NORMA DE AUDITORIA DE SI

DOCUMENTO S12 MATERIALIDADE DA AUDITORIA

A natureza especializada da auditoria de sistemas de informação (SI) e a capacidade necessária para realizar essas auditorias
requerem o estabelecimento de normas que se apliquem especificamente à auditoria de SI. Uma das metas da ISACA® é propor
normas globalmente aplicáveis para satisfazer a sua visão. O desenvolvimento e disseminação das Normas de Auditoria de SI são
fundamentais como contribuição profissional da ISACA para a comunidade de auditoria. A estrutura das Normas de Auditoria de SI
apresenta diversos níveis de orientação:
„ As Normas definem requisitos obrigatórios para auditorias e relatórios de SI. Elas informam:
– Os auditores de SI sobre o nível mínimo de desempenho aceitável exigido para cumprir as responsabilidades profissionais
estabelecidas no Código de Ética Profissional da ISACA;
– A gerência e outras partes interessadas sobre as expectativas da profissão no que se refere às actividades daqueles que a
exercem;
® ®
– Os detentores da nomeação Certified Information Systems Auditor , CISA (Auditor Certificado de Sistemas de Informação)
sobre os requisitos. A não conformidade com essas normas pode resultar numa investigação da conduta do detentor da
CISA pelo Conselho de Administração da ISACA ou pelo comité apropriado da ISACA e, finalmente, em acção disciplinar.
„ As Directrizes fornecem orientação para a aplicação das Normas de Auditoria de SI. O auditor de SI deve levá-las em
consideração para determinar como alcançar a implementação das normas, usar a avaliação profissional na sua aplicação e estar
preparado para justificar qualquer divergência. O objectivo das Directrizes de Auditoria de SI é fornecer informações adicionais
sobre como cumprir as Normas de Auditoria de SI.
„ Os Procedimentos fornecem exemplos de procedimentos que um auditor de SI pode seguir durante a realização de uma
auditoria. Os documentos de procedimentos fornecem informações sobre como cumprir as normas ao realizar a auditoria de SI,
mas não estabelecem requisitos. O objectivo dos Procedimentos de Auditoria de SI é fornecer informações adicionais sobre como
cumprir as Normas de Auditoria de SI.

Os recursos C OBIT® devem ser utilizados como uma fonte de orientação para as melhores práticas. O Framework COBIT determina
que "É responsabilidade da gestão salvaguardar todos os activos da empresa. Para cumprir com essa responsabilidade e também
alcançar as expectativas, a gestão deve estabelecer um sistema adequado de controlo interno". O COBIT fornece um conjunto
detalhado de controlos e técnicas de controlo para o ambiente de gestão de sistemas de informação. A selecção do material mais
relevante do COBIT, aplicável ao âmbito da auditoria em questão, baseia-se na escolha de processos de TI específicos do COBIT e na
consideração dos seus critérios de informação.

Conforme definido no Framework COBIT, cada um dos itens a seguir é organizado por processo de gestão de TI. O C OBIT destina-se à
utilização por parte dos responsáveis de negócios e TI, bem como por auditores de SI; portanto, o seu uso permite a compreensão dos
objectivos de negócio, de modo a que a comunicação das melhores práticas e recomendações seja realizada em torno de uma
referência normativa entendida e respeitada de forma geral por todos. O COBIT inclui:
„ Objectivos de controlo — declarações genéricas detalhadas e de alto nível sobre a qualidade mínima de um bom controlo;
„ Práticas de controlo — análises práticas e orientações sobre “como implementar”, referentes aos objectivos de controlo;
„ Directrizes de auditoria — orientação para cada área de controlo sobre como obter um entendimento, avaliar cada controlo,
verificar o cumprimento das normas e demonstrar o risco do não-cumprimento dos controlos;
„ Directrizes de gestão — orientação sobre como avaliar e melhorar o desempenho dos processos de TI, utilizando modelos de
maturidade, sistemas de avaliação e factores críticos de sucesso. Elas fornecem uma estrutura orientada para a gestão, para uma
autoavaliação contínua e proactiva do controlo, especificamente focada em:
– Avaliação de desempenho – A TI responde às exigências do negócio? As directrizes de gestão podem ser utilizadas para dar
suporte a actividades de autoavaliação, e também podem ser usadas para suportar a implementação, por parte da gestão,
de procedimentos de acompanhamento e aperfeiçoamento contínuo, como parte de um esquema do controlo de TI;
– Perfil do controlo de TI – Que processos de TI são importantes? Quais os factores críticos de sucesso para o controlo?
– Consciencialização – Quais os riscos de não se alcançar os objectivos?
– Benchmarking – O que fazem os outros? Como podem os resultados ser medidos e comparados? As directrizes de gestão
fornecem exemplos de medição, permitindo a avaliação do desempenho de TI em termos de negócio. Os principais
indicadores de objectivos identificam e avaliam os resultados dos processos de TI, enquanto os principais indicadores de
desempenho avaliam a eficiência dos processos, ao avaliar os factores que permitem a sua execução. Modelos e atributos
de maturidade possibilitam avaliações de capacidade e de mercado, auxiliando a gestão a avaliar a capacidade de controlo e
a identificar falhas de controlo e estratégias de aperfeiçoamento.

Um glossário de termos pode ser encontrado no site da ISACA, em www.isaca.org/glossary. As palavras auditoria e revisão são
utilizadas indistintamente.

Ressalva: A ISACA desenvolveu este guia visando definir o nível mínimo de desempenho aceitável exigido para dar resposta às
responsabilidades profissionais estabelecidas no Código de Ética Profissional da ISACA. A ISACA não oferece qualquer garantia de
que o uso deste produto irá assegurar um resultado bem-sucedido. A publicação não deve ser considerada parte integrante de
quaisquer procedimentos e testes apropriados, ou de outros procedimentos e testes também voltados para a obtenção dos mesmos
resultados. Ao determinar a adequação de qualquer procedimento ou teste específico, o profissional da área de controlo deve aplicar o
seu próprio julgamento profissional às circunstâncias específicas de controlo apresentadas pelos sistemas ou pelo ambiente privado de
sistemas ou tecnologia da informação.
O Conselho Normativo da ISACA tem o compromisso de realizar uma ampla consulta para a preparação das Normas, Directrizes e
Procedimentos de Auditoria de SI. Antes de divulgar qualquer documento, o Conselho Normativo divulga internacionalmente versões
preliminares, submetidas à avaliação pública. O Conselho Normativo também procura indivíduos com especial interesse ou experiência
no tópico em questão, para consultas quando necessário. O Conselho Normativo possui um programa de desenvolvimento contínuo e
acolhe a colaboração de membros da ISACA e outras partes interessadas, na identificação de questões emergentes que exijam novas
normas. As sugestões devem ser enviadas por e-mail (standards@isaca.org), fax (+1.847.253.1443) ou correio (endereço no final do
documento) à Sede Internacional da ISACA, aos cuidados do director de padrões de pesquisa e relações académicas. Este material foi
divulgado em 15 de Maio de 2006.

S12 Materialidade da Auditoria

Apresentação
01 As normas da ISACA contêm princípios básicos e procedimentos essenciais, identificados a negrito, que são obrigatórios,
juntamente com orientações relacionadas com os mesmos.
02 O objectivo desta norma de auditoria de SI é estabelecer e fornecer orientações sobre o conceito de materialidade de auditoria e a
sua relação com o risco de auditoria.

Norma
03 O auditor de SI deve considerar a materialidade de auditoria e sua relação com o risco de auditoria ao determinar a
natureza, época e extensão dos procedimentos de auditoria.
04 Ao planear a auditoria, o auditor de SI deve considerar potenciais fraquezas ou ausência de controlos e se tal
fraqueza ou ausência de controlo pode resultar em significativa deficiência ou em fraqueza material no sistema de
informação.
05 O auditor de SI deve considerar o efeito cumulativo das menores deficiências de controlo ou fraqueza e ausência de
controlos que podem ser convertidas em deficiência significativa ou fraqueza material no sistema de informações.
06 O relatório do auditor de SI deve divulgar controlos ineficazes ou a ausência de controlos e a importância das
deficiências de controlo e a possibilidade dessas fraquezas resultarem em uma deficiência significativa ou fraqueza
material.

Orientações Adicionais
07 Risco de auditoria é o risco do auditor de SI chegar a uma conclusão incorrecta com base em descobertas da auditoria. O
auditor de SI deve sempre estar ciente dos três componentes do risco de auditoria, a saber, risco inerente, risco de controlo e
risco de detecção. Consulte G13, Uso de Avaliação de Risco em Planeamento de Auditoria para obter uma análise mais
detalhada sobre riscos.
08 Ao planear e realizar a auditoria, o auditor de SI deve tentar reduzir o risco de auditoria a um baixo nível aceitável e satisfazer
os objectivos da auditoria. Isso é conseguido pela avaliação adequada do SI e controlos relacionados.
09 A fraqueza no controlo é considerada "material" se a ausência do controlo resultar em falha no fornecimento de garantia
razoável de que o objectivo de controlo será satisfeito.
10 Uma fraqueza classificada como material significa:
„ Que os controlos não estão no lugar e/ou os controlos não estão em uso e/ou os controlos são inadequados;
„ Que permite agravamento.
11 Uma fraqueza material é uma deficiência significativa ou uma combinação de deficiências significativas que resultam em
mais que uma remota probabilidade de que evento(s) indesejável(is) não seja(m) evitado(s) ou detectado(s)
12 Há uma relação inversa entre materialidade e nível do risco de auditoria aceitável ao auditor de SI, ou seja, quanto maior o
nível da materialidade, menor a aceitabilidade do risco de auditoria, e vice-versa. Isso permite que o auditor de SI determine
a natureza, época e extensão de processos de auditoria. Por exemplo, ao planear um procedimento de auditoria específico, o
auditor de SI determina que a materialidade é inferior, aumentando assim o risco de auditoria. O auditor de SI desejaria
compensar estendendo o teste de controlos (reduzir a avaliação do risco de controlo) ou estender os procedimentos de teste
material (reduzir avaliação do risco de detecção).
13 Ao determinar se uma deficiência de controlo ou combinação de deficiência de controlo é uma deficiência significativa ou
fraqueza material, o auditor de SI deve avaliar o efeito dos controlos de compensação e se os mesmos são eficazes.
14 A avaliação do auditor de SI da materialidade e risco de auditoria pode variar de tempos a tempos, dependendo das
circunstâncias e alteração do ambiente.
15 O auditor de SI deve consultar a Directriz de Auditoria de SI G6 Conceitos de Materialidade para Auditoria de Sistemas de
Informação.
16 Consulte as orientações a seguir para obter mais informações sobre a materialidade da auditoria:
„ Directrizes de auditoria de SI:
– G2 Requisito para Evidência de Auditoria;
– G5 Carta de Auditoria;
– G8 Documentação de Auditoria;
– G9 Considerações da Auditoria sobre Irregularidades;
– G13 Uso da Avaliação de Riscos no Planeamento da Auditoria;
„ COBIT 4.0, IT Governance Institute, 2005;
„ IT Control Objectives for Sarbanes-Oxley (Objectivos de controlo de TI para Sarbanes-Oxley), IT Governance
Institute, 2004.
Data de Vigência
17 Esta norma da ISACA é válida para todas as auditorias de SI iniciadas em ou após 1 de Julho de 2006.

Conselho Normativo 2005-2006 da Information Systems Audit and Control Association (ISACA)
Presidente, Sergio Fleginsky, CISA ICI Paints, Uruguai
Svein Aldal Aldal Consulting, Noruega
John Beveridge, CISA, CISM, CFE, CGFM, CQA Gabinete do Auditor do Estado de Massachusetts, EUA
Christina Ledesma, CISA, CISM Citibank NA Sucursal, Uruguai
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Câmara Municipal de Brisbane, Austrália
Meera Venkatesh, CISA, CISM, ACS, CISSP, CWA Microsoft Corporation, EUA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Ikanos Communications, Índia
John G. Ott, CISA, CPA AmerisourceBergen, EUA
Thomas Thompson, CISA, PMP Ernst & Young, Emirados Árabes Unidos

© Copyright 2006
®
Information Systems Audit and Control Association (ISACA)
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EUA
Telefone: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: standards@isaca.org
Web site: www.isaca.org