Governação de SI no contexto da Auditoria Interna Desafios e oportunidades. Pedro Peralta 19 de novembro de 2015

Transcrição

1 Governação de SI no contexto da Auditoria Interna Desafios e oportunidades Pedro Peralta 19 de novembro de 2015

2 Agenda Introdução A crescente relevância dos Sistemas de Informação no contexto empresarial A perspetiva do Auditor Interno Influência do sistema de informação na Auditoria Interna e enquadramento IIA Governação de Sistemas de Informação A urgência do governo societário de SI e a evolução recente a nível nacional Abordagem prática de Auditoria Interna Por onde começar? Para informações, contacte Deloitte & Associados SROC, S.A. 2

3 Introdução O mundo está a mudar Vídeo Human Exclusion Zone Quiet Logistics Para informações, contacte Deloitte & Associados SROC, S.A. 3

4 Introdução Lei de Moore Em 1965 o fundador da Intel formulou a seguinte conjectura, designada por lei de Moore: O número de transístores num chip duplicará a cada 2 anos Gordon Moore A evolução dos computadores é exponencial Para informações, contacte Deloitte & Associados SROC, S.A. 4

5 Introdução A lei de Moore no mundo real Fonte: Para informações, contacte Deloitte & Associados SROC, S.A. 5

6 Introdução A lei de Moore no mundo real Fonte: Para informações, contacte Deloitte & Associados SROC, S.A. 6

7 Introdução A lei de Moore no mundo real Fonte: Para informações, contacte Deloitte & Associados SROC, S.A. 7

8 Introdução e o reflexo nas Empresas Fonte: Para informações, contacte Deloitte & Associados SROC, S.A. 8

9 Agenda Introdução A crescente relevância dos Sistemas de Informação no contexto empresarial A perspetiva do Auditor Interno Influência do sistema de informação na Auditoria Interna e enquadramento IIA Governação de Sistemas de Informação A urgência do governo societário de SI e a evolução recente a nível nacional Abordagem prática de Auditoria Interna Por onde começar? Para informações, contacte Deloitte & Associados SROC, S.A. 9

10 A perspetiva do Auditor Interno Novos desafios, novas abordagens As utilização de tecnologias de informação, as quais são parte integrante do sistema de informação, concede vantagens significativas às organizações, como sejam: Automatização de processos (cálculos, validações, workflows); Partilha de informação entre processos; Desmaterialização de documentos e transacções; Execução de transacções electrónicas (e-commerce); Acesso electrónico ( em qualquer lugar ) à informação; Rapidez, acessibilidade e eficácia no acesso à informação; e Melhoria do nível de controlo sobre os processos e sobre a informação Para informações, contacte Deloitte & Associados SROC, S.A. 10

11 A perspetiva do Auditor Interno Novos desafios, novas abordagens representando riscos que as organizações não podem ignorar: Dependência de automatismos invisíveis ; Cíber-segurança; Tratamento massificado de informação, de forma indiferenciada; Falhas na partilha de informação entre processos; Vulnerabilidade da informação electrónica (desmaterializada); Acesso indevido (consultas, modificações) à informação, de forma massificada; Elevada velocidade de propagação de eventos de risco; ou Confiança excessiva sobre o alcance da tecnologia ( pensava que ). mutas vezes ignorados ou ofuscados pelas vantagens concedidas Para informações, contacte Deloitte & Associados SROC, S.A. 11

12 A perspetiva do Auditor Interno Reconhecimento de valor na governação de SI De acordo com um estudo realizado pelo ISACA em 2014, ISACA Global COBIT 5 Governance Study os principais benefícios resultantes de uma eficaz governação de SI, foram: Integração entre o negócio e os Sistemas de Informação (75% das respostas) Melhoria na gestão de risco (56% das respostas); e Maior visibilidade dos SI ao nível do órgão de administração (35% das respostas) No mesmo estudo, mais de 78% dos participantes concordou que o panorama global da empresa e de SI resultaram valorizados por existir uma eficaz governação de SI. 17% não referiu qualquer alteração e 5% afirmaram ter desvalorizado Para informações, contacte Deloitte & Associados SROC, S.A. 12

13 A perspetiva do Auditor Interno As orientações do IIA Governança (norma de desempenho) A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para a melhoria do processo de governança no seu cumprimento dos seguintes objetivos: Promover a ética e os valores apropriados dentro da organização; Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de contas; Comunicar as informações relacionadas aos riscos e aos controles às áreas apropriadas da organização; e Coordenar as atividades e a comunicação das informações entre o conselho, os auditores externos e internos e a administração A1 A atividade de auditoria interna deve avaliar o desenho, implantação e a eficácia dos objetivos, programas e atividades da organização relacionados à ética A2 A atividade de auditoria interna deve avaliar se a governação de SI da organização dá suporte às estratégias e objetivos da organização Para informações, contacte Deloitte & Associados SROC, S.A. 13

14 Agenda Introdução A crescente relevância dos Sistemas de Informação no contexto empresarial A perspetiva do Auditor Interno Influência do sistema de informação na Auditoria Interna e enquadramento IIA Governação de Sistemas de Informação A urgência do governo societário de SI e a evolução recente a nível nacional Abordagem prática de Auditoria Interna Por onde começar? Para informações, contacte Deloitte & Associados SROC, S.A. 14

15 Governação de Sistemas de Informação Motivação para a governação de SI Para além dos aspetos já referidos, a motivação para uma boa governação de SI resulta da necessidade de alinhamento e integração entre o governo das sociedades e o governo de SI; alinhamento e integração dos objetivos e estratégias do SI com o negócio; definição de responsabilidades transversais no contexto do SI, designadamente dos órgãos de Governo, Gestão e Operação da sociedade; promover a consciencialização para as novas ameaças das novas TIC (ex. Cloud, Big Data, Mobilidade, Ciber-riscos, Redes Sociais); garantir a conformidade do SI com os requisitos legais, normativos e contratuais; adaptação das organizações a novos modelos de exploração e crescente importância do governo e gestão de entidades externas (ex. outsourcing); valorização do fator humano nos SI, nomeadamente na qualificação, requalificação ou atualização de competências para alinhamento com as necessidades; e promover uma cultura, conduta profissional e ética, também no contexto do SI Para informações, contacte Deloitte & Associados SROC, S.A. 15

16 Governação de Sistemas de Informação Papel dinamizador do IPCG Atento à relevância do tema IT Governance, o Instituto Português de Corporate Governance criou um grupo de trabalho para preparação e discussão de uma proposta de Princípios e recomendações para o bom governo societário de Sistemas de Informação. O grupo de trabalho integrou especialistas em vários domínios com vasta experiência profissional: Estratégia e governação de Sistemas de Informação; Auditoria de Sistemas de Informação; Consultoria estratégica de Sistemas de Informação Direito (de privacidade da Informação e proteção de dados); Ensino superior de Sistemas de Informação; Para informações, contacte Deloitte & Associados SROC, S.A. 16

17 Governação de Sistemas de Informação Bom governo societário de Sistemas de Informação Neste trabalho foram identificados 6 princípios para o bom governo societário de SI. Estes princípios determinam que o órgão de administração é responsável: 1. Pelo governo do Sistema de Informação 2. Pelo alinhamento e integração da estratégia do Sistema de Informação com a estratégia e objetivos do negócio 3. Por delegar na gestão executiva a responsabilidade pela implementação de uma estrutura de suporte ao governo do Sistema de Informação 4. Por controlar e avaliar os investimentos e custos relevantes relacionados com o Sistema de Informação 5. Por garantir que as oportunidades e ameaças relacionadas com o Sistema de Informação são parte integrante da gestão de risco da sociedade 6. Por garantir a gestão eficaz do ativo Informação Para informações, contacte Deloitte & Associados SROC, S.A. 17

18 Agenda Introdução A crescente relevância dos Sistemas de Informação no contexto empresarial A perspetiva do Auditor Interno Influência do sistema de informação na Auditoria Interna e enquadramento IIA Governação de Sistemas de Informação A urgência do governo societário de SI e a evolução recente a nível nacional Abordagem prática de Auditoria Interna Por onde começar? Para informações, contacte Deloitte & Associados SROC, S.A. 18

19 Abordagem prática de Auditoria Interna Avaliação de maturidade da governação de SI Princípio 1 - O órgão de administração é responsável pelo governo do Sistema de Informação Questões a considerar Existem estruturas de SI (Comités, DSI, CIO) para alinhar os objetivos da organização com os objetivos de SI? Os comportamentos éticos relativamente à utilização da informação e dos SI encontram-se refletidos nos códigos de conduta / ética? São fornecidas orientações aos colaboradores relativamente a comportamentos não éticos e às consequências que tais comportamentos poderão significar? As estruturas de SI existentes possibilitam uma comunicação fluída com o órgão de administração? O resultado da supervisão efetuada sobre o Sistema de Informação (e.g. conclusões do Auditor Externo) é acompanhado de modo a melhorar a sua eficácia e desempenho? Para informações, contacte Deloitte & Associados SROC, S.A. 19

20 Abordagem prática de Auditoria Interna Avaliação de maturidade da governação de SI Princípio 2 - O órgão de administração é responsável pelo alinhamento e integração da estratégia do Sistema de Informação com a estratégia e objetivos do negócio Questões a considerar A estratégia de SI é definida tendo em consideração a estratégia da organização sendo possível reconhecer esta última nos objetivos definidos para os SI? Existem mecanismos de inventivo à inovação em SI que contribuam para responder a novos desafios, oportunidades, para a melhoria dos processos ou para o desenvolvimento do negócio? É elaborado e aprovado um orçamento de SI enquadrado com as prioridades definidas (estratégia de SI) e os constrangimentos orçamentais existentes? Os recursos afetos aos Sistemas de Informação são proporcionais à dimensão e características da organização? Para informações, contacte Deloitte & Associados SROC, S.A. 20

21 Abordagem prática de Auditoria Interna Avaliação de maturidade da governação de SI Princípio 3 - O órgão de administração é responsável por delegar na gestão executiva a responsabilidade pela implementação de uma estrutura de suporte ao governo do Sistema de Informação Questões a considerar As funções e responsabilidades da Direção de Sistemas de Informação (ou equiv.) e das suas subdivisões encontram-se claramente definidas e comunicadas na organização? As decisões mais relevantes de SI são tomadas em sede de estrutura de apoio ao órgão de administração, própria para o efeito (e.g. comité de estratégico de SI)? Encontram-se definidas políticas e processos para articulação (e.g. pedidos, incidências) da área de Sistemas de Informação com as restantes estruturas da organização? O gestor do Sistema de Informação possui as competências necessárias, técnicas não técnicas, e a experiência adequada para a função? Para informações, contacte Deloitte & Associados SROC, S.A. 21

22 Abordagem prática de Auditoria Interna Avaliação de maturidade da governação de SI Princípio 4. O órgão de administração é responsável por controlar e avaliar os investimentos e custos relevantes relacionados com o Sistema de Informação Questões a considerar Existem indicadores de performance específicos para o Sistema de Informação? Os investimentos de SI são avaliados quanto ao valor que contribuem (financeiro e não financeiro), quanto aos riscos associados e a quanto à eficácia (usabilidade, disponibilidade) e eficiência (custos)? O Sistema de Informação encontra-se documentado, do ponto de vista técnico e funcional, de modo a garantir a proteção do conhecimento e do valor? Existem mecanismos de controlo e monitorização da prestação de serviços externos relacionados com o SI? Esses mecanismos são periodicamente avaliados de forma independente? Para informações, contacte Deloitte & Associados SROC, S.A. 22

23 Abordagem prática de Auditoria Interna Avaliação de maturidade da governação de SI Princípio 5. O órgão de administração é responsável por garantir que as oportunidades e ameaças relacionadas com o Sistema de Informação são parte integrante da gestão de risco da sociedade Questões a considerar Existem planos de continuidade de negócio e de recuperação em caso de desastre para o Sistema de Informação ou para os seus componentes mais críticos para a organização? A conformidade do Sistema de Informação é avaliada formalmente, principalmente em relação a requisitos legais e contratuais (e.g. licenciamentos), sendo os resultados comunicados ao órgão de administração? Existe algum canal para comunicação e tratamento de ameaças, oportunidades, preocupações, incidentes ou problemas relacionados com o Sistema de Informação? O controlo interno de SI encontra-se formalmente implementado, sendo a sua eficácia testada periodicamente? Os principais riscos de SI, com impacto ao nível das operações do negócio, conformidade e relato de informação financeira são capturados e tratados no contexto global de gestão de risco da organização? Para informações, contacte Deloitte & Associados SROC, S.A. 23

24 Abordagem prática de Auditoria Interna Avaliação de maturidade da governação de SI Princípio 6. O órgão de administração é responsável por garantir a gestão eficaz do ativo Informação Questões a considerar Encontram-se atribuídas responsabilidades formais relativamente à informação, a qual se encontra classificada em termos de sensibilidade (e.g. confidencialidade, criticidade para o negócio) sendo protegida contra acessos indevidos e salvaguardada quanto a eventuais perdas? Os dados pessoais encontram-se identificados (sistemas, processos) e encontram-se atribuídas responsabilidades formais sobre os mesmos? Existem políticas de segurança da informação formais, as quais são refletidas em procedimentos de segurança em áreas específicas? Para informações, contacte Deloitte & Associados SROC, S.A. 24

25 Deloitte refere-se a Deloitte Touche Tohmatsu Limited, uma sociedade privada de responsabilidade limitada do Reino Unido (DTTL), ou a uma ou mais entidades da sua rede de firmas membro e suas entidades relacionadas. A DTTL e cada uma das firmas membro da sua rede são entidades legais separadas e independentes. A DTTL (também referida como "Deloitte Global") não presta serviços a clientes. Para aceder à descrição detalhada da estrutura legal da DTTL e suas firmas membro consulte A Deloitte presta serviços de auditoria, consultoria fiscal, consultoria de negócios e de gestão e corporate finance a clientes nos mais diversos setores de atividade. Com uma rede globalmente ligada de firmas membro em mais de 150 países e territórios, a Deloitte combina competências de elevado nível com oferta de serviços qualificados conferindo aos clientes o conhecimento que lhes permite abordar os desafios mais complexos dos seus negócios. Os mais de profissionais da Deloitte empenham-se continuamente para serem o padrão de excelência. Esta comunicação apenas contém informação de caráter geral, pelo que não constitui aconselhamento ou prestação de serviços profissionais pela Deloitte Touche Tohmatsu Limited, pelas suas firmas membro ou pelas suas entidades relacionadas (a Rede Deloitte ). Nenhuma entidade da Rede Deloitte é responsável por quaisquer danos ou perdas sofridos pelos resultados que advenham da tomada de decisões baseada nesta comunicação Para informações, contacte Deloitte & Associados SROC, S.A. 25