auditoria de sistemas de gestao

8/10/2019 Auditoria de sistemas de gestao

1/17

Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE

Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 140

AUDITORIA EM SISTEMAS DE GESTO - UMA PROJEO DO USO NO SAP R/3*

AUDIT IN ADMINISTRATION SYSTEMS: A PROJECTION OF THE USE OF SAP R/3

Luiz Gustavo Cordeiro da Silva1

Magda Maria Gomes da Silva2

ResumoO objetivo deste trabalho a busca pela excelncia no funcionamento dos Sistemas deGesto, em especial no Sistema SAP R/3, atravs da Auditoria de Sistemas. Considerando que necessria esta verificao para obteno de certeza do bom funcionamento dos sistemasque elaboram as demonstraes contbeis e demais informaes que compem os relatriosfundamentais para a tomada de deciso. A metodologia aplicada neste trabalho foi elaboradaem forma de reviso, ou seja, baseada na pesquisa bibliogrfica. Os resultados obtidos

mostram que atravs da Auditoria de Sistemas possvel detectar se um ERP est realizandoas funes para as quais foi desenvolvido. Com a aplicao dos testes de controle e avaliaesdo sistema fica fcil verificar a perfeita execuo de procedimentos realizados pelos ERPs. Oque eleva a eficincia e o grau de segurana na emisso de relatrios contbeis. Seu grande

potencial competitivo.

Palavras-chave: Auditoria; Sistemas; Segurana; Informao; Relatrios.

AbstractThe objective of this work is the search for excellence in the operation of ERP systems,

especially in the system SAP R / 3, through the Audit System. Whereas it is necessary toobtain this verification sure the proper functioning of the systems that prepare the financialstatements and other information that make the reports to key decision-making. Themethodology applied in this work was prepared as a "revision" that is, based on literaturesearch. The results show that through the audit system can detect whether an ERP is

performing the functions for which it was developed. With the application of control tests andevaluations of the system is easy to see the perfect implementation of procedures performed

by ERPs. What increases the efficiency and level of security in the issue of accountingreports. His great competitive potential.

Keywords: Auditing; Systems; Security; Information; Reports.

1Doutorando em Servio Social pela Universidade Federal de Pernambuco UFPE; Mestre pela Universidade

do Rio de Janeiro UERJ; Graduado em Cincias Contbeis pela Universidade Catlica de Pernambuco UNICAP; Professor do Departamento de Cincias Contbeis da UFPE. E-mail:[email protected] em Percia Contbil pela Universidade Federal de Pernambuco UFPE; Graduada em CinciasContbeis pela Faculdade de Cincias de Timbaba FACET; Contadora-Analista da Santa Joana Diagnstico.E-mail: [email protected]


2/17



1. Introduo

Em meio a tanta tecnologia, que atualmente est fazendo com que o tempo passe

mais rpido, quase inaceptivo aos humanos, impossvel deixar de citar os sistemas quetornaram as rotinas contbeis mais eficazes, seguras e velozes. Os chamados sistemas

Enterpri se Resources Planning-ERPou SIGE-Sistemas Integrados de GestoEmpresarial. Todas

as empresas, grandes ou pequenas, tm demonstrado preocupao quando o assunto aborda

segurana da informao. Devido a esta preocupao, a procura pela AUDITORIA EM

SISTEMAS DE GESTO, aumentou nos ltimos anos, por conter em seus procedimentos

ferramentas capazes de auditar os controles que administram as informaes inseridas nos

ERPs. Verificando assim, se os mesmos esto desempenhando as funes para as quais foramdesenvolvidos.

Para tornar a pesquisa cientifica gil e confivel foi necessrio buscar alternativas

tericas e metodolgicas que fizessem com que o processo de reviso de literatura se tornasse

produtivo por apresentar as ferramentas, testes, controles de pesquisa que so utilizados pela

Auditoria de Sistemas, dentro do sistema SAP R/3. Visando alcanar o objetivo de informar

sociedade que alm de existirem procedimentos de Auditoria das demonstraes contbeis

existem procedimentos de auditoria que verificam o sistema que elabora estas demonstraes.

As informaes contidas neste trabalho so vlidas tanto para a Academia, que

apresenta um fato novo neste campo, como para os demais profissionais da rea contbil.

Sejam eles auditores externos ou apenas pesquisadores do assunto. Torna-se pioneiro ao tratar

da forma de atestar o funcionamento destes programas, mostrando o passo-a-passo da

verificao do caminho percorrido pela informao desde a insero no ERP, feita pelo

usurio, at a emisso do relatrio para tomada de deciso.

Em vista do exposto, o objetivo deste trabalho foi o de analisar como os Sistemas de

Gesto podem aumentar a eficcia das auditorias de sistemas, pelo fato de incorporar tcnicas

de avaliao antes no identificadas.

2. Auditoria de Sistemas de Informao

2.1 Histrico e Conceito

O homem comeou a utilizar aparelhos mecnicos mesmo antes de Cristo e que at

hoje os utiliza. Esta mesma humanidade assistiu a notvel criao dos cartes perfurados(punch cards) inveno do Herman Hollerith e a subseqente inveno do tubo a vcuo, o


3/17



diodo criado por Ambrose Fleming, em 1904. No final dadcada de50,quando os conceitos

modernos de controle tecnolgico e gesto corporativa tiveram seu incio, a tecnologia

vigente na poca era baseada nos gigantescosmainframes que rodavam os primeiros sistemas

de controle de estoques atividade pioneira da interseo entre gesto e tecnologia. A

automatizao era cara, lentamas j demandava menos tempo que os processos manuais. A

difuso da Tecnologia da Informao fez com que os Auditores buscassem se aperfeioar

mais em processamento de dados e os gerentes a buscar conhecimento sobre as tcnicas e

sobre as ferramentas de avaliao de sistemas para assegurar aos scios e acionistas, total

segurana na informao fornecida (IMONIANA, 2005).

Com o crescente mercado da Tecnologia da Informao, vem ganhando espao

auditoria de sistema, que pouco conhecida ganha evidncia a cada dia sem perder seu focoprincipal que direcionar a entidade a avaliar aspectos importantes relativas segurana das

informaes. Porque alm de possuir um bom sistema as empresas buscam alto grau de

qualidade no que diz respeito confiabilidade de seus dados (MARAL, 2005).

2.2 Significado de Auditoria de Sistemas

Pode-se dizer que auditoria de sistemas a fotografia da situao em que a empresa

se encontra. E pode ser conceituada como uma atividade cuja funo garantir a organizaodas informaes fazendo com que, todos os procedimentos criados por esta estejam sendo

postos em pratica de maneira correta. Garantia esta que se realiza por anlise dos controles

internos que visa averiguar se todas as operaes efetuadas pelos usurios do sistema da

empresa esto sendo feitas observando com fidedignidade os preceitos dos princpios

contbeis. Podemos afirmar que a Auditoria nada mais do que a comparao entre uma

tima situao e uma situao ruim. como comparar um fato que se espera que ocorra com

o que realmente ocorreu (MARAL, 2005).

3. Enterprise Resources Planning (ERP)

3.1 ERP (Enterprise Resource Planning) Conceito

ERP (Enterprise Resource Planning) ou como tambm so conhecidos os SIGE

(Sistemas Integrados de Gesto Empresarial), so sistemas de informaes gerenciais que tm
http://pt.wikipedia.org/wiki/D%C3%A9cadahttp://pt.wikipedia.org/wiki/D%C3%A9cadahttp://pt.wikipedia.org/wiki/50http://pt.wikipedia.org/wiki/Controlehttp://pt.wikipedia.org/wiki/Tecnologiahttp://pt.wikipedia.org/wiki/Mainframehttp://pt.wikipedia.org/wiki/Mainframehttp://pt.wikipedia.org/wiki/Tecnologiahttp://pt.wikipedia.org/wiki/Controlehttp://pt.wikipedia.org/wiki/50http://pt.wikipedia.org/wiki/D%C3%A9cada


4/17



como principal objetivo integrao, consolidao e aglutinao de todas as informaes

necessrias tomada de deciso por parte dos gestores.

Desenvolvidos devido a uma conseqncia natural do processo de globalizao que

causou impactos nos sistemas de informao de gesto das empresas, ocasionando

necessidade de mudana no foco de seus produtos e servios, voltado principalmente ao

gerenciamento de recursos internos, para o ambiente externo da empresa e para inteligncia

de negcios.

3.2 Fatores que Justificam a Implantao de um Sistema ERP

Os trs principais fatores que justificam implantao do sistema ERP em umaempresa so:

O Tratamento nico e em Tempo Real das Informaes;

A Substituio de estruturas tradicionais por estruturas ancoradas em processos;

Integrao dos vrios sistemas de informao em um sistema nico, viabilizado

por avanos na tecnologia da informao.

3.3 Sistemas ERPs. Mais Utilizados no Mundo

Os principais tipos de sistemas ERP que j so utilizados pelas empresas no mundo,

ou esto em fase de implantao so: J.D.Edwards; Peoplesoft; Oracle, e; SAP

(ANTUNES; ALVES; SILVA, 2006)

4. Procedimentos de Auditoria de Sistemas: Uma Projeo do Uso no Sap R/3

4.1 Avaliaes do Sistema e Teste de Circularizao

Elaborada para envolver a avaliao do papel do computador na consecuo dos

objetivos da auditoria e do controle, a Auditoria de Sistema, apresenta os mesmos objetivos

tradicionais de auditoria, como o fato de atestar coisas a salva-guarda de ativos e da

integridade de dados e objetivos administrativos, como eficincia operacional (MOSCOVE;

SIMKIN; BAGRANOFF, 2002).


5/17



O processo de Auditoria de Sistemas de Informao engloba todos os componentes

de um SIC (Sistema de Informao Contbil), ou seja, pessoas, procedimentos, equipamentos,

aplicativos, comunicao de informaes e bancos de dados. Componentes que fazem parte

da lista de elementos que os auditores examinam (MOSCOVE; SIMKIN; BAGRANOFF,

2002).

Os Auditores examinam estes elementos (Os SIC computadorizados) para avaliar os

procedimentos controle da organizao, seu procedimento quanto a processar dados e como

isto pode afetar as demonstraes financeiras desta organizao. Pois, os controles existentes

iro influenciar diretamente no resultado da auditoria. So estes controles que iro nortear os

auditores quanto perfeio do funcionamento das operaes da empresa. Fato importante na

auditoria porque se os controles do computador so fracos ou no existirem, os auditorespreciso realizarem mais testes de circularizao (MOSCOVE; SIMKIN; BAGRANOFF,

2002).

Os testes de Circularizaoconsistem em testar de forma detalhada as transaes e

saldos das contas da empresa. Ex: Confirmao de contas a receber com os clientes.

O controle do sistema contbil financeiro definir a quantidade de clientes que sero

contatados, se for bom, limitar o trabalho de exame dos auditores, que examinaro um

nmero menor de transaes que afetam o saldo das contas. Se ao contrrio o controle internodo sistema contbil for ruim, o nmero de transaes examinadas aumentar (MOSCOVE;


4.2 Diferenas de Procedimento entre a Auditoria de Sistemas e a Auditoria Tradicional

Os passos a serem seguidos pelos auditores de sistemas de informao ou Sistemas

de Gestos so os mesmos utilizados em qualquer auditoria financeira, a diferena fica no fatode na Auditoria de Sistemas os auditores examinam um SIC computadorizado. O processo

inicia com uma avaliao preliminar dos sistemas. O auditor decide se o processamento de

dados contbeis pelo computador suficiente significativo ou complexo para justificar um

exame do prprio sistema de informao.

No caso do SAP R/3, que um programa grande e complexo necessrio que o

auditor faa esta reviso. Mas algumas vezes, em sistemas no muito grandes nem muito

complexos, os auditores decidem por usar os procedimentos que fariam num ambiente de

processamento manual de dados (Auditoria tradicional). Mas se tratando de sistemas


6/17



contbeis, o auditor sente que necessrio que se faa uma reviso preliminar para uma

avaliao rpida do ambiente de controle. Que ir apresentar a situao dos controles do

sistema, que em geral, para os auditores, justifica um exame mais profundo no sistema

(MOSCOVE; SIMKIN; BAGRANOFF, 2002).

Com isto, os auditores decidem fazer uma anlise mais detalhada tanto dos controles

gerais quanto dos controles de aplicaes. E depois de examinar detalhadamente esses

controles, aplicam os testes de conformidade, teste que serve para garantir que os controles

esteja presentes e funcionando como prescrito. O que acarreta o uso de algumas Tcnicas de

Auditoria Auxiliada por Computador (MOSCOVE; SIMKIN; BAGRANOFF, 2002).

4.3 Avaliao da Eficcia dos Controles dos Sistemas de Informaes

Um bom controle Interno transmite confiana e quanto mais confiana os auditores

tiverem em relao a bons controles, onde os dados so registrados e computados com

preciso no sistema SAP, menos testes de circularizao eles realizaro (MOSCOVE;


4.3.1 Analisando o Rsco no Controle Interno dos ERPS

A anlise de risco ou avaliao do risco o principal objetivo do auditor ao revisar

os procedimentos de controles dos Sistemas de Gesto. A integridade dos dados contbeis

apresentados nos relatrios financeiros depende muito desta avaliao. Alm deste objetivo,

existe ainda o fato do auditor externo fazer recomendaes para a administrao sobre como

melhorar os controles (MOSCOVE; SIMKIN; BAGRANOFF, 2002).

O que o controle interno procura alcanar sua capacidade de reduzir risco nonegcio. Importando na verdade o prprio risco do negcio. Por exemplo: Os desastres

naturais, enchentes e terremotos, representam um risco para a capacidade de uma organizao

de continuar seu negcio sem interrupo. O plano de recuperao ou de continuidade de

negcio um controle interno que visa reduzir esse risco (MOSCOVE; SIMKIN;

BAGRANOFF, 2002).


7/17



4.4 Orientaes para Reviso e Avaliao dos Controles de Sistemas de Informaes

Os auditores de sistema usam duas orientaes referentes ao trabalho de criar e

avaliar controles relativos aos sistemas de informaes. A primeira orientao feita

atravs do relatrio publicado pelo Instituto de Auditores Interno, no ano de 1977, e

revisado nos anos de 1991 e 1994, o Relatrio de Auditabilidade e Controle de Sistemas

(SAC), que serve para identificar importantes tecnologias de informaes e os riscos

especficos relacionados com essas tecnologias. Alm disto, o relatrio recomenda controles

para dirimir riscos e sugere procedimentos de auditoria para validar a existncia e a eficcia

desses controles.

O relatrio SAC um conjunto de volumes de referncias que identificam riscos,controles e tcnicas de auditoria para diversas reas como: Telecomunicaes, sistemas de

usurio final e tecnologias emergentes. Passando a auditar as sees de tecnologia do objeto,

gerenciamento de documentos e tecnologias de multimdia (MOSCOVE; SIMKIN;

BAGRANOFF, 2002).

A outra orientao feita atravs do modelo de Objetivos de Controle para

Informtica e Tecnologias Afins (Cobit), que foi desenvolvido pela Fundao Auditoria e

Controle de Sistemas para orientar auditores no trabalho de avaliar e controlar riscos denegcios associados com ambientes informatizados.

O modelo Cobit consiste em objetivos de controle e em um conjunto de diretrizes de

auditoria para avaliar a eficcia dos controles. Tomando esta orientao como base a

administrao e os auditores podem desenvolver controle para recursos e processos de

informtica que reduza o custo. A Orientao Cobit aborda os recursos de informtica

fornecendo informaes para processos de negcio. O que leva os auditores a precisar definir,

implementar e monitorar os controles garantindo a necessidade da informao fazendo comque estas necessidades sejam atendidas.

importante que o modelo Cobit adote a definio de controle interno da

Comisso de Organizaes Patrocinadoras (Coso) e da definio do relatrio SAC . Pois,

tanto o Cobit como o SAC devem definir os objetivos do controle como a declarao de

resultados desejada ou propsito a ser alcanado pela implementao de controle em uma

atividade particular de informtica (MOSCOVE; SIMKIN; BAGRANOFF, 2002).


8/17



4.5. Auditoria de Sistemas Computadorizados de Informaes Contbeis

Quando as empresas comearam a usar os computadores para processar dados

contbeis, o auditor sabia muito pouco sobre o processamento por qual passavam os dados. E

faziam seu trabalho seguindo a trilha de auditoria at o ponto em que os dados contbeis

fossem inseridos no computador, aps isso, o auditor, usava estes dados j na forma

processada, ou seja, quando os mesmos j estavam em relatrios gerados pelo computador. A

este processo dava-se o nome de AUDITORIA FORA DO COMPUTADOR, que se basea

no fato de que a presena de relatrios corretos indica operaes de processamento corretas

(MOSCOVE; SIMKIN; BAGRANOFF, 2002).

4.5.1 Auditoria fora do Computador Desvantagens de Uso

Muita desvantagem trazia ao auditor este tipo de teste. Porque esse tipo de auditoria

no detm ateno aos procedimentos de controle no ambiente informatizado. A auditoria fora

do computador direta e requer pouco treinamento em computadores, em geral ela no uma

prtica eficaz de auditoria num ambiente informatizado. Testando apenas as transaes

normais e ignorando as excees. Quando as excees o que realmente interessa ao auditor.Nos ambientes de sistemas computadorizados, complexos e de alta tecnologia quase

impossvel realizar manualmente os mesmos clculos ou processamento que o computador,

tornando invivel a comparao entre os dois (MOSCOVE; SIMKIN; BAGRANOFF, 2002).

4.5.2 Auditoria por Meio do Computador

Para seguir a trilha de auditoria mediante as fases de operaes internas do

computador tentando verificar os controles de processamento envolvidos nos programas de

SICs. O Auditor decide trabalha com a AUDITORIA POR MEIO DO COMPUTADOR.

Este tipo de auditoria d garantia de que os dados contbeis processados so corretos. E

geralmente pressupem que a CPU (Unidade de Processamento de Dados) e outros

equipamentos estejam funcionando adequadamente. Deixando para o auditor apenas a tarefa

de verificar a lgica do processamento e controle o liberando da funo de observar a

correo dos clculos. Para isto, era necessrio que o auditor aplicasse quatro abordagens

bsicas de auditoria. So elas:


9/17



Uso de dados testes, testes integrado e simulao paralela para testar os

programas;

Uso de tcnicas de auditoria para validar os programas de computador;

Uso de listagens e aplicativos especializados de controle para avaliar aplicativos

de sistemas e;

Uso de mdulo de auditoria para realizar auditoria contnua. (MOSCOVE;

SIMKIN; BAGRANOFF, 2002)

4.5.2.1 Teste de Programas de Computador (Sistema Sap)

Para que o sistema SAP R/3 alcance o objetivo de processar dados corretamente que os auditores realizam testes. Trs so os tipos de tcnicas utilizadas para testar o SAP R/3.

Que so:

Dados Teste;

Teste Integrado;

Simulao Paralela.

4.5.2.2 Recurso de Teste Integrado

Vantagem e Desvantagem de Uso.

A vantagem na utilizao do RTI a permisso que ele d ao auditor de examinar

tanto os passos manuais quanto os passos computadorizados usados para processar suas

transaes.

E a desvantagem que ele introduz transaes artificiais no fluxo de processamento

de dados. Deixando claro que para garantir a exatido das informaes financeiras, essas

transaes precisam ser estornadas (MOSCOVE; SIMKIN; BAGRANOFF, 2002).

4.5.2.3. Simulao Paralela Vantagem e Desvantagem de Uso

A vantagem da simulao paralela que ela elimina a necessidade da preparao de

conjuntos de dados de teste. Evitando a possibilidade de misturar os dados de testes com os

dados da empresa, situao que poderia ocorrer quando se usa o RTI.


10/17



A desvantagem surge quando o auditor precisa entender o sistema utilizado pela

empresa e ter conhecimento tcnico suficiente para escrever programas de computador

parecidos com o SAP R/3.

Pode ocorrer que em uma auditoria, um bom programador evite o uso de dados de

teste, substituindo um programa real, e no usado, por um programa desonesto, quando o

auditor solicitar a verificao das rotinas de processamento. Por isto, faz-se necessrio que o

auditor valide todo o programa que lhe apresentado, mesmo que no exista uma maneira

100% garantida de validar um programa ou sistema. Para desempenhar esta tarefa o auditor

tem as seguintes alternativas:

Testes de controle de alterao de programa; Comparao de Programa, e;

Auditorias Surpresas e o uso surpresa de programa. (MOSCOVE; SIMKIN;

BAGRANOFF, 2002)

4.6 Outros Tipos de Testes Aplicveis aos Sistemas de Gesto, em Especial o Sistema

SAP R/3

- Testes de controle de alterao de programa: o processamento pelo qual um programa

recm-desenvolvido ou modificaes em programas postas em uso so submetidos ao

controle de alteraes de programa. Que um conjunto de controles internos desenvolvidos

para evitar alteraes no autorizadas de programas. Para se ter um bom controle de

alteraes de programa exigido documentao de todo pedido de alterao de programas

de aplicao. Alm da documentao exigido que os programadores desenvolvam e

implementem alteraes num ambiente de teste separado fora do ambiente de processamento

real. Esta funo caber a uma ou mais pessoas dependendo do tamanho da empresa. Vale

lembra que os procedimentos bsicos no controle de alteraes de programa incluem o teste

das alteraes e a obteno das devidas autorizaes medida que o programa passa de

estgio de teste para a utilizao real. Neste teste o auditor responsvel por garantir o

estabelecimento e execuo dos procedimentos de autorizao adequados por parte da

administrao, levando os funcionrios a observarem de forma organizada todos estes

procedimentos.


11/17



Para dar inicio ao controle de alteraes de programas faz-se o exame da documentao

mantida pelo subsistema de processamento de informaes. Em primeiro lugar deve-se

observar se a organizao tem um fluxograma de seu processo de controle de alteraes,

depois, deve-se verificar se esta mesma organizao possui formulrios especiais para

autorizar uma mudana num programa existente, ou para autorizar o desenvolvimento de

programas novos. Contudo esses formulrios de autorizao devem incluir o nome da pessoa

responsvel pelo trabalho e a assinatura do supervisor responsvel pela aprovao dos

programas finais. Como da mesma forma, deve o auditor verificar se na organizao existem

formulrios que demonstrem se o trabalho foi terminado e se existe a assinatura autorizando o

uso dos programas para processar dados. Assinaturas estas que conferem responsabilidades

pelas rotinas chamadas de processamento de dados e garantem que algum responda pelosproblemas que possam surgir. A este fato dar-se o nome de sistema de responsabilidade pelo

desenvolvimento e manuteno de programas de computador (MOSCOVE; SIMKIN;

BAGRANOFF, 2002).

- Comparao de Programa: existe no mercado um programa chamado Cavalo de Tria,

este programa contm um erro oculto, intencional criado por um programador para benefcio

prprio. Um programa comercial de contabilidade, do tipo SAP R/3, contm milhares de

instrues e devido a isto, o programa Cavalo de Tria torna-se difcil de ser detectado. Asinstrues no autorizadas que podem causar problemas no programa podem estar escondidas

em qualquer lugar no cdigo de programao. Para que a alterao no autorizada do SAP,

em linguagem de mquina, seja evitada, so realizados testes de controle total de

autenticidade. O teste mais conhecido o teste de extenso. Para efetuar este teste o auditor

deve obter a verso mais recente do SAP R/3 para verificar e determinar o nmero de bytes de

memria necessrios para armazenar o programa em linguagem de mquina quando este

residir no computador. Deve comparar a extenso com uma tabela de segurana de extensode todos os programas de contabilidade vlidos. As extenses que no estiverem de acordo

com os totais de controle devem ser investigadas novamente.

Outra forma de verificar e garantir a consistncia entre a verso autorizada do SAP R/3 a

verso SAP R/3 em uso na empresa comparar o cdigo linha por linha, utilizando para isto

um programa de comparao. Programas de comparao so programas especiais que usam

programas especiais de contabilidade em forma de cdigo fonte como base principal. Estes

programas de comparao podem detectar quaisquer mudanas que um programador possa ter

feito, mesmo que este programador tenha sido esperto para garantir que a extenso das duas


12/17



verses sejam as mesmas. Neste caso, os auditores precisam decidir se melhor utilizar totais

de controle, fazer uma comparao detalhada de programas, ou confiar nos controles gerais

sobre alteraes de programas, evitando a alterao no autorizada de programas de

computador. Para isto, necessrio que os auditores faam uma conciliao entre eficincias e

eficcias deste processo (MOSCOVE; SIMKIN; BAGRANOFF, 2002).

- Auditorias Surpresas e o uso surpresa de programa: Consiste na visita surpresa do

auditor, envolvendo assim o exame inesperado de programas de aplicaes. Aparecendo sem

avisar, durante rodadas de programas de processamento, comum que os auditores solicitem

cpias dos programas de computador que acabaram de ser usados para copiar e depois

comparar os programa em uso com as verses autorizadas, usando para isto a abordagem total

do controle, ou aplicativos de comparao de programas.Utilizando a abordagem de uso surpresa, o auditor visita o centro de computao sem avisar e

pede que os programas autorizados, obtidos para fazer o processamento, sejam utilizados. Se

o responsvel pelo setor de TI se recusar a atender ao pedido do auditor, este documentar o

fato e investigar as reaes da negativa. Mas se ao contrrio, o profissional de TI,

responsvel pelo setor de informtica atender a solicitao do auditor, este deve realizar as

tarefas contbeis especficas e necessrias usando o programa autorizado. Toda anormalidade

deve ser analisada assim como tambm devem ser analisadas quaisquer condies estranhasque ocorrerem durante as rodadas do processamento (MOSCOVE; SIMKIN; BAGRANOFF,

2002).

4.7 Reviso de Programas de Sistemas

Esto inclusos nos controles de aplicativos de Sistemas:

Os aplicativos de sistema Operacional; Os programas utilitrios que fazem o trabalho bsico de cuidar da casa, como

classificao e cpia;

A biblioteca de programas que controla e monitora o armazenamento de

programas, e;

Os aplicativos de controle de acesso que controlam o acesso lgico a programas e

arquivos de dados.

Em uma auditoria por meio do computador, os auditores revisam a documentao

dos aplicativos de sistema. Pedem administrao que forneam certos relatrios ou


13/17



resultados dos aplicativos. Como exemplo serve o fato de que ao revisar como so criadas as

senhas em um sistema, o auditor pede ao gerente de sistemas de informaes uma lista de

todos os parmetros ou caractersticas das senhas existentes no sistema.

Para revisar os aplicativos os auditores podem decidir utilizar alguns aplicativos

ferramentas. Das ferramentas disponveis no mercado destacam-se as que vo de programas

escritos pelo usurio at os pacotes comerciais como o GA-Examine. Outros tipos existentes,

capazes de pedir aos arquivos do sistema, uma analise dos parmetros do sistema so: o SAS,

SPSS e FOCUS.

Estes aplicativos so capazes de gerar relatrios automticos que so importantes

para o monitoramento do sistema. E para auditar um sistema de computadores, o auditor

examina esses relatrios, que incluem todos os registros e relatrios de incidentes. O uso dosregistros pela administrao da empresa totalmente para fins contbeis, j os auditores

utilizam para avaliar a segurana do SAP R/3.

Qualquer fato estranho, como execuo de um programa em momentos estranhos ou

execuo de programas com mais freqncia do que o normal notado e deve ser investigado.

A administrao pode manter em seus arquivos todos os relatrios de incidentes que servem

para listar os eventos encontrados pelo sistema que so estranhos ou interrompem operaes.

Incidentes este que significam violaes de segurana que muitas vezes surgem da tentativade acesso no autorizado, falhas de equipamento e falhas de programas (MOSCOVE;


4.8 Auditoria Contnua:

Existem ferramentas de auditoria que podem ser instaladas no prprio sistema SAP

R/3, com a finalidade de fazer auditoria contnua. Este mtodo eficaz quando muitos dados

de uma aplicao esto sob forma eletrnica. O mdulo de Auditoria contnua inclui:

Mdulos de Auditoria embutidos ou ganchos de auditoria;

Relatrios de Exceo, e;

Rotulagem de Transaes.

A Auditoria Contnua permite que a auditoria seja feita at quando o auditor est

ausente. Isto pode acontecer porque na auditoria contnua os mdulos de auditoria embutidas,

as sub-rotinas da aplicao captam os dados para fins de auditoria. Dados estes que so


14/17



relacionados com uma rea de alto risco. Exemplo: Um programa de folha de pagamento que

poderia incluir um cdigo que faz com que as transaes que atendem a determinados

critrios sejam escritas numa lista especial chamada de arquivo de reviso do controle de

auditoria de sistemas (SCARF). Ao observar as aplicaes de folha de pagamentos, essas

transaes poderiam ser quando os funcionrios trabalhassem mais do que um nmero de

horas predeterminado. Como mais um exemplo pode-se usar o registro de seqncia.

O relatrio de exceo tambm uma forma de auditoria contnua. E se o sistema de

informaes conclui mecanismos para rejeitar certas transaes que caem fora de

especificaes. Como exemplo, pode-se citar a emisso de um cheque num valor exorbitante

entregue a um fornecedor, neste caso o relatrio contnuo de transaes de exceo permitiria

que o sistema prosseguisse monitorando o sistema de informaes.Outra ferramenta utilizada em ERP o uso de rtulo como identificador. Para

exemplificar pode-se usar o fato de ter um nmero especfico de funcionrio que tenha rtulos

em seus registros de transaes para que o auditor possa verificar a lgica do processamento

no sistema de folha de pagamento. A rotulagem nesse exemplo poderia tambm conferir se os

controles no sistema esto funcionando. Se um procedimento de controle exigir rejeio de

transaes se o nmero de horas trabalhadas durante o perodo no ser razovel. Assim os

auditores podem avaliar e revisar as transaes rotuladas para ter certeza de que osprocedimentos funcionam (MOSCOVE; SIMKIN; BAGRANOFF, 2002).

4.9 Auditoria com Computador

Como o nome j diz a auditoria feita com o computador. Com este tipo de auditoria

os auditores podem usar tcnicas de auditoria auxiliada pelo computador procedimento

chamado (Caats) para ajud-los em vrias tarefas. No SAP R/3, auditar com o computador

obrigatrio, porque os dados desde programa so armazenados no computador e o acesso

manual impossvel. Porm, existem razes para auditar com o computador alm da

necessidade de acessar dados contbeis.

Como o SAP R/3 e alguns outros ERPs so totalmente sofisticados a necessidade de

auditar com o computador vm aumentando com muita rapidez. Isto ocorre por ser a maneira

mais eficaz de auditar esses sistemas. Alm de dar segurana na reviso das informaes as

tcnicas CAAT poupam muito tempo. s tentar imaginar a possibilidade de conferir


15/17



planilhas eletrnicas grandes sem usar um computador. Ou imaginar um auditor tendo que

escolher uma amostra de dados de contas a receber para confirmao manual.

Os aplicativos que possibilita os auditores a realizarem auditoria com o computador

so:

Programas de processamento de texto;

Programa de Planilhas eletrnicas;

E sistemas de gerenciamento de banco de dados.

Quando se trata da tarefa do auditor os aplicativos utilizados so:

Os aplicativos de Auditoria Geral o GAS, e; Os aplicativos de Papis de Trabalho Automatizados. (MOSCOVE; SIMKIN;

BAGRANOFF, 2002)

4.10 Programas Aplicativos de Uso Geral

Como instrumento de produtividade os auditores adotam os Aplicativos de Uso

Geral, alegando que este melhora e facilita suas atividades.Exemplo: Processadores de texto que aumentam a eficincia na produo de

relatrios devido ao fato destes reduzirem os erros de ortografia. Outro exemplo seria o

recurso de mesclagem de arquivos ou mala direta que so encontrados nos aplicativos de uso

geral.

O auditor pode utilizar o recurso que o permite escrever uma carta de confirmao

para um cliente usando um processador de texto e junt-la a um arquivo de endereos, de

modo que cada carta parea ter sido individualmente preparada. J os aplicativos de planilha

eletrnica permitem que contadores e auditores realizem clculos complexos. Permitindo

ainda que o usurio mude um nmero e atualize todos os nmeros relacionados com ele

apenas com o clique do mouse. Isto acontece porque o uso das planilhas eletrnicas, mais

comum, por contadores e auditores justamente com o intuito de realizar clculos

matemticos, como juros e depreciao. As planilhas eletrnicas podem ser usadas para

realizar procedimentos analticos, como clculos de ndices.

O sistema de gerenciamento de banco de dados controla todos os sistemas contbeis.

Mas quando se trata de recuperao e manipulao de dados a ferramenta utilizada a


16/17



Linguagem de Consulta Estruturada (SQL). O SQL pode ser usado para recuperar os dados de

um cliente e mostr-los sob vrias formataes para fins de auditoria. Um exemplo deste

recurso seria o fato do auditor usar o comando SELECIONAR para recuperar itens do estoque

que atendam a certos critrios, como um valor monetrio mnimo. Eis outros recursos de

manipulao de dados:

Selecionar dados que atendam a critrios especficos;

Deletar dados de um arquivo com base em critrios determinados;

Gerar relatrios especficos baseados em todos ou em todos ou em um

subconjunto e dados, e;

Rearranjar os registros em ordem seqencial. (MOSCOVE; SIMKIN;

BAGRANOFF, 2002)

5. Consideraes Finais

O objetivo central da pesquisa foi demonstrar que atravs da Auditoria de sistemas

possvel detectar se um sistema ERP est realizando as funes para as quais foi

desenvolvido. Para isto, tomaram-se como fonte de estudo os componentes e ferramentas que

a Auditoria de Sistemas utiliza para rastrear as informaes dentro do SAP R/3, por ser umprograma utilizado pelas grandes corporaes e por ser este um aplicativo respeitado quando

o assunto confiabilidade de dados, sejam eles contbeis ou no.

Atravs destas ferramentas pde-se comprovar que possvel verificar todo o

caminho percorrido pela informao desde a insero no sistema at a entrada no banco de

dados da empresa. Ou seja, os Sistemas de Gesto tm como funo integrao,

consolidao e aglutinao de todas as informaes necessrias tomada de deciso por parte

dos gestores. E para dar garantia desta perfeita realizao importante atestar se as funesdescritas esto realmente sendo efetuadas.

Em vista do exposto, pode-se concluir que a auditoria no sistema ERP, em especial,

no sistema SAP R/3 possvel e necessria para atestar o funcionamento das plataformas

deste programa, trazendo benefcios inegveis aos seus usurios.


17/17



6. Referncias

ANTUNES, Maria Thereza Pompa; ALVES, Alex Serafim; SILVA, Denise Paulo da. AAdequao dos sistemas Enterprise Resources Planning (ERP) para a Gerao de InformaesContbeis Gerenciais de Natureza Intangvel: Um estudo Exploratrio. In: CONGRESSOUSP DE CONTABILIDADE, 6, 2006, So Paulo. Anais... So Paulo: FEA/USP, 2006.Disponvel em:

IMONIANA, Joshua Onome. Auditoria de Sistemas de Informao.So Paulo: Atlas, 2005.

MOSCOVE, Stephen A.; SIMKIN, Mark G.; BAGRANOFF, Nancy A. Sistemas deInformaes Contbeis.So Paulo: Atlas, 2002.

MARAL, Elizabeth. Auditoria da Qualidade de Softwares de Sistemas de InformaoContbeis. In: CONGRESSO USP DE CONTABILIDADE, 6, 2006, So Paulo. Anais... SoPaulo: FEA/USP, 2006. Disponvel em:

*Submisso: 23/11/2009Aceite: 15/03/2010

auditoria de sistemas de gestao

Documents