Auditores de Tecnologia da Informação (TI) têm realizado contribuições para as auditorias financeiras quase desde o início da era de TI, quando entidades, além de órgãos governamentais, começaram a utilizar computadores para os processos de negócio relacionados a aspectos financeiros. De fato, alguns auditores de TI foram pioneiros na criação da maioria das técnicas e procedimentos que eles utilizaram—muitas das quais se transformaram triviais, como por exemplo, utilizar TI como uma ferramenta de auditoria (reconciliação de inventários com registros electrónicos).
- Segregação de funções em TI;
- Recursos de testes integrados (Integrated Test Facilities, ITFs);
- Software de auditoria generalizados;
- (Também conhecidos como Técnicas de Auditoria Auxiliada por Computadores, TAACs, ou Computer-Assisted Audit Tools, CAATs).
Através dos anos, a literatura técnica da auditoria financeira tem enfatizado a importância e a necessidade de auditores de TI nas auditorias financeiras, como por exemplo, o “Statement on Audit Standards” (SAS) número 94, “O efeito da Tecnologia da Informação nas considerações dos auditores de controles internos em uma Auditoria das Demonstrações Financeiras.”
Obviamente, o ato americano “Sarbanes-Oxley” de 2002 também aumentou a importância e a necessidade de auditores de TI em auditorias financeiras, especialmente na avaliação de controles e integrando os resultados numa abordagem de auditoria baseada em riscos (Risk Based Approach, RBA), para entidades de capital aberto. Mas, a adoção dos padrões baseados em riscos (SAS Número 104-111) de 2006, provavelmente aumentou a importância e a necessidade de auditores de TI mais que qualquer outro padrão anterior ou evento desde o advento de computadores nos negócios.
Este artigo descreve algumas das contribuições chave que os auditores de TI podem fazer em uma auditoria financeira. Estes benefícios potenciais devem ser razões para assegurar que os auditores de TI sejam utilizados no maior potencial possível nas auditorias financeiras.
Testes de Controles
A primeira contribuição é a mais tradicional: testes de controles (Tests of Controls, ToC). Quando a equipe de auditoria financeira planeja confiar em um ou mais controles, estes controles precisam ser testados para assegurar de que eles estão operando efectivamente durante todo o período financeiro. Hoje, isto geralmente significa um controle automatizado e, desta maneira, existe a necessidade de um auditor de TI. (Ex. um Auditor de Sistemas de Informação Certificado, Certified Information Systems Auditor, CISA).
Existem alguns pontos-chave para a efectiva utilização do ToC que os auditores de TI precisam saber e entender. Primeiro, há um benefício de alto potencial no uso do ToC quando existe um controle automatizado cujo objectivo seja essencialmente o mesmo que um objectivo da auditoria para algum procedimento futuro de auditoria (eles se sobrepõem). Quando existe esta situação, existe um potencial de ganhar eficiência (ex: menos trabalho) e efectividade (por exemplo, testando em 100%). Segundo, se o ToC será realizado, o auditor de TI deve ter suficiente segurança da efectividade dos controles gerais de TI. Terceiro, os padrões de abordagem com base em riscos exige que os controles relevantes de TI estejam devidamente desenhados e implantados. O auditor de TI precisará evidenciar esta situação, que deveria estar nos resultados da fase de avaliação de risco da auditoria financeira. Um último ponto importante: é possível, sob certas circunstâncias, para o auditor de TI conduzir um teste de uma única transação e estar em conformidade com a literatura técnica (“Public Company Accounting Oversight Board[PCAOB]’s Auditing Standards” e a “American Institute of Certified Public Accountants’ SAS”).
A natureza específica do ToC varia, mas pode incluir a necessidade de processar uma transação no sistema operacional (muitas vezes impraticável), obtendo uma cópia do software e testando o controle em um dos computadores da empresa (difícil se o software não for um produto comercial comum), efetuando os testes em uma área específica6, ou algum outro processo válido.
CAATS
A utilização dos CAATS é, naturalmente, outra atividade tradicional e bem freqüente para auditores de TI em uma auditoria financeira. A utilização dos CAATS é muitas vezes associada com Data Mining7 (extração de dados) e análise de dados. A análise de dados é geralmente associada tanto com a coleta de evidências quanto nos testes de certos objetivos de auditoria. (por exemplo, testes para certas anomalias).
Talvez, nenhuma outra ferramenta ou técnica é tão valiosa para o auditor de TI quanto os CAATS. Também é importante notar que os CAATS continuam a avançar em suas capacidades e funcionalidades. Por exemplo, nos últimos meses, diversos CAATS são capazes agora de ler arquivos PDFs e/ou documentos digitais e realizar com segurança o processo de extracção de dados.
Portanto, é importante que os auditores de TI desenvolvam aptidão e habilidades suficientes para a utilização de CAATs a fim de estarem preparados para prover o máximo de benefícios para uma auditoria.8 Os auditores de TI precisam conhecer os CAATs disponíveis no mercado, avaliar as necessidades da auditoria, e identificar o ajuste adequado para a combinação de ferramentas e objectivos da auditoria.
Procedimentos Substantivos Relacionados a TI
Procedimentos substantivos relacionados a TI são bastante relacionados a utilização de CAATs. Eles podem ser utilizados para suportar, complementar ou substituir procedimentos substantivos adicionais de auditoria. É comum para um auditor de TI experiente realizar um “brainstorming” com a equipe de auditoria durante o desenvolvimento do plano e procedimentos de auditoria e também para o auditor de TI identificar as oportunidades de ganhar eficiência ou efectividade incluindo um procedimento relacionado a TI.
Isto pode tão simples quanto utilizar um CAAT para gerar dados de amostra para um teste substantivo. Somente pela utilização desta técnica isoladamente, tem sido percebida uma redução significativa de trabalho.
Obviamente, isto pode ser mais sofisticado. Por exemplo, o auditor de TI pode sugerir a substituição de um procedimento substantivo manual relacionado a eventos subsequentes nos testes sobre passivos. Especificamente, o auditor de TI pode extrair todas as contas pagas no primeiro mês de um novo ano fiscal, utilizar os conjuntos de dados de facturas que foram registradas no último mês (ano fiscal sendo auditado) e identificar qualquer obrigação que não foi devidamente registrada. O processo tradicional normalmente envolve horas, mesmo que exista um montante de corte (“cutoff”), extraindo as faturas e rastreando/auditando as transacções. Além de uma provável redução de trabalho, esta abordagem de TI testa 100% das transacções.
Valor Agregado Nos Comentários da Administração
O benefício dos comentários da administração pode ser negligenciado ou mal interpretado. Durante o processo no qual os auditores de TI direccionam os seus esforços para o risco de erros materiais (Risk of Material Misstatement, RMM) e a auditoria financeira foca no processo de avaliação dos controles na etapa de avaliação de risco ou na execução de procedimentos de auditoria, os auditores de TI provavelmente vão descobrir algo “quebrado” no ambiente de TI que a administração provavelmente tenha interesse em “consertar”. Em particular, aparentemente questões relacionadas à segurança surgem em muitas auditorias. É também provável que a equipe de auditoria ao indicar para a administração um risco de segurança, mesmo que este seja irrelevante para o RMM, a gerência sempre será grata por ser informada.
Por exemplo, em uma organização com excelentes controles de acesso na camada da aplicação e na camada do servidor/rede, mas controles pobres no perímetro, é provável que o auditor de TI e a equipe de auditoria decidam que a fraqueza do perímetro é irrelevante para os propósitos da auditoria financeira porque os controles de acesso próximos dos dados nas outras duas áreas compensam a fraqueza do perímetro. Todavia, a administração provavelmente apreciaria ser informada sobre a natureza daquela exposição e também sobre qualquer recomendação para mitigar o risco de perímetro. Estes tipos de comentários agregam um valor intangível à auditoria.
Devido à natureza dos comentários de TI, normalmente é necessário um auditor de TI para reconhecer estas oportunidades de agregar valor aos comentários da administração. Portanto, o auditor de TI precisa se tornar um auditor “cirurgião” na avaliação do ambiente de TI— separar o que é relevante, fazer uma contribuição para a auditoria e deixar o resto de fora—mas, simultaneamente, examinar ambas as partes para identificar valor para o cliente por meio de comentários da administração.
Auditoria Integrada
Auditores de TI podem frequentemente ver oportunidades para os benefícios previamente identificados pela sua participação, que os auditores financeiros (sem experiência em TI) podem não ser capazes de identificar. De fato, alguns auditores de TI possuem a reputação de sempre agregar valor a uma auditoria devido a sua habilidade para fornecer alguns benefícios listados anteriormente. Não obstante, o auditor de TI pode sempre contribuir para a auditoria financeira trazendo uma avaliação precisa do RMM, o risco inerente associado a TI e o risco de controle.
O “RBA auditing standards” descreve um processo pelo qual os auditores executam uma abordagem rigorosa para identificar com precisão o nível do risco nas contas de balanços, classes de transacções e divulgações. Isto é, cada aspecto é avaliado em seu próprio nível de risco sem pressupostos pré-auditoria. Ou seja, para aqueles aspectos com um alto RMM, a equipe de auditoria desenvolve testes de relativa alta potência; para os riscos moderados, testes de potência moderada; e para os riscos baixos, testes baixos (por ex.: os padrões RBA requerem o alinhamento dos riscos com sua natureza, tempo e extensão dos procedimentos de auditoria). O pressuposto no RBA é de que a equipe de auditoria iniciará os seus trabalhos com um gabarito limpo a cada ano, embora auditorias anteriores e outras informações sejam chaves para a fase de planejamento de auditoria. Um processo que isole ou ignore o trabalho dos auditores de TI na fase de avaliação de riscos, ou que ignore o relatório de avaliação de riscos, claramente viola o espírito dos padrões da RBA. Portanto, o auditor de TI precisa realizar todo esforço possível para estar engajado e envolvido na fase de planejamento de auditoria, e trazer evidências, conclusões e informações sobre controles e riscos naqueles processos, de modo a finalizar com um plano de auditoria optimizado.
O PCAOB é enfático neste assunto: é uma só auditoria, não duas.
Conclusão
Este artigo tenta descrever alguns dos maiores benefícios que um auditor de TI pode trazer para uma auditoria financeira. Estão incluídos benefícios tangíveis, como economia de esforço de trabalho, e intangíveis, como qualidade de auditoria e valor agregado nos comentários da administração. A lista não pretende ser exaustiva, mas é ilustrativa e contém os benefícios mais comuns. De maneira geral, os auditores de TI vão querer se familiarizar com estas áreas onde existem oportunidades para se tornarem parceiros valiosos nas auditorias financeiras e, propositalmente, para desenvolver suas habilidades nestas áreas. Obviamente, a chave para se obter sucesso nestas áreas é ser persuasivo e articulado na apresentação destas possibilidades para sócios e gerentes da auditoria.
