3. Testes substantivos; e

4. Relatório.

A segunda fase (avaliação do controlo interno) foi ainda dividida em dois segmentos:

a) Avaliação e teste dos controlos gerais; e

b) Avaliação e teste dos controlos das aplicações.

Há autores, como por exemplo Andrew Chambers / John Court [Chambers et al. 1991] e Ian Douglas [Douglas 1995], que consideram que os controlos das aplicações deveriam ser avaliados antes da avaliação dos controlos gerais.

No entanto, como os controlos gerais "se aplicam à generalidade das operações informatizadas de uma entidade" [USGAO 1999] e "são normalmente controlos independentes cujo funcionamento é essencial para a eficácia dos controlos das aplicações informáticas" [IGAE 2000], esta abordagem considera que em primeiro lugar devem ser avaliados os controlos gerais e só depois os controlos das aplicações. Esta perspectiva é suportada pela generalidade dos autores citados neste texto.

Em termos do processo completo de auditoria, este pode ser representado pelo fluxograma da Figura 1.

Figura 1 - Processo completo de auditoria.