GOVERNANÇA DE TI: Um desafio para a Auditoria Interna. COSME LEANDRO DO PATROCÍNIO Banco Central do Brasil

(1)

GOVERNANÇA DE TI: Um desafio para a Auditoria Interna

COSME LEANDRO DO PATROCÍNIO Banco Central do Brasil

(2)

Programação da Apresentação

• Evolução da Auditoria Interna de TI no Banco

Central;

• Governança de TI;

• Uso do Cobit no Processo de Auditoria de TI; • Plano Anual de Atividades da Auditoria Interna; • Processo de Auditoria Interna de TI:

• Planejamento; Execução; e Relatório. • Conclusões.

(3)

Evolução da Auditoria Interna de TI no Bacen

1998 - 2001 – Auditorias focadas no operacional da área

de TI: Microinformática; Segurança física; Segurança lógica; Redes locais; e Sistemas informatizados.

2002 - 2003 – Os sistemas de informação passam a ser

os principais escopos das auditorias: Sistemas

Informatizados de Departamentos; Administração do Centro de Serviço de Informática; Estrutura Normativa da Área de Informática.

(4)

Evolução da Auditoria Interna de TI no Bacen

2004 - 2005 – A gestão de área da TI ganha destaque,

mas ainda focam principalmente aspectos operacionais: 9 Administração da infra-estrutura de TI;

9 Gerência e desenvolvimento organizacional de TI; 9 Segurança da informação;

9 Administração de banco de dados; Administração de sítios.

(5)

Evolução da Auditoria Interna de TI no Bacen

Obs.: Até o exercício de 2005, a auditoria de TI do

Banco Central estava baseada fortemente no

conhecimento e nas experiências individuais dos auditores (ad hoc).

(6)

Evolução da Auditoria Interna de TI no Bacen

2006 – Estruturação de equipe especializada e início da

implantação do processo de auditoria de TI, com base no CobiT.

Obs.: A equipe de auditoria de TI foi constituída por

(7)

Evolução da Auditoria Interna de TI no Bacen

2007 – Evolução do processo de auditoria de TI,

ajustando-o às Normas Internacionais de Auditoria Interna do IIA.

2008 – Evolução da supervisão das auditorias de TI. 2009 – Ajustes no processo de auditoria de TI, com a

finalidade de evoluir os controles e a maturidade.

Obs.: Anualmente, a equipe de auditoria de TI se reúne

para avaliar o resultado dos trabalhos do ano anterior e propor melhorias para o processo.

(8)

Evolução da Auditoria Interna de TI no Bacen

A evolução da maturidade da auditoria de

TI resultou na elevação da objetividade

(9)

Governança de TI

Governança Corporativa

“O sistema pelo qual as sociedades são dirigidas e

monitoradas, envolvendo os relacionamentos entre

Acionistas/Cotistas, Conselho de Administração,

Diretoria, Auditoria Independente e Conselho Fiscal.” [IBGC-2006]

Governança de TI

“Especificação dos direitos decisórios e do framework

de responsabilidades para estimular comportamentos

(10)

Uso do Cobit no Processo de Auditoria de TI

• O COBIT – Control Objectives for Information and

Related Technology (que pode ser traduzido como

Objetivos de Controle para a Informação e Tecnologias Relacionadas) – ajuda a TI a suportar os objetivos de negócio, ao prover um conjunto de boas práticas de processos.

(11)

Uso do Cobit no Processo de Auditoria de TI

• Apresenta os processos de TI de forma lógica e

estruturada, relacionando riscos de negócios,

necessidades de controles e questões técnicas, sendo independente da plataforma tecnológica, do tipo de

negócio e valor e da participação que a tecnologia da informação tem na cadeia produtiva da organização.

• Organizado em 4 domínios, 34 processo e 210 objetivos de controle.

(12)

Uso do Cobit no Processo de Auditoria de TI

• A avaliação dos processos adotados na área de TI da

empresa tornou-se um desafio para a auditoria interna, considerando a característica dos ativos, a

complexidade do ambiente e os riscos envolvidos, que, até determinado momento, eram incógnitos para os

(13)

Uso do Cobit no Processo de Auditoria de TI

• Modelo para o relacionamento entre os objetos de

auditoria da organização e o CobiT

Domínios Processos

Objetivos de Controle Objetos de Auditoria

(14)

Uso do Cobit no Processo de Auditoria de TI

• A Auditoria Interna do Banco Central, na evolução do

processo de auditoria de TI, definiu o CobiT 4.1 como a referência básica para os trabalhos de auditoria interna. • No processo, o CobiT se destina principalmente na

definição dos objetos e do escopo de auditorias e na

identificação dos objetivos, dos controles e dos riscos de TI, relacionados com os objetos.

(15)

Plano Anual de Atividades da Auditoria Interna

(Paint)

• O Paint é o planejamento das auditorias que serão realizadas durante um determinado exercício.

Encaminhado previamente à Controladoria Geral da União (CGU) para sugestões e aprovado pela Diretoria Colegiada.

• A definição dos objetos a serem auditados no exercício está baseada em matriz de risco, que identifica o grau de importância do objeto para a organização (avaliação dos gestores dos objetos) e a compara com o grau de confiança da auditoria nos controles desses objetos.

(16)

Plano Anual de Atividades da Auditoria Interna

(Paint) - Matriz de Priorização dos Objetos

Muito Baixa Confiabilidade no Controle Interno

Muito Alta Alta Média Baixa

M u i t o A l t a I m p o r t â n c i a d o P r o c e s s o A l t a M é d i a B a i x a M u i t o B a i x a

(17)

Plano Anual de Atividades da Auditoria Interna

(Paint)

• Dimensão da “importância”: relacionamento do processo com o objetivo estratégico; impacto na reputação da instituição, em caso de incidentes; e materialidade dos recursos relacionados.

• Dimensão da “confiabilidade do controle”: lapso de tempo entre as auditorias; quantidade de

recomendações pendentes de solução, ponderadas pelo grau de priorização; e o resultado da avaliação do

(18)

Plano Anual de Atividades da Auditoria Interna

(Paint)

Os objetivos, os riscos e o escopo das auditorias

internas, registrados no Paint, são definidos com base nos processos de TI do CobiT.

Obs.: O CobiT amplia a visão de riscos da Auditoria

Interna. Cabe à equipe de auditoria, durante a execução dos trabalhos, avaliar se os riscos podem impactar a TI da instituição e, conseqüentemente, a necessidade de recomendar o fortalecimento ou a implantação de

(19)

Processo de Auditoria Interna de TI

(Planejamento)

1. Levantamento das informações sobre o

objeto a ser auditado:

Realiza estudos sobre o processo que será

auditado, identificando: as leis e as normas, as

referências técnicas nacionais e internacionais;

os responsáveis pela gestão e execução do

processo; o suporte informatizado existente; e

outras informações relevantes relacionadas.

(20)

Processo de Auditoria Interna de TI

(Planejamento)

2. Elaboração do planejamento operacional da

auditoria

Define e aprova o cronograma “padrão” do

trabalho de auditoria.

Obs.: a ordem das etapas do cronograma é

relevante para o alcance dos objetivos da

auditoria.

(21)

Processo de Auditoria Interna de TI

(Planejamento)

3. Elaboração do Programa da Auditoria

O programa de auditoria consiste:

9 na definição dos objetivos do trabalho;

9 no estabelecimento do escopo e da extensão dos testes necessários;

9 na identificação dos riscos, das atividades de controle e das transações a serem examinadas; e

9 na documentação dos procedimentos utilizados para coletar e avaliar o objeto de auditoria.

(22)

Processo de Auditoria Interna de TI

(Planejamento)

3.1 Elaboração ou revisão da parte inicial do Programa da Auditoria

Foi definido um modelo padrão de “Programa

da Auditoria”, com os campos que devem ser

preenchidos pela equipe. A parte inicial

consiste na organização das informações

obtidas na fase de “Levantamento das

(23)

Processo de Auditoria Interna de TI

(Planejamento)

3.2 Apresentação da equipe de auditoria

A equipe de auditoria é apresentada, pela

chefia da Auditoria Interna, aos responsáveis

pela unidade que terá seu processo auditado.

Os objetivos gerais do trabalho e o escopo

preliminar definido no Paint são explicitados

pela equipe.

(24)

Processo de Auditoria Interna de TI

(Planejamento)

3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI)

O QACI é o conjunto de questões objetivas que

visa auxiliar a equipe de auditoria na avaliação

dos controles instituídos para mitigar os riscos

inerentes ao processo auditado.

(25)

Processo de Auditoria Interna de TI

(Planejamento)

3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) – Continuação

Conforme definido no escopo do trabalho, estabelecido no Paint, a equipe de auditoria elabora questões

objetivas para identificar a existência, a inexistência ou a necessidade, ou não, de determinados controles.

Essas questões devem ser alinhadas com o escopo do Paint, que por sua vez foi baseado nos objetivos de

(26)

Processo de Auditoria Interna de TI

(Planejamento)

Questão de Controle Avaliação Justificativa

1. Questão 1? ( ) Inexistente ( ) Ad Hoc/Inicial ( ) Repetível ( ) Definido ( ) Gerenciado ( ) N/A 2. ...

(27)

Processo de Auditoria Interna de TI

(Planejamento)

Valor Avaliação Descrição

1 Inexistente Processo ou controle não existente, mas os gestores reconhecem a necessidade dos mesmos.

2 Ad Hoc Processo ou controle não estruturado e padronizado, sendo gerido de forma desorganizada.

3 Repetível Processo ou controle padronizado localmente. Treinamento e comunicação não são formalizados.

4 Definido

Processo ou controle padronizado para toda a instituição, com documentação, treinamento e comunicação formais. Contudo, a probabilidade de detecção de desvios é baixa.

5 Gerenciado Processo ou controle institucionalizado, com ações detectivas e corretivas para não conformidades. Melhoria continua, boas práticas e automação são utilizadas.

Na Não aplicável Processo ou controle não existente e os gestores não reconhecem a necessidade dos mesmos.

(28)

Processo de Auditoria Interna de TI

(Planejamento)

Obs.: O QACI é um importante produto do processo de

auditoria de TI, pois agregará informações relevantes para as próximas etapas. No momento da conclusão do questionário, o supervisor deve avaliar o resultado e apresentar sugestões de melhorias, se necessário.

(29)

Processo de Auditoria Interna de TI

(Planejamento)

3.4 Aplicação do QACI

O QACI deve ser respondido pela equipe de auditoria. Oportunidade para a unidade auditada entender, de forma detalhada, o objetivo da auditoria e oferecer

informações que auxiliará na delimitação do escopo do trabalho.

(30)

Processo de Auditoria Interna de TI

(Planejamento)

3.4 Aplicação do QACI – Continuação

A equipe de auditoria deve registrar no QACI as suas respostas, que podem ser alinhadas, ou não, com o entendimento do auditado.

A justificativa deve ser preenchida com informações

sobre o controle ou a sua inaplicabilidade na instituição. No caso a resposta da questão seja N/A, a análise

(31)

Processo de Auditoria Interna de TI

(Planejamento)

3.4 Aplicação do QACI – Continuação

Obs.: Nesse momento, pode ocorrer a primeira

delimitação do escopo definido no Paint. O supervisor deve avaliar o resultado da aplicação do QACI e sugerir ajustes, se necessário.

(32)

Processo de Auditoria Interna de TI

(Planejamento)

3.5 Nota de avaliação sobre o controle interno (NACI)

Ao final da aplicação do QACI, o auditor deverá concluir se o controle interno para a atividade sob exame é

adequado e efetivo. O controle interno pode ser considerado: Ótimo; Bom; Regular; Deficiente; ou

(33)

Processo de Auditoria Interna de TI

(Planejamento)

3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC)

O MORC é o papel de trabalho onde serão registrados os objetivos, os riscos e os controles do processo de TI em análise. Recebe informações do QACI, possibilita a priorização dos riscos inerentes ao processo e dá

suporte à decisão sobre os objetivos e o escopo da auditoria.

(34)

Processo de Auditoria Interna de TI

(Planejamento)

3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação

(35)

Processo de Auditoria Interna de TI

(Planejamento)

(36)

Processo de Auditoria Interna de TI

(Planejamento)

Objetivo do processo de TI: Os objetivos a serem

alcançados pelo processo de TI, em análise, devem ser identificados e registrados pela equipe, em campo

específico do MORC. O CobiT relaciona 28 objetivos com os processos de TI.

(37)

Processo de Auditoria Interna de TI

(Planejamento)

(38)

Processo de Auditoria Interna de TI

(Planejamento)

Descrição do risco: Os riscos de os objetivos dos

processos de TI não serem alcançados devem ser identificados, descritos e registrados pela equipe de auditoria. Para padronizar o nível de detalhamento da descrição dos riscos, convencionou-se que cada

(39)

Processo de Auditoria Interna de TI

(Planejamento)

(40)

Processo de Auditoria Interna de TI

(Planejamento)

Importância do Risco: A equipe de auditoria deve

avaliar os riscos identificados, com base na

probabilidade e no impacto de sua concretização,

utilizando parâmetros de 1 a 5, conforme o “Quadro de distribuição de riscos da atividade”.

(41)

QUADRO DE DISTRIBUIÇÃO DE RISCOS DA ATIVIDADE IM P A C T O

Muito alto Risco

alto Risco alto Risco muito alto Risco muito alto Risco muito alto Alto Risco médio Risco médio Risco alto Risco alto Risco muito alto Médio Risco baixo Risco médio Risco médio Risco alto Risco alto Baixo Risco muito baixo Risco baixo Risco baixo Risco médio Risco médio Nulo Risco muito baixo Risco muito baixo Risco muito baixo Risco muito baixo Risco muito baixo

Improvável Baixa Média Alta Muito alta

(42)

Processo de Auditoria Interna de TI

(Planejamento)

(43)

Processo de Auditoria Interna de TI

(Planejamento)

Atividades de controle: Os mecanismos de controle

adotados pela administração para a mitigação de cada um dos riscos relacionados. Embora o título trate de “atividades de controle”, pode ser incorporado nesse campo outro tipo de resposta ao risco que não seja, necessariamente, a instituição de atividades de

(44)

Processo de Auditoria Interna de TI

(Planejamento)

(45)

Processo de Auditoria Interna de TI

(Planejamento)

Avaliação do controle: A equipe de auditoria deve registrar a sua avaliação preliminar sobre a efetividade da atividade de controle instituída em relação ao risco que pretende

mitigar, incluindo-se a possibilidade de avaliar outros tipos de respostas ao risco. A avaliação deve indicar o nível de eficácia do controle, considerando a seguinte escala

conceitual: (1) inexistente; (2) fraco; (3) insatisfatório; (4) satisfatório; e (5) forte.

(46)

Processo de Auditoria Interna de TI

(Planejamento)

(47)

Processo de Auditoria Interna de TI

(Planejamento)

Impacto na auditoria: Um primeiro indicador do

tratamento que o mapeamento e a avaliação dos riscos e dos controles merecerão na seqüência dos trabalhos de auditoria. É apurado a partir da combinação da

“importância do risco” com o nível de “eficácia do controle”, conforme o “Quadro de hiato de controle”.

(48)

QUADRO DE HIATO DE CONTROLE RANKI N G DO RI S C O

Muito alto Prioridade

alta Prioridade alta Prioridade muito alta Prioridade muito alta Prioridade muito alta Alto Prioridade média Prioridade média Prioridade alta Prioridade alta Prioridade muito alta Médio Prioridade baixa Prioridade média Prioridade média Prioridade alta Prioridade alta Baixo Prioridade muito baixa Prioridade baixa Prioridade baixa Prioridade média Prioridade média Muito baixo Prioridade muito baixa Prioridade muito baixa Prioridade muito baixa Prioridade muito baixa Prioridade muito baixa Forte Satis-fatório Insatis-fatório Fraco Inexis-tente EFICÁCIA DO CONTROLE

(49)

Processo de Auditoria Interna de TI

(Planejamento)

Indicação de procedimentos:

Hiato de controle: com as indicações do hiato de

controle, a “importância do risco” e a “avaliação do controle”, o auditor deve registrar os impactos desse mapeamento e avaliação para a seqüência dos

trabalhos de auditoria, indicando quais os

procedimentos de auditoria que devem ser aplicados durante a fase de execução.

(50)

Processo de Auditoria Interna de TI

(Planejamento)

(51)

Processo de Auditoria Interna de TI

(Planejamento)

Referência: Indicação do número do procedimento de

execução de auditoria, incorporado no sistema

informatizado de suporte das atividades da auditoria, importante para permitir a supervisão dos trabalhos desenvolvidos.

(52)

Processo de Auditoria Interna de TI

(Planejamento)

Obs.: O resultado desse mapeamento e avaliação dos

objetivos, riscos e controles deve ser discutido com as partes interessadas (gestor, auditado), com vistas a colher subsídios para o seu aperfeiçoamento.

(53)

Processo de Auditoria Interna de TI

(Planejamento)

3.7 Reavalia os objetivos e o escopo do trabalho de auditoria - Continuação

Concluída a fase de elaboração e levantamento das informações gerais sobre o objeto da auditoria e a

avaliação do controle interno, o auditor deve avaliar a adequação dos objetivos e do escopo da auditoria, inicialmente previstos no Paint.

(54)

Processo de Auditoria Interna de TI

(Planejamento)

3.7 Reavalia os objetivos e o escopo do trabalho de auditoria – Continuação

Se julgar adequado, em função das informações obtidas durante o processo de planejamento,

particularmente da avaliação do controle interno, o auditor deve propor, ao corpo diretivo da Auditoria,

ajustes ou modificações nos objetivos ou no escopo do trabalho, devendo, para tanto, formalizar as razões que justifiquem essas sugestões.

(55)

Processo de Auditoria Interna de TI

(Planejamento)

3.8 Elabora os procedimentos de auditoria

Para viabilizar a supervisão efetiva na fase de

execução, foi padronizada a descrição do procedimento de auditoria que será executado. A equipe deve

estruturar as informações da seguinte forma: (1)

Número e Título do Procedimento; (2) Risco avaliado; (2) Objetivo do procedimento; (3) Questão a ser

respondida pela equipe de auditoria; (2) Objetos de teste; (3) Descrição do teste.

(56)

Processo de Auditoria Interna de TI

(Planejamento)

3.9 Aprova do Programa de Auditoria

Concluído o Programa de Auditoria, este deve ser aprovado pelo chefe da auditoria de TI.

Após a aprovação, a equipe de auditoria irá aplicá-lo no trabalho de campo, na fase de execução.

Obs.: Todas as alterações do Programa de Auditoria

(57)

Processo de Auditoria Interna de TI

(Execução)

4. Aplica do Programa de Auditoria

Aplicação os procedimentos de auditoria: 9Solicita os objetos de análise ao auditado; 9Realiza os testes previstos;

9Responde as questões definidas;

9Identifica e registra as evidências de auditoria; 9Identifica e registra as possíveis recomendações.

(58)

Processo de Auditoria Interna de TI

(Execução)

5. Realiza reunião com o auditado para tratar dos achados da auditoria

Informa ao auditado o resultado do trabalho de

auditoria de TI, apresentando os pontos fortes e fracos identificados.

Indica os pontos que serão abordados no relatório, apresentando as evidências obtidas.

(59)

Processo de Auditoria Interna de TI

(Execução)

6. Reavalia o QACI, a NACI e o MORC

Concluída a aplicação do Programa de Auditoria, a equipe deve reavaliar as informações constantes do

QACI e do MORC, além da nota do NACI, quando deve propor os ajustes, se julgar necessários.

(60)

Processo de Auditoria Interna de TI

(Relatório)

7. Elabora o Relatório da Auditoria

9Preâmbulo do relatório; 9Objetivos da auditoria;

9Escopo do trabalho da auditoria;

9Estrutura do controle interno existente para o objeto auditado;

9Conclusão sobre o controle interno e o trabalho de auditoria;

(61)

Processo de Auditoria Interna de TI

(Relatório)

7. Elabora o Relatório da Auditoria – Continuação

9Assunto:

Número e Título do assunto;

 Evidência identificada: Critério; Condição; Causa; e

Conseqüência; e

Recomendação.

9Prazos acordados com a unidade recomendada para o atendimento das recomendações ou a apresentação do plano de providências.

(62)

Conclusões

9 Executar auditoria interna, baseada em processo formalizado e impessoal, elevou a confiança e a qualidade dos resultados dos trabalhos da auditoria interna de TI;

9 O processo de implantação de um modelo de governança de TI exige esforço, atenção e investimento, o que cria, na maioria das vezes, resistência da administração e das pessoas envolvidas.

9 A visão dos risco é ampliada, mas os gestores de TI da organização necessitam de tempo para compreender, organizar e estabelecer os controles que mitiguem esses riscos;

(63)

Conclusões

9 A compreensão pelas áreas e negócio sobre governança de TI deve evoluir, para que forneçam à área de TI os insumos

necessários para o adequado funcionamento de seus processos; 9 Os gestores tem dificuldades para visualizar os benefícios e o valor

que a governança de TI pode agregar aos negócios, além de as pessoas envolvidas considerarem o controle interno oneroso para as suas rotinas;

9 A Auditoria deve definir estratégias para viabilizar a governança de TI na organização.

(64)