Coordenadoria de Tecnologia da Informação. Documentos Formais. Governança de Auditoria Interna de TI com AGIL-GPR

Transcrição

1 Coordenadoria de Tecnologia da Informação Documentos Formais Governança de Auditoria Interna de TI com AGIL-GPR NOV/2011 1

2 Sumário 1 Introdução Políticas de Governança de Auditoria Interna de TI Área de Governança de Auditoria Interna de TI Serviços de Governança do Documento de Auditoria Interna de TI Alinhamento estratégico com a Matriz de GPR do Governo Funções, Perfis e Competências para Governança de Auditoria Interna de TI Indicadores de Governança de Auditoria Interna de TI Metas de indicadores de Governança de Auditoria Interna de TI Auditorias de TI realizadas Avaliação da situação atual Riscos para melhoria da Governança de Auditoria Interna de TI a Glossário

3 1.Introdução Este documento tem como objetivo determinar as políticas de Auditoria Interna de TI no âmbito da Procuradoria-Geral do Estado do Ceará - PGE, além de demonstrar sua evolução a partir do ano de 2011, descrevendo os serviços prestados pela área, o perfil e competências necessários para o exercício pleno das funções e atividades. Ele descreve de forma sucinta como é a área de Auditoria Interna de TI da PGE, como ela está alinhada estrategicamente com a matriz GPR do Governo do Estado do Ceará, quais os indicadores da área, quais as metas de indicadores a serem alcançadas, quais auditorias de TI já foram realizadas na PGE no ano de 2011 e quais os riscos para melhoria da Governança de Auditoria Interna de TI. 3

4 2.Políticas de Governança de Auditoria Interna de TI Esta política dispõe sobre como realizar Auditorias de TI no âmbito da Procuradoria-Geral do Estado do Ceará. Art. 1º Quanto a periodicidade de atualização do documento: Este documento deverá ser revisado e atualizado anualmente. Art. 2º Quanto aos meios de publicação do documento: Este documento deverá ser publicado e divulgado na wiki de TI da PGE no endereço: wiki.pge.ce.gov.br. 4

5 3. Área de Governança de Auditoria Interna de TI A área tem como principal objetivo avaliar e prestar ajuda a alta Administração a desenvolver adequadamente suas atribuições, proporcionando-lhes análises, recomendações e comentários objetivos, acerca das atividades de TI examinadas. A responsabilidade da Auditoria Interna é assessorar a organização de modo condizente com as "NORMAS PARA EXERCÍCIO PROFISSIONAL DA AUDITORIA INTERNA" e com os padrões de conduta contidos no "CÓDIGO DE ÉTICA". Os auditores devem ser independentes das atividades que auditam. Eles são independentes quando podem exercer suas funções livre e objetivamente. A independência permite aos auditores fazer julgamentos neutros e imparciais, o que é essencial para a realização de uma boa auditoria. Esta é obtida através do "status" organizacional e objetividade. O auditor não deve elaborar procedimentos, assim como desenvolver, implantar, ou operar sistemas (ou as partes dos mesmos) pertencentes aos auditados, zelando, porém, para que existam os controles-chave. Caso isto não seja observado, a objetividade da Auditoria Interna poderá ser comprometida. A área tem como razão de ser: Proporcionar à PGE serviços de análises, avaliações, consultoria e recomendações acerca das atividades realizadas nas áreas da Procuradoria. A Equipe atual possui no seu quadro 1 (um) agente público: Nome Danielle de Carvalho Mapurunga Sobral Tipo de Contratação Cargo Comissionado Cargo Data da Entrada na PGE Articulador 01/03/07 Principais Funções Realizador de Auditorias Realizador de Pesquisas sobre Auditoria Realizador de Consultoria sobre Auditoria 5

6 4. Serviços de Governança do Documento de Auditoria Interna de TI Serviço Serviço de Elaboração do Documento de Auditoria Interna de TI. Serviço de Alteração do Documento de Auditoria Interna de TI. Resumo Serviço responsável pela criação do documento de Auditoria Interna de TI. Serviço responsável pela manutenção do documento de Auditoria Interna de TI. Estimativa de Tempo de Execução 1 semana 1 semana Qtde Estimada de Execuções Executado somente no momento da criação do Documento. Executado uma vez por ano. Diagrama do Serviço de Elaboração do Documento de Auditoria Interna de TI: 6

7 Diagrama do Serviço de Alteração do Documento de Auditoria Interna de TI: 7

8 5. Alinhamento Estratégico com a Matriz de GPR do Governo Eixo Resultado de Governo Indicadores da Área Gestão Ética, Eficiente e Participativa Informações disponibilizadas com agilidade e confiabilidade Índice de eficiência de auditorias internas 8

9 6.Funções, Perfis e Competências para Governança de Auditoria Interna de TI Quadro das principais funções e competências da área: Serviço Função Conhecimentos Habilidades Atitudes Serviço de Realização de auditorias Realizador de Auditorias Elaborador de questionários. Elaborador de relatórios. Elaborador de pareceres. Verificador da eficiência, da eficácia e da economia na utilização dos recursos. Verificador da integridade e confiabilidade das informações gerenciais. Técnicas de auditoria. Software de auditoria e extração de dados. Sistemas operacionais. Software básico. Banco de dados. Processamento distribuído. Software de controle de acesso. Segurança de informações. Plano de contingência e de recuperação. Metodologias de desenvolvimento de sistemas. bom relacionamento. capacidade de comunicação. senso crítico. capacidade de análise. capacidade de coordenação. Comportamento ético. Cautela e zelo profissional. Independência. Imparcialidade. Objetividade. Cortesia. Responsabilidade. 9

10 7. Indicadores de Governança de Auditoria Interna de TI Quadro dos principais indicadores: Indicador Índice de eficiência de auditorias internas Qtd. de Processos de Auditoria Documentados Tipo de Indicador (Desempenho/ Resultado) Desempenho Desempenho O que demonstra Como calcular Como analisar A quantidade de auditorias solicitadas que foram realizadas A quantidade de processos de auditoria que estão documentados Quantidade de auditorias realizadas / Quantidade de auditorias solicitadas Quantidade de processos documentados / Quantidade de processos de auditoria existentes Caso o indicador seja igual a 1, foi alcançado o desempenho. Caso o indicador seja igual a 1, foi alcançado o desempenho. 10

11 8. Metas de indicadores de Governança de Auditoria Interna de TI Quadro de metas dos principais indicadores: Indicador Índice de auditorias de conformidade realizadas Quantidade de auditores capacitados Quantidade de auditores certificados Índice de processos de auditoria definidos Descrição da Meta Áreas da CTI em conformidade com objetivos, políticas, orçamentos, regras, padrões e melhores práticas até dezembro de Auditores capacitados até dezembro de Auditores certificados até dezembro de Processos de auditoria definidos nas áreas da PGE até dezembro de Data de Definição da Meta Data de Revisão da Meta 28/12/12 02/07/13 28/12/12 02/07/13 28/12/12 02/07/13 30/12/11 02/07/13 Avaliação Atual do Cumprimento da Meta Aguardando primeira avaliação Aguardando primeira avaliação Aguardando primeira avaliação Aguardando primeira avaliação 11

12 9. Auditorias de TI Realizadas Tabela Auditoria Realizadas em 2011 Auditorias Auditoria realizada na Coordenadoria de Tecnologia da Informação CTI sobre o Decreto N o , que dispõe sobre a instituição da Política de Segurança da Informação dos Ambientes de Tecnologia da Informação e Comunicação - TIC do Governo do Estado do Ceará e do Comitê Gestor de Segurança da Informação do Governo do Estado do Ceará CGSI. Auditoria realizada nos processos de pregão eletrônico, realizado através do Portal Digital, para os seguintes processos: HIAS, COGERH, HGF e HGF baseada nas Portarias N o 10/2010 PGE que dispõe sobre o armazenamento, localização e segurança dos dados e documentos digitais da PGE e Portaria N o 5/2010 PGE que dispõe sobre a utilização de certificado digital no âmbito da PGE. Total = 2 12

13 10. Avaliação da situação atual Hoje a área de Auditoria Interna de TI é composta por apenas 1 (uma) pessoa. Fisicamente a área é dividida com a área de Aquisições, Orçamento e Contratos de TI. Durante o ano de 2011 foram solicitadas duas auditorias, que geraram relatórios e pareceres para o Coordenador de TI. Com os resultados dessas auditorias foram elaborados planos de ação que estão sendo executados pela equipe da CTI para corrigir e/ou implantar processos que não estavam em conformidade. O indicador da área, índice de eficiência de auditorias internas, foi alcançado, pois atingiu o índice de 1, pois o número de auditorias solicitadas, foram realizadas. Os resultados a serem alcançados até dezembro de 2011 são: Controles internos fiscalizados; Obtenção de melhores informações sobre a real situação dos processos das subáreas de TI da Procuradoria; Processos em conformidade com a legislação; Garantia de maior atenção e rigor dos colaboradores contra erros e fraudes. 13

14 11. Riscos para melhoria da Governança de Auditoria Interna de TI a 2015 Descrição A equipe só tem um colaborador. Colaborador da área é iniciante em Auditoria. Área de Auditoria Interna de TI não possui local próprio. Auditor de TI não realizar a auditoria solicitada. Riscos Se o colaborador sair da PGE. A área de Auditoria Interna fica sem ninguém, correndo o risco de acabar. Demora na realização de auditorias e resultados das auditorias sairem incompletos. Área de Auditoria não ser reconhecida como uma área independente. Algum processo ou sistema que tinha que ser auditado poderia conter algum erro que não seria identificado. Total 4 Sugestões (inovações propostas para melhorias de Governança de Auditoria Interna de TI) Formar a equipe de auditores internos. Capacitar a área de Auditoria Interna de TI, através de cursos, seminários e palestras. Criar local para área de Auditoria Interna de TI para a equipe de auditores. Área que solicitou a auditoria acompanhar as auditorias solicitadas. 14

15 12. Glossário Descrever os termos utilizados em governança de Auditoria Interna de TI com AGIL-GPR para nivelamento de conceitos. Termo AGIL-GPR Auditoria Auditoria da tecnologia da informação Banco de Dados CISA CISM COBIT CTI FRAMEWORK Governança de TI HARDWARE Indicadores de Desempenho Indicadores de Resultados IT-CGEIT Metodologias de desenvolvimento de sistemas Plano de Contigência Conceito Forma revolucionária de modernização das instituições, unificando técnicas contemporâneas de administração e Tecnologia da Informação - TI, como gestão por resultados, inteligência artificial, gestão do conhecimento, ambientes de colaboração, gestão por competências, dentre outros. É uma atividade que engloba o exame de operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Ela é essencialmente operacional. Os auditores analisam os sistemas de informática, o ambiente computacional, a segurança de informações e o controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficiências. É também conhecida como auditoria informática, computacional ou de sistemas. São coleções de informações que se relacionam de forma que crie um sentido. Certificado profissional para auditores de sistemas de informação. Certificado profissional para gerente de segurança da informação. Guia de boas práticas apresentado como framework, dirigido para a gestão de tecnologia da informação. Coordenadoria de Tecnologia da Informação. Conjunto de classes implementadas em uma linguagem de programação específica, usadas para auxiliar o desenvolvimento de software. Conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente alinhar TI aos negócios. É a parte física do computador, ou seja, é o conjunto de componentes eletrônicos, circuitos integrados e placas, que se comunicam através de barramentos Representam fatores que gerarão resultados melhores ou piores no futuro. Ex: satisfação do cliente, índices de inovação. Representam o que foi obtido pela empresa em função de ações passadas. Ex: vendas, quantidade de clientes, posição no mercado, saída de funcionários. Certificado para governança de TI. Conjunto de regras e padrões que orientam a abordagem utilizada em todas as tarefas associadas com o ciclo de vida do desenvolvimento de sistemas. Tem o objetivo de descrever as medidas a serem tomadas por uma empresa, incluindo a ativação de processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num estado minimamente aceitável, o mais rápido possível, evitando assim uma paralisação prolongada que possa gerar maiores 15

16 Processamento distribuído Segurança de informações Sistemas operacionais SOFTWARE Software básico Software de controle de acesso Técnicas de auditoria TI prejuízos a corporação, como a fuga de acionistas, grandes perdas de receita, sanções governamentais, problemas jurídicos para os dirigentes, abordagens maliciosas da imprensa, fuga de funcionários para os concorrentes e até mesmo, em casos extremos, o fechamento da empresa. Caracteriza-se pela capacidade individual de processamento de cada equipamento integrante da rede, não mais havendo a figura de um computador que centraliza todo o processo. Ele usa uma rede de computadores para compartilhar informações e serviços disponibilizados por cada computador para seus usuários. Proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Coleção de programas que inicializam o hardware do computador. Sequência de instruções a serem seguidas e/ou executadas, na manipulação, redirecionamento. Inclui programas responsáveis por gerenciar e controlar os recursos de hardware. Determina que restrição dar a cada pessoa para acesso a determinados ambientes. Ele também informa quem entrou ou saiu, através dos relatórios. Conjunto de processos e ferramentas operacionais de que se serve o controle para a obtenção de evidências, as quais devem ser suficientes, adequadas, relevantes e úteis para conclusão dos trabalhos Tecnologia da Informação. 16