PLANEAMENTO DA AUDITORIA

O ponto 132 das normas de auditoria da INTOSAI estipula que: " O auditor deve

planear a auditoria de modo a assegurar a execução de uma auditoria de elevada

qualidade, de uma forma económica, eficiente e eficaz e num período de tempo

adequado" [Intosai 1995].

Segundo o United States General Accounting Office (USGAO) " o planeamento é a

chave para a qualidade da auditoria" [USGAO 1999], permitindo ao auditor

determinar os métodos mais eficazes e eficientes para a obtenção da evidência

necessária para avaliar os controlos informáticos da entidade.

Apesar de se concentrar no início da auditoria, o planeamento é um processo

interactivo executado ao longo da auditoria. Esta interactividade deve-se ao facto

do resultado da avaliação preliminar fornecer apenas a base para o auditor

determinar a extensão e tipo de testes subsequentes [USGAO 1999]. Se o auditor

obtiver evidência que os procedimentos específicos de um controlo são ineficazes,

pode achar necessário reavaliar as suas conclusões iniciais e outras decisões de

planeamento efectuadas com base nessas conclusões.

Assim, a natureza, extensão e duração do planeamento variam de acordo com o

tamanho e complexidade da entidade e o conhecimento que o auditor obtém sobre

as operações da mesma.

Para que os objectivos do planeamento da auditoria sejam atingidos, durante esta

fase deverá ser realizado o seguinte conjunto de tarefas:

1 - Conhecimento das operações da entidade

O auditor deve desenvolver e documentar um nível elevado de conhecimento sobre a

entidade, as operações a serem verificadas e a forma como a entidade é suportada

por sistemas automatizados.

2 - A afectação e formação de pessoal

O Tribunal de Contas Europeu (TCE) [TCE 1999] afirma que " …as medidas de

controlo implantadas nas entidades objecto de auditoria … constituem

habitualmente uma combinação de procedimentos informáticos e manuais. … os

Sistemas de Informação não devem ser, por conseguinte, examinados isoladamente,

mas como parte do controlo geral da totalidade da função administrativa ou

financeira de que fazem parte".

Consequentemente, a equipa que realizar a auditoria deve ter valências

multidisciplinares mediante a situação concreta a analisar, tendo também em

consideração as valências individuais de cada um dos auditores.

3 - Avaliação do risco inerente e do risco de controlo

O auditor avalia o risco inerente (RI) e o risco de controlo (RC) para determinar o

risco de auditoria (RA), o qual é, em termos genéricos, definido como o risco que o

auditor emita uma opinião com base em elementos que contêm erros materialmente

relevantes.

O risco de auditoria, pela forma como se relaciona com os SI, pode ser pensado

como o produto dos três riscos componentes:

RA = RI * RC * RD

É com base no nível do risco de auditoria e na avaliação dos riscos inerente e de

controlo da entidade, que o auditor determina a natureza, duração e extensão dos

procedimentos substantivos de auditoria necessários para se atingir o risco de

detecção (RD) desejável.

Por exemplo, em resposta a um nível elevado dos riscos inerente e de controlo e de

modo a manter o risco de auditoria baixo, o auditor deve executar procedimentos

de auditoria adicionais ou testes substantivos mais extensos.

4 - Avaliação preliminar da eficácia do controlo interno

Como parte da avaliação do risco de controlo, o auditor deve também efectuar uma

avaliação preliminar que verifique se os controlos relacionados com os sistemas de

informação são eficazes. Esta avaliação tem por base:

 Reuniões com o pessoal;

 Observação das operações relacionadas com a informática; e

 Revisão de políticas e procedimentos da entidade.

Ao confiar nestas avaliações preliminares para planear os testes de auditoria, o

auditor pode evitar o dispêndio de recursos nos testes de controlo que claramente

não são eficazes.

5 - Identificação dos controlos a testar

Com base na avaliação dos riscos de controlo e inerentes, incluindo a avaliação

preliminar dos controlos relacionados com a informática, a equipa de auditoria deve

identificar os controlos gerais e aplicacionais que aparentemente são eficazes e que

por isso deveriam ser testados para determinar se efectivamente estão a funcionar

de forma eficaz.

No final desta fase deverá ser construído um plano para a realização da auditoria.

Este plano deve:

 Identificar as actividades e controlos a auditar - Para que sejam conhecidas

as áreas, actividades e controlos a avaliar;

 Identificar os elementos que vão formar a equipa de auditoria - Dado que são

conhecidas as valências necessárias para a realização da auditoria. Deve

ainda determinar que valências adicionais deverão ser adquiridas por

formação; e

 Estabelecer um cronograma para a realização das diversas análises - Para que

seja possível controlar a execução da auditoria e a medir a eficácia e

eficiência da actuação da equipa de auditoria.

É evidente que no decurso da auditoria, este plano poderá sofrer alterações e

ajustamentos. Por exemplo, poderá surgir a necessidade de serem testados

controlos que inicialmente não constavam do plano. Esta alteração poderá dar-se

pela reavaliação do nível de risco determinado inicialmente, o qual se verificou estar

errado quando se efectuou uma análise mais aprofundada dos controlos.