Como o Auditor de TI Pode Fazer Contribuições Substantivas Para uma Auditoria Financeira 

 
Download Article

Fonte: ISACA Journal – Volume 1, 2011 – Autor: Tommie W. Singleton How the IT Auditor Can Make Substantive Contributions to a Financial Audit, by Tommie Singleton, has been translated from English into Portuguese by KPMG and reviewed by ISACA Sao Paulo Chapter. ©2011 ISACA All rights reserved. No part of this publication may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

Auditores de Tecnologia da Informação (TI) têm realizado contribuições para as auditorias financeiras quase desde o início da era de TI, quando entidades, além de órgãos governamentais, começaram a utilizar computadores para os processos de negócio relacionados a aspectos financeiros. De fato, alguns auditores de TI foram pioneiros na criação da maioria das técnicas e procedimentos que eles utilizaram—muitas das quais se transformaram triviais, como por exemplo, utilizar TI como uma ferramenta de auditoria (reconciliação de inventários com registros eletrônicos),1 segregação de funções em TI,2 recursos de testes integrados (Integrated Test Facilities, ITFs),3 software de auditoria generalizados4 (também conhecidos como Técnicas de Auditoria Auxiliada por Computadores, TAACs, ou Computer-Assisted Audit Tools, CAATs).

Através dos anos, a literatura técnica da auditoria financeira tem enfatizado a importância e a necessidade de auditores de TI nas auditorias financeiras, como por exemplo, o “Statement on Audit Standards” (SAS) número 94, “O efeito da Tecnologia da Informação nas considerações dos auditores de controles internos em uma Auditoria das Demonstrações Financeiras.”5 Obviamente, o ato americano “Sarbanes-Oxley” de 2002 também aumentou a importância e a necessidade de auditores de TI em auditorias financeiras, especialmente na avaliação de controles e integrando os resultados numa abordagem de auditoria baseada em riscos (Risk Based Approach, RBA), para entidades de capital aberto. Mas, a adoção dos padrões baseados em riscos (SAS Número 104-111) de 2006, provavelmente aumentou a importância e a necessidade de auditores de TI mais que qualquer outro padrão anterior ou evento desde o advento de computadores nos negócios.

Este artigo descreve algumas das contribuições chave que os auditores de TI podem fazer em uma auditoria financeira. Estes benefícios potenciais devem ser razões para assegurar que os auditores de TI sejam utilizados no maior potencial possível nas auditorias financeiras.

Testes de Controles

A primeira contribuição é a mais tradicional: testes de controles (Tests of Controls, ToC). Quando a equipe de auditoria financeira planeja confiar em um ou mais controles, estes controles precisam ser testados para assegurar de que eles estão operando efetivamente durante todo o período financeiro. Hoje, isto geralmente significa um controle automatizado e, desta maneira, existe a necessidade de um auditor de TI. (Ex. um Auditor de Sistemas de Informação Certificado, Certified Information Systems Auditor, CISA).

Existem alguns pontos chave para a efetiva utilização do ToC que os auditores de TI precisam saber e entender. Primeiro, há um benefício de alto potencial no uso do ToC quando existe um controle automatizado cujo objetivo seja essencialmente o mesmo que um objetivo da auditoria para algum procedimento futuro de auditoria (eles se sobrepõem). Quando existe esta situação, existe um potencial de ganhar eficiência (ex: menos trabalho) e efetividade (por exemplo, testando em 100%). Segundo, se o ToC será realizado, o auditor de TI deve ter suficiente segurança da efetividade dos controles gerais de TI. Terceiro, os padrões de abordagem com base em riscos exigem que os controles relevantes de TI estejam devidamente desenhados e implantados. O auditor de TI precisará evidenciar esta situação, que deveria estar nos resultados da fase de avaliação de risco da auditoria financeira. Um último ponto importante: é possível, sob certas circunstâncias, para o auditor de TI conduzir um teste de uma única transação e estar em conformidade com a literatura técnica (“Public Company Accounting Oversight Board[PCAOB]’s Auditing Standards” e a “American Institute of Certified Public Accountants’ SAS”).

A natureza específica do ToC varia, mas pode incluir a necessidade de processar uma transação no sistema operacional (muitas vezes impraticável), obtendo uma cópia do software e testando o controle em um dos computadores da empresa (difícil se o software não for um produto comercial comum), efetuando os testes em uma área específica6, ou algum outro processo válido.

CAATS

A utilização dos CAATS é, naturalmente, outra atividade tradicional e bem freqüente para auditores de TI em uma auditoria financeira. A utilização dos CAATS é muitas vezes associada com Data Mining7 (extração de dados) e análise de dados. A análise de dados é geralmente associada tanto com a coleta de evidências quanto nos testes de certos objetivos de auditoria. (por exemplo, testes para certas anomalias).

Talvez, nenhuma outra ferramenta ou técnica é tão valiosa para o auditor de TI quanto os CAATS. Também é importante notar que os CAATS continuam a avançar em suas capacidades e funcionalidades. Por exemplo, nos últimos meses, diversos CAATS são capazes agora de ler arquivos PDFs e/ou documentos digitais e realizar com segurança o processo de extração de dados.

Portanto, é importante que os auditores de TI desenvolvam aptidão e habilidades suficientes para a utilização de CAATs a fim de estarem preparados para prover o máximo de benefícios para uma auditoria.8 Os auditores de TI precisam conhecer os CAATs disponíveis no mercado, avaliar as necessidades da auditoria, e identificar o ajuste adequado para a combinação de ferramentas e objetivos da auditoria.

Procedimentos Substantivos Relacionados a TI

Procedimentos substantivos relacionados a TI são bastante relacionados a utilização de CAATs. Eles podem ser utilizados para suportar, complementar ou substituir procedimentos substantivos adicionais de auditoria. É comum para um auditor de TI experiente realizar um “brainstorming” com a equipe de auditoria durante o desenvolvimento do plano e procedimentos de auditoria e também para o auditor de TI identificar as oportunidades de ganhar eficiência ou efetividade incluindo um procedimento relacionado a TI.

Isto pode tão simples quanto utilizar um CAAT para gerar dados de amostra para um teste substantivo. Somente pela utilização desta técnica isoladamente, tem sido percebida uma redução significativa de trabalho.

Obviamente, isto pode ser mais sofisticado. Por exemplo, o auditor de TI pode sugerir a substituição de um procedimento substantivo manual relacionado a eventos subseqüentes nos testes sobre passivos. Especificamente, o auditor de TI pode extrair todas as contas pagas no primeiro mês de um novo ano fiscal, utilizar os conjuntos de dados de faturas que foram registradas no último mês (ano fiscal sendo auditado) e identificar qualquer obrigação que não foi devidamente registrada. O processo tradicional normalmente envolve horas, mesmo que exista um montante de corte (“cutoff”), extraindo as faturas e rastreando/auditando as transações. Além de uma provável redução de trabalho, esta abordagem de TI testa 100% das transações.

Valor Agregado Nos Comentários da Administração

O benefício dos comentários da administração pode ser negligenciado ou mal interpretado. Durante o processo no qual os auditores de TI direcionam os seus esforços para o risco de erros materiais (Risk of Material Misstatement, RMM) e a auditoria financeira foca no processo de avaliação dos controles na etapa de avaliação de risco ou na execução de procedimentos de auditoria, os auditores de TI provavelmente vão descobrir algo “quebrado” no ambiente de TI que a administração provavelmente tenha interesse em “consertar”. Em particular, aparentemente questões relacionadas à segurança surgem em muitas auditorias. É também provável que a equipe de auditoria ao indicar para a administração um risco de segurança, mesmo que este seja irrelevante para o RMM, a gerência sempre será grata por ser informada.

Por exemplo, em uma organização com excelentes controles de acesso na camada da aplicação e na camada do servidor/rede, mas controles pobres no perímetro, é provável que o auditor de TI e a equipe de auditoria decidam que a fraqueza do perímetro é irrelevante para os propósitos da auditoria financeira porque os controles de acesso próximos dos dados nas outras duas áreas compensam a fraqueza do perímetro. Todavia, a administração provavelmente apreciaria ser informada sobre a natureza daquela exposição e também sobre qualquer recomendação para mitigar o risco de perímetro. Estes tipos de comentários agregam um valor intangível à auditoria.

Devido à natureza dos comentários de TI, normalmente é necessário um auditor de TI para reconhecer estas oportunidades de agregar valor aos comentários da administração. Portanto, o auditor de TI precisa se tornar um auditor “cirurgião” na avaliação do ambiente de TI—separar o que é relevante, fazer uma contribuição para a auditoria e deixar o resto de fora—mas, simultaneamente, examinar ambas as partes para identificar valor para o cliente por meio de comentários da administração.

Auditoria Integrada

Auditores de TI podem frequentemente ver oportunidades para os benefícios previamente identificados pela sua participação, que os auditores financeiros (sem experiência em TI) podem não ser capazes de identificar. De fato, alguns auditores de TI possuem a reputação de sempre agregar valor a uma auditoria devido a sua habilidade para fornecer alguns benefícios listados anteriormente. Não obstante, o auditor de TI pode sempre contribuir para a auditoria financeira trazendo uma avaliação precisa do RMM, o risco inerente associado a TI e o risco de controle.

O “RBA auditing standards” descreve um processo pelo qual os auditores executam uma abordagem rigorosa para identificar com precisão o nível do risco nas contas de balanços, classes de transações e divulgações. Isto é, cada aspecto é avaliado em seu próprio nível de risco sem pressupostos pré-auditoria. Ou seja, para aqueles aspectos com um alto RMM, a equipe de auditoria desenvolve testes de relativa alta potência; para os riscos moderados, testes de potência moderada; e para os riscos baixos, testes baixos (por ex.: os padrões RBA requerem o alinhamento dos riscos com sua natureza, tempo e extensão dos procedimentos de auditoria). O pressuposto no RBA é de que a equipe de auditoria iniciará os seus trabalhos com um gabarito limpo a cada ano, embora auditorias anteriores e outras informações sejam chaves para a fase de planejamento de auditoria. Um processo que isole ou ignore o trabalho dos auditores de TI na fase de avaliação de riscos, ou que ignore o relatório de avaliação de riscos, claramente viola o espírito dos padrões da RBA. Portanto, o auditor de TI precisa realizar todo esforço possível para estar engajado e envolvido na fase de planejamento de auditoria, e trazer evidências, conclusões e informações sobre controles e riscos naqueles processos, de modo a finalizar com um plano de auditoria otimizado.

O PCAOB é enfático neste assunto: é uma só auditoria, não duas.

Conclusão

Este artigo tenta descrever alguns dos maiores benefícios que um auditor de TI pode trazer para uma auditoria financeira. Estão incluídos benefícios tangíveis, como economia de esforço de trabalho, e intangíveis, como qualidade de auditoria e valor agregado nos comentário da administração. A lista não pretende ser exaustiva, mas é ilustrativa e contém os benefícios mais comuns. De maneira geral, os auditores de TI vão querer se familiarizar com estas áreas onde existem oportunidades para se tornarem parceiros valiosos nas auditorias financeiras e, propositalmente, para desenvolver suas habilidades nestas áreas. Obviamente, a chave para se obter sucesso nestas áreas é ser persuasivo e articulado na apresentação destas possibilidades para sócios e gerentes da auditoria.

Notas Finais

1 Criado por Frank Howell, Força Aérea Dos EUA(USAF), Auditor General’s Staff, publicado no boletim N.A.C.A. – Junho de 1956.
2 Criado pela Força Aérea Dos EUA. Um artigo com o assunto foi publicado pela USAF em 1961.
3 O conceito “ITF” foi criado por William Perry na Kodak. ITF é uma unidade fictícia de negócio incorporada nos sistemas da organização de modo suas transações não afetem a as transações financeiras legítimas. Hoje, a área de testes serve ao mesmo propósito, mas não está incorporada aos sistemas de produção.
4 A ferramenta AUDITAPE foi introduzida em 1967 e desenvolvida primeiramente por Ken Stringer da Haskins & Sells.
5 Veja Cerullo, Virginia, Michael Cerullo: “Impact of SAS No. 94 on Computer Audit Techniques” – Information Systems Control Journal, vol. 1, 2003, para mais informações no impacto deste padrão em particular.
6 Uma área de testes é um local especial onde o sistema da organização é utilizado offline para propósito de testes.
7 Veja Singleton, Tommie W.; “Data Extraction, A Hindrance to Using CAATs,” – ,” ISACA Journal, vol. 6, 2010, para mais informações neste passo chave.
8 O ISACA Journal regularmente publica artigos eficazes sobre CAATs, e portanto esta seção não entra em detalhes sobre como utilizar CAATs. Ela meramente endereça a importância que os CAATs possuem auditorias financeiras em geral. Para informações adicionais, veja ISACA’s IT Audit and Assurance Guideline G3 Use of CAATs, www.isaca.org/standards.

Tommie W. Singleton, Ph.D., CISA , CGEIT , CIT P,CMA, CPA
é professor associado de Sistemas da Informação (SI) na Universidade do Alabama em Birmingham (USA), um estudioso honorário de sistemas da informação e diretor do programa de Contabilidade Forense. Antes de obter seu doutorado em contabilidade na Universidade de Mississipi (USA) em 1995, Singleton foi presidente de uma pequena empresa que comercializava sistemas de informação contábeis utilizando microcomputadores. Singleton é também um pesquisador em auditoria de TI e contabilidade forense na Carr Riggs Ingram, uma grande empresa regional de auditoria, no sudeste dos Estados Unidos. Em 1999, a Alabama Society of CPAs premiou Singleton com o “Premio de Usuário Inovador de Tecnologia”. Singleton é associado acadêmico da ISACA na Universidade do Alabama em Birmingham. Seus artigos sobre Fraude, Tecnologia da informação/ Sistemas da informação, Auditoria de TI e Governança de TI possuem numerosas publicações, incluindo o ISACA Journal.