AUDITORIA DE PROCESSOS BASEADA EM RISCOS Diorgens Miguel Meira
AGENDA 1 2 3 4 5 O BANCO DO NORDESTE TECNOLOGIA DA INFORMAÇÃO NO BNB AUDITORIA NO BANCO DO NORDESTE SELEÇÃO DE PROCESSOS CRÍTICOS AUDITORIA DE PROCESSOS DE TI
Atuação do Banco do Nordeste O Banco do Nordeste tem como área básica de atuação os nove Estados da Região Nordeste, o norte e os Vales do Mucuri e do Jequitinhonha do Estado de Minas Gerais e o norte do Estado do Espírito Santo. Área de atuação: 1.775,4 mil Km 2 Municípios atendidos: 1.990 (11 Estados) Quantidade de agências: 187 Nº de funcionários: 6.066 Indicador NE BR NE/BR (%) Nº de Estados 9 27 33,3 Área (Km²) 1.554.388 8.502.728 18,3 População 2010¹ (milhões de habitantes) 53,1 190,7 27,8 PIB 2008¹ (R$ bilhões correntes 397,5 3.031,9 13,1 PIB per capita 2008¹ (R$ 1,00) 7.487,55 15.989,77 46,8 População em extrema pobreza 2010¹ (%) 18,1 8,5 Índice de Desenvolvimento Humano (IDH) 2007² 0,749 0,816 Taxa (%) de analfabetismo 2010¹ (pessoas de 15 anos ou mais) 19,1 9,6 ¹ IBGE CENSO 2010 e PNAD 2009 ² BACEN - Estimativa
Tecnologia da Informação no Banco do Nordeste TECNOLOGIA DA INFORMAÇÃO DESENVOLVIMENTO DE SOFTWARE ARQUITETURA DE SOFWARE APOIO À DECISÃO E GOVERNANÇA INFRAESTRUTURA DE TI 200 funcionários. Processo centralizado de desenvolvimento de software (padrão RUP). 04 fábricas de software. 250 sistemas. Gestão por projetos. Uso de padrões ITIL. Mainframe IBM Z9 (z/os). Servidores Windows 200x/Red Hat Linux ES 4/5. Estações Windows XP/Windows 7. Detalhes: documentos à parte.
Auditoria no Banco do Nordeste CONSELHO FISCAL ASSEMBLÉIA GERAL CONTROLADORIA- GERAL DA UNIÃO (CGU) CONSELHO DE ADMINISTRAÇÃO COMITÊ DE AUDITORIA ÁREA DE AUDITORIA DIRETORIA PRESIDÊNCIA OUVIDORIA DIRETORIA DE GESTÃO DO DESENVOLVIMENTO DIRETORIA FINANCEIRA E DE MERCADO DE CAPITAIS DIRETORIA DE NEGÓCIOS DIRETORIA DE CONTROLE E RISCO DIRETORIA DE ADM. DE RECURSOS DE TERCEIROS DIRETORIA ADM. E DE TECNOLOGIA DA INFORMAÇÃO
Auditoria do Banco do Nordeste Responsabilidade Básica: Assessorar a alta administração e colegiados estatutários (Conselho Fiscal, Conselho de Administração e Comitê de Auditoria) fornecendo informações sobre a adequação, integridade, aplicabilidade, conformidade, riscos e qualidade dos controles relativos aos processos da Instituição. Coordenar as demandas oriundas de órgãos externos de controle e fiscalização. Instaurar procedimentos administrativos com vista à apuração de responsabilidades funcionais. Quantitativo: 72 funcionários.
Contexto em que está inserida a Área de Auditoria Área de Auditoria
Contexto em que está inserida a Área de Auditoria Riscos identificados nos Processos do Banco Programa Estratégico do Banco do Nordeste Área de Auditoria
Contexto em que está inserida a Área de Auditoria Riscos identificados nos Processos do Banco Programa Estratégico do Banco do Nordeste Tribunal de Contas da União (TCU) Controladoria- Geral da União (CGU) Área de Auditoria Banco Central do Brasil (BACEN) CVM ANBIMA Auditoria Externa
Contexto em que está inserida a Área de Auditoria Riscos identificados nos Processos do Banco Programa Estratégico do Banco do Nordeste Tribunal de Contas da União (TCU) Controladoria- Geral da União (CGU) Conselho de Administração Área de Auditoria Banco Central do Brasil (BACEN) Comitê de Auditoria Conselho Fiscal CVM ANBIMA Auditoria Externa
SELEÇÃO DE PROCESSOS CRÍTICOS
Planejamento da Área de Auditoria Determinação Legal Instrução Normativa Nº 07, de 29/12/2006 da Controladoria-Geral da União (CGU) O planejamento das atividades de auditoria interna das entidades da administração indireta do Poder Executivo Federal será consignado no Plano Anual de Atividades de Auditoria Interna PAINT, que conterá a programação dos trabalhos da unidade de auditoria interna da entidade para um determinado exercício.
Planejamento da Área de Auditoria Conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna Orientação Prática 2010-1: Vínculo do Planejamento de Auditoria com Risco e Exposições O executivo chefe de auditoria deve estabelecer um planejamento baseado em riscos para determinar as prioridades da atividade de auditoria interna, de forma consistente com as metas da organização. Interpretação: O executivo chefe de auditoria é o responsável pelo desenvolvimento de um planejamento baseado em riscos. O executivo chefe de auditoria leva em consideração a estrutura de gerenciamento de riscos da organização, incluindo o uso dos níveis de apetite de risco estabelecidos pela administração para as diferentes atividades ou partes da organização. Se não houver uma estrutura, o executivo chefe de auditoria utiliza seu próprio julgamento quanto aos riscos após consultar a alta administração e o conselho.
Princípios da Metodologia Auditoria de Processos com Foco em Riscos VISÃO SISTÊMICA FOCO NO FUTURO VISÃO ESTRATÉGICA VISÃO DE RISCO AVALIAÇÃO DA GESTÃO DE RISCOS
Matriz de Riscos Critérios para Priorização dos Processos Críticos Critérios Objetivos Escassez de auditorias nos últimos 3 anos. Vinculação aos Programas Temáticos do PPA 2012 2015 Banco do Nordeste. Objeto de Recomendações da Alta Administração. Sensibilidade a Fraudes. Riscos expostos (recomendações da Auditoria Interna ainda não implementadas). Objeto de Recomendação dos Órgãos de Controle e Fiscalização. Diretrizes Estabelecidas pela Secretaria Federal de Controle Interno (IN 01/2001). Impacto na Prestação de Contas do Banco. Critérios Subjetivos Exposição Financeira do Processo. Complexidade do Processo.
Critérios para Priorização dos Processos Críticos Primeira Análise Aplicação dos critérios - baseada em documentos e informações de sistemas do Banco. Pontuação dos critérios - de 1 um (menor impacto) a 3 três (maior impacto). Pontuação dos Processos depois de aplicados todos os critérios, é gerado um ranking. Segunda Análise Aplicação de critérios subjetivos: Exposição financeira. Complexidade do processo. Final Processos classificados quanto à criticidade (alta, média ou baixa).
AUDITORIA DE PROCESSOS DE TECNOLOGIA DA INFORMAÇÃO
COBIT - Um Modelo de Apoio Guia de boas práticas criado pela ISACA (Information Systems Audit and Control Association), apresentado como um framework dirigido para a gestão da Tecnologia da Informação (TI). Inclui recursos tais como objetivos de controle para processos de TI, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento. +2 18/49/(34)
Domínios dos processos de TI - COBIT +4 19/49/(34)
Processos de TI conforme COBIT Domínio Planejar e Organizar (PO) PO1 Define o plano estratégico de TI; PO2 Define a arquitetura da informação; PO3 Determina a direção tecnológica; PO4 Define os processos, a organização e seus relacionamentos de TI; PO5 Gerencia os investimento de TI; PO6 Comunica diretrizes e expectativas...; PO7 Gerencia os recursos humanos de TI; PO8 Gerencia a qualidade; PO9 Avalia e gerencia os riscos de TI; PO10 Gerencia os projetos de TI. Domínio Adquirir e Implementar (AI) AI1 Identifica as soluções automatizadas; AI2 Adquire e mantém softwares aplicativos; AI3 Adquire e mantém a infraestr. de tecnologia; AI4 Habilita operação e uso; AI5 Adquire recursos de TI; AI6 Gerencia as mudanças; AI7 Instalar e homologar soluções e mudanças. Domínio Entrega e Suportar (DS) DS1 Define e gerencia acordos de nível de serviço; DS2 Gerencia os serviços de terceiros; DS3 Gerencia a capacidade e desempenho; DS4 Assegura a continuidade dos serviços; DS5 Assegura a segurança dos serviços; DS6 Identifica e aloca custos; DS7 Treina os usuários; DS8 Gerencia central de serviços e incidentes; DS9 Gerencia a configuração; DS10 Gerencia os problemas; DS11 Gerencia os dados; DS12 Gerencia o ambiente físico; DS13 Gerencia as operações. Domínio Monitorar e Avaliar (ME) ME1 Monitora e avalia o desempenho; ME2 Monitora e avalia os controles internos; ME3 Assegurar a conformidade com req. Externos; ME4 Provê a governança de TI. +3 20/49/(34)
Diretrizes para Auditorias de TI Auditorias em processos de TI (Visões de processos do COBIT) Objetos de auditoria são estruturados em processos de TI, alinhados à metodologia de auditoria interna em processos corporativos com foco em riscos utilizada. Auditoria baseada em risco Base nos objetivos x riscos x controles do COBIT, estendida após o estudo de cada processo avaliado. Escopos e Focos Os escopos de auditoria serão desenvolvidos baseados nos objetivos dos processos COBIT. Sistemas aplicativos específicos poderão ser focos do trabalho e ou comporão amostras de avaliação dos processos. Correlações - Utilização de mapeamento entre o arcabouço COBIT e as metodologias e boas práticas de uso comum na área de TI e segurança da informação, tal quais ITIL, ISO 27001/27002 e RUP. +12 21/49/(34)
Metodologia para os Trabalhos Etapas Planejamento Estratégico: Planejamento Anual de Auditoria Interna. Definição de Escopos (Mapeamentos & Correlações) Tático: definição de escopos Planos operacionais. Execução de Testes Operacional: aplicação de testes de controles. Comunicação de resultados. +11 22/49/(34)
Roteiro de Avaliação Planejamento estratégico Estabelecer universo da avaliação da TI -> seleção de processos objetos. Selecionar um arcabouço de controle de TI. Realizar planejamento da avaliação de TI baseada em risco. Realizar avaliação de alto nível nos processos em foco. Definir os objetivos e escopos de alto nível. Planejamento Anual de Auditorias de TI Planejamento tático e escopo Objetivos de negócios Metas de TI Principais processos de TI e os principais recursos de TI Principais objetivos de controle Principais objetivos de controle customizados Escopo e objetivos detalhados: Plano Operac. revis. Execução aplicação testes Detalhar a compreenção sobre o objeto de TI em avaliação Detalhar o escopo dos objetivos de controle do objeto avaliado Testar a Efetividade dos controles para os objetivos chaves Testar, se necessário, resultados dos objetivos chaves dos controles Documentar o impacto das fraquezas dos controles Elaborar e comunicar todas as conclusões e recomendações. Relatórios: Conclusão das Avaliações da audit. +10 23/49/(34)
Roteiro de Avaliação Planejamento estratégico Estabelecer universo da avaliação da TI -> seleção de processos objetos. Selecionar um arcabouço de controle de TI. Realizar planejamento da avaliação de TI baseada em risco. Realizar avaliação de alto nível nos processos em foco. Definir os objetivos e escopos de alto nível. Planejamento Anual de Auditorias de TI Planejamento tático e escopo Objetivos de negócios Metas de TI Principais processos de TI e os principais recursos de TI Principais objetivos de controle Principais objetivos de controle customizados Escopo e objetivos detalhados: Plano Operac. revis. Execução aplicação testes Detalhar a compreenção sobre o objeto de TI em avaliação Detalhar o escopo dos objetivos de controle do objeto avaliado Testar a Efetividade dos controles para os objetivos chaves Testar, se necessário, resultados dos objetivos chaves dos controles Documentar o impacto das fraquezas dos controles Elaborar e comunicar todas as conclusões e recomendações. Relatórios: Conclusão das Avaliações da audit. +9 24/49/(34)
Planejamento estratégico Seleção dos processos de TI a serem auditados (visão COBIT): objetivos de controle de alto nível se relacionando com possíveis objetos de auditoria que comporão o PAINT. Definição do conjunto de trabalhos a serem realizados em cada período do ciclo anual de auditorias. Priorização dos processos de TI será feita levando em consideração sua importância no suporte dos processos de negócios priorizados. Produtos: Planejamento Anual de Auditoria Interna: onde os processos de TI selecionados farão parte, juntamente com os demais processos corporativos mapeados pela Auditoria para os trabalhos. +8 25/49/(34)
Roteiro de Avaliação Planejamento estratégico Estabelecer universo da avaliação da TI -> seleção de processos objetos. Selecionar um arcabouço de controle de TI. Realizar planejamento da avaliação de TI baseada em risco. Realizar avaliação de alto nível nos processos em foco. Definir os objetivos e escopos de alto nível. Planejamento Anual de Auditorias de TI Planejamento tático e escopo Objetivos de negócios Metas de TI Principais processos de TI e os principais recursos de TI Principais objetivos de controle Principais objetivos de controle customizados Escopo e objetivos detalhados: Plano Operac. revis. Execução aplicação testes Detalhar a compreenção sobre o objeto de TI em avaliação Detalhar o escopo dos objetivos de controle do objeto avaliado Testar a Efetividade dos controles para os objetivos chaves Testar, se necessário, resultados dos objetivos chaves dos controles Documentar o impacto das fraquezas dos controles Elaborar e comunicar todas as conclusões e recomendações. Relatórios: Conclusão das Avaliações da audit. +7 26/49/(34)
Planejamento tático e escopos Definição dos escopos dos trabalhos a partir do estudo detalhado dos objetivos de cada atividade a ser avaliada. Refinamento do escopo preliminar da fase anterior. Identificação dos controles e testes relacionados com os riscos das atividades. Documentação da avaliação dos controles relacionado com os riscos. Produtos: Plano Operacional revisado. Mapeamento do processo objeto do trabalho de auditoria. Matriz de criticidade das atividades do processo. Programas de Testes. Versões prévias de relatórios. +6 27/49/(34)
Aplicação de testes Planejamento estratégico Estabelecer universo da avaliação da TI -> seleção de processos objetos. Selecionar um arcabouço de controle de TI. Realizar planejamento da avaliação de TI baseada em risco. Realizar avaliação de alto nível nos processos em foco. Definir os objetivos e escopos de alto nível. Planejamento Anual de Auditorias de TI Planejamento tático e escopo Objetivos de negócios Metas de TI Principais processos de TI e os principais recursos de TI Principais objetivos de controle Principais objetivos de controle customizados Escopo e objetivos detalhados: Plano Operac. revis. Execução aplicação testes Detalhar a compreenção sobre o objeto de TI em avaliação Detalhar o escopo dos objetivos de controle do objeto avaliado Testar a Efetividade dos controles para os objetivos chaves Testar, se necessário, resultados dos objetivos chaves dos controles Documentar o impacto das fraquezas dos controles Elaborar e comunicar todas as conclusões e recomendações. Relatórios: Conclusão das Avaliações da audit. +5 28/49/(34)
Correlações Utilização de modelos ou metodologias diversos na operacionalização dos processos de TI: Gestão de serviços de infraestrutura de TI: ITIL. Sistema de Gerenciamento da Segurança da Informação: normas ISO 27001 / ISO 27002. Metodologia/Modelos de Desenvolvimento de Software: RUP. Correlação entre metodologias / modelos utilizados e a visão de processos de TI utilizado pela auditoria (COBIT). +6 29/49/(34)
Correlação com ITIL +5 30/49/(34)
Correlação com ISO 27001 Objetivos de controle da ISO 27001. Mapeamento entre Processos COBIT e objetivos de controle da 27001. Exemplo: Processo COBIT Objetivo de controle ISO 27001 DS4 (Garantia da Continuidade dos Serviços) 03 itens: A6.1, A10.5 e A14.1 DS5 (Garantia da Segurança dos Sistemas) 33 itens: A5.1, A6.1, A6.2, A8.1 a A8.3, A9.1, A9.2, A10.1, A10.4, A10.6 a A10.10, A11.1 a A11.7, A12.2 a A12.4, A12.6, A13.1, A13.2, A15.1 a A15.3. DS11 (Gerenciar Dados) 06 itens: A9.2, A10.5, A10.7, A10.8, A12.4 e A15.1. DS12 (Gerenciar o Ambiente Físico) 03 itens: A6.2, A9.1 e A9.2. Testes dos controles da ISO levarão em conta também os riscos documentados nos processos do COBIT mapeados. +2 31/49/(34)
Correlação com RUP Visão do processo (COBIT) AI2 - Aquisição e Manutenção de Software Aplicativo. Fase Definição de Escopos & Mapeamentos: avaliação de riscos inerentes aos aspectos do eixo vertical do RUP. Aspecto que trata do conjunto de produtos gerados a cada fase (atividades, artefatos, fluxos de trabalho etc.), tomando-os como os possíveis controles, mas não somente estes, sendo a sua observância matéria de análise do auditor do processo de TI advindo da visão de processos COBIT. Fase Execução (Aplicação de testes): focada no eixo horizontal do RUP, onde serão testados os controles requeridos entre as fases do Processo, quanto a sua observância e eficácia. aspecto dinâmico, relacionado com os marcos das fases do processo. 32/49/(34)
Correlação com RUP Eixo vertical (Produtos gerados) Eixo horizontal (Aspecto dinâmico) +1 33/49/(34)
Resultados de auditoria Plano Anual de Auditoria Interna (PAINT). Planos Operacionais dos trabalhos. Registros de Constatação: Pontos de auditoria: fraquezas do processo objeto. Relatório de Auditoria. +1 34/49/(34)
Conclusão A qualidade das informações produzidas pela Auditoria pode ser percebida a partir da utilização de uma metodologia de execução dos procedimentos dos trabalhos utilizada. A utilização da visão de processos utilizando metodologias baseadas em boas práticas disseminadas promove a padronização das estruturas de trabalho, o que faz com que as equipes de auditoria de TI falem e entendam uma linguagem comum. +1 35/49/(34)
Obrigado! AUDITORIA DE PROCESSOS BASEADA EM RISCOS Diorgens Miguel Meira diorgens@bnb.gov.br