Indirekte beitetap

Segundo Boockholdt (1999) informações contábeis imprecisas podem prejudicar a eficiência das organizações, uma vez que produzem relatórios financeiros não confiáveis e informações incorretas que podem violar a legislação. O autor descreve que os dois principais riscos relacionados à informação contábil são os erros e as irregularidades. Os erros são acidentais enquanto as irregularidades são intencionais. Desta maneira, as organizações precisam adotar políticas e procedimentos de controle para detectar e prevenir erros e irregularidades nas informações contábeis.

Para Abusa-Musa (2003) o sistema de informação contábil pode ser alvo de uma série de ameaças graves, incluindo fraude, espionagem, sabotagem, vandalismo, vírus e ataques hacker. Segundo o autor, estas ameaças podem ser classificadas como ameaças ativas e ameaças passivas. As ameaças ativas são os ataques deliberados e maliciosos ao sistema de informação contábil, enquanto as ameaças passivas são imprevisíveis, e podem ser oriundas de desastres naturais, acidentes, erros humanos, entre outras causas.

Ainda segundo Abu-Musa (2003) as ameaças à segurança da informação contábil podem ser compreendidas através de quatro dimensões (origem, autoria, intenção e conseqüência), conforme apresentado na Figura 8. O conceito de cada dimensão esta apresentado a seguir.

Figura 8 – Ameaças à Segurança da Informação Contábil

Interna Externa Humana Não Humana Acidental Intencional

Origem Autoria Intenção Conseqüência

Danos Físicos Danos Lógicos Interna Externa Humana Não Humana Acidental Intencional

Origem Autoria Intenção Conseqüência

Danos Físicos

Danos Lógicos

 Origem: as ameaças à segurança da informação contábil podem ser de origem interna ou externa. Os funcionários da organização são considerados a principal fonte de ameaças internas, enquanto os hackers e os desastres naturais são considerados as principais fontes de ameaças externas (ABU-MUSA, 2003).

 Autoria: as ameaças à segurança da informação contábil podem ser de autoria humana ou não humana. As ameaças de autoria humana são aquelas que se originam a partir das ações de um ser humano, enquanto as ameaças de origem não-humanas estão normalmente relacionadas com problemas técnicos (falha técnica do sistema, falha do disco rígido, entre outros) e desastres naturais (enchentes, terremotos, entre outros) (ABU-MUSA, 2003).

 Intenção: as ameaças à segurança da informação contábil podem ser acidentais ou intencionais. As ameaças acidentais são ameaças de segurança que cuja origem não envolve qualquer intenção maliciosa como erro humano e desastres naturais, por outro lado, as ameaças intencionais envolvem intenções maliciosas, como sabotagem, fraude, roubo, entre outras intenções (ABU-MUSA, 2003).

 Conseqüência: as conseqüências provenientes das ameaças à segurança da informação contábil podem gerar danos físicos e danos lógicos. Os danos físicos estão relacionados a danos causados nos equipamentos, instalações e toda a infra-estrutura utilizada para armazenagem e processamento da informação contábil, enquanto os danos lógicos ocorrem quando informação contábil é modificada, destruída ou divulgada de maneira não autorizada, ferindo os princípios de integridade, disponibilidade e confidencialidade da informação contábil (ABU-MUSA, 2003).

De acordo com Abu-Musa (2006) os sistemas de informação contábil devem contemplar controles com o objetivo de impedir, prevenir, detectar e corrigir as ameaças à segurança da informação. Segundo o autor, os controles de segurança da informação podem ser classificados de acordo com sua associação com o estágio de processamento de dados, conforme apresentado a seguir:

 Controles de entrada: são utilizados para garantir que cada transação é autorizada, tratada corretamente e processada somente uma vez.

 Controles de processamento: são utilizados para garantir que as operações realizadas no sistema contábil são válidas e precisas, que dados externos não foram perdidos ou alterados e que as transações inválidas sejam reprocessadas corretamente.

 Controles de saída: são utilizados para impedir que cópias não autorizadas das informações sejam feitas, e que as impressões sejam direcionadas somente para pessoas autorizadas.

 Controles armazenamento: são utilizados para garantir que todos os dados e programas armazenados sejam protegidos contra acesso não autorizado, alteração, manipulação e divulgação.

Para Wilkinson et al. (2000), o controle interno é um estado no qual a administração se esforça para alcançar, de forma a fornecer uma garantia razoável de que os objetivos da organização serão atingidos. Estes controles abrangem uma série de práticas que são utilizadas com o objetivo de tentar neutralizar as exposições aos riscos. Os autores afirmam que os sistemas de informação contábil estão expostos a uma variedade de riscos os quais podem ser de origem interna ou externa, destacando:

a) Funcionários que processam dados e possuem acesso aos ativos da organização.

b) Os programadores e analistas de sistemas, que possuem conhecimentos sobre o processamento das transações.

c) Gerentes e contadores, que têm acesso aos registros e relatórios financeiros, e muitas vezes possuem autoridade para aprovar transações.

d) Os funcionários desligados que conhecem a estrutura de controle e podem praticar ações contra a organização.

e) Clientes e fornecedores que geram muitas das transações processadas pela organização.

f) Concorrentes que desejam obter informações confidenciais sobre os negócios.

g) Pessoas externas, tais como hackers e criminosos, que tentar acessar os dados e ativos da organização, com o objetivo de cometer atos destrutivos ou fraudulentos.

h) Eventos da natureza ou acidentes, tais como inundações, incêndios e quebra de equipamentos.

Ainda segundo Wilkinson et al. (2000), os riscos relacionados à informação contábil podem ser classificados conforme segue:

 Erros não intencionais: os erros não intencionais podem ocorrer em virtude de erro na digitação no processo de entrada de dados no sistema contábil ou erros nas instruções de processamento do sistema.

 Erros intencionais: os erros intencionais constituem fraude, uma vez que são realizados para proporcionar ganhos ilegais. As fraudes podem ocorrer em qualquer fase do ciclo do sistema de informação contábil (entrada, processamento ou saída).  Perdas não intencionais de ativos: perdas não intencionais de ativos normalmente

ocorrem por acidentes, por exemplo, o extravio de um documento ou um disco rígido danificado em virtude de queda de energia elétrica.

 Roubo de ativos: os ativos da organização podem ser roubados por pessoas internas ou externas a organização.

 Violações de segurança: pessoas não autorizadas podem ter acesso às informações da organização. As violações de segurança podem ser cometidas por pessoas internas ou externas a organização.

 Atos de violência e desastres naturais: situações inesperadas que podem gerar perda de ativos e comprometer a continuidade dos negócios, como por exemplo, atos de terrorismo, inundações, terremotos, entre outros.

Segundo Beard e Wen (2007), o contador deve ser conhecedor das ameaças de segurança da informação e dos controles adequados a fim de proteger o sistema de informação contábil e aconselhar a organização sobre os riscos relacionados à segurança da informação.