Segurança informática em auditoria

5. Conclusão

Como se referiu, tanto o sector público como o sector privado, dispõem de sistemas de informação que funcionam através de software variadíssimo, sobre computadores e circuitos de comunicações dispersos, torna-se pouco aconselhável que alguém se pronuncie sobre um mapa em papel sem previamente saber quem produziu os dados que contém, por onde passaram, quem os guarda e para onde foram enviados.

Assim, em nosso entender, a certificação de informação relativa a um período de tempo, pressupõe uma avaliação da qualidade e do controlo dos sistemas que a processam. A dispersão dos sistemas e a facilidade de alteração e cópia dos dados é tal que o auditor deve acautelar a sua opinião.

A tendência dos sistemas de informação da generalidade das entidades é para a interligação com outros, formando macrosistemas de informação que importa conhecer, controlar e auditar. Por exemplo, os grandes grupos económicos dispõem de contabilidades interligadas e controladas internamente com possibilidade de balancear diariamente os resultados previstos, podendo actuar sobre os preços de transferência dos produtos e serviços em função das conveniências. Ao nível do Estado temos também os sistemas de controlo da receita, tesouraria e despesa pública que incluem, designadamente, vários serviços e subsistemas, algumas dezenas de programas de contabilidade espalhados pelas entidades.

Assim, a avaliação do controlo interno quando existem meios informáticos nos sistemas de informação auditados, só pode ser levada a cabo por auditores que saibam valorizar o efeito desses meios na respectiva fiabilidade e integridade dos dados. A ideia de que é possível auditar à volta do computador, ou que basta introduzir dados de teste nos sistemas e observar os resultados, é considerada hoje demasiado simplista para ser usada isoladamente em auditoria.

Ainda que actualmente se defenda, numa óptica de análise de custo-benefício no curto prazo, que é preferível contratar serviços externos para cobrir esta necessidade, existem pelo menos três razões que aconselham alguma prudência nessa abordagem:

ü Quem contrata serviços deve saber sempre o que está a contratar (uma entidade responsável pelo controlo financeiro, não deve depender de outra para saber o que deve contratar para executar a sua missão);

ü O auditor responsável pela opinião emitida deve primeiro entender / compreender / conhecer, para depois saber valorizar o que lhe é transmitido (isto é, mesmo que alguém contrate os serviços especializados por ele, isso não dispensa a capacidade técnica para os integrar na sua opinião);

ü Os serviços contratados externamente são, em regra, extremamente caros e o conhecimento adquirido com cada intervenção perde-se, porque fica no exterior da organização, não sendo possível a sua reutilização em idênticas acções de auditoria no futuro.