Relatório de Auditoria de Gestão de TI

Relatório de Auditoria de Gestão de TI

Aluna: Isabel Amaral

Auditoria realizada no Tribunal Regional do Trabalho da

23ª Região - Cuiabá

Tabela de Conteúdo

• Introdução

• Análise do Relatório

• Metodologia

• Principais Achados

• Fatos Relevantes

• Conclusão

• Referências

Introdução

 O Tribunal Regional do Trabalho da 23ª Região, Cuiabá, foi auditado pelo

Conselho Superior da Justiça do Trabalho, se tratando de uma auditoria externa;

 O foco da auditoria são todos os aspectos que envolvem a Gestão da Tecnologia

da Informação como, por exemplo:

 Existência de Plano de Estratégia de TI;

 Existência de Plano de Segurança da Informação;

 Existência de Política de Segurança da Informação;

 É importante salientar que não foi só observado a existência ou não das informações, mas também a qualidade e efetividade das mesmas.

Análise do Relatório

Metodologia

 Se refere a metodologia adotada para a geração do relatório final:

Foi criado, por meio da avaliação comparativa entre as recomendações da equipe de auditoria e as providências ou os esclarecimentos apresentados pela equipe de Gestão de TI do Tribunal Regional do Trabalho de 23ª Região.

Análise do Relatório

Principais Achados

 No relatório achados foram relatados com o nome de ocorrência;

 A cada ocorrência foram criadas recomendações para orientar os próximos passos da instituição na busca por uma boa Gestão de TI;

 Foram 47 ocorrências encontradas e NENHUM ponto positivo levantado;

Análise do Relatório

 Principais problemas encontrados:

 A instituição não realizou análise riscos para criar Plano de

Continuidade de Negócios;

 Também não analisou riscos que poderiam impedir a execução das

estratégias de TIC do órgão;

 Não existem procedimentos que sustentem um Plano de Contingência e de recuperação de desastres;

Análise do Relatório

Principais Achados

 Principais problemas encontrados:

 Inexistência de Plano Diretor de Tecnologia da Informação e Comunicações (PDTIC)

 Inexistência de Planos de Gerenciamento dos Projetos Estratégicos;

 Inexistência de indicadores de desempenho voltados para medir e governar a Gestão da TI;

 Possui apenas site backup;

Análise do Relatório

Principais Achados

 Principais problemas encontrados:

 Inexistência de processo formal estabelecido e dedicado ao tratamento das questões de segurança, não existe um Plano Institucional de Segurança da Informação (PISI);

 Política de Segurança da Informação existente, porém não baseada na norma NBR ISO/IEC 27002:2005 ;

 Não existe uma Política de Controle de Acesso (PCA) lógico;

Análise do Relatório

Principais Achados

 Principais problemas encontrados:

 Inexistência de inventário completo de todos os programas de computador em uso no Tribunal.

 Inexistência de testes para comprovar a eficácia do Plano de Continuidade do Negócio e NEM de treinamentos para capacitar os servidores responsáveis pela elaboração e execução do Plano de Continuidade;

Fatos Relevantes

 Período da auditoria de 16 a 19 de novembro de 2010, porém relatório gerado

em Maio de 2012;

 Todas as recomendações estão citando a norma existente que visa o aprimoramento do ponto observado, como por exemplo:

“Desenvolva e implante modelo de processo para continuidade da TI. Esse processo deve observar o disposto nos seguintes normativos: NBR ISO/IEC 17799:2005 (itens 14.1.1, 14.1.2 e 14.1.3); e item 9.1.6 do Acórdão n.°1.092/2007 do TCU;”

Análise do Relatório

Fatos Relevantes

“Selecione e implemente controles apropriados para assegurar que os riscos sejam eliminados ou reduzidos a um nível aceitável. Os controles devem ser selecionados a partir da NBR ISO/IEC 27002:2005 ou de outro conjunto de controles como o Cobit. A seleção de controles de segurança da informação depende das decisões da organização e é baseada nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização;”

Análise do Relatório

Fatos Relevantes

 Todos os documentos e seus conteúdos foram analisados com base:

 Na Control Objectives for Information and related Technology (COBIT),

que é um guia de boas práticas para Gestão de TI;

 Na norma NBR ISO/IEC 17799:2005;

 E nos Acórdões do TCU.

 Relatório possui também os documentos criados em resposta as

recomendações realizadas pelos auditores;

 Esses documentos em resposta também foram analisados pelos auditores.

Análise do Relatório

Conclusão

 Para uma empresa de importância do setor público, possui uma fraca Estratégia de TI;

 Não trabalhou os riscos do negócio, deixando sua documentação sem uma base forte;

 Também tem falta de especialização de pessoal, já que não possui treinamento para lidar com o que foi descrito dos Planos de TI que possuem;

 Passou a trabalhar nos pontos recomendados, apenas após a finalização do Relatório de Auditoria e o envio do mesmo para órgão superior;

Conclusão

O relatório é completo, apresentando o que foi encontrado pelos auditores, o que fazer para solucionar e a resposta do Tribunal aos problemas encontrados. Lembrando que, todos os pontos destacados como problemáticos na Gestão de TI da instituição têm o respaldo das normas de auditoria de TI.

Dúvidas

Referências

• Relatório Final da Auditoria de Gestão de Tecnologia da Informação - http://

www.csjt.jus.br/c/document_library/get_file?p_l_id=1272434&groupId=955023

&folderId=1333244&name=DLFE-17013.pdf

• Auditoria Interna na Área de Tecnologia da Informação baseado no TCU - http://

portal2.tcu.gov.br/portal/pls/portal/docs/2188952.PDF

• VII Encontro de Auditoria e Unidades de Controle Interno do Sistema “S” (Auditoria

Interna e Governança) - http://

www.sfiec.org.br/palestras/administracao/CGU-SistemaS/AtuacaodaAuditoriaInte rnanaAvaliacaodaGestaodeTI.pdf