ipai a auditoria interna e as ti [modo de compatibilidade] · assiste a organização na ... –...

A AUDITORIA INTERNA E ASA AUDITORIA INTERNA E AS TECNOLOGIAS DE

INFORMAÇÃO

Business Assurance com ACLBusiness Assurance com ACLEmbaixada do Canadá em Lisboa, 5 de Maio de 2010

FMAlbino - IPAI - 5.5.10 1

Auditoria InternaAuditoria Interna

• A Auditoria Interna é uma actividade independente de garantia e de consultoria, concebida para acrescentar valor e melhorar as operações de uma organização. Assiste a organização na consecução dos seus objectivos, através de uma abordagem sistemática e disciplinada na avaliação e aperfeiçoamento da eficácia dos processos de gestão do risco, de controlo e de governação.

(IIA, 1999 - tradução do IPAI)


IPAI (I)IPAI (I)

IPAI I tit t P t ê d A dit i I t• IPAI - Instituto Português de Auditoria Interna• Associação profissional, voluntária, fundada em 1992• 650 associados sendo 87 CIAs 42 CCSAs 2 CFSAs e• 650 associados, sendo 87 CIAs, 42 CCSAs, 2 CFSAs e

2 CGAPs.• Capítulo (chapter) #253 do IIA e membro da ECIIACapítulo (chapter) #253 do IIA e membro da ECIIA• Principais actividades:

– promoção da AI– formação em AI– edição portuguesa das normas profissionais– conferência e forum anuaisconferência e forum anuais– edição de revista “Auditoria Interna”– distribuição em Portugal da revista “Internal Auditor”


IPAI (II)IPAI (II)

ã d ifi ã– preparação para os exames de certificação– apoio à criação de gabinetes de auditoria interna– interlocutor dos reguladores e autoridades públicas no seuinterlocutor dos reguladores e autoridades públicas, no seu

domínio

• www ipai ptwww.ipai.pt• [email protected]


IIA (I)IIA (I)

IIA Th I tit t f I t l A dit• IIA – The Institute of Internal Auditors• Fundado em 1941, com sede em Orlando, Florida, EUA• É a organização mundial da Auditoria Interna• É a organização mundial da Auditoria Interna• Usa o lema “progress through sharing”• Tem 163 000 membros, em 165 países• Edita as revistas Internal Auditor, Tone at the Top, Auditwire, IT

Audit, IIA InsightEdita várias newsletters especializadas: GAP News FSA Times• Edita várias newsletters especializadas: GAP News, FSA Times, CSA Sentinel, Gaming Auditorium, CAE Bulletin

• Emite Normas para a Prática Profissional de Auditoria Interna -IPPF (traduzidas em 32 línguas)


IIA (II)IIA (II)

P ti i t i õ fi i i l b ã d• Participa, com outras organizações profissionais, na elaboração de normas e documentos de referência sobre domínios conexos com a Auditoria Interna (COSO, por exemplo).M té f d ã d i i tífi b i• Mantém uma fundação de pesquisa científica sobre riscos, controlos e governação das organizações (IIARF)

• Tem programas de certificação profissional, sendo o principal o CIA (Certified Internal Auditor)

• Conta com 74000 CIAs, 4100 CFSAs, 3600 CCSAs e 1600 CGAPs.• O seu site na internet é uma fonte de informação notável,O seu site na internet é uma fonte de informação notável,

indispensável para qualquer AI • É um centro de apoio para os AIs em todo o mundo.

www.theiia.org


ECIIA (I)ECIIA (I)

ECIIA E C f d ti f I tit t f I t l• ECIIA - European Confederation of Institutes of Internal Auditing

• Sede em BruxelasSede em Bruxelas.• Membros: 33 institutos nacionais de auditoria interna da

região europeia (incluindo Norte de África e Médio g p (Oriente), ente os quais o IPAI

• Principais actividades:D l t d b fi ã d A dit i I t– Desenvolve estudos sobre a profissão de Auditoria Interna, ao nível Europeu

– Promove a profissão de AI perante as instâncias comunitárias– Realiza uma conferência anual numa das capitais euroepias (a

última em Berlim, a próxima em Roma; foi em Lisboa em 1993)


ECIIA (II)ECIIA (II)

P bli i d b fi ã d AI b- Publica importantes documentos sobre a profissão de AI, sob uma perspectiva europeia:

• The Role of Internal Audit in Corporate Governance in Europe: p pCurrent Status, Necessary Improvements, Future Tasks

• Internal Auditing In Europe • Corporate Governance and the Role of Internal AuditingCorporate Governance and the Role of Internal Auditing • Internal Control and Internal Auditing - Guidance for Directors,

Managers and Auditors Banking Internal Auditing in Europe: Overview and• Banking Internal Auditing in Europe: Overview and Recommendations by the Banking Advisory Group

www.eciia.org


Normas de AuditoriaNormas de Auditoria

• As normas de auditoria, em geral, estabelecem:– Requisitos de independência– Requisitos de competência– Metodologia de realização dos trabalhos

• Planeamento • Realização

D t ã• Documentação

– Reporte dos resultados (relatório) Tipos de conclusões (por exemplo as Normas da– Tipos de conclusões (por exemplo, as Normas da IFAC)


Normas de AINormas de AI

A d A dit i I t ã• As normas de Auditoria Interna são:– designadas por “Enquadramento de Práticas

Profissionais de Auditoria Interna” (IPPF –Profissionais de Auditoria Interna (IPPF International Professional Practices Framework)

– promulgadas pelo IIAú i fi ã ( ã d t d t d id– as únicas na profissão (são adoptadas e traduzidas

pelos chapters de cada país).

• Compreendem:– Orientações obrigatórias (Mandatory Guidance)– Orientações fortemente recomendadas (Strongly

Recommended Guidance)


Normas de AINormas de AI

• Orientações obrigatórias (Mandatory Guidance)– Definição de Auditoria Interna– Código de Ética– Normas

• Orientações fortemente recomendadas ç(Strongly Recommended Guidance)– Tomadas de posição (Position Papers)p ç ( p )– Recomendações de práticas (Practice Advisories)– Guias de práticas (Practice Guides)


Guias de práticas (Practice Guides)

Código de Ética (I)Código de Ética (I)

• Introdução• Aplicabilidade e cumprimentop p• Princípios

• IntegridadeIntegridade• Objectividade• ConfidencialidadeConfidencialidade• Competência

• Normas de conduta• Normas de conduta


Normas do IIANormas do IIA

• Normas de Atributos (Attribute Standards) – relativas aos atributos dos indivíduos e das organizações que realizam as auditoriasauditorias.

– 1000 – Finalidade, Autoridade e ResponsabilidadeResponsabilidade

– 1100 – Independência e Objectividade– 1200 – Proficiência e Cuidado Profissional– 1200 – Proficiência e Cuidado Profissional

Adequado– 1300 – Programa de Garantia de Qualidade e1300 Programa de Garantia de Qualidade e

Aperfeiçoamento


Normas do IIANormas do IIA

N d D h• Normas de Desempenho (Performance Standards) -descrevem a natureza da Auditoria Interna e fornecem critérios de qualidade por comparação com os quais se pode medir o desempenho desses serviços– 2000 – Gestão da Actividade de Auditoria Interna

2100 Nat re a do Trabalho– 2100 – Natureza do Trabalho– 2200 – Planeamento do Trabalho

2300 Realização do Trabalho– 2300 – Realização do Trabalho– 2400 – Comunicação dos Resultados– 2500 – Monitorização do Progresso2500 Monitorização do Progresso– 2600 – Resolução da Aceitação dos Riscos pelos

Gestores SuperioresFMAlbino - IPAI - 5.5.10 1414

Certificações em Auditoriaç

A tifi õ A dit i t d l• As certificações em Auditoria outorgadas pelo IIA: – CIA – Certified Internal AuditorCIA Certified Internal Auditor– CCSA – Certification in Control Self-Assessment– CFSA – Certified Financial Services Auditor– CGAP – Certified Government Auditing Professional

• Outras certificações em Auditoria apoiadas pelo IIAIIA:– CPA – Certified Public Accountant– CISA – Certified Information Systems Auditor– CISA – Certified Information Systems Auditor– CFE – Certified Fraud Examiner– CPEA - Certified Professional Environmental Auditor


O Exame CIAO Exame CIA

• Parte I – O Papel da Actividade de Auditoria I t G ã Ri C t lInterna na Governação, Risco e Controlo

• Parte II – A Condução de um Trabalho ( t) d AI(engagement) de AI

• Parte III – Análise de Negócios e Tecnologias de I f ãInformação

• Parte IV – Competências de Gestão de N ó iNegócios


Exame CIA - Parte IExame CIA Parte I

A C l ith Th IIA' Att ib t St d d (15 25%)• A. Comply with The IIA's Attribute Standards (15-25%) • B. Establish a Risk-based Plan to Determine the

Priorities of the Internal Audit Activity (15-25%)Priorities of the Internal Audit Activity (15-25%) • C. Understand the Internal Audit Activity's Role in

Organizational Governance (10-20%) g ( )• D. Perform Other Internal Audit Roles and

Responsibilities (0-10%) E G Ri k d C l K l d El• E. Governance, Risk, and Control Knowledge Elements

(15-25%)• F Plan Engagements (15-25%)• F. Plan Engagements (15-25%)


Exame CIA – Parte IIExame CIA Parte II

• A. Conduct Engagements (25-35%)g g ( )• B. Conduct Specific Engagements (25-35%) • C Monitor Engagement Outcomes (5-15%)• C. Monitor Engagement Outcomes (5-15%) • D. Fraud Knowledge Elements (5-15%)• E. Engagement Tools (15-25%)


Exame CIA – Parte III

• A. Business Processes (15-25%)( )• B. Financial Accounting and Finance (15-25%)• C Managerial Accounting (10-20%)• C. Managerial Accounting (10-20%)• D. Regulatory, Legal, and Economics (5-15%) • E. Information Technology - IT (30-40%)


Exame CIA – Parte IVExame CIA Parte IV

• A. Strategic Management (20-30%)g g ( %)• B. Global Business Environments (15-25%) • D Management Skills (20 30%)• D. Management Skills (20-30%)• E. Negotiating (5-15%)


Auditoria das TI (IIA)Auditoria das TI (IIA)

• Practice Guides do IIA sobre IT Audit– GTAGs – Global Technology Audit Guidesgy– GAIT – Guide to the Assessment of IT

RiskRisk


GTAGsGTAGs

GTAG 1 I f ti T h l C t l• GTAG-1: Information Technology Controls• GTAG-2: Change and Patch Management

Controls: Critical for Organizational SucessControls: Critical for Organizational Sucess• GTAG-3: Continuous Auditing Implications for

Assurance, Monitoring, and RiskAssurance, Monitoring, and Risk Assessment

• GTAG-4: Management of IT Auditing• GTAG-5: Managing and Auditing Privacy Risks• GTAG-6: Managing and Auditing IT

Vulnerabilities• GTAG-7: Information Technology Outsourcing


GTAGsGTAGs

GTAG 8 A diti A li ti C t l• GTAG-8: Auditing Application Controls• GATG-9: Identity and Access Management• GTAG-10: Business Continuity Management• GTAG-11: Developing the IT Audit Plang• GTAG-12: Auditing IT Projects• GTAG-13: Fraud Prevention and Detection inGTAG 13: Fraud Prevention and Detection in

an Automated World


GAIT Practice GuidesGAIT Practice Guides

The GAIT Methodology PG:• The GAIT Methodology PG:– a risk-based approach to assessing the scope of IT general

controls as part of management’s assessment of internal control required by Section 404 of the Sarbanes Oxley Actcontrol required by Section 404 of the Sarbanes-Oxley Act

• GAIT for IT General Control Deficiency A t PGAssessment PG:– an approach for evaluating whether any ITGC deficiencies

identified during Section 404 assessments represent material k i ifi t d fi i iweaknesses or significant deficiencies

• GAIT for Business and IT Risk PG:GAIT for Business and IT Risk PG:– guidance for helping identify the IT controls that are critical to

achieving business goals and objectives


GAIT MethodologyGAIT Methodology

The GAIT R Methodology is built around four principles:The GAIT-R Methodology is built around four principles:• Principle 1: The failure of technology is only a risk that needs to

be assessed, managed, and audited if it represents a risk to the businessbusiness.

• Principle 2: Key controls should be identified as the result of a top-down assessment of business risks, risk tolerance, and the controls required to manage or mitigate business risk.q g g

• Principle 3: Business risks are mitigated by a combination of manual and automated key controls. To assess the system of internal control to manage or mitigate business risks, key automated

t l d t b dcontrols need to be assessed.• Principle 4: ITGCs may be relied upon to provide assurance of

the continued and proper operation of automated key controls.

(IIA, GAIT series)


GAITGAIT

The COSO ERM framework states:The COSO ERM framework states:

“With widespread reliance on information systems, controls are needed over significant systemsneeded over significant systems.Two broad groupings of information systems control activities can be used:The first is general controls which apply to many if not allThe first is general controls, which apply to many if not all application systems and help ensure their continued, proper operation. The second is application controls which include computerizedThe second is application controls, which include computerized steps within application software to control the technology application. Combined with other manual process controls where necessary, p y,these controls ensure completeness accuracy, and validity of information.”(IIA, The GAIT Methodology)


Auditoria Interna e as TI

• How Auditing Contributes to IT Controls• How Auditing Contributes to IT Controls(…) the auditors could add value to the organization by contributing their controls expertise to development processes to ensure appropriate controls were incorporated into new systemsappropriate controls were incorporated into new systems, rather than adding controls after an audit revealed a deficiency. These activities coincided with the developments in control and risk self-assessment in the mainstream audit world. Audit consulting and risk-based auditing became widespread. The 1990s and beyond also saw dramatic increases in attention to information security management as cyber attacks increased in

b d itnumber and severity. These events have helped shape the role of the IT auditor as well as the businesses world’s recognition of the importance of effective information security managementinformation security management.



Testing IT Controls and Continuous AssuranceTesting IT Controls and Continuous Assurance

In addition to assessing the adequacy of ITcontrol mechanisms, g q y ,regular reviews should be performed to ensure that controls continue to function as required. A traditional method used by internal auditors is to create a population of test data that can be processed through the business systems to check the results toprocessed through the business systems to check the results to ensure, for example, that controls continue to accept valid data and reject incorrect and invalid items. (…) given the widespread, complex, and interactive nature of business systems today, audit p , y y,testing tends to focus more specifically on key automated controls:– Automated Continuous Monitoring– Automated Internal Control Analysis Tools– Automated Risk Analysis



1 A t t d C ti M it i1. Automated Continuous MonitoringContinuous monitoring and audit tools have been used for many years. Previously called embedded audit software, program

d i b i t h k d t b i d i tcode in business systems checks data being processed against predetermined criteria and reports anomalies.

2. Automated Internal Control Analysis ToolsAudit software can be used to analyze stored data and check its validity to ensure the continuous, reliable operation of internalvalidity to ensure the continuous, reliable operation of internal controls. Originally designated audit interrogation software, products such as ACL (www.acl.com) or CaseWare IDEA (www.caseware.com) now provide sophisticated features.( ) p p



3 A d Ri k A l i3. Automated Risk AnalysisTools also are available for automating the risk analysis process. These tools are invaluable to the entire internal audit function, not ,just the IT auditor or risk specialist. Performing a proper risk analysis in today’s complex IT environments is not easy without the assistance of automated toolsassistance of automated tools.

(IIA, GTAG-1)


IPAIIPAI

• [email protected]• www.ipai.pt• Av. Duque de Loulé, nº 5 – 2ºBAv. Duque de Loulé, n 5 2 B

1050-085 Lisboa


ipai a auditoria interna e as ti [modo de compatibilidade] · assiste a organização na ... –...

Documents