Orienta��es de Auditoria de Governa��o das TIC

O modelo de avalia��o do controlo mais comum � o modelo de auditoria. Outra abordagem cada vez mais em voga � o modelo de an�lise de risco, tamb�m descrito num dos recursos do site www.migovtic.com. Todos aqueles que estejam envolvidos na avalia��o do controlo podem fazer uso de qualquer um dos modelos.

Os objectivos da auditoria s�o:

Fornecer aos gestores uma garantia razo�vel do cumprimento dos objectivos de controlo;
Identificar os pontos fracos de controlo mais significativos, de forma a consubstanciar os riscos que lhe est�o inerentes;
Recomendar aos gestores ac��es correctivas.

A estrutura do processo de auditoria geralmente utilizada e aceite consiste em:

Identificar e documentar
Avaliar
Testar a conformidade
Testes de valida��o

Os processos das TIC s�o ent�o auditados atrav�s da realiza��o das seguintes tarefas:

Obter uma compreens�o dos requisitos de neg�cio e dos riscos associados, bem como das medidas de controlo relevantes;
Avaliar a adequa��o dos controlos identificados;
Avaliar a conformidade, realizando teste de verifica��o do funcionamento dos controlos identificados de acordo com o descrito, de forma continuada e consistente;
Formaliza��o do riscos associados ao n�o cumprimento dos objectivos de controlo, utilizando t�cnicas anal�ticas e/ou outras fontes alternativas de consultoria.

Com o objectivo de fornecer assist�ncia � gest�o sob a forma de recomenda��es, desenvolvemos um modelo de auditoria com uma estrutura baseada nos requisitos do CobIT:

Decomposi��o em n�veis
Orienta��o aos objectivos de neg�cio
Orienta��o ao processo
Focaliza��o nos recursos a gerir e nos crit�rios de informa��o requeridos.

Ao n�vel superior (macro), este modelo gen�rico de auditoria � suportado:

Pelo modelo CobIT, especificamente a s�ntese de classifica��o dos processos, os crit�rios de informa��o aplic�veis e os recursos de TIC;
Pelos requisitos pr�prios para o processos de auditoria;
Pelos requisitos gen�ricos para auditoria aos processos de TIC;
Pelos princ�pios gen�ricos de controlo.

Estas orienta��es seguem a estrutura gen�rica�- obter informa��o e documentar, avaliar os controlos, avaliar conformidade, e fundamentar conclus�es e recomenda��es.� Sugere-se que seja realizada uma avalia��o macro dos riscos para determinar quais os objectivos que devem ser obrigatoriamente analisados e quais os que podem ser ignorados.

Requisitos do processo de auditoria

Definido aquilo que vamos auditar e quais as �reas em que iremos efectuar recomenda��es, torna-se fundamental definir qual a abordagem ou estrat�gia mais adequada para realizar o trabalho inerente � auditoria. Em primeiro lugar, temos que determinar o �mbito da nossa auditoria. Para o conseguirmos isso, � necess�rio investigar, analisar e definir:

Os processos de neg�cio envolvidos;
As plataformas tecnol�gicas e os sistemas de informa��o que d�o suporte aos processos de neg�cio, bem como a sua interoperabilidade com outras plataformas e sistemas;
Os pap�is e responsabilidades definidos para as TIC, incluindo aquilo que estiver realizado ?dentro de casa? e o que estiver contratado em regime de outsourcing;
Os riscos do neg�cio associados e escolhas estrat�gicas.

O pr�ximo passo ser� a identifica��o dos requisitos de informa��o de particular relev�ncia para os processos de neg�cio em causa. De seguida, ser� inerentemente necess�rio identificar os riscos associados �s TIC, assim como o n�vel global de controlo a associar aos processos de neg�cio. Para o conseguirmos, � necess�rio
identificar:

Altera��es recentes ao ambiente de neg�cio com impacto nas TIC;
Altera��es recentes no ambiente das TIC, novos desenvolvimentos, etc.;
Incidentes recentes com relev�ncia para os controlos e para o ambiente do neg�cio;
Controlos de monitoriza��o das TIC determinados pela gest�o;
Relat�rios de auditorias e/ou certifica��o recentes;
Resultados de auto-avalia��es recentes.

Com base na informa��o obtida, estamos em condi��es de seleccionar os processos CobIT relevantes, bem como os recursos que lhe est�o associados. Isto significa que alguns processos do CobIT ter�o que ser auditados diversas vezes, uma vez por cada plataforma ou sistema diferentes.

A estrat�gia de auditoria dever� ser determinada em fun��o de qual o tipo de plano detalhado de auditoria elaborado. Ou seja, seguimos uma abordagem baseada nos controlos ou uma abordagem orientada � elabora��o de recomenda��es. Apresentamos de seguida um exemplo de um processo gen�rico de auditoria, incluindo etapas, tarefas e pontos de decis�o, preparado pela ISACA (Information Systems and Control Association).

1. Etapa de auditoria�- Identificar/documentar

Objectivo da etapa. O objectivo desta etapa de auditoria identificar/documentar consiste em que na familiariza��o do auditor com a actividade abrangida pelo objectivo de controlo e com a forma como a gest�o das TIC pensa estar a control�-la. Isto inclui a identifica��o dos indiv�duos, processos e locais de realiza��o da actividade, bem como os procedimentos de controlo declarados.

Outputs da etapa desej�veis. Na conclus�o da etapa de auditoria identificar/documentar, o auditor deve ter identificado, documentado e verificado:

Quem executa a actividade abrangida pelo objectivo de controlo;
Onde � executada a actividade;
Quando � executada a actividade;
Com que produtos de input � executada a actividade;
Quais os produtos de output expect�veis da actividade;
Quais s�o os procedimentos documentados para a realiza��o da actividade.

2. Etapa de auditoria�- Avaliar

Objectivo da etapa. O objectivo da etapa de auditoria avaliar � analisar os procedimentos documentados e determinar se esses procedimentos fornecem uma estrutura de controlo eficaz. Os procedimentos devem ser avaliados face aos crit�rios identificados, pr�ticas standard da ind�stria e julgamento do auditor. Uma estrutura de controlo eficaz, � eficaz em termos de custos e fornece uma garantia razo�vel de que a actividade � realizada e o objectivo de controlo � cumprido.

Outputs da etapa desej�veis. No final da etapa de avalia��o, o auditor deve ter:

Avaliado leis, regulamenta��o e crit�rios organizacionais aplic�veis aos procedimentos;
Avaliado os procedimentos documentados para determinar se eles s�o eficazes em termos de custos e se fornecem uma garantia razo�vel de que a actividade � realizada e o objectivo de controlo � cumprido;
Avaliado eventuais controlos compensat�rios dos pontos fracos dos procedimentos;
Conclu�do se os procedimentos documentados e os controlos compensat�rios fornecem uma estrutura de controlo eficaz;
Identificado se os testes de conformidade s�o apropriados.

3. Etapa de auditoria�- Testar conformidade

Objectivo da etapa. O objectivo da etapa de auditoria testar conformidade consiste em analisar a ader�ncia da organiza��o aos controlos prescritos. Os procedimentos actuais e os controlos compensat�rios devem ser comparados com os procedimentos documentados. Devem igualmente realizar-se entrevistas e revis�es � documenta��o para determinar se os controlos s�o adequados e aplicados de forma consistente. O teste de conformidade deve ser apenas realizado face aos procedimentos que demonstraram ser eficazes.

Outputs da etapa desej�veis. No final da etapa testar conformidade, o auditor deve ter documentado a ader�ncia da organiza��o aos procedimentos anteriormente identificados e conclu�do se os procedimentos documentados e controlos compensat�rios est�o a ser realizados pela organiza��o de forma adequada e consistente. Com base no n�vel de conformidade, o auditor deve determinar qual o n�vel de testes de valida��o necess�rio para poder garantir a adequa��o do processo de controlo.

4. Etapa de auditoria�- Testes de valida��o

Objectivo da etapa. O objectivo da etapa de auditoria testes de valida��o � realizar os testes de dados necess�rios para transmitir � gest�o a garantia ou n�o do cumprimento de um determinado objectivo de neg�cio.

Outputs da etapa desej�veis. No final da etapa testes de valida��o, o auditor deve ter realizado testes suficientes aos produtos de output da actividade para concluir se um determinado objectivo de controlo est� a ser cumprido. Os testes de valida��o devem ser massivamente realizados se:

N�o existirem medi��es do controlo;
As medi��es do controlo foram avaliadas como n�o satisfat�rias;
Os testes de conformidade d�o indica��o de que as medi��es do controlo n�o foram realizadas de forma consistente e adequada.

Para conhecer as tarefas de avalia��o, dever� consultar o site www.migovtic.com.

�
Produzido em 2008

Topo

Agenda

Destaques