ISACA Standards IT Portugese S14
3
NORMA DE AUDITORIA DE SI A natureza especializada da auditoria de sistemas de informação (SI) e a capacidade necessária para realizar essas auditorias requerem o estabelecimento de normas que se apliquem especificamente à auditoria de SI. Uma das metas da ISACA é propor normas globalmente aplicáveis para satisfazer a sua visão. O desenvolvimento e disseminação das Normas de Auditoria de SI são fundamentais como contribuição profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI apresenta diversos níveis de orientação: As Normas definem requisitos obrigatórios para auditorias e relatórios de SI. Elas informam: – Os auditores de SI sobre o nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA; – A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem; – Os detentores da designação Certified Information Systems Auditor ® , CISA ® (Auditor Certificado de Sistemas de Informação) sobre os requisitos. A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da CISA pelo Conselho de Administração da ISACA ou pelo comité apropriado da ISACA e, finalmente, em acção disciplinar. As Diretrizes fornecem orientação para a aplicação das Normas de Auditoria de SI. O auditor de SI deve levá-las em consideração para determinar como alcançar a implementação das normas, usar a avaliação profissional na sua aplicação e estar preparado para justificar qualquer divergência. O objetivo das Diretrizes de Auditoria de SI é fornecer informações adicionais sobre como cumprir as Normas de Auditoria de SI. Os Procedimentos fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realização de uma auditoria. Os documentos de procedimentos fornecem informações sobre como cumprir as normas ao realizar a auditoria de SI, mas não estabelecem requisitos. O objetivo dos Procedimentos de Auditoria de SI é fornecer informações adicionais sobre como cumprir as Normas de Auditoria de SI. Os recursos COBIT devem ser utilizados como uma fonte de orientação para as melhores práticas. O Framework COBIT determina que "É responsabilidade da gestão salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e também alcançar as expectativas, a gestão deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto detalhado de controles e técnicas de controle para o ambiente de gestão de sistemas de informação. A selecção do material mais relevante do COBIT, aplicável ao âmbito da auditoria em questão (privada), baseia-se na escolha de processos de TI específicos do COBIT e na consideração dos seus critérios de informação. Conforme definido no Framework COBIT, cada um dos itens a seguir é organizado por processo de gestão de TI. O COBIT destina-se à utilização por parte dos responsáveis de negócios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreensão dos objetivos de negócio, de modo a que a comunicação das melhores práticas e recomendações seja realizada em torno de uma referência normativa entendida e respeitada de forma geral por todos. O COBIT inclui: Objetivos de controle — declarações genéricas detalhadas e de alto nível sobre a qualidade mínima de um bom controle; Práticas de controle — análises práticas e orientações sobre “como implementar”, referentes aos objetivos de controle; Diretrizes de auditoria — orientação para cada área de controle sobre como obter um entendimento, avaliar cada controle, verificar o cumprimento das normas e demonstrar o risco do não-cumprimento dos controles; Diretrizes de gestão — orientação sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de maturidade, sistemas de avaliação e fatores críticos de sucesso. Elas fornecem uma estrutura orientada para a gestão, para uma autoavaliação contínua e proactiva do controle, especificamente focada em: – Avaliação de desempenho – A TI responde às exigências do negócio? As diretrizes de gestão podem ser utilizadas para dar suporte a atividades de autoavaliação, e também podem ser usadas para suportar a implementação, por parte da gestão, de procedimentos de acompanhamento e aperfeiçoamento contínuo, como parte de um esquema do controle de TI; – Perfil do controle de TI – Que processos de TI são importantes? Quais os fatores críticos de sucesso para o controle? – Consciencialização – Quais os riscos de não se alcançar os objetivos? – Benchmarking – O que fazem os outros? Como podem os resultados ser medidos e comparados? As diretrizes de gestão fornecem exemplos de medição, permitindo a avaliação do desempenho de TI em termos de negócio. Os principais indicadores de objetivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de desempenho avaliam a eficiência dos processos, ao avaliar os fatores que permitem a sua execução. Modelos e atributos de maturidade possibilitam avaliações de capacidade e de mercado, auxiliando a gestão a avaliar a capacidade de controle e a identificar falhas de controle e estratégias de aperfeiçoamento. Um glossário de termos pode ser encontrado no site da ISACA, em www.isaca.org/glossary. As palavras auditoria e revisão são utilizadas indistintamente. DOCUMENTO S14 EVIDÊNCIA DE AUDITORIA
description
Standard obrigatório da ISACA - Número 14
Transcript of ISACA Standards IT Portugese S14
-
NORMA DE AUDITORIA DE SI
A natureza especializada da auditoria de sistemas de informao (SI) e a capacidade necessria para realizar essas auditorias requerem o
estabelecimento de normas que se apliquem especificamente auditoria de SI. Uma das metas da ISACA propor normas globalmente aplicveis para satisfazer a sua viso. O desenvolvimento e disseminao das Normas de Auditoria de SI so fundamentais como contribuio profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI apresenta diversos nveis de orientao: As Normas definem requisitos obrigatrios para auditorias e relatrios de SI. Elas informam:
Os auditores de SI sobre o nvel mnimo de desempenho aceitvel exigido para cumprir as responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA;
A gerncia e outras partes interessadas sobre as expectativas da profisso no que se refere s atividades daqueles que a exercem;
Os detentores da designao Certified Information Systems Auditor, CISA
(Auditor Certificado de Sistemas de Informao)
sobre os requisitos. A no conformidade com essas normas pode resultar numa investigao da conduta do detentor da CISA pelo Conselho de Administrao da ISACA ou pelo comit apropriado da ISACA e, finalmente, em aco disciplinar.
As Diretrizes fornecem orientao para a aplicao das Normas de Auditoria de SI. O auditor de SI deve lev-las em considerao para determinar como alcanar a implementao das normas, usar a avaliao profissional na sua aplicao e estar preparado para justificar qualquer divergncia. O objetivo das Diretrizes de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI.
Os Procedimentos fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realizao de uma auditoria. Os documentos de procedimentos fornecem informaes sobre como cumprir as normas ao realizar a auditoria de SI, mas no estabelecem requisitos. O objetivo dos Procedimentos de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI.
Os recursos COBIT devem ser utilizados como uma fonte de orientao para as melhores prticas. O Framework COBIT determina que
" responsabilidade da gesto salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e tambm alcanar as expectativas, a gesto deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto detalhado de controles e tcnicas de controle para o ambiente de gesto de sistemas de informao. A seleco do material mais relevante do COBIT, aplicvel ao mbito da auditoria em questo (privada), baseia-se na escolha de processos de TI especficos do COBIT e na considerao dos seus critrios de informao. Conforme definido no Framework COBIT, cada um dos itens a seguir organizado por processo de gesto de TI. O COBIT destina-se utilizao por parte dos responsveis de negcios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreenso dos objetivos de negcio, de modo a que a comunicao das melhores prticas e recomendaes seja realizada em torno de uma referncia normativa entendida e respeitada de forma geral por todos. O COBIT inclui: Objetivos de controle declaraes genricas detalhadas e de alto nvel sobre a qualidade mnima de um bom controle; Prticas de controle anlises prticas e orientaes sobre como implementar, referentes aos objetivos de controle; Diretrizes de auditoria orientao para cada rea de controle sobre como obter um entendimento, avaliar cada controle, verificar o
cumprimento das normas e demonstrar o risco do no-cumprimento dos controles; Diretrizes de gesto orientao sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de
maturidade, sistemas de avaliao e fatores crticos de sucesso. Elas fornecem uma estrutura orientada para a gesto, para uma autoavaliao contnua e proactiva do controle, especificamente focada em: Avaliao de desempenho A TI responde s exigncias do negcio? As diretrizes de gesto podem ser utilizadas para dar
suporte a atividades de autoavaliao, e tambm podem ser usadas para suportar a implementao, por parte da gesto, de procedimentos de acompanhamento e aperfeioamento contnuo, como parte de um esquema do controle de TI;
Perfil do controle de TI Que processos de TI so importantes? Quais os fatores crticos de sucesso para o controle? Consciencializao Quais os riscos de no se alcanar os objetivos? Benchmarking O que fazem os outros? Como podem os resultados ser medidos e comparados? As diretrizes de gesto
fornecem exemplos de medio, permitindo a avaliao do desempenho de TI em termos de negcio. Os principais indicadores de objetivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de desempenho avaliam a eficincia dos processos, ao avaliar os fatores que permitem a sua execuo. Modelos e atributos de maturidade possibilitam avaliaes de capacidade e de mercado, auxiliando a gesto a avaliar a capacidade de controle e a identificar falhas de controle e estratgias de aperfeioamento.
Um glossrio de termos pode ser encontrado no site da ISACA, em www.isaca.org/glossary. As palavras auditoria e reviso so
utilizadas indistintamente.
DOCUMENTO S14 EVIDNCIA DE AUDITORIA
-
Pgina 2 Norma de Auditoria de SI Evidncia de Auditoria
Ressalva: A ISACA desenvolveu este guia visando definir o nvel mnimo de desempenho aceitvel exigido para dar resposta s
responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA. A ISACA no oferece qualquer garantia de que o uso deste produto ir assegurar um resultado bem-sucedido. A publicao no deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes tambm voltados para a obteno dos mesmos resultados. Ao determinar a adequao de qualquer procedimento ou teste especfico, o profissional da rea de controle deve aplicar o seu prprio julgamento profissional s circunstncias especficas de controle apresentadas pelos sistemas ou pelo ambiente privado de sistemas ou tecnologia da informao. O Conselho Normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparao das Normas, Diretrizes e Procedimentos de Auditoria de SI. Antes de divulgar qualquer documento, o Conselho Normativo divulga internacionalmente verses preliminares, submetidas avaliao pblica. O Conselho Normativo tambm procura indivduos com especial interesse ou experincia no tpico em questo, para consultas quando necessrio. O Conselho Normativo possui um programa de desenvolvimento contnuo e acolhe a colaborao de membros da ISACA e outras partes interessadas, na identificao de questes emergentes que exijam novas normas. As sugestes devem ser enviadas por e-mail ([email protected]), fax (+1.847.253.1443) ou correio (endereo no final do documento) Sede Internacional da ISACA, ao cuidado do director de padres de pesquisa e relaes acadmicas. Este material foi divulgado em 15 de Maio de 2006.
S14 Evidncia de Auditoria
Apresentao
01 As normas da ISACA contm princpios bsicos e procedimentos essenciais, identificados a negrito, que so obrigatrios, juntamente com orientaes relacionadas aos mesmos.
02 O objetivo desta norma estabelecer normas e fornecer orientao sobre o que constitui a evidncia de auditoria, e a qualidade e quantidade de evidncia de auditoria a serem obtidas pelo auditor de SI.
Norma
03 O auditor de SI deve obter evidncia de auditoria suficiente e apropriada para tirar concluses razoveis
sobre em que basear os resultados de auditoria.
04 O auditor de SI deve avaliar a suficincia da evidncia de auditoria obtida durante a auditoria.
Comentrio
Evidncia Apropriada
05 A evidncia de auditoria: Inclui os procedimentos realizados pelo auditor; Inclui os resultados dos procedimentos realizados pelo auditor de SI; Inclui documentos de origem (em formato electrnico ou em papel), registos e informaes confirmadas utilizadas para dar
suporte auditoria; Inclui concluses e resultados do trabalho de auditoria; Demonstra que o trabalho foi realizado e obedece s leis, regulamentos e diretrizes aplicveis.
06 Ao obter evidncia de auditoria a partir de um teste de controles, o auditor de SI deve considerar a integridade da evidncia de auditoria para dar suporte ao nvel estimado de risco de controle.
07 A evidncia de auditoria deve ser apropriadamente identificada, receber referncia cruzada e catalogada. 08 Propriedades como origem, natureza (p. ex.: escrita, oral, visual, electrnica) e autenticidade (p. ex.: assinaturas digitais e
manuais, carimbos) da evidncia de auditoria devem ser levadas em considerao ao avaliar sua confiabilidade.
Evidncia Confivel
09 Em termos gerais, a confiabilidade da evidncia de auditoria maior quando: Est em formato escrito, em vez de manifestaes orais; obtida de fontes independentes; obtida pelo auditor de SI em vez da entidade que est sendo auditada; certificada por uma parte independente; guardada por uma parte independente.
10 O auditor de SI deve considerar os meios de melhor custo/benefcio para recolha da evidncia necessria para satisfazer os objetivos e riscos da auditoria. Contudo, a dificuldade ou custo no so bases vlidas para a omisso de um processo necessrio.
11 Os procedimentos utilizados para recolher evidncia de auditoria variam dependendo do tema sendo auditado (ou seja, sua natureza, poca da auditoria, julgamento profissional). O auditor de SI deve seleccionar o procedimento mais apropriado para o objetivo da auditoria.
-
Pgina 3 Norma de Auditoria de SI Evidncia de Auditoria
12 O auditor de SI pode obter a evidncia de auditoria por: Inspeco; Observao; Investigao e confirmao; Reexecuo; Reclculo; Clculo; Procedimentos analticos; Outros mtodos geralmente aceites.
13 O auditor de SI deve considerar a origem e natureza de qualquer informao obtida para avaliar a sua confiabilidade e os requisitos de verificao adicionais.
Evidncia Suficiente
14 A evidncia pode ser considerada suficiente se der suporte a todas as questes materiais para o objetivo e mbito da auditoria. 15 A evidncia de auditoria deve ser objectiva e suficiente para permitir que uma parte independente qualificada reexecute os testes
e obtenha os mesmos resultados. A evidncia deve ser proporcional materialidade do item e aos riscos envolvidos. 16 A suficincia uma medida da quantidade da evidncia de auditoria, enquanto a adequao a medida da qualidade da
evidncia de auditoria, e elas esto interrelacionadas. Neste contexto, quando a informao obtida da organizao utilizada pelo auditor de SI para realizar procedimentos de auditoria, o auditor deve tambm aplicar a devida nfase na preciso e integridade da informao.
17 Nas situaes em que o auditor de SI pensa que no pode ser obtida suficiente evidncia de auditoria, deve divulgar esse facto de modo consistente com a comunicao dos resultados da auditoria.
Proteco e Reteno
18 A evidncia de auditoria deve ser protegida contra acesso no-autorizado e modificao. 19 A evidncia de auditoria deve ser guardada aps a concluso do trabalho de auditoria enquanto for necessrio para obedecer a
todas as leis, regulamentos e diretrizes aplicveis.
Referncia
20 Consulte as orientaes a seguir para obter mais informaes sobre a evidncia de auditoria: Norma de Auditoria de SI S6 Realizao do Trabalho de Auditoria; Directriz de Auditoria de SI G2 Requisito para Evidncia de Auditoria; Directriz de Auditoria de SI G8 Documentao de Auditoria; O COBIT controla os objetivos ME2 Monitorizao e avaliao do controle interno e ME3 Garantia de conformidade
reguladora.
Data de Vigncia
21 Esta norma est em vigor para auditorias de sistemas de informao que comearem a partir de 1 de Julho de 2006.
Conselho Normativo 2005-2006 da Information Systems Audit and Control Association (ISACA)
Presidente, Sergio Fleginsky, CISA ICI Paints, Uruguai Svein Aldal Aldal Consulting, Noruega John Beveridge, CISA, CISM, CFE, CGFM, CQA Gabinete do Auditor do Estado de Massachusetts, EUA Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguai Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Cmara Municipal de Brisbane, Austrlia Meera V., CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, EUA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications, ndia John G. Ott, CISA, CPA AmerisourceBergen, EUA Thomas Thompson, CISA, PMP Ernst & Young, Emirados rabes Unidos
Copyright 2006 Information Systems Audit and Control Association
(ISACA)
3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Telefone: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: [email protected] Web site: www.isaca.org
