Segurança informática em auditoria |
1. Introdução
De todas as mudanças empresariais até agora, nenhuma foi tão significativa para os profissionais de controlo como a provocada pelas TIC nos últimos trinta anos. O aparecimento da Internet e a sua utilização generalizada para efectuar transacções, na sua maior parte com significado, quer sejam financeiras quer sejam de qualquer outra natureza, condicionaram decisivamente o trabalho dos profissionais de auditoria.
Tomando a banca como exemplo, é hoje possível para um cliente realizar movimentos entre as suas contas mediante o acesso a um website. O cliente pode estar em qualquer parte do globo sem limites geográficos, políticos, físicos ou legais. Também empresas das mais variadas áreas de negócio se servem das tecnologias de informação para integrar os seus sistemas internos e proporcionar interfaces aos seus parceiros que permitam todo o tipo de transacções.
Os circuitos de informação flexibilizaram-se, tornaram-se mais virtuais e deixaram de ser tão fixos como eram conhecidos tradicionalmente. Os suportes de informação tornaram-se voláteis, a fiabilidade dos documentos sobre papel ou electrónicos é mais questionável actualmente.
Nesta fase os profissionais de auditoria sem competências profissionais no domínio das tecnologias de informação perdem a possibilidade de contacto com os suportes de informação e com os dados que eles contêm. A vida complica-se seriamente para os agentes de controlo pouco qualificados!
Entre nós e de acordo com o Banco de Portugal [1], os dados da utilização dos instrumentos de pagamento, de 1989 a 2002, revelam uma tendência muito favorável para os instrumentos electrónicos de pagamento. O rácio “notas e moedas/PIB” variou de 7% para 3,5%, aproximadamente, a parte das transacções por cheque no total variou de 80% para cerca de 30% e a parte das transacções por cartão de pagamento evoluiu de 2% para 57%. Estes números significam uma revolução nos suportes da informação relativos às transacções e um acréscimo nas dificuldades de auditar e certificar transacções.
Esta realidade não é exclusivamente portuguesa, segundo a literatura da especialidade, actualmente as maiores empresas mundiais e cerca de metade das grandes corporações internacionais estão centradas na segunda fase do negócio pela Internet (transacções) obtendo grandes benefícios.
O comércio electrónico é um tema incontornável na economia mundial que afecta Instrumentos Legais associados às transacções económicas, Normas e Metodologias Contabilísticas, Normas e Metodologias de Auditoria.
A visão tradicional da empresa associando-a a um simples organigrama, está hoje modificada pela presença das TIC, a estrutura organizacional suporta maior dispersão das pessoas devido aos meios de comunicação disponíveis, apresenta-se mais difusa e assenta sobre softwares que são sistemas de informação submersos em tecnologia que recolhe, processa, guarda e transporta a informação através de toda a organização. Podemos perspectivar esta nova realidade no seguinte esquema:
Os procedimentos de auditoria direccionados apenas ao nível organizacional superior através de contactos pessoais são insuficientes para obter a evidência suficiente na formação da opinião do auditor porque ignoram o software e o hardware, ou seja, os sistemas de informação e a tecnologia.
A segurança informática é uma consequência desta nova realidade, um aspecto particular da maior importância porque está ligada a todos os sistemas de informação na empresa. Constitui uma preocupação maior na actualidade e continuará a condicionar a fiabilidade dos dados no futuro.
A análise dos aspectos mais relevantes e actuais da segurança informática relacionando-a com a auditoria obriga-nos a apresentar de forma sumária em primeiro lugar os standards de segurança informática. Com efeito a auditoria faz-se de competências profissionais e de standards de referência aceites de forma generalizada.