Padrões de Auditoria e Código de Ética Tipos de Auditoria ◼ uma auditoria pode ser financeira, operacional, integrada, de conformidade (compliance, em inglês), administrativa, e de sistemas de informação; ◼ A auditoria de TI (Tecnologia de Informação) ou SI (Sistemas de Informação) consiste em verificar se os sistemas de informação das organizações estão em conformidade com as políticas, normas e procedimentos estabelecidos pelos respetivos conselhos diretivos. Auditoria de Sistemas de Informação ◼ “a revisão e avaliação dos controles, desenvolvimento de sistemas, procedimentos de TI, infraestrutura, operação, desempenho e segurança da informação que envolve o processamento de informações críticas para a tomada de decisão.” O papel do auditor ◼ A ISACA® (Associação de Auditoria e Controle de Sistemas de Informação) estabelece que o auditor deve desempenhar o seu trabalho seguindo as boas práticas profissionais, e normas e padrões internacionais como os elaborados pela própria organização, o PCAOB (Public Company Accounting Oversight Board) e o AICPA (American Institute of Certified Public Accountants) O papel do auditor ◼ O auditor deve possuir conhecimento técnico e capacidade profissional adequada para realizar as tarefas necessárias, de forma ética, independente, mantendo a privacidade e a confidencialidade das informações obtidas. Governança de TI, riscos e controle ◼ Um aspecto critico da auditoria é a avaliação do processo de governança da organização (políticas e controles) e do processo de gerenciamento de riscos (RM – Risk Management ou ERM – Enterprise Risk Management) para identificar os objetivos de controle e avaliar a sua efetividade. O processo de Auditoria de SI ◼ O processo de auditoria consiste em ◼ definir o alcance ou objeto da auditoria, ◼ a obtenção de evidências (sampling plan), ◼ o teste da evidência – comparar os resultados com os critérios previamente estabelecidos da auditoria, ◼ emitir o parecer do auditor nos relatórios ou informes de auditoria. Plano de Auditoria de SI ◼ Quando o objeto da auditoria é definido, cria-se o plano de auditoria que apresentará o escopo estabelecido, objetivos e procedimentos necessários para a obtenção da evidência. ◼ Trata-se de uma descrição geral do trabalho a ser realizado pelo auditor ou pela equipe de auditores contendo as informações anteriormente descritas. ◼ Uma parte importante do plano de auditoria é o programa de auditoria, que geralmente documenta os procedimentos a serem utilizados para a verificação e testes da efetividade dos controles. Ferramentas de Auditoria ◼ São classificadas em ◼ Ferramentas generalistas ◼ Ferramentas especializadas ◼ Ferramentas de utilidade geral Ferramentas Generalistas ◼ Analisam, processam e simulam amostras, apontam possíveis duplicidades, geram dados estatísticos, entre outras funções que o auditor possa desejar. ◼ Podem ser utilizados para examinar arquivos, selecionar registros e criar relatórios especificados pelo auditor. Ferramentas Generalistas ◼ Vantagens: são relativamente fáceis de aprender e usar, podem processar diversos arquivos ao mesmo tempo, trazem maior eficiência através da automação de procedimentos manuais, reduzem os riscos ao testar populações inteiras. ◼ Desvantagens: alto custo de aquisição, não se aprofundam em lógicas e matemáticas muito complexas, apresentando níveis básicos de interatividade e usabilidade. Ferramentas Especializadas ◼ São softwares desenvolvidos especialmente para executar certas tarefas em uma circunstância definida. Pode ser desenvolvido pelo auditor, pelos especialistas da empresa auditada ou por um terceiro contratado pelo auditor. ◼ Vantagens: atendem a demandas ou clientes específicos; é um software especializado em uma área muito complexa, pode utilizar isso como uma vantagem competitiva. ◼ Desvantagens: podem ser muito caras, são necessários estudos específicos e uma equipe capacitada ou profissional capacitado para o desenvolvimento Ferramentas de utilidade geral ◼ Não foram desenvolvidas com o propósito de servirem como softwares de auditoria, pois executam funções comuns de processamento, como sortear arquivos, sumarizar e gerar relatórios. Podemos citar como exemplo o Excel, Access, SQL etc. ◼ Vantagem: capacidade de serem utilizadas como substitutos na ausência de ferramentas próprias. ◼ Desvantagem:não foram desenvolvidos para executar trabalho de auditoria, portanto, não terão todos os recursos oferecidos por ferramentas específicas. Padrão de Auditoria de SI ◼ A natureza especializada da auditoria de sistemas de informação (SI) e a capacitação necessária para realizar tais auditorias requerem o estabelecimento de padrões que se apliquem especificamente à auditoria de SI. Padrão de Auditoria de SI ◼ Uma das metas da Information Systems Audit and Control Association® (Associação de Auditoria e Controle de Sistemas de Informação, ISACA®) é desenvolver padrões aplicáveis globalmente, de forma a atender a essa visão. Padrão de Auditoria de SI ◼ Padrões: definem requisitos obrigatórios para auditorias e relatórios de SI e informam: ◼ Os auditores de SI sobre o nível mínimo de desempenho aceitável exigido para atender às responsabilidades profissionais estabelecidas no Código de ética profissional da ISACA. ◼ A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem Padrão de Auditoria de SI ◼ Diretrizes: fornecem orientação para a aplicação dos Padrões de auditoria de SI. O auditor de SI deve levá-las em consideração para determinar como alcançar a implementação das normas, utilizar o julgamento profissional em sua aplicação e estar preparado para justificar qualquer divergência. O objetivo das Diretrizes de auditoria de SI é fornecer informações adicionais sobre como se adequar aos Padrões de auditoria de SI. Padrão de Auditoria de SI ◼ Procedimentos: fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realização de uma auditoria. Os documentos de procedimentos fornecem informações sobre como cumprir os padrões ao realizar a auditoria de SI, mas não estabelecem requisitos. O objetivo dos Procedimentos de auditoria de SI é fornecer informações adicionais sobre como se adequar aos Padrões de auditoria de SI. Padrão de Auditoria de SI COBIT ◼ Os recursos COBIT® devem ser utilizados como uma fonte de orientação para melhores desempenhos. O COBIT Framework determina que:"É responsabilidade da gerência salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e também alcançar as expectativas, a gerência deve estabelecer um sistema adequado de controle interno". Padrão de Auditoria de SI COBIT ◼ O COBIT fornece um conjunto detalhado de controles e técnicas de controle para o ambiente de gerenciamento de sistemas de informação. A seleção do material mais relevante do COBIT, aplicável ao escopo da auditoria em particular, baseia-se na escolha de processos de TI específicos do COBIT e na consideração de seus critérios de informação Código de Ética ◼ Os Padrões da ISACA contêm princípios básicos e procedimentos essenciais, que são obrigatórios, juntamente com orientações relacionadas aos mesmos. O objetivo deste Padrão de auditoria de SI é estabelecer um padrão e fornecer orientações ao auditor de SI para que ele siga o Código ISACA de ética profissional e aja com o devido zelo profissional. Information Systems Audit and Control Association (ISACA) ◼ Teve seu início em 1967... ◼ Em 1969, o grupo foi formalizado, incorporado como a Associação de Auditores EDP; ◼ Hoje, os membros da ISACA – mais de 86.000 ao redor do mundo – se caracterizam por sua diversidade (auditores de sistemas de informação, consultores, educadores, profissionais de segurança da informação, reguladores, diretores de TI (CIOs) e auditores internos). ISACA ◼ Esses profissionais trabalham em praticamente todas as áreas de negócio, incluindo setor financeiro e bancário, contabilidade pública, governo e empresas do setor público, utilitários e manufaturas. ◼ Essa diversidade permite aos membros aprender uns com os outros e trocar pontos de vista diferenciados em uma variedade de tópicos, o que tem sido considerado uma das maiores forças da ISACA. ◼ Anteriormente conhecida como ‘Information Systems Audit and Control Association’, a ISACA hoje é conhecida pelo seu acrônimo somente. Atividade ◼ Descreva o que é COBIT e como ele estabelece seus objetivos, práticas de controle e diretrizes. ◼ Descreva o Código de Ética ISACA