Caro Cristiano, boa noite!
Cristiano, um processo de auditoria tem um "ritual" a ser realizado,
finalizando nas conclusões sobre o(s) objeto(s) (escopo) avaliado.
Sugiro a leitura do IT Assurance Guide da ISACA, vai te dar uma idéia
deste caminho (pode descarregar no site www.isaca.org). Se você estiver
procurando um standard de reportagem de auditoria, o S7 da ISACA é para
isso, tem em português e o download no site da ISACA é livre. Se estiver
procurando um framework de auditoria de TI, sugiro o ITAF também da
ISACA, mas é liberado somente para membros, ou você pode adquirir o
ebook no site da ISACA.
Quanto ao relatório de auditoria, o mesmo deve expressar tanto o
processo de avaliação quanto a opinião do auditor e tudo que dê
substância a esta opinião (findings, resultados de testes, relatórios,
etc...).
Normalmente, o relatório contém:
* objetivos da auditoria
* escopo (limites do que foi auditado - por exemplo: "Avaliamos
apenas os pagamentos a fornecedor sem ordem de compras de contas a
pagar no Sistema de Contas a Pagar no período de dd/mm/aaaa até
dd/mm/aaaa, utilizando técnicas de amostragem etc.,etc....")
* programa da auditoria (o que foi planejado)
* passos da auditoria realizados
* evidências
* findings
* conclusões
* recomendações
Você comenta que é para ser usado em Juízo. Se for Auditoria Forense,
ela é uma auditoria especializada que deve ser realizada por
profissional de reconhecido conhecimento técnico, indicado pelo Juiz ou
aprovado por este durante o processo. A Auditoria Forense tem como
objetivo a descoberta, revelação e investigação de fraudes e crimes. Se
é algo que você e sua empresa vão usar para, por exemplo, processar
alguém ou se defender, sugiro fortemente que você, se não tiver o
conhecimento necessário de preservação, aceitabilidade, credibilidade,
etc. de provas digitais, que procure uma empresa ou profissional para
fazer isso para você, submeta as credenciais do mesmo ao Juiz para que
ele aprove (CISA credencia para isso, e normalmente os Juízes aceitam
esta certificação). Se isso não for feito, pode prejudicar o processo e
até ter implicações criminais (como "produção" de provas... impressões
de telas ou cópias de arquivos, por exemplo, não são aceitos, a não ser
que sejam feitas em situações especiais - na frente do Juiz ou de um
agente da Justiça designado por ele, por exemplo). Outro ponto é que
esta empresa ou profissional podem até ser sugeridos pelas partes (isso
não é muito usual), mas não devem ser contratados pelas mesmas, mas pela
Justiça para garantir idoneidade e independência. Mas, claro, isso é
caso a caso (por exemplo, se houve um comprometimento de segurança em um
sistema você não vai esperar um acionamento de um advogado, uma petição
e depois uma decisão do Juiz, você vai ter que isolar o sistema e usar
técnicas de preservação de evidências imediatamente). Mas imagino que
não seja o seu caso, porque você menciona ITIL e não vejo como a ITIL
possa ajudar num caso destes.
Abraços,
Paulo César Rodrigues - CISA®, CISM®, CGEIT®
Em 26-03-2010 11:53, Cristiano escreveu:
Caros colegas
Tenho que concluir um relatório de auditoria em TI baseado em ITIL que
possa ser apresentado em Juízo.
Alguém teria algum exemplo que pudesse me enviar ?
Sds
