Por Rafael Gomes*
I. INTRODUÇÃO
A Auditoria de Sistemas possui um papel muito importante no meio corporativo. É por meio dela que as organizações podem aumentar o grau de confiança em seus processos e verificar se suas atividades foram implementadas de maneira correta e/ou são realizadas em conformidade com pontos de controles determinados, podendo ser normas ou procedimentos necessários para o desenvolvimento do negócio.
As auditorias podem ser divididas em duas categorias: auditoria interna e auditoria externa. A auditoria interna é responsável por avaliar o processo de gestão a fim de apontar os possíveis desvios e vulnerabilidades que possam afetar a organização, este tipo de auditoria é realizado continuamente por auditores da própria organização. Auditoria de sistemas possui um papel muito importante no meio corporativo. É por meio dela que as organizações podem aumentar o grau de confiança em seus processos e verificar se suas atividades foram implementadas de maneira correta e/ou são realizadas em conformidade com pontos de controles determinados, podendo ser normas ou procedimentos necessários para o desenvolvimento do negócio.
Já a auditoria externa possui como objetivo principal trazer confiabilidade da organização para investidores, a partir da auditoria de conformidade com controles estabelecidos. Essas auditorias são realizadas por empresas ou funcionários terceiros em um período determinado.
Levando em consideração que as auditorias podem ser realizadas por diversas empresas e diversos profissionais capacitados e que para a realização das auditorias são considerados o cenário e o ramo de atuação da organização auditada, a forma como esta auditoria será realizada varia para cada auditor. Desta forma, para auxiliar o papel do auditor e criar uma espécie de roteirização generalizada, foram criadas as normas ISACA para auditoria de sistemas de informação.
As normas do ISACA são divididas em três grupos: a norma 1000, apresentam princípios gerais da auditoria; norma 1200, descrevem procedimentos sobre o desenvolvimento da auditoria; e a norma 1400, descreve normas para a elaboração de relatórios de auditoria. No desenvolvimento deste artigo serão descritos os procedimentos adotados na família de normas 1200.
II. ISACA
A ISACA é uma organização sem fins lucrativos, fundada em 1969, que possui como objetivo liderar, adaptar e garantir a confiança em ambientes digitais, para isso oferece conhecimentos como padrões, certificações, networking e desenvolvimento na carreira de profissionais. Oferece também frameworks para a gestão em tecnologia de informação e auditoria de sistemas.
III. Família NORMA 1200
O objetivo principal desta norma, está na descrição de procedimentos voltados para o desempenho dos sistemas auditados. Esta família é dividida em sete normas e nelas são descritos itens como: Planejamento de Contratação, Avaliação de Risco no Planejamento, Desempenho e Supervisão, Materialidade, Evidência, Uso do Trabalho de Outros Especialistas e Irregularidades e Atos Ilegais.
Todas as normas apresentam itens considerados obrigatórios e outros aspectos principais que podem ou não ser considerados no desenvolvimento de uma auditoria, de acordo com o escopo da auditoria.
A. Norma 1201 – Planejamento de Contratação
Esta norma aborda itens acerca do planejamento de contratação de uma auditoria de Sistemas de Informação. Ela define que os profissionais de auditoria devem descrever itens como: Natureza, objetivos, cronograma e requisitos de recursos da contratação. Assim como a época e extensão de procedimentos de auditoria para a conclusão da contratação.
Alguns aspectos devem ser considerados, como por exemplo a compreensão da atividade que será auditada, orientar o procedimento de acordo com normas e legislações vigentes, considerar se a contratação será interna ou externa, desenvolver um planejamento que garanta que o projeto esteja dentro de tempo e custos adequados, dentre outros itens.
B. Norma 1202 – Avaliação de Risco no Planejamento
Utiliza uma abordagem de avaliação de risco e metodologia de suporte apropriada no desenvolvimento do plano de auditoria, deve haver uma avaliação de risco relevante, sendo importante ressaltar:
Avaliação de risco ao menos uma vez ao ano, inclusão de plano estratégico da organização e as iniciativas de gestão de risco na avaliação, projetar e conduzir futuras auditorias em áreas específicas, priorizar e programar auditorias com base na avaliação de risco e desenvolver um plano de resposta tendo como base a avaliação de riscos.
C. Norma 1203 – Desempenho e supervisão
Nesta norma é definido que deve-se garantir que todo o trabalho realizado será dentro do escopo e dos prazos acordados, um profissional com a função de supervisão para garantir os objetivos da auditoria, aceitação apenas tarefas que estejam dentro de seus conhecimentos e habilidades bem como conter na equipe apenas membros que possuam as habilidades e experiência que atendam às necessidades da contratação, obter evidências suficientes para a elaboração de um relatório conclusivo, todos os processos e procedimentos utilizados sejam devidamente documentados de modo a realizar um suporte para os resultados e conclusões da auditoria.
Os profissionais também devem designar para equipe membros que possuam habilidades para o exercício de sua função, gerenciando as tarefas e responsabilidades de cada membro, assim como ter cada tarefa revisada por outro membro. O trabalho realizado deve ser documentado e organizado e também realizar a obtenção de declarações por escrito por parte dos auditados para definição de áreas críticas a serem auditadas e dúvidas por parte do auditado, garantindo que essas declarações foram devidamente assinadas por parte do auditado.
D. Norma 1204 – Materialidade
É definido que os profissionais de auditoria devem considerar alguns fatores como fraquezas ou ausência de controles que possam afetar nas evidências materiais, devem considerar a relação entre a materialidade e os riscos que ela possa oferecer para o processo de auditoria e as definições de materialidade quando forem fornecidas por autoridades legislativas ou regulamentadoras.
Verificar que a avaliação de materialidade e o risco de auditoria podem variar de tempos em tempos, dependendo das circunstâncias e alterações do ambiente e definir se os controles utilizados são eficazes e determinar se esses controles apresentam uma ou mais deficiências que possam se tornar fraquezas materiais, também são critérios a serem cumpridos por parte do auditor a fim de garantir a materialidade do processo.
E. Norma 1205 – Evidência
A norma propõe que em um processo de auditoria os profissionais devem obter as evidências adequadas e suficientes para que o trabalho da auditoria atinja os resultados esperados durante um processo de auditoria. Essas evidências devem incluir procedimentos descritos acrescentando os resultados obtidos com elas e os documentos de origem.
É trabalho do auditor considerar as origens das evidências coletadas e assegurar que as mesmas estarão protegidas contra acesso e modificação não autorizados e que serão mantidas mesmo após o fim dos trabalhos de auditoria. Deverão também documentar qualquer situação em que as evidências necessárias não possam ser obtidas para a conclusão da auditoria e para que a mesma possa ser realizada com precisão.
F. Norma 1206 – Uso do trabalho de outros especialistas
Em casos da necessidade de trabalhos de terceiros em um processo de auditoria deverão ser consideradas situações em que o escopo da auditoria mostrar necessidade, como por exemplo em casos que seja necessário algum conhecimento técnico específico que os profissionais de auditoria não possuam. Deverão ser avaliadas as qualificações e competências desses especialistas no processo de auditoria.
Os profissionais de auditoria serão os responsáveis por determinar se os relatórios emitidos por terceiros serão conclusivos para o processo de auditoria, assim como deverão ter acesso a todos os papéis de trabalho, documentos e relatórios dos especialistas terceiros, de modo que tal acesso não crie problemas legais.
G. Norma 1207 – Irregularidades e atos ilegais
Os profissionais devem considerar o risco de irregularidades e atos ilegais no decorrer da auditoria, deverão ser documentadas e comunicadas quaisquer irregularidade e atos ilegais identificados durante o processo de auditoria, assim como ser considerados os acontecimentos incomuns ou inesperados que possam indicar um risco erros materiais, deficiência de controles, ou distorções nos dados devido atos de irregularidades ou atos ilegais.
Deverão ser executados procedimentos para testar se os controles internos são adequados para impedir ou detectar atos ilegais ou irregularidades e avaliar se erros identificados, deficiências nos controles ou alterações nos dados podem ser considerados atos ilegais ou irregularidades. Após isso, relatar para os responsáveis pela governança os atos ilegais e irregularidades encontrados, mesmo que fora do escopo da auditoria e documentar todas as comunicações, planejamentos, resultados, avaliações e conclusões relacionados a possíveis atos ilegais ou irregularidades encontradas durante todo o processo de auditoria.
IV. Conclusão
Conclui-se que as normas da família 1200 do ISACA, possuem a nítida função de auxiliar um processo de auditoria e suas instancias, de forma abrangente, selecionando formas que quando postas em cena de atuação facilita, documenta, supervisiona e credita o processo de auditoria
A conclusão deste artigo credita a família 1200 do ISACA nos quesitos de planejamento no ato da contratação da auditoria, a avaliação de risco realizada no planejamento, o desempenho e a supervisão dos processos auditados, a materialidade e as evidências obtidas. Assim como a utilização do trabalho de especialistas terceiros em caso de necessidade para o desenvolvimento dos trabalhos e possíveis irregularidades e atos ilegais encontrados durante uma auditoria, onde cada parte envolvida, se relacionando ou não, possa proporcionar um alto nível de assertividade e méritos à conclusão de uma auditoria.
*Rafael Gomes é Trainee da Safeway Consultoria.
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
