Segundo a IIA (The Institute of Internal Auditors) (1), são diversos os tipos da auditoria que podem ser feitos; uma auditoria pode ser financeira, operacional (SOC 1, 2, e 3), integrada (SAS-94), de conformidade (compliance, em inglês), administrativa, e de sistemas de informação; sendo este ultimo o escopo deste texto.
A auditoria de TI (Tecnologia de Informação) ou SI (Sistemas de Informação) consiste em verificar se os sistemas de informação das organizações estão em conformidade com as politicas, normas e procedimentos estabelecidos pelos respetivos conselhos diretivos.
Para Manotti (2010) a auditoria de sistemas de informação é:
"a revisão e avaliação dos controles, desenvolvimento de sistemas, procedimentos de TI, infraestrutura, operação, desempenho e segurança da informação que envolve o processamento de informações criticas para a tomada de decisão."
A ISACA® estabelece que o auditor deve desempenhar o seu trabalho seguindo as boas práticas profissionais, e as normas e standards internacionais como os elaborados pela propia organização (2), o PCAOB (Public Company Accounting Oversight Board) (3), o IIA (4), e o AICPA (American Institute of Certified Public Accountants) (5).
Segundo o código de ética profissional da ISACA® (6), o auditor deve possuir conhecimento técnico e capacidade profissional adequada para realizar as tarefas necessárias, de forma ética, independente, mantendo a privacidade e a confidencialidade das informações obtidas.
Governança de TI, riscos e controle
Um aspecto critico da auditoria é a avaliação do processo de governança da organização (políticas e controles) e do processo de gerenciamento de riscos (RM - Risk Management ou ERM - Enterprise Risk Management) para identificar os objetivos de controle e avaliar a sua efetividade.
De acordo com a ISACA®, deve ser usado em todo momento, tanto no processo de decisão em relação á seleção dos projetos a serem desenvolvidos, quanto para o suporte operacional ás atividades negociais.
O processo de Auditoria de SI
Segundo Cannon et al. (2016) o processo de auditoria é baseado numa série de procedimentos geralmente aceitados de auditoria.
Uma auditoria consiste em definir o alcance ou objeto da auditoria, a obtenção de evidencias (sampling plan), o teste da evidencia, comparar os resultados com os critérios previamente estabelecidos da auditoria, e finalmente, emitir o parecer do auditor nos relatórios ou informes de auditoria.
Quando o objeto da auditoria é definido, cria-se o plano de auditoria que apresentará o escopo estabelecido, objetivos e procedimentos necessários para a obtenção da evidencia.
Questa seria a descrição geral do trabalho a ser realizado pelo auditor ou pela equipe de auditores contendo as informações anteriormente descritas.
Uma parte importante do plano de auditoria é o programa de auditoria, que geralmente documenta os procedimentos a serem utilizados para a verificação e testes da efetividade dos controles.
O IT Assurance Framework™ (ITAF™)
Desenvolvido pela ISACA® provede standards mandatórios com informações e guia para a operação da prática da auditoria de TI.
O framework também oferece ferramentas, técnicas e modelos para a realização dos processos do programa de auditoria.
O auditor certificado CISA® deve seguir os procedimentos estabelecidos pela ISACA® no ITAF™ para elaborar o plano de auditoria (7).
Divididos em três grandes fases: Planejamento, trabalho de campo/documentação, e relatórios/seguimento, cada uma delas terá procedimentos específicos para atingir os resultados esperados.
Na fase de planejamento por exemplo, identifica-se a área a ser auditada, o objeto da auditoria, o escopo da mesma, avaliam-se os riscos, e determina-se os procedimentos da auditoria e passos para a coleta dos dados.
Normas e técnicas de auditoria
Dependendo do alcance ou objeto da auditoria de SI, podem-se usar as normas e framewoks reconhecidos tais como:
- ISO 9001 Gestão da qualidade (quality management),
- ISO 15489 Gestão da informação (records management),
- ISO 20000 Tecnologia da informação — Gestão de serviços (Information technology - Service management),
- ISO 27001 Gestão da segurança da informação (information security management),
- ISO 31000 Gestão de riscos (risk management),
- COSO Gerenciamento de Riscos Corporativos – Estrutura Integrada,
- NIST Cybersecurity Framework Audit Program, e
- CMMI Qualidade de software (capability maturity model integration).
Enquanto as técnicas gerais de auditoria, as mais utilizadas são o exame físico, circularização (encaminhamento de entrevistas ou solicitação de documentos), exame dos documentos originais, investigação minuciosa, inquérito (por contato direto, telefônico ou via correio), amostragem (estatística ou subjetiva), e observação. (LIMA et al. 2003)
Para as auditorias de SI, Imoniana (2005) elenca as seguintes técnicas: dados de teste (test data, em inglês), Integrated Test Facility (ITF), simulação paralela, lógica de auditoria embutida nos sistemas, rastreamento e mapeamento, e análise da lógica de programação.
Ferramentas de auditorias de SI
Podem-se achar no mercado diversos programas que servem para ajudar ao auditor na gestão do processo de auditoria, e no desempenho das suas atividades como realizar testes de controles gerais, testes de transações, testes analíticos e substantivos, e para gerar amostras.
As ferramentas de extração e análise de dados - CAATs (Computer Assisted Audit Techniques, em inglês) servem para a obtenção de dados dos sistemas de informação.
As CAATs podem ser ferramentas genéricas para auditoria, serem especialmente desenvolvidas para determinadas tarefas a ser realizadas, ou podem ser utilitários básicos do mercado.
Dentre o software genérico para auditoria temos o ACL (Audit Command Language) (8), IDEA (Interactive Data Extraction & Analysis) (9), AAF (Audit Automation Facilities) (10), Galileo (11) e Pentana (12), dentre outros.
Nos programas utilitários, podem-se mencionar por exemplo Calc (13) do LibreOffice.org, MariaDB (14) ou MySQL (15) para a manipulação dos dados.
Links
(1) IIA. The Institute of Internal Auditors. Disponível em: < https://theiia.org >. Acesso em: 30 de Julho de 2016.
(2) ISACA. ITAF®: A Professional Practices Framework for IS Audit/Assurance, 3rd Edition. Disponível em: < http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/Pages/default.aspx >. Acesso em: 30 de Julho de 2016.
(3) PCAOB. Standards. Disponível em: < http://pcaobus.org/Standards/Auditing/Pages/AS2101.aspx >. Acesso em: 30 de Julho de 2016.
(4) IIA. Standards. Disponível em: < https://na.theiia.org/standards-guidance/Public%20Documents/IPPF%202013%20English.pdf >. Acesso em: 30 de Julho de 2016.
(5) AICPA. Standards. Disponível em: < http://www.aicpa.org/Research/Standards/AuditAttest/DownloadableDocuments/AU-C-00300.pdf >. Acesso em: 30 de Julho de 2016.
(6) ISACA. Code of Professional Ethics. Disponível em: < http://www.isaca.org/Certification/Code-of-Professional-Ethics/Pages/default.aspx >. Acesso em: 30 de Julho de 2016.
(7) ISACA. Information Systems Auditing: Tools and Techniques. Disponível em: < http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/information-systems-auditing-tools-and-techniques.aspx >.
(8) ACL. Página principal. Disponível em: < http://www.acl.com >. Acesso em: 22 de setembro de 2017.
(9) IDEA. Página principal. Disponível em: < http://www.casewareanalytics.com >. Acesso em: 22 de setembro de 2017.
(10) AAF. Página principal. Disponível em: < http://aaf.wj.com.br >. Acesso em: 22 de setembro de 2017.
(11) GALILEO. Página principal. Disponível em: < http://magiquegalileo.com/ >. Acesso em: 22 de setembro de 2017.
(12) PENTANA. Página principal. Disponível em: < http://www.ideagen.com/pentana >. Acesso em: 22 de setembro de 2017.
(13) LIBREOFFICE.ORG. Página principal. Disponível em: < http://www.libreoffice.org/ >. Acesso em: 22 de setembro de 2017.
(14) MARIADB. Página principal. Disponível em: < https://mariadb.org/ >. Acesso em: 22 de setembro de 2017.
(15) MYSQL. Página principal. Disponível em: < https://www.mysql.com/ >. Acesso em: 22 de setembro de 2017.
Image from Pixabay, released under Creative Commons CC0.