Atuação Da Auditoria Interna Na Avaliação Da Gestão de TI

Atuao da Auditoria Interna
na Avaliao da Gesto de
Tecnologia da Informao
Emerson de Melo
Braslia Novembro/2011
VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S
Principais Modelos de Referncia

para Auditoria de TI
Como focar no negcio da Instituio
com direcionamento preventivo de
aes na rea de governana da
informao e atender os rgos de
controle?
Pblico-Alvo da Apresentao
- Gerentes e Diretores das Entidades
- Gerentes e Diretores das reas de TI
- Auditores
- Profissionais da rea Tcnica
- Analistas de Negcio
Contedo da Apresentao
1.Conceitos (Controle Interno,
Auditoria Anual de Contas
Governana)
Auditoria governamental,
Auditoria de Sistemas,
2.Cenrio atual da Auditoria de Sistemas

3.Principais
Sistemas
Modelos
de
Referncia
para
Auditoria
de
4.O principal Modelo de Referncia de Auditoria COBIT

5.O novo modelo de avaliao da gesto (tpicos de TI)
6.Normativos da rea de auditoria de TI
7.Aes levantamento de TI no sistema S
- A Auditoria Anual de Contas visa

instrumentalizar o Tribunal de Contas da Unio
para
o
julgamento
das
contas
dos
administradores pblicos.
- O desenvolvimento deste trabalho tambm
permite CGU acompanhar e avaliar a gesto
dos
administradores
pblicos
federais,
contribuindo para a melhoria da gesto pblica.
Fonte www.cgu.gov.br
- Lei N 8.443/92 - Lei Orgnica TCU.

Art. 5 A jurisdio do Tribunal abrange:
(...)
V - os responsveis por entidades dotadas de
personalidade jurdica de direito privado que
recebam contribuies parafiscais e prestem
servio de interesse pblico ou social;
social
Auditoria Governamental
Constitui-se a Auditoria Governamental no

conjunto de tcnicas e procedimentos
desenvolvidos com vistas a avaliar a aplicao
e gesto dos recursos pblicos por parte das
entidades integrantes da administrao pblica
direta e indireta, assim como das entidades de
direito privado que administrem recursos
pblicos.
Auditoria de Sistemas de Informao

Auditoria
de
Sistemas
de
Informao a reviso dos
sistemas de informao, para
verificar se realizam as funes e
operaes para as quais foram
criados, assim como comprovar
se
os
dados
e
demais
informaes
neles
contidos
correspondem aos princpios de
confiabilidade,
integridade,
preciso e disponibilidade.
Fonte: Intervencin General de la Administracin del Estado (IGAE)
Governana de TI
de
responsabilidade
da
alta
administrao (incluindo diretores e
executivos) na liderana, nas estruturas
organizacionais e nos processos que
garantem que a TI da empresa sustente e
estenda as estratgias e objetivos da
organizao.
Fonte : IT governance Institute
AUDITORIAS EM TI
CENRIO ATUAL
-Mudana no foco de atuao das auditorias
tradicionais
-Contratao de servidores da rea de TI (SFC)
-Criao da SEFIT (TCU)
-Auditorias com foco em TI em rgos
Administrao Direta e Indireta pela CGU
da
-Construo de Acrdos e Levantamentos da rea

de Tecnologia da Informao pelo TCU
COMO AUDITAR
A REA DE
TECNOLOGIA ??

COBIT
- Control OBjectives for Information and related Tecnology
-Objetivos de controle para informao e tecnologia
relacionada
O COBIT inclui recursos tais como:
- sumrio executivo (guia gerencial)
- framework (estrutura das reas de controle)
- objetivos de controle (34 objetivos>>318
procedimentos)
- mapas de auditoria
- guia com tcnicas de gerenciamento (guia tcnico)

NBR ISO/IEC 27002/2005
Estabelece diretrizes e princpios gerais para iniciar,
implementar, manter e melhorar a gesto de segurana
da informao em uma organizao.
ABNT NBR 15999-1:2007

Cdigo de boas prticas para a gesto de continuidade
de negcios
INOVAES DOS NORMATIVOS DO TCU NA

REA DE TI
A partir de 2011, a avaliao da gesto das entidades

e rgos jurisdicionados aos rgos de controle
foram alvo de anlise de aspectos de tecnologia da
informao.
Com base nos resultados das auditorias surgiu a
necessidade de sistematizar anualmente essa
avaliao da rea tecnolgica.
- Deciso Normativa TCU n 108/2010, ANEXO II

- Portaria CGU n 2.546, de 27 de dezembro de 2010
Deciso Normativa TCU n 108/2010,

ANEXO II, item 12
Informaes sobre a gesto de tecnologia da

informao (TI) da UJ, contemplando os
seguintes aspectos:
a) Planejamento da rea;
b) Perfil dos recursos humanos envolvidos;
c) Segurana da informao;
d) Desenvolvimento e produo de sistemas;
e) Contratao e gesto de bens e servios de TI.
Avaliao da Gesto
Procedimentos de TI
rea de Exame: SISTEMA DE INF. OPERACIONAIS

A) PLANEJAMENTO ESTRATGICO DE TI
I - Objetivo:
Verificar a existncia de Planejamento Estratgico de
Tecnologia de Informao alinhado s necessidades
da Unidade e ao cumprimento de sua misso
institucional.
Avaliao da Gesto
Procedimentos de TI
B) POLTICA DE SEGURANA DA INFORMAO
I - Objetivo:
Avaliao objetiva sobre a gesto de TI da unidade, no
que diz respeito salvaguarda da informao, em
especial para as seguintes questes:
a) Poltica de Segurana da Informao (PSI); e
b) Verificao de uma rea especfica, com
responsabilidades definidas, para lidar estrategicamente
com segurana da informao.
Avaliao da Gesto
Procedimentos de TI
C) RECURSOS HUMANOS DE TI
I - Objetivo:
Verificar a estrutura de pessoal de Tecnologia da
Informao da Entidade, identificando o perfil dos
recursos humanos de TI envolvidos, a distribuio
desses recursos entre funcionrios e terceirizados e a
existncia de carreiras especficas para a rea de TI no
plano de cargos da Entidade.
Avaliao da Gesto
Procedimentos de TI
D) DESENHO E PRODUO DE SISTEMAS

I - Objetivo:
Verificar a existncia e a adequao de metodologia
de desenvolvimento de sistemas utilizada no setor
de informtica da Unidade Jurisdicionada; a
existncia de avaliaes de rotina para verificao de
compatibilidade entre os recursos de TI e as
necessidades da UJ; e a existncia de gesto de
acordos de nveis de servio das solues de TI.
Avaliao da Gesto
Procedimentos de TI
E) CONTRATAES E GESTO DE AQUISIO DE TI
I Objetivo:
Verificar se as contrataes e Gesto de Bens e
Servios de TI so executados em consonncia com o
PDTI e normas legais, aps anlise das necessidades da
entidade, garantindo uma aquisio eficiente e eficaz, que
contribua com o alcance da misso institucional.

- COBIT
- um Guia para a gesto de TI recomendado
pelo ISACF (Information Systems Audit and
Control Foundation, www.isaca.org).
- o mais utilizado pelas empresas, rgos e
entidades de auditoria como referncia mundial.
- O framework possui um mapeamento das reas
e processos crticos de sucesso para uma boa
governana de TI.
COBIT
COBIT
EVOLUO DA REA DE TECNOLOGIA DA INFORMAO
TI COMO PROVEDOR
DE SERVIOS
TI COMO PARCEIRO
ESTRATGICO
TI separada do negcio
TI inseparvel do negcio
TI vista como um gasto a

controlar
TI vista como um investimento

a gerenciar
COBIT
Desafios da TI
-Alinhar TI ao Negcio
-Entregar valor (no frustar usurios)
-Demonstrar ROI (Return Over Investiment)
-Gerenciar Segurana
-Reduzir custos
-Envolver as partes interessadas (stakeHolders)

Principais Modelos de Referncia para

Auditoria de TI - COBIT
CONCEPO DO MODELO
CUBO DO COBIT
COBIT - REAS DE FOCO
DOWNLOAD
GUIA COBIT
4.1 FREE
COBIT
COBIT
COBIT
VANTAGENS DA IMPLEMENTAO
COBIT
Mapeamento dos objetivos de TI com os objetivos do
negcio e vice-versa
Compartilhamento e entendimento de todas as partes
interessadas, baseado em uma linguagem comum
Alinhamento, baseado no foco em negcio
Uma viso de que o que TI faz compreendida pela
Gerncia
Geralmente aceito por terceiros e rgos reguladores
Base Normativa para Atuao na rea de

Tecnologia da Informao
- INSTRUO NORMATIVA N 4 (19/05/2008)
Dispe sobre o processo de contratao de servios de TI pela
Administrao Pblica Federal direta, autrquica e fundacional.
A norma contempla as fases de planejamento de contratao,
seleo do fornecedor e gerenciamento do contrato.
-DECRETO 3.505/2000
Institui a Poltica de Segurana da Informao nos rgos e
entidades da Administrao Pblica Federal.
Base Normativa para Atuao na rea de TI

Acrdos TCU
CONTRATAO DE SERVIOS OU OBRAS PELA
ADMINISTRAO PBLICA FEDERAL
Acrdo n 1.558/2003-TCU-Plenrio, item 9.3.11: (...) ao
proceder a licitao de bens e servios de informtica,
elabore previamente minucioso planejamento, realizado em
harmonia com o planejamento estratgico da unidade e com
o seu plano diretor de informtica (...);
Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1: (...) todas
as aquisies devem ser realizadas em harmonia com o
planejamento estratgico da instituio (...)
Base Normativa para Atuao na rea de TI Acrdos TCU

Acrdo 1603/2008 - Plenrio
9.1.1. promovam aes com o objetivo de disseminar a
importncia do planejamento estratgico, procedendo,
inclusive mediante orientao normativa, aes voltadas
implantao
e/ou
aperfeioamento
de
planejamento
estratgico institucional, planejamento estratgico de TI e
comit diretivo de TI
9.1.2. atentem para a necessidade de dotar a estrutura de
pessoal de TI do quantitativo de servidores efetivos
necessrio ao pleno desempenho das atribuies do setor

9.1.3. orientem sobre a importncia do gerenciamento da
segurana da informao, promovendo, inclusive mediante
normatizao, aes que visem estabelecer e/ou aperfeioar a
gesto da continuidade do negcio
9.1.4.
estimulem
a
adoo
de
metodologia
de
desenvolvimento de sistemas, procurando assegurar, nesse
sentido, nveis razoveis de padronizao e bom grau de
confiabilidade e segurana

9.1.6. envidem esforos visando implementao de processo
de trabalho formalizado de contratao de bens e servios
de TI, bem como de gesto de contratos de TI
9.1.5. promovam aes voltadas implantao e/ou
aperfeioamento de gesto de nveis de servio de TI, de
forma a garantir a qualidade dos servios prestados
internamente

Acrdo no 1.999/2007-TCU- Plenrio
item 9.4.1.1 Os servios de Tecnologia da Informao devem
priorizar a contratao, mensurao e pagamento por
resultados, razo pela qual apresentam-se mais especficos e
complexos em termos de definio de especificaes,
modelagem, planejamento das necessidades, critrios e
condies para realizao de licitao e acompanhamento
contratual.
9.1.8. introduzam prticas voltadas realizao de
Auditorias de TI, que permitam a avaliao regular da
conformidade, da qualidade, da eficcia e da efetividade dos
servios prestados.
Levantamento do Cenrio de Governana de TI
- Censo em todas as entidades do sistema S com

base no levantamento dos seguintes pontos:
- Plano Diretor de TI
- Plano de segurana de TI
- Grau Informatizao de processos estratgicos
Levantamento do Cenrio de Governana de TI
- Verificar o grau de comunicao entre os

Departamentos Nacionais e Regionais com foco
em uma Poltica Institucional de TI.
- Analisar atipicidades no Planejamento dos
Sistemas
de
Informao
(multiplicidades\
ausncias).
- Verificar a atuao das reas responsveis pela
TI segurana da informao, planejamento
estratgico e gerenciamento de servios de TI.
Concluso
Se a administrao no tiver uma boa
governana de tecnologia da informao
ter seu funcionamento comprometido,
gerando poucos ou nenhum benefcio para
a sociedade. (Ministro-Substituto Augusto
Sherman Cavalcanti, Junho/2007).
Obrigado !
Controladoria Geral da Unio
Secretaria Federal de Controle Interno
Visite o site:
www.cgu.gov.br

Atuação Da Auditoria Interna Na Avaliação Da Gestão de TI

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Atuação Da Auditoria Interna Na Avaliação Da Gestão de TI

Încărcat de

Drepturi de autor:

Formate disponibile

Atuao da Auditoria Interna

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Principais Modelos de Referncia

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

2.Cenrio atual da Auditoria de Sistemas

4.O principal Modelo de Referncia de Auditoria COBIT

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Auditoria Anual de Contas

- A Auditoria Anual de Contas visa

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Auditoria Anual de Contas

- Lei N 8.443/92 - Lei Orgnica TCU.

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Constitui-se a Auditoria Governamental no

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Auditoria de Sistemas de Informao

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

-Construo de Acrdos e Levantamentos da rea

Principais Modelos de Referncia

Principais Modelos de Referncia

ABNT NBR 15999-1:2007

INOVAES DOS NORMATIVOS DO TCU NA

A partir de 2011, a avaliao da gesto das entidades

- Deciso Normativa TCU n 108/2010, ANEXO II

Deciso Normativa TCU n 108/2010,

Informaes sobre a gesto de tecnologia da

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

rea de Exame: SISTEMA DE INF. OPERACIONAIS

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

D) DESENHO E PRODUO DE SISTEMAS

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Principais Modelos de Referncia

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

EVOLUO DA REA DE TECNOLOGIA DA INFORMAO

TI vista como um gasto a

TI vista como um investimento

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Principais Modelos de Referncia

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Principais Modelos de Referncia para

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

COBIT - REAS DE FOCO

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Base Normativa para Atuao na rea de

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Base Normativa para Atuao na rea de TI

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Base Normativa para Atuao na rea de TI Acrdos TCU

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Base Normativa para Atuao na rea de TI Acrdos TCU

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Base Normativa para Atuao na rea de TI Acrdos TCU

VII Encontro de Auditoria e Unidades de Controle Interno do Sistema S

Base Normativa para Atuao na rea de TI Acrdos TCU

Levantamento do Cenrio de Governana de TI

- Censo em todas as entidades do sistema S com