Auditoria de TI


A natureza especializada da auditoria de sistemas de informação (SI) e a capacidade necessária para realizar essas auditorias requerem o estabelecimento de normas que se apliquem especificamente à auditoria de SI. Uma das metas da Information Systems Audit and Control Association® (Associação de Auditoria e Controle de Sistemas de Informação, ISACA®) é desenvolver normas aplicáveis globalmente, de forma a suportar essa visão. O desenvolvimento e disseminação das Normas de Auditoria de SI são fundamentais como contribuição profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI apresenta diversos níveis de orientação:


􀂄 Normas: definem requisitos obrigatórios para auditorias e relatórios de SI. Informam:
– Os auditores de SI sobre o nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA
– A gestão e outras partes interessadas sobre as expectativas da profissão no que se refere às actividades daqueles que a exercem
– Os detentores da nomeação Certified Information Systems Auditor®, CISA® (Auditor Certificado de Sistemas de Informação)
sobre aqueles requisitos. A falha em cumprir essas normas pode resultar numa investigação da conduta do detentor da CISA pela Direcção da ISACA, pelo comité apropriado da ISACA e, finalmente, em acção disciplinar.
􀂄 Directrizes: fornecem orientação para a aplicação das Normas de Auditoria de SI. O auditor de SI deve levá-las em consideração para determinar como alcançar a implementação das normas, utilizar a avaliação profissional na sua aplicação e estar preparado para justificar qualquer divergência. O objectivo das Directrizes de Auditoria de SI é fornecer informações adicionais sobre como cumprir as Normas de Auditoria de SI.
􀂄 Procedimentos: fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realização de uma auditoria. Os documentos de procedimentos fornecem informações sobre como cumprir as normas ao realizar a auditoria de SI, mas não
estabelecem requisitos. O objectivo dos Procedimentos de Auditoria de SI é fornecer informações adicionais sobre como cumprir as Normas de Auditoria de SI.
Os recursos COBIT® devem ser utilizados como uma fonte de orientação para as melhores práticas. O COBIT Framework determina que: "É responsabilidade da gestão salvaguardar todos os activos da empresa. Para cumprir com essa responsabilidade e também alcançar as expectativas, a gestão deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto detalhado de controles e técnicas de controle para o ambiente de gestão de sistemas de informação. A selecção do material mais relevante do COBIT, aplicável ao âmbito da auditoria em particular, baseia-se na escolha de processos de TI específicos do COBIT e na consideração dos seus critérios de informação.
Conforme definido no COBIT Framework, cada um dos itens a seguir é organizado por processo de gestão de TI. O COBIT destina-se à utilização por parte dos responsáveis de negócios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreensão dos objectivos de negócio, de modo a que a comunicação das melhores práticas e recomendações seja realizada em torno de uma referência normativa entendida e respeitada de forma geral por todos. O COBIT inclui:
􀂄 Objectivos de controle — declarações genéricas detalhadas e de alto nível sobre a qualidade mínima de um bom controle
􀂄 Práticas de controle — análises práticas e orientações sobre “como implementar”, referentes aos objectivos de controle
􀂄 Directrizes de auditoria — orientação para cada área de controle sobre como obter um entendimento, avaliar cada controle, verificar o cumprimento das normas e demonstrar o risco do não-cumprimento dos controles
􀂄 Directrizes de gestão — orientação sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de maturidade, sistemas de avaliação e factores críticos de sucesso. Fornecem uma estrutura orientada para a gestão, para uma
auto-avaliação contínua e pró-activa do controle, especificamente focada em:
– Avaliação de desempenho – A TI responde às exigências de negócio? As directrizes de gestão podem ser utilizadas para dar suporte a actividades de auto-avaliação, e também podem ser usadas para suportar a implementação, por parte da
gestão, de procedimentos de monitoreio e aperfeiçoamento contínuo, como parte de um esquema do controle de TI.
– Perfil do controle de TI – Que processos de TI são importantes? Quais os factores críticos para o sucesso do controle?
– Consciencialização – Quais os riscos de não se alcançar os objectivos?
– Padrões de mercado “Benchmarking” – O que fazem os outros? Como podem os resultados ser medidos e comparados? As directrizes de gestão fornecem exemplos de medição, permitindo a avaliação do desempenho de TI em termos de negócio.
Os principais indicadores de objectivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de desempenho avaliam a eficiência dos processos, ao avaliar os factores que permitem a sua execução.
Modelos e atributos de maturidade possibilitam avaliações de capacidade e de mercado, auxiliando a gestão a avaliar a capacidade de controle e a identificar falhas de controle e estratégias de aperfeiçoamento.
O Glossário de termos pode ser encontrado no site da Web da ISACA, em www.isaca.org/glossary. As palavras auditoria e inspecção são utilizadas indistintamente.
Isenção de Responsabilidade: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a adequação de qualquer procedimento ou teste específico, o profissional da área de controle deve aplicar o seu próprio julgamento profissional às circunstâncias específicas de controle apresentadas pelos sistemas ou pelo ambiente de tecnologia da informação em particular.

NORMA DE AUDITORIA DE SI
GOVERNANÇA DE TI
DOCUMENTO S10
O Conselho Normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparação das Normas, Directrizes e Procedimentos de Auditoria de SI. Antes de divulgar qualquer documento, o Conselho Normativo divulga internacionalmente versões
preliminares, submetidas à avaliação pública. O Conselho Normativo procura ainda indivíduos com especial interesse ou experiência no tópico em questão, para consultas quando necessário. O Conselho Normativo possui um programa de desenvolvimento contínuo e acolhe a colaboração de membros da ISACA e outras partes interessadas, na identificação de questões emergentes que requeiram novas normas.
As sugestões devem ser enviadas por e-mail (standards@isaca.org), fax (+1-847-253-1443) ou correio (endereço no final do documento) à Sede Internacional da ISACA, aos cuidados do director de normas de pesquisa e relações académicas. Este material foi divulgado em 1° de julho de 2005.

Governança de TI S10
Apresentação
01 As normas da ISACA contêm princípios básicos e procedimentos essenciais, identificados a negrito, que são obrigatórios, juntamente com orientações relacionadas com os mesmos.
02 O objectivo desta Norma da ISACA é estabelecer e fornecer orientações sobre áreas de governança de TI que o auditor de SI deve considerar durante o processo de auditoria.

Norma
03 O auditor de SI deve analisar e avaliar se a função de SI está em conformidade com a missão, a visão, os valores, os objetivos e as estratégias da organização.
04 O auditor de SI deve analisar se a função de SI tem uma demonstração clara do desempenho esperado pela empresa (eficiência e eficácia) e avaliar as suas realizações.
05 O auditor de SI deve analisar e avaliar a eficácia do recurso de SI e os processos de gestão de desempenho.
06 O auditor de SI deve analisar e avaliar a conformidade com as exigências legais, ambientais e de qualidade de informações, fiduciárias e de segurança.
07 Para avaliar a função de SI deve ser utilizada pelo auditor de SI uma abordagem com base nos riscos.
08 O auditor de SI deve analisar e avaliar o ambiente de controle da organização.
09 O auditor de SI deve analisar e avaliar os riscos que podem causar efeitos adversos no ambiente de SI.
Orientações adicionais
10 O auditor de SI deve consultar a Directriz de auditoria de SI G18, Governança de TI.
11 O auditor de SI deve analisar e avaliar os riscos do ambiente de trabalho de SI que suporta os processos de negócios. A actividade de auditoria de SI deve auxiliar a organização, identificando e avaliando exposições significativas a riscos e
contribuindo para o aperfeiçoamento dos sistemas de gestão de riscos e de controle.
12 A governança de TI pode ser avaliada isoladamente ou considerada em cada revisão da função de SI realizada.
13 O auditor de SI deve consultar as orientações a seguir para obter mais informações sobre a governança de TI:
􀂄 Directrizes de auditoria de SI:
– G5 Carta de auditoria
– G6 Conceitos de materialidade para auditoria de sistemas de informações
– G12 Relacionamento e independência organizacionais
– G13 Uso da avaliação de riscos no planeamento de auditoria
– G15 Planeamento
– G16 Impacto de terceiros em controles de TI de uma organização
– G17 Impacto de função de não auditoria na independência do auditor de SI
􀂄 Directrizes de gestão COBIT
􀂄 COBIT Framework, Objetivos de controle; esta norma é relativa a todos os objetivos de controle em todos os domínios
COBIT.
􀂄 Board Briefing on IT Governance (Instruções resumidas para directorias para a governança de TI), 2ª edição, IT Governance
Institute
􀂄 IT Control Objectives for Sarbanes-Oxley (Objectivos de controle de TI para Sarbanes-Oxley), IT Governance Institute
􀂄 Lei Sarbanes-Oxley de 2002 dos EUA e outras regulamentações específicas também podem ser aplicáveis.
Data de efetivação
14 Esta Norma da ISACA é válida para todas as auditorias de sistemas de informações a partir de 1º de Setembro de 2005.
Postar um comentário

Postagens mais visitadas deste blog

MANUAL DE REDAÇÃO DA PRESIDÊNCIA DA REPÚBLICA

Plural de substantivos compostos