Relatório de Auditoria de Gestão de TI
Aluna: Isabel Amaral
Auditoria realizada no Tribunal Regional do Trabalho da
23ª Região - Cuiabá
Tabela de Conteúdo
• Introdução
• Análise do Relatório
• Metodologia
• Principais Achados
• Fatos Relevantes
• Conclusão
• Referências
Introdução
O Tribunal Regional do Trabalho da 23ª Região, Cuiabá, foi auditado pelo
Conselho Superior da Justiça do Trabalho, se tratando de uma auditoria externa;
O foco da auditoria são todos os aspectos que envolvem a Gestão da Tecnologia
da Informação como, por exemplo:
Existência de Plano de Estratégia de TI;
Existência de Plano de Segurança da Informação;
Existência de Política de Segurança da Informação;
É importante salientar que não foi só observado a existência ou não das informações, mas também a qualidade e efetividade das mesmas.
Análise do Relatório
Metodologia
Se refere a metodologia adotada para a geração do relatório final:
Foi criado, por meio da avaliação comparativa entre as recomendações da equipe de auditoria e as providências ou os esclarecimentos apresentados pela equipe de Gestão de TI do Tribunal Regional do Trabalho de 23ª Região.
Análise do Relatório
Principais Achados
No relatório achados foram relatados com o nome de ocorrência;
A cada ocorrência foram criadas recomendações para orientar os próximos passos da instituição na busca por uma boa Gestão de TI;
Foram 47 ocorrências encontradas e NENHUM ponto positivo levantado;
Análise do Relatório
Principais problemas encontrados:
A instituição não realizou análise riscos para criar Plano de
Continuidade de Negócios;
Também não analisou riscos que poderiam impedir a execução das
estratégias de TIC do órgão;
Não existem procedimentos que sustentem um Plano de Contingência e de recuperação de desastres;
Análise do Relatório
Principais Achados
Principais problemas encontrados:
Inexistência de Plano Diretor de Tecnologia da Informação e Comunicações (PDTIC)
Inexistência de Planos de Gerenciamento dos Projetos Estratégicos;
Inexistência de indicadores de desempenho voltados para medir e governar a Gestão da TI;
Possui apenas site backup;
Análise do Relatório
Principais Achados
Principais problemas encontrados:
Inexistência de processo formal estabelecido e dedicado ao tratamento das questões de segurança, não existe um Plano Institucional de Segurança da Informação (PISI);
Política de Segurança da Informação existente, porém não baseada na norma NBR ISO/IEC 27002:2005 ;
Não existe uma Política de Controle de Acesso (PCA) lógico;
Análise do Relatório
Principais Achados
Principais problemas encontrados:
Inexistência de inventário completo de todos os programas de computador em uso no Tribunal.
Inexistência de testes para comprovar a eficácia do Plano de Continuidade do Negócio e NEM de treinamentos para capacitar os servidores responsáveis pela elaboração e execução do Plano de Continuidade;
Fatos Relevantes
Período da auditoria de 16 a 19 de novembro de 2010, porém relatório gerado
em Maio de 2012;
Todas as recomendações estão citando a norma existente que visa o aprimoramento do ponto observado, como por exemplo:
“Desenvolva e implante modelo de processo para continuidade da TI. Esse processo deve observar o disposto nos seguintes normativos: NBR ISO/IEC 17799:2005 (itens 14.1.1, 14.1.2 e 14.1.3); e item 9.1.6 do Acórdão n.°1.092/2007 do TCU;”
Análise do Relatório
Fatos Relevantes
“Selecione e implemente controles apropriados para assegurar que os riscos sejam eliminados ou reduzidos a um nível aceitável. Os controles devem ser selecionados a partir da NBR ISO/IEC 27002:2005 ou de outro conjunto de controles como o Cobit. A seleção de controles de segurança da informação depende das decisões da organização e é baseada nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização;”
Análise do Relatório
Fatos Relevantes
Todos os documentos e seus conteúdos foram analisados com base:
Na Control Objectives for Information and related Technology (COBIT),
que é um guia de boas práticas para Gestão de TI;
Na norma NBR ISO/IEC 17799:2005;
E nos Acórdões do TCU.
Relatório possui também os documentos criados em resposta as
recomendações realizadas pelos auditores;
Esses documentos em resposta também foram analisados pelos auditores.
Análise do Relatório
Conclusão
Para uma empresa de importância do setor público, possui uma fraca Estratégia de TI;
Não trabalhou os riscos do negócio, deixando sua documentação sem uma base forte;
Também tem falta de especialização de pessoal, já que não possui treinamento para lidar com o que foi descrito dos Planos de TI que possuem;
Passou a trabalhar nos pontos recomendados, apenas após a finalização do Relatório de Auditoria e o envio do mesmo para órgão superior;
Conclusão
O relatório é completo, apresentando o que foi encontrado pelos auditores, o que fazer para solucionar e a resposta do Tribunal aos problemas encontrados. Lembrando que, todos os pontos destacados como problemáticos na Gestão de TI da instituição têm o respaldo das normas de auditoria de TI.
Dúvidas
Referências
• Relatório Final da Auditoria de Gestão de Tecnologia da Informação - http://
www.csjt.jus.br/c/document_library/get_file?p_l_id=1272434&groupId=955023
&folderId=1333244&name=DLFE-17013.pdf
• Auditoria Interna na Área de Tecnologia da Informação baseado no TCU - http://
portal2.tcu.gov.br/portal/pls/portal/docs/2188952.PDF
• VII Encontro de Auditoria e Unidades de Controle Interno do Sistema “S” (Auditoria
Interna e Governança) - http://
www.sfiec.org.br/palestras/administracao/CGU-SistemaS/AtuacaodaAuditoriaInte rnanaAvaliacaodaGestaodeTI.pdf