Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE
Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 140
AUDITORIA EM SISTEMAS DE GESTO - UMA PROJEO DO USO NO SAP R/3 *
AUDIT IN ADMINISTRATION SYSTEMS: A PROJECTION OF THE USE OF SAP R/3
Luiz Gustavo Cordeiro da Silva 1
Magda Maria Gomes da Silva 2
Resumo O objetivo deste trabalho a busca pela excelncia no funcionamento dos Sistemas de Gesto, em especial no Sistema SAP R/3, atravs da Auditoria de Sistemas. Considerando que necessria esta verificao para obteno de certeza do bom funcionamento dos sistemas que elaboram as demonstraes contbeis e demais informaes que compem os relatrios fundamentais para a tomada de deciso. A metodologia aplicada neste trabalho foi elaborada em forma de reviso, ou seja, baseada na pesquisa bibliogrfica. Os resultados obtidos mostram que atravs da Auditoria de Sistemas possvel detectar se um ERP est realizando as funes para as quais foi desenvolvido. Com a aplicao dos testes de controle e avaliaes do sistema fica fcil verificar a perfeita execuo de procedimentos realizados pelos ERPs. O que eleva a eficincia e o grau de segurana na emisso de relatrios contbeis. Seu grande potencial competitivo.
Abstract The objective of this work is the search for excellence in the operation of ERP systems, especially in the system SAP R / 3, through the Audit System. Whereas it is necessary to obtain this verification sure the proper functioning of the systems that prepare the financial statements and other information that make the reports to key decision-making. The methodology applied in this work was prepared as a "revision" that is, based on literature search. The results show that through the audit system can detect whether an ERP is performing the functions for which it was developed. With the application of control tests and evaluations of the system is easy to see the perfect implementation of procedures performed by ERPs. What increases the efficiency and level of security in the issue of accounting reports. His great competitive potential.
1 Doutorando em Servio Social pela Universidade Federal de Pernambuco UFPE; Mestre pela Universidade do Rio de Janeiro UERJ; Graduado em Cincias Contbeis pela Universidade Catlica de Pernambuco UNICAP; Professor do Departamento de Cincias Contbeis da UFPE. E-mail: luizgustavocordeirodasilva@gmail.com 2 Ps-Graduada em Percia Contbil pela Universidade Federal de Pernambuco UFPE; Graduada em Cincias Contbeis pela Faculdade de Cincias de Timbaba FACET; Contadora-Analista da Santa Joana Diagnstico. E-mail: magmaryy@hotmail.com Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 141
1. Introduo
Em meio a tanta tecnologia, que atualmente est fazendo com que o tempo passe mais rpido, quase inaceptivo aos humanos, impossvel deixar de citar os sistemas que tornaram as rotinas contbeis mais eficazes, seguras e velozes. Os chamados sistemas Enterprise Resources Planning-ERP ou SI GE-Sistemas I ntegrados de Gesto Empresarial. Todas as empresas, grandes ou pequenas, tm demonstrado preocupao quando o assunto aborda segurana da informao. Devido a esta preocupao, a procura pela AUDI TORI A EM SI STEMAS DE GESTO, aumentou nos ltimos anos, por conter em seus procedimentos ferramentas capazes de auditar os controles que administram as informaes inseridas nos ERPs. Verificando assim, se os mesmos esto desempenhando as funes para as quais foram desenvolvidos. Para tornar a pesquisa cientifica gil e confivel foi necessrio buscar alternativas tericas e metodolgicas que fizessem com que o processo de reviso de literatura se tornasse produtivo por apresentar as ferramentas, testes, controles de pesquisa que so utilizados pela Auditoria de Sistemas, dentro do sistema SAP R/3. Visando alcanar o objetivo de informar sociedade que alm de existirem procedimentos de Auditoria das demonstraes contbeis existem procedimentos de auditoria que verificam o sistema que elabora estas demonstraes. As informaes contidas neste trabalho so vlidas tanto para a Academia, que apresenta um fato novo neste campo, como para os demais profissionais da rea contbil. Sejam eles auditores externos ou apenas pesquisadores do assunto. Torna-se pioneiro ao tratar da forma de atestar o funcionamento destes programas, mostrando o passo-a-passo da verificao do caminho percorrido pela informao desde a insero no ERP, feita pelo usurio, at a emisso do relatrio para tomada de deciso. Em vista do exposto, o objetivo deste trabalho foi o de analisar como os Sistemas de Gesto podem aumentar a eficcia das auditorias de sistemas, pelo fato de incorporar tcnicas de avaliao antes no identificadas. 2. Auditoria de Sistemas de Informao 2.1 Histrico e Conceito
O homem comeou a utilizar aparelhos mecnicos mesmo antes de Cristo e que at hoje os utiliza. Esta mesma humanidade assistiu a notvel criao dos cartes perfurados (punch cards) inveno do Herman Hollerith e a subseqente inveno do tubo a vcuo, o Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 142
diodo criado por Ambrose Fleming, em 1904. No final da dcada de 50, quando os conceitos modernos de controle tecnolgico e gesto corporativa tiveram seu incio, a tecnologia vigente na poca era baseada nos gigantescos mainframes que rodavam os primeiros sistemas de controle de estoques atividade pioneira da interseo entre gesto e tecnologia. A automatizao era cara, lenta mas j demandava menos tempo que os processos manuais. A difuso da Tecnologia da Informao fez com que os Auditores buscassem se aperfeioar mais em processamento de dados e os gerentes a buscar conhecimento sobre as tcnicas e sobre as ferramentas de avaliao de sistemas para assegurar aos scios e acionistas, total segurana na informao fornecida (IMONIANA, 2005). Com o crescente mercado da Tecnologia da Informao, vem ganhando espao auditoria de sistema, que pouco conhecida ganha evidncia a cada dia sem perder seu foco principal que direcionar a entidade a avaliar aspectos importantes relativas segurana das informaes. Porque alm de possuir um bom sistema as empresas buscam alto grau de qualidade no que diz respeito confiabilidade de seus dados (MARAL, 2005).
2.2 Significado de Auditoria de Sistemas
Pode-se dizer que auditoria de sistemas a fotografia da situao em que a empresa se encontra. E pode ser conceituada como uma atividade cuja funo garantir a organizao das informaes fazendo com que, todos os procedimentos criados por esta estejam sendo postos em pratica de maneira correta. Garantia esta que se realiza por anlise dos controles internos que visa averiguar se todas as operaes efetuadas pelos usurios do sistema da empresa esto sendo feitas observando com fidedignidade os preceitos dos princpios contbeis. Podemos afirmar que a Auditoria nada mais do que a comparao entre uma tima situao e uma situao ruim. como comparar um fato que se espera que ocorra com o que realmente ocorreu (MARAL, 2005).
3. Enterprise Resources Planning (ERP)
3.1 ERP (Enterprise Resource Planning) Conceito
ERP (Enterprise Resource Planning) ou como tambm so conhecidos os SIGE (Sistemas Integrados de Gesto Empresarial), so sistemas de informaes gerenciais que tm Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 143
como principal objetivo integrao, consolidao e aglutinao de todas as informaes necessrias tomada de deciso por parte dos gestores. Desenvolvidos devido a uma conseqncia natural do processo de globalizao que causou impactos nos sistemas de informao de gesto das empresas, ocasionando necessidade de mudana no foco de seus produtos e servios, voltado principalmente ao gerenciamento de recursos internos, para o ambiente externo da empresa e para inteligncia de negcios.
3.2 Fatores que Justificam a Implantao de um Sistema ERP
Os trs principais fatores que justificam implantao do sistema ERP em uma empresa so: O Tratamento nico e em Tempo Real das Informaes; A Substituio de estruturas tradicionais por estruturas ancoradas em processos; Integrao dos vrios sistemas de informao em um sistema nico, viabilizado por avanos na tecnologia da informao.
3.3 Sistemas ERPs. Mais Utilizados no Mundo
Os principais tipos de sistemas ERP que j so utilizados pelas empresas no mundo, ou esto em fase de implantao so: J.D.Edwards; Peoplesoft; Oracle, e; SAP (ANTUNES; ALVES; SILVA, 2006)
4. Procedimentos de Auditoria de Sistemas: Uma Projeo do Uso no Sap R/3
4.1 Avaliaes do Sistema e Teste de Circularizao
Elaborada para envolver a avaliao do papel do computador na consecuo dos objetivos da auditoria e do controle, a Auditoria de Sistema, apresenta os mesmos objetivos tradicionais de auditoria, como o fato de atestar coisas a salva-guarda de ativos e da integridade de dados e objetivos administrativos, como eficincia operacional (MOSCOVE; SIMKIN; BAGRANOFF, 2002). Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 144
O processo de Auditoria de Sistemas de Informao engloba todos os componentes de um SIC (Sistema de Informao Contbil), ou seja, pessoas, procedimentos, equipamentos, aplicativos, comunicao de informaes e bancos de dados. Componentes que fazem parte da lista de elementos que os auditores examinam (MOSCOVE; SIMKIN; BAGRANOFF, 2002). Os Auditores examinam estes elementos (Os SIC computadorizados) para avaliar os procedimentos controle da organizao, seu procedimento quanto a processar dados e como isto pode afetar as demonstraes financeiras desta organizao. Pois, os controles existentes iro influenciar diretamente no resultado da auditoria. So estes controles que iro nortear os auditores quanto perfeio do funcionamento das operaes da empresa. Fato importante na auditoria porque se os controles do computador so fracos ou no existirem, os auditores preciso realizarem mais testes de circularizao (MOSCOVE; SIMKIN; BAGRANOFF, 2002). Os testes de Circularizao consistem em testar de forma detalhada as transaes e saldos das contas da empresa. Ex: Confirmao de contas a receber com os clientes. O controle do sistema contbil financeiro definir a quantidade de clientes que sero contatados, se for bom, limitar o trabalho de exame dos auditores, que examinaro um nmero menor de transaes que afetam o saldo das contas. Se ao contrrio o controle interno do sistema contbil for ruim, o nmero de transaes examinadas aumentar (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
4.2 Diferenas de Procedimento entre a Auditoria de Sistemas e a Auditoria Tradicional
Os passos a serem seguidos pelos auditores de sistemas de informao ou Sistemas de Gestos so os mesmos utilizados em qualquer auditoria financeira, a diferena fica no fato de na Auditoria de Sistemas os auditores examinam um SIC computadorizado. O processo inicia com uma avaliao preliminar dos sistemas. O auditor decide se o processamento de dados contbeis pelo computador suficiente significativo ou complexo para justificar um exame do prprio sistema de informao. No caso do SAP R/3, que um programa grande e complexo necessrio que o auditor faa esta reviso. Mas algumas vezes, em sistemas no muito grandes nem muito complexos, os auditores decidem por usar os procedimentos que fariam num ambiente de processamento manual de dados (Auditoria tradicional). Mas se tratando de sistemas Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 145
contbeis, o auditor sente que necessrio que se faa uma reviso preliminar para uma avaliao rpida do ambiente de controle. Que ir apresentar a situao dos controles do sistema, que em geral, para os auditores, justifica um exame mais profundo no sistema (MOSCOVE; SIMKIN; BAGRANOFF, 2002). Com isto, os auditores decidem fazer uma anlise mais detalhada tanto dos controles gerais quanto dos controles de aplicaes. E depois de examinar detalhadamente esses controles, aplicam os testes de conformidade, teste que serve para garantir que os controles esteja presentes e funcionando como prescrito. O que acarreta o uso de algumas Tcnicas de Auditoria Auxiliada por Computador (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
4.3 Avaliao da Eficcia dos Controles dos Sistemas de Informaes
Um bom controle Interno transmite confiana e quanto mais confiana os auditores tiverem em relao a bons controles, onde os dados so registrados e computados com preciso no sistema SAP, menos testes de circularizao eles realizaro (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
4.3.1 Analisando o Rsco no Controle Interno dos ERPS
A anlise de risco ou avaliao do risco o principal objetivo do auditor ao revisar os procedimentos de controles dos Sistemas de Gesto. A integridade dos dados contbeis apresentados nos relatrios financeiros depende muito desta avaliao. Alm deste objetivo, existe ainda o fato do auditor externo fazer recomendaes para a administrao sobre como melhorar os controles (MOSCOVE; SIMKIN; BAGRANOFF, 2002). O que o controle interno procura alcanar sua capacidade de reduzir risco no negcio. Importando na verdade o prprio risco do negcio. Por exemplo: Os desastres naturais, enchentes e terremotos, representam um risco para a capacidade de uma organizao de continuar seu negcio sem interrupo. O plano de recuperao ou de continuidade de negcio um controle interno que visa reduzir esse risco (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 146
4.4 Orientaes para Reviso e Avaliao dos Controles de Sistemas de Informaes
Os auditores de sistema usam duas orientaes referentes ao trabalho de criar e avaliar controles relativos aos sistemas de informaes. A primeira orientao feita atravs do relatrio publicado pelo Instituto de Auditores Interno, no ano de 1977, e revisado nos anos de 1991 e 1994, o Relatrio de Auditabilidade e Controle de Sistemas (SAC), que serve para identificar importantes tecnologias de informaes e os riscos especficos relacionados com essas tecnologias. Alm disto, o relatrio recomenda controles para dirimir riscos e sugere procedimentos de auditoria para validar a existncia e a eficcia desses controles. O relatrio SAC um conjunto de volumes de referncias que identificam riscos, controles e tcnicas de auditoria para diversas reas como: Telecomunicaes, sistemas de usurio final e tecnologias emergentes. Passando a auditar as sees de tecnologia do objeto, gerenciamento de documentos e tecnologias de multimdia (MOSCOVE; SIMKIN; BAGRANOFF, 2002). A outra orientao feita atravs do modelo de Objetivos de Controle para Informtica e Tecnologias Afins (Cobit), que foi desenvolvido pela Fundao Auditoria e Controle de Sistemas para orientar auditores no trabalho de avaliar e controlar riscos de negcios associados com ambientes informatizados. O modelo Cobit consiste em objetivos de controle e em um conjunto de diretrizes de auditoria para avaliar a eficcia dos controles. Tomando esta orientao como base a administrao e os auditores podem desenvolver controle para recursos e processos de informtica que reduza o custo. A Orientao Cobit aborda os recursos de informtica fornecendo informaes para processos de negcio. O que leva os auditores a precisar definir, implementar e monitorar os controles garantindo a necessidade da informao fazendo com que estas necessidades sejam atendidas. importante que o modelo Cobit adote a definio de controle interno da Comisso de Organizaes Patrocinadoras (Coso) e da definio do relatrio SAC. Pois, tanto o Cobit como o SAC devem definir os objetivos do controle como a declarao de resultados desejada ou propsito a ser alcanado pela implementao de controle em uma atividade particular de informtica (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 147
4.5. Auditoria de Sistemas Computadorizados de Informaes Contbeis
Quando as empresas comearam a usar os computadores para processar dados contbeis, o auditor sabia muito pouco sobre o processamento por qual passavam os dados. E faziam seu trabalho seguindo a trilha de auditoria at o ponto em que os dados contbeis fossem inseridos no computador, aps isso, o auditor, usava estes dados j na forma processada, ou seja, quando os mesmos j estavam em relatrios gerados pelo computador. A este processo dava-se o nome de AUDITORIA FORA DO COMPUTADOR, que se basea no fato de que a presena de relatrios corretos indica operaes de processamento corretas (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
4.5.1 Auditoria fora do Computador Desvantagens de Uso
Muita desvantagem trazia ao auditor este tipo de teste. Porque esse tipo de auditoria no detm ateno aos procedimentos de controle no ambiente informatizado. A auditoria fora do computador direta e requer pouco treinamento em computadores, em geral ela no uma prtica eficaz de auditoria num ambiente informatizado. Testando apenas as transaes normais e ignorando as excees. Quando as excees o que realmente interessa ao auditor. Nos ambientes de sistemas computadorizados, complexos e de alta tecnologia quase impossvel realizar manualmente os mesmos clculos ou processamento que o computador, tornando invivel a comparao entre os dois (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
4.5.2 Auditoria por Meio do Computador
Para seguir a trilha de auditoria mediante as fases de operaes internas do computador tentando verificar os controles de processamento envolvidos nos programas de SICs. O Auditor decide trabalha com a AUDITORIA POR MEIO DO COMPUTADOR. Este tipo de auditoria d garantia de que os dados contbeis processados so corretos. E geralmente pressupem que a CPU (Unidade de Processamento de Dados) e outros equipamentos estejam funcionando adequadamente. Deixando para o auditor apenas a tarefa de verificar a lgica do processamento e controle o liberando da funo de observar a correo dos clculos. Para isto, era necessrio que o auditor aplicasse quatro abordagens bsicas de auditoria. So elas: Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 148
Uso de dados testes, testes integrado e simulao paralela para testar os programas; Uso de tcnicas de auditoria para validar os programas de computador; Uso de listagens e aplicativos especializados de controle para avaliar aplicativos de sistemas e; Uso de mdulo de auditoria para realizar auditoria contnua. (MOSCOVE; SIMKIN; BAGRANOFF, 2002)
4.5.2.1 Teste de Programas de Computador (Sistema Sap)
Para que o sistema SAP R/3 alcance o objetivo de processar dados corretamente que os auditores realizam testes. Trs so os tipos de tcnicas utilizadas para testar o SAP R/3. Que so: Dados Teste; Teste Integrado; Simulao Paralela.
4.5.2.2 Recurso de Teste Integrado Vantagem e Desvantagem de Uso.
A vantagem na utilizao do RTI a permisso que ele d ao auditor de examinar tanto os passos manuais quanto os passos computadorizados usados para processar suas transaes. E a desvantagem que ele introduz transaes artificiais no fluxo de processamento de dados. Deixando claro que para garantir a exatido das informaes financeiras, essas transaes precisam ser estornadas (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
4.5.2.3. Simulao Paralela Vantagem e Desvantagem de Uso
A vantagem da simulao paralela que ela elimina a necessidade da preparao de conjuntos de dados de teste. Evitando a possibilidade de misturar os dados de testes com os dados da empresa, situao que poderia ocorrer quando se usa o RTI. Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 149
A desvantagem surge quando o auditor precisa entender o sistema utilizado pela empresa e ter conhecimento tcnico suficiente para escrever programas de computador parecidos com o SAP R/3. Pode ocorrer que em uma auditoria, um bom programador evite o uso de dados de teste, substituindo um programa real, e no usado, por um programa desonesto, quando o auditor solicitar a verificao das rotinas de processamento. Por isto, faz-se necessrio que o auditor valide todo o programa que lhe apresentado, mesmo que no exista uma maneira 100% garantida de validar um programa ou sistema. Para desempenhar esta tarefa o auditor tem as seguintes alternativas:
Testes de controle de alterao de programa; Comparao de Programa, e; Auditorias Surpresas e o uso surpresa de programa. (MOSCOVE; SIMKIN; BAGRANOFF, 2002)
4.6 Outros Tipos de Testes Aplicveis aos Sistemas de Gesto, em Especial o Sistema SAP R/3
- Testes de controle de alterao de programa: o processamento pelo qual um programa recm-desenvolvido ou modificaes em programas postas em uso so submetidos ao controle de alteraes de programa. Que um conjunto de controles internos desenvolvidos para evitar alteraes no autorizadas de programas. Para se ter um bom controle de alteraes de programa exigido documentao de todo pedido de alterao de programas de aplicao. Alm da documentao exigido que os programadores desenvolvam e implementem alteraes num ambiente de teste separado fora do ambiente de processamento real. Esta funo caber a uma ou mais pessoas dependendo do tamanho da empresa. Vale lembra que os procedimentos bsicos no controle de alteraes de programa incluem o teste das alteraes e a obteno das devidas autorizaes medida que o programa passa de estgio de teste para a utilizao real. Neste teste o auditor responsvel por garantir o estabelecimento e execuo dos procedimentos de autorizao adequados por parte da administrao, levando os funcionrios a observarem de forma organizada todos estes procedimentos. Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 150
Para dar inicio ao controle de alteraes de programas faz-se o exame da documentao mantida pelo subsistema de processamento de informaes. Em primeiro lugar deve-se observar se a organizao tem um fluxograma de seu processo de controle de alteraes, depois, deve-se verificar se esta mesma organizao possui formulrios especiais para autorizar uma mudana num programa existente, ou para autorizar o desenvolvimento de programas novos. Contudo esses formulrios de autorizao devem incluir o nome da pessoa responsvel pelo trabalho e a assinatura do supervisor responsvel pela aprovao dos programas finais. Como da mesma forma, deve o auditor verificar se na organizao existem formulrios que demonstrem se o trabalho foi terminado e se existe a assinatura autorizando o uso dos programas para processar dados. Assinaturas estas que conferem responsabilidades pelas rotinas chamadas de processamento de dados e garantem que algum responda pelos problemas que possam surgir. A este fato dar-se o nome de sistema de responsabilidade pelo desenvolvimento e manuteno de programas de computador (MOSCOVE; SIMKIN; BAGRANOFF, 2002). - Comparao de Programa: existe no mercado um programa chamado Cavalo de Tria, este programa contm um erro oculto, intencional criado por um programador para benefcio prprio. Um programa comercial de contabilidade, do tipo SAP R/3, contm milhares de instrues e devido a isto, o programa Cavalo de Tria torna-se difcil de ser detectado. As instrues no autorizadas que podem causar problemas no programa podem estar escondidas em qualquer lugar no cdigo de programao. Para que a alterao no autorizada do SAP, em linguagem de mquina, seja evitada, so realizados testes de controle total de autenticidade. O teste mais conhecido o teste de extenso. Para efetuar este teste o auditor deve obter a verso mais recente do SAP R/3 para verificar e determinar o nmero de bytes de memria necessrios para armazenar o programa em linguagem de mquina quando este residir no computador. Deve comparar a extenso com uma tabela de segurana de extenso de todos os programas de contabilidade vlidos. As extenses que no estiverem de acordo com os totais de controle devem ser investigadas novamente. Outra forma de verificar e garantir a consistncia entre a verso autorizada do SAP R/3 a verso SAP R/3 em uso na empresa comparar o cdigo linha por linha, utilizando para isto um programa de comparao. Programas de comparao so programas especiais que usam programas especiais de contabilidade em forma de cdigo fonte como base principal. Estes programas de comparao podem detectar quaisquer mudanas que um programador possa ter feito, mesmo que este programador tenha sido esperto para garantir que a extenso das duas Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 151
verses sejam as mesmas. Neste caso, os auditores precisam decidir se melhor utilizar totais de controle, fazer uma comparao detalhada de programas, ou confiar nos controles gerais sobre alteraes de programas, evitando a alterao no autorizada de programas de computador. Para isto, necessrio que os auditores faam uma conciliao entre eficincias e eficcias deste processo (MOSCOVE; SIMKIN; BAGRANOFF, 2002). - Auditorias Surpresas e o uso surpresa de programa: Consiste na visita surpresa do auditor, envolvendo assim o exame inesperado de programas de aplicaes. Aparecendo sem avisar, durante rodadas de programas de processamento, comum que os auditores solicitem cpias dos programas de computador que acabaram de ser usados para copiar e depois comparar os programa em uso com as verses autorizadas, usando para isto a abordagem total do controle, ou aplicativos de comparao de programas. Utilizando a abordagem de uso surpresa, o auditor visita o centro de computao sem avisar e pede que os programas autorizados, obtidos para fazer o processamento, sejam utilizados. Se o responsvel pelo setor de TI se recusar a atender ao pedido do auditor, este documentar o fato e investigar as reaes da negativa. Mas se ao contrrio, o profissional de TI, responsvel pelo setor de informtica atender a solicitao do auditor, este deve realizar as tarefas contbeis especficas e necessrias usando o programa autorizado. Toda anormalidade deve ser analisada assim como tambm devem ser analisadas quaisquer condies estranhas que ocorrerem durante as rodadas do processamento (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
4.7 Reviso de Programas de Sistemas
Esto inclusos nos controles de aplicativos de Sistemas: Os aplicativos de sistema Operacional; Os programas utilitrios que fazem o trabalho bsico de cuidar da casa, como classificao e cpia; A biblioteca de programas que controla e monitora o armazenamento de programas, e; Os aplicativos de controle de acesso que controlam o acesso lgico a programas e arquivos de dados. Em uma auditoria por meio do computador, os auditores revisam a documentao dos aplicativos de sistema. Pedem administrao que forneam certos relatrios ou Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 152
resultados dos aplicativos. Como exemplo serve o fato de que ao revisar como so criadas as senhas em um sistema, o auditor pede ao gerente de sistemas de informaes uma lista de todos os parmetros ou caractersticas das senhas existentes no sistema. Para revisar os aplicativos os auditores podem decidir utilizar alguns aplicativos ferramentas. Das ferramentas disponveis no mercado destacam-se as que vo de programas escritos pelo usurio at os pacotes comerciais como o GA-Examine. Outros tipos existentes, capazes de pedir aos arquivos do sistema, uma analise dos parmetros do sistema so: o SAS, SPSS e FOCUS. Estes aplicativos so capazes de gerar relatrios automticos que so importantes para o monitoramento do sistema. E para auditar um sistema de computadores, o auditor examina esses relatrios, que incluem todos os registros e relatrios de incidentes. O uso dos registros pela administrao da empresa totalmente para fins contbeis, j os auditores utilizam para avaliar a segurana do SAP R/3. Qualquer fato estranho, como execuo de um programa em momentos estranhos ou execuo de programas com mais freqncia do que o normal notado e deve ser investigado. A administrao pode manter em seus arquivos todos os relatrios de incidentes que servem para listar os eventos encontrados pelo sistema que so estranhos ou interrompem operaes. Incidentes este que significam violaes de segurana que muitas vezes surgem da tentativa de acesso no autorizado, falhas de equipamento e falhas de programas (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
4.8 Auditoria Contnua:
Existem ferramentas de auditoria que podem ser instaladas no prprio sistema SAP R/3, com a finalidade de fazer auditoria contnua. Este mtodo eficaz quando muitos dados de uma aplicao esto sob forma eletrnica. O mdulo de Auditoria contnua inclui: Mdulos de Auditoria embutidos ou ganchos de auditoria; Relatrios de Exceo, e; Rotulagem de Transaes.
A Auditoria Contnua permite que a auditoria seja feita at quando o auditor est ausente. Isto pode acontecer porque na auditoria contnua os mdulos de auditoria embutidas, as sub-rotinas da aplicao captam os dados para fins de auditoria. Dados estes que so Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 153
relacionados com uma rea de alto risco. Exemplo: Um programa de folha de pagamento que poderia incluir um cdigo que faz com que as transaes que atendem a determinados critrios sejam escritas numa lista especial chamada de arquivo de reviso do controle de auditoria de sistemas (SCARF). Ao observar as aplicaes de folha de pagamentos, essas transaes poderiam ser quando os funcionrios trabalhassem mais do que um nmero de horas predeterminado. Como mais um exemplo pode-se usar o registro de seqncia. O relatrio de exceo tambm uma forma de auditoria contnua. E se o sistema de informaes conclui mecanismos para rejeitar certas transaes que caem fora de especificaes. Como exemplo, pode-se citar a emisso de um cheque num valor exorbitante entregue a um fornecedor, neste caso o relatrio contnuo de transaes de exceo permitiria que o sistema prosseguisse monitorando o sistema de informaes. Outra ferramenta utilizada em ERP o uso de rtulo como identificador. Para exemplificar pode-se usar o fato de ter um nmero especfico de funcionrio que tenha rtulos em seus registros de transaes para que o auditor possa verificar a lgica do processamento no sistema de folha de pagamento. A rotulagem nesse exemplo poderia tambm conferir se os controles no sistema esto funcionando. Se um procedimento de controle exigir rejeio de transaes se o nmero de horas trabalhadas durante o perodo no ser razovel. Assim os auditores podem avaliar e revisar as transaes rotuladas para ter certeza de que os procedimentos funcionam (MOSCOVE; SIMKIN; BAGRANOFF, 2002).
4.9 Auditoria com Computador
Como o nome j diz a auditoria feita com o computador. Com este tipo de auditoria os auditores podem usar tcnicas de auditoria auxiliada pelo computador procedimento chamado (Caats) para ajud-los em vrias tarefas. No SAP R/3, auditar com o computador obrigatrio, porque os dados desde programa so armazenados no computador e o acesso manual impossvel. Porm, existem razes para auditar com o computador alm da necessidade de acessar dados contbeis. Como o SAP R/3 e alguns outros ERPs so totalmente sofisticados a necessidade de auditar com o computador vm aumentando com muita rapidez. Isto ocorre por ser a maneira mais eficaz de auditar esses sistemas. Alm de dar segurana na reviso das informaes as tcnicas CAAT poupam muito tempo. s tentar imaginar a possibilidade de conferir Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 154
planilhas eletrnicas grandes sem usar um computador. Ou imaginar um auditor tendo que escolher uma amostra de dados de contas a receber para confirmao manual. Os aplicativos que possibilita os auditores a realizarem auditoria com o computador so: Programas de processamento de texto; Programa de Planilhas eletrnicas; E sistemas de gerenciamento de banco de dados.
Quando se trata da tarefa do auditor os aplicativos utilizados so:
Os aplicativos de Auditoria Geral o GAS, e; Os aplicativos de Papis de Trabalho Automatizados. (MOSCOVE; SIMKIN; BAGRANOFF, 2002)
4.10 Programas Aplicativos de Uso Geral
Como instrumento de produtividade os auditores adotam os Aplicativos de Uso Geral, alegando que este melhora e facilita suas atividades. Exemplo: Processadores de texto que aumentam a eficincia na produo de relatrios devido ao fato destes reduzirem os erros de ortografia. Outro exemplo seria o recurso de mesclagem de arquivos ou mala direta que so encontrados nos aplicativos de uso geral. O auditor pode utilizar o recurso que o permite escrever uma carta de confirmao para um cliente usando um processador de texto e junt-la a um arquivo de endereos, de modo que cada carta parea ter sido individualmente preparada. J os aplicativos de planilha eletrnica permitem que contadores e auditores realizem clculos complexos. Permitindo ainda que o usurio mude um nmero e atualize todos os nmeros relacionados com ele apenas com o clique do mouse. Isto acontece porque o uso das planilhas eletrnicas, mais comum, por contadores e auditores justamente com o intuito de realizar clculos matemticos, como juros e depreciao. As planilhas eletrnicas podem ser usadas para realizar procedimentos analticos, como clculos de ndices. O sistema de gerenciamento de banco de dados controla todos os sistemas contbeis. Mas quando se trata de recuperao e manipulao de dados a ferramenta utilizada a Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 155
Linguagem de Consulta Estruturada (SQL). O SQL pode ser usado para recuperar os dados de um cliente e mostr-los sob vrias formataes para fins de auditoria. Um exemplo deste recurso seria o fato do auditor usar o comando SELECIONAR para recuperar itens do estoque que atendam a certos critrios, como um valor monetrio mnimo. Eis outros recursos de manipulao de dados: Selecionar dados que atendam a critrios especficos; Deletar dados de um arquivo com base em critrios determinados; Gerar relatrios especficos baseados em todos ou em todos ou em um subconjunto e dados, e; Rearranjar os registros em ordem seqencial. (MOSCOVE; SIMKIN; BAGRANOFF, 2002)
5. Consideraes Finais
O objetivo central da pesquisa foi demonstrar que atravs da Auditoria de sistemas possvel detectar se um sistema ERP est realizando as funes para as quais foi desenvolvido. Para isto, tomaram-se como fonte de estudo os componentes e ferramentas que a Auditoria de Sistemas utiliza para rastrear as informaes dentro do SAP R/3, por ser um programa utilizado pelas grandes corporaes e por ser este um aplicativo respeitado quando o assunto confiabilidade de dados, sejam eles contbeis ou no. Atravs destas ferramentas pde-se comprovar que possvel verificar todo o caminho percorrido pela informao desde a insero no sistema at a entrada no banco de dados da empresa. Ou seja, os Sistemas de Gesto tm como funo integrao, consolidao e aglutinao de todas as informaes necessrias tomada de deciso por parte dos gestores. E para dar garantia desta perfeita realizao importante atestar se as funes descritas esto realmente sendo efetuadas. Em vista do exposto, pode-se concluir que a auditoria no sistema ERP, em especial, no sistema SAP R/3 possvel e necessria para atestar o funcionamento das plataformas deste programa, trazendo benefcios inegveis aos seus usurios.
Mestrado Profissional em Gesto Pblica para o Desenvolvimento do Nordeste - UFPE Revista Gesto Pblica: Prticas e Desafios, Recife, v. I, n. 2, novembro 2010. 156
6. Referncias
ANTUNES, Maria Thereza Pompa; ALVES, Alex Serafim; SILVA, Denise Paulo da. A Adequao dos sistemas Enterprise Resources Planning (ERP) para a Gerao de Informaes Contbeis Gerenciais de Natureza Intangvel: Um estudo Exploratrio. In: CONGRESSO USP DE CONTABILIDADE, 6, 2006, So Paulo. Anais... So Paulo: FEA/USP, 2006. Disponvel em: <HTTP://www.congressousp.fipecafi.org/artigos_62006/526.pdf>
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informao.So Paulo: Atlas, 2005.
MOSCOVE, Stephen A.; SIMKIN, Mark G.; BAGRANOFF, Nancy A. Sistemas de Informaes Contbeis. So Paulo: Atlas, 2002.
MARAL, Elizabeth. Auditoria da Qualidade de Softwares de Sistemas de Informao Contbeis. In: CONGRESSO USP DE CONTABILIDADE, 6, 2006, So Paulo. Anais... So Paulo: FEA/USP, 2006. Disponvel em: <HTTP://bdtd2.ibict.br/index.php?option=com_wrapper&itemid=40>