20/03/2014. A Auditoria de Sistemas em Sistemas Integrados de Informações (ERP s)

Transcrição

1 Conforme introdução sobre o assunto em parágrafos anteriores, as grandes e médias corporações e os escritórios de contabilidade, fazem uso de sistemas de processamento de dados próprios para execução de suas tarefas. No mercado existe um grande número de empresas de tecnologia que se especializaram, ou segmentaram seus esforços, para sistemas que fossem capazes de integrar e consolidar todas as operações das organizações... de forma a evitar retrabalhos desnecessários, erros em informações digitadas, a não obtenção em tempo real das informações para visualização por outras áreas operacionais, dentre outros problemas. Podemos citar grandes empresas de tecnologia voltadas para este segmento de mercado, como por exemplo: SAP; Oracle; Microsiga; Peoplesoft; Datasul, entre outras. Os sistemas que essas empresas comercializam possuem características semelhantes em seu propósito, ou seja, facilitar a entrada das informações, pois auxilia tanto a área operacional como também serve de suporte para a tomada de decisão. Neste último caso (tomada de decisão), há uma certa confiança por parte dos usuários de que, uma vez imputadas as informações, os sistemas permitirão que as informações requeridas sejam corretamente emitidas destes sistemas. O primeiro cuidado está relacionado ao banco de dados armazenados neste sistema. Pode ocorrer uma situação em que o banco de dados de determinado sistema seja corrompido ou danificado. O que fazer? Por isso, é necessário que a área de Tecnologia de Informação (TI) da companhia tenha uma rotina de geração de cópias de segurança deste banco de dados. 1

2 Quando os dados processados por computador são utilizados pela equipe de auditoria, ou incluídos no relatório apenas com o propósito de fornecer um histórico ou relatar fatos não significativos para os resultados do trabalho, a citação da fonte dos dados no relatório normalmente será suficiente para estabelecer a confiabilidade das informações apresentadas. Se esses dados servirem como o principal instrumento para se atingir os objetivos de auditoria, a equipe deve atestar sua confiabilidade mediante a prática de procedimentos de avaliação, tanto dos dados quanto do sistema que os processou. Os dados somente poderão ser considerados confiáveis se forem completos (sem omissões ou inclusões indevidas, capazes de distorcer as análises) e exatos (sem incorreções significativas nos valores atribuídos). Eles não precisam estar 100% corretos, mas têm que representar adequadamente o universo auditado. Para que um sistema seja bem avaliado pela auditoria de sistemas, é preciso que esta auditoria tenha confiabilidade neste sistema. Tal confiabilidade aumenta de acordo com o nível de controle que a organização / empresa auditada possui. Se houver ausência de documentos ou de evidências que provem a segurança do sistema, a auditoriapode entenderque há uma vulnerabilidade considerável, que pode ser em função de: VULNERABILIDADE Sistemas antigos, que exigem muita manutenção; VULNERABILIDADE Atividades de atualização muito freqüentes; Grande volume de dados; Alta rotatividade de pessoal (digitadores, operadores, programadores, analistas) e treinamento inadequado ou em escala insuficiente; 2

3 É bem improvável que um sistemade computador esteja completamente livre de erros, porém a confiabilidade, discutida aqui nos parágrafos anteriores, não exige dados perfeitos. Porém, há que se avaliar a integridade e autenticidade das informações, através de testes próprios em auditoria de sistemas, a saber: Testes da integridade dos dados: Determinam se o universo contém todos os elementos de dados e registros relevantes para o objetivo de auditoria, no período abrangido. A omissão de dados éparticularmente danosase ela representar um segmento específico da população total (exemplo: todos os pagamentos efetuados a um mesmo fornecedor); Testes de autenticidade dos dados: verificam se os dados computadorizados refletem com exatidão sua fonte(os registros de entrada de dados devem reproduzir fielmente os documentosfonte) Testes de exatidão do processamento: informam se todos os registros relevantes foram processados de forma completa e se todos os processamentos atenderam aos objetivos préestabelecidos. Além dos testes acima, faz-se necessário avaliar a existência dos controles internos que permitam trazer também maior grau de confiabilidade no sistema, a saber: Controle de segurança: garantir que os computadores e os dados processados estão adequadamente protegidos contra roubo, perda, acesso não autorizado e desastres naturais. 3

4 Controle da entrada de dados: São projetados para garantir que os dados sejam convertidos para um formato padrão e inseridos na aplicação de forma precisa, completa e tempestiva. Devem ser verificados os seguintes itens: 1. Procedimentos documentados para a inserção de dados na aplicação; 2. Procedimentos de autorização física ou eletrônica para os registros de entrada; 3. Medidas de segurança para limitar o acesso aos terminais de entrada e validar a inscrição de usuários; 4. Validação de todos os campos de dados, antes de sua entrada no sistema; 5. Análise periódica do arquivo de processamento interrompido para examinar a taxa de erro de entrada de dados e a situação dos registros não corrigidos; 6. Medidas corretivas para redução de taxas de erro excessivas; 7. Controle da integridade dos dados de entrada, por meio da confrontação entre total de registros inseridos (registros rejeitados + registros aceitos) e o total de documentos de origem. Outro aspecto importante relacionado à auditoria de sistemas está ligado diretamente ao controle de acesso às informações e à segregação de função, onde nenhum indivíduo deve ter o controle completo sobre funções de processamento incompatíveis (exemplos: entrada de dados e verificação da validade dos dados; entrada de dados e conferência dos dados de saída; cadastro de notas fiscais e recebimento de bens e assim por diante). Qualidade dos Controles do Programa de Segurança A segurança constitui fator imprescindível para a auditoria de sistemas, onde os elementos críticos que definem a qualidade dos controles do programa de segurança são: Avaliação periódica do risco; Documentação do programa de segurança; Estrutura de gerência de segurança com atribuição clara de responsabilidades; Políticas de segurança eficazes; Supervisão da eficácia do programa de segurança. Política de Prevenção de Danos Paralelamente aos procedimentos acima, outro ponto de grande relevância é a política de prevenção de danos e interrupções potenciais. Este procedimento envolve a cópia de segurança dos arquivos e da documentação dos sistemas, que são providenciadas e deslocadas para um local externo de armazenamento, com freqüência suficiente para evitar problemas em caso de perda ou dano dos arquivos em uso. Além disso, o local de armazenamento deve estar localizado geograficamente distante da sede da organização e protegido por controles ambientais e de acesso físico. 4

5 Resumo Foi possível compreender que numa Auditoria de Sistemas devem-se considerar aspectos como confiabilidade do sistema, consistência de informações, a segurança proporcionada pelo sistema, a exatidão, integridade e autenticidade das informações e os procedimentos de auditoria adotados para se validar tais aspectos. 5