Processo de Auditoria Interna de TI - Instituto dos Auditores Internos

Transcrição

GOVERNANÇA DE TI: Um desafio para a Auditoria Interna
COSME LEANDRO DO PATROCÍNIO
Banco Central do Brasil
Programação da Apresentação
• Evolução da Auditoria Interna de TI no Banco
Central;
• Governança de TI;
• Uso do Cobit no Processo de Auditoria de TI;
• Plano Anual de Atividades da Auditoria Interna;
• Processo de Auditoria Interna de TI:
• Planejamento; Execução; e Relatório.
• Conclusões.
Evolução da Auditoria Interna de TI no Bacen
1998 - 2001 – Auditorias focadas no operacional da área
de TI: Microinformática; Segurança física; Segurança
lógica; Redes locais; e Sistemas informatizados.
2002 - 2003 – Os sistemas de informação passam a ser
os principais escopos das auditorias: Sistemas
Informatizados de Departamentos; Administração do
Centro de Serviço de Informática; Estrutura Normativa
da Área de Informática.
9
9
9
9
2004 - 2005 – A gestão de área da TI ganha destaque,
mas ainda focam principalmente aspectos operacionais:
Administração da infra-estrutura de TI;
Gerência e desenvolvimento organizacional de TI;
Segurança da informação;
Administração de banco de dados; Administração de
sítios.
Obs.: Até o exercício de 2005, a auditoria de TI do
Banco Central estava baseada fortemente no
conhecimento e nas experiências individuais dos
auditores (ad hoc).
2006 – Estruturação de equipe especializada e início da
implantação do processo de auditoria de TI, com base
no CobiT.
Obs.: A equipe de auditoria de TI foi constituída por
pessoas com formação ou especialização na área de TI.
2007 – Evolução do processo de auditoria de TI,
ajustando-o às Normas Internacionais de Auditoria
Interna do IIA.
2008 – Evolução da supervisão das auditorias de TI.
2009 – Ajustes no processo de auditoria de TI, com a
finalidade de evoluir os controles e a maturidade.
Obs.: Anualmente, a equipe de auditoria de TI se reúne
para avaliar o resultado dos trabalhos do ano anterior e
propor melhorias para o processo.
A evolução da maturidade da auditoria de
TI resultou na elevação da objetividade
dos trabalhos.
Governança de TI
Governança Corporativa
“O sistema pelo qual as sociedades são dirigidas e
monitoradas, envolvendo os relacionamentos entre
Acionistas/Cotistas, Conselho de Administração,
Diretoria, Auditoria Independente e Conselho Fiscal.”
[IBGC-2006]
Governança de TI
“Especificação dos direitos decisórios e do framework
de responsabilidades para estimular comportamentos
desejáveis na utilização da TI”. [Weill e Ross - 2006]
Uso do Cobit no Processo de Auditoria de TI
• O COBIT – Control Objectives for Information and
Related Technology (que pode ser traduzido como
Objetivos de Controle para a Informação e Tecnologias
Relacionadas) – ajuda a TI a suportar os objetivos de
negócio, ao prover um conjunto de boas práticas de
processos.
• Apresenta os processos de TI de forma lógica e
estruturada, relacionando riscos de negócios,
necessidades de controles e questões técnicas, sendo
independente da plataforma tecnológica, do tipo de
negócio e valor e da participação que a tecnologia da
informação tem na cadeia produtiva da organização.
• Organizado em 4 domínios, 34 processo e 210 objetivos
de controle.
• A avaliação dos processos adotados na área de TI da
empresa tornou-se um desafio para a auditoria interna,
considerando a característica dos ativos, a
complexidade do ambiente e os riscos envolvidos, que,
até determinado momento, eram incógnitos para os
auditores.
• Modelo para o relacionamento entre os objetos de
auditoria da organização e o CobiT
Objetos de Auditoria
Subobjetos
Objetivos de Controle
Processos
Domínios
• A Auditoria Interna do Banco Central, na evolução do
processo de auditoria de TI, definiu o CobiT 4.1 como a
referência básica para os trabalhos de auditoria interna.
• No processo, o CobiT se destina principalmente na
definição dos objetos e do escopo de auditorias e na
identificação dos objetivos, dos controles e dos riscos de
TI, relacionados com os objetos.
Plano Anual de Atividades da Auditoria Interna
(Paint)
• O Paint é o planejamento das auditorias que serão
realizadas durante um determinado exercício.
Encaminhado previamente à Controladoria Geral da
União (CGU) para sugestões e aprovado pela Diretoria
Colegiada.
• A definição dos objetos a serem auditados no exercício
está baseada em matriz de risco, que identifica o grau
de importância do objeto para a organização (avaliação
dos gestores dos objetos) e a compara com o grau de
confiança da auditoria nos controles desses objetos.
(Paint) - Matriz de Priorização dos Objetos
I
m
p
o
r
t
â
n
c
i
a
d
o
P
r
o
c
e
s
s
o
M
u
i
t
o
A
l
t
a
A
l
t
a
M
é
d
i
a
B
a
i
x
a
M
u
i
t
o
B
a
i
x
a
Muito Alta
Alta
Média
Confiabilidade no Controle Interno
Baixa
Muito Baixa
(Paint)
• Dimensão da “importância”: relacionamento do
processo com o objetivo estratégico; impacto na
reputação da instituição, em caso de incidentes; e
materialidade dos recursos relacionados.
• Dimensão da “confiabilidade do controle”: lapso de
tempo entre as auditorias; quantidade de
recomendações pendentes de solução, ponderadas pelo
grau de priorização; e o resultado da avaliação do
controle interno de auditoria anterior.
(Paint)
Os objetivos, os riscos e o escopo das auditorias
internas, registrados no Paint, são definidos com base
nos processos de TI do CobiT.
Obs.: O CobiT amplia a visão de riscos da Auditoria
Interna. Cabe à equipe de auditoria, durante a execução
dos trabalhos, avaliar se os riscos podem impactar a TI
da instituição e, conseqüentemente, a necessidade de
recomendar o fortalecimento ou a implantação de
controles.
Processo de Auditoria Interna de TI
(Planejamento)
1. Levantamento das informações sobre o
objeto a ser auditado:
Realiza estudos sobre o processo que será
auditado, identificando: as leis e as normas, as
referências técnicas nacionais e internacionais;
os responsáveis pela gestão e execução do
processo; o suporte informatizado existente; e
outras informações relevantes relacionadas.
(Planejamento)
2. Elaboração do planejamento operacional da
auditoria
Define e aprova o cronograma “padrão” do
trabalho de auditoria.
Obs.: a ordem das etapas do cronograma é
relevante para o alcance dos objetivos da
auditoria.
(Planejamento)
3. Elaboração do Programa da Auditoria
O programa de auditoria consiste:
9 na definição dos objetivos do trabalho;
9 no estabelecimento do escopo e da extensão dos
testes necessários;
9 na identificação dos riscos, das atividades de controle
e das transações a serem examinadas; e
9 na documentação dos procedimentos utilizados para
coletar e avaliar o objeto de auditoria.
(Planejamento)
3.1 Elaboração ou revisão da parte inicial do Programa
da Auditoria
Foi definido um modelo padrão de “Programa
da Auditoria”, com os campos que devem ser
preenchidos pela equipe. A parte inicial
consiste na organização das informações
obtidas na fase de “Levantamento das
informações sobre o objeto a ser auditado”.
(Planejamento)
3.2 Apresentação da equipe de auditoria
A equipe de auditoria é apresentada, pela
chefia da Auditoria Interna, aos responsáveis
pela unidade que terá seu processo auditado.
Os objetivos gerais do trabalho e o escopo
preliminar definido no Paint são explicitados
pela equipe.
(Planejamento)
3.3 Elaboração do Questionário de Avaliação do
Controle Interno (QACI)
O QACI é o conjunto de questões objetivas que
visa auxiliar a equipe de auditoria na avaliação
dos controles instituídos para mitigar os riscos
inerentes ao processo auditado.
(Planejamento)
Controle Interno (QACI) – Continuação
Conforme definido no escopo do trabalho, estabelecido
no Paint, a equipe de auditoria elabora questões
objetivas para identificar a existência, a inexistência ou
a necessidade, ou não, de determinados controles.
Essas questões devem ser alinhadas com o escopo do
Paint, que por sua vez foi baseado nos objetivos de
controle do CobiT.
(Planejamento)
Questão de Controle
1. Questão 1? 2. ...
Avaliação
( ) Inexistente
( ) Ad Hoc/Inicial ( ) Repetível ( ) Definido ( ) Gerenciado ( ) N/A Justificativa
(Planejamento)
Valor
Avaliação
Descrição
Processo ou controle não existente, mas os gestores reconhecem a necessidade dos
mesmos.
Processo ou controle não estruturado e padronizado, sendo gerido de forma
desorganizada.
Processo ou controle padronizado localmente. Treinamento e comunicação não
são formalizados.
Processo ou controle padronizado para toda a instituição, com documentação,
treinamento e comunicação formais. Contudo, a probabilidade de detecção de
desvios é baixa.
1
Inexistente
2
Ad Hoc
3
Repetível
4
Definido
5
Gerenciado
Processo ou controle institucionalizado, com ações detectivas e corretivas para
não conformidades. Melhoria continua, boas práticas e automação são utilizadas.
Não aplicável
Processo ou controle não existente e os gestores não reconhecem a necessidade
dos mesmos.
Na
(Planejamento)
Obs.: O QACI é um importante produto do processo de
auditoria de TI, pois agregará informações relevantes
para as próximas etapas. No momento da conclusão
do questionário, o supervisor deve avaliar o resultado e
apresentar sugestões de melhorias, se necessário.
(Planejamento)
3.4 Aplicação do QACI
O QACI deve ser respondido pela equipe de auditoria.
Oportunidade para a unidade auditada entender, de
forma detalhada, o objetivo da auditoria e oferecer
informações que auxiliará na delimitação do escopo do
trabalho.
(Planejamento)
3.4 Aplicação do QACI – Continuação
A equipe de auditoria deve registrar no QACI as suas
respostas, que podem ser alinhadas, ou não, com o
entendimento do auditado.
A justificativa deve ser preenchida com informações
sobre o controle ou a sua inaplicabilidade na instituição.
No caso a resposta da questão seja N/A, a análise
desse controle se encerra nesse momento.
(Planejamento)
3.4 Aplicação do QACI – Continuação
Obs.: Nesse momento, pode ocorrer a primeira
delimitação do escopo definido no Paint. O supervisor
deve avaliar o resultado da aplicação do QACI e sugerir
ajustes, se necessário.
(Planejamento)
3.5 Nota de avaliação sobre o controle interno (NACI)
Ao final da aplicação do QACI, o auditor deverá concluir
se o controle interno para a atividade sob exame é
adequado e efetivo. O controle interno pode ser
considerado: Ótimo; Bom; Regular; Deficiente; ou
Precário.
(Planejamento)
3.6 Elaboração do Mapa de Objetivos, Riscos e
Controles (MORC)
O MORC é o papel de trabalho onde serão registrados
os objetivos, os riscos e os controles do processo de TI
em análise. Recebe informações do QACI, possibilita a
priorização dos riscos inerentes ao processo e dá
suporte à decisão sobre os objetivos e o escopo da
auditoria.
(Planejamento)
Controles (MORC) – Continuação
(Planejamento)
(Planejamento)
Objetivo do processo de TI: Os objetivos a serem
alcançados pelo processo de TI, em análise, devem ser
identificados e registrados pela equipe, em campo
específico do MORC. O CobiT relaciona 28 objetivos
com os processos de TI.
(Planejamento)
(Planejamento)
Descrição do risco: Os riscos de os objetivos dos
processos de TI não serem alcançados devem ser
identificados, descritos e registrados pela equipe de
auditoria. Para padronizar o nível de detalhamento da
descrição dos riscos, convencionou-se que cada
questão do QACI originará a uma descrição de risco.
(Planejamento)
(Planejamento)
Importância do Risco: A equipe de auditoria deve
avaliar os riscos identificados, com base na
probabilidade e no impacto de sua concretização,
utilizando parâmetros de 1 a 5, conforme o “Quadro de
distribuição de riscos da atividade”.
IMPACTO
QUADRO DE DISTRIBUIÇÃO DE RISCOS DA ATIVIDADE
Muito alto
Risco
alto
Risco
alto
Alto
Risco
médio
Risco
médio
Risco
alto
Risco
alto
Risco
muito alto
Médio
Risco
baixo
Risco
médio
Risco
médio
Risco
alto
Risco
alto
Baixo
Risco
muito baixo
Risco
baixo
Risco
baixo
Risco
médio
Risco
médio
Nulo
Risco
Risco
muito baixo muito baixo
Risco
muito
baixo
Improvável
Média
Baixa
Risco
Risco
muito alto muito alto
Risco
muito alto
Risco
Risco
muito baixo muito baixo
PROBABILIDADE
Alta
Muito alta
(Planejamento)
(Planejamento)
Atividades de controle: Os mecanismos de controle
adotados pela administração para a mitigação de cada
um dos riscos relacionados. Embora o título trate de
“atividades de controle”, pode ser incorporado nesse
campo outro tipo de resposta ao risco que não seja,
necessariamente, a instituição de atividades de
controle.
(Planejamento)
(Planejamento)
Avaliação do controle: A equipe de auditoria deve registrar
a sua avaliação preliminar sobre a efetividade da atividade
de controle instituída em relação ao risco que pretende
mitigar, incluindo-se a possibilidade de avaliar outros tipos
de respostas ao risco. A avaliação deve indicar o nível de
eficácia do controle, considerando a seguinte escala
conceitual: (1) inexistente; (2) fraco; (3) insatisfatório; (4)
satisfatório; e (5) forte.
(Planejamento)
(Planejamento)
Impacto na auditoria: Um primeiro indicador do
tratamento que o mapeamento e a avaliação dos riscos
e dos controles merecerão na seqüência dos trabalhos
de auditoria. É apurado a partir da combinação da
“importância do risco” com o nível de “eficácia do
controle”, conforme o “Quadro de hiato de controle”.
RANKING DO RISCO
QUADRO DE HIATO DE CONTROLE
Muito alto
Prioridade
alta
Prioridade Prioridade Prioridade Prioridade
alta
muito alta muito alta muito alta
Alto
Prioridade
média
média
alta
alta
muito alta
Médio
Prioridade
baixa
média
média
alta
alta
Baixo
Prioridade Prioridade Prioridade Prioridade Prioridade
muito baixa
baixa
baixa
média
média
Muito
baixo
Prioridade Prioridade
muito baixa muito baixa
Forte
Satisfatório
Prioridade
Prioridade Prioridade
muito
muito baixa muito baixa
baixa
Insatisfatório
Fraco
EFICÁCIA DO CONTROLE
Inexistente
(Planejamento)
Indicação de procedimentos:
Hiato de controle: com as indicações do hiato de
controle, a “importância do risco” e a “avaliação do
controle”, o auditor deve registrar os impactos desse
mapeamento e avaliação para a seqüência dos
trabalhos de auditoria, indicando quais os
procedimentos de auditoria que devem ser aplicados
durante a fase de execução.
(Planejamento)
(Planejamento)
Referência: Indicação do número do procedimento de
execução de auditoria, incorporado no sistema
informatizado de suporte das atividades da auditoria,
importante para permitir a supervisão dos trabalhos
desenvolvidos.
(Planejamento)
Obs.: O resultado desse mapeamento e avaliação dos
objetivos, riscos e controles deve ser discutido com as
partes interessadas (gestor, auditado), com vistas a
colher subsídios para o seu aperfeiçoamento.
(Planejamento)
3.7 Reavalia os objetivos e o escopo do trabalho de
auditoria - Continuação
Concluída a fase de elaboração e levantamento das
informações gerais sobre o objeto da auditoria e a
avaliação do controle interno, o auditor deve avaliar a
adequação dos objetivos e do escopo da auditoria,
inicialmente previstos no Paint.
(Planejamento)
3.7 Reavalia os objetivos e o escopo do trabalho de
auditoria – Continuação
Se julgar adequado, em função das informações
obtidas durante o processo de planejamento,
particularmente da avaliação do controle interno, o
auditor deve propor, ao corpo diretivo da Auditoria,
ajustes ou modificações nos objetivos ou no escopo do
trabalho, devendo, para tanto, formalizar as razões que
justifiquem essas sugestões.
(Planejamento)
3.8 Elabora os procedimentos de auditoria
Para viabilizar a supervisão efetiva na fase de
execução, foi padronizada a descrição do procedimento
de auditoria que será executado. A equipe deve
estruturar as informações da seguinte forma: (1)
Número e Título do Procedimento; (2) Risco avaliado;
(2) Objetivo do procedimento; (3) Questão a ser
respondida pela equipe de auditoria; (2) Objetos de
teste; (3) Descrição do teste.
(Planejamento)
3.9 Aprova do Programa de Auditoria
Concluído o Programa de Auditoria, este deve ser
aprovado pelo chefe da auditoria de TI.
Após a aprovação, a equipe de auditoria irá aplicá-lo no
trabalho de campo, na fase de execução.
Obs.: Todas as alterações do Programa de Auditoria
devem ser comunicadas e aprovadas pelo chefe.
(Execução)
4. Aplica do Programa de Auditoria
Aplicação os procedimentos de auditoria:
9Solicita os objetos de análise ao auditado;
9Realiza os testes previstos;
9Responde as questões definidas;
9Identifica e registra as evidências de auditoria;
9Identifica e registra as possíveis recomendações.
(Execução)
5. Realiza reunião com o auditado para tratar dos
achados da auditoria
Informa ao auditado o resultado do trabalho de
auditoria de TI, apresentando os pontos fortes e fracos
identificados.
Indica os pontos que serão abordados no relatório,
apresentando as evidências obtidas.
(Execução)
6. Reavalia o QACI, a NACI e o MORC
Concluída a aplicação do Programa de Auditoria, a
equipe deve reavaliar as informações constantes do
QACI e do MORC, além da nota do NACI, quando deve
propor os ajustes, se julgar necessários.
(Relatório)
7. Elabora o Relatório da Auditoria
9Preâmbulo do relatório;
9Objetivos da auditoria;
9Escopo do trabalho da auditoria;
9Estrutura do controle interno existente para o objeto
auditado;
9Conclusão sobre o controle interno e o trabalho de
auditoria;
(Relatório)
7. Elabora o Relatório da Auditoria – Continuação
9Assunto:
Número e Título do assunto;
Evidência identificada: Critério; Condição; Causa; e
Conseqüência; e
Recomendação.
9Prazos acordados com a unidade recomendada para
o atendimento das recomendações ou a apresentação
do plano de providências.
Conclusões
9 Executar auditoria interna, baseada em processo formalizado e
impessoal, elevou a confiança e a qualidade dos resultados dos
trabalhos da auditoria interna de TI;
9 O processo de implantação de um modelo de governança de TI
exige esforço, atenção e investimento, o que cria, na maioria das
vezes, resistência da administração e das pessoas envolvidas.
9 A visão dos risco é ampliada, mas os gestores de TI da organização
necessitam de tempo para compreender, organizar e estabelecer os
controles que mitiguem esses riscos;
Conclusões
9 A compreensão pelas áreas e negócio sobre governança de TI
deve evoluir, para que forneçam à área de TI os insumos
necessários para o adequado funcionamento de seus processos;
9 Os gestores tem dificuldades para visualizar os benefícios e o valor
que a governança de TI pode agregar aos negócios, além de as
pessoas envolvidas considerarem o controle interno oneroso para
as suas rotinas;
9 A Auditoria deve definir estratégias para viabilizar a governança de
TI na organização.
Fim
DÚVIDAS?
OBRIGADO!

Processo de Auditoria Interna de TI - Instituto dos Auditores Internos

Transcrição

Documentos relacionados

Processo de Auditoria Inteligente

Ficha de Unidade Curricular

norma original - Câmara Municipal de Muqui

Code of Ethic

Atuação do TCU - Senado Federal

A lei Sarbanes-Oxley

auditoria interna e a gestão de riscos em instituições financeiras

O controle interno governamental no Brasil

Razão social Gol Linhas Aéreas Inteligentes SA

Clique para visualizar o relatório completo.