Abordagem metodológica à auditoria a sistemas de informação

3.2. Avaliação do controlo interno

O controlo interno, segundo o Tribunal de Contas Europeu [TCE 1999], é a totalidade das políticas e procedimentos concebidos e postos em prática pelos órgãos de gestão de uma entidade para garantir:

• A realização económica, eficiente e eficaz dos objectivos da entidade;
  
  
• A adesão a normas externas (leis, regulamentos...) e a políticas de gestão;
  
  
• A salvaguarda de bens e informações;
  
  
• A prevenção e detecção de fraudes e erros; e
  
  
• A qualidade dos registos contabilísticos e a elaboração atempada de informações financeiras e de gestão fiáveis.

O conceito de controlo interno inclui implicitamente dois elementos:

Ambiente de controlo (cultura de controlo da entidade) - atitude, consciencialização e acções globais dos quadros superiores e médios no que se refere ao controlo interno e à sua importância a nível da entidade;

Procedimentos de controlo interno - procedimentos adicionais ao ambiente de controlo estabelecidos pelos órgãos de gestão da entidade, que contribuem para a realização dos objectivos da mesma.

A explicação das normas de auditoria da INTOSAI (ponto 144) [Intosai 1995] estipula que: "Quando a contabilidade ou outros Sistemas de Informação estão informatizados, o auditor deve verificar se o controlo interno funciona correctamente, de modo a garantir a exactidão, fiabilidade e integridade dos dados".

Assim, para verificar se o controlo interno funciona correctamente, o auditor deve obter informação detalhada sobre as políticas de controlo, os procedimentos e objectivos, e efectuar testes de conformidade às actividades de controlo.

O objectivo destes testes é determinar se os controlos estão a funcionar eficazmente, dado que, se os controlos internos garantirem a integridade, confidencialidade e disponibilidade dos dados mantidos nos Sistemas de Informação informatizados, a informação financeira (ou qualquer outro tipo de informação) que resulta do funcionamento do SI, terá uma grande probabilidade de ser fiável, completa e exacta.

Segundo a Intervención General de la Administración del Estado - IGAE [IGAE 2000] a avaliação do controlo interno parte do geral para o particular, isto é, parte de uma avaliação geral, por exemplo, do Departamento de Sistemas de Informação (DSI) (posição do DSI no organograma do organismo, estrutura interna do DSI, segregação de funções, etc.), continuando depois com a avaliação do controlo interno das secções que integram o DSI, como por exemplo, unidade de gestão, bases de dados, unidade de redes e comunicações, etc..

É de notar que, apesar dos objectivos do controlo interno não serem afectados pela presença de Sistemas de Informação, os procedimentos adoptados pela entidade auditada são afectados pelas características dos Sistemas de Informação existentes, o que consequentemente implica a introdução de questões específicas de controlo que podem conduzir a alterações na abordagem da auditoria [TCE 1999] [QAO 1999].

É ainda de salientar que os procedimentos de controlo interno num ambiente de Sistemas de Informação incluem tanto procedimentos manuais como informáticos e, tal como foi afirmando antes, que a avaliação do controlo interno é realizada em duas fases:

1. Avaliação e teste dos controlos gerais; e

2. Avaliação e teste dos controlos das aplicações.

Tanto os controlos gerais como os controlos das aplicações têm de ser eficazes para ajudarem a assegurar a fiabilidade, confidencialidade apropriada e a disponibilidade da informação crítica automatizada.

O processo de avaliação dos controlos gerais e das aplicações pode ser representado pelo fluxograma [8] da Figura 2.

Figura 2 - Processo de avaliação do Controlo Interno.