Auditoria em um computador baseado no ambiente
Relevante para nível fundamental Papel da FAU e da ACCA Qualificação Papéis F8 e P7
aspectos Específicos de auditoria em um computador baseado no ambiente
tecnologia da Informação (TI) é parte integrante da moderna contabilidade e gestão de sistemas de informação. É, portanto, imperativo que os auditores devem estar plenamente conscientes do impacto sobre a auditoria de um cliente demonstrações contábeis, tanto em termos de como ele é usado por um cliente para coletar, processar e relatar informações financeiras em suas demonstrações financeiras, e como o auditor pode usá-LO no processo de auditoria das demonstrações financeiras.
o objectivo deste artigo é fornecer orientações sobre os seguintes aspectos da auditoria num ambiente contabilístico informatizado:
- controles do Aplicativo, composto de entrada, processamento, saída e arquivo mestre controles estabelecidos por um cliente de auditoria, através de seu computador baseado no sistema de contabilidade e
- Computador-técnicas de auditoria assistida (CAATs) que pode ser empregada por auditores para testar e concluir sobre a integridade de um computador cliente baseado no sistema de contabilidade.
as perguntas de exame sobre cada um dos aspectos acima identificados são frequentemente respondidas a um padrão inadequado por um número significativo de estudantes – daí a razão para este artigo.
tratando-se de controlos de aplicações e CAATs por sua vez:
controlos de aplicações
controlos de aplicações são os controlos (manuais e informatizados) relacionados com a transacção e dados permanentes relativos a um sistema contabilístico informatizado. São específicos de um dado pedido e têm por objectivo assegurar a exaustividade e a exactidão dos registos contabilísticos e a validade dos registos efectuados nesses registos. Um sistema informático eficaz assegurará a existência de controlos adequados no ponto das fases de entrada, processamento e saída do ciclo de processamento informático e dos dados em excesso constantes dos ficheiros principais. Os controlos das candidaturas devem ser determinados, registados e avaliados pelo auditor como parte do processo de determinação do risco de inexactidões materiais nas demonstrações financeiras do cliente de auditoria.
controlos de entrada
actividades de controlo concebidas para garantir que os dados de entrada são autorizados, completos, exactos e atempados são referidos como controlos de entrada. Dependendo da complexidade do programa de aplicação em questão, esses controlos variam em termos de quantidade e sofisticação. Os factores a considerar na determinação destas variáveis incluem considerações de custos e requisitos de confidencialidade no que respeita à introdução de dados. Os controles de entrada comuns aos programas de aplicação mais eficazes incluem instalações de prompt no ecrã (por exemplo, um pedido para um usuário autorizado para “log-in”) e uma facilidade para produzir uma pista de auditoria que permite que um usuário rastreie uma transação de sua origem para a disposição no sistema.Os controlos específicos de validação dos dados introduzidos podem incluir:
controlos de formato
estes controlos asseguram que a informação é introduzida da forma correcta. Por exemplo, o requisito de que a data de uma venda em voz seja introduzida apenas em formato numérico – não numérico e alfanumérico.
verificação da Gama
estes asseguram que a informação introduzida é razoável em consonância com as expectativas. Por exemplo, quando uma entidade raramente, se alguma vez, faz compras a granel com um valor superior a $50.000, uma fatura de compra com um valor de entrada superior a $50.000 é rejeitada para revisão e acompanhamento.
verificações de compatibilidade
estes garantem que a introdução de dados de dois ou mais campos é compatível. Por exemplo, o valor de uma factura de vendas deve ser compatível com o montante do imposto sobre as vendas cobrado na factura.
verificações de validade
estes asseguram que a entrada de dados é válida. Por exemplo, quando uma entidade opera um sistema de custeio de empregos – os custos de entrada em um trabalho previamente concluído devem ser rejeitados como inválidos.
controlos de excepção
estes asseguram que é produzido um relatório de excepção que destaca situações invulgares que surgiram após a entrada de um item específico. Por exemplo, o reporte de um valor negativo para o inventário detido.
controlos de sequência
estes facilitam a exaustividade do processamento, garantindo que os documentos processados fora de sequência são rejeitados. Por exemplo, quando as mercadorias pré-numeradas que recebem notas são emitidas com conhecimento de causa a recepção de mercadorias em inventário físico, qualquer entrada de notas fora de sequência deve ser rejeitada.
os totais de controlo
também facilitam a exaustividade do processamento, garantindo que os totais de controlo pré-input preparados manualmente são comparados com os totais de controlo. Por exemplo, os totais não correspondentes de um “lote” de facturas de compra devem resultar num pedido de um utilizador no ecrã ou na elaboração de um relatório de excepção para acompanhamento. A utilização dos totais de controlo desta forma é também comummente referida como controlos de saída (Ver infra).Este processo utiliza algoritmos para garantir que a entrada de dados é precisa. Por exemplo, códigos numéricos de referência do Fornecedor válidos gerados internamente, devem ser formatados de forma a que qualquer entrada de faturas de compra com um código incorreto seja automaticamente rejeitada.
controlos de processamento
controlos de processamento existem para garantir que toda a entrada de dados é processada correctamente e que os ficheiros de dados são adequadamente actualizados com precisão e atempadamente. Os controles de processamento para um programa de Aplicação especificado devem ser projetados e então testados antes de “live” rodando com dados reais. Estes podem normalmente incluir o uso de controles run-to-run, que garantem a integridade dos totais cumulativos contidos nos registros contábeis é mantida de um processamento de dados para o próximo. Por exemplo, o saldo transitado para a conta bancária no Registo Geral (nominal) de uma empresa. Outros controlos de tratamento devem incluir o tratamento subsequente dos dados rejeitados no ponto de entrada, por exemplo:
- um computador produziu a impressão de itens rejeitados.
- instruções escritas formais notificando o pessoal de processamento de dados dos procedimentos a seguir em relação aos itens rejeitados.
- investigação/acompanhamento adequados no que respeita aos produtos rejeitados.
- Evidence that rejected errors have been corrected and re-input.
os controlos de saída
existem para garantir que todos os dados são processados e que a saída é distribuída apenas aos utilizadores autorizados prescritos. Embora o grau de controlos de saída varie de organização para organização (dependendo da confidencialidade da informação e da dimensão da organização), os controlos comuns incluem::
- Utilização dos totais de controlo dos lotes, tal como acima descrito (ver “controlos de entrada”).
- revisão e acompanhamento adequados das informações do relatório de exceções para garantir que não existem exceções permanentes pendentes.
- programação cuidadosa do processamento de dados para ajudar a facilitar a distribuição de informação aos utilizadores finais em tempo útil.
- instruções escritas formais notificando o pessoal de processamento de dados de procedimentos de distribuição prescritos.
- acompanhamento contínuo, por um funcionário responsável, da distribuição da produção, para garantir a sua distribuição de acordo com a Política autorizada.
controlos do Ficheiro principal
o objectivo dos controlos do ficheiro principal é assegurar a integridade permanente dos dados constantes dos ficheiros principais. É de importância vital que sejam exercidos controlos “de segurança” rigorosos em todos os ficheiros principais.Estes incluem::
- o uso adequado de palavras-passe, para restringir o acesso ao arquivo mestre de dados
- o estabelecimento dos procedimentos adequados sobre a alteração de dados, compreendendo adequada segregação de funções, e a autoridade para alterar sendo restrito a adequada indivíduos responsáveis
- a verificação regular do arquivo mestre de dados autorizados de dados, uma organização independente responsável oficial
- controles de processamento sobre a actualização de ficheiros mestre, incluindo o uso de contagens de registro e controle totais.
técnicas de auditoria assistida por computador (CAATs)
a natureza dos sistemas de contabilidade baseados em computadores é tal que os auditores podem usar o computador da empresa cliente de auditoria, ou o seu próprio, como uma ferramenta de auditoria, para ajudá-los nos seus procedimentos de auditoria. A medida em que um auditor pode escolher entre a utilização de CAATs e técnicas manuais sobre um trabalho de auditoria específico depende dos seguintes factores::
- a praticidade de realizar o teste manual
- o custo-eficácia do uso de CAATs
- a disponibilidade de tempo de auditoria
- a disponibilidade do cliente de auditoria da instalação de computador
- o nível de experiência em auditoria e perícia na utilização de um determinado CAAT
- o nível de CAATs realizados pela auditoria interna do cliente função e a medida em que o externo al auditor pode contar com este trabalho.
existem três classificações de CAATs – nomeadamente::
- Auditoria de software
- dados de Teste
- Outras técnicas
Lidar com cada um dos acima turno:
Auditoria de software
Auditoria de software é um termo genérico usado para descrever programas de computador projetados para realizar testes de controle e/ou procedimentos substantivos. Esses programas podem ser classificados como:
programas embalados
estes consistem em programas generalizados pré-preparados utilizados pelos auditores e não são “específicos do cliente”. Eles podem ser usados para realizar inúmeras tarefas de auditoria, por exemplo, para selecionar uma amostra, estatisticamente ou judementalmente, durante cálculos aritméticos e verificação de lacunas no processamento de sequências.Estes programas são geralmente “específicos ao cliente” e podem ser usados para realizar testes de controle ou procedimentos substantivos. O software de auditoria pode ser comprado ou desenvolvido, mas, em qualquer caso, o plano de auditoria da empresa de auditoria deve garantir que sejam tomadas disposições para garantir que os programas especificados sejam adequados ao sistema de um cliente e às necessidades da auditoria. Normalmente, podem ser utilizados para restabelecer procedimentos de controlo informatizados (por exemplo, cálculo do custo das vendas) ou, eventualmente, para efectuar uma análise envelhecida dos saldos de créditos comerciais (devedores).Estes programas são parte integrante do sistema de contabilidade do cliente, mas podem ser adaptados para fins de auditoria. Por exemplo, nos casos em que um sistema prevê a prestação de informação de rotina numa base “mensal” de Entradas e saídas de empregados, esta facilidade pode ser utilizada pelo auditor na auditoria de salários e ordenados nas demonstrações financeiras do cliente. Do mesmo modo, um revisor de contas poderia utilizar uma facilidade de reporte de saldos a pagar (credores) por dívidas a longo prazo para verificar o valor reportado dos credores.
dados de teste
dados de teste de auditoria
os dados de teste de auditoria são utilizados para testar a existência e a eficácia dos controlos incorporados num programa de aplicação utilizado por um cliente de auditoria. Como tal, as transacções fictícias são processadas através do sistema informatizado do cliente. Os resultados do tratamento são então comparados com os resultados esperados do auditor para determinar se os controlos estão a funcionar de forma eficiente e se a objectividade dos sistemas está a ser alcançada. Por exemplo, duas operações bancárias fictícias (uma dentro e outra fora dos parâmetros autorizados) podem ser processadas na expectativa de que apenas a operação processada dentro dos parâmetros seja “aceite” pelo sistema. É evidente que, se as operações fictícias processadas não produzirem os resultados esperados em termos de produção, o auditor terá de considerar a necessidade de um aumento dos procedimentos substantivos na área a ser revista.Para evitar o risco de corromper o sistema de conta de um cliente, através do processamento de dados de teste com outros dados “vivos” do cliente, os auditores podem instigar ciclos especiais de processamento “apenas de dados de teste” para os dados de teste de auditoria. A principal desvantagem disto é que o auditor não tem total garantia de que os dados de teste estão sendo processados de forma semelhante aos dados ao vivo do cliente. Para abordar esta questão, o auditor pode, por conseguinte, solicitar autorização ao cliente para criar um instrumento de teste integrado no sistema contabilístico. Tal implica a criação de uma unidade fictícia, por exemplo, uma conta de Fornecedor fictícia para a qual os dados de ensaio do auditor são processados durante as operações normais de processamento.Esta secção contém informações úteis para melhorar a sua compreensão geral.
outras CAATs incluem:
instalações de auditoria embutidas (EAFs)
esta técnica exige que o próprio código de programa do auditor seja incorporado (incorporado) no software de aplicação do cliente, de modo que os procedimentos de verificação possam ser realizados conforme exigido nos dados a serem processados. Por exemplo, os testes de controlo podem incluir o reperformance de verificações específicas de validação de entradas (ver controlos de entrada acima) – as transacções seleccionadas podem ser “marcadas” e seguidas através do sistema para determinar se os controlos e processos declarados foram aplicados a essas transacções pelo sistema informático. O FEAGA deverá assegurar que os resultados dos testes sejam registados num ficheiro especial seguro para posterior revisão pelo auditor, que deverá poder concluir sobre a integridade dos controlos de processamento em geral, a partir dos resultados dos testes. Uma outra CES, de dez ignorados pelos alunos, é a de um programa de análise analítica que permite o desempenho simultâneo de procedimentos de análise analítica em dados de clientes como está sendo processado através do sistema automatizado.
exame do programa de Aplicação
ao determinar em que medida eles podem confiar em controles de Aplicação, Os auditores precisam considerar em que medida os controles especificados foram implementados corretamente. Por exemplo, nos casos em que tenham ocorrido alterações do sistema durante um período contabilístico, o auditor necessitaria de garantias quanto à existência dos controlos necessários, tanto antes como depois da alteração. O auditor pode procurar obter essa garantia utilizando um programa de software para comparar os controlos em vigor antes e depois da data de alteração.Os principais objectivos de uma auditoria não se alteram, independentemente de o trabalho de auditoria ser efectuado num manual ou num ambiente informático. A abordagem de auditoria, as considerações de planeamento e as técnicas utilizadas para obter provas de auditoria adequadas são naturalmente alteradas. Os alunos são encorajados a ler ainda mais para aumentar o seu conhecimento de auditoria em um ambiente baseado em computador e a praticar a sua capacidade de responder a perguntas de exame sobre o tema, tentando perguntas definidas em anteriores trabalhos de exame ACCA.
escrito por um membro da equipa do exame de auditoria