Auditoria de controles organizacionais Prof. Dr. Joshua Onome Imoniana
Definição de controles organizacionais Os controles organizacionais e operacionais são os controles administrativos instalados nos processos de fluxo das transações econômicas e financeiras dos sistemas de informações. Auxilia na consecução dos objetivos dos negócios.
Efeitos dos controles organizacionais A efetividade deste controle depende da experiência organizacional dos gestores. Este exige demonstração de práticas e habilidades gerenciais. Poucas são as interferências e as influências externas.
desenvolvimento de plano de capacitação. Tarefas dos controles organizacionais delineamento das responsabilidades operacionais e segregação das funções; coordenação de orçamento de capital de informática e bases; desenvolvimento e implementação das políticas globais de informática; intermediação com terceiros (Networking); gerenciamento de suprimentos e outsourcing;
Políticas de TI Responsabilizar a gerência e de todos em poder de patrimônios a respeito de manipulação e salvaguarda dos ativos da organização no processo de geração de riquezas. Orientar o plano diretor de informática a fim de desmembrar os processos de execução em etapas monitoráveis.
Princípios de gestão de TI A organização deve identificar e proteger os ativos considerados críticos para as operações. Ativos tangíveis e intangíveis, atentando para sua depreciação ou exaustão, inclusive de sua reposição. A gerência tem responsabilidade sobre os ativos que estão sob sua guarda; no entanto, deve estabelecer procedimentos administrativos para garantir sua proteção.
DESCRIÇÃO DE CARGOS As descrições de cargos e funções possibilitam implementação consistente de controles organizacionais da área de informática.
Supervisor de Infraestrutura a) atuar junto à gerência da TI, definindo e propondo metas e soluções, de modo que toda a infra-estrutura de informática da empresa esteja sempre no patamar tecnológico e funcional adequado para as necessidades desta pasta; b) planejar e avaliar a capacidade da estrutura existente, indicando a adoção de novas tecnologias colocadas à disposição no mercado; c) definir e buscar recursos para o crescimento e ampliação do ambiente; d) coordenar as ações de implementação de projetos e metas aprovadas pela gerência da TI; e) garantir a integração das equipes técnicas disponibilizadas para realizar os serviços de gerenciamento de rede e suporte aos usuários; f) implementar junto à equipe técnica os projetos e metas definidas pela gerência da TI; g) garantir o perfeito funcionamento de todo o ambiente de informática, através das equipes técnicas, reportando falhas e ações corretivas à gerência da TI; h) manter e garantir o máximo sigilo sobre todas as informações referentes à
Administrador de Redes A) administrar, supervisionar e acompanhar as facilidades das instalações de rede; b) instalar, administrar e dar suporte de forma adequada aos servidores Windows NT/2000, Linux, Novel, entre outros da empresa e das unidades interligadas; c) instalar, administrar e dar suporte aos servidores de e-mail, DNS,jirewall e proxy da empresa e das unidades interligadas nas plataformas utilizadas; d) administrar de forma adequada as contas dos usuários e as devidas permissões de acesso às informações; e) garantir privacidade, integridade e confiabilidade dos dados contidos nos servidores; f) implementar, administrar e realizar de forma adequada as políticas de backup da rede; g) gerar documentação da configuração da rede, bem como relatórios de atualizações e ocorrências dos servidores; h) monitorar o desempenho da rede e solucionar possíveis problemas de performance e falhas de conectividade;
Administrador de banco de Dados a) administrar todo o ambiente de banco de dados, Oracle, SQL SERVER e outros; b) planejar e implementar as estratégias de utilização dos bancos pelas pessoas, sistemas ou programas; c) manter ativo e em operação os sistemas elaborados em Oracle, SQL SERVER e outros; d) implementar ajustes, melhorias e modificações quando surgirem novos avanços tecnológicos; e) realizar suporte técnico aos usuários do ambiente; f) manter rigoroso sigilo sobre as informações da empresa que eventualmente sejam acessadas; g) planejar e executar o backup dos servidores de banco de dados; h) administrar as contas dos usuários da empresa para acesso ao ambiente de Banco de Dados, Oracle, SQL SERVER e outros; i) dar suporte aos usuários do ambiente de Banco de Dados, Oracle, SQL SERVER e outros, exceto os sistemas em produção; j) planejar e determinar a emissão de relatórios e quadros estatísticos; k) administrar a documentação do ambiente de Banco de Dados, Oracle, SQL SERVER e outros.
Administrador de Dados a) coordena atividades dentro do departamento de administração de dados. b) Auxilia na definição de dados que cada usuário necessita para processar seu aplicativo. c) Ajuda os analistas de sistemas na alocação de dados para os sistemas que esteja desenvolvendo. d) Ajuda o administrador de segurança de sistemas na alocação de acessos aos arquivos de dados para aplicações tanto a acesso interno como em relação a acesso remoto.
Administrador de Segurança de informação a) implementar a política de segurança para a empresa; b) detectar possíveis invasões ou ameaças, realizando ações corretivas, seguindo a determinação da política de segurança de informações; c) testar e determinar pontos de vulnerabilidade na rede e na política de segurança adotada, realizando ações corretivas e/ou informando aos administradores responsáveis; d) manter a estrutura de segurança atualizada e customizar o sistema de segurança de acordo com a política; e) garantir a privacidade, integridade e confiabilidade dos dados contidos nos servidores; f) pesquisar novas falhas de segurança dos sistemas operacionais e produtos utilizados pela empresa; g) gerar e manter documentação atualizada; h) gerar material de apoio visando à disseminação da cultura de segurança da informação; i) pesquisar novas soluções de segurança; j) manter e garantir o máximo sigilo sobre todas as informações referentes à rede da empresa.
Suporte técnico a) realizar a manutenção preventiva e corretiva de todos os equipamentos b) encaminhar, quando necessário, os equipamentos com defeito para a oficina e/ou laboratório próprio, ou da contratada, ou do fabricante c) realizar todo o inventário de hardware e software; d) instalar e conectar à rede novos microcomputadores, bem como mudanças de localização dos conectados além de inspeção preventiva; f) instalar, remanejar e manter a estrutura de cabeamento da empresa; g) instalar, configurar e dar suporte em todos os sistemas operacionais, utilitários e aplicativos utilizados; i) controlar a disponibilidade de licenças de uso de todos os softwares; j) realizar suporte técnico local aos usuários quando necessário; k) emitir parecer técnico de novos softwares, verificando se eles atendem às necessidades técnicas da empresa; l) realizar o suporte ao uso das ferramentas de automação de escritórios;
Objetivos de auditoria o principal objetivo de auditoria dos controles organizacionais da área de informática é: testar a grande essência de controle interno, promover a eficiência das operações, e fomentar a maior adesão às políticas prescritas pela gerência com maior foco na responsabilidade.
Exemplo: Check-list de auditoria de controles organizacionais C2 -Implementação de normas administrativas visa disseminar constantemente os pensamentos dos gestores, delimitando as responsabilidades de cada um. P5 -Existem normas ou procedimentos administrativos que descrevem os afazeres e as restrições para todas as atividades? P6 -Essas normas são de conhecimento dos funcionários? P7 -As ações punitivas para as transgressões das políticas são estabelecidas. P8 -Confronte a movimentação (turno ver) de pessoal com os planejamentos e orçamentos da empresa. C3 -Políticas salariais e planos de carreiras P9 A empresa possui um plano de cargos e salários? P10 -Este plano prescreve revisão periódica para o quadro de informática? C4 -Treinamentos do pessoal P11 -Existem planos de treinamentos para todos os cargos da área de informática? P12 -Solicite o plano de treinamentos de pessoal e verifique a razoabilidade e o cumprimento do treinamento mínimo necessário para o departamento. C5 -Prêmios e bonificações P13 -Existem planos de prêmios e bonificações não só para produtividades, mas também por excelência? P14 -Se sim, quanto isso representa em termos relativos em comparação aos benefícios para os funcionários da informática?
Conclusão. 1. Controle organizacional tem foco no gestor de TI; 2. É cobrado acompanhamento de planejamento estratégico de TI. 3. Auditoria segue plano de rotação de auditoria de controles gerais para atender F/S