GOVERNANÇA DE TI: Um desafio para a Auditoria Interna. COSME LEANDRO DO PATROCÍNIO Banco Central do Brasil

Transcrição

1 GOVERNANÇA DE TI: Um desafio para a Auditoria Interna COSME LEANDRO DO PATROCÍNIO Banco Central do Brasil

2 Programação da Apresentação Evolução da Auditoria Interna de TI no Banco Central; Governança de TI; Uso do Cobit no Processo de Auditoria de TI; Plano Anual de Atividades da Auditoria Interna; Processo de Auditoria Interna de TI: Planejamento; Execução; e Relatório. Conclusões.

3 Evolução da Auditoria Interna de TI no Bacen Auditorias focadas no operacional da área de TI: Microinformática; Segurança física; Segurança lógica; Redes locais; e Sistemas informatizados Os sistemas de informação passam a ser os principais escopos das auditorias: Sistemas Informatizados de Departamentos; Administração do Centro de Serviço de Informática; Estrutura Normativa da Área de Informática.

4 Evolução da Auditoria Interna de TI no Bacen A gestão de área da TI ganha destaque, mas ainda focam principalmente aspectos operacionais: Administração da infra-estrutura de TI; Gerência e desenvolvimento organizacional de TI; Segurança da informação; Administração de banco de dados; Administração de sítios.

5 Evolução da Auditoria Interna de TI no Bacen Obs.: Até o exercício de 2005, a auditoria de TI do Banco Central estava baseada fortemente no conhecimento e nas experiências individuais dos auditores (ad hoc).

6 Evolução da Auditoria Interna de TI no Bacen 2006 Estruturação de equipe especializada e início da implantação do processo de auditoria de TI, com base no CobiT. Obs.: A equipe de auditoria de TI foi constituída por pessoas com formação ou especialização na área de TI.

7 Evolução da Auditoria Interna de TI no Bacen 2007 Evolução do processo de auditoria de TI, ajustando-o às Normas Internacionais de Auditoria Interna do IIA Evolução da supervisão das auditorias de TI Ajustes no processo de auditoria de TI, com a finalidade de evoluir os controles e a maturidade. Obs.: Anualmente, a equipe de auditoria de TI se reúne para avaliar o resultado dos trabalhos do ano anterior e propor melhorias para o processo.

8 Evolução da Auditoria Interna de TI no Bacen A evolução da maturidade da auditoria de TI resultou na elevação da objetividade dos trabalhos.

9 Governança de TI Governança Corporativa O sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. [IBGC-2006] Governança de TI Especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI. [Weill e Ross ]

10 Uso do Cobit no Processo de Auditoria de TI O COBIT Control Objectives for Information and Related Technology (que pode ser traduzido como Objetivos de Controle para a Informação e Tecnologias Relacionadas) ajuda a TI a suportar os objetivos de negócio, ao prover um conjunto de boas práticas de processos.

11 Uso do Cobit no Processo de Auditoria de TI Apresenta os processos de TI de forma lógica e estruturada, relacionando riscos de negócios, necessidades de controles e questões técnicas, sendo independente da plataforma tecnológica, do tipo de negócio e valor e da participação que a tecnologia da informação tem na cadeia produtiva da organização. Organizado em 4 domínios, 34 processo e 210 objetivos de controle.

12 Uso do Cobit no Processo de Auditoria de TI A avaliação dos processos adotados na área de TI da empresa tornou-se um desafio para a auditoria interna, considerando a característica dos ativos, a complexidade do ambiente e os riscos envolvidos, que, até determinado momento, eram incógnitos para os auditores.

13 Uso do Cobit no Processo de Auditoria de TI Modelo para o relacionamento entre os objetos de auditoria da organização e o CobiT Objetos de Auditoria Subobjetos Objetivos de Controle Processos Domínios

14 Uso do Cobit no Processo de Auditoria de TI A Auditoria Interna do Banco Central, na evolução do processo de auditoria de TI, definiu o CobiT 4.1 como a referência básica para os trabalhos de auditoria interna. No processo, o CobiT se destina principalmente na definição dos objetos e do escopo de auditorias e na identificação dos objetivos, dos controles e dos riscos de TI, relacionados com os objetos.

15 Plano Anual de Atividades da Auditoria Interna (Paint) O Paint é o planejamento das auditorias que serão realizadas durante um determinado exercício. Encaminhado previamente à Controladoria Geral da União (CGU) para sugestões e aprovado pela Diretoria Colegiada. A definição dos objetos a serem auditados no exercício está baseada em matriz de risco, que identifica o grau de importância do objeto para a organização (avaliação dos gestores dos objetos) e a compara com o grau de confiança da auditoria nos controles desses objetos.

16 Plano Anual de Atividades da Auditoria Interna (Paint) - Matriz de Priorização dos Objetos Muito Baixa Confiabilidade no Controle Interno Muito Alta Alta Média Baixa M u i t o A l t a I m p o r t â n c i a d o P r o c e s s o A l t a M é d i a B a i x a M u i t o B a i x a

17 Plano Anual de Atividades da Auditoria Interna (Paint) Dimensão da importância : relacionamento do processo com o objetivo estratégico; impacto na reputação da instituição, em caso de incidentes; e materialidade dos recursos relacionados. Dimensão da confiabilidade do controle : lapso de tempo entre as auditorias; quantidade de recomendações pendentes de solução, ponderadas pelo grau de priorização; e o resultado da avaliação do controle interno de auditoria anterior.

18 Plano Anual de Atividades da Auditoria Interna (Paint) Os objetivos, os riscos e o escopo das auditorias internas, registrados no Paint, são definidos com base nos processos de TI do CobiT. Obs.: O CobiT amplia a visão de riscos da Auditoria Interna. Cabe à equipe de auditoria, durante a execução dos trabalhos, avaliar se os riscos podem impactar a TI da instituição e, conseqüentemente, a necessidade de recomendar o fortalecimento ou a implantação de controles.

19 1. Levantamento das informações sobre o objeto a ser auditado: Realiza estudos sobre o processo que será auditado, identificando: as leis e as normas, as referências técnicas nacionais e internacionais; os responsáveis pela gestão e execução do processo; o suporte informatizado existente; e outras informações relevantes relacionadas.

20 2. Elaboração do planejamento operacional da auditoria Define e aprova o cronograma padrão do trabalho de auditoria. Obs.: a ordem das etapas do cronograma é relevante para o alcance dos objetivos da auditoria.

21 3. Elaboração do Programa da Auditoria O programa de auditoria consiste: na definição dos objetivos do trabalho; no estabelecimento do escopo e da extensão dos testes necessários; na identificação dos riscos, das atividades de controle e das transações a serem examinadas; e na documentação dos procedimentos utilizados para coletar e avaliar o objeto de auditoria.

22 3.1 Elaboração ou revisão da parte inicial do Programa da Auditoria Foi definido um modelo padrão de Programa da Auditoria, com os campos que devem ser preenchidos pela equipe. A parte inicial consiste na organização das informações obtidas na fase de Levantamento das informações sobre o objeto a ser auditado.

23 3.2 Apresentação da equipe de auditoria A equipe de auditoria é apresentada, pela chefia da Auditoria Interna, aos responsáveis pela unidade que terá seu processo auditado. Os objetivos gerais do trabalho e o escopo preliminar definido no Paint são explicitados pela equipe.

24 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) O QACI é o conjunto de questões objetivas que visa auxiliar a equipe de auditoria na avaliação dos controles instituídos para mitigar os riscos inerentes ao processo auditado.

25 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) Continuação Conforme definido no escopo do trabalho, estabelecido no Paint, a equipe de auditoria elabora questões objetivas para identificar a existência, a inexistência ou a necessidade, ou não, de determinados controles. Essas questões devem ser alinhadas com o escopo do Paint, que por sua vez foi baseado nos objetivos de controle do CobiT.

26 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) Continuação Questão de Controle Avaliação Justificativa 1. Questão 1? ( ) Inexistente ( ) Ad Hoc/Inicial ( ) Repetível ( ) Definido ( ) Gerenciado ( ) N/A 2....

27 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) Continuação Valor Avaliação Descrição 1 Inexistente Processo ou controle não existente, mas os gestores reconhecem a necessidade dos mesmos. 2 Ad Hoc Processo ou controle não estruturado e padronizado, sendo gerido de forma desorganizada. 3 Repetível Processo ou controle padronizado localmente. Treinamento e comunicação não são formalizados. 4 Definido Processo ou controle padronizado para toda a instituição, com documentação, treinamento e comunicação formais. Contudo, a probabilidade de detecção de desvios é baixa. 5 Gerenciado Processo ou controle institucionalizado, com ações detectivas e corretivas para não conformidades. Melhoria continua, boas práticas e automação são utilizadas. Na Não aplicável Processo ou controle não existente e os gestores não reconhecem a necessidade dos mesmos.

28 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) Continuação Obs.: O QACI é um importante produto do processo de auditoria de TI, pois agregará informações relevantes para as próximas etapas. No momento da conclusão do questionário, o supervisor deve avaliar o resultado e apresentar sugestões de melhorias, se necessário.

29 3.4 Aplicação do QACI O QACI deve ser respondido pela equipe de auditoria. Oportunidade para a unidade auditada entender, de forma detalhada, o objetivo da auditoria e oferecer informações que auxiliará na delimitação do escopo do trabalho.

30 3.4 Aplicação do QACI Continuação A equipe de auditoria deve registrar no QACI as suas respostas, que podem ser alinhadas, ou não, com o entendimento do auditado. A justificativa deve ser preenchida com informações sobre o controle ou a sua inaplicabilidade na instituição. No caso a resposta da questão seja N/A, a análise desse controle se encerra nesse momento.

31 3.4 Aplicação do QACI Continuação Obs.: Nesse momento, pode ocorrer a primeira delimitação do escopo definido no Paint. O supervisor deve avaliar o resultado da aplicação do QACI e sugerir ajustes, se necessário.

32 3.5 Nota de avaliação sobre o controle interno (NACI) Ao final da aplicação do QACI, o auditor deverá concluir se o controle interno para a atividade sob exame é adequado e efetivo. O controle interno pode ser considerado: Ótimo; Bom; Regular; Deficiente; ou Precário.

33 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) O MORC é o papel de trabalho onde serão registrados os objetivos, os riscos e os controles do processo de TI em análise. Recebe informações do QACI, possibilita a priorização dos riscos inerentes ao processo e dá suporte à decisão sobre os objetivos e o escopo da auditoria.

34 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação

35 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação

36 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação Objetivo do processo de TI: Os objetivos a serem alcançados pelo processo de TI, em análise, devem ser identificados e registrados pela equipe, em campo específico do MORC. O CobiT relaciona 28 objetivos com os processos de TI.

37 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação

38 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação Descrição do risco: Os riscos de os objetivos dos processos de TI não serem alcançados devem ser identificados, descritos e registrados pela equipe de auditoria. Para padronizar o nível de detalhamento da descrição dos riscos, convencionou-se que cada questão do QACI originará a uma descrição de risco.

39 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação

40 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação Importância do Risco: A equipe de auditoria deve avaliar os riscos identificados, com base na probabilidade e no impacto de sua concretização, utilizando parâmetros de 1 a 5, conforme o Quadro de distribuição de riscos da atividade.

41 QUADRO DE DISTRIBUIÇÃO DE RISCOS DA ATIVIDADE Muito alto Risco alto Risco alto Risco muito alto Risco muito alto Risco muito alto Alto Risco médio Risco médio Risco alto Risco alto Risco muito alto IMPACTO Médio Risco baixo Risco médio Risco médio Risco alto Risco alto Baixo Risco muito baixo Risco baixo Risco baixo Risco médio Risco médio Nulo Risco muito baixo Risco muito baixo Risco muito baixo Risco Risco muito baixo muito baixo Improvável Baixa Média Alta Muito alta PROBABILIDADE

42 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação

43 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação Atividades de controle: Os mecanismos de controle adotados pela administração para a mitigação de cada um dos riscos relacionados. Embora o título trate de atividades de controle, pode ser incorporado nesse campo outro tipo de resposta ao risco que não seja, necessariamente, a instituição de atividades de controle.

44 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação

45 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação Avaliação do controle: A equipe de auditoria deve registrar a sua avaliação preliminar sobre a efetividade da atividade de controle instituída em relação ao risco que pretende mitigar, incluindo-se a possibilidade de avaliar outros tipos de respostas ao risco. A avaliação deve indicar o nível de eficácia do controle, considerando a seguinte escala conceitual: (1) inexistente; (2) fraco; (3) insatisfatório; (4) satisfatório; e (5) forte.

46 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação

47 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação Impacto na auditoria: Um primeiro indicador do tratamento que o mapeamento e a avaliação dos riscos e dos controles merecerão na seqüência dos trabalhos de auditoria. É apurado a partir da combinação da importância do risco com o nível de eficácia do controle, conforme o Quadro de hiato de controle.

48 QUADRO DE HIATO DE CONTROLE Muito alto Prioridade alta Prioridade alta Prioridade muito alta Prioridade muito alta Prioridade muito alta RANKING DO RISCO Alto Médio Baixo Prioridade média Prioridade baixa Prioridade muito baixa Prioridade média Prioridade média Prioridade baixa Prioridade alta Prioridade média Prioridade baixa Prioridade alta Prioridade alta Prioridade média Prioridade muito alta Prioridade alta Prioridade média Muito baixo Prioridade muito baixa Prioridade muito baixa Prioridade muito baixa Prioridade Prioridade muito baixa muito baixa Forte Fraco Satisfatório Insatisfatório Inexistente EFICÁCIA DO CONTROLE

49 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação Indicação de procedimentos: Hiato de controle: com as indicações do hiato de controle, a importância do risco e a avaliação do controle, o auditor deve registrar os impactos desse mapeamento e avaliação para a seqüência dos trabalhos de auditoria, indicando quais os procedimentos de auditoria que devem ser aplicados durante a fase de execução.

50 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação

51 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação Referência: Indicação do número do procedimento de execução de auditoria, incorporado no sistema informatizado de suporte das atividades da auditoria, importante para permitir a supervisão dos trabalhos desenvolvidos.

52 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) Continuação Obs.: O resultado desse mapeamento e avaliação dos objetivos, riscos e controles deve ser discutido com as partes interessadas (gestor, auditado), com vistas a colher subsídios para o seu aperfeiçoamento.

53 3.7 Reavalia os objetivos e o escopo do trabalho de auditoria - Continuação Concluída a fase de elaboração e levantamento das informações gerais sobre o objeto da auditoria e a avaliação do controle interno, o auditor deve avaliar a adequação dos objetivos e do escopo da auditoria, inicialmente previstos no Paint.

54 3.7 Reavalia os objetivos e o escopo do trabalho de auditoria Continuação Se julgar adequado, em função das informações obtidas durante o processo de planejamento, particularmente da avaliação do controle interno, o auditor deve propor, ao corpo diretivo da Auditoria, ajustes ou modificações nos objetivos ou no escopo do trabalho, devendo, para tanto, formalizar as razões que justifiquem essas sugestões.

55 3.8 Elabora os procedimentos de auditoria Para viabilizar a supervisão efetiva na fase de execução, foi padronizada a descrição do procedimento de auditoria que será executado. A equipe deve estruturar as informações da seguinte forma: (1) Número e Título do Procedimento; (2) Risco avaliado; (2) Objetivo do procedimento; (3) Questão a ser respondida pela equipe de auditoria; (2) Objetos de teste; (3) Descrição do teste.

56 3.9 Aprova do Programa de Auditoria Concluído o Programa de Auditoria, este deve ser aprovado pelo chefe da auditoria de TI. Após a aprovação, a equipe de auditoria irá aplicá-lo no trabalho de campo, na fase de execução. Obs.: Todas as alterações do Programa de Auditoria devem ser comunicadas e aprovadas pelo chefe.

57 (Execução) 4. Aplica do Programa de Auditoria Aplicação os procedimentos de auditoria: Solicita os objetos de análise ao auditado; Realiza os testes previstos; Responde as questões definidas; Identifica e registra as evidências de auditoria; Identifica e registra as possíveis recomendações.

58 (Execução) 5. Realiza reunião com o auditado para tratar dos achados da auditoria Informa ao auditado o resultado do trabalho de auditoria de TI, apresentando os pontos fortes e fracos identificados. Indica os pontos que serão abordados no relatório, apresentando as evidências obtidas.

59 (Execução) 6. Reavalia o QACI, a NACI e o MORC Concluída a aplicação do Programa de Auditoria, a equipe deve reavaliar as informações constantes do QACI e do MORC, além da nota do NACI, quando deve propor os ajustes, se julgar necessários.

60 (Relatório) 7. Elabora o Relatório da Auditoria Preâmbulo do relatório; Objetivos da auditoria; Escopo do trabalho da auditoria; Estrutura do controle interno existente para o objeto auditado; Conclusão sobre o controle interno e o trabalho de auditoria;

61 (Relatório) 7. Elabora o Relatório da Auditoria Continuação Assunto: Número e Título do assunto; Evidência identificada: Critério; Condição; Causa; e Conseqüência; e Recomendação. Prazos acordados com a unidade recomendada para o atendimento das recomendações ou a apresentação do plano de providências.

62 Conclusões Executar auditoria interna, baseada em processo formalizado e impessoal, elevou a confiança e a qualidade dos resultados dos trabalhos da auditoria interna de TI; O processo de implantação de um modelo de governança de TI exige esforço, atenção e investimento, o que cria, na maioria das vezes, resistência da administração e das pessoas envolvidas. A visão dos risco é ampliada, mas os gestores de TI da organização necessitam de tempo para compreender, organizar e estabelecer os controles que mitiguem esses riscos;

63 Conclusões A compreensão pelas áreas e negócio sobre governança de TI deve evoluir, para que forneçam à área de TI os insumos necessários para o adequado funcionamento de seus processos; Os gestores tem dificuldades para visualizar os benefícios e o valor que a governança de TI pode agregar aos negócios, além de as pessoas envolvidas considerarem o controle interno oneroso para as suas rotinas; A Auditoria deve definir estratégias para viabilizar a governança de TI na organização.

64 Fim DÚVIDAS? OBRIGADO!