---

• Início
• Notícias
• Auditoria em Tecnologia da Informação

12/06/2017
Auditoria em Tecnologia da Informação

Governança

Sarbanes-Oxley

• Lei nos EUA em junho de 2002;

• Frraudes em empresas americanas: Aeron;

• Redefiniu regras para emissão de relatórios;

• Avaliação de infraestrutura;

• Avaliação das operações realizadas;

• Avaliação do pessoal de TI;

 

Governança Corporativa

Conforme o Instituto Brasileiro de Governança Corporativa (IBGC):

“Governança corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivdas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.”

 

Histórico da TI nas organizações

Do computador de grande porte a integração de computadores em rede;

 

Cenário atual da organização e TI

• Infraestrutura;

• Computação em nuvem;

• Internet das Coisas(IoT);

• Mobilidade;

Governança da TI

“Sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. Esse sistema direciona e avalia o uso de TI para dar suporte à organização e monitorar seu uso para execução dos planos estabelecidos. Inclui a estratégica e as políticas de uso de TI dentro das organizações”.

Fonte: ABNT NBR ISO/IEC 38500

 

Padronizando Framework COBIT

COBIT (Control Objectives for Information and Related Technologies) é framework de boas práticas criado pela ISACA (Information Systems Audit and Control Association) para a governança de tecnologia de informação (TI).[1] Possui uma série de recursos que podem servir como um modelo de referência para governança da TI e do negócio, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento.[1] Especialistas em gestão e institutos independentes recomendam o uso do Cobit como meio para optimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key Goal Indicators KGI e Critical Success Factors CSF).

 

A informação é um bem valioso

• É um dos bens mais preciosos de uma organização;

• As informações são criadas e usadas;

• A tecnologia viabiliza a geração e a troca de informações;

Desafios da Governança de TI

• Garantir o retorno dos investimentos em TI: mensurar ganho de tempo anual em cima das melhorias;

• Evitar falhas de TI;

• Gerenciar o impacto da TI na continuidade dos negócios;

Framework COBIT

• Framework de melhores práticas de gerenciamento;

• Foco no negócio;

• Pode ser implementado por qualquer organização;

• Versões:

  • 1996 v1;

  • 1998 v2;

  • 2000 v3;

  • 2005 v4;

  • 2012 v5;

1º Princípio: Satisfazer as necessidades das partes interessadas

• Realização de benefício;

• Otimização de riscos;

• Otimização de recursos;

• Criação de valor – não é só financeiro: imagem da empresa;

• Negociar e decidir entre diferentes interesses;

• Cascata de objetivos;

• Quem recebe os benefícios?

• Quem arca com os riscos?

• Quais recursos são necessários?

Cascata de Objetivos

• Objetivos Corporativos;

• Objetivos de TI;

• Objetivos de Habilitadores;

 

2º Princípio: Atender a toda a organização

Cobrir a empresa de ponta a ponta.

• Integra a governança corporativa de TI à Governança corporativa;

• Cobre todas as funções e processos;

  • Regula e controla as informações;

  • Tecnologias;

• Trata a informação e a tecnologia como ativos;

• Habilitadores da Governança;

  • Recursos organizacionais;

  • Modelos, princípios, processos;

• Abordagem de Governança de ponta a ponta;

• Infraestrutura de TI, aplicativos;

Escopo da Governança

• A Governança aplicada a toda a Organização;

  • Entidade, ativos tangíveis e intangíveis;

• Diferentes visões;

Papéis, Atividades e Relacionamentos

• Quem está envolvido na governança;

• Como estão envolvidos;

• O que fazem e como interagem;

Propriedades das Partes Interessadas

• Delega para Conselho de Administração;

  • Define orientações para Corpo Diretivo;

    • Instrui e alinha para Operações e Execução;

 

3º Princípio: Aplicar um modelo único e integrado na organização

• Alinha-se com outros padrões e modelos;

• É completo na cobertura da organização;

• Fornece uma arquitetura simples;

• Integra todo o conhecimento;

• Oferece a mais completa e atualizada orientação:

  • Pesquisa de um conjunto de fontes; ISACA;

  • Definição de um conjunto de habilitadores;

  • Contém toda a orientação e o conteúdo já produzido;

  • Fornece uma base sólida e abrangente;

Famílias de produtos COBIT

• Habilitadores

  • Habilitador de processos;

  • Habilitadores de informação;

  • Outros guias de habilitadores;

• Guias profissionais

  • Implementação;

  • Para segurança da informação;

  • Garantia;

  • Risco;

  • Outros;

 

4º Princípio: Possibilitar visão holística

• Holístico: “[…] que dá preferência ao todo ou a um sistema completo.”

Habilitadores

• Orientado à cascata de objetivos;

• Fatores que influenciam a governança corporativa e de TI;

• Sete habilitadores:

1. 1. Princípios, políticas e modelos: tradução do comportamento x orientações práticas;

   2. Processos: conjunto organizado de práticas;

   3. Estruturas organizacionais: principais entidades de tomada de decisão;

   4. Cultura, ética e comportamento: pessoas e da organização;

   5. Informação: todas as informações produzidas e mantém a organização em funcionamento;

   6. Serviço, infraestrutura e aplicativos: tecnologia, aplicativos e serviço de TI;

   7. Pessoas, habilidades e competências: voltadas as pessoas, necessária para a conclusão bem-sucedida;

Governança e gestão sistêmica por meio de habilitadores

Atingir os principais objetivos corporativos;

Conjunto de Habilitadores Interligados

• Os habilitadores dependem de outros;

• O habilitador produz beneficio para outros;

• A natureza sistêmica favorece boas decisões;

Dimensão dos habilitadores

• Forma comum para tratar habilitadores;

• Entidade controla suas interações complexas;

• Facilita resultados bem-sucedidos;

• Partes interessadas: cada habilitador tem partes interessadas;

• Metas: Habilitadores criam valor ao atingir as metas; Última etapa na cascata de objetivos;

• Qualidade intrínseca: produzem resultados exatos, objetivos e confiáveis;

• Qualidade contextual: cumpre metas no contexto em que operam;

• Acesso e segurança: são acessíveis e seguros;

• Ciclo de Vida: cada habilitador tem um ciclo de vida;

• Boas práticas: definido para cada um;

Controle e desempenho

• As necessidades das partes interessadas foram consideradas?

• As metas do habilitador foram atingidas?

• O ciclo de vida dos habilitadores são controlados?

• Boas práticas foram aplicadas?

 

5º Princípio: Governança é diferente de gestão

Distinguir Governança de gestão

• Governança = nível estratégico;

• Gestão = nível operacional, executivo;

• Abrangem diversos tipos de atividades;

• Requerem diferentes estruturas organizacionais;

• Atendem propósitos diferentes;

“A governança garante que as necessidades, condições e opções das partes interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos.”

FONTE: COBIT 5

 

“A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos.”

FONTE: COBIT 5

A governança inclui: Avaliar, Dirigir e Monitorar.

A gestão incluir: Planejar, Construir, Executar e Monitorar.

 

As fases do ciclo de vida

FASE 1 – Quais são os direcionadores?

• Define-se o Plano Estratégico da TI

FASE 2 – Onde estamos agora?

• Avaliar o estado atual dos processos

FASE 3 – Onde queremos estar?

• Define o estado desejado;

• Priorizar iniciativas mais fáceis;

FASE 4 – O que precisa ser feito?

• Construir as melhorias;

• Identificar os envolvidos e planejar implementação;

FASE 5 – Como vamos chegar?

• Implementar as melhorias;

• Monitoramento;

FASE 6 – Chegamos lá?

• Monitoramento da eficácia e dos benefícios esperados.

FASE 7 – Como mantemos o ritmo?

• Monitorar e avaliar;

• Sustentar e revisar a eficácia.

A importância dos processos na organização

Definição de processos

“[…] um conjunto de práticas influenciadas pelas políticas e procedimentos da organização que recebe entradas de diversas fontes (inclusive outros processos), que manipula as entradas e produz resultados (por exemplo: produto, serviços).”

Estrutura do habilitador

• Parte Interessada:

• • Internas: Conselho administração, gerências, funcionários e voluntários;

  • Externas: Parceiros, clientes, acionistas;

• Metas

  • Descreve o resultado esperado do processo;

• Metas Intrínsecas

  • Tem qualidade intrínseca;

  • Está em consonância com boas práticas?

  • Cumpre as normas internas e externas?

• Metas Contextuais

  • É personalizado e adaptado?

  • É significativo, fácil de aplicar?

• Metas de Acessibilidade e Segurança

  • Confiabilidade;

  • Está acessível?

• Ciclo de Vida

  • Cada processo tem um ciclo de vida;

  • Criado, operado, monitorado, atualizado ou encerrado.

• Boas Práticas

  • Divididos em Práticas, atividades e atividades detalhadas;

  • Produto do trabalho;

  • Entradas/Saídas.

Processo de governança

• Tratam os objetivos de governança das partes interessadas;

• Criação de valor;

• Otimização de riscos;

• Otimização dos recursos;

Processos de gestão

• Em consonância com as definições de gestão;

• Deve oferecer cobertura de ponta a ponta na TI;

• Requerem:

  • Planejamento;

  • Construção, desenvolvimento, implementação;

  • Entrega;

  • Monitoramento;

Modelo de referência de processo

• Não prescritivo;

• Principais áreas devem ser cobertas;

• Organizar os processos conforme adequado;

• Modelo de processo completo e abrangente;

Processos da Governança de TI

• Avaliar, Dirigir e Monitorar (5 processos);

• Garantir:

  • Manutenção da governança;

  • Realização dos benefícios;

  • Otimização de risco;

  • Otimização dos recursos;

  • Transparência para as partes interessadas;

Processos de Gestão de TI

• Alinhar, Planejar e Organizar (13 Processos);

• Contém processos para alinhar TI x negócios;

• Está no nível de gestão.

Características dos processos

 

Gerenciar o Framework de Gestão de TI

• • Definir um conjunto de políticas de gerenciamento;

  • Garantir a divulgação da política.

Gerenciar a Estratégica:

• • Faz o alinhamento da TI com o negócio;

  • Garantir que a estratégia é realista;

  • Garantir que é focada no negócio;

  • Associar metas de TI com as metas do negócio;

Gerenciar a Arquitetura Corporativa

• • Define qual é a arquitetura de informação;

  • Definir modelos e padrões para a informação;

  • Definir guias, templates;

  • Permitir uma arquitetura consistente;

Gerenciar inovação

• • Gerar valor pela inovação;

  • Quais as novas tecnologias disponíveis;

  • Objetivo de se manter competitivo;

  • Criar uma cultura de inovação na empresa.

Gerenciar Portifólio

• • Decide onde será feito os investimentos;

  • Analisar quais projetos são interessantes;

  • Os projetos aprovados farão parte do portfólio;

Gerenciar Orçamento e Custos

• • Define o orçamento;

  • Alocar os custos nos serviços;

  • Monitorar o orçamento;

Gerenciar Recursos Humanos

• • Alocar pessoas certas nos locais;

  • Planejar treinamento;

  • Gerenciar e desenvolver pessoas;

Gerenciar Relações

• • Gerenciar TI e negócios de forma transparente;

  • Focar no resultado do negócio;

  • Garantir que tenha um bom relacionamento;

Gerenciar os Acordos de Serviço

• • Entender necessidade de serviço e gerar acordos;

  • Envolve especificação, projeto;

  • Monitoramento de acordo com os níveis acertados;

Gerenciar os Fornecedores

• • Selecionar os fornecedores adequados;

  • Gerenciar o relacionamento da empresa x fornecedores;

  • Monitorar contratos;

Gerenciar Qualidade

• • Quais padrões de qualidade?

  • A empresa está satisfeita com os serviços oferecidos?

  • Os projetos são entregues com qualidade?

Gerenciar Riscos

• • Identifica riscos de gerenciamento;

  • Riscos de projetos de serviços;

  • Desenvolver planos para gerenciar riscos;

  • Reduzir os riscos;

Gerenciar Segurança

• • Estabelecer um modelo de segurança;

  • Manter impacto a níveis aceitáveis;

  • Confidencialidade, integridade e disponibilidade;

 

Dando apoio para a organização pelos processos

Domínio Alinhar, Dirigir e Monitorar (EDM)

Garantir a Definição e Manutenção do Framework de Governança

• Analisar os requisitos de governança de TI;

• Define as responsabilidades x COBIT;

• Define as autoridades x COBIT;

• Objetivo de alcançar as metas e os objetivos;

Garantir a Realização de Benefícios

• Otimiza a contribuição de valor para o negócio;

• Investimento em TI por seu próprio retorno;

• Custos aceitáveis de investimentos;

Garantir a Otimização de Riscos

• Organização x riscos ocasionados pela TI;

• Riscos Controlados;

Garantir a Otimização de Recursos

• Pessoas, processos e tecnologias atendam a organização;

• Com custo ótimo;

Garantir a Transparência para as Partes Interessadas

• Relatórios e medições transparentes;

• Stakeholders podem tomar as ações necessárias;

Domínio Construir, Adquirir e Implementar (BAI)

Gerenciar Definição de Requisitos

• Analisa requisitos antes da aquisição;

• Assegura que estão alinhados;

• Cobre infraestrutura, aplicações, Serviços;

Gerenciar Identificação e Desenvolvimento de Soluções

• Gerencia configuração, teste de preparação;

• Gerencia Testes, requisitos de gestão;

• Gerencia processos de negócio, Serviços;

• Gerencia infraestrutura;

Gerenciar Disponibilidade e Capacidade

• Equilibra necessidades atuais e futuras;

• Com base em requisitos de negócio;

• Análise de impactos nos negócios;

Gerenciar Capacidade de Mudança Organizacional

• Mudança rápida e risco reduzido;

• Mudança organizacional sustentável;

• Cobre todas as partes interessadas;

Gerenciar Mudança

• Mudança de padrão, aplicações e infraestrutura;

• Avalia impactos;

• Mudanças emergenciais;

• Acompanhamento;

Gerenciar Aceitação e Transição de Mudança

• Produz novas soluções operacionais;

• Conversão de dados, comunicação;

• Teste de aceitação;

Gerenciar Conhecimento

• Disponibilidade de conhecimento relevante;

• Plano para identificação, coleta, organização;

• Plano para utilização e retirada de conhecimento;

Gerenciar Ativo

• Gerencia os ativos;

• Assegura que o seu uso agrega valor;

• Assegura a disponibilidade e confiabilidade;

Gerenciar Configurações

• Mantem as descrições dos principais recursos;

• Inclui coleta de informações de configuração;

• Estabelecimento de linha de base;

• Atualiza o repositório de configuração;

Processos de gestão e alterações na versão 5 do COBIT

Processos Entregar, Serviços e Suporte (DDS)

Gerenciar Operações

• Procedimentos operacionais x Serviços;

• Serviços internos e terceirizados;

Gerenciar Solicitação de Serviços e Incidentes

• Resposta rápida e eficaz aos usuários;

• Resolução dos incidentes;

• Investigar, diagnosticar e solucionar incidentes;

Gerenciar Problemas

• Identificar, classifica as causas dos problemas;

• Soluções para prevenir incidentes recorrentes;

• Recomendações de melhorias;

Gerenciar Continuidade

• Permite a TI e o negócio responder por interrupções;

• Matem a disponibilidade das informações;

Gerenciar Serviços de Segurança

• Protege informações;

• Segue uma política de segurança;

• Realiza o monitoramento da segurança;

Gerenciar os Controles de Processos de Negócio

• Mantém os controles do processo;

• Assegura que as informações satisfazem os requisitos de controle;

• Fornece informação sistemática e oportuna;

Processos Monitorar, Avaliar e Analisar (MEA)

Monitorar, Avaliar e Analisar o Desempenho e Conformidade

• Coleta, valida e avalia os objetivos e métricas;

• Monitora se os processos estão em conformidade;

• Fornece informação sistemática e oportuna;

Monitorar, Avaliar e Analisar o Sistema de Controle Interno

• Permite identificar deficiência em controles;

• Monitora e avalia o ambiente de controle;

• Inicia ações de melhorias;

Monitorar, Avaliar e Analisar a Conformidade com Requisitos Externos;

• Avalia se os processos de TI estão em conformidade com as leis;

• Garante que os requisitos foram respeitados;

Diferenças na versão COBIT

COBIT 4.1

• Domínio Planejar e Organizar

  • 10 processos;

• Domínio Adquirir e Implementar

  • 7 processos;

• Domínio Entregar e Suportar

  • 13 processos;

• Domínio Monitorar e Avaliar

  • 4 processos;

COBIT 5

• Domínio Alinhar, Planejar e Organizar

  • 13 processos;

• Domínio Construir, Adquirir e Implementar

  • 10 processos;

• Domínio Entregar, Servir e Suportar

  • 6 processos;

• Domínio Monitorar, Avaliar e Medir

  • 3 processos;

 

Capacidade de processos e características da versão 5 do COBIT

Modelo de capacidade de Processos

• Contém seis níveis (0 a 5);

• Nove atributos de processo

  • Atributo determina o nível de capacidade

• Cada nível possui um conjunto de atributos;

Atributos

• N (não alcançado): de 0% a 15% realizado;

• P (parcialmente alcançado): 15% a 50%

  • Há evidências de realização;

• L (largamente alcançado): 50% a 80%

  • Há fraquezas;

• F (totalmente alcançado): 85% a 100% realizados

  • Não há deficiências significativas;

Níveis de capacidade

• Processo Incompleto:

  • Não implementado, não atinge o objetivo;

• Processo Realizado:

  • Implementado e atinge o objetivo;

• Processo Gerenciado:

  • Implementado de forma gerenciada;

  • Produtos estabelecidos, controlados e mantidos;

• Processo Estabelecido:

  • Processo gerenciado é capaz de alcançar seus resultados;

• Processo Previsível:

  • O processo Estabelecido opera dentro dos limites;

• Processo Em Otimização

  • O processo Previsível é continuamente melhorado;

 

Cada nível é alcançado se o nível inferior for plenamente alcançado.

 

Benefícios da nova versão do COBIT

1. Maior ênfase no processo;

• Eliminação de duplicação;

• Maior Confiabilidade;

Característica do COBIT 5

• Definição clara Governança TI x Corporativa;

• Integra diferentes frameworks em um único modelo;

• Foram definidos princípios;

• Maior enfoque nos habilitadores;

• Governança de TI com 1 domínio

  • 5 processos;

• Gestão de TI com 4 domínios

  • 32 processos;

• Objetivos de negócios desdobrados em objetivos de TI;

• Amplia entradas e saídas para cada prática de gerenciamento;

• Fornece uma matriz RACI;

• Permite melhor definição das responsabilidades;

• Descontinua o modelo de Maturidade, migrado para Capacidade;

Guias Profissionais do COBIT 5

• Implementação;

• Segurança da Informação;

• Garantia;

• Risco;

• Outros guias profissionais;

 

A transparência pode ser alcançada pela Auditoria de TI

Definição de auditoria

“Exame sistemático para determinar se as atividades e os resultados correlatos estão de acordo com as disposições planejadas e se estão efetivamente implementadas e são adequadas para atingir a política e os objetivos da organização”.

OHSAS 18001

• Realiza avaliação de normas;

• Avalia controles;

• Avalia técnicas e procedimentos;

• Comprovar, confiabilidade, segurança e confidencialidade;

Auditoria de TI

• Deve elaborar e monitorar metas;

• Detectar pontos críticos que possam prejudicar as metas;

• Reduzir riscos de erros e fraudes;

• Certificar informações confiáveis e oportunas;

Atividades Sistemáticas

• Detectar vícios;

• Avaliar degradação;

Atividades Independentes

• Não pertencer a área auditada;

• Ter mente aberta;

Objetivos da auditoria

• Verificam conformidades;

• Avaliam controles;

• Não tem objetivo de punir;

• Utilizam processo amostral;

Etapas da auditoria

• Planejamento;

• Escopo;

• Objeto;

• Critérios;

• Preparação;

• Estudo dos dados;

• Lista de verificação;

• Condução

  • Reunião de abertura;

  • Execução;

  • Reunião de encerramento;

• Relato

  • Verbal;

  • Documental;

• Ação Preventiva / Corretiva

  • Área auditada;

  • Consenso;

• Avaliação da efetividade

  • Nova auditoria;

  • Envio de documentos / registros;

• Avaliação das auditorias

  • Grupo auditor;

  • Auditado;

Auditoria externa e interna

Interna

• Realizado por um funcionário;

• Atender as necessidades da administração;

• Detecção e prevenção de fraude;

Externa

• Profissional independente;

• Atender as necessidades de terceiros;

O que pode ser auditado em TI

• Infraestrutura de TI;

• Desenvolvimento de sistemas;

• Segurança física;

• Integridade dos dados;

• Planejamento e gestão;

• Segurança da informação;

Auditoria de TI x COBIT

• O COBIT amplia a visão da auditoria;

• Possibilita identificar riscos;

• Permite que a empresa evolua em seus processos;

 

Referências

COBIT. https://pt.wikipedia.org/wiki/COBIT

ISACA. https://www.isaca.org

---