Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas de Informação Aula 06 - Evidências e papéis de trabalho Agenda do dia ➔ Evidências Veremos com mais detalhes o tópico de evidências de auditoria. ➔ Papéis de trabalho Estudaremos como são catalogadas as evidências coletadas durante o processo de auditoria. Auditoria de Sistemas de Informação Aula 6 - Evidências Das aulas anteriores… Riscos Controle Interno Algo indesejável que pode acontecer Medidas que mantém os processos da empresa funcionando como projetado Metodologia de AIS Fonte: GIL et al (2018) São as provas obtidas durante o os procedimentos de auditoria e que têm relação direta com a avaliação de um ponto de controle. Não precisa ser, necessariamente, uma prova de fraude! Devem ser completas, exatas e não refutáveis, suficientes para convencer terceiros e objetivas! EVIDÊNCIAS (ou achados) Exemplos de evidências: ➔ fotos ➔ print de telas ➔ testemunhos (geralmente acompanhados de outras evidências auxiliares) ➔ sequência de tarefas ➔ relatórios analíticos ➔ gráficos, mapas, tabelas ➔ laudos periciais ➔ registros EVIDÊNCIAS (ou achados) São documentadas nos papéis de trabalho. As evidências são obtidas através da aplicação das técnicas de auditoria (serão abordadas futuramente). Quanto à proximidade daquilo a ser evidenciado Determina o quão próxima está a evidência obtida do fato que a gerou. Quanto mais próxima é a evidência, maior será sua confiabilidade e suficiência. Tipos de EVIDÊNCIAS (ou achados) Natural Evidencia o fato ou coisa evidenciada em si mesmo. Identifica facilmente o fato e pode ser facilmente assimilado pelo público-alvo da auditoria. Geralmente, obtida através de inspeção e observação. Quanto à proximidade daquilo a ser evidenciado Determina o quão próxima está a evidência obtida do fato que a gerou. Quanto mais próxima é a evidência, maior será sua confiabilidade e suficiência. Tipos de EVIDÊNCIAS (ou achados) Criada Não existe no mundo real e demanda capacidade de abstração ou recriação para ser compreendida. Geralmente descrevem algum fato ou apresentam indícios de ocorrências através de descrições ou recálculos. Testemunhos e evidência de fraude através de verificação de soma são exemplos des evidências criadas. Quanto à proximidade daquilo a ser evidenciado Determina o quão próxima está a evidência obtida do fato que a gerou. Quanto mais próxima é a evidência, maior será sua confiabilidade e suficiência. Tipos de EVIDÊNCIAS (ou achados) Derivada de argumen- tação racional É uma evidência derivada das naturais e criadas, obtida através de análise. A ideia é obter conclusões suportadas por inferências lógicas advindas de outras evidências consideradas verdadeiras. Amostragens estatísticas, por exemplo, produzem este tipo de evidência. Quanto à natureza Divide os achados que podem, eventualmente, servir de prova legal para um possível processo judicial, por exemplo. Uma evidência legal tende a ter mais peso no processo de autoria justamente pelo risco jurídico associado. Tipos de EVIDÊNCIAS (ou achados) ● Legais: fotos, gravações, laudos, documentos oficiais ● Típicas de auditoria: relatos, relatórios analíticos, gráficos, tabelas, registros. Quanto à classe (LEGAIS) ● Direta: Comprova um fato sem necessidade de complementação ➔ foto de não-conformidade ➔ gravação em vídeo ➔ áudio Tipos de EVIDÊNCIAS (ou achados) ● Circunstancial (ou indício): Não comprova diretamente um fato pois necessita de evidências adicionais. ➔ documento estranho em um processo ➔ inconsistência em um sistema Quanto à classe (LEGAIS) ● Conclusiva: Prova absoluta de um fato e não passível de refutação ou negação ➔ laudo pericial Tipos de EVIDÊNCIAS (ou achados) ● Corroborativa: Complementa outras evidências sendo obtida através de fontes alternativas. ➔ qualquer outro documento ou material que sustente uma outra prova provendo robustez Quanto à classe (Típicas) ● Física: Provenientes de inspeção física ou observação in loco ➔ fotografia ➔ vídeos ➔ registros de observação Tipos de EVIDÊNCIAS (ou achados) ● Testemunhal: Obtida através de informações providas por terceiros (testemunho) ➔ gravação de entrevista ➔ resposta de questionários Quanto à classe (Típicas) ● Analítica: Provenientes de análise do auditor. Geralmente são obtidas pela aplicação de técnicas como amostragem, análise estatística, conciliação, etc ➔ tabelas ➔ resultados de análises ➔ gráficos estatísticos gerados Tipos de EVIDÊNCIAS (ou achados) ● Documental: São documentos obtidos externa ou internamente pelos auditores. ➔ relatórios, memorandos ➔ notas, contratos, duplicatas ➔ comprovantes diversos Internas: Têm origem dentro da organização e podem ser processadas por órgãos externos. Origem das EVIDÊNCIAS (ou achados) Externas: Originárias de instituições alheias à organização auditada. Geralmente tem, por ter origem externa, têm maior credibilidade e peso nas decisões do processo de auditoria. Como saber se a evidência é boa? Não existe uma métrica numérica precisa, entretanto, existem alguns atributos a serem avaliados pelo auditor ao considerar as evidências obtidas Como saber se a evidência é boa? Voltando aos tipos de evidências… ➔ Direta ➔ Circunstancial ➔ Conclusiva ➔ Corroborativa Como saber se a evidência é boa? Voltando aos tipos de evidências… ➔ Direta ➔ Circunstancial ➔ Conclusiva ➔ Corroborativa São mais desejáveis as evidências diretas e conclusivas Como saber se a evidência é boa? Maior confiabilidade Obtidas de terceiros independentes Produzidas por processo ou sistema com controles efetivos Obtidas diretamente pelo auditor Documentos originais Complementadas por outras evidências corroborativas Documentais Menor confiabilidade Obtidas junto à unidade auditada Produzidas por processo ou sistema com controles ineficazes Obtidas indiretamente Cópias de documentos Obtidas por uma única fonte Testemunhais Fonte: Enap Outras características a serem consideradas Relevância É o grau de alinhamento com os objetivos e escopo do trabalho. Sua avaliação é importante para direcionar os esforços da equipe de auditoria. Ex: a equipe não deve despender muito esforço em obter uma evidência com pouca relevância. Fonte: Enap Utilidade Capacidade de auxiliar o auditor a atingir os objetivos da auditoria. Grau de persuasão Capacidade da evidência em prestar suporte no sentido de convencer a alta gerência e o auditado da opinião e eventuais recomendações do auditor. Por que a evidência precisa ser boa? A obtenção de boas evidências (i.e. suficientes) é de suma importância no processo de auditoria uma vez que todo o processo (análise de risco, recomendações, convencimento dos atores) serão construídas tendo como base este material. A suficiência mede a quantidade de evidências necessárias para que se tornem, juntas, convincentes. Quanto menor a confiabilidade, relevância, utilidade ou o grau de convencimento das evidências, maior a quantidade delas são necessárias para o convencimento (menor a suficiência) O que influencia a suficiência? ➔ Materialidade: valor do objeto auditado. Quanto maior a materialidade do objeto auditado, menor a suficiência dos achados. ➔ Custo: o processo de auditoria tem um orçamento. Tentar obter provas muito caras pode inviabilizar todo o processo! ➔ Critérios de amostragem: quanto mais abrangente a auditoria, maiores as chances de retratar a realidade (e maior a suficiência) ➔ Riscos: tem influência direta com o custo e a necessidade de segurança do processo de obtenção das evidências. ➔ Qualidade: se dá com as métricas anteriores, quanto mais qualidade, menor a suficiência (quantidade) das provas Dúvidas? ? ? ? ? ? ? ? ? ? Papéis de trabalho Imagem de Mohamed Hassan por Pixabay. https://pixabay.com/pt/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924 Da aula anterior… Planejamento Auditoria de AcompanhamentoAuditoria de Posição Levantamento de ambiente ou sistema Identificação e inventário dos pontos de controle Priorização e seleção dos pontos de controles levantados Revisão e avaliação dos pontos de controle Conclusão Metodologia de AIS Fonte: GIL et al (2018) O que são papéis de trabalho? Foto: Freepik São documentos autossuficientes e autoexplicáveis, coletados ou produzidos pelos auditores, antes ou durante os trabalhos de auditoria, que explicam e demonstram as evidências obtidas, os julgamentos e as análises realizadas, os raciocínios e as deduções utilizadas e as conclusões registradas. Controladoria Geral da União ” “ Quais os objetivos dos papéis de trabalho ? Foto: Freepik ● Validar as evidências coletadas proporcionando explicação de como foram obtidas e construindo um caminho lógico para fundamentar as conclusões dos auditores. ● Organiza os trabalhos ao manter um catálogo sistematizado dos achados de auditoria e documenta os trabalhos realizados. ● Permite a repetição do trabalho por processo futuros de auditorias uma vez que explica como foram obtidas. Quais os objetivos dos papéis de trabalho ? Foto: Freepik ● Facilita a avaliação das conclusões por parte de terceiros (alta gerência, interessados). ● Suporta o planejamento dos trabalhos de auditoria ao permitir um controle do que foi executado e mostrar os resultados dos trabalhos realizados. Informações a serem documentadas em papéis de trabalho ● Objetivo do trabalho ● Documentação de: ○ escopo ○ programa de trabalho ○ alocação de equipes ○ designação de supervisor e coordenador do trabalho ● resultados dos testes de auditoria aplicados ● conclusões do trabalho de auditoria ● relatório de auditoria ● documentos enviados à unidade auditada ● documentos recebidos da unidade auditada ● verificações do processo de supervisão ● salvaguardas do controle de qualidade Imagem: Freepik Estrutura dos papéis de trabalho ● índice ou número de referência ● título ou cabeçalho que identifique a área ou processo sob revisão ● data ou período do trabalho ● escopo do trabalho realizado ● declaração de propósito para obtenção e análise dos dados ● fonte(s) dos dados cobertos no papel de trabalho ● descrição da população avaliada, o que inclui o tamanho da amostra e o método de seleção ● metodologia usada para analisar os dados ● detalhes dos testes conduzidos e das análises realizadas ● conclusões, o que inclui referências a documentos e observações ● proposta de trabalho de acompanhamento a realizar; ● nome dos auditores internos que conduziram o trabalho; ● notação de revisão e nome dos auditores internos que revisaram o trabalho. Imagem: Freepik Exemplo de papel de trabalho Imagem: Freepik Contribuição dos papéis de trabalho para relatórios claros ● observar a norma culta na redação das análises e conclusões. ● apresentar dados matemáticos e numéricos corretos e, quando esses forem complexos, são acompanhados de memórias de cálculo e explicações adicionais. ● decifrar e legendar símbolos, de maneira a permitir o entendimento do próprio auditor e de outros interessados. ● decodificar ou descrever as abreviaturas, de modo a facilitar e agilizar a análise e a conclusão dos relatórios. ● sinalizar os termos incomuns e os detalham em glossários. Imagem: Freepik Contribuição dos papéis de trabalho para relatórios completos ● assegurar-se de que a etapa de execução esteja alinhada aos objetivos da auditoria. ● garantir que todos os comandos estabelecidos na etapa de planejamento sejam adequadamente executados. ● fornecer fundamentos baseados em evidências adequadas e suficientes para responder às questões de auditoria e para formular os achados e as recomendações do relatório. Imagem: Freepik Contribuição dos papéis de trabalho para relatórios concisos ● abarcar informações e documentos assertivos, diretos, pertinentes e úteis para os objetivos previstos no planejamento do trabalho de auditoria. ● conter informações e documentos em quantidade precisa, com boa relação de custo/benefício e com racionalidade temporal. ● documentar os detalhes relativos às análises realizadas, ao tratamento de pontos de menor relevância e ao processo de formação de entendimentos, de maneira a minimizar a necessidade de essas informações constarem do relatório de auditoria. Imagem: Freepik Contribuição dos papéis de trabalho para relatórios construtivos ● apoiar-se na elaboração de um planejamento baseado em riscos, de forma a promover a elaboração de questões e procedimentos de auditoria focados nas áreas e nos riscos de maior relevância. ● alinhar a etapa de execução com os objetivos de auditoria estabelecidos no planejamento. ● documentar as evidências coletadas e produzidas que sustentam os achados e as conclusões da auditoria. ● tratar questões pontuais durante a fase de execução, de maneira a reservar para o relatório apenas as conclusões gerais e os achados de maior relevância. Imagem: Freepik Contribuição dos papéis de trabalho para relatórios objetivos ● conter informações imparciais, neutras, justas e equilibradas. ● demonstrar análises condizentes com os objetivos do trabalho e alinhadas com os comandos prescritos nos procedimentos de auditoria. ● fornecem opiniões e conclusões baseadas em evidência de auditoria adequada e suficiente. Imagem: Freepik Contribuição dos papéis de trabalho para relatórios objetivos ● conter informações imparciais, neutras, justas e equilibradas. ● demonstrar análises condizentes com os objetivos do trabalho e alinhadas com os comandos prescritos nos procedimentos de auditoria. ● fornecer opiniões e conclusões baseadas em evidência de auditoria adequada e suficiente. ● submeter os papéis de trabalho a um processo sistemático de revisão, tanto pela equipe de auditoria quanto pelos responsáveis pela supervisão do trabalho. Imagem: Freepik Contribuição dos papéis de trabalho para relatórios tempestivos ● apoiar-se na elaboração de um planejamento baseado em riscos, de forma a promover a elaboração de questões e procedimentos de auditoria focados nas áreas e nos riscos de maior relevância. ● assegurar-se do alinhamento da etapa de execução aos objetivos da auditoria e aos comandos estabelecidos na etapa de planejamento, de maneira a evitar que a auditoria perca seu foco e exceda o tempo necessário para sua conclusão. ● fornecer a fundamentação para as conclusões da auditoria, de modo a evitar retrabalhos e a possibilitar maior celeridade à etapa de elaboração do relatório. Imagem: Freepik Dúvidas? ? ? ? ? ? ? ? ? ? Referências XXXX, Introdução à Auditoria de Sistemas de Informação ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA (ENAP). Técnicas de Auditoria Interna Governamental. UNIVERSIDADE ESTÁCIO DE SÁ. Auditoria e controles de seg. e classificação da informação
Compartilhar