PADRO DE AUDITORIA DE SI

CDIGO DE AUDITORIA
DOCUMENTO #S1
A natureza especializada da auditoria de sistemas de informao (SI) e a capacitao necessria para realizar tais auditorias requerem o
estabelecimento de padres que se apliquem especificamente auditoria de SI. Uma das metas da Information Systems Audit and Control
Association (Associao de Auditoria e Controle de Sistemas de Informao, ISACA) desenvolver padres aplicveis globalmente, de
forma a atender a essa viso. O desenvolvimento e disseminao dos Padres de auditoria de SI so fundamentais na contribuio
profissional da ISACA comunidade de auditoria. A estrutura para os Padres de auditoria de SI apresenta diversos nveis de orientao:
Padres: definem requisitos obrigatrios para auditorias e relatrios de SI e informam:

Os auditores de SI sobre o nvel mnimo de desempenho aceitvel exigido para atender s responsabilidades profissionais
estabelecidas no Cdigo de tica profissional da ISACA.

A gerncia e outras partes interessadas sobre as expectativas da profisso no que se refere s atividades daqueles que a exercem

Os detentores da certificao CISA - Certified Information Systems Auditor , (Auditor Certificado em Sistemas de Informao)
sobre os requisitos. A falha em adequar-se a esses padres pode resultar em uma investigao da conduta do detentor da
certificao CISA pela Diretoria da ISACA, pelo comit apropriado da ISACA e, finalmente, em ao disciplinar.
Diretrizes: fornecem orientao para a aplicao dos Padres de auditoria de SI. O auditor de SI deve lev-las em considerao para
determinar como alcanar a implementao das normas, utilizar o julgamento profissional em sua aplicao e estar preparado para
justificar qualquer divergncia. O objetivo das Diretrizes de auditoria de SI fornecer informaes adicionais sobre como se adequar aos
Padres de auditoria de SI.
Procedimentos: fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realizao de uma auditoria. Os
documentos de procedimentos fornecem informaes sobre como cumprir os padres ao realizar a auditoria de SI, mas no
estabelecem requisitos. O objetivo dos Procedimentos de auditoria de SI fornecer informaes adicionais sobre como se adequar aos
Padres de auditoria de SI.
Os recursos COBIT devem ser utilizados como uma fonte de orientao para melhores desempenhos. O COBIT Framework determina que:
" responsabilidade da gerncia salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e tambm alcanar as
expectativas, a gerncia deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto detalhado de controles e
tcnicas de controle para o ambiente de gerenciamento de sistemas de informao. A seleo do material mais relevante do COBIT, aplicvel
ao escopo da auditoria em particular, baseia-se na escolha de processos de TI especficos do COBIT e na considerao de seus critrios de
informao.
Conforme definido no COBIT Framework, cada um dos itens a seguir organizado por processo de gerenciamento de TI. O COBIT destina-se
utilizao por parte das gerncias de negcios e TI, como tambm de auditores de SI; portanto, seu uso permite a compreenso de
objetivos de negcio, a comunicao entre melhores desempenhos e recomendaes, realizada em torno de uma referncia padro
entendida e respeitada de forma geral. O COBIT inclui:
Objetivos de controledeclaraes genricas detalhadas e de alto nvel sobre a qualidade mnima de um bom controle
Prticas de controleanlises prticas e orientaes sobre como implementar, referentes aos objetivos de controle
Diretrizes de auditoriaorientao para cada rea de controle sobre como obter um entendimento, avaliar cada controle, verificar a
adequao aos padres e demonstrar o risco do no-cumprimento dos controles
Diretrizes de gerenciamentoorientao sobre como avaliar e aprimorar o desempenho dos processos de TI, utilizando modelos de
maturidade, sistemas de avaliao e fatores crticos de sucesso. Fornecem uma estrutura direcionada ao gerenciamento, para uma
auto-avaliao contnua e pr-ativa do controle, com foco especificamente em:

Avaliao de desempenhoA TI est atendendo s exigncias de negcio? As diretrizes de gerenciamento podem ser utilizadas
para dar suporte a processos de auto-avaliao; podem tambm oferecer suporte implementao, por parte da gerncia, de
procedimentos de monitoramento e aperfeioamento contnuo, como parte de um sistema de controle interno de TI.

Perfil do controle de TIQue processos de TI so importantes? Quais os fatores crticos para o sucesso do controle?

ConscientizaoQuais os riscos de no se alcanar os objetivos?

Padres de mercadoO que os outros fazem? Como os resultados podem ser avaliados e comparados? As diretrizes de
gerenciamento fornecem exemplos de avaliao, permitindo a avaliao do desempenho de TI em termos de negcios. Os
principais indicadores de metas identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de
desempenho avaliam a eficincia dos processos, ao analisar os fatores que permitem sua execuo. Modelos e atributos de
maturidade possibilitam avaliaes de capacidade e de mercado, auxiliando a gerncia a avaliar a capacidade de controle, a
identificar falhas de controle e estratgias de aperfeioamento.
O Glossrio de termos pode ser encontrado no site na pginab da ISACA, em www.isaca.org/glossary. As palavras auditoria e inspeo
so utilizadas indistintamente.
Iseno de Responsabilidade: A ISACA desenvolveu este guia visando definir o nvel mnimo de desempenho aceitvel exigido para
atender s responsabilidades profissionais estabelecidas no Cdigo de tica profissional da ISACA. A ISACA no oferece qualquer garantia
de que o uso deste produto ir assegurar um resultado bem-sucedido. A publicao no deve ser considerada parte integrante de quaisquer
procedimentos e testes apropriados ou de outros procedimentos e testes tambm voltados para a obteno dos mesmos resultados. Ao
determinar a adequao de qualquer procedimento ou teste especfico, o profissional da rea de controle deve aplicar seu prprio julgamento
profissional s circunstncias especficas de controle apresentadas pelos sistemas ou pelo ambiente de tecnologia da informao em
particular.

O Conselho normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparao dos Padres, Diretrizes e
Procedimentos de auditoria de SI. Antes de divulgar qualquer documento, o Conselho normativo divulga internacionalmente verses
preliminares, submetidas avaliao pblica. O Conselho normativo busca ainda indivduos com especial interesse ou experincia no tpico
em questo, para consultas quando necessrio. O Conselho normativo possui um programa de desenvolvimento contnuo e acolhe a
colaborao de membros da ISACA e outras partes interessadas, na identificao de questes emergentes que requeiram novos padres. As
sugestes devem ser enviadas por e-mail (standards@isaca.org), fax (+1.847. 253.1443) ou correio (endereo no final do documento) Sede
Internacional da ISACA, aos cuidados do diretor de padres de pesquisa e relaes acadmicas. Este material foi divulgado em 15 de outubro
de 2004.
Cdigo de Auditoria S1
Apresentao
01 Os Padres da ISACA contm princpios bsicos e procedimentos essenciais, identificados em negrito, que so obrigatrios, juntamente
com orientaes relacionadas aos mesmos.
02 O objetivo deste Padro de auditoria de SI estabelecer e fornecer orientao quanto ao Cdigo de Auditoria utilizado durante o
processo de auditoria.
Padro
03 O objetivo, a responsabilidade, autoridade e prestao de contas quanto funo de auditoria de sistemas de informao
ou designao de tarefas de auditoria de sistemas de informao devem ser propriamente documentados em um cdigo
de auditoria ou carta de compromisso.
04 O cdigo de auditoria ou carta de compromisso devem ser acordados e aprovados em um nvel adequado dentro das
organizaes.
Comentrio
05 Em funes internas de auditoria de sistemas de informao, um cdigo de auditoria deve ser preparado para atividades contnuas.
O cdigo de auditoria deve ser submetido a uma reviso anual ou mais freqente, caso as responsabilidades sejam variadas ou sofram
alteraes. Uma carta de compromisso pode ser utilizada pelo auditor interno de SI, para esclarecer ou confirmar o envolvimento em
tarefas especficas relacionadas ou no auditoria. Para uma auditoria externa de SI, normalmente deve-se preparar uma carta de
compromisso para cada designao de tarefa relacionada ou no auditoria.
06 O cdigo de auditoria ou de compromisso deve ser detalhada o suficiente para comunicar o objetivo, a responsabilidade e as limitaes
da funo ou tarefa de auditoria.
07 O cdigo de auditoria ou carta de compromisso devem ser revisados periodicamente, para garantir que o objetivo e a responsabilidade
tenham sido documentados.
08 Para obter mais informaes sobre a preparao de um cdigo de auditoria ou carta de compromisso, as seguintes orientaes devem
ser consultadas:
Diretrizes de auditoria de SI G5, Carta de Auditoria
COBIT Framework, Objetivo de controle M4 Prover auditoria independente
Data de efetivao
09 Este Padro da ISACA vlido para todas as auditorias de sistemas de informao iniciadas em 1 de janeiro de 2005 ou aps esta data.
Conselho Normativo 2004-2005 da Information Systems Audit and Control Association
(Associao de Auditoria e Controle de Sistemas de Informao)
Presidente, Sergio Fleginsky, CISA PricewaterhouseCoopers, Uruguai
Svein Aldal Aldal Consulting, Noruega
John Beveridge, CISA, CISM, CFE, CGFM, CQA Gabinete do Auditor do Estado de Massachusetts, EUA
Claudio Cilli, Ph.D., CISA, CISM, CIA, CISSP Value Partners, Itlia
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguai
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Cmara de Vereadores de Brisbane, Austrlia
V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, EUA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA NextLinx India Private Ltd., ndia
Peter Niblett, CISA, CISM, CA, CIA, FCPA WHK Day Neilson, Austrlia
John G. Ott, CISA, CPA Aetna Inc., EUA
Thomas Thompson, CISA Ernst & Young, Emirados rabes Unidos
Copyright 2004
Information Systems Audit and Control Association
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Telefone: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: standards@isaca.org
Site na Web: www.isaca.org

Pgina 2 Cdigo de Auditoria Padro de Auditoria de SI