APLICAÇÃO DE TÉCNICAS DE AUDITORIA ANALÍTICA EM SISTEMAS DE PROCESSAMENTO DE DADOS

AUDITORIA ANALÍTICA EM FACE DA AUDITORIA INDEPENDENTE

TÉCNICAS DE AUDITORIA ANALÍTICA UTILIZADAS NO BRASIL - UM ESTUDO DE CASOS

CAPÍTULO 2 - REVISÃO DA LITERATURA E FUNDAMENTOS TEÓRICOS

2.5 - METODOLOGIA DA AUDITORIA ANALÍTICA

2.5.5 - APLICAÇÃO DE TÉCNICAS DE AUDITORIA ANALÍTICA EM SISTEMAS DE PROCESSAMENTO DE DADOS

A primeira norma geral de auditoria estabelecida pela SAS nº 1, AV-seção 150.02, do AICP A, exige: (61)

"O exame deve ser realizado por uma pessoa ou pessoas que tenham treinamento técnico adequado e proficiência como auditor."

Na área de processamento eletrônico de dados (PED), exigências específicas quanto à capacidade do auditor têm sido feitas, e a SAS-nº 3, AV-seção 321.04, do AICP A, é um exemplo disto ao determinar: (62)

"Se um cliente utiliza PED em seu sistema contábil, quer em aplicação simples, quer em uma complexa, o auditor precisa conhecer todo o sistema suficientemente bem para identificar e avaliar seus aspectos essenciais de controle contábil. As situações que envolvem aplicações mais complexas de PED geralmente exigem que o auditor ponha em prática conhecimentos especializados no assunto, para aplicação dos procedimentos de auditoria necessários."

O desenvolvimento de sistemas de PED nos últimos anos tem demonstrado sua tendência para processar uma variedade cada vez maior de transações; com o aumento do volume de transações processadas, surge uma maior possibilidade de fraude; o aumento de fraudes sugere o emprego de controles mais sofisticados, por conseguinte, torna-se necessário o uso de técnicas mais sofisticadas para identificá-las e avaliá-las

Neste sentido, Davis e Weber afirmaram: (63)

"Mais controles significa um processo de avaliação mais complexo para o auditor. A complexidade da avaliação cresce em dois sentidos. Primeiro, o auditor tem um grande número de controles para avaliar. Segundo, com mais controles ele terá mais dificuldade para conhecer como os controles interagem para afetar a confiabilidade do sistema global."

Tais fatos têm conduzido os profissionais da auditoria a não pouparem esforços no sentido de melhor se familiarizarem com os mecanismos de PED, assim como a desenvolverem metodologia bem estruturada e modulada para a revisão desses sistemas. No processo de revisão de controles, o auditor de PED se depara com duas categorias de controles: controles usuários e controles contábeis de PED.

Controles usuários - consistem naqueles dispositivos de controles que são estabelecidos dentro dos departamentos nos quais as operações são preparadas para o computador.

Um exemplo evidente pode ser um departamento de estoque de matéria-prima, no qual a companhia mantém uma política para alcançar o custo-padrão predeterminado para toda matéria-prima; manualmente é feito um registro permanente dos estoques desse material e o controle é mantido pelo departamento.

Um saldo contábil da matéria-prima também é mantido em base permanente.

Um inventário físico é feito a cada ano pela gerência, no mês de setembro, e a companhia confia que seu sistema de controle interno assegure a precisão do saldo contábil da conta até dezembro do exercício findo.

Compara os resultados até então obtidos e, através de ajustes, faz uma checagem com os totais apurados pelo departamento de PED.

A figura 7 mostra os problemas de controles internos que podem ocorrer num subsistema de matéria-prima dessa natureza.

Figura 7 - Fluxograma do Sistema de Matérias-Primas

Fonte: Trad. de: Bums, David, C. & Loebbecke, James K. internai control evaluation: how the computer can help. New York, 1975. Separata do Journal of Accountancy. New York, p. 63, Aug. 1975

Num sistema como esse, o auditor poderá, através de uma análise minuciosa, defrontar-se basicamente com três tipos de erros que podem ocorrer em determinadas circunstâncias.

Esses três tipos de erros são os seguintes: (64)

• fraudes aplicadas nas contas do fornecedor para algumas remessas de entrada de matéria-prima;
• falsificação na quantidade das contas registradas sobre algumas requisições de matéria-prima;
• erros no custeamento de alguma transação de ·matéria-prima.

Em decorrência dessas e de outras possibilidades de prática de erros é que, num sistema que utiliza PED, o auditor deve dispensar atenção especial aos "controles contábeis de PED", que são classificados em dois tipos: controles gerais e controles de aplicação

De acordo com a SAS nº 3, seções (AU-321.06-08) do AICPA, esses controles são assim referendados: (65)

1. Os controles gerais estão relacionados a todas as atividades de PED e incluem:

a) plano de organização e operação das atividades;

b) procedimentos para documentação, revisão, testes e aprovação de sistemas ou programas de computador (e mudanças neles efetuadas;

c) controles de hardware desenvolvido pelo fabricante de computador; e d) controles sobre acesso aos equipamentos de computador, arquivos de dados e programas.

2. Os controles de aplicação estão relacionados com as tarefas específicas realizadas por um sistema de PED e consis.tem de:

a) controles de entrada;

b) controles de processamento;

c) controles de saída

Inegavelmente, o que se pretende tanto com os controles gerais quanto com os de aplicação é que eles operem de forma a fornecerem razoável segurança para a prevenção e detecção de err:os e irregularidades que possam ocorrer num ambiente contábil que utiliza PED. Segundo Robertson e Davis, os tipos de erros e irregularidades que podem ocorrer em um sistema contábil que utiliza PED são os seguintes:

1. Erros na conversão de dados de transação para a linguagem de máquinas (e.g. cartões perfurados, fita ou disco para chave, entrada em terminal 'on-line')

2. Erros na correção e rejeição de dados inicialmente rejeitados pelo sistema

3. Destruição ou perda de arquivos de linguagem de máquina

4. Processamento de transações inválidas

5. Imperfeição no processamento de transações válidas

6. Processamento de transação não autorizada

7. Valorização imprópria de dados de transação

8. Classificação errônea de dados de transação

9. Imperfeição na divulgação dos próprios controles e contas subsidiárias

10. Registro de transações fora do período.66

Em decorrência desses fatores, o Comitê sobre Controle Interno do AICP A descreve algumas considerações que devem ser reconhecidas pelo auditor quando da avaliação da estrutura de controle interno de um cliente que utiliza PED, conforme segue: (67)

• Há frequentemente menos evidências que documentam o desempenho de procedimentos de controle em sistemas computadorizados do que em sistemas manuais
• Informação em sistemas manuais pode ser lida com o auxl1io de uma máquina. Arquivos e registros em sistemas de PED são comumente em forma de linguagem de máquina e frequentemente não podem ser lidos sem o uso de um computador
• Informação em um sistema de PED pode ser mais vulnerável à deterioração, erro humanô, manipulação não-autorizada e pior funcionamento mecânico do que em um sistema manual. Concentração de dados, usuarlOS múltiplos e acessos múltiplos são características que podem aumentar a vulnerabilidade de sistemas de PED.
• Processamento de transações individuais por computadores requer melhor antecipação de problemas potenciais. Os sistemas manuais frequentemente confiam no julgamento humano para identificar como ocorrem os problemas
• Várias funções devem ser concentradas em um sistema de PED, portanto, reduzindo a tradicional segregação de funções. Um indivíduo sozinho pode ser hábil para fazer mudanças não autorizadas (por exemplo, modificação de um programa, base de dados ou arquivo-mestre) que anulam controles internos contábeis ou permitem acesso não apropriado aos ativos. Segregação apropriada de funções de PED deve superar estas fraquezas
• Conhecimento adicional especializado deve ser requerido para avaliar controles internos contábeis em um ambiente de PED.
• Mudanças num sistema são frequentemente mais difíceis de serem implementadas em um sistema de PED do que em um sistema manual
• Com controles apropriados, um sistema de PED pode fornecer maior consistência do que sistemas manuais porque todas as transações em geral estão sujeitas ao mesmo controle.

Em função dessas considerações especiais, pode-se deduzir que há necessidade de métodos e técnicas (ou procedimentos) mais sofisticados para o auditor revisar a estrutura de controles internos de uma organização que utiliza PED

Segundo Skinner e Anderson, a auditoria 'analítica é perfeitamente' aplicável, eficiente e de custo efetivo em sistemas contábeis que usam PED: (68)

"( ... ) pois, de fato, tais sistemas são sumamente adequados para este tipo de auditoria. Para os mecanismos de processamento de dados, os procedimentos são formalizados de melhor maneira e os sistemas são mais reproduzíveis."

Entretanto, devido às particularidades inerentes a todo sistema de PED, tornam-se necessárias algumas modificações para adaptar a técnica de auditoria analítica à auditoria de sistemas de PED. Neste sentido, estabelecem-se pelo menos três princípios gerais:

• o computador é parte integrante do sistema contábil global e, portanto, deve ser considerado nó âmbito do sistema do qual faz parte com destaque para o grau de computadorização do sistema;
• sendo o PED parte do sistema global, as técnicas de auditoria analítica, com pequeno aperfeiçoamento, podem ser utilizadas num processo de auditagem daquele sistema;
• o auditor, para realizar uma auditoria de PED, não precisa ser um perito em programação ou "diagramas de blocos", mas é necessário que conheça o modo como o computador é usado para desempenhar as tarefas nele inseridas e as vantagens decorrentes de sua utilização.

Com base nesses fatos, pode-se deduzir que, dentre os aspectos referentes ao uso de auditoria analítica, em sistemas que utilizam PED, verifica-se um certo grau de validade por diversas razões, inclusive as descritas a seguir:

Aplicabilidade - parece ser uma das principais vantagens da auditoria analítica em sistemas contábeis que utilizam PED, pois esta abordagem não limita as condições especializadas, como muitos métodos quantitativos o fazem; isto é, ela é suficientemente flexível e abrangente para auxiliar o auditor na compreensão de grande variedade de inter-relacionamentos de controles internos contábeis complexos

Efetividade - a abordagem da auditoria analítica não requer um alto nível de especialização em matemática ou programação de computadores, mas apenas que o auditor tenha um adequado conhecimento das técnicas básicas de elaboração de fluxogramas que representam o sistema em ação-e o registro da compreensão obtida na necessária revisão preliminar do mesmo. Assim, apenas com um pouco de habilidade os auditores poderão identificar possíveis fraquezas e riscos decorrentes do uso de PED, tornando o produto de seu exame muito útil e aceitável, para si próprios e para seus clientes

Custo efetivo - o tempo e os esforços despendidos para elaborar fluxogramas que constituem a base da auditoria analítica, tanto em sistema manual como de PED, podem ser considerados eficazes, uma vez que são perfeitamente compensáveis em auditorias de anos subsequentes ao de sua implementação, bem como em decorrência das vantagens proporcionadas ao auditor e a seu cliente