Em um mundo cada vez mais digitalizado, os sistemas de informação tornaram-se o alicerce das operações empresariais. Desde o processamento de transações financeiras até a gestão de relacionamento com clientes, praticamente todos os processos de negócio dependem de tecnologia. A auditoria de sistemas de informação é a disciplina que avalia se esses sistemas operam de forma segura, íntegra e em conformidade com as normas aplicáveis. Neste artigo, a AUD</>PER apresenta os fundamentos, as metodologias e os benefícios desse tipo de auditoria.
O que é Auditoria de Sistemas de Informação
A auditoria de sistemas de informação, também conhecida como auditoria de TI, consiste na avaliação sistemática dos controles relacionados ao ambiente tecnológico da organização. Ela abrange a infraestrutura de hardware e software, os processos de gestão de TI, a segurança da informação e a conformidade com requisitos regulatórios.
No contexto da auditoria contábil, a avaliação dos sistemas de informação é parte integrante do trabalho do auditor independente. A NBC TA 315 exige que o auditor obtenha entendimento do ambiente de TI da entidade e avalie os riscos associados aos sistemas que processam informações financeiras.
Áreas de Avaliação
Controles gerais de TI (ITGC)
Os controles gerais de tecnologia da informação formam a base sobre a qual operam os controles de aplicação. Eles incluem:
- Controle de acesso — políticas de senhas, perfis de usuário, segregação de funções e gestão de acessos privilegiados
- Gestão de mudanças — processos de desenvolvimento, teste, aprovação e implementação de alterações nos sistemas
- Operações de TI — rotinas de backup, monitoramento de desempenho, gestão de incidentes e continuidade de negócios
- Segurança física e lógica — proteção do data center, firewalls, criptografia e detecção de intrusões
ITGC: a base da confiabilidade
Se os controles gerais de TI apresentam deficiências, todos os controles de aplicação que dependem deles ficam comprometidos. Por exemplo, se não há controle adequado de acesso ao ERP, os controles automáticos de aprovação de pagamentos dentro do sistema perdem sua efetividade.
Controles de aplicação
Os controles de aplicação são específicos de cada sistema e visam garantir a integridade, completude e precisão das transações processadas. Eles abrangem:
- Controles de entrada — validações de dados na origem, verificações de consistência e edições automáticas
- Controles de processamento — cálculos automáticos, totais de controle e verificações de sequência
- Controles de saída — distribuição de relatórios, reconciliações automáticas e logs de auditoria
LGPD e a Auditoria de Sistemas
A Lei Geral de Proteção de Dados (Lei 13.709/2018) ampliou significativamente a importância da auditoria de sistemas de informação. A LGPD exige que as organizações implementem medidas técnicas e administrativas para proteger os dados pessoais que tratam, e a auditoria é o mecanismo que verifica a efetividade dessas medidas.
Os pontos-chave avaliados em uma auditoria de conformidade com a LGPD incluem:
- Mapeamento de dados pessoais — identificação dos dados tratados, suas finalidades e bases legais
- Medidas de segurança — criptografia, anonimização, controles de acesso e monitoramento
- Gestão de consentimento — mecanismos de coleta, armazenamento e revogação de consentimento
- Resposta a incidentes — planos de notificação e ações corretivas em caso de violação de dados
- Direitos dos titulares — processos para atendimento às solicitações de acesso, correção e exclusão
Com a LGPD em plena vigência e a Autoridade Nacional de Proteção de Dados (ANPD) intensificando a fiscalização, a auditoria de sistemas não é mais opcional — é uma necessidade estratégica para evitar sanções que podem chegar a R$ 50 milhões por infração.
Metodologias e Frameworks
A auditoria de sistemas de informação utiliza frameworks reconhecidos internacionalmente como referência para avaliação dos controles:
- COBIT — framework de governança e gestão de TI que define domínios, processos e objetivos de controle
- ISO 27001 — norma internacional para sistemas de gestão de segurança da informação
- ITIL — conjunto de boas práticas para gestão de serviços de TI
- NIST Cybersecurity Framework — framework do governo americano amplamente adotado para gestão de riscos cibernéticos
Na AUD</>PER, combinamos esses frameworks com as exigências específicas das normas brasileiras de auditoria, criando uma abordagem integrada que avalia tanto a conformidade técnica quanto o impacto nos processos de negócio e nas demonstrações financeiras.
Riscos Comuns Identificados
A experiência da AUD</>PER em auditorias de TI permite identificar riscos recorrentes nas organizações:
- Ausência de segregação de funções — usuários com acessos excessivos que permitem iniciar e aprovar transações
- Contas genéricas e compartilhadas — dificultam a rastreabilidade das ações e comprometem a accountability
- Backups não testados — 60% das empresas nunca testaram a restauração de seus backups
- Sistemas desatualizados — softwares sem patches de segurança são alvos fáceis para ataques cibernéticos
- Ausência de logs — sem trilhas de auditoria, é impossível investigar incidentes ou detectar fraudes
O custo de não auditar
O custo médio de uma violação de dados no Brasil ultrapassa R$ 6,2 milhões, considerando perdas diretas, multas regulatórias e danos reputacionais. A auditoria preventiva de sistemas representa uma fração desse valor e pode evitar prejuízos significativos.
Conclusão
A auditoria de sistemas de informação é uma disciplina que integra conhecimentos de tecnologia, contabilidade e gestão de riscos. Em um ambiente de ameaças cibernéticas crescentes e requisitos regulatórios cada vez mais rigorosos, investir na avaliação independente dos controles de TI é fundamental para a proteção do patrimônio digital e a confiabilidade das informações financeiras.
A AUD</>PER oferece serviços especializados de auditoria de sistemas com profissionais que combinam experiência em tecnologia e em auditoria contábil. Fale conosco para uma avaliação do ambiente tecnológico da sua organização.