Abordagem metodológica à auditoria a sistemas de informação

3.4. Avaliação e teste dos controlos das aplicações informáticas

Os controlos das aplicações estão directamente relacionados com as aplicações informáticas. Estes pretendem prevenir, detectar e corrigir erros e irregularidades nas transacções que são processadas por sistemas informatizados, de forma a assegurar que cada uma das aplicações informáticas em funcionamento salvaguardam os bens, mantêm a integridade dos dados, e atingem os seus objectivos de forma eficaz e eficiente.

Uma auditoria às aplicações informáticas não constitui normalmente uma prática isolada, mas faz parte de uma auditoria aos sistemas de uma entidade ou organização. Assim, consoante os casos específicos, os objectivos e questões-chave de controlo são adaptados e, muitas vezes, elaborados de forma mais específica, de acordo com o âmbito e o objectivo da auditoria [Moscove et al. 1997].

Os controlos das aplicações baseiam-se essencialmente nas três fases do processamento de informação (Entrada de dados (Input), Processamento, Saída de dados (Output)) e diferem dos controlos gerais de quatro formas [Weber 1999]:

• São normalmente executados por Software e Hardware e não por pessoas;
  
  
• São aplicados aos dados e ao processamento de dados em vez de desenvolvimento de sistemas, manutenção e processos operativos;
  
  
• A sua existência em cada uma das aplicações informáticas é uma questão custo/benefício. Por sua vez, a existência dos controlos gerais depende também da análise custo/benefício, mas de todo o conjunto de aplicações informáticas;
  
  
• Tendem a concentrar-se na salvaguarda de bens (reduzindo perdas esperadas por destruição, negligência ou remoção não autorizada de bens) e manutenção da integridade de dados (assegurar que os dados são autorizados, completos, exactos, e não redundantes).

Como estes controlos foram desenhados para prevenir, detectar e corrigir erros e irregularidades à medida que as transacções flúem ao longo do Sistema de Informação, os seus objectivos são específicos da aplicação a que estão agregados. No entanto, em termos gerais, estes controlos têm por objectivo garantir que:

• Os dados preparados para inserir são completos, válidos e fiáveis;
  
  
• Os dados são convertidos para o formato informático e inseridos na aplicação de forma precisa, completa e no devido tempo;
  
  
• Os dados são processados pela aplicação de forma completa, em devido tempo, e de acordo com os requisitos estabelecidos; e
  
  
• O Output é protegido de modificações não autorizadas ou de dano e distribuído de acordo com as políticas definidas.

O auditor avalia e testa a eficácia dos controlos das aplicações através da utilização de diversas técnicas. Estas incluem:

• A observação do funcionamento e execução dos controlos;
  
  
• A análise da documentação relacionada com os controlos das aplicações;
  
  
• Discussão dos controlos com os funcionários; e
  
  
• Questionários, inquéritos e inspecções.

Muitas aplicações são concebidas de forma a darem uma garantia decisiva aos gestores e utilizadores de que os dados e o processamento são correctos, sem lhes exigirem que sejam peritos em SI. Nestes casos, as verificações e os procedimentos de rotina (incluindo os procedimentos manuais) realizados pelo pessoal utilizador podem dar uma garantia suficiente de que os dados e os Outputs são fiáveis. Em muitas situações de auditoria, este nível de garantia será também considerado suficiente pelos auditores [TCE 1999].

A abordagem apresentada neste documento, relativamente aos controlos das aplicações informáticas, contempla seis categorias de controlos, a saber:

1) Controlos de acessos - A aplicação deve permitir o acesso apenas ao pessoal autorizado e qualquer acesso deve ser controlado e registado, bem como qualquer tentativa de acesso não autorizado;

2) Organização e documentação - A responsabilidade sobre as aplicações e os dados deve ser atribuída, os custos com o funcionamento e manutenção das aplicações deve ser conhecido e as aplicações deverão estar devidamente documentadas, tanto ao nível de utilização como de administração;

3) Input - As aplicações devem proporcionar informações que garantam aos utilizadores que os elementos de informação inseridos no sistema são completos, validados e registados em conformidade com as exigências de controlo da gestão;

4) Processamento - Devem existir mecanismos que asseguram que as operações são correctamente processadas e guardadas nos ficheiros adequados;

5) Integridade dos dados - As aplicações devem ser organizadas de forma a provar regularmente que os dados armazenados e permanentes continuam a ser exaustivos e correctos e que a informação que transita nas comunicações não pode ser alterada ou lida por outras pessoas que não os destinatários;

6) Output - A produção, distribuição e destruição de relatórios são controlados de forma a que estes não se extraviem.

Para que estes controlos possam ser verificados, parte-se do princípio que os sistemas que permitem explorar a aplicação a auditar incluem controlos gerais que sejam satisfatórios de forma a permitir a análise da aplicação ou aplicações.