Processo de Auditoria Interna de TI - Instituto dos Auditores Internos
Transcrição
Processo de Auditoria Interna de TI - Instituto dos Auditores Internos
GOVERNANÇA DE TI: Um desafio para a Auditoria Interna COSME LEANDRO DO PATROCÍNIO Banco Central do Brasil Programação da Apresentação • Evolução da Auditoria Interna de TI no Banco Central; • Governança de TI; • Uso do Cobit no Processo de Auditoria de TI; • Plano Anual de Atividades da Auditoria Interna; • Processo de Auditoria Interna de TI: • Planejamento; Execução; e Relatório. • Conclusões. Evolução da Auditoria Interna de TI no Bacen 1998 - 2001 – Auditorias focadas no operacional da área de TI: Microinformática; Segurança física; Segurança lógica; Redes locais; e Sistemas informatizados. 2002 - 2003 – Os sistemas de informação passam a ser os principais escopos das auditorias: Sistemas Informatizados de Departamentos; Administração do Centro de Serviço de Informática; Estrutura Normativa da Área de Informática. Evolução da Auditoria Interna de TI no Bacen 9 9 9 9 2004 - 2005 – A gestão de área da TI ganha destaque, mas ainda focam principalmente aspectos operacionais: Administração da infra-estrutura de TI; Gerência e desenvolvimento organizacional de TI; Segurança da informação; Administração de banco de dados; Administração de sítios. Evolução da Auditoria Interna de TI no Bacen Obs.: Até o exercício de 2005, a auditoria de TI do Banco Central estava baseada fortemente no conhecimento e nas experiências individuais dos auditores (ad hoc). Evolução da Auditoria Interna de TI no Bacen 2006 – Estruturação de equipe especializada e início da implantação do processo de auditoria de TI, com base no CobiT. Obs.: A equipe de auditoria de TI foi constituída por pessoas com formação ou especialização na área de TI. Evolução da Auditoria Interna de TI no Bacen 2007 – Evolução do processo de auditoria de TI, ajustando-o às Normas Internacionais de Auditoria Interna do IIA. 2008 – Evolução da supervisão das auditorias de TI. 2009 – Ajustes no processo de auditoria de TI, com a finalidade de evoluir os controles e a maturidade. Obs.: Anualmente, a equipe de auditoria de TI se reúne para avaliar o resultado dos trabalhos do ano anterior e propor melhorias para o processo. Evolução da Auditoria Interna de TI no Bacen A evolução da maturidade da auditoria de TI resultou na elevação da objetividade dos trabalhos. Governança de TI Governança Corporativa “O sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal.” [IBGC-2006] Governança de TI “Especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI”. [Weill e Ross - 2006] Uso do Cobit no Processo de Auditoria de TI • O COBIT – Control Objectives for Information and Related Technology (que pode ser traduzido como Objetivos de Controle para a Informação e Tecnologias Relacionadas) – ajuda a TI a suportar os objetivos de negócio, ao prover um conjunto de boas práticas de processos. Uso do Cobit no Processo de Auditoria de TI • Apresenta os processos de TI de forma lógica e estruturada, relacionando riscos de negócios, necessidades de controles e questões técnicas, sendo independente da plataforma tecnológica, do tipo de negócio e valor e da participação que a tecnologia da informação tem na cadeia produtiva da organização. • Organizado em 4 domínios, 34 processo e 210 objetivos de controle. Uso do Cobit no Processo de Auditoria de TI • A avaliação dos processos adotados na área de TI da empresa tornou-se um desafio para a auditoria interna, considerando a característica dos ativos, a complexidade do ambiente e os riscos envolvidos, que, até determinado momento, eram incógnitos para os auditores. Uso do Cobit no Processo de Auditoria de TI • Modelo para o relacionamento entre os objetos de auditoria da organização e o CobiT Objetos de Auditoria Subobjetos Objetivos de Controle Processos Domínios Uso do Cobit no Processo de Auditoria de TI • A Auditoria Interna do Banco Central, na evolução do processo de auditoria de TI, definiu o CobiT 4.1 como a referência básica para os trabalhos de auditoria interna. • No processo, o CobiT se destina principalmente na definição dos objetos e do escopo de auditorias e na identificação dos objetivos, dos controles e dos riscos de TI, relacionados com os objetos. Plano Anual de Atividades da Auditoria Interna (Paint) • O Paint é o planejamento das auditorias que serão realizadas durante um determinado exercício. Encaminhado previamente à Controladoria Geral da União (CGU) para sugestões e aprovado pela Diretoria Colegiada. • A definição dos objetos a serem auditados no exercício está baseada em matriz de risco, que identifica o grau de importância do objeto para a organização (avaliação dos gestores dos objetos) e a compara com o grau de confiança da auditoria nos controles desses objetos. Plano Anual de Atividades da Auditoria Interna (Paint) - Matriz de Priorização dos Objetos I m p o r t â n c i a d o P r o c e s s o M u i t o A l t a A l t a M é d i a B a i x a M u i t o B a i x a Muito Alta Alta Média Confiabilidade no Controle Interno Baixa Muito Baixa Plano Anual de Atividades da Auditoria Interna (Paint) • Dimensão da “importância”: relacionamento do processo com o objetivo estratégico; impacto na reputação da instituição, em caso de incidentes; e materialidade dos recursos relacionados. • Dimensão da “confiabilidade do controle”: lapso de tempo entre as auditorias; quantidade de recomendações pendentes de solução, ponderadas pelo grau de priorização; e o resultado da avaliação do controle interno de auditoria anterior. Plano Anual de Atividades da Auditoria Interna (Paint) Os objetivos, os riscos e o escopo das auditorias internas, registrados no Paint, são definidos com base nos processos de TI do CobiT. Obs.: O CobiT amplia a visão de riscos da Auditoria Interna. Cabe à equipe de auditoria, durante a execução dos trabalhos, avaliar se os riscos podem impactar a TI da instituição e, conseqüentemente, a necessidade de recomendar o fortalecimento ou a implantação de controles. Processo de Auditoria Interna de TI (Planejamento) 1. Levantamento das informações sobre o objeto a ser auditado: Realiza estudos sobre o processo que será auditado, identificando: as leis e as normas, as referências técnicas nacionais e internacionais; os responsáveis pela gestão e execução do processo; o suporte informatizado existente; e outras informações relevantes relacionadas. Processo de Auditoria Interna de TI (Planejamento) 2. Elaboração do planejamento operacional da auditoria Define e aprova o cronograma “padrão” do trabalho de auditoria. Obs.: a ordem das etapas do cronograma é relevante para o alcance dos objetivos da auditoria. Processo de Auditoria Interna de TI (Planejamento) 3. Elaboração do Programa da Auditoria O programa de auditoria consiste: 9 na definição dos objetivos do trabalho; 9 no estabelecimento do escopo e da extensão dos testes necessários; 9 na identificação dos riscos, das atividades de controle e das transações a serem examinadas; e 9 na documentação dos procedimentos utilizados para coletar e avaliar o objeto de auditoria. Processo de Auditoria Interna de TI (Planejamento) 3.1 Elaboração ou revisão da parte inicial do Programa da Auditoria Foi definido um modelo padrão de “Programa da Auditoria”, com os campos que devem ser preenchidos pela equipe. A parte inicial consiste na organização das informações obtidas na fase de “Levantamento das informações sobre o objeto a ser auditado”. Processo de Auditoria Interna de TI (Planejamento) 3.2 Apresentação da equipe de auditoria A equipe de auditoria é apresentada, pela chefia da Auditoria Interna, aos responsáveis pela unidade que terá seu processo auditado. Os objetivos gerais do trabalho e o escopo preliminar definido no Paint são explicitados pela equipe. Processo de Auditoria Interna de TI (Planejamento) 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) O QACI é o conjunto de questões objetivas que visa auxiliar a equipe de auditoria na avaliação dos controles instituídos para mitigar os riscos inerentes ao processo auditado. Processo de Auditoria Interna de TI (Planejamento) 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) – Continuação Conforme definido no escopo do trabalho, estabelecido no Paint, a equipe de auditoria elabora questões objetivas para identificar a existência, a inexistência ou a necessidade, ou não, de determinados controles. Essas questões devem ser alinhadas com o escopo do Paint, que por sua vez foi baseado nos objetivos de controle do CobiT. Processo de Auditoria Interna de TI (Planejamento) 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) – Continuação Questão de Controle 1. Questão 1? 2. ... Avaliação ( ) Inexistente ( ) Ad Hoc/Inicial ( ) Repetível ( ) Definido ( ) Gerenciado ( ) N/A Justificativa Processo de Auditoria Interna de TI (Planejamento) 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) – Continuação Valor Avaliação Descrição Processo ou controle não existente, mas os gestores reconhecem a necessidade dos mesmos. Processo ou controle não estruturado e padronizado, sendo gerido de forma desorganizada. Processo ou controle padronizado localmente. Treinamento e comunicação não são formalizados. Processo ou controle padronizado para toda a instituição, com documentação, treinamento e comunicação formais. Contudo, a probabilidade de detecção de desvios é baixa. 1 Inexistente 2 Ad Hoc 3 Repetível 4 Definido 5 Gerenciado Processo ou controle institucionalizado, com ações detectivas e corretivas para não conformidades. Melhoria continua, boas práticas e automação são utilizadas. Não aplicável Processo ou controle não existente e os gestores não reconhecem a necessidade dos mesmos. Na Processo de Auditoria Interna de TI (Planejamento) 3.3 Elaboração do Questionário de Avaliação do Controle Interno (QACI) – Continuação Obs.: O QACI é um importante produto do processo de auditoria de TI, pois agregará informações relevantes para as próximas etapas. No momento da conclusão do questionário, o supervisor deve avaliar o resultado e apresentar sugestões de melhorias, se necessário. Processo de Auditoria Interna de TI (Planejamento) 3.4 Aplicação do QACI O QACI deve ser respondido pela equipe de auditoria. Oportunidade para a unidade auditada entender, de forma detalhada, o objetivo da auditoria e oferecer informações que auxiliará na delimitação do escopo do trabalho. Processo de Auditoria Interna de TI (Planejamento) 3.4 Aplicação do QACI – Continuação A equipe de auditoria deve registrar no QACI as suas respostas, que podem ser alinhadas, ou não, com o entendimento do auditado. A justificativa deve ser preenchida com informações sobre o controle ou a sua inaplicabilidade na instituição. No caso a resposta da questão seja N/A, a análise desse controle se encerra nesse momento. Processo de Auditoria Interna de TI (Planejamento) 3.4 Aplicação do QACI – Continuação Obs.: Nesse momento, pode ocorrer a primeira delimitação do escopo definido no Paint. O supervisor deve avaliar o resultado da aplicação do QACI e sugerir ajustes, se necessário. Processo de Auditoria Interna de TI (Planejamento) 3.5 Nota de avaliação sobre o controle interno (NACI) Ao final da aplicação do QACI, o auditor deverá concluir se o controle interno para a atividade sob exame é adequado e efetivo. O controle interno pode ser considerado: Ótimo; Bom; Regular; Deficiente; ou Precário. Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) O MORC é o papel de trabalho onde serão registrados os objetivos, os riscos e os controles do processo de TI em análise. Recebe informações do QACI, possibilita a priorização dos riscos inerentes ao processo e dá suporte à decisão sobre os objetivos e o escopo da auditoria. Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Objetivo do processo de TI: Os objetivos a serem alcançados pelo processo de TI, em análise, devem ser identificados e registrados pela equipe, em campo específico do MORC. O CobiT relaciona 28 objetivos com os processos de TI. Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Descrição do risco: Os riscos de os objetivos dos processos de TI não serem alcançados devem ser identificados, descritos e registrados pela equipe de auditoria. Para padronizar o nível de detalhamento da descrição dos riscos, convencionou-se que cada questão do QACI originará a uma descrição de risco. Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Importância do Risco: A equipe de auditoria deve avaliar os riscos identificados, com base na probabilidade e no impacto de sua concretização, utilizando parâmetros de 1 a 5, conforme o “Quadro de distribuição de riscos da atividade”. IMPACTO QUADRO DE DISTRIBUIÇÃO DE RISCOS DA ATIVIDADE Muito alto Risco alto Risco alto Alto Risco médio Risco médio Risco alto Risco alto Risco muito alto Médio Risco baixo Risco médio Risco médio Risco alto Risco alto Baixo Risco muito baixo Risco baixo Risco baixo Risco médio Risco médio Nulo Risco Risco muito baixo muito baixo Risco muito baixo Improvável Média Baixa Risco Risco muito alto muito alto Risco muito alto Risco Risco muito baixo muito baixo PROBABILIDADE Alta Muito alta Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Atividades de controle: Os mecanismos de controle adotados pela administração para a mitigação de cada um dos riscos relacionados. Embora o título trate de “atividades de controle”, pode ser incorporado nesse campo outro tipo de resposta ao risco que não seja, necessariamente, a instituição de atividades de controle. Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Avaliação do controle: A equipe de auditoria deve registrar a sua avaliação preliminar sobre a efetividade da atividade de controle instituída em relação ao risco que pretende mitigar, incluindo-se a possibilidade de avaliar outros tipos de respostas ao risco. A avaliação deve indicar o nível de eficácia do controle, considerando a seguinte escala conceitual: (1) inexistente; (2) fraco; (3) insatisfatório; (4) satisfatório; e (5) forte. Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Impacto na auditoria: Um primeiro indicador do tratamento que o mapeamento e a avaliação dos riscos e dos controles merecerão na seqüência dos trabalhos de auditoria. É apurado a partir da combinação da “importância do risco” com o nível de “eficácia do controle”, conforme o “Quadro de hiato de controle”. RANKING DO RISCO QUADRO DE HIATO DE CONTROLE Muito alto Prioridade alta Prioridade Prioridade Prioridade Prioridade alta muito alta muito alta muito alta Alto Prioridade média Prioridade Prioridade Prioridade Prioridade média alta alta muito alta Médio Prioridade baixa Prioridade Prioridade Prioridade Prioridade média média alta alta Baixo Prioridade Prioridade Prioridade Prioridade Prioridade muito baixa baixa baixa média média Muito baixo Prioridade Prioridade muito baixa muito baixa Forte Satisfatório Prioridade Prioridade Prioridade muito muito baixa muito baixa baixa Insatisfatório Fraco EFICÁCIA DO CONTROLE Inexistente Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Indicação de procedimentos: Hiato de controle: com as indicações do hiato de controle, a “importância do risco” e a “avaliação do controle”, o auditor deve registrar os impactos desse mapeamento e avaliação para a seqüência dos trabalhos de auditoria, indicando quais os procedimentos de auditoria que devem ser aplicados durante a fase de execução. Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Referência: Indicação do número do procedimento de execução de auditoria, incorporado no sistema informatizado de suporte das atividades da auditoria, importante para permitir a supervisão dos trabalhos desenvolvidos. Processo de Auditoria Interna de TI (Planejamento) 3.6 Elaboração do Mapa de Objetivos, Riscos e Controles (MORC) – Continuação Obs.: O resultado desse mapeamento e avaliação dos objetivos, riscos e controles deve ser discutido com as partes interessadas (gestor, auditado), com vistas a colher subsídios para o seu aperfeiçoamento. Processo de Auditoria Interna de TI (Planejamento) 3.7 Reavalia os objetivos e o escopo do trabalho de auditoria - Continuação Concluída a fase de elaboração e levantamento das informações gerais sobre o objeto da auditoria e a avaliação do controle interno, o auditor deve avaliar a adequação dos objetivos e do escopo da auditoria, inicialmente previstos no Paint. Processo de Auditoria Interna de TI (Planejamento) 3.7 Reavalia os objetivos e o escopo do trabalho de auditoria – Continuação Se julgar adequado, em função das informações obtidas durante o processo de planejamento, particularmente da avaliação do controle interno, o auditor deve propor, ao corpo diretivo da Auditoria, ajustes ou modificações nos objetivos ou no escopo do trabalho, devendo, para tanto, formalizar as razões que justifiquem essas sugestões. Processo de Auditoria Interna de TI (Planejamento) 3.8 Elabora os procedimentos de auditoria Para viabilizar a supervisão efetiva na fase de execução, foi padronizada a descrição do procedimento de auditoria que será executado. A equipe deve estruturar as informações da seguinte forma: (1) Número e Título do Procedimento; (2) Risco avaliado; (2) Objetivo do procedimento; (3) Questão a ser respondida pela equipe de auditoria; (2) Objetos de teste; (3) Descrição do teste. Processo de Auditoria Interna de TI (Planejamento) 3.9 Aprova do Programa de Auditoria Concluído o Programa de Auditoria, este deve ser aprovado pelo chefe da auditoria de TI. Após a aprovação, a equipe de auditoria irá aplicá-lo no trabalho de campo, na fase de execução. Obs.: Todas as alterações do Programa de Auditoria devem ser comunicadas e aprovadas pelo chefe. Processo de Auditoria Interna de TI (Execução) 4. Aplica do Programa de Auditoria Aplicação os procedimentos de auditoria: 9Solicita os objetos de análise ao auditado; 9Realiza os testes previstos; 9Responde as questões definidas; 9Identifica e registra as evidências de auditoria; 9Identifica e registra as possíveis recomendações. Processo de Auditoria Interna de TI (Execução) 5. Realiza reunião com o auditado para tratar dos achados da auditoria Informa ao auditado o resultado do trabalho de auditoria de TI, apresentando os pontos fortes e fracos identificados. Indica os pontos que serão abordados no relatório, apresentando as evidências obtidas. Processo de Auditoria Interna de TI (Execução) 6. Reavalia o QACI, a NACI e o MORC Concluída a aplicação do Programa de Auditoria, a equipe deve reavaliar as informações constantes do QACI e do MORC, além da nota do NACI, quando deve propor os ajustes, se julgar necessários. Processo de Auditoria Interna de TI (Relatório) 7. Elabora o Relatório da Auditoria 9Preâmbulo do relatório; 9Objetivos da auditoria; 9Escopo do trabalho da auditoria; 9Estrutura do controle interno existente para o objeto auditado; 9Conclusão sobre o controle interno e o trabalho de auditoria; Processo de Auditoria Interna de TI (Relatório) 7. Elabora o Relatório da Auditoria – Continuação 9Assunto: Número e Título do assunto; Evidência identificada: Critério; Condição; Causa; e Conseqüência; e Recomendação. 9Prazos acordados com a unidade recomendada para o atendimento das recomendações ou a apresentação do plano de providências. Conclusões 9 Executar auditoria interna, baseada em processo formalizado e impessoal, elevou a confiança e a qualidade dos resultados dos trabalhos da auditoria interna de TI; 9 O processo de implantação de um modelo de governança de TI exige esforço, atenção e investimento, o que cria, na maioria das vezes, resistência da administração e das pessoas envolvidas. 9 A visão dos risco é ampliada, mas os gestores de TI da organização necessitam de tempo para compreender, organizar e estabelecer os controles que mitiguem esses riscos; Conclusões 9 A compreensão pelas áreas e negócio sobre governança de TI deve evoluir, para que forneçam à área de TI os insumos necessários para o adequado funcionamento de seus processos; 9 Os gestores tem dificuldades para visualizar os benefícios e o valor que a governança de TI pode agregar aos negócios, além de as pessoas envolvidas considerarem o controle interno oneroso para as suas rotinas; 9 A Auditoria deve definir estratégias para viabilizar a governança de TI na organização. Fim DÚVIDAS? OBRIGADO!