Abordagem metodológica à auditoria a sistemas de informação

3.1. Planeamento da auditoria

O ponto 132 das normas de auditoria da INTOSAI estipula que: "O auditor deve planear a auditoria de modo a assegurar a execução de uma auditoria de elevada qualidade, de uma forma económica, eficiente e eficaz e num período de tempo adequado" [Intosai 1995].

Segundo o United States General Accounting Office (USGAO) "o planeamento é a chave para a qualidade da auditoria" [USGAO 1999], permitindo ao auditor determinar os métodos mais eficazes e eficientes para a obtenção da evidência necessária para avaliar os controlos informáticos da entidade.

Apesar de se concentrar no início da auditoria, o planeamento é um processo interactivo executado ao longo da auditoria. Esta interactividade deve-se ao facto do resultado da avaliação preliminar fornecer apenas a base para o auditor determinar a extensão e tipo de testes subsequentes [USGAO 1999]. Se o auditor obtiver evidência que os procedimentos específicos de um controlo são ineficazes, pode achar necessário reavaliar as suas conclusões iniciais e outras decisões de planeamento efectuadas com base nessas conclusões.

Assim, a natureza, extensão e duração do planeamento variam de acordo com o tamanho e complexidade da entidade e o conhecimento que o auditor obtém sobre as operações da mesma.

Para que os objectivos do planeamento da auditoria sejam atingidos, durante esta fase deverá ser realizado o seguinte conjunto de tarefas:

1 - Conhecimento das operações da entidade

O auditor deve desenvolver e documentar um nível elevado de conhecimento sobre a entidade, as operações a serem verificadas e a forma como a entidade é suportada por sistemas automatizados.

2 - A afectação e formação de pessoal

O Tribunal de Contas Europeu (TCE) [TCE 1999] afirma que "…as medidas de controlo implantadas nas entidades objecto de auditoria … constituem habitualmente uma combinação de procedimentos informáticos e manuais. … os Sistemas de Informação não devem ser, por conseguinte, examinados isoladamente, mas como parte do controlo geral da totalidade da função administrativa ou financeira de que fazem parte".

Consequentemente, a equipa que realizar a auditoria deve ter valências multidisciplinares mediante a situação concreta a analisar, tendo também em consideração as valências individuais de cada um dos auditores.

3 - Avaliação do risco inerente e do risco de controlo

O auditor avalia o risco inerente [5] (RI) e o risco de controlo [6] (RC) para determinar o risco de auditoria (RA), o qual é, em termos genéricos, definido como o risco que o auditor emita uma opinião com base em elementos que contêm erros materialmente relevantes.

O risco de auditoria, pela forma como se relaciona com os SI, pode ser pensado como o produto dos três riscos componentes:

RA = RI * RC * RD

É com base no nível do risco de auditoria e na avaliação dos riscos inerente e de controlo da entidade, que o auditor determina a natureza, duração e extensão dos procedimentos substantivos de auditoria necessários para se atingir o risco de detecção [7] (RD) desejável.

Por exemplo, em resposta a um nível elevado dos riscos inerente e de controlo e de modo a manter o risco de auditoria baixo, o auditor deve executar procedimentos de auditoria adicionais ou testes substantivos mais extensos.

4 - Avaliação preliminar da eficácia do controlo interno

Como parte da avaliação do risco de controlo, o auditor deve também efectuar uma avaliação preliminar que verifique se os controlos relacionados com os sistemas de informação são eficazes. Esta avaliação tem por base:

Revisão de políticas e procedimentos da entidade.

Ao confiar nestas avaliações preliminares para planear os testes de auditoria, o auditor pode evitar o dispêndio de recursos nos testes de controlo que claramente não são eficazes.

5 - Identificação dos controlos a testar

Com base na avaliação dos riscos de controlo e inerentes, incluindo a avaliação preliminar dos controlos relacionados com a informática, a equipa de auditoria deve identificar os controlos gerais e aplicacionais que aparentemente são eficazes e que por isso deveriam ser testados para determinar se efectivamente estão a funcionar de forma eficaz.

No final desta fase deverá ser construído um plano para a realização da auditoria. Este plano deve:

• Identificar as actividades e controlos a auditar - Para que sejam conhecidas as áreas, actividades e controlos a avaliar;



• Identificar os elementos que vão formar a equipa de auditoria - Dado que são conhecidas as valências necessárias para a realização da auditoria. Deve ainda determinar que valências adicionais deverão ser adquiridas por formação; e



• Estabelecer um cronograma para a realização das diversas análises - De forma a que seja possível controlar a execução da auditoria e a medir a eficácia e eficiência da actuação da equipa de auditoria.

É evidente que no decurso da auditoria este plano poderá sofrer alterações e ajustamentos. Por exemplo, poderá surgir a necessidade de serem testados controlos que inicialmente não constavam do plano. Esta alteração poderá dar-se pela reavaliação do nível de risco determinado inicialmente, o qual se verificou estar errado quando se efectuou uma análise mais aprofundada dos controlos.