Menu

Auditoria de TI, GRC, Segurança Cibernética, Riscos e Controles

Metodologia de Auditoria de TI: GAIT-R’s Top-Down

Com o aumento da dependência de sistemas de informação e tecnologias para processar, armazenar e transmitir dados, aumenta-se também o risco de falhas de segurança e violações de dados.

O GAIT-R é uma metodologia de auditoria de Tecnologia da Informação (TI), sendo “GAIT” o acrônimo para “Guidance for the Audit of Information Technology” e a letra “R” referindo-se à versão “Revised” (revisada) da metodologia.

Tal metodologia ajuda a garantir que as organizações estejam cientes dos riscos de TI e tenham controles efetivos em vigor para minimizar esses riscos. Isso é crucial para a proteção da confidencialidade, integridade e disponibilidade dos dados, bem como para a continuidade dos negócios.

Desenvolvida pelo IIA (Institute of Internal Auditors), a metodologia foi desenvolvida visando fornecer orientações para os auditores internos em relação aos riscos de TI e como avaliar o ambiente de controle de TI de uma organização e identificar possíveis riscos e vulnerabilidades. O GAIT-R abrange uma ampla gama de áreas de TI, incluindo, mas não se limitando à governança, gerenciamento de projetos, gerenciamento de mudanças, segurança da informação, continuidade dos negócios, entre outras.

Como avaliar o risco de TI é apenas uma parte da revisão e avaliação holística dos riscos para o alcance dos objetivos de negócio, os passos discutidos a seguir cobrem todo o processo de identificação de riscos e controles.

A metodologia consiste em oito etapas, começando com a compreensão do objetivo da revisão (ou avaliação de controles) e terminando com um escopo de trabalho definido. Vejamos:

  1. Identificar os objetivos de negócio para os quais os controles devem ser avaliados.
    .
  2. Identificar os principais controles nos processos de negócios necessários para fornecer uma garantia razoável de que os objetivos de negócios serão alcançados.
    .
  3. Identificar as funções críticas de TI utilizadas, a partir dos principais controles de negócio.
    .
  4. Identificar as aplicações relevantes em que os ITGC’s (IT General Controls) precisam ser testados.
    .
  5. Identificar os riscos do processo de ITGC e os objetivos de controle relacionados.
    .
  6. Identificar os ITGC’s para testar se atendem aos objetivos de controle.
    .
  7. Realizar uma revisão holística de todos os principais controles.
    .
  8. Determinar o escopo da revisão e construir um programa adequado de teste de desenho e efetividade.

Quer saber mais?

Explore o professional guidance “GAIT For Business and IT Risk” do IIA.

 

Foto do post: rawpixel.com no Freepik

 

* * * * *

 

Post Navigation

Segurança da Informação na era da Internet das Coisas (IoT)

Plano dos EUA para segurança cibernética destaca colaboração e investimentos

Postagens relacionadas:

auditar-gestao-continuidade-negocios

Descomplicando a Auditoria: Como auditar Gestão de Continuidade de Negócios (GCN) da sua empresa

como-auditar-folha-pagamento

Descomplicando a Auditoria: Como auditar folha de pagamento

normas-auditoria

International Standards on Auditing and Public and Private Companies

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Salvo disposição em contrário, todo o conteúdo deste site está disponível sob a licença Creative Commons BY-NC-SA 4.0.
Este site tem fins educacionais e informativos. Nenhum conteúdo aqui deve ser considerado como aconselhamento jurídico ou tecnológico.
Valorizamos a sua privacidade. Convidamos você a consultar nossa Política de Privacidade e o Aviso Legal para obter informações adicionais.