ESCOPO DA AUDITORIA DE SISTEMAS

A auditoria de sistemas se assemelha a testes de controle de segurança da informação. Entretanto, o escopo normal de uma auditoria de sistemas abrange todo o ciclo de vida da tecnologia em análise. As auditorias são sempre resultado de alguma preocupação com a gestão de ativos tecnológicos e geralmente quem a busca são os proprietários de ativos tecnológicos ou parte interessada das informações e do ambiente de sistemas, incluindo os próprios gerentes de sistemas. 


Muitas vezes, mapear o objetivo da auditoria de sistemas é um desafio para os auditores. Iniciam identificando a atividade de negócios com maior probabilidade de produzir o melhor tipo de evidência para apoiar o objetivo da auditoria. Depois identificam quais sistemas e redes de aplicativos são usados para computar as informações que suportam as atividades operacionais e comerciais das companhias. 


Para um gerente de tecnologia da informação, o escopo da auditoria de sistemas deve ser claro desde o início. Deve compor um conjunto bem definido de pessoas, processos e tecnologias que correspondam claramente ao objetivo da auditoria. Se um auditor não entender o ambiente tecnológico antes do início de uma auditoria, pode haver erros na definição do escopo. Onde tais erros acontecem, eles são frequentemente capturados no decorrer da auditoria e sistemas que anteriormente não estavam no escopo podem ser declarados como existentes. 


O trabalho de campo da auditoria de sistemas abrange o processo de identificação de pessoas, processos e tecnologias dentro de um determinado ambiente de sistemas que correspondem às atividades de controle esperadas. A gerência responsável pelos resultados da auditoria deve fazer o melhor para garantir que o auditor recebe as informações diretamente do especialista na área sob análise, inclusive alertando sobre a importância das respostas ao questionário do auditor que seja correta e concisa  às perguntas para a  auditoria, ou seja, encaminhar o auditor para o especialista no assunto abordado, ou se não houver, voltar para o contato responsável.


Caso os profissionais de auditoria de sistemas não encontrarem evidências de que um objetivo de controle é atingido, eles retornarão ao gerente responsável para ver se há alguma atividade com a organização que se qualifica como satisfazendo o objetivo que não foi antecipado pelo auditor. Durante o trabalho de campo, um profissional de auditoria de sistemas terá uma lista de possíveis descobertas. Eles podem ainda não estar totalmente documentados, mas a condição pode ser conhecida. É papel do contato de TI auxiliar a gerência e o auditor na busca de evidências que assegurem que o objetivo de controle seja atingido e, assim, concluir o trabalho do auditor.


Existindo ou não constatações da auditoria de sistemas, o trabalho será concluído com um relatório de avaliação, contendo a opinião formal do auditor com relação ao tópico da preocupação de gerenciamento que conduz o objetivo da auditoria. O objetivo da auditoria será definido, a metodologia de auditoria será descrita resumidamente e haverá uma declaração com relação à opinião profissional do auditor sobre se a preocupação da administração é adequadamente tratada. O relatório também pode incluir recomendações para atividades de manejo que reduziriam o impacto dos resultados. 


Entre em contato com a TATICCA – ALLINIAL GLOBAL, que atua com serviços integrados de auditoria, contabilidade, impostos, corporate finance, financial advisory, risk advisory, tecnologia, consultoria empresarial e treinamento, para obter mais informações, pelo www.taticca.com.br ou e-mail taticca@taticca.com.br e saiba mais. Nossa empresa conta com profissionais com ampla experiência no mercado e possui metodologias certificadas para a realização das atividades.