Escolar Documentos
Profissional Documentos
Cultura Documentos
Escola de Engenharia
Funo
Auditoria
Informao:
Modelo
de
Sistemas
Funcional
Competncias
Setembro de 2007
de
de
Agradecimentos
- iii -
Resumo
O ttulo deste trabalho A Funo Auditoria de Sistemas de Informao: Modelo Funcional e de
Competncias reflecte o seu principal objectivo que propor um modelo com os vrios
processos de gesto da funo Auditoria de SI e com as competncias que complementarmente
so exigveis ao Auditor de SI. Este modelo poder constituir as bases para a elaborao futura
de uma Metodologia de Auditoria de SI e de uma Poltica de Auditoria de SI. A funo Auditoria
tem evoludo no seu paradigma, preocupando-se actualmente com os processos de negcio e
com os SI que os suportam, baseando-se numa abordagem ao risco. Como consequncia desta
evoluo no Modelo Funcional da Auditoria, dever-se- verificar tambm uma indissocivel
evoluo no Modelo de Competncias dos profissionais de Auditoria. Este trabalho comea por
efectuar a definio dos conceitos associados Auditoria de SI, um resumo da evoluo da
funo e do seu papel e uma explorao dos principais factores caracterizadores do paradigma
actual da funo. proposto um Modelo Funcional, ou seja, um conjunto de ideias estruturadas
e sequenciadas sobre a funo que, em conjunto, formam o modelo: os objectivos, a
organizao, o mbito, os referenciais metodolgicos e os processos de Auditoria de SI. Trata-se
de um exerccio pouco frequente na literatura acadmica de Auditoria de SI pelo tipo de
contributos recolhidos (originais do autor, autores independentes, organizaes profissionais de
Auditoria e entidades que estudam os processos de SI) e pela sistematizao dos conceitos
efectuada (apoiada em representaes grficas). So igualmente lanadas novas ideias, entre as
quais se destacam trs: o posicionamento conceptual da funo; a identificao de actividades
especficas de Auditoria de SI previstas em trs referenciais de SI (CobiT, ITIL e ISO 17799); e a
utilizao dos conceitos de Gesto de Projectos aplicados na Gesto das Auditorias de SI. O
trabalho complementa-se com a proposta dum Modelo de Competncias, designado de MICASI
- Modelo de Identificao de Competncias do Auditor de SI, para o qual se desenvolveu uma
ferramenta informtica de suporte. O modelo resulta da combinao e adaptao de dois
referenciais distintos que correspondem aos dois principais tipos de competncias do Auditor de
SI: as Competncias de Gesto (baseado num modelo de competncias de Gesto de Projectos)
e as Competncias Tcnicas (baseado no Modelo Curricular da ISACA). Por fim, apresentam-se
os resultados da aplicao prtica do modelo MICASI atravs da realizao de entrevistas semiestruturadas a profissionais de Auditoria de SI. O propsito foi a classificao das competncias
que estes profissionais consideram como mais importantes para a actividade de Auditor de SI.
- iv -
Abstract
This works title The Information Systems Audit Function: Functional and Competence Model
reflects its main objective: to propose a model with several management processes of the IS
Audit function and, complementary, to present the skills that are required to the IS Auditor. This
model could set the basis for a future development of an IS Audit Methodology and an IS Audit
Politics. The Audit function has evolved in its paradigm, being nowadays concerned with the
business processes and the IS that support them, adopting a risk-based approach. As an
outcome of this evolution in the Audit Functional Model, there should also be a binding evolution
in the Competence Model of the Audit professionals. This work begins with the definition of IS
Audit related concepts, a summary of the evolution of the function and its role, and the
exploration of the main factors that characterize the current paradigm of the function. A
Functional Model is proposed, that is to say, a set of structured and sequential ideas about the
function that altogether shape the model: the purpose, the organization, the scope, the
methodological frameworks and the processes of IS Audit. This constitutes an unusual exercise in
IS Audit academic literature due to the type of collected contributions (author originals,
independent authors, Audit professional associations, and entities that study IS processes) and
due to the concept systematization that is done (supported by graphical representations). New
ideas are also presented and these three are highlighted: the conceptual positioning of the
function; the identification of IS Audit specific activities considered in three IS frameworks (CobiT,
ITIL and ISO 17799); and the use of Project Management concepts applied to IS Audit
Management. The work is complemented with the proposal of a Competence Model for the IS
Auditor, named MICASI - Information Systems Auditor Competence Identification Model, for
which a supporting tool was developed. This model results from the combination and adaptation
of two distinct frameworks that correspond to the two main types of IS Audit competences:
Management Skills (based on a Project Management competence model) and Technical Skills
(based on the ISACA Model Curriculum). Lastly, a presentation is made of the results of a
practical application of the MICASI model by doing semi-structured interviews to IS Audit
professionals. The aim was to classify the skills that these professionals considered to be the
most important for the activity of IS Auditor.
-v-
ndice
Agradecimentos .................................................................................................................... iii
Resumo ................................................................................................................................ iv
Abstract ................................................................................................................................. v
ndice ................................................................................................................................... vi
Lista de Figuras..................................................................................................................... ix
Lista de Tabelas .................................................................................................................... xi
1
Introduo........................................................................................................ 1
1.1
Motivao e Enquadramento....................................................................................... 1
1.2
1.3
1.3.1
1.3.2
1.3.3
Definies ................................................................................................................ 10
2.1.1
2.1.2
2.1.3
2.2
2.2.1
2.2.2
2.2.3
2.3
2.3.1
2.3.2
2.3.3
2.4
2.4.1
2.4.2
3.1.1
3.1.2
3.2
3.2.1
3.2.2
3.3
3.3.1
3.3.2
3.4
3.4.1
A Adopo de Referenciais................................................................................. 65
3.4.2
3.4.3
3.5
Os Objectivos da Funo........................................................................................... 40
Os Processos da Funo........................................................................................... 82
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
4.1.1
4.1.2
4.1.3
4.1.4
4.2
4.2.1
4.2.2
4.2.3
4.3
4.3.1
4.3.2
5.2
5.3
- viii -
Lista de Figuras
Figura 1.1 - Vrtices da Investigao de Tese ............................................................................ 4
Figura 1.2 - Falta de ligao entre a Investigao acadmica e a Prtica profissional em SI........ 6
Figura 2.1 - Viso Holstica da Auditoria: as Dimenses do Risco ............................................. 26
Figura 2.2 - Viso Holstica da Auditoria: os Controlos de SI..................................................... 27
Figura 2.3 - Framework de Gesto de Risco de SI.................................................................... 30
Figura 2.4 - Melhoria Contnua na Auditoria............................................................................. 33
Figura 2.5 - Hierarquia de Sistemas de Auditoria..................................................................... 35
Figura 2.6 - Modelo de Sistemas Viveis ................................................................................. 37
Figura 3.1 - Framework de Processos de Negcio ................................................................... 47
Figura 3.2 - Posicionamento e Reporte Organizativo da Funo Auditoria de SI ........................ 51
Figura 3.3 - Posicionamento Conceptual da Funo Auditoria de SI ......................................... 55
Figura 3.4 - A Definio do Universo da Auditoria de SI ........................................................... 57
Figura 3.5 - O mbito da Auditoria de SI: Nveis e Dimenses dos Controlos de SI ................... 61
Figura 3.6 - Trs Refernciais Metodolgicos Integrados.......................................................... 68
Figura 3.7 - Framework CobiT................................................................................................. 72
Figura 3.8 - Framework ITIL.................................................................................................... 74
Figura 3.9 - Framework ISO 17799......................................................................................... 76
Figura 3.10 - Modelo de Planeamento para a Funo Auditoria de SI....................................... 84
Figura 3.11 - As Fases da Auditoria de SI: sequncia decomposta em contedos .................... 88
Figura 3.12 - As Fases da Auditoria de SI: sequncia lgica de actividades .............................. 90
Figura 3.13 - As Fases da Auditoria de SI: sequncia formal tipo projecto ................................ 91
Figura 3.14 - As Fases da Auditoria de SI como Fases de um Projecto..................................... 94
Figura 3.15 - Framework PMBOK............................................................................................ 97
Figura 4.1 - A Cano do Auditor .......................................................................................... 113
Figura 4.2 - Determinantes das Competncias dos Auditores................................................. 117
Figura 4.3 - reas de Conhecimento com Impacto nos SI...................................................... 119
Figura 4.4 - reas de Conhecimento do Auditor de SI ............................................................ 121
Figura 4.5 - Posicionamento Conceptual das Competncias de Auditoria de SI ...................... 129
Figura 4.6 - Funcionalidades de Preenchimento da Ferramenta de Suporte ao MICASI .......... 136
- ix -
-x-
Lista de Tabelas
Tabela 1.1 - Objectivos dos Modelos, Normas e Ferramentas utilizadas ..................................... 9
Tabela 2.1 - Definies Base associadas Auditoria de SI ....................................................... 13
Tabela 2.2 - Definies Adicionais associadas Auditoria de SI ............................................... 16
Tabela 2.3 - As Eras da Auditoria vs. o Papel do Auditor .......................................................... 23
Tabela 3.1 - O mbito da Auditoria de SI: Tipos de Controlos de SI.......................................... 63
Tabela 3.2 - Comparao de Elementos Caracterizadores: CobiT vs. ITIL vs. ISO 17799.......... 70
Tabela 3.3 - Actividades de Auditoria de SI previstas nos Referenciais (resumo)....................... 79
Tabela 3.4 - Documento de Definio de Auditoria de SI........................................................ 100
Tabela 4.1 - Identificao dos Entrevistados .......................................................................... 146
Tabela 4.2 - As 10 Competncias de Gesto mais Importantes no Auditor de SI .................... 151
Tabela 4.3 - As 10 Competncias Tcnicas mais Importantes no Auditor de SI ...................... 154
- xi -
1 INTRODUO
1.1
MOTIVAO
ENQUADRAMENTO
A funo Auditoria nas organizaes, onde se inclui a Auditoria de SI, tem evoludo no seu
estatuto, devendo ser encarada como uma actividade de suporte ao negcio (por oposio a
uma actividade de inspeco) e como tendo um carcter pr-activo ou preventivo (por oposio a
um carcter reactivo). Segundo este novo paradigma, a Auditoria deve ter a sua preocupao
centrada nos processos de negcio e nos SI que os suportam, baseando-se numa abordagem ao
risco.
tendero a ser de um modo geral menos tcnicos e especializados, passando a deter mais
competncias de gesto e conhecimento do negcio, complementando as competncias
tcnicas base sempre necessrias.
Na rea do Planeamento e Organizao dos SI, no que diz respeito vertente funo
A abordagem a este tema ser tambm uma oportunidade para o autor da tese reflectir sobre
uma rea relacionada com a sua actividade profissional actual Auditoria e Gesto de Risco
esperando que este trabalho de investigao possa contribuir para a excelncia profissional
nesta rea.
1.2
QUESTES
DE INVESTIGAO E
OBJECTIVOS
Perante o contexto atrs apresentado, a tese ser orientada, essencialmente, pelo estudo da
seguinte questo de investigao:
Tendo por base estas questes de investigao, esta tese pretende atingir o seguinte objectivo:
Considerando o risco das duas questes de investigao aqui formuladas constiturem talvez um
mbito de investigao demasiado vasto para uma Tese de Mestrado, s quais se juntam ainda
os objectivos enunciados, torna-se importante esclarecer que:
A resposta segunda questo de investigao constitui-se como um complemento s
ideias sistematizadas na resposta primeira.
1.3
METODOLOGIA
1.3.1 V R T I C E S
DA
DE INVESTIGAO
METODOLOGIA UTILIZADA
1.3.2 V A N T A G E N S
LIMITAES
No que diz respeito ao primeiro dos vrtices da tese, a reviso bibliogrfica, entende-se que a
utilizao desta abordagem metodolgica , quando comparada com os outros dois vrtices,
pacfica e de aceitao generalizada (e at mesmo obrigatria) em trabalhos desta natureza, pelo
que no sero exploradas as vantagens e limitaes. , no entanto, importante esclarecer que a
reviso bibliogrfica foi delimitada com uma perspectiva muito prtica e direccionada para o
contexto das organizaes, recorrendo apenas em poucos casos a descries histricas da
evoluo da funo Auditoria de SI. Foram tambm incorporados nesta tese alguns resultados de
trabalhos que se relacionam com o tema, efectuados pelo autor no mbito das disciplinas do
curso de Mestrado.
O facto da anlise ser qualitativa, implica fundamentalmente que uma anlise que lida com
conceitos (neste caso, competncias de um Auditor de SI) e no essencialmente com nmeros.
No entanto, uma anlise qualitativa no necessariamente especulativa (com enviesamentos,
intencionalmente positivos ou negativos), podendo ser meramente interpretativa (isenta de
enviesamentos intencionais, tanto quanto possvel).
Quanto ao terceiro dos vrtices, a experincia profissional, este dever ser entendido aqui como
uma mais-valia em cima dos dois vrtices anteriores, ganhando formalizao atravs da
passagem de conhecimento implcito (que foi adquirido pelos intervenientes na investigao ao
longo das suas prticas profissionais) para conhecimento explcito (que ficar registado e
moldar a forma dos contedos da tese).
-6-
Tal como a figura anterior pretende esquematizar, verifica-se por vezes que a investigao
acadmica em SI est desligada da prtica profissional, existindo pouca interseco e
transferncia de conhecimento entre estes dois domnios. Este facto reconhecido por (Moody,
2000) que considera que a disciplina de SI aproxima-se mais de uma cincia aplicada do que
uma cincia pura. Isto , deve-se focar mais na aplicao prtica dos SI, ou seja, contribuio
para as profisses de SI e, em ltima instncia, para a satisfao de necessidades da sociedade,
do que apenas nos SI por si s, caso em que estaramos perante uma falta de responsabilidade
social (social accountability). Defende que os SI, enquanto cincia aplicada, no alcanaro
mais legitimidade pelo rigor dos seus mtodos ou pela sua base terica, mas sim pela sua
utilidade prtica. Compara ainda a disciplina dos SI Medicina em que, nesta ltima, existe forte
ligao entre a investigao acadmica e a prtica profissional.
Embora esta seja uma temtica de grande abrangncia e nem sempre consensual, a da
natureza da disciplina de SI (aplicada vs. pura), o importante reconhecer que diferentes
mtodos de investigao so adequados dependendo das questes de investigao (research
questions) em causa. Alis estas questes, ou seja, o que investigar?, ficam por vezes
subordinadas questo do como investigar?. No caso da presente investigao, dada a
dificuldade de testar o tema num contexto formal (de laboratrio), afigura-se ser adequada a
utilizao de contextos organizacionais (empresariais), usando a experincia de profissionais de
Auditoria de SI para a identificar e validar ideias sobre as competncias que um Auditor de SI
deve possuir.
Em jeito de encerramento do ponto das vantagens e limitaes, pode concluir-se que legtima
uma metodologia de investigao acadmica que, para alm da tradicional reviso bibliogrfica,
inclui tambm uma anlise qualitativa baseada em casos e complementa com o conhecimento
provindo de experincia de profissionais. Esta afirmao parece ser compatvel com o j referido
estudo de (Kaplan and Duchon, 1998) quando este conclui que uma mistura de mtodos pode
levar a novas perspectivas e formas de anlise que so pouco provveis de ocorrer quando
apenas um dos mtodos usado isoladamente.
-7-
1.3.3 M O D E L O S E S T R U T U R A D O S , N O R M A S
FERRAMENTAS
UTILIZADAS
CAPTULO
OBJECTIVOS
2.3
Framework - COSO
2.3
3.2
3.4
4.2
4.2
4.3
Ferramenta MS Excel
-8-
4.3
-9-
Neste captulo pretende-se efectuar uma abordagem global primeira parte do ttulo da tese (A
Auditoria de Sistemas de Informao), para posteriormente nos Captulos 3 e 4 se explorar os
dois conceitos mais especficos relacionados com a segunda parte do ttulo (Modelo Funcional e
Modelo de Competncias).
2.1
DEFINIES
Esta seco tem por objectivo efectuar uma seleco de definies que contribuam para o
esclarecimento de alguns conceitos fundamentais associados Auditoria de SI. Estes conceitos,
compilados sob a forma de tabelas, so apresentados em sequncia lgica e relacionada.
Para alguns dos conceitos, designados com um s termo (como por exemplo, Informao,
Controlo, Risco, etc.), ser apresentada uma definio geral, ou seja, no contextualizada
(extrada do dicionrio da lngua portuguesa). Para os conceitos compostos por vrios termos
(como por exemplo, Auditoria de SI, Controlos de SI, etc.), assim como para os conceitos de um
s termo, ser apresentada sempre uma ou mais definies contextualizadas (no domnio da
Auditoria, dos Sistemas de Informao e das Organizaes).
2.1.1 D E F I N I E S B A S E
- 10 -
CONCEITO
DEFINIO
Informao
Information is understood as symbolic objects (opposed to material and energetic objects) deliberately
built in order to enable communication and the formation of knowledge. As symbolic objects are used
to represent other things they can also be called representations.
(Carvalho, 2000)
Informao aquele conjunto de dados que, quando fornecido de forma e a tempo adequado,
melhora o conhecimento da pessoa que o recebe, ficando ela mais habilitada a desenvolver
determinada actividade ou a tomar determinada deciso.
(Amaral e Varajo, 2000 citando Galliers, 1987)
A Informao tudo aquilo que, diminuindo o nosso grau de incerteza, ou indefinio, nos
potencializa a racionalidade do processo de deciso, isto , de administrao e gesto.
Da que no possa haver Gesto sem Informao a Informao e a Gesto so, afinal, os dois lados
da mesma moeda.
(Olivera, 1998/9)
Information is a tool that adds value, builds competitive advantage and should be used to support
management it is not simply an overhead or functional system.
(Marchand, 2000)
Sistema
Conjunto de partes dependentes umas das outras. Conjunto de leis ou princpios que regulam certa
ordem de fenmenos. Em Informtica, tudo o que indispensvel execuo de uma tarefa
completa com a utilizao de um computador: hardware, software e pessoas responsveis pelo
funcionamento correcto dos aparelhos.
(Porto Editora, 2007)
A system is a set of interdependent, goal-oriented and driven processes and related resources.
Virtually anything and everything in our real or conceptual world can be perceived as a system or at
least as a part of one.
(Karapetrovic and Willborn, 2001)
- 11 -
A system (in general or in abstract) can be defined as an active (does something), stable (has a
structure) and evolutionary (that changes over time) thing or object that operates in an environment (it
interacts with other things) with some purpose (from the point of the view of the modeller, there is a
reason for the system to do what it does).
System is a concept that is useful to study active objects, especially when they are complex. A system
is the result of viewing the active world from a certain point of view. Any thing (and specially an active
thing) can be viewed as being a system.
(Carvalho, 2000)
Sistema de
Informao
Information system is either: (i) an active object that deals with (processes) information; or (ii) an
active object whose purpose is to inform.
The first interpretation focuses the nature of the processed objects. Information systems are systems
that process only information, i.e., symbolic objects or representations.
The second interpretation focuses on the purpose of the system. Information system is a system
whose purpose is to inform, i.e., to contribute to someones acquisition of knowledge. This knowledge
is necessary to the execution of some action in some context.
(Carvalho, 2000)
Sistema de Informao um sistema que rene, guarda, processa e faculta informao relevante
para a organizao de modo que a informao acessvel e til para aqueles que a querem utilizar,
incluindo gestores, funcionrios, clientes, etc.
Um Sistema de Informao um sistema de actividade humana (social) que pode envolver ou no a
utilizao de equipamentos.
(Amaral e Varajo, 2000 citando Buckingham, 1987)
Conjunto de meios fsicos e lgicos, humanos, financeiros, organizacionais e consumveis diversos,
que de uma forma racional interagem entre eles, se integram e se combinam com vista produo,
memorizao e distribuio/consulta de Informao, com vista a satisfazer determinadas
necessidades de gesto.
(Oliveira, 1998/9)
Auditoria
Auditoria de
Sistemas de
Informao
A Auditoria de Sistemas no tem por objectivo apenas a funo informtica, focalizando-se em todos
os SI, informatizados ou no, que existem na organizao.
A auditoria tem de concentrar os seus esforos na anlise e avaliao, quer envolvendo-se em
processos de planeamento, desenvolvimento, testes e aplicao de sistemas, quer examinando a
estrutura lgica, fsica, ambiental, organizacional de controlo, segurana e proteco de dados.
(Carneiro, 2004)
- 12 -
The IS audit activity should assist the organisation by identifying and evaluating significant exposures
to risk and contributing to the improvement of risk management and control systems.
(ISACA, 2005)
Information Systems Audit is the process of collecting and evaluating evidence to determine whether a
computer system (Information System) safeguards assets, maintains data integrity, achieves
organizational goals effectively and consumes resources efficiently.
Information Systems Audit is a part of the overall audit process, which is one of the facilitators for
good corporate governance.
(Sayana, 2002)
Tabela 2.1 - Definies Base associadas Auditoria de SI
Fonte: Citaes compiladas pelo autor a partir das vrias fontes indicadas
2.1.2 D E F I N I E S A D I C I O N A I S
CONCEITO
DEFINIO
Controlo
Any action taken by management, the board, and other parties to manage risk and increase the
likelihood that established objectives and goals will be achieved. Management plans, organizes, and
directs the performance of sufficient actions to provide reasonable assurance that objectives and goals
will be achieved.
The policies, procedures, practices and organizational structures, designed to provide reasonable
assurance that business objectives will be achieved and that undesired events will be prevented or
detected and corrected.
(IIA, 2004 & 2007c)
- 13 -
Organisations must satisfy the quality, fiduciary and security requirements for their information, as for
all assets. Management must also optimise the use of available resources including data, application
systems, technology, facilities and people. To discharge these responsibilities, as well as to achieve its
objectives, management must establish an adequate system of internal control.
(ISACA, 2005)
IT Controls are those controls that provide reasonable assurance of the secure, reliable and resilient
performance of hardware, software, processes and personnel, as well as the reliability of the
organizations information.
(IIA, 2005a)
Risco
The possibility of an event occurring that will have an impact on the achievement of objectives. Risk is
measured in terms of impact and likelihood.
(IIA, 2004)
The possibility of an act or event occurring that would have an adverse effect on the organization and
its information systems.
(ISACA, 2007)
Risk is a concept used to express uncertainty about events and/or their outcomes that could have a
material effect on the goals of the organization.
(McNamee and Selim, 1998)
Gesto de
Risco
Enterprise-wide risk management (ERM) is a structured, consistent and continuous process across the
whole organisation for identifying, assessing, deciding on responses to and reporting on opportunities
and threats that affect the achievement of its objectives.
Risk Management processes identify, assess, manage, and control potential events or situations, to
provide reasonable assurance regarding the achievement of the organisations objectives.
(IIA, 2004)
Auditoria
Interna
Internal Auditing is an independent, objective assurance and consulting activity designed to add value
and improve an organization's operations. It helps an organization accomplish its objectives by
bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk
management, control, and governance processes.
(IIA, 2000)
- 14 -
A Auditoria Interna tem um vasto mbito de actuao, pretendendo-se que auxilie a equipa de gesto
no seu desempenho de atribuies e responsabilidades, com base nas suas avaliaes e
recomendaes.
A Auditoria Interna realizada com recursos materiais e pessoal da prpria empresa auditada.
Entende-se que a Auditoria Interna deva constituir uma funo de avaliao independente, embora
pertena prpria organizao.
(Carneiro, 2004)
The internal audit department's mission is twofold: To provide independent assurance to the audit
committee (and senior management) that internal controls are in place at the company and are
functioning effectively; To improve the state of internal controls at the company by promoting internal
controls and by helping the company to identify control weaknesses and develop cost-effective
solutions for addressing those weaknesses.
(Davis, Schillerand and Wheeler, 2007)
Auditoria
Externa
A Auditoria Externa realizada por entidades que no pertencem empresa auditada, pretendendose, assim, uma maior objectividade relativamente Auditoria Interna, devido ao maior distanciamento
entre auditores e auditados.
, por vezes, designada como auditoria financeira, pois integra a anlise das contas e das
demonstraes financeiras.
(Carneiro, 2004)
Auditoria
Tecnolgica
Tem por objectivo analisar as tecnologias mais importantes da cadeia de valor da organizao, isto ,
as tecnologias que mais influenciam a formulao das estratgias e a respectiva competitividade. As
tecnologias so analisadas quanto ao seu grau de adequao aos objectivos da organizao, sua
gama de produtos e aos mercados onde a mesma opera.
(Carneiro, 2004)
Tecnologias
de
Informao
Information Technology (IT) is the infrastructure that makes it possible to store, search, retrieve, copy,
filter, manipulate, view, transmit and receive information.
(Shapiro and Varian, 1999)
Information Technology (IT) is all the computer hardware and software used to process information
and provide communications, the process for administering and maintaining the technology and the
human resources associated with the use of technology.
(IIA, 2005a)
In Information Technology (IT) the management focus is on infrastructure policies, standards and
practices; the key issues include reliability, responsiveness, flexibility, ease of use and
price/performance ratio.
(Marchand, 2000)
Gesto da
Informao
A Informao, como qualquer outro dos recursos vitais, deve ser gerida, pelo que deve constituir o
cerne de um area funcional da gesto da organizao a que comummente se chama de gesto da
Informao.
(Amaral e Varajo, 2000)
- 15 -
Information Management is business- and process-driven, and focuses on the use, quality and
integrity of information.
(Marchand, 2000)
Gesto de
Sistemas de
Informao
Governo das
Sociedades
(Corporate
Governance)
Corporate Governance is the structure through which the objectives of an organization are set, and the
means of attaining those objectives, and determines monitoring performance guidelines. Good
corporate governance should provide proper incentives for board and management to pursue
objectives that are in the interests of the company and stakeholders and should facilitate effective
monitoring, thereby encouraging firms to use resources more efficiently.
(ISACA, 2007)
Governo
dos SI
IT Governance is a structure of relationships and processes to direct and control the enterprise in
order to achieve the enterprise's goals by adding value while balancing risk versus return over IT and
its processes.
(IT Governance)
(ISACA, 2007)
Tabela 2.2 - Definies Adicionais associadas Auditoria de SI
Fonte: Citaes compiladas pelo autor a partir das vrias fontes indicadas
2.1.3 C O N S I D E R A E S
SOBRE AS
DEFINIES
Tal como reconhecido por (Amaral e Varajo, 2000), Informao, Tecnologias de Informao
e Sistemas de Informao, apesar de serem termos banalizados na linguagem comum, so
conceitos sem um entendimento universal, pelo que se sentiu a necessidade de efectuar a
distino e a clarificao destes e outros termos que lhes esto associados.
Desde logo, no que diz respeito Informao, destacam-se as definies que a tomam como um
activo que a organizao possui, com a inerente propriedade de ter utilidade e valor, e que deve
ser tratado como qualquer um dos outros bens.
Alerta-se tambm para a distino do termo Sistema que possui um significado prprio e
independente de SI (um SI um Sistema, mas nem todos os Sistemas so de Informao).
- 16 -
Muitas vezes utiliza-se erradamente, como atalho, o termo Sistema para designar SI. Por outro
lado, as definies apresentadas para SI reforam o seu carcter sistmico que, no obstante a
redundncia, muitas vezes ignorado quando se tomam os SI como Tecnologias de Informao,
dado que estas ltimas no possuem todas as caractersticas identificadoras de um Sistema.
Para finalizar a argumentao sobre a correcta utilizao da expresso SI, recorreu-se a um texto
de (Oliveira, 1997) onde este afirma que qualquer sistema informtico est contido num SI. O
conceito de sistema informtico, entenda-se Tecnologias de Informao, apenas cobre uma
parte da problemtica inerente ao SI. Sempre existiram SI, mesmo quando no existiam
Tecnologias de Informao. Alis, (Oliveira, 1998/9) observa que o primeiro tratado sobre SI
tem mais de cinco sculos ( um tratado sobre um sistema matemtico, datado de 1494).
approach), referida por (Oliveira, 1998/9) como sendo uma exigncia arquitectural que
priviligie o fluxo de Informao ao longo da pirmide organizacional ou ao longo do processo
produtivo. Daqui tambm se deriva a necessidade de se efectuar a Gesto da Informao.
2.2
REFERNCIAS
EVOLUO
DA
FUNO AUDITORIA
Nesta seco so efectuadas breves referncias evoluo da funo Auditoria. Espera-se que
contribua para a percepo do modo como a Auditoria de SI surgiu e se desenvolveu a partir de
uma Auditoria mais generalista, como por exemplo a Auditoria Interna, e tornar evidente que a
Auditoria de SI continua a fazer parte integrante e a basear-se nos principais fundamentos
daquela.
2.2.1 A E V O L U O
DA
FUNO AUDITORIA
O termo Auditoria remonta aos tempos medievais, altura em que, em algumas fazendas privadas
e nos estados feudais, os registos contabilsticos do governo eram aprovados em audincia
pblica, sendo as contas lidas e ouvidas em voz alta. Neste contexto, encontrmos o significado
original da palavra Auditor que provm do vocbulo audire e que significa ouvir. Segundo
(Geada, 2005), existem registos de actividades de Auditoria datados de 3000 AC e tambm da
designada China antiga, Grcia e Roma. Nesta ltima, os auditores ouviam os contribuintes e
elaboravam registos pblicos tendo em conta os negcios e as taxas devidas.
De acordo com o levantamento histrico efectuado por (Daz y Vera, 2006), por volta dos sculos
XIII e XIV, existem evidncias de que em Inglaterra se auditava a gesto dos funcionrios
pblicos responsveis pelos fundos estatais, bem como as operaes de algumas actividades
privadas (este foco na Auditoria s operaes s iria reaparecer por volta de 1950!). Nos
- 18 -
The Institute of Internal Auditors. O jornal/revista desta Associao, o Internal Auditor, publica
em 1948 o artigo Audits of Operations onde pela primeira vez explicitamente descrito este
mbito mais alargado da Auditoria, relacionado com os processos das operaes das
organizaes. Em 1957, numa reviso do Statement of Responsabilities of Internal Auditing, o
- 19 -
IIA refere neste documento formal que o Auditor dever-se- preocupar com toda e qualquer fase
da actividade da organizao. Est aberto o caminho para que os futuros Sistemas de
Informao possam tambm caber no mbito das Auditorias.
Como fenmeno paralelo evoluo geral da Auditoria, desde a dcada de 1950 at aos nossos
dias, assiste-se a um surgimento progressivo de segmentos de Auditoria, ou seja, tipos de
Auditoria focados em determinadas funes ou reas da organizao. Para alm da diviso entre
a Auditoria Interna e a Externa, e das mais generalizadas Auditoria Financeira e Auditoria de
Fraude, surgem a Auditoria da Qualidade, a Auditoria do Ambiente, a Auditoria de Processos de
Negcio, etc. Comeam a surgir tambm Auditorias associadas a activos intangveis ou
imateriais, como seja a Auditoria da Informao.
2.2.2 A E V O L U O
DA
FUNO AUDITORIA
DE
SI
No fundo, podemos dizer que a Auditoria da Informao deixou de estar centrada em si prpria,
(ou seja, estritamente na Informao), passando a estabelecer elos de ligao com as
necessidades da organizao e com os Sistemas de Informao que as suportam.
throughout ones career. That will never happen again! The effects of IT on auditing have
culminated in a set of knowledge skills and standards necessary to conduct the contemporary
audit that were nonexistent
Ainda segundo (Cangemi, 2003), no perodo aproximado entre 1955 a 1965, constatava-se que
as tecnologias de informao das organizaes eram baseadas apenas em computadores
centralizados (mainframes), com os seus inerentes e proprietrios mecanismos de segurana.
Apenas um conjunto de pessoas muito restrito tinha conhecimentos para poder violar o sistema,
pelo que os prprios auditores tambm no tinham as competncias adequadas para os auditar,
nem reconheciam a necessidade de faz-lo. Com a crescente computorizao nas grandes
organizaes, os Auditores ficaram tambm cada vez mais dependentes das capacidades (skills)
de terceiros, dos tcnicos especializados em processamento electrnico de dados (EDP -
- 21 -
mundial, entre as quais as duas mais conhecidas actualmente no meio profissional da Auditoria:
IDEA (Interactive Data Extraction and Analysis) e ACL (Audit Control Language).
Orange Book e intitulada de DOD STD - Trusted Computer System Evaluation Criteria (TCSEC).
Dado que a Segurana dos SI foi o primeiro dos domnios da Auditoria de SI a ser explorado,
esta norma tratava de medidas de salvaguarda dos computadores com vista proteco de
informao classificada, existente em ambientes com acesso remoto e sistemas com partilha de
recursos. Outros marcos importantes so tambm referidos por (Cangemi, 2003): a fundao
em 1969 nos EUA da EDPAA - Electronic Data Processing Auditors Association ; a publicao em
1977, por esta Associao, da primeira edio dos Control Objectives (compilation of
guidelines, procedures, best practices and standards for EDP Audits); vrias revises deste
documento, entre as quais a de 1996 em que foi renomeado para CobiT - Control Objectives for
2.2.3 A E V O L U O
DO
PAPEL
DO
AUDITOR
De facto, como poderemos perceber pelos papis do Auditor detalhados na tabela, o modo de
exercer a Auditoria (como?) e os objectos alvo da Auditoria (o qu?) foram evoluindo ao longo
das 4 Eras, desde a Era da Inspeco, passando pela Era do Controlo, pela presente Era do
Risco e pela prxima Era da Auditoria Contnua.
- 22 -
A ERA DA
AUDITORIA:
O PAPEL DO AUDITOR:
A Auditoria
baseada na
Inspeco
A Auditoria
baseada no
Controlo
A Auditoria
baseada no
Risco
Auditores focados na mitigao dos riscos verificando a definio e a execuo dos controlos ao nvel das
entidades e dos processos de negcio.
Auditores no assumem partida que os controlos implementados so os mais adequados.
Auditores encaram o risco de forma holstica, muito para alm dos riscos associados aos financeiros
(passam a incluir, por exemplo, os riscos associados aos Sistemas e Tecnologias de Informao.)
Auditores perante legislaes com reportings exigentes e abrangentes (ex: Sabarnes-Oxley).
Auditores perante elevado ritmo de mudana do negcio e Tecnologias cada vez mais complexas.
Auditores efectuam mais Auditorias aos Sistemas e Tecnologias que resultam em findings muito
tcnicos, dificultando a sua compreenso e necessria aco por parte da Gesto da organizao.
Auditores lidam com activos intangveis que representam maior proporo do valor da empresa.
Factores que
potenciam a
evoluo:
A Auditoria
Contnua
(no futuro
prximo)
Auditores obrigados a providenciarem relatrios de conformidade de forma independente mas cada vez
mais rpida e contnua.
Auditores obrigados a desenvolverem e implementarem sistemas de monitorizao que permitam um
contnuo risk assessment e consequente actualizao do plano e das prioritizaes das Auditorias.
Auditores obrigados a detectarem e a reportarem aos Comits de Auditoria e aos Accionistas de forma
quase imediata as violaes ou quebras nos controlos.
Auditores obrigados a acompanharem o elevado ritmo de mudana nos negcios, que tornam os risk
assessments com periodicidade apenas anual inadequados no tempo e rapidamente obsoletos.
Auditores necessitam de compreender os crescentes riscos associados Informao e aos Sistemas e
Tecnologias de Informao e Comunicao.
Auditores recorrem contratao de especialistas externos em Tecnologias.
Auditores intensificam o uso das IT audit tools and techniques.
Auditores necessitam de adaptar os risk assessments para incorporar os riscos associados aos Sistemas
que gerem activos intangveis: Customer Relationship, Human Capital, Brand Management, Knowledge
Capital, etc.
Auditores necessitam de compreender e consolidar os inputs de vrias iniciativas na organizao que
efectuam risk assessments:: Internal Audit, Internal Control & Compliance, Enterprise-Wide Risk
- 23 -
No dispensando uma leitura mais atenta dos contedos da tabela anterior, poderemos
identificar, desde j, uma ideia chave: o papel do Auditor tem evoludo e de forma positiva.
Partindo de um Auditor preocupado com o passado (Era da Inspeco), passou-se para um
Auditor preocupado com o presente (Era do Controlo), agora preocupado com o futuro (Era
do Risco) e, cada vez mais, preocupado de forma permanente (Era da Auditoria Contnua).
Destacam-se alguns factores que tm potenciado a evoluo para esta Era, como sejam o
crescente ritmo de mudana dos negcios, das Tecnologias e dos SI, com uma consequente
maior proporo dos activos intangveis nas organizaes (incluindo a Informao e o
conhecimento Humano). Paralelamente, so cada vez mais abrangentes as exigncias de
Informao pblica, favorecidas por fenmenos como o Sarbanes-Oxley Act, publicado em 2002
pela entidade reguladora do mercado financeiro dos EUA. Esta legislao para empresas
cotadas, tem impacto nas Auditoria Financeiras, mas tambm nas Auditorias Operacionais e de
SI pois regula os registos financeiros, define tipos de Informao que tm de ser guardados e por
quanto tempo, tem implicaes no planeamento e na capacidade de armazenamento de dados,
etc. Por outro lado, esta legislao surgiu na sequncia de uma srie de incidentes com a
Informao financeira de algumas grandes empresas nos EUA, o que levou inclusivamente
extino/separao das empresas de Consultoria das empresas de Auditoria (como por exemplo
a Arthur Andersen ), no sentido de garantir maior independncia para a funo Auditoria.
2.3
O PARADIGMA ACTUAL
DA
FUNO AUDITORIA
Nesta seco efectuada uma explorao de trs dos principais factores caracterizadores do
paradigma actual da funo.
2.3.1 V I S O H O L S T I C A
Nos EUA, em 1987, uma comisso patrocinada por 5 grandes organizaes relacionadas com a
contabilidade e a Auditoria, conhecida como COSO - Commmittee of Sponsoring Organizations,
elaborou o chamado Treadway Comission Report que concluiu que uma funo de Auditoria
Interna deveria existir em todas as empresas pblicas e que deveria existir um Comit de
Auditoria Corporativo, constitudo por administradores/directores com funes no executivas
(para garantir independncia). Este relatrio foi considerado um marco e contribuiu
decisivamente para:
Dos trs pontos atrs indicados, destacamos, por agora, o segundo relativo viso holstica da
Auditoria. O terceiro ponto, relativo abordagem ao risco, est tambm muito relacionado com o
segundo, pelo que mais frente ser devidamente desenvolvido.
A figura seguinte habitualmente conhecida como o Cubo COSO (COSOs framework), sendo
apresentada a sua verso mais recente (IIA, 2007b). A verso original (Internal Control
Framework) possua 5x3x4 dimenses mas a verso actual (Risk Management Framework)
possui 8x4x4. Verificou-se uma expanso com a introduo de mais linhas e mais colunas nas
faces frontal e superior do cubo, sendo que a face lateral manteve-se mas passou a ser menos
- 25 -
Embora este modelo estruturado (framework) tenha sido pensado genericamente para
actividades de Gesto de Risco, devido ao facto da Auditoria ter adoptado uma abordagem
baseada no risco, possui conceitos essenciais a ser considerados pelas actividades de Auditoria.
De acordo com este modelo (IIA, 2007b), na face do topo do cubo, encontrmos as 4 categorias
de objectivos que a gesto da organizao define e que a Auditoria deve abordar: os Estratgicos
(alto nvel, alinhados com a misso e a viso); os Operacionais (uso eficaz e eficiente dos
recursos); os de Relato (fiabilidade dos relatrios); e os de Conformidade (com as leis e
regulamentos).
A Auditoria dever verificar que os objectivos atrs enunciados esto integrados em todos os
processos de gesto da organizao. Na face frontal do cubo, esto indicados 8 componentes
que se interrelacionam e que a Auditoria deve considerar: a Envolvente Interna (estabelecimento
- 26 -
de uma cultura e nvel de risco desejado); a Definio de Objectivos (considerar o nvel de risco
nos objectivos); a Identificao de Ocorrncias (internas ou externas que representem um risco
ou uma oportunidade para a organizao); a Avaliao do Risco (qualificao e quantificao da
probabilidade e do impacto dos riscos); a Resposta ao Risco (escolher a forma de mitigar o risco
e definir aces de resposta); as Actividades de Controlo (controlar a execuo e eficcia das
aces de reposta ao risco); a Informao e Comunicao (atempada e abrangente, para
garantir que os papeis e responsabilidades de gesto dos riscos so executados eficazmente); e
a Monitorizao (monitorizao contnua dos riscos face s mudanas).
Por fim, a Auditoria pode trabalhar em diferentes nveis organizacionais, tal como visvel na
face lateral do cubo: nvel da Entidade (por ex. empresa/holding); nvel da Diviso (por ex.
departamentos); nvel da Unidade de Negcio (por ex. tipos de negcio); e nvel da Subsidiria
(por ex. empresas/sub-holdings).
A viso holstica anteriormente apresentada para a Auditoria em geral pode ser transposta para
as especificidades da Auditoria de SI. O Global Technology Audit Guide IT Controls do (IIA,
2005a) apresenta uma aplicao do modelo COSO (verso Internal Controls) para os SI.
2.3.2 A U D I T O R I A
BASEADA NO
RISCO
Um estudo efectuado por (McNamee and Selim, 1998), intitulado Risk Management: Changing
Embora as respostas das organizaes aos riscos sejam especficas ao sector em que actuam,
podemos dizer que elas devem passar, hoje em dia, por usar e relacionar conjuntamente dois
instrumentos de Governo das Sociedades (Corporate Governance): a Auditoria e a Gesto de
Risco.
Ainda segundo (McNamee and Selim, 1998), estes dois instrumentos atrs mencionados tm
evoludo em conjunto, beneficiado da crescente importncia que o tema dos riscos globais de
- 28 -
negcio tem assumido no domnio do Governo das Sociedades (Corporate Governance). Neste
contexto, a natureza do conceito de risco tm-se tornado mais alargada, ao ponto do
planeamento anual das Auditorias estar cada vez mais relacionado com o planeamento anual
dos negcios, sendo os factores de ligao entre aqueles dois planos os riscos que so
considerados estratgicos para o negcio. Ao garantirmos a ligao entre aqueles dois planos
anuais, estamos a garantir que os riscos presentes (no os passados) so analisados e, por
consequncia, que se est a obter valor acrescentado dos processos de Auditoria, alterando o
seu foco do passado em direco ao presente e ao futuro. Contrariamente ao que acontecia
quando o Auditor se confinava verificao dos detalhes dos controlos das transaces
passadas, neste novo paradigma quando o Auditor se foca nos riscos das transaces presentes
e futuras, ele est a trabalhar a um nvel superior ao detalhe e a identificar obstculos que
impedem a organizao de atingir os objectivos.
No poderamos terminar as referncias a este estudo sem alertar para o facto da evoluo de
paradigma implicar tambm uma evoluo ao nvel das competncias que o Auditor deve
possuir. O Auditor especializado na verificao de controlos pode no ter a experincia
necessria identificao de todos os riscos relevantes. Um Auditor compatvel com o novo
paradigma necessita de competncias com cariz mais estratgico, como sejam, por exemplo, a
viso, o planeamento e a comunicao. Por outro lado, o Auditor deve afastar-se duma
perspectiva meramente financeira para uma perspectiva mais abrangente e de gesto. Esta
posio est alinhada com a seguinte afirmao de (Cangemi, 2003):
The main objective of the Internal Audit function has moved from that of fraud detection to
A avaliao dos riscos (risk assessment) precisamente uma das primeiras etapas que se
aconselha no contexto deste paradigma de Auditoria ou pode, tambm, ser uma das fases dos
chamados Ciclos de Gesto de Risco. Na figura seguinte, apresenta-se uma possvel abordagem
para um Ciclo de Gesto de Risco aplicado aos SI. As 5 fases, sequenciais e cclicas, esto
representadas no grfico circular na parte inferior da figura. Cada uma destas fases constituda
por um conjunto de actividades que esto decompostas e mapeadas na figura.
- 29 -
Nesta metodologia apresentada por (Davis, Schillerand and Wheeler, 2007) a avaliao dos
riscos inicia-se com as duas fases em que se identificam os activos de Informao (Fase 1) e se
quantificam e qualificam as ameaas (Fase 2) e completa-se com a anlise de vulnerabilidades
(Fase 3). Aps a avaliao, h que focar na mitigao dos riscos associados s falhas com maior
vulnerabilidade, atravs de actividades do controlo correco das falhas (Fase 4) e da gesto
contnua do risco (Fase 5).
- 30 -
Para cada uma das fases deste Ciclo de Gesto de Risco, iremos destacar algumas das
actividades e respectivos conceitos que podero/devero ser considerados e aplicados numa
Auditoria de SI baseada no risco.
No controlo correco das falhas (Fase 4), procede-se escolha dos controlos (deciso de
negcio baseada numa relao custo/benefcio), sua implementao (nos processos de
Informao e nos SI), sua validao (por exemplo, atravs de Auditorias peridicas aos SI) e,
por fim, recalculam-se as classificaes de risco (ratings) tendo em conta o risco residual (ou
seja, o risco que resta aps a sua mitigao com a implementao dos controlos).
A gesto contnua do risco (Fase 5) traduz-se pela criao de um referencial de risco (risk
Como resumo, poderemos dizer que a Gesto dos Riscos dever, no mnimo, passar por 3
etapas fundamentais: a avaliao dos riscos (risk assessment) que agrega as Fase 1, 2 e 3; o
controlo dos riscos (risk controlling) que corresponde Fase 4; e a monitorizao dos riscos (risk
Nesta ltima fase, numa perspectiva de gesto contnua dos riscos, inclui-se ainda o despoletar
da repetio peridica de todo o ciclo, o que equivale a dizer que estamos perante uma soluo
de melhoria contnua.
- 32 -
2.3.3 S O L U E S
DE
MELHORIA CONTNUA
Para formalizar esta ideia atravs de um referencial terico e, com base neste, aplicarmos um
exemplo relativo a uma Auditoria de SI, recorreu-se seguinte representao da autoria de
(Karapetrovic and Willborn, 2001). Em resumo, esta demonstra-nos como uma srie de
Auditorias que sejam interdependentes potenciam a implementao de aces preventivas que,
por sua vez, podem acelerar a melhoria, tornando-a tambm num processo contnuo.
Imaginemos que uma determinada Auditoria a um Sistema deve ser executada com uma
periodicidade definida e realizada por referncia a uma norma fixa (standard), ou seja, um
critrio de Auditoria fixo (Audit Criteria). No momento da primeira Auditoria (Audit i), o Sistema
auditado tem um nvel de conformidade com a norma representado pelo ponto A (grfico do lado
esquerdo da Figura). Aps a Auditoria, atravs da implementao de medidas correctivas, o nvel
de conformidade sobre para B. Devido ao passar do tempo e com o uso, desce posteriormente
para o nvel C no momento em que se executa a segunda Auditoria (Audit i+1). Na sequncia
desta, atravs da implementao de medidas preventivas, o nvel de conformidade sobe
finalmente para D, atingindo o nvel objectivo requerido pela norma. Imaginemos agora um
exemplo similar mas em que as Auditorias no so independentes, nem de periodicidade fixa,
sendo sim inter-dependentes e executadas de acordo com uma escala de prioridades, definida
em funo do desvio face ao nvel de conformidade desejado (grfico do lado direito da Figura).
Neste caso, ser expectvel que o intervalo de tempo entre a primeira Auditoria (Audit i) e a
segunda (Audit i+1) seja mais curto, pois a segunda Auditoria no efectuada passado um
perodo de tempo fixo e pr-definido (x meses), mas sim em funo de uma prioritizao de
situaes de maior risco e, consequentemente, com maiores necessidades de melhoria. Estas
so identificadas atravs dum processo contnuo de monitorizao do nvel de implementao
das aces correctivas recomendadas na primeira Auditoria. Quando se identifica que ainda no
atingiram o nvel de melhoria desejvel, a segunda Auditoria (Audit i+1) acaba por ser
despoletada mais cedo e, em resultado desta, o sistema atingir o nvel de conformidade
desejado no ponto D tambm mais rapidamente. Por outro lado, em vez de usarmos a mesma
norma fixa ao longo do tempo, devemos introduzir normas mais exigentes (ou novas partes
destas) a partir do ponto D. Isto , se definirmos novos critrios e objectivos de Auditoria sempre
que tivermos atingido um objectivo de conformidade anterior, estaremos a potenciar a
elaborao de novas recomendaes de aces preventivas (no s reactivas) e a consequente
implementao de solues de melhoria contnua.
Conclui-se que cada auditoria seguinte (Audit n+1) dever ser funo das auditorias anteriores e
t-las em considerao. Uma postura dinmica e adaptativa que promove continuamente a
elevao dos referenciais (Audit Criteria) ser certamente facilitada se entendermos cada
Auditoria como fazendo parte de um Sistema de Auditorias.
- 34 -
2.4
ABORDAGENS SISTMICAS
DA
AUDITORIA
2.4.1 A A U D I T O R I A
ENQUANTO UM
SISTEMA
DA
ORGANIZAO
Uma abordagem sistmica utilizada por (Karapetrovic and Willborn, 2001) para explicar a
existncia de uma Hierarquia de Sistemas de Auditoria, com relaes distribudas por 3 nveis:
1 Sistema de Gesto; 2 Sistema de Auditoria; 3 Auditorias Individuais.
- 35 -
Comeando pelo topo, pelo primeiro nvel, estes dois autores defendem que o Sistema de
Gesto um todo constitudo por vrios elementos que podem eles prprios tambm ser
Sistemas. Estes constituem Sub-Sistemas que tm objectivos especficos relacionados com o
objectivo global do Sistema de Gesto. Prosseguindo para o segundo nvel, e efectuando um
raciocnio semelhante, esta abordagem afirma que ao Sistema de Auditoria que est atribudo
o objectivo especfico de avaliar e analisar o Sistema de Gesto no que diz respeito sua
capacidade de atingir os objectivos e ao seu cumprimento de regras (compliance, benchmarks,
standards). Uma organizao pode ter este Sistema de Auditoria focado em determinados tipos
de Auditoria (por ex. Auditoria da Qualidade, Auditoria do Ambiente) ou ser mais abrangente (por
ex. Auditoria de Processos de Negcio). Entrmos no terceiro nvel, as Auditorias Individuais,
quando nos referimos aos vrios processos inter-relacionados que constituem uma Auditoria,
como sejam planeamento da Auditoria, alocao de recursos, execuo da Auditoria, relato de
resultados, etc.
O Auditor deve compreender que necessria uma abordagem sistmica que relaciona todos os
processos, actividades e decises numa Auditoria. O processo de Auditoria constitudo por uma
srie de actividades inter-relacionadas. S utilizando esta abordagem sistmica, o Auditor ser
capaz de focar com uma viso global (big picture). Assim, o Auditor contribuir positivamente
para um desempenho superior da Auditoria e para uma melhoria das suas prprias
competncias (este ltimo aspecto ser mais frente explorado no captulo referente ao Modelo
Funcional).
De um modo similar, a organizao como um todo tambm beneficiar se optar por um modelo
sistmico de Auditoria, em que os diferentes tipos de Auditoria (da Qualidade, do Ambiente, de
Processos de Negcio, de Sistemas, etc.) esto integrados e, de preferncia, so simultneos e
executados sob orientao de uma mesma entidade interna (exemplo: Departamento de
Auditoria Interna) ou externa (exemplo: empresas de consultoria especializada). Socorrendo-nos
da lgica do modelo apresentado na figura anterior, deste modo consegue-se relacionar o Plano
- 36 -
do Sistema de Auditorias (2 nvel) com cada uma das Auditorias Individuais (3 nvel). Por outro
lado, pode ser uma forma eficaz de integrar o nmero crescente e a diversidade de Auditorias
obrigatrias (exemplo: Sarbanes-Oxley) a que as organizaes esto sujeitas hoje em dia,
especialmente as Auditorias aos Sistemas de Gesto (1 nvel).
2.4.2 A A U D I T O R I A
INSERIDA NUM
MODELO
DE
SISTEMAS VIVEIS
DA
ORGANIZAO
Utilizar-se- aqui a perspectiva do Modelo de Sistemas Viveis de Stafford Beer para extrapolar o
papel da Auditoria enquanto funo de controlo e monitorizao da eficincia de uma
organizao em que est inserida. De acordo com a interpretao deste modelo efectuada por
(Carvalho, 1998), o modelo considera cinco funes essenciais para uma organizao ser vista
como um Sistema que autnomo (existncia independente) e vivel (capacidade de
adaptao s alteraes no ambiente). Na figura seguinte representam-se os cinco requisitos de
viabilidade que se traduzem em cinco Sub-Sistemas:
1. Operaes (unidades produtivas/operacionais que implementam produtos e servios);
2. Coordenao (actividades de deciso sobre recursos e interaco com a Direco/Gesto);
3. Controlo e Monitorizao (anlise dos Sub-Sistemas 1.Operaes, internos organizao);
4. Intelligence (anlise da envolvente da organizao);
5. Poltica (actividades de deciso relacionadas com a poltica e a misso da organizao).
Segundo este modelo, um sistema vivel tem uma estrutura recursiva, pois um sistema possui
outros sistemas viveis, que por sua vez possuem outros sistemas viveis e assim
sucessivamente. A viabilidade requer autonomia e capacidade de resoluo de problemas e
depende da estrutura do sistema. A estrutura deve ser entendida como uma rede de interaces
entre unidades organizacionais. Esta estrutura possibilita a comunicao atravs da qual obtido
o conhecimento necessrio para a aco. Todos estes conceitos referidos (autonomia, resoluo
de problemas, interaces, unidades, comunicao, conhecimento, aco, etc.) so
habitualmente parte integrante de um processo de Auditoria que se caracteriza por ser
independente, mas que tambm comunica e interage com as unidades organizacionais, produz
conhecimento sobre os problemas dessas unidades organizacionais e culmina em planos de
aces cujo objectivo melhorar a eficincia da organizao.
Neste contexto, interessa-nos centrar nos dois Sub-Sistemas que, segundo o referido autor, so:
Sub-System 3 (and 3*) Control (and Monitoring): capture and analysis of information about
Encerra-se o presente captulo com esta apresentao de duas abordagens sistmicas que
ajudam a entender a Auditoria como um Sistema, inserida num modelo de Sistemas que
constituem uma organizao.
Aps se ter igualmente efectuado uma definio dos conceitos associados Auditoria de SI, um
resumo da evoluo da funo e uma explorao de trs dos principais factores caracterizadores
do paradigma actual da funo, no captulo seguinte apresentar-se- uma proposta de modelo
para estruturar a funo Auditoria de SI numa organizao.
- 39 -
O captulo que agora se inicia tem por objectivo propor um Modelo Funcional, ou seja, um
conjunto de ideias estruturadas e sequenciadas sobre a funo Auditoria de SI. Este modelo
resulta do somatrio de vrios contributos, correspondendo s diversas dimenses que
compem a Auditoria de SI e que sero apresentadas ao longo deste captulo.
3.1
OS OBJECTIVOS
DA
FUNO
3.1.1 A M I S S O
DA
AUDITORIA
DE
SI
Como se percebe, a misso deve ser uma descrio relativamente breve mas bastante clara no
seu propsito. Contrariamente ao que acontece com outras temticas relativas Auditoria de SI,
as referncias bibliogrficas especficas sobre a sua misso nem sempre so claras, sendo mais
difceis de identificar. No entanto, encontrou-se numa recente obra de (Davis, Schillerand and
Wheeler, 2007) um conjunto expressivo de contributos sobre a misso da Auditoria de SI. Estes
contributos formalizam as tendncias mais actuais sobre o que deve ser a misso de um
departamento de Auditoria, colocando em causa algumas das posies mais conservadoras
sobre a independncia da funo (as questes da independncia sero tratadas na prxima
seco).
- 41 -
Os referidos autores vo ainda mais longe quando advogam que a Auditoria s trar verdadeiro
valor com a sua actividade se os problemas reportados no forem j do conhecimento dos
responsveis da organizao e se a sua resoluo no estiver j planeada anteriormente
Auditoria. Esta ltima posio mais radical, mas o importante a reter a capacidade da
Auditoria de SI em identificar os problemas e potenciar a sua resoluo.
Esta posio considera que, para a Auditoria de SI ser eficaz, no sua misso ser uma funo
de policiamento, mas sim uma funo de parceria com a restante organizao. Idealmente,
dever-se- cultivar uma atitude de colaborao e de cooperao, tratando as reas de SI, no
como auditados, mas sim como clientes internos aos quais se deve apresentar um conjunto de
preocupaes (findings) de forma aberta e positiva e com os quais devem ser identificadas
aces de melhoria.
No ponto de vista do (IIA, 2005a), a Auditoria de SI deve avaliar a capacidade dos controlos de
SI para protegerem a organizao contra as ameaas mais importantes e deve fornecer
evidncia de que os riscos residuais so pouco provveis de causar danos significativos
organizao e s suas partes interessadas (stakeholders).
- 42 -
Como se v, esta ltima preposio, para alm de incorporar a ideia do risco, est muito
dependente do conceito de controlo de SI. No entanto, o IIA esclarece a posio da Auditoria
quanto aos controlos de SI:
It is not necessary to know everything about IT controls.
Esta afirmao justificvel na medida em que o IIA entende que devem existir dois tipos de
garantias sobre os SI, com responsabilidades distintas. Em primeiro lugar, a garantia primria
deve provir dos mecanismos de controlo interno, sendo responsabilidade dos Gestores de SI
implementar esses controlos que devem ser contnuos e fornecer evidncia rastrevel. Em
segundo lugar, vem a garantia secundria, fornecida pelos Auditores de SI, avaliando os
controlos de forma independente e objectiva. Neste contexto, podemos detalhar a misso da
Auditoria de SI como sendo uma garantia baseada no conhecimento, exame e avaliao dos
controlos chave relacionados com os riscos que esses controlos pretendem gerir, bem como
baseada na execuo de testes suficientes para garantir que esses controlos esto
apropriadamente desenhados e que funcionam de forma eficaz e continua.
Segundo esta viso, nem os controlos de SI, nem a Auditoria de SI funcionam por si s,
complementam-se. O propsito da Auditoria de SI atestar a validade dos controlos de SI e
emitir opinio sobre o seu valor para a organizao. Neste contexto, necessria uma relao
prxima da Auditoria de SI com a Gesto dos SI, a todos os nveis da organizao. O modo como
essa relao mantida deve acautelar alguns princpios de independncia que desenvolveremos
de seguida.
3.1.2 A I N D E P E N D N C I A
DA
AUDITORIA
DE
SI
A (ISACA, 2005) atribui grande relevo independncia dos Auditores de SI uma vez que nos
seus IS Standards, Guidelines and Procedures for Auditing and Control Professionals, a norma
relativa independncia da funo a nmero 2 (S2 Independence), logo a seguir primeira
- 43 -
norma que define o propsito da funo (S1 - Audit Charter). A norma caracteriza a
independncia do seguinte modo que integralmente se transcreve:
In all matters related to the audit, the IS auditor should be independent of the auditee in both
attitude and appearance. The IS audit function should be independent of the area or activity
being reviewed to permit objective completion of the audit assignment.
Com um raciocnio idntico, o (IIA, 2005b) traa uma linha que define a independncia da
Auditoria de SI face Gesto dos SI no que diz respeito responsabilidade sobre os controlos.
Os Auditores de SI devem limitar-se a efectuar uma avaliao para garantir a adequao dos
mecanismos de controlo e de gesto do risco dos SI, sendo estes mecanismos da
responsabilidade dos Gestores de SI. No objectivo da funo Auditoria de SI fazer parte
integrante, nem desenhar ou manter correntemente estes mecanismos, preservando assim a
sua objectividade e independncia.
Uma posio menos conservadora defendida por (Davis, Schillerand and Wheeler, 2007), alis
de acordo com as suas ideias sobre a misso da Auditoria de SI. Como frequentemente existe
um duplo reporte da funo Auditoria, no s ao Comit de Auditoria, mas tambm Gesto de
- 45 -
A Auditoria de SI pode tambm ter como objectivo actividades de consultoria interna destinadas
Gesto dos SI, dando contributos sobre o modo como os controlos de SI devem ser
desenhados, mas no devendo executar esses controlos. Caso se venha a realizar uma Auditoria
subsequente aos SI que foram alvo de consultoria, o Auditor de SI trar mais valia organizao
pois detm um conhecimento nico sobre aquilo que est a auditar. A sua independncia no
ficar comprometida se o trabalho de consultoria tiver sido executado com objectividade.
Os referidos autores consideram que para caracterizar um Auditor de SI, hoje em dia,
independncia no a palavra mais acertada, mas sim objectividade! Em suma, o objectivo da
funo Auditoria de SI a melhoria da qualidade dos controlos de SI da organizao.
Conclui-se este espao dedicado aos objectivos da funo Auditoria de SI informando que os
conceitos sobre a misso da funo e as suas relaes de (in)dependncia com a restante
organizao ficaro mais perceptveis e consolidados ao longo das prximas seces. Nestas,
teremos oportunidade de compreender o modo como a funo deve estar organizada, enquanto
um processo de negcio com um propsito especfico (3.2.1), e como se tenta posicionar de
forma independente face restante organizao (3.2.2). Por outro lado, as vises apresentadas
sobre os controlos de SI enquanto objectos da Auditoria ficaro mais perceptveis com a
identificao do mbito da Auditoria de SI, nomeadamente com a definio do seu universo de
actuao (3.3.1) e com a descrio dos nveis, dimenses e tipos de controlo de SI que podem
estar sujeitos Auditoria de SI (3.3.2).
- 46 -
3.2
A ORGANIZAO
DA
FUNO
Esta seco, relativa organizao da funo Auditoria de SI, ser fortemente baseada num
conjunto de contributos do autor da presente investigao, em que se tentar responder s
seguintes questes:
3.2.1 A S F U N E S
DE
GESTO
DE
SI
AUDITORIA
DE
SI
COMO
PROCESSOS
DE
NEGCIO
Para entender de que modo a Gesto de SI e a Auditoria de SI podem ser encaradas como
sendo processos de negcio, comearemos por analisar a seguinte representao grfica.
De acordo com as entidades autoras (APQC and AA, 1996), este modelo estruturado tem os
seguintes principais propsitos:
The Process Classification Framework seeks to represent major processes and subprocesses,
not functions, through its structure and vocabulary. () The intent has been to create a highlevel, generic enterprise model that will encourage businesses and other organizations to see
their activities from a cross-industry process viewpoint instead of a narrow functional viewpoint.
Uma das ideias base presentes nesta afirmao e que merece ser comentada o facto do
modelo representar processos de negcio e no funes de negcio (estas ltimas no sentido de
departamentos ou reas de negcio). Esta viso foi relativamente inovadora na altura em que foi
originalmente lanada, pois descola de uma viso de silos funcionais ou departamentais (viso
redutora e limitada pelo organograma organizacional). A viso de processos torna-se importante
na medida em que permite s organizaes terem uma percepo das actividades ao longo da
sua cadeia de valor de produo de produtos ou de disponibilizao de servios.
- 48 -
exemplo a adaptar (na seco 3.4 desenvolveremos os modelos estruturados que se adequam
Gesto dos SI e Auditoria de SI).
Neste contexto, podemos encaixar os processos de Gesto dos SI como sendo processos dentro
dos da Gesto da Informao (9. Manage Information) e os de Auditoria dentro dos da Gesto da
Melhoria e da Mudana (13. Manage Improvement and Change).
O modelo originalmente proposto pelas (APQC and AA, 1996) prev inclusivamente um processo
que tem algumas semelhanas com os objectivos da Auditoria de SI mas que no to
abrangente (9.8. Evaluate and audit information quality). No entanto, para alm de redutor da
misso da Auditoria de SI, considermos no estar devidamente localizado pois est debaixo do
domnio dos processos de Gesto da Informao, no garantindo a necessria independncia
enquanto processo de Auditoria. Deste modo, considera-se que a soluo de os localizar debaixo
dos processos de Gesto da Melhoria e da Mudana mais adequada, tendo em conta os
processos e sub-processos que o modelo estruturado a prev (exemplos: desempenho
organizacional, avaliaes de qualidade, melhoria de processos e sistemas, etc.).
Aproveitmos para analisar aqui a classificao dos processos como sendo operacionais ou de
gesto ou suporte. Utilizando conceitos geralmente aceites no domnio da gesto empresarial,
podemos dizer simplificadamente que so processos operacionais os que contribuem
directamente para a cadeia de valor de produo de produtos ou de disponibilizao de servios.
Um outro critrio para classificar como operacional pode ser a sua especificidade, no sentido de
serem processos que criam valor e trazem vantagem competitiva organizao pois so
processos distintivos face a outros tipos de negcios, habitualmente tambm designados por
processos centrais (core processes). Os processos de suporte (tambm aqui designados de
processos de gesto) so relativos a processos que no so diferenciadores da actividade da
organizao pois podem ser encontrados em muitas outras organizaes (exemplos: processos
de gesto de recursos financeiros, recursos fsicos, recursos humanos, etc.). Parte destes
processos podem at ser alvo de externalizao (outsourcing), sintoma de que podero no ser
processos operacionais centrais para a organizao. Tomando por base estes conceitos,
relativamente pacfico considerar a Auditoria de SI como um processo de suporte. J no caso da
Gesto dos SI essa classificao pode no ser to consensual pois, hoje em dia, existem
algumas organizaes cujos seus processos operacionais de disponibilizao de servios esto
- 49 -
directamente e fortemente baseados na utilizao intensiva de SI e de TIC. Estas so, muitas das
vezes, tecnologias especficas ou proprietrias para determinados tipos de negcio (exemplos:
sectores de telecomunicaes, de integrao de sistemas, da banca electrnica, etc.). Assim
sendo, poder-se-o classificar alguns tipos de processos de SI como sendo processos
operacionais e no processos de suporte.
No fundo, a ideia fundamental que se pretende transmitir que a gesto dos recursos
associados Informao, tais como os SI e as TIC, deve ser encarada como um processo de
negcio. Em consequncia, os processos de SI devem ser alvo de Auditoria, semelhana dos
restantes processos de negcio, sendo precisamente a Auditoria de SI o processo mais indicado
para o fazer. Por seu lado, a Auditoria tambm um processo de suporte ao negcio, devendo
ela prpria estar tambm sujeita a Auditorias peridicas, de preferncia realizadas por entidades
externas independentes. Como corolrio adicional, daqui se deduz tambm a importncia de,
tanto a Gesto dos SI, como a Auditoria de SI, compreenderem bem os restantes processos de
negcio e as suas necessidades. Na seco seguinte ser apresentado o posicionamento da
Auditoria de SI e as suas relaes com a Gesto dos SI e os restantes processos de negcio.
3.2.2 O P O S I C I O N A M E N T O
DA
FUNO AUDITORIA
DE
SI
A prxima figura representa e sistematiza a viso do autor deste trabalho de investigao sobre o
modo como a funo Auditoria de SI se deve posicionar no contexto de um departamento de
Auditoria e como deve reportar aos rgos de governo da organizao.
Comecemos por analisar este ltimo ponto do reporte organizativo. A funo de Auditoria de SI
deve reportar ao responsvel do departamento de Auditoria e Gesto de Risco. Por sua vez, este
dever reportar ao Comit de Auditoria e Gesto de Risco e, por via deste, ao responsvel
mximo da organizao que o CEO (Chief Executive Officer). Note-se que o modelo de reporte
aqui defendido difere ligeiramente face maior parte das organizaes em que a Auditoria e
Gesto de Risco reporta ao CFO (Chief Financial Officer) ou, nalguns casos, directamente ao
CEO. No sentido de garantir maior coerncia com a abrangncia das funes de Auditoria e
Gesto de Risco, defende-se um reporte ao CEO e no ao CIO. No sentido de garantir um maior
- 50 -
grau de independncia, defende-se que o reporte ao CEO seja no mbito das suas
responsabilidades de superviso no Comit de Auditoria e Gesto de Risco e no directamente
no mbito das suas funes executivas na Gesto de Topo da organizao (Conselho de
Administrao / Comisso Executiva). Para alm disso, o referido Comit pode ser entendido
como uma ltima instncia qual o departamento de Auditoria e Gesto de Risco pode recorrer,
em eventuais situaes em que os gestores da organizao no se mostram disponveis para
colaborar.
- 51 -
Apresenta-se agora para apresentar o entendimento do (IIA, 2005b) sobre os papis de cada um
dos trs elementos de governo da organizao referidos, em especfico quanto s suas
responsabilidades sobre os riscos e controlos dos SI.
CEO (Chief Executive Officer) O responsvel mximo pelo controlo geral da estratgia e
da operacionalidade da organizao deve considerar os SI em mltiplos aspectos,
nomeadamente:
CIO (Chief Information Officer) Tem a responsabilidade global na organizao sobre todos
os SI e sobre os seus controlos, devendo:
Compreender as necessidades e alteraes do negcio que exijam novos SI.
Explorar e seleccionar a introduo de novas tecnologias relevantes para a organizao.
- 52 -
Desenvolver uma parceria com os gestores dos restantes processos de negcio para
assegurar alinhamento com a estratgia, assegurar a conformidade e gerir os riscos no
que diz respeito aos SI.
Efectuar a medio do desempenho operacional dos SI como suporte aos objectivos do
negcio.
Planear e controlar os recursos de SI.
Desenhar e manter um sistema de controlo interno nos SI, sendo o seu mximo
responsvel.
Assegurar que os SI esto a fornecer os servios e a suportar os utilizadores internos e
os clientes finais, proporcionando os meios necessrios para que possa ser verificado
pela Auditoria de SI.
Permitir adequados nveis de formao aos recursos humanos de SI para que
mantenham as competncias e os conhecimentos actualizados.
No que diz respeito ao posicionamento da funo Auditoria de SI, no contexto de um
departamento de Auditoria e Gesto de Risco, defende-se que coexista com as funes de
Auditoria de Processos de Negcio (funo semelhante) e de Gesto de Risco (funo
complementar). Ao nvel do departamento, podemos dizer que o objectivo auditar e gerir os
riscos de SI, tanto dos processos de negcio das unidades operacionais, como dos processos de
negcio das unidades de suporte (entre as quais a de SI).
- 53 -
Quanto ao papel da funo de Gesto de Risco, a sua explorao ser facilitada se comearmos
por analisar a seguinte citao do (IIA, 2005b):
Control and risk represent opposite sides of the same coin. Controls exist to help mitigate risk;
Independentemente das posies do IIA, de uma forma simplificada podemos dizer que a
Auditoria avalia os controlos dos processos de negcio e a Gesto de Risco ajuda os gestores
dos processos de negcio a identificar e a gerir os seus riscos. Por consequncia, poderamos
ser levados a interpretar que a Auditoria e a Gesto de Risco estariam em lados opostos, mas na
verdade so duas funes que se complementam (opposite sides of the same coin).
Existem dois factos que suportam a ideia acima apresentada sobre complementaridade das
duas funes e que j foram explorados neste texto. Por um lado, o actual paradigma de que a
Auditoria deve seguir uma abordagem baseada no risco. Por outro lado, o objectivo que
possuem de potenciar uma melhoria contnua por parte da organizao, dado que um dos
produtos resultantes do trabalho de ambas as funes a definio de aces correctivas ou de
melhoria para os processos de negcio. No fundo, existe um denominador comum s duas
funes que o risco, tendo ambas uma preocupao e um fim comum que a diminuio dos
nveis gerais de risco da organizao. Apenas a forma de atingir esse fim que difere.
- 54 -
Para completar a compreenso do posicionamento das funes na organizao, bem como das
suas diferenas de papis, sugere-se que sejam recordadas as definies de Auditoria (na
seco 2.1.1) e de Gesto de Risco (na seco 2.1.2).
A figura seguinte, proposta do autor do presente trabalho, serve para concluir e sistematizar, em
termos conceptuais, o tema do posicionamento da funo de Auditoria de SI.
Comecemos por interpretar esta representao conceptual, dizendo que o espao de actuao
da Auditoria de SI a organizao, sujeita de um modo transversal a todo o tipo de riscos. So
tambm transversais e omnipresentes, em toda a organizao, trs dos principais objectos que
so alvo da Auditoria de SI: a Informao, os Sistemas e a Tecnologia.
A seguinte afirmao do (IIA, 2005a) corrobora esta ideia de abrangncia da Gesto de Risco e
reafirma a necessidade de tratar os SI enquanto parte integrante dos processos de negcio:
Risk management applies to the entire spectrum of activity within an organization, not just to
the application of IT. IT cannot be considered in isolation, but must be treated as an integral part
of all business processes.
Dado que se considera os processos de SI como parte integrante dos processos de negcio,
ento tambm se conceptualiza a Auditoria de SI como uma parte especializada da Auditoria de
Processos de Negcio. De modo semelhante, dado que os actuais SI das organizaes so
quase todos baseados em TIC e so de difcil dissociao destas, ento a Auditoria de SI deve
tambm abranger no seu mbito a Auditoria de Tecnologias.
Uma vez entendido o posicionamento da funo Auditoria de SI, nomeadamente o seu contexto
de reporte organizacional independente e as suas relaes de semelhana e de diferena com
outras funes que tambm analisam os riscos, avanaremos de seguida para a definio do
mbito de actuao da Auditoria de SI.
- 56 -
3.3
O MBITO
DA
FUNO
De um modo muito simplista podemos dizer que pode caber no mbito da Auditoria de SI tudo
aquilo que do universo dos SI. Coloca-se, no entanto, a questo de como definir este universo
e, em seguida, a abrangncia do respectivo mbito? A presente seco trata desta problemtica.
3.3.1 A D E F I N I O
DO
UNIVERSO
DA
AUDITORIA
DE
SI
Adaptou-se a seguinte representao grfica e os conceitos do (ITGI, 2000) para nos guiar na
determinao do universo da Auditoria de SI.
=?
IT Controls !
Exploraremos agora cada um dos 3 principais factores da equao que determina o universo da
Auditoria de SI: os processos de negcio, os recursos de SI e a informao.
Quanto aos recursos de SI, e utilizando as definies do (ITGI, 2000), podemos dizer que os
seguintes recursos de SI fazem parte do universo da Auditoria dos SI:
Os Dados (Data) Consideram-se como sendo os objectos no seu sentido mais lato,
internos ou externos, estruturados ou no estruturados, grficos, sons, etc.
- 58 -
Eficincia (Efficiency) Produo de informao atravs do uso ptimo dos recursos (os
mais produtivos e econmicos).
- 59 -
Em resumo, a Auditoria de SI dever avaliar todos os controlos sobre o modo como aqueles 5
tipos de recursos de SI so usados, atravs de processos de SI, e se estes disponibilizam a
informao aos processos de negcio de acordo com os 7 critrios mencionados.
Sendo este o universo da Auditoria de SI, ser que esta consegue cobri-lo convenientemente no
seu mbito?
Para encerrar esta seco, deixa-se uma nota do (IIA, 2006) sobre a utilidade da determinao
do universo da Auditoria de SI. Os recursos de Auditoria de SI no so ilimitados e as
necessidades de auditar os SI so crescentes. Da que uma correcta definio do universo da
Auditoria de SI numa organizao seja uma base de ajuda a partir da qual se possa elaborar um
plano de Auditorias que balanceie de um modo eficaz as necessidades de auditar com as
- 60 -
3.3.2 O S N V E I S , D I M E N S E S
TIPOS
DE
CONTROLO
SUJEITOS
AUDITORIA
DE
SI
A ideia de que o mbito da Auditoria de SI pode ser global, no sentido de abrangente a todos os
nveis da organizao e em todas as dimenses dos SI, transmitida de um modo adequado
pelo seguinte modelo estruturado do (IIA, 2005a).
- 61 -
A tabela seguinte arruma estes conceitos de controlos de SI e concretiza com alguns exemplos
desses controlos, contribuindo para a percepo do que o mbito da Auditoria de SI.
TIPOS DE CONTROLOS DE SI
Controlos de
Governo
Controlos de
Gesto
Ao nvel do Governo das Sociedades, os controlos de SI pretendem garantir que uma eficaz
Gesto da Informao e dos SI enquadrada e suportada por adequadas Polticas, devendo
estas estar relacionadas com os objectivos e as estratgias da organizao. No cabe gesto
de topo da organizao efectuar a Gesto da Informao e dos SI, nem executar Auditorias
aos sues controlos, mas sim supervisionar e criar condies para que sejam executadas.
Polticas Dado que os SI so vitais para a operacionalidade de muitas organizaes,
devero existir Polticas escritas relativas a todo o mbito dos SI, devidamente aprovadas
pela gesto de topo e divulgadas por toda a organizao.
Exemplos de Polticas: nveis globais de segurana e privacidade; classificao da
Informao; distino da responsabilidade sobre os dados e os sistemas (ownership);
requisitos gerais para o plano de contingncia/ recuperao dos SI, etc.
A Gesto deve garantir que os controlos de SI necessrios ao atingimento dos objectivos da
organizao esto implementados. A Gesto deve reconhecer os riscos da organizao, os
seus processos e os activos e deve implementar diversos tipos de mecanismos para mitigar
esses riscos:
Normas As normas (standards) servem para suportar os requisitos das Polticas e
definem formas de operar na organizao, compatveis com os objectivos desta. Permitem
organizao manter a totalidade do ambiente operacional dos SI de forma mais eficiente.
Exemplos de Normas: desenvolvimento de sistemas; configurao de software;
controlo de aplicaes; estruturas de dados; documentao de SI; etc.
Organizao e Gesto Como em qualquer outra funo da organizao, o modo
como se estrutura e gere a funo SI determinante para a definio de linhas de reporte
e de responsabilizao e para uma eficaz implantao dos controlos de SI.
Exemplos de controlos de Organizao e Gesto: segregao de funes; controlo
financeiro; gesto da mudana (change management); gesto de formao; etc.
Controlos Fsicos e da Envolvente Todas os equipamentos de SI e as respectivas
infra-estruturas fsicas em que se encontram devero estar devidamente protegidos.
Exemplos de controlos Fsicos e da Envolvente: servidores localizados em centros de
dados (DataCenters); procedimentos de recuperao (disaster recovery); etc.
- 62 -
Controlos
Tcnicos
Controlos
Gerais
Controlos
Aplicacionais
Controlos
Preventivos
Controlos
Detectivos
Controlos
Correctivos
Fonte: Elaborado e compilado pelo autor a partir dos conceitos do (IIA, 2005a): Understanding IT Controls
Como podemos constatar pela tabela, o mbito da Auditoria de SI pode ser bastante abrangente.
Podem ser efectuadas Auditorias de SI de diversos tipos, desde as de mbito mais alargado
- 63 -
como as Auditorias a Controlos Gerais de SI, passando por Auditorias de Organizao e Gesto
de SI, at s mais especficas como as Auditorias Aplicacionais.
Por outro lado, as Auditorias de SI podem ter subjacente tanto uma abordagem aos processos
de SI (exemplos: configurao de software, segregao de funes, etc.), ou aos recursos de SI
(exemplos: servidores, documentao de requisitos de utilizadores, etc.) ou ainda prpria
informao (exemplos: segurana da informao, classificao da informao, etc.).
Desta diversidade do mbito depreende-se que as Auditorias de SI podem variar muito no seu
grau tcnico e no seu grau de especificidade. Note-se que este facto ter implicaes nas
competncias exigidas aos Auditores de SI, a serem ajustadas em funo dessas necessidades.
Segundo (Carneiro, 2004), existem duas grandes linhas caracterizadoras do mbito: por um
lado, a Operatividade dos SI e, por outro, os Controlos de Gesto da funo SI. pela avaliao
da Operatividade que a Auditoria de SI deve comear por se preocupar. Por Operatividade
entende-se a capacidade que a organizao possui para manter os seus SI, pelo menos num
nvel mnimo que permita o funcionamento da organizao. A Auditoria Operatividade pode
passar pela avaliao dos Controlos Tcnicos Gerais de Operatividade (exemplo: compatibilidade
entre software e hardware) e pelos Controlos Tcnicos Especficos (exemplo: configurao de
parmetros aplicacionais). Por sua vez, dever-se-o seguir as Auditorias aos Controlos de Gesto
da funo SI, verificando o cumprimento das normas existentes na funo SI e a sua coerncia e
alinhamento com a restante organizao. Este tipo de Auditorias devero comear por avaliar as
Normas Gerais dos SI (exemplo: reas de SI com lacunas de normas) e s depois avaliar os
Procedimentos Gerais dos SI (exemplo: procedimentos de backup e recuperao).
Com esta breve descrio de uma viso diferente e complementar sobre os controlos de SI,
conclui-se esta seco que se espera tenha contribudo para melhorar a percepo daquilo que
pode constituir o mbito da Auditoria de SI.
- 64 -
3.4
OS REFERENCIAIS METODOLGICOS
DA
FUNO
Esta seco aborda a adopo destes referenciais metodolgicos pelas organizaes, bem como
quais que se adequam aos nveis de controlo de SI acima referidos e, fundamentalmente,
como se podem adequar s actividades de Auditoria de SI.
3.4.1 A A D O P O
DE
REFERENCIAIS
As organizaes podem encarar o Governo dos SI (IT Governance) com uma abordagem ad-hoc,
atravs da criao dos seus prprios referenciais, baseados na experincia existente na
organizao ou, em alternativa, podem adoptar normas internacionais que foram desenvolvidas
e aperfeioadas recorrendo experincia acumulada ao longo de anos, por um conjunto
alargado de organizaes e de profissionais que se tentam posicionar na vanguarda dos SI. Esta
ltima opo apresentada e defendida por (Spafford, 2003) como sendo a mais acertada. Para
este autor, existem benefcios na adopo de referenciais pois estes tm as seguintes
caractersticas:
Para alm disso, o facto de serem estruturados permite que todas as partes interessadas nos
SI (stakeholders) tenham uma referncia que comum e que permite perceber aquilo que
podem esperar dos SI.
Ainda na linha de opinio de (Spafford, 2003), no existe uma resposta pr-determinada para a
questo: Qual o melhor referencial a seleccionar para a Gesto de SI e para a Auditoria de SI?
Mais do que seleccionar um referencial, as organizaes devem ser capazes de ter uma viso
apreciativa sobre os diversos referenciais de SI existentes e planear a implementao dum
referencial seu que combine/integre as melhores prticas de entre vrios referenciais j
existentes, garantindo compatibilidade com as necessidades da organizao.
normas base relacionadas com a segurana dos SI. Assim, o domnio da segurana deve ser o
ponto de partida de qualquer organizao para a implementao de normas de SI. No entanto,
as organizaes no se devem limitar a este tipo de normas, devendo progressivamente estendelas para outros domnios dos SI.
Neste contexto, o caminho passa por no s adoptar as normas mas tambm adapt-las e
integr-las num referencial que seja til para a organizao. Hoje em dia, os profissionais de SI
j no devero questionar a utilidade da sua adopo, mas sim o modo como fazer a correcta
adaptao.
Na adaptao correcta das normas, h que garantir que elas incorporam, pelo menos, um
conjunto mnimo de princpios de Governo dos SI que, segundo o (ITGI & OGC, 2005), passam
por:
Como podemos constatar atravs destes princpios resumidos por (ITGI & OGC, 2005), os
referenciais de SI devero garantir alinhamento com o negcio e com o Governo das Sociedades
(Corporate Governance) em geral, isto para alm dos requisitos tcnicos que so j
habitualmente considerados. Neste enquadramento, a adopo de referenciais dever permitir a
definio das responsabilidades (accountability) e dos nveis de deciso (decision rights) para os
SI. Possuir uma organizao bem definida (responsabilidades sobre SI) e os papis de cada um
- 67 -
clarificados (deciso sobre os SI) so dois objectivos de Gesto de SI que ficam facilitados
quando se utilizam referenciais de SI. Por outro lado, estes dois objectivos devero ser
encarados tambm como dois objectivos de controlo de SI, a avaliar pela Auditoria de SI.
Para (LeBlanc, 2004), deve ser efectuado um esforo para estabelecer pontos de integrao
entre alguns dos diversos referenciais de SI disponveis e determinar quais as reas de cada um
que podem ser aplicveis a cada organizao em particular.
Para ilustrar uma possvel utilizao dos referenciais, este autor evocou os conceitos do mtodo
Six Sigma. Este um mtodo estatstico de melhoria da qualidade dos processos, desenvolvido
pelo grupo Motorola, baseado numa viso de servio ao cliente. O mtodo prev 5 principais
fases: Definio (Define); Medio (Measure); Anlise (Analyse); Melhoria (Improve) e Controlo
(Control). Embora este mtodo tenha sido originalmente desenvolvido para processos de fabrico
industrial com o intuito de reduzir a produo de defeituosos, o referido autor sugere que os
conceitos podero ser transpostos para os servios de SI e TIC, implementando um programa de
melhoria contnua do servio.
actividades podero ser efectuadas periodicamente no mbito de uma Auditoria (Audit) ou serem
actividades j habituais no processo de prestao do servio. Numa fase seguinte, aps a
interpretao destes dados, devem ser identificadas medidas para Melhoria (Improve) dos
servios. O ciclo recomea no sentido inverso, numa fase de Controlo (Control), em que se
dever controlar atravs de uma Auditoria (Audit) as melhorias entretanto implementadas. Na
sequncia destas, poder fazer sentido efectuar a Definio (Define) de novas medidas de
segurana que melhorem a qualidade dos servios de SI. Deste modo, o ciclo de melhoria
contnua inverteu-se novamente e reiniciou-se, continuando sucessivamente na busca da
melhoria da qualidade dos SI.
O referido autor defende que o referencial metodolgico de SI mais adequado para a definio
das medidas de Segurana (Secure) a ISO 17799, para a Auditoria (Audit) o CobiT e para a
Melhoria (Improve) o ITIL.
3.4.2 U M A S E L E C O
DE
3 R E F E R E N C I A I S : C O B I T, ITIL
ISO 17799
Estes trs referenciais seleccionados (CobiT, ITIL e ISO 17799) so os mais mencionados pela
literatura que aborda a Auditoria de SI e so tambm os utilizados de forma mais comum pelos
profissionais de SI a nvel internacional.
Na tabela seguinte efectuada uma apresentao dos trs referenciais, comparando-os quanto a
alguns dos seus elementos caracterizadores. De seguida efectuada uma apresentao dos
respectivos modelos estruturados, acompanhada por breves comentrios.
- 69 -
COBIT
ITIL
The Information Technology Infrastructure
ISO 17799
ISO 17799 Information Technology - Code of
Nome
Entidade
Responsvel
Primeira verso
ISO/IEC 17799:2000
ltima verso
ISO/IEC 17799:2005
Verso analisada
ISO/IEC 17799:2000
Relacionados /
Antecedentes /
Subsequentes
Library
OGC The Office of Government
Commerce (UK)
Management
- Part 2 : Code of Practice for Service
Management
Espera-se que a BS 15000 se transforme
definitivamente no standard ISO/IEC
20000.
Gnese
Auditar os processos de SI
Objectivo
Governo dos SI
Gesto de Servios de SI
Foco
Segurana da Informao
Viso
Convenincia
Basilar, protector
Proficincia
Em controlos
Em processos
Em procedimentos
Destinatrios
Gestores de Topo
Gestores de SI
Auditores de SI
Gestores de Servios de SI
(Auditores de SI)
Nveis de
controlos
N1 4 domnios
N2 34 processos de controlo de
alto nvel
N3 318 actividades de controlo
detalhadas
N1 2 mdulos/livros core + 5
mdulos/livros complementares
N2 11 processos core + (n/d)
processos complementares
N3 (n/d) processos detalhados
N1 10 reas
N2 37 controlos de segurana de alto nvel
N3 127 controlos de segurana detalhados
(na verso
analisada)
Tabela 3.2 - Comparao de Elementos Caracterizadores: CobiT vs. ITIL vs. ISO 17799
Fonte: Compilado pelo autor a partir de vrias fontes, incluindo (ITGI,2000), (OGC,2004) e (BSI, 2005)
- 70 -
Pela anlise dos elementos caracterizadores apresentados na tabela anterior pode-se concluir
que de um modo geral, e salvo as situaes que sero de seguida indicadas, dos 3 referenciais
apresentados, o CobiT ser o referencial a ser aplicado preferencialmente na Auditoria de SI.
O CobiT possui uma viso de gesto dos processos de SI e privilegia o alinhamento destes
com o negcio (factores que so importantes para o paradigma defendido para a Auditoria de
SI, tal como vimos na seco 3.2.1). O ITIL tambm considera o alinhamento com o negcio
(como iremos ver mais frente), mas est focado na qualidade dos Servios de SI e possui
uma viso mais operacional, factores que o tornam mais adequado para Auditoria de SI
quando os objectos da Auditoria forem servios e no processos de SI abrangentes. O ISO
17799 ser o referencial mais adequado nos casos de auditoria informao e sua
segurana nos SI, uma vez que possui uma viso sistmica da informao.
- 71 -
De seguida ser efectuada uma breve apresentao dos modelos estruturados (frameworks) que
representam os 3 referenciais, pela ordem em que tm sido tratados (CobiT, ITIL e ISO 17799).
A principal premissa do CobiT, visvel no topo da figura, a orientao para o negcio, ou seja,
todos os processos de SI devem estar alinhados com o Governo dos SI que, por sua vez, dever
estar alinhado com os objectivos de negcio (por via do Governo das Sociedades).
- 72 -
Para providenciar a informao que o negcio necessita para atingir os seus objectivos, os
recursos de SI so geridos atravs de processos de SI. Cada um destes processos dever possui
controlos de SI subjacentes.
Cada um destes 4 domnios constitudo por um conjunto de processos de SI (34 no total) que
correspondem a objectivos de controlo de alto nvel. Por sua vez, estes processos so
constitudos por actividades de SI (318 no total) que correspondem a objectivos de controlo
detalhados.
- 73 -
O referencial ITIL toma como ponto de partida, no s a tecnologia existente, mas tambm as
necessidades do negcio ao nvel de Servios de SI (visvel na figura nos blocos mais esquerda
e mais direita). O ITIL centra-se fundamentalmente na Gesto dos Servios de SI que tem
como objectivos a produo (delivery) e o suporte (support) dos Servios de SI que sejam
adequados aos requisitos da organizao (bloco no centro da figura).
O ITIL considerado por grande parte dos Gestores de SI como sendo um conjunto coerente de
melhores prticas (guidelines) para a Gesto de Servios de SI e para a totalidade dos processos
com eles relacionados (end-to-end processes). Privilegia as seguintes abordagens: promoo da
qualidade dos Servios de SI; viso holstica da Gesto dos Servios de SI; orientao para o
negcio (cliente/utilizador); e uso eficaz/eficiente dos SI.
- 74 -
Os restantes 5 mdulos complementares do ITIL so mais latos, pois para alm da Gesto dos
Servios de SI, abordam aspectos relacionados com a definio e o desenvolvimento de
processos eficazes de SI. Os temas tratados pelos seus respectivos processos so os seguintes:
software usando uma perspectiva de ciclo de vida de desenvolvimento, com foco na rigorosa
definio dos requisitos aplicacionais em funo das necessidades do negcio.
- 75 -
No que diz respeito ao referencial ISO 17799, no existe um modelo estruturado formalmente
definido, dado no existir uma representao grfica original ( semelhana das existentes no
CobiT e no ITIL). No entanto, para facilitar a apresentao do ISO 17799, o autor da presente
- 76 -
investigao elaborou uma representao grfica bsica, adaptando a informao de duas fontes
(BSI, 2006) e (Dhillon, 2006).
O referencial ISO 17799 constitui um Cdigo de Boas Prticas para Gesto da Segurana da
Informao. Tem por objectivo a implementao de controlos de segurana da informao nas
organizaes. Deve ser encarado como uma base a partir da qual podem ser desenvolvidas
polticas de segurana e prticas de gesto da informao nas organizaes, permitindo
melhorar a sua confiana na informao.
Este referencial constitudo por 10 grandes reas que, por sua vez, se desdobram em diversos
controlos de segurana de alto nvel e controlos de segurana detalhados. Na representao
grfica encontram-se indicadas as 10 reas bem como uma breve descrio de cada uma (a
numerao inicia-se no nmero 3. dado que os captulos 1. e 2. da norma dizem respeito ao
mbito e aos termos e definies).
As orientaes sobre segurana da informao previstas na ISO 17799, que se concretizam nos
controlos de segurana, tm fundamentalmente duas motivaes:
- 77 -
3.4.3 A S A C T I V I D A D E S
DE
AUDITORIA
DE
SI
PREVISTAS NOS
REFERENCIAIS
Uma vez efectuada a apresentao e descrio dos modelos estruturados relativos aos 3
referenciais em anlise, estamos agora em condies de proceder identificao de quais as
actividades directamente relacionadas com Auditoria de SI ou que so especficas desta e que os
referenciais prevem.
Para tal, dado que na seco anterior se concluiu que o CobiT o referencial mais abrangente
para a Auditoria de SI, tomou-se o CobiT como ponto de partida para a identificao das
actividades de Auditoria de SI. Recorreu-se igualmente aos referenciais ITIL e ISO 17799 para a
identificao dessas actividades uma vez que estes referenciais so mais especficos em alguns
aspectos.
Metodologia de anlise:
Tomou-se o referencial CobiT como sendo a base da anlise, ficando este colocado do lado
esquerdo da tabela. Seguem-se na tabela o ITIL e ISO 17799.
Para cada um destes 3 referenciais, dividiram-se os controlos em trs nveis (Nvel 1, 2 e 3),
de acordo com os prprios critrios de classificao de cada um dos referenciais (para o ISO
17799 apenas existiu informao para efectuar o exerccio at o Nvel 2).
Para cada um dos nveis de controlo do CobiT (Nvel1: Domnio; Nvel 2: Controlo de alto
nvel; Nvel 3: Controlo detalhado) verificou-se se o respectivo nome indicava alguma
actividade directamente relacionada ou especfica de Auditoria de SI. Em caso de dvida, foi
analisado o texto do controlo. De um modo subsidirio, efectuou-se o mesmo tipo de exerccio
- 78 -
para o ITIL e ISO 17799. Nos casos em que o CobiT no previa actividades de Auditoria mas
o ITIL e ISO 17799 previam, enquadraram-se as actividades destes dois ltimos no CobiT.
Todos os casos em que existia pelo menos uma actividade de Auditoria de SI foram
indicados na tabela de anlise, de acordo com a legenda e os resultados detalhados que so
apresentados no Anexo 1.
- 79 -
No que diz respeito ao referencial ITIL, tal como se pode constatar pela anlise da tabela
detalhada no Anexo 1, no possui nenhum controlo de Nvel 1 (Mdulos) ou de Nvel 2
(Processos) dedicados especificamente Auditoria de SI.
risk ; 7.4 - Ongoing monitoring and process reviews ; 8.9.3 - Central Computer and
Telecommunications Agency Risk Analysis and Management Method ).
Relativamente ao referencial ISO 17799, dada a sua natureza procedimental, atribui um grande
destaque s questes de Conformidade. De facto, recorrendo novamente tabela detalhada no
Anexo 1, verifica-se a existncia de um controlo de Nvel 1 (rea 12 - Compliance) que contm
os seguintes trs controlos de Nvel 2 (Controlos de segurana de alto nvel) com actividades
directamente relacionadas com Auditoria de SI:
Constata-se pois que existem algumas partes destes 3 referenciais que orientam, em especfico,
o modo como as actividades de auditoria de SI devem ser executadas. Relativamente s
restantes partes, e no entrando em contradio com a concluso acima, considera-se que
qualquer uma delas poder ser utilizada pelos Auditores de SI como uma referncia dos
processos de SI sobre a qual os podero auditar. Tal como tivemos oportunidade de entender na
seco 3.4.1, o importante no executarmos a Auditoria de SI de um modo ad-hoc, mas sim
adoptarmos um ou mais referenciais (ou uma combinao destes) que sejam teis para o
trabalho do Auditor.
3.5
OS PROCESSOS
DA
FUNO
Esta seco trata fundamentalmente de processos de Gesto das Auditorias de SI que o Auditor
dever realizar. Comear-se- por identificar um modelo e um conjunto de orientaes a ter em
conta na definio de um planeamento anual para as Auditorias de SI. Situando-nos j ao nvel
das Auditorias individuais, apresentaremos algumas vises sobre as fases que constituem uma
Auditoria de SI. Uma vez compreendidas as principais fases e respectivos principais contedos,
estaremos em condies de compreender que estas fases de uma Auditoria podem ser geridas
como se tratassem das fases de um projecto. Utilizando o modelo estruturado da Gesto de
Projectos, passar-se- definio da estrutura de uma Auditoria de SI. Completar-se- com a
apresentao de um conjunto de tcnicas de Gesto das Auditorias de SI, a aplicar em cada um
dos principais parmetros que definem uma Auditoria (objectivos, mbito, tempo, recursos,
comunicao, qualidade, riscos, produtos resultantes, etc.).
- 82 -
3.5.1 O P L A N E A M E N T O
DAS
AUDITORIAS
DE
SI
ongoing activities. The plan should act as a framework for audit activities and serve to address
responsibilities set by the audit charter. The new/updated plan should be approved by the Audit
Committee
Esta passagem consta dos IS Standards, Guidelines and Procedures for Auditing and Control
Professionals, nos quais existe uma norma (standard) relativa ao planeamento (S5 - Planning).
Nesta definida a obrigatoriedade de um plano de Auditoria de SI que cubra os objectivos da
funo e que esteja em conformidade com os regulamentos aplicveis, incluindo os constantes
das normas profissionais do Auditor e da carta de Auditoria. O plano dever sintetizar a natureza,
os objectivos, os recursos e o perodo de tempo relativos a cada auditoria, devendo ser aprovado
pelo Comit de Auditoria da organizao. O plano da Auditoria de SI dever ser documentado e
construdo utilizando uma abordagem ao risco.
Esta abordagem ao risco, j anteriormente tratada (na seco 2.3.2 - Auditoria baseada no
Risco), o instrumento chave atravs do qual todo o plano deve ser desenvolvido.
Como se percebe, o planeamento das Auditorias de SI no serve apenas para indicar o que se
vai auditar, mas tambm um instrumento para determinar quando e com que frequncia
se deve auditar. J agora, permita-se acrescentar um outro factor importante: o porqu
auditar? A resposta a esta ltima questo reside no risco. Na elaborao do planeamento devem- 83 -
se escolher, para serem auditados, os processos e os SI que maior risco trazem ou podero vir a
trazer para o negcio em determinado perodo de tempo.
- 84 -
Comecemos ento por interpretar este modelo, dizendo que o risco (Recognition and
Appreciation of Business Risks) o elo de ligao entre o lado do negcio (lado esquerdo da
figura) e o lado da Auditoria (lado direito da figura). Situando-nos no lado do negcio, podemos
constatar que os objectivos de negcio determinam o plano estratgico (Strategic Planning
Process), que por sua vez determina o plano anual de negcios (Annual Business Plan), que tem
impacto nos processos e nas reas de negcio (Process or Work Unit Objectives). Uma vez que a
Auditoria de SI dever estar alinhada com as necessidades do negcio, ento do lado da
Auditoria o planeamento dever seguir um raciocnio semelhante. Situando-nos ento do lado da
Auditoria (no conjunto das 3 actividades destacadas com uma elipse a tracejado), partindo do
universo da Auditoria (Audit Universe Process), dever ser elaborado um plano anual de
Auditorias (Annual Audit Plan) que determinar o mbito de cada Auditoria individual (Individual
Audit Scope) e ter impacto no modo como as reas de negcio avaliam e gerem os seus riscos
(Evaluate How Business Risks are Managed).
Segundo os referidos dois autores, o sucesso de um modelo de planeamento deste tipo passa
pela necessria comunicao entre os dois lados. Assim, na prtica, para a determinao do seu
universo de actuao, a Auditoria de SI dever conhecer o plano estratgico dos SI. De igual
modo, para a elaborao do planeamento anual, a Auditoria de SI dever conhecer o plano
operacional do SI para esse mesmo ano. Ao contrrio de outras abordagens mais tradicionais
em que os Auditores de SI utilizavam os planos de SI para validar os planeamentos da Auditoria
de SI, este modelo defende que os planos dos processos de negcio, neste caso os planos dos
SI, devero ser determinantes activos na elaborao do planeamento da Auditoria. Como j
afirmmos anteriormente, os riscos de negcio mais relevantes ao nvel dos SI devero ser os
determinantes do mbito anual da Auditoria de SI. O modelo admite que as organizaes usem
cenrios de risco na avaliao de risco anual, pois so mais apropriadas para sectores de
negcio em consolidao ou com ritmo de mudana elevado. O modelo vai ainda mais longe
quando afirma que as metodologias de avaliao de risco a utilizar (factores de risco, modelos
de risco, etc.) possam ser derivadas directamente da especificidade de cada processo de
negcio (Industry-Specific Scenarios Approaches Models) em vez de serem determinadas
unicamente pelos processos de Auditoria. Ao nvel das Auditorias individuais, mais uma vez
- 85 -
Note-se ainda o facto deste modelo prever os dois rgos de governo da organizao (a Gesto
de Topo e o Comit de Auditoria) que tm como responsabilidades contribuir para a elaborao
e dar aprovao ao universo da Auditoria e ao seu planeamento anual. , no entanto, da
responsabilidade do departamento de Auditoria da organizao transmitir a estes rgos de
governo uma cultura e percepo de risco, alinhada com as restantes reas da organizao, e
inform-los sobre as exposies aos riscos da organizao.
Como se constata, para alm da abordagem ao risco, dado grande destaque relao com o
negcio nas actividades de planeamento. Apenas uma nota para deixar claro que esta relao
no uma novidade, nem uma necessidade exclusiva da Auditoria de SI. Existem outras
actividades de planeamento no domnio dos SI em que esta necessidade tambm reconhecida.
A este propsito deixmos aqui um apontamento da viso de (Amaral e Varajo, 2000):
A actividade de planeamento de SI desencadeada como parte integrante da actividade de
planeamento estratgico da organizao. () O planeamento de SI dever estar integrado e
alinhado com o planeamento do negcio, sendo extremamente importante ter a noo de que o
mesmo uma forma de planeamento da mudana organizacional
O (IIA, 2006) tece um conjunto de consideraes sobre o modo como as Auditorias de SI devem
ser definidas e que so relevantes aquando da elaborao do planeamento:
The way in which IT audits are defined plays a large role in the overall effectiveness of the IT
audit function. () Audit committee wants IT audit findings to be tied to the business issues.
organizaes, dado que, ou no cobrem todo o universo dos SI, ou para faz-lo, tornam-se
interminveis no tempo. Por outro lado, h que ter muito cuidado na designao que se
atribui s Auditorias pois podem induzir em erro a Gesto de Topo e a Gesto dos SI quanto
verdadeira abrangncia do plano de Auditorias.
O planeamento deve prever Auditorias que formem conjuntos lgicos de relatrios sobre
determinados temas As Auditorias devem ser planeadas de modo a fornecer um reporte
eficaz e lgico dos resultados. Para ilustrao, as Auditorias aplicacionais raramente so
eficazes se forem divididas em Auditorias independentes (exemplo: dever-se- auditar todos
os mdulos de SAP e no apenas o mdulo financeiro). De modo semelhante, as Auditorias
s tecnologias da rede corporativa tendem a ser mais eficazes quando efectuadas ao nvel de
toda a organizao (exemplo: no auditar a segurana da rede em uma s
localizao/instalao).
- 87 -
3.5.2 A S F A S E S
DAS
AUDITORIAS
DE
SI
Para tal, apresentaremos trs vises diferentes, mas compatveis, das fases das Auditorias. Notese que algumas destas vises no so especficas da Auditoria de SI (por exemplo, so do
domnio da Auditoria de Processos de Negcio ou da Auditoria de Qualidade). No entanto so
abordagens que so realmente aplicveis na prtica tambm Auditoria de SI. Alis, como
vimos na seco 2.4.1, desejvel a integrao de metodologias entre diferentes tipos de
Auditorias Internas.
- 89 -
A viso apresentada pelo (IIA, 2006) difere nas fases e nos seus contedos face viso anterior,
no existindo, contudo, grandes diferenas nos princpios fundamentais. Trata-se de uma viso
apresentada pelo IIA para o contexto da Auditoria de SI, mas o prprio IIA reconhece no
existirem muitas diferenas em relao s fases de Auditorias mais genricas, como por
exemplo as Auditorias de Processos de Negcio:
The process for executing an IT audit is, in theory, no different than the process for executing an
operational audit.
Tendo em conta a similitude com outros tipos de Auditorias Internas, o IIA no detalhou as fases
apresentadas, limitando-se a enunciar que o Auditor de SI deve planear a Auditoria, identificar e
documentar os controlos chave, testar a arquitectura e a eficcia operacional dos controlos e
concluir a Auditoria elaborando relatrios com os resultados.
No obstante, as fases apresentadas pelo IIA merecem alguns comentrios, pois denotam,
mesmo assim, alguns factores diferenciadores. Estes encontram-se essencialmente na primeira
fase considerada: a compreenso da envolvente (Understand the Environment). De um modo um
pouco diferente face ao que acontece noutros tipos de Auditorias Internas, o Auditor de SI tem
nesta fase que compreender os processos ou os SI alvo da Auditoria e tentar encontrar o ou os
referenciais (standards) que mais se lhes adequam. Muitas organizaes podem ainda no ter
implementado um sistema de referenciais para todos os seus processos de SI e, por outro lado,
cada envolvente de SI tem as suas especificidades. No entanto, existe sempre uma base comum
- 90 -
que o Auditor de SI pode tomar como uma referncia sobre a qual pode auditar: os objectivos de
controlo dos SI. Da que a segunda fase seja a identificao dos controlos chave, cujo seu
desenho ser avaliado na terceira fase e cuja sua eficcia ser testada na quarta fase.
A terceira viso apresentada, proposta pelo autor do presente trabalho (Silva, 2004b), uma
viso genrica, adaptvel a qualquer tipo de Auditoria Interna baseada numa abordagem ao
risco, pelo que tambm aplicvel no domnio da Auditoria de SI. Esta ser, alis, a viso das
fases de Auditoria de SI que usaremos daqui em diante, ao longo deste texto, tomando-a como
uma sequncia de fases, organizadas semelhana de um projecto.
Como poder ter sido perceptvel ao longo desta seco, a gesto das fases de uma Auditoria de
SI e dos respectivos contedos possuem diversas semelhanas com a gesto de um projecto,
pelo que exploraremos esta teoria na seco seguinte.
3.5.3 A G E S T O
DAS
AUDITORIAS
DE
SI
COMO A
GESTO
DE UM
PROJECTO
Analisaremos a seguinte afirmao do (PMI, 2004) sobre as fases dos projectos, de modo a
podermos concluir sobre a aplicabilidade deste conceito s Auditorias de SI:
The completion and approval of one or more deliverables characterizes a project phase. () The
deliverables, and hence the phases, are a part of a generally sequential process designed to
ensure proper control of the project and to attain the desired product or service, which is the
objective of the project.
- 92 -
- 93 -
Para cada um dos pontos indicados, representados acima na figura da autoria do PMI, iremos
apresentar alguns exemplos correspondentes, aplicados realidade das Auditorias de SI:
Ideia (Idea) Corresponde causa (trigger) que despoleta a Auditoria. Normalmente est
prevista no planeamento anual das Auditorias, ou excepcionalmente, pode surgir de uma
necessidade pontual devidamente justificada
- 95 -
Existem ainda outros factores que confirmam a aplicabilidade da teoria da Gesto de Projectos
gesto das Auditorias de SI. Estas podem ser entendidas como projectos na medida em que,
entre outros, possuem tambm os seguintes elementos caracterizadores que formalmente
definem um Projecto (Silva, 2004b):
Cada uma das Auditorias tem uma misso diferente para cumprir e possui particularidades
que a distingue das restantes Auditorias de SI.
Como se pode verificar, existem diversas actividades da Auditoria de SI que correspondem aos
designados processos de Gesto de Projectos. Estes processos esto formalizados no PMBOK
- 96 -
Como base nestas 9 reas do conhecimento, que no exploraremos em detalhe, desenvolveramse os contedos da prxima seco relativos estruturao de uma Auditoria de SI. Como se
constatar, no foram utilizadas todas estas reas do conhecimento, os processos destas foram
agrupados de forma ligeiramente diferente e com designaes tambm, por vezes, diferentes.
No entanto, a ideia importante a reter o exerccio de adaptao que foi efectuado, visando
encaixar as actividades da Auditoria de SI no referencial PMBOK. semelhana do que j
defendemos em seces anteriores, o importante no executarmos as Auditorias de SI de um
modo ad-hoc, mas sim adoptarmos um referencial que seja til para o trabalho do Auditor. Neste
caso, o referencial no diz respeito aos objectos alvo da Auditoria, mas sim ao prprio trabalho
de gerir uma Auditoria de SI.
- 97 -
3.5.4 A D E F I N I O
DA
ESTRUTURA
DAS
AUDITORIAS
DE
SI
Inicia-se esta seco avanando a ideia de que a estruturao de uma Auditoria de SI pode ser
posta em prtica atravs da aplicao dos conceitos de gesto de uma Auditoria como um
Projecto (seco 3.5.3) em cada uma das fases que constituem uma Auditoria de SI (seco
3.5.2).
De facto, partindo da abordagem de projecto exposta na seco anterior, utilizando algumas das
9 reas de conhecimento e alguns dos 44 processos de Gesto de Projectos previstos no
PMBOK, possvel construir uma estrutura para uma Auditoria de SI.
A definio da estrutura dever ser explicitada num Documento de Definio de Auditoria. Este
proporciona s diferentes partes interessadas (stakeholders) um verdadeiro guio com todos os
aspectos relevantes que determinam a Auditoria.
Para alm dos aspectos mencionados, podemos dizer, resumidamente, que o Documento de
Definio de Auditoria tem como principais atribuies:
Identificar possveis riscos que tenham impacto no bom andamento e no atingimento dos
objectivos da Auditoria.
ESTRUTURA
Objectivos da
Auditoria
mbito da
Auditoria
Planeamento
Temporal da
Auditoria
Planeamento
de Recursos
da Auditoria
CONTEDOS
- 99 -
Comunicao
da Auditoria
Qualidade da
Auditoria
Riscos da
Auditoria
Produtos
Resultantes
da Auditoria
Partes interessadas na Auditoria (stakeholders) que devam ser alvo de comunicao inicial/intermdia/final
reas organizacionais envolvidas/auditadas (Organigramas)
Papeis e responsabilidades dos intervenientes na Auditoria
Definio dos Relatrios de Progresso e de Desempenho e respectivos destinatrios e periodicidade
Definio das condies para redefinio/alteraes da comunicao e seus responsveis
etc...
Referenciais metodolgicos utilizados na Auditoria (ex: metodologia proprietria, CobiT, ITIL, ISO 17799, etc.)
Legislaes, regulamentos e polticas internas/externas utilizadas na Auditoria
Indicadores de qualidade do desempenho e de controlo do progresso face aos objectivos e plano da Auditoria
Critrios de avaliao e intervenientes na Avaliao da Qualidade no final da Auditoria
Definio das condies para redefinio/alteraes dos referenciais de qualidade e seus responsveis
etc...
Suposies/restries/condicionantes
Identificao dos riscos com impacto na Auditoria
Estratgias de resposta aos riscos da Auditoria
Controlo e acompanhamento dos riscos da Auditoria
Definio das condies para redefinio/alteraes dos riscos e seus responsveis
etc...
3.5.5 A S T C N I C A S
DE
GESTO
DAS
AUDITORIAS
DE
SI
Inicia-se esta seco informando que as tcnicas de Gesto de uma Auditoria que se vo
apresentar de seguida enquadram-se ainda no domnio da Funo (pertencem ao Modelo
Funcional). Estaramos perante uma situao diferente se apresentssemos as tcnicas de
Execuo de uma Auditoria (pertencem s Metodologias de Execuo) que j esto fora do
domnio desta investigao.
- 100 -
Sobre os Objectivos:
As Auditorias podem ter como uma das origens o plano estratgico da organizao do qual
faz parte o Planeamento Anual do Departamento de Auditoria, devendo explicitar-se na
Definio de Auditoria essa origem.
A justificao da Auditoria deve ser efectuada com base nos objectivos a alcanar. As
expectativas quanto Auditoria s ficaro satisfeitas, tornando os objectivos em resultados.
Como condio prvia, h que formalizar a aceitao do mbito da Auditoria junto das partes
interessadas, aceitando assim os objectivos propostos para atingir os resultados (os produtos
resultantes previstos).
A incluso e formulao dos objectivos deve ter em conta a perspectiva dos diversos clientes
da Auditoria (reas Auditadas, Gesto de Topo, Accionistas, etc.).
- 101 -
A definio dos objectivos de uma Auditoria de SI, para que no se torne incompleta, no se
deve resumir a um conjunto de tarefas isoladas das subsequentes fases da Auditoria. Dado
que a fase de Definio de Auditoria poder ter de ser revisitada durante a Auditoria, existe a
possibilidade de ao longo desta se tornar a Definio de mbito mais completa quanto aos
objectivos.
Sobre o mbito:
No iniciar da Auditoria, deve-se ter em conta a prioritizao dos riscos de negcio, dos
processos de negcio (e respectivos SI de suporte), previamente identificados pela funo de
Gesto de Risco do Departamento de Auditoria, atravs dos seus mtodos e tcnicas
especficas da Avaliao de Risco. Por outro lado, no iniciar da Auditoria dever-se- tambm
ter em conta eventuais causas/motivaes apresentadas pelos Gestores de Topo (ex:
administradores) responsveis pelas reas a auditar.
Deve-se contudo evitar que a definio do mbito seja pr-determinada apenas pelas
causas/motivaes indicadas pela Gesto de Topo que , em ltima instncia, a responsvel
pelo Plano de Auditorias. A Gesto de Topo acaba por pr-determinar, por vezes, um mbito
apenas aparente pois no dispe das metodologias apropriadas para a definio de mbito
que s a Equipa de Auditoria possui.
De modo a assegurar que o trabalho de Auditoria produz o que estava definido nos seus
requisitos, necessrio efectuar uma decomposio eficaz dos produtos resultantes da
Auditoria. importante segmentar os pontos da Auditoria em mdulos fceis de gerir e que
faam correspondncia com os diversos objectivos. Aconselha-se a utilizao de tcnicas de
- 102 -
- 103 -
Sobre o Tempo:
Sobre os Recursos:
Caso exista algum tipo de recursos fsicos (ex: equipamentos, instalaes, aplicaes
informticas, etc.) e de recursos humanos (ex: competncias/conhecimentos, necessidades
de formao, recursos subcontratados, etc.) que habitualmente no so utilizados nas
Auditorias de SI mas que sejam necessrios devido s especificidades da Auditoria em causa,
devero ser identificados e devidamente caracterizados em termos de requisitos, de modo a
que o responsvel pela Auditoria ou o responsvel pelo Departamento de Auditoria preveja e
mobilize os meios necessrios para os obter antes do incio do trabalho de campo da
Auditoria.
- 104 -
Sobre a Comunicao:
Charter), no qual se formaliza a autorizao para iniciar a Auditoria, devendo tambm constar
a origem/motivos da sua realizao (por exemplo, indicar que faz parte do Plano Anual de
Auditoria aprovado). Esse documento formal dever ser validado ao nvel da Gesto de Topo.
Nele dever ser nomeado o responsvel da Auditoria, atribuindo-lhe assim a responsabilidade
e a autoridade para mobilizar na organizao os recursos e a disponibilidade das reas
auditadas, necessrias para o desenrolar da Auditoria.
Nesta reunio, assim como em toda a comunicao durante a Auditoria, dever ser sempre
passada a mensagem de que a Auditoria ser conduzida numa perspectiva de colaborao
positiva com as reas auditadas, tendo por princpio a identificao de riscos e a formulao
das respectivas aces que contribuiro para a melhoria dos processos e dos SI dessas
reas, ou seja, excluir partida qualquer tipo de postura de inspeco e incriminatria.
O Documento de Definio da Auditoria dever ser redigido de modo a ser a base para um
entendimento e, simultaneamente, identificar as diversas partes interessadas na Auditoria
(Equipa de Auditoria, reas Auditadas, Gesto de Topo, etc.).
Deve ser efectuada uma validao do Documento de Definio de Auditoria atravs da sua
aceitao formal, pelas diferentes partes envolvidas. Note-se que o objectivo desta validao
obter uma aceitao dos contedos e um comprometimento quanto Auditoria. Por outro
- 105 -
lado, existem outras formas e metodologias mais adequadas de validao, relacionadas com
a Qualidade, para avaliar a correco do prprio trabalho de Definio de Auditoria.
Sobre a Qualidade:
As referncias metodolgicas geralmente utilizadas (ex: CobiT, ITIL, ISO 17799) devero ser
mencionadas no Documento de Definio de Auditoria pois, face ao mbito previsto para a
Auditoria e as suas especificidades, poder ser necessrio escolher uma das metodologias
(ou um conjunto delas) que seja mais apropriada e justificar brevemente essa escolha.
Podero tambm existir outras referncias metodolgicas mais especficas que sejam
necessria utilizar. Exemplos destas so as Normas da Qualidade ISO/IEC 15504 para
processos de avaliao de software, que incorporam modelos de processos e linhas
orientadoras para conduzir anlises a software, podendo ser utilizadas nas Auditorias
aplicacionais.
Para se validar a correco do prprio trabalho de Auditoria em termos de Qualidade, poderse- recorrer, entre outras, s seguintes actividades:
Avaliar a fase de Definio de mbito em relao sua conduo e tarefas executadas.
Avaliar no final da Auditoria a fase de Definio por comparao com os produtos
resultantes (deliverables).
Obter a aprovao dos produtos resultantes, de modo a poderem ser dados como
terminados de acordo com critrios de acabamento previamente definidos.
Avaliar o desempenho da Equipa de Auditoria, atravs de indicadores de qualidade do
desempenho e de controlo do progresso face aos objectivos e plano da Auditoria,
efectuada pelas reas clientes da Auditoria (ex: reas Auditadas, Gesto de Topo, etc.)
- 107 -
Sobre os Riscos:
Por vezes existem circunstncias nicas ou situaes que podem influenciar o mbito ou a
execuo de uma Auditoria e que esto relacionadas com suposies que se assumem
implicitamente. As suposies que tm um impacto significativo na Auditoria em termos de
requisitos, tipo e forma de resultados devem ser identificadas explicitamente na Definio da
Auditoria.
concretizao,
de
forma
identificar
estrangulamentos,
dificuldades
ou
Uma Auditoria de SI pode estar sujeita a riscos que condicionam a forma como o trabalho se
desenrola. Estes riscos podem ter, entre outras, as seguintes origens e respectivas causas:
A rea auditada na organizao: desejos da rea auditada ou condies impostas
explicitamente (ex: disponibilidade de colaborao das reas auditadas, recusa explcita
em fornecer acesso a informao alvo de auditoria, etc.)
O processo ou o SI alvo da Auditoria: complexidade do processo, aspectos tecnolgicos
na fase de testes (ex: plataformas, aplicaes, etc.)
A equipa de Auditoria: factores pessoais e de conhecimento (ex: desmotivao, falta de
conhecimentos tcnicos, disponibilidade de tempo, etc.)
A Gesto da organizao: solicitaes ad-hoc, motivos que deram origem ao pedido da
Auditoria nem sempre esto explcitos, a forma dos produtos resultantes da auditoria
no vo de encontro s suas expectativas (ex: vontade de alargamento do mbito da
Auditoria, redefinio de prioridades, redefinio de produtos resultantes, etc.)
A restante organizao: limitaes da organizao no seio da qual a Auditoria se
desenrola (ex: disponibilidade de recursos, questes estratgicas, etc.)
A envolvente externa: circunstncias externas Auditoria (ex: legislao, etc.)
- 108 -
Sobre os Resultados:
- 109 -
Para encerrar este captulo, til apresentar a seguinte ideia. A utilizao sistemtica dum
documento de Definio de Auditoria, e dos respectivos contedos que foram descritos e
discutidos sob a forma de tcnicas de Gesto de Auditorias de SI, poder ser um ponto de
partida para o desenvolvimento de uma Metodologia formal e detalhada para cada uma das
fases que constituem uma Auditoria de SI. Este objectivo est, contudo, fora do mbito desta
investigao.
Aps se ter identificado e detalhado os pontos acima mencionados que constituem um possvel
Modelo Funcional, no captulo seguinte apresentar-se- uma proposta de Modelo de
Competncias que pretende ser um instrumento para utilizar na identificao das competncias
que um Auditor de SI deve possuir, devendo estas estar alinhadas com as necessidades
funcionais aqui preconizadas.
- 110 -
4.1
AS COMPETNCIAS
DO
AUDITOR
DE
SI
Para contextualizao do tema das competncias do Auditor, comear-se- por efectuar uma
identificao e exemplificao de alguns tipos de competncias. Seguir-se- a explicao dos
determinantes das competncias da Auditoria de SI, recorrendo a uma equao conceptual das
competncias que determinam o desempenho dos Auditores. Desta equao sobressair a
importncia do Conhecimento, pelo que sero exploradas as quatro principais reas de
conhecimento do Auditor de SI. Associadas a estas esto dois grandes tipos de competncias a
comparar: as Competncias de Gesto (soft skills ou non-technical skills) face s Competncias
Tcnicas (hard skills ou technical skills).
- 111 -
4.1.1 O C O N T E X T O
DAS
COMPETNCIAS
DO
AUDITOR
Esta seco tem por objectivo efectuar uma contextualizao do tema das competncias do
Auditor, atravs da identificao de alguns exemplos de competncias. A partir destes exemplos,
reconhecer-se- a existncia de diversos tipos de competncias, derivando da a necessidade da
existncia de um Modelo de Competncias para as classificar e arrumar devidamente.
Antes de mais, relevante definir competncia. Num contexto genrico, segundo o dicionrio
da (Porto Editora, 2007), competncia a qualidade de quem capaz de resolver
determinados problemas ou de exercer determinadas funes, sendo uma aptido em
determinada rea de actividade. Pode tambm ser entendida como a capacidade que uma
pessoa tem para avaliar (algo ou algum) com idoneidade. No contexto profissional, segundo
o glossrio de termos do (ISACA, 2007), as competncias profissionais referem-se a proven
level of ability, often linked to qualifications issued by relevant professional bodies and
compliance with their codes of practice and standards. Como se ir constatar, estas duas
definies de competncia so compatveis e coerentes com os dois principais tipos de
competncias que sero identificados para o Auditor de SI ao longo deste Captulo 4.
Na pgina seguinte apresentam-se partes dessa letra, tendo-se destacado (em negrito) as
expresses ou palavras relacionadas com as competncias do Auditor. Este documento servir
para dar o mote no tema das competncias, uma vez que refere vrias que identificaremos
posteriormente.
- 112 -
Analisando o documento, conclui-se que os seus autores possuam uma espantosa viso sobre a
funo do Auditor e que continua plena de actualidade!
De facto, a letra refere algumas das tradicionais competncias do Auditor, como por exemplo:
ser profissional; possuir formao; respeitar a tica; ser objectivo e independente; identificar
relaes e comportamentos de causa-efeito; verificar os controlos; identificar deficincias;
detectar a fraude; etc.
No entanto, de um modo surpreendente, refere muitas outras competncias que, mesmo hoje
em dia, ainda necessitam de ser melhoradas por parte de alguns Auditores, como por exemplo:
ser encorajador; no ser agressivo ou arrogante; ser empreendedor; saber lidar com os outros;
conhecer os referenciais metodolgicos; saber determinar os riscos; compreender a Gesto de
Risco; conhecer os requisitos de Governo das Sociedades (Corporate Governance); reconhecer a
importncia da anlise da eficcia e da eficincia; conhecer os processos operacionais e
relacionar com o negcio; etc.
Para alm das inmeras competncias que se acabaram de ilustrar, existem determinados
temas normalmente associados ao contexto da identificao das competncias dos Auditores.
De um modo breve, abordar-se- de seguida alguns desses temas, recorrendo a um conjunto de
contributos de autoria diversa.
Num artigo de recolha de opinies, elaborado pelo (ISCJ, 2000), acerca do tema da identificao
de competncias aquando do recrutamento de Auditores de SI, podemos encontrar a seguinte
afirmao:
Managers no longer just manage. They must be hands on working managers and have the
knowledge to participate in their audits. Seniors must be able to handle their own audits on a
stand alone basis when required.
- 114 -
No mbito do perfil pessoal do Auditor, (Touquet, 1996) faz uma observao curiosa ao
relacionar as competncias de SI que os Auditores de SI possuem com outras ocupaes
(hobbies) que possam ter na sua vida pessoal. De facto, outras ocupaes pessoais dos
Auditores de SI podem ser uma origem para a identificao de competncias relevantes para o
trabalho de Auditor de SI. Alis, os Auditores de SI podem ter, na sua vida pessoal, motivao
para esses temas ou interesse na utilizao de SI e de TIC, factos que potenciam conhecimentos
teis para as suas profisses.
- 115 -
Os autores (Power and Terziovski, 2005) efectuaram um trabalho de levantamento das posies
de outros autores sobre as competncias para Auditoria (genrica, no financeira), no qual
identificmos duas ideias a destacar. Por um lado, os autores referenciam (Hutchins, 1993)
quando este conclui que () auditors are frequently unfamiliar with the clients industry, quality
system, process or products/services. This results in a poor quality audit which places
conformity at risk. Por outro lado, os autores tambm mencionam (Russell and Regel, 1996)
que defendem the active involvement of the auditor in the implementation of corrective actions.
Como se constata pelas afirmaes anteriores, o tema das competncias do Auditor no pode
ser dissociado do contexto da organizao em que o Auditor actua, nem do papel que ele
supostamente deve desempenhar enquanto elemento que contribui para a correco ou
melhoria dos controlos da organizao. Deste modo, as competncias do Auditor para conhecer
o negcio e para se relacionar com a restante organizao so essenciais para no se colocar
em risco o prprio processo de Auditoria. Os autores (Power and Terziovski, 2005) mencionam
ainda outras competncias a identificar nos Auditores e que so relevantes para o sucesso dos
processos de Auditoria, como por exemplo: prontido; comunicao clara; objectividade na
definio de critrios de Auditoria; foco na resoluo de problemas; capacidade de deciso
previamente validada; capacidade para discordar de modo sensvel; comprometimento nas
relaes de trabalho estabelecidas; capacidade para conduzir reunies de validao ou fecho de
Auditoria; etc.
Como se percebe, percorreram-se uma srie de ideias iniciais e opinies dispersas sobre as
competncias, sendo algumas mais relacionadas com as competncias inerentes ao prprio
indivduo e outras mais relacionadas com as competncias do processo de Auditoria de SI. Deste
modo, torna-se necessria a existncia de um modelo que identifique as competncias de forma
adequada (devidamente arrumadas e classificadas), ou seja, um Modelo de Competncias.
Note-se que algumas das competncias que j foram apresentadas como desejveis para o
Auditor foram referidas no contexto da Auditoria em geral, sem especificar o tipo de Auditoria. No
entanto, considera-se que essas competncias que foram referidas so tambm aplicveis
especificamente aos Auditores de SI.
- 116 -
4.1.2 O S D E T E R M I N A N T E S
DAS
COMPETNCIAS
DA
AUDITORIA
DE
SI
Acima de tudo, as competncias dos Auditores so alvo de preocupao porque, tal como
noutras profisses, so um factor crtico de sucesso para o bom desempenho da profisso de
Auditor.
De acordo com os conceitos dos autores (Libby and Luft, 2003), a figura seguinte representa
uma equao conceptual das competncias que determinam o desempenho dos Auditores.
- 117 -
A explicao de cada um dos factores referidos e a sua relao com as competncias do Auditor
a seguinte:
Capacidade Determinada pelas competncias que o Auditor possui para executar tarefas
de tratamento e anlise de informao que contribuam para a resoluo de problemas de
Auditoria. Estas competncias so genricas e podem ser avaliadas atravs de testes
psicomtricos (exemplo: GMAT) pelo que no so competncias especficas de Auditoria.
- 118 -
Tal como os autores atrs referidos reconhecem, o ambiente de execuo da Auditoria tambm
um determinante relevante das competncias dos Auditores. No caso da Auditoria de SI,
podemos dizer que so trs os elementos que o constituem: a Auditoria (as metodologias), os SI
(os alvos da Auditoria) e o negcio (o contexto no qual se executa a Auditoria).
Veremos de que modo aqueles trs elementos se articulam, recorrendo a algumas das ideias e
adaptao da seguinte figura de (Baskerville and Myers, 2002).
- 119 -
Segundo estes dois autores, numa viso convencional, os SI so uma rea de conhecimento
aplicada, formada a partir da aplicao de outras reas de conhecimento fundamentais,
designadas de disciplinas referenciais (exemplos: Engenharia, Economia, Arquitectura, etc.).
Numa nova viso proposta pelos referidos autores, os SI deveriam passar a ser encarados como
uma rea de conhecimento de referncia, por direito prprio. Neste sentido, os SI poderiam
igualmente passar a ser uma referncia que seja aplicada pelas outras reas de conhecimento.
Tal como a figura demonstra, as diversas disciplinas devem ser referenciais recprocos e
mtuos.
Se a Auditoria for considerada como sendo uma das outras reas de conhecimento, ento
deduz-se a possibilidade da Auditoria ser uma rea de conhecimento aplicada dos SI, resultando
daqui a Auditoria de SI. De modo semelhante, cada uma das outras reas de conhecimento
pode representar uma rea de negcio auditada (exemplo: Banca, Meios de Comunicao, etc.)
ou corresponder a processos de negcio cujos seus SI so auditados (exemplos: Contabilidade,
Marketing, etc.). Assim sendo, a Auditoria de SI dever tambm aplicar conhecimentos dessas
outras reas de conhecimento. Como consequncia, conclui-se que, no s a Auditoria, mas
tambm essas outras reas de conhecimento so determinantes das competncias que o
Auditor de SI ter que possuir.
Na verdade, o Auditor de SI deve possuir competncias que lhe permitam ter conhecimento
sobre os tipos de negcios nos quais est a auditar os respectivos SI. Esta concluso
importante pois, como foi visto anteriormente, o Conhecimento pode ser o determinante que
mais influencia o desempenho do Auditor de SI.
- 120 -
4.1.3 A S R E A S
DE
CONHECIMENTO
DO
AUDITOR
DE
SI
Numa interpretao complementar, efectuando uma leitura das reas de conhecimento na figura
no sentido da esquerda para a direita, vai-se progressivamente saindo de reas de conhecimento
que so mais apreciadas noutras funes (exemplo: Capacidades Interpessoais num Gestor
Comercial), passando por outras possveis reas (exemplo: Conhecimentos Gerais de Gesto
num Gestor Logstico), entra-se na funo de Auditoria (exemplo: Conhecimentos de Auditoria
num Auditor de Processos de Negcio) e finaliza-se em funes especializadas relacionadas com
SI (exemplo: Conhecimentos de SI num Gestor de SI). No fundo, a funo de Auditor de SI pode
agregar todas estas quatro reas de conhecimento, existindo uma tendncia para
tradicionalmente se situar mais nas duas do lado direito da figura.
- 122 -
Relativamente rea dos Conhecimentos Gerais de Gesto, tem-se como exemplos: gesto
estratgica (tcnicas globais de anlise, envolvente competitiva do sector, decises estratgicas,
ciclos de vida de produtos, etc.); envolvente global do negcio (cultural, legal, poltica,
econmica, financeira, etc.); comportamento organizacional (motivaes organizacionais e
funcionais, produtividade e eficcia organizacional, processos de comunicao organizacional,
estruturas organizacionais, etc.).
- 123 -
the audit assignment. The IS auditor should maintain professional competence through
appropriate continuing professional education and training.
Information System Auditor). Ser uma mais-valia se possuir um mestrado, bem como
certificaes de outro tipo, tais como CPA (Certified Public Accountant), CIA (Certified Internal
Auditor), CFE (Certified Fraud Auditor), CISSP (Certified Information Systems Security
Professional), etc.
- 124 -
4.1.4 A S C O M P E T N C I A S
DE
GESTO
VS. AS
COMPETNCIAS TCNICAS
Uma vez identificadas as principais reas de conhecimento do Auditor de SI, de seguida ser
apresentado um confronto de opinies entre os dois grandes tipos de competncias que
constituem essas reas de conhecimento: as Competncias de Gesto vs. as Competncias
Tcnicas.
- 125 -
A seguinte citao de (Sayana, 2002) ajuda a compreender a relevncia de confrontar estes dois
tipos de competncias e, de forma subtil, d pistas sobre o importante papel das Competncias
de Gesto.
IS audit often involves finding and recording observations that are highly technical. Such
technical depth is required to perform effective IS audits. At the same time it is necessary to
translate audit findings into vulnerabilities and businesses impacts to which operating managers
and senior management can relate. Therein lies a main challenge of IS audit.
- 126 -
Nas opinies recolhidas pelo (ISCJ, 2000), encontra-se a seguinte afirmao que questiona a
necessidade dos Auditores de SI possurem Competncias Tcnicas muito especializadas:
Because of the technological diversity found in various corporate systems, desired skills do vary.
Experience required depends on the needs of a client, but there are some common
requirements. () There is still room for specialists, but the more diversified a candidate's
technical background, the more marketable he or she is.
Ora a atitude pertence ao domnio das Competncias de Gesto, pelo que poder existir no
mercado uma tendncia emergente para atribuir uma crescente importncia a estas
competncias, diminuindo o foco nas Competncias Tcnicas.
Por outro lado, existem outras opinies, como as de (Davis, Schillerand and Wheeler, 2007) que
no deixam de reforar a importncia das Competncias Tcnicas, quer na rea de
Conhecimentos de Auditoria, quer na rea de Conhecimentos de SI.
Quanto aos conhecimentos em Auditoria, estes autores referem que essencial que a Equipa de
Auditoria de SI contenha elementos que sejam Auditores de carreira, com experincia e saber
terico sobre os processos da rea de Conhecimentos de Auditoria. No entanto, tambm
essencial a presena de Auditores que detenham conhecimento operacional dos SI, podendo os
Auditores de SI serem ex-profissionais da rea dos SI.
Quanto aos Conhecimentos em SI, estes autores referem o facto de determinado tipo de
Auditores de SI efectuarem um trabalho que no uma verdadeira Auditoria de SI pois limitamse a analisar apenas o nvel aplicacional dos SI. A causa desta limitao est muitas vezes na
- 127 -
Daqui se conclui que um modelo misto de reas de conhecimento, tanto em Auditoria, como em
SI, so essenciais para formar um corpo de Competncias Tcnicas adequado.
Numa outra linha de raciocnio, (Prakarsa, 1996) associa novamente o tema da especializao
s Competncias Tcnicas:
Today, no one individual in the field knows all systems and platforms equally which has caused
IS audit and control professionals to specialize. The future requires all IS audit and control
auditors to continually learn and explore new technologies and methodologies.
Da discusso sobre a relevncia das Competncias Tcnicas face s de Gesto (ou vice-versa),
poder-se- tirar uma ilao. O Auditor de SI poder ser levado a optar pela especializao ou
no. A dimenso da organizao onde o Auditor de SI se encontra inserido, a variedade dos seus
SI e TIC e ainda o tipo de negcio podero justificar a especializao ou, pelo contrrio, a
diversificao de conhecimentos em Auditoria de SI.
Pode-se afirmar adicionalmente que quanto menos especializado for o Auditor, mais necessrias
se tornam as Competncias de Gesto. Neste caso, dada a diversidade de SI ou TIC a auditar, a
rea de conhecimento relativa s Capacidades Interpessoais assume maior relevncia pois o
Auditor de SI necessitar de interagir com variadas reas de negcio que utilizam esses SI e TIC
(com interlocutores frequentemente diferentes). A rea dos Conhecimentos Gerais de Gesto
tambm se torna mais necessria para a compreenso dos processos de negcio em causa (que
podem variar muito consoante a utilizao que estes fazem dos SI e TIC).
Para encerrar a confrontao das Competncias de Gesto vs. Tcnicas, apresenta-se na figura
seguinte uma proposta de posicionamento conceptual das competncias da funo de Auditoria
de SI.
- 129 -
Para explicitar esta proposta de posicionamento conceptual das competncias, dentro das
Competncias de Gesto, focar-se- nos Conhecimentos Gerais de Gesto e, dentro das
Competncias Tcnicas, focar-se- nos Conhecimentos de SI. A interpretao da figura dever
ter tambm em conta a proposta de posicionamento conceptual da funo Auditoria de SI
apresentada no Captulo 3 (figura 3.2 da seco 3.2.2).
Como se pode constatar, medida que se desce no nvel dos instrumentos de Governo das
Sociedades (Corporate Governance), diminui o nvel exigido para os Conhecimentos Gerais de
Gesto e aumenta o nvel exigido para os Conhecimentos de SI. De facto, de entre os
instrumentos de Governo das Sociedades apresentados (Gesto de Risco, Auditoria de Processos
de Negcio e Auditoria de SI), na Auditoria de SI que as Competncias Tcnicas sobre SI se
tornam mais necessrias. Mais ainda, de acordo com o referido modelo de posicionamento da
funo, encarando a Auditoria de Tecnologias (TIC) como um subconjunto especializado da
Auditoria de SI, ento o nvel exigido de Conhecimentos de SI e de TIC ainda maior.
Em sentido inverso, o nvel de Conhecimentos Gerais de Gesto aumenta, medida que se sobe
no nvel dos instrumentos de Governo das Sociedades, dado que a abrangncia/mbito desses
instrumentos crescente. Repare-se que o Auditor de Processos de Negcio, por ter como
mbito todos os processos de negcio (no se limita aos de SI), o que deve apresentar um
balanceamento (trade-off) mais equilibrado entre Conhecimentos Gerais de Gesto e
Conhecimentos de SI. Por comparao, acrescenta-se ao Gestor de Risco um nvel mais elevado
de Conhecimentos Gerais de Gesto.
Como concluso desta seco, pode-se afirmar que indispensvel a presena de um misto de
Competncias Tcnicas e de Gesto. Para os Auditores de SI, existe um nvel mdio desejvel,
por comparao com outras funes relacionadas. Situando-se na Auditoria de SI esse nvel
pode variar consoante o grau de especializao do Auditor de SI, implicando diferentes
combinaes de Competncias Tcnicas e de Gesto. Certamente continuar a ser necessria a
existncia de Auditores de SI com Competncias Tcnicas sobre SI muito fortes (porque, por
exemplo, so especializados em Auditorias de Segurana aos SI e TIC). No entanto, as
Competncias de Gesto so (ou devem ser) cada vez mais valorizadas nos Auditores de SI
(porque, por exemplo, contribuem para um melhor desempenho do trabalho de cada Auditor).
- 130 -
4.2
O MODELO
DE IDENTIFICAO DE
COMPETNCIAS
DO
AUDITOR
DE
SI
Nesta seco efectuada a descrio de um Modelo de Competncias que proposto pelo autor
do presente trabalho: MICASI - Modelo de Identificao de Competncias do Auditor de SI.
Sentiu-se necessidade de construir este modelo dado que na bibliografia acadmica e
profissional no foi identificado nenhum Modelo de Competncias abrangente, aplicado
realidade da Auditoria de SI. Para alm disso, nas pesquisas efectuadas, identificaram-se maior
nmero de referncias s Competncias de Gesto, sendo mais raras as obras sobre
Competncias Tcnicas relacionadas com Auditoria de SI.
4.2.1 O P R O C E S S O
DE INVESTIGAO E
CONSTRUO
DO
MODELO
O principal objectivo deste sub-processo de investigao foi construir um modelo que permita
identificar quais as competncias necessrias e mais importantes para a funo Auditoria de SI.
O modelo construdo foi designado de MICASI - Modelo de Identificao de Competncias do
Auditor de SI, justificando-se a escolha desta designao pelos objectivos do modelo acima
indicados. O carcter de Identificao que a designao do modelo anuncia tornar-se- mais
explcito posteriormente (na seco 4.2.3) quando se apresentarem os possveis contextos e
variantes de aplicao do modelo.
- 131 -
O modelo MICASI est estruturado de acordo com os dois principais tipos de competncias
apresentados e descritos anteriormente (nas seces 4.1.3 e 4.1.4), subdividindo-se em:
Alis, tambm no foram encontradas obras que permitam identificar e avaliar as Competncias
de Gesto no contexto especfico da Auditoria de SI. No entanto, no contexto da Auditoria em
- 132 -
geral (no especfica de SI), num dos domnios da certificao CIA (referidos na seco 4.1.3),
podemos encontrar algumas referncias teis s Competncias de Gesto (Business
Management Skills). Estas, apesar de estarem bem desenvolvidas ao nvel dos Conhecimentos
Gerais de Gesto, no esto to abrangentes ao nvel das Capacidades Interpessoais, quando
comparadas com o modelo SSQ. Tendo em conta o exposto, considera-se que a adaptao para
a Auditoria de SI do modelo SSQ originalmente desenvolvido para a Gesto de Projectos uma
opo adequada.
Relativamente escolha do Modelo Curricular para Auditoria e Controlo de SI da ISACA, justificase por ser um modelo desenvolvido especificamente para explicitar as competncias que um
Auditor de SI dever possuir. Este modelo est alinhado com as necessidades e as expectativas
dos profissionais de Auditoria de SI pois baseia-se em investigao efectuada com a colaborao
de acadmicos, profissionais de Auditoria, empresas de Auditoria e associaes profissionais de
Auditoria. Este modelo est tambm alinhado com a estrutura do CobiT (ver na seco 3.4.2) e
com os domnios da certificao CISA (ver na seco 4.1.3).
Segundo a (ISACA, 2004), existe uma elevada procura pela profisso de Auditor de SI que
muitas vezes desempenhada por especialistas em SI ou por profissionais de outras reas de
negcio (exemplo: financeira, comercial, etc.). Este possuem algumas competncias
relacionadas com SI, mas nem sempre possuem as Competncias Tcnicas relacionadas com a
Auditoria que sejam adequadas para o exerccio da funo. Verifica-se tambm que estes
profissionais nem sempre conseguem manter actualizadas as suas Competncias Tcnicas
- 133 -
sobre SI devido ao elevado ritmo de desenvolvimento das tecnologias. Estes profissionais que
no esto suficientemente preparados para a funo, para colmatar as suas lacunas de
formao recorrem geralmente aos seguintes trs tipos de solues: participao em formao
interna ministrada pela organizao em conjunto com formao por aprendizagem no prprio
posto de trabalho; participao em eventos e seminrios promovidos por associaes
profissionais ou por fornecedores; e obteno de licenciaturas ou ps-graduaes na rea de
Auditoria de SI ou obteno de certificaes profissionais. A ltima das trs hipteses, na qual se
inclui a certificao CISA, a que proporciona o conhecimento e as Competncia Tcnicas mais
aprofundadas para o exerccio da funo. Deste modo, torna-se necessria a existncia de um
Modelo Curricular, como o da ISACA, que defina e regule quais devero ser essas competncias
e que possa ser usado como referncia por aqueles trs grandes tipos de formao. Neste
contexto, o Modelo Curricular do ISACA parece ser a opo mais conveniente para ser utilizado
como referencial para as Competncias Tcnicas.
Assim, o modelo MICASI foi construdo atravs da utilizao dos contedos presentes nos dois
referenciais atrs apresentados (Modelo SSQ e Modelo Curricular ISACA). O produto final da
adaptao pode ser consultado no Anexo 2: Modelo de Identificao de Competncias do
Auditor de SI (MICASI). Desta adaptao, resultou a identificao do seguinte nmero de
competncias:
avaliao real das suas equipas quanto s 6 competncias pr-determinadas como mais
importantes (atribuindo para cada um dos elementos da equipa uma classificao e indicando
qual a competncia mais forte e qual a mais fraca). Na adaptao efectuada do SSQ para o
modelo MICASI, estes mecanismos de anlise no foram utilizados (no se seleccionou a priori
um conjunto de 6 competncias pr-determinadas para a anlise). A adaptao efectuada
consistiu apenas na utilizao das 23 competncias (nome e respectivas descries) que modelo
original de (Muzio, Fisher, Thomas and Peters, 2007) define.
Relativamente adaptao do Modelo Curricular da ISACA, este no foi utilizado com o seu
propsito original que ser um referencial curricular para cursos de formao de Auditoria de SI.
A adaptao efectuada consistiu na utilizao do modelo da ISACA como uma fonte para a
identificao das Competncias Tcnicas para o modelo MICASI. Relativamente ao modelo
original da ISACA, mantiveram-se as competncias divididas em 7 agrupamentos,
correspondentes aos domnios de conhecimento necessrios para a profisso de Auditor de SI. O
primeiro domnio, relativo aos Processo de Auditoria, equivale rea de Conhecimentos de
Auditoria. Os restantes domnios, a partir do segundo, equivalem rea de Conhecimentos de
SI.
1 Processo de Auditoria
4.2.2 A D E S C R I O
DAS
FUNCIONALIDADES
DA
FERRAMENTA
DE
SUPORTE
AO
MODELO
- 136 -
A ferramenta foi desenvolvida na aplicao MS Excel por esta possuir um conjunto de vantagens
adequadas s tarefas de desenvolvimento da ferramenta e, posteriormente, s de anlise de
resultados (exemplos: flexibilidade de estruturao, validao de dados, ordenao e tratamento
de resultados, representao grfica dos resultados, etc.).
- 137 -
Optou-se ento por elaborar uma grelha adicional (1 grelha/folha de preenchimento) designada
Modelo Funcional. Esta contm um conjunto de proposies que resumem essas ideias,
servindo assim como um mecanismo de validao das ideias base, a utilizar antes das grelhas
das Competncias de Gesto e das Competncias Tcnicas. Relativamente s proposies
do Modelo Funcional que esto na 1 grelha/folha de preenchimento, foram elaboradas pelo
autor do presente trabalho, sendo originais ou compiladas a partir de diversas fontes indicadas
na bibliografia.
- 138 -
Em cada uma das trs grelhas/folhas, existem duas colunas para classificao das proposies
ou das competncias, com obrigatoriedade de preenchimento de acordo com as seguintes
regras:
Foram tambm desenvolvidos na ferramenta mecanismos que permitem uma rpida anlise e
interpretao dos resultados aps preenchimento, nomeadamente:
A visualizao atravs de grficos das Pontuaes e dos Destaques, para cada uma das
competncias, agrupadas tambm em Competncias de Gesto e Competncia Tcnicas,
para permitir igualmente uma rpida anlise aquando das entrevistas semi-estruturadas.
- 139 -
A prxima figura expe alguns exemplos das funcionalidades grficas de anlise que a
ferramenta possui para os dois principais tipos de competncias:
- 140 -
4.2.3 A A P L I C A B I L I D A D E
DO
MODELO
EM
CONTEXTO
DE INVESTIGAO E
EMPRESARIAL
Existem dois principais contextos para possveis aplicaes do Modelo MICASI, para os quais se
concretizam de seguida algumas hipteses.
Auditor de SI em causa (exemplos: Auditor Jnior de SI, Auditor Snior de SI, Gestor de
Auditoria de SI, Director de Auditoria de SI, etc.).
Identificao de Competncias Utilizao como instrumento de diagnstico de
competncias aquando do recrutamento de Auditores de SI. A informao recolhida no
processo de recrutamento (entrevistas, currculos, referncias de terceiros, etc.) pode
ser analisada e registada de forma estruturada na ferramenta, servindo para identificar
pontos fortes ou fracos dos candidatos e permitindo tambm efectuar comparaes
entre candidatos.
Avaliao de Competncias Utilizao no mbito do processo de avaliao anual dos
Auditores de SI. Pode ser efectuada uma comparao entre o nvel real de cada uma
das competncias observadas no Auditor de SI e o nvel pr-definido como desejvel em
cada competncia.
Adicionalmente, o modelo poder ser utilizado em contexto empresarial tambm para a funo
de Controlo Interno de SI, quer na vertente de Competncias de Gesto, quer na vertente de
Competncias Tcnicas. Esta hiptese justificvel pois as Competncias Tcnicas previstas no
modelo so baseadas no Modelo Curricular da ISACA que foi desenvolvido no s para a funo
de Auditoria de SI, mas tambm para a funo de Controlo de SI.
Ainda em contexto empresarial, o modelo poder ser aplicado a outras funes duma
organizao, embora de forma no to abrangente. A vertente relativa s Competncias de
Gesto poderia ser aplicada a funes que, tal como defendemos para a Auditoria de SI,
tambm devero possuir competncias semelhantes s das Gesto de Projectos (exemplos:
Auditoria de Processos de Negcio, Gestores de Projectos de SI, etc.). A vertente relativa s
Competncias Tcnicas poderia ser aplicada a funes de SI (exemplos: Responsvel de
Segurana de SI, Responsvel de Qualidade de SI, etc.).
- 142 -
4.3
OS RESULTADOS
DA
APLICAO
DO
MODELO
DE
COMPETNCIAS
Assim, aps um breve enquadramento do processo de realizao das entrevistas, ser efectuada
a anlise qualitativa dos resultados das entrevistas. Esta anlise incluir, para cada um dos
grandes tipos de competncias (Gesto e Tcnicas), os seguintes pontos: uma representao
grfica da anlise das classificaes; a identificao das competncias com maior importncia
atribuda; a apresentao das ideias fundamentais sobre as competncias que cada um dos
entrevistados destacou na entrevista; e a prioritizao das 10 competncias que foram
consideradas como mais importantes para a funo Auditoria de SI
4.3.1 A S E N T R E V I S T A S S E M I -E S T R U T U R A D A S
Neste caso, os limites encontram-se definidos pela estrutura do Modelo MICASI, nomeadamente
as descries das Competncias de Gesto e as descries das Competncias Tcnicas
(complementadas por um instrumento de validao que so as proposies do Modelo
Funcional).
- 143 -
- 144 -
De acordo com as boas prticas deste tipo de investigao, foram efectuados registos
sistematizados das trs entrevistas realizadas e dos respectivos resultados obtidos, para cada
uma das vertentes de anlise (Competncias de Gesto, Competncias Tcnicas e Modelo
Funcional). Estes registos podem ser encontrados nos anexos abaixo indicados.
Anexo 3: Detalhe dos Resultados das Entrevistas Contm trs grelhas/folhas com o
detalhe de todas as classificaes efectuadas por cada um dos entrevistados (ver exemplo na
figura abaixo).
Anexo 4: Anlise dos Resultados das Entrevistas Contm um conjunto de trs mapas
conceptuais (ver exemplo na figura abaixo) que foram elaborados com um duplo propsito:
Resumir as ideias discutidas durante a entrevista.
Suportar o exerccio de anlise qualitativa.
Para entrevistados, seleccionaram-se trs profissionais responsveis por Auditoria de SI, com
uma experincia muito significativa na rea e com percursos acadmicos e profissionais
distintos, permitindo assim obter diferentes vises. Os entrevistados, doravante designados pela
respectiva letra que os identificam, so:
ENTREVISTADO
NOME
REA PROFISSIONAL
TIPO DE AUDITORIA DE SI
Entrevistado A
Prof. Doutor
Alberto Carneiro
Entrevistado B
viso de profissional
Auditor de SI externo
Entrevistado C
viso de profissional
Auditor de SI interno
- 146 -
4.3.2 A A N L I S E Q U A L I T A T I V A
DOS
RESULTADOS
A anlise dos resultados ser efectuada de acordo com o definido no captulo introdutrio deste
trabalho de investigao (seces 1.1.1 Vrtices da Metodologia Utilizada e 1.1.2 Vantagens
e Limitaes). Assim, a anlise ser de natureza qualitativa, incluindo-se nesta anlise as tarefas
de recolha e tratamento dos dados das entrevistas semi-estruturadas.
Antes de prosseguir, uma nota sobre a natureza da anlise. A anlise designa-se de qualitativa
pois baseia-se na interpretao das classificaes atribudas pelos entrevistados, tendo estas
sido obtidas atravs da utilizao da ferramenta de suporte ao MICASI. Apesar desta ferramenta
possuir uma funcionalidade de classificao que pode considerada de quantitativa
(Pontuao), ela apenas um meio para identificar quais as competncias que cada um dos
entrevistados considera como mais importantes para um Auditor de SI. Para alm disso, a
funcionalidade de Destaques, tambm existente na ferramenta, claramente uma forma de
hierarquizar ideias. Assim, com base nestas pontuaes e destaques ser efectuada uma anlise
qualitativa das diferentes classificaes atribudas pelos entrevistados. Daqui espera-se verificar a
existncia de diferentes vises sobre o perfil do Auditor de SI.
A leitura das seguintes anlises dever ser acompanhada da consulta do Anexo 3 e Anexo 4.
Comear-se- por apresentar as principais concluses sobre a validao das ideias base do
Modelo Funcional. Recorde-se que esta validao de ideias tinha por objectivo alinhar as
classificaes atribudas pelos entrevistados com os conceitos e as ideias defendidas para a
funo Auditoria de SI ao longo deste trabalho de investigao.
- 147 -
[MF.03] A Auditoria de SI tem por misso avaliar e potenciar a melhoria contnua dos nveis
de controlo dos SI e a adequada gesto dos seus riscos por parte da organizao.
[MF.02] Trs dos principais factores caracterizadores do paradigma actual da funo so:
Viso holstica da Auditoria, ao definir um carcter multi-dimensional quanto ao seu
mbito (viso COSO);
Auditoria baseada no risco (de passiva, reactiva e baseada em controlos, passou para
activa, proactiva e baseada em riscos);
Auditoria contribui para a implementao de solues de melhoria contnua (no sentido
de melhorias preventivas e no apenas solues correctivas).
Da anlise do grfico, conclui-se que as duas competncias com maior importncia atribuda e,
simultaneamente, com maior destaque atribudo pelo conjunto dos trs entrevistados so a
aprendizagem contnua [CG.01] e a capacidade de deciso [CG.05]. Existem outras
competncias que so igualmente consideradas de maior importncia pelos trs entrevistados,
embora com destaque inferior ou sem destaque: a diplomacia e tacto [CG.09], a objectividade
[CG.14], a responsabilidade pessoal [CG.21] e o trabalho em equipa [CG.22].
- 149 -
Entrevistado A Considera que nem todas as competncias que o modelo prev devem
ser encaradas como importantes ou muito importantes para um perfil de Auditor de SI sem
responsabilidades de gesto (ou seja, nvel no estratgico/institucional). Caso se considere
um perfil de Auditor de SI com essas responsabilidades de gesto, ento quase todas as
competncias previstas pelo modelo seriam muito importantes.
- 150 -
#06. Objectividade
- 152 -
Efectuando a anlise para cada uma das Competncias Tcnicas individualmente, as concluses
so ligeiramente diferentes da anlise por domnio de conhecimento. Assim, as trs
competncias com maior importncia atribuda e, simultaneamente, com destaque relevante
atribudo pelo conjunto dos entrevistados so os conceitos fundamentais de Auditoria [CT.1.2],
os conceitos de controlo interno [CT.1.4] e os modelos estruturados (ex: CobiT, ITIL, ISO
17799) [CT.2.4]. Como se constata, os dois domnios de conhecimentos onde estas
competncias se inserem no foram globalmente apuradas como sendo dos mais importantes,
apesar destas trs competncias serem individualmente as mais importantes.
Entrevistado B Sobressai o facto das trs primeiras competncias destacadas por este
entrevistado coincidirem com as j referidas trs primeiras que foram apuradas no conjunto
dos entrevistados. O entrevistado defende que a maior ou menor importncia das
Competncias Tcnicas nos diversos domnios de conhecimento em anlise depende do tipo
de Auditoria de SI a realizar. Por exemplo, para uma Auditoria aos controlos gerais de SI
importante a competncia relativa aos modelos estruturados (ex: CobiT, ITIL, ISO 17799)
[CT.2.4]. J para uma Auditoria segurana, relevante o domnio da proteco dos activos
de informao [CT.4.0]. Para uma Auditoria s aplicaes de negcio, torna-se fundamental
o domnio Auditoria controlos aplicacionais [CT.7.1].
- 153 -
- 154 -
Encerra-se este captulo, que pretende ser um complemento, constatando que as competncias
classificadas como mais importantes so coerentes com os trs principais determinantes do
Desempenho do Auditor (Capacidade, Experincia e Conhecimento - ver seco 4.1.2) e tambm
com as quatro reas de conhecimento identificadas (Capacidades Interpessoais, Conhecimentos
Gerais de Gesto, Conhecimentos de Auditoria e Conhecimentos de SI - ver seco 4.1.3).
5.1
O MODELO FUNCIONAL
DE
AUDITORIA
DE
SI
A Auditoria de SI tem por misso avaliar e potenciar a melhoria contnua dos nveis de
controlo dos SI e a adequada gesto dos seus riscos por parte da organizao.
A Auditoria de SI uma funo especializada que deve estar inserida num departamento de
Auditoria e Gesto de Risco, coexistindo com a funo de Auditoria de Processos de Negcio
(funo semelhante mas mais abrangente e generalista) e com a funo de Gesto de Risco
(funo complementar pois ajuda os Gestores de SI a identificar e a gerir os seus riscos).
A gesto dos recursos associados Informao, tais como os SI e as TIC, deve ser encarada
como um processo de negcio. Em consequncia, os processos de SI devem ser alvo de
Auditoria, semelhana dos restantes processos de negcio.
Devem fazer parte do mbito da Auditoria de SI todos os nveis de controlo de SI: controlos
de Governo, de Gesto e Tcnicos.
Cada Auditoria de SI pode ser gerida como se tratasse de uma Gesto de Projecto, com as
inerentes tcnicas de gesto de cada um dos parmetros que definem e estruturam uma
Auditoria (objectivos, mbito, tempo, recursos, comunicao, qualidade, riscos, produtos
resultantes, etc.).
5.2
O MODELO
DE
COMPETNCIAS
DE
AUDITORIA
DE
SI
- 158 -
O trabalho de investigao foi concludo com a aplicao prtica do modelo MICASI. Para tal,
efectuaram-se entrevistas a profissionais de Auditoria de SI com o objectivo de classificarem
quais as competncias mais importantes para um Auditor de SI, tendo por base as
competncias previstas no modelo MICASI. As principais concluses foram as seguintes:
- 160 -
5.3
AS LINHAS
DE INVESTIGAO
FUTURA
Para o final deste texto, deixa-se um conjunto de linhas de investigao futura que so fruto da
reflexo do autor efectuada durante e no final do trabalho. As sugestes de desenvolvimentos
futuros esto agrupadas em trs blocos de ideias que se apresentam de seguida.
Modelo Funcional:
Alargar o estudo para incluir outros referenciais de SI que sejam tambm aplicveis s
actividades de Auditoria de SI, para alm dos estudados (CobiT, ITIL e ISO 17799). Por outro
lado, actualizar o estudo dos referenciais de SI recorrendo a verses mais recentes face s
utilizadas neste trabalho. Esta sugesto torna-se mais pertinente dado que o perodo de
concluso deste trabalho coincidiu com o lanamento da verso 3 do ITIL e com a passagem
da ISO 17799 para ISO 27002.
- 161 -
Modelo de Competncias:
Apesar dos desenvolvimentos futuros sugeridos e dos possveis caminhos ainda para percorrer
com base nas concluses obtidas, espera-se que este trabalho de investigao tenha contribudo
para aumentar o conhecimento da funo e potenciar a excelncia profissional nas reas dos SI
e da Auditoria em geral e, em particular, na Auditoria de SI.
- 163 -
Referncias Bibliogrficas
Amaral, L. e Varajo, J., Planeamento de Sistemas de Informao, FCA, Lisboa, Portugal, 2000.
APQC - American Productivity & Quality Center and AA - Arthur Andersen, Process Classification
- Implications for Assurance, Monitoring, and Risk Assessment, The Institute of Internal
Auditors, Florida, USA, 2005b.
IIA - The Institute of Internal Auditors, GTAG - Global Technology Audit Guide: Management of IT
ISACA - Information Systems Audit and Control Association, IS Standards, Guidelines and
Procedures for Auditing and Control Professionals, Information Systems Audit and Control
Association, Illinois, USA, September 2005.
ISACA - Information Systems Audit and Control Association, ISACA Model Curriculum for IS Audit
and Control, Information Systems Audit and Control Association, Illinois, USA, 2004.
ISCJ - Information Systems Control Journal editors, What Recruiters and Staffing Agencies Say
about Trends in IS Auditing, Editors compendium of readers contributions, Information
and ISO 17799 for Business Benefit, in www.itgi.org and www.ogc.gov.uk, 2005.
Jacka, J. M., I Am the Very Model of a Modern Audit Manager, Internal Auditor, The Institute of
Internal Auditors, February 2006.
Kaplan, B. and Duchon, D., Combining Qualitative and Quantitative Methods in Information
Systems Research: A Case Study, MIS Quarterly (2:4), December 1998.
Karapetrovic, S. and Willborn, W., Audit System: concepts and practices, Total Quality
Information Content, John Wiley & Sons, New York, USA, 2000.
McNamee, D. and Selim, G.M., Risk Management: Changing the Internal Auditors Paradigm,
The Institute of Internal Auditors Research Foundation, Florida, USA, 1998.
- 166 -
Moody, D.L., Building Links between IS Research and the Professional Practice: Improving the
Relevance and Impact of IS Research, University of Melbourne and Simsion Bowles &
Associates, Australia, 2000.
Muzio, E., Fisher, D. J., Thomas, E. R. and Peters, V., Soft Skills Quantification (SSQ) for Project
Manager Competencies, Project Management Journal (38:2), June 2007.
Nascimento, J.C., A Virtualizao da Gesto de Sistemas de Informao: Impactos na sua
Silva, P.G., Anlise da Aplicao Informtica AutoAudit, Relatrio de Tecnologias dos Sistemas de
Informao, MBI - Master on Business Information, Universidade do Minho - Escola de
Engenharia, Guimares, Portugal, Fevereiro 2004a.
Silva, P.G., Gesto de Projectos aplicada Definio de mbito de Auditorias de Sistemas de
- 168 -
Anexos
Anexo 1: Actividades de Auditoria de SI previstas no CobiT, ITIL e ISO 17799
Este Anexo faz parte integrante da seco 3.4.3 - As Actividades de Auditoria de SI previstas nos
Referenciais, na qual se descreve a metodologia de anlise utilizada na produo dos resultados abaixo.
- 169 -
- 170 -
- 171 -
Este Anexo faz parte integrante da seco 4.2 - O Modelo de Identificao de Competncias do Auditor
de SI, na qual se apresenta o processo de construo do modelo e se descrevem as funcionalidades da
ferramenta que suporta o modelo.
- 172 -
- 173 -
- 174 -
- 175 -
- 176 -
Este Anexo faz parte integrante das seces 4.3.1 - As Entrevistas Semi-Estruturadas e 4.3.2 - A
Anlise Qualitativa dos Resultados.
- 177 -
- 178 -
- 179 -
- 180 -
- 181 -
- 182 -
- 183 -