ANDRADE SOTO Consultoria em TI - Governança de TI, Gestão de Riscos, Conformidade, Auditoria de Sistemas, Política de Segurança, ISO 27001, Cobit, Porto Alegre, São Paulo

Auditoria Interna - 4 passos básicos

Fonte: Institucional
Data: 18/03/2009

As auditorias internas realizadas por setores de auditoria, riscos/compliance, ou por profissionais de outras áreas das empresas (TI, contábil, etc.) são muito importantes, e encorajamos essa prática de forma constante.

Contudo, essas auditorias devem ser conduzidas corretamente, com metodologia e seguindo algumas boas práticas para que o resultado seja evidente, e as melhorias sejam sustentáveis, além, é claro, de seguir revisando os controles implementados para uma melhoria constante.

Iremos passar aqui algumas etapas básicas para que uma empresa possa dar início ao processo de auditoria interna. Alguns itens que podemos citar como exemplo:

1 – Definição do escopo

Nesta etapa são respondidas algumas perguntas, como “Onde a auditoria será realizada ?”, “O que se espera com o trabalho ?”. Pode ser que o gerente da área de TI queira saber quais os riscos existem na sua infra-estrutura, ou quais as vulnerabilidades podem existir no seu sistema de contabilidade, por exemplo.

2 – Definição dos checklists

Seguindo o mesmo exemplo do item 1, poderíamos definir como checklists iniciais para o trabalho, alguns itens referentes a infra-estrutura contidos na ISO 27001, por exemplo, e outros checklists abrangendo bancos de dados, sistemas operacionais e firewalls. Os checklists são guias para dar início à auditoria. Certamente muitos itens deverão ser adicionados ao checklist inicial, e outros serão excluídos do checklist, de acordo com as necessidades e características da empresa.

3 – Entrevistas com os usuários

Como o elo mais fraco da segurança de sistema são os usuários, é importante realizar entrevistas com pessoas das áreas auditadas, principalmente para conhecer bem os processos operacionais e detectar possíveis falhas ou fragilidades. As entrevistas são excelentes subsídios para uma auditoria, pois os colaboradores da empresa têm conhecimento do negócio e das operações que muitas vezes a pessoa que está realizando a auditoria interna não domina.

4 – Testes e Evidências

É obrigatória a realização de testes para todos os itens do checklist, e o armazenamento das evidências coletadas. Por exemplo, em um teste de análise de arquivo de logs, parte do arquivo de log pode ser salvo em um arquivo para posterior consulta, e comprovação da conformidade ou não-conformidade.

O sistema ARMOR Risk Management facilita muito o processo de auditoria por disponibilizar todos os passos da auditoria de forma simples e organizada, adicionando metodologia e organização aos trabalhos realizados dentro da empresa.

Com o sistema ARMOR Risk Management é dada continuidade ao trabalho de auditoria, através do módulo de gerenciamento de riscos.

Clique aqui para conhecer o sistema, ou aqui para saber como a ANDRADESOTO pode auxiliar a sua empresa a conhecer seus riscos e minimizá-los.

Porto Alegre (51) 3223 4000 - São Paulo (11) 3522 4141