NORMA DE AUDITORIA DE SI GOVERNANA DE TI

DOCUMENTO S10
A natureza especializada da auditoria de sistemas de informao (SI) e a capacidade necessria para realizar essas auditorias requerem o estabelecimento de normas que se apliquem especificamente auditoria de SI. Uma das metas da Information Systems Audit and Control Association (Associao de Auditoria e Controle de Sistemas de Informao, ISACA ) desenvolver normas aplicveis globalmente, de forma a suportar essa viso. O desenvolvimento e disseminao das Normas de Auditoria de SI so fundamentais como contribuio profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI apresenta diversos nveis de orientao: Normas: definem requisitos obrigatrios para auditorias e relatrios de SI. Informam: Os auditores de SI sobre o nvel mnimo de desempenho aceitvel exigido para cumprir as responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA A gesto e outras partes interessadas sobre as expectativas da profisso no que se refere s actividades daqueles que a exercem Os detentores da nomeao Certified Information Systems Auditor, CISA (Auditor Certificado de Sistemas de Informao) sobre aqueles requisitos. A falha em cumprir essas normas pode resultar numa investigao da conduta do detentor da CISA pela Direco da ISACA, pelo comit apropriado da ISACA e, finalmente, em aco disciplinar. Diretrizes: fornecem orientao para a aplicao das Normas de Auditoria de SI. O auditor de SI deve lev-las em considerao para determinar como alcanar a implementao das normas, utilizar a avaliao profissional na sua aplicao e estar preparado para justificar qualquer divergncia. O objetivo das Diretrizes de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI. Procedimentos: fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realizao de uma auditoria. Os documentos de procedimentos fornecem informaes sobre como cumprir as normas ao realizar a auditoria de SI, mas no estabelecem requisitos. O objetivo dos Procedimentos de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI. Os recursos COBIT devem ser utilizados como uma fonte de orientao para as melhores prticas. O COBIT Framework determina que: " responsabilidade da gesto salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e tambm alcanar as expectativas, a gesto deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto detalhado de controles e tcnicas de controle para o ambiente de gesto de sistemas de informao. A seleco do material mais relevante do C OBIT, aplicvel ao mbito da auditoria em particular, baseia-se na escolha de processos de TI especficos do COBIT e na considerao dos seus critrios de informao. Conforme definido no COBIT Framework, cada um dos itens a seguir organizado por processo de gesto de TI. O COBIT destina-se utilizao por parte dos responsveis de negcios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreenso dos objetivos de negcio, de modo a que a comunicao das melhores prticas e recomendaes seja realizada em torno de uma referncia normativa entendida e respeitada de forma geral por todos. O COBIT inclui: Objetivos de controle declaraes genricas detalhadas e de alto nvel sobre a qualidade mnima de um bom controle Prticas de controle anlises prticas e orientaes sobre como implementar, referentes aos objetivos de controle Diretrizes de auditoria orientao para cada rea de controle sobre como obter um entendimento, avaliar cada controle, verificar o cumprimento das normas e demonstrar o risco do no-cumprimento dos controles Diretrizes de gesto orientao sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de maturidade, sistemas de avaliao e fatores crticos de sucesso. Fornecem uma estrutura orientada para a gesto, para uma auto-avaliao contnua e pr-activa do controle, especificamente focada em: Avaliao de desempenho A TI responde s exigncias de negcio? As diretrizes de gesto podem ser utilizadas para dar suporte a actividades de auto-avaliao, e tambm podem ser usadas para suportar a implementao, por parte da gesto, de procedimentos de monitoreio e aperfeioamento contnuo, como parte de um esquema do controle de TI. Perfil do controle de TI Que processos de TI so importantes? Quais os fatores crticos para o sucesso do controle? Consciencializao Quais os riscos de no se alcanar os objetivos? Padres de mercado Benchmarking O que fazem os outros? Como podem os resultados ser medidos e comparados? As diretrizes de gesto fornecem exemplos de medio, permitindo a avaliao do desempenho de TI em termos de negcio. Os principais indicadores de objetivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de desempenho avaliam a eficincia dos processos, ao avaliar os fatores que permitem a sua execuo. Modelos e atributos de maturidade possibilitam avaliaes de capacidade e de mercado, auxiliando a gesto a avaliar a capacidade de controle e a identificar falhas de controle e estratgias de aperfeioamento. O Glossrio de termos pode ser encontrado no site da Web da ISACA, em www.isaca.org/glossary. As palavras auditoria e inspeco so utilizadas indistintamente. Iseno de Responsabilidade: A ISACA desenvolveu este guia visando definir o nvel mnimo de desempenho aceitvel exigido para dar resposta s responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA. A ISACA no oferece qualquer garantia de que o uso deste produto ir assegurar um resultado bem-sucedido. A publicao no deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados ou de outros procedimentos e testes tambm voltados para a obteno dos mesmos resultados. Ao determinar a adequao de qualquer procedimento ou teste especfico, o profissional da rea de controle deve aplicar o seu prprio julgamento profissional s circunstncias especficas de controle apresentadas pelos sistemas ou pelo ambiente de tecnologia da informao em particular.

O Conselho Normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparao das Normas, Diretrizes e Procedimentos de Auditoria de SI. Antes de divulgar qualquer documento, o Conselho Normativo divulga internacionalmente verses preliminares, submetidas avaliao pblica. O Conselho Normativo procura ainda indivduos com especial interesse ou experincia no tpico em questo, para consultas quando necessrio. O Conselho Normativo possui um programa de desenvolvimento contnuo e acolhe a colaborao de membros da ISACA e outras partes interessadas, na identificao de questes emergentes que requeiram novas normas. As sugestes devem ser enviadas por e-mail (standards@isaca.org), fax (+1-847-253-1443) ou correio (endereo no final do documento) Sede Internacional da ISACA, aos cuidados do director de normas de pesquisa e relaes acadmicas. Este material foi divulgado em 1 de julho de 2005. Governana de TI S10 Apresentao 01 As normas da ISACA contm princpios bsicos e procedimentos essenciais, identificados a negrito, que so obrigatrios, juntamente com orientaes relacionadas com os mesmos. 02 O objetivo desta Norma da ISACA estabelecer e fornecer orientaes sobre reas de governana de TI que o auditor de SI deve considerar durante o processo de auditoria. Norma 03 O auditor de SI deve analisar e avaliar se a funo de SI est em conformidade com a misso, a viso, os valores, os objetivos e as estratgias da organizao. 04 O auditor de SI deve analisar se a funo de SI tem uma demonstrao clara do desempenho esperado pela empresa (eficincia e eficcia) e avaliar as suas realizaes. 05 O auditor de SI deve analisar e avaliar a eficcia do recurso de SI e os processos de gesto de desempenho. 06 O auditor de SI deve analisar e avaliar a conformidade com as exigncias legais, ambientais e de qualidade de informaes, fiducirias e de segurana. 07 Para avaliar a funo de SI deve ser utilizada pelo auditor de SI uma abordagem com base nos riscos. 08 O auditor de SI deve analisar e avaliar o ambiente de controle da organizao. 09 O auditor de SI deve analisar e avaliar os riscos que podem causar efeitos adversos no ambiente de SI. Orientaes adicionais 10 O auditor de SI deve consultar a Directriz de auditoria de SI G18, Governana de TI. 11 O auditor de SI deve analisar e avaliar os riscos do ambiente de trabalho de SI que suporta os processos de negcios. A actividade de auditoria de SI deve auxiliar a organizao, identificando e avaliando exposies significativas a riscos e contribuindo para o aperfeioamento dos sistemas de gesto de riscos e de controle. 12 A governana de TI pode ser avaliada isoladamente ou considerada em cada reviso da funo de SI realizada. 13 O auditor de SI deve consultar as orientaes a seguir para obter mais informaes sobre a governana de TI: Diretrizes de auditoria de SI: G5 Carta de auditoria G6 Conceitos de materialidade para auditoria de sistemas de informaes G12 Relacionamento e independncia organizacionais G13 Uso da avaliao de riscos no planeamento de auditoria G15 Planeamento G16 Impacto de terceiros em controles de TI de uma organizao G17 Impacto de funo de no auditoria na independncia do auditor de SI Diretrizes de gesto COBIT COBIT Framework, Objetivos de controle; esta norma relativa a todos os objetivos de controle em todos os domnios COBIT. Board Briefing on IT Governance (Instrues resumidas para directorias para a governana de TI), 2 edio, IT Governance Institute IT Control Objectives for Sarbanes-Oxley (Objetivos de controle de TI para Sarbanes-Oxley), IT Governance Institute Lei Sarbanes-Oxley de 2002 dos EUA e outras regulamentaes especficas tambm podem ser aplicveis. Data de efetivao 14 Esta Norma da ISACA vlida para todas as auditorias de sistemas de informaes a partir de 1 de Setembro de 2005.

Conselho Normativo 2004-2005 da Information Systems Audit and Control Association (Associao de Auditoria e Controle de Sistemas de Informao) Presidente, Sergio Fleginsky, CISA ICI Paints, Uruguai Svein Aldal Aldal Consulting, Noruega John Beveridge, CISA, CISM, CFE, CGFM, CQA Gabinete do Auditor do Estado de Massachusetts, EUA Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Tangerine Consulting, Itlia Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguai Andrew MacLeod, CISA, CIA, FCPA, PCP Cmara de Vereadores de Brisbane, Austrlia V. Meera, CISA, CISM, ACS, CWA Microsoft Corporation, EUA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications., ndia Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Austrlia John G. Ott, CISA, CPA AmerisourceBergen, EUA Thomas Thompson, CISA Ernst & Young, Emirados rabes Unidos Copyright 2005 Information Systems Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Telefone: +1-847-253-1545 Fax: +1-847-253-1443 E-mail: standards@isaca.org Site na Web: www.isaca.org