Auditoria de sistemas - Engenharia de Software 28

Gestão de TI

Auditoria de sistemas

De que se trata o artigo:

O objetivo principal deste artigo é identificar e comparar o conjunto de normas e padrões CobiT, ITIL e norma ISO 17799, emitidos por organismos internacionais, de natureza compulsória ou não, dos quais os auditores de se utilizam, para estudar e avaliar os sistemas, infraestrutura e controles internos automatizados no processo de auditoria dos sistemas que suportam as demonstrações contábeis das entidades contratantes de tais serviços.

Para que serve:

A Governança da Tecnologia da Informação, do termo inglês IT Governance, se procura o alinhamento da TI com os objetivos da organização. Governança da Tecnologia da Informação define que a TI é um fator essencial para a gestão financeira e estratégica de uma organização e não apenas um suporte aos mesmos.

Em que situação o tema útil:

Um grande desafio atual das instituições é a busca da solução ideal para o processo de gestão de riscos e gestão operacional, cada organização deverá definir como irá tratar a questão de TI, Segurança e, principalmente, Auditoria e balancear como deverá usar cada uma delas, de forma que esta solução seja um pilar valioso para o processo maior de Governança Corporativa. Essa nova necessidade de gestão tem impacto direto no trabalho do auditor de sistemas.

A atividade de auditoria independente de demonstrações contábeis tem como principal produto formal um parecer, expressando a opinião do auditor sobre a adequação, ou não, com que as demonstrações contábeis representam a posição patrimonial e financeira da entidade auditada, o resultado de suas operações, as movimentações ocorridas no seu patrimônio líquido e as origens e aplicações dos seus recursos, tomando como base de comparação os princípios fundamentais, ou geralmente aceitos, de contabilidade. Para suportar sua opinião, o auditor independente deve coletar evidências suficientes e apropriadas de auditoria, através de um conjunto de procedimentos técnicos.

Assim, considerando o alto grau de automação das organizações, o estudo e o processo de avaliação dos sistemas informatizados e controles internos automatizados da entidade auditada são fatores relevantes no planejamento dos trabalhos desse tipo de auditoria e, principalmente, na análise do risco de emissão de opinião tecnicamente incorreta sobre demonstrações contábeis elaboradas e processos de gestão.

Consequentemente, deveriam ser objeto de uma gama de normas formais que possam oferecer ao auditor de sistemas as ferramentas necessárias para executar a contento suas atividades, bem como para consubstanciar adequadamente seu processo de julgamento e expressão de opinião sobre os sistemas e controles internos automatizados que suportam as demonstrações contábeis.

Algumas inquietações surgem diante da magnitude da responsabilidade e da complexidade das tarefas que a atividade do auditor de sistemas assume cada vez mais, quando se propõe a opinar sobre os sistemas que suportam as demonstrações contábeis de uma entidade. Principalmente, considerando que é cada vez mais importante para o sucesso e sobrevivência de uma organização, o gerenciamento efetivo da informação e da respectiva Tecnologia de Informação (TI), considerando:

·         A crescente dependência de informações e dos sistemas que proveem essas informações;

·         As crescentes vulnerabilidades e um amplo espectro de ameaças à segurança da informação e dos sistemas de informação;

·         A escala e o custo dos investimentos atuais e futuros em informações e sistemas de informação;

·         O potencial das tecnologias em mudar dramaticamente as organizações e as práticas de negócios, criando novos riscos e ameaças aos controles internos.

Para muitas organizações, a informação e a tecnologia que suportam o negócio representa o seu mais valioso recurso. Além disso, num ambiente de negócio altamente competitivo e dinâmico é requerida uma excelente habilidade gerencial, onde a TI deve suportar as tomadas de decisões de forma rápida, constante e com custos cada vez mais baixos. Muitas organizações reconhecem os benefícios potenciais que a tecnologia pode propiciar. Entretanto, somente as organizações de sucesso compreendem e administram os riscos associados à implementação de novas tecnologias.

A Tecnologia da Informação também está ganhando uma importância cada vez maior para as instituições financeiras do mundo todo. Com o desenvolvimento dos negócios globalizados, a informação tornou-se cada vez mais disponível a partir de novos pontos de acesso em qualquer parte do planeta, ao preço de ficar mais exposta, trazendo assim novos riscos a essas instituições.

Essa globalização favoreceu a ocorrência de ersos problemas de segurança, que contribuíram para essa crescente preocupação com o controle efetivo de suas operações e com o acesso a essas informações, tais como: