1. Mapeamento de Processos

Realizado para entender os processos de geração das informações do SNIS. Este mapeamento permitirá a identificação dos principais riscos que possam afetar a qualidade da informação. Inclui-se nesta etapa elaboração de fluxogramas de processos, técnica de representação gráfica que utiliza símbolos previamente convencionados, permitindo a descrição clara e precisa do fluxo, ou sequência de um processo, bem como sua análise e redesenho;

ATENÇÃO: Entende-se que a etapa de mapeamento de processos - associados às Melhores Práticas do setor - já foi executada para a elaboração dos Guias do Acertar, tendo em vista a identificação dos Riscos e Controles mínimos estabelecidos. Sendo assim, não é essencial para a aplicação dos procedimentos previstos na metodologia a realização de novo mapeamento de processos pela equipe de certificação.

2. Identificação de Riscos

Subsidiam a definição de controles-chaves que constituirão a base de análise do nível de confiança. Utilizam-se diretrizes do COSO (Committee of Sponsoring Organizations - Enterprise Risk Management 2016), da Norma ISO 27001 - Sistemas de Gestão de Segurança da Informação e do COBIT 5 - Governança de Tecnologia da Informação;

3. Avaliação de Confiança

Após a identificação dos riscos e controles relativos ao processo de geração das informações faz-se necessário estruturar procedimentos que possibilitem avaliar se os controles encontram-se implementados e são eficazes. Nesta etapa são aplicados os testes de controle que compõem a Avaliação de Confiança das Informações declaradas ao SNIS pelos prestadores. Cada controle avaliado possui um ou mais atributos que devem ser testados pelas entidades reguladoras;

ATENÇÃO: A avaliação de confiança pode ser realizada em intervalos de 3 anos, sendo válida por esse período a avaliação mais recente. O prestador de serviços poderá, caso altere seus processos tendo em vista as orientações de Melhores Práticas e/ou Recomendações de Auditoria, requerer a revisão antecipada da avaliação de confiança.

4. Avaliação de Exatidão

O nível de exatidão determina o quanto os números informados refletem com precisão os eventos ocorridos. Para tanto, os testes substantivos foram desenvolvidos para avaliar o nível de exatidão dos números declarados pelo prestador para cada informação. A extensão dos procedimentos substantivos depende do nível de confiança avaliado previamente. A classificação de cada informação quanto à exatidão é dada com base no desvio encontrado depois da aplicação dos procedimentos substantivos;

5. Certificação das Informações

É estabelecida a partir da combinação das análises de confiança e de exatidão, a fim de alcançar uma avaliação única, por meio de notas. A partir da certificação deve-se sugerir recomendações e realizar o acompanhamento da implementação das melhorias.