Emissão de relatórios de auditoria de sistemas de Informação

1. Emissão de relatórios de auditoria de sistemas de Informação Auditoria de Sistemas de Informação

2. Emissão de Relatórios • Vários relatórios são emitidos a partir dos trabalhos de auditoria. Podemos dividi-los em dois grupos: • Auditoria Interna  foco na melhoria dos controles existentes, independente da abordagem da auditoria • Auditoria Externa  foco nos controles internos para definição da extensão dos testes da auditoria financeira. • Importante ressaltar que a auditoria nos controles internos só é realizada quando a estratégia de confiança nos controles é tomada. No entanto, quando for atender a Auditoria Interna, sua avaliação é válida em qualquer situação, pois permite analisar as melhorias a serem implementadas.

3. Emissão de Relatórios • Os relatórios podem ser gerados em várias fases do trabalho: • Após a execução de um procedimento e constatação de fatos relevantes que possam levar a organização a prejuízos financeiros. • Relatórios interinos que visam reportar gradativamente a evolução dos trabalhos e a situação dos achados. Importante na auditoria interna, cujo enfoque é construtivo e menos avaliativo. • Relatórios preliminares emitidos ao final dos trabalhos, mas antes da conclusão do mesmo. • Relatórios finais ou pareceres, emitidos após a conclusão dos trabalhos.

4. Conteúdo do Draft • Antes da emissão do parecer, é essencial solicitar a compreensão ou não dos auditados para dirimir qualquer dúvida que possa existir sobre os procedimentos de auditoria realizados. • Solicita-se: • Concordância ou não da gerência em relação aos pontos levantados na auditoria. • No caso de concordância, ações corretivas que serão realizadas, com cronograma. • No caso de discordância, argumentos para sustentar.

5. Conteúdo do Parecer • Após a emissão e análise do draft, é emitido então o parecer do auditor, que acrescenta sua opinião em relação aos pontos. Conteúdos gerais dos pareceres: • Observação  o que foi observado fora dos padrões identificados pela auditoria • Conseqüências como estas observações impactam nos processos/operações da organização • Recomendações  quais as recomendações para solução do problema • Comentários da Gerência  como a área auditada se coloca mediante o ponto levantado.

6. Tipos de Parecer • Parecer sem ressalva • O parecer sem ressalva é emitido quando o auditor conclui, sobre todos os aspectos relevantes, que: • a) os resultados dos testes estão em conformidade com om Sistema de Controle Interno; e • b) há apropriada divulgação de todos os assuntos relevantes às governança de TI. • O auditor não deve emitir parecer sem ressalva quando existir qualquer das circunstâncias seguintes, que, na sua opinião, tenham efeitos relevantes para as demonstrações contábeis: • a) discordância com a administração da entidade a respeito do conteúdo e/ou forma de apresentação das demonstrações contáveis; • b) limitações na extensão do seu trabalho. • O parecer sem ressalva implica afirmação de que, em tendo havido alterações em procedimentos contábeis, os efeitos delas foram adequadamente determinados e revelados nas demonstrações contábeis. Nesses casos, não é requerida nenhuma referência no parecer.

7. Tipos de Parecer • Parecer com ressalva • O parecer com ressalva é emitido quando o auditor conclui que o efeito de qualquer discordância ou restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou abstenção de opinião. • O parecer com ressalva deve obedecer ao modelo do parecer sem ressalva, modificado no parágrafo de opinião, com a utilização das expressões “exceto por”, “exceto quanto” ou “com exceção de”, referindo-se aos efeitos do assunto objeto da ressalva. Não é aceitável nenhuma outra expressão na redação desse tipo de parecer. No caso de limitação na extensão do trabalho, o parágrafo referente à extensão também será modificado, para refletir tal circunstância. • Quando o auditor emitir parecer com ressalva, deve ser incluída descrição clara de todas as razões que fundamentaram o seu parecer e, se praticável, a quantificação dos efeitos sobre as demonstrações contábeis. Essas informações devem ser apresentadas em parágrafo específico do parecer, precedendo ao da opinião e, se for caso, fazer referência a uma divulgação mais ampla pela entidade em nota explicativa às demonstrações contábeis.

8. Tipos de Parecer • Parecer adverso • Quando o auditor verificar a existência de efeitos que, isolada ou conjugadamente, forem de tal relevância que comprometam o conjunto das demonstrações contábeis, deve emitir parecer adverso. No seu julgamento deve considerar, tanto as distorções provocada, quanto a apresentação inadequada ou substancialmente incompleta das demonstrações contábeis. • Quando da emissão de parecer adverso, o auditor deve descrever, em um ou mais parágrafos intermediários, imediatamente anteriores ao parágrafo de opinião, os motivos e a natureza das divergências que suportam sua opinião adversa, bem como os seus principais efeitos sobre a posição patrimonial e financeira e o resultado do exercício ou período. • No parágrafo de opinião, o auditor deve explicitar que, devido à relevância dos efeitos dos assuntos descritos no parágrafo ou parágrafos precedentes, ele é da opinião de que as demonstrações contábeis da entidade não estão adequadamente apresentadas.

9. Tipos de Parecer • Parecer com abstenção de opinião • O parecer com abstenção de opinião por limitação na extensão é emitido quando houver limitação significativa na extensão do exame que impossibilite o auditor de formar opinião sobre as demonstrações contábeis, por não ter obtido comprovação suficiente para fundamentá-la, ou pela existência de múltiplas e complexas incertezas que afetem um número significativo de rubricas das demonstrações contábeis. • Nos casos de limitações significativas, o auditor deve indicar claramente os procedimentos omitidos e descrever as circunstâncias de tal limitação.

10. Outros Relatórios • Relatório de Fraquezas de controle interno • Objetivo do projeto de auditoria • Pontos de controle auditados • Conclusão alcançada a cada ponto de controle • Alternativas de solução propostas • Certificado de Controle Interno • Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos. • Relatório de redução de custos • Tem por objetivo explicitar as economias financeiras a serem feitas com a adoção das recomendações efetuadas. Serve de base para a realização das análises de retorno de investimento e do custo/beneficio da auditoria de auditoria de sistemas.

11. Outros Relatórios • Manual da auditoria do ambiente auditado • Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toa a documentação anterior já citada. • Pastas contendo a documentação da auditoria de sistemas • Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.

12. Resultado da Auditoria • Com esta documentação, chega-se ao detalhamento do parecer, que contém: • Objetivos de controle testados • Conclusões pós-teste • Identificação dos pontos de controle atenuantes que mitigam os riscos (ou não) • Descrição dos testes realizados • Resultados dos testes • Achados/Observações • Julgamento do auditor em relação ao item 6 • Recomendações do auditor • Concordância (ou não) da área auditada • Respostas de área auditada (ações e cronograma)

13. Exemplo Objetivo de controle testado Autorização de acesso para aprovação de horas extras Conclusões pós-teste O sistema de apontamento de horas extras não possui controle segregado para alimentação e aprovação de apontamentos, possibilitando que um usuário que digite um apontamento possa realizar sua autorização. Identificação dos pontos de controle atenuantes que mitigam os riscos (ou não) Há controles paralelos que atenuam os riscos, já que os gerentes mensalmente emitem relatório e aprovam formalmente as horas extras a serem pagas. Descrição dos testes realizados Entrevista com o usuário administrador do sistema, evidenciando a ausência do controle. Após, observamos o procedimento de apontamento e posteriormente o procedimento de autorização. Resultados dos testes Selecionamos a função de inclusão de horas extras, atentando para a segregação de funções no sistema. A função HEX0724, que aprova os apontamentos é liberada no sistema para todos os usuários, sem restrições. Adicionalmente, incluímos e aprovamos alguns apontamentos indevidos, com sucesso.

14. Exemplo Achados/Observações Todos os usuários que cadastram apontamentos podem aprova-los no sistema, que não possui segregação de funções. Julgamento do auditor em relação ao item 6 Risco de atos fraudulentos em relação ao pagamento de horas extras. Recomendações do auditor Revisar a atribuição de permissões no sistema de apontamento de horas, onde um usuário que realize os apontamentos não possa aprová-los. Concordância (ou não) da área auditada Concordamos plenamente com as observações realizadas. Respostas de área auditada (ações e cronograma) Já foi solicitado ao setor de desenvolvimento de sistemas que divida as funções de apontamento e aprovação e permita que sejam atribuídas concessões separadas para as funções. O cronograma de implantação da modificação é de 6 meses, a contar a partir de maio do próximo exercício.

15. Referência de Apoio • SANTOS, Edson C., PEREIRA, Anísio C. O Parecer dos Auditores Independentes Sobre Demonstrações Contábeis. 2004. In RevistaAdministração On Line – FECAP - Volume 5 Nº 3, p 26-38 jul/ago/set2004