NBC - NORMAS BRASILEIRAS DE CONTABILIDADE
NBC-T - NORMAS TÉCNICAS
NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE
NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE POR MEIO DO ENTENDIMENTO DA ENTIDADE E DO SEU AMBIENTE
APÊNDICE 5 (ver item 25(a), item 26(b) e (c), item A94 e itens de A166 a A172)
Considerações para entendimento da TECNOLOGIA DA INFORMAÇÃO (TI)
Este Apêndice fornece considerações adicionais que o auditor pode considerar para entender o uso de TI pela entidade em seu sistema de controles internos.
Coletânea por Américo G Parada Fº - Contador - Coordenador do COSIFE
Entendimento do uso pela entidade da tecnologia da informação nos componentes do sistema de controles internos da entidade
1. O sistema de controles internos da entidade contém elementos manuais e elementos automatizados (isto é, controles manuais e automatizados e outros recursos utilizados no sistema de controles internos da entidade).
A combinação de elementos manuais e automatizados varia conforme a natureza e a complexidade do uso de TI pela entidade.
O uso de TI pela entidade afeta a maneira como as informações relevantes para a elaboração das demonstrações contábeis de acordo com a estrutura de relatório financeiro aplicável são processadas, armazenadas e comunicadas e afeta, portanto, a maneira como o sistema de controles internos da entidade é planejado e implementado.
Cada componente do sistema de controles internos da entidade pode usar TI em alguma extensão. De modo geral, a TI beneficia o sistema de controles internos da entidade, permitindo à entidade:
2. As características dos elementos manuais e automatizados são relevantes para a identificação e a avaliação de riscos de distorção relevante pelo auditor e para os procedimentos adicionais de auditoria baseados nos mesmos.
Controles automatizados podem ser mais confiáveis do que controles manuais porque não podem ser facilmente contornados, ignorados ou transgredidos e também são menos propensos a erros simples.
Controles automatizados podem ser mais efetivos que os manuais nas seguintes circunstâncias:
Entendimento do uso pela entidade da tecnologia da informação no sistema de informações (ver item 25(a))
3. O sistema de informações da entidade pode incluir o uso de elementos manuais e automatizados, que também afetam o modo como as transações são iniciadas, registradas, processadas e comunicadas.
Em particular, os procedimentos para iniciar, registrar, processar e comunicar transações podem ser realizados por meio de aplicativos de TI usados pela entidade da forma em que ela configurou esses aplicativos.
Além disso, registros no formato de informações digitais podem substituir ou complementar registros em papel.
4. Ao obter entendimento do ambiente de TI relevante para os fluxos de transações e o processamento de informações no sistema de informações, o auditor coleta informações sobre a natureza e as características dos aplicativos de TI usados, bem como da infraestrutura de suporte para TI e do TI.
A tabela a seguir inclui exemplos de assuntos que o auditor pode considerar ao obter entendimento do ambiente de TI, além de exemplos de características típicas de ambientes de TI com base na complexidade dos aplicativos de TI usados no sistema de informações da entidade.
Entretanto, essas características são direcionais e podem diferir dependendo da natureza das aplicações de TI específicas em uso pela entidade.
Tecnologias emergentes
5. As entidades podem usar tecnologias emergentes (por exemplo, blockchain (protocolo de confiança), robótica ou inteligência artificial) porque essas tecnologias podem apresentar oportunidades específicas para aumentar as eficiências operacionais ou aprimorar a apresentação de relatórios financeiros.
Quando as tecnologias emergentes são usadas no sistema de informações da entidade que são relevantes para a elaboração das demonstrações contábeis, o auditor pode incluir essas tecnologias na identificação de aplicativos de TI e de outros aspectos do ambiente de TI que estão sujeitos a riscos decorrentes do uso de TI.
Embora as tecnologias emergentes pareçam ser mais sofisticadas ou complexas em comparação com as tecnologias existentes, as responsabilidades do auditor em relação a aplicativos de TI e controles gerais de TI identificados, de acordo com o item 26(b) e (c), permanecem inalteradas.
Escalabilidade
6. O entendimento do ambiente de TI da entidade pode ser mais facilmente obtido para entidade menos complexa que usa software comercial e quando a entidade não tem acesso ao código-fonte para fazer alterações nos programas.
Essas entidades podem não ter profissionais de TI dedicados, mas podem ter uma pessoa designada na função de administrador para fins de conceder acesso aos empregados ou instalar atualizações das aplicações de TI fornecidas pelo fornecedor.
Assuntos específicos que o auditor pode considerar para entender a natureza de um pacote comercial de software de contabilidade, que pode ser um único aplicativo de TI usado por entidade menos complexa em seu sistema de informações, podem incluir:
7. Ambientes de TI complexos podem incluir aplicativos de TI altamente personalizados ou altamente integrados e podem, portanto, requerer mais esforço para entender os processos de apresentação de relatórios financeiros ou os aplicativos de TI podem estar integrados a outros aplicativos de TI.
Essa integração pode envolver aplicativos de TI que são usados nas operações comerciais da entidade e que fornecem informações para os aplicativos de TI relevantes para os fluxos de transações e o processamento de informações no sistema de informações da entidade.
Nessas circunstâncias, certos aplicativos de TI usados nas operações comerciais da entidade também podem ser relevantes para a elaboração das demonstrações contábeis.
Ambientes de TI complexos também podem requerer departamentos de TI dedicados com processos de TI estruturados suportados por pessoal com habilidades em desenvolvimento de software e manutenção de ambiente de TI.
Em outros casos, a entidade pode usar prestadores de serviço internos ou externos para gerenciar certos aspectos do ambiente de TI ou de processos no ambiente de TI (por exemplo, hospedagem terceirizada).
Identificação de aplicativos de TI sujeitos a riscos decorrentes do uso de TI
8. Por meio do entendimento da natureza e da complexidade do ambiente de TI da entidade, incluindo a natureza e a extensão dos controles de processamento de informações, o auditor pode determinar em quais aplicativos de TI a entidade confia para processar e manter de maneira precisa a integridade das informações financeiras.
A identificação dos aplicativos de TI nos quais a entidade confia pode afetar a decisão do auditor de testar os controles automatizados nesses aplicativos, assumindo que esses controles automatizados tratam dos riscos identificados de distorção relevante.
Por outro lado, se a entidade não confia no aplicativo de TI, provavelmente os controles automatizados nesse aplicativo não são apropriados ou suficientemente precisos para fins de testes de efetividade operacional.
Os controles automatizados que podem ser identificados, de acordo com o item 26(b), incluem, por exemplo, cálculos ou inserções automatizados, controles de processamento e saídas, tais como uma correlação tripla envolvendo pedido de compra, documento de embarque do fornecedor e fatura do fornecedor.
Quando o auditor identifica controles automatizados e determina, por meio do entendimento do ambiente de TI, que a entidade confia no aplicativo de TI que inclui esses controles automatizados, pode ser mais provável que ele identifique o aplicativo de TI como estando sujeito a riscos decorrentes do uso de TI.
9. Ao considerar se os aplicativos de TI para os quais o auditor identificou controles automatizados estão sujeitos a riscos decorrentes do uso de TI, é provável que o auditor considere se e em que extensão a entidade pode ter acesso ao código-fonte que possibilita à administração fazer alterações no programa desses controles ou dos aplicativos de TI.
A extensão em que a entidade faz alterações em programas ou configurações e a extensão em que os processos de TI sobre essas alterações são formalizados também podem ser considerações relevantes.
É provável, também, que o auditor considere o risco de acesso indevido ou alterações de dados.
10. Os relatórios gerados por sistema que o auditor pode pretender usar como evidência de auditoria podem incluir, por exemplo, relatório de vencimentos de contas a receber ou relatório de avaliação de estoque.
Para esses relatórios, o auditor pode obter evidência de auditoria sobre a integridade e a precisão dos relatórios, testando de forma substancial as entradas e saídas do relatório.
Em outros casos, o auditor pode planejar testar a efetividade operacional dos controles em relação à elaboração e à manutenção do relatório, caso em que o aplicativo de TI pelo qual ele é produzido está provavelmente sujeito a riscos decorrentes do uso de TI.
Além de testar a integridade e precisão do relatório, o auditor pode planejar testar a efetividade operacional dos controles gerais de TI que tratam dos riscos relacionados com alterações inadequadas ou não autorizadas de programas ou de dados referentes ao relatório.
11. Alguns aplicativos de TI podem incluir uma funcionalidade de geração de relatório enquanto algumas entidades também podem utilizar aplicativos separados para geração de relatórios (isto é, geradores de relatório).
Nesses casos, o auditor pode precisar determinar as fontes dos relatórios gerados por sistema (isto é, o aplicativo que elabora o relatório e as fontes de dados usadas pelo relatório) para determinar os aplicativos de TI sujeitos a riscos decorrentes do uso de TI.
12. As fontes de dados usadas pelos aplicativos de TI podem ser bases de dados que, por exemplo, podem ser acessadas somente por meio do aplicativo de TI ou pelo pessoal de TI com privilégios de gerenciamento de base de dados.
Em outros casos, a fonte de dados pode ser um armazém de dados que pode inclusive ser considerado um aplicativo de TI sujeito a riscos decorrentes do uso de TI.
13. O auditor pode ter identificado um risco para o qual apenas procedimentos substantivos não são suficientes devido ao uso pela entidade de processamento de transações altamente automatizado e sem papel, que pode envolver múltiplos aplicativos de TI integrados.
Nessas circunstâncias, os controles identificados pelo auditor provavelmente incluem controles automatizados.
Ainda, a entidade pode confiar em controles gerais de TI para manter a integridade das transações processadas e de outras informações usadas no processamento.
Nesses casos, os aplicativos de TI envolvidos no processamento e no armazenamento das informações são provavelmente sujeitos a riscos decorrentes do uso de TI.
Computação de usuário final
14. Embora a evidência de auditoria também possa vir na forma de resultado gerado por sistema que é usado em cálculo realizado em uma ferramenta relacionada com computação de usuário final (por exemplo, software de planilha ou bases de dados simples), essas ferramentas normalmente não são identificadas como aplicativos de TI no contexto do item 26(b).
O planejamento e a implementação de controles de acesso e alterações às ferramentas relacionadas com computação de usuário final podem ser um desafio, e esses controles raramente são equivalentes aos controles gerais de TI ou tão efetivos quanto eles.
Em vez disso, o auditor pode considerar uma combinação de controles de processamento de informações, levando em consideração o propósito e a complexidade da computação do usuário final envolvidos, tais como:
Escalabilidade
15. A capacidade da entidade de manter a integridade das informações armazenadas e processadas no sistema de informações pode variar com base na complexidade e no volume das transações relacionadas e de outras informações.
Quanto maior a complexidade e o volume de dados que suportam uma classe de transações, saldo contábil ou divulgação significativa, menor a probabilidade de a entidade manter a integridade dessas informações somente por meio de controles de processamento de informações (por exemplo, controles de entrada e saída ou controles de revisão).
Também é menos provável que o auditor seja capaz de obter evidência de auditoria sobre a integridade e a precisão dessas informações somente testando de forma substancial quando essas informações são usadas como evidência de auditoria.
Em algumas circunstâncias, quando o volume e a complexidade das transações são menores, a administração pode ter um controle de processamento de informações que é suficiente para verificar a precisão e a integridade dos dados (por exemplo, pedidos de venda individuais processados e faturados podem ser conciliados com as vias impressas originalmente inseridas no aplicativo de TI).
Quando a entidade confia em controles gerais de TI para manter a integridade de certas informações usadas pelos aplicativos de TI, o auditor pode determinar que os aplicativos de TI que mantêm essas informações estão sujeitos a riscos decorrentes do uso de TI.
- do volume de dados (transações) não ser significativo; - da funcionalidade do aplicativo não ser complexa; - de cada transação ser suportada por documentação impressa original. |
- do volume de dados (transações) ser significativo; - da funcionalidade do aplicativo ser complexa, como: - - o aplicativo inicia as transações automaticamente; e - - existem vários cálculos complexos subjacentes às entradas automatizadas. |
- o volume de dados não é significativo e, portanto, a administração não confia em controles gerais de TI para processar ou manter os dados; - a administração não confia em controles automatizados ou em outra funcionalidade automatizada; o auditor não identificou controles automatizados de acordo com o item 26(a); - embora a administração use relatórios gerados por sistema em seus controles, ela não confia nesses relatórios. Em vez disso, ela concilia os relatórios com a documentação impressa e verifica os cálculos nos relatórios; - o auditor deve testar diretamente as informações produzidas pela entidade como evidência de auditoria. |
- a administração confia em sistema de aplicativo para processar ou manter os dados uma vez que o volume de dados é significativo; - a administração confia em sistema de aplicativo para realizar certos controles automatizados que o auditor também identificou. |
Outros aspectos do ambiente de TI sujeitos a riscos decorrentes do uso de TI
16. Quando o auditor identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI, outros aspectos do ambiente de TI normalmente também estão sujeitos a riscos decorrentes do uso de TI.
A infraestrutura de TI inclui as bases de dados, o sistema operacional e a rede. As bases de dados armazenam os dados usados pelos aplicativos de TI e podem consistir em diversas tabelas de dados inter-relacionadas.
Os dados nas bases de dados também podem ser acessados diretamente por meio de sistemas de gerenciamento da base de dados por TI ou por outro pessoal com privilégios de gerenciamento de base de dados.
O sistema operacional é responsável por gerenciar as comunicações entre hardware, aplicativos de TI e outros softwares usados na rede.
Dessa forma, os aplicativos de TI e as bases de dados podem ser acessados diretamente por meio do sistema operacional.
A rede é usada na infraestrutura de TI para transmitir dados e compartilhar informações, recursos e serviços por meio de ligação de comunicações comum.
Normalmente, a rede também estabelece uma camada de segurança lógica (habilitada pelo do sistema operacional) para acessar os recursos subjacentes.
17. Quando os aplicativos de TI são identificados pelo auditor como estando sujeitos a riscos decorrentes do uso de TI, as bases de dados que armazenam os dados processados pelo aplicativo de TI identificado também são normalmente identificadas.
Da mesma forma, pelo fato de a capacidade do aplicativo de TI operar ser muitas vezes dependente do sistema operacional e de aplicativos de TI e as bases de dados poderem ser diretamente acessadas no sistema operacional, o sistema operacional normalmente está sujeito a riscos decorrentes do uso de TI.
A rede pode ser identificada quando ela é um ponto central de acesso aos aplicativos de TI identificados e às bases de dados relacionadas, ou quando o aplicativo de TI interage com fornecedores ou partes externas pela internet, ou quando aplicativos de TI baseados na internet são identificados pelo auditor.
Identificação de riscos decorrentes do uso de TI e controles gerais de TI
18. Exemplos de riscos decorrentes do uso de TI incluem riscos relacionados com confiança inadequada em aplicativos de TI que processam dados de maneira imprecisa ou processam dados imprecisos, ou os dois, tais como:
19. A consideração do auditor sobre acesso não autorizado pode incluir riscos relacionados com acesso não autorizado por partes internas ou externas (muitas vezes referidos como riscos de segurança cibernética).
Esses riscos podem não necessariamente afetar os relatórios financeiros, uma vez que o ambiente de TI da entidade também pode incluir aplicativos de TI e dados relacionados que tratam das necessidades operacionais ou de conformidade.
É importante notar que incidentes cibernéticos geralmente ocorrem primeiro por meio do perímetro e das camadas internas da rede, que tendem a ser removidos do aplicativo de TI, da base de dados e dos sistemas operacionais que afetam a elaboração das demonstrações contábeis.
Consequentemente, se as informações sobre uma violação de segurança foram identificadas, o auditor, normalmente, considera até que ponto essa violação tem o potencial de afetar os relatórios financeiros.
Se os relatórios financeiros podem ser afetados, o auditor pode decidir entender e testar os controles relacionados para determinar o possível impacto, o escopo de potenciais distorções nas demonstrações contábeis ou pode determinar que a entidade forneceu divulgações adequadas em relação a essa violação de segurança.
20. Além disso, leis e regulamentos, que podem ter efeito direto ou indireto sobre as demonstrações contábeis da entidade, podem incluir legislação de proteção de dados.
Considerar a conformidade da entidade com essas leis e esses regulamentos, de acordo com a NBC-TA-250, pode envolver o entendimento dos processos de TI dessa entidade e dos controles gerais de TI implementados pela entidade para tratar das leis e dos regulamentos relevantes.
21. São implementados controles gerais de TI para tratar dos riscos decorrentes do uso de TI.
Consequentemente, o auditor usa o entendimento obtido sobre os aplicativos de TI identificados e sobre outros aspectos do ambiente de TI e os riscos decorrentes do uso de TI para determinar os controles gerais de TI a serem identificados.
Em alguns casos, a entidade pode usar processos de TI comuns em todo o seu ambiente de TI ou em certos aplicativos de TI, caso em que os riscos comuns decorrentes do uso de TI e os controles gerais comuns podem ser identificados.
22. Em geral, é provável que seja identificada uma quantidade maior de controles gerais de TI relacionados com aplicativos de TI e bases de dados do que com outros aspectos do ambiente de TI. Isso ocorre porque esses aspectos são os mais ligados com o processamento de informações e o armazenamento das informações no sistema de informações da entidade.
Ao identificar controles gerais de TI, o auditor pode considerar controles tanto de ações dos usuários finais quanto do pessoal de TI da entidade ou de provedores de serviços de TI.
23. O Apêndice 6 fornece explicações adicionais sobre a natureza dos controles gerais de TI normalmente implementados para diferentes aspectos do ambiente de TI.
Além disso, são fornecidos exemplos de controles gerais de TI para diferentes processos de TI.