Auditoria de Sistemas

Computacionais

Auditoria de Sistema de Informação,

Padrões de Auditoria e Código de Ética
Tipos de Auditoria
◼ uma auditoria pode ser financeira, operacional,
integrada, de conformidade (compliance, em
inglês), administrativa, e de sistemas de
informação;
◼ A auditoria de TI (Tecnologia de Informação) ou
SI (Sistemas de Informação) consiste em verificar
se os sistemas de informação das organizações
estão em conformidade com as políticas, normas
e procedimentos estabelecidos pelos respetivos
conselhos diretivos.
Auditoria de Sistemas de
Informação
◼ “a revisão e avaliação dos controles,
desenvolvimento de sistemas,
procedimentos de TI, infraestrutura,
operação, desempenho e segurança da
informação que envolve o processamento
de informações críticas para a tomada de
decisão.”
O papel do auditor
◼ A ISACA® (Associação de Auditoria e Controle
de Sistemas de Informação) estabelece que o
auditor deve desempenhar o seu trabalho
seguindo as boas práticas profissionais, e normas
e padrões internacionais como os elaborados pela
própria organização, o PCAOB (Public Company
Accounting Oversight Board) e o AICPA
(American Institute of Certified Public
Accountants)
O papel do auditor
◼ O auditor deve possuir conhecimento
técnico e capacidade profissional adequada
para realizar as tarefas necessárias, de
forma ética, independente, mantendo a
privacidade e a confidencialidade das
informações obtidas.
Governança de TI, riscos e
controle
◼ Um aspecto critico da auditoria é a
avaliação do processo de governança da
organização (políticas e controles) e do
processo de gerenciamento de riscos (RM –
Risk Management ou ERM – Enterprise
Risk Management) para identificar os
objetivos de controle e avaliar a sua
efetividade.
O processo de Auditoria de SI
◼ O processo de auditoria consiste em
◼ definir o alcance ou objeto da auditoria,
◼ a obtenção de evidências (sampling plan),
◼ o teste da evidência – comparar os resultados
com os critérios previamente estabelecidos da
auditoria,
◼ emitir o parecer do auditor nos relatórios ou
informes de auditoria.
Plano de Auditoria de SI
◼ Quando o objeto da auditoria é definido, cria-se o plano
de auditoria que apresentará o escopo estabelecido,
objetivos e procedimentos necessários para a obtenção da
evidência.
◼ Trata-se de uma descrição geral do trabalho a ser
realizado pelo auditor ou pela equipe de auditores
contendo as informações anteriormente descritas.
◼ Uma parte importante do plano de auditoria é o programa
de auditoria, que geralmente documenta os procedimentos
a serem utilizados para a verificação e testes da
efetividade dos controles.
Ferramentas de Auditoria
◼ São classificadas em
◼ Ferramentas generalistas
◼ Ferramentas especializadas
◼ Ferramentas de utilidade geral
Ferramentas Generalistas
◼ Analisam, processam e simulam amostras,
apontam possíveis duplicidades, geram dados
estatísticos, entre outras funções que o auditor
possa desejar.
◼ Podem ser utilizados para examinar arquivos,
selecionar registros e criar relatórios
especificados pelo auditor.
Ferramentas Generalistas
◼ Vantagens: são relativamente fáceis de aprender e
usar, podem processar diversos arquivos ao
mesmo tempo, trazem maior eficiência através da
automação de procedimentos manuais, reduzem
os riscos ao testar populações inteiras.
◼ Desvantagens: alto custo de aquisição, não se
aprofundam em lógicas e matemáticas muito
complexas, apresentando níveis básicos de
interatividade e usabilidade.
Ferramentas Especializadas
◼ São softwares desenvolvidos especialmente para executar
certas tarefas em uma circunstância definida. Pode ser
desenvolvido pelo auditor, pelos especialistas da empresa
auditada ou por um terceiro contratado pelo auditor.
◼ Vantagens: atendem a demandas ou clientes específicos; é
um software especializado em uma área muito complexa,
pode utilizar isso como uma vantagem competitiva.
◼ Desvantagens: podem ser muito caras, são necessários
estudos específicos e uma equipe capacitada ou
profissional capacitado para o desenvolvimento
Ferramentas de utilidade geral
◼ Não foram desenvolvidas com o propósito de servirem
como softwares de auditoria, pois executam funções
comuns de processamento, como sortear arquivos,
sumarizar e gerar relatórios. Podemos citar como exemplo
o Excel, Access, SQL etc.
◼ Vantagem: capacidade de serem utilizadas como
substitutos na ausência de ferramentas próprias.
◼ Desvantagem:não foram desenvolvidos para executar
trabalho de auditoria, portanto, não terão todos os
recursos oferecidos por ferramentas específicas.
Padrão de Auditoria de SI
◼ A natureza especializada da auditoria de
sistemas de informação (SI) e a capacitação
necessária para realizar tais auditorias
requerem o estabelecimento de padrões que
se apliquem especificamente à auditoria de
SI.
Padrão de Auditoria de SI
◼ Uma das metas da Information Systems
Audit and Control Association®
(Associação de Auditoria e Controle de
Sistemas de Informação, ISACA®) é
desenvolver padrões aplicáveis
globalmente, de forma a atender a essa
visão.
Padrão de Auditoria de SI
◼ Padrões: definem requisitos obrigatórios para
auditorias e relatórios de SI e informam:
◼ Os auditores de SI sobre o nível mínimo de
desempenho aceitável exigido para atender às
responsabilidades profissionais estabelecidas no
Código de ética profissional da ISACA.
◼ A gerência e outras partes interessadas sobre as
expectativas da profissão no que se refere às
atividades daqueles que a exercem
Padrão de Auditoria de SI
◼ Diretrizes: fornecem orientação para a aplicação
dos Padrões de auditoria de SI. O auditor de SI
deve levá-las em consideração para determinar
como alcançar a implementação das normas,
utilizar o julgamento profissional em sua
aplicação e estar preparado para justificar
qualquer divergência. O objetivo das Diretrizes
de auditoria de SI é fornecer informações
adicionais sobre como se adequar aos Padrões de
auditoria de SI.
Padrão de Auditoria de SI
◼ Procedimentos: fornecem exemplos de
procedimentos que um auditor de SI pode seguir
durante a realização de uma auditoria. Os
documentos de procedimentos fornecem
informações sobre como cumprir os padrões ao
realizar a auditoria de SI, mas não estabelecem
requisitos. O objetivo dos Procedimentos de
auditoria de SI é fornecer informações adicionais
sobre como se adequar aos Padrões de auditoria
de SI.
Padrão de Auditoria de SI
COBIT
◼ Os recursos COBIT® devem ser utilizados como
uma fonte de orientação para melhores
desempenhos. O COBIT Framework determina
que:"É responsabilidade da gerência salvaguardar
todos os ativos da empresa. Para cumprir com
essa responsabilidade e também alcançar as
expectativas, a gerência deve estabelecer um
sistema adequado de controle interno".
Padrão de Auditoria de SI
COBIT
◼ O COBIT fornece um conjunto detalhado de
controles e técnicas de controle para o ambiente
de gerenciamento de sistemas de informação. A
seleção do material mais relevante do COBIT,
aplicável ao escopo da auditoria em particular,
baseia-se na escolha de processos de TI
específicos do COBIT e na consideração de seus
critérios de informação
Código de Ética
◼ Os Padrões da ISACA contêm princípios básicos
e procedimentos essenciais, que são obrigatórios,
juntamente com orientações relacionadas aos
mesmos. O objetivo deste Padrão de auditoria de
SI é estabelecer um padrão e fornecer orientações
ao auditor de SI para que ele siga o Código
ISACA de ética profissional e aja com o devido
zelo profissional.
 Information Systems Audit and
Control Association (ISACA)
◼ Teve seu início em 1967...
◼ Em 1969, o grupo foi formalizado, incorporado
como a Associação de Auditores EDP;
◼ Hoje, os membros da ISACA – mais de 86.000 ao
redor do mundo – se caracterizam por sua
diversidade (auditores de sistemas de informação,
consultores, educadores, profissionais de segurança
da informação, reguladores, diretores de TI (CIOs)
e auditores internos).
 ISACA
◼ Esses profissionais trabalham em praticamente todas as
áreas de negócio, incluindo setor financeiro e bancário,
contabilidade pública, governo e empresas do setor
público, utilitários e manufaturas.
◼ Essa diversidade permite aos membros aprender uns com
os outros e trocar pontos de vista diferenciados em uma
variedade de tópicos, o que tem sido considerado uma
das maiores forças da ISACA.
◼ Anteriormente conhecida como ‘Information Systems
Audit and Control Association’, a ISACA hoje é
conhecida pelo seu acrônimo somente.
Atividade
◼ Descreva o que é COBIT e como ele
estabelece seus objetivos, práticas de
controle e diretrizes.
◼ Descreva o Código de Ética ISACA