NORMA DE AUDITORIA DE SI

A natureza especializada da auditoria de sistemas de informao (SI) e a capacidade necessria para realizar essas auditorias

requerem o estabelecimento de normas que se apliquem especificamente auditoria de SI. Uma das metas da ISACA propor normas globalmente aplicveis para satisfazer sua viso. O desenvolvimento e disseminao das Normas de Auditoria de SI so fundamentais como contribuio profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI apresenta diversos nveis de orientao: As Normas definem requisitos obrigatrios para auditorias e relatrios de SI. Elas informam:

Os auditores de SI sobre o nvel mnimo de desempenho aceitvel exigido para cumprir as responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA;

A gerncia e outras partes interessadas sobre as expectativas da profisso no que se refere s atividades daqueles que a exercem;

Os detentores da nomeao Certified Information Systems Auditor, CISA

(Auditor Certificado de Sistemas de

Informao) sobre os requisitos. A no conformidade com essas normas pode resultar numa investigao da conduta do detentor da CISA pelo Conselho de Administrao da ISACA ou pelo comit apropriado da ISACA e, finalmente, em aco disciplinar.

As Diretrizes fornecem orientao para a aplicao das Normas de Auditoria de SI. O auditor de SI deve lev-las em considerao para determinar como alcanar a implementao das normas, usar a avaliao profissional na sua aplicao e estar preparado para justificar qualquer divergncia. O objetivo das Diretrizes de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI.

Os Procedimentos fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realizao de uma auditoria. Os documentos de procedimentos fornecem informaes sobre como cumprir as normas ao realizar a auditoria de SI, mas no estabelecem requisitos. O objetivo dos Procedimentos de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI.

Os recursos COBIT devem ser utilizados como uma fonte de orientao para as melhores prticas. O Framework COBIT determina

que " responsabilidade da gesto salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e tambm alcanar as expectativas, a gesto deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto detalhado de controles e tcnicas de controle para o ambiente de gesto de sistemas de informao. A seleco do material mais relevante do COBIT, aplicvel ao mbito da auditoria em questo, baseia-se na escolha de processos de TI especficos do COBIT e na considerao dos seus critrios de informao.

Conforme definido no Framework COBIT, cada um dos itens a seguir organizado por processo de gesto de TI. O COBIT destina-se utilizao por parte dos responsveis de negcios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreenso dos objetivos de negcio, de modo a que a comunicao das melhores prticas e recomendaes seja realizada em torno de uma referncia normativa entendida e respeitada de forma geral por todos. O COBIT inclui: Objetivos de controle declaraes genricas detalhadas e de alto nvel sobre a qualidade mnima de um bom controle; Prticas de controle anlises prticas e orientaes sobre como implementar, referentes aos objetivos de controle; Diretrizes de auditoria orientao para cada rea de controle sobre como obter um entendimento, avaliar cada controle,

verificar o cumprimento das normas e demonstrar o risco do no-cumprimento dos controles; Diretrizes de gesto orientao sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de

maturidade, sistemas de avaliao e fatores crticos de sucesso. Elas fornecem uma estrutura orientada gesto, para uma autoavaliao contnua e proactiva do controle, especificamente focada em: Avaliao de desempenho A TI responde s exigncias do negcio? As diretrizes de gesto podem ser utilizadas para

dar suporte a atividades de autoavaliao, e tambm podem ser usadas para suportar a implementao, por parte da gesto, de procedimentos de acompanhamento e aperfeioamento contnuo, como parte de um esquema do controle de TI;

Perfil do controle de TI Que processos de TI so importantes? Quais os fatores crticos de sucesso para o controle? Consciencializao Quais os riscos de no se alcanar os objetivos? Benchmarking O que fazem os outros? Como podem os resultados ser medidos e comparados? As diretrizes de gesto

fornecem exemplos de medio, permitindo a avaliao do desempenho de TI em termos de negcio. Os principais indicadores de objetivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de desempenho avaliam a eficincia dos processos, ao avaliar os fatores que permitem a sua execuo. Modelos e atributos de maturidade possibilitam avaliaes de capacidade e de mercado, auxiliando a gesto a avaliar a capacidade de controle e a identificar falhas de controle e estratgias de aperfeioamento.

Um glossrio de termos pode ser encontrado no site da ISACA, em www.isaca.org/glossary. As palavras auditoria e reviso so

utilizadas indistintamente.

Ressalva: A ISACA desenvolveu este guia visando definir o nvel mnimo de desempenho aceitvel exigido para dar resposta s

responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA. A ISACA no oferece qualquer garantia de que o uso deste produto ir assegurar um resultado bem-sucedido. A publicao no deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes tambm voltados para a obteno dos mesmos resultados. Ao determinar a adequao de qualquer procedimento ou teste especfico, o profissional da rea de controle deve aplicar o seu prprio julgamento profissional s circunstncias especficas de controle apresentadas pelos sistemas ou pelo ambiente privado de sistemas ou tecnologia da informao.

DOCUMENTO S13 USO DO TRABALHO DE OUTROS ESPECIALISTAS

O Conselho Normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparao das Normas, Diretrizes e Procedimentos de Auditoria de SI. Antes de divulgar qualquer documento, o Conselho Normativo divulga internacionalmente verses preliminares, submetidas avaliao pblica. O Conselho Normativo tambm procura indivduos com especial interesse ou experincia no tpico em questo, para consultas quando necessrio. O Conselho Normativo possui um programa de desenvolvimento contnuo e acolhe a colaborao de membros da ISACA e outras partes interessadas, na identificao de questes emergentes que exijam novas normas. As sugestes devem ser enviadas por e-mail (standards@isaca.org), fax (+1.847.253.1443) ou correio (endereo no final do documento) Sede Internacional da ISACA, aos cuidados do director de padres de pesquisa e relaes acadmicas. Este material foi divulgado em 15 de Maio de 2006.

S13 Uso do Trabalho de Outros Especialistas

Apresentao

01 As normas da ISACA contm princpios bsicos e procedimentos essenciais, identificados a negrito, que so obrigatrios, juntamente com orientaes relacionadas com os mesmos.

02 O objetivo desta Norma de Auditoria de SI estabelecer e fornecer orientao ao auditor de SI que utiliza o trabalho de outros especialistas numa auditoria.

Normas

03 O auditor de SI deve, quando apropriado, considerar o uso do trabalho de outros especialistas para a auditoria. 04 O auditor de SI deve avaliar e ficar satisfeito com as qualificaes profissionais, competncias, experincia

relevante, recursos, independncia e processos de controle de qualidade de outros especialistas, antes do comprometimento.

05 O auditor de SI deve determinar, rever e avaliar o trabalho de outros especialistas como parte da auditoria e emitir parecer sobre a extenso do uso e confiabilidade do trabalho do especialista.

06 O auditor de SI deve determinar e emitir parecer sobre se o trabalho de outros especialistas adequado e completo para permitir ao auditor de SI a emisso de parecer sobre os objetivos da auditoria actual. Tal concluso deve ser claramente documentada.

07 O auditor de SI deve aplicar procedimentos adicionais de teste para obter evidncia de auditoria suficiente e adequada nas circunstncias onde o trabalho de outros especialistas no fornece evidncia de auditoria suficiente e apropriada.

08 O auditor de SI deve fornecer opinio de auditoria apropriada e incluir limitao de escopo onde a evidncia necessria no for obtida atravs de procedimentos adicionais de teste.

Orientaes Adicionais

09 O auditor de SI deve considerar o uso do trabalho de outros especialistas na auditoria quando houver restries que possam prejudicar o trabalho de auditoria a ser realizado ou potenciais ganhos na qualidade da auditoria. So alguns exemplos: conhecimento exigido pela natureza tcnica das tarefas a serem realizadas, recursos escassos de auditoria e restries de tempo.

10 Um "especialista" pode ser um auditor de SI oriundo da empresa de contabilidade externa, um assessor empresarial, um especialista de TI ou especialista na rea da auditoria designado pelo Conselho Executivo ou pela equipa de auditoria de SI.

11 Um especialista pode ser um interno ou externo de uma organizao. Se um especialista for contratado com outra parte da organizao, deve-se depositar confiana no relatrio do especialista. Em alguns casos isso pode reduzir a necessidade de cobertura da auditoria de SI, mesmo se o auditor de SI no tiver acesso documentao de suporte e papis de trabalho. O auditor de SI deve ser cauteloso ao fornecer uma opinio sobre tais casos.

12 O auditor de SI deve ter acesso a todos os papis de trabalho, documentao de suporte e relatrios de outros especialistas, onde tal acesso no crie problemas legais. Onde o acesso do especialista a registos criar problemas legais e, portanto, no estiver disponvel, o auditor de SI deve apropriadamente determinar e emitir parecer sobre a extenso de uso e confiana no trabalho do especialista.

13 As vises/relevncia/comentrios do auditor de SI sobre a possibilidade de adopo do relatrio do especialista devem fazer parte do relatrio do auditor de SI.

14 O auditor de SI deve consultar a Norma de Auditoria de SI S6 Realizao do Trabalho de Auditoria, que estabelece que o auditor de SI deve obter evidncia suficiente, confivel, relevante e til para alcanar os objetivos de auditoria.

15 Se o auditor de SI no tiver as habilidades necessrias ou outras competncias para realizar a auditoria, deve procurar assistncia competente de outros especialistas; contudo, o auditor de SI deve ter bom conhecimento do trabalho realizado, mas no se espera que tenha um nvel de conhecimento equivalente ao do especialista.

16 O auditor de SI deve consultar a Directriz de Auditoria de SI G1 Uso do Trabalho de Outros Auditores e Especialistas. 17 Consulte as orientaes a seguir para obter informaes adicionais sobre o uso do trabalho de outros auditores e

especialistas: Diretrizes de auditoria de SI:

G5 Carta de Auditoria; G8 Documentao de Auditoria; G2 Requisito para Evidncia de Auditoria; G10 Amostragem de Auditoria; G13 Uso da Avaliao de Riscos no Planeamento da Auditoria;

COBIT 4.0, IT Governance Institute, 2005; IT Control Objectives for Sarbanes-Oxley (Objetivos de controle de TI para Sarbanes-Oxley), IT Governance Institute,

2004.

Data de Vigncia

18 Esta norma da ISACA vlida para todas as auditorias de SI iniciadas a partir de 1 de Julho de 2006.

Conselho Normativo 2005-2006 da Information Systems Audit and Control Association (ISACA)

Presidente, Sergio Fleginsky, CISA ICI Paints, Uruguai Svein Aldal Aldal Consulting, Noruega John Beveridge, CISA, CISM, CFE, CGFM, CQA Gabinete do Auditor do Estado de Massachusetts, EUA Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguai Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Cmara Municipal de Brisbane, Austrlia Meera Venkatesh, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, EUA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications, ndia John G. Ott, CISA, CPA AmerisourceBergen, EUA Thomas Thompson, CISA, PMP Ernst & Young, Emirados rabes Unidos

Copyright 2006 Information Systems Audit and Control Association

(ISACA)

3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Telefone: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: standards@isaca.org Web site: www.isaca.org