Subir Archivo

Download - ISACA Standards IT Portugese S11

Transcript

  • A natureza especializada da auditoria de sistemas de informao (SI) e a capacidade necessria para realizar essas auditorias requerem o estabelecimento de normas que se apliquem especificamente auditoria de SI. Uma das metas da Information Systems Audit and

    Control Association (Associao de Auditoria e Controle de Sistemas de Informao, ISACA) desenvolver normas aplicveis globalmente, de forma a suportar essa viso. O desenvolvimento e disseminao das Normas de Auditoria de SI so fundamentais como contribuio profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI apresenta diversos nveis de orientao: Normas: definem requisitos obrigatrios para auditorias e relatrios de SI. Informam:

    Os auditores de SI sobre o nvel mnimo de desempenho aceitvel exigido para cumprir as responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA

    A gesto e outras partes interessadas sobre as expectativas da profisso no que se refere s actividades daqueles que a exercem

    Os detentores da nomeao Certified Information Systems Auditor, CISA

    (Auditor Certificado de Sistemas de Informao)

    sobre aqueles requisitos. A falha em cumprir essas normas pode resultar numa investigao da conduta do detentor da CISA pela Direco da ISACA, pelo comit apropriado da ISACA e, finalmente, em aco disciplinar.

    Diretrizes: fornecem orientao para a aplicao das Normas de Auditoria de SI. O auditor de SI deve lev-las em considerao para determinar como alcanar a implementao das normas, utilizar a avaliao profissional na sua aplicao e estar preparado para justificar qualquer divergncia. O objetivo das Diretrizes de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI.

    Procedimentos: fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realizao de uma auditoria. Os documentos de procedimentos fornecem informaes sobre como cumprir as normas ao realizar a auditoria de SI, mas no estabelecem requisitos. O objetivo dos Procedimentos de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI.

    Os recursos COBIT devem ser utilizados como uma fonte de orientao para as melhores prticas. O COBIT Framework determina que: "

    responsabilidade da gesto salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e tambm alcanar as expectativas, a gesto deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto detalhado de controles e tcnicas de controle para o ambiente de gesto de sistemas de informao. A seleco do material mais relevante do COBIT, aplicvel ao mbito da auditoria em particular, baseia-se na escolha de processos de TI especficos do COBIT e na considerao dos seus critrios de informao. Conforme definido no COBIT Framework, cada um dos itens a seguir organizado por processo de gesto de TI. O COBIT destina-se utilizao por parte dos responsveis de negcios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreenso dos objetivos de negcio, de modo a que a comunicao das melhores prticas e recomendaes seja realizada em torno de uma referncia normativa entendida e respeitada de forma geral por todos. O COBIT inclui: Objetivos de controle declaraes genricas detalhadas e de alto nvel sobre a qualidade mnima de um bom controle Prticas de controle anlises prticas e orientaes sobre como implementar, referentes aos objetivos de controle Diretrizes de auditoria orientao para cada rea de controle sobre como obter um entendimento, avaliar cada controle, verificar o

    cumprimento das normas e demonstrar o risco do no-cumprimento dos controles Diretrizes de gesto orientao sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de

    maturidade, sistemas de avaliao e fatores crticos de sucesso. Fornecem uma estrutura orientada para a gesto, para uma auto-avaliao contnua e pr-activa do controle, especificamente focada em: Avaliao de desempenho A TI responde s exigncias de negcio? As diretrizes de gesto podem ser utilizadas para dar

    suporte a actividades de auto-avaliao, e tambm podem ser usadas para suportar a implementao, por parte da gesto, de procedimentos de monitoreio e aperfeioamento contnuo, como parte de um esquema do controle de TI.

    Perfil do controle de TI Que processos de TI so importantes? Quais os fatores crticos para o sucesso do controle? Consciencializao Quais os riscos de no se alcanar os objetivos? Padres de mercado Benchmarking O que fazem os outros? Como podem os resultados ser medidos e comparados? As

    diretrizes de gesto fornecem exemplos de medio, permitindo a avaliao do desempenho de TI em termos de negcio. Os principais indicadores de objetivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de desempenho avaliam a eficincia dos processos, ao avaliar os fatores que permitem a sua execuo. Modelos e atributos de maturidade possibilitam avaliaes de capacidade e de mercado, auxiliando a gesto a avaliar a capacidade de controle e a identificar falhas de controle e estratgias de aperfeioamento.

    O Glossrio de termos pode ser encontrado no site da Web da ISACA, em www.isaca.org/glossary. As palavras auditoria e inspeco

    so utilizadas indistintamente.

    Iseno de Responsabilidade: A ISACA desenvolveu este guia visando definir o nvel mnimo de desempenho aceitvel exigido para

    dar resposta s responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA. A ISACA no oferece qualquer garantia de que o uso deste produto ir assegurar um resultado bem-sucedido. A publicao no deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados ou de outros procedimentos e testes tambm voltados para a obteno dos mesmos resultados. Ao determinar a adequao de qualquer procedimento ou teste especfico, o profissional da rea de controle deve aplicar o seu prprio julgamento profissional s circunstncias especficas de controle apresentadas pelos sistemas ou pelo ambiente de tecnologia da

    NORMA DE AUDITORIA DE SI

    USO DA AVALIAO DE RISCO NO

    PLANEAMENTO DA AUDITORIA DOCUMENTO S11

  • Pgina 2 Norma de Auditoria de SI S11 USO da Avaliao de Risco no Planeamento da Auditoria

    informao em particular. O Conselho Normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparao das Normas, Diretrizes e Procedimentos de Auditoria de SI. Antes de divulgar qualquer documento, o Conselho Normativo divulga internacionalmente verses preliminares, submetidas avaliao pblica. O Conselho Normativo procura ainda indivduos com especial interesse ou experincia no tpico em questo, para consultas quando necessrio. O Conselho Normativo possui um programa de desenvolvimento contnuo e acolhe a colaborao de membros da ISACA e outras partes interessadas, na identificao de questes emergentes que requeiram novas normas. As sugestes devem ser enviadas por e-mail ([email protected]), fax (+1-847-253-1443) ou correio (endereo no final do documento) Sede Internacional da ISACA, aos cuidados do director de normas de pesquisa e relaes acadmicas. Este material foi divulgado em 1 de setembro de 2005. S11 Uso da avaliao de riscos no planeamento de auditoria Apresentao 01 As Normas de auditoria de SI da ISACA contm princpios bsicos e procedimentos essenciais, identificados a negrito, que so

    obrigatrios, juntamente com orientaes relacionadas com os mesmos. 02 O objetivo desta norma estabelecer padres e fornecer orientaes quanto ao uso da avaliao de riscos no planeamento da

    auditoria. Norma 03 O auditor de SI deve utilizar uma tcnica ou abordagem de avaliao de riscos adequada ao desenvolvimento do plano

    geral de auditoria de SI e na determinao de prioridades para a alocao eficiente de recursos de auditoria de SI. 04 Ao planejar revises individuais, o auditor de SI deve identificar e avaliar os riscos relevantes para a rea em anlise. Comentrio 05 A avaliao de riscos uma tcnica utilizada para examinar unidades auditveis dentro do universo da auditoria de SI e

    selecionar as reas para reviso que apresentam maior exposio a riscos para serem includas no planeamento anual de SI. 06 Uma unidade auditvel definida como um segmento distinto de cada organizao e dos seus sistemas. 07 A determinao do universo da auditoria de SI deve ser feita com base no conhecimento do plano estratgico de TI da

    organizao, das suas operaes e discusses com a gesto responsvel. 08 Exerccios de avaliao de riscos para facilitar o desenvolvimento do plano de auditoria devem ser conduzidos e documentados

    ao menos uma vez por ano. Os planos e objetivos estratgicos organizacionais e a estrutura de gesto de riscos corporativos devem ser considerados parte integrante do exerccio de avaliao de riscos.

    09 O uso da avaliao de riscos na seleco de projectos de auditoria permite que o auditor de SI quantifique e justifique a quantidade de recursos de auditoria de SI necessrios para concluir o plano de auditoria de SI ou uma determinada reviso. Alm disso, o auditor de SI pode dar prioridade a revises programadas com base na percepo de riscos e contribuir com a documentao de estruturas de gesto de riscos.

    10 Um auditor de SI deve executar uma avaliao preliminar dos riscos relevantes para a rea que est a ser analisada. Os objetivos da realizao da auditoria de SI para cada reviso especfica devem reflectir os resultados de tal avaliao de riscos.

    11 Aps a concluso da analise, o auditor de SI deve garantir que a estrutura de gesto de riscos corporativos ou o registo de riscos da organizao seja actualizado, caso um tenha sido desenvolvido, para reflectir os resultados e as recomendaes da reviso e as actividades subsequentes.

    12 O auditor de SI deve consultar a directriz G13 de auditoria de SI, Uso da avaliao de riscos no planeamento da auditoria, e o procedimento P1 de auditoria de SI, Medio da avaliao de riscos.

    Data de efetivao 13 Esta norma vlida para auditorias de SI a partir de 1 de Novembro de 2005.

    Conselho Normativo 2005-2006 da Information Systems Audit and Control Association (Associao de Auditoria e Controle de Sistemas de Informao)

    Presidente, Sergio Fleginsky, CISA ICI Paints, Uruguai Svein Aldal Aldal Consulting, Noruega John Beveridge, CISA, CISM, CFE, CGFM, CQA Gabinete do Auditor do Estado de Massachusetts, EUA Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguai Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Cmara de Vereadores de Brisbane, Austrlia V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, EUA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications, ndia Peter Niblett, CISA, CISM, CA, CIA, FCPA Ernst & Young, Reino Unido John G. Ott, CISA, CPA AmerisourceBergen, EUA Thomas Thompson, CISA Ernst & Young, Emirados rabes Unidos

    Copyright 2005 Information Systems Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Telefone: +1-847-253-1545 Fax: +1-847-253-1443 E-mail: [email protected] Site na Web: www.isaca.org


Top Related

15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e CGEIT
15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e CGEIT
Ps Leenelsonbook Portugese
Ps Leenelsonbook Portugese
Web of Science Quick Reference Guide - Portugese
Web of Science Quick Reference Guide - Portugese
Aula S11 - Aplicacao Controle
Aula S11 - Aplicacao Controle
062112 portugese (eeoc response)
062112 portugese (eeoc response)
CPISRA Boccia Rules Portugese 9th
CPISRA Boccia Rules Portugese 9th
Richard story portugese
Richard story portugese
Shape Magazine #2 2011 - Portugese
Shape Magazine #2 2011 - Portugese