A utilização de metodologias para avaliação dos riscos em Sistemas de Informação

Nos últimos anos, a auditoria financeira tem sido objeto de grandes desenvolvimentos. Estes têm-se revelado nos conceitos aplicados e objetivos definidos, nas técnicas e métodos utilizados durante os trabalhos de auditoria. Em particular, a auditoria a sistemas de informação possui uma relevância maior e um papel mais crítico no contexto atual e procura ser mais do que um prolongamento da auditoria tradicional. O âmbito do estágio realizado na PwC, nomeadamente no departamento de Risk Assurance Services, compreendeu a área de auditoria a sistemas de informação e avaliação dos riscos envolvidos. O presente relatório de estágio procura descrever e refletir de forma pormenorizada as atividades desenvolvidas. O estágio teve por base o acompanhamento de um conjunto de clientes relevantes do ramo de Indústria & Serviços e de Financial Services, nomeadamente a auditoria e revisão de Controlos Gerais Informáticos (ITGC). A principal finalidade dos ITGC é prestar auxílio à equipa de auditoria financeira na emissão de relatórios financeiros, concedendo conforto sobre os sistemas aplicacionais que podem influenciar diretamente as demonstrações financeiras. Simultaneamente, o estágio é composto por uma componente importante onde é feito um enquadramento teórico e análise dos métodos e processos para a emissão de relatórios de certificação, Service Organization Control (SOC), executados de acordo com as melhores práticas atualmente instituídas, nomeadamente o COSO. O propósito da emissão deste tipo de relatório é fornecer conforto necessário aos clientes, fornecedores, reguladores ou outros stakeholders, sobre os controlos internos implementados numa organização. O trabalho realizado no estágio permitiu consolidar competências no desenvolvimento das várias etapas do processo de auditoria de sistemas de informação, desde a fase de avaliação, execução e conclusão de análise a controlos implementados pelas organizações. Em conclusão, a aprendizagem teórica e o trabalho prático realizado consolidaram conhecimentos e permitiu o recurso estruturado a metodologias para melhor avaliação dos riscos associados aos sistemas de informação de acordo com as normas internacionais aplicáveis.