A Função Auditoria de Sistemas de Informacao Modelos Funcional e de Competencias

T
Escola de Engenharia
Pedro Manuel Gomes Silva
Funo
Auditoria
Informao:
Modelo
de
Sistemas
Funcional
Competncias
Tese de Mestrado submetida Universidade do Minho

para a obteno do grau de Mestre em Tecnologias e
Sistemas de Informao, na rea de conhecimento em
Gesto de Sistemas de Informao.
Trabalho efectuado sob a orientao do
Professor Doutor Jos Carlos Nascimento
Setembro de 2007
de
de
Agradecimentos
Ao Professor Doutor Jos Carlos Nascimento

pela orientao e disponibilidade para este trabalho de investigao.
Ao Doutor Alberto Carneiro, ao Dr. Rui Gomes e ao Dr. Paulo Gomes

pela colaborao e participao na aplicao prtica de resultados deste trabalho.
- iii -
Resumo
O ttulo deste trabalho A Funo Auditoria de Sistemas de Informao: Modelo Funcional e de
Competncias reflecte o seu principal objectivo que propor um modelo com os vrios
processos de gesto da funo Auditoria de SI e com as competncias que complementarmente
so exigveis ao Auditor de SI. Este modelo poder constituir as bases para a elaborao futura
de uma Metodologia de Auditoria de SI e de uma Poltica de Auditoria de SI. A funo Auditoria
tem evoludo no seu paradigma, preocupando-se actualmente com os processos de negcio e
com os SI que os suportam, baseando-se numa abordagem ao risco. Como consequncia desta
evoluo no Modelo Funcional da Auditoria, dever-se- verificar tambm uma indissocivel
evoluo no Modelo de Competncias dos profissionais de Auditoria. Este trabalho comea por
efectuar a definio dos conceitos associados Auditoria de SI, um resumo da evoluo da
funo e do seu papel e uma explorao dos principais factores caracterizadores do paradigma
actual da funo. proposto um Modelo Funcional, ou seja, um conjunto de ideias estruturadas
e sequenciadas sobre a funo que, em conjunto, formam o modelo: os objectivos, a
organizao, o mbito, os referenciais metodolgicos e os processos de Auditoria de SI. Trata-se
de um exerccio pouco frequente na literatura acadmica de Auditoria de SI pelo tipo de
contributos recolhidos (originais do autor, autores independentes, organizaes profissionais de
Auditoria e entidades que estudam os processos de SI) e pela sistematizao dos conceitos
efectuada (apoiada em representaes grficas). So igualmente lanadas novas ideias, entre as
quais se destacam trs: o posicionamento conceptual da funo; a identificao de actividades
especficas de Auditoria de SI previstas em trs referenciais de SI (CobiT, ITIL e ISO 17799); e a
utilizao dos conceitos de Gesto de Projectos aplicados na Gesto das Auditorias de SI. O
trabalho complementa-se com a proposta dum Modelo de Competncias, designado de MICASI
- Modelo de Identificao de Competncias do Auditor de SI, para o qual se desenvolveu uma
ferramenta informtica de suporte. O modelo resulta da combinao e adaptao de dois
referenciais distintos que correspondem aos dois principais tipos de competncias do Auditor de
SI: as Competncias de Gesto (baseado num modelo de competncias de Gesto de Projectos)
e as Competncias Tcnicas (baseado no Modelo Curricular da ISACA). Por fim, apresentam-se
os resultados da aplicao prtica do modelo MICASI atravs da realizao de entrevistas semiestruturadas a profissionais de Auditoria de SI. O propsito foi a classificao das competncias
que estes profissionais consideram como mais importantes para a actividade de Auditor de SI.
- iv -
Abstract
This works title The Information Systems Audit Function: Functional and Competence Model
reflects its main objective: to propose a model with several management processes of the IS
Audit function and, complementary, to present the skills that are required to the IS Auditor. This
model could set the basis for a future development of an IS Audit Methodology and an IS Audit
Politics. The Audit function has evolved in its paradigm, being nowadays concerned with the
business processes and the IS that support them, adopting a risk-based approach. As an
outcome of this evolution in the Audit Functional Model, there should also be a binding evolution
in the Competence Model of the Audit professionals. This work begins with the definition of IS
Audit related concepts, a summary of the evolution of the function and its role, and the
exploration of the main factors that characterize the current paradigm of the function. A
Functional Model is proposed, that is to say, a set of structured and sequential ideas about the
function that altogether shape the model: the purpose, the organization, the scope, the
methodological frameworks and the processes of IS Audit. This constitutes an unusual exercise in
IS Audit academic literature due to the type of collected contributions (author originals,
independent authors, Audit professional associations, and entities that study IS processes) and
due to the concept systematization that is done (supported by graphical representations). New
ideas are also presented and these three are highlighted: the conceptual positioning of the
function; the identification of IS Audit specific activities considered in three IS frameworks (CobiT,
ITIL and ISO 17799); and the use of Project Management concepts applied to IS Audit
Management. The work is complemented with the proposal of a Competence Model for the IS
Auditor, named MICASI - Information Systems Auditor Competence Identification Model, for
which a supporting tool was developed. This model results from the combination and adaptation
of two distinct frameworks that correspond to the two main types of IS Audit competences:
Management Skills (based on a Project Management competence model) and Technical Skills
(based on the ISACA Model Curriculum). Lastly, a presentation is made of the results of a
practical application of the MICASI model by doing semi-structured interviews to IS Audit
professionals. The aim was to classify the skills that these professionals considered to be the
most important for the activity of IS Auditor.
-v-
ndice
Agradecimentos .................................................................................................................... iii
Resumo ................................................................................................................................ iv
Abstract ................................................................................................................................. v
ndice ................................................................................................................................... vi
Lista de Figuras..................................................................................................................... ix
Lista de Tabelas .................................................................................................................... xi
1
Introduo........................................................................................................ 1
1.1
Motivao e Enquadramento....................................................................................... 1
1.2
Questes de Investigao e Objectivos ........................................................................ 2
1.3
Metodologia de Investigao ....................................................................................... 3
1.3.1
Vrtices da Metodologia Utilizada ......................................................................... 3
1.3.2
Vantagens e Limitaes ....................................................................................... 5
1.3.3
Modelos Estruturados, Normas e Ferramentas utilizadas ...................................... 8
A Auditoria e os Sistemas de Informao ........................................................ 10

2.1
Definies ................................................................................................................ 10
2.1.1
Definies Base ................................................................................................. 10
2.1.2
Definies Adicionais ......................................................................................... 13
2.1.3
Consideraes sobre as Definies .................................................................... 16
2.2
Referncias Evoluo da Funo Auditoria.............................................................. 18
2.2.1
A Evoluo da Funo Auditoria ......................................................................... 18
2.2.2
A Evoluo da Funo Auditoria de SI ................................................................ 20
2.2.3
A Evoluo do Papel do Auditor.......................................................................... 22
2.3
O Paradigma Actual da Funo Auditoria................................................................... 25
2.3.1
Viso Holstica ................................................................................................... 25
2.3.2
Auditoria baseada no Risco ................................................................................ 28
2.3.3
Solues de Melhoria Contnua .......................................................................... 33
2.4
Abordagens Sistmicas da Auditoria.......................................................................... 35
2.4.1
A Auditoria enquanto um Sistema da Organizao.............................................. 35
2.4.2
A Auditoria inserida num Modelo de Sistemas Viveis da Organizao ................ 37

- vi -
Modelo Funcional de Auditoria de SI............................................................... 40

3.1
3.1.1
A Misso da Auditoria de SI................................................................................ 41
3.1.2
A Independncia da Auditoria de SI.................................................................... 43
3.2
A Organizao da Funo ......................................................................................... 47
3.2.1
As Funes de Gesto de SI e Auditoria de SI como Processos de Negcio......... 47
3.2.2
O Posicionamento da Funo Auditoria de SI...................................................... 50
3.3
O mbito da Funo ................................................................................................. 57
3.3.1
A Definio do Universo da Auditoria de SI ......................................................... 57
3.3.2
Os Nveis, Dimenses e Tipos de Controlo sujeitos Auditoria de SI ................... 61
3.4
Os Referenciais Metodolgicos da Funo ................................................................. 65
3.4.1
A Adopo de Referenciais................................................................................. 65
3.4.2
Uma Seleco de 3 Referenciais: CobiT, ITIL e ISO 17799 ................................. 69
3.4.3
As Actividades de Auditoria de SI previstas nos Referenciais ............................... 78
3.5
Os Objectivos da Funo........................................................................................... 40
Os Processos da Funo........................................................................................... 82
3.5.1
O Planeamento das Auditorias de SI................................................................... 83
3.5.2
As Fases das Auditorias de SI ............................................................................ 88
3.5.3
A Gesto das Auditorias de SI como a Gesto de um Projecto............................. 92
3.5.4
A Definio da Estrutura das Auditorias de SI ..................................................... 98
3.5.5
As Tcnicas de Gesto das Auditorias de SI...................................................... 100
Modelo de Competncias de Auditoria de SI ................................................. 111

4.1
As Competncias do Auditor de SI .......................................................................... 111
4.1.1
O Contexto das Competncias do Auditor......................................................... 112
4.1.2
Os Determinantes das Competncias da Auditoria de SI ................................... 117
4.1.3
As reas de Conhecimento do Auditor de SI..................................................... 121
4.1.4
As Competncias de Gesto vs. as Competncias Tcnicas .............................. 125
4.2
O Modelo de Identificao de Competncias do Auditor de SI .................................. 131
4.2.1
O Processo de Investigao e Construo do Modelo........................................ 131
4.2.2
A Descrio das Funcionalidades da Ferramenta de Suporte ao Modelo............ 136
4.2.3
A Aplicabilidade do Modelo em Contexto de Investigao e Empresarial............ 141
4.3
Os Resultados da Aplicao do Modelo de Competncias ........................................ 143

- vii -
4.3.1
As Entrevistas Semi-Estruturadas ..................................................................... 143
4.3.2
A Anlise Qualitativa dos Resultados ................................................................ 147
Concluses e Desenvolvimentos Futuros....................................................... 156

5.1
O Modelo Funcional de Auditoria de SI .................................................................... 156
5.2
O Modelo de Competncias de Auditoria de SI ........................................................ 158
5.3
As Linhas de Investigao Futura ............................................................................ 161
Referncias Bibliogrficas.................................................................................................. 164

Anexos.............................................................................................................................. 169
Anexo 1: Actividades de Auditoria de SI previstas no CobiT, ITIL e ISO 17799................. 169
Anexo 2: Modelo de Identificao de Competncias do Auditor de SI (MICASI)................ 172
Anexo 3: Detalhe dos Resultados das Entrevistas ........................................................... 177
Anexo 4: Anlise dos Resultados das Entrevistas ............................................................ 181
- viii -
Lista de Figuras
Figura 1.1 - Vrtices da Investigao de Tese ............................................................................ 4
Figura 1.2 - Falta de ligao entre a Investigao acadmica e a Prtica profissional em SI........ 6
Figura 2.1 - Viso Holstica da Auditoria: as Dimenses do Risco ............................................. 26
Figura 2.2 - Viso Holstica da Auditoria: os Controlos de SI..................................................... 27
Figura 2.3 - Framework de Gesto de Risco de SI.................................................................... 30
Figura 2.4 - Melhoria Contnua na Auditoria............................................................................. 33
Figura 2.5 - Hierarquia de Sistemas de Auditoria..................................................................... 35
Figura 2.6 - Modelo de Sistemas Viveis ................................................................................. 37
Figura 3.1 - Framework de Processos de Negcio ................................................................... 47
Figura 3.2 - Posicionamento e Reporte Organizativo da Funo Auditoria de SI ........................ 51
Figura 3.3 - Posicionamento Conceptual da Funo Auditoria de SI ......................................... 55
Figura 3.4 - A Definio do Universo da Auditoria de SI ........................................................... 57
Figura 3.5 - O mbito da Auditoria de SI: Nveis e Dimenses dos Controlos de SI ................... 61
Figura 3.6 - Trs Refernciais Metodolgicos Integrados.......................................................... 68
Figura 3.7 - Framework CobiT................................................................................................. 72
Figura 3.8 - Framework ITIL.................................................................................................... 74
Figura 3.9 - Framework ISO 17799......................................................................................... 76
Figura 3.10 - Modelo de Planeamento para a Funo Auditoria de SI....................................... 84
Figura 3.11 - As Fases da Auditoria de SI: sequncia decomposta em contedos .................... 88
Figura 3.12 - As Fases da Auditoria de SI: sequncia lgica de actividades .............................. 90
Figura 3.13 - As Fases da Auditoria de SI: sequncia formal tipo projecto ................................ 91
Figura 3.14 - As Fases da Auditoria de SI como Fases de um Projecto..................................... 94
Figura 3.15 - Framework PMBOK............................................................................................ 97
Figura 4.1 - A Cano do Auditor .......................................................................................... 113
Figura 4.2 - Determinantes das Competncias dos Auditores................................................. 117
Figura 4.3 - reas de Conhecimento com Impacto nos SI...................................................... 119
Figura 4.4 - reas de Conhecimento do Auditor de SI ............................................................ 121
Figura 4.5 - Posicionamento Conceptual das Competncias de Auditoria de SI ...................... 129
Figura 4.6 - Funcionalidades de Preenchimento da Ferramenta de Suporte ao MICASI .......... 136
- ix -
Figura 4.7 - Funcionalidades de Anlise da Ferramenta de Suporte ao MICASI....................... 140

Figura 4.8 - Estruturao das Entrevistas .............................................................................. 144
Figura 4.9 - Representao do Detalhe dos Resultados das Entrevistas.................................. 145
Figura 4.10 - Representao da Anlise dos Resultados das Entrevistas ................................ 145
Figura 4.11 - Anlise Grfica de Resultados: Competncias de Gesto................................... 149
Figura 4.12 - Anlise Grfica de Resultados: Competncias Tcnicas por Domnio ................. 151
Figura 4.13 - Anlise Grfica de Resultados: Competncias Tcnicas..................................... 152
-x-
Lista de Tabelas
Tabela 1.1 - Objectivos dos Modelos, Normas e Ferramentas utilizadas ..................................... 9
Tabela 2.1 - Definies Base associadas Auditoria de SI ....................................................... 13
Tabela 2.2 - Definies Adicionais associadas Auditoria de SI ............................................... 16
Tabela 2.3 - As Eras da Auditoria vs. o Papel do Auditor .......................................................... 23
Tabela 3.1 - O mbito da Auditoria de SI: Tipos de Controlos de SI.......................................... 63
Tabela 3.2 - Comparao de Elementos Caracterizadores: CobiT vs. ITIL vs. ISO 17799.......... 70
Tabela 3.3 - Actividades de Auditoria de SI previstas nos Referenciais (resumo)....................... 79
Tabela 3.4 - Documento de Definio de Auditoria de SI........................................................ 100
Tabela 4.1 - Identificao dos Entrevistados .......................................................................... 146
Tabela 4.2 - As 10 Competncias de Gesto mais Importantes no Auditor de SI .................... 151
Tabela 4.3 - As 10 Competncias Tcnicas mais Importantes no Auditor de SI ...................... 154
- xi -
1 INTRODUO
1.1
MOTIVAO
ENQUADRAMENTO
A evoluo, complexidade e predominncia dos Sistemas de Informao (SI) nas organizaes

actuais fazem com que a Informao e os Sistemas que a suportam devam ser cada vez mais
controlados.
Os SI e as Tecnologias da Informao e Comunicao (TIC) tm afectado as organizaes em

diversas vertentes, alterando no s os processos de negcio mas tambm os papis/misses
das diversas funes da organizao, entre as quais se encontra a funo Auditoria. No domnio
dos SI e das TIC, em que a mudana uma constante, importante conhecer esses efeitos
transformadores, nomeadamente nas competncias exigidas para o desempenho de uma funo
particular relacionada com os SI: a Auditoria de SI.
O exigente nvel de conhecimento e de competncias necessrias ao controlo dos SI implicam

uma crescente necessidade das organizaes possurem profissionais de SI que assegurem e se
dediquem a funes de suporte tais como a segurana, a auditoria e a gesto dos riscos
associados aos SI.
A funo Auditoria nas organizaes, onde se inclui a Auditoria de SI, tem evoludo no seu
estatuto, devendo ser encarada como uma actividade de suporte ao negcio (por oposio a
uma actividade de inspeco) e como tendo um carcter pr-activo ou preventivo (por oposio a
um carcter reactivo). Segundo este novo paradigma, a Auditoria deve ter a sua preocupao
centrada nos processos de negcio e nos SI que os suportam, baseando-se numa abordagem ao
risco.
Como consequncia desta evoluo no modelo funcional da Auditoria, dever-se- verificar

tambm uma evoluo do modelo de competncias dos profissionais de Auditoria de SI. Estes
-1-
tendero a ser de um modo geral menos tcnicos e especializados, passando a deter mais
competncias de gesto e conhecimento do negcio, complementando as competncias
tcnicas base sempre necessrias.
O tema desta Dissertao A Funo Auditoria de Sistemas de Informao: Modelo Funcional e

de Competncias insere-se no mbito da rea disciplinar da Gesto dos SI, nomeadamente:
Na rea do Planeamento e Organizao dos SI, no que diz respeito vertente funo
Na rea de Recursos Humanos de SI, no que diz respeito vertente competncias.
A abordagem a este tema ser tambm uma oportunidade para o autor da tese reflectir sobre
uma rea relacionada com a sua actividade profissional actual Auditoria e Gesto de Risco
esperando que este trabalho de investigao possa contribuir para a excelncia profissional
nesta rea.
1.2
QUESTES
DE INVESTIGAO E
OBJECTIVOS
Perante o contexto atrs apresentado, a tese ser orientada, essencialmente, pelo estudo da
seguinte questo de investigao:
Qual o papel/misso actual para a funo Auditoria de SI nas organizaes?
E, complementarmente, pelo impacto que aquela tem na questo:

Quais as competncias/capacidades actualmente exigidas aos profissionais de Auditoria de

SI?
Tendo por base estas questes de investigao, esta tese pretende atingir o seguinte objectivo:
Identificar um modelo funcional para a Auditoria de SI, compreendendo e situando o

papel/misso desta funo no contexto das organizaes.
Possui, tambm, como objectivo complementar:

Identificar/apontar pistas para um modelo de competncias para os profissionais de

Auditoria de SI (competncias de gesto, tcnicas, etc.).
-2-
Considerando o risco das duas questes de investigao aqui formuladas constiturem talvez um
mbito de investigao demasiado vasto para uma Tese de Mestrado, s quais se juntam ainda
os objectivos enunciados, torna-se importante esclarecer que:
A resposta segunda questo de investigao constitui-se como um complemento s
ideias sistematizadas na resposta primeira.
A adopo das duas questes em conjunto faz sentido, tornando-se necessria e

justificada pois o papel/misso da funo Auditoria, em particular a Auditoria dos SI,
indissocivel das competncias/capacidades que um profissional de Auditoria de SI deve
possuir.
1.3
METODOLOGIA
1.3.1 V R T I C E S
DA
DE INVESTIGAO
METODOLOGIA UTILIZADA
Esta investigao tem como ponto de partida o previsto no documento de Proposta de

Dissertao, nomeadamente nos seguintes pontos deste documento: Enquadramento,
Objectivos, Metodologias e Referncias Bibliogrficas. Com o decorrer do processo de
investigao, o mbito e os objectivos foram reajustados de modo a serem compatveis com
uma abrangncia realstica de uma Tese de Mestrado, tendo-se optado por manter o ttulo da
tese pois este continua a suportar o reajuste.
A Figura 1.1. esquematiza os trs vrtices de investigao (reviso bibliogrfica, anlise

qualitativa e experincia profissional) que foram utilizados nas trs principais componentes da
tese:
A Auditoria de SI Baseia-se fundamentalmente na reviso bibliogrfica para a

apresentao dos conceitos associados Auditoria de SI e sua evoluo. Baseia-se
tambm, em menor proporo, na experincia profissional do autor, na rea da Auditoria
e Gesto de Risco, para a identificao dos principais elementos caracterizadores do
paradigma actual da funo, bem como para a adaptao de abordagens sistmicas para
entender o papel da Auditoria nas organizaes.
-3-
O Modelo Funcional Baseia-se na reviso bibliogrfica e na incorporao da

experincia profissional do autor. Note-se que sendo a componente Modelo Funcional uma
das bases da tese, aps esta componente estar fundamentada de um modo adequado
realidade das organizaes, estaremos em condies de analisar a componente Modelo
de Competncias.
O Modelo de Competncias Baseia-se na reviso bibliogrfica e na anlise qualitativa

dos resultados das entrevistas semi-estruturadas efectuadas a profissionais responsveis
por Auditoria de SI, com uma experincia muito significativa na rea. Nesta tese, entendese por anlise qualitativa o binmio recolha e tratamento dos dados das entrevistas semiestruturadas. O objectivo destas breves entrevistas identificar, sob um ponto de vista
prtico, quais so as competncias mais importantes que os Auditores de SI devero
possuir, de entre as identificadas na reviso bibliogrfica. Refira-se que, embora a
experincia profissional do autor da tese no seja directamente considerada como
fundamento para a componente Modelo de Competncias, o factor experincia
profissional foi considerado indirectamente atravs da anlise qualitativa aos resultados
das entrevistas semi-estruturadas que traduzem a experincia dos profissionais
responsveis por Auditoria de SI.
Figura 1.1 - Vrtices da Investigao de Tese

Fonte: Elaborado pelo autor
-4-
1.3.2 V A N T A G E N S
LIMITAES
No que diz respeito ao primeiro dos vrtices da tese, a reviso bibliogrfica, entende-se que a
utilizao desta abordagem metodolgica , quando comparada com os outros dois vrtices,
pacfica e de aceitao generalizada (e at mesmo obrigatria) em trabalhos desta natureza, pelo
que no sero exploradas as vantagens e limitaes. , no entanto, importante esclarecer que a
reviso bibliogrfica foi delimitada com uma perspectiva muito prtica e direccionada para o
contexto das organizaes, recorrendo apenas em poucos casos a descries histricas da
evoluo da funo Auditoria de SI. Foram tambm incorporados nesta tese alguns resultados de
trabalhos que se relacionam com o tema, efectuados pelo autor no mbito das disciplinas do
curso de Mestrado.
Relativamente ao segundo dos vrtices, a anlise qualitativa, a sua utilizao no estudo da

componente Modelo de Competncias constitui valor acrescentado, na medida em que se
recorre a uma pequena amostra de trs entrevistas semi-estruturadas para complementar o
estudo. A adequao da anlise qualitativa enquanto ferramenta metodolgica ser, de seguida,
debatida com maior detalhe.
O facto da anlise ser qualitativa, implica fundamentalmente que uma anlise que lida com
conceitos (neste caso, competncias de um Auditor de SI) e no essencialmente com nmeros.
No entanto, uma anlise qualitativa no necessariamente especulativa (com enviesamentos,
intencionalmente positivos ou negativos), podendo ser meramente interpretativa (isenta de
enviesamentos intencionais, tanto quanto possvel).
A propsito de vises diferentes no processo de investigao em SI, (Nascimento, 2002) faz

referncia aos princpios da lgica indutiva, segundo a qual a teoria emerge a partir dos
contributos dos participantes, considerando estes contributos como importantes para a prpria
construo do processo de investigao e aceitando a interveno do investigador como
integrante activa do prprio processo, sendo que aquele o influencia e por este influenciado.
Ainda segundo este autor, face ao peso da tradio positivista e do suporte quantitativo na
investigao em SI, a falta de qualidade um argumento que trava frequentemente a aceitao
pela comunidade cientfica de trabalhos de investigao de natureza qualitativa e
interpretativista.
-5-
No domnio da investigao em SI, esta problemtica est particularmente bem desenvolvida

num estudo de (Kaplan and Duchon, 1998) sobre novos SI que considera que as entrevistas
incluem-se nos mtodos qualitativos. Segundo estes autores, na abordagem qualitativa, teorias
so desenvolvidas indutivamente a partir dos dados recolhidos, generalizaes so construdas
de base e so tentados vrios esquemas interpretativos. O estudo observa ainda, em abordagens
qualitativas tais como as entrevistas, a importncia de se manterem registos sistematizados para
serem usados na anlise da informao recolhida. A utilizao de entrevistas semi-estruturadas
tambm apontada por (Nascimento, 2002) como um instrumento de recolha de informao
adequado quando o perodo de disponibilidade dos participantes da investigao se afirma
limitado. O estudo de caso (case study) de (Kaplan and Duchon, 1998) contm aquela que
poder ser uma possvel resposta para a questo: ser que as entrevistas semi-estruturadas se
adequam aos objectivos desta investigao? O referido estudo indica, entre outras concluses:
the need for context-specific measures of job characteristics. Neste sentido, a utilizao de
entrevistas a profissionais de Auditoria de SI para validar as caractersticas que um Auditor de SI
deve possuir parece ser uma opo aceitvel.
Quanto ao terceiro dos vrtices, a experincia profissional, este dever ser entendido aqui como
uma mais-valia em cima dos dois vrtices anteriores, ganhando formalizao atravs da
passagem de conhecimento implcito (que foi adquirido pelos intervenientes na investigao ao
longo das suas prticas profissionais) para conhecimento explcito (que ficar registado e
moldar a forma dos contedos da tese).
Figura 1.2 - Falta de ligao entre a Investigao acadmica e a Prtica profissional em SI

Fonte: Verso original extrada de (Moody, 2000): The Current Situation vs. What Should Happen
-6-
Tal como a figura anterior pretende esquematizar, verifica-se por vezes que a investigao
acadmica em SI est desligada da prtica profissional, existindo pouca interseco e
transferncia de conhecimento entre estes dois domnios. Este facto reconhecido por (Moody,
2000) que considera que a disciplina de SI aproxima-se mais de uma cincia aplicada do que
uma cincia pura. Isto , deve-se focar mais na aplicao prtica dos SI, ou seja, contribuio
para as profisses de SI e, em ltima instncia, para a satisfao de necessidades da sociedade,
do que apenas nos SI por si s, caso em que estaramos perante uma falta de responsabilidade
social (social accountability). Defende que os SI, enquanto cincia aplicada, no alcanaro
mais legitimidade pelo rigor dos seus mtodos ou pela sua base terica, mas sim pela sua
utilidade prtica. Compara ainda a disciplina dos SI Medicina em que, nesta ltima, existe forte
ligao entre a investigao acadmica e a prtica profissional.
Embora esta seja uma temtica de grande abrangncia e nem sempre consensual, a da
natureza da disciplina de SI (aplicada vs. pura), o importante reconhecer que diferentes
mtodos de investigao so adequados dependendo das questes de investigao (research
questions) em causa. Alis estas questes, ou seja, o que investigar?, ficam por vezes
subordinadas questo do como investigar?. No caso da presente investigao, dada a
dificuldade de testar o tema num contexto formal (de laboratrio), afigura-se ser adequada a
utilizao de contextos organizacionais (empresariais), usando a experincia de profissionais de
Auditoria de SI para a identificar e validar ideias sobre as competncias que um Auditor de SI
deve possuir.
Em jeito de encerramento do ponto das vantagens e limitaes, pode concluir-se que legtima
uma metodologia de investigao acadmica que, para alm da tradicional reviso bibliogrfica,
inclui tambm uma anlise qualitativa baseada em casos e complementa com o conhecimento
provindo de experincia de profissionais. Esta afirmao parece ser compatvel com o j referido
estudo de (Kaplan and Duchon, 1998) quando este conclui que uma mistura de mtodos pode
levar a novas perspectivas e formas de anlise que so pouco provveis de ocorrer quando
apenas um dos mtodos usado isoladamente.
-7-
1.3.3 M O D E L O S E S T R U T U R A D O S , N O R M A S
FERRAMENTAS
UTILIZADAS
Entendeu-se tambm considerar a utilizao de outros instrumentos de suporte investigao e

produo do trabalho, nomeadamente de modelos estruturados (frameworks) e normas
(standards), no sentido de referncias metodolgicas, e tambm de ferramentas, no sentido de
aplicativos informticos.
Quanto ao propsito da utilizao destes instrumentos, eles possuem diferentes graus de

adequabilidade e de aproveitamento consoante o objectivo e o captulo do texto em que se
enquadram, tal como a tabela seguinte pretende sistematizar.
CAPTULO
MODELOS / NORMAS / FERRAMENTAS
OBJECTIVOS
2.3
Framework - COSO
Compreender a base do paradigma actual da Funo

Auditoria, nomeadamente a viso holstica e as diversas
dimenses da Auditoria de SI.
2.3
Framework - IT Risk Management Life Cycle
Identificar conceitos e actividades que podero/devero ser

consideradas e aplicadas numa Auditoria de SI baseada no
risco.
3.2
Framework - Process Classification
Enquadrar as funes de Gesto de SI e de Auditoria dos SI

como Processos de Negcio no modelo organizativo.
3.4
Framework / Standard - COBIT
Descrever 3 referenciais metodolgicos que podem ser

utilizados nas Auditorias de SI, tanto como delimitadores do
universo/mbito dos processos de SI a auditar, ou como
metodologias de Auditoria de SI para adaptar.
Framework / Standard - ITIL

Framework / Standard - ISO 17799
3.5
Framework / Standard - PMBOK
Equiparar uma Auditoria de SI a um Projecto, entendendo a

gesto das fases e das actividades de uma Auditoria de SI
como processos de Gesto de Projectos.
4.2
Framework - SSQ Soft Skills Quantification
4.2
Framework - ISACA Model Curriculum for IS

Audit and Control
Identificar, caracterizar e classificar quantitativamente as

competncias de gesto (SSQ) e as competncias tcnicas
(Model Curriculum) que os Auditores de SI devem possuir,
servindo de base para as entrevistas semi-estruturadas.
4.3
Ferramenta MS Excel
Estruturar, calcular e apresentar sob a forma de grficos os

resultados das entrevistas semi-estruturadas relativos
avaliao quantitativa (pontuao) e qualitativa (destaques)
das competncias dos Auditores de SI.
-8-
Ferramenta - Mind Manager
4.3
Estruturar, mapear e apresentar graficamente as ideias

identificadas e debatidas nas entrevistas semi-estruturadas
relativas avaliao qualitativa das competncias dos
Auditores de SI.
Tabela 1.1 - Objectivos dos Modelos, Normas e Ferramentas utilizadas

Fonte: Elaborado pelo autor.
Antes de concluir esta seco relativa metodologia de investigao utilizada, relevante

informar sobre as seguintes opes de escrita deste texto:
As citaes de autores e obras, quando transcritas na ntegra, foram mantidas na

respectiva lngua original (por exemplo, em ingls). Esta opo pretende favorecer a
manuteno do sentido das citaes, ou seja, manter o esprito da letra original que por
vezes difcil de conservar nas tradues.
Nos casos em que os termos/expresses em lngua estrangeira possuem um significado

mais rico do que em portugus, optou-se por mant-los, traduzindo-os e colocando-os da
seguinte forma: [ termo traduzido para portugus (termo na lngua original) ].
A reviso bibliogrfica vai intercalar e coexistir, ao longo dos diversos captulos do

trabalho, com os contributos do prprio autor (exemplos: esquemas conceptuais originais
e/ou adaptaes de trabalhos sobre o tema efectuados anteriormente pelo autor). Com
esta opo de no existir um captulo especfico e autnomo para reviso bibliogrfica,
pretende-se enriquecer os diversos captulos com pontos de vista obtidos na bibliografia e
com os defendidos pelo autor.
No captulo seguinte, a aplicao das metodologias de investigao ao tema da tese inicia-se

com a reviso dos conceitos associados Auditoria, aos SI e, consequentemente, Auditoria de
SI.
-9-
2 A AUDITORIA E OS SISTEMAS DE INFORMAO
Neste captulo pretende-se efectuar uma abordagem global primeira parte do ttulo da tese (A
Auditoria de Sistemas de Informao), para posteriormente nos Captulos 3 e 4 se explorar os
dois conceitos mais especficos relacionados com a segunda parte do ttulo (Modelo Funcional e
Modelo de Competncias).
2.1
DEFINIES
Esta seco tem por objectivo efectuar uma seleco de definies que contribuam para o
esclarecimento de alguns conceitos fundamentais associados Auditoria de SI. Estes conceitos,
compilados sob a forma de tabelas, so apresentados em sequncia lgica e relacionada.
Para alguns dos conceitos, designados com um s termo (como por exemplo, Informao,
Controlo, Risco, etc.), ser apresentada uma definio geral, ou seja, no contextualizada
(extrada do dicionrio da lngua portuguesa). Para os conceitos compostos por vrios termos
(como por exemplo, Auditoria de SI, Controlos de SI, etc.), assim como para os conceitos de um
s termo, ser apresentada sempre uma ou mais definies contextualizadas (no domnio da
Auditoria, dos Sistemas de Informao e das Organizaes).
2.1.1 D E F I N I E S B A S E
As designadas definies base efectuam a decomposio da expresso Auditoria de Sistemas

de Informao, apresentando sequencialmente a definio para cada um dos termos, para um
sub-conjunto de termos e para a totalidade da expresso.
- 10 -
CONCEITO
DEFINIO
Informao
Acto ou efeito de informar ou informar-se. Comunicao. Conjunto de dados, em princpio

imprevisveis, recebidos do exterior, ou por um ser vivo (especialmente o homem) por intermdio dos
seus sentidos, ou por uma mquina electrnica. Elemento ou sistema que pode ser transmitido por
um sinal ou uma combinao de sinais. O que transmitido.
(Porto Editora, 2007)
Essentially, anything that can be digitized encoded as a stream of bits is information.

(Shapiro and Varian, 1999)
Information is understood as symbolic objects (opposed to material and energetic objects) deliberately
built in order to enable communication and the formation of knowledge. As symbolic objects are used
to represent other things they can also be called representations.
(Carvalho, 2000)
Informao aquele conjunto de dados que, quando fornecido de forma e a tempo adequado,
melhora o conhecimento da pessoa que o recebe, ficando ela mais habilitada a desenvolver
determinada actividade ou a tomar determinada deciso.
(Amaral e Varajo, 2000 citando Galliers, 1987)
A Informao tudo aquilo que, diminuindo o nosso grau de incerteza, ou indefinio, nos
potencializa a racionalidade do processo de deciso, isto , de administrao e gesto.
Da que no possa haver Gesto sem Informao a Informao e a Gesto so, afinal, os dois lados
da mesma moeda.
(Olivera, 1998/9)
Information is a tool that adds value, builds competitive advantage and should be used to support
management it is not simply an overhead or functional system.
(Marchand, 2000)
Sistema
Conjunto de partes dependentes umas das outras. Conjunto de leis ou princpios que regulam certa
ordem de fenmenos. Em Informtica, tudo o que indispensvel execuo de uma tarefa
completa com a utilizao de um computador: hardware, software e pessoas responsveis pelo
funcionamento correcto dos aparelhos.
A system is a set of interdependent, goal-oriented and driven processes and related resources.
Virtually anything and everything in our real or conceptual world can be perceived as a system or at
least as a part of one.
(Karapetrovic and Willborn, 2001)
- 11 -
A system (in general or in abstract) can be defined as an active (does something), stable (has a
structure) and evolutionary (that changes over time) thing or object that operates in an environment (it
interacts with other things) with some purpose (from the point of the view of the modeller, there is a
reason for the system to do what it does).
System is a concept that is useful to study active objects, especially when they are complex. A system
is the result of viewing the active world from a certain point of view. Any thing (and specially an active
thing) can be viewed as being a system.
(Carvalho, 2000)
Sistema de
Informao
Information system is either: (i) an active object that deals with (processes) information; or (ii) an
active object whose purpose is to inform.
The first interpretation focuses the nature of the processed objects. Information systems are systems
that process only information, i.e., symbolic objects or representations.
The second interpretation focuses on the purpose of the system. Information system is a system
whose purpose is to inform, i.e., to contribute to someones acquisition of knowledge. This knowledge
is necessary to the execution of some action in some context.
(Carvalho, 2000)
Sistema de Informao um sistema que rene, guarda, processa e faculta informao relevante
para a organizao de modo que a informao acessvel e til para aqueles que a querem utilizar,
incluindo gestores, funcionrios, clientes, etc.
Um Sistema de Informao um sistema de actividade humana (social) que pode envolver ou no a
utilizao de equipamentos.
(Amaral e Varajo, 2000 citando Buckingham, 1987)
Conjunto de meios fsicos e lgicos, humanos, financeiros, organizacionais e consumveis diversos,
que de uma forma racional interagem entre eles, se integram e se combinam com vista produo,
memorizao e distribuio/consulta de Informao, com vista a satisfazer determinadas
necessidades de gesto.
(Oliveira, 1998/9)
Auditoria
Cargo de auditor. Tribunal ou repartio onde se exercem as funes de auditor. Em Economia,

fiscalizao da contabilidade e da gesto de uma empresa ou de um organismo; diagnstico que visa
analisar a gesto e a situao financeira de uma empresa ou organismo.
Tem o objectivo de analisar o funcionamento parcelar ou global das organizaes, para avaliar as
deficincias de desempenho e sugerir vias de correco e melhoramento.
A auditoria no um actividade meramente tcnica que implique apenas a aplicao de certos
procedimentos cujos resultados apresentam um indubitvel rigor.
(Carneiro, 2004)
Auditoria de
Sistemas de
Informao
A Auditoria de Sistemas no tem por objectivo apenas a funo informtica, focalizando-se em todos
os SI, informatizados ou no, que existem na organizao.
A auditoria tem de concentrar os seus esforos na anlise e avaliao, quer envolvendo-se em
processos de planeamento, desenvolvimento, testes e aplicao de sistemas, quer examinando a
estrutura lgica, fsica, ambiental, organizacional de controlo, segurana e proteco de dados.
(Carneiro, 2004)
- 12 -
The IS audit activity should assist the organisation by identifying and evaluating significant exposures
to risk and contributing to the improvement of risk management and control systems.
(ISACA, 2005)
Information Systems Audit is the process of collecting and evaluating evidence to determine whether a
computer system (Information System) safeguards assets, maintains data integrity, achieves
organizational goals effectively and consumes resources efficiently.
Information Systems Audit is a part of the overall audit process, which is one of the facilitators for
good corporate governance.
(Sayana, 2002)
Tabela 2.1 - Definies Base associadas Auditoria de SI
Fonte: Citaes compiladas pelo autor a partir das vrias fontes indicadas
2.1.2 D E F I N I E S A D I C I O N A I S
As designadas definies adicionais complementam as definies base e esclarecem-nos sobre

alguns dos conceitos relevantes que esto associados Auditoria de SI, apresentando a
definio para cada um dos termos e para alguns sub-conjuntos de termos.
CONCEITO
DEFINIO
Controlo
Aco de controlar ou de dominar; domnio. Acto ou efeito de se dominar; autodomnio. Inspeco;

fiscalizao. Verificao de documentos ou servios. Verificao do bom funcionamento (de uma
mquina ou sistema). Teste escrito ou oral para verificao de conhecimentos. Vigilncia exercida
sobre o comportamento de algum.
Any action taken by management, the board, and other parties to manage risk and increase the
likelihood that established objectives and goals will be achieved. Management plans, organizes, and
directs the performance of sufficient actions to provide reasonable assurance that objectives and goals
will be achieved.
The policies, procedures, practices and organizational structures, designed to provide reasonable
assurance that business objectives will be achieved and that undesired events will be prevented or
detected and corrected.
(IIA, 2004 & 2007c)
- 13 -
Um mecanismo de controlo ajuda a atingir o objectivo de um processo sem ser necessariamente

parte do processo. Estes mecanismos so recursos que tm por objectivo, quando utilizados pelos
processos, eliminar ou minimizar os riscos.
comum designar por sistema de controlo interno o conjunto de regras, polticas e procedimentos
(mecanismos de controlo), envolvidos na gesto do risco empresarial.
Um controlo designado interno quando um mecanismo interno de uma entidade. O controlo
interno pode ser uma excelente ferramenta para que os objectivos de uma organizao sejam
atingidos. Contudo, a sua implementao necessita de uma framework coerente.
(Santos, Vasconcelos e Tribolet, 2004)
Controlo
de SI
Organisations must satisfy the quality, fiduciary and security requirements for their information, as for
all assets. Management must also optimise the use of available resources including data, application
systems, technology, facilities and people. To discharge these responsibilities, as well as to achieve its
objectives, management must establish an adequate system of internal control.
(ISACA, 2005)
IT Controls are those controls that provide reasonable assurance of the secure, reliable and resilient
performance of hardware, software, processes and personnel, as well as the reliability of the
organizations information.
(IIA, 2005a)
Risco
Possibilidade de um acontecimento futuro e incerto; perigo.

The possibility of an event occurring that will have an impact on the achievement of objectives. Risk is
measured in terms of impact and likelihood.
(IIA, 2004)
The possibility of an act or event occurring that would have an adverse effect on the organization and
its information systems.
(ISACA, 2007)
Risk is a concept used to express uncertainty about events and/or their outcomes that could have a
material effect on the goals of the organization.
(McNamee and Selim, 1998)
Gesto de
Risco
Enterprise-wide risk management (ERM) is a structured, consistent and continuous process across the
whole organisation for identifying, assessing, deciding on responses to and reporting on opportunities
and threats that affect the achievement of its objectives.
Risk Management processes identify, assess, manage, and control potential events or situations, to
provide reasonable assurance regarding the achievement of the organisations objectives.
(IIA, 2004)
Auditoria
Interna
Internal Auditing is an independent, objective assurance and consulting activity designed to add value
and improve an organization's operations. It helps an organization accomplish its objectives by
bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk
management, control, and governance processes.
(IIA, 2000)
- 14 -
A Auditoria Interna tem um vasto mbito de actuao, pretendendo-se que auxilie a equipa de gesto
no seu desempenho de atribuies e responsabilidades, com base nas suas avaliaes e
recomendaes.
A Auditoria Interna realizada com recursos materiais e pessoal da prpria empresa auditada.
Entende-se que a Auditoria Interna deva constituir uma funo de avaliao independente, embora
pertena prpria organizao.
(Carneiro, 2004)
The internal audit department's mission is twofold: To provide independent assurance to the audit
committee (and senior management) that internal controls are in place at the company and are
functioning effectively; To improve the state of internal controls at the company by promoting internal
controls and by helping the company to identify control weaknesses and develop cost-effective
solutions for addressing those weaknesses.
(Davis, Schillerand and Wheeler, 2007)
Auditoria
Externa
A Auditoria Externa realizada por entidades que no pertencem empresa auditada, pretendendose, assim, uma maior objectividade relativamente Auditoria Interna, devido ao maior distanciamento
entre auditores e auditados.
, por vezes, designada como auditoria financeira, pois integra a anlise das contas e das
demonstraes financeiras.
(Carneiro, 2004)
Auditoria
Tecnolgica
Tem por objectivo analisar as tecnologias mais importantes da cadeia de valor da organizao, isto ,
as tecnologias que mais influenciam a formulao das estratgias e a respectiva competitividade. As
tecnologias so analisadas quanto ao seu grau de adequao aos objectivos da organizao, sua
gama de produtos e aos mercados onde a mesma opera.
(Carneiro, 2004)
Tecnologias
de
Informao
Numa perspectiva estritamente tecnolgica, so o conjunto de equipamentos e suportes lgicos

(hardware e software) que permitem executar tarefas como aquisio, transmisso, armazenamento,
recuperao e exposio de dados.
(Amaral e Varajo, 2000)
Information Technology (IT) is the infrastructure that makes it possible to store, search, retrieve, copy,
filter, manipulate, view, transmit and receive information.
(Shapiro and Varian, 1999)
Information Technology (IT) is all the computer hardware and software used to process information
and provide communications, the process for administering and maintaining the technology and the
human resources associated with the use of technology.
(IIA, 2005a)
In Information Technology (IT) the management focus is on infrastructure policies, standards and
practices; the key issues include reliability, responsiveness, flexibility, ease of use and
price/performance ratio.
(Marchand, 2000)
Gesto da
Informao
A Informao, como qualquer outro dos recursos vitais, deve ser gerida, pelo que deve constituir o
cerne de um area funcional da gesto da organizao a que comummente se chama de gesto da
Informao.
- 15 -
A gesto da informao entendida como a gesto eficaz de todos os recursos de informao

relevantes para a organizao, tanto de recursos gerados internamente como os produzidos
externamente e fazendo apelo, sempre que necessrio, tecnologia de informao.
(Braga, 2000)
Information Management is business- and process-driven, and focuses on the use, quality and
integrity of information.
(Marchand, 2000)
Gesto de
Sistemas de
Informao
Gesto de Sistemas de Informao a gesto do recurso Informao e de todos os recursos

envolvidos no planeamento, desenvolvimento, explorao e manuteno do Sistema de Informao.
Governo das
Sociedades
(Corporate
Governance)
Corporate Governance is the structure through which the objectives of an organization are set, and the
means of attaining those objectives, and determines monitoring performance guidelines. Good
corporate governance should provide proper incentives for board and management to pursue
objectives that are in the interests of the company and stakeholders and should facilitate effective
monitoring, thereby encouraging firms to use resources more efficiently.
(ISACA, 2007)
Governo
dos SI
IT Governance is a structure of relationships and processes to direct and control the enterprise in
order to achieve the enterprise's goals by adding value while balancing risk versus return over IT and
its processes.
(IT Governance)
(ISACA, 2007)
Tabela 2.2 - Definies Adicionais associadas Auditoria de SI
Fonte: Citaes compiladas pelo autor a partir das vrias fontes indicadas
2.1.3 C O N S I D E R A E S
SOBRE AS
DEFINIES
Tal como reconhecido por (Amaral e Varajo, 2000), Informao, Tecnologias de Informao
e Sistemas de Informao, apesar de serem termos banalizados na linguagem comum, so
conceitos sem um entendimento universal, pelo que se sentiu a necessidade de efectuar a
distino e a clarificao destes e outros termos que lhes esto associados.
Desde logo, no que diz respeito Informao, destacam-se as definies que a tomam como um
activo que a organizao possui, com a inerente propriedade de ter utilidade e valor, e que deve
ser tratado como qualquer um dos outros bens.
Alerta-se tambm para a distino do termo Sistema que possui um significado prprio e
independente de SI (um SI um Sistema, mas nem todos os Sistemas so de Informao).
- 16 -
Muitas vezes utiliza-se erradamente, como atalho, o termo Sistema para designar SI. Por outro
lado, as definies apresentadas para SI reforam o seu carcter sistmico que, no obstante a
redundncia, muitas vezes ignorado quando se tomam os SI como Tecnologias de Informao,
dado que estas ltimas no possuem todas as caractersticas identificadoras de um Sistema.
Esta confuso entre as expresses SI e TI (Tecnologias de Informao) agravada pela

correntemente aceite e generalizada (mas incorrecta!) utilizao na lngua inglesa da expresso
IT (Information Technology) para designar os IS (Information Systems). Cientes desta limitao,

no presente texto, sempre que aparea em designaes ou citaes em lngua inglesa,
interpretaremos a expresso IT como sendo SI em portugus.
Para finalizar a argumentao sobre a correcta utilizao da expresso SI, recorreu-se a um texto
de (Oliveira, 1997) onde este afirma que qualquer sistema informtico est contido num SI. O
conceito de sistema informtico, entenda-se Tecnologias de Informao, apenas cobre uma
parte da problemtica inerente ao SI. Sempre existiram SI, mesmo quando no existiam
Tecnologias de Informao. Alis, (Oliveira, 1998/9) observa que o primeiro tratado sobre SI
tem mais de cinco sculos ( um tratado sobre um sistema matemtico, datado de 1494).
Agregando ento os conceitos de Informao e de Sistema, bem como a utilidade da sua

existncia nas organizaes, temos a chamada abordagem de SI (information system
approach), referida por (Oliveira, 1998/9) como sendo uma exigncia arquitectural que
priviligie o fluxo de Informao ao longo da pirmide organizacional ou ao longo do processo
produtivo. Daqui tambm se deriva a necessidade de se efectuar a Gesto da Informao.
As definies apresentadas de Auditoria e de Gesto de Risco, com os seus indissociveis

conceitos de Risco e de Controlo, deixam transparecer que so considerados como instrumentos
de Governo das Sociedades e, como iremos ver mais frente, cada vez mais tambm como
instrumentos de Governo dos SI.
No que se refere s definies de Auditoria apresentadas, importa perceber a existncia de

diversos tipos de Auditoria (Interna, Externa, Tecnolgica, entre outros aqui no referenciados). O
- 17 -
presente texto centra-se fundamentalmente na Auditoria de SI enquanto parte integrante da

Auditoria Interna. No obstante, os princpios fundamentais da Auditoria Interna so os mesmos
da Auditoria Externa, pelo que tambm so aplicveis aos casos em que a funo Auditoria de SI
da responsabilidade da Auditoria Externa (casos menos frequentes nas grandes organizaes).
Num contexto em que as organizaes baseiam cada vez mais os seus processos produtivos em
SI e em Tecnologias, legtimo afirmar que a Auditoria de SI tambm pode integrar os objectivos
da Auditoria Tecnolgica.
2.2
REFERNCIAS
EVOLUO
DA
FUNO AUDITORIA
Nesta seco so efectuadas breves referncias evoluo da funo Auditoria. Espera-se que
contribua para a percepo do modo como a Auditoria de SI surgiu e se desenvolveu a partir de
uma Auditoria mais generalista, como por exemplo a Auditoria Interna, e tornar evidente que a
Auditoria de SI continua a fazer parte integrante e a basear-se nos principais fundamentos
daquela.
2.2.1 A E V O L U O
DA
FUNO AUDITORIA
O termo Auditoria remonta aos tempos medievais, altura em que, em algumas fazendas privadas
e nos estados feudais, os registos contabilsticos do governo eram aprovados em audincia
pblica, sendo as contas lidas e ouvidas em voz alta. Neste contexto, encontrmos o significado
original da palavra Auditor que provm do vocbulo audire e que significa ouvir. Segundo
(Geada, 2005), existem registos de actividades de Auditoria datados de 3000 AC e tambm da
designada China antiga, Grcia e Roma. Nesta ltima, os auditores ouviam os contribuintes e
elaboravam registos pblicos tendo em conta os negcios e as taxas devidas.
De acordo com o levantamento histrico efectuado por (Daz y Vera, 2006), por volta dos sculos
XIII e XIV, existem evidncias de que em Inglaterra se auditava a gesto dos funcionrios
pblicos responsveis pelos fundos estatais, bem como as operaes de algumas actividades
privadas (este foco na Auditoria s operaes s iria reaparecer por volta de 1950!). Nos
- 18 -
princpios do sculo XIX, o desenvolvimento empresarial provocado pela Revoluo Industrial

potencia a actividade da Auditoria. At finais do sculo XIX, esta actividade tinha como principais
objectivos a deteco de fraudes e os aspectos contabilsticos. Na primeira metade do sculo XX,
os objectivos da Auditoria reposicionam-se para determinar e opinar sobre se os relatos
financeiros das organizaes representam correctamente a sua situao financeira e os
resultados operacionais. A partir das dcadas de 1940 e 1950, o conceito de Auditoria Interna
comea a afirmar-se, passando o Controlo Interno a ter um papel chave na Auditoria das
grandes organizaes. A funo Auditoria inicia ento uma evoluo em paralelo com os
objectivos das modernas organizaes empresariais. A gesto destas organizaes sentia uma
necessidade cada vez maior de possuir mecanismos que lhe permitissem confiar nas
demonstraes financeiras publicadas, recorrendo a inspeces efectuadas por funcionrios da
prpria organizao (Auditoria Interna), como complemento s inspeces efectuadas
externamente (Auditoria Externa). A partir da dcada de 1980, a funo da Auditoria v o seu
mbito alargar-se progressivamente, passando a incluir anlises de controlos administrativos e
tambm anlises eficincia e eficcia das operaes e da utilizao dos recursos. Passa a
existir uma maior cooperao entre Auditoria Interna e a Externa. Por ltimo, na dcada de
1990, a funo Auditoria atinge um ltimo patamar, mais abrangente e sistemtico, em que a
sua actividade se baseia na identificao e gesto dos riscos das organizaes.
Em termos de marcos institucionais ou metodolgicos relevantes para a actividade da Auditoria,

(Cangemi, 2003) identifica a primeira Auditoria Externa efectuada por um funcionrio pblico em
1720 em Inglaterra e o facto do no British Companies Act de 1844 constar a obrigatoriedade de
se efectuarem Auditorias Financeiras s empresas financiadas por accionistas. O primeiro
documento formal com princpios geralmente aceites e standards aplicados Auditoria,
Approved Methods for the Preparation of Balance-Sheet Statements, foi elaborado em 1918 na
Amrica. Em 1941, publica-se o primeiro grande compndio sobre Auditoria, Internal Auditing
do autor Victor Z. Brink, e ocorre a fundao da maior associao mundial de Auditores, o IIA -
The Institute of Internal Auditors. O jornal/revista desta Associao, o Internal Auditor, publica
em 1948 o artigo Audits of Operations onde pela primeira vez explicitamente descrito este
mbito mais alargado da Auditoria, relacionado com os processos das operaes das
organizaes. Em 1957, numa reviso do Statement of Responsabilities of Internal Auditing, o
- 19 -
IIA refere neste documento formal que o Auditor dever-se- preocupar com toda e qualquer fase
da actividade da organizao. Est aberto o caminho para que os futuros Sistemas de
Informao possam tambm caber no mbito das Auditorias.
Como fenmeno paralelo evoluo geral da Auditoria, desde a dcada de 1950 at aos nossos
dias, assiste-se a um surgimento progressivo de segmentos de Auditoria, ou seja, tipos de
Auditoria focados em determinadas funes ou reas da organizao. Para alm da diviso entre
a Auditoria Interna e a Externa, e das mais generalizadas Auditoria Financeira e Auditoria de
Fraude, surgem a Auditoria da Qualidade, a Auditoria do Ambiente, a Auditoria de Processos de
Negcio, etc. Comeam a surgir tambm Auditorias associadas a activos intangveis ou
imateriais, como seja a Auditoria da Informao.
2.2.2 A E V O L U O
DA
FUNO AUDITORIA
DE
SI
O desenvolvimento da Auditoria de SI est em primeiro lugar relacionado com a necessidade de,

em determinado momento, se passarem a efectuar Auditorias prpria Informao. O j referido
estudo de (Daz y Vera, 2006), situa as origens da Auditoria da Informao na dcada de 1970 e
incios de 1980, acompanhando o desenvolvimento nas reas das cincias da informao, das
cincias econmicas e das tecnologias de informao e comunicao. A primeira referncia
explcita ao termo Auditoria da Informao encontra-se datada de 1982. Com o prosseguir das
dcadas de 1980 e 1990, devido proliferao dos estudos de mercado, dos consumidores e
das suas necessidades, no mbito das cincias econmico-sociais, as prticas de Auditoria da
Informao consolidam-se em algumas grandes organizaes. Com a aplicao destas prticas,
comea a surgir tambm o conceito de Gesto da Informao que foi alavancado, entre outros
factores, pelo nfase que as grandes organizaes colocavam nos SI associados s reas
financeiras e de contabilidade e, por outro lado, pela crescente necessidade que sentiam em
valorizar, ou seja, atribuir valor aos seus recursos de Informao. Neste contexto, a Auditoria da
Informao passou a incluir no seu mbito no s a identificao das fontes, dos servios e dos
sistemas, mas tambm a avaliao de como estes so utilizados, a sua relao com as
actividades crticas do negcio e o seu alinhamento com os objectivos estratgicos da
organizao.
- 20 -
No fundo, podemos dizer que a Auditoria da Informao deixou de estar centrada em si prpria,
(ou seja, estritamente na Informao), passando a estabelecer elos de ligao com as
necessidades da organizao e com os Sistemas de Informao que as suportam.
No compndio de (Cangemi, 2003) sobre a funo de Auditoria numa grande empresa, no

captulo relativo histria da Auditoria de SI (History of Information Systems Auditing),
podemos encontrar uma afirmao que posiciona o estado de desenvolvimento da funo
Auditoria com as respectivas competncias do Auditor:
It was possible for an auditor to retire in the 1950s having used similar audit programs
throughout ones career. That will never happen again! The effects of IT on auditing have
culminated in a set of knowledge skills and standards necessary to conduct the contemporary
audit that were nonexistent
Ainda segundo (Cangemi, 2003), no perodo aproximado entre 1955 a 1965, constatava-se que
as tecnologias de informao das organizaes eram baseadas apenas em computadores
centralizados (mainframes), com os seus inerentes e proprietrios mecanismos de segurana.
Apenas um conjunto de pessoas muito restrito tinha conhecimentos para poder violar o sistema,
pelo que os prprios auditores tambm no tinham as competncias adequadas para os auditar,
nem reconheciam a necessidade de faz-lo. Com a crescente computorizao nas grandes
organizaes, os Auditores ficaram tambm cada vez mais dependentes das capacidades (skills)
de terceiros, dos tcnicos especializados em processamento electrnico de dados (EDP -
Electronic Data Processing), pelo que o acesso informao estava a escapar-lhes.

Paradoxalmente nesse mesmo perodo comeavam a surgir artigos em que os Auditores
reconheciam as potencialidades que as tecnologias de informao poderiam ter para serem
usadas, elas prprias, como um meio de auditar a informao financeira, levando assim ao
desenvolvimento de software para Auditoria (designado como GAS - Generalized Audit Software
ou como CATT - Computer Aided Audit Tools). A ferramenta AUDITAPE foi a pioneira em 1967. A
partir de 1980 at aos nossos dias, com a massificao do uso dos computadores pessoais em
contexto empresarial, existem vrias ferramentas do tipo CAAT que se generalizaram a nvel
- 21 -
mundial, entre as quais as duas mais conhecidas actualmente no meio profissional da Auditoria:
IDEA (Interactive Data Extraction and Analysis) e ACL (Audit Control Language).
No que diz respeito a marcos institucionais ou metodolgicos relevantes para a actividade da

Auditoria de SI, (Asthon, 2001) identifica a primeira norma (standard) geralmente aceite,
publicada nos EUA em 1983 pelo Department of Defense, vulgarmente conhecida como The
Orange Book e intitulada de DOD STD - Trusted Computer System Evaluation Criteria (TCSEC).
Dado que a Segurana dos SI foi o primeiro dos domnios da Auditoria de SI a ser explorado,
esta norma tratava de medidas de salvaguarda dos computadores com vista proteco de
informao classificada, existente em ambientes com acesso remoto e sistemas com partilha de
recursos. Outros marcos importantes so tambm referidos por (Cangemi, 2003): a fundao
em 1969 nos EUA da EDPAA - Electronic Data Processing Auditors Association ; a publicao em
1977, por esta Associao, da primeira edio dos Control Objectives (compilation of
guidelines, procedures, best practices and standards for EDP Audits); vrias revises deste
documento, entre as quais a de 1996 em que foi renomeado para CobiT - Control Objectives for
Information and related Technology ; e a introduo em 1978 de um programa de certificaes

para Auditores de SI, iniciado com a certificao CISA - Certified Information Systems Auditor.
2.2.3 A E V O L U O
DO
PAPEL
DO
AUDITOR
A tabela apresentada de seguida pretende sistematizar a evoluo da Auditoria ao longo de 4

Eras relacionando-as com algumas das caractersticas que compem o papel a desempenhar
pelo Auditor. Foi construda partindo desta ideia base apresentada por (Fretwell, 2004):
Auditing has always been comparing what is to what should be. But how and what has
changed over time.
De facto, como poderemos perceber pelos papis do Auditor detalhados na tabela, o modo de
exercer a Auditoria (como?) e os objectos alvo da Auditoria (o qu?) foram evoluindo ao longo
das 4 Eras, desde a Era da Inspeco, passando pela Era do Controlo, pela presente Era do
Risco e pela prxima Era da Auditoria Contnua.
- 22 -
A ERA DA
AUDITORIA:
O PAPEL DO AUDITOR:
A Auditoria
baseada na
Inspeco
Auditores focados na inspeco e na recontagem.

Auditores focados nos testes substantivos (provas suficientes e convincentes sobre as transaces).
A Auditoria
baseada no
Controlo
Auditores focados na adequao aos controlos e s polticas definidas.

Auditores comeam a executar auditorias operacionais.
Auditores comeam a encarar a Auditoria de uma forma mais abrangente, como estando ao servio da
Gesto da organizao.
A Auditoria
baseada no
Risco
Auditores focados na mitigao dos riscos verificando a definio e a execuo dos controlos ao nvel das
entidades e dos processos de negcio.
Auditores no assumem partida que os controlos implementados so os mais adequados.
Auditores encaram o risco de forma holstica, muito para alm dos riscos associados aos financeiros
(passam a incluir, por exemplo, os riscos associados aos Sistemas e Tecnologias de Informao.)
Auditores perante legislaes com reportings exigentes e abrangentes (ex: Sabarnes-Oxley).
Auditores perante elevado ritmo de mudana do negcio e Tecnologias cada vez mais complexas.
Auditores efectuam mais Auditorias aos Sistemas e Tecnologias que resultam em findings muito
tcnicos, dificultando a sua compreenso e necessria aco por parte da Gesto da organizao.
Auditores lidam com activos intangveis que representam maior proporo do valor da empresa.
Factores que
potenciam a
evoluo:
A Auditoria
Contnua
(no futuro
prximo)
Auditores obrigados a providenciarem relatrios de conformidade de forma independente mas cada vez
mais rpida e contnua.
Auditores obrigados a desenvolverem e implementarem sistemas de monitorizao que permitam um
contnuo risk assessment e consequente actualizao do plano e das prioritizaes das Auditorias.
Auditores obrigados a detectarem e a reportarem aos Comits de Auditoria e aos Accionistas de forma
quase imediata as violaes ou quebras nos controlos.
Auditores obrigados a acompanharem o elevado ritmo de mudana nos negcios, que tornam os risk
assessments com periodicidade apenas anual inadequados no tempo e rapidamente obsoletos.
Auditores necessitam de compreender os crescentes riscos associados Informao e aos Sistemas e
Tecnologias de Informao e Comunicao.
Auditores recorrem contratao de especialistas externos em Tecnologias.
Auditores intensificam o uso das IT audit tools and techniques.
Auditores necessitam de adaptar os risk assessments para incorporar os riscos associados aos Sistemas
que gerem activos intangveis: Customer Relationship, Human Capital, Brand Management, Knowledge
Capital, etc.
Auditores necessitam de compreender e consolidar os inputs de vrias iniciativas na organizao que
efectuam risk assessments:: Internal Audit, Internal Control & Compliance, Enterprise-Wide Risk
Management, Business Continuity Management, Sabarnes-Oxley, Corporate Social Responsability, etc.

Competncias
necessrias
evoluo:

Auditores melhorarem competncias de comunicao e de facilitao do processo de Auditoria.

Auditores com maior formao base, incluindo mais MBAs e graduaes em Sistemas.
Auditores com maior formao especfica, incluindo certificaes e especializaes tecnolgicas.
Auditores com conhecimento operacional e de negcio para potenciar a melhoria contnua.
Auditores adquirirem competncias de Sabarnes-Oxley compliance e de deteco de Fraude.
Auditores terem liberdade de responder directamente aos Comits de Auditoria independentes,
reduzindo a influncia da Gesto da organizao nos processos de Auditoria.
Tabela 2.3 - As Eras da Auditoria vs. o Papel do Auditor

Fonte: Elaborado e compilado pelo autor a partir de vrios conceitos apresentados por (Fretwell, 2004):
The Changing Role of the Internal Auditor
- 23 -
No dispensando uma leitura mais atenta dos contedos da tabela anterior, poderemos
identificar, desde j, uma ideia chave: o papel do Auditor tem evoludo e de forma positiva.
Partindo de um Auditor preocupado com o passado (Era da Inspeco), passou-se para um
Auditor preocupado com o presente (Era do Controlo), agora preocupado com o futuro (Era
do Risco) e, cada vez mais, preocupado de forma permanente (Era da Auditoria Contnua).
Sem situar cronologicamente as diferentes Eras, relativamente consensual nos meios

profissionais da Auditoria, admitir que esta se encontra actualmente na Era do Risco. Existem,
contudo, j algumas prticas que a posicionam na entrada da Era da Auditoria Contnua.
Destacam-se alguns factores que tm potenciado a evoluo para esta Era, como sejam o
crescente ritmo de mudana dos negcios, das Tecnologias e dos SI, com uma consequente
maior proporo dos activos intangveis nas organizaes (incluindo a Informao e o
conhecimento Humano). Paralelamente, so cada vez mais abrangentes as exigncias de
Informao pblica, favorecidas por fenmenos como o Sarbanes-Oxley Act, publicado em 2002
pela entidade reguladora do mercado financeiro dos EUA. Esta legislao para empresas
cotadas, tem impacto nas Auditoria Financeiras, mas tambm nas Auditorias Operacionais e de
SI pois regula os registos financeiros, define tipos de Informao que tm de ser guardados e por
quanto tempo, tem implicaes no planeamento e na capacidade de armazenamento de dados,
etc. Por outro lado, esta legislao surgiu na sequncia de uma srie de incidentes com a
Informao financeira de algumas grandes empresas nos EUA, o que levou inclusivamente
extino/separao das empresas de Consultoria das empresas de Auditoria (como por exemplo
a Arthur Andersen ), no sentido de garantir maior independncia para a funo Auditoria.
Estas evolues da Auditoria requerem um acompanhamento das competncias dos Auditores,

com conhecimentos tcnicos e especializados mais aprofundados (formaes, certificaes, etc.)
mas cada vez mais, tambm, com conhecimentos abrangentes (gesto, comunicao, etc.).
Na seco seguinte, relativa ao paradigma actual da funo Auditoria, so desenvolvidos alguns

dos aspectos da actual Era (Auditoria com viso holstica e baseada no risco) e tambm da Era
que se est a iniciar (Auditoria com solues de melhoria contnua).
- 24 -
2.3
O PARADIGMA ACTUAL
DA
FUNO AUDITORIA
Nesta seco efectuada uma explorao de trs dos principais factores caracterizadores do
paradigma actual da funo.
2.3.1 V I S O H O L S T I C A
Nos EUA, em 1987, uma comisso patrocinada por 5 grandes organizaes relacionadas com a
contabilidade e a Auditoria, conhecida como COSO - Commmittee of Sponsoring Organizations,
elaborou o chamado Treadway Comission Report que concluiu que uma funo de Auditoria
Interna deveria existir em todas as empresas pblicas e que deveria existir um Comit de
Auditoria Corporativo, constitudo por administradores/directores com funes no executivas
(para garantir independncia). Este relatrio foi considerado um marco e contribuiu
decisivamente para:
A consolidao/desenvolvimento da misso e do papel da funo de Auditoria Interna,

tornando-a necessria e, por vezes, obrigatria.
A introduo de uma viso holstica da Auditoria, ao definir um carcter multi-dimensional

quanto ao mbito.
A introduo de uma abordagem baseada no risco para a Auditoria, ao definir prticas de

avaliao de risco (risk assessment).
Dos trs pontos atrs indicados, destacamos, por agora, o segundo relativo viso holstica da
Auditoria. O terceiro ponto, relativo abordagem ao risco, est tambm muito relacionado com o
segundo, pelo que mais frente ser devidamente desenvolvido.
A figura seguinte habitualmente conhecida como o Cubo COSO (COSOs framework), sendo
apresentada a sua verso mais recente (IIA, 2007b). A verso original (Internal Control
Framework) possua 5x3x4 dimenses mas a verso actual (Risk Management Framework)
possui 8x4x4. Verificou-se uma expanso com a introduo de mais linhas e mais colunas nas
faces frontal e superior do cubo, sendo que a face lateral manteve-se mas passou a ser menos
- 25 -
genrica, concretizando agora 4 nveis organizacionais. Estes factos so sintomticos da

evoluo de uma viso de Controlo Interno para uma viso de Gesto de Risco e tambm do
carcter multi-dimensional da Auditoria, pois cada vez se vai identificando mais dimenses para
o seu mbito.
Figura 2.1 - Viso Holstica da Auditoria: as Dimenses do Risco

Fonte: Verso original extrada de (IIA, 2007b): COSOs Framework
Embora este modelo estruturado (framework) tenha sido pensado genericamente para
actividades de Gesto de Risco, devido ao facto da Auditoria ter adoptado uma abordagem
baseada no risco, possui conceitos essenciais a ser considerados pelas actividades de Auditoria.
De acordo com este modelo (IIA, 2007b), na face do topo do cubo, encontrmos as 4 categorias
de objectivos que a gesto da organizao define e que a Auditoria deve abordar: os Estratgicos
(alto nvel, alinhados com a misso e a viso); os Operacionais (uso eficaz e eficiente dos
recursos); os de Relato (fiabilidade dos relatrios); e os de Conformidade (com as leis e
regulamentos).
A Auditoria dever verificar que os objectivos atrs enunciados esto integrados em todos os
processos de gesto da organizao. Na face frontal do cubo, esto indicados 8 componentes
que se interrelacionam e que a Auditoria deve considerar: a Envolvente Interna (estabelecimento
- 26 -
de uma cultura e nvel de risco desejado); a Definio de Objectivos (considerar o nvel de risco
nos objectivos); a Identificao de Ocorrncias (internas ou externas que representem um risco
ou uma oportunidade para a organizao); a Avaliao do Risco (qualificao e quantificao da
probabilidade e do impacto dos riscos); a Resposta ao Risco (escolher a forma de mitigar o risco
e definir aces de resposta); as Actividades de Controlo (controlar a execuo e eficcia das
aces de reposta ao risco); a Informao e Comunicao (atempada e abrangente, para
garantir que os papeis e responsabilidades de gesto dos riscos so executados eficazmente); e
a Monitorizao (monitorizao contnua dos riscos face s mudanas).
Por fim, a Auditoria pode trabalhar em diferentes nveis organizacionais, tal como visvel na
face lateral do cubo: nvel da Entidade (por ex. empresa/holding); nvel da Diviso (por ex.
departamentos); nvel da Unidade de Negcio (por ex. tipos de negcio); e nvel da Subsidiria
(por ex. empresas/sub-holdings).
A viso holstica anteriormente apresentada para a Auditoria em geral pode ser transposta para
as especificidades da Auditoria de SI. O Global Technology Audit Guide IT Controls do (IIA,
2005a) apresenta uma aplicao do modelo COSO (verso Internal Controls) para os SI.
Figura 2.2 - Viso Holstica da Auditoria: os Controlos de SI

Fonte: Verso original extrada de (IIA, 2005a): COSO Model for Technology Controls
- 27 -
Apesar de no Captulo 3 se descreverem com maior pormenor os objectivos, o mbito e os

referenciais metodolgicos, este modelo estruturado permite-nos reforar a viso holstica da
Auditoria de SI. De facto, a actividade desta pode ser bastante abrangente, se considerarmos
auditar os diversos domnios de Controlo Interno que o modelo prev em 5 grandes
componentes: o Ambiente de Controlo (organizao, polticas e nveis dos controlos a aplicar s
tecnologias e aos SI); a Avaliao do Risco (riscos e controlos que so especficos dos SI); as
Actividades de Controlo (aplicao dos controlos de SI pela organizao utilizando metodologias
de anlise, normas e boas prticas de SI); a Informao e Comunicao (cultura e divulgao
dos controlos de SI da organizao) e a Monitorizao (medies, anlises e avaliaes do
desempenho dos SI face aos seus controlos).
2.3.2 A U D I T O R I A
BASEADA NO
RISCO
Um estudo efectuado por (McNamee and Selim, 1998), intitulado Risk Management: Changing
the Internal Auditors Paradigm, identificou uma mudana significativa no paradigma da

Auditoria: de passiva, reactiva e baseada em controlos, passou para activa, proactiva e baseada
em riscos. Este estudo, patrocinado pelo The Institute of Internal Auditors, chegou quela
concluso atravs da anlise aos processos de Auditoria de 29 organizaes de alto
desempenho (top performers) de diversos pases e diversos sectores de actividade pblicos e
privados. Este novo paradigma reconhece que o risco um dos motores da actividade das
organizaes e que os processos de Governo das Sociedades (Corporate Governance) so a
resposta estratgica das organizaes ao risco.
Embora as respostas das organizaes aos riscos sejam especficas ao sector em que actuam,
podemos dizer que elas devem passar, hoje em dia, por usar e relacionar conjuntamente dois
instrumentos de Governo das Sociedades (Corporate Governance): a Auditoria e a Gesto de
Risco.
Ainda segundo (McNamee and Selim, 1998), estes dois instrumentos atrs mencionados tm
evoludo em conjunto, beneficiado da crescente importncia que o tema dos riscos globais de
- 28 -
negcio tem assumido no domnio do Governo das Sociedades (Corporate Governance). Neste
contexto, a natureza do conceito de risco tm-se tornado mais alargada, ao ponto do
planeamento anual das Auditorias estar cada vez mais relacionado com o planeamento anual
dos negcios, sendo os factores de ligao entre aqueles dois planos os riscos que so
considerados estratgicos para o negcio. Ao garantirmos a ligao entre aqueles dois planos
anuais, estamos a garantir que os riscos presentes (no os passados) so analisados e, por
consequncia, que se est a obter valor acrescentado dos processos de Auditoria, alterando o
seu foco do passado em direco ao presente e ao futuro. Contrariamente ao que acontecia
quando o Auditor se confinava verificao dos detalhes dos controlos das transaces
passadas, neste novo paradigma quando o Auditor se foca nos riscos das transaces presentes
e futuras, ele est a trabalhar a um nvel superior ao detalhe e a identificar obstculos que
impedem a organizao de atingir os objectivos.
No poderamos terminar as referncias a este estudo sem alertar para o facto da evoluo de
paradigma implicar tambm uma evoluo ao nvel das competncias que o Auditor deve
possuir. O Auditor especializado na verificao de controlos pode no ter a experincia
necessria identificao de todos os riscos relevantes. Um Auditor compatvel com o novo
paradigma necessita de competncias com cariz mais estratgico, como sejam, por exemplo, a
viso, o planeamento e a comunicao. Por outro lado, o Auditor deve afastar-se duma
perspectiva meramente financeira para uma perspectiva mais abrangente e de gesto. Esta
posio est alinhada com a seguinte afirmao de (Cangemi, 2003):
The main objective of the Internal Audit function has moved from that of fraud detection to
assisting management in making decisions beginning with a risk assessment.
A avaliao dos riscos (risk assessment) precisamente uma das primeiras etapas que se
aconselha no contexto deste paradigma de Auditoria ou pode, tambm, ser uma das fases dos
chamados Ciclos de Gesto de Risco. Na figura seguinte, apresenta-se uma possvel abordagem
para um Ciclo de Gesto de Risco aplicado aos SI. As 5 fases, sequenciais e cclicas, esto
representadas no grfico circular na parte inferior da figura. Cada uma destas fases constituda
por um conjunto de actividades que esto decompostas e mapeadas na figura.
- 29 -
Figura 2.3 - Framework de Gesto de Risco de SI

Fonte: Adaptado das verses originais de (Davis, Schillerand and Wheeler, 2007):
IT Risk Management Lifecycle & Risk-management process
Nesta metodologia apresentada por (Davis, Schillerand and Wheeler, 2007) a avaliao dos
riscos inicia-se com as duas fases em que se identificam os activos de Informao (Fase 1) e se
quantificam e qualificam as ameaas (Fase 2) e completa-se com a anlise de vulnerabilidades
(Fase 3). Aps a avaliao, h que focar na mitigao dos riscos associados s falhas com maior
vulnerabilidade, atravs de actividades do controlo correco das falhas (Fase 4) e da gesto
contnua do risco (Fase 5).
- 30 -
Para cada uma das fases deste Ciclo de Gesto de Risco, iremos destacar algumas das
actividades e respectivos conceitos que podero/devero ser considerados e aplicados numa
Auditoria de SI baseada no risco.
Na identificao dos activos de Informao (Fase1), a abordagem aconselhvel para efectuar

essa identificao do topo para a base (top-down): Funes de negcio Fluxos de
Informao dos processos Componentes do processo. Comea-se por identificar as funes
de negcio da organizao, seguem-se os processos que suportam essas funes e, por fim,
desce-se ao nvel (drill-down) dos activos de Informao que so processados. necessrio
definir valores de criticidade para a Informao (por exemplo, Alto, Mdio, Baixo), devendo estes
corresponder a uma escala que represente a criticidade da falha de um desses activos. Uma vez
que, por natureza, os SI processam Informao, a identificao dos riscos de SI possui uma
complexidade agravada pois devemos considerar todos os potenciais activos de Informao que
atravessam um determinado processo. Note-se que, neste ponto, no devemos estar ainda
preocupados com a tecnologia utilizada para processar a Informao, mas apenas com o
processo. S posteriormente deveremos identificar os passos manuais ou as tecnologias que so
utilizadas no processo.
Na quantificao e qualificao das ameaas (Fase 2), devem-se identificar os riscos e

quantificar os respectivos impactos. Devem ser considerados todos os tipos de riscos associados
directa e indirectamente Informao e aos SI que a suportam, como por exemplo: financeiros
(perda de Informao proprietria, perda de produtividade, etc.); legais (perda de informao
confidencial, etc.); administrativos (social engineering, eliminao acidental de dados, etc.);
tcnicos (intruso em sistemas, vrus, etc.); fsicos (fogo, interrupo de energia, etc.). A
quantificao das ameaas deve ser o resultado do produto de dois factores: a probabilidade (da
ameaa se concretizar) e o impacto (que a concretizao provoca). A probabilidade deve ser
quantificada atravs de uma taxa anual de ocorrncia (Annual Rate of Occurrence) e o impacto
atravs de um factor de exposio (Exposure Factor).
Na anlise de vulnerabilidades (Fase 3), o foco so processos de Informao, ao contrrio da

fase anterior, relativa s ameaas, em que o foco so activos de Informao. Para analisar as
- 31 -
vulnerabilidades, deveremos adoptar uma abordagem da base para o topo (bottom-up):

Vulnerabilidades das componentes do processo Vulnerabilidades do processo
Vulnerabilidades da funo de negcio. Esta abordagem inicia-se com a reviso das ameaas
identificadas anteriormente (incluindo a inventariao dos controlos existentes) e segue-se a
determinao das falhas aos controlos (incluindo uma avaliao da eficcia de cada controlo).
Agregando sucessivamente as diversas falhas de controlo ao nvel das componentes, dos
processos de Informao, das funes de negcio e da organizao como um todo, podemos
determinar uma classificao de risco (rating) para cada um destes nveis, no que diz respeito
Informao e aos SI que a suportam.
No controlo correco das falhas (Fase 4), procede-se escolha dos controlos (deciso de
negcio baseada numa relao custo/benefcio), sua implementao (nos processos de
Informao e nos SI), sua validao (por exemplo, atravs de Auditorias peridicas aos SI) e,
por fim, recalculam-se as classificaes de risco (ratings) tendo em conta o risco residual (ou
seja, o risco que resta aps a sua mitigao com a implementao dos controlos).
A gesto contnua do risco (Fase 5) traduz-se pela criao de um referencial de risco (risk
baseline), a partir do qual se podero efectuar comparaes quando ocorrem mudanas na

organizao e nos SI, de modo a determinar alteraes no nvel de risco (risk rating). Dada a
natureza dinmica dos SI, o ciclo dever ser realizado periodicamente ou despoletado sempre
que exista alguma mudana profunda (novas arquitecturas de sistemas, alteraes em funes
chave de negcio, regulamentaes que imponham novos controlos, etc.).
Como resumo, poderemos dizer que a Gesto dos Riscos dever, no mnimo, passar por 3
etapas fundamentais: a avaliao dos riscos (risk assessment) que agrega as Fase 1, 2 e 3; o
controlo dos riscos (risk controlling) que corresponde Fase 4; e a monitorizao dos riscos (risk
monitoring) que corresponde Fase 5.
Nesta ltima fase, numa perspectiva de gesto contnua dos riscos, inclui-se ainda o despoletar
da repetio peridica de todo o ciclo, o que equivale a dizer que estamos perante uma soluo
de melhoria contnua.
- 32 -
2.3.3 S O L U E S
DE
MELHORIA CONTNUA
Nos meios profissionais relacionados com os SI defende-se a crescente adopo de normas

(exemplos: CobiT, ITIL, ISO, SGQ, etc.) para os processos de SI das organizaes, podendo
tambm algumas destas normas serem utilizadas como modelo de referncia para a execuo
dos trabalhos de Auditoria de SI (as normas sero explorados mais frente no captulo relativo
ao Modelo Funcional). Como resultado da aplicao das normas, expectvel verificar-se um
crescimento na implementao de solues de melhoria contnua (no sentido de melhorias
preventivas e no apenas solues correctivas). Neste contexto, a melhoria contnua entendida
como aplicvel, em particular, ao processo de Auditoria e aos respectivos Auditores, mas
tambm, no geral, a toda a restante organizao que beneficia das solues de melhoria
contnua que lhe so apontadas em resultado dos trabalhos de Auditoria.
Para formalizar esta ideia atravs de um referencial terico e, com base neste, aplicarmos um
exemplo relativo a uma Auditoria de SI, recorreu-se seguinte representao da autoria de
(Karapetrovic and Willborn, 2001). Em resumo, esta demonstra-nos como uma srie de
Auditorias que sejam interdependentes potenciam a implementao de aces preventivas que,
por sua vez, podem acelerar a melhoria, tornando-a tambm num processo contnuo.
Figura 2.4 - Melhoria Contnua na Auditoria

Fonte: Verso original extrada de (Karapetrovic and Willborn, 2001): Independent versus Interdependent series of audits
- 33 -
Imaginemos que uma determinada Auditoria a um Sistema deve ser executada com uma
periodicidade definida e realizada por referncia a uma norma fixa (standard), ou seja, um
critrio de Auditoria fixo (Audit Criteria). No momento da primeira Auditoria (Audit i), o Sistema
auditado tem um nvel de conformidade com a norma representado pelo ponto A (grfico do lado
esquerdo da Figura). Aps a Auditoria, atravs da implementao de medidas correctivas, o nvel
de conformidade sobre para B. Devido ao passar do tempo e com o uso, desce posteriormente
para o nvel C no momento em que se executa a segunda Auditoria (Audit i+1). Na sequncia
desta, atravs da implementao de medidas preventivas, o nvel de conformidade sobe
finalmente para D, atingindo o nvel objectivo requerido pela norma. Imaginemos agora um
exemplo similar mas em que as Auditorias no so independentes, nem de periodicidade fixa,
sendo sim inter-dependentes e executadas de acordo com uma escala de prioridades, definida
em funo do desvio face ao nvel de conformidade desejado (grfico do lado direito da Figura).
Neste caso, ser expectvel que o intervalo de tempo entre a primeira Auditoria (Audit i) e a
segunda (Audit i+1) seja mais curto, pois a segunda Auditoria no efectuada passado um
perodo de tempo fixo e pr-definido (x meses), mas sim em funo de uma prioritizao de
situaes de maior risco e, consequentemente, com maiores necessidades de melhoria. Estas
so identificadas atravs dum processo contnuo de monitorizao do nvel de implementao
das aces correctivas recomendadas na primeira Auditoria. Quando se identifica que ainda no
atingiram o nvel de melhoria desejvel, a segunda Auditoria (Audit i+1) acaba por ser
despoletada mais cedo e, em resultado desta, o sistema atingir o nvel de conformidade
desejado no ponto D tambm mais rapidamente. Por outro lado, em vez de usarmos a mesma
norma fixa ao longo do tempo, devemos introduzir normas mais exigentes (ou novas partes
destas) a partir do ponto D. Isto , se definirmos novos critrios e objectivos de Auditoria sempre
que tivermos atingido um objectivo de conformidade anterior, estaremos a potenciar a
elaborao de novas recomendaes de aces preventivas (no s reactivas) e a consequente
implementao de solues de melhoria contnua.
Conclui-se que cada auditoria seguinte (Audit n+1) dever ser funo das auditorias anteriores e
t-las em considerao. Uma postura dinmica e adaptativa que promove continuamente a
elevao dos referenciais (Audit Criteria) ser certamente facilitada se entendermos cada
Auditoria como fazendo parte de um Sistema de Auditorias.
- 34 -
2.4
ABORDAGENS SISTMICAS
DA
AUDITORIA
Nesta seco so apresentadas duas abordagens em que o Sistema encarado no apenas

como o objecto da Auditoria (Auditoria de Sistemas) mas essencialmente como o prprio sujeito
(a Auditoria enquanto um Sistema).
2.4.1 A A U D I T O R I A
ENQUANTO UM
SISTEMA
DA
ORGANIZAO
Uma abordagem sistmica utilizada por (Karapetrovic and Willborn, 2001) para explicar a
existncia de uma Hierarquia de Sistemas de Auditoria, com relaes distribudas por 3 nveis:
1 Sistema de Gesto; 2 Sistema de Auditoria; 3 Auditorias Individuais.
Figura 2.5 - Hierarquia de Sistemas de Auditoria

Fonte: Verso original extrada de (Karapetrovic and Willborn, 2001): Hierarchical view of audit-related systems.
- 35 -
Comeando pelo topo, pelo primeiro nvel, estes dois autores defendem que o Sistema de
Gesto um todo constitudo por vrios elementos que podem eles prprios tambm ser
Sistemas. Estes constituem Sub-Sistemas que tm objectivos especficos relacionados com o
objectivo global do Sistema de Gesto. Prosseguindo para o segundo nvel, e efectuando um
raciocnio semelhante, esta abordagem afirma que ao Sistema de Auditoria que est atribudo
o objectivo especfico de avaliar e analisar o Sistema de Gesto no que diz respeito sua
capacidade de atingir os objectivos e ao seu cumprimento de regras (compliance, benchmarks,
standards). Uma organizao pode ter este Sistema de Auditoria focado em determinados tipos
de Auditoria (por ex. Auditoria da Qualidade, Auditoria do Ambiente) ou ser mais abrangente (por
ex. Auditoria de Processos de Negcio). Entrmos no terceiro nvel, as Auditorias Individuais,
quando nos referimos aos vrios processos inter-relacionados que constituem uma Auditoria,
como sejam planeamento da Auditoria, alocao de recursos, execuo da Auditoria, relato de
resultados, etc.
Reconhecer as diferentes inter-relaes entre os processos de Auditoria que acabmos de

exemplificar, bem como o seu lugar em relao aos restantes Sistemas de uma organizao (ver
tambm Figura 2.6), fundamental para os Auditores poderem percepcionar a Auditoria como
um Sistema e, consequentemente, desempenharem adequadamente a sua funo.
O Auditor deve compreender que necessria uma abordagem sistmica que relaciona todos os
processos, actividades e decises numa Auditoria. O processo de Auditoria constitudo por uma
srie de actividades inter-relacionadas. S utilizando esta abordagem sistmica, o Auditor ser
capaz de focar com uma viso global (big picture). Assim, o Auditor contribuir positivamente
para um desempenho superior da Auditoria e para uma melhoria das suas prprias
competncias (este ltimo aspecto ser mais frente explorado no captulo referente ao Modelo
Funcional).
De um modo similar, a organizao como um todo tambm beneficiar se optar por um modelo
sistmico de Auditoria, em que os diferentes tipos de Auditoria (da Qualidade, do Ambiente, de
Processos de Negcio, de Sistemas, etc.) esto integrados e, de preferncia, so simultneos e
executados sob orientao de uma mesma entidade interna (exemplo: Departamento de
Auditoria Interna) ou externa (exemplo: empresas de consultoria especializada). Socorrendo-nos
da lgica do modelo apresentado na figura anterior, deste modo consegue-se relacionar o Plano
- 36 -
do Sistema de Auditorias (2 nvel) com cada uma das Auditorias Individuais (3 nvel). Por outro
lado, pode ser uma forma eficaz de integrar o nmero crescente e a diversidade de Auditorias
obrigatrias (exemplo: Sarbanes-Oxley) a que as organizaes esto sujeitas hoje em dia,
especialmente as Auditorias aos Sistemas de Gesto (1 nvel).
2.4.2 A A U D I T O R I A
INSERIDA NUM
MODELO
DE
SISTEMAS VIVEIS
DA
ORGANIZAO
Utilizar-se- aqui a perspectiva do Modelo de Sistemas Viveis de Stafford Beer para extrapolar o
papel da Auditoria enquanto funo de controlo e monitorizao da eficincia de uma
organizao em que est inserida. De acordo com a interpretao deste modelo efectuada por
(Carvalho, 1998), o modelo considera cinco funes essenciais para uma organizao ser vista
como um Sistema que autnomo (existncia independente) e vivel (capacidade de
adaptao s alteraes no ambiente). Na figura seguinte representam-se os cinco requisitos de
viabilidade que se traduzem em cinco Sub-Sistemas:
1. Operaes (unidades produtivas/operacionais que implementam produtos e servios);
2. Coordenao (actividades de deciso sobre recursos e interaco com a Direco/Gesto);
3. Controlo e Monitorizao (anlise dos Sub-Sistemas 1.Operaes, internos organizao);
4. Intelligence (anlise da envolvente da organizao);
5. Poltica (actividades de deciso relacionadas com a poltica e a misso da organizao).
Figura 2.6 - Modelo de Sistemas Viveis

Fonte: Adaptado e traduzido de (Carvalho, 1998): Simplified view of VSM
- 37 -
Segundo este modelo, um sistema vivel tem uma estrutura recursiva, pois um sistema possui
outros sistemas viveis, que por sua vez possuem outros sistemas viveis e assim
sucessivamente. A viabilidade requer autonomia e capacidade de resoluo de problemas e
depende da estrutura do sistema. A estrutura deve ser entendida como uma rede de interaces
entre unidades organizacionais. Esta estrutura possibilita a comunicao atravs da qual obtido
o conhecimento necessrio para a aco. Todos estes conceitos referidos (autonomia, resoluo
de problemas, interaces, unidades, comunicao, conhecimento, aco, etc.) so
habitualmente parte integrante de um processo de Auditoria que se caracteriza por ser
independente, mas que tambm comunica e interage com as unidades organizacionais, produz
conhecimento sobre os problemas dessas unidades organizacionais e culmina em planos de
aces cujo objectivo melhorar a eficincia da organizao.
Neste contexto, interessa-nos centrar nos dois Sub-Sistemas que, segundo o referido autor, so:
Sub-System 3 (and 3*) Control (and Monitoring): capture and analysis of information about
what is happening inside Sub-Systems 1.

O conjunto destes dois Sub-Sistemas poder ser comparvel ao papel que a Auditoria
desempenha neste tipo de modelo organizacional (Silva, 2004a), dado que:
A Auditoria permite sistematizar a anlise da informao sobre os Sub-Sistemas que so

alvos de controlo e monitorizao. Facilita no s a comunicao assncrona entre os
diversos Sub-Sistemas, mas constitui-se tambm como um mecanismo de memria
organizacional, atenuando possveis factores de entropia entre as unidades Operacionais.
A Auditoria permite Direco/Gesto a obteno de uma viso sistmica sobre os riscos e

os processos do negcio. A Auditoria pode ser encarada como um sistema de reporte de
excepes (exception reporting system) pois permite disponibilizar Direco/Gesto
relatrios com as excepes (findings), reflectindo o status das Operaes. Trata-se de um
sistema de informao para a Direco/Gesto que possui funcionalidades de classificao,
filtragem e resumo sobre a situao interna das suas unidades produtivas. Adicionalmente,
fornece funo de Direco/Gesto uma ajuda na tarefa de monitorizar e compreender a
organizao sem necessidade de estar por dentro de todos os detalhes.
- 38 -
A Auditoria poder-se- consubstanciar numa infra-estrutura de Controlo interno, orientada

para fomentar a viabilidade da organizao, na medida em que as Operaes (reas
auditadas) beneficiam do facto da Auditoria lhes disponibilizar recomendaes de como
operar de um modo mais eficiente.
Encerra-se o presente captulo com esta apresentao de duas abordagens sistmicas que
ajudam a entender a Auditoria como um Sistema, inserida num modelo de Sistemas que
constituem uma organizao.
Aps se ter igualmente efectuado uma definio dos conceitos associados Auditoria de SI, um
resumo da evoluo da funo e uma explorao de trs dos principais factores caracterizadores
do paradigma actual da funo, no captulo seguinte apresentar-se- uma proposta de modelo
para estruturar a funo Auditoria de SI numa organizao.
- 39 -
3 MODELO FUNCIONAL DE AUDITORIA DE SI
O captulo que agora se inicia tem por objectivo propor um Modelo Funcional, ou seja, um
conjunto de ideias estruturadas e sequenciadas sobre a funo Auditoria de SI. Este modelo
resulta do somatrio de vrios contributos, correspondendo s diversas dimenses que
compem a Auditoria de SI e que sero apresentadas ao longo deste captulo.
Trata-se de um exerccio pouco frequente na literatura acadmica existente sobre Auditoria de SI

pelo tipo de informao obtida de diversas fontes (organizaes profissionais de Auditoria,
entidades que estudam os processos de SI e ainda autores independentes) e pela sistematizao
dos conceitos efectuada (sempre que possvel apoiada em representaes grficas adaptadas ou
originais). So igualmente lanadas novas ideias, entre as quais se destacam, desde j, trs: o
posicionamento conceptual da funo Auditoria de SI; a identificao de actividades especficas
de Auditoria de SI previstas em referenciais de SI (exemplo: CobiT, ITIL e ISO 17799); e a
utilizao dos conceitos de Gesto de Projectos aplicados na Gesto das Auditorias de SI.
Pretende-se que, percorrendo este captulo at ao seu final, se v construindo progressivamente

uma boa percepo sobre o que a Auditoria de SI. Foram j avanados alguns conceitos ao
longo de todo o Capitulo 2 e, relembra-se, j foi tambm apresentada uma breve definio
formal de Auditoria de SI (na seco 2.1.1 - Definies base). Tentar-se-, a partir deste ponto,
detalhar os objectivos, a organizao, o mbito, os referenciais metodolgicos e os processos de
Auditoria de SI que, em conjunto, formam o seu Modelo Funcional.
3.1
OS OBJECTIVOS
DA
FUNO
No domnio da Auditoria em geral, os objectivos da funo de Auditor devem estar espelhados,

sucintamente e a alto nvel, na formulao da misso do departamento de Auditoria da
organizao. Associada tambm identificao dos objectivos da funo, habitualmente levantase a questo da independncia da funo, pois o grau de liberdade de actuao do Auditor de SI
pode condicionar e determinar os seus objectivos. De seguida, sero desenvolvidas estas duas
ideias, aplicadas no domnio da Auditoria de SI.
- 40 -
3.1.1 A M I S S O
DA
AUDITORIA
DE
SI
A misso, enquanto conceito do domnio da gesto empresarial, vulgarmente definida como

um conjunto de objectivos de alto nvel de uma organizao, o principal propsito da sua
existncia e o modo como contribui para a viso da organizao. O mesmo conceito aplica-se
misso de uma parte da organizao (unidade de negcio ou departamento). Neste caso, dever
traduzir, a alto nvel, o seu propsito e as responsabilidades especficas que lhe esto atribudas
no contexto global da organizao.
Como se percebe, a misso deve ser uma descrio relativamente breve mas bastante clara no
seu propsito. Contrariamente ao que acontece com outras temticas relativas Auditoria de SI,
as referncias bibliogrficas especficas sobre a sua misso nem sempre so claras, sendo mais
difceis de identificar. No entanto, encontrou-se numa recente obra de (Davis, Schillerand and
Wheeler, 2007) um conjunto expressivo de contributos sobre a misso da Auditoria de SI. Estes
contributos formalizam as tendncias mais actuais sobre o que deve ser a misso de um
departamento de Auditoria, colocando em causa algumas das posies mais conservadoras
sobre a independncia da funo (as questes da independncia sero tratadas na prxima
seco).
Aqueles trs autores defendem que a atitude conservadora da Auditoria de reportar os

problemas (findings) Gesto de Topo e aos Comits de Auditoria importante mas, por si s,
muito redutora da sua misso e no traz valor acrescentado para a organizao. O verdadeiro
contributo da funo surge quando os problemas so resolvidos, sendo o relatrio de Auditoria
apenas um meio para atingir um fim que a melhoria do estado dos controlos dos SI da
organizao. Na sua relao directa e privilegiada com aqueles rgos de governo da
organizao, a Auditoria tem a oportunidade de apresentar relatrios que do o devido nfase
aos problemas graves, conquistando assim a ateno dos responsveis e facilitando a obteno
dos recursos necessrios para a sua resoluo.
- 41 -
Os referidos autores vo ainda mais longe quando advogam que a Auditoria s trar verdadeiro
valor com a sua actividade se os problemas reportados no forem j do conhecimento dos
responsveis da organizao e se a sua resoluo no estiver j planeada anteriormente
Auditoria. Esta ltima posio mais radical, mas o importante a reter a capacidade da
Auditoria de SI em identificar os problemas e potenciar a sua resoluo.
Esta posio considera que, para a Auditoria de SI ser eficaz, no sua misso ser uma funo
de policiamento, mas sim uma funo de parceria com a restante organizao. Idealmente,
dever-se- cultivar uma atitude de colaborao e de cooperao, tratando as reas de SI, no
como auditados, mas sim como clientes internos aos quais se deve apresentar um conjunto de
preocupaes (findings) de forma aberta e positiva e com os quais devem ser identificadas
aces de melhoria.
Em sntese, a misso da Auditoria de SI formalizada por (Davis, Schillerand and Wheeler,

2007) como tendo um duplo objectivo. Por um lado, providenciar Gesto de Topo e aos
Comits de Auditoria uma garantia independente de que os controlos de SI esto implementados
e que funcionam eficazmente. Por outro lado, num patamar acima, melhorar o estado dos
controlos de SI atravs da promoo destes e ajudar a organizao a identificar vulnerabilidades
nos controlos e a desenvolver solues eficientes para gerir essas vulnerabilidades.
Na perspectiva da (ISACA, 2005), alinhada com a perspectiva anterior mas no to

desenvolvida, a Auditoria de SI responsvel por efectuar uma reviso e avaliao dos riscos do
ambiente de trabalho dos SI que suportam os processos de negcio. A actividade da Auditoria de
SI dever ajudar a organizao atravs da identificao e avaliao de exposies ao risco que
sejam significativas, bem como contribuir para a melhoria dos mecanismos de gesto de risco e
de controlo dos SI.
No ponto de vista do (IIA, 2005a), a Auditoria de SI deve avaliar a capacidade dos controlos de
SI para protegerem a organizao contra as ameaas mais importantes e deve fornecer
evidncia de que os riscos residuais so pouco provveis de causar danos significativos
organizao e s suas partes interessadas (stakeholders).
- 42 -
Como se v, esta ltima preposio, para alm de incorporar a ideia do risco, est muito
dependente do conceito de controlo de SI. No entanto, o IIA esclarece a posio da Auditoria
quanto aos controlos de SI:
It is not necessary to know everything about IT controls.
Esta afirmao justificvel na medida em que o IIA entende que devem existir dois tipos de
garantias sobre os SI, com responsabilidades distintas. Em primeiro lugar, a garantia primria
deve provir dos mecanismos de controlo interno, sendo responsabilidade dos Gestores de SI
implementar esses controlos que devem ser contnuos e fornecer evidncia rastrevel. Em
segundo lugar, vem a garantia secundria, fornecida pelos Auditores de SI, avaliando os
controlos de forma independente e objectiva. Neste contexto, podemos detalhar a misso da
Auditoria de SI como sendo uma garantia baseada no conhecimento, exame e avaliao dos
controlos chave relacionados com os riscos que esses controlos pretendem gerir, bem como
baseada na execuo de testes suficientes para garantir que esses controlos esto
apropriadamente desenhados e que funcionam de forma eficaz e continua.
Segundo esta viso, nem os controlos de SI, nem a Auditoria de SI funcionam por si s,
complementam-se. O propsito da Auditoria de SI atestar a validade dos controlos de SI e
emitir opinio sobre o seu valor para a organizao. Neste contexto, necessria uma relao
prxima da Auditoria de SI com a Gesto dos SI, a todos os nveis da organizao. O modo como
essa relao mantida deve acautelar alguns princpios de independncia que desenvolveremos
de seguida.
3.1.2 A I N D E P E N D N C I A
DA
AUDITORIA
DE
SI
A (ISACA, 2005) atribui grande relevo independncia dos Auditores de SI uma vez que nos
seus IS Standards, Guidelines and Procedures for Auditing and Control Professionals, a norma
relativa independncia da funo a nmero 2 (S2 Independence), logo a seguir primeira
- 43 -
norma que define o propsito da funo (S1 - Audit Charter). A norma caracteriza a
independncia do seguinte modo que integralmente se transcreve:
In all matters related to the audit, the IS auditor should be independent of the auditee in both
attitude and appearance. The IS audit function should be independent of the area or activity
being reviewed to permit objective completion of the audit assignment.
Desta definio, destacam-se os conceitos de atitude, aparncia e objectividade. Como veremos,

a relao entre estes trs conceitos relevante pois pode acontecer que os objectivos da funo
no se limitem prpria auditoria. Por vezes, a Gesto das organizaes e os Gestores dos SI
tm a expectativa de poderem recorrer aos Auditores de SI para estes desempenharem papis
que no fazem parte dos objectivos primrios da funo de Auditor. Como exemplos, temos o
apoio na definio de estratgias de SI, na avaliao e seleco de tecnologias ou de solues de
SI fornecidas por terceiros, na modificao e adaptao de aplicaes para a organizao, no
desenho e implementao de controlos de segurana, no estabelecimento de polticas e
procedimentos de SI, etc.
O desempenho destas actividades, s quais chamaremos objectivos secundrios da funo, so

um importante contributo da Auditoria de SI para promover uma cultura de controlo na
organizao. Adicionalmente melhoram o conhecimento especializado e prtico em SI por parte
dos Auditores e, reciprocamente, colocam-no ao servio da organizao. A questo da
independncia levanta-se quando existe necessidade de efectuar uma Auditoria subsequente a
algumas dessas actividades de SI em que o Auditor esteve envolvido. Neste caso, surge a
relevncia da aparncia, dado que eventuais problemas (findings) levantados ou recomendaes
sugeridas podem ser apercebidas como no independentes. Por outro lado, podem tambm
parecer no objectivas.
Segundo a ISACA, naquele tipo de actividades que nomeamos de objectivos secundrios da

funo, embora a independncia no seja mandatria, a objectividade continua a ser um
objectivo obrigatrio para a funo do Auditor de SI que a dever desempenhar de maneira
racional e sem enviusamentos. De qualquer forma, a atitude a tomar nestes casos de Auditorias
subsequentes tambm relevante. O Auditor de SI deve colocar considerao do Comit de
- 44 -
Auditoria a legitimidade de executar essa Auditoria, devendo esse rgo de governo da

organizao discutir e propor solues que permitam que a Auditoria seja executada e com a
necessria independncia (por exemplo, obter pontualmente um Auditor ou equipa de Auditoria
diferente).
A obra de (Carneiro, 2004) chama a ateno para as relaes de semelhana da funo

Auditoria com a funo de Controlo Interno, pelo que tambm relevante distinguir estas duas
funes quanto aos seus objectivos e traz-las para a discusso sobre a independncia. Segundo
este autor, existem profissionais de controlo interno que possuem formao em segurana
informtica, sendo esta ltima tambm do domnio da formao em Auditoria. Por outro lado,
encontram-se Auditores de SI que j passaram por funes de controlo interno de SI, dado que
existem alguns objectivos partilhados entre as duas funes. Ambas so habitualmente
desempenhadas por profissionais especialistas em SI e TIC que efectuam verificaes ao
cumprimento dos controlos. No entanto, a funo de controlo interno de SI distingue-se por ser
executada por profissionais internos organizao, que reportam Gesto dos SI e que se
dedicam anlise de um conjunto definido de controlos no dia-a-dia. Diferentemente, a funo
de Auditoria de SI garante a sua independncia atravs do reporte directo aos rgos superiores
de governo da organizao, pode subcontratar externamente profissionais de Auditoria e tem
liberdade para avaliar, em determinados momentos de tempo, todos os tipos de controlos de SI.
Com um raciocnio idntico, o (IIA, 2005b) traa uma linha que define a independncia da
Auditoria de SI face Gesto dos SI no que diz respeito responsabilidade sobre os controlos.
Os Auditores de SI devem limitar-se a efectuar uma avaliao para garantir a adequao dos
mecanismos de controlo e de gesto do risco dos SI, sendo estes mecanismos da
responsabilidade dos Gestores de SI. No objectivo da funo Auditoria de SI fazer parte
integrante, nem desenhar ou manter correntemente estes mecanismos, preservando assim a
sua objectividade e independncia.
Uma posio menos conservadora defendida por (Davis, Schillerand and Wheeler, 2007), alis
de acordo com as suas ideias sobre a misso da Auditoria de SI. Como frequentemente existe
um duplo reporte da funo Auditoria, no s ao Comit de Auditoria, mas tambm Gesto de
- 45 -
Topo, e dado que os Auditores so funcionrios da organizao, os referidos autores consideram

que a funo no de facto independente. Assim, o sucesso da organizao tambm de todo
o interesse dos Auditores de SI. Estes no se devem escudar na sua posio de independncia
absoluta para evitar a sugesto de recomendaes teis e encontrar solues de melhoria em
colaborao com os Gestores dos SI.
A Auditoria de SI pode tambm ter como objectivo actividades de consultoria interna destinadas
Gesto dos SI, dando contributos sobre o modo como os controlos de SI devem ser
desenhados, mas no devendo executar esses controlos. Caso se venha a realizar uma Auditoria
subsequente aos SI que foram alvo de consultoria, o Auditor de SI trar mais valia organizao
pois detm um conhecimento nico sobre aquilo que est a auditar. A sua independncia no
ficar comprometida se o trabalho de consultoria tiver sido executado com objectividade.
Os referidos autores consideram que para caracterizar um Auditor de SI, hoje em dia,
independncia no a palavra mais acertada, mas sim objectividade! Em suma, o objectivo da
funo Auditoria de SI a melhoria da qualidade dos controlos de SI da organizao.
Conclui-se este espao dedicado aos objectivos da funo Auditoria de SI informando que os
conceitos sobre a misso da funo e as suas relaes de (in)dependncia com a restante
organizao ficaro mais perceptveis e consolidados ao longo das prximas seces. Nestas,
teremos oportunidade de compreender o modo como a funo deve estar organizada, enquanto
um processo de negcio com um propsito especfico (3.2.1), e como se tenta posicionar de
forma independente face restante organizao (3.2.2). Por outro lado, as vises apresentadas
sobre os controlos de SI enquanto objectos da Auditoria ficaro mais perceptveis com a
identificao do mbito da Auditoria de SI, nomeadamente com a definio do seu universo de
actuao (3.3.1) e com a descrio dos nveis, dimenses e tipos de controlo de SI que podem
estar sujeitos Auditoria de SI (3.3.2).
- 46 -
3.2
A ORGANIZAO
DA
FUNO
Esta seco, relativa organizao da funo Auditoria de SI, ser fortemente baseada num
conjunto de contributos do autor da presente investigao, em que se tentar responder s
seguintes questes:
Onde situar a funo de Auditoria de SI e como posicion-la no contexto da organizao? Mais

especificamente, qual a sua relao com os processos de SI e com os restantes processos de
negcio? Como deve estar organizada a funo de Auditoria de SI no contexto de um
departamento de Auditoria de uma organizao? Qual as suas relaes com os rgos de
governo da organizao, de modo a garantir a necessria independncia?
3.2.1 A S F U N E S
DE
GESTO
DE
SI
AUDITORIA
DE
SI
COMO
PROCESSOS
DE
NEGCIO
Para entender de que modo a Gesto de SI e a Auditoria de SI podem ser encaradas como
sendo processos de negcio, comearemos por analisar a seguinte representao grfica.
Figura 3.1 - Framework de Processos de Negcio

Fonte: Adaptado da verso original de (APQC and AA, 1996): Process Classification Framework
- 47 -
Utilizou-se este modelo de classificao de processos (Process Classification Framework), da

autoria conjunta da APQC - American Productivity & Quality Center e da AA - Arthur Andersen,
apenas para transmitir a viso de processos, bem como para situar e distinguir os processos
operacionais dos de suporte. As relaes estabelecidas entre os processos de Gesto dos SI e de
Auditoria de SI so um contributo adicional, adaptado sobre a representao grfica original.
De acordo com as entidades autoras (APQC and AA, 1996), este modelo estruturado tem os
seguintes principais propsitos:
The Process Classification Framework seeks to represent major processes and subprocesses,
not functions, through its structure and vocabulary. () The intent has been to create a highlevel, generic enterprise model that will encourage businesses and other organizations to see
their activities from a cross-industry process viewpoint instead of a narrow functional viewpoint.
Uma das ideias base presentes nesta afirmao e que merece ser comentada o facto do
modelo representar processos de negcio e no funes de negcio (estas ltimas no sentido de
departamentos ou reas de negcio). Esta viso foi relativamente inovadora na altura em que foi
originalmente lanada, pois descola de uma viso de silos funcionais ou departamentais (viso
redutora e limitada pelo organograma organizacional). A viso de processos torna-se importante
na medida em que permite s organizaes terem uma percepo das actividades ao longo da
sua cadeia de valor de produo de produtos ou de disponibilizao de servios.
Este modelo estruturado prev 13 macro-processos de negcio (representados do lado esquerdo

da figura) que se desdobram em diversos processos e sub-processos (2 dos quais esto
representados do lado direito da figura). Por sua vez, estes podem ainda ser desdobrados pela
organizao em actividades e tarefas. O referencial no lista todos os processos que so
especficos de cada organizao, nem todos os processos listados esto presentes em todas as
organizaes. Trata-se de um referencial que as organizaes podem utilizar e adaptar em
funo da realidade do seu negcio, existindo liberdade para efectuar as alteraes que sejam
adequadas (acrescentar/retirar/mover processos). Alis, os processos, sub-processos e
actividades de SI podem ser alterados ou detalhados em funo de outros modelos estruturados
que sejam mais especficos da realidade dos SI, sendo o ITIL (IT Infrastructure Library) um bom
- 48 -
exemplo a adaptar (na seco 3.4 desenvolveremos os modelos estruturados que se adequam
Gesto dos SI e Auditoria de SI).
Neste contexto, podemos encaixar os processos de Gesto dos SI como sendo processos dentro
dos da Gesto da Informao (9. Manage Information) e os de Auditoria dentro dos da Gesto da
Melhoria e da Mudana (13. Manage Improvement and Change).
O modelo originalmente proposto pelas (APQC and AA, 1996) prev inclusivamente um processo
que tem algumas semelhanas com os objectivos da Auditoria de SI mas que no to
abrangente (9.8. Evaluate and audit information quality). No entanto, para alm de redutor da
misso da Auditoria de SI, considermos no estar devidamente localizado pois est debaixo do
domnio dos processos de Gesto da Informao, no garantindo a necessria independncia
enquanto processo de Auditoria. Deste modo, considera-se que a soluo de os localizar debaixo
dos processos de Gesto da Melhoria e da Mudana mais adequada, tendo em conta os
processos e sub-processos que o modelo estruturado a prev (exemplos: desempenho
organizacional, avaliaes de qualidade, melhoria de processos e sistemas, etc.).
Aproveitmos para analisar aqui a classificao dos processos como sendo operacionais ou de
gesto ou suporte. Utilizando conceitos geralmente aceites no domnio da gesto empresarial,
podemos dizer simplificadamente que so processos operacionais os que contribuem
directamente para a cadeia de valor de produo de produtos ou de disponibilizao de servios.
Um outro critrio para classificar como operacional pode ser a sua especificidade, no sentido de
serem processos que criam valor e trazem vantagem competitiva organizao pois so
processos distintivos face a outros tipos de negcios, habitualmente tambm designados por
processos centrais (core processes). Os processos de suporte (tambm aqui designados de
processos de gesto) so relativos a processos que no so diferenciadores da actividade da
organizao pois podem ser encontrados em muitas outras organizaes (exemplos: processos
de gesto de recursos financeiros, recursos fsicos, recursos humanos, etc.). Parte destes
processos podem at ser alvo de externalizao (outsourcing), sintoma de que podero no ser
processos operacionais centrais para a organizao. Tomando por base estes conceitos,
relativamente pacfico considerar a Auditoria de SI como um processo de suporte. J no caso da
Gesto dos SI essa classificao pode no ser to consensual pois, hoje em dia, existem
algumas organizaes cujos seus processos operacionais de disponibilizao de servios esto
- 49 -
directamente e fortemente baseados na utilizao intensiva de SI e de TIC. Estas so, muitas das
vezes, tecnologias especficas ou proprietrias para determinados tipos de negcio (exemplos:
sectores de telecomunicaes, de integrao de sistemas, da banca electrnica, etc.). Assim
sendo, poder-se-o classificar alguns tipos de processos de SI como sendo processos
operacionais e no processos de suporte.
No fundo, a ideia fundamental que se pretende transmitir que a gesto dos recursos
associados Informao, tais como os SI e as TIC, deve ser encarada como um processo de
negcio. Em consequncia, os processos de SI devem ser alvo de Auditoria, semelhana dos
restantes processos de negcio, sendo precisamente a Auditoria de SI o processo mais indicado
para o fazer. Por seu lado, a Auditoria tambm um processo de suporte ao negcio, devendo
ela prpria estar tambm sujeita a Auditorias peridicas, de preferncia realizadas por entidades
externas independentes. Como corolrio adicional, daqui se deduz tambm a importncia de,
tanto a Gesto dos SI, como a Auditoria de SI, compreenderem bem os restantes processos de
negcio e as suas necessidades. Na seco seguinte ser apresentado o posicionamento da
Auditoria de SI e as suas relaes com a Gesto dos SI e os restantes processos de negcio.
3.2.2 O P O S I C I O N A M E N T O
DA
FUNO AUDITORIA
DE
SI
A prxima figura representa e sistematiza a viso do autor deste trabalho de investigao sobre o
modo como a funo Auditoria de SI se deve posicionar no contexto de um departamento de
Auditoria e como deve reportar aos rgos de governo da organizao.
Comecemos por analisar este ltimo ponto do reporte organizativo. A funo de Auditoria de SI
deve reportar ao responsvel do departamento de Auditoria e Gesto de Risco. Por sua vez, este
dever reportar ao Comit de Auditoria e Gesto de Risco e, por via deste, ao responsvel
mximo da organizao que o CEO (Chief Executive Officer). Note-se que o modelo de reporte
aqui defendido difere ligeiramente face maior parte das organizaes em que a Auditoria e
Gesto de Risco reporta ao CFO (Chief Financial Officer) ou, nalguns casos, directamente ao
CEO. No sentido de garantir maior coerncia com a abrangncia das funes de Auditoria e
Gesto de Risco, defende-se um reporte ao CEO e no ao CIO. No sentido de garantir um maior
- 50 -
grau de independncia, defende-se que o reporte ao CEO seja no mbito das suas
responsabilidades de superviso no Comit de Auditoria e Gesto de Risco e no directamente
no mbito das suas funes executivas na Gesto de Topo da organizao (Conselho de
Administrao / Comisso Executiva). Para alm disso, o referido Comit pode ser entendido
como uma ltima instncia qual o departamento de Auditoria e Gesto de Risco pode recorrer,
em eventuais situaes em que os gestores da organizao no se mostram disponveis para
colaborar.
Diferentemente, os responsveis pelo departamento de SI devero reportar directamente

Gesto de Topo da organizao, nomeadamente ao CIO (Chief Information Officer). Este papel
(CIO) justifica-se com o facto de existir um processo de negcio responsvel pela gesto dos
recursos associados Informao, incluindo os SI e as TIC (tal como vimos na seco anterior).
Figura 3.2 - Posicionamento e Reporte Organizativo da Funo Auditoria de SI

Fonte: Proposta elaborada pelo autor
- 51 -
Apresenta-se agora para apresentar o entendimento do (IIA, 2005b) sobre os papis de cada um
dos trs elementos de governo da organizao referidos, em especfico quanto s suas
responsabilidades sobre os riscos e controlos dos SI.
Comit de Auditoria Engloba a superviso de matrias Financeiras, de Controlo Interno,

de Gesto de Risco e de tica. Os controlos de SI so um elemento importante em cada uma
daquelas matrias pelo que o Comit deve:
Incluir questes relevantes de SI na agenda do Comit, exigindo reporte ao CIO.
Exigir fiabilidade dos SI para com as com obrigaes de processamento e reporte
financeiro da organizao.
Supervisionar a adequada avaliao dos controlos de SI, em particular nas questes
importantes de negcio relacionadas com o desenvolvimento e aquisio de novos SI.
Rever o planeamento anual do departamento de Auditoria Interna de modo a que as
grandes questes de SI sejam includas.
Assegurar que os controlos de SI so alvo de Auditorias.
Analisar os resultados dos trabalhos de Auditoria e monitorizar a resoluo das
excepes (findings) reportadas.
Estar alerta para questes de SI que tenham impacto em questes ticas.
CEO (Chief Executive Officer) O responsvel mximo pelo controlo geral da estratgia e
da operacionalidade da organizao deve considerar os SI em mltiplos aspectos,
nomeadamente:

Definir objectos corporativos e exigir medidas de desempenho para os SI.

Compreender e aprovar a estratgia para os SI da organizao.
Aprovar globalmente os recursos e a organizao das reas de SI.
Actuar como um guardio sobre os factores crticos de sucesso da organizao em
relao aos SI.
Identificar questes relevantes de SI para discusso na Gesto de Topo e nos Comits.
Ser o responsvel de ltima instncia pela globalidade do sistema de Controlo Interno da
organizao, como resultado dos diversos sistemas de Controlo Interno existentes em
cada processo ou rea da organizao, incluindo o dos SI.
CIO (Chief Information Officer) Tem a responsabilidade global na organizao sobre todos
os SI e sobre os seus controlos, devendo:
Compreender as necessidades e alteraes do negcio que exijam novos SI.
Explorar e seleccionar a introduo de novas tecnologias relevantes para a organizao.
- 52 -
Desenvolver uma parceria com os gestores dos restantes processos de negcio para
assegurar alinhamento com a estratgia, assegurar a conformidade e gerir os riscos no
que diz respeito aos SI.
Efectuar a medio do desempenho operacional dos SI como suporte aos objectivos do
negcio.
Planear e controlar os recursos de SI.
Desenhar e manter um sistema de controlo interno nos SI, sendo o seu mximo
responsvel.
Assegurar que os SI esto a fornecer os servios e a suportar os utilizadores internos e
os clientes finais, proporcionando os meios necessrios para que possa ser verificado
pela Auditoria de SI.
Permitir adequados nveis de formao aos recursos humanos de SI para que
mantenham as competncias e os conhecimentos actualizados.
No que diz respeito ao posicionamento da funo Auditoria de SI, no contexto de um
departamento de Auditoria e Gesto de Risco, defende-se que coexista com as funes de
Auditoria de Processos de Negcio (funo semelhante) e de Gesto de Risco (funo
complementar). Ao nvel do departamento, podemos dizer que o objectivo auditar e gerir os
riscos de SI, tanto dos processos de negcio das unidades operacionais, como dos processos de
negcio das unidades de suporte (entre as quais a de SI).
O papel da Auditoria de Processos de Negcio em tudo semelhante ao que se tem vindo a

defender para a Auditoria de SI ao longo deste texto. A diferena entre as duas Auditorias reside
no facto desta ltima ser mais especializada (nos processos de SI), enquanto que a primeira
mais abrangente e generalista (pode auditar todos os restantes processos de negcio). Este tipo
de Auditoria tambm frequentemente designado de Auditoria Operacional, uma vez que avalia
a eficcia dos processos de negcio e sugere recomendaes no sentido de melhorar a sua
eficincia operacional. Idealmente, se os Auditores de Processos de Negcio e os Auditores de SI
tivessem competncias profissionais convergentes entre si (normalmente existem diferenas e
especializaes), ento poderamos ter uma s rea de Auditoria com competncias para auditar
qualquer processo de negcio. A crescente dependncia dos processos de negcio face aos SI
poder, com o tempo, acelerar e tornar necessria essa convergncia.
- 53 -
Quanto ao papel da funo de Gesto de Risco, a sua explorao ser facilitada se comearmos
por analisar a seguinte citao do (IIA, 2005b):
Control and risk represent opposite sides of the same coin. Controls exist to help mitigate risk;
identification of control deficiencies highlights areas of potential risk. Conversely, by examining

risk, auditors can identify areas where controls are needed and/or are not working.
Pela interpretao da citao, conclui-se que os controlos so instrumentos de mitigao do
risco, pelo que os Auditores devem avaliar os riscos para identificar deficincias nos controlos.
Essa avaliao dos riscos beneficia da relao de proximidade existente entre as funes de
Auditoria e de Gesto de Risco. Segundo o (IIA, 2004), estas devero partilhar grande parte das
competncias e dos conhecimentos, como por exemplo os requisitos do Governo das Sociedades
(Corporate Governance), as tcnicas de Gesto de Projectos, as capacidades analticas, as
capacidades de relacionamento com as reas de negcio, etc. Existem contudo diferenas j que
a Gesto de Risco tem um papel muito mais prximo dos Gestores dos processos de negcio,
tendo por isso um menor grau de independncia por comparao com a Auditoria (no deixando
porm de ter de ter um elevado grau de objectividade). Os Gestores de Risco possuem
igualmente reas especficas de conhecimentos (exemplo: modelos de avaliao e gesto dos
riscos) que a maior parte dos Auditores no possuem.
Independentemente das posies do IIA, de uma forma simplificada podemos dizer que a
Auditoria avalia os controlos dos processos de negcio e a Gesto de Risco ajuda os gestores
dos processos de negcio a identificar e a gerir os seus riscos. Por consequncia, poderamos
ser levados a interpretar que a Auditoria e a Gesto de Risco estariam em lados opostos, mas na
verdade so duas funes que se complementam (opposite sides of the same coin).
Existem dois factos que suportam a ideia acima apresentada sobre complementaridade das
duas funes e que j foram explorados neste texto. Por um lado, o actual paradigma de que a
Auditoria deve seguir uma abordagem baseada no risco. Por outro lado, o objectivo que
possuem de potenciar uma melhoria contnua por parte da organizao, dado que um dos
produtos resultantes do trabalho de ambas as funes a definio de aces correctivas ou de
melhoria para os processos de negcio. No fundo, existe um denominador comum s duas
funes que o risco, tendo ambas uma preocupao e um fim comum que a diminuio dos
nveis gerais de risco da organizao. Apenas a forma de atingir esse fim que difere.
- 54 -
Neste papel de complementaridade, no seio do departamento de Auditoria e Gesto de Risco, a

funo de Gesto de Risco tem a importante responsabilidade de efectuar (pelo menos
anualmente) uma identificao global dos principais riscos de negcio, incluindo os de SI (ver
exemplo de metodologia de Gesto de Risco aplicada aos SI na seco 2.3.2). Deste exerccio
deve resultar uma prioritizao de processos e sub-processos de negcio que devero ser alvo
de Auditorias, devendo ser considerados como um contributo (input) para a elaborao do
planeamento anual da Auditoria de Processos de Negcio e da Auditoria de SI.
Para completar a compreenso do posicionamento das funes na organizao, bem como das
suas diferenas de papis, sugere-se que sejam recordadas as definies de Auditoria (na
seco 2.1.1) e de Gesto de Risco (na seco 2.1.2).
A figura seguinte, proposta do autor do presente trabalho, serve para concluir e sistematizar, em
termos conceptuais, o tema do posicionamento da funo de Auditoria de SI.
Figura 3.3 - Posicionamento Conceptual da Funo Auditoria de SI

- 55 -
Comecemos por interpretar esta representao conceptual, dizendo que o espao de actuao
da Auditoria de SI a organizao, sujeita de um modo transversal a todo o tipo de riscos. So
tambm transversais e omnipresentes, em toda a organizao, trs dos principais objectos que
so alvo da Auditoria de SI: a Informao, os Sistemas e a Tecnologia.
Considerando os riscos transversais a toda a organizao, considerando tambm os riscos como

um dos denominares comuns entre a Auditoria e a Gesto de Risco, e considerando ainda a
Gesto de Risco como uma funo mais prxima do negcio na gesto desses riscos, entende-se
ento a funo de Gesto de Risco como mais abrangente, estando por isso as funes de
Auditoria conceptualmente nela includas. Alis, a Gesto de Risco e a Auditoria so
consideradas dois instrumentos de Governo das Sociedades (Corporate Governance).
A seguinte afirmao do (IIA, 2005a) corrobora esta ideia de abrangncia da Gesto de Risco e
reafirma a necessidade de tratar os SI enquanto parte integrante dos processos de negcio:
Risk management applies to the entire spectrum of activity within an organization, not just to
the application of IT. IT cannot be considered in isolation, but must be treated as an integral part
of all business processes.
Dado que se considera os processos de SI como parte integrante dos processos de negcio,
ento tambm se conceptualiza a Auditoria de SI como uma parte especializada da Auditoria de
Processos de Negcio. De modo semelhante, dado que os actuais SI das organizaes so
quase todos baseados em TIC e so de difcil dissociao destas, ento a Auditoria de SI deve
tambm abranger no seu mbito a Auditoria de Tecnologias.
Uma vez entendido o posicionamento da funo Auditoria de SI, nomeadamente o seu contexto
de reporte organizacional independente e as suas relaes de semelhana e de diferena com
outras funes que tambm analisam os riscos, avanaremos de seguida para a definio do
mbito de actuao da Auditoria de SI.
- 56 -
3.3
O MBITO
DA
FUNO
De um modo muito simplista podemos dizer que pode caber no mbito da Auditoria de SI tudo
aquilo que do universo dos SI. Coloca-se, no entanto, a questo de como definir este universo
e, em seguida, a abrangncia do respectivo mbito? A presente seco trata desta problemtica.
3.3.1 A D E F I N I O
DO
UNIVERSO
DA
AUDITORIA
DE
SI
Adaptou-se a seguinte representao grfica e os conceitos do (ITGI, 2000) para nos guiar na
determinao do universo da Auditoria de SI.
=?
IT Controls !
Figura 3.4 - A Definio do Universo da Auditoria de SI

Fonte: Adaptado da verso original de (ITGI, 2000): The Frameworks Principles
Desde logo, identificam-se 3 principais factores: os Processos de Negcio, a Informao e os

Recursos de SI. A conjugao e interaco destes 3 factores determinar o espao que
potencialmente pode ser alvo das Auditorias de SI, ou seja, o seu universo.
A informao que necessria para suportar os objectivos e os requisitos do negcio obtida

pela aplicao combinada dos 5 tipos de recursos de SI (IT Resources) representados na figura.
Por sua vez, estes recursos necessitam de ser geridos atravs de processos de SI.
- 57 -
Para satisfazer os objectivos de negcio, a informao dever respeitar determinados critrios,

ou seja, os 7 requisitos de negcio para a informao (Information Criteria) representados na
figura. Para nos assegurarmos que estes requisitos da informao so cumpridos, necessria
a definio, a implementao e a monitorizao de controlos de SI adequados. precisamente
aqui, na monitorizao dos controlos, que se situa globalmente o mbito da Auditoria de SI.
Os controlos de SI so pois um instrumento que as organizaes recorrem para reduzir os nveis

de risco e a incerteza na resposta seguinte questo: a informao que obtida (What you get)
possui realmente as caractersticas necessrias (What you need)? Na prxima seco
detalharemos os possveis nveis, dimenses e tipos controlos de SI.
Exploraremos agora cada um dos 3 principais factores da equao que determina o universo da
Auditoria de SI: os processos de negcio, os recursos de SI e a informao.
Quanto aos processos de negcio, j tivemos oportunidade de os analisar anteriormente (na

seco 3.2.1) pelo que j ficou compreendida a necessidade dos processos de SI serem
encarados como processos de negcio e, como tal, serem alvo de Auditoria semelhana dos
restantes processos de negcio.
Quanto aos recursos de SI, e utilizando as definies do (ITGI, 2000), podemos dizer que os
seguintes recursos de SI fazem parte do universo da Auditoria dos SI:
As Pessoas (People) Inclui as competncias do pessoal, o seu conhecimento e o seu

potencial de produtividade para planear, organizar, adquirir, produzir, suportar e monitorar os
servios dos SI.
Os Sistemas Aplicacionais (Application Systems) Consideram-se como sendo a soma dos

procedimentos manuais e programados.
A Tecnologia (Technology) Inclui o hardware, os sistemas operativos, os sistemas

gestores de bases de dados, as redes, os dispositivos multimdia, etc.
As Instalaes (Facilities) So todos os recursos fsicos que albergam e suportam os SI.
Os Dados (Data) Consideram-se como sendo os objectos no seu sentido mais lato,
internos ou externos, estruturados ou no estruturados, grficos, sons, etc.
- 58 -
Quanto informao, deve respeitar essencialmente dois grandes grupos de requisitos: os

fiducirios e os de segurana. Os requisitos fiducirios so os defendidos pelo COSO no seu
modelo de Controlo Interno e, como extenso deste, no seu modelo de Gesto de Risco
Corporativo (IIA, 2007b): a eficcia e eficincia nas operaes; a fiabilidade da informao que
alvo de reporte; e a conformidade com as leis e regulamentos. Os requisitos de segurana so
os geralmente aceites e indicados pelos modelos estruturados que tratam o tema da segurana
da informao: a confidencialidade; a integridade; e a disponibilidade.
Recorrendo novamente s definies do (ITGI, 2000), os 7 critrios representados na figura aos

quais a informao suportada pelos SI deve obedecer e que devem integrar o mbito da
Auditoria de SI so:
Eficcia (Effectiveness) Informao relevante e pertinente para os processos de negcio,

produzida de forma atempada, correcta, consistente e usvel.
Eficincia (Efficiency) Produo de informao atravs do uso ptimo dos recursos (os
mais produtivos e econmicos).
Confidencialidade (Confidentiality) Proteco de informao sensvel para evitar ser

utilizada ou revelada de forma no autorizada.
Integridade (Integrity) Informao exacta e completa, vlida de acordo com os valores e

expectativas do negcio.
Disponibilidade (Availability) Informao disponvel quando requerida pelos processos de

negcio, incluindo a salvaguarda dos recursos necessrios e das suas capacidades
associadas.
Conformidade (Compliance) Cumprimento das leis e regulamentos aos quais os

processos de negcio esto sujeitos.
Fiabilidade (Reliability) Produo de informao apropriada e fivel para a gesto

executar as operaes e cumprir as suas responsabilidades de reporte financeiro e de reporte
de conformidade.
- 59 -
Em resumo, a Auditoria de SI dever avaliar todos os controlos sobre o modo como aqueles 5
tipos de recursos de SI so usados, atravs de processos de SI, e se estes disponibilizam a
informao aos processos de negcio de acordo com os 7 critrios mencionados.
Sendo este o universo da Auditoria de SI, ser que esta consegue cobri-lo convenientemente no
seu mbito?
importante compreender que o mbito de cada Auditoria de SI varia no seu grau de

abrangncia e de anlise dos processos de SI, dos recursos de SI e dos critrios da informao.
De facto, algumas Auditorias de SI apenas analisam um ou vrios destes elementos, deixando
outros fora de mbito.
Segundo (Sayana, 2002), imprescindvel analis-los a todos, mas no necessariamente ao

mesmo tempo numa s Auditoria. Para alm das habituais limitaes de tempo e disponibilidade
de mo-de-obra, as competncias dos Auditores para analisar cada um desses elementos podem
tambm variar. Na realidade, os SI so cada vez mais complexos e constitudos por diversas
componentes que, em conjunto, formam uma soluo de negcio. Uma adequada anlise sobre
estes SI s poder ser conseguida se todas as componentes forem auditadas. Neste contexto,
parece vlida a expresso que nos diz que elo mais fraco determina a robustez de toda uma
cadeia. A totalidade da cadeia poder ser analisada atravs de uma srie de Auditorias.
No entanto, os resultados das diversas Auditorias necessitam de ser analisados conjuntamente.

Isto permitir ao Auditor de SI e gesto da organizao uma viso global do estado dos
controlos e dos nveis de risco de SI, permitindo uma cobertura gradual do universo da Auditoria
de SI.
Para encerrar esta seco, deixa-se uma nota do (IIA, 2006) sobre a utilidade da determinao
do universo da Auditoria de SI. Os recursos de Auditoria de SI no so ilimitados e as
necessidades de auditar os SI so crescentes. Da que uma correcta definio do universo da
Auditoria de SI numa organizao seja uma base de ajuda a partir da qual se possa elaborar um
plano de Auditorias que balanceie de um modo eficaz as necessidades de auditar com as
- 60 -
restries de recursos. Idealmente, os recursos de Auditoria deveriam ser determinados em

funo das necessidades das Auditorias. Caso o plano de Auditorias seja anual, podemos dizer
que constituir o mbito da Auditoria de SI para um determinado ano.
Retomaremos a questo do planeamento na seco 3.5.1. Por agora, na seco seguinte,

desenvolveremos os nveis, dimenses e tipos controlos de SI que podem constituir o mbito das
Auditorias de SI.
3.3.2 O S N V E I S , D I M E N S E S
TIPOS
DE
CONTROLO
SUJEITOS
AUDITORIA
DE
SI
A ideia de que o mbito da Auditoria de SI pode ser global, no sentido de abrangente a todos os
nveis da organizao e em todas as dimenses dos SI, transmitida de um modo adequado
pelo seguinte modelo estruturado do (IIA, 2005a).
Figura 3.5 - O mbito da Auditoria de SI: Nveis e Dimenses dos Controlos de SI

Fonte: Adaptado das verses originais de (IIA, 2005a): IT Controls & Some Control Classifications
- 61 -
A pirmide do lado esquerdo da figura apresenta uma hierarquia de 7 tipos de controlos de SI

que devem ser considerados, tanto na implementao desses controlos numa organizao,
como nas actividades de Auditoria aos prprios controlos. Estes no so mutuamente exclusivos
(so inter-dependentes) e esto agrupados em 3 grandes nveis: controlos de Governo, de Gesto
e Tcnicos. Numa outra perspectiva, que est transposta para o cubo no lado direito da figura e
que tambm no mutuamente exclusiva, os controlos podem ainda ser classificados como
Gerais ou Aplicacionais e podem ser de natureza Preventiva, Detectiva ou Correctiva.
A tabela seguinte arruma estes conceitos de controlos de SI e concretiza com alguns exemplos
desses controlos, contribuindo para a percepo do que o mbito da Auditoria de SI.
TIPOS DE CONTROLOS DE SI
Controlos de
Governo
Controlos de
Gesto
Ao nvel do Governo das Sociedades, os controlos de SI pretendem garantir que uma eficaz
Gesto da Informao e dos SI enquadrada e suportada por adequadas Polticas, devendo
estas estar relacionadas com os objectivos e as estratgias da organizao. No cabe gesto
de topo da organizao efectuar a Gesto da Informao e dos SI, nem executar Auditorias
aos sues controlos, mas sim supervisionar e criar condies para que sejam executadas.
Polticas Dado que os SI so vitais para a operacionalidade de muitas organizaes,
devero existir Polticas escritas relativas a todo o mbito dos SI, devidamente aprovadas
pela gesto de topo e divulgadas por toda a organizao.
Exemplos de Polticas: nveis globais de segurana e privacidade; classificao da
Informao; distino da responsabilidade sobre os dados e os sistemas (ownership);
requisitos gerais para o plano de contingncia/ recuperao dos SI, etc.
A Gesto deve garantir que os controlos de SI necessrios ao atingimento dos objectivos da
organizao esto implementados. A Gesto deve reconhecer os riscos da organizao, os
seus processos e os activos e deve implementar diversos tipos de mecanismos para mitigar
esses riscos:
Normas As normas (standards) servem para suportar os requisitos das Polticas e
definem formas de operar na organizao, compatveis com os objectivos desta. Permitem
organizao manter a totalidade do ambiente operacional dos SI de forma mais eficiente.
Exemplos de Normas: desenvolvimento de sistemas; configurao de software;
controlo de aplicaes; estruturas de dados; documentao de SI; etc.
Organizao e Gesto Como em qualquer outra funo da organizao, o modo
como se estrutura e gere a funo SI determinante para a definio de linhas de reporte
e de responsabilizao e para uma eficaz implantao dos controlos de SI.
Exemplos de controlos de Organizao e Gesto: segregao de funes; controlo
financeiro; gesto da mudana (change management); gesto de formao; etc.
Controlos Fsicos e da Envolvente Todas os equipamentos de SI e as respectivas
infra-estruturas fsicas em que se encontram devero estar devidamente protegidos.
Exemplos de controlos Fsicos e da Envolvente: servidores localizados em centros de
dados (DataCenters); procedimentos de recuperao (disaster recovery); etc.
- 62 -
Controlos
Tcnicos
Controlos
Gerais
Controlos
Aplicacionais
Controlos
Preventivos
Controlos
Detectivos
Controlos
Correctivos
Os controlos Tcnicos so os pilares dos restantes controlos dos SI da organizao. So

mecanismos que permitem automatizar controlos e implementar na prtica algumas das
Polticas para a Informao e para os SI definidas pela gesto da organizao, atravs de:
Controlos de Software So os controlos relativos utilizao das redes, dos
sistemas e, em ltima instncia, do prprio software pelos utilizadores (users).
Exemplos de controlos de Software: gesto de acessos; intruso; encriptao;
alteraes; etc.
Controlos de Desenvolvimento de Sistemas Dizem respeito ao desenvolvimento e
aquisio de sistemas tendo por base um mtodo comum com controlos eficazes em cada
uma das fases desse processo.
Exemplos de controlos de Desenvolvimento de Sistemas: documentao de requisitos
de utilizadores; formalizao de desenho de arquitectura; processos de manuteno e
gesto de alteraes; tcnicas de gesto de projectos; etc.
Controlos baseados em Aplicaes So controlos internos s prprias aplicaes
que garantem a integridade dos processos de negcio que esto automatizados e que se
baseiam nessas aplicaes.
Exemplos de controlos baseados em Aplicaes: controlos de entrada; controlos de
processamento; controlos de sada; histrico de transaces; etc.
Os Controlos Gerais, tambm designados de Controlos Infraestruturais, referem-se ao como
gerida a generalidade dos sistemas, dos processos e dos dados que numa organizao
fazem parte do domnio dos SI.
Exemplos de controlos Gerais: segurana da Informao; gesto de acessos; aquisio
e desenvolvimento de sistemas; procedimentos de backup; etc.
Os Controlos Aplicacionais referem-se ao domnio de uma aplicao ou processo de SI
especfico.
Exemplos de Controlos Aplicacionais: edio de dados; balanceamento de totais;
relatrios de erros; etc.
Os Controlos Preventivos so aplicados para prevenir a ocorrncia de erros, omisses ou
incidentes de segurana.
Exemplos de controlos Preventivos: validadores de insero de dados; antivrus;
firewalls; etc.
Os Controlos Detectivos so aplicados para detectar erros ou incidentes que trespassaram
eventuais controlos Preventivos.
Exemplos de controlos Preventivos: identificao de utilizadores (users) que excederam
determinados limites autorizados; identificao de padres de dados incorrectamente
manipulados; etc.
Os Controlos Correctivos so aplicados para corrigir erros, omisses ou incidentes quando
estes so detectados.
Exemplos de controlos Correctivos: correco de dados incorrectamente inseridos;
remoo de software ilegal; recuperao de sistemas ou dados; etc.
Tabela 3.1 - O mbito da Auditoria de SI: Tipos de Controlos de SI
Fonte: Elaborado e compilado pelo autor a partir dos conceitos do (IIA, 2005a): Understanding IT Controls
Como podemos constatar pela tabela, o mbito da Auditoria de SI pode ser bastante abrangente.
Podem ser efectuadas Auditorias de SI de diversos tipos, desde as de mbito mais alargado
- 63 -
como as Auditorias a Controlos Gerais de SI, passando por Auditorias de Organizao e Gesto
de SI, at s mais especficas como as Auditorias Aplicacionais.
Por outro lado, as Auditorias de SI podem ter subjacente tanto uma abordagem aos processos
de SI (exemplos: configurao de software, segregao de funes, etc.), ou aos recursos de SI
(exemplos: servidores, documentao de requisitos de utilizadores, etc.) ou ainda prpria
informao (exemplos: segurana da informao, classificao da informao, etc.).
Desta diversidade do mbito depreende-se que as Auditorias de SI podem variar muito no seu
grau tcnico e no seu grau de especificidade. Note-se que este facto ter implicaes nas
competncias exigidas aos Auditores de SI, a serem ajustadas em funo dessas necessidades.
A figura e a tabela atrs exploradas so uma forma de arrumar e classificar os controlos de SI

que constituem o mbito da Auditoria de SI. No entanto, existem certamente outras formas.
Segundo (Carneiro, 2004), existem duas grandes linhas caracterizadoras do mbito: por um
lado, a Operatividade dos SI e, por outro, os Controlos de Gesto da funo SI. pela avaliao
da Operatividade que a Auditoria de SI deve comear por se preocupar. Por Operatividade
entende-se a capacidade que a organizao possui para manter os seus SI, pelo menos num
nvel mnimo que permita o funcionamento da organizao. A Auditoria Operatividade pode
passar pela avaliao dos Controlos Tcnicos Gerais de Operatividade (exemplo: compatibilidade
entre software e hardware) e pelos Controlos Tcnicos Especficos (exemplo: configurao de
parmetros aplicacionais). Por sua vez, dever-se-o seguir as Auditorias aos Controlos de Gesto
da funo SI, verificando o cumprimento das normas existentes na funo SI e a sua coerncia e
alinhamento com a restante organizao. Este tipo de Auditorias devero comear por avaliar as
Normas Gerais dos SI (exemplo: reas de SI com lacunas de normas) e s depois avaliar os
Procedimentos Gerais dos SI (exemplo: procedimentos de backup e recuperao).
Com esta breve descrio de uma viso diferente e complementar sobre os controlos de SI,
conclui-se esta seco que se espera tenha contribudo para melhorar a percepo daquilo que
pode constituir o mbito da Auditoria de SI.
- 64 -
3.4
OS REFERENCIAIS METODOLGICOS
DA
FUNO
Como tivemos oportunidade de compreender na seco anterior, os controlos de SI podem estar

associados a diferentes nveis: Governo, Gesto e Tcnicos. No topo, devem ser definidas as
polticas de Governo dos SI, a partir das quais se derivam as normas/controlos a aplicar nos
nveis de Gesto e Tcnicos. Este exerccio de definio de normas/controlos para os SI , hoje
em dia, facilitado pela existncia de normas (standards) internacionais de SI que habitualmente
incorporam modelos estruturados (frameworks) e que aqui optmos por designar por
referenciais. Estes referenciais podero constituir verdadeiras metodologias para a execuo das
funes de Gesto dos SI e tambm para serem utilizados na funo de Auditoria de SI.
Esta seco aborda a adopo destes referenciais metodolgicos pelas organizaes, bem como
quais que se adequam aos nveis de controlo de SI acima referidos e, fundamentalmente,
como se podem adequar s actividades de Auditoria de SI.
3.4.1 A A D O P O
DE
REFERENCIAIS
As organizaes podem encarar o Governo dos SI (IT Governance) com uma abordagem ad-hoc,
atravs da criao dos seus prprios referenciais, baseados na experincia existente na
organizao ou, em alternativa, podem adoptar normas internacionais que foram desenvolvidas
e aperfeioadas recorrendo experincia acumulada ao longo de anos, por um conjunto
alargado de organizaes e de profissionais que se tentam posicionar na vanguarda dos SI. Esta
ltima opo apresentada e defendida por (Spafford, 2003) como sendo a mais acertada. Para
este autor, existem benefcios na adopo de referenciais pois estes tm as seguintes
caractersticas:
So j existentes Podero no existir vantagens em investir tempo e esforo no

desenvolvimento de um referencial metodolgico prprio baseado na experincia e no
conhecimento limitado de uma s organizao quando j existem normas internacionais de SI
disponveis.
So estruturados As normas internacionais de SI habitualmente incorporam modelos

estruturados que facilitam a compreenso das normas e a sua adaptao pelas organizaes.
- 65 -
Para alm disso, o facto de serem estruturados permite que todas as partes interessadas nos
SI (stakeholders) tenham uma referncia que comum e que permite perceber aquilo que
podem esperar dos SI.
Incorporam as melhores prticas As normas vo sendo construdas e melhoradas

progressivamente ao longo dos anos, passando por um processo de avaliao por inmeras
organizaes e profissionais de SI. Esta experincia acumulada de melhores prticas no
possvel de alcanar com o esforo de uma s organizao.
Permitem a partilha de conhecimento Adoptando normas globalmente aceites para os SI,

as organizaes podem beneficiar da partilha de conhecimento e de ideias (exemplos: grupos
de utilizadores, websites, revistas, livros, etc.). Os referenciais prprios de uma s
organizao no beneficiam desta partilha.
So auditveis Sem a existncia de normas de Gesto de SI, a misso da Auditoria de SI

dificultada ou, pelo menos, no fica to facilitada para ser executada de um modo mais
eficaz. Isto significa que, para alm da Gesto de SI dever utilizar estas normas, os prprios
Auditores de SI devero tambm utiliz-las, em vez das habituais prticas ad-hoc de Auditoria.
O intuito dever ser auditar os SI da organizao por comparao com, pelo menos, uma
norma de SI internacionalmente aceite. Tendo esta posio de partida, recorrentemente
devero ser efectuadas recomendaes de acordo com a norma adoptada e, de preferncia,
adoptar outras normas complementares.
Ainda na linha de opinio de (Spafford, 2003), no existe uma resposta pr-determinada para a
questo: Qual o melhor referencial a seleccionar para a Gesto de SI e para a Auditoria de SI?
Mais do que seleccionar um referencial, as organizaes devem ser capazes de ter uma viso
apreciativa sobre os diversos referenciais de SI existentes e planear a implementao dum
referencial seu que combine/integre as melhores prticas de entre vrios referenciais j
existentes, garantindo compatibilidade com as necessidades da organizao.
A implementao de referenciais pode derivar duma necessidade sentida internamente na

organizao ou de um estmulo externo. Aquele autor d como exemplo o facto de entidades
reguladoras e at mesmos os clientes deverem pressionar as organizaes para implementarem
- 66 -
normas base relacionadas com a segurana dos SI. Assim, o domnio da segurana deve ser o
ponto de partida de qualquer organizao para a implementao de normas de SI. No entanto,
as organizaes no se devem limitar a este tipo de normas, devendo progressivamente estendelas para outros domnios dos SI.
Neste contexto, o caminho passa por no s adoptar as normas mas tambm adapt-las e
integr-las num referencial que seja til para a organizao. Hoje em dia, os profissionais de SI
j no devero questionar a utilidade da sua adopo, mas sim o modo como fazer a correcta
adaptao.
Na adaptao correcta das normas, h que garantir que elas incorporam, pelo menos, um
conjunto mnimo de princpios de Governo dos SI que, segundo o (ITGI & OGC, 2005), passam
por:
Alinhamento Estratgico Alinhar as normas de SI com foco no negcio e em solues

colaborativas com este.
Acrscimo de Valor Acrescentar valor organizao atravs de normas que se centrem

na optimizao de custos e na valorizao dos SI.
Gesto do Risco Gerir os riscos com impacto nos SI (j em explorao ou ainda em

projecto de investimento), atravs de normas que devero contemplar a salvaguarda dos
activos de SI, bem como a recuperao de desastres e a continuidade de negcio.
Gesto dos Recursos Gerir os recursos de SI atravs de normas que promovam a

optimizao do conhecimento (recursos humanos) e da infra-estrutura (recursos fsicos).
Medio do Desempenho Medir o desempenho dos SI atravs de normas que permitam

controlar os projectos de SI e monitorar a prestao dos servios de SI.
Como podemos constatar atravs destes princpios resumidos por (ITGI & OGC, 2005), os
referenciais de SI devero garantir alinhamento com o negcio e com o Governo das Sociedades
(Corporate Governance) em geral, isto para alm dos requisitos tcnicos que so j
habitualmente considerados. Neste enquadramento, a adopo de referenciais dever permitir a
definio das responsabilidades (accountability) e dos nveis de deciso (decision rights) para os
SI. Possuir uma organizao bem definida (responsabilidades sobre SI) e os papis de cada um
- 67 -
clarificados (deciso sobre os SI) so dois objectivos de Gesto de SI que ficam facilitados
quando se utilizam referenciais de SI. Por outro lado, estes dois objectivos devero ser
encarados tambm como dois objectivos de controlo de SI, a avaliar pela Auditoria de SI.
Para (LeBlanc, 2004), deve ser efectuado um esforo para estabelecer pontos de integrao
entre alguns dos diversos referenciais de SI disponveis e determinar quais as reas de cada um
que podem ser aplicveis a cada organizao em particular.
Para ilustrar uma possvel utilizao dos referenciais, este autor evocou os conceitos do mtodo
Six Sigma. Este um mtodo estatstico de melhoria da qualidade dos processos, desenvolvido
pelo grupo Motorola, baseado numa viso de servio ao cliente. O mtodo prev 5 principais
fases: Definio (Define); Medio (Measure); Anlise (Analyse); Melhoria (Improve) e Controlo
(Control). Embora este mtodo tenha sido originalmente desenvolvido para processos de fabrico
industrial com o intuito de reduzir a produo de defeituosos, o referido autor sugere que os
conceitos podero ser transpostos para os servios de SI e TIC, implementando um programa de
melhoria contnua do servio.
Figura 3.6 - Trs Refernciais Metodolgicos Integrados

Fonte: Verso original extrada de (LeBlanc, 2004): Integrated Trio
Neste contexto de melhoria contnua, poderemos efectuar uma possvel interpretao do

esquema proposto por (LeBlanc, 2004) que relaciona trs dos referenciais metodolgicos. Em
primeiro lugar, numa fase de Definio (Define), os SI devem ser tornados seguros (Secure),
condio base para que os servios de SI possam ser prestados. Em fases seguintes, decorre a
prestao dos servios de SI aos clientes, durante as quais deve ser efectuada a Medio
(Measure) e a Anlise (Analyse) dos dados relativos qualidade dos servios. Estas duas
- 68 -
actividades podero ser efectuadas periodicamente no mbito de uma Auditoria (Audit) ou serem
actividades j habituais no processo de prestao do servio. Numa fase seguinte, aps a
interpretao destes dados, devem ser identificadas medidas para Melhoria (Improve) dos
servios. O ciclo recomea no sentido inverso, numa fase de Controlo (Control), em que se
dever controlar atravs de uma Auditoria (Audit) as melhorias entretanto implementadas. Na
sequncia destas, poder fazer sentido efectuar a Definio (Define) de novas medidas de
segurana que melhorem a qualidade dos servios de SI. Deste modo, o ciclo de melhoria
contnua inverteu-se novamente e reiniciou-se, continuando sucessivamente na busca da
melhoria da qualidade dos SI.
O referido autor defende que o referencial metodolgico de SI mais adequado para a definio
das medidas de Segurana (Secure) a ISO 17799, para a Auditoria (Audit) o CobiT e para a
Melhoria (Improve) o ITIL.
De seguida, na prxima seco, so desenvolvidos os conceitos destes trs referenciais

metodolgicos mencionados, onde ser possvel avaliar a adequao de cada um deles.
3.4.2 U M A S E L E C O
DE
3 R E F E R E N C I A I S : C O B I T, ITIL
ISO 17799
Estes trs referenciais seleccionados (CobiT, ITIL e ISO 17799) so os mais mencionados pela
literatura que aborda a Auditoria de SI e so tambm os utilizados de forma mais comum pelos
profissionais de SI a nvel internacional.
Na tabela seguinte efectuada uma apresentao dos trs referenciais, comparando-os quanto a
alguns dos seus elementos caracterizadores. De seguida efectuada uma apresentao dos
respectivos modelos estruturados, acompanhada por breves comentrios.
Note-se que no do mbito deste trabalho desenvolver ou detalhar os referenciais. A sua

caracterizao e breve descrio tem apenas como objectivo dar a conhec-los a alto nvel,
- 69 -
fazendo a ponte para a prxima seco em que se identificam as actividades de Auditoria de SI

previstas nesses referenciais.
COBIT
ITIL
The Information Technology Infrastructure
ISO 17799
ISO 17799 Information Technology - Code of
Nome
Control Objectives for Information
Entidade
Responsvel
IT Governance Institute / ISACA -
Primeira verso
CobiT 1st Edition (1996)
ITIL v1 Library (1988)
ISO/IEC 17799:2000
ltima verso
CobiT 4th Edition (2005)
ISO/IEC 17799:2005
Verso analisada
CobiT 3rd Edition (2000)
ISO/IEC 17799:2000
Relacionados /
Antecedentes /
Subsequentes
Em 1997 so lanados os SISAS -
Com a contribuio do itSMF (Information

Technology Service Managment Forum),
a partir de 2000 o ITIL passou a ser
considerado como a melhor prtica para
as organizaes conseguirem a
certificao na British Standard for IT
Service Management (BS 15000):
- Part 1 : Specification for Service
Teve origem em 1993numa British Standard

(BS 7799), da qual existiram duas partes:
- Part 1 : Information Technology Code of
and related Technology

Information Systems Audit and
Control Association (USA)
Statements on Information Systems

Auditing Standards que definem o
modo como os Auditores de SI
devem executar as Auditorias de SI.
Com o mesmo propsito, e
substituindo todos os anteriores,
em 2005 so lanados os IS
Standards, Guidelines and

Procedures for Auditing and Control
Professionals.
Library
OGC The Office of Government
Commerce (UK)
Management
- Part 2 : Code of Practice for Service
Management
Espera-se que a BS 15000 se transforme
definitivamente no standard ISO/IEC
20000.
Practice for Information Security Management

ISO - International Organizational for
Standardization & IEC - International

Electrotechnical Comission (Joint Technical
Committee ISO/IEC JTC 1) (Switzerland)
Practice for Information Security Management

- Part 2 : Information Security Management
Systems Specification with Guidance for Use
Part 1 transformou-se na ISO 17799 em 2000
e a Part 2 na ISO 27001 em 2005.
Durante 2007 a ISO/IEC 17799:2005 (Part 1)
passar a ISO/IEC 27002, inserida na nova
srie de standards ISO/IEC 2700x dedicada
Segurana.
Gnese
Auditar os processos de SI
Organizar e estruturar as reas dos SI
Garantir a segurana da informao
Objectivo
Governo dos SI
Gesto de Servios de SI
Gesto da Segurana da Informao
Foco
Alinhamento dos SI com o Negcio
Qualidade dos Servios de SI
Segurana da Informao
Viso
Viso de gesto dos processos de SI
Viso operacional dos servios de SI
Viso sistmica da informao
Convenincia
Orientador, integrador, controlador
Auxiliador, estruturador, aperfeioador
Basilar, protector
Proficincia
Em controlos
Em processos
Em procedimentos
Destinatrios
Gestores de Topo
Gestores de SI
Auditores de SI
Gestores de Servios de SI
(Auditores de SI)
Gestores da Segurana da Informao

(Auditores de SI)
Nveis de
controlos
N1 4 domnios
N2 34 processos de controlo de
alto nvel
N3 318 actividades de controlo
detalhadas
N1 2 mdulos/livros core + 5
mdulos/livros complementares
N2 11 processos core + (n/d)
processos complementares
N3 (n/d) processos detalhados
N1 10 reas
N2 37 controlos de segurana de alto nvel
N3 127 controlos de segurana detalhados
(na verso
analisada)
Tabela 3.2 - Comparao de Elementos Caracterizadores: CobiT vs. ITIL vs. ISO 17799
Fonte: Compilado pelo autor a partir de vrias fontes, incluindo (ITGI,2000), (OGC,2004) e (BSI, 2005)
- 70 -
Pela anlise dos elementos caracterizadores apresentados na tabela anterior pode-se concluir
que de um modo geral, e salvo as situaes que sero de seguida indicadas, dos 3 referenciais
apresentados, o CobiT ser o referencial a ser aplicado preferencialmente na Auditoria de SI.
As razes que fundamentam esta concluso so:

Na gnese do CobiT esteve a necessidade de criar um referencial para auditar os processos

de SI. O ITIL teve uma origem no to abrangente (a organizao e a estruturao das reas
de SI) enquanto que o ISO 17799 nasceu especializado apenas na segurana da informao.
A entidade responsvel pela elaborao do CobiT uma Associao de Auditores de SI

(ISACA Information Systems Audit and Control Association), o que no acontece com os
outros dois referenciais.
O CobiT possui uma viso de gesto dos processos de SI e privilegia o alinhamento destes
com o negcio (factores que so importantes para o paradigma defendido para a Auditoria de
SI, tal como vimos na seco 3.2.1). O ITIL tambm considera o alinhamento com o negcio
(como iremos ver mais frente), mas est focado na qualidade dos Servios de SI e possui
uma viso mais operacional, factores que o tornam mais adequado para Auditoria de SI
quando os objectos da Auditoria forem servios e no processos de SI abrangentes. O ISO
17799 ser o referencial mais adequado nos casos de auditoria informao e sua
segurana nos SI, uma vez que possui uma viso sistmica da informao.
O CobiT til para as organizaes enquanto instrumento orientador e integrador de

controlos de SI em todos os nveis de Governo dos SI, pelo que tambm ser um referencial
sobre o qual todos os tipos controlos de SI podero ser auditados. O ITIL poder ser um
referencial adequado para auditar os processos de Gesto de Servios de SI e o ISO 17799
para auditar os procedimentos bsicos de Gesto da Segurana da Informao.
Como consequncia, os destinatrios privilegiados do CobiT so os Auditores de SI, sendo

tambm utilizado pelos Gestores de Topo e Gestores de SI. Nos casos do ITIL e do ISO
17799, a utilizao pelos Auditores de SI deve ser favorecida apenas nas situaes
anteriormente indicadas, uma vez que estes dois referenciais so mais adequados para
utilizao pelos Gestores de Servios de SI e pelos Gestores da Segurana da Informao
respectivamente.
- 71 -
De seguida ser efectuada uma breve apresentao dos modelos estruturados (frameworks) que
representam os 3 referenciais, pela ordem em que tm sido tratados (CobiT, ITIL e ISO 17799).
Figura 3.7 - Framework CobiT

Fonte: Verso original extrada de (ITGI, 2004): COBIT IT Processes Defined Within the Four Domains
A principal premissa do CobiT, visvel no topo da figura, a orientao para o negcio, ou seja,
todos os processos de SI devem estar alinhados com o Governo dos SI que, por sua vez, dever
estar alinhado com os objectivos de negcio (por via do Governo das Sociedades).
- 72 -
Este modelo estruturado considera 5 tipos de recursos de SI (as pessoas, os sistemas

aplicacionais, a tecnologia, as instalaes e os dados) que, em conjunto, possibilitam a produo
e o suporte da informao de negcio, tendo em conta 7 princpios essenciais (eficcia,
eficincia, confidencialidade, integridade, disponibilidade, conformidade e fiabilidade).
Para providenciar a informao que o negcio necessita para atingir os seus objectivos, os
recursos de SI so geridos atravs de processos de SI. Cada um destes processos dever possui
controlos de SI subjacentes.
O referencial CobiT considera os controlos de SI agrupados em 4 grandes domnios que

trabalham em conjunto, de um forma cclica, para possibilitarem a existncia de uma
organizao bem suportada em termos de SI, optimizada com base nas prioridades e nos
recursos da organizao. Os 4 domnios so:
Planear e Organizar (PO - Plan and Organize)
Adquirir e Implementar (AI - Acquire and Implement)
Produzir e Suportar (DS - Deliver and Support)
Monitorar e Avaliar (M - Monitor and Evaluate)
Cada um destes 4 domnios constitudo por um conjunto de processos de SI (34 no total) que
correspondem a objectivos de controlo de alto nvel. Por sua vez, estes processos so
constitudos por actividades de SI (318 no total) que correspondem a objectivos de controlo
detalhados.
- 73 -
Figura 3.8 - Framework ITIL

Fonte: Adaptado da verso original de (OGC, 2004): The big picture of ITIL Processes
O referencial ITIL toma como ponto de partida, no s a tecnologia existente, mas tambm as
necessidades do negcio ao nvel de Servios de SI (visvel na figura nos blocos mais esquerda
e mais direita). O ITIL centra-se fundamentalmente na Gesto dos Servios de SI que tem
como objectivos a produo (delivery) e o suporte (support) dos Servios de SI que sejam
adequados aos requisitos da organizao (bloco no centro da figura).
O ITIL considerado por grande parte dos Gestores de SI como sendo um conjunto coerente de
melhores prticas (guidelines) para a Gesto de Servios de SI e para a totalidade dos processos
com eles relacionados (end-to-end processes). Privilegia as seguintes abordagens: promoo da
qualidade dos Servios de SI; viso holstica da Gesto dos Servios de SI; orientao para o
negcio (cliente/utilizador); e uso eficaz/eficiente dos SI.
- 74 -
Os 2 mdulos nucleares (core) do modelo estruturado e respectivos processos so:

Suporte aos Servios (Service Support) Gesto de Incidentes (Incident Management);

Gesto de Problemas (Problem Management); Gesto de Configuraes (Configuration
Management); Gesto de Alteraes (Change Management); Gesto de Verses (Release

Management); Apoio aos Servios (Service Desk).
Produo dos Servios (Service Delivery) Gesto de Capacidade (Capacity Management);

Gesto de Disponibilidade (Availability Management); Gesto de Nveis de Servio (Service
Level Management); Gesto de Continuidade de Servios (IT Service Continuity Management);

Gesto Financeira dos Servios (Financial Management for IT Services).
Os restantes 5 mdulos complementares do ITIL so mais latos, pois para alm da Gesto dos
Servios de SI, abordam aspectos relacionados com a definio e o desenvolvimento de
processos eficazes de SI. Os temas tratados pelos seus respectivos processos so os seguintes:
Gesto da Infraestrutura de TIC (ICT Infrastructure Management) muito abrangente em

termos de processos de gesto das tecnologias (arquitectura e planeamento, entrada em
produo, operao, suporte tcnico, etc.).
Gesto de Aplicaes (Application Management) Inclui processos de desenvolvimento de
software usando uma perspectiva de ciclo de vida de desenvolvimento, com foco na rigorosa
definio dos requisitos aplicacionais em funo das necessidades do negcio.
Gesto da Segurana (Security Management) Aborda os processos de planeamento, de

gesto e de resposta a incidentes relativos aos nveis de segurana da informao e das TIC.
Planeamento da Implementao da Gesto dos Servios (Planning to Implement Service
Management) Prev os processos essenciais no planeamento e na implementao da

Gesto de Servios de SI.
A Perspectiva de Negcio (The Business Perspective) Aborda os processos de

relacionamento e de comunicao da Gesto dos SI com o negcio, incluindo a restante
organizao e entidades externas.
- 75 -
Figura 3.9 - Framework ISO 17799

Fonte: Adaptado das verses originais de
(BSI, 2006): ISO 17799:2000 x 2005 & (Dhillon, 2006): Summary of ISO 17799 Controls
No que diz respeito ao referencial ISO 17799, no existe um modelo estruturado formalmente
definido, dado no existir uma representao grfica original ( semelhana das existentes no
CobiT e no ITIL). No entanto, para facilitar a apresentao do ISO 17799, o autor da presente
- 76 -
investigao elaborou uma representao grfica bsica, adaptando a informao de duas fontes
(BSI, 2006) e (Dhillon, 2006).
O referencial ISO 17799 constitui um Cdigo de Boas Prticas para Gesto da Segurana da
Informao. Tem por objectivo a implementao de controlos de segurana da informao nas
organizaes. Deve ser encarado como uma base a partir da qual podem ser desenvolvidas
polticas de segurana e prticas de gesto da informao nas organizaes, permitindo
melhorar a sua confiana na informao.
Este referencial constitudo por 10 grandes reas que, por sua vez, se desdobram em diversos
controlos de segurana de alto nvel e controlos de segurana detalhados. Na representao
grfica encontram-se indicadas as 10 reas bem como uma breve descrio de cada uma (a
numerao inicia-se no nmero 3. dado que os captulos 1. e 2. da norma dizem respeito ao
mbito e aos termos e definies).
As orientaes sobre segurana da informao previstas na ISO 17799, que se concretizam nos
controlos de segurana, tm fundamentalmente duas motivaes:
Requisitos legais Proteco e no divulgao de dados pessoais; Proteco de

informao interna; Proteco de direitos de propriedade intelectual.
Boas prticas geralmente aceites Poltica de segurana da informao; Atribuio de

responsabilidades pela segurana da informao; Escalada de problemas; Gesto da
continuidade de negcio.
Os controlos de segurana da informao podem ser complementados ou melhorados atravs

da aplicao do referencial ISO 27001 - Requisitos para Sistemas de Gesto da Segurana da
Informao. Trata-se de um instrumento complementar que permite gesto monitorizar e
controlar a segurana da informao, minimizar o risco da sua utilizao indevida e assegurar
conformidades com requisitos legais e regulatrios.
- 77 -
3.4.3 A S A C T I V I D A D E S
DE
AUDITORIA
DE
SI
PREVISTAS NOS
REFERENCIAIS
Uma vez efectuada a apresentao e descrio dos modelos estruturados relativos aos 3
referenciais em anlise, estamos agora em condies de proceder identificao de quais as
actividades directamente relacionadas com Auditoria de SI ou que so especficas desta e que os
referenciais prevem.
Para tal, dado que na seco anterior se concluiu que o CobiT o referencial mais abrangente
para a Auditoria de SI, tomou-se o CobiT como ponto de partida para a identificao das
actividades de Auditoria de SI. Recorreu-se igualmente aos referenciais ITIL e ISO 17799 para a
identificao dessas actividades uma vez que estes referenciais so mais especficos em alguns
aspectos.
Aplicou-se a metodologia de anlise abaixo descrita, da qual resultou a tabela resumo da

prxima pgina. Os resultados detalhados da anlise encontram-se no Anexo 1: Actividades de
Auditoria de SI previstas no CobiT, ITIL e ISO 17799.
Metodologia de anlise:
Para efectuar a correspondncia entre os objectivos de controlo do CobiT e os controlos do

ITIL e ISO 17799, utilizou-se como suporte o trabalho desenvolvido por (ITGI & OGC, 2005):
Mapping ITIL and IS0 17799 to CobiT Control Objectives
Tomou-se o referencial CobiT como sendo a base da anlise, ficando este colocado do lado
esquerdo da tabela. Seguem-se na tabela o ITIL e ISO 17799.
Para cada um destes 3 referenciais, dividiram-se os controlos em trs nveis (Nvel 1, 2 e 3),
de acordo com os prprios critrios de classificao de cada um dos referenciais (para o ISO
17799 apenas existiu informao para efectuar o exerccio at o Nvel 2).
Para cada um dos nveis de controlo do CobiT (Nvel1: Domnio; Nvel 2: Controlo de alto
nvel; Nvel 3: Controlo detalhado) verificou-se se o respectivo nome indicava alguma
actividade directamente relacionada ou especfica de Auditoria de SI. Em caso de dvida, foi
analisado o texto do controlo. De um modo subsidirio, efectuou-se o mesmo tipo de exerccio
- 78 -
para o ITIL e ISO 17799. Nos casos em que o CobiT no previa actividades de Auditoria mas
o ITIL e ISO 17799 previam, enquadraram-se as actividades destes dois ltimos no CobiT.
Todos os casos em que existia pelo menos uma actividade de Auditoria de SI foram
indicados na tabela de anlise, de acordo com a legenda e os resultados detalhados que so
apresentados no Anexo 1.
Tabela 3.3 - Actividades de Auditoria de SI previstas nos Referenciais (resumo)

Fonte: Levantamento elaborado pelo autor com base nos dados de (ITGI & OGC, 2005):
Mapping ITIL and ISO 17799 to CobiT Control Objectives
Como principais concluses, quanto ao CobiT, podemos destacar a existncia de 7 objectivos de

controlo de alto nvel (PO6, PO8, AI1, AI2, M1, M2, M3) que incluem referncias a actividades
directamente relacionadas com Auditoria de SI (assinaladas a sombreado mais claro na tabela
resumo acima). Para alm disso, existem 2 objectivos de controlo de alto nvel que se referem a
- 79 -
actividades especficas de Auditoria de SI ou de Gesto de Risco de SI (assinaladas a sombreado

mais escuro na tabela resumo acima):
Avaliao de Riscos (PO9 Assess Risks)
Auditoria Independente (M4 Provide for Independent Audit)
Pela observao da tabela detalhada no Anexo 1, verifica-se que o objectivo de controlo

Auditoria Independente (M4) corresponde, de um modo geral, aos contedos que constituem
os designados Referenciais, Orientaes e Procedimentos para Auditoria de SI (IS Standards,
Guidelines and Procedures for Auditing) emitidos pela (ISACA, 2005).
Os Referenciais de Auditoria de SI (IS Auditing Standards) so de utilizao obrigatria nos

relatrios de Auditoria pelos Auditores de SI que sejam profissionalmente certificados pela
ISACA. Por sua vez, as Orientaes de Auditoria de SI (IS Auditing Guidelines) so detalhes de
como cumprir os Referenciais, podendo existir situaes em que o Auditor no siga exactamente
as Orientaes, devendo justificar o modo como o trabalho foi executado. Por ltimo, os
Procedimentos de Auditoria de SI (IS Auditing Procedures) so exemplos dos passos de
execuo da Auditoria, sendo de natureza informativa.
Os Referenciais de Auditoria de SI (IS Auditing Standards) previstos pela ISACA para a

profisso de Auditor de SI so os seguintes:
Carta de Auditoria (S1 - Audit Charter)
Independncia (S2 - Independence)
tica Profissional e Referenciais (S3 - Professional Ethics and Standards)
Competncias (S4 - Competence)
Planeamento (S5 - Planning)
Desempenho do Trabalho de Auditoria (S6 - Performance of Audit Work)
Relatrios (S7 - Reporting)
Actividades de Acompanhamento/seguimento (S8 - Follow-Up Activities)
Irregularidades e Actos Ilegais (S9 - Irregularities and Illegal Acts)
Governo dos SI (S10 - IT Governance)
Uso da Avaliao de Riscos no Planeamento de Auditoria (S11 - Use of Risk Assessment in

Audit Planning)
- 80 -
Destaca-se a existncia de um referencial para as Competncias (S4 - Competence) que aborda

as competncias tcnicas e no tcnicas, bem como os conhecimentos que os Auditores de SI
devem possuir (desenvolveremos este ponto no Captulo 4, relativo ao Modelo de
Competncias).
Para encerrar as concluses sobre as actividades de Auditoria de SI previstas no referencial

CobiT, deixa-se aqui uma citao em que a (ISACA, 2005) atribui uma forte nfase relao
entre os referenciais (standards) e as competncias (skills) profissionais:
The specialised nature of information systems auditing and the skills necessary to perform such
audits require standards that apply specifically to IS auditing.
No que diz respeito ao referencial ITIL, tal como se pode constatar pela anlise da tabela
detalhada no Anexo 1, no possui nenhum controlo de Nvel 1 (Mdulos) ou de Nvel 2
(Processos) dedicados especificamente Auditoria de SI.
No entanto, existem alguns controlos de Nvel 3 (Processos Detalhados) com actividades

directamente relacionadas com Auditoria de SI e que esto mais adequados ou aprofundados do
que os outros dois referenciais (exemplos: 4.3 - Audit and Evaluate ; 5.1.1 - Business view on
risk ; 7.4 - Ongoing monitoring and process reviews ; 8.9.3 - Central Computer and
Telecommunications Agency Risk Analysis and Management Method ).
Relativamente ao referencial ISO 17799, dada a sua natureza procedimental, atribui um grande
destaque s questes de Conformidade. De facto, recorrendo novamente tabela detalhada no
Anexo 1, verifica-se a existncia de um controlo de Nvel 1 (rea 12 - Compliance) que contm
os seguintes trs controlos de Nvel 2 (Controlos de segurana de alto nvel) com actividades
directamente relacionadas com Auditoria de SI:
Conformidade com requisitos legais (12.1 - Compliance with legal requirements)
Reviso da poltica de segurana e da conformidade tcnica (12.2 - Reviews of security policy
and technical compliance)

Consideraes sobre Auditoria de SI (12.3 - System audit considerations)

- 81 -
Em forma de concluso sobre as actividades de Auditoria de SI previstas nos referenciais,

podemos afirmar que o CobiT o que possui mais actividades directamente relacionadas e at
indica algumas especficas para Auditoria de SI. O ITIL , dos 3 referenciais, o menos
direccionado para as actividades de Auditoria de SI, enquanto que o ISO 17799 est mais
vocacionado para actividades de Auditoria de SI relacionadas com a conformidade da segurana
da informao.
Constata-se pois que existem algumas partes destes 3 referenciais que orientam, em especfico,
o modo como as actividades de auditoria de SI devem ser executadas. Relativamente s
restantes partes, e no entrando em contradio com a concluso acima, considera-se que
qualquer uma delas poder ser utilizada pelos Auditores de SI como uma referncia dos
processos de SI sobre a qual os podero auditar. Tal como tivemos oportunidade de entender na
seco 3.4.1, o importante no executarmos a Auditoria de SI de um modo ad-hoc, mas sim
adoptarmos um ou mais referenciais (ou uma combinao destes) que sejam teis para o
trabalho do Auditor.
3.5
OS PROCESSOS
DA
FUNO
Esta seco trata fundamentalmente de processos de Gesto das Auditorias de SI que o Auditor
dever realizar. Comear-se- por identificar um modelo e um conjunto de orientaes a ter em
conta na definio de um planeamento anual para as Auditorias de SI. Situando-nos j ao nvel
das Auditorias individuais, apresentaremos algumas vises sobre as fases que constituem uma
Auditoria de SI. Uma vez compreendidas as principais fases e respectivos principais contedos,
estaremos em condies de compreender que estas fases de uma Auditoria podem ser geridas
como se tratassem das fases de um projecto. Utilizando o modelo estruturado da Gesto de
Projectos, passar-se- definio da estrutura de uma Auditoria de SI. Completar-se- com a
apresentao de um conjunto de tcnicas de Gesto das Auditorias de SI, a aplicar em cada um
dos principais parmetros que definem uma Auditoria (objectivos, mbito, tempo, recursos,
comunicao, qualidade, riscos, produtos resultantes, etc.).
- 82 -
3.5.1 O P L A N E A M E N T O
DAS
AUDITORIAS
DE
SI
Os principais factores a tomar em considerao na elaborao de um planeamento para as

Auditorias de SI esto contidos no seguinte comentrio da (ISACA, 2005) que se transcreve:
For an internal audit function, a plan should be developed/updated, at least annually, for
ongoing activities. The plan should act as a framework for audit activities and serve to address
responsibilities set by the audit charter. The new/updated plan should be approved by the Audit
Committee
Esta passagem consta dos IS Standards, Guidelines and Procedures for Auditing and Control
Professionals, nos quais existe uma norma (standard) relativa ao planeamento (S5 - Planning).
Nesta definida a obrigatoriedade de um plano de Auditoria de SI que cubra os objectivos da
funo e que esteja em conformidade com os regulamentos aplicveis, incluindo os constantes
das normas profissionais do Auditor e da carta de Auditoria. O plano dever sintetizar a natureza,
os objectivos, os recursos e o perodo de tempo relativos a cada auditoria, devendo ser aprovado
pelo Comit de Auditoria da organizao. O plano da Auditoria de SI dever ser documentado e
construdo utilizando uma abordagem ao risco.
Esta abordagem ao risco, j anteriormente tratada (na seco 2.3.2 - Auditoria baseada no
Risco), o instrumento chave atravs do qual todo o plano deve ser desenvolvido.
O seguinte pensamento de (Sayana, 2002) vem precisamente corroborar a necessidade de uma

abordagem ao risco no planeamento das Auditorias de SI:
The auditor is faced with the questions of what to audit, when and how frequently. The answer
to this question is to adopt a risk-based approach.
Como se percebe, o planeamento das Auditorias de SI no serve apenas para indicar o que se
vai auditar, mas tambm um instrumento para determinar quando e com que frequncia
se deve auditar. J agora, permita-se acrescentar um outro factor importante: o porqu
auditar? A resposta a esta ltima questo reside no risco. Na elaborao do planeamento devem- 83 -
se escolher, para serem auditados, os processos e os SI que maior risco trazem ou podero vir a
trazer para o negcio em determinado perodo de tempo.
Como elaborar ento um planeamento de Auditoria de SI que tenha em conta o negcio e os

seus riscos? Para percebermos como conceber um planeamento deste tipo, recorreu-se ao
seguinte modelo descritivo da autoria de (McNamee and Selim, 1998):
Figura 3.10 - Modelo de Planeamento para a Funo Auditoria de SI

Fonte: Adaptado da verso original de (McNamee and Selim, 1998):
A Model for Improving Internal Audit service to the organization through Risk Management techniques
- 84 -
Comecemos ento por interpretar este modelo, dizendo que o risco (Recognition and
Appreciation of Business Risks) o elo de ligao entre o lado do negcio (lado esquerdo da
figura) e o lado da Auditoria (lado direito da figura). Situando-nos no lado do negcio, podemos
constatar que os objectivos de negcio determinam o plano estratgico (Strategic Planning
Process), que por sua vez determina o plano anual de negcios (Annual Business Plan), que tem
impacto nos processos e nas reas de negcio (Process or Work Unit Objectives). Uma vez que a
Auditoria de SI dever estar alinhada com as necessidades do negcio, ento do lado da
Auditoria o planeamento dever seguir um raciocnio semelhante. Situando-nos ento do lado da
Auditoria (no conjunto das 3 actividades destacadas com uma elipse a tracejado), partindo do
universo da Auditoria (Audit Universe Process), dever ser elaborado um plano anual de
Auditorias (Annual Audit Plan) que determinar o mbito de cada Auditoria individual (Individual
Audit Scope) e ter impacto no modo como as reas de negcio avaliam e gerem os seus riscos
(Evaluate How Business Risks are Managed).
Segundo os referidos dois autores, o sucesso de um modelo de planeamento deste tipo passa
pela necessria comunicao entre os dois lados. Assim, na prtica, para a determinao do seu
universo de actuao, a Auditoria de SI dever conhecer o plano estratgico dos SI. De igual
modo, para a elaborao do planeamento anual, a Auditoria de SI dever conhecer o plano
operacional do SI para esse mesmo ano. Ao contrrio de outras abordagens mais tradicionais
em que os Auditores de SI utilizavam os planos de SI para validar os planeamentos da Auditoria
de SI, este modelo defende que os planos dos processos de negcio, neste caso os planos dos
SI, devero ser determinantes activos na elaborao do planeamento da Auditoria. Como j
afirmmos anteriormente, os riscos de negcio mais relevantes ao nvel dos SI devero ser os
determinantes do mbito anual da Auditoria de SI. O modelo admite que as organizaes usem
cenrios de risco na avaliao de risco anual, pois so mais apropriadas para sectores de
negcio em consolidao ou com ritmo de mudana elevado. O modelo vai ainda mais longe
quando afirma que as metodologias de avaliao de risco a utilizar (factores de risco, modelos
de risco, etc.) possam ser derivadas directamente da especificidade de cada processo de
negcio (Industry-Specific Scenarios Approaches Models) em vez de serem determinadas
unicamente pelos processos de Auditoria. Ao nvel das Auditorias individuais, mais uma vez
- 85 -
sero os riscos do processo ou do SI em causa que determinaro o planeamento dessa

Auditoria, incluindo quais os testes a efectuar e o tipo de relatrio mais adequado para emitir.
Note-se ainda o facto deste modelo prever os dois rgos de governo da organizao (a Gesto
de Topo e o Comit de Auditoria) que tm como responsabilidades contribuir para a elaborao
e dar aprovao ao universo da Auditoria e ao seu planeamento anual. , no entanto, da
responsabilidade do departamento de Auditoria da organizao transmitir a estes rgos de
governo uma cultura e percepo de risco, alinhada com as restantes reas da organizao, e
inform-los sobre as exposies aos riscos da organizao.
Como se constata, para alm da abordagem ao risco, dado grande destaque relao com o
negcio nas actividades de planeamento. Apenas uma nota para deixar claro que esta relao
no uma novidade, nem uma necessidade exclusiva da Auditoria de SI. Existem outras
actividades de planeamento no domnio dos SI em que esta necessidade tambm reconhecida.
A este propsito deixmos aqui um apontamento da viso de (Amaral e Varajo, 2000):
A actividade de planeamento de SI desencadeada como parte integrante da actividade de
planeamento estratgico da organizao. () O planeamento de SI dever estar integrado e
alinhado com o planeamento do negcio, sendo extremamente importante ter a noo de que o
mesmo uma forma de planeamento da mudana organizacional
O (IIA, 2006) tece um conjunto de consideraes sobre o modo como as Auditorias de SI devem
ser definidas e que so relevantes aquando da elaborao do planeamento:
The way in which IT audits are defined plays a large role in the overall effectiveness of the IT
audit function. () Audit committee wants IT audit findings to be tied to the business issues.
Segundo esta perspectiva, o desafio est em encontrar o nvel correcto de granularidade

aquando da definio das Auditorias de SI. Neste contexto, o IIA fornece algumas orientaes a
ter em considerao e que se resumem de seguida:
Evitar o uso de definies/designaes de Auditorias de SI demasiado abrangentes

comum existirem nos planeamentos da Auditoria de SI as chamadas Auditorias aos
Controlos Gerais. Estas podem tornar-se relativamente inteis, sobretudo em grandes
- 86 -
organizaes, dado que, ou no cobrem todo o universo dos SI, ou para faz-lo, tornam-se
interminveis no tempo. Por outro lado, h que ter muito cuidado na designao que se
atribui s Auditorias pois podem induzir em erro a Gesto de Topo e a Gesto dos SI quanto
verdadeira abrangncia do plano de Auditorias.
O planeamento deve tocar todos os nveis de SI O planeamento deve considerar, em

cada ano, pelo menos uma Auditoria em cada um dos nveis de controlo dos SI: Governo,
Gesto, Tcnico (ver os nveis na seco 3.3.2). Se tal no acontecer, existe sempre o risco
da organizao considerar o planeamento omisso ou incompleto como um todo.
O planeamento deve prever Auditorias que formem conjuntos lgicos de relatrios sobre
determinados temas As Auditorias devem ser planeadas de modo a fornecer um reporte
eficaz e lgico dos resultados. Para ilustrao, as Auditorias aplicacionais raramente so
eficazes se forem divididas em Auditorias independentes (exemplo: dever-se- auditar todos
os mdulos de SAP e no apenas o mdulo financeiro). De modo semelhante, as Auditorias
s tecnologias da rede corporativa tendem a ser mais eficazes quando efectuadas ao nvel de
toda a organizao (exemplo: no auditar a segurana da rede em uma s
localizao/instalao).
O planeamento e respectivo oramento devem cobrir os riscos de forma apropriada O

planeamento das Auditorias e o oramento do departamento devem ser um resultado do
processo de avaliao de riscos de SI, no devendo ser definidos antes de se proceder a essa
avaliao. Esta deve ser efectuada no contexto da avaliao de riscos efectuada para toda a
organizao (a este propsito, ver na seco 3.2.2 o papel da funo Gesto de Risco).
Contrariamente ao que acontece com outros tipos de Auditoria Interna com histrico mais
longo nas organizaes (exemplos: Auditoria Financeira, Auditoria de Qualidade, etc.), a
estimativa de um oramento para Auditoria de SI pode ser induzida em erro caso utilize
tcnicas de comparao com outras Auditorias ou se guie por ordens de grandeza. O
oramento da Auditoria de SI deve ser estimado em funo da avaliao dos riscos de SI,
deve possuir um processo de pr-planeamento robusto e deve contar com os contributos da
Gesto dos SI.
- 87 -
Uma vez definido o modelo a utilizar e as orientaes a ter em conta na definio de um

planeamento anual das Auditorias de SI, na prxima seco tratar-se- de identificar as fases que
constituem cada uma das Auditorias individuais previstas nesse planeamento.
3.5.2 A S F A S E S
DAS
AUDITORIAS
DE
SI
De seguida dar-se-o a conhecer as principais fases que habitualmente constituem uma

Auditoria e concretizaremos, indicando de forma breve, alguns exemplos dos contedos de cada
uma das fases.
Para tal, apresentaremos trs vises diferentes, mas compatveis, das fases das Auditorias. Notese que algumas destas vises no so especficas da Auditoria de SI (por exemplo, so do
domnio da Auditoria de Processos de Negcio ou da Auditoria de Qualidade). No entanto so
abordagens que so realmente aplicveis na prtica tambm Auditoria de SI. Alis, como
vimos na seco 2.4.1, desejvel a integrao de metodologias entre diferentes tipos de
Auditorias Internas.
Figura 3.11 - As Fases da Auditoria de SI: sequncia decomposta em contedos

Fonte: Verso original extrada de (Karapetrovic and Willborn, 2001): Audit flow and audit system reliability.
- 88 -
A sequncia de fases apresentadas na figura anterior so da autoria de (Karapetrovic and

Willborn, 2001). Estes consideram que o processo de Auditar consiste numa srie de actividades
interrelacionadas. A Auditoria despoletada em funo do planeamento anual das Auditorias
onde dever estar prevista, ou excepcionalmente, em funo de uma necessidade pontual
devidamente justificada. Na primeira fase, so desenvolvidas actividades com vista
determinao da Auditoria, nomeadamente a definio dos seus objectivos, mbito, cronologia e
critrios de Auditoria a utilizar, entre outras. Segue-se uma fase de planeamento e desenho da
Auditoria, cujo principal objectivo a sua preparao. Aqui devem ser providenciados os
recursos necessrios, includo a identificao das qualificaes profissionais dos Auditores
(formao, experincia, etc.) e as suas competncias (alinhadas com os objectivos da Auditoria).
Nesta fase efectuada a seleco das metodologias de teste e o desenho dos testes a executar
na Auditoria. Devero ser identificados os riscos da Auditoria (note-se que so os riscos da
prpria Auditoria no cumprir os seus objectivos e no os riscos de negcio ou riscos de SI que
j devero ter sido identificados na fase anterior). Os referidos autores prevem uma fase
intermdia em que a Auditoria j definida ento atribuda a uma equipa de Auditores que a vo
executar. Na fase de execuo, as evidncias de Auditoria so recolhidas e verificadas, sendo
comparadas com os critrios de Auditoria para a determinao de eventuais excepes
(findings). Estas actividades devero ser executadas de acordo com as tcnicas de auditoria
definidas nas fases anteriores e dentro do mbito delimitado na primeira fase. Na ltima fase,
so reportadas s partes interessadas na Auditoria, no s as concluses (sobre a conformidade
dos processos auditados com os critrios de Auditoria), mas tambm a definio de aces
preventivas ou correctivas a efectuar (oportunidades para a melhoria contnua). Estas podem ser
alvo de Auditorias de seguimento/acompanhamento (follow-up) sobre o estado de
implementao dessas aces.
- 89 -
Figura 3.12 - As Fases da Auditoria de SI: sequncia lgica de actividades

Fonte: Verso original extrada de (IIA, 2006): Audit Process Overview
A viso apresentada pelo (IIA, 2006) difere nas fases e nos seus contedos face viso anterior,
no existindo, contudo, grandes diferenas nos princpios fundamentais. Trata-se de uma viso
apresentada pelo IIA para o contexto da Auditoria de SI, mas o prprio IIA reconhece no
existirem muitas diferenas em relao s fases de Auditorias mais genricas, como por
exemplo as Auditorias de Processos de Negcio:
The process for executing an IT audit is, in theory, no different than the process for executing an
operational audit.
Tendo em conta a similitude com outros tipos de Auditorias Internas, o IIA no detalhou as fases
apresentadas, limitando-se a enunciar que o Auditor de SI deve planear a Auditoria, identificar e
documentar os controlos chave, testar a arquitectura e a eficcia operacional dos controlos e
concluir a Auditoria elaborando relatrios com os resultados.
No obstante, as fases apresentadas pelo IIA merecem alguns comentrios, pois denotam,
mesmo assim, alguns factores diferenciadores. Estes encontram-se essencialmente na primeira
fase considerada: a compreenso da envolvente (Understand the Environment). De um modo um
pouco diferente face ao que acontece noutros tipos de Auditorias Internas, o Auditor de SI tem
nesta fase que compreender os processos ou os SI alvo da Auditoria e tentar encontrar o ou os
referenciais (standards) que mais se lhes adequam. Muitas organizaes podem ainda no ter
implementado um sistema de referenciais para todos os seus processos de SI e, por outro lado,
cada envolvente de SI tem as suas especificidades. No entanto, existe sempre uma base comum
- 90 -
que o Auditor de SI pode tomar como uma referncia sobre a qual pode auditar: os objectivos de
controlo dos SI. Da que a segunda fase seja a identificao dos controlos chave, cujo seu
desenho ser avaliado na terceira fase e cuja sua eficcia ser testada na quarta fase.
Figura 3.13 - As Fases da Auditoria de SI: sequncia formal tipo projecto

Fonte: Adaptado da verso original de (Silva, 2004b): Modelo de Processo (Fluxo do Projecto / Auditoria)
A terceira viso apresentada, proposta pelo autor do presente trabalho (Silva, 2004b), uma
viso genrica, adaptvel a qualquer tipo de Auditoria Interna baseada numa abordagem ao
risco, pelo que tambm aplicvel no domnio da Auditoria de SI. Esta ser, alis, a viso das
fases de Auditoria de SI que usaremos daqui em diante, ao longo deste texto, tomando-a como
uma sequncia de fases, organizadas semelhana de um projecto.
A primeira fase, a Definio da Auditoria, dever ter em conta a informao proveniente do

processo de avaliao dos riscos de negcio, efectuado pela funo de Gesto de Risco (a este
propsito, ver na seco 3.2.2 o papel da funo Gesto de Risco). Com base nesta informao,
devero ser determinados os riscos e processos crticos de SI que sero avaliados na Auditoria
em causa. Nesta fase de Definio da Auditoria efectuada uma delimitao da Auditoria,
incluindo a definio dos seus requisitos. Na seco 3.5.4 (A Definio da Estrutura das
Auditorias de SI) so apresentados em detalhe os requisitos/contedos que devero idealmente
constituir esta fase. Apenas uma nota para indicar que nesta fase que se escolhem os
referenciais a utilizar. Na fase de Desenho da Auditoria efectuado um levantamento detalhado
dos controlos de SI existentes e so desenhados os testes de Auditoria. Na fase seguinte, na
- 91 -
Execuo da Auditoria, so executados os testes anteriormente desenhados, de acordo com os

parmetros definidos na fase de Definio (objectivos, mbito, tempo, custo, qualidade, etc.). Na
fase de Elaborao de Relatrios, procede-se formalizao das concluses obtidas nas fases
anteriores, apresentando as excepes encontradas (findings), sugerindo as recomendaes de
correco ou de melhoria e acordando com as reas auditadas as respectivas aces a
desenvolver. Os relatrios devero tambm contextualizar e fornecer uma breve viso sobre o
trabalho efectuado nas fases anteriores da Execuo. A ltima das fases diz respeito
Avaliao da Auditoria que dever ser efectuada sob duas vertentes. Por um lado, internamente
pela equipa de Auditoria, avaliando se a Auditoria cumpriu os seus objectivos de acordo com os
referencias e demais requisitos de qualidade definidos na fase de Definio da Auditoria. Por
outro lado, avaliando externamente, quanto satisfao das necessidades pelos clientes da
Auditoria, ou seja, pela Gesto de Topo, pelos Gestores dos SI responsveis pelos processos ou
SI auditados e, nalguns casos, pelos Gestores dos processos de negcio que beneficiam
directamente dos SI auditados. Por fim, existe ainda uma fase opcional de Follow-Up da
Auditoria, a qual poder ocorrer num determinado perodo de tempo aps a concluso da
Auditoria, em que se procede avaliao do estado de resoluo das excepes (findings) e
identificao do estado de implementao das aces de correco ou de melhoria.
Como poder ter sido perceptvel ao longo desta seco, a gesto das fases de uma Auditoria de
SI e dos respectivos contedos possuem diversas semelhanas com a gesto de um projecto,
pelo que exploraremos esta teoria na seco seguinte.
3.5.3 A G E S T O
DAS
AUDITORIAS
DE
SI
COMO A
GESTO
DE UM
PROJECTO
Analisaremos a seguinte afirmao do (PMI, 2004) sobre as fases dos projectos, de modo a
podermos concluir sobre a aplicabilidade deste conceito s Auditorias de SI:
The completion and approval of one or more deliverables characterizes a project phase. () The
deliverables, and hence the phases, are a part of a generally sequential process designed to
ensure proper control of the project and to attain the desired product or service, which is the
objective of the project.
- 92 -
Nas Auditorias de SI, a concluso de um ou vrios produtos resultantes (deliverables) caracteriza

na realidade uma fase da Auditoria. Veja-se o exemplo do Documento de Definio de Auditoria,
cuja sua concluso marca o final da fase de Definio de Auditoria (este Documento de Definio
de Auditoria ser explorado na seco 3.5.4). Para alm disso o referido documento tem de ser
aprovado pelas partes interessadas (stakeholders) na Auditoria (exemplo: responsveis pelos
processos ou SI que sero alvo da Auditoria). O mesmo tipo de raciocnio pode ser aplicado a
outros produtos resultantes da Auditoria, dos quais se do mais dois exemplos. O fecho dos
Relatrios marca o final da fase de Elaborao de Relatrios, tendo estes que ser aprovados
pelos responsveis dos processos ou SI auditados. Os formulrios com os parmetros de
avaliao marcam o final da fase de Avaliao da Auditoria e tm implcita a aprovao de quem
os preenche (habitualmente os destinatrios da Auditoria, ou seja, a Gesto de Topo e os
responsveis pelos processos auditados).
As Auditorias de SI so um processo constitudo por um conjunto de actividades, agrupadas em

fases. Este agrupamento tem como finalidade possibilitar que as actividades da Auditoria de SI
possam ser controladas de um modo mais adequado. Para alm disso, o objectivo final de uma
Auditoria de SI pode ser entendido sob duas perspectivas. Numa perspectiva de produto, os
produtos finais da Auditoria (Project Deliverable) sero os Relatrios de Auditoria. Tambm pode
ser encarado sob uma perspectiva de servio, em que este diz respeito ao fornecimento de uma
garantia sobre o estado dos controlos dos SI (numa viso mais conservadora) ou ao
fornecimento de um trabalho de consultoria interna de SI (numa viso menos conservadora).
Tendo em conta os argumentos atrs apresentados e analisando a tambm figura seguinte,

podemos concluir que, de facto, as Auditorias de SI podem ser geridas como projectos!
- 93 -
Figura 3.14 - As Fases da Auditoria de SI como Fases de um Projecto

Fonte: Verso original extrada de (PMI, 2004): Typical Sequence of Phases in a Project Life Cycle
Para cada um dos pontos indicados, representados acima na figura da autoria do PMI, iremos
apresentar alguns exemplos correspondentes, aplicados realidade das Auditorias de SI:
Ideia (Idea) Corresponde causa (trigger) que despoleta a Auditoria. Normalmente est
prevista no planeamento anual das Auditorias, ou excepcionalmente, pode surgir de uma
necessidade pontual devidamente justificada
Carta (Charter) Corresponde chamada Carta de Auditoria, sendo um documento padro

que legitima e autoriza o trabalho da equipa de Auditoria de SI. Pode ser
adaptado/complementado com contedos especficos em funo de cada Auditoria.
habitualmente enviado, no incio da primeira fase, aos responsveis pelos processos
auditados (embora tenha esta designao, pode ser enviado, por exemplo, por e-mail).
Equipa de Projecto (Project Management Team) Corresponde identificao da equipa

que vai gerir e executar a Auditoria, incluindo o elemento responsvel pela Auditoria (papel de
gesto e execuo) e os restantes Auditores (papel de execuo).
Documento de Definio de mbito (Scope Statement) Corresponde ao Documento de

Definio de Auditoria (que ser explorado na seco 3.5.4).
Plano (Plan) Corresponde ao planeamento detalhado da Auditoria que elaborado na

fase de Desenho da Auditoria. Trata-se habitualmente de um refinamento do calendrio de
alto nvel que apresentado no Documento de Definio de Auditoria.
Estrutura base (Baseline) Corresponde igualmente ao planeamento detalhado da

Auditoria que elaborado na fase de Desenho da Auditoria. Trata habitualmente no s o
parmetro tempo (calendrio), mas tambm todos os restantes parmetros detalhados da
- 94 -
Auditoria (objectivos, mbito, tempo, recursos, comunicao, qualidade, riscos, produtos

resultantes), passando a ser o referencial a partir do qual qualquer alterao ter de ser
avaliada e, consequentemente, aprovada.
Relatrios de Progresso (Progress) Correspondem aos relatrios de progresso,

habitualmente emitidos durante a fase de Execuo da Auditoria que a mais longa.
Destinam-se a informar as partes interessadas sobre o andamento da Auditoria (mais
utilizado em Auditorias muito extensas).
Aceitao (Acceptance) Corresponde aceitao dos Relatrios de Auditoria, por parte

dos responsveis directos pelos processos Auditados. Trata-se habitualmente da validao
dos Relatrios Operacionais no que respeita aos testes efectuados e ao reconhecimento das
excepes encontradas (findings).
Aprovao (Approval) Corresponde igualmente aceitao dos Relatrios de Auditoria,

por parte dos responsveis de mais alto nvel pelos processos Auditados. Trata-se
habitualmente da aprovao dos Relatrios Executivos, incluindo as principais concluses e
as principais aces de correco ou de melhoria.
Passagem de responsabilidade (Handover) Corresponde passagem do plano de aces

detalhado, da Equipa de Auditoria de SI para os responsveis pelos processos auditados,
passando estes a ter a responsabilidade de implementar as aces que foram definidas na
sequncia da execuo da Auditoria, dentro dos tempos e responsabilidades acordados.
Produto resultante do projecto (Project Deliverable) Corresponde entrega, s partes

interessadas, das verses finais de todos os Relatrios de Auditoria e documentos
relacionados.
De um modo geral, podemos tambm efectuar as seguintes correspondncias quanto s fases:

Fases Iniciais (Initial Phases) Definio da Auditoria.

Fases Intermdias (Intermediate Phases) Desenho da Auditoria; Execuo da Auditoria;
Elaborao de Relatrios.
Fases Finais (Final Phases) Avaliao da Auditoria.
- 95 -
Existem ainda outros factores que confirmam a aplicabilidade da teoria da Gesto de Projectos
gesto das Auditorias de SI. Estas podem ser entendidas como projectos na medida em que,
entre outros, possuem tambm os seguintes elementos caracterizadores que formalmente
definem um Projecto (Silva, 2004b):
Cada uma das Auditorias tem uma misso diferente para cumprir e possui particularidades
que a distingue das restantes Auditorias de SI.
As Auditorias so compostas por um conjunto de actividades que se diferenciam entre elas

pelos seus objectivos.
Desenrolam-se tendo como restries os tempos, os custos, os desempenhos e a qualidade.
So controladas e planeadas de acordo com critrios previamente definidos.
So desempenhadas por Equipas que so formadas especificamente para uma determinada

Auditoria (a partir de um conjunto disponvel de Auditores no Departamento de Auditoria) e
suportadas por meios que podem variar consoante o tipo de Auditoria.
Apresentam uma sequncia de fases distintas, implicando um incio e um fim, e que se

traduzem num modelo/fluxo (ver Figuras da seco 3.5.2.).
As fases de uma Auditoria de SI seguem um modelo em cascata, prevendo-se tambm a

possibilidade de uma fase dar lugar a interaces e ajustes em fases anteriores.
No obrigatria a existncia de todas as fases em todas as Auditorias de SI (como por

exemplo as fases Gesto de Risco e Follow-Up da Auditoria).
Como se pode verificar, existem diversas actividades da Auditoria de SI que correspondem aos
designados processos de Gesto de Projectos. Estes processos esto formalizados no PMBOK
Project Management Body of Knowlegdge, cujo modelo estruturado est representado na

prxima figura.
Nesta figura esto sintetizados os 44 processos de Gesto de Projectos, agrupados em 9 reas

de conhecimento: Integrao, mbito, Tempo, Custo, Qualidade, Recursos Humanos,
Comunicao, Risco e Aprovisionamento.
- 96 -
Figura 3.15 - Framework PMBOK

Fonte: Verso original extrada de (PMI, 2004):
Overview of Project Management Knowledge Areas and Project Management Processes
Como base nestas 9 reas do conhecimento, que no exploraremos em detalhe, desenvolveramse os contedos da prxima seco relativos estruturao de uma Auditoria de SI. Como se
constatar, no foram utilizadas todas estas reas do conhecimento, os processos destas foram
agrupados de forma ligeiramente diferente e com designaes tambm, por vezes, diferentes.
No entanto, a ideia importante a reter o exerccio de adaptao que foi efectuado, visando
encaixar as actividades da Auditoria de SI no referencial PMBOK. semelhana do que j
defendemos em seces anteriores, o importante no executarmos as Auditorias de SI de um
modo ad-hoc, mas sim adoptarmos um referencial que seja til para o trabalho do Auditor. Neste
caso, o referencial no diz respeito aos objectos alvo da Auditoria, mas sim ao prprio trabalho
de gerir uma Auditoria de SI.
- 97 -
3.5.4 A D E F I N I O
DA
ESTRUTURA
DAS
AUDITORIAS
DE
SI
Inicia-se esta seco avanando a ideia de que a estruturao de uma Auditoria de SI pode ser
posta em prtica atravs da aplicao dos conceitos de gesto de uma Auditoria como um
Projecto (seco 3.5.3) em cada uma das fases que constituem uma Auditoria de SI (seco
3.5.2).
De facto, partindo da abordagem de projecto exposta na seco anterior, utilizando algumas das
9 reas de conhecimento e alguns dos 44 processos de Gesto de Projectos previstos no
PMBOK, possvel construir uma estrutura para uma Auditoria de SI.
A definio da estrutura dever ser explicitada num Documento de Definio de Auditoria. Este
proporciona s diferentes partes interessadas (stakeholders) um verdadeiro guio com todos os
aspectos relevantes que determinam a Auditoria.
O documento produzido na fase inicial da Auditoria, ou seja, na fase de Definio da Auditoria.

Esta assume a importante funo ser aquela onde se procede estruturao da Auditoria,
determinando-se os parmetros iniciais de alto nvel. Apresentam-se os objectivos da Auditoria e
efectua-se uma macro-definio da mesma. So identificados os produtos resultantes
(deliverables) necessrios para alcanar os objectivos da Auditoria. So definidas as linhas
orientadoras da Auditoria e as suas fronteiras lgicas (mbito lgico). Posteriormente, durante a
fase de Desenho da Auditoria, o mbito inicial confirmado e refinado, detalhando-se todos os
restantes parmetros.
Para alm dos aspectos mencionados, podemos dizer, resumidamente, que o Documento de
Definio de Auditoria tem como principais atribuies:
Identificar e documentar os SI, os processos e os riscos de negcio analisados na Auditoria.
Ajustar as expectativas e identificar todas as partes interessadas (stakeholders) na Auditoria.
Estabelecer os responsveis da Auditoria e os responsveis das reas auditadas.
Estimar a Auditoria em termos de esforo, durao e recursos.

- 98 -
Identificar os referenciais metodolgicos e de qualidade a utilizar na Auditoria.
Identificar possveis riscos que tenham impacto no bom andamento e no atingimento dos
objectivos da Auditoria.
Promover a viso colectiva e o comprometimento da equipa de Auditoria e demais

intervenientes quanto aos objectivos da Auditoria e necessidades para os atingir.
Na tabela seguinte, apresenta-se uma proposta de sistematizao de alguns dos possveis

contedos a incluir na estrutura de um Documento de Definio de Auditoria de SI.
ESTRUTURA
Objectivos da
Auditoria
mbito da
Auditoria
Planeamento
Temporal da
Auditoria
Planeamento
de Recursos
da Auditoria
CONTEDOS

Breve explicao do propsito do documento

Origem e justificao para a Auditoria
Objectivos gerais da Auditoria
Objectivos especficos da Auditoria
Objectivos de negcio suportados pelos SI a analisar
Definio das condies para redefinio/alteraes dos objectivos e seus responsveis
etc...

Processos de Negcio (tabela de processos)

Riscos de Negcio (descrio e classificao dos riscos)
Causas/motivaes (drivers) dos riscos (tabela)
Cruzamento de Riscos vs. Processos de Negcio (tabela)
Desagregao do SI ou do processo de SI alvo da Auditoria (diagrama de contexto, diagrama de
entidade/relao, estrutura da informao, estrutura analtica de tarefas - work breakdown structure)
Indicadores de negcio, dos processos e dos sistemas alvo da Auditoria (numrico e grfico)
Aplicaes Informticas (mapeamento/esquemas das aplicaes)
Sistemas (mapeamento/esquemas dos sistemas)
Arquitecturas (mapeamento/esquemas de arquitecturas)
Tipo de informao/dados a analisar (tipificao)
Perodo temporal da anlise
Definio das condies para redefinio/alteraes de mbito e seus responsveis
etc...

Calendrio de alto nvel

Principais marcos temporais (milestones)
Breve referncia e descrio das fases da Auditoria
Definio das condies para redefinio/alteraes do planeamento temporal e seus responsveis
etc...

Responsvel pela Auditoria

Equipa de Auditoria
Equipamentos/instalaes
Tecnologias/ferramentas informticas de suporte Auditoria
Necessidades de competncias especficas dos Auditores e controlo do seu desenvolvimento (se aplicvel)
Necessidades de formao dos Auditores (se aplicvel)
Oramento para subcontratao (se aplicvel)
Critrios de pedido de propostas e seleco de fornecedores (se aplicvel)
Definio das condies para redefinio/alteraes dos recursos e seus responsveis
etc...
- 99 -
Comunicao
da Auditoria
Qualidade da
Auditoria
Riscos da
Auditoria
Produtos
Resultantes
da Auditoria

Partes interessadas na Auditoria (stakeholders) que devam ser alvo de comunicao inicial/intermdia/final
reas organizacionais envolvidas/auditadas (Organigramas)
Papeis e responsabilidades dos intervenientes na Auditoria
Definio dos Relatrios de Progresso e de Desempenho e respectivos destinatrios e periodicidade
Definio das condies para redefinio/alteraes da comunicao e seus responsveis
etc...

Referenciais metodolgicos utilizados na Auditoria (ex: metodologia proprietria, CobiT, ITIL, ISO 17799, etc.)
Legislaes, regulamentos e polticas internas/externas utilizadas na Auditoria
Indicadores de qualidade do desempenho e de controlo do progresso face aos objectivos e plano da Auditoria
Critrios de avaliao e intervenientes na Avaliao da Qualidade no final da Auditoria
Definio das condies para redefinio/alteraes dos referenciais de qualidade e seus responsveis
etc...

Suposies/restries/condicionantes
Identificao dos riscos com impacto na Auditoria
Estratgias de resposta aos riscos da Auditoria
Controlo e acompanhamento dos riscos da Auditoria
Definio das condies para redefinio/alteraes dos riscos e seus responsveis
etc...
Breve referncia e descrio dos produtos resultantes (deliverables) finais:

Relatrio Operacional de Auditoria de SI
Relatrio Executivo de Auditoria de SI
Outros produtos resultantes finais que resultem dos objectivos da Auditoria
Breve referncia e descrio dos produtos resultantes (deliverables) intermdios:
Documento de Definio de Auditoria de SI
Relatrios de Progresso e Desempenho
Outros produtos resultantes intermdios que resultem das fases da Auditoria
Definio das condies para redefinio/alteraes dos produtos resultantes e seus responsveis
etc...

Tabela 3.4 - Documento de Definio de Auditoria de SI

Fonte: Adaptado e compilado pelo autor a partir da prpria verso original (Silva, 2004b):
Documento de Definio de Auditoria de SI
3.5.5 A S T C N I C A S
DE
GESTO
DAS
AUDITORIAS
DE
SI
Inicia-se esta seco informando que as tcnicas de Gesto de uma Auditoria que se vo
apresentar de seguida enquadram-se ainda no domnio da Funo (pertencem ao Modelo
Funcional). Estaramos perante uma situao diferente se apresentssemos as tcnicas de
Execuo de uma Auditoria (pertencem s Metodologias de Execuo) que j esto fora do
domnio desta investigao.
- 100 -
Aproveitaremos igualmente para comentar os contedos de cada uma das componentes da

ltima tabela apresentada (Documento de Definio de Auditoria de SI). Assim, ao longo dos
prximos pargrafos so efectuadas algumas consideraes prticas sobre tcnicas de Gesto
de uma Auditoria de SI, inspiradas nas tcnicas de Gesto de Projectos defendidas pelo (PMI,
2004) e na sua adaptao efectuada para as Auditorias de SI por (Silva, 2004b).
Sobre os Objectivos:
A incluso na Definio de Auditoria dos motivos da Auditoria fundamental para a sua

compreenso e justificao. Os motivos constituem uma importante precedncia (input) para
o desenvolvimento dos requisitos da Auditoria. Os motivos implcitos tornam-se em requisitos
explcitos sob a forma de objectivos a alcanar e produtos resultantes (deliverables) a
produzir.
A explicitao da origem da Auditoria facilita a macro-identificao dos problemas,

organizacionais ou de SI, existentes partida e que se pretendem resolver com a Auditoria.
As Auditorias podem ter como uma das origens o plano estratgico da organizao do qual
faz parte o Planeamento Anual do Departamento de Auditoria, devendo explicitar-se na
Definio de Auditoria essa origem.
A justificao da Auditoria deve ser efectuada com base nos objectivos a alcanar. As
expectativas quanto Auditoria s ficaro satisfeitas, tornando os objectivos em resultados.
Como condio prvia, h que formalizar a aceitao do mbito da Auditoria junto das partes
interessadas, aceitando assim os objectivos propostos para atingir os resultados (os produtos
resultantes previstos).
Na Definio da Auditoria os objectivos a incluir no se devem limitar aos objectivos da

prpria Auditoria. Recomenda-se que faam tambm referncia aos objectivos do negcio que
so suportados pelo SI que se vai auditar. Estes dois tipos de objectivos devem ser
compatveis.
A incluso e formulao dos objectivos deve ter em conta a perspectiva dos diversos clientes
da Auditoria (reas Auditadas, Gesto de Topo, Accionistas, etc.).
- 101 -
Os objectivos a incluir na Definio de Auditoria devero ter as seguintes propriedades:

realsticos, credveis, prticos, fceis de usar/aplicar, consistentes, exactos, focados na
melhoria dos processos e SI a analisar e que incorporem relaes de causa-efeito verificveis.
A definio dos objectivos de uma Auditoria de SI, para que no se torne incompleta, no se
deve resumir a um conjunto de tarefas isoladas das subsequentes fases da Auditoria. Dado
que a fase de Definio de Auditoria poder ter de ser revisitada durante a Auditoria, existe a
possibilidade de ao longo desta se tornar a Definio de mbito mais completa quanto aos
objectivos.
Sobre o mbito:
No iniciar da Auditoria, deve-se ter em conta a prioritizao dos riscos de negcio, dos
processos de negcio (e respectivos SI de suporte), previamente identificados pela funo de
Gesto de Risco do Departamento de Auditoria, atravs dos seus mtodos e tcnicas
especficas da Avaliao de Risco. Por outro lado, no iniciar da Auditoria dever-se- tambm
ter em conta eventuais causas/motivaes apresentadas pelos Gestores de Topo (ex:
administradores) responsveis pelas reas a auditar.
Deve-se contudo evitar que a definio do mbito seja pr-determinada apenas pelas
causas/motivaes indicadas pela Gesto de Topo que , em ltima instncia, a responsvel
pelo Plano de Auditorias. A Gesto de Topo acaba por pr-determinar, por vezes, um mbito
apenas aparente pois no dispe das metodologias apropriadas para a definio de mbito
que s a Equipa de Auditoria possui.
A sistematizao dos processos, sistemas, aplicaes e arquitecturas de SI a auditar, sob a

forma de mapeamentos, esquemas e indicadores, fundamental para explicitar os objectos
alvo da auditoria e deixar claro quais so os includos e os excludos do mbito. De modo
semelhante, a estruturao dos tipos de informao/dados a analisar facilita a delimitao do
mbito.
De modo a assegurar que o trabalho de Auditoria produz o que estava definido nos seus
requisitos, necessrio efectuar uma decomposio eficaz dos produtos resultantes da
Auditoria. importante segmentar os pontos da Auditoria em mdulos fceis de gerir e que
faam correspondncia com os diversos objectivos. Aconselha-se a utilizao de tcnicas de
- 102 -
estruturao analtica de tarefas (WBS - Work Breakdown Structures) para desagregar os SI

ou processos de SI. Aconselha-se a aplicao deste tipo de tcnicas que j tenham sido
testadas em Auditorias similares realizadas anteriormente, sendo por isso j conhecidas do
cliente da Auditoria e ajustadas s suas expectativas quanto ao tipo e forma de resultados a
obter. Poder-se- recorrer criao de modelos/formatos (templates) para servirem de
referncia em trabalhos futuros.
Em todas as Auditorias existe um processo de descoberta natural resultante de factores

como omisses, problemas, criatividade, falta de entendimento e influncias externas, que
pressionam o alargamento do seu mbito. No entanto, o alargamento do mbito da Auditoria
dever ser aceitvel sempre que se verifique que:
As alteraes sejam claramente identificadas e classificadas quanto sua natureza e
origem.
Os diferentes intervenientes na Auditoria estiverem de acordo com as justificaes para
as alteraes de mbito e as diversas partes interessadas sejam notificadas sobre essas
alteraes.
O impacto na Auditoria seja entendido, atravs da anlise do impacto que poder ter nas
outras variveis da Auditoria (custos, tempo, qualidade, recursos humanos, etc.).
As alteraes de mbito sejam devidamente aprovadas pelos responsveis previamente
definidos.
Devero ser previstos critrios e procedimentos de controlo de alteraes de mbito, que

podero utilizar ferramentas tais como:
Documento de Identificao de Pedido de Alterao de mbito, sendo este despoletado
pela deteco da necessidade de alterar/acrescentar pontos ao mbito. Tem por
objectivo documentar, avaliar e decidir sobre modificaes pretendidas ou descobertas
que interfiram no mbito da Auditoria.
Resumo de Pedidos de Alterao de mbito que sumariza os pedidos de alterao
existentes ao longo do ciclo de vida de uma Auditoria.
Recomenda-se ainda a criao de um histrico de alteraes de mbito das todas as

Auditorias de SI realizadas, de modo a que se possam tirar concluses e ensinamentos teis
de como proceder para gerir futuras redefinies de mbito.
- 103 -
Sobre o Tempo:
Os perodos de tempo em que decorrero as fases da Auditoria e eventuais marcos

(milestones), tais como emisses finais de relatrios ou outros documentos intermdios,
devero estar devidamente previstos e articulados numa calendarizao, servindo de
referncia para todas os intervenientes directos na Auditoria (Equipa de Auditoria e Auditados)
e tambm para outras partes indirectamente interessadas (stakeholders).
Em caso de necessidade de se efectuar uma redefinio do planeamento temporal da

Auditoria, devem ser especificadas as possveis opes alternativas e identificados eventuais
impactos noutras Auditorias de SI que estejam ou venham a decorrer.
Sobre os Recursos:
Caso exista algum tipo de recursos fsicos (ex: equipamentos, instalaes, aplicaes
informticas, etc.) e de recursos humanos (ex: competncias/conhecimentos, necessidades
de formao, recursos subcontratados, etc.) que habitualmente no so utilizados nas
Auditorias de SI mas que sejam necessrios devido s especificidades da Auditoria em causa,
devero ser identificados e devidamente caracterizados em termos de requisitos, de modo a
que o responsvel pela Auditoria ou o responsvel pelo Departamento de Auditoria preveja e
mobilize os meios necessrios para os obter antes do incio do trabalho de campo da
Auditoria.
De um modo semelhante, mas a um nvel superior na organizao, o Departamento de

Auditoria dever garantir junto da Gesto da organizao os recursos (humanos, fsicos,
financeiros) necessrios execuo das Auditorias pois aquela quem tem poderes para os
atribuir. O sucesso de cada uma das Auditorias est dependente da obteno desses
recursos.
No caso de eventuais fornecedores subcontratados para a Auditoria, devero ser previstos

critrios para avaliao da sua capacidade (ex: critrios previstos no Sistema de Qualidade
ISO 9001/2). Estes podero ser teis nos casos de Auditorias aplicacionais em que a funo
de Auditoria de SI recorre a subcontratao de fornecedores com competncias tcnicas
- 104 -
especializadas para o efeito. No Documento de Definio de Auditoria, no planeamento dos

recursos, dever-se- considerar todas as eventuais subcontrataes necessrias.
Sobre a Comunicao:
Dever existir um documento escrito, habitualmente designado de Carta de Auditoria (Audit
Charter), no qual se formaliza a autorizao para iniciar a Auditoria, devendo tambm constar
a origem/motivos da sua realizao (por exemplo, indicar que faz parte do Plano Anual de
Auditoria aprovado). Esse documento formal dever ser validado ao nvel da Gesto de Topo.
Nele dever ser nomeado o responsvel da Auditoria, atribuindo-lhe assim a responsabilidade
e a autoridade para mobilizar na organizao os recursos e a disponibilidade das reas
auditadas, necessrias para o desenrolar da Auditoria.
Aconselha-se a realizao de uma reunio de abertura com os responsveis dos processos

ou SI que vo ser alvo da auditoria para se explicitarem pessoalmente os motivos da Auditoria
e se apresentar o Documento de Definio da Auditoria.
Nesta reunio, assim como em toda a comunicao durante a Auditoria, dever ser sempre
passada a mensagem de que a Auditoria ser conduzida numa perspectiva de colaborao
positiva com as reas auditadas, tendo por princpio a identificao de riscos e a formulao
das respectivas aces que contribuiro para a melhoria dos processos e dos SI dessas
reas, ou seja, excluir partida qualquer tipo de postura de inspeco e incriminatria.
O Documento de Definio da Auditoria dever ser redigido de modo a ser a base para um
entendimento e, simultaneamente, identificar as diversas partes interessadas na Auditoria
(Equipa de Auditoria, reas Auditadas, Gesto de Topo, etc.).
Este documento tem a funo de ajustar as expectativas dos diversos interessados na

Auditoria pois divulga os objectivos desta e define quais os produtos resultantes (Relatrios
Operacionais e Executivos, Relatrios de Progresso e Desempenho, etc) e quais as partes
interessadas podero contar com esses produtos resultantes.
Deve ser efectuada uma validao do Documento de Definio de Auditoria atravs da sua
aceitao formal, pelas diferentes partes envolvidas. Note-se que o objectivo desta validao
obter uma aceitao dos contedos e um comprometimento quanto Auditoria. Por outro
- 105 -
lado, existem outras formas e metodologias mais adequadas de validao, relacionadas com
a Qualidade, para avaliar a correco do prprio trabalho de Definio de Auditoria.
fundamental assegurar que as reas da organizao responsveis pelos SI auditados

entendam qual o contributo que suposto darem para os produtos resultantes previstos na
Auditoria. Todas as reas organizacionais envolvidas na Auditoria (ou os colaboradores
individualmente, consoante os casos), devero ser notificadas e esclarecidos quanto aos seus
papis e responsabilidades na Auditoria.
Sobre a Qualidade:
O Controlo da Qualidade justifica-se pelo facto de se dever avaliar a qualidade da Auditoria

face ao estipulado no documento de Definio de Auditoria, pois neste que se estrutura
toda a Auditoria a um nvel macro e se definem os referenciais metodolgicos a utilizar.
As referncias metodolgicas geralmente utilizadas (ex: CobiT, ITIL, ISO 17799) devero ser
mencionadas no Documento de Definio de Auditoria pois, face ao mbito previsto para a
Auditoria e as suas especificidades, poder ser necessrio escolher uma das metodologias
(ou um conjunto delas) que seja mais apropriada e justificar brevemente essa escolha.
O mesmo tipo de procedimento deve ser considerado quando se utilizam legislaes,

regulamentos e polticas, quer internas ao Departamento de Auditoria ou prpria
organizao, quer externas.
Podero tambm existir outras referncias metodolgicas mais especficas que sejam
necessria utilizar. Exemplos destas so as Normas da Qualidade ISO/IEC 15504 para
processos de avaliao de software, que incorporam modelos de processos e linhas
orientadoras para conduzir anlises a software, podendo ser utilizadas nas Auditorias
aplicacionais.
fundamental planear a Auditoria atravs de um Documento de Definio de Auditoria para

que este sirva como instrumento de controlo das suas alteraes e de suporte a futuras
decises no decorrer da Auditoria. Entendem-se como alteraes, as redefinies, as adies,
as eliminaes e as mudanas que sejam relevantes e referentes a quaisquer elementos
previstos no Documento de Definio de Auditoria e que possam ter impacto na Qualidade
desta. Os critrios e os responsveis por autorizar estas alteraes devero estar definidos.
- 106 -
Para se validar a correco do prprio trabalho de Auditoria em termos de Qualidade, poderse- recorrer, entre outras, s seguintes actividades:
Avaliar a fase de Definio de mbito em relao sua conduo e tarefas executadas.
Avaliar no final da Auditoria a fase de Definio por comparao com os produtos
resultantes (deliverables).
Obter a aprovao dos produtos resultantes, de modo a poderem ser dados como
terminados de acordo com critrios de acabamento previamente definidos.
Avaliar o desempenho da Equipa de Auditoria, atravs de indicadores de qualidade do
desempenho e de controlo do progresso face aos objectivos e plano da Auditoria,
efectuada pelas reas clientes da Auditoria (ex: reas Auditadas, Gesto de Topo, etc.)
A implementao dum processo de avaliao da Qualidade dever ter tambm como

objectivo entender as necessidades e expectativas que a organizao tem face funo de
Auditoria de SI. Os resultados dessa avaliao devero servir como um dos factores de
entrada (input) para o processo de Melhoria Contnua da Qualidade da funo A avaliao
poder passar por entrevistas, inquritos de satisfao, inquritos de desempenho, etc.
Recomenda-se a criao de um plano de gesto da Qualidade de uma Auditoria de SI que

poder passar pela adopo, entre outras, das seguintes ferramentas de controlo de
Qualidade:
Registo (log) de questes em aberto relacionadas com a gesto e o controlo da Auditoria
e que possam ter impacto ou risco de afectar o cumprimento de algum dos critrios de
Qualidade definidos.
Lista de verificao (check-list) para validar que foram efectuados todos as tarefas
previstas no Documento de Definio de Auditoria.
Comparao com outros pontos de referncia (benchmarking), nomeadamente com os
critrios de Qualidade adoptados nas Auditorias de Processos de Negcio efectuadas
pelo mesmo Departamento de Auditoria, facilitando uma percepo integrada de
Qualidade pelas reas clientes da Auditoria na organizao, quer sejam de Auditorias de
SI ou Auditorias de Processos de Negcio.
- 107 -
Sobre os Riscos:
Por vezes existem circunstncias nicas ou situaes que podem influenciar o mbito ou a
execuo de uma Auditoria e que esto relacionadas com suposies que se assumem
implicitamente. As suposies que tm um impacto significativo na Auditoria em termos de
requisitos, tipo e forma de resultados devem ser identificadas explicitamente na Definio da
Auditoria.
A Definio da Auditoria tem por objectivo visionar o desenvolvimento da Auditoria antes da

sua
concretizao,
de
forma
identificar
estrangulamentos,
dificuldades
ou
incompatibilidades. Para no criar expectativas que depois no se venham a concretizar,

devem ser identificadas as restries e os factores condicionantes e, se necessrio, alertar
para o que est fora de mbito do Auditoria.
Uma Auditoria de SI pode estar sujeita a riscos que condicionam a forma como o trabalho se
desenrola. Estes riscos podem ter, entre outras, as seguintes origens e respectivas causas:
A rea auditada na organizao: desejos da rea auditada ou condies impostas
explicitamente (ex: disponibilidade de colaborao das reas auditadas, recusa explcita
em fornecer acesso a informao alvo de auditoria, etc.)
O processo ou o SI alvo da Auditoria: complexidade do processo, aspectos tecnolgicos
na fase de testes (ex: plataformas, aplicaes, etc.)
A equipa de Auditoria: factores pessoais e de conhecimento (ex: desmotivao, falta de
conhecimentos tcnicos, disponibilidade de tempo, etc.)
A Gesto da organizao: solicitaes ad-hoc, motivos que deram origem ao pedido da
Auditoria nem sempre esto explcitos, a forma dos produtos resultantes da auditoria
no vo de encontro s suas expectativas (ex: vontade de alargamento do mbito da
Auditoria, redefinio de prioridades, redefinio de produtos resultantes, etc.)
A restante organizao: limitaes da organizao no seio da qual a Auditoria se
desenrola (ex: disponibilidade de recursos, questes estratgicas, etc.)
A envolvente externa: circunstncias externas Auditoria (ex: legislao, etc.)
- 108 -
Sobre os Resultados:
Para esclarecer as diversas partes interessadas na Auditoria quanto ao tipo de produtos

resultantes que podero vir a receber, dever ser efectuada uma descrio da estrutura e dos
contedos dos produtos resultantes, quer sejam os intermdios, quer sejam os finais.
Os Relatrios de Progresso pretendem manter as partes informadas sobre o progresso da

Auditoria face ao planeado no Documento de Definio de Auditoria, nas suas diversas
dimenses, mas essencialmente no cumprimento de tempos, custos e mbito. Os Relatrios
de Desempenho pretendem informar sobre as avaliaes de Qualidade efectuadas,
nomeadamente sobre a capacidade de execuo da Auditoria pelos Auditores de SI, de
acordo com os referenciais metodolgicos previstos e dentro dos padres de Qualidade
definidos.
Os Relatrios Operacionais e Executivos constituem os dois principais produtos resultantes

da Auditoria. Os Relatrios Operacionais devero conter todo o detalhe da Auditoria de SI
efectuada, incorporando todo o trabalho desenvolvido desde a fase de Desenho at fase de
Relatrio, sendo o produto resultante mais completo e abrangente de toda a Auditoria. O
Relatrio Operacional tem como destinatrios privilegiados as reas Auditadas. Os Relatrios
Executivos devero conter as principais concluses da Auditoria e a explorao resumida de
algumas das excepes (findings), e recomendaes/aces mais relevantes. O Relatrio
Executivo deve ser elaborado tendo em conta que um instrumento de comunicao de alto
nvel, cujos destinatrios mais provveis sero a Gesto de Topo, incluindo os responsveis
directos pelos processos e SI analisados.
- 109 -
Para encerrar este captulo, til apresentar a seguinte ideia. A utilizao sistemtica dum
documento de Definio de Auditoria, e dos respectivos contedos que foram descritos e
discutidos sob a forma de tcnicas de Gesto de Auditorias de SI, poder ser um ponto de
partida para o desenvolvimento de uma Metodologia formal e detalhada para cada uma das
fases que constituem uma Auditoria de SI. Este objectivo est, contudo, fora do mbito desta
investigao.
Esta possvel Metodologia de Auditoria de SI constituiria uma viso Tctica-Operacional de

como executar e gerir as diversas fases de uma Auditoria de SI. A Metodologia deveria estar
enquadrada e articulada com uma viso mais Poltica-Estratgica para a funo Auditoria de SI.
Esta ltima viso poderia ser materializada num documento designado de Modelo Funcional de
Auditoria de SI que compilaria os diversos pontos abordados ao longo do captulo que agora se
encerra: objectivos, organizao, mbito, referenciais metodolgicos e processos da funo
Auditoria de SI.
Aps se ter identificado e detalhado os pontos acima mencionados que constituem um possvel
Modelo Funcional, no captulo seguinte apresentar-se- uma proposta de Modelo de
Competncias que pretende ser um instrumento para utilizar na identificao das competncias
que um Auditor de SI deve possuir, devendo estas estar alinhadas com as necessidades
funcionais aqui preconizadas.
- 110 -
4 MODELO DE COMPETNCIAS DE AUDITORIA DE SI
Este captulo tem um carcter complementar no contexto do presente trabalho de investigao.

De acordo a lgica de investigao apresentada inicialmente (ver seces 1.2 e 1.3.1), constituise como um complemento s ideias sistematizadas nos captulos anteriores, dado que o Modelo
Funcional da Auditoria de SI no dever ser dissocivel das competncias que um Auditor de SI
deve possuir.
O principal objectivo deste Captulo 4 construir e propor um Modelo de Competncias para o

Auditor de SI, designado pelo autor como MICASI - Modelo de Identificao de Competncias do
Auditor de SI. O modelo proposto resulta da combinao e adaptao de dois referenciais
distintos que correspondem aos dois principais tipos de competncias do Auditor de SI: as
Competncias de Gesto (baseado num modelo de competncias de Gesto de Projectos) e as
Competncias Tcnicas (baseado no Modelo Curricular da ISACA). Adicionalmente, apresentamse os resultados da aplicao prtica deste modelo atravs da realizao de entrevistas semiestruturadas a trs profissionais de Auditoria de SI. O propsito destas entrevistas foi a
classificao das competncias que estes profissionais consideram como mais importantes para
a actividade de Auditor de SI.
4.1
AS COMPETNCIAS
DO
AUDITOR
DE
SI
Para contextualizao do tema das competncias do Auditor, comear-se- por efectuar uma
identificao e exemplificao de alguns tipos de competncias. Seguir-se- a explicao dos
determinantes das competncias da Auditoria de SI, recorrendo a uma equao conceptual das
competncias que determinam o desempenho dos Auditores. Desta equao sobressair a
importncia do Conhecimento, pelo que sero exploradas as quatro principais reas de
conhecimento do Auditor de SI. Associadas a estas esto dois grandes tipos de competncias a
comparar: as Competncias de Gesto (soft skills ou non-technical skills) face s Competncias
Tcnicas (hard skills ou technical skills).
- 111 -
4.1.1 O C O N T E X T O
DAS
COMPETNCIAS
DO
AUDITOR
Esta seco tem por objectivo efectuar uma contextualizao do tema das competncias do
Auditor, atravs da identificao de alguns exemplos de competncias. A partir destes exemplos,
reconhecer-se- a existncia de diversos tipos de competncias, derivando da a necessidade da
existncia de um Modelo de Competncias para as classificar e arrumar devidamente.
Antes de mais, relevante definir competncia. Num contexto genrico, segundo o dicionrio
da (Porto Editora, 2007), competncia a qualidade de quem capaz de resolver
determinados problemas ou de exercer determinadas funes, sendo uma aptido em
determinada rea de actividade. Pode tambm ser entendida como a capacidade que uma
pessoa tem para avaliar (algo ou algum) com idoneidade. No contexto profissional, segundo
o glossrio de termos do (ISACA, 2007), as competncias profissionais referem-se a proven
level of ability, often linked to qualifications issued by relevant professional bodies and
compliance with their codes of practice and standards. Como se ir constatar, estas duas
definies de competncia so compatveis e coerentes com os dois principais tipos de
competncias que sero identificados para o Auditor de SI ao longo deste Captulo 4.
A identificao das competncias dos Auditores no , surpreendentemente, um tema nosso

contemporneo. Segundo (Jacka, 2006), foram recentemente descobertos manuscritos do
sculo XIX com a letra de uma msica dedicada aos Auditores. Trata-se de um documento
original de W. S. Gilbert e Arthur Sullivan, uma famosa dupla de autores e compositores de
operetas e libretos cmicos. A letra da msica insere-se na obra The Auditors of Penzance e
oferece-nos uma aproximao do que seriam as competncias j consideradas como relevantes
para um moderno Auditor do sculo XIX!
Na pgina seguinte apresentam-se partes dessa letra, tendo-se destacado (em negrito) as
expresses ou palavras relacionadas com as competncias do Auditor. Este documento servir
para dar o mote no tema das competncias, uma vez que refere vrias que identificaremos
posteriormente.
- 112 -
Analisando o documento, conclui-se que os seus autores possuam uma espantosa viso sobre a
funo do Auditor e que continua plena de actualidade!
Figura 4.1 - A Cano do Auditor

Fonte: Extrado de (Jacka, 2006): The Audit Managers Song
- 113 -
De facto, a letra refere algumas das tradicionais competncias do Auditor, como por exemplo:
ser profissional; possuir formao; respeitar a tica; ser objectivo e independente; identificar
relaes e comportamentos de causa-efeito; verificar os controlos; identificar deficincias;
detectar a fraude; etc.
No entanto, de um modo surpreendente, refere muitas outras competncias que, mesmo hoje
em dia, ainda necessitam de ser melhoradas por parte de alguns Auditores, como por exemplo:
ser encorajador; no ser agressivo ou arrogante; ser empreendedor; saber lidar com os outros;
conhecer os referenciais metodolgicos; saber determinar os riscos; compreender a Gesto de
Risco; conhecer os requisitos de Governo das Sociedades (Corporate Governance); reconhecer a
importncia da anlise da eficcia e da eficincia; conhecer os processos operacionais e
relacionar com o negcio; etc.
Para alm das inmeras competncias que se acabaram de ilustrar, existem determinados
temas normalmente associados ao contexto da identificao das competncias dos Auditores.
De um modo breve, abordar-se- de seguida alguns desses temas, recorrendo a um conjunto de
contributos de autoria diversa.
Num artigo de recolha de opinies, elaborado pelo (ISCJ, 2000), acerca do tema da identificao
de competncias aquando do recrutamento de Auditores de SI, podemos encontrar a seguinte
afirmao:
Managers no longer just manage. They must be hands on working managers and have the
knowledge to participate in their audits. Seniors must be able to handle their own audits on a
stand alone basis when required.
Constata-se que os especialistas em recrutamento de Auditores de SI privilegiam a identificao

de competncias de auto-proficincia, tanto ao nvel dos gestores de equipas de Auditoria
(managers), como ao nvel dos auditores seniores. Para alm disso, a competncia para
trabalhar em equipa, bem como a competncia para comunicar eficazmente com as reas de
- 114 -
negcio e para vender as ideias so igualmente identificadas. Estas so competncias

intrinsecamente relacionadas com o perfil pessoal do Auditor.
No que diz respeito ao perfil profissional, na opinio de (Gallegos, 2003), os Auditores de SI so

recursos nicos possuidores de um conjunto de competncias tcnicas teis para a organizao,
no s no papel de Auditores, mas tambm eventualmente como futuros Gestores de SI. Os
Auditores de SI possuem elevado conhecimento sobre o ciclo de vida dos SI da organizao e
possuem fortes competncias em SI, em TIC e em metodologias de Auditoria. Para alm disso,
devero possuir tambm competncias de comunicao e de gesto que nem sempre esto
presentes noutras funes da organizao. Este autor acrescenta que um factor crtico de
sucesso para a manuteno e o desenvolvimento das competncias a formao, de modo a
que o Auditores de SI tenham acesso a novas tecnologias, novos mtodos, novas prticas, etc.
Para a identificao das competncias que o Auditor de SI dever desenvolver, aconselhvel a
existncia de avaliaes de desempenho (bianuais) nas quais se efectua um confronto com as
competncias e os conhecimentos adequados ao nvel de carreira do Auditor em causa.
Relativamente identificao de competncias ao longo da carreira, (Sadowski, 1997) considera

que um Auditor que se encontre a iniciar careira dever possuir um nvel mnimo de
competncias interpessoais e de competncias tcnicas. medida que o Auditor vai progredindo
nos nveis de carreira, as competncias tcnicas desenvolver-se-o, mas sero sobretudo as
competncias de comunicao e de interaco que se devero tornar mais exigentes.
No mbito do perfil pessoal do Auditor, (Touquet, 1996) faz uma observao curiosa ao
relacionar as competncias de SI que os Auditores de SI possuem com outras ocupaes
(hobbies) que possam ter na sua vida pessoal. De facto, outras ocupaes pessoais dos
Auditores de SI podem ser uma origem para a identificao de competncias relevantes para o
trabalho de Auditor de SI. Alis, os Auditores de SI podem ter, na sua vida pessoal, motivao
para esses temas ou interesse na utilizao de SI e de TIC, factos que potenciam conhecimentos
teis para as suas profisses.
- 115 -
Os autores (Power and Terziovski, 2005) efectuaram um trabalho de levantamento das posies
de outros autores sobre as competncias para Auditoria (genrica, no financeira), no qual
identificmos duas ideias a destacar. Por um lado, os autores referenciam (Hutchins, 1993)
quando este conclui que () auditors are frequently unfamiliar with the clients industry, quality
system, process or products/services. This results in a poor quality audit which places
conformity at risk. Por outro lado, os autores tambm mencionam (Russell and Regel, 1996)
que defendem the active involvement of the auditor in the implementation of corrective actions.
Como se constata pelas afirmaes anteriores, o tema das competncias do Auditor no pode
ser dissociado do contexto da organizao em que o Auditor actua, nem do papel que ele
supostamente deve desempenhar enquanto elemento que contribui para a correco ou
melhoria dos controlos da organizao. Deste modo, as competncias do Auditor para conhecer
o negcio e para se relacionar com a restante organizao so essenciais para no se colocar
em risco o prprio processo de Auditoria. Os autores (Power and Terziovski, 2005) mencionam
ainda outras competncias a identificar nos Auditores e que so relevantes para o sucesso dos
processos de Auditoria, como por exemplo: prontido; comunicao clara; objectividade na
definio de critrios de Auditoria; foco na resoluo de problemas; capacidade de deciso
previamente validada; capacidade para discordar de modo sensvel; comprometimento nas
relaes de trabalho estabelecidas; capacidade para conduzir reunies de validao ou fecho de
Auditoria; etc.
Como se percebe, percorreram-se uma srie de ideias iniciais e opinies dispersas sobre as
competncias, sendo algumas mais relacionadas com as competncias inerentes ao prprio
indivduo e outras mais relacionadas com as competncias do processo de Auditoria de SI. Deste
modo, torna-se necessria a existncia de um modelo que identifique as competncias de forma
adequada (devidamente arrumadas e classificadas), ou seja, um Modelo de Competncias.
Note-se que algumas das competncias que j foram apresentadas como desejveis para o
Auditor foram referidas no contexto da Auditoria em geral, sem especificar o tipo de Auditoria. No
entanto, considera-se que essas competncias que foram referidas so tambm aplicveis
especificamente aos Auditores de SI.
- 116 -
Contudo, antes de se propor uma arrumao e classificao para as competncias especficas

da Auditoria de SI, relevante compreender quais so os principais factores que geralmente
determinam essas competncias.
4.1.2 O S D E T E R M I N A N T E S
DAS
COMPETNCIAS
DA
AUDITORIA
DE
SI
Acima de tudo, as competncias dos Auditores so alvo de preocupao porque, tal como
noutras profisses, so um factor crtico de sucesso para o bom desempenho da profisso de
Auditor.
De acordo com os conceitos dos autores (Libby and Luft, 2003), a figura seguinte representa
uma equao conceptual das competncias que determinam o desempenho dos Auditores.
Figura 4.2 - Determinantes das Competncias dos Auditores

Fonte: Adaptado da verso original de (Libby and Luft, 2003): The Determinants of Auditor Expertise
A Experincia e a Capacidade determinam o Conhecimento que, por sua vez, determina o

Desempenho. Para alm disso, o Desempenho determinado tambm directamente pela
Capacidade.
- 117 -
A explicao de cada um dos factores referidos e a sua relao com as competncias do Auditor
a seguinte:
Experincia Determinada, em primeiro grau, pelas competncias que o Auditor possui

para analisar e para completar todas as tarefas de uma Auditoria. Determinada, em segundo
grau, pela escolaridade que Auditor possui em Auditoria e pela formao profissional que
obtm, bem como pela prtica de discutir temas de Auditoria. Adicionalmente, note-se que
diferentes metodologias de Auditoria implicam diferentes nveis de exigncia nas tarefas a
completar e nos produtos resultantes (deliverables) que so necessrios para obter uma
opinio de Auditoria objectiva e independente. Como consequncia, as metodologias de
Auditoria (normas, tcnicas, ferramentas de suporte, etc.) tm impacto na Experincia que o
Auditor vai adquirindo.
Capacidade Determinada pelas competncias que o Auditor possui para executar tarefas
de tratamento e anlise de informao que contribuam para a resoluo de problemas de
Auditoria. Estas competncias so genricas e podem ser avaliadas atravs de testes
psicomtricos (exemplo: GMAT) pelo que no so competncias especficas de Auditoria.
Conhecimento Determinado pelas competncias que o Auditor possui em domnios

gerais da Auditoria (exemplo: tcnicas de avaliao de risco) e em domnios especficos da
Auditoria (exemplo: requisitos de segurana de redes). O Conhecimento definido como
informao guardada na memria. No domnio da Auditoria, o Conhecimento do negcio
tambm fundamental, nomeadamente as estratgias de negcio, os processos de negcio
que concretizam essas estratgias, os respectivos riscos de negcio associados e ainda os
mecanismos de gesto, monitorizao e controlo desses riscos.
Desempenho Determinado pelas competncias que o Auditor possui para conseguir

efectuar uma correcta correspondncia entre a sua avaliao dos factos e os critrios de
Auditoria, sendo estes, por exemplo, a eficcia ou eficincia do processo que est a auditar.
Existem ainda outros determinantes indirectos do Desempenho, tais como a motivao do
prprio indivduo e o ambiente de execuo da Auditoria (no sentido de metodologias de
Auditoria).
- 118 -
Uma concluso interessante a retirar desta equao conceptual que o Desempenho no

determinado directamente pela Experincia em Auditoria (apenas indirectamente via
Conhecimento), sendo a Capacidade do Auditor mais directamente determinante. Assim,
possvel afirmar que a Capacidade do Auditor o determinante base, sendo a Experincia e o
Conhecimento (em conjunto) os determinantes potenciadores do Desempenho do Auditor.
Tal como os autores atrs referidos reconhecem, o ambiente de execuo da Auditoria tambm
um determinante relevante das competncias dos Auditores. No caso da Auditoria de SI,
podemos dizer que so trs os elementos que o constituem: a Auditoria (as metodologias), os SI
(os alvos da Auditoria) e o negcio (o contexto no qual se executa a Auditoria).
Veremos de que modo aqueles trs elementos se articulam, recorrendo a algumas das ideias e
adaptao da seguinte figura de (Baskerville and Myers, 2002).
Figura 4.3 - reas de Conhecimento com Impacto nos SI

Fonte: Adaptado da verso original de (Baskerville and Myers, 2002):
IS as a Reference Discipline in a Discourse with Other Reference Disciplines
- 119 -
Segundo estes dois autores, numa viso convencional, os SI so uma rea de conhecimento
aplicada, formada a partir da aplicao de outras reas de conhecimento fundamentais,
designadas de disciplinas referenciais (exemplos: Engenharia, Economia, Arquitectura, etc.).
Numa nova viso proposta pelos referidos autores, os SI deveriam passar a ser encarados como
uma rea de conhecimento de referncia, por direito prprio. Neste sentido, os SI poderiam
igualmente passar a ser uma referncia que seja aplicada pelas outras reas de conhecimento.
Tal como a figura demonstra, as diversas disciplinas devem ser referenciais recprocos e
mtuos.
Se a Auditoria for considerada como sendo uma das outras reas de conhecimento, ento
deduz-se a possibilidade da Auditoria ser uma rea de conhecimento aplicada dos SI, resultando
daqui a Auditoria de SI. De modo semelhante, cada uma das outras reas de conhecimento
pode representar uma rea de negcio auditada (exemplo: Banca, Meios de Comunicao, etc.)
ou corresponder a processos de negcio cujos seus SI so auditados (exemplos: Contabilidade,
Marketing, etc.). Assim sendo, a Auditoria de SI dever tambm aplicar conhecimentos dessas
outras reas de conhecimento. Como consequncia, conclui-se que, no s a Auditoria, mas
tambm essas outras reas de conhecimento so determinantes das competncias que o
Auditor de SI ter que possuir.
Na verdade, o Auditor de SI deve possuir competncias que lhe permitam ter conhecimento
sobre os tipos de negcios nos quais est a auditar os respectivos SI. Esta concluso
importante pois, como foi visto anteriormente, o Conhecimento pode ser o determinante que
mais influencia o desempenho do Auditor de SI.
Tendo em conta esta relevncia do Conhecimento, na prxima seco sero identificadas as

principais reas de conhecimento do Auditor de SI.
- 120 -
4.1.3 A S R E A S
DE
CONHECIMENTO
DO
AUDITOR
DE
SI
No sentido de sistematizar as principais reas de conhecimento do Auditor de SI, elaborou-se a

representao grfica apresentada na prxima figura. Esta foi inspirada e adaptada a partir da
verso original do (PMI, 2004) relativa rea de conhecimento da Gesto de Projectos (Project
Management Body of Knowledge) e na qual so apresentadas as reas de conhecimento

necessrias a uma Equipa de Projecto. Note-se que se refere s competncias para o conjunto
dos elementos que constituem uma Equipa de Projecto e no para cada um dos Gestores de
Projecto individualmente, uma vez que no provvel cada um dos elementos possuir os
conhecimentos na sua totalidade.
Assim, aplicando um raciocnio semelhante, utilizar-se-o novamente os conceitos da Gesto de

Projectos aplicados realidade da Auditoria de SI (de acordo com a lgica apresentada nas
seces 3.5.3 a 3.5.5.). Desta aplicao resulta que a Equipa de Auditoria de SI dever dominar,
no seu conjunto, a rea de conhecimento em Auditoria de SI, estando o conhecimento
distribudo pelas diversas competncias que cada Auditor de SI que constitui essa equipa possui.
Figura 4.4 - reas de Conhecimento do Auditor de SI

Fonte: Proposta elaborada pelo autor, inspirada e adaptada da verso original de (PMI, 2004):
Areas of Expertise Needed by the Project Team
- 121 -
Ao conjunto dos conhecimentos necessrios ao adequado desempenho da funo de Auditor de

SI designou-se por rea de conhecimento em Auditoria de SI. Esta constituda pela interseco
de vrias reas de conhecimento, entre as quais identificaram-se as quatro reas fundamentais
representadas na figura: Capacidades Interpessoais, Conhecimentos Gerais de Gesto,
Conhecimentos de Auditoria e Conhecimentos de SI. Associadas a cada uma destas reas de
conhecimento esto as competncias do Auditor de SI que podem ser classificadas de
Competncias de Gesto e de Competncias Tcnicas. Da interseco de todos estes conjuntos,
resulta um conjunto especfico de competncias do Auditor de SI que se designou por Modelo de
Competncias. Existe ainda um factor adicional que deve influenciar a determinao da rea de
conhecimento do Auditor de SI: a organizao em causa e o tipo de negcio, ou seja, a
envolvente da Auditoria.
Comear-se- por explorar este ltimo factor. O conhecimento da organizao e do respectivo

negcio dever estar disseminado, na proporo em que for relevante, em cada uma das quatro
reas de conhecimento fundamentais para o Auditor de SI: Capacidades Interpessoais (exemplo:
depende do nvel de interaco com as reas auditadas); Conhecimentos Gerais de Gesto
(exemplo: depende do tipo de processos de negcio que utilizam os SI que vo ser auditados);
Conhecimentos de Auditoria (exemplo: depende dos referenciais metodolgicos adoptados para
a Auditoria); Conhecimentos de SI (exemplo: depende da sua complexidade, ou seja, se a
produo de produtos ou a disponibilizao de servios da organizao for fortemente baseada e
directamente dependente de SI).
Numa interpretao complementar, efectuando uma leitura das reas de conhecimento na figura
no sentido da esquerda para a direita, vai-se progressivamente saindo de reas de conhecimento
que so mais apreciadas noutras funes (exemplo: Capacidades Interpessoais num Gestor
Comercial), passando por outras possveis reas (exemplo: Conhecimentos Gerais de Gesto
num Gestor Logstico), entra-se na funo de Auditoria (exemplo: Conhecimentos de Auditoria
num Auditor de Processos de Negcio) e finaliza-se em funes especializadas relacionadas com
SI (exemplo: Conhecimentos de SI num Gestor de SI). No fundo, a funo de Auditor de SI pode
agregar todas estas quatro reas de conhecimento, existindo uma tendncia para
tradicionalmente se situar mais nas duas do lado direito da figura.
- 122 -
De seguida, definir-se-o os dois grandes tipos de competncias, relacionando posteriormente

com cada uma das quatro reas de conhecimento fundamentais anteriormente referidas.
Competncias de Gesto So as competncias inerentes aos mecanismos de gesto do

prprio indivduo e aos conhecimentos gerais que o indivduo possui que so relevantes para
a sua profisso.
Competncias Tcnicas So as competncias relacionadas com o processo de Auditoria

de SI e com os conhecimentos que o indivduo possui neste domnio.
As duas reas de conhecimento do lado esquerdo da figura (Capacidades Interpessoais e

Conhecimentos Gerais de Gesto) aproximam-se mais das Competncias de Gesto. As duas
reas de conhecimento do lado direito (Conhecimentos de Auditoria e Conhecimentos de SI)
aproximam-se mais das Competncias Tcnicas.
Para explicitar e exemplificar as reas de conhecimento relativas s Competncias de Gesto,

recorrer-se- ao (IIA, 2007a) pois este apresenta um bom referencial para a profisso de Auditor,
o qual contm uma parte dedicada s Competncias de Gesto (Business Management Skills).
Estas competncias esto descritas no documento relativo aos contedos do exame para
obteno da certificao profissional de Auditor (CIA - Certified Internal Auditor).
Relativamente rea de conhecimento das Capacidades Interpessoais, encontram-se naquele

documento os seguintes exemplos de competncias: gesto de equipas (dinmicas de grupo,
desenvolvimento de equipas, liderana, gesto pessoal, etc.); negociao (cooperao, resoluo
de problemas, etc.).
Relativamente rea dos Conhecimentos Gerais de Gesto, tem-se como exemplos: gesto
estratgica (tcnicas globais de anlise, envolvente competitiva do sector, decises estratgicas,
ciclos de vida de produtos, etc.); envolvente global do negcio (cultural, legal, poltica,
econmica, financeira, etc.); comportamento organizacional (motivaes organizacionais e
funcionais, produtividade e eficcia organizacional, processos de comunicao organizacional,
estruturas organizacionais, etc.).
- 123 -
Para explicitar e exemplificar as reas de conhecimento relativas s Competncias Tcnicas,

recorrer-se- s ideias defendidas pela (ISACA, 2005) pois foram pensadas para a profisso de
Auditor aplicada especificamente aos SI.
Nos Referenciais de Auditoria de SI (IS Auditing Standards) existe um referencial especfico

para as Competncias (S4 - Competence), do qual se transcreve a ideia fundamental:
"The IS auditor should be professionally competent, having the skills and knowledge to conduct
the audit assignment. The IS auditor should maintain professional competence through
appropriate continuing professional education and training.
Como se verifica, a ideia fundamental a competncia profissional, dependente das

competncias e dos conhecimentos do Auditor de SI. Para alm disso, o Auditor dever manter
essas competncias actualizadas atravs de formao contnua. De acordo com a estrutura
hierrquica de documentos da ISACA (Standards Guidelines Procedures), existe tambm
uma orientao (guideline) que esclarece sobre o tema da competncia (G30 - Competence).
Nesta, a ISACA afirma que cabe gesto da organizao assegurar que os seus Auditores de SI
so tecnicamente competentes e que a Equipa de Auditoria de SI possui, no seu conjunto, as
competncias e os conhecimentos necessrios para efectuarem as Auditorias de forma eficaz,
eficiente e tambm econmica. Segundo a ISACA, estas competncias e conhecimentos so as
previstas na certificao CISA (Certified Information System Auditor).
Alis, o (ISCJ, 2000) refere precisamente que o Auditor de SI dever possuir idealmente, em
termos de escolaridade e formao, uma licenciatura e uma certificao CISA (Certified
Information System Auditor). Ser uma mais-valia se possuir um mestrado, bem como
certificaes de outro tipo, tais como CPA (Certified Public Accountant), CIA (Certified Internal
Auditor), CFE (Certified Fraud Auditor), CISSP (Certified Information Systems Security
Professional), etc.
- 124 -
De acordo com o (ISACA, 2006), a certificao especfica em Auditoria de SI (CISA) composta

pelo seguintes domnios que so alvo de avaliao no exame de certificao ( frente de cada
rea est indicado o peso percentual no total do exame):
1 Processo de Auditoria de SI (IS Audit Process) [10%]
2 Governo dos SI (IT Governance) [15%]
3 Gesto do Ciclo de Vida de Sistemas e Infraestruturas (Systems and Infrastructure
Lifecycle Management) [16%]

4 Produo e Suporte de Servios de SI (IT Service Delivery and Support) [14%]
5 Proteco dos Activos de Informao (Protection of Information Assets) [31%]
6 Continuidade de Negcio e Recuperao de Desastres (Business Continuity and Disaster

Recovery) [14%]
Estes domnios representam, no seu conjunto, as reas de conhecimento relativas s

Competncias Tcnicas. O primeiro domnio apresentado, relativo ao Processo de Auditoria de
SI, equivale rea de Conhecimentos de Auditoria. Os restantes domnios equivalem rea de
Conhecimentos de SI. Como se ver mais frente, estes domnios so muito aproximados dos
principais agrupamentos de Competncias Tcnicas que se iro identificar e descrever no
Modelo de Competncias (ver na seco 4.2.1).
4.1.4 A S C O M P E T N C I A S
DE
GESTO
VS. AS
COMPETNCIAS TCNICAS
Uma vez identificadas as principais reas de conhecimento do Auditor de SI, de seguida ser
apresentado um confronto de opinies entre os dois grandes tipos de competncias que
constituem essas reas de conhecimento: as Competncias de Gesto vs. as Competncias
Tcnicas.
- 125 -
A seguinte citao de (Sayana, 2002) ajuda a compreender a relevncia de confrontar estes dois
tipos de competncias e, de forma subtil, d pistas sobre o importante papel das Competncias
de Gesto.
IS audit often involves finding and recording observations that are highly technical. Such
technical depth is required to perform effective IS audits. At the same time it is necessary to
translate audit findings into vulnerabilities and businesses impacts to which operating managers
and senior management can relate. Therein lies a main challenge of IS audit.
Efectuando uma possvel interpretao das palavras anteriores, compreende-se a necessidade de

transformar as excepes (findings) em vulnerabilidades para organizao, bem como a
importncia de atribuir impactos numa linguagem e numa escala que sejam teis ao negcio. O
desafio de transformar conceitos tcnicos de SI em informao de gesto til para a restante
organizao s atingvel utilizando as Competncias de Gesto. Este desafio justifica-se, logo
partida, pelos dois principais destinatrios do trabalho do Auditor de SI. indispensvel que os
Gestores responsveis pelos processos operacionais de SI entendam, validem e se reconheam
nos problemas identificados pela Auditoria. valioso que os Gestores de Topo compreendam o
significado das concluses que lhe so apresentadas de modo a antever possveis
consequncias negativas para a organizao e para poderem mobilizar os meios para as evitar.
No fundo, trata-se de um processo iterativo em que os produtos resultantes da Auditoria

(deliverables) so produzidos utilizando fortemente as Competncias Tcnicas em conjugao
com a utilizao alternada de Competncias de Gesto, quer nos momentos de compreenso e
anlise das situaes (Conhecimentos Gerais de Gesto), quer nos momentos de comunicao e
de relao com os intervenientes da Auditoria (Capacidades Interpessoais).
- 126 -
Nas opinies recolhidas pelo (ISCJ, 2000), encontra-se a seguinte afirmao que questiona a
necessidade dos Auditores de SI possurem Competncias Tcnicas muito especializadas:
Because of the technological diversity found in various corporate systems, desired skills do vary.
Experience required depends on the needs of a client, but there are some common
requirements. () There is still room for specialists, but the more diversified a candidate's
technical background, the more marketable he or she is.
A afirmao anterior revela que, embora haja necessidade de Auditores de SI muito

especializados, o mercado de trabalho demonstra preferncia por Auditores de SI mais
diversificados. Segundo esta opinio, as empresas dependem fortemente do conhecimento dos
Auditores de SI, nomeadamente das suas Competncias Tcnicas em Auditoria, mas
consideram ser sobretudo a atitude do Auditor que o torna consistente.
Ora a atitude pertence ao domnio das Competncias de Gesto, pelo que poder existir no
mercado uma tendncia emergente para atribuir uma crescente importncia a estas
competncias, diminuindo o foco nas Competncias Tcnicas.
Por outro lado, existem outras opinies, como as de (Davis, Schillerand and Wheeler, 2007) que
no deixam de reforar a importncia das Competncias Tcnicas, quer na rea de
Conhecimentos de Auditoria, quer na rea de Conhecimentos de SI.
Quanto aos conhecimentos em Auditoria, estes autores referem que essencial que a Equipa de
Auditoria de SI contenha elementos que sejam Auditores de carreira, com experincia e saber
terico sobre os processos da rea de Conhecimentos de Auditoria. No entanto, tambm
essencial a presena de Auditores que detenham conhecimento operacional dos SI, podendo os
Auditores de SI serem ex-profissionais da rea dos SI.
Quanto aos Conhecimentos em SI, estes autores referem o facto de determinado tipo de
Auditores de SI efectuarem um trabalho que no uma verdadeira Auditoria de SI pois limitamse a analisar apenas o nvel aplicacional dos SI. A causa desta limitao est muitas vezes na
- 127 -
falta de Competncias Tcnicas apropriadas em SI que lhes permitam conhecer, compreender e

analisar devidamente os restantes nveis dos SI (ver os nveis de SI na seco 3.3.2).
Daqui se conclui que um modelo misto de reas de conhecimento, tanto em Auditoria, como em
SI, so essenciais para formar um corpo de Competncias Tcnicas adequado.
Numa outra linha de raciocnio, (Prakarsa, 1996) associa novamente o tema da especializao
s Competncias Tcnicas:
Today, no one individual in the field knows all systems and platforms equally which has caused
IS audit and control professionals to specialize. The future requires all IS audit and control
auditors to continually learn and explore new technologies and methodologies.
Esta afirmao exprime um dilema habitual nas Equipas de Auditoria de SI relativamente

manuteno dos seus nveis de Competncias Tcnicas, nomeadamente os Conhecimentos em
SI. Devido proliferao de diversos tipos de SI e TIC, os Auditores de SI so obrigados a
aprender e explorar continuamente apenas determinados tipos de desenvolvimentos tecnolgicos
ou, ento, as suas Competncias Tcnicas ficaro desactualizadas de um modo geral. Por outro
lado, tambm poder ter que existir especializao dos Auditores de SI em determinadas
Competncias Tcnicas da rea de Conhecimentos em Auditoria dado que h metodologias mais
adequadas para serem seleccionadas e utilizadas consoante o tipo de SI ou TIC em causa.
Da discusso sobre a relevncia das Competncias Tcnicas face s de Gesto (ou vice-versa),
poder-se- tirar uma ilao. O Auditor de SI poder ser levado a optar pela especializao ou
no. A dimenso da organizao onde o Auditor de SI se encontra inserido, a variedade dos seus
SI e TIC e ainda o tipo de negcio podero justificar a especializao ou, pelo contrrio, a
diversificao de conhecimentos em Auditoria de SI.
Quanto mais especializado for o Auditor de SI em determinados SI ou TIC, mais crticas se

tornam as Competncias Tcnicas e, dentro destas, as da rea de Conhecimentos de SI. Por
outro lado, quanto menos especializado for o Auditor de SI, a rea de Conhecimentos em
Auditoria assume maior importncia. Neste caso, o Auditor de SI dever dominar melhor a
- 128 -
metodologia e possuir conhecimento sobre diversos referenciais metodolgicos de modo a

identificar os que melhor se adequam a diferentes SI ou TIC, em diferentes contextos de
Auditoria (exemplos: Auditorias de Controlos Gerais, Auditorias Aplicacionais, etc.)
Pode-se afirmar adicionalmente que quanto menos especializado for o Auditor, mais necessrias
se tornam as Competncias de Gesto. Neste caso, dada a diversidade de SI ou TIC a auditar, a
rea de conhecimento relativa s Capacidades Interpessoais assume maior relevncia pois o
Auditor de SI necessitar de interagir com variadas reas de negcio que utilizam esses SI e TIC
(com interlocutores frequentemente diferentes). A rea dos Conhecimentos Gerais de Gesto
tambm se torna mais necessria para a compreenso dos processos de negcio em causa (que
podem variar muito consoante a utilizao que estes fazem dos SI e TIC).
Para encerrar a confrontao das Competncias de Gesto vs. Tcnicas, apresenta-se na figura
seguinte uma proposta de posicionamento conceptual das competncias da funo de Auditoria
de SI.
Figura 4.5 - Posicionamento Conceptual das Competncias de Auditoria de SI

- 129 -
Para explicitar esta proposta de posicionamento conceptual das competncias, dentro das
Competncias de Gesto, focar-se- nos Conhecimentos Gerais de Gesto e, dentro das
Competncias Tcnicas, focar-se- nos Conhecimentos de SI. A interpretao da figura dever
ter tambm em conta a proposta de posicionamento conceptual da funo Auditoria de SI
apresentada no Captulo 3 (figura 3.2 da seco 3.2.2).
Como se pode constatar, medida que se desce no nvel dos instrumentos de Governo das
Sociedades (Corporate Governance), diminui o nvel exigido para os Conhecimentos Gerais de
Gesto e aumenta o nvel exigido para os Conhecimentos de SI. De facto, de entre os
instrumentos de Governo das Sociedades apresentados (Gesto de Risco, Auditoria de Processos
de Negcio e Auditoria de SI), na Auditoria de SI que as Competncias Tcnicas sobre SI se
tornam mais necessrias. Mais ainda, de acordo com o referido modelo de posicionamento da
funo, encarando a Auditoria de Tecnologias (TIC) como um subconjunto especializado da
Auditoria de SI, ento o nvel exigido de Conhecimentos de SI e de TIC ainda maior.
Em sentido inverso, o nvel de Conhecimentos Gerais de Gesto aumenta, medida que se sobe
no nvel dos instrumentos de Governo das Sociedades, dado que a abrangncia/mbito desses
instrumentos crescente. Repare-se que o Auditor de Processos de Negcio, por ter como
mbito todos os processos de negcio (no se limita aos de SI), o que deve apresentar um
balanceamento (trade-off) mais equilibrado entre Conhecimentos Gerais de Gesto e
Conhecimentos de SI. Por comparao, acrescenta-se ao Gestor de Risco um nvel mais elevado
de Conhecimentos Gerais de Gesto.
Como concluso desta seco, pode-se afirmar que indispensvel a presena de um misto de
Competncias Tcnicas e de Gesto. Para os Auditores de SI, existe um nvel mdio desejvel,
por comparao com outras funes relacionadas. Situando-se na Auditoria de SI esse nvel
pode variar consoante o grau de especializao do Auditor de SI, implicando diferentes
combinaes de Competncias Tcnicas e de Gesto. Certamente continuar a ser necessria a
existncia de Auditores de SI com Competncias Tcnicas sobre SI muito fortes (porque, por
exemplo, so especializados em Auditorias de Segurana aos SI e TIC). No entanto, as
Competncias de Gesto so (ou devem ser) cada vez mais valorizadas nos Auditores de SI
(porque, por exemplo, contribuem para um melhor desempenho do trabalho de cada Auditor).
- 130 -
4.2
O MODELO
DE IDENTIFICAO DE
COMPETNCIAS
DO
AUDITOR
DE
SI
Nesta seco efectuada a descrio de um Modelo de Competncias que proposto pelo autor
do presente trabalho: MICASI - Modelo de Identificao de Competncias do Auditor de SI.
Sentiu-se necessidade de construir este modelo dado que na bibliografia acadmica e
profissional no foi identificado nenhum Modelo de Competncias abrangente, aplicado
realidade da Auditoria de SI. Para alm disso, nas pesquisas efectuadas, identificaram-se maior
nmero de referncias s Competncias de Gesto, sendo mais raras as obras sobre
Competncias Tcnicas relacionadas com Auditoria de SI.
De seguida descrever-se- o processo de investigao e de construo do modelo, onde se ter a

oportunidade de compreender que o modelo resultou da utilizao adaptada de dois referenciais
distintos, um sobre Competncias de Gesto e outro sobre Competncias Tcnicas.
Posteriormente ser efectuada uma descrio das funcionalidades da ferramenta que foi
desenvolvida para suportar o modelo, encerrando-se a presente seco com uma apresentao
sucinta de diversas hipteses de aplicao do modelo em contexto de investigao acadmica e
em contexto empresarial.
4.2.1 O P R O C E S S O
DE INVESTIGAO E
CONSTRUO
DO
MODELO
O principal objectivo deste sub-processo de investigao foi construir um modelo que permita
identificar quais as competncias necessrias e mais importantes para a funo Auditoria de SI.
O modelo construdo foi designado de MICASI - Modelo de Identificao de Competncias do
Auditor de SI, justificando-se a escolha desta designao pelos objectivos do modelo acima
indicados. O carcter de Identificao que a designao do modelo anuncia tornar-se- mais
explcito posteriormente (na seco 4.2.3) quando se apresentarem os possveis contextos e
variantes de aplicao do modelo.
- 131 -
O modelo MICASI est estruturado de acordo com os dois principais tipos de competncias
apresentados e descritos anteriormente (nas seces 4.1.3 e 4.1.4), subdividindo-se em:
Competncias de Gesto (soft skills ou non-technical skills)
Competncias Tcnicas (hard skills ou technical skills)
O processo de investigao iniciou-se com a tarefa de identificar referenciais ou modelos de

competncias que se adequassem aos dois grandes tipos de competncias acima referidos
(Gesto e Tcnicas), bem como fossem compatveis com as ideias sobre Auditoria de SI
defendidas ao longo dos Captulos 2 e 3. Da pesquisa efectuada na literatura acadmica e
profissional, no foi identificado um modelo ou referencial que respondesse na globalidade aos
requisitos anteriores mas identificaram-se dois modelos separados que se consideram
adequados para cada um dos tipos de competncias:
Competncias de Gesto Modelo de Quantificao de Competncias de Gesto para

Gestores de Projectos (SSQ - Soft Skills Quantification for Project Manager Competencies) da
autoria de (Muzio, Fisher, Thomas and Peters, 2007).
Competncias Tcnicas Modelo Curricular para Auditoria e Controlo de SI (Model

Curriculum for IS Audit and Control) da autoria da (ISACA, 2004).
Relativamente escolha do Modelo de Quantificao de Competncias de Gesto para Gestores

de Projectos (SSQ), justifica-se por estar alinhada com a viso de que uma Auditoria de SI pode
ser gerida semelhana de uma Gesto de Projecto (ver nas seces 3.5.3 a 3.5.5).
Adicionalmente justifica-se por ser um modelo muito recente, adaptado s exigncias actuais das
organizaes em termos de Competncias de Gesto. Segundo os autores do modelo (Muzio,
Fisher, Thomas and Peters, 2007), existe muita investigao e literatura que reconhece a
necessidade da existncia das Competncias de Gesto (soft skills, micro-social skills, etc.), mas
no existem obras que detalhem formas de identificar e avaliar/quantificar essas competncias,
nem que as relacionem com a Gesto de Projectos.
Alis, tambm no foram encontradas obras que permitam identificar e avaliar as Competncias
de Gesto no contexto especfico da Auditoria de SI. No entanto, no contexto da Auditoria em
- 132 -
geral (no especfica de SI), num dos domnios da certificao CIA (referidos na seco 4.1.3),
podemos encontrar algumas referncias teis s Competncias de Gesto (Business
Management Skills). Estas, apesar de estarem bem desenvolvidas ao nvel dos Conhecimentos
Gerais de Gesto, no esto to abrangentes ao nvel das Capacidades Interpessoais, quando
comparadas com o modelo SSQ. Tendo em conta o exposto, considera-se que a adaptao para
a Auditoria de SI do modelo SSQ originalmente desenvolvido para a Gesto de Projectos uma
opo adequada.
Relativamente escolha do Modelo Curricular para Auditoria e Controlo de SI da ISACA, justificase por ser um modelo desenvolvido especificamente para explicitar as competncias que um
Auditor de SI dever possuir. Este modelo est alinhado com as necessidades e as expectativas
dos profissionais de Auditoria de SI pois baseia-se em investigao efectuada com a colaborao
de acadmicos, profissionais de Auditoria, empresas de Auditoria e associaes profissionais de
Auditoria. Este modelo est tambm alinhado com a estrutura do CobiT (ver na seco 3.4.2) e
com os domnios da certificao CISA (ver na seco 4.1.3).
O Modelo Curricular da ISACA claramente orientado para as Competncias Tcnicas, embora

num apndice do modelo se possa encontrar uma breve referncia a um conjunto de
competncias que a ISACA no detalha, pois considera no estarem directamente consideradas
no perfil que especfico do Auditor de SI e, tambm, por serem comuns a outras profisses. A
ISACA designa estas competncias como sugesto de competncias complementares e pelos
exemplos que fornece, conclui-se que se tratam de Competncias de Gesto (exemplos:
capacidades de comunicao, entrevista, negociao, escrita, psicologia organizacional,
comportamento, gesto de projecto, gesto de equipas, etc.).
Segundo a (ISACA, 2004), existe uma elevada procura pela profisso de Auditor de SI que
muitas vezes desempenhada por especialistas em SI ou por profissionais de outras reas de
negcio (exemplo: financeira, comercial, etc.). Este possuem algumas competncias
relacionadas com SI, mas nem sempre possuem as Competncias Tcnicas relacionadas com a
Auditoria que sejam adequadas para o exerccio da funo. Verifica-se tambm que estes
profissionais nem sempre conseguem manter actualizadas as suas Competncias Tcnicas
- 133 -
sobre SI devido ao elevado ritmo de desenvolvimento das tecnologias. Estes profissionais que
no esto suficientemente preparados para a funo, para colmatar as suas lacunas de
formao recorrem geralmente aos seguintes trs tipos de solues: participao em formao
interna ministrada pela organizao em conjunto com formao por aprendizagem no prprio
posto de trabalho; participao em eventos e seminrios promovidos por associaes
profissionais ou por fornecedores; e obteno de licenciaturas ou ps-graduaes na rea de
Auditoria de SI ou obteno de certificaes profissionais. A ltima das trs hipteses, na qual se
inclui a certificao CISA, a que proporciona o conhecimento e as Competncia Tcnicas mais
aprofundadas para o exerccio da funo. Deste modo, torna-se necessria a existncia de um
Modelo Curricular, como o da ISACA, que defina e regule quais devero ser essas competncias
e que possa ser usado como referncia por aqueles trs grandes tipos de formao. Neste
contexto, o Modelo Curricular do ISACA parece ser a opo mais conveniente para ser utilizado
como referencial para as Competncias Tcnicas.
Assim, o modelo MICASI foi construdo atravs da utilizao dos contedos presentes nos dois
referenciais atrs apresentados (Modelo SSQ e Modelo Curricular ISACA). O produto final da
adaptao pode ser consultado no Anexo 2: Modelo de Identificao de Competncias do
Auditor de SI (MICASI). Desta adaptao, resultou a identificao do seguinte nmero de
competncias:
Competncias de Gesto 23 competncias identificadas consultar as competncias e

sua respectiva descrio no Anexo 2 na grelha Competncias de Gesto (soft skills)
Competncias Tcnicas 27 competncias identificadas, agrupadas em 7 domnios

consultar as competncias e sua respectiva descrio no Anexo 2 na grelha Competncias
Tcnicas (hard skills)
Relativamente adaptao do Modelo de Quantificao de Competncias de Gesto (SSQ), no

foram utilizados todos os conceitos e mecanismos de anlise que este modelo originalmente
prev. O SSQ permite auxiliar os Gestores de Projectos a identificarem as 6 Competncias de
Gesto que consideram mais importantes para um desempenho de sucesso dos elementos das
suas equipas, a partir de uma listagem de 23 Competncias de Gesto que o modelo descreve.
O modelo tambm permite que os Gestores de Projecto o utilizem como base para efectuar uma
- 134 -
avaliao real das suas equipas quanto s 6 competncias pr-determinadas como mais
importantes (atribuindo para cada um dos elementos da equipa uma classificao e indicando
qual a competncia mais forte e qual a mais fraca). Na adaptao efectuada do SSQ para o
modelo MICASI, estes mecanismos de anlise no foram utilizados (no se seleccionou a priori
um conjunto de 6 competncias pr-determinadas para a anlise). A adaptao efectuada
consistiu apenas na utilizao das 23 competncias (nome e respectivas descries) que modelo
original de (Muzio, Fisher, Thomas and Peters, 2007) define.
Relativamente adaptao do Modelo Curricular da ISACA, este no foi utilizado com o seu
propsito original que ser um referencial curricular para cursos de formao de Auditoria de SI.
A adaptao efectuada consistiu na utilizao do modelo da ISACA como uma fonte para a
identificao das Competncias Tcnicas para o modelo MICASI. Relativamente ao modelo
original da ISACA, mantiveram-se as competncias divididas em 7 agrupamentos,
correspondentes aos domnios de conhecimento necessrios para a profisso de Auditor de SI. O
primeiro domnio, relativo aos Processo de Auditoria, equivale rea de Conhecimentos de
Auditoria. Os restantes domnios, a partir do segundo, equivalem rea de Conhecimentos de
SI.
Os nomes e respectivas descries das 27 Competncias Tcnicas que foram consideradas

resultaram dum exerccio de resumir os tpicos e sub-tpicos dos contedos de formao que a
(ISACA, 2004) define para cada um dos j referidos 7 domnios de conhecimento:
1 Processo de Auditoria
2 Gesto, Planeamento e Organizao dos SI
3 Infraestruturas Tcnicas e Prticas Operacionais de SI
4 Proteco dos Activos de Informao
5 Recuperao de Desastres e Continuidade de Negcio
6 Desenvolvimento, Aquisio, Implementao e Manuteno de Aplicaes de Negcio
7 Avaliao de Processos de Negcio e Gesto do Risco
Uma vez descrito o processo de investigao e construo do modelo MICASI, na prxima

seco sero descritas e apresentadas visualmente as funcionalidades da ferramenta que foi
desenvolvida para suportar o modelo MICASI.
- 135 -
4.2.2 A D E S C R I O
DAS
FUNCIONALIDADES
DA
FERRAMENTA
DE
SUPORTE
AO
MODELO
Com o objectivo operacionalizar o modelo MICASI, ou seja, dot-lo de funcionalidades que o

tornem aplicvel na prtica, procedeu-se ao desenvolvimento duma ferramenta de suporte.
Atravs da figura seguinte possvel visualizar um resumo das funcionalidades da ferramenta de

suporte ao modelo. A descrio e compreenso das funcionalidades deve ser acompanhada com
a consulta do Anexo 2: Modelo de Identificao de Competncias do Auditor de SI (MICASI).
Figura 4.6 - Funcionalidades de Preenchimento da Ferramenta de Suporte ao MICASI

- 136 -
A ferramenta composta por 3 grelhas/folhas para preenchimento, designadamente:

1 MF Modelo Funcional (validao das ideias base)
2 CG Competncias de Gesto (Soft Skills)
3 CT Competncias Tcnicas (Hard Skills)
Adicionalmente, a ferramenta possui ainda uma folha inicial de Instrues de preenchimento

(que corresponde figura anterior apresentada). As folhas seguintes da ferramenta, as 3 acima
indicadas, so as que se destinam ao preenchimento por parte dos utilizadores da ferramenta.
A ferramenta foi desenvolvida na aplicao MS Excel por esta possuir um conjunto de vantagens
adequadas s tarefas de desenvolvimento da ferramenta e, posteriormente, s de anlise de
resultados (exemplos: flexibilidade de estruturao, validao de dados, ordenao e tratamento
de resultados, representao grfica dos resultados, etc.).
Procedeu-se ao desenvolvimento da ferramenta tendo em conta os objectivos e as utilizaes

pretendidas no mbito da investigao, nomeadamente:
Garantir, em todos os passos de desenvolvimento, uma coerncia da ferramenta com o

modelo MICASI (definido na seco 4.2.1) e com as ideias defendidas para a funo
Auditoria de SI (apresentadas ao longo dos Captulo 2. e 3.).
Possibilitar a aplicao prtica do modelo MICASI nas entrevistas semi-estruturadas a

profissionais de Auditoria de SI, a partir das quais se efectua a avaliao qualitativa dos
resultados (ver seces 4.3.1 e 4.3.2).
Elaborar uma listagem que identifique as competncias relevantes, com a respectiva

descrio de cada uma delas, arrumadas em duas grelhas Competncias de Gesto e
Competncias Tcnicas que representam os dois grandes tipos de competncias (de
acordo com o modelo MICASI definido na seco 4.2.1).
Construir um mecanismo de classificao das competncias, contendo uma funcionalidade

de Pontuao de cada uma das competncias e uma componente de Destaque das
competncias consideradas mais importantes.
- 137 -
Tendo em conta estes objectivos e utilizaes pretendidas, em especial os dois primeiros

(garantir coerncia com as ideias defendidas para a funo Auditoria de SI e a aplicao em
entrevistas semi-estruturadas), chegou-se concluso que era necessrio introduzir na
ferramenta um mecanismo, inicialmente no previsto, que permitisse alinhar os profissionais de
Auditoria de SI que iriam utilizar a ferramenta com as ideias defendidas para a funo Auditoria
de SI. Este mecanismo justifica-se e ser tambm til nos casos em que a ferramenta utilizada
fora do contexto da presente Tese, ou seja, por um indivduo que no tem conhecimento das
ideias defendidas neste texto para a Auditoria de SI.
Optou-se ento por elaborar uma grelha adicional (1 grelha/folha de preenchimento) designada
Modelo Funcional. Esta contm um conjunto de proposies que resumem essas ideias,
servindo assim como um mecanismo de validao das ideias base, a utilizar antes das grelhas
das Competncias de Gesto e das Competncias Tcnicas. Relativamente s proposies
do Modelo Funcional que esto na 1 grelha/folha de preenchimento, foram elaboradas pelo
autor do presente trabalho, sendo originais ou compiladas a partir de diversas fontes indicadas
na bibliografia.
De seguida, sero referidas algumas das funcionalidades de preenchimento da ferramenta e,

posteriormente, sero apresentadas as funcionalidades de anlise da ferramenta.
No sentido de facilitar as tarefas de preenchimento (e, tambm posteriormente, as de anlise), a

cada uma das proposies e das competncias foi atribuda uma numerao de acordo com a
seguinte nomenclatura:
Proposies do Modelo Funcional MF.nn , sendo MF = Modelo Funcional e nn a

numerao sequencial das 16 proposies apresentadas.
Competncias de Gesto CG.nn , sendo CG = Competncias de Gesto e nn a

numerao sequencial das 23 competncias apresentadas.
Competncias Tcnicas CT.dn , sendo CT = Competncias Tcnicas, d a numerao

dos 7 domnios de conhecimento apresentados, e nn a numerao sequencial das
competncias apresentadas dentro de cada domnio.
- 138 -
Em cada uma das trs grelhas/folhas, existem duas colunas para classificao das proposies
ou das competncias, com obrigatoriedade de preenchimento de acordo com as seguintes
regras:
Pontuao O utilizador da ferramenta tem de preencher obrigatoriamente para cada

uma das proposies ou competncias em causa. A escala a utilizar vai desde 1 Pontuao mnima: Discordo / Menos Importante at 5 - Pontuao mxima: Concordo /
Mais Importante .
Destaques O utilizador da ferramenta tem preencher obrigatoriamente apenas as

linhas das TOP 5 que escolher, ou seja, das 5 que considera mais importantes (e manter as
restantes linhas em branco). O objectivo da coluna Destaques precisamente obrigar o
utilizador da ferramenta a optar e escolher, por exemplo, de entre dois valores 5 qual o que
considera mais importante e efectuar, sucessivamente o mesmo exerccio para os valores
4, 3, 2, 1 at obter um mximo de 5 destaques no total da grelha/folha em causa.
Note-se que a ferramenta possui um mecanismo de restrio/validao dos valores que o

utilizador da ferramenta pode introduzir nas grelhas de resposta (ver o destaque na ltima figura
apresentada). Estes dois conceitos de Pontuao (classificao das competncias) e
Destaques (destacar quais as competncias mais fortes) foram inspirados em conceitos
semelhantes previstos no Modelo SSQ (referido na seco 4.2.1).
Foram tambm desenvolvidos na ferramenta mecanismos que permitem uma rpida anlise e
interpretao dos resultados aps preenchimento, nomeadamente:
A ordenao das classificaes por ordem decrescente de Pontuao e por ordem

crescente de Destaques, tanto para as Competncias de Gesto, como para as
Competncia Tcnicas para que, aps o entrevistado tenha efectuado a suas classificaes
nas grelhas, seja possvel identificar de forma rpida as competncias com melhor
classificao e com pior classificao.
A visualizao atravs de grficos das Pontuaes e dos Destaques, para cada uma das
competncias, agrupadas tambm em Competncias de Gesto e Competncia Tcnicas,
para permitir igualmente uma rpida anlise aquando das entrevistas semi-estruturadas.
- 139 -
A prxima figura expe alguns exemplos das funcionalidades grficas de anlise que a
ferramenta possui para os dois principais tipos de competncias:
Competncias de Gesto 1 grfico de barras (horizontal) + 1 grfico circular (radar)
Competncias Tcnicas 1 grfico de barras (horizontal) + 2 grficos circulares (radar),

sendo um destes ltimos relativo totalidade das Competncias Tcnicas e outro relativo ao
valor mdio das Competncias Tcnicas em cada um dos 7 domnios de conhecimento.
Figura 4.7 - Funcionalidades de Anlise da Ferramenta de Suporte ao MICASI

- 140 -
Note-se que os valores/resultados apresentados nos 3 grficos da figura so meramente

exemplificativos. Os grficos tanto podem ser apresentados com as competncias na sua
ordenao original (correspondente numerao sequencial), como por ordenao decrescente
de Pontuao (tal como nos exemplos apresentados na figura). A primeira hiptese permite
efectuar comparaes entre respostas de diferentes utilizadores, enquanto que a segunda
hiptese mais adequada para analisar as ordens de importncia atribudas por um s
determinado utilizador da ferramenta. Os grficos indicam tambm os Destaques atravs da
aposio da indicao TOP #n a preceder a numerao e o nome da competncia, caso esta
tenha sido alvo de destaque.
4.2.3 A A P L I C A B I L I D A D E
DO
MODELO
EM
CONTEXTO
DE INVESTIGAO E
EMPRESARIAL
Existem dois principais contextos para possveis aplicaes do Modelo MICASI, para os quais se
concretizam de seguida algumas hipteses.
Contexto de Investigao Aplicar o modelo para investigao acadmica na rea das

Competncias de Auditoria de SI, a partir do qual se possa efectuar:
Identificao de Competncias Utilizao como um dicionrio de competncias.
Serve como um denominador comum para grupos de trabalho na mesma rea de
investigao em Auditoria de SI pois cada competncia possui uma designao nica e
uma respectiva descrio.
Classificao de Competncias Utilizao como base para a realizao de inquritos
ou para a realizao de entrevistas semi-estruturadas. Estes podem ser realizados a
acadmicos ou profissionais da rea de Auditoria de SI com vista classificao das
competncias que considerem como mais importantes num Auditor de SI.
Contexto Empresarial Aplicar o modelo como instrumento de gesto dos recursos

humanos da Equipa de Auditoria de SI, podendo ser utilizado como:
Referencial de Competncias Utilizao para pr-definir nveis de competncias
desejveis num Auditor de SI (na escala de 1 a 5). O modelo pode ter diferentes nveis
pr-definidos para cada uma das competncias, dependendo do nvel de carreira do
- 141 -
Auditor de SI em causa (exemplos: Auditor Jnior de SI, Auditor Snior de SI, Gestor de
Auditoria de SI, Director de Auditoria de SI, etc.).
Identificao de Competncias Utilizao como instrumento de diagnstico de
competncias aquando do recrutamento de Auditores de SI. A informao recolhida no
processo de recrutamento (entrevistas, currculos, referncias de terceiros, etc.) pode
ser analisada e registada de forma estruturada na ferramenta, servindo para identificar
pontos fortes ou fracos dos candidatos e permitindo tambm efectuar comparaes
entre candidatos.
Avaliao de Competncias Utilizao no mbito do processo de avaliao anual dos
Auditores de SI. Pode ser efectuada uma comparao entre o nvel real de cada uma
das competncias observadas no Auditor de SI e o nvel pr-definido como desejvel em
cada competncia.
Adicionalmente, o modelo poder ser utilizado em contexto empresarial tambm para a funo
de Controlo Interno de SI, quer na vertente de Competncias de Gesto, quer na vertente de
Competncias Tcnicas. Esta hiptese justificvel pois as Competncias Tcnicas previstas no
modelo so baseadas no Modelo Curricular da ISACA que foi desenvolvido no s para a funo
de Auditoria de SI, mas tambm para a funo de Controlo de SI.
Ainda em contexto empresarial, o modelo poder ser aplicado a outras funes duma
organizao, embora de forma no to abrangente. A vertente relativa s Competncias de
Gesto poderia ser aplicada a funes que, tal como defendemos para a Auditoria de SI,
tambm devero possuir competncias semelhantes s das Gesto de Projectos (exemplos:
Auditoria de Processos de Negcio, Gestores de Projectos de SI, etc.). A vertente relativa s
Competncias Tcnicas poderia ser aplicada a funes de SI (exemplos: Responsvel de
Segurana de SI, Responsvel de Qualidade de SI, etc.).
No que se refere ao contexto de investigao, na prxima seco sero mostrados os resultados

duma possvel aplicao do modelo neste contexto, nomeadamente utilizando-o para
classificao de competncias.
- 142 -
4.3
OS RESULTADOS
DA
APLICAO
DO
MODELO
DE
COMPETNCIAS
Nas prximas seces apresentam-se os resultados da aplicao prtica do modelo MICASI

descrito anteriormente. O modelo foi aplicado em contexto de investigao, designadamente
como base para a realizao de trs entrevistas semi-estruturadas a profissionais da rea de
Auditoria de SI. O objectivo das entrevistas foi a classificao das competncias que estes
profissionais consideram como mais importantes para um Auditor de SI.
Assim, aps um breve enquadramento do processo de realizao das entrevistas, ser efectuada
a anlise qualitativa dos resultados das entrevistas. Esta anlise incluir, para cada um dos
grandes tipos de competncias (Gesto e Tcnicas), os seguintes pontos: uma representao
grfica da anlise das classificaes; a identificao das competncias com maior importncia
atribuda; a apresentao das ideias fundamentais sobre as competncias que cada um dos
entrevistados destacou na entrevista; e a prioritizao das 10 competncias que foram
consideradas como mais importantes para a funo Auditoria de SI
4.3.1 A S E N T R E V I S T A S S E M I -E S T R U T U R A D A S
O propsito desta seco enquadrar o processo de realizao das entrevistas. As entrevistas

efectuadas consideram-se como sendo semi-estruturadas dado que foram baseadas na estrutura
do modelo MICASI. Este serviu de guia para a anlise/discusso com o entrevistado sobre as
competncias que este considera como mais importantes para a funo Auditoria de SI. Neste
contexto, a entrevista semi-estruturada no uma entrevista livre sobre determinado tema,
sendo os comentrios dos entrevistados obtidos sempre dentro dos limites definidos.
Neste caso, os limites encontram-se definidos pela estrutura do Modelo MICASI, nomeadamente
as descries das Competncias de Gesto e as descries das Competncias Tcnicas
(complementadas por um instrumento de validao que so as proposies do Modelo
Funcional).
- 143 -
No entanto, no se pode afirmar que se tratam de entrevistas totalmente estruturadas (no

sentido de entrevistas fechadas) pois para alm de terem como referncia o modelo MICASI, no
existe uma listagem de questes pr-definidas e comuns para serem utilizadas na discusso dos
resultados com cada um dos entrevistados.
A figura seguinte resume as ideias apresentadas anteriormente, traduzindo o modo como as

entrevistas foram estruturadas.
Figura 4.8 - Estruturao das Entrevistas

Na interpretao da figura, relevante distinguir os seguintes elementos:

Modelo conceptual estruturador da entrevista Modelo MICASI (Competncias de Gesto e

Competncias Tcnicas), complementado por um instrumento que no faz parte integrante
do Modelo de Competncias mas que permite a validao das ideias base da tese (Modelo
Funcional).
Ferramentas de suporte s entrevistas Ferramenta de suporte ao MICASI (grelhas/folhas

de preenchimento e grficos de anlise).
Ferramenta de anlise das entrevistas Ferramenta Mind Manager (mapas conceptuais

que estruturam as ideias discutidas na entrevista).
- 144 -
De acordo com as boas prticas deste tipo de investigao, foram efectuados registos
sistematizados das trs entrevistas realizadas e dos respectivos resultados obtidos, para cada
uma das vertentes de anlise (Competncias de Gesto, Competncias Tcnicas e Modelo
Funcional). Estes registos podem ser encontrados nos anexos abaixo indicados.
Anexo 3: Detalhe dos Resultados das Entrevistas Contm trs grelhas/folhas com o
detalhe de todas as classificaes efectuadas por cada um dos entrevistados (ver exemplo na
figura abaixo).
Figura 4.9 - Representao do Detalhe dos Resultados das Entrevistas

Anexo 4: Anlise dos Resultados das Entrevistas Contm um conjunto de trs mapas
conceptuais (ver exemplo na figura abaixo) que foram elaborados com um duplo propsito:
Resumir as ideias discutidas durante a entrevista.
Suportar o exerccio de anlise qualitativa.
Figura 4.10 - Representao da Anlise dos Resultados das Entrevistas

- 145 -
Para entrevistados, seleccionaram-se trs profissionais responsveis por Auditoria de SI, com
uma experincia muito significativa na rea e com percursos acadmicos e profissionais
distintos, permitindo assim obter diferentes vises. Os entrevistados, doravante designados pela
respectiva letra que os identificam, so:
ENTREVISTADO
NOME
REA PROFISSIONAL
TIPO DE AUDITORIA DE SI
Entrevistado A
Prof. Doutor
Alberto Carneiro
Universidade Autnoma de Lisboa

- Professor no Departamento de
Cincias e Tecnologias
viso de ensino/acadmica e viso

de profissional Auditor de SI externo
Entrevistado B
Dr. Rui Gomes
KPMG Partner IT Advisory
viso de profissional
Auditor de SI externo
Entrevistado C
Dr. Paulo Gomes
Sonae SGPS Director de

Auditoria de SI
viso de profissional
Auditor de SI interno
Tabela 4.1 - Identificao dos Entrevistados

O processo de entrevistas iniciou-se no princpio do 2 semestre de 2007, com o primeiro

contacto por e-mail a cada um dos trs entrevistados, contendo uma breve contextualizao do
tema da tese. Posteriormente, enviou-se a ferramenta de suporte ao modelo MICASI para os
entrevistados procederem classificao das competncias, atravs da utilizao das
funcionalidades de Pontuao e Destaques que a ferramenta possui. Enviou-se igualmente
um ndice dos contedos da tese (ndice de captulos, lista de tabelas e lista de figuras) para
uma contextualizao mais pormenorizada do trabalho em curso. As grelhas/folhas da
ferramenta foram preenchidas pelos entrevistados previamente realizao da entrevista, de
modo a que o autor/entrevistador a pudesse preparar convenientemente com uma pr-anlise
dos resultados. Efectuou-se o tratamento dos dados e a anlise grfica dos resultados. Procedeuse identificao de questes especficas a colocar durante a entrevista, em funo das
classificaes atribudas pelos entrevistados para cada uma das competncias em anlise. As
entrevistas foram realizadas presencialmente, com excepo do entrevistado A em que foi
recebido um conjunto de comentrios atravs de e-mail. Os esclarecimentos/comentrios dos
entrevistados permitiram a validao das classificaes atribudas e constituram a base para a
elaborao dos mapas conceptuais que sistematizam e resumem as ideias discutidas durante a
entrevista (estes mapas encontram-se no Anexo 4).
- 146 -
4.3.2 A A N L I S E Q U A L I T A T I V A
DOS
RESULTADOS
A anlise dos resultados ser efectuada de acordo com o definido no captulo introdutrio deste
trabalho de investigao (seces 1.1.1 Vrtices da Metodologia Utilizada e 1.1.2 Vantagens
e Limitaes). Assim, a anlise ser de natureza qualitativa, incluindo-se nesta anlise as tarefas
de recolha e tratamento dos dados das entrevistas semi-estruturadas.
Antes de prosseguir, uma nota sobre a natureza da anlise. A anlise designa-se de qualitativa
pois baseia-se na interpretao das classificaes atribudas pelos entrevistados, tendo estas
sido obtidas atravs da utilizao da ferramenta de suporte ao MICASI. Apesar desta ferramenta
possuir uma funcionalidade de classificao que pode considerada de quantitativa
(Pontuao), ela apenas um meio para identificar quais as competncias que cada um dos
entrevistados considera como mais importantes para um Auditor de SI. Para alm disso, a
funcionalidade de Destaques, tambm existente na ferramenta, claramente uma forma de
hierarquizar ideias. Assim, com base nestas pontuaes e destaques ser efectuada uma anlise
qualitativa das diferentes classificaes atribudas pelos entrevistados. Daqui espera-se verificar a
existncia de diferentes vises sobre o perfil do Auditor de SI.
A leitura das seguintes anlises dever ser acompanhada da consulta do Anexo 3 e Anexo 4.
Comear-se- por apresentar as principais concluses sobre a validao das ideias base do
Modelo Funcional. Recorde-se que esta validao de ideias tinha por objectivo alinhar as
classificaes atribudas pelos entrevistados com os conceitos e as ideias defendidas para a
funo Auditoria de SI ao longo deste trabalho de investigao.
- 147 -
Os entrevistados atribuem, em mdia, uma importncia mxima e um destaque elevado s

seguintes trs proposies que definem, a alto nvel, a funo de Auditoria de SI:
[MF.08] A Auditoria e a Gesto dos Riscos so instrumentos de Governo das Sociedades.
[MF.03] A Auditoria de SI tem por misso avaliar e potenciar a melhoria contnua dos nveis
de controlo dos SI e a adequada gesto dos seus riscos por parte da organizao.
[MF.02] Trs dos principais factores caracterizadores do paradigma actual da funo so:
Viso holstica da Auditoria, ao definir um carcter multi-dimensional quanto ao seu
mbito (viso COSO);
Auditoria baseada no risco (de passiva, reactiva e baseada em controlos, passou para
activa, proactiva e baseada em riscos);
Auditoria contribui para a implementao de solues de melhoria contnua (no sentido
de melhorias preventivas e no apenas solues correctivas).
relevante salientar que os trs entrevistados tambm atriburam, em mdia, elevada

importncia proposio [MF.13] relativa comparao dos trs referenciais (CobiT, ITIL e ISO
17799), embora esta no tenha sido merecedora de nenhum destaque especfico durante a
entrevista no contexto do Modelo Funcional.
Apresenta-se de seguida uma anlise s ideias fundamentais sobre o Modelo Funcional que cada
um dos entrevistados fez questo de realar na entrevista:
Entrevistado A Considera que muitas das proposies referem-se em especfico apenas

Auditoria de SI, mas algumas so referentes e aplicveis funo Auditoria em geral (no SI).
Entrevistado B De acordo com a lgica da proposio [MF.05], considera que a Auditoria

de SI deve ser encarada como uma actividade de aconselhamento (advisory), cuja misso
fundamental dever ser trazer valor organizao, atravs da gesto dos riscos e da melhoria
contnua [MF.01]. No entanto, constata-se que o principal motivo da Auditoria continua a ser
a conformidade. O entrevistado atribui ainda destaque independncia da funo [MF.07],
defendo que a forma como uma funo avaliada (performance, atingimento de objectivos,
etc.) que determina a sua importncia e a sua independncia na organizao.
Entrevistado C Considera que o maior valor da Auditoria de SI est em influenciar a

mudana para resolver os problemas [MF.04]. Para o conseguir, a Auditoria de SI dever
alavancar a relao existente com a Gesto/Administrao das organizaes [MF.08].
- 148 -
De um modo global, constatou-se que no foram manifestadas discordncias relevantes pelos

entrevistados quanto validao das ideias base do Modelo Funcional (a mdia da pontuao
nunca inferior a 3 em 5), tendo-se verificado um alinhamento geral com as ideias defendidas
neste trabalho de investigao.
Relativamente s Competncias de Gesto, o grfico seguinte apresenta a anlise das

classificaes (mdia dos 3 entrevistados).
Figura 4.11 - Anlise Grfica de Resultados: Competncias de Gesto

Da anlise do grfico, conclui-se que as duas competncias com maior importncia atribuda e,
simultaneamente, com maior destaque atribudo pelo conjunto dos trs entrevistados so a
aprendizagem contnua [CG.01] e a capacidade de deciso [CG.05]. Existem outras
competncias que so igualmente consideradas de maior importncia pelos trs entrevistados,
embora com destaque inferior ou sem destaque: a diplomacia e tacto [CG.09], a objectividade
[CG.14], a responsabilidade pessoal [CG.21] e o trabalho em equipa [CG.22].
- 149 -
Salienta-se o facto do entrevistado C ter atribudo o mximo destaque capacidade de influncia

[CG.06] que no foi destacada pelos restantes (embora tenha sido altamente pontuada). Trata-se
de um resultado interessante pois, nas posies mais conservadoras sobre o papel do Auditor, a
capacidade de influenciar o Auditado habitualmente encarada como indesejvel uma vez que
poderia colocar em causa a independncia do Auditor. No obstante, conclui-se que uma das
competncias directamente relacionadas com a independncia da funo a objectividade (no
sentido de imparcialidade) [CG.14] consta entre as competncias classificadas como mais
importantes pelos entrevistados, coexistido com a capacidade de influncia [CG.06].
As ideias fundamentais sobre as Competncias de Gesto que cada um dos entrevistados

entendeu realar na entrevista foram analisadas do seguinte modo:
Entrevistado A Considera que nem todas as competncias que o modelo prev devem
ser encaradas como importantes ou muito importantes para um perfil de Auditor de SI sem
responsabilidades de gesto (ou seja, nvel no estratgico/institucional). Caso se considere
um perfil de Auditor de SI com essas responsabilidades de gesto, ento quase todas as
competncias previstas pelo modelo seriam muito importantes.
Entrevistado B Para alm da capacidade de deciso [CG.05] que destaca em primeiro

lugar, o entrevistado destaca a relao que se deve estabelecer entre a competncia de
diplomacia e tacto [CG.09] e a competncia de gesto de conflitos [CG.12]. Neste contexto, o
entrevistado considera que a Auditoria , por natureza, encarada como uma actividade
desagradvel, pelo que o Auditor dever diplomaticamente adoptar uma perspectiva positiva
perante o Auditado e garantir que este aceita os resultados. Assim, o tacto do Auditor
fundamental para gerir possveis situaes de conflito.
Entrevistado C Adicionalmente j referida capacidade de influncia [CG.06] destacada

em primeiro lugar pelo entrevistado, este tambm destaca a capacidade de deciso [CG.05]
para explicitar que o Auditor de SI no se deve focar demasiado nos detalhes no trabalho de
Auditoria. O Auditor de SI dever possuir as competncias que lhe permitam ter uma viso
global sobre os pontos da Auditoria e a consequente capacidade de decidir quais so os
pontos mais crticos ou relevantes que devero ser aprofundados em detalhe.
- 150 -
Como resumo, na tabela seguinte apresenta-se uma prioritizao das 10 Competncias de

Gesto que foram consideradas como mais importantes para a funo Auditoria de SI (de entre
as 23 que o modelo prev). A tabela foi construda conjugando trs factores de anlise: a
pontuao dada s competncias mais importantes, os respectivos destaques atribudos e as
ideias fundamentais sobre as competncias que foram referidas pelos entrevistados.
#01. Capacidade de Deciso
#06. Objectividade
#02. Aprendizagem Contnua
#07. Capacidade de Influncia
#03. Diplomacia e Tacto
#08. Foco no Cliente
#04. Trabalho em Equipa
#09. Planeamento e Organizao
#05. Responsabilidade Pessoal
#10. Atingimento de Objectivos
Tabela 4.2 - As 10 Competncias de Gesto mais Importantes no Auditor de SI

O prximo grfico representa as classificaes (mdia dos 3 entrevistados) relativas aos 7

domnios de conhecimento previstos pelo modelo para as Competncias Tcnicas.
Figura 4.12 - Anlise Grfica de Resultados: Competncias Tcnicas por Domnio

- 151 -
Tendo apenas em conta as pontuaes atribudas (e no considerando os destaques individuais

efectuados pelos entrevistados), consta-se que os domnios de conhecimento que, em mdia,
so mais valorizados para os Auditores de SI so a proteco dos activos de informao [CT.4.0]
e a avaliao de processos de negcio e gesto do risco [CT.7.0]. Esta classificao justifica-se
pelo facto do primeiro ser composto na totalidade por 4 competncias relacionadas com a
segurana da informao e o segundo por estar relacionado com as auditorias aplicacionais. O
domnio globalmente menos valorizado o da recuperao de desastres e continuidade de
negcio [CT.05], fundamentalmente pelo facto de uma das duas competncias que o compem
seguros [CT.5.2] ter sido considerada como menos importante pelos entrevistados.
O grfico seguinte apresenta as classificaes (mdia dos 3 entrevistados) relativas a cada uma
das Competncias Tcnicas.
Figura 4.13 - Anlise Grfica de Resultados: Competncias Tcnicas

- 152 -
Efectuando a anlise para cada uma das Competncias Tcnicas individualmente, as concluses
so ligeiramente diferentes da anlise por domnio de conhecimento. Assim, as trs
competncias com maior importncia atribuda e, simultaneamente, com destaque relevante
atribudo pelo conjunto dos entrevistados so os conceitos fundamentais de Auditoria [CT.1.2],
os conceitos de controlo interno [CT.1.4] e os modelos estruturados (ex: CobiT, ITIL, ISO
17799) [CT.2.4]. Como se constata, os dois domnios de conhecimentos onde estas
competncias se inserem no foram globalmente apuradas como sendo dos mais importantes,
apesar destas trs competncias serem individualmente as mais importantes.
A anlise s ideias fundamentais sobre as Competncias Tcnicas que cada um dos

entrevistados salientou na entrevista a seguinte:
Entrevistado A Considera que se pode concordar muito com determinada competncia

mas esta pode no ser importante em determinada situao (coerncia entre concordncia
e importncia). Neste contexto, a importncia das competncias depende tambm do nvel
do Auditor de SI que se considerar (exemplo: depende do Auditor ter ou no
responsabilidades de gesto).
Entrevistado B Sobressai o facto das trs primeiras competncias destacadas por este
entrevistado coincidirem com as j referidas trs primeiras que foram apuradas no conjunto
dos entrevistados. O entrevistado defende que a maior ou menor importncia das
Competncias Tcnicas nos diversos domnios de conhecimento em anlise depende do tipo
de Auditoria de SI a realizar. Por exemplo, para uma Auditoria aos controlos gerais de SI
importante a competncia relativa aos modelos estruturados (ex: CobiT, ITIL, ISO 17799)
[CT.2.4]. J para uma Auditoria segurana, relevante o domnio da proteco dos activos
de informao [CT.4.0]. Para uma Auditoria s aplicaes de negcio, torna-se fundamental
o domnio Auditoria controlos aplicacionais [CT.7.1].
Entrevistado C Neste caso, as duas primeiras competncias destacadas coincidem com

o resultado do conjunto dos entrevistados. O seu terceiro destaque vai para uma competncia
que mais nenhum entrevistado assinalou: o Planeamento da recuperao de desastres
[CT.5.1]. O entrevistado tambm atribui grande nfase ao domnio do Desenvolvimento de
aplicaes de negcio [CT.6.0] porque considera-o bastante especfico e de natureza
diferente dos restantes domnios (est muito relacionado com o tipo de negcio) Assim, a
maior ou menor importncia das competncias deste ou doutro domnio depende do tipo de
negcio, da organizao, dos produtos, das preocupaes com a informao, etc. Este
- 153 -
entrevistado considera que existem 4 grandes tendncias em termos de Competncias

Tcnicas que o Auditor de SI dever dominar:
1 - Aplicaes de negcio
2 - Segurana (confidencialidade)
3 - Continuidade de negcio (recuperao de desastres)
4 - Governo dos SI (IT Governance)
semelhana do efectuado anteriormente para as Competncias de Gesto, e seguindo os
mesmos factores de anlise, apresenta-se na tabela seguinte um resumo com a prioritizao das
10 Competncias Tcnicas que foram consideradas como mais importantes para a funo
Auditoria de SI (de entre as 27 que o modelo prev).
#01. Conceitos Fundamentais de Auditoria
#06. Processo de Evidncia em Auditoria
#02. Conceitos de Controlo Interno
#07. Relatrio de Auditoria e Seguimento/Acompanhamento
#03. Modelos Estruturados (ex: CobiT, ITIL, ISO 17799)
#08. Auditoria a Controlos Aplicacionais
#04. Segurana Aplicada de Tecnologias de Informao
#09. Gesto de Centros de Servio
#05. Gesto e Utilizao da Informao
#10. Planeamento de Recuperao de Desastres
Tabela 4.3 - As 10 Competncias Tcnicas mais Importantes no Auditor de SI

Como concluso, na tabela podem-se identificar trs grandes agrupamentos correspondentes s

Competncias Tcnicas que devero ser mais importantes para um Auditor de SI:
1 - Conhecimentos de Auditoria Correspondem maioritariamente s competncias
do domnio Processo de Auditoria [CT.1.0].
2 - Conhecimentos de referenciais de SI Correspondem competncia modelos
estruturados (ex: CobiT, ITIL, ISO 17799) [CT.2.4].
3 - Conhecimentos especficos da rea/processo/sistema auditado So variveis de
acordo com as restantes Competncias Tcnicas.
- 154 -
Encerra-se este captulo, que pretende ser um complemento, constatando que as competncias
classificadas como mais importantes so coerentes com os trs principais determinantes do
Desempenho do Auditor (Capacidade, Experincia e Conhecimento - ver seco 4.1.2) e tambm
com as quatro reas de conhecimento identificadas (Capacidades Interpessoais, Conhecimentos
Gerais de Gesto, Conhecimentos de Auditoria e Conhecimentos de SI - ver seco 4.1.3).
Assim, por um lado, verifica-se que a Capacidade do prprio Auditor predominantemente

determinada pelas suas Competncias de Gesto. De facto, as 10 Competncias de Gesto
identificadas como mais importantes esto associadas aos mecanismos de gesto do prprio
indivduo (exemplos: Capacidades Interpessoais - Diplomacia e Tacto, Capacidade de Influncia,
etc.) e aos conhecimentos gerais que o indivduo possui que so relevantes para as suas
actividades profissionais (exemplos: Conhecimentos Gerais de Gesto - Planeamento e
Organizao, Foco no Cliente, etc.). Por outro lado, verifica-se que a Experincia profissional do
Auditor e o Conhecimento especializado que ele possui so predominantemente determinados
pelas suas Competncias Tcnicas. De facto, as 10 Competncias Tcnicas identificadas como
mais importantes esto associadas ao processo de Auditoria (exemplo: Conhecimentos de
Auditoria - Conceitos Fundamentais de Auditoria) e aos conhecimentos que o indivduo possui
sobre SI (exemplo: Conhecimentos de SI - Segurana Aplicada de Tecnologias de Informao).
Estas concluses no invalidam naturalmente a existncia de Competncias Tcnicas que sejam
determinantes da Capacidade do indivduo ou a existncia de Competncias de Gesto que
sejam determinantes da sua Experincia e Conhecimento profissionais.
Consta-se igualmente um alinhamento com as ideias defendidas ao longo deste trabalho de

investigao, nomeadamente no Modelo Funcional. Assim, entre as competncias que foram
identificadas como mais importantes, encontram-se algumas que foram merecedoras de grande
relevo no Modelo Funcional. Destas, destaca-se o facto do Auditor de SI dever possuir
competncias semelhantes s das Gesto de Projectos (exemplos: Competncias de Gesto Trabalho em Equipa, Atingimento de Objectivos, etc.) e possuir conhecimentos de referenciais de
SI (exemplo: Competncias Tcnicas - Modelos Estruturados CobiT, ITIL, ISO 17799).
- 155 -
5 CONCLUSES E DESENVOLVIMENTOS FUTUROS
O ltimo captulo tem como propsito apresentar, de forma sistematizada, as principais

concluses deste trabalho relativas ao Modelo Funcional e de Competncias da Auditoria de SI.
Adicionalmente, so sugeridas linhas de investigao futura, algumas das quais resultam de
aspectos identificados ao longo do trabalho e que o autor considera merecedores de
desenvolvimento mais aprofundado.
5.1
O MODELO FUNCIONAL
DE
AUDITORIA
DE
SI
O Modelo Funcional um conjunto de ideias estruturadas e sequenciadas sobre a funo

Auditoria de SI. Este modelo integra as diversas dimenses que compem a Auditoria de SI.
Resultou do somatrio de vrios contributos, sendo uns originais (propostos pelo autor) e outros
adaptados (a partir das referncias utilizadas na reviso bibliogrfica).
Neste contexto, apresenta-se de seguida um conjunto de proposies que resumem as principais

concluses obtidas sobre as diversas dimenses que, em conjunto, constituem um modelo para
a funo Auditoria de SI (o papel, a misso/objectivos, a organizao, o mbito, os referenciais
metodolgicos, os processos da funo, etc.).
O papel do Auditor tem evoludo e de forma positiva ao longo de 4 Eras. Partindo de um

Auditor preocupado com o passado (Era da Inspeco), passou-se para um Auditor
preocupado com o presente (Era do Controlo), agora preocupado com o futuro (Era do
Risco) e, cada vez mais, preocupado de forma permanente (Era da Auditoria Contnua).
Trs dos principais factores caracterizadores do paradigma actual da funo so:
Viso holstica da Auditoria, ao definir um carcter multi-dimensional quanto ao seu
mbito (viso COSO);
Auditoria baseada no risco (de passiva, reactiva e baseada em controlos, passou para
activa, proactiva e baseada em riscos);
Auditoria contribui para a implementao de solues de melhoria contnua (no sentido
de melhorias preventivas e no apenas solues correctivas).
- 156 -
A Auditoria de SI tem por misso avaliar e potenciar a melhoria contnua dos nveis de
controlo dos SI e a adequada gesto dos seus riscos por parte da organizao.
O verdadeiro valor acrescentado da funo surge quando os problemas (findings) so

resolvidos, sendo o relatrio de Auditoria apenas um meio para atingir um fim que a
melhoria do estado dos controlos dos SI da organizao.
O desempenho de actividades secundrias pelo Auditor de SI (exemplo: consultoria interna)

um importante contributo para promover uma cultura de controlo na organizao e um
modo de aumentar o conhecimento especializado e prtico em SI pelo Auditor.
A Auditoria de SI uma funo especializada que deve estar inserida num departamento de
Auditoria e Gesto de Risco, coexistindo com a funo de Auditoria de Processos de Negcio
(funo semelhante mas mais abrangente e generalista) e com a funo de Gesto de Risco
(funo complementar pois ajuda os Gestores de SI a identificar e a gerir os seus riscos).
Para garantir independncia, o departamento de Auditoria e Gesto de Risco dever reportar

ao Comit de Auditoria e Gesto de Risco e, por via deste, ao CEO (Chief Executive Officer) no
mbito das suas responsabilidades de superviso.
A Auditoria e a Gesto dos Riscos so instrumentos de Governo das Sociedades (Corporate

Governance).
A gesto dos recursos associados Informao, tais como os SI e as TIC, deve ser encarada
como um processo de negcio. Em consequncia, os processos de SI devem ser alvo de
Auditoria, semelhana dos restantes processos de negcio.
So trs os principais factores da equao que determina o universo da Auditoria de SI: os

Processos de Negcio (entre os quais os de Gesto dos SI); os Recursos de SI (incluindo
pessoas, aplicaes, tecnologias, etc.); e a Informao (critrios de confidencialidade,
integridade, disponibilidade, etc.).
Devem fazer parte do mbito da Auditoria de SI todos os nveis de controlo de SI: controlos
de Governo, de Gesto e Tcnicos.
importante no executar a Auditoria de SI de um modo ad-hoc, mas sim adoptar e adaptar

um ou uma combinao de referenciais metodolgicos (exemplos: CobiT; ITIL, ISO 17799)
que mais se adequem e que sejam teis para o trabalho do Auditor.
O CobiT o referencial que possui mais actividades directamente relacionadas e especficas

para Auditoria de SI. O ITIL , dos 3 referenciais, o menos direccionado para as actividades
de Auditoria de SI, enquanto que o ISO 17799 est mais vocacionado para actividades de
Auditoria de SI relacionadas com a conformidade da segurana da informao.
- 157 -
O planeamento anual da Auditoria de SI deve ser elaborado a partir de uma prioritizao de

Auditorias a efectuar. Estas so determinadas com base nos contributos (inputs) da Gesto
de Risco (riscos crticos com impacto nos SI) e com base num conhecimento do planeamento
estratgico e operacional dos SI (alinhamento com o negcio).
desejvel a integrao de metodologias entre diferentes tipos de Auditorias Internas, pelo

que as fases sequenciais que constituem uma Auditoria de SI no so muito diferentes das
fases de outros tipos de Auditoria Interna que tambm se baseiam numa abordagem ao risco
(exemplo: Auditoria de Processos de Negcio).
Cada Auditoria de SI pode ser gerida como se tratasse de uma Gesto de Projecto, com as
inerentes tcnicas de gesto de cada um dos parmetros que definem e estruturam uma
Auditoria (objectivos, mbito, tempo, recursos, comunicao, qualidade, riscos, produtos
resultantes, etc.).
5.2
O MODELO
DE
COMPETNCIAS
DE
AUDITORIA
DE
SI
O Modelo de Competncias o conjunto das competncias que o Auditor de SI deve possuir,

agrupadas em dois grandes tipos: as Competncias de Gesto e as Competncias Tcnicas. Este
modelo, proposto pelo autor, foi designado de MICASI - Modelo de Identificao de
Competncias do Auditor de SI. A sua construo resultou da combinao e adaptao de dois
referenciais distintos. As Competncias de Gesto basearam-se num modelo de competncias
de Gesto de Projectos (SSQ - Soft Skills Quantification for Project Manager Competencies) e as
Competncias Tcnicas basearam-se no modelo curricular da ISACA (Model Curriculum for IS
Audit and Control).

Apresenta-se de seguida um conjunto de pontos que resumem as principais concluses obtidas
sobre o estudo das competncias do Auditor de SI. Alguns destes pontos tambm ajudam a
contextualizar a necessidade da construo de um Modelo de Competncias, bem como a sua
estruturao e caracterizao.
- 158 -
Dado que no foi identificado nenhum Modelo de Competncias abrangente, aplicado

realidade da Auditoria de SI, justifica-se a necessidade de construo de um que identifique
as competncias de forma adequada, devidamente arrumadas e classificadas.
Grande parte das competncias desejveis no contexto da Auditoria em geral so tambm

aplicveis especificamente aos Auditores de SI.
A Equipa de Auditoria de SI dever dominar, no seu conjunto, a rea de conhecimento em

Auditoria de SI, estando o conhecimento distribudo pelas diversas competncias que cada
Auditor de SI que constitui essa equipa possui.
O ambiente de execuo da Auditoria tambm um determinante relevante das

competncias dos Auditores de SI. So trs os elementos que o constituem: a Auditoria (as
metodologias), os SI (os alvos da Auditoria) e o Negcio (o contexto no qual se executa a
Auditoria).
As competncias do Auditor para conhecer o negcio e para se relacionar com a restante

organizao so essenciais para no se colocar em risco o prprio processo de Auditoria.
A Experincia profissional do Auditor e a sua Capacidade individual determinam o seu

Conhecimento que, por sua vez, determina o Desempenho em contexto de Auditoria. Para
alm disso, o Desempenho tambm directamente determinado pela Capacidade do
indivduo.
A rea de conhecimento em Auditoria de SI diz respeito ao conjunto dos conhecimentos

necessrios ao adequado desempenho da funo. E constituda pela interseco de vrias
reas de conhecimento: Capacidades Interpessoais, Conhecimentos Gerais de Gesto,
Conhecimentos de Auditoria e Conhecimentos de SI.
As Capacidades Interpessoais e os Conhecimentos Gerais de Gesto aproximam-se mais das

Competncias de Gesto. Os Conhecimentos de Auditoria e os Conhecimentos de SI
aproximam-se mais das Competncias Tcnicas.
As Competncias de Gesto so as inerentes aos mecanismos de gesto do prprio

indivduo e aos conhecimentos gerais que o indivduo possui que so relevantes para a sua
profisso.
As Competncias Tcnicas so as competncias relacionadas com o processo de Auditoria

de SI e com os conhecimentos que o indivduo possui neste domnio.
indispensvel a combinao de Competncias de Gesto e Tcnicas, podendo o nvel

variar consoante o grau de especializao do Auditor de SI.
- 159 -
A dimenso da organizao onde o Auditor de SI se encontra inserido, a variedade dos SI e

TIC e ainda o tipo de negcio podero justificar a especializao ou, pelo contrrio, a
diversificao de conhecimentos em Auditoria de SI.
Quanto mais especializado for o Auditor de SI em determinados SI ou TIC, mais crticas se

tornam as Competncias Tcnicas. Quanto menos especializado for o Auditor, mais
necessrias se tornam as Competncias de Gesto.
O desafio de transformar conceitos tcnicos de SI em informao de gesto til para a

restante organizao s atingvel utilizando as Competncias de Gesto.
Um modelo misto de reas de conhecimento, tanto em Auditoria, como em SI, so

essenciais para formar um corpo de Competncias Tcnicas adequado.
O trabalho de investigao foi concludo com a aplicao prtica do modelo MICASI. Para tal,
efectuaram-se entrevistas a profissionais de Auditoria de SI com o objectivo de classificarem
quais as competncias mais importantes para um Auditor de SI, tendo por base as
competncias previstas no modelo MICASI. As principais concluses foram as seguintes:
As trs Competncias de Gesto consideradas como mais importantes so: a aprendizagem

contnua, a capacidade de deciso e diplomacia e tacto.
As trs Competncias Tcnicas consideradas como mais importantes so: os conceitos

fundamentais de Auditoria, os conceitos de controlo interno e os modelos estruturados
(ex: CobiT, ITIL, ISO 17799).
Do conjunto das Competncias de Gesto, identificou-se uma pouco usual no perfil

habitualmente desejvel do Auditor de SI: a capacidade de influncia.
Do conjunto das Competncias Tcnicas, identificaram-se dois domnios de conhecimento

que so mais valorizados nos Auditores de SI: a proteco dos activos de informao e a
avaliao de processos de negcio e gesto do risco.
Do conjunto das Competncias Tcnicas, identificaram-se trs grandes agrupamentos de

competncias obrigatrias nos Auditores de SI: 1 - Conhecimentos de Auditoria; 2 Conhecimentos de referenciais de SI; 3 - Conhecimentos especficos da
rea/processo/sistema auditado.
- 160 -
5.3
AS LINHAS
DE INVESTIGAO
FUTURA
Para o final deste texto, deixa-se um conjunto de linhas de investigao futura que so fruto da
reflexo do autor efectuada durante e no final do trabalho. As sugestes de desenvolvimentos
futuros esto agrupadas em trs blocos de ideias que se apresentam de seguida.
Modelo Funcional:
Centrar a investigao na Auditoria de SI externa, dado que este trabalho focou-se

essencialmente em Auditoria de SI interna. A maior parte dos conceitos tratados so
aplicados tanto a uma como outra, no entanto podero existir alguns com diferenas
merecedoras de estudo (exemplos: independncia, organizao, planeamento, etc.).
Adaptar os conceitos desenvolvidos no contexto da Auditoria de SI para o contexto do

Controlo Interno de SI. Embora se tratem de actividades com diferentes papis na
organizao, tm processos comuns e possuem tambm um denominador comum que o
conceito de controlo. A justificar esta ideia est o facto da mais relevante associao de
profissionais de Auditoria de SI ser tambm de profissionais de Controlo Interno de SI
(Information Systems Audit and Control Association) e o facto das suas normas de Auditoria
de SI serem tambm normas de Controlo Interno de SI (IS Standards, Guidelines and
Procedures for Auditing and Control Professionals).
Alargar o estudo para incluir outros referenciais de SI que sejam tambm aplicveis s
actividades de Auditoria de SI, para alm dos estudados (CobiT, ITIL e ISO 17799). Por outro
lado, actualizar o estudo dos referenciais de SI recorrendo a verses mais recentes face s
utilizadas neste trabalho. Esta sugesto torna-se mais pertinente dado que o perodo de
concluso deste trabalho coincidiu com o lanamento da verso 3 do ITIL e com a passagem
da ISO 17799 para ISO 27002.
Autonomizar o estudo do Planeamento de Auditoria de SI, enquanto plano anual de

Auditorias de SI (em alinhamento com o planeamento estratgico do negcio e dos SI) e
consequente definio do planeamento das Auditorias de SI individuais (em alinhamento com
o planeamento dos restantes tipos de Auditorias da organizao). O estudo deste processo
pode ser relevante ao ponto de merecer uma autonomizao, semelhana do que acontece
com o estudo do Planeamento de SI dentro dos diversos domnios que constituem o estudo
dos SI.
- 161 -
Modelo de Competncias:
Explorar mais aprofundadamente a relao entre Conhecimento e Competncias. Esta linha

de investigao justifica-se pois durante o trabalho sobressaiu a importncia do
Conhecimento, aquando do estudo dos determinantes do desempenho do Auditor (seco
4.1.2). Para alm disso, as competncias do Auditor de SI foram estruturadas em quatro
reas de conhecimento que, cada uma delas por si s, podero ser merecedoras de maior
desenvolvimento no contexto dos SI (Capacidades Interpessoais, Conhecimentos Gerais de
Gesto, Conhecimentos de Auditoria e Conhecimentos de SI).
Desdobrar o modelo MICASI em diversos sub-modelos de competncias, variando o nvel de

conhecimentos exigveis ao Auditor de SI consoante o seu nvel de maturidade/experincia
em Auditoria de SI (exemplos: Auditor Jnior de SI, Auditor Snior de SI, Gestor de Auditoria
de SI, Director de Auditoria de SI, etc.).
Alargar a amostra de entrevistas a realizar com base no modelo MICASI, de modo a

consolidar os resultados obtidos nesta primeira aplicao do modelo. Permitiria igualmente
obter e combinar mais vises sobre as competncias do Auditor de SI, para alm das j
apresentadas (viso de Auditor de SI interno, viso de Auditor de SI externo, viso
acadmica/ensino de Auditoria de SI).
Utilizar o modelo MICASI noutras situaes em contexto de trabalho de investigao ou em

contexto empresarial. Estas possveis aplicaes esto indicadas na seco relativa
aplicabilidade do modelo (seco 4.2.3).
Integrao do Modelo Funcional e de Competncias:

Articular o modelo defendido para a funo Auditoria de SI com as competncias previstas

para o Auditor de SI. Numa primeira etapa, este estudo poderia verificar a coerncia dos
diversos processos de gesto operacional da funo Auditoria de SI (seces 3.5.2 a 3.5.5)
com as diversas reas de conhecimento exigveis ao Auditor de SI (seco 4.1.3) e com as
diversas Competncias de Gesto e Competncias Tcnicas (seces 4.1.4, 4.2.1 e 4.3.2.).
Numa segunda etapa, o estudo poderia ser alargado para os processos de gesto estratgica
da funo Auditoria de SI, ou seja, verificar a coerncia daquelas competncias com os
objectivos, a organizao, o mbito, os referenciais e o planeamento da funo (seces 3.1
a 3.5.1).
Estender os conceitos analisados no contexto da Auditoria de SI para o contexto de outros

tipos de Auditorias, integrando quer o modelo da funo, quer as competncias do Auditor. A
- 162 -
Auditoria de SI desenvolveu-se a partir de outros tipos de Auditorias mais generalistas como a

Auditoria Interna pelo que continua a basear-se nos principais fundamentos desta. Assim,
seria interessante validar a aplicabilidade dos conceitos defendidos, por exemplo, Auditoria
de Processos de Negcio. A alegao desta linha de investigao fica reforada com a opinio
segundo a qual desejvel a integrao de metodologias entre diferentes tipos de Auditorias
Internas (seco 2.4.1).
Elaborar uma Metodologia de Auditoria de SI, contendo os processos de execuo da

Auditoria e as respectivas competncias necessrias. A utilizao sistemtica dum
documento de Definio de Auditoria, bem como dos respectivos contedos que foram
descritos e discutidos sob a forma de tcnicas de Gesto de Auditorias de SI (seco 3.5.5),
poder ser um ponto de partida para o desenvolvimento de uma metodologia formal e
detalhada para cada uma das fases que constituem uma Auditoria de SI. Esta metodologia
poderia estar articulada com as inerentes competncias, necessrias consoante as fases e o
tipo de actividades, nomeadamente com as Competncias de Gesto e Competncias
Tcnicas que foram identificadas como mais importantes para o Auditor de SI (seco 4.3.2).
Elaborar uma Poltica de Auditoria de SI de modo a enquadrar a metodologia atrs sugerida.

A metodologia constituiria uma viso Tctica-Operacional de como executar e gerir as
diversas fases de uma Auditoria de SI, com as respectivas competncias adequadas. A
referida metodologia deveria estar enquadrada e articulada com uma viso mais PolticaEstratgica para a funo Auditoria de SI, o que constituiria a Poltica de Auditoria de SI. Dado
que o tema do presente trabalho a Auditoria de SI: Modelo Funcional e de Competncias,
este seria um bom ponto de partida a partir do qual se podem derivar os dois documentos: a
Poltica de Auditoria de SI (conceptualmente situada acima) e a Metodologia de SI
(conceptualmente situada abaixo).
Apesar dos desenvolvimentos futuros sugeridos e dos possveis caminhos ainda para percorrer
com base nas concluses obtidas, espera-se que este trabalho de investigao tenha contribudo
para aumentar o conhecimento da funo e potenciar a excelncia profissional nas reas dos SI
e da Auditoria em geral e, em particular, na Auditoria de SI.
- 163 -
Referncias Bibliogrficas
Amaral, L. e Varajo, J., Planeamento de Sistemas de Informao, FCA, Lisboa, Portugal, 2000.
APQC - American Productivity & Quality Center and AA - Arthur Andersen, Process Classification
Framework, in www.apqc.org, 1996.

Asthon, B., A View of International IT Security Standards, The EDP Audit, Control and Security
Newsletter (29:6), December 2001.

Baskerville, R.L. and Myers, M. D., Information Systems as a Reference Discipline, MIS
Quarterly (26:1), March 2002.

Braga, A., A Gesto da Informao, Revista Millenium (19), Instituto Superior Politcnico de
Viseu, Junho 2000.
BSI - British Standards Institute, BS ISO/IEC 17799:2005 - Information technology. Security
techniques. Code of practice for information security management., British Standards

Institute, London, UK, June 2005.
BSI - British Standards Institute Brasil, BSI Brasil - Raising Standards Everywhere, in
www.bsibrasil.com.br, Maro 2006.
Cangemi, M.P., Managing the Audit Function: A Corporate Audit Department Procedure, John
Wiley & Sons, New York, USA, 2003.
Carneiro, A., Auditoria de Sistemas de Informao, FCA, Lisboa, Portugal, 2004.
Carvalho, J.A., Information System? Which One Do You Mean?, in Falkenberg, E., K. Lyytinen
and A. Verrijn-Stuart (Eds.), Information Systems Concepts: An Integrated Discipline
Emerging, Kluwer Academic Publishers, 2000.

Carvalho, J.A., Using the Viable System Model to Describe the Role of Computer-Based Systems
in Organization, Universidade do Minho - Escola de Engenharia, Guimares, Portugal,

1998.
Davis, C., Schillerand, M. and Wheeler, M., IT Auditing - Using Controls to Protect Information
Assets, McGraw-Hill, New York, USA, 2007.

Dhillon, G., Principles of Information Systems Security: Texts and Cases, John Wiley & Sons, New
York, USA, 2006.
- 164 -
Daz, M. C. M. y Vera, I. A, Orgenes y classificacin de la auditoria de la informacin, Acimed

(14:5), 2006.
Fretwell, P.Z., The Changing Role of the Internal Auditor, Protiviti - Independent Risk Consulting,
in www.knowledgeleader.com, August 2004.
Gallegos, F., IT Audit Career Development Plan, Information Systems Control Journal (2),
2003.
Geada, F., Auditoria: Fundamentao Histrica da Profisso, Auditoria Interna, Instituto
Portugus de Auditoria Interna, Outubro/Novembro 2005.
IIA - The Institute of Internal Auditors, Certified Internal Auditor Exam Content, in www.theiia.org,
2007a.
IIA - The Institute of Internal Auditors, Code of Ethics, The Institute of Internal Auditors, Florida,
USA, June 2000.
IIA - The Institute of Internal Auditors, GTAG - Global Technology Audit Guide: Information
Technology Controls, The Institute of Internal Auditors, Florida, USA, 2005a.

IIA - The Institute of Internal Auditors, GTAG - Global Technology Audit Guide: Continuous Auditing
- Implications for Assurance, Monitoring, and Risk Assessment, The Institute of Internal
Auditors, Florida, USA, 2005b.
IIA - The Institute of Internal Auditors, GTAG - Global Technology Audit Guide: Management of IT
Auditing, The Institute of Internal Auditors, Florida, USA, 2006.

IIA - The Institute of Internal Auditors, The Audit Committee: A Holistic View of Risk, in
www.theiia.org, 2007b.
IIA - The Institute of Internal Auditors, The GAIT Methodology: A risk-based approach to assessing
the scope of IT General Controls, in www.theiia.org, 2007c.

IIA - The Institute of Internal Auditors, The Role of Internal Auditing in Enterprise-wide Risk
Management,, The Institute of Internal Auditors, Florida, USA, September 2004.

ISACA - Information Systems Audit and Control Association, CISA Job Practice Areas, in
www.isaca.org, 2006.
ISACA - Information Systems Audit and Control Association, Glossary of Terms, in www.isaca.org,
2007.
- 165 -
ISACA - Information Systems Audit and Control Association, IS Standards, Guidelines and
Procedures for Auditing and Control Professionals, Information Systems Audit and Control
Association, Illinois, USA, September 2005.
ISACA - Information Systems Audit and Control Association, ISACA Model Curriculum for IS Audit
and Control, Information Systems Audit and Control Association, Illinois, USA, 2004.
ISCJ - Information Systems Control Journal editors, What Recruiters and Staffing Agencies Say
about Trends in IS Auditing, Editors compendium of readers contributions, Information
Systems Control Journal (5), 2000.

ITGI - IT Governance Institute, CobiT - Control Objectives for Information and related Technology,
3rd Edition, IT Governance Institute, Illinois, USA, 2000.

ITGI - IT Governance Institute, CobiT Mapping, in www.itgi.org, 2004.
ITGI - IT Governance Institute and OGC - Office of Government Commerce, Aligning CobiT, ITIL
and ISO 17799 for Business Benefit, in www.itgi.org and www.ogc.gov.uk, 2005.
Jacka, J. M., I Am the Very Model of a Modern Audit Manager, Internal Auditor, The Institute of
Internal Auditors, February 2006.
Kaplan, B. and Duchon, D., Combining Qualitative and Quantitative Methods in Information
Systems Research: A Case Study, MIS Quarterly (2:4), December 1998.
Karapetrovic, S. and Willborn, W., Audit System: concepts and practices, Total Quality
Management (12:1), January 2001.

LeBlanc, K., The Big Picture: ITIL as an Integrated Framework, ITIL & ITSM Knowledge Base, in
www.itilworx.com, August 2004.
Libby, R. and Luft, J., Determinants of judgment performance in accounting settings: Ability,
knowledge, motivation, and environment, Accounting, Organizations and Society (18:5),
1993.
Marchand, D.A., Competing with Information: A Managers Guide to Creating Business Value with
Information Content, John Wiley & Sons, New York, USA, 2000.
McNamee, D. and Selim, G.M., Risk Management: Changing the Internal Auditors Paradigm,
The Institute of Internal Auditors Research Foundation, Florida, USA, 1998.
- 166 -
Moody, D.L., Building Links between IS Research and the Professional Practice: Improving the
Relevance and Impact of IS Research, University of Melbourne and Simsion Bowles &
Associates, Australia, 2000.
Muzio, E., Fisher, D. J., Thomas, E. R. and Peters, V., Soft Skills Quantification (SSQ) for Project
Manager Competencies, Project Management Journal (38:2), June 2007.
Nascimento, J.C., A Virtualizao da Gesto de Sistemas de Informao: Impactos na sua
Organizao e nos seus Recursos Humanos, Tese de Doutoramento, Universidade do

Minho - Escola de Engenharia, Guimares, Portugal, 2002.
OGC - Office of Government Commerce, An Introduction to ITIL, in www.ogc.gov.uk, 2004.
Oliveira, A., A importncia dos Sistemas de Informao para a indstria, Revista Estudos de
Gesto (4:3), 1998/9.

Oliveira, A., Concepo e Implementao de Sistemas de Informao e Apoio Gesto e ao
Negcio, Galileu - Revista de Economia e Direito (2:2), 1997.
PMI - Project Management Institute, PMBOK Guide - A Guide to the Project Management Body of
Knowledge , 3rd Edition, Project Management Institute, Pennsylvania, USA, 2004.

Porto Editora, Dicionrio da Lngua Portuguesa 2008, in www.portoeditora.pt, Maio 2007.
Power, D. and Terziovski, M., The process, practice and outcomes of non-financial auditing: five
Australian case studies, Int. J. Manufacturing Technology and Management (7:1), 2005.
Prakarsa, S., IS Auditing in 21st Century, MSBA Research Project, Pomona California State
Polytechnic University, California, USA, 1996.
Sadowski, G.P., The Skills Needed by Sucessful Entry Level Auditors in the next Millennium,
MSBA Research Project, Pomona California State Polytechnic University, California, USA,
1997.
Santos, C., Vasconcelos, A., e Tribolet, J., "Da Framework CEO Auditoria de Sistemas de
Informao", Actas da V Conferncia da Associao Portuguesa de Sistemas de
Informao, Lisboa, Portugal, Novembro 2004.

Sayana, S. A., The IS Audit Process, Information Systems Control Journal (1), 2002.
Shapiro, C., and Varian, H. R., Information Rules: A Strategic Guide to the Network Economy,
Harvard Business Scholl Press, Massachusetts, USA, 1999.
- 167 -
Silva, P.G., Anlise da Aplicao Informtica AutoAudit, Relatrio de Tecnologias dos Sistemas de
Informao, MBI - Master on Business Information, Universidade do Minho - Escola de
Engenharia, Guimares, Portugal, Fevereiro 2004a.
Silva, P.G., Gesto de Projectos aplicada Definio de mbito de Auditorias de Sistemas de
Informao, Relatrio de Gesto de Projectos, MBI - Master on Business Information,

Universidade do Minho - Escola de Engenharia, Guimares, Portugal, Maro 2004b.
Spafford, G., The Benefits of Standard IT Governance Frameworks, IT Process Institute, in
www.itpi.org, April 1998.
Touquet, M.D., Best Practices of IS Audit Management, MSBA Research Project, Pomona
California State Polytechnic University, California, USA, 1996.
- 168 -
Anexos
Anexo 1: Actividades de Auditoria de SI previstas no CobiT, ITIL e ISO 17799
Este Anexo faz parte integrante da seco 3.4.3 - As Actividades de Auditoria de SI previstas nos
Referenciais, na qual se descreve a metodologia de anlise utilizada na produo dos resultados abaixo.
- 169 -
- 170 -
- 171 -
Anexo 2: Modelo de Identificao de Competncias do Auditor de SI (MICASI)
Este Anexo faz parte integrante da seco 4.2 - O Modelo de Identificao de Competncias do Auditor
de SI, na qual se apresenta o processo de construo do modelo e se descrevem as funcionalidades da
ferramenta que suporta o modelo.
- 172 -
- 173 -
- 174 -
- 175 -
- 176 -
Anexo 3: Detalhe dos Resultados das Entrevistas
Este Anexo faz parte integrante das seces 4.3.1 - As Entrevistas Semi-Estruturadas e 4.3.2 - A
Anlise Qualitativa dos Resultados.
- 177 -
- 178 -
- 179 -
- 180 -
Anexo 4: Anlise dos Resultados das Entrevistas

Este Anexo faz parte integrante da seco 4.3.2 - A Anlise Qualitativa dos Resultados.
- 181 -
- 182 -
- 183 -

A Função Auditoria de Sistemas de Informacao Modelos Funcional e de Competencias

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

A Função Auditoria de Sistemas de Informacao Modelos Funcional e de Competencias

Enviado por

Direitos autorais:

Formatos disponíveis

T

Pedro Manuel Gomes Silva

Tese de Mestrado submetida Universidade do Minho

Ao Professor Doutor Jos Carlos Nascimento

Ao Doutor Alberto Carneiro, ao Dr. Rui Gomes e ao Dr. Paulo Gomes

Questes de Investigao e Objectivos ........................................................................ 2

Metodologia de Investigao ....................................................................................... 3

Vrtices da Metodologia Utilizada ......................................................................... 3

Vantagens e Limitaes ....................................................................................... 5

Modelos Estruturados, Normas e Ferramentas utilizadas ...................................... 8

A Auditoria e os Sistemas de Informao ........................................................ 10

Definies Base ................................................................................................. 10

Definies Adicionais ......................................................................................... 13

Consideraes sobre as Definies .................................................................... 16

Referncias Evoluo da Funo Auditoria.............................................................. 18

A Evoluo da Funo Auditoria ......................................................................... 18

A Evoluo da Funo Auditoria de SI ................................................................ 20

A Evoluo do Papel do Auditor.......................................................................... 22

O Paradigma Actual da Funo Auditoria................................................................... 25

Viso Holstica ................................................................................................... 25

Auditoria baseada no Risco ................................................................................ 28

Solues de Melhoria Contnua .......................................................................... 33

Abordagens Sistmicas da Auditoria.......................................................................... 35

A Auditoria enquanto um Sistema da Organizao.............................................. 35

A Auditoria inserida num Modelo de Sistemas Viveis da Organizao ................ 37

Modelo Funcional de Auditoria de SI............................................................... 40

A Misso da Auditoria de SI................................................................................ 41

A Independncia da Auditoria de SI.................................................................... 43

A Organizao da Funo ......................................................................................... 47

As Funes de Gesto de SI e Auditoria de SI como Processos de Negcio......... 47

O Posicionamento da Funo Auditoria de SI...................................................... 50

O mbito da Funo ................................................................................................. 57

A Definio do Universo da Auditoria de SI ......................................................... 57

Os Nveis, Dimenses e Tipos de Controlo sujeitos Auditoria de SI ................... 61

Os Referenciais Metodolgicos da Funo ................................................................. 65

Uma Seleco de 3 Referenciais: CobiT, ITIL e ISO 17799 ................................. 69

As Actividades de Auditoria de SI previstas nos Referenciais ............................... 78

O Planeamento das Auditorias de SI................................................................... 83

As Fases das Auditorias de SI ............................................................................ 88

A Gesto das Auditorias de SI como a Gesto de um Projecto............................. 92

A Definio da Estrutura das Auditorias de SI ..................................................... 98

As Tcnicas de Gesto das Auditorias de SI...................................................... 100

Modelo de Competncias de Auditoria de SI ................................................. 111

As Competncias do Auditor de SI .......................................................................... 111

O Contexto das Competncias do Auditor......................................................... 112

Os Determinantes das Competncias da Auditoria de SI ................................... 117

As reas de Conhecimento do Auditor de SI..................................................... 121

As Competncias de Gesto vs. as Competncias Tcnicas .............................. 125

O Modelo de Identificao de Competncias do Auditor de SI .................................. 131

O Processo de Investigao e Construo do Modelo........................................ 131

A Descrio das Funcionalidades da Ferramenta de Suporte ao Modelo............ 136

A Aplicabilidade do Modelo em Contexto de Investigao e Empresarial............ 141

Os Resultados da Aplicao do Modelo de Competncias ........................................ 143

As Entrevistas Semi-Estruturadas ..................................................................... 143

A Anlise Qualitativa dos Resultados ................................................................ 147

Concluses e Desenvolvimentos Futuros....................................................... 156

O Modelo Funcional de Auditoria de SI .................................................................... 156

O Modelo de Competncias de Auditoria de SI ........................................................ 158

As Linhas de Investigao Futura ............................................................................ 161

Referncias Bibliogrficas.................................................................................................. 164

Figura 4.7 - Funcionalidades de Anlise da Ferramenta de Suporte ao MICASI....................... 140

A evoluo, complexidade e predominncia dos Sistemas de Informao (SI) nas organizaes

Os SI e as Tecnologias da Informao e Comunicao (TIC) tm afectado as organizaes em

O exigente nvel de conhecimento e de competncias necessrias ao controlo dos SI implicam