Upload File

isaca standards it portugese s11

2
   A natureza espe cializada da auditoria de sistemas de informação (SI) e a capacidade necessária pa ra realizar essas auditorias requerem o estabelecimento de nor mas que se apliquem especifica mente à auditoria de SI. Uma das metas da Info rmation Systems Audit and Control Association  (Associação de Auditoria e Controle de Sistemas de Informação, ISACA ) é desenvolver normas aplicáveis globalmente, de forma a suportar essa visão. O desenvolvimento e disseminação das Normas de Auditoria de SI são fu ndamentais como contribuição profissional da ISACA para a comunida de de auditoria. A estrutura das Normas de Auditoria de SI apresenta diversos níveis de orientação:  Normas: definem requisitos obrigatórios para auditorias e relatórios de SI. Informam:    Os auditores de SI sobre o nível mínimo de dese mpenho a ceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA   A gestão e outras partes interessadas sobre as expectativas da profissão no que se refe re às ac tividades daquele s que a exercem   Os detentores da nomeação Certified Information Systems Auditor ® , CISA ®  (Auditor Certificado de Sistemas de Informação) sobre aqueles requisitos. A falha em cumprir essa s normas pode resultar numa investigação da conduta do detentor da CISA pela Direcção da ISACA, pelo comité apropriado da ISACA e, finalmente, em acção disciplinar.  Diretrizes: fornecem orientação para a aplicação das Normas de Auditoria de SI. O auditor de SI deve levá-las em consideração para determinar como alcançar a implementação das normas, utilizar a avaliação profissional na sua aplicação e estar preparado para  justificar qualquer d ivergência. O objetiv o das Diretrizes de Auditoria de S I é fornecer inf ormações adiciona is sobre como cumprir as Normas de Auditoria de SI.   Procedimentos: fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realização de uma auditoria. Os documentos de procedimentos fornecem informa ções sobre como cumprir as normas ao realizar a auditoria de SI, mas não estabelecem requisitos. O objetivo dos Procedimentos de Auditoria de SI é fornecer informações adicionais sobre como cumprir as Normas de Auditoria de SI.  Os recursos COBIT  devem ser utilizados como uma fonte de orientação para as melhores práticas. O C OBIT  Framework determina que: "É responsabilidade da gestão salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e também alcançar as expectativas, a gestão deve estabelecer um sistema adequado de controle interno". O C OBIT fornece um conjunto detalhado de controles e técnicas de controle para o ambiente de gestão de sistemas de informação. A selecção do material mais relevante do C OBIT, aplicável ao âmbito da auditoria em particular, baseia-se na escolha de processos de TI específicos do C OBIT e na consideração dos seus critérios de informação. Conforme definido no COBIT Framework,  cada um dos itens a seguir é organizado por processo de gestão de TI. O C OBIT destina-se à utilização por parte dos responsáveis de negócios e TI, bem como por auditores de SI; porta nto, o seu uso permite a compreensão dos objetivos de negócio, de modo a q ue a comunicação das melhores práticas e reco mendações seja realizada em torno de uma r eferência normativa entendida e respeitada de forma geral por todos. O C OBIT inclui:  Objetivos de controle  declarações genéricas detalhadas e de alto nível sobre a qualidade mínima de um bom controle  Práticas de controle  análises práticas e orientações sobre “como implementar”, referentes aos objetivos de controle  Diretrizes de auditoria  orientação para cada área de controle sobre como obter um entendimento , avaliar cada controle, verificar o cumprimento das normas e demonstrar o risco do não-cumprimento dos controles  Diretrizes de gestão  orientação sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de maturidade, sistemas de avaliação e fatores críticos de sucesso. Fornecem uma estrutura orientada para a gestão, para uma auto- avaliação contínua e pró-activa do controle, especificamente focada em:    Avaliação de desempenho  A TI responde às exigências de negócio? As diretrizes de gestão podem ser utilizadas para dar suporte a actividades de auto-av aliação, e também pode m ser usadas para suportar a implementação, por par te da gestão, de procedimentos de monitoreio e aperfeiçoamento contínuo, como parte de um esquema do controle de T I.    Perfil do controle de TI   Que processos de TI são importantes? Quais os fatores críticos para o sucesso do controle?    Consciencialização  Quais os riscos de não se alcançar os objetivos?   Padrões de mercado “Benchmarking” – O que fazem os outros? Como podem os resultados ser medidos e comparados? As diretrizes de gestão fornecem exemplos de medição, permitindo a avaliação do desempenho de TI em termos de negócio. Os principais indicadores de objetivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de desempenho avaliam a eficiência dos processos, ao avaliar os fatores que permitem a sua execução. Modelos e atributos de maturidade possibilitam avaliações de capacidade e de mercado, auxiliando a gestão a avaliar a capacidade de controle e a identificar falhas de controle e estratégias de aperfeiçoamento.  O Glossário de termos pode ser encontrado no site da Web da ISACA, em www.isaca.org/glossary . As palavras auditoria e inspecção são utilizadas indistintamente. Isenção de Responsabilid ade:  A ISACA desen volveu este gu ia visando definir o nível mínimo d e desempenho aceit ável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA.   A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a adequação de qualquer procedimento ou teste específico, o profissional da área de controle deve aplicar o seu próprio julgamento profissional às circunstâncias específica s de controle apresentadas pelos sistemas ou pelo ambiente de tecnologia da NORMA DE AUDITORIA DE SI USO DA AVALIAÇÃO DE RISCO NO PLANEAMENTO DA AUDITORIA DOCUMENTO S11 

Upload: a-algazi

Post on 02-Nov-2015

3 views

Category:

Documents


0 download

Report

DESCRIPTION

Standard obrigatório da ISACA - Número 11

TRANSCRIPT

  • A natureza especializada da auditoria de sistemas de informao (SI) e a capacidade necessria para realizar essas auditorias requerem o estabelecimento de normas que se apliquem especificamente auditoria de SI. Uma das metas da Information Systems Audit and

    Control Association (Associao de Auditoria e Controle de Sistemas de Informao, ISACA) desenvolver normas aplicveis globalmente, de forma a suportar essa viso. O desenvolvimento e disseminao das Normas de Auditoria de SI so fundamentais como contribuio profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI apresenta diversos nveis de orientao: Normas: definem requisitos obrigatrios para auditorias e relatrios de SI. Informam:

    Os auditores de SI sobre o nvel mnimo de desempenho aceitvel exigido para cumprir as responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA

    A gesto e outras partes interessadas sobre as expectativas da profisso no que se refere s actividades daqueles que a exercem

    Os detentores da nomeao Certified Information Systems Auditor, CISA

    (Auditor Certificado de Sistemas de Informao)

    sobre aqueles requisitos. A falha em cumprir essas normas pode resultar numa investigao da conduta do detentor da CISA pela Direco da ISACA, pelo comit apropriado da ISACA e, finalmente, em aco disciplinar.

    Diretrizes: fornecem orientao para a aplicao das Normas de Auditoria de SI. O auditor de SI deve lev-las em considerao para determinar como alcanar a implementao das normas, utilizar a avaliao profissional na sua aplicao e estar preparado para justificar qualquer divergncia. O objetivo das Diretrizes de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI.

    Procedimentos: fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realizao de uma auditoria. Os documentos de procedimentos fornecem informaes sobre como cumprir as normas ao realizar a auditoria de SI, mas no estabelecem requisitos. O objetivo dos Procedimentos de Auditoria de SI fornecer informaes adicionais sobre como cumprir as Normas de Auditoria de SI.

    Os recursos COBIT devem ser utilizados como uma fonte de orientao para as melhores prticas. O COBIT Framework determina que: "

    responsabilidade da gesto salvaguardar todos os ativos da empresa. Para cumprir com essa responsabilidade e tambm alcanar as expectativas, a gesto deve estabelecer um sistema adequado de controle interno". O COBIT fornece um conjunto detalhado de controles e tcnicas de controle para o ambiente de gesto de sistemas de informao. A seleco do material mais relevante do COBIT, aplicvel ao mbito da auditoria em particular, baseia-se na escolha de processos de TI especficos do COBIT e na considerao dos seus critrios de informao. Conforme definido no COBIT Framework, cada um dos itens a seguir organizado por processo de gesto de TI. O COBIT destina-se utilizao por parte dos responsveis de negcios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreenso dos objetivos de negcio, de modo a que a comunicao das melhores prticas e recomendaes seja realizada em torno de uma referncia normativa entendida e respeitada de forma geral por todos. O COBIT inclui: Objetivos de controle declaraes genricas detalhadas e de alto nvel sobre a qualidade mnima de um bom controle Prticas de controle anlises prticas e orientaes sobre como implementar, referentes aos objetivos de controle Diretrizes de auditoria orientao para cada rea de controle sobre como obter um entendimento, avaliar cada controle, verificar o

    cumprimento das normas e demonstrar o risco do no-cumprimento dos controles Diretrizes de gesto orientao sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de

    maturidade, sistemas de avaliao e fatores crticos de sucesso. Fornecem uma estrutura orientada para a gesto, para uma auto-avaliao contnua e pr-activa do controle, especificamente focada em: Avaliao de desempenho A TI responde s exigncias de negcio? As diretrizes de gesto podem ser utilizadas para dar

    suporte a actividades de auto-avaliao, e tambm podem ser usadas para suportar a implementao, por parte da gesto, de procedimentos de monitoreio e aperfeioamento contnuo, como parte de um esquema do controle de TI.

    Perfil do controle de TI Que processos de TI so importantes? Quais os fatores crticos para o sucesso do controle? Consciencializao Quais os riscos de no se alcanar os objetivos? Padres de mercado Benchmarking O que fazem os outros? Como podem os resultados ser medidos e comparados? As

    diretrizes de gesto fornecem exemplos de medio, permitindo a avaliao do desempenho de TI em termos de negcio. Os principais indicadores de objetivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de desempenho avaliam a eficincia dos processos, ao avaliar os fatores que permitem a sua execuo. Modelos e atributos de maturidade possibilitam avaliaes de capacidade e de mercado, auxiliando a gesto a avaliar a capacidade de controle e a identificar falhas de controle e estratgias de aperfeioamento.

    O Glossrio de termos pode ser encontrado no site da Web da ISACA, em www.isaca.org/glossary. As palavras auditoria e inspeco

    so utilizadas indistintamente.

    Iseno de Responsabilidade: A ISACA desenvolveu este guia visando definir o nvel mnimo de desempenho aceitvel exigido para

    dar resposta s responsabilidades profissionais estabelecidas no Cdigo de tica Profissional da ISACA. A ISACA no oferece qualquer garantia de que o uso deste produto ir assegurar um resultado bem-sucedido. A publicao no deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados ou de outros procedimentos e testes tambm voltados para a obteno dos mesmos resultados. Ao determinar a adequao de qualquer procedimento ou teste especfico, o profissional da rea de controle deve aplicar o seu prprio julgamento profissional s circunstncias especficas de controle apresentadas pelos sistemas ou pelo ambiente de tecnologia da

    NORMA DE AUDITORIA DE SI

    USO DA AVALIAO DE RISCO NO

    PLANEAMENTO DA AUDITORIA DOCUMENTO S11

  • Pgina 2 Norma de Auditoria de SI S11 USO da Avaliao de Risco no Planeamento da Auditoria

    informao em particular. O Conselho Normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparao das Normas, Diretrizes e Procedimentos de Auditoria de SI. Antes de divulgar qualquer documento, o Conselho Normativo divulga internacionalmente verses preliminares, submetidas avaliao pblica. O Conselho Normativo procura ainda indivduos com especial interesse ou experincia no tpico em questo, para consultas quando necessrio. O Conselho Normativo possui um programa de desenvolvimento contnuo e acolhe a colaborao de membros da ISACA e outras partes interessadas, na identificao de questes emergentes que requeiram novas normas. As sugestes devem ser enviadas por e-mail ([email protected]), fax (+1-847-253-1443) ou correio (endereo no final do documento) Sede Internacional da ISACA, aos cuidados do director de normas de pesquisa e relaes acadmicas. Este material foi divulgado em 1 de setembro de 2005. S11 Uso da avaliao de riscos no planeamento de auditoria Apresentao 01 As Normas de auditoria de SI da ISACA contm princpios bsicos e procedimentos essenciais, identificados a negrito, que so

    obrigatrios, juntamente com orientaes relacionadas com os mesmos. 02 O objetivo desta norma estabelecer padres e fornecer orientaes quanto ao uso da avaliao de riscos no planeamento da

    auditoria. Norma 03 O auditor de SI deve utilizar uma tcnica ou abordagem de avaliao de riscos adequada ao desenvolvimento do plano

    geral de auditoria de SI e na determinao de prioridades para a alocao eficiente de recursos de auditoria de SI. 04 Ao planejar revises individuais, o auditor de SI deve identificar e avaliar os riscos relevantes para a rea em anlise. Comentrio 05 A avaliao de riscos uma tcnica utilizada para examinar unidades auditveis dentro do universo da auditoria de SI e

    selecionar as reas para reviso que apresentam maior exposio a riscos para serem includas no planeamento anual de SI. 06 Uma unidade auditvel definida como um segmento distinto de cada organizao e dos seus sistemas. 07 A determinao do universo da auditoria de SI deve ser feita com base no conhecimento do plano estratgico de TI da

    organizao, das suas operaes e discusses com a gesto responsvel. 08 Exerccios de avaliao de riscos para facilitar o desenvolvimento do plano de auditoria devem ser conduzidos e documentados

    ao menos uma vez por ano. Os planos e objetivos estratgicos organizacionais e a estrutura de gesto de riscos corporativos devem ser considerados parte integrante do exerccio de avaliao de riscos.

    09 O uso da avaliao de riscos na seleco de projectos de auditoria permite que o auditor de SI quantifique e justifique a quantidade de recursos de auditoria de SI necessrios para concluir o plano de auditoria de SI ou uma determinada reviso. Alm disso, o auditor de SI pode dar prioridade a revises programadas com base na percepo de riscos e contribuir com a documentao de estruturas de gesto de riscos.

    10 Um auditor de SI deve executar uma avaliao preliminar dos riscos relevantes para a rea que est a ser analisada. Os objetivos da realizao da auditoria de SI para cada reviso especfica devem reflectir os resultados de tal avaliao de riscos.

    11 Aps a concluso da analise, o auditor de SI deve garantir que a estrutura de gesto de riscos corporativos ou o registo de riscos da organizao seja actualizado, caso um tenha sido desenvolvido, para reflectir os resultados e as recomendaes da reviso e as actividades subsequentes.

    12 O auditor de SI deve consultar a directriz G13 de auditoria de SI, Uso da avaliao de riscos no planeamento da auditoria, e o procedimento P1 de auditoria de SI, Medio da avaliao de riscos.

    Data de efetivao 13 Esta norma vlida para auditorias de SI a partir de 1 de Novembro de 2005.

    Conselho Normativo 2005-2006 da Information Systems Audit and Control Association (Associao de Auditoria e Controle de Sistemas de Informao)

    Presidente, Sergio Fleginsky, CISA ICI Paints, Uruguai Svein Aldal Aldal Consulting, Noruega John Beveridge, CISA, CISM, CFE, CGFM, CQA Gabinete do Auditor do Estado de Massachusetts, EUA Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguai Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Cmara de Vereadores de Brisbane, Austrlia V. Meera, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, EUA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications, ndia Peter Niblett, CISA, CISM, CA, CIA, FCPA Ernst & Young, Reino Unido John G. Ott, CISA, CPA AmerisourceBergen, EUA Thomas Thompson, CISA Ernst & Young, Emirados rabes Unidos

    Copyright 2005 Information Systems Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Telefone: +1-847-253-1545 Fax: +1-847-253-1443 E-mail: [email protected] Site na Web: www.isaca.org


Iec 60617 -61346 recap portugese

Программы сертификации ISACA/цикл мастер-классов по программам сертификации ISACA

Portugese Arlequim Door Gea Stoop

H000689-00-20 MEC-1000 Portugese

5A 2º ciclo - 5A · T2 ING-I. S11 PORT BE T1 T2 PORT S11 *EMR. S11 *DTA S17 ALMOÇO *OC S11 MATC S11 EDF PORT S11 ALMOÇO CESC EDM S34 MATC S11 HGP S29 EA S29 ALMOÇO ATM ING-I S11

HAMM Compaction Portugese Complete[1]

Ps Leenelsonbook Portugese

Portugese Synagoge

Carohana S11

ISACA QUEBEC GIA

Isaca cybers security_law_v12_vv

S11 Ruedas

Themalijst Muziek Uit de Portugese kolonies

Daniel Profeta a Nacoes (Portugese)

Shape Magazine #2 2011 - Portugese

NFe 2.0 in Portugese

Comms international 3D-P Portugese

CPISRA Boccia Rules Portugese 9th

Isaca kyiv chapter_2010_survey_finding_summary_v07_ay

S11 FONDEMENTS

Prefab Pro portugese

Portugese Arlequim Door Gea Stoop April 2008. PORTUGESE ARLEQUIM

Isaca crisc-courseware

ISACA oferta formativa

Comunicaciones S11

De Portugese Synagoge in Amsterdam

Portugese Powerpoint

Conligus Reward Plan 2.0 - Portugese

062112 portugese (eeoc response)

ISACA Sınav Aday Bilgi Kılavuzu...ISACA Sınavı Aday Bilgi Kılavuzu ® 2017 ISACA. Tüm Hakları Saklıdır. 2 ISACA Genel Bakı ve Etik Kurallar ISACA Nedir? a ISACA, teknoloji,

Seminar S11

031808 obama speech (portugese)

Gd-5000 Portugese

Cybersecurity isaca

JEDI BRazil Slide - DFJUG - Portugese