Norma 1001 de Auditoria e Garantia de SI Carta de auditoria

A natureza especializada da auditoria e garantia de sistemas de informação (SI) e a capacidade necessária para realizar essas contratações requerem o estabelecimento de normas que se apliquem especificamente à auditoria e garantia de SI. O desenvolvimento e a disseminação das normas de auditoria e garantia de SI são fundamentais como contribuição profissional da ISACA® para a comunidade de auditoria.

As normas de auditoria e garantia de SI definem requisitos obrigatórios para auditoria, emissão de relatórios e orientações sobre:

 Profissionais de auditoria e garantia de SI no nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA;

 A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem;

 Os requisitos necessários para os detentores da certificação Certified Information Systems Auditor® (CISA®) (Auditor Certificado em Sistemas de Informação). A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da CISA pelo Conselho de Administração da ISACA ou pelo comitê apropriado e, finalmente, em ação disciplinar.

Profissionais de auditoria e garantia devem incluir uma declaração em seu trabalho, quando apropriado, de que a contratação foi realizada de acordo com as normas de auditoria e garantia de SI da ISACA ou outras normas profissionais aplicáveis.

A estrutura ITAF™ para o profissional de auditoria e garantia de SI apresenta diversos níveis de diretrizes:

 Normas, divididas em três categorias:

- Normas gerais (série 1000) - são os princípios norteadores sob os quais funciona a profissão de auditoria e garantia de SI. As normas se aplicam à realização de todas as tarefas, e lidam com a ética, a

independência, a objetividade e o devido cuidado, bem como conhecimento, competência e habilidade do profissional de auditoria e garantia de SI. As declarações de normas (em negrito) são obrigatórias. - Normas de desempenho (série 1200) – tratam da realização da contratação, por exemplo, planejamento

e supervisão, definição de escopo, risco e materialidade, mobilização de recursos, gestão de supervisão e tarefa, evidência de auditoria e garantia, e o exercício de julgamento profissional, bem como o devido cuidado. - Normas de relatório (série 1400) - abordam os tipos de relatórios, os meios de comunicação e as

informações comunicadas

 Diretrizes, em apoio às normas, e também divididas em três categorias: - Diretrizes gerais (série 2000)

- Diretrizes de desempenho (série 2200) - Diretrizes de relatório (série 2400)

 Ferramentas e técnicas, oferecendo orientação adicional para profissionais de auditoria e garantia de SI, por exemplo, documentos, programas de auditoria/garantia de SI, a família de produtos COBIT® 5 Um glossário on-line de termos usados na ITAF é fornecido em www.isaca.org/glossary.

Ressalva: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer procedimento ou teste específico, profissionais de controle devem aplicar seu próprio juízo profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de SI.

O ISACA Professional Standards and Career Management Committee (Comitê de Normas Profissionais e Gestão de Carreira, PSCMC) está comprometido em realizar uma ampla consulta na preparação de normas e diretrizes. Antes de divulgar qualquer documento, uma versão preliminar é divulgada internacionalmente para ser submetida à avaliação pública. As avaliações também podem ser enviadas aos cuidados do diretor de desenvolvimento de normas profissionais por e-mail (standards@isaca.org), fax (+1.847. 253.1443) ou correio (ISACA International

Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Norma 1001 de Auditoria

e Garantia de SI

Carta de auditoria

ISACA 2012-2013 Professional Standards and Career Management Committee

Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK

Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA

Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP British American Tobacco IT Services, Malaysia Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand

Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan Ian Sanderson, CISA, CRISC, FCA NATO, Belgium Timothy Smith, CISA, CISSP, CPA LPL Financial, USA Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina

Norma 1001 de Auditoria e Garantia de SI – Carta de auditoria

© ISACA 2013

Todos os direitos reservados.

2

Declarações

1001.1

1001.2

A função de auditoria e garantia de SI deverá documentar a função de auditoria

corretamente em uma carta de auditoria, indicando objetivo, responsabilidade,

autoridade e responsabilização.

A função de auditoria e garantia de SI deverá ter uma carta de auditoria acordada

e aprovada em um nível apropriado na empresa.

Aspectos

principais

A função de auditoria e garantia de SI deverá:



Preparar uma Carta de Auditoria para definir as atividades da função de auditoria

e garantia de SI interna, com detalhes suficientes para comunicar:

-

a autoridade, o objetivo, as responsabilidades e limitações da função de

auditoria e garantia de SI

-

A Independência e a responsabilidade da função de auditoria e garantia de SI

-

As funções e responsabilidades da entidade auditada durante a Contratação de

auditoria de SI ou Contratação de garantia

-

Normas profissionais que o profissional de auditoria e garantia de SI seguirão

na realização dos contratações de auditoria e garantia de SI



Revisar a carta de auditoria, pelo menos anualmente, ou com mais frequência,

se as responsabilidades mudarem.



Atualizar a carta de auditoria conforme necessário para garantir que o objetivo

e as responsabilidades tenham sido e permaneçam documentados adequadamente.

Comunicar formalmente a carta de auditoria para o auditado a cada contratação

de auditoria ou garantia de SI.

Termos

Termo

Definição

Contratação

de garantia

Uma análise de evidência objetiva com o fim de fornecer

uma avaliação sobre gestão de riscos, controle ou processos

de governança da empresa.

Observação sobre o escopo: exemplos podem incluir

contratações financeiras, de desempenho, de conformidade

e segurança de sistema

Carta de

Auditoria

Um documento aprovado pelas pessoas encarregadas da

governança, que define o objetivo, a autoridade e a

responsabilidade da atividade de auditoria interna

A carta deve:



Estabelecer a posição da função de auditoria interna

na empresa



Autorizar o acesso a registros, pessoal e propriedades físicas

relevantes para o desempenho de contratação de auditoria

e garantia de SI

Norma 1001 de Auditoria e Garantia de SI – Carta de auditoria

© ISACA 2013

Todos os direitos reservados.

3

Contratação

de auditoria

Uma atividade de contratação de auditoria, tarefa ou revisão

específica, como uma auditoria, revisão de auto-avaliação de

controle, consultoria ou teste de fraude.

Uma contratação de auditoria pode incluir várias tarefas ou

atividades desenvolvidas para a realização de um conjunto

específico de objetivos relacionados.

Independência

A liberdade de condições que ameaçam a objetividade ou a

aparência da objetividade. Tais ameaças à objetividade devem

ser gerenciadas nos níveis individuais de auditor, contratação,

funcional e organizacional. Independência inclui a independência

de pensamento e de aparência.

Vinculação

a diretrizes

Tipo

Título

Diretriz

2001 - Carta de auditoria

Data de

Vigência

Esta norma da ISACA é válida para todas as contratações de auditoria e garantia

de SI a partir de 1º de novembro de 2013.

A natureza especializada da auditoria e garantia de sistemas de informação (SI) e a capacidade necessária para realizar essas contratações requerem o estabelecimento de normas que se apliquem especificamente à auditoria e garantia de SI. O desenvolvimento e a disseminação das normas de auditoria e garantia de SI são fundamentais como contribuição profissional da ISACA® para a comunidade de auditoria.

As normas de auditoria e garantia de SI definem requisitos obrigatórios para auditoria, emissão de relatórios e orientações sobre:

 Profissionais de auditoria e garantia de SI no nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA;

 A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem;

 Os requisitos necessários para os detentores da certificação Certified Information Systems Auditor® (CISA®) (Auditor Certificado em Sistemas de Informação). A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da CISA pelo Conselho de Administração da ISACA ou pelo comitê apropriado e, finalmente, em ação disciplinar.

Profissionais de auditoria e garantia devem incluir uma declaração em seu trabalho, quando apropriado, de que a contratação foi realizada de acordo com as normas de auditoria e garantia de SI da ISACA ou outras normas profissionais aplicáveis.

A estrutura ITAF™ para o profissional de auditoria e garantia de SI apresenta diversos níveis de diretrizes:

 Normas, divididas em três categorias:

- Normas gerais (série 1000) - são os princípios norteadores sob os quais funciona a profissão de auditoria e garantia de SI. As normas se aplicam à realização de todas as tarefas, e lidam com a ética, a

independência, a objetividade e o devido cuidado, bem como conhecimento, competência e habilidade do profissional de auditoria e garantia de SI. As declarações de normas (em negrito) são obrigatórias. - Normas de desempenho (série 1200) – tratam da realização da contratação, por exemplo, planejamento

e supervisão, definição de escopo, risco e materialidade, mobilização de recursos, gestão de supervisão e tarefa, evidência de auditoria e garantia, e o exercício de julgamento profissional, bem como o devido cuidado. - Normas de relatório (série 1400) - abordam os tipos de relatórios, os meios de comunicação e as

informações comunicadas

 Diretrizes, em apoio às normas, e também divididas em três categorias: - Diretrizes gerais (série 2000)

- Diretrizes de desempenho (série 2200) - Diretrizes de relatório (série 2400)

 Ferramentas e técnicas, oferecendo orientação adicional para profissionais de auditoria e garantia de SI, por exemplo, documentos, programas de auditoria/garantia de SI, a família de produtos COBIT® 5 Um glossário on-line de termos usados na ITAF é fornecido em www.isaca.org/glossary.

Ressalva: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer procedimento ou teste específico, profissionais de controle devem aplicar seu próprio juízo profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de SI.

O ISACA Professional Standards and Career Management Committee (Comitê de Normas Profissionais e Gestão de Carreira, PSCMC) está comprometido em realizar uma ampla consulta na preparação de normas e diretrizes. Antes de divulgar qualquer documento, uma versão preliminar é divulgada internacionalmente para ser submetida à avaliação pública. As avaliações também podem ser enviadas aos cuidados do diretor de desenvolvimento de normas profissionais por e-mail (standards@isaca.org), fax (+1.847. 253.1443) ou correio (ISACA International

Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Norma 1002 de

Auditoria e Garantia de SI

Independência organizacional

ISACA 2012-2013 Professional Standards and Career Management Committee

Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK

Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA

Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP British American Tobacco IT Services, Malaysia Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand

Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan Ian Sanderson, CISA, CRISC, FCA NATO, Belgium Timothy Smith, CISA, CISSP, CPA LPL Financial, USA Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina

Norma 1002 de Auditoria e Garantia de SI - Independência organizacional

© ISACA 2013

Todos os direitos reservados.

2

Declarações

1002.1

A função de auditoria e garantia de SI deverá ser independente da área

ou atividade que está sendo analisada, para permitir a conclusão objetiva

da contratação de auditoria e garantia.

Aspectos

principais

A função de auditoria e garantia de SI deverá:



Reportar, em um nível dentro da organização auditada, que forneça independência

organizacional e permita à função de auditoria e garantia de SI realizar suas

responsabilidades sem interferência.



Divulgar detalhes que comprometam as partes apropriadas, caso a independência

esteja comprometida de fato ou na aparência.



Evitar funções que não sejam da auditoria em iniciativas de SI, que exijam

a suposição de responsabilidades de gestão, pois tais funções podem prejudicar

a independência futura.



Abordar a independência e a responsabilidade da função de auditoria em sua carta

de contratação

Termos

Termo

Definição

Comprometida

Uma condição que causa fraqueza ou diminuição da capacidade

de executar objetivos de auditoria

Comprometimento na independência organizacional e na

objetividade individual pode incluir um conflito de interesse

pessoal; limitações de escopo; restrições sobre acesso a registros,

pessoal, equipamento ou instalações, e limitações de recursos

(como financiamento ou equipe).

Independência

A liberdade de condições que ameaçam a objetividade ou

a aparência da objetividade. Tais ameaças à objetividade devem

ser gerenciadas nos níveis individuais de auditor, contratação,

funcional e organizacional.

A independência inclui a independência de pensamento

e de aparência.

Independência

de aparência

A prevenção de fatos e circunstâncias que sejam tão

significativas que um terceiro razoável e informado estaria

propenso a concluir, pesando todos os fatos e circunstâncias

específicas, que a integridade, a objetividade ou o ceticismo

profissional de uma empresa, uma função de auditoria ou

um membro da equipe de auditoria tenha sido comprometido.

Independência

de pensamento

O estado de pensamento que permite a expressão de uma

conclusão sem ser afetada por influências que comprometam

o julgamento profissional, permitindo, assim, que uma pessoa

aja com integridade e exercite a objetividade e o ceticismo

profissional.

Objetividade

A capacidade de exercer um julgamento, expressar opiniões

e apresentar recomendações com imparcialidade

Norma 1002 de Auditoria e Garantia de SI - Independência organizacional

© ISACA 2013

Todos os direitos reservados.

3

Vinculação

a diretrizes

Tipo

Título

Diretriz

2002 - Independência organizacional

Data de

Vigência

Esta norma da ISACA é válida para todas as contratações de auditoria e garantia

de SI a partir de 1º de novembro de 2013.

A natureza especializada da auditoria e garantia de sistemas de informação (SI) e a capacidade necessária para realizar essas contratações requerem o estabelecimento de normas que se apliquem especificamente à auditoria e garantia de SI. O desenvolvimento e a disseminação das normas de auditoria e garantia de SI são fundamentais como contribuição profissional da ISACA® para a comunidade de auditoria.

As normas de auditoria e garantia de SI definem requisitos obrigatórios para auditoria, emissão de relatórios e orientações sobre:

 Profissionais de auditoria e garantia de SI no nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA;

 A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem;

 Os requisitos necessários para os detentores da certificação Certified Information Systems Auditor® (CISA®) (Auditor Certificado em Sistemas de Informação). A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da CISA pelo Conselho de Administração da ISACA ou pelo comitê apropriado e, finalmente, em ação disciplinar.

Profissionais de auditoria e garantia devem incluir uma declaração em seu trabalho, quando apropriado, de que a contratação foi realizada de acordo com as normas de auditoria e garantia de SI da ISACA ou outras normas profissionais aplicáveis.

A estrutura ITAF™ para o profissional de auditoria e garantia de SI apresenta diversos níveis de diretrizes:

 Normas, divididas em três categorias:

- Normas gerais (série 1000) - são os princípios norteadores sob os quais funciona a profissão de auditoria e garantia de SI. As normas se aplicam à realização de todas as tarefas, e lidam com a ética, a

independência, a objetividade e o devido cuidado, bem como conhecimento, competência e habilidade do profissional de auditoria e garantia de SI. As declarações de normas (em negrito) são obrigatórias. - Normas de desempenho (série 1200) – tratam da realização da contratação, por exemplo, planejamento

e supervisão, definição de escopo, risco e materialidade, mobilização de recursos, gestão de supervisão e tarefa, evidência de auditoria e garantia, e o exercício de julgamento profissional, bem como o devido cuidado. - Normas de relatório (série 1400) - abordam os tipos de relatórios, os meios de comunicação e as

informações comunicadas

 Diretrizes, em apoio às normas, e também divididas em três categorias: - Diretrizes gerais (série 2000)

- Diretrizes de desempenho (série 2200) - Diretrizes de relatório (série 2400)

 Ferramentas e técnicas, oferecendo orientação adicional para profissionais de auditoria e garantia de SI, por exemplo, documentos, programas de auditoria/garantia de SI, a família de produtos COBIT® 5 Um glossário on-line de termos usados na ITAF é fornecido em www.isaca.org/glossary.

Ressalva: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer procedimento ou teste específico, profissionais de controle devem aplicar seu próprio juízo profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de SI.

O ISACA Professional Standards and Career Management Committee (Comitê de Normas Profissionais e Gestão de Carreira, PSCMC) está comprometido em realizar uma ampla consulta na preparação de normas e diretrizes. Antes de divulgar qualquer documento, uma versão preliminar é divulgada internacionalmente para ser submetida à avaliação pública. As avaliações também podem ser enviadas aos cuidados do diretor de desenvolvimento de normas profissionais por e-mail (standards@isaca.org), fax (+1.847. 253.1443) ou correio (ISACA International

Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Norma 1003 de Auditoria e

Garantia de SI

Independência profissional

ISACA 2012-2013 Professional Standards and Career Management Committee

Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK

Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA

Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP British American Tobacco IT Services, Malaysia Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand

Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan Ian Sanderson, CISA, CRISC, FCA NATO, Belgium Timothy Smith, CISA, CISSP, CPA LPL Financial, USA Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina

Norma 1003 de Auditoria e Garantia de SI - Independência Profissional

© ISACA 2013

Todos os direitos reservados.

2

Declarações

1003.1

Profissionais de auditoria e garantia de SI devem ser independentes e objetivos

na atitude e na aparência em todos os assuntos relacionados a contratações

de auditoria e garantia.

Aspectos

principais

Profissionais de auditoria e garantia de SI devem:



Conduzir a contratação de auditoria ou garantia de SI com um estado de espírito

imparcial ao abordar questões de garantia e ao tirar conclusões.



Ser independente de fato, mas também aparentar ser independente sempre.



Divulgar detalhes que comprometam as partes apropriadas, caso a independência

esteja comprometida de fato ou na aparência.



Avaliar a independência regularmente com o comitê de gestão e auditoria,

caso exista um estabelecido.



Evitar funções que não sejam da auditoria em iniciativas de SI, que exijam

a suposição de responsabilidades de gestão, pois tais funções podem prejudicar

a independência futura.

Termos

Termo

Definição

Comprometida

Uma condição que causa fraqueza ou diminuição da capacidade de

executar objetivos de auditoria

Comprometimento na independência organizacional e na

objetividade individual pode incluir um conflito de interesse

pessoal; limitações de escopo; restrições sobre acesso a registros,

pessoal, equipamento ou instalações, e limitações de recursos

(como financiamento ou equipe).

Independência

A liberdade de condições que ameaçam a objetividade ou a

aparência da objetividade. Tais ameaças à objetividade devem

ser gerenciadas nos níveis individuais de auditor, contratação,

funcional e organizacional.

Independência inclui a

independência de pensamento

e de aparência.

Independência

de aparência

A prevenção de fatos e circunstâncias que sejam tão

significativas que um terceiro razoável e informado estaria

propenso a concluir, pesando todos os fatos e circunstâncias

específicas, que a integridade, a objetividade ou o ceticismo

profissional de uma empresa, uma função de auditoria ou

um membro da equipe de auditoria tenha sido comprometido.

Independência

de pensamento

O estado de pensamento que permite a expressão de uma

conclusão sem ser afetada por influências que comprometam

o julgamento profissional, permitindo, assim, que uma pessoa

aja com integridade e exercite a objetividade e o ceticismo

profissional.

Objetividade

A capacidade de exercer um julgamento, expressar opiniões

e apresentar recomendações com imparcialidade

Norma 1003 de Auditoria e Garantia de SI - Independência Profissional

© ISACA 2013

Todos os direitos reservados.

3

Vinculação

a diretrizes

Tipo

Título

Diretriz

2003 - Independência profissional

Data de

Vigência

Esta norma da ISACA é válida para todas as contratações de auditoria e garantia

de SI a partir de 1º de novembro de 2013.

A natureza especializada da auditoria e garantia de sistemas de informação (SI) e a capacidade necessária para realizar essas contratações requerem o estabelecimento de normas que se apliquem especificamente à auditoria e garantia de SI. O desenvolvimento e a disseminação das normas de auditoria e garantia de SI são fundamentais como contribuição profissional da ISACA® para a comunidade de auditoria.

As normas de auditoria e garantia de SI definem requisitos obrigatórios para auditoria, emissão de relatórios e orientações sobre:

 Profissionais de auditoria e garantia de SI no nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA;

 A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem;

 Os requisitos necessários para os detentores da certificação Certified Information Systems Auditor® (CISA®) (Auditor Certificado em Sistemas de Informação). A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da CISA pelo Conselho de Administração da ISACA ou pelo comitê apropriado e, finalmente, em ação disciplinar.

Profissionais de auditoria e garantia devem incluir uma declaração em seu trabalho, quando apropriado, de que a contratação foi realizada de acordo com as normas de auditoria e garantia de SI da ISACA ou outras normas profissionais aplicáveis.

A estrutura ITAF™ para o profissional de auditoria e garantia de SI apresenta diversos níveis de diretrizes:

 Normas, divididas em três categorias:

- Normas gerais (série 1000) - são os princípios norteadores sob os quais funciona a profissão de auditoria e garantia de SI. As normas se aplicam à realização de todas as tarefas, e lidam com a ética, a

independência, a objetividade e o devido cuidado, bem como conhecimento, competência e habilidade do profissional de auditoria e garantia de SI. As declarações de normas (em negrito) são obrigatórias. - Normas de desempenho (série 1200) – tratam da realização da contratação, por exemplo, planejamento

e supervisão, definição de escopo, risco e materialidade, mobilização de recursos, gestão de supervisão e tarefa, evidência de auditoria e garantia, e o exercício de julgamento profissional, bem como o devido cuidado. - Normas de relatório (série 1400) - abordam os tipos de relatórios, os meios de comunicação e as

informações comunicadas

 Diretrizes, em apoio às normas, e também divididas em três categorias: - Diretrizes gerais (série 2000)

- Diretrizes de desempenho (série 2200) - Diretrizes de relatório (série 2400)

 Ferramentas e técnicas, oferecendo orientação adicional para profissionais de auditoria e garantia de SI, por exemplo, documentos, programas de auditoria/garantia de SI, a família de produtos COBIT® 5 Um glossário on-line de termos usados na ITAF é fornecido em www.isaca.org/glossary.

Ressalva: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer procedimento ou teste específico, profissionais de controle devem aplicar seu próprio juízo profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de SI.

O ISACA Professional Standards and Career Management Committee (Comitê de Normas Profissionais e Gestão de Carreira, PSCMC) está comprometido em realizar uma ampla consulta na preparação de normas e diretrizes. Antes de divulgar qualquer documento, uma versão preliminar é divulgada internacionalmente para ser submetida à avaliação pública. As avaliações também podem ser enviadas aos cuidados do diretor de desenvolvimento de normas profissionais por e-mail (standards@isaca.org), fax (+1.847. 253.1443) ou correio (ISACA International

Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Norma 1004 de

Auditoria e Garantia de SI

Expectativa Razoável

ISACA 2012-2013 Professional Standards and Career Management Committee

Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK

Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA

Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP British American Tobacco IT Services, Malaysia Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand

Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan Ian Sanderson, CISA, CRISC, FCA NATO, Belgium Timothy Smith, CISA, CISSP, CPA LPL Financial, USA Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina

Norma 1004 de Auditoria e Garantia de SI - Expectativa razoável

© ISACA 2013

Todos os direitos reservados.

2

Declarações

1004.1

1004.2

1004.3

Profissionais de auditoria e garantia de SI deverão ter expectativas razoáveis

de que a contratação pode ser concluída de acordo com as normas de auditoria

e garantia de SI e, quando necessário, de acordo com outras normas adequadas

profissionais ou do setor, ou regulamentos aplicáveis, e que resultem em

uma opinião ou conclusão profissional.

Profissionais de auditoria e garantia de SI deverão ter expectativas razoáveis

de que o escopo da contratação permita a conclusão sobre o assunto e aborde

qualquer restrição.

Profissionais de auditoria e garantia de SI deverão ter expectativas razoáveis

de que a gerência compreenda suas obrigações e responsabilidades em relação

ao fornecimento de informações apropriadas, relevantes e oportunas necessárias

à realização da contratação.

Aspectos

principais

Profissionais de auditoria e garantia de SI devem:



Realizar a contratação de auditoria ou garantia de SI somente se o trabalho puder

ser concluído com êxito, de acordo com normas profissionais.



Realizar a contratação de auditoria ou garantia de SI somente se o assunto

da contratação puder ser avaliado em relação a critérios relevantes.



Revisar o escopo da contratação de auditoria ou garantia de SI para determinar que

ele esteja claramente documentado e permita tirar uma conclusão sobre o assunto.

Identificar e abordar qualquer restrição colocada sobre a contratação a ser

realizada, incluindo o acesso a informações apropriadas, relevantes e oportunas.

Considerar se o escopo é suficiente para permitir que uma seja expressa sobre

o assunto. Podem ocorrer limitações de escopo quando informações necessárias

para concluir a contratação estiverem indisponíveis, quando o período incluído

na contratação de garantia do auditor de SI for insuficiente ou quando a gerência

tentar limitar o escopo a áreas selecionadas. Nesses casos, outros tipos de

contratações podem ser considerados como suporte para declarações financeiras

auditadas, revisões de controles, conformidade com normas e práticas requeridas

ou conformidade com os acordos, licenças, legislação e regulamentos.

Termos

Termo

Definição

Opinião

do auditor

Declaração formal expressa pelo profissional de auditoria

ou garantia de SI, que descreve o escopo da auditoria, os

procedimentos usados para produzir o relatório, e se os resultados

confirmam ou não que os critérios da auditoria foram satisfeitos.

Os tipos de opiniões são:



Opinião não qualificada - não observa nenhuma exceção, ou

nenhuma das exceções observadas agregam a uma

deficiência significativa



Opinião qualificada - observa exceções agregadas a uma

deficiência significativa (mas não uma fraqueza material)



Opinião adversa - observa uma ou mais deficiências

significativas agregadas a uma fraqueza material

Norma 1004 de Auditoria e Garantia de SI - Expectativa razoável

© ISACA 2013

Todos os direitos reservados.

3

Observação: uma abstenção de opinião é emitida quando o

auditor não consegue obter evidência de auditoria apropriada o

suficiente na qual basear uma opinião, ou quando é impossível

formar uma opinião devido às interações potenciais de várias

incertezas e seu possível impacto cumulativo.

Vinculação

a diretrizes

Tipo

Título

Diretriz

2004 - Expectativa Razoável

Data de

Vigência

Esta norma da ISACA é válida para todas as contratações de auditoria e garantia

de SI a partir de 1º de novembro de 2013.

A natureza especializada da auditoria e garantia de sistemas de informação (SI) e a capacidade necessária para realizar essas contratações requerem o estabelecimento de normas que se apliquem especificamente à auditoria e garantia de SI. O desenvolvimento e a disseminação das normas de auditoria e garantia de SI são fundamentais como contribuição profissional da ISACA® para a comunidade de auditoria.

As normas de auditoria e garantia de SI definem requisitos obrigatórios para auditoria, emissão de relatórios e orientações sobre:

 Profissionais de auditoria e garantia de SI no nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA;

 A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem;

 Os requisitos necessários para os detentores da certificação Certified Information Systems Auditor® (CISA®) (Auditor Certificado em Sistemas de Informação). A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da CISA pelo Conselho de Administração da ISACA ou pelo comitê apropriado e, finalmente, em ação disciplinar.

Profissionais de auditoria e garantia devem incluir uma declaração em seu trabalho, quando apropriado, de que a contratação foi realizada de acordo com as normas de auditoria e garantia de SI da ISACA ou outras normas profissionais aplicáveis.

A estrutura ITAF™ para o profissional de auditoria e garantia de SI apresenta diversos níveis de diretrizes:

 Normas, divididas em três categorias:

- Normas gerais (série 1000) - são os princípios norteadores sob os quais funciona a profissão de auditoria e garantia de SI. As normas se aplicam à realização de todas as tarefas, e lidam com a ética, a

independência, a objetividade e o devido cuidado, bem como conhecimento, competência e habilidade do profissional de auditoria e garantia de SI. As declarações de normas (em negrito) são obrigatórias. - Normas de desempenho (série 1200) – tratam da realização da contratação, por exemplo, planejamento

e supervisão, definição de escopo, risco e materialidade, mobilização de recursos, gestão de supervisão e tarefa, evidência de auditoria e garantia, e o exercício de julgamento profissional, bem como o devido cuidado. - Normas de relatório (série 1400) - abordam os tipos de relatórios, os meios de comunicação e as

informações comunicadas

 Diretrizes, em apoio às normas, e também divididas em três categorias: - Diretrizes gerais (série 2000)

- Diretrizes de desempenho (série 2200) - Diretrizes de relatório (série 2400)

 Ferramentas e técnicas, oferecendo orientação adicional para profissionais de auditoria e garantia de SI, por exemplo, documentos, programas de auditoria/garantia de SI, a família de produtos COBIT® 5 Um glossário on-line de termos usados na ITAF é fornecido em www.isaca.org/glossary.

Ressalva: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer procedimento ou teste específico, profissionais de controle devem aplicar seu próprio juízo profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de SI.

O ISACA Professional Standards and Career Management Committee (Comitê de Normas Profissionais e Gestão de Carreira, PSCMC) está comprometido em realizar uma ampla consulta na preparação de normas e diretrizes. Antes de divulgar qualquer documento, uma versão preliminar é divulgada internacionalmente para ser submetida à avaliação pública. As avaliações também podem ser enviadas aos cuidados do diretor de desenvolvimento de normas profissionais por e-mail (standards@isaca.org), fax (+1.847. 253.1443) ou correio (ISACA International

Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Norma 1005 de

Auditoria e Garantia de SI

Devido Cuidado Profissional

ISACA 2012-2013 Professional Standards and Career Management Committee

Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK

Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA

Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP British American Tobacco IT Services, Malaysia Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand

Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan Ian Sanderson, CISA, CRISC, FCA NATO, Belgium Timothy Smith, CISA, CISSP, CPA LPL Financial, USA Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina

Norma 1005 de Auditoria e Garantia de SI - Devido Cuidado Profissional

© ISACA 2013

All rights reserved.

2

Declarações

1005.1

Profissionais de auditoria e garantia de SI deverão exercer o devido cuidado

profissional, incluindo o cumprimento de normas de auditoria profissional aplicáveis,

no planejamento, realização e relatório sobre os resultados das contratações.

Aspectos

principais

Profissionais de auditoria e garantia de SI devem:

Realizar contratações com integridade e cuidado.



Demonstrar entendimento e competência suficientes para alcançar os objetivos

da contratação.



Manter o Ceticismo Profissional ao longo de toda a contratação.



Manter a competência profissional, mantendo-se informado e em conformidade

com desenvolvimentos em normas profissionais.



Comunicar a membros da equipe suas funções e responsabilidades, e garantir

a adesão da equipe às normas apropriadas na condução de contratações.

Abordar todos os interesses encontrados em relação à aplicação de normas

durante a realização da contratação.



Manter comunicações eficazes com partes interessadas ao longo de toda

a contratação.



Tomar medidas razoáveis para proteger informações obtidas ou derivadas durante

a contratação contra a publicação ou divulgação inadvertida a terceiros

não autorizados.



Conduzir todas as contratações tendo em mente o conceito de garantia razoável.

O nível de testes variará com o tipo de contratação.

Observação: o devido cuidado profissional implica em cuidado e competência

razoáveis, não infalibilidade ou desempenho extraordinário.

Termos

Termo

Definição

Ceticismo

profissional

Atitude que inclui uma mente questionadora e uma avaliação

crítica da evidência de auditoria. Fonte: American Institute of

Certified Public Accountants (Instituto Americano de Contadores

Públicos Certificados, AICPA) AU 230.07

Vinculação

a diretrizes

Tipo

Título

Diretriz

2005 - Devido cuidado profissional

Data de

Vigência

Esta norma da ISACA é válida para todas as contratações de auditoria e garantia

de SI a partir de 1º de novembro de 2013.

A natureza especializada da auditoria e garantia de sistemas de informação (SI) e a capacidade necessária para realizar essas contratações requerem o estabelecimento de normas que se apliquem especificamente à auditoria e garantia de SI. O desenvolvimento e a disseminação das normas de auditoria e garantia de SI são fundamentais como contribuição profissional da ISACA® para a comunidade de auditoria.

As normas de auditoria e garantia de SI definem requisitos obrigatórios para auditoria, emissão de relatórios e orientações sobre:

 Profissionais de auditoria e garantia de SI no nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA;

 A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem;

 Os requisitos necessários para os detentores da certificação Certified Information Systems Auditor® (CISA®) (Auditor Certificado em Sistemas de Informação). A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da CISA pelo Conselho de Administração da ISACA ou pelo comitê apropriado e, finalmente, em ação disciplinar.

Profissionais de auditoria e garantia devem incluir uma declaração em seu trabalho, quando apropriado, de que a contratação foi realizada de acordo com as normas de auditoria e garantia de SI da ISACA ou outras normas profissionais aplicáveis.

A estrutura ITAF™ para o profissional de auditoria e garantia de SI apresenta diversos níveis de diretrizes:

 Normas, divididas em três categorias:

- Normas gerais (série 1000) - são os princípios norteadores sob os quais funciona a profissão de auditoria e garantia de SI. As normas se aplicam à realização de todas as tarefas, e lidam com a ética, a

independência, a objetividade e o devido cuidado, bem como conhecimento, competência e habilidade do profissional de auditoria e garantia de SI. As declarações de normas (em negrito) são obrigatórias. - Normas de desempenho (série 1200) – tratam da realização da contratação, por exemplo, planejamento

e supervisão, definição de escopo, risco e materialidade, mobilização de recursos, gestão de supervisão e tarefa, evidência de auditoria e garantia, e o exercício de julgamento profissional, bem como o devido cuidado. - Normas de relatório (série 1400) - abordam os tipos de relatórios, os meios de comunicação e as

informações comunicadas

 Diretrizes, em apoio às normas, e também divididas em três categorias: - Diretrizes gerais (série 2000)

- Diretrizes de desempenho (série 2200) - Diretrizes de relatório (série 2400)

 Ferramentas e técnicas, oferecendo orientação adicional para profissionais de auditoria e garantia de SI, por exemplo, documentos, programas de auditoria/garantia de SI, a família de produtos COBIT® 5 Um glossário on-line de termos usados na ITAF é fornecido em www.isaca.org/glossary.

Ressalva: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer procedimento ou teste específico, profissionais de controle devem aplicar seu próprio juízo profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de SI.

O ISACA Professional Standards and Career Management Committee (Comitê de Normas Profissionais e Gestão de Carreira, PSCMC) está comprometido em realizar uma ampla consulta na preparação de normas e diretrizes. Antes de divulgar qualquer documento, uma versão preliminar é divulgada internacionalmente para ser submetida à avaliação pública. As avaliações também podem ser enviadas aos cuidados do diretor de desenvolvimento de normas profissionais por e-mail (standards@isaca.org), fax (+1.847. 253.1443) ou correio (ISACA International

Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Norma 1006 de

Auditoria e Garantia de SI

Proficiência

ISACA 2012-2013 Professional Standards and Career Management Committee

Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK

Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA

Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP British American Tobacco IT Services, Malaysia Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand

Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan Ian Sanderson, CISA, CRISC, FCA NATO, Belgium Timothy Smith, CISA, CISSP, CPA LPL Financial, USA Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina

Norma 1006 de Auditoria e Garantia de SI - Proficiência

© ISACA 2013

Todos os direitos reservados.

2

Declarações

1006.1

1006.2

1006.3

Profissionais de auditoria e garantia de SI, coletivamente com outros auxiliando

na tarefa, deverão possuir habilidades e proficiência adequadas na condução

de contratações de auditoria e garantia de SI, e deverão ser profissionalmente

competentes para realizar o trabalho necessário.

Profissionais de auditoria e garantia de SI, coletivamente com outros auxiliando

na contratação, devem possuir conhecimento adequado do assunto.

Profissionais de auditoria e garantia de SI devem manter a competência profissional

por meio de educação e treinamento profissionais apropriados e contínuos.

Aspectos

principais

Profissionais de auditoria e garantia de SI devem:



Demonstrar ter Competências Profissionais (habilidades, conhecimento e

experiência relevantes para a contratação planejada) suficientes antes do início

do trabalho.



Avaliar meios alternativos de aquisição de habilidades, incluindo subcontratação,

terceirização de uma parte das tarefas, adiamento da tarefa até que tais

habilidades estejam disponíveis ou, do contrário, garantindo que as habilidades

apropriadas estejam disponíveis.



Certificar-se de que os membros da equipe que não possuem uma CISA nem

outra designação profissional relevante e que estejam envolvidos na contratação

de auditoria e garantia de SI tenham ensino formal, treinamento e experiência de

trabalho suficientes.



Fornecer garantia razoável ao liderar uma equipe para conduzir uma contratação

de auditoria ou garantia de SI em que todos os membros da equipe tenham

o nível de competência profissional adequado para o trabalho a ser executado.

Ter conhecimento suficiente das principais áreas para permitir a realização

da contratação de auditoria ou garantia de SI de maneira eficaz e eficiente,

juntamente com qualquer especialista envolvido e outros membros da equipe.

Atender continuamente a requisitos de educação ou desenvolvimento

profissional da CISA ou outras designações profissionais relevantes.

Atualizar continuamente o conhecimento profissional através de cursos

educacionais, seminários, conferências, webcasts e treinamento no local

de trabalho, para oferecer um nível de serviço profissional proporcional

aos requisitos da função de auditoria ou garantia de SI.

Termos

Termo

Definição

Competência

A capacidade de realizar uma tarefa, ação ou função específica

com êxito

Proficiência

Possuir habilidade e experiência

Vinculação

a diretrizes

Tipo

Título

Norma 1006 de Auditoria e Garantia de SI - Proficiência

© ISACA 2013

Todos os direitos reservados.

3

Data de

Vigência

Esta norma da ISACA é válida para todas as contratações de auditoria e garantia

de SI a partir de 1º de novembro de 2013.

A natureza especializada da auditoria e garantia de sistemas de informação (SI) e a capacidade necessária para realizar essas contratações requerem o estabelecimento de normas que se apliquem especificamente à auditoria e garantia de SI. O desenvolvimento e a disseminação das normas de auditoria e garantia de SI são fundamentais como contribuição profissional da ISACA® para a comunidade de auditoria.

As normas de auditoria e garantia de SI definem requisitos obrigatórios para auditoria, emissão de relatórios e orientações sobre:

 Profissionais de auditoria e garantia de SI no nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA;

 A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem;

 Os requisitos necessários para os detentores da certificação Certified Information Systems Auditor® (CISA®) (Auditor Certificado em Sistemas de Informação). A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da CISA pelo Conselho de Administração da ISACA ou pelo comitê apropriado e, finalmente, em ação disciplinar.

Profissionais de auditoria e garantia devem incluir uma declaração em seu trabalho, quando apropriado, de que a contratação foi realizada de acordo com as normas de auditoria e garantia de SI da ISACA ou outras normas profissionais aplicáveis.

A estrutura ITAF™ para o profissional de auditoria e garantia de SI apresenta diversos níveis de diretrizes:

 Normas, divididas em três categorias:

- Normas gerais (série 1000) - são os princípios norteadores sob os quais funciona a profissão de auditoria e garantia de SI. As normas se aplicam à realização de todas as tarefas, e lidam com a ética, a

independência, a objetividade e o devido cuidado, bem como conhecimento, competência e habilidade do profissional de auditoria e garantia de SI. As declarações de normas (em negrito) são obrigatórias. - Normas de desempenho (série 1200) – tratam da realização da contratação, por exemplo, planejamento

e supervisão, definição de escopo, risco e materialidade, mobilização de recursos, gestão de supervisão e tarefa, evidência de auditoria e garantia, e o exercício de julgamento profissional, bem como o devido cuidado. - Normas de relatório (série 1400) - abordam os tipos de relatórios, os meios de comunicação e as

informações comunicadas

 Diretrizes, em apoio às normas, e também divididas em três categorias: - Diretrizes gerais (série 2000)

- Diretrizes de desempenho (série 2200) - Diretrizes de relatório (série 2400)

 Ferramentas e técnicas, oferecendo orientação adicional para profissionais de auditoria e garantia de SI, por exemplo, documentos, programas de auditoria/garantia de SI, a família de produtos COBIT® 5 Um glossário on-line de termos usados na ITAF é fornecido em www.isaca.org/glossary.

Ressalva: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer procedimento ou teste específico, profissionais de controle devem aplicar seu próprio juízo profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de SI.

O ISACA Professional Standards and Career Management Committee (Comitê de Normas Profissionais e Gestão de Carreira, PSCMC) está comprometido em realizar uma ampla consulta na preparação de normas e diretrizes. Antes de divulgar qualquer documento, uma versão preliminar é divulgada internacionalmente para ser submetida à avaliação pública. As avaliações também podem ser enviadas aos cuidados do diretor de desenvolvimento de normas profissionais por e-mail (standards@isaca.org), fax (+1.847. 253.1443) ou correio (ISACA International

Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Norma 1007 de

Auditoria e Garantia de SI

Assertivas

ISACA 2012-2013 Professional Standards and Career Management Committee

Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK

Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA

Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP British American Tobacco IT Services, Malaysia Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand

Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan Ian Sanderson, CISA, CRISC, FCA NATO, Belgium Timothy Smith, CISA, CISSP, CPA LPL Financial, USA Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina

Norma 1007 de Auditoria e Garantia de SI - Assertivas

© ISACA 2013

All rights reserved.

2

Declarações

1007.1

Profissionais de auditoria e garantia de SI deverão revisar as afirmações em relação

às quais o assunto será avaliado, para determinar se tais assertivas são capazes

de ser auditadas e se são suficientes, válidas e relevantes.

Aspectos

principais

Profissionais de auditoria e garantia de SI devem:



Avaliar os critérios em relação aos quais o tema será avaliado, para garantir

que eles apoiem as Assertivas.



Determinar se as assertivas são auditáveis e apoiadas por informações confirmadas.



Determinar se as assertivas são baseadas em critérios determinados corretamente

e sujeitos a análise objetiva e mensurável.



Sempre que assertivas forem desenvolvidas pelo gerenciamento, certificar-se

de que, quando comparadas a outras normas de pronunciamentos abalizadas,

as assertivas sejam suficientes em relação ao que esperaria um leitor

ou usuário conhecedor.



Quando assertivas forem desenvolvidas por terceiros que operam controles

em nome da empresa, certificar-se de que as assertivas sejam verificadas e aceitas

pelo gerenciamento.



Relatar diretamente em relação ao assunto (relatório direto) ou em relação

a uma assertiva sobre o assunto (relatório indireto).



Formar uma conclusão sobre cada assertiva, com base no agregado dos resultados

em relação a critérios, juntamente com avaliação profissional.

Termos

Termo

Definição

Assertiva

Qualquer declaração ou conjunto de declarações formais sobre

o assunto, feito pelo gerenciamento.

Assertivas devem normalmente ser feitas por escrito e,

geralmente, contêm uma lista de atributos específicos sobre

o assunto específico ou sobre um processo que envolva o assunto.

Vinculação

a diretrizes

Tipo

Título

Diretriz

2007 Assertivas

Data de

Vigência

Esta norma da ISACA é válida para todas as contratações de auditoria e garantia

de SI a partir de 1º de novembro de 2013.

A natureza especializada da auditoria e garantia de sistemas de informação (SI) e a capacidade necessária para realizar essas contratações requerem o estabelecimento de normas que se apliquem especificamente à auditoria e garantia de SI. O desenvolvimento e a disseminação das normas de auditoria e garantia de SI são fundamentais como contribuição profissional da ISACA® para a comunidade de auditoria.

As normas de auditoria e garantia de SI definem requisitos obrigatórios para auditoria, emissão de relatórios e orientações sobre:

 Profissionais de auditoria e garantia de SI no nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA;

 A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às atividades daqueles que a exercem;

 Os requisitos necessários para os detentores da certificação Certified Information Systems Auditor® (CISA®) (Auditor Certificado em Sistemas de Informação). A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da CISA pelo Conselho de Administração da ISACA ou pelo comitê apropriado e, finalmente, em ação disciplinar.

Profissionais de auditoria e garantia devem incluir uma declaração em seu trabalho, quando apropriado, de que a contratação foi realizada de acordo com as normas de auditoria e garantia de SI da ISACA ou outras normas profissionais aplicáveis.

A estrutura ITAF™ para o profissional de auditoria e garantia de SI apresenta diversos níveis de diretrizes:

 Normas, divididas em três categorias:

- Normas gerais (série 1000) - são os princípios norteadores sob os quais funciona a profissão de auditoria e garantia de SI. As normas se aplicam à realização de todas as tarefas, e lidam com a ética, a

independência, a objetividade e o devido cuidado, bem como conhecimento, competência e habilidade do profissional de auditoria e garantia de SI. As declarações de normas (em negrito) são obrigatórias. - Normas de desempenho (série 1200) – tratam da realização da contratação, por exemplo, planejamento

e supervisão, definição de escopo, risco e materialidade, mobilização de recursos, gestão de supervisão e tarefa, evidência de auditoria e garantia, e o exercício de julgamento profissional, bem como o devido cuidado. - Normas de relatório (série 1400) - abordam os tipos de relatórios, os meios de comunicação e as

informações comunicadas

 Diretrizes, em apoio às normas, e também divididas em três categorias: - Diretrizes gerais (série 2000)

- Diretrizes de desempenho (série 2200) - Diretrizes de relatório (série 2400)

 Ferramentas e técnicas, oferecendo orientação adicional para profissionais de auditoria e garantia de SI, por exemplo, documentos, programas de auditoria/garantia de SI, a família de produtos COBIT® 5 Um glossário on-line de termos usados na ITAF é fornecido em www.isaca.org/glossary.

Ressalva: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes também voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer procedimento ou teste específico, profissionais de controle devem aplicar seu próprio juízo profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de SI.

O ISACA Professional Standards and Career Management Committee (Comitê de Normas Profissionais e Gestão de Carreira, PSCMC) está comprometido em realizar uma ampla consulta na preparação de normas e diretrizes. Antes de divulgar qualquer documento, uma versão preliminar é divulgada internacionalmente para ser submetida à avaliação pública. As avaliações também podem ser enviadas aos cuidados do diretor de desenvolvimento de normas profissionais por e-mail (standards@isaca.org), fax (+1.847. 253.1443) ou correio (ISACA International

Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Norma 1008 de

Auditoria e Garantia de SI

Critérios

ISACA 2012-2013 Professional Standards and Career Management Committee

Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK

Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA

Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP British American Tobacco IT Services, Malaysia Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand

Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan Ian Sanderson, CISA, CRISC, FCA NATO, Belgium Timothy Smith, CISA, CISSP, CPA LPL Financial, USA Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina

Norma 1008 de Auditoria e Garantia de SI - Critérios

© ISACA 2013

Todos os direitos reservados.

2

Declarações

1008.1

1008.2

Profissionais de auditoria e garantia de SI deverão selecionar os critérios em relação

aos quais o assunto será avaliado, que são: ser objetivos, completos, relevantes,

mensuráveis, compreensíveis, amplamente reconhecidos, confiáveis e

compreensíveis, ou disponíveis, a todos os leitores e usuários do relatório.

Profissionais de auditoria e garantia de SI deverão considerar a fonte dos critérios

e se concentrar nos critérios emitidos por órgãos autorizados relevantes antes

de aceitar critérios menos conhecidos.

Aspectos

principais

Profissionais de auditoria e garantia de SI devem:



Considerar a seleção de Critérios cuidadosamente, e ser capazes de justificar

a seleção.



Usar avaliação profissional para garantir que, se aplicado, o uso dos critérios

permitirá o desenvolvimento de uma opinião ou conclusão justa e objetiva,

que não induzirá a erro o leitor nem o usuário. É sabido que a gestão pode colocar

em evidência critérios que não atendam a todos os requisitos.



Considerar a adequação e disponibilidade de critérios na determinação dos

requisitos de contratação.



Quando critérios não estiverem prontamente disponíveis, estiverem incompletos

ou sujeitos a interpretação, inclua uma descrição e qualquer outra informação

necessária para garantir que o relatório seja justo, objetivo e compreensível,

e que o contexto no qual os critérios são usados seja incluído no relatório.

A adequação e conveniência dos critérios de avaliação do assunto devem ser avaliados

em relação aos cinco critérios de adequação seguintes:



Objetividade - os critérios devem ser livres de tendências que possam afetar

adversamente os resultados e as conclusões do profissional e, dessa forma, possam

induzir a erro o usuário do relatório.



Totalidade - os critérios devem ser suficientemente completos, para que todos

os critérios que possam afetar as conclusões do profissional sobre o assunto sejam

identificados e usados na condução da contratação da auditoria ou garantia de SI.

Relevância - os critérios devem ser relevantes para o assunto, e contribuir com

resultados e conclusões que atendam aos objetivos da contratação da auditoria

ou garantia de SI.



Mensurabilidade - os critérios devem permitir a mensuração consistente do

assunto, e o desenvolvimento de conclusões consistentes quando aplicados por

diferentes profissionais em circunstâncias semelhantes.



Compreensibilidade - os critérios devem ser comunicados de forma clara, e não devem

estar sujeitos às interpretações significativamente diferentes por usuários aos quais

se destinam.