Auditoria ITGC: Se prepare para o "subir da régua"
O PCAOB, o regulador da SOX dos EUA que supervisiona as auditorias das empresas, emitiu uma série de relatórios em Dezembro de 2022 referentes às suas inspeções de 2021 que cobriram as “BIG 4”, bem como empresas de auditoria em todo o mundo. As observações de inspeção relatadas nos traz uma leitura interessante, embora houvessem evidências suficientes para sugerir que os princípios básicos dos Controles Gerais de TI (ITGCs), dos controles Manuais Dependentes de TI (ITDMs) e dos Controles de Aplicações de TI (ITACs) continuavam a precisar de atenção, haviam algumas novas áreas que indicaram análises incrementais por parte do regulador à medida que as empresas e os auditores procuram utilizar cada vez mais a tecnologia para permitir processos e controles empresariais.
As observações relativas aos fundamentos de ITGCs e ITACs incluíram o seguinte:
Obs: São reproduções literais de trechos do relatório e o termo 'emissor' deve ser entendido como se referindo à organização auditada e o termo 'empresa' deve ser entendido como se referindo à empresa de auditoria.
1. Change management:
a. Para um sistema de TI, a empresa selecionou controles para testar o gerenciamento de mudanças no ambiente de produção. A empresa não identificou nem testou quaisquer controles sobre a precisão e integridade de determinados registros de acesso utilizados na operação desses controles. Além disso, a empresa não identificou nem testou quaisquer controles concebidos para lidar com o risco relacionado a alterações não aprovadas feitas neste ambiente.
b. Para determinados sistemas de TI, a empresa não identificou e testou quaisquer controles que abordassem o risco relacionado ao fato de os usuários com capacidade de desenvolver mudanças também terem capacidade de implementar essas mudanças. Para alguns outros sistemas informáticos, a empresa optou por testar um controle que consistiu na revisão da segregação de funções. A empresa não testou o aspecto do controle que abordava se determinados usuários com capacidade de implementar mudanças também tinham capacidade de desenvolver essas mudanças.
c. O emissor utilizou um sistema de TI desenvolvido internamente para rastrear o volume de serviços prestados para um tipo de receita. Nos testes de controles sobre essas receitas, a empresa testou vários controles manuais automatizados e dependentes de TI que usavam dados desse sistema. A empresa selecionou para testar um controle sobre gerenciamento de mudanças que consistia em uma revisão da atividade de determinados desenvolvedores com acesso de mudanças a este sistema. A empresa não avaliou se este controle foi concebido para abordar o risco de distorção relevante em relação aos desenvolvedores com acesso a alterações que não foram selecionados para revisão.
2. Gestão de acesso: A empresa não identificou nem testou quaisquer controles sobre a exatidão e integridade das informações que os proprietários dos controles usaram na operação desses controles. Além disso, a empresa selecionou para testar outro controle sobre acesso privilegiado, no qual determinados proprietários de controle revisavam seu próprio acesso. A empresa não avaliou se isso resultou na falta de segregação de funções.
3. Incident management and interfaces:
a. A empresa selecionou para testar um controle sobre a transferência diária de dados do sistema de contas a pagar para o razão geral, incluindo a resolução manual de eventuais erros nesta transferência de dados. Nos seus testes da eficácia operacional deste controle, a empresa não testou a forma como o proprietário do controle resolveu estes erros de transferência de dados, para além de questionar a gestão.
b. A empresa não identificou nem testou quaisquer controles sobre a precisão e integridade das informações sobre pedidos de clientes provenientes de vários sistemas de origem que o emissor usou para registrar receitas.
4. IT application controls:
a. Os testes de determinados controles automatizados realizados pela firma não foram suficientes porque a firma não testou a configuração ou programação destes controles nem executou outros procedimentos que teriam fornecido prova de auditoria suficiente e apropriada de que esses controles foram concebidos e funcionaram de forma eficaz. Além disso, os testes de determinados Controles automatizados realizados pela empresa não foram suficientes porque os testes de determinados aspectos dos Controles foram limitados à investigação.
b. A empresa selecionou testes de controles automatizados sobre configuração, modificação e aprovação de crédito do cliente. O escritório não testou os aspectos desses controles relacionados ao momento das aprovações e aos limites de crédito estabelecidos. Além disso, os testes efectuados pela empresa aos aspectos dos Controles relacionados com uma possível anulação não foram suficientes porque os procedimentos da empresa estavam limitados à investigação.
c. A empresa selecionou para testar controles automatizados sobre aprovação de contratos e entrega de produtos. Os testes desses controles realizados pela empresa não foram suficientes porque os procedimentos da empresa não abordavam certos tipos de cenários de contrato e tipos de entrega.
d. Para um tipo de receita, a empresa selecionou para testar determinados controles automatizados que o emissor utilizou para processar e registrar transações relacionadas a essa receita. A empresa não testou suficientemente a eficácia operacional desses controles porque seus procedimentos consistiam em testar, para cada controle, uma amostra de uma transação no ambiente de testes de TI do emissor, sem executar quaisquer procedimentos para determinar se o ambiente de testes era o mesmo que o de produção. ambiente no momento de seu teste.
e. O emissor contabilizou parte de seu estoque de acordo com o método de contabilidade primeiro a entrar, primeiro a sair (FIFO). A empresa optou por testar um controle automatizado sobre o sistema de gestão de estoques do emissor. A empresa não avaliou e testou se esse controle automatizado abordava o risco de o sistema de gerenciamento de estoque estar adequadamente configurado para aplicar o método FIFO de contabilidade ao estoque.
f. A empresa optou por testar um controle automatizado de cálculo da receita desse segmento pelo sistema de faturamento do emissor. A empresa não testou a eficácia operacional desse controle para três tipos de receitas do emissor relacionadas a esse segmento.
g. A empresa selecionou para testar controles automatizados sobre o cálculo desses tipos de receitas e dessas despesas. A empresa não testou suficientemente a configuração destes Controles automatizados porque limitou os seus testes a apenas alguns dos cenários contratuais, sem abordar os riscos de distorção material associados aos cenários não testados.
h. A empresa selecionou para testar um controle que incluía o processamento automatizado de faturas pelo sistema de contas a pagar. A empresa não identificou e testou quaisquer controles sobre a investigação e resolução de exceções identificadas durante este processamento automatizado. Além disso, a empresa não testou
o aspecto deste controle estava relacionado ao processamento dessas exceções uma vez resolvidas.
5. IT Dependent Manual controls:
Recomendados pelo LinkedIn
a. A empresa selecionou testar determinados controles manuais dependentes de TI, mas não identificou e testou quaisquer controles sobre a precisão e integridade de determinados dados ou relatórios que os proprietários do controle usaram nas operações desses controles.
b. O teste da empresa de alguns outros controles manuais dependentes de TI não foi suficiente porque não testou suficientemente as consultas ou a programação que o emissor usou para gerar certos dados ou relatórios que os proprietários do controle usaram nas operações desses controles.
c. Para alguns outros Controles manuais dependentes de TI, a empresa testou a precisão e a integralidade de determinados relatórios utilizados na operação destes Controles no ambiente de testes de TI do emitente, e não no ambiente de produção. Os testes da empresa não foram suficientes porque a empresa não executou procedimentos para determinar se o ambiente de testes era consistente com o ambiente de produção.
d. O emissor realizou contagens cíclicas de estoque em determinados locais do emissor. A empresa selecionou para testar controles que consistiam nos procedimentos de contagem cíclica do emissor e revisões de relatórios para monitorar a frequência e a precisão das contagens. A empresa não identificou e testou quaisquer controles sobre a precisão e/ou integridade dos relatórios gerados pelo sistema que o emissor usou na operação de seus controles de monitoramento de contagem cíclica
6. Reliance on SOC Report:
a. A firma obteve um relatório do auditor do serviço e identificou determinados controles de usuário complementares que o relatório do auditor do serviço descreveu como necessários. A empresa não realizou nenhum procedimento para avaliar se o emissor havia implementado esses controles.
b. A empresa selecionou para testar um controle que consistia na revisão pelo emissor do relatório do auditor de serviços sobre a eficácia operacional dos controles da organização de serviços. A empresa não avaliou se o emissor implementou os controles complementares apropriados da entidade usuária para cumprir os objetivos de controle declarados no relatório do auditor do serviço. A empresa não avaliou os procedimentos de revisão específicos que o proprietário do controle executou para determinar se as organizações de subserviços discutidas no relatório do auditor do serviço eram relevantes para o emissor. A empresa não avaliou quais das organizações de subserviços discutidas no relatório do auditor de serviços, se houver, eram relevantes para o emissor.
c. A empresa obteve dois relatórios de auditores de serviços que abordavam os controles gerais de tecnologia da informação (ITGCs) nesta organização de serviços. O relatório do auditor do serviço que abordou 11 meses do ano auditado continha uma opinião com reservas para determinados ITGC que foram ineficazes. A firma não realizou nenhum procedimento para avaliar o efeito desta opinião com reservas na auditoria.
As observações que sugeriram que as expectativas estão aumentando incluíram o seguinte:
1. Testing on supporting tools:
a. A empresa selecionou os controles para testar o gerenciamento de mudanças, mas não executou quaisquer procedimentos substantivos para testar ou, em alternativa, testar quaisquer controles sobre a integridade da população de itens dos quais selecionou suas amostras para teste. Além disso, a empresa não identificou e testou quaisquer controles destinados a lidar com o risco relacionado ao acesso administrativo de usuários não autorizados a determinadas ferramentas utilizadas pelo emissor para gerenciar alterações nos ambientes de produção.
b. Para outro sistema de TI, a empresa selecionou para teste dois controles que consistiam na revisão da segregação de funções. A empresa não testou, além da investigação, o aspecto dos controles que abordavam se determinados usuários com acesso às ferramentas utilizadas para implementar mudanças também tinham a capacidade de desenvolver essas mudanças.
c. Para um sistema de TI adicional, a empresa selecionou para testar um controle automatizado que foi projetado para lidar com o risco de os desenvolvedores serem capazes de implementar mudanças. Os procedimentos da empresa não foram suficientes porque não testaram a configuração ou programação do controle automatizado nem realizaram
outros procedimentos que teriam fornecido prova de auditoria suficiente e apropriada de que o Controle foi concebido e funciona de forma eficaz.
2. Testing on automation of controls: Para determinados sistemas de TI, a empresa optou por testar um controle automatizado sobre o gerenciamento de mudanças. A empresa não testou suficientemente a eficácia operacional deste controle porque não testou se o controle funcionava conforme projetado para cada alternativa de processamento.
3. Testing of spreadsheets used in control operation: O emissor compilou os cenários macroeconômicos previstos que desenvolveu em uma planilha e distribuiu a planilha para diversos usuários que tiveram acesso para fazer alterações nos dados da planilha. A empresa não identificou nem testou quaisquer controles sobre a precisão e integridade de quaisquer alterações feitas pelos usuários nos dados da planilha.
Houveram observações relacionadas à limpeza também, como segue:
1. A firma não incluiu todos os papéis de trabalho relevantes no conjunto final de documentação de auditoria que foi obrigada a reunir.
2. O relatório de auditoria da firma sobre o ICFR foi datado antes da data em que a firma obteve provas suficientes e apropriadas para apoiar a sua opinião. (Destaca a importância de obter provas em tempo hábil antes de assinar o parecer)
Em resumo, se há uma mensagem que foi transmitida, é que os controles serão testados (e já estão sendo) de forma muito mais abrangente e detalhada, indo muito além do que descrito na matriz. Acabou o termo “Cara-Crachá” para os auditores, trazendo a necessidade de a auditoria testar muito mais as “entrelinhas” do que o descrito no controle.
E como experiência, essas mudanças já foram muito palpáveis no período contábil de 2023.
2024 nos traz grande expectativas (preocupações) referente aos controles gerais de TI, fazendo com que a revisão da matriz seja muito mais minuciosa que o habitual.