UNIVERSIDADE CÂNDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE CÂNDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA"

Transcrição

1 UNIVERSIDADE CÂNDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA GERENCIAMENTO DOS RISCOS NA AUDITORIA DE TI Por: Renata França Miranda Orientador Prof. Nelsom Magalhães Rio de Janeiro 2012

2 2 UNIVERSIDADE CÂNDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA GERENCIAMENTO DOS RISCOS NA AUDITORIA DE TI Apresentação de monografia à AVM Faculdade Integrada como requisito parcial para obtenção do grau de especialista em Gestão de Projetos Por: Renata França Miranda Rio de Janeiro 2012

3 3 AGRADECIMENTOS Agradeço a todos os professores do Instituto A Vez do mestre que me ajudaram a agregar valores em meu conhecimento na área de gerenciamento de projetos. Agradeço a todos os meus colegas de classe, principalmente a minha amiga Raquel Abreu pela amizade e companheirismo não só dentro da sala mais fora também.

4 4 DEDICATÓRIA Dedico essa monografia aos meus pais, meu marido e minha irmã. Muito obrigada por fazerem parte de minha vida.

5 5 RESUMO Estudaremos a seguir como funciona o processo de gerenciamento dos riscos operacionais e não operacionais, como os riscos são identificados e tratados durante a auditoria de TI. Abordaremos também o papel do auditor de TI, que tem como responsabilidade ajudar as empresas a identificar esses riscos, ou seja, encontrar os pontos fraco-fortes existentes em seus sistemas visando à confiabilidade das informações. Este trabalho tem como objetivo demonstrar na prática como são realizados os testes dos sistemas de TI que influenciam nas demonstrações contábeis.

6 6 METODOLOGIA A metodologia utilizada destina-se a aprimorar o entendimento do papel do auditor de TI em uma auditoria de sistemas. Serão utilizados métodos que levam ao entendimento do sistema proposto, como leitura de livros, revistas e vivências adquiridas no ramo de auditoria. Teremos um capítulo destinado somente para explicação do trabalho do auditor de TI, e outro exemplificando tipos de testes que são realizados na auditoria de sistema, esses testes serão exemplificados baseados na experiência vivida junto a empresa KPMG a qual trabalho como auditora de sistemas.

7 7 Sumário SUMÁRIO 7 INTRODUÇÃO 8 CAPÍTULO I GERENCIAMENTO DE RISCOS O CONCEITO 9 CAPÍTULO II AUDITORIA DE SISTEMAS O CONCEITO 13 CAPÍTULO III PAPEL DO AUDITOR DE TI 20 CAPÍTULO IV EXEMPLO PRÁTICO 23 CONCLUSÃO 44 BIBLIOGRAFIA CONSULTADA 45 BIBLIOGRAFIA CITADA 46 WEBGRAFIA 47 ÍNDICE 48

8 8 INTRODUÇÃO O objetivo desse trabalho é identificar quais benefícios uma auditoria de TI pode trazer para uma auditoria financeira. Verificamos que muitas empresas de grande e pequeno porte estão buscando cada dia mais realizar o gerenciamento de riscos de seus sistemas corporativos, diante disso buscam auxílio de empresas de auditoria/consultoria para ajudá-las a identificar os pontos fracos/fortes de seus sistemas buscando a confiabilidade das informações de seu sistema financeiro. Esta monografia foi dividida em quatro capítulos, o primeiro conceitua de um modo geral o que é o gerenciamento de risco e como identificamos os riscos, o segundo conceitua o que seria uma auditoria de sistema, o terceiro explica o papel do auditor de sistema e o último mostramos um exemplos de testes que é realizado no sistema durante o período da auditoria.

9 9 CAPÍTULO I GERENCIAMENTO DE RISCOS O CONCEITO Segundo o PMBOK terceira edição (2004), podemos definir gerenciamentos de riscos como:... processos que tratam da realização de identificação, análise, respostas, monitoramento e controle e planejamento do gerenciamento de riscos em um projeto; a maioria desses processos é atualizada durante todo o projeto. Os objetivos do gerenciamento de riscos do projeto são aumentar a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e o impacto dos eventos adversos ao projeto. (PMBOK terceira edição, 2004, Pg. 237) Já para o autor Ricardo Vargas (2003), gerenciamento de riscos:... possibilita a chance de melhor compreender a natureza do projeto, envolvendo os membros do time de modo a identificar e responder as potenciais forças e riscos do projeto e responder a eles, geralmente associados a tempo, qualidade e custos. Portanto, a sobrevivência de qualquer empreendimento, atualmente, está intimamente vinculada ao conceito de aproveitar uma oportunidade, dentro de um espectro de incertezas. O que faz a gestão de riscos se tornar tão importante os diversos fatores, como o aumento de competitividade, o avanço tecnológico e as condições econômicas que fazem com que os riscos assumam proporções muitas vezes incontroláveis. (Pg 116)

10 Processos de Gerenciamento de Riscos De acordo com as boas práticas do PMBOK ( 2004), o gerenciamento de riscos está subdividido em seis processos: Planejamento de Riscos Podemos considerar esse processo um dos mais importantes, pois, quando bem executado pode garantir o sucesso dos outros processos. Esse processo tem como objetivo planejar e executar todas as atividades de gerenciamento de riscos do projeto, visando certificar a viabilidade do projeto Identificação dos Riscos Esse processo tem como objetivo identificar a possibilidade de ameaça ao resultado esperado. Todos os envolvidos no projeto podem e devem ajudar a identificar novos riscos durante todo o ciclo do projeto Análise Qualitativa dos Riscos Normalmente é uma maneira rápida e econômica de estabelecer prioridades para o planejamento de respostas a riscos, esse processo avalia e determina o impacto dos riscos e a probabilidade dos riscos identificados Análise Quantitativa dos Riscos Esse processo é realizado após os riscos serem priorizados pelo processo de análise qualitativa de riscos, tem como foco a análise numérica de cada risco identificado nos objetivos gerais do projeto Planejamento de Respostas aos Riscos A execução desse processo inicia-se após os processos de análise qualitativa e quantitativa, esse processo consiste em desenvolver respostas e

11 11 ações para aumentar as oportunidades e reduzira as ameaças. As respostas aos riscos precisam ser adequadas à importância do risco Monitoramento e Controle dos Riscos Esse processo tem como objetivo acompanhar os riscos já identificados, monitorando os riscos residuais e identificar possíveis novos riscos, garantindo a execução do plano de riscos. Depois de termos uma visão dos processos de gerenciamento de projetos com base no PMBOK, agora iremos conhecer os riscos operacionais também identificados durante uma auditoria de sistemas. Porém antes de identificarmos os riscos operacionais veremos a definição de: O que é um risco? É um acontecimento possível, futuro e incerto, que independe da vontade, e de cuja ocorrência decorre o não atingimento de um objetivo. Riscos potenciais podem impedir que os objetivos do controle sejam atingidos ou que podem afetar as afirmações relevantes das Demonstrações Financeiras. Figura1: Tipo de Riscos (Elaborado pelo autor)

12 Identificando os Riscos De acordo com Marcos Duarte Júnior (2005) os riscos operacionais podem ser definidos como uma medida das perdas das potencias no caso de seus humanas ou de equipamentos. (Pag 35) Veremos a seguir alguns exemplos de riscos operacionais: Risco de equipamento Podemos entender como falha nos sistemas telefônicos, elétricos e computacionais Riscos de Confiabilidade Deve se ao fato de informações não serem recebidas, processadas, armazenadas e transmitidas com rapidez e de forma confiável Riscos de Erros não intencionais Falta de concentração no trabalho, negligência, falta de informação sobre os controles internos Riscos de Fraudes, furtos ou roubos Entendemos como negligência de controles internos, divulgação de informações erradas aos clientes, manipulação de resultados e aceitação de incentivos Sistêmicos Entendemos como alterações substanciais no ambiente operacional Catástrofe e terremotos. Entendemos como ocorrência de catástrofes como: Furacões, enchentes

13 13 CAPÍTULO II AUDITORIA DE SISTEMAS O CONCEITO A auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidade gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas e padrões (Dias, Cláudia Segurança e Auditoria da Tecnologia da Informação.Axcel Books do Barsil, Rio de Janeiro, 2000.) Com base na leitura do livro Fundamentos de auditoria de sistemas-9 e material disponibilizado na intranet da KPMG levantamos as seguintes informações sobre a auditoria de sistemas: 2.1 Funções da auditoria de sistemas Suas principais funções são: realizar adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos de informação da empresa, bem como avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento dos mesmos. A auditoria de sistemas deve atuar em toda a organização, em nível operacional, tático e estratégico Quais os objetivos da auditoria de sistemas Os principais objetivos de uma auditoria de sistemas são:

14 14 Verificar a eficiência analisando a utilização de recursos computacionais alocados no sistema, recursos quais são entendidos como hardware, software e profissionais envolvidos; Constatar a eficácia validando os resultados gerados pelos sistemas, onde é verificado se o produto tem condições de atender as necessidades dos usuários; Verificar a segurança física avaliando os recursos materiais e humanos aplicados ao ambiente de sistemas de informação avaliando o ambiente no qual está estruturado o sistema de informação, CPD, fitoteca e depósitos de suprimentos. Avaliar na segurança lógica se o nível de segurança e controle dos empregados com recursos tecnológicos nos processos de um determinado sistema de informação. Também não devemos deixar de verificar os processos de utilização de firewalls, antivírus, anti-spam. 2.3 Confiabilidades no Sistema Para que um sistema seja bem avaliado pela auditoria de sistemas, é preciso que a auditoria tenha confiabilidade neste sistema. Tal confiabilidade aumenta de acordo com o nível de controle que organização / empresa auditada possui. Se houver ausência de documentos ou de evidências que provem a segurança do sistema, a auditoria pode entender que há uma vulnerabilidade considerável, que pode ser em função de: Sistemas antigos, que exigem muita manutenção Grande volume de dados; Atividades de atualização muito freqüentes Numerosos tipos de transação e fontes de dados; Alta rotatividade de funcionários

15 15 Estruturas Complexas ou desorganizadas Falta de padrões para o processamento de dados 2.4 Principais Riscos Envolvidos Acesso de pessoas não autorizadas aos ambientes operacionais; Manipulação indevida de recursos e informações; Computadores podem ser usados por pessoas não autorizadas; Instalações não apropriadas, sem a devida manutenção e/ou guarda inadequada de equipamentos e mídia de dados podem levar a contingência múltiplas ( indisponibilidade de ativos e perda de informações e dados) Possibilidade de acesso a informações confidenciais ou de uso restrito, por pessoas não autorizadas, utilizando senha de pessoas autorizadas. A inadequada segregação de funções pode resultar em conflitos de interesse, bem como propiciar manipulações indevidas, erros, irregularidades e perda de ativos; Falta de monitoramento de acessos pode resultar na não detecção de possíveis fraudes e / ou irregularidades. 2.5 Tipos de Auditoria de Sistemas A auditoria de sistema pode ocorrer em quatro momentos: Desenvolvimento de Sistemas Neste momento é auditado todo o processo de construção de sistemas de informação, da fase de levantamento de requisitos até a implantação e todo o seu processo e/ou metodologia de desenvolvimento Sistemas em Produção Neste momento são checados todos os procedimentos e resultados dos sistemas já implantados, sua segurança, se o mesmo está funcionando conforme esperado e a sua tolerância a falhas.

16 Ambiente tecnológico Neste momento realizamos a análise do ambiente de informática em termos de estrutura organizacional, contratos, normas técnicas, custos, nível de utilização dos equipamentos e planos de segurança e contingência Eventos Específicos Neste momento é realizada uma análise das causas, conseqüências e ações corretivas cabíveis em eventos não cobertos pelas auditorias anteriores. Podem ser eventos detectados por outras órgãos e entidades externas ou eventos específicos e localizado. 2.6 Metodologia de auditoria de sistemas sistemas. Conheceremos agora as fases de uma metodologia de auditoria de Planejamento e Controle de projetos de Auditoria de SI Inicialmente deve-se estabelecer um planejamento inicial das ações e recursos necessários para a execução da auditoria. É desejável que seja feito um planejamento de quais sistemas serão auditados, qual o foco desejado e a abrangência das ações a serem tomadas. Levantamento do Sistema a ser auditado. Após definido o escopo do trabalho é iniciado o processo de levantamento das informações relevantes sobre o sistema. Essa atividade deve ser realizada de uma forma abrangente para que possa diminuir a possibilidade de execução de trabalho em áreas não pertencentes ao escopo. Identificação e o inventário dos pontos de controle. É necessário realizar a identificação dos diversos pontos de controle que precisam ser validados inventário de pontos de controle. Os pontos de controle podem ser encontrados em documentos de entrada, relatórios de

17 17 saída, telas, arquivos e banco de dados. Em cada ponto deve ser relacionado e verificado qual a função que ele exerce no sistema. Priorização e seleção dos pontos de controle Nesta etapa é realizada a seleção e priorização dos pontos que foram levantados na etapa anterior, baseados em grau de risco existente no ponto de controle, existência de ameaças e disponibilidade de recurso. A prioridade deverá ser revisada ao longo do trabalho. Avaliação dos pontos de controle Podemos considerar essa etapa como a própria auditoria, é a etapa onde são realizados testes de validação dos pontos de controle, segundo as especificações e parâmetros determinados nas etapas anteriores, aqui são aplicadas técnicas que evidenciem fraquezas ou falhas do controle interno. Conclusão da auditoria Com a realização das etapas anteriores chega o momento da conclusão da auditoria, nesta etapa é aconselhada a elaboração de um relatório contendo os resultados encontrados, com o diagnóstico da situação atual dos pontos de controle, caso existam fraquezas, o relatório deve apontar recomendações para a solução para a fraqueza. Acompanhamento da auditoria O acompanhamento dever ser realizado até que todas as recomendações tenham sido executadas e as fraquezas tenham sido eliminadas ou que tenham atingido a um nível tolerável pela organização Auditoria de sistemas em operação Agora que já conhecemos os tipos de auditorias de sistemas e os métodos que são aplicados iremos conhecer melhor a auditoria foco do nosso trabalho, que é a auditoria de sistemas em produção. É necessário que o auditor tenha conhecimentos de controles internos, sistemas de informação e

18 18 CPD além de domínio das técnicas de auditoria com auxílio de computador (CAAT), entendimento das atividades das pessoas e da equipe de desenvolvimento, operação e suporte. Veremos a seguir algumas fases utilizadas na auditoria de sistemas em produção Planejamento da auditoria dos sistemas em operação Como já tinha mencionado a atividade de planejamento é uma das fases que considero muito importante, nela você irá direcionar e coordenar a execução do trabalho além de conhecer o ambiente do sistema a ser auditado, conhecer alguns recursos como hardware, software, estrutura organizacional do CPD, definir estratégias, realizar análise das etapas executadas entre outras atividades. Para se tomar conhecimentos dessas informações antes do início da auditoria em si é recomendado que seja realizado um contato com a gerência por meio de visitas ou entrevistas Segurança lógica, confiabilidade e eficiência dos aplicativos Após a realização da fase inicial do planejamento, o auditor irá verificar a segurança lógica, confiabilidade e eficiência dos aplicativos que se resume em validar os controles, a finalidade é estabelecer procedimentos de controles sobre os aplicativos de forma a assegurar que todas as transações são autorizadas, registradas e processadas de maneira correta, completa e tempestiva, essa metodologia compreende em controlar as entradas, os processamentos de arquivos e as saídas Preparação do ambiente para testes Veremos a seguir alguns procedimentos para identificação dos arquivos a serem validados, esse é o primeiro passo na execução da auditoria.

19 19 Análise do fluxo do sistema para identificação do momento no processo sistemático em que teremos o conteúdo do arquivo desejado; Reunião com o analista de sistemas ou com o usuário para confirmação do ponto exato no fluxo em que há dados a auditar; Identificação do código do arquivo e de seu layout; Seleção de software para auditoria do sistema em operação; Análise do log/accounting de utilização do arquivo; Análise dos resultados de cada fase de auditoria; Documentação de todo o processo de auditoria; Uso de Técnicas de Auditoria com o auxílio de Computador (TAAC) Análise dos sistemas e das operações A principal utilidade dessas técnicas é validar a eficácia do sistema, entendemos como a análise dos documentos, telas de sistema e relatórios, no que diz respeito a: nível de utilização pelo usuário; números de vias emitidas; grau de confidencialidade do seu conteúdo; forma de utilização e integração entre relatórios/telas/documentos. A seguir veremos algumas fases que deverão ser cumpridas para aplicação dessas análises: Relacionar, por usuário, os relatórios, as telas e os documentos de cada ponto de controle; Obter modelo ou cópia de cada relatório, de cada tela, de cada documento e compor pasta de papéis de trabalho; Elaborar um questionário para realização para realização dos levantamentos de relatórios, telas e documentos; Realizar entrevistas e registrar observações e informações dos usuários; Analisar as respostas.

20 20 CAPÍTULO III Papel do auditor de TI Antes de focarmos no papel do auditor de TI realizei uma pesquisa na internet para buscar a melhor definição do que é ser auditor de uma forma geral e acredito ter encontrado no site Brasil profissões a melhor definição. (http://www.brasilprofissoes.com.br/profissoes/auditor) 3.1 O que é ser um auditor? Auditor é o profissional que examina cuidadosamente com o objetivo de averiguar se as atividades desenvolvidas em determinada empresa ou setor estão de acordo com as disposições planejadas e/ou estabelecidas previamente, se estas foram implementadas com eficácia e se estão adequadas à consecução dos objetivos. O auditor pode ser externo ou interno. Atualmente, o auditor interno tem a função de fiscalizar os processos da organização, analisando os procedimentos para determinar quais são mais produtivos e adequados às áreas. Já o auditor externo tem como tarefa principal analisar e validar as contas e saldos de balanço. Além disso, distribuise em várias ramificações: auditoria de sistemas, auditoria de recursos humanos, auditoria da qualidade, auditoria de demonstrações financeiras, auditoria jurídica e auditoria contábil. Verificamos que para ser um auditor é importante ter algumas características, além de exercer a função com honestidade de acordo com as leis e o interesse do cliente, o auditor deve ser integro, responsável, organizado, confiável, dedicado, ético, ter segurança diante de problemas, comprometimento, entre outras características que não iremos citar aqui. Obtivemos também acesso ao manual de auditoria do sistema CFC/CRCs/ Conselho Federal de Contabilidade e verificamos algumas informações sobre a auditoria operacional e a função do auditor. (Manual de auditoria do sistema CFC/CRCs/ Conselho Federal de Contabilidade, 2007, pag. 23)

21 21 A auditoria operacional consiste em avaliar as ações gerenciais e os procedimentos relacionados ao processo operacional, ou parte dele, das unidades ou das entidades da administração pública, programas de trabalho, projetos, atividades ou segmentos destes, com a finalidade de emitir uma opinião sobre a gestão quanto aos aspectos da eficiência, da eficácia e da economicidade, procurando auxiliar a administração na gerência e nos resultados, por meio de recomendações que visem aprimorar os procedimentos, melhorar os controles e aumentar a responsabilidade gerencial. 3.2 Principais pontos a serem controlados Verificar se a empresa possui ou não uma política de segurança de informação corporativa. Verificar o acesso físico às dependências do CPD Verificar a existência de controles de segurança existentes nas instalações do CPD Verificar como é realizada a concessão e a revogação de acesso lógico e a rede da empresa. Verificar se existe política de senha e a parametrização do sistema Verificar se existe uma política para revisão de acessos à rede e ao sistema. Realizar análise dos usuários genéricos e duplicados Gerenciamento de super-usuários Processos de manutenção de infra e de sistema. Aplicação de Patch Aquisições de pacotes Processos de desenvolvimento de sistemas Backup, restauração, armazenamento Gerenciamento de problemas com TI Procedimentos de Antivírus

22 Frameworks de gerenciamento de Risco utilizados na auditoria Veremos a seguir os principais framewoks de processo que tratam diretamente a gestão de risco. COSO: Focado em controles internos das organizações COSO ERM (COSO II): Evolução do COSO, incorporando o processo de gerenciamento de risco. FERMA: Norma européia para gerenciamento de risco. AS/NZS4360: Norma australiana e neozelandesa para tratamento de riscos em sistemas de informação, resultante de uma longa evolução que começou em 1995, cuja versão atual foi publicada em ISO 31000: Promove uma linguagem e um modelo comum para ser usado em organização que implantam um modelo de gerenciamento de risco que busca a consistência, a replicação e a acurácia. Management of Risk: Guidance for Practitioners (M_o_R): Guia britânico com foco nas seguintes áreas de gestão de risco:princípios, abordagems, processos, integração e revisão contínua. Não podemos deixar de citar os frameworks de processos de conhecimento comum, com focos específicos: ISSO 27002: Segurança da Informação COBIT: Controles de processos de TI VAL IT: Obtenção de valor para a TI RISK IT Tratamento dos riscos de TI Basiléia I e II: Tratamento dos riscos de instituições Financeiras PMBOK: Gestão de projetos.

23 23 CAPÍTULO IV Exemplo prático Conforme já tinha mencionado este capítulo será baseado em cima do trabalho que realizo. Aqui irei explicar como funciona todo o processo da auditoria de sistemas o método utilizado, como é feita a solicitação até a entrega dos resultados da auditoria. Para melhor conhecimento do assunto começarei explicando um pouco da empresa aonde trabalho. Todas as informações desse capítulo serão com base na pesquisa realizada no site e na intranet da KPMG. 4.1 Conhecendo a KPMG A KPMG é uma rede global de firmas independentes que prestam serviços de Audit, Tax e Advisory. No Brasil, são aproximadamente profissionais distribuídos em 20 cidades Valores Lideramos por meio do exemplo em todos os níveis, atuando de maneira que exemplifique aquilo que esperamos uns dos outros e de nossos clientes. Trabalhamos em conjunto com o que há de melhor em nós mesmos e nos outros, criando relações de trabalho fortes e bem-sucedidas. Respeitamos as pessoas pelo que são e pelo seu conhecimento, suas habilidades e sua experiência enquanto indivíduos e membros de equipes. Buscamos os fatos com discernimento, a fim de proporcionar opiniões esclarecedoras, desafiando suposições, procurando os fatos

24 24 e fortalecendo nossa reputação, como assessores de negócios confiáveis e objetivos. Somos abertos e honestos em nossa comunicação e, portanto, compartilhamos informações, insights e recomendações de modo frequente e construtivo, gerenciando situações difíceis com coragem e confiança. Somos comprometidos com nossas comunidades, atuando como cidadãos corporativos responsáveis e ampliando nossas habilidades, experiências e perspectivas, por meio do trabalho em nossas comunidades. Agimos com integridade acima de tudo, nos empenhamos em manter os mais altos padrões profissionais, fornecendo recomendações sólidas e sempre preservando nossa independência Quem Somos? Somos pessoas com alto desempenho que ajudam a simplificar a complexidade apresentando soluções claras para o benefício de nossos clientes. Somos pessoas com alto desempenho que ajudam a simplificar a complexidade apresentando soluções claras para o benefício de nossos clientes. Somos ESPECIALISTAS. Aplicamos nosso profundo conhecimento e experiência, distinguindo o que é importante na resolução das questões mais complexas. Mantemos um ENFOQUE GLOBAL. Conectados globalmente, enxergamos o grande cenário provendo uma perspectiva diferenciada.

25 25 Temos VISÃO DE FUTURO. Apoiamos o sucesso dos clientes antecipando o inesperado. Somos proativos esclarecendo implicações e oportunidades. AGREGAMOS VALOR. Ouvimos e fazemos as perguntas certas aos clientes. Nossa atuação otimiza tempo valioso e constrói vantagens competitivas. Somos ENTUSIASTAS. Comprometimento com a excelência da concepção à entrega. Nossa meta é simplificar e identificar respostas claras e corretas comunicando-as de forma positiva Serviços Figura 2: Serviços da KPMG (Elaborado pelo autor) e Advisory. Nossas práticas são organizadas na prestação de serviços de Audit, Tax

26 26 Audit Prestamos serviços de auditoria independente que são destinados a fortalecer a confiabilidade das informações elaboradas pelos clientes para uso dos investidores, dos credores e dos stakeholders. A nossa abordagem é fundamentada nos princípios essenciais relacionados à integridade profissional, à independência e ao comportamento ético que todos os membros das equipes precisam apresentar. Tax Nossos serviços na área de Tax são projetados para refletir as necessidades dos clientes. Podemos auxiliar em diferentes tipos de tributos que incidem sobre operações e naqueles que incidem diretamente sobre setores específicos da economia. Ciente da diversidade de tributos no Brasil, nossa área atua com equipes multidisciplinares, visando sempre atender às necessidades das empresas, auxiliando-as a estruturar suas operações, gerenciando riscos fiscais e controlando os custos associados. Advisory Nossos profissionais da área de Advisory auxiliam diversas organizações a atenuar os riscos, a melhorar o desempenho e a criar valor. A KPMG presta esse tipo de serviço tanto na área de risco quanto na área financeira, auxiliando os clientes a lidarem com as questões imediatas e a elaborarem o planejamento a longo prazo Escritórios São Paulo SP Joiville - SC Londrina PR Manaus AM Osasco SP Belo Horizonte MG Porto Alegre RS

27 27 Recife PE Brasília DF Ribeirão Preto SP Campinas SP Rio de Janeiro RJ Campo Grande MS Curitiba PR Salvador BA Florianópolis SC São Carlos SP Fortaleza CE São José dos Campos SP Goiânia GO Uberlândia MG 4.2 Tipos de Trabalhos da área de Advisory Trabalho da área de ITA S Risk Consulting que está dentro de Advisory. Nosso principal cliente é a própria auditoria, nosso trabalho auxilia a auditoria a testes os controles para efetividade das informações nas demostrações financeiras. Abaixo veremos alguns dos nossos principais trabalhos: ELC - Entity level controls: Entendimento dos controles corporativos da Empresa que afetam o ambiente de controles de informática. GITC - IT general controls: Acesso a programas e dados Implantação de práticas de segurança Acesso lógico e físico aos recursos de TI Segregação de funções Mudanças de programas

28 28 Autorizações, documentação e testes das alterações Alterações de configurações de sistemas e aplicações Migração de alterações para o ambiente de produção Desenvolvimento de programas Autorização, desenvolvimento e teste de novos sistemas e aplicações Operações computacionais Procedimentos de backup e recuperação Procedimentos de gerenciamento de problemas Integridade, precisão e processamento real das tarefas dos sistemas Computação para usuário final Controles gerais de TI aplicados ao ambiente do usuário final CI Controles Internos: Controles automatizados implantados em sistemas e aplicações para atendimento a processos de negócio, onde verificamos e testamos, por exemplo: Registro Processamento Reporte de informações Interface: Entendimento e teste dos controles existentes no processo de interface entre sistemas aplicativos. As interfaces a serem testadas pelo IRM são selecionadas pela equipe de Auditoria, quando necessário com ajuda dos especialistas de sistemas.

29 29 TAAC Técnicas avançadas auxiliadas por computador: Testes substantivos para verificação de valores que afetam direta ou indiretamente as demonstrações financeiras, através do processamento de dados fornecidos pela Empresa. 4.3 Pontos de Controle no GITC Dividimos o nosso teste em duas partes o TOD e o TOE, no TOD testamos o desenho do controle (testando o processo do mesmo) e no TOE testamos a efetividade do controle se o mesmo segue os processos pré definidos. Política de Segurança de Informação: aprovação, atualização e divulgação TOD: Indagação ao responsável sobre a existência de uma política de segurança da informação que seja aplicável a toda organização. Indagação ao responsável sobre a existência e aplicabilidade de um termo de compromisso/responsabilidade referentes à política de segurança da informação. Analise da referência recíproca do termo à política de segurança da informação. TOE: Verificar se essa se encontra aprovada pela alta administração e divulgada a todos os funcionários, estagiários e terceiros. Verificar se há um procedimento de revisão da política de segurança da informação. Analise de amostra aleatória dos termos de compromisso assinados pelos funcionários ativos da empresa. Evidências:

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

PARTE III Auditoria Conceitos Introdutórios

PARTE III Auditoria Conceitos Introdutórios FATERN Faculdade de Excelência Educacional do RN Coordenação Tecnológica de Redes e Sistemas Curso Superior de Tecnologia em Sistemas para Internet Auditoria em Sistemas de Informação Prof. Fabio Costa

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Auditoria e Segurança de Sistemas Aula 02 Auditoria Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Evolução / Necessidade Empresas com Capital Fechado Aumento da concorrência Investimento em

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Política de Gestão de Riscos

Política de Gestão de Riscos Política de Gestão de Riscos 1 OBJETIVO Fornecer as diretrizes para a Gestão de Riscos da Fibria, assim como conceituar, detalhar e documentar as atividades a ela relacionadas. 2 ABRANGÊNCIA Abrange todas

Leia mais

FINANÇAS EM PROJETOS DE TI

FINANÇAS EM PROJETOS DE TI FINANÇAS EM PROJETOS DE TI 2012 Material 1 Prof. Luiz Carlos Valeretto Jr. 1 E-mail valeretto@yahoo.com.br Objetivo Objetivos desta disciplina são: reconhecer as bases da administração financeira das empresas,

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

MINISTÉRIO DA FAZENDA

MINISTÉRIO DA FAZENDA MINISTÉRIO DA FAZENDA Procuradoria-Geral da Fazenda Nacional PGFN Departamento de Gestão Corporativa - DGC Coordenação-Geral de Tecnologia da Informação - CTI CATÁLOGO DE SERVIÇOS DE TECNOLOGIA Infraestrutura

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Tópico: Plano e Estratégia. Controle interno e risco de auditoria

Tópico: Plano e Estratégia. Controle interno e risco de auditoria Tópico: Plano e Estratégia. Controle interno e risco de auditoria i Professor Marcelo Aragão Trabalhos de outros auditores ou especialistas Complexidade das transações Volume das transações Áreas importantes

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008

RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008 SUPERINTENDÊNCIA DE CONTROLE GERÊNCIA DE CONTROLE DE TESOURARIA ANÁLISE DE RISCO OPERACIONAL RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008 Belo Horizonte

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

Análise de Risco na Validação de Sistemas Computadorizados

Análise de Risco na Validação de Sistemas Computadorizados Análise de Risco na Validação de Sistemas Computadorizados Meg Lima Andrade Agenda Objetivos; Conceito de Sistemas Computadorizados; Conceito de Risco; Identificação de Riscos; Avaliação de Riscos; Classificação;

Leia mais

MASTER IN PROJECT MANAGEMENT

MASTER IN PROJECT MANAGEMENT MASTER IN PROJECT MANAGEMENT PROJETOS E COMUNICAÇÃO PROF. RICARDO SCHWACH MBA, PMP, COBIT, ITIL Atividade 1 Que modelos em gestão de projetos estão sendo adotados como referência nas organizações? Como

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

fagury.com.br. PMBoK 2004

fagury.com.br. PMBoK 2004 Este material é distribuído por Thiago Fagury através de uma licença Creative Commons 2.5. É permitido o uso e atribuição para fim nãocomercial. É vedada a criação de obras derivadas sem comunicação prévia

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

EXTRATO DA POLÍTICA DE GESTÃO DE RISCOS

EXTRATO DA POLÍTICA DE GESTÃO DE RISCOS 1 OBJETIVO Fornecer as diretrizes para a Gestão de Riscos da Fibria, assim como conceituar, detalhar e documentar as atividades a ela relacionadas. 2 ABRANGÊNCIA Abrange todas as áreas da Fibria que, direta

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance

Leia mais

Importância do GED. Implantação de um Sistema de GED

Importância do GED. Implantação de um Sistema de GED Implantação de um Sistema de GED Gerenciamento Eletrônico de Documentos Importância do GED O GED tem uma importante contribuição na tarefa da gestão eficiente da informação; É a chave para a melhoria da

Leia mais

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI Profa. Gislaine Stachissini Unidade III GOVERNANÇA DE TI Information Technology Infrastructure Library ITIL Criado pelo governo do Reino Unido, tem como objetivo a criação de um guia com as melhores práticas

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

CIO;Executivo de N 5 Identificar as dependências críticas e o desempenho atual 1 dia? Qua 01/09/10 Qua 01/09/10

CIO;Executivo de N 5 Identificar as dependências críticas e o desempenho atual 1 dia? Qua 01/09/10 Qua 01/09/10 Id Nome da tarefa Duração Início Término Predecessoras Qua, 01/Set Qui, 02/Set 18 0 6 12 18 0 6 12 1 Projeto de Implantacão da Governanca de TI com CobiT (Nível 3) 3 dias? Qua 01/09/10 Sex 03/09/10 2 PO

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS Versão 2.0 30/10/2014 Sumário 1 Objetivo... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 5 5.1 Identificação dos riscos...

Leia mais

Módulo 3: Gerenciamento da Qualidade, dos Recursos Humanos e das Comunicações

Módulo 3: Gerenciamento da Qualidade, dos Recursos Humanos e das Comunicações ENAP Diretoria de Desenvolvimento Gerencial Coordenação Geral de Educação a Distância Gerência de Projetos - Teoria e Prática Conteúdo para impressão Módulo 3: Gerenciamento da Qualidade, dos Recursos

Leia mais

Contrato de Suporte End.: Telefones:

Contrato de Suporte End.: Telefones: Contrato de Suporte Contrato de Suporte Desafios das empresas no que se refere à infraestrutura de TI Possuir uma infraestrutura de TI que atenda as necessidades da empresa Obter disponibilidade dos recursos

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Metodologia de Auditoria com Foco em Riscos.

Metodologia de Auditoria com Foco em Riscos. Metodologia de Auditoria com Foco em Riscos. 28 de Novembro de 2003 Dados do Projeto Colaboradores: Bancos ABN Amro Real Banco Ficsa Banco Itaú Banco Nossa Caixa Bradesco Caixa Econômica Federal HSBC Febraban

Leia mais

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI 1. PI06 TI 1.1. Processos a serem Atendidos pelos APLICATIVOS DESENVOLVIDOS Os seguintes processos do MACROPROCESSO

Leia mais

F.1 Gerenciamento da integração do projeto

F.1 Gerenciamento da integração do projeto Transcrição do Anexo F do PMBOK 4ª Edição Resumo das Áreas de Conhecimento em Gerenciamento de Projetos F.1 Gerenciamento da integração do projeto O gerenciamento da integração do projeto inclui os processos

Leia mais

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0 TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO Brivaldo Marinho - Consultor Versão 1.0 CONTROLE DA DOCUMENTAÇÃO Elaboração Consultor Aprovação Diretoria de Informática Referência do Produto

Leia mais

Coordenadoria de Tecnologia da Informação. Documentos Formais. Governança de Auditoria Interna de TI com AGIL-GPR

Coordenadoria de Tecnologia da Informação. Documentos Formais. Governança de Auditoria Interna de TI com AGIL-GPR Coordenadoria de Tecnologia da Informação Documentos Formais Governança de Auditoria Interna de TI com AGIL-GPR NOV/2011 1 Sumário 1 Introdução... 03 2 Políticas de Governança de Auditoria Interna de TI...

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Ficha técnica do material. Políticas de Backup 1

Ficha técnica do material. Políticas de Backup 1 Ficha técnica do material Autor: Humberto Celeste Innarelli Origem: Apostila Preservação de Documentos Digitais Páginas: 24 a 28 Mês/Ano: 12/2003 Entidade promotora do curso: UNIVERSIDADE ESTADUAL DE CAMPINAS

Leia mais

CONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES

CONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES CELG DISTRIBUIÇÃO S.A EDITAL N. 1/2014 CONCURSO PÚBLICO ANALISTA DE GESTÃO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI RESPOSTAS ESPERADAS PRELIMINARES O Centro de Seleção da Universidade Federal de Goiás

Leia mais

REQUISIÇÃO DE PROPOSTA. 1.1 Desenvolver o Plano de Continuidade de Negócios - PCN com base na ISO 22301.

REQUISIÇÃO DE PROPOSTA. 1.1 Desenvolver o Plano de Continuidade de Negócios - PCN com base na ISO 22301. REQUISIÇÃO DE PROPOSTA Esta Requisição de Proposta foi elaborada pela Gerência de Segurança Empresarial - GESEM da Cartão BRB e tem como objetivo fornecer aos interessados as especificações do objeto abaixo,

Leia mais

Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA. Levantamento da Gestão de TIC

Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA. Levantamento da Gestão de TIC Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA Levantamento da Gestão de TIC Cotação: 23424/09 Cliente: PRODABEL Contato: Carlos Bizzoto E-mail: cbizz@pbh.gov.br Endereço: Avenida Presidente Carlos

Leia mais

MANUAL DE GESTÃO DA QUALIDADE

MANUAL DE GESTÃO DA QUALIDADE Revisão: 07 Data: 05.03.09 Página 1 de 7 Copia controlada MANUAL DE GESTÃO DA QUALIDADE José G. Cardoso Diretor Executivo As informações contidas neste Manual são de propriedade da Abadiaço Ind. e Com.

Leia mais

Centro Universitário de Mineiros Sistemas de Informação Segurança e Auditoria de Sistemas

Centro Universitário de Mineiros Sistemas de Informação Segurança e Auditoria de Sistemas Centro Universitário de Mineiros Sistemas de Informação Segurança e Auditoria de Sistemas milenaresende@fimes.edu.br http://professor.fimes.edu.br/milena/ Presidência Executiva Auditoria de Sistemas Diretoria

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Por que utilizar o modelo ITIL

Por que utilizar o modelo ITIL Por que utilizar o modelo ITIL... O que não é definido não pode ser controlado... O que não é controlado não pode ser medido... O que não é medido não pode ser melhorado Empregado para definir, controlar,

Leia mais

ANEXO I A Estratégia de TIC do Poder Judiciário

ANEXO I A Estratégia de TIC do Poder Judiciário RESOLUÇÃO Nº 99, DE 24 DE NOVEMBRO DE 2009 Dispõe sobre o Planejamento Estratégico de TIC no âmbito do Poder Judiciário e dá outras providências. ANEXO I A Estratégia de TIC do Poder Judiciário Planejamento

Leia mais

EDITAL DO LEILÃO Nº 2/2011 ANEXO 9 DO CONTRATO PLANO DE TRANSFERÊNCIA OPERACIONAL (PTO)

EDITAL DO LEILÃO Nº 2/2011 ANEXO 9 DO CONTRATO PLANO DE TRANSFERÊNCIA OPERACIONAL (PTO) EDITAL DO LEILÃO Nº 2/2011 CONCESSÃO PARA AMPLIAÇÃO, MANUTENÇÃO E EXPLORAÇÃO DOS AEROPORTOS INTERNACIONAIS BRASÍLIA CAMPINAS GUARULHOS EDITAL DO LEILÃO Nº 2/2011 ANEXO 9 DO CONTRATO PLANO DE TRANSFERÊNCIA

Leia mais

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA ESTUDOCOMPARATIVO NBRISO13485:2004 RDC59:2000 PORTARIA686:1998 ITENSDEVERIFICAÇÃOPARAAUDITORIA 1. OBJETIVO 1.2. 1. Há algum requisito da Clausula 7 da NBR ISO 13485:2004 que foi excluída do escopo de aplicação

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação TERMO DE REFERÊNCIA 1. Objeto 1.1. Contratação de empresa especializada em auditoria de tecnologia da informação e comunicações, com foco em segurança da informação na análise de quatro domínios: Processos

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

AUDITORIA GOVERNAMENTAL. Maio de 2013 Sandra Maria de Carvalho Campos

AUDITORIA GOVERNAMENTAL. Maio de 2013 Sandra Maria de Carvalho Campos AUDITORIA GOVERNAMENTAL Maio de 2013 Sandra Maria de Carvalho Campos KPMG no Mundo A KPMG é uma rede global de firmas independentes que prestam serviços profissionais de Audit, Tax e Advisory presente

Leia mais

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI Objetivos Assegurar que os esforços despendidos na área de informática sejam consistentes com as estratégias, políticas e objetivos da organização como um todo; Proporcionar uma estrutura de serviços na

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

Número do Recibo:83500042

Número do Recibo:83500042 1 de 21 06/06/2012 18:25 Número do Recibo:83500042 Data de Preenchimento do Questionário: 06/06/2012. Comitête Gestor de Informática do Judiciário - Recibo de Preenchimento do Questionário: GOVERNANÇA

Leia mais

Resiliência...dos desafios às oportunidades

Resiliência...dos desafios às oportunidades Resiliência...dos desafios às oportunidades Seminário FEBRABAN sobre Gestão de Continuidade de Negócios Abril de 2010 Agenda... Contextualização Desafios Tratamento abrangente Oportunidades Aprimoramento

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Estrutura da Gestão de Risco Operacional

Estrutura da Gestão de Risco Operacional Conceito No Brasil a Resolução n.º 3380, emitida pelo BACEN em 29 de junho de 2006, seguindo as diretrizes estabelecidas pelo Conselho Monetário Nacional, definiu como: A possibilidade de ocorrência de

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Conhecimento em Tecnologia da Informação. Catálogo de Serviços. Conceitos, Maturidade Atual e Desafios. 2012 Bridge Consulting All rights reserved

Conhecimento em Tecnologia da Informação. Catálogo de Serviços. Conceitos, Maturidade Atual e Desafios. 2012 Bridge Consulting All rights reserved Conhecimento em Tecnologia da Informação Catálogo de Serviços Conceitos, Maturidade Atual e Desafios 2012 Bridge Consulting All rights reserved Apresentação Esta publicação tem por objetivo apresentar

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Declaração de Posicionamento do IIA: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES

Declaração de Posicionamento do IIA: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES Declaração de Posicionamento do IIA: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES JANEIRO 2013 ÍNDICE DE CONTEÚDOS Introdução...1 Antes das Três Linhas: Supervisão do Gerenciamento

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

RESOLUÇÃO CFC Nº 986/03

RESOLUÇÃO CFC Nº 986/03 RESOLUÇÃO CFC Nº 986/03 Aprova a NBC T 12 Da Auditoria Interna. O CONSELHO FEDERAL DE CONTABILIDADE, no exercício de suas atribuições legais e regimentais, CONSIDERANDO que as Normas Brasileiras de Contabilidade

Leia mais

Building, Construction & Real Estate

Building, Construction & Real Estate KPMG no Brasil Building, Construction & Real Estate FINANCIAL SERVICES kpmg.com/br Quem somos Constituída na Suíça e com sede em Amsterdã, a KPMG International Cooperative (KPMG International) é uma rede

Leia mais

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD Problema Controle de Acesso Lógico e Físico Prof. Alexandre Beletti Ferreira Com as informações armazenadas em computadores interligados com outros computadores no mundo todo surgi a necessidade de uma

Leia mais

Planejamento de sistemas de informação.

Planejamento de sistemas de informação. Planejamento de sistemas de informação. O planejamento de sistemas de informação e da tecnologia da informação é o processo de identificação das aplicações baseadas em computadores para apoiar a organização

Leia mais

N REQUISITOS OBSERVAÇÕES

N REQUISITOS OBSERVAÇÕES N REQUISITOS OBSERVAÇÕES 01 02 03 04 05 06 07 A - MANUTENÇÃO E SUPORTE A empresa fornece produto de software com Verificar se a empresa fornece manual do produto (instalação), documentação de suporte ao

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Material Institucional. accent. consultoria. auditoria. estratégia. caixa livre

Material Institucional. accent. consultoria. auditoria. estratégia. caixa livre Material Institucional accent consultoria. auditoria. estratégia. caixa livre Sobre a Accent Somos uma empresa brasileira que possui conhecimento especializado em auditoria, impostos, consultoria de gestão

Leia mais

Diretoria de Informática

Diretoria de Informática Diretoria de Informática Estratégia Geral de Tecnologias de Informação para 2013-2015 EGTI 2013-2015 Introdução: Este documento indica quais são os objetivos estratégicos da área de TI do IBGE que subsidiam

Leia mais

A Aon Global Risk Consulting (AGRC), líder mundial em consultoria de gestão de riscos, está presente em mais de 120 países. São mais de 2.

A Aon Global Risk Consulting (AGRC), líder mundial em consultoria de gestão de riscos, está presente em mais de 120 países. São mais de 2. A Aon Global Risk Consulting (AGRC), líder mundial em consultoria de gestão de riscos, está presente em mais de 120 países. São mais de 2.000 consultores que se dedicam de forma integral à gestão de riscos

Leia mais

GOVBR- UEM-MARINGA PREFEITURA MUNICIPAL DE PEROLA

GOVBR- UEM-MARINGA PREFEITURA MUNICIPAL DE PEROLA GERENCIAMENTO DE PROJETOS PRONIM, IMPLANTAÇÃO SQL SERVER GOVBR- UEM-MARINGA PREFEITURA MUNICIPAL DE PEROLA Cliente GOVBR, UEM-MARINGA / Prefeitura Municipal de PEROLA Data 10/09/2015 Versão 1.0 Objeto:

Leia mais

PODER EXECUTIVO MUNICIPAL DE ITIQUIRA- MT

PODER EXECUTIVO MUNICIPAL DE ITIQUIRA- MT INSTRUÇÃO NORMATIVA STI Nº 001/2012, DE 06 DE NOVEMBRO DE 2012. Versão nº 01 Aprovação em: 06/11/2012 Ato de Aprovação: Decreto Municipal nº 55/2012 Unidade Responsável: Departamento de Tecnologia da Informação

Leia mais

Administração Judiciária

Administração Judiciária Administração Judiciária Planejamento e Gestão Estratégica Claudio Oliveira Assessor de Planejamento e Gestão Estratégica Conselho Superior da Justiça do Trabalho Gestão Estratégica Comunicação da Estratégia

Leia mais

Planejamento Estratégico de TIC. da Justiça Militar do Estado. do Rio Grande do Sul

Planejamento Estratégico de TIC. da Justiça Militar do Estado. do Rio Grande do Sul Planejamento Estratégico de TIC da Justiça Militar do Estado do Rio Grande do Sul MAPA ESTRATÉGICO DE TIC DA JUSTIÇA MILITAR DO ESTADO (RS) MISSÃO: Gerar, manter e atualizar soluções tecnológicas eficazes,

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015

Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015 Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015 1. OBJETIVO Esta política tem como objetivo estabelecer as diretrizes necessárias para o adequado gerenciamento

Leia mais

Núcleo de Pós Graduação Pitágoras

Núcleo de Pós Graduação Pitágoras Núcleo de Pós Graduação Pitágoras MBA Gestão em TI Disciplina: Administração de Suporte e Automação Gerenciamento de Suporte Professor: Fernando Zaidan Ago-2009 1 2 Contexto Área de TI lugar estratégico

Leia mais

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração.

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração. Cobit e ITIL GOVERNANÇA, GP - RISCO, GP PROJETOS - PMP, SEGURANÇA DAIANA BUENO OUTUBRO 20, 2010 AT 8:00 3.496 visualizações Atualmente, as empresas estão com seus processos internos cada vez mais dependentes

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

Auditoria de Sistemas. UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima

Auditoria de Sistemas. UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima Auditoria de Sistemas UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima Auditoria É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais

Leia mais