Segurança informática em auditoria |
5. Conclusão
Como se referiu, tanto o sector público como o sector privado, dispõem de sistemas de informação que funcionam através de software variadíssimo, sobre computadores e circuitos de comunicações dispersos, torna-se pouco aconselhável que alguém se pronuncie sobre um mapa em papel sem previamente saber quem produziu os dados que contém, por onde passaram, quem os guarda e para onde foram enviados.
Assim, em nosso entender, a certificação de informação relativa a um período de tempo, pressupõe uma avaliação da qualidade e do controlo dos sistemas que a processam. A dispersão dos sistemas e a facilidade de alteração e cópia dos dados é tal que o auditor deve acautelar a sua opinião.
A tendência dos sistemas de informação da generalidade das entidades é para a interligação com outros, formando macrosistemas de informação que importa conhecer, controlar e auditar. Por exemplo, os grandes grupos económicos dispõem de contabilidades interligadas e controladas internamente com possibilidade de balancear diariamente os resultados previstos, podendo actuar sobre os preços de transferência dos produtos e serviços em função das conveniências. Ao nível do Estado temos também os sistemas de controlo da receita, tesouraria e despesa pública que incluem, designadamente, vários serviços e subsistemas, algumas dezenas de programas de contabilidade espalhados pelas entidades.
Assim, a avaliação do controlo interno quando existem meios informáticos nos sistemas de informação auditados, só pode ser levada a cabo por auditores que saibam valorizar o efeito desses meios na respectiva fiabilidade e integridade dos dados. A ideia de que é possível auditar à volta do computador, ou que basta introduzir dados de teste nos sistemas e observar os resultados, é considerada hoje demasiado simplista para ser usada isoladamente em auditoria.
Ainda que actualmente se defenda, numa óptica de análise de custo-benefício no curto prazo, que é preferível contratar serviços externos para cobrir esta necessidade, existem pelo menos três razões que aconselham alguma prudência nessa abordagem: