Abordagem metodológica à auditoria a sistemas de informação

3.5. Testes substantivos

A explicação das normas de auditoria da INTOSAI (ponto 153) [Intosai 1995] estipula que: "… Quando os dados provenientes de um sistema informatizado constituem uma parte importante da auditoria e a sua fiabilidade é essencial para a realização do objectivo de controlo, os auditores devem certificar-se que os dados são fiáveis e pertinentes".

Actualmente grande maioria das entidades utiliza maciçamente as Tecnologias de Informação. Estas, em geral, são usadas para automatizar o seu funcionamento, bem como para registar, processar, manter e apresentar informações. Algumas das características da informação armazenada nos equipamentos que suportam as Tecnologias de Informação são:

• Centralização - A informação encontra-se depositada normalmente num número muito pequeno de sistemas informáticos instalados num único edifício [Arens et al. 1997];
  
  
• Volume - O volume de informação é normalmente muito elevado (uma pequena ou média empresa pode manter com facilidade um volume de registos da ordem das centenas de milhares só para o registo contabilístico);
  
  
• Suporte Standard - O suporte informático onde é mantida a informação é constituído normalmente por bases de dados relacionais que se encontram em discos, tapes, cd, etc.;
  
  
• Acesso concorrencial à informação - A informação mantida nos sistemas informáticos é utilizada em simultâneo por vários utilizadores e aplicações; e
  
  
• Formato - O formato dado à informação é uniforme e permite a interligação entre diferentes tipos de informação. Por exemplo, as diferentes tabelas que suportam um sistema contabilístico, são as tabelas dos registos contabilísticos, clientes, fornecedores, funcionários, produtos, etc., que mantêm ligações entre si de forma a produzirem informação coerente e completa.

Todas estas características facilitam a recolha e o tratamento da informação da entidade objecto da auditoria. Por esta razão, cada vez mais as equipas de auditoria terão de utilizar, como evidência, dados provenientes de sistemas informatizados.

No entanto, apesar de oferecerem vantagens notórias para as organizações, os sistemas informatizados podem também representar grandes riscos. É possível que erros e fraudes não sejam detectados devido à:

• Enorme quantidade de dados controlados pelos sistemas;
  
  
• Possível discrepância entre o que está armazenado nos sistemas e o que é efectivamente apresentado em relatórios; e
  
  
• Necessidade mínima de intervenção humana nos processos.

Devido a estes factores, e não obstante o facto da grande maioria dos sistemas informáticos e aplicações serem desenvolvidos com características que permitam garantir um grau elevado de fiabilidade, o auditor não deve partir do princípio de que os dados extraídos dos sistemas são fiáveis.