NORMA DE AUDITORIA DE SI

USO DA AVALIAO DE RISCO NO

PLANEAMENTO DA AUDITORIA DOCUMENTO S11
A natureza especializada da auditoria de sistemas de informao (SI) e a capacidade necessria para realizar essas auditorias requerem
o estabelecimento de normas que se apliquem especificamente auditoria de SI. Uma das metas da Information Systems Audit and
Control Association (Associao de Auditoria e Controle de Sistemas de Informao, ISACA ) desenvolver normas aplicveis
globalmente, de forma a suportar essa viso. O desenvolvimento e disseminao das Normas de Auditoria de SI so fundamentais como
contribuio profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI apresenta diversos nveis
de orientao:
Normas: definem requisitos obrigatrios para auditorias e relatrios de SI. Informam:

Os auditores de SI sobre o nvel mnimo de desempenho aceitvel exigido para cumprir as responsabilidades profissionais
estabelecidas no Cdigo de tica Profissional da ISACA

A gesto e outras partes interessadas sobre as expectativas da profisso no que se refere s actividades daqueles que a
exercem

Os detentores da nomeao Certified Information Systems Auditor, CISA (Auditor Certificado de Sistemas de Informao)
sobre aqueles requisitos. A falha em cumprir essas normas pode resultar numa investigao da conduta do detentor da CISA
pela Direco da ISACA, pelo comit apropriado da ISACA e, finalmente, em aco disciplinar.
Diretrizes: fornecem orientao para a aplicao das Normas de Auditoria de SI. O auditor de SI deve lev-las em considerao
para determinar como alcanar a implementao das normas, utilizar a avaliao profissional na sua aplicao e estar preparado para
justificar qualquer divergncia. O objetivo das Diretrizes de Auditoria de SI fornecer informaes adicionais sobre como cumprir as
Normas de Auditoria de SI.
Procedimentos: fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realizao de uma auditoria. Os
documentos de procedimentos fornecem informaes sobre como cumprir as normas ao realizar a auditoria de SI, mas no
estabelecem requisitos. O objetivo dos Procedimentos de Auditoria de SI fornecer informaes adicionais sobre como cumprir as
Normas de Auditoria de SI.
Os recursos COBIT devem ser utilizados como uma fonte de orientao para as melhores prticas. O COBIT Framework determina que: "
responsabilidade da gesto salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e tambm alcanar as
expectativas, a gesto deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto detalhado de controles e
tcnicas de controle para o ambiente de gesto de sistemas de informao. A seleco do material mais relevante do C OBIT, aplicvel ao
mbito da auditoria em particular, baseia-se na escolha de processos de TI especficos do COBIT e na considerao dos seus critrios de
informao.
Conforme definido no COBIT Framework, cada um dos itens a seguir organizado por processo de gesto de TI. O COBIT destina-se
utilizao por parte dos responsveis de negcios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreenso dos
objetivos de negcio, de modo a que a comunicao das melhores prticas e recomendaes seja realizada em torno de uma referncia
normativa entendida e respeitada de forma geral por todos. O COBIT inclui:
Objetivos de controle declaraes genricas detalhadas e de alto nvel sobre a qualidade mnima de um bom controle
Prticas de controle anlises prticas e orientaes sobre como implementar, referentes aos objetivos de controle
Diretrizes de auditoria orientao para cada rea de controle sobre como obter um entendimento, avaliar cada controle, verificar o
cumprimento das normas e demonstrar o risco do no-cumprimento dos controles
Diretrizes de gesto orientao sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de
maturidade, sistemas de avaliao e fatores crticos de sucesso. Fornecem uma estrutura orientada para a gesto, para uma autoavaliao contnua e pr-activa do controle, especificamente focada em:

Avaliao de desempenho A TI responde s exigncias de negcio? As diretrizes de gesto podem ser utilizadas para dar
suporte a actividades de auto-avaliao, e tambm podem ser usadas para suportar a implementao, por parte da gesto, de
procedimentos de monitoreio e aperfeioamento contnuo, como parte de um esquema do controle de TI.

Perfil do controle de TI Que processos de TI so importantes? Quais os fatores crticos para o sucesso do controle?

Consciencializao Quais os riscos de no se alcanar os objetivos?

Padres de mercado Benchmarking O que fazem os outros? Como podem os resultados ser medidos e comparados? As
diretrizes de gesto fornecem exemplos de medio, permitindo a avaliao do desempenho de TI em termos de negcio. Os
principais indicadores de objetivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores
de desempenho avaliam a eficincia dos processos, ao avaliar os fatores que permitem a sua execuo. Modelos e atributos de
maturidade possibilitam avaliaes de capacidade e de mercado, auxiliando a gesto a avaliar a capacidade de controle e a
identificar falhas de controle e estratgias de aperfeioamento.
O Glossrio de termos pode ser encontrado no site da Web da ISACA, em www.isaca.org/glossary. As palavras auditoria e inspeco
so utilizadas indistintamente.
Iseno de Responsabilidade: A ISACA desenvolveu este guia visando definir o nvel mnimo de desempenho aceitvel exigido para
dar resposta s responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA. A ISACA no oferece qualquer
garantia de que o uso deste produto ir assegurar um resultado bem-sucedido. A publicao no deve ser considerada parte integrante de
quaisquer procedimentos e testes apropriados ou de outros procedimentos e testes tambm voltados para a obteno dos mesmos
resultados. Ao determinar a adequao de qualquer procedimento ou teste especfico, o profissional da rea de controle deve aplicar o seu
prprio julgamento profissional s circunstncias especficas de controle apresentadas pelos sistemas ou pelo ambiente de tecnologia da

informao em particular.
O Conselho Normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparao das Normas, Diretrizes e
Procedimentos de Auditoria de SI. Antes de divulgar qualquer documento, o Conselho Normativo divulga internacionalmente verses
preliminares, submetidas avaliao pblica. O Conselho Normativo procura ainda indivduos com especial interesse ou experincia no
tpico em questo, para consultas quando necessrio. O Conselho Normativo possui um programa de desenvolvimento contnuo e acolhe a
colaborao de membros da ISACA e outras partes interessadas, na identificao de questes emergentes que requeiram novas normas.
As sugestes devem ser enviadas por e-mail (standards@isaca.org), fax (+1-847-253-1443) ou correio (endereo no final do documento)
Sede Internacional da ISACA, aos cuidados do director de normas de pesquisa e relaes acadmicas. Este material foi divulgado em 1 de
setembro de 2005.
S11 Uso da avaliao de riscos no planeamento de auditoria
Apresentao
01 As Normas de auditoria de SI da ISACA contm princpios bsicos e procedimentos essenciais, identificados a negrito, que so
obrigatrios, juntamente com orientaes relacionadas com os mesmos.
02 O objetivo desta norma estabelecer padres e fornecer orientaes quanto ao uso da avaliao de riscos no planeamento da
auditoria.
Norma
03 O auditor de SI deve utilizar uma tcnica ou abordagem de avaliao de riscos adequada ao desenvolvimento do plano
geral de auditoria de SI e na determinao de prioridades para a alocao eficiente de recursos de auditoria de SI.
04 Ao planejar revises individuais, o auditor de SI deve identificar e avaliar os riscos relevantes para a rea em anlise.
Comentrio
05 A avaliao de riscos uma tcnica utilizada para examinar unidades auditveis dentro do universo da auditoria de SI e
selecionar as reas para reviso que apresentam maior exposio a riscos para serem includas no planeamento anual de SI.
06 Uma unidade auditvel definida como um segmento distinto de cada organizao e dos seus sistemas.
07 A determinao do universo da auditoria de SI deve ser feita com base no conhecimento do plano estratgico de TI da
organizao, das suas operaes e discusses com a gesto responsvel.
08 Exerccios de avaliao de riscos para facilitar o desenvolvimento do plano de auditoria devem ser conduzidos e documentados
ao menos uma vez por ano. Os planos e objetivos estratgicos organizacionais e a estrutura de gesto de riscos corporativos
devem ser considerados parte integrante do exerccio de avaliao de riscos.
09 O uso da avaliao de riscos na seleco de projectos de auditoria permite que o auditor de SI quantifique e justifique a quantidade de
recursos de auditoria de SI necessrios para concluir o plano de auditoria de SI ou uma determinada reviso. Alm disso, o auditor de
SI pode dar prioridade a revises programadas com base na percepo de riscos e contribuir com a documentao de estruturas de
gesto de riscos.
10 Um auditor de SI deve executar uma avaliao preliminar dos riscos relevantes para a rea que est a ser analisada. Os
objetivos da realizao da auditoria de SI para cada reviso especfica devem reflectir os resultados de tal avaliao de riscos.
11 Aps a concluso da analise, o auditor de SI deve garantir que a estrutura de gesto de riscos corporativos ou o registo de riscos
da organizao seja actualizado, caso um tenha sido desenvolvido, para reflectir os resultados e as recomendaes da reviso e
as actividades subsequentes.
12 O auditor de SI deve consultar a directriz G13 de auditoria de SI, Uso da avaliao de riscos no planeamento da auditoria, e o
procedimento P1 de auditoria de SI, Medio da avaliao de riscos.
Data de efetivao
13 Esta norma vlida para auditorias de SI a partir de 1 de Novembro de 2005.
Conselho Normativo 2005-2006 da Information Systems Audit and Control Association
(Associao de Auditoria e Controle de Sistemas de Informao)
Presidente, Sergio Fleginsky, CISA ICI Paints, Uruguai
Svein Aldal Aldal Consulting, Noruega
John Beveridge, CISA, CISM, CFE, CGFM, CQA Gabinete do Auditor do Estado de Massachusetts, EUA
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguai
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Cmara de Vereadores de Brisbane, Austrlia
V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, EUA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications, ndia
Peter Niblett, CISA, CISM, CA, CIA, FCPA Ernst & Young, Reino Unido
John G. Ott, CISA, CPA AmerisourceBergen, EUA
Thomas Thompson, CISA Ernst & Young, Emirados rabes Unidos

Copyright 2005
Information Systems Audit and Control Association
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EUA
Telefone: +1-847-253-1545
Fax: +1-847-253-1443
E-mail: standards@isaca.org
Site na Web: www.isaca.org

Pgina 2 Norma de Auditoria de SI S11 USO da Avaliao de Risco no Planeamento da Auditoria