NORMA DE AUDITORIA DE SI

DOCUMENTO S13 USO

DO TRABALHO DE OUTROS ESPECIALISTAS

A natureza especializada da auditoria de sistemas de informao (SI) e a capacidade necessria para realizar essas auditorias
requerem o estabelecimento de normas que se apliquem especificamente auditoria de SI. Uma das metas da ISACA propor
normas globalmente aplicveis para satisfazer sua viso. O desenvolvimento e disseminao das Normas de Auditoria de SI so
fundamentais como contribuio profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI
apresenta diversos nveis de orientao:
As Normas definem requisitos obrigatrios para auditorias e relatrios de SI. Elas informam:

Os auditores de SI sobre o nvel mnimo de desempenho aceitvel exigido para cumprir as responsabilidades profissionais
estabelecidas no Cdigo de tica Profissional da ISACA;

A gerncia e outras partes interessadas sobre as expectativas da profisso no que se refere s atividades daqueles que a
exercem;

Os detentores da nomeao Certified Information Systems Auditor, CISA (Auditor Certificado de Sistemas de
Informao) sobre os requisitos. A no conformidade com essas normas pode resultar numa investigao da conduta do
detentor da CISA pelo Conselho de Administrao da ISACA ou pelo comit apropriado da ISACA e, finalmente, em aco
disciplinar.
As Diretrizes fornecem orientao para a aplicao das Normas de Auditoria de SI. O auditor de SI deve lev-las em
considerao para determinar como alcanar a implementao das normas, usar a avaliao profissional na sua aplicao e
estar preparado para justificar qualquer divergncia. O objetivo das Diretrizes de Auditoria de SI fornecer informaes
adicionais sobre como cumprir as Normas de Auditoria de SI.
Os Procedimentos fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realizao de uma
auditoria. Os documentos de procedimentos fornecem informaes sobre como cumprir as normas ao realizar a auditoria de SI,
mas no estabelecem requisitos. O objetivo dos Procedimentos de Auditoria de SI fornecer informaes adicionais sobre
como cumprir as Normas de Auditoria de SI.
Os recursos COBIT devem ser utilizados como uma fonte de orientao para as melhores prticas. O Framework COBIT determina
que " responsabilidade da gesto salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e tambm
alcanar as expectativas, a gesto deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto
detalhado de controles e tcnicas de controle para o ambiente de gesto de sistemas de informao. A seleco do material mais
relevante do COBIT, aplicvel ao mbito da auditoria em questo, baseia-se na escolha de processos de TI especficos do COBIT e na
considerao dos seus critrios de informao.
Conforme definido no Framework COBIT, cada um dos itens a seguir organizado por processo de gesto de TI. O COBIT destina-se
utilizao por parte dos responsveis de negcios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreenso
dos objetivos de negcio, de modo a que a comunicao das melhores prticas e recomendaes seja realizada em torno de uma
referncia normativa entendida e respeitada de forma geral por todos. O COBIT inclui:
Objetivos de controle declaraes genricas detalhadas e de alto nvel sobre a qualidade mnima de um bom controle;
Prticas de controle anlises prticas e orientaes sobre como implementar, referentes aos objetivos de controle;
Diretrizes de auditoria orientao para cada rea de controle sobre como obter um entendimento, avaliar cada controle,
verificar o cumprimento das normas e demonstrar o risco do no-cumprimento dos controles;
Diretrizes de gesto orientao sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de
maturidade, sistemas de avaliao e fatores crticos de sucesso. Elas fornecem uma estrutura orientada gesto, para uma
autoavaliao contnua e proactiva do controle, especificamente focada em:

Avaliao de desempenho A TI responde s exigncias do negcio? As diretrizes de gesto podem ser utilizadas para
dar suporte a atividades de autoavaliao, e tambm podem ser usadas para suportar a implementao, por parte da
gesto, de procedimentos de acompanhamento e aperfeioamento contnuo, como parte de um esquema do controle
de TI;

Perfil do controle de TI Que processos de TI so importantes? Quais os fatores crticos de sucesso para o controle?

Consciencializao Quais os riscos de no se alcanar os objetivos?

Benchmarking O que fazem os outros? Como podem os resultados ser medidos e comparados? As diretrizes de gesto
fornecem exemplos de medio, permitindo a avaliao do desempenho de TI em termos de negcio. Os principais
indicadores de objetivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de
desempenho avaliam a eficincia dos processos, ao avaliar os fatores que permitem a sua execuo. Modelos e atributos
de maturidade possibilitam avaliaes de capacidade e de mercado, auxiliando a gesto a avaliar a capacidade de
controle e a identificar falhas de controle e estratgias de aperfeioamento.
Um glossrio de termos pode ser encontrado no site da ISACA, em www.isaca.org/glossary. As palavras auditoria e reviso so
utilizadas indistintamente.
Ressalva: A ISACA desenvolveu este guia visando definir o nvel mnimo de desempenho aceitvel exigido para dar resposta s
responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA. A ISACA no oferece qualquer garantia de
que o uso deste produto ir assegurar um resultado bem-sucedido. A publicao no deve ser considerada parte integrante de
quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes tambm voltados para a obteno dos mesmos
resultados. Ao determinar a adequao de qualquer procedimento ou teste especfico, o profissional da rea de controle deve aplicar
o seu prprio julgamento profissional s circunstncias especficas de controle apresentadas pelos sistemas ou pelo ambiente
privado de sistemas ou tecnologia da informao.

O Conselho Normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparao das Normas, Diretrizes e
Procedimentos de Auditoria de SI. Antes de divulgar qualquer documento, o Conselho Normativo divulga internacionalmente verses
preliminares, submetidas avaliao pblica. O Conselho Normativo tambm procura indivduos com especial interesse ou
experincia no tpico em questo, para consultas quando necessrio. O Conselho Normativo possui um programa de
desenvolvimento contnuo e acolhe a colaborao de membros da ISACA e outras partes interessadas, na identificao de questes
emergentes que exijam novas normas. As sugestes devem ser enviadas por e-mail (standards@isaca.org), fax (+1.847.253.1443)
ou correio (endereo no final do documento) Sede Internacional da ISACA, aos cuidados do director de padres de pesquisa e
relaes acadmicas. Este material foi divulgado em 15 de Maio de 2006.
S13 Uso do Trabalho de Outros Especialistas
Apresentao
01 As normas da ISACA contm princpios bsicos e procedimentos essenciais, identificados a negrito, que so obrigatrios,
juntamente com orientaes relacionadas com os mesmos.
02 O objetivo desta Norma de Auditoria de SI estabelecer e fornecer orientao ao auditor de SI que utiliza o trabalho de outros
especialistas numa auditoria.
Normas
03 O auditor de SI deve, quando apropriado, considerar o uso do trabalho de outros especialistas para a auditoria.
04 O auditor de SI deve avaliar e ficar satisfeito com as qualificaes profissionais, competncias, experincia
relevante, recursos, independncia e processos de controle de qualidade de outros especialistas, antes do
comprometimento.
05 O auditor de SI deve determinar, rever e avaliar o trabalho de outros especialistas como parte da auditoria e emitir
parecer sobre a extenso do uso e confiabilidade do trabalho do especialista.
06 O auditor de SI deve determinar e emitir parecer sobre se o trabalho de outros especialistas adequado e
completo para permitir ao auditor de SI a emisso de parecer sobre os objetivos da auditoria actual. Tal
concluso deve ser claramente documentada.
07 O auditor de SI deve aplicar procedimentos adicionais de teste para obter evidncia de auditoria suficiente e
adequada nas circunstncias onde o trabalho de outros especialistas no fornece evidncia de auditoria
suficiente e apropriada.
08 O auditor de SI deve fornecer opinio de auditoria apropriada e incluir limitao de escopo onde a evidncia
necessria no for obtida atravs de procedimentos adicionais de teste.
Orientaes Adicionais
09 O auditor de SI deve considerar o uso do trabalho de outros especialistas na auditoria quando houver restries que
possam prejudicar o trabalho de auditoria a ser realizado ou potenciais ganhos na qualidade da auditoria. So alguns
exemplos: conhecimento exigido pela natureza tcnica das tarefas a serem realizadas, recursos escassos de auditoria e
restries de tempo.
10 Um "especialista" pode ser um auditor de SI oriundo da empresa de contabilidade externa, um assessor empresarial,
um especialista de TI ou especialista na rea da auditoria designado pelo Conselho Executivo ou pela equipa de auditoria
de SI.
11 Um especialista pode ser um interno ou externo de uma organizao. Se um especialista for contratado com outra parte da
organizao, deve-se depositar confiana no relatrio do especialista. Em alguns casos isso pode reduzir a necessidade
de cobertura da auditoria de SI, mesmo se o auditor de SI no tiver acesso documentao de suporte e papis de
trabalho. O auditor de SI deve ser cauteloso ao fornecer uma opinio sobre tais casos.
12 O auditor de SI deve ter acesso a todos os papis de trabalho, documentao de suporte e relatrios de outros
especialistas, onde tal acesso no crie problemas legais. Onde o acesso do especialista a registos criar problemas legais
e, portanto, no estiver disponvel, o auditor de SI deve apropriadamente determinar e emitir parecer sobre a extenso de
uso e confiana no trabalho do especialista.
13 As vises/relevncia/comentrios do auditor de SI sobre a possibilidade de adopo do relatrio do especialista devem
fazer parte do relatrio do auditor de SI.
14 O auditor de SI deve consultar a Norma de Auditoria de SI S6 Realizao do Trabalho de Auditoria, que estabelece que o
auditor de SI deve obter evidncia suficiente, confivel, relevante e til para alcanar os objetivos de auditoria.
15 Se o auditor de SI no tiver as habilidades necessrias ou outras competncias para realizar a auditoria, deve procurar
assistncia competente de outros especialistas; contudo, o auditor de SI deve ter bom conhecimento do trabalho realizado,
mas no se espera que tenha um nvel de conhecimento equivalente ao do especialista.
16 O auditor de SI deve consultar a Directriz de Auditoria de SI G1 Uso do Trabalho de Outros Auditores e Especialistas.
17 Consulte as orientaes a seguir para obter informaes adicionais sobre o uso do trabalho de outros auditores e
especialistas:
Diretrizes de auditoria de SI:

G5 Carta de Auditoria;

G8 Documentao de Auditoria;

G2 Requisito para Evidncia de Auditoria;

G10 Amostragem de Auditoria;

G13 Uso da Avaliao de Riscos no Planeamento da Auditoria;

COBIT 4.0, IT Governance Institute, 2005;
IT Control Objectives for Sarbanes-Oxley (Objetivos de controle de TI para Sarbanes-Oxley), IT Governance Institute,
2004.

Data de Vigncia
18 Esta norma da ISACA vlida para todas as auditorias de SI iniciadas a partir de 1 de Julho de 2006.
Conselho Normativo 2005-2006 da Information Systems Audit and Control Association (ISACA)
Presidente, Sergio Fleginsky, CISA ICI Paints, Uruguai
Svein Aldal Aldal Consulting, Noruega
John Beveridge, CISA, CISM, CFE, CGFM, CQA Gabinete do Auditor do Estado de Massachusetts, EUA
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguai
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Cmara Municipal de Brisbane, Austrlia
Meera Venkatesh, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, EUA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications, ndia
John G. Ott, CISA, CPA AmerisourceBergen, EUA
Thomas Thompson, CISA, PMP Ernst & Young, Emirados rabes Unidos

Copyright 2006
Information Systems Audit and Control Association (ISACA)
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EUA
Telefone: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: standards@isaca.org
Web site: www.isaca.org