Vamos pegar o conteúdo do Manual de Auditoria Financeira do TCU, que traz também a Estrutura de Controle Interno do COSO:

208. Sistemas de informação envolvem software, infraestrutura (componentes físicos e hardware), pessoal, procedimentos e dados que identificam, capturam, processam e distribuem informações que dão suporte a concretização dos objetivos de apresentação de relatórios financeiros e de controles internos. Muitos sistemas de informações usam intensamente a TI. Um sistema de informação relevante para a elaboração dos relatórios financeiros inclui os processos de trabalho da entidade e seu sistema contábil. Um sistema de informação possui políticas, procedimentos e registros manuais e automatizados planejados para tratar as transações e eventos ocorridos (dados de entrada), processar esses dados e apresentar os resultados (relatórios financeiros) (IFAC, 2010).

209. O auditor deve entender em que medida a entidade utiliza sistemas de informação, automáticos ou manuais, e quais processos de trabalho da entidade são relevantes para elaboração dos relatórios financeiros. Esse entendimento deve incluir a identificação dos procedimentos estabelecidos para autorizar, registrar, processar e relatar as transações e os eventos ocorridos na entidade (GAO, 2008).

210. Assim, o auditor deve obter entendimento do sistema de informação, incluindo processos de negócio relacionados, relevantes para as demonstrações financeiras, abrangendo as seguintes áreas:

a. as classes de transações nas operações da entidade que sejam significativas para as demonstrações financeiras;

b. os procedimentos, tanto de TI, quanto de sistemas manuais, pelos quais essas transações são iniciadas, registradas, processadas, corrigidas conforme a necessidade, transferidas para o razão geral e divulgadas nas demonstrações financeiras;

c. os respectivos registros contábeis, informações de suporte e contas específicas nas demonstrações financeiras utilizados para iniciar, registrar, processar e reportar transações; isso inclui a correção de informações incorretas e a maneira como as informações são transferidas para o razão geral. Os registros podem estar em forma manual ou eletrônica;

d. como o sistema de informações captura eventos e condições que são significativos para as demonstrações financeiras, que não sejam transações;

e. o processo usado para elaborar as demonstrações financeiras da entidade, inclusive estimativas e divulgações contábeis significativas; e

f. os controles em torno de lançamentos de diário, inclusive lançamentos não rotineiros usados para registrar transações ou ajustes não usuais (ver itens A81 a A85 da ISA/NBC TA 315).

211. O auditor deve obter entendimento de como a entidade comunica funções e responsabilidades sobre demonstrações financeiras e assuntos significativos relacionados, incluindo:

a. comunicações entre a administração e os responsáveis da governança; e

b. comunicações externas, tais como as comunicações com os órgãos reguladores (ISSAI 1315; ISA/NBC TA 315).

212. Caso o auditor já tenha uma compreensão sobre os sistemas de informações da entidade, basta identificar as possíveis mudanças e discutir com os gestores a existência de alterações promovidas no último exercício, bem como os seus impactos.

213. No processo de entendimento dos sistemas de informações da entidade o auditor pode utilizar a técnica de mapeamento de processos a fim de entender as etapas e atividades de controle adotadas para garantir a confiabilidade dos dados. Além do mapeamento de processo, pode realizar indagações aos gestores e responsáveis técnicos que operacionalizam os sistemas e, se necessário, realizar testes de reexecução, para verificar se o fluxo de dados acontece de acordo com o que foi mapeado e informado durante as indagações.

214. Por fim, o auditor deve documentar todas as informações sobre as tecnologias utilizadas e os sistemas de informações (manuais e automatizados) utilizados pela entidade auditada, bem como os resultados dos testes de reexecução realizados.

Informação e comunicação (COSO)

• A administração deve utilizar informações de qualidade para alcançar os objetivos: 13.1. Identificar as necessidades de informação; 13.2. Obter dados relevantes de fontes fidedignas; 13.3. Transformar dados em informação de qualidade.
• A administração deve comunicar internamente as informações necessárias e de qualidade para alcançar os objetivos: 14.1. Comunicar com toda a organização em todos os níveis; 14.2. Estabelecer métodos e canais apropriados de comunicação.
• A administração deve comunicar externamente as informações necessárias para alcançar os objetivos: 15.1. Comunicar com as partes interessadas externas; 15.2. Estabelecer métodos e canais apropriados de comunicação.