A AUDITORIA INFORMÁTICA E A FORMAÇÃO DO AUDITOR
por José Maria Pedro, in Revista da IGF (nº 38-39/1992)
Este texto foi revisto e actualizado em Outubro de 2000 de modo a incluir novas tendências dos Sistemas de Informação. Apesar de ter sido escrito em 1992 - oito anos é muito tempo em sistemas de informação - continua actual devido à arrumação que faz dos assuntos.
Aconselha-se a sua leitura a auditores que estão muito fora da gíria dos profissionais de sistemas de informação e pretendem partir de uma base sólida para futuras incursões nos temas da Auditoria Informática.
PLANO DO DOCUMENTO
1. Âmbito e objectivos deste trabalho
Com o presente trabalho pretendem-se equacionar vários aspectos da Informática nas organizações, designadamente:
2. Definição e compreensão de alguns conceitos utilizados
a. Organização e Sistema de Informação
Têm sido desenvolvidas e propostas muitas abordagens teóricas e metodológicas no sentido de explicar os conceitos associados à informação. As potencialidades dos conceitos das actuais tecnologias de informação, nomeadamente o de Sistema de Informação, como instrumento de "design" organizacional, levam-nos a optar pela sua utilização referencial na abordagem deste tema.
Qualquer organização se pode definir pelos seus componentes, pela respectiva articulação interna e pelo relacionamento com o meio envolvente. Uma perspectiva de abordagem simplista pode conduzir à mera enumeração do que é fisicamente visível, isto é, um edifício com diferentes salas, um conjunto de mobiliário, um grupo de pessoas mais ou menos qualificadas, etc. No entanto, existem decididamente outras realidades de importância significativa não compreendidas numa descrição deste tipo. Tentemos a seguinte descrição da autoria de "Le Moigne", um grande teórico da informação:
"Um sistema (ou organização)
É qualquer coisa
Que faz qualquer coisa
Que é dotado de uma estrutura
Que evolui no tempo
Dentro de qualquer coisa
Para qualquer coisa"
Le Moigne
O autor optou pela descrição do conteúdo organizacional daquilo que considera sistema e no qual se encaixa perfeitamente qualquer empresa ou organização semelhante. Em vez de falar da sua manifestação exterior visível, edifícios, salas, secretárias, conduz-nos a uma perspectiva relacional sistémica. A organização quando existe, é activa e relaciona-se com o ambiente exterior ao fazer "qualquer coisa". Tem capacidade própria para regular e modificar a sua actividade e o seu relacionamento com o exterior. O seu funcionamento é articulado com informação. Segundo esta terminologia, os componentes fundamentais da organização podem referir-se funcionalmente como três subsistemas, DECISÃO, INFORMAÇÃO e OPERAÇÃO, que em sentido amplo se designam por processadores devido à sua estrutura activa e relacionada. O processador decisional compreende todo o conjunto que produz decisão, o processador operacional identifica todas as acções de produção e o processador de informação engloba todas a actividade relativa à informação e está sempre situado entre os outros dois. Esquematicamente podemos visualizar a inserção dos três subsistemas na organização da seguinte forma:
A reflexão sobre as diferentes abordagens deverá ser feita a partir do domínio global da organização, sob pena de tratar apenas um mero aspecto de forma isolada. Daí que a teoria sistémica aqui apresentada, ainda que sumariamente, seja tão importante como estrutura referencial da organização. Partindo de uma visão integral do sistema de informação, podemos tratar a informática perfeitamente interligada com as restantes áreas e situá-la sem ambiguidade.
b. A inserção da informática nas organizações
Primeiro, foram comprados computadores por razões de prestígio sem imaginar sequer as suas vantagens e potencialidades. Depois foram criados os centros de informática, grandes, poderosos e inacessíveis. Hoje os grandes centros de informática tiveram de abrir as portas aos utilizadores da informação. Os computadores não podem servir-se a si próprios, importa colocá-los no seu devido lugar, isto é, ao serviço da informação.
Por informática devemos entender duas realidades perfeitamente distintas: a INFORMAÇÃO e os COMPUTADORES. Note-se que o termo INFORMÁTICA é uma forma de dizer informação automática. O termo associou-se com frequência à ideia de computadores, actualmente esse âmbito foi alargado, acabando por abranger também a informação. As diferentes especialidades do domínio da Informática estendem-se desde a electrónica dos computadores à funcionalidade das organizações, veja-se por exemplo os especialistas de electrónica computacional num dos extremos e os de análise funcional no outro.
Qualquer organização contém informação e como vimos antes, assegura a articulação dos diferentes subsistemas. Sem informação não existe qualquer necessidade de processamento automático de dados, ou seja de computadores.
Do reconhecimento da informação como parte determinante e integrante das especialidades da informática nasceu a necessidade de equacionar outros intervenientes no sistema de informação também como parte integrante dos serviços de informática.
Os melhores informáticos conhecem bem o funcionamento das organizações. Com a globalização da abordagem da informação na empresa associada às actuais capacidades tecnológicas de processamento, memorização, transmissão e formatação de dados tornou-se possível perspectivar a informática na organização de forma mais clara e precisa.
A interacção com o meio envolvente gera novas necessidades de informação que provocam adaptações no sistema de informação, de forma a obter da organização, capacidade de resposta às novas exigências estratégicas e operacionais. Torna-se assim determinante possuir meios eficientes nas respostas à nova situação. A informática continua a ser uma aposta válida.
Se tentarmos conjugar a abordagem sistémica que referimos antes, com o papel da auditoria, podemos arrumar a sua intervenção em qualquer dos três subsistemas da organização, sobre a decisão, a informação ou a operação, mas a parte nobre da sua actividade é desenvolvida no SISTEMA DE INFORMAÇÃO.
O funcionamento das organizações tem vindo desde sempre a ser alvo de avaliação interna e externa com vista à optimização regulada e segura das suas capacidades. A auditoria nasceu como instrumento dessa avaliação e regulação no funcionamento da empresa. Os procedimentos da auditoria financeira podem servir de base à ilustração e aproximação da importância actual da informática e da necessidade de conhecimentos adicionais por parte dos auditores.
Podemos identificar quatro etapas fundamentais no trabalho de auditoria:
A. Avaliação global do controlo interno que determinará o grau de confiança a atribuir ao Sistema de Informação. Desta avaliação resultará a natureza, oportunidade e extensão dos procedimentos de substanciação a executar posteriormente;
B. Compreensão do sistema contabilístico e exame com vista à determinação dos seus pontos fracos;
C. Verificação da conformidade que permite avaliar o grau de confiança do controlo interno em pontos nevrálgicos do Sistema de Informação;
D. Substanciação para obter evidência sobre a integralidade, exactidão e validade dos dados. Veremos ao longo deste trabalho qual a situação actual do suporte tecnológico da informação nas organizações, concluindo que qualquer das quatro etapas referidas exigem conhecimentos de informática quando a missão do auditor se desenvolve em organizações informatizadas.
3. Panorama actual da informática nas organizações. Que espaço para a Auditoria Informática?
Certamente que, enquanto não existiu informática, nunca se falou de auditoria informática, o espaço desta nova especialidade deve ser encontrado, portanto, na situação actual da informática. Na busca da justificação para a auditoria informática, vamos tentar expor qual é de facto a situação da informação e do seu suporte tecnológico nas organizações actualmente. Uma empresa sem computadores não deve colocar quaisquer problemas de acesso ao auditor, a informação é suposto estar em suporte físico perfeitamente visível e legível. Por outro lado, o auditor pode sempre verificar na prática se as regras de controlo interno estão a ser correctamente aplicadas, por exemplo, a segregação de funções, os procedimentos de cada área, etc.
A linha de processamento dos dados que vai desde o momento em que o facto ocorre até ao(s) ponto(s) da utilização da informação resultante dos dados relevados tornou-se mais complexa, mais rápida, mais curta e também mais perigosa para o auditor. Num ambiente informatizado, as funções que antes estavam convenientemente segregadas por um conjunto de pessoas, podem estar agora aglutinadas num único programa cuja descrição funcional ou orgânica nunca foi escrita.
Com a introdução dos computadores, uma parte considerável da linha de processamento dos dados é coberta por uma nebulosidade tecnológica. O que anteriormente podia ser visto sem óculos, exige agora o conhecimento de sofisticados instrumentos de observação. Actualmente, uma parte dos factos já nem sequer são relevados em suporte visível, por exemplo, a responsabilidade do saque de uma quantia em dinheiro através da rede multibanco é efectuada mediante a indicação de um mero número de código (assinatura invisível).
Se todos os levantamentos forem efectuados assim, o "audit trail", embora exista, nunca poderá garantir a evidência de um eventual levantamento por um indivíduo não qualificado. A assinatura tradicional falsificada deixa quase sempre um traço menos certo que a pode distinguir da original, mas o numero de código é impessoal e incaracterístico. Além disso as operações são gravadas algures num sistema com vários discos acessíveis a vários circuitos de comunicações cujo início e fim desconhecemos.
Ao reflectir sobre o suporte tecnológico da informação nas organizações somos levados a concluir que caminhamos para uma nova realidade onde o auditor clássico sem conhecimentos de informática e isolado é incapaz de produzir qualquer conclusão suficientemente fundamentada.
O auditor financeiro, por exemplo, para cumprir as quatro etapas que referimos anteriormente, necessita de um conjunto de informação complementar, nomeadamente sobre:
Nas alíneas que se seguem mostra-se 'o estado da arte' das diferentes áreas da informática as quais podem limitar o acesso à informação por parte de alguém alheio às tecnologias da informação.
No plano dos dados cada vez o ambiente se torna mais complexo. Se nos primeiros tempos da informática os dados eram arrumados em simples ficheiros, cada um com o material relativo a uma aplicação, actualmente estamos bem longe dessa simplicidade.
Podemos delinear a história das técnicas de estruturação de dados assinalando os principais tipos de organização utilizados desde o início da informática até hoje:
A. FICHEIROS - Os dados estão dispersos em ficheiros independentes constituídos por um ou vários campos em cada registo.
É fácil tratar um ficheiro desde que se domine minimamente uma linguagem de programação aceite pelo computador.
B. CONJUNTO DE FICHEIROS - Os dados continuam dispersos, mas os ficheiros têm algum relacionamento entre si através das chaves utilizadas ou de códigos. O manuseamento dos dados neste caso exige o domínio do seu relacionamento além de uma linguagem de programação.
C. BASES DE DADOS (conhecidas como BD hierárquicas na gíria informática) - Os dados estão interligados, a construção da base de dados obedeceu a uma planificação global prévia que determinou o número e tipo de ficheiros a utilizar e o seu relacionamento. Também neste caso o manuseamento dos dados exige o domínio de uma linguagem de programação, o conhecimento das relações entre os ficheiros é determinante.
D. SISTEMAS DE GESTÃO DE BASES DE DADOS - (conhecidas como BD relacionais ou SGBD, estão actualmente muito em voga). Os dados são planificados antes da criação dos ficheiros como qualquer base de dados. A sua arrumação beneficia da normalização exigida pelo SGBD e o relacionamento é pensado para os dados em conjunto e não apenas para o ficheiro. Os SGBD mais actuais oferecem um grau cada vez maior de independência entre os dados e a sua estrutura o que facilita enormemente as modificações da BD sem por em risco a continuidade do funcionamento dos programas.
A utilização é sobretudo muito mais facilitada porque uma arrumação standardizada dos dados permite a utilização de comandos de processamento previamente desenhados e incorporados como parte integrante do SGBD. A linguagem de programação clássica pode ser dispensada, mas em contrapartida exige-se o conhecimento do SGBD e da linguagem de programação própria desse SGBD.
E. SISTEMAS DE INFORMAÇÃO - A estrutura dos dados é planificada a partir de uma visão global da organização com integração das diferentes áreas do seu Sistema de Informação, segundo o entendimento que demos do conceito no início deste trabalho. Mesmo que a informatização não compreenda toda a empresa, aquele plano inicial do Sistema de Informação deve considerar exaustivamente todos os dados que potencialmente venham a ser processados.
Com a utilização desta técnica, a organização não fica com um conjunto de bases de dados, mas sim com um Sistema de Dados Global coerente entre si a que chamamos também Sistema de Informação Empresarial. O sistema de dados resultante desta técnica de planificação, pode ser assente num SGBD do tipo D ou em ficheiros clássicos.
O manuseamento dos dados exige os conhecimentos relativos ao SGBD tal como no caso D, mas adicionalmente torna-se imprescindível o domínio das técnicas de planificação de sistemas de informação para compreender a lógica da sua criação. À medida que as estruturas de dados se vão tornando mais complexas, o controlo interno das organizações também vai passando para dentro do computador.
A estrutura do Sistema de Dados Global de que falámos é assim cada vez mais relevante para o controlo interno. O seu conhecimento é indispensável para efectuar uma avaliação justa e verdadeira do grau de controle interno da organização. A utilização de software de auditoria, actualmente muito falada, é uma forma simplista de abordar os instrumentos automáticos de auditoria, além dos dados existe ainda a questão da organização do sistema de informação.
O maior problema para o auditor, no que respeita aos dados, consiste na sua colocação em local e forma acessíveis ao programa de interrogação que se pretende usar na auditoria. A simples passagem dos dados de um FICHEIRO, BD ou SGBD para o software de auditoria que se pretende usar pode revelar-se bastante complexa, como se pode imaginar pelas diferentes formas de organização dos dados que foram apresentadas. Pode ainda dar oportunidade a quem os fornece de os alterar voluntária ou involuntariamente. O auditor não pode prescindir do conhecimento e acompanhamento desta tarefa.
Por outro lado a interrogação dos dados exige sempre uma abordagem prévia ao sistema de informação global bem como ao conjunto dos ficheiros que lhe estão associados para determinar a sua fiabilidade.
Existem diversos factores relevantes para a análise da situação actual do software, as linguagens de programação, os sistemas, a análise, a metodologia, os profissionais, o mercado, etc.
A produção de software teve um percurso rico e cheio de movimentos imprevistos. Da simplicidade e ineficácia funcional das linguagens de baixo nível, fomos transportados a novos paradigmas, alguns incorporados nos modernos sistemas de gestão de bases de dados que oferecem uma aproximação muito grande entre as linguagens de programação que utilizam e a nossa própria linguagem falada.
Hoje, fala-se de linguagens de 4a. geração (4GL - 4 Generation Languages) e até de 5a. geração (5GL). A eficiência e produtividade do trabalho de programação com as novas linguagens foram conseguidas à custa do desenvolvimento das metodologias de análise e concepção estruturada de dados muitas vezes assentes nas próprias estruturas dos sistemas de gestão de bases de dados (SGBD).
A estruturação dos dados resultante de uma abordagem global da organização pode responder facilmente a qualquer nova necessidade ocorrida no sistema de informação. Podemos dizer que existe um casamento perfeito entre a evolução das linguagens, a análise estruturada dos sistemas de informação e a consequente concepção globalizada das estruturas de dados.
Uma vez que os dados relativos aos diferentes sectores da organização estão perfeitamente organizados, arrumados e relacionados em estruturas coerentes, o software pode ser entendido e colocado à parte dos ficheiros. E se a estrutura de dados tiver resultado do estudo funcional concreto do sistema de informação da organização, aqueles dois níveis, o dos DADOS e o do SOFTWARE poderão ainda dissociar-se das questões relativas à UTILIZAÇÃO (em papel, ecran, ou disco) dando origem a um terceiro nível. O esquema seguinte mostra a arrumação desses três níveis.
UTILIZAÇÃO |
ç
è |
SOFTWARE
|
ç è |
DADOS |
As tecnologias CASE (Computer Aid System Enginering), estão em franca expansão, fundamentando-se na necessidade dos três níveis, pretendem tratar o processo produtivo informático de forma integrada. Actuam sobre o nível dos dados, garantindo a sua integração e coerência, sobre o software oferecendo uma grande facilidade de desenvolvimento, graças à definição clara e ao perfeito interrelacionamento dos dados e oferecem uma enorme capacidade de resposta às solicitações dos utilizadores.
A evolução das linguagens é tratada por muitos autores como uma sucessão de níveis circulares concêntricos, onde os mais próximos do centro se designam por baixo nível e os mais exteriores por alto nível. A linguagem máquina está muito próxima do centro enquanto que a linguagem humana falada está no nível mais elevado. Entre ambas, existem muitas outras mais ou menos próximas daqueles dois extremos.
O grande desafio do futuro é produzir e divulgar computadores capazes de entender linguagens de nível elevado, nomeadamente a linguagem humana falada.
Esquematicamente, podemos mostrar o posicionamento de algumas linguagens conhecidas:
(alto nível)
FALA HUMANA |
é |
5GL |
é |
4GL |
é |
COBOL |
FORTRAN |
BASIC |
é |
ASSEMBLER |
é |
LING. MÁQUINA |
(baixo nível)
Naturalmente que todas as linguagens se utilizam, quem não sabe falar erudito fala popular, e quem não sabe falar faz gestos. O Processo evolutivo da utilização das linguagens pode observar-se na maior ou menor frequência de utilização de cada uma.
As linguagens Assembler, Basic, Cobol, por exemplo, continuam a ser utilizadas, mas quanto mais alto for o seu nível mais facilmente se aprende e por consequência maior número de adeptos conseguem.
Qualquer programador especializado numa única linguagem pode ser aceite por um sistema, desde que este possa lidar com esse código. Em regra um computador aceita sempre mais do que uma linguagem, basta estar dotado do interpretador ou compilador correspondente.
Mas quando se trata de linguagens associadas a SGBD exige-se mais do que o conhecimento de uma linguagem, torna-se indispensável o conhecimento da estrutura do nível de dados bem como do próprio SGBD. Alguns dos SGBD vão adquirindo o estatuto de STANDARD, como o ORACLE, SQLSERVER, INFORMIX, etc, mas admite-se que nunca existrá uma standardização tão grande que apenas um deles seja utilizado.
c. Equipamento e sistemas operativos
Os equipamentos são a parte mais visível dos meios automáticos de processamento. São os instrumentos físicos que importa dominar quando se pretende lidar com informação em ambientes tecnologicamente evoluídos.
O Sistema Operativo (SO) é constituído por um conjunto de programas cuja função se destina à gestão da própria máquina e dos seus periféricos. Em regra o SO é adquirido juntamente com o computador, todo o restante software é adquirido ou desenvolvido posteriormente e é processado recorrendo ao próprio SO.
Actualmente os equipamentos manifestam algumas tendências cujos contornos são fáceis de observar. Começam a ser nítidas três classes de computadores: Os grandes (MAINFRAMES), os médios (MINIS) e os pequenos (MICROS). Nenhum destes grupos existe de forma perfeitamente isolada e definida, há micros que são quase minis e minis que são quase mainframes, no entanto é habitual usar-se esta classificação devido às características predominantes em cada grupo.
Os MAINFRAMES são produzidos apenas por duas ou três marcas, têm sistemas operativos exclusivos e dispõem em regra de uma variedade considerável de compiladores instalados, o que lhes permite entender um número variado de linguagens. Uma vez que se domine uma linguagem clássica de programação e um sistema operativo de uma das marcas, torna-se fácil lidar com estes computadores, embora existam sempre algumas especificidades próprias de cada máquina.
Os MINIS (ou computadores departamentais) estão muito mais divulgados, e são de facto muitos as marcas que os produzem e comercializam. Segundo inquéritos realizados recentemente, a maioria das nossas empresas dispõem de equipamentos deste tipo.
Há dez ou doze anos assistiu-se à instalação de uma grande variedade de computadores deste tipo (MINIS) com sistemas operativos exlusivos da marca que os produzia (Sistemas Operativos Proprietários). Actualmente, por pressão do mercado e dos organismos internacionais de normalização informática, surgem algumas evidências fortes de standardização neste grupo de computadores.
Um dos melhores resultados da standardização que referimos verifica-se ao nível dos Sistemas Operativos. Quase todos os construtores estão a enveredar por uma de três opções: Microsoft NT, UNIX e LINUX como SO dos seus minis. As vantagens são inúmeras, desde a portabilidade do software à integração em arquitecturas informáticas já instaladas, tudo se torna mais simples. Qualquer individuo que conheça NT, UNIX ou LINUX está em condições de se fazer entender por um destes minis.
Relativamente aos MICROS, hoje existem centenas de marcas de computadores por esse mundo fora, podemos dizer que entre nós, cerca de 90% estão construídos com Sistema Operativo Windows e os restantes com SO exclusivo de marca como o MACINTOSH. Embora exista uma variedade infinita de marcas, o facto é que quem sabe Windows consegue lidar com quase todos os micros.
O significado das marcas deixou de ser relevante neste tipo de computadores, porque se verificou uma grande standardização em torno dos componentes. Podemos comprar peças em qualquer loja e integrá-las num único sistema sem grandes riscos, desde que sejam respeitadas algumas regras de base quanto às compatibilidades.
d. Arquitectura dos Sistemas Informáticos
Falar de arquitectura parece pouco oportuno quando o tema central é a Auditoria. No entanto, se atentarmos na importância do controlo interno para a generalidade dos diferentes tipos de auditoria, somos imediatamente levados à necessidade de analisar a arquitectura instalada antes de podermos certificar qualquer tipo de segurança dos dados ou dos procedimentos instituídos na organização.
É preciso saber como são construídos os ficheiros, de que zona da empresa provêm os dados, como são recolhidos, processados e guardados, para poder garantir que a informação posta à disposição do auditor é verdadeira, exaustiva e coerente.
A forma como se distribuem e ligam os equipamentos informáticos diferem consideravelmente umas das outras e são conhecidas actualmente por nomes próprios, como arquitectura em ESTRELA, em BUS, em ANEL, DISTRIBUÍDA ou REPARTIDA.
ESTRELA - Na arquitectura em ESTRELA todos os terminais se ligam ao computador central (CPU) em forma de estrela.
BUS - Na arquitectura em BUS todos os terminais se ligam a um cabo designado por TRUNK através do qual se faz circular a informação de e para o CPU. A mais conhecida é a ETHERNET.
ANEL - Na arquitectura em ANEL, como o seu nome indica os terminais estão dispostos em círculo. Cada terminal ou microcomputador está ligado a dois fios, um de entrada e outro de saída de informação.
DISTRIBUIDA - Na arquitectura DISTRIBUÍDA existem diversas redes locais ligadas a um CPU central. Cada uma das redes locais tem o seu próprio CPU, normalmente um computador de médio porte também chamado computador departamental, e são constituídas habitualmente em estrela. A sua justificação funcional reside no aproveitamento da possibilidade de tratar localmente grande parte dos dados, sem necessidade de os enviar ao CPU central antes de serem processados.
REPARTIDA - Na arquitectura REPARTIDA temos uma disposição semelhante à arquitectura distribuída sem CPU central. Existem diversas redes departamentais, mas como não há necessidade de os interligar, dispensa-se o CPU central. As redes não comunicam entre si. são utilizadas, habitualmente em sectores da mesma organização com um elevado grau de independência funcional.
Cada uma das arquitecturas tem a sua própria justificação para existir. Tecnicamente, a escolha de uma determinada arquitectura do sistema informático, deve sempre fundamentar-se na arquitectura do sistema de informação da organização e não em qualquer outro pressuposto, nomeadamente a situação tecnológica do momento.
As arquitecturas têm a sua própria história. Instalado um computador, passa a chamar-se central e começa-se a ligar-lhe terminais, ficando assim construída a primeira rede em estrela. As arquitecturas em BUS e em ANEL vieram depois com a necessidade de facilitar a expansão para áreas geográficas diferentes de forma mais económica e organizada.
A arquitectura DISTRIBUÍDA é a mais recente e foi desenvolvida tendo como pano de fundo a arquitectura do Sistema de Informação da maior parte das organizações, nomeadamente as empresas com um departamento financeiro, outro de produção, etc. De facto, nem sempre se torna eficiente fazer processar todas as transacções no mesmo CPU. Mesmo que este seja poderoso, há sempre atrasos nas comunicações, acessos ao mesmo ficheiro, etc, que podem ser evitados com a distribuição dos processamentos por áreas funcionalmente independentes.
Convém referir que cada tipo de rede exige software de gestão próprio, não basta instalar fios e equipamentos com um determinado desenho para se ter uma dada arquitectura. Por outro lado, o software aplicacional é necessariamente um reflexo das diferentes prioridades da estrutura funcional relevadas no planeamento do Sistema de Informação que deu origem à arquitectura. O acordo entre o software de rede e o software de aplicação terá de ser perfeito para haver compatibilidade.
Hoje, estamos a regressar novamente à arquitectura em estrela devido às grandes capacidades de comunicação que o mercado oferece. Como é mais fácil cuidar dos dados de forma centralizada e os custos de comunicação deixaram de ser relevantes, estamos a enveredar por arquitecturas centralizadas.
A arquitectura de sistemas de informação, incluindo hardware, comunicações, software e dados é uma disciplina cada vez mais importante nas tecnologias de informação. Apesar da standardização que ocorreu nos últimos anos ao nível de sistemas operativos e dos dados, nada deve ser adquirido e instalado ao acaso. As consequências podem ser muito prejudiciais ao funcionamento dos sistemas de informação global da empresa e à carteira dos accionistas.
e. Utilização dos Recursos Informáticos
Conhecida a arquitectura do sistema, importa conhecer como se faz a sua utilização. Habitualmente as diferentes formas são designadas por, processamento em lotes (BATCH ou OFF-LINE), em ON-LINE e em TEMPO REAL. Cada um destes métodos tem características determinantes da metodologia a adoptar na avaliação do controlo interno das arquitecturas e na certificação da veracidade dos dados.
O processamento por lotes consiste no envio dos dados a partir de um CPU ou terminal local para determinado ponto da arquitectura informática onde serão processados posteriormente em conjunto por ordem do operador do sistema. Este tipo de processamento está a cair em desuso actualmente. Não há interacção entre os programas, o utilizador e o ciclo de processamento, a RECOLHA / PROCESSAMENTO / DISTRIBUIÇÃO são feitos de forma descontínua. Com estas interrupções torna-se fácil modificar tanto os elementos lógicos que intervêm no processo como os dados, sem provocar o aparecimento de disfunções no sistema. Isto é, torna-se fácil fazer cópias dos ficheiros ou do software, modificá-los e repô-los de novo no sistema sem que o processo seja minimamente detectado.
O processamento ON-LINE explica-se pela existência de facto da comunicação entre o terminal onde o utilizador está colocado e o CPU central. O utilizador está em linha com o software e com os seu dados, mas só desencadeia o processamento dos dados quando lhe for mais conveniente. Neste caso o ciclo é quase contínuo, apenas a relação TRATAMENTO / UTILIZAÇÃO está quebrada.
O processamento em TEMPO REAL é semelhante ao on-line mas além da interacção do utilizador com os dados, existe processamento instantâneo. O ciclo de processamento é perfeitamente contínuo A RECOLHA / PROCESSAMENTO / UTILIZAÇÃO não são interrompidas. O Balanço, a Demonstração de Resultados ou qualquer outro resultado dos dados estão sempre disponíveis e incluem sempre o último movimento efectuado. Um lançamento, logo que é relevado no Sistema de Informação é imediatamente considerado por todo o software de produção de mapas (OUTPUTS).
O processamento em tempo real, está cada vez mais em voga. Através deste novo método foi possível encurtar o tempo do ciclo de processamento. A RECOLHA / PROCESSAMENTO / UTILIZAÇÃO é contínua o que torna quase indistinto o momento de registo do de utilização dos dados. Em contrapartida os sistemas ficam cada vez mais difíceis de abordar, o acesso aos dados e software fica mais difícil porque estão permanentemente em utilização.
Um Sistema de Informação em tempo real, concebido e validado com todos os princípios do Controlo Interno pode simplificar o trabalho do auditor pois as principais questões passarão a ser colocadas ao nível da recolha dos dados e da sua utilização, mas sempre no exterior do sistema.
f. Controlo Interno e a informática
A introdução da informática nas organizações transporta a empresa (ou serviço) a um ambiente de funcionamento onde os aspectos relevantes do controlo interno podem tornar-se extraordinariamente difíceis de identificar. Na Norma 2.6 da IFAC (Órgão Internacional de Normalização Contabilística) diz-se que "O sistema de Controlo Interno consiste no plano de organização e em todos os métodos e procedimentos adoptados pela gerência da entidade que contribuam para atingir o objectivo da gerência de assegurar, até onde for praticável, a condução ordenada e eficiente dos seus negócios, incluindo a aderência às políticas de gestão, a salvaguarda dos activos, a prevenção e detecção de fraudes e de erros, a exactidão e a integralidade dos registos contabilísticos, e a preparação oportuna de informação financeira fiável".
Naturalmente que o sistema de informação de uma determinada organização pode ter sido construído de base tendo em conta todas as exigências do controlo interno e não incluir qualquer equipamento informático. Também podemos ter uma organização com o seu sistema de informação perfeitamente informatizado mantendo igualmente todas as exigências do controlo interno.
Como é fácil de entender, cada um dos momentos da vida da organização pode apresentar níveis próprios de informatização exigindo, por isso, diferentes formas de abordagem com vista à avaliação do controlo interno. Se no primeiro momento os procedimentos tradicionais são suficientes, nos outros haverá necessidade de conhecer em pormenor o suporte tecnológico da informação.
Os equipamentos, a sua utilização, a concepção do software, a identificação de conhecimentos, a segurança de acessos a locais, equipamentos e software na empresa são relevantes para a avaliação do controlo interno.
O SOFTWARE, porque automatiza procedimentos deverá ter em conta na sua criação as mesmas regras de controlo interno que é suposto praticar quando esses mesmos procedimentos são manuais.
Os próprios EQUIPAMENTOS, justificam em certos casos uma observação cuidada no sentido de testar o seu grau de segurança relativamente à informação que processam.
As TELECOMUNICAÇÕES mostram-se actualmente como um dos pontos mais vulneráveis na informática. Os indivíduos são cada vez melhores conhecedores dos sistemas informáticos, os computadores fazem parte das ferramentas usuais de qualquer funcionário. A maior parte dos sistemas informáticos dispõe de linguagens de interrogação evoluídas directamente utilizáveis por não especialistas.
Estes factores tornam os sistemas informáticos cada vez mais abertos e vulneráveis a partir do exterior, devido às facilidades de comunicação actuais.
Os CONHECIMENTOS, pelas mesmas razões da segurança de acessos, deverão estar permanentemente inventariados, isto é, os detentores da capacidade para usar ou alterar seja o que for na informática devem ser conhecidos.
A SEGURANÇA INFORMÁTICA é uma das áreas mais relevantes para o controlo interno. Trata-se da segurança física dos equipamentos, da alimentação energética dos sistemas, do acesso físico, dos incêndios, da segurança lógica, isto é, acesso aos dados e ao software do sistema operativo, acesso ao software aplicacional, identificação de utilizadores, acesso às comunicações, etc.
Vejamos sumariamente alguns dos aspectos mais relevantes:
SEGURANÇA FÍSICA DAS INSTALAÇÕES E EQUIPAMENTOS:
Definição clara das áreas de segurança
Definição clara dos responsáveis
Segurança de acessos a instalações e equipamentos
Acesso segundo o princípio da necessidade de conhecer
Segurança da energia
Climatização
Riscos de incêndio
Radiação electromagnética
Infra-estruturas
Etc.
SEGURANÇA DE SUPORTES FÍSICOS
Definição clara de responsabilidades
Circulação dos suportes físicos (papel, magnéticos e ópticos)
Protecção de radiação electromagnética
Protecção de comunicações
Plano de passagem dos cabos
Colocação dos equipamentos de comunicação "modems e routers" em local restrito
Licenciamento da manutenção
Etc.
SEGURANÇA LÓGICA
Protecção de acessos
Password por utilizador
Mudança periódica de password
Invalidação do terminal após algumas tentativas incorrectas
Identificação de utilizador com o posto de trabalho
Invalidação do terminal após certo período de inactividade
Invalidação do terminal fora das horas de trabalho
Definição de privilégios de acesso aos ficheiros e programas
Para a recolha de dados:
- validação
- identificação das transacções
- correcção de dados
Processamento:
- Detecção dos processamentos incompletos ou duplicados
- Reposição dos ficheiros no ponto de partida
- Recuperação de ficheiros ou registos destruídos
- Controlos internos nas aplicações para coerência de dados
- Verificação periódica do estado dos ficheiros
- Comparação dos resultados obtidos com os esperados
- Adequação dos programas às actualizações do SO
Divulgação dos resultados:
- Correcto encaminhamento dos dados
- Transporte correcto dos dados
- Destruição de resultados obsoletos
Software adquirido:
- Garantir as normas de segurança
- Assegurar a não redundância
- Não utilização abusiva
Desenvolvimento de software:
- Definir claramente a metodologia para cada projecto
- Identificar claramente os objectivos
- Testar convenientemente os módulos
- Testar a integração dos módulos
- Preparar documentação:
-- Sumário de objectivos
-- Manual de utilizador
-- Documentação de análise e programação
-- Manual de operação
-- Doc. sobre controlos internos, segurança e auditoria
-- Doc. sobre manutenção
-- Listagem dos programas
- Facilitar o contacto do utilizador iniciado com o apoio
- Estabelecer prazos de revisão dos projectos
Recuperação dos dados:
- Periodicidade das protecções
- Número de exemplares de protecção
- Localização do arquivo dos suportes informáticos
- Procedimentos de reposição
- Plano de reposição
Etc.
4. Formação do Auditor Informático
Face à situação actual da informática, que NOVAS missões poderão ser pedidas a um auditor? É possível delinear as mais evidentes. Fica-nos, no entanto, a certeza de que o universo de tarefas no domínio da auditoria informática é bastante amplo. Sem ter a ambição de as listar de forma exaustiva, podemos evidenciar as seguintes:
Face a esta realidade, é lícito admitir que os auditores terão de contar com novas áreas de conhecimentos no domínio da informática compreendendo informação e computadores. Certamente, não estaremos longe da verdade se dissermos que os auditores serão desdobrados em novos ramos de auditoria, em consequência dessa formação.
Uma hipótese plausível será preparar os auditores com conhecimentos de informática e dotar os informáticos com conhecimentos de auditoria.
O resultado desse processo pode conduzir à seguinte separação em três ramos:
|
GERAL |
AUDITOR |
DE AMBIENTE INFORMÁTICO |
|
INFORMÁTICO |
O auditor informático deverá sustentar a opinião do auditor geral ou de ambiente informático quando estes não possuam conhecimentos de informática suficientes, emitindo opinião sobre a função informática nas suas diversas vertentes, nomeadamente arquitecturas, software, organização dos dados e formação. Poderá dar fundamento ao parecer do auditor quando a relevância estiver no domínio dos dados, ou poderá tratar objectivamente uma área da função informática.
Segundo - S. Faurie e P. Sarret, edição referida em [1] na bibliografia - a auditoria informática pressupõe um conjunto vasto de conhecimentos cuja dimensão torna impraticável a existência de um único profissional especializado em todas as suas vertentes. Compreende os seguintes elementos:
O objectivo é sempre garantir ao auditor o controlo da missão. Convém não nos afastarmos da ideia de que o problema central é a AUDITORIA sobre sistemas de informação independentemente da tarefa concreta que é preciso executar em cada caso.
O futuro dirá a verdade mas, enquanto não houver níveis de standardização mais significativos, dada a dimensão e evolução do que é preciso conhecer para fazer auditoria informática, tudo indica que a especialização se irá acentuar, possivelmente com a separação em auditores informáticos de Hardware, de software, de dados, de comunicações, de equipamentos IBM, de equipamentos NT, UNIX, etc.
[1] - Audit Informatique, de S. Faurie e P. Sarret, edição francesa da MASSON
[2] - Guide de L'Audit Informatique, do Institut Français des Auditeurs et Contrôleurs Internes (IFACI), edição francesa do Centre de Librarie et d'Editions Techniques (CLET)
[3] - Textos do 6º Congresso Português de Informática, de diversos autores, edição da Associação Portuguesa de Informática
[4] - Sistemas de Informação, de Alciney L. Cautela e Enrico G. F. Polloni, edição da McGraw-Hill
[5] - Tecnologias da Informação, de Helder Coelho, edição das Publicações Dom Quixote
[6] - Analysis and Design of Information Systems, de James A. Senn, edição da McGraw-Hill
[7] - Projecto de diploma (SEGNAC3) sobre segurança da informação
[8] - Gordon E. Smith; Network Auditing - A Control Assessment Approach, WILEY, 1999
[9] - James A. Hall; Information Systems Auditing and Assurance, South-Western, 2000
[10] - Elfried Dustin & Jeff Rashka & John Paul; Automated Software Testing - Introdution, Management and Performance, 1999
[11] - Martin A. Krist, Standard for Auditing Computer Applications, AUERBACH, 1999