Abordagem metodológica à auditoria a sistemas de informação

3.6. Relatório

O relatório constitui o "meio de expressar e transmitir os resultados do trabalho efectuado, sendo, por consequência, um elemento crucial desse trabalho, na medida em que dele depende largamente a respectiva eficácia final" [IGF 2000].

O documento "Linhas de Orientação para a Qualidade" da Inspecção-Geral de Finanças [IGF 2000] especifica que o relatório deve ser de carácter sintético, conclusivo e operacional e deve fornecer de forma fácil, clara e apelativa os elementos necessários para a tomada de decisão.

A estrutura básica mínima deve ser assente nos seguintes pontos:

• Introdução - Identifica sumariamente a questão que é objecto de relatório, os objectivos do trabalho, o método utilizado e o âmbito considerado;
  
  
• Resultados obtidos - São evidenciadas as situações constatadas e o significado e relevância das eventuais desconformidades;
  
  
• Conclusões - Indica as conclusões obtidas do trabalho;
  
  
• Recomendações - Lista as medidas necessárias à correcção das situações anómalas detectadas;
  
  
• Propostas - Propõe um conjunto de tomadas de decisão, a um nível superior, que assegurem a adequada tramitação, seguimento e eficácia do relatório.

O relatório deverá discutir cada fraqueza em termos dos critérios e condições em que foi identificada, as causas da fraqueza, e o impacte actual e potencial na entidade e nos que confiam na informação da entidade. Esta informação ajuda a gestão de topo a entender o significado da fraqueza e a desenvolver acções correctivas adequadas.

A opinião em relação aos controlos internos deve ser formada com base na avaliação combinada dos controlos internos da entidade. Ao avaliar os resultados da auditoria e ao desenvolver a opinião, nos trabalhos de auditoria financeira cuja base são Sistemas de Informação informatizados, "os auditores financeiros e os auditores de SI devem trabalhar em conjunto para que os resultados da avaliação dos controlos dos SI sejam adequadamente relatados" [USGAO 1999] [IGAE 2000].

Ao concluir sobre a eficácia, deve ser determinado se alguma fraqueza que tenha sido identificada é suficientemente significativa para ser relatada, e se qualquer destas situações representam fraquezas materialmente relevantes.

Quando os auditores estão na posse de informações demasiado técnicas, sobre as fraquezas dos controlos, estas muitas vezes não têm significado para a maioria dos utilizadores do relatório de auditoria, nomeadamente a maioria dos gestores de topo. No entanto, esta informação é valiosa para o Staff técnico da entidade, porque lhes permite conhecer as causas precisas das fraquezas dos controlos e desenvolver as acções correctivas mais adequadas.

Este tipo de informações, a constar do relatório, deverão estar em anexo e se necessário expostas directamente ao Staff técnico da entidade através de entrevistas.