Escolar Documentos
Profissional Documentos
Cultura Documentos
BASEADA EM RISCOS
Diorgens Miguel Meira
AGENDA
1 O BANCO DO NORDESTE
5 AUDITORIA DE PROCESSOS DE TI
Atuação do Banco do Nordeste
O Banco do Nordeste tem como área básica de atuação os nove Estados da Região
Nordeste, o norte e os Vales do Mucuri e do Jequitinhonha do Estado de Minas Gerais e o
norte do Estado do Espírito Santo.
Área de atuação: 1.775,4 mil Km2
Municípios atendidos: 1.990 (11 Estados)
Quantidade de agências: 187
Nº de funcionários: 6.066
CONSELHO DE ADMINISTRAÇÃO
COMITÊ DE
ÁREA DE AUDITORIA
AUDITORIA
DIRETORIA
PRESIDÊNCIA
OUVIDORIA
DIRETORIA
DIRETORIA DE DIRETORIA DE ADM. DIRETORIA ADM. E DE
FINANCEIRA E DE DIRETORIA DE DIRETORIA DE
GESTÃO DO DE RECURSOS DE TECNOLOGIA DA
MERCADO DE NEGÓCIOS CONTROLE E RISCO
DESENVOLVIMENTO TERCEIROS INFORMAÇÃO
CAPITAIS
Auditoria do Banco do Nordeste
Responsabilidade Básica:
Assessorar a alta administração e colegiados estatutários
(Conselho Fiscal, Conselho de Administração e Comitê de
Auditoria) fornecendo informações sobre a adequação,
integridade, aplicabilidade, conformidade, riscos e qualidade
dos controles relativos aos processos da Instituição.
Coordenar as demandas oriundas de órgãos externos de
controle e fiscalização.
Instaurar procedimentos administrativos com vista à apuração
de responsabilidades funcionais.
Quantitativo: 72 funcionários.
Contexto em que está inserida a Área de Auditoria
Área de Auditoria
Contexto em que está inserida a Área de Auditoria
Riscos Programa
identificados nos Estratégico do
Processos do Banco do
Banco Nordeste
Área de Auditoria
Contexto em que está inserida a Área de Auditoria
Riscos Programa
Controladoria-
identificados nos Estratégico do Tribunal de Contas
Geral da União
Processos do Banco do da União (TCU)
(CGU)
Banco Nordeste
Banco Central do
Área de Auditoria Brasil (BACEN)
CVM
Auditoria Externa
ANBIMA
Contexto em que está inserida a Área de Auditoria
Riscos Programa
Controladoria-
identificados nos Estratégico do Tribunal de Contas
Geral da União
Processos do Banco do da União (TCU)
(CGU)
Banco Nordeste
Comitê de CVM
Conselho Fiscal Auditoria Externa
Auditoria ANBIMA
SELEÇÃO DE PROCESSOS CRÍTICOS
Planejamento da Área de Auditoria
Determinação Legal
Instrução Normativa Nº 07, de 29/12/2006 da Controladoria-Geral da
União (CGU)
Interpretação:
“O executivo chefe de auditoria é o responsável pelo desenvolvimento de um
planejamento baseado em riscos. O executivo chefe de auditoria leva em
consideração a estrutura de gerenciamento de riscos da organização, incluindo o
uso dos níveis de apetite de risco estabelecidos pela administração para as
diferentes atividades ou partes da organização. Se não houver uma estrutura, o
executivo chefe de auditoria utiliza seu próprio julgamento quanto aos riscos após
consultar a alta administração e o conselho.”
Princípios da Metodologia ‘Auditoria de
Processos com Foco em Riscos’
FOCO NO
VISÃO
FUTURO
SISTÊMICA
VISÃO AVALIAÇÃO DA
ESTRATÉGICA GESTÃO DE
RISCOS
VISÃO DE
RISCO
Matriz de Riscos
Critérios para Priorização dos Processos Críticos
Primeira Análise
Aplicação dos critérios - baseada em documentos e informações de sistemas do
Banco.
Pontuação dos critérios - de 1 ‘um’ (menor impacto) a 3 ‘três’ (maior impacto).
Pontuação dos Processos – depois de aplicados todos os critérios, é gerado um
ranking.
Segunda Análise
Aplicação de critérios subjetivos:
Exposição financeira.
Complexidade do processo.
Final
Processos classificados quanto à criticidade (alta, média ou baixa).
AUDITORIA DE PROCESSOS DE
TECNOLOGIA DA INFORMAÇÃO
COBIT - Um Modelo de Apoio
Guia de boas práticas criado pela ISACA (Information Systems Audit and Control
Association), apresentado como um framework dirigido para a gestão da
Tecnologia da Informação (TI). Inclui recursos tais como objetivos de controle para
processos de TI, mapas de auditoria, um conjunto de ferramentas de
implementação e um guia com técnicas de gerenciamento.
18/49/(34)
+2
Domínios dos processos de TI - COBIT
19/49/(34)
+4
Processos de TI conforme COBIT
Domínio Planejar e Organizar (PO) Domínio Entrega e Suportar (DS)
PO1 Define o plano estratégico de TI; DS1 Define e gerencia acordos de nível de serviço;
PO2 Define a arquitetura da informação; DS2 Gerencia os serviços de terceiros;
PO3 Determina a direção tecnológica; DS3 Gerencia a capacidade e desempenho;
PO4 Define os processos, a organização e seus DS4 Assegura a continuidade dos serviços;
relacionamentos de TI; DS5 Assegura a segurança dos serviços;
PO5 Gerencia os investimento de TI; DS6 Identifica e aloca custos;
PO6 Comunica diretrizes e expectativas...; DS7 Treina os usuários;
PO7 Gerencia os recursos humanos de TI; DS8 Gerencia central de serviços e incidentes;
PO8 Gerencia a qualidade; DS9 Gerencia a configuração;
PO9 Avalia e gerencia os riscos de TI; DS10 Gerencia os problemas;
PO10 Gerencia os projetos de TI. DS11 Gerencia os dados;
DS12 Gerencia o ambiente físico;
Domínio Adquirir e Implementar (AI) DS13 Gerencia as operações.
AI1 Identifica as soluções automatizadas;
AI2 Adquire e mantém softwares aplicativos; Domínio Monitorar e Avaliar (ME)
AI3 Adquire e mantém a infraestr. de tecnologia; ME1 Monitora e avalia o desempenho;
AI4 Habilita operação e uso; ME2 Monitora e avalia os controles internos;
AI5 Adquire recursos de TI; ME3 Assegurar a conformidade com req. Externos;
AI6 Gerencia as mudanças; ME4 Provê a governança de TI.
AI7 Instalar e homologar soluções e mudanças.
20/49/(34)
+3
Diretrizes para Auditorias de TI
• Auditorias em processos de TI (Visões de processos do COBIT) –
Objetos de auditoria são estruturados em processos de TI, alinhados
à metodologia de auditoria interna em processos corporativos com
foco em riscos utilizada.
21/49/(34)
+12
Metodologia para os Trabalhos
• Etapas
Planejamento
• Estratégico: Planejamento Anual de Auditoria Interna.
Execução de Testes
• Operacional: aplicação de testes de controles.
• Comunicação de resultados.
22/49/(34)
+11
Roteiro de Avaliação
Planejamento
Anual de Auditorias
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.
estratégico
Planejamento
• Selecionar um arcabouço de controle de TI.
de TI
• Realizar planejamento da avaliação de TI baseada em risco.
• Realizar avaliação de alto nível nos processos em foco.
• Definir os objetivos e escopos de alto nível.
tático e escopo
objetivos detalhados:
Planejamento
Escopo e
Principais processos de TI e os principais recursos de TI
Principais objetivos de controle
Principais objetivos de controle customizados
aplicação testes
Avaliações da audit.
Testar a Testar, se
Execução
Conclusão das
Efetividade necessário,
o impacto comunicar
Relatórios:
compreen- escopo dos
dos controles resultados
ção sobre objetivos das todas as
para os dos objetivos
o objeto de controle fraquezas conclusões
objetivos chaves dos
de TI em do objeto dos e recomen-
chaves controles
avaliação avaliado controles dações.
23/49/(34)
+10
Roteiro de Avaliação
Planejamento
Anual de Auditorias
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.
estratégico
Planejamento
• Selecionar um arcabouço de controle de TI.
de TI
• Realizar planejamento da avaliação de TI baseada em risco.
• Realizar avaliação de alto nível nos processos em foco.
• Definir os objetivos e escopos de alto nível.
tático e escopo
objetivos detalhados:
Planejamento
Escopo e
Principais processos de TI e os principais recursos de TI
Principais objetivos de controle
Principais objetivos de controle customizados
aplicação testes
Avaliações da audit.
Testar a Testar, se
Execução
Conclusão das
Efetividade necessário,
o impacto comunicar
Relatórios:
compreen- escopo dos
dos controles resultados
ção sobre objetivos das todas as
para os dos objetivos
o objeto de controle fraquezas conclusões
objetivos chaves dos
de TI em do objeto dos e recomen-
chaves controles
avaliação avaliado controles dações.
24/49/(34)
+9
Planejamento estratégico
• Seleção dos processos de TI a serem auditados (visão COBIT):
objetivos de controle de alto nível se relacionando com
possíveis objetos de auditoria que comporão o PAINT.
• Produtos:
– Planejamento Anual de Auditoria Interna: onde os processos de TI
selecionados farão parte, juntamente com os demais processos
corporativos mapeados pela Auditoria para os trabalhos.
25/49/(34)
+8
Roteiro de Avaliação
Planejamento
Anual de Auditorias
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.
estratégico
Planejamento
• Selecionar um arcabouço de controle de TI.
de TI
• Realizar planejamento da avaliação de TI baseada em risco.
• Realizar avaliação de alto nível nos processos em foco.
• Definir os objetivos e escopos de alto nível.
tático e escopo
objetivos detalhados:
Planejamento
Escopo e
Principais processos de TI e os principais recursos de TI
Principais objetivos de controle
Principais objetivos de controle customizados
aplicação testes
Avaliações da audit.
Testar a Testar, se
Execução
Conclusão das
Efetividade necessário,
o impacto comunicar
Relatórios:
compreen- escopo dos
dos controles resultados
ção sobre objetivos das todas as
para os dos objetivos
o objeto de controle fraquezas conclusões
objetivos chaves dos
de TI em do objeto dos e recomen-
chaves controles
avaliação avaliado controles dações.
26/49/(34)
+7
Planejamento tático e escopos
• Definição dos escopos dos trabalhos a partir do estudo
detalhado dos objetivos de cada atividade a ser avaliada.
• Refinamento do escopo preliminar da fase anterior.
• Identificação dos controles e testes relacionados com os riscos
das atividades.
• Documentação da avaliação dos controles relacionado com os
riscos.
• Produtos:
– Plano Operacional revisado.
– Mapeamento do processo objeto do trabalho de auditoria.
– Matriz de criticidade das atividades do processo.
– Programas de Testes.
– Versões prévias de relatórios.
27/49/(34)
+6
Aplicação de testes
Planejamento
Anual de Auditorias
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.
estratégico
Planejamento
• Selecionar um arcabouço de controle de TI.
de TI
• Realizar planejamento da avaliação de TI baseada em risco.
• Realizar avaliação de alto nível nos processos em foco.
• Definir os objetivos e escopos de alto nível.
tático e escopo
objetivos detalhados:
Planejamento
Escopo e
Principais processos de TI e os principais recursos de TI
Principais objetivos de controle
Principais objetivos de controle customizados
aplicação testes
Avaliações da audit.
Testar a Testar, se
Execução
Conclusão das
Efetividade necessário,
compreen- escopo dos o impacto comunicar
Relatórios:
dos controles resultados
ção sobre objetivos das todas as
para os dos objetivos
o objeto de controle fraquezas conclusões
objetivos chaves dos
de TI em do objeto dos e recomen-
chaves controles
avaliação avaliado controles dações.
28/49/(34)
+5
Correlações
• Utilização de modelos ou metodologias diversos na
operacionalização dos processos de TI:
29/49/(34)
+6
Correlação com ITIL
30/49/(34)
+5
Correlação com ISO 27001
• Objetivos de controle da ISO 27001.
DS11 (Gerenciar Dados) 06 itens: A9.2, A10.5, A10.7, A10.8, A12.4 e A15.1.
31/49/(34)
+2
Correlação com RUP
• Visão do processo (COBIT) AI2 - Aquisição e Manutenção de
Software Aplicativo.
32/49/(34)
Correlação com RUP
33/49/(34)
+1
Resultados de auditoria
• Plano Anual de Auditoria Interna (PAINT).
• Registros de Constatação:
• Pontos de auditoria: fraquezas do processo objeto.
• Relatório de Auditoria.
34/49/(34)
+1
Conclusão
• A qualidade das informações produzidas pela Auditoria pode ser
percebida a partir da utilização de uma metodologia de execução dos
procedimentos dos trabalhos utilizada.
35/49/(34)
+1
Obrigado!
AUDITORIA DE PROCESSOS
BASEADA EM RISCOS
Diorgens Miguel Meira
diorgens@bnb.gov.br