As Dificuldades De Auditar Sistemas De Informação E A Determinação Do Valor Acrescentado Da Informação - in Revista do Instituto de Informática (nº 13/1994)

Convém referir antecipadamente que a questão central de todas as auditorias se encontra na avaliação do controlo interno

 

---

A forma como os manuais de auditoria descrevem a determinação do grau de confiança do controlo interno, ponto de partida para qualquer trabalho de auditoria, como se pode ler nos manuais de auditoria e nas normas internacionais, designadamente da IFAC (Internacional Federation of Accountants), são tão exigentes que a sua utilização plena pode inviabilizar esse mesmo trabalho. Mas mesmo que o auditor as pretenda respeitar plenamente, o facto de trabalhar em sistemas de informação automatizados pode constituir um sério obstáculo às tarefas relativas à determinação do controlo interno.

Convém referir que a questão central de todas as auditorias se encontra na avaliação do controlo interno feita antes da observação de uma área específica. À medida que as tecnologias de informação invadem as organizações, o ambiente de trabalho do auditor torna-se cada vez mais complexo e a sua avaliação torna-se também cada vez mais difícil.

Sabemos que a generalidade das organizações não dispõe de um plano global do seu sistema de informação, onde conste a planificação interna dos principais circuitos de informação (na sua maior parte implementados em software), estruturas de dados relevantes e respectivos suportes.

Nestas circunstâncias, a forma mais corrente de auditar a organização parte do princípio de que é constituída por um conjunto de meios mais ou menos articulados para agir em direcção a objectivos. Este conjunto produz factos que deverão ser relevados com verdade em registos adequados sobre diversos suportes na contabilidade, na gestão de stocks, no serviço de pessoal, etc.

Os manuais de procedimentos de auditoria incidem sobre áreas parciais e isoladas definidas à partida. Faz-se uma auditoria à área de terceiros na contabilidade, selecciona-se para observação um determinado número de registos adequado às garantias que o controlo interno oferece.

Este conjunto observado deverá permitir aferir a situação dos restantes com alguma segurança.

 

A função informática na organização é entendida de diversas formas

É muito frequente observar diferentes atitudes da administração relativamente ao papel da informática na organização. Uns defendem a sua importância à luz dos custos financeiros, outros temem-na como um risco a evitar, algo que é preciso ter mas que deve interessar sobretudos aos outros. O papel que efectivamente ocupa só pode ser entendido com recurso a padrões de avaliação capazes de estabelecer as diferenças objectivas entre uma informática de computadores e uma informática de informação.

O senso comum tenderá a usar a capacidade dos computadores, a quantidade de papel zebra produzido, o número de programas existentes, o número de terminais, de impressoras de computadores ou mesmo de pessoas a trabalhar em informática.

Na verdade não existem muitas formas de avaliar o nível de informatização existente na organização. Não adianta muito contar os computadores, o que torna uma avaliação credível é a utilização de instrumentos que actuem sobre o sistema de informação visto na perspectiva funcional. Isto é, devemos questionar, como é recolhida a informação, como é tratada, armazenada e divulgada em todas as operações que ocorrem. Só podemos identificar a cobertura das TI sobre todo o sistema, partindo da análise do sistema de informação, assumindo que não existem computadores e caminhando até à situação real.

Para identificar a presença de TI é pois indispensável compreender o funcionamento da organização despida de qualquer automatismo, para não correr o risco de atribuir funções à informática que são afinal anteriores à sua existência.

Auditar Sistemas de Informação suportados por TI actuais é uma tarefa especializada

Não é pois muito simples auditar em ambientes informatizados, o auditor deverá possuir conhecimentos profundos de organização, do objecto do negócio, da área a auditar e de tecnologias de informação. Parece muito arriscado, responsabilizar alguém pela auditoria de uma área de crédito num banco se desconhece como funcionam os mercados financeiros e cambiais, como funciona um banco, como é feita a concepção de crédito, como estão distribuídos os meios automáticos de suporte ao SI e como funcionam e se articulam todos estes meios.

A identificação de qualquer falha de controlo interno terá de sustentar-se em factos que considerem a organização, a informação e os meios que a processam.

A Separação de Informação e do respectivo suporte tecnológico pode ajudar

A auditoria informática deverá então ocupar-se da organização, da informação e dos meios que a processam, mas com referência à informação na sua perspectiva abstracta e aos meios que suportam o sistema de informação. Não cabe ao auditor informático avaliar os níveis de crédito concedido, mas cabe-lhe avaliar os meios de recolha, processamento armazenamento, disponibilização e segurança dos circuitos da informação relativa ao crédito. Esta missão só é viável se for conseguida alguma separação entre a informação concreta e o suporte tecnológico, constituído por tudo o que sustenta a informação, desde as máquinas, as linhas, o software às pessoas.

É um facto que tem sido conseguida esta separação. Também é verdade que em situações de semi-automatização se torna mais fácil identificar o suporte tecnológico associado porque a sua inserção no sistema de informação está isolada.

Os investimentos em informação só serão objectivamente justificados se for possível identificar um maior valor acrescentado depois de considerar todos os seus custos e valores resultantes desse investimento.

A informação justificará todo este trabalho e preocupações com o suporte tecnológico que a sustenta? Vejamos esta questão mais de perto.

A informação assume-se como um bem cuja importância merece a maior atenção, constitui-se frequentemente como a matéria prima determinante no processo produtivo e mesmo como catalizador vital na articulação dos diferentes elementos dentro da organização durante o seu funcionamento.

Para ilustrar o seu papel, fixemos, por exemplo, a hipótese de os meios humanos de uma organização não disporem de qualquer informação para agir. Os funcionários poderão agir mesmo assim independentemente de qualquer orientação, o resultado será um caos completo. Mas é também plausível que optem por aguardar informação para agir sendo o resultado agora uma situação de quietude tal que a podemos designar por imobilidade geral.

Nenhuma destas situações serve a organização, o caos nunca conduzirá ao cumprimento dos objectivos para que a organização foi criada. A imobilidade nunca fará entrar ou sair qualquer produto da organização.

A situação intermédia a que podemos chamar actividade pressupõe que a organização deverá estar convenientemente estruturada de forma a garantir uma boa circulação da informação entre os recursos intervenientes em todos os processos. Assume-se que é fornecida a cada elemento a informação necessária e suficiente para actuar da melhor forma possível com vista ao desempenho óptimo.