Pular para o conteúdo

Metodologia de Auditoria de TI: GAIT-R’s Top-Down

    Com o aumento da dependência de sistemas de informação e tecnologias para processar, armazenar e transmitir dados, aumenta-se também o risco de falhas de segurança e violações de dados.

    O GAIT-R é uma metodologia de auditoria de Tecnologia da Informação (TI), sendo “GAIT” o acrônimo para “Guidance for the Audit of Information Technology” e a letra “R” referindo-se à versão “Revised” (revisada) da metodologia.

    Tal metodologia ajuda a garantir que as organizações estejam cientes dos riscos de TI e tenham controles efetivos em vigor para minimizar esses riscos. Isso é crucial para a proteção da confidencialidade, integridade e disponibilidade dos dados, bem como para a continuidade dos negócios.

    Desenvolvida pelo IIA (Institute of Internal Auditors), a metodologia foi desenvolvida visando fornecer orientações para os auditores internos em relação aos riscos de TI e como avaliar o ambiente de controle de TI de uma organização e identificar possíveis riscos e vulnerabilidades. O GAIT-R abrange uma ampla gama de áreas de TI, incluindo, mas não se limitando à governança, gerenciamento de projetos, gerenciamento de mudanças, segurança da informação, continuidade dos negócios, entre outras.

    Como avaliar o risco de TI é apenas uma parte da revisão e avaliação holística dos riscos para o alcance dos objetivos de negócio, os passos discutidos a seguir cobrem todo o processo de identificação de riscos e controles.

    A metodologia consiste em oito etapas, começando com a compreensão do objetivo da revisão (ou avaliação de controles) e terminando com um escopo de trabalho definido. Vejamos:

    1. Identificar os objetivos de negócio para os quais os controles devem ser avaliados.
      .
    2. Identificar os principais controles nos processos de negócios necessários para fornecer uma garantia razoável de que os objetivos de negócios serão alcançados.
      .
    3. Identificar as funções críticas de TI utilizadas, a partir dos principais controles de negócio.
      .
    4. Identificar as aplicações relevantes em que os ITGC’s (IT General Controls) precisam ser testados.
      .
    5. Identificar os riscos do processo de ITGC e os objetivos de controle relacionados.
      .
    6. Identificar os ITGC’s para testar se atendem aos objetivos de controle.
      .
    7. Realizar uma revisão holística de todos os principais controles.
      .
    8. Determinar o escopo da revisão e construir um programa adequado de teste de desenho e efetividade.

    Quer saber mais?

    Explore o professional guidance “GAIT For Business and IT Risk” do IIA.

     

    Foto do post: rawpixel.com no Freepik

     

    * * * * *

     

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.