AUDITORIA DE PROCESSOS

BASEADA EM RISCOS
Diorgens Miguel Meira
 AGENDA
1 O BANCO DO NORDESTE

2 TECNOLOGIA DA INFORMAÇÃO NO BNB

3 AUDITORIA NO BANCO DO NORDESTE

4 SELEÇÃO DE PROCESSOS CRÍTICOS

5 AUDITORIA DE PROCESSOS DE TI
 Atuação do Banco do Nordeste
O Banco do Nordeste tem como área básica de atuação os nove Estados da Região
Nordeste, o norte e os Vales do Mucuri e do Jequitinhonha do Estado de Minas Gerais e o
norte do Estado do Espírito Santo.
Área de atuação: 1.775,4 mil Km2
Municípios atendidos: 1.990 (11 Estados)
Quantidade de agências: 187
Nº de funcionários: 6.066

Indicador NE BR NE/BR (%)

Nº de Estados 9 27 33,3
Área (Km²) 1.554.388 8.502.728 18,3
População – 2010¹ (milhões de habitantes) 53,1 190,7 27,8
PIB – 2008¹ (R$ bilhões correntes 397,5 3.031,9 13,1
PIB per capita – 2008¹ (R$ 1,00) 7.487,55 15.989,77 46,8
População em extrema pobreza – 2010¹ (%) 18,1 8,5
Índice de Desenvolvimento Humano (IDH) –
0,749 0,816
2007²
Taxa (%) de analfabetismo – 2010¹ (pessoas
19,1 9,6
de 15 anos ou mais)
¹ IBGE – CENSO 2010 e PNAD 2009
² BACEN - Estimativa
Tecnologia da Informação no Banco do Nordeste

TECNOLOGIA  200 funcionários.

DA INFORMAÇÃO
 Processo centralizado de desenvolvimento de
software (padrão RUP).
DESENVOLVIMENTO  04 fábricas de software.
DE SOFTWARE
 250 sistemas.
 Gestão por projetos.
ARQUITETURA DE
SOFWARE  Uso de padrões ITIL.
 Mainframe IBM Z9 (z/OS).
APOIO À DECISÃO E  Servidores Windows 200x/Red Hat Linux ES 4/5.
GOVERNANÇA
 Estações Windows XP/Windows 7.
 Detalhes: documentos à parte.
INFRAESTRUTURA
DE TI
 Auditoria no Banco do Nordeste
ASSEMBLÉIA GERAL
CONTROLADORIA-
GERAL DA UNIÃO
CONSELHO FISCAL (CGU)

CONSELHO DE ADMINISTRAÇÃO

COMITÊ DE
ÁREA DE AUDITORIA
AUDITORIA

DIRETORIA

PRESIDÊNCIA

OUVIDORIA

DIRETORIA
DIRETORIA DE DIRETORIA DE ADM. DIRETORIA ADM. E DE
FINANCEIRA E DE DIRETORIA DE DIRETORIA DE
GESTÃO DO DE RECURSOS DE TECNOLOGIA DA
MERCADO DE NEGÓCIOS CONTROLE E RISCO
DESENVOLVIMENTO TERCEIROS INFORMAÇÃO
CAPITAIS
 Auditoria do Banco do Nordeste
Responsabilidade Básica:
 Assessorar a alta administração e colegiados estatutários
(Conselho Fiscal, Conselho de Administração e Comitê de
Auditoria) fornecendo informações sobre a adequação,
integridade, aplicabilidade, conformidade, riscos e qualidade
dos controles relativos aos processos da Instituição.
 Coordenar as demandas oriundas de órgãos externos de
controle e fiscalização.
 Instaurar procedimentos administrativos com vista à apuração
de responsabilidades funcionais.
Quantitativo: 72 funcionários.
Contexto em que está inserida a Área de Auditoria

Área de Auditoria
 Contexto em que está inserida a Área de Auditoria

Riscos Programa
identificados nos Estratégico do
Processos do Banco do
Banco Nordeste

Área de Auditoria
 Contexto em que está inserida a Área de Auditoria

Riscos Programa
Controladoria-
identificados nos Estratégico do Tribunal de Contas
Geral da União
Processos do Banco do da União (TCU)
(CGU)
Banco Nordeste

Banco Central do
Área de Auditoria Brasil (BACEN)

CVM
Auditoria Externa
ANBIMA
 Contexto em que está inserida a Área de Auditoria

Riscos Programa
Controladoria-
identificados nos Estratégico do Tribunal de Contas
Geral da União
Processos do Banco do da União (TCU)
(CGU)
Banco Nordeste

Conselho de Banco Central do

Administração Área de Auditoria Brasil (BACEN)

Comitê de CVM
Conselho Fiscal Auditoria Externa
Auditoria ANBIMA
SELEÇÃO DE PROCESSOS CRÍTICOS
 Planejamento da Área de Auditoria

Determinação Legal
Instrução Normativa Nº 07, de 29/12/2006 da Controladoria-Geral da
União (CGU)

“O planejamento das atividades de auditoria interna das entidades da

administração indireta do Poder Executivo Federal será consignado
no Plano Anual de Atividades de Auditoria Interna – PAINT, que
conterá a programação dos trabalhos da unidade de auditoria interna
da entidade para um determinado exercício.”
 Planejamento da Área de Auditoria
Conformidade com as Normas Internacionais para a
Prática Profissional de Auditoria Interna
Orientação Prática 2010-1:
Vínculo do Planejamento de Auditoria com Risco e Exposições

“O executivo chefe de auditoria deve estabelecer um planejamento baseado em

riscos para determinar as prioridades da atividade de auditoria interna, de forma
consistente com as metas da organização.”

Interpretação:
“O executivo chefe de auditoria é o responsável pelo desenvolvimento de um
planejamento baseado em riscos. O executivo chefe de auditoria leva em
consideração a estrutura de gerenciamento de riscos da organização, incluindo o
uso dos níveis de apetite de risco estabelecidos pela administração para as
diferentes atividades ou partes da organização. Se não houver uma estrutura, o
executivo chefe de auditoria utiliza seu próprio julgamento quanto aos riscos após
consultar a alta administração e o conselho.”
Princípios da Metodologia ‘Auditoria de
Processos com Foco em Riscos’

FOCO NO
VISÃO
FUTURO
SISTÊMICA

VISÃO AVALIAÇÃO DA
ESTRATÉGICA GESTÃO DE
RISCOS
VISÃO DE
RISCO
 Matriz de Riscos
Critérios para Priorização dos Processos Críticos

• Escassez de auditorias nos últimos 3 anos.

• Vinculação aos Programas Temáticos do PPA 2012–2015
Banco do Nordeste.
• Objeto de Recomendações da Alta Administração.
• Sensibilidade a Fraudes.
Critérios
• Riscos expostos (recomendações da Auditoria Interna ainda
Objetivos não implementadas).
• Objeto de Recomendação dos Órgãos de Controle e
Fiscalização.
• Diretrizes Estabelecidas pela Secretaria Federal de
Controle Interno (IN 01/2001).
• Impacto na Prestação de Contas do Banco.

Critérios • Exposição Financeira do Processo.

Subjetivos • Complexidade do Processo.
 Critérios para Priorização dos Processos Críticos

Primeira Análise
 Aplicação dos critérios - baseada em documentos e informações de sistemas do
Banco.
 Pontuação dos critérios - de 1 ‘um’ (menor impacto) a 3 ‘três’ (maior impacto).
 Pontuação dos Processos – depois de aplicados todos os critérios, é gerado um
ranking.

Segunda Análise
 Aplicação de critérios subjetivos:
 Exposição financeira.
 Complexidade do processo.

Final
 Processos classificados quanto à criticidade (alta, média ou baixa).
AUDITORIA DE PROCESSOS DE
TECNOLOGIA DA INFORMAÇÃO
 COBIT - Um Modelo de Apoio
Guia de boas práticas criado pela ISACA (Information Systems Audit and Control
Association), apresentado como um framework dirigido para a gestão da
Tecnologia da Informação (TI). Inclui recursos tais como objetivos de controle para
processos de TI, mapas de auditoria, um conjunto de ferramentas de
implementação e um guia com técnicas de gerenciamento.

18/49/(34)
+2
 Domínios dos processos de TI - COBIT

19/49/(34)
+4
 Processos de TI conforme COBIT
Domínio Planejar e Organizar (PO)
PO1 Define o plano estratégico de TI;
PO2 Define a arquitetura da informação;
PO3 Determina a direção tecnológica;
PO4 Define os processos, a organização e seus
relacionamentos de TI;
PO5 Gerencia os investimento de TI;
PO6 Comunica diretrizes e expectativas...;
PO7 Gerencia os recursos humanos de TI;
PO8 Gerencia a qualidade;
PO9 Avalia e gerencia os riscos de TI;
PO10 Gerencia os projetos de TI.
Domínio Adquirir e Implementar (AI)
AI1 Identifica as soluções automatizadas;
AI2 Adquire e mantém softwares aplicativos;
AI3 Adquire e mantém a infraestr. de tecnologia;
AI4 Habilita operação e uso;
AI5 Adquire recursos de TI;
AI6 Gerencia as mudanças;
AI7 Instalar e homologar soluções e mudanças.
20/49/(34)
+3
Domínio Entrega e Suportar (DS)
DS1 Define e gerencia acordos de nível de serviço;
DS2 Gerencia os serviços de terceiros;
DS3 Gerencia a capacidade e desempenho;
DS4 Assegura a continuidade dos serviços;
DS5 Assegura a segurança dos serviços;
DS6 Identifica e aloca custos;
DS7 Treina os usuários;
DS8 Gerencia central de serviços e incidentes;
DS9 Gerencia a configuração;
DS10 Gerencia os problemas;
DS11 Gerencia os dados;
DS12 Gerencia o ambiente físico;
DS13 Gerencia as operações.
Domínio Monitorar e Avaliar (ME)
ME1 Monitora e avalia o desempenho;
ME2 Monitora e avalia os controles internos;
ME3 Assegurar a conformidade com req. Externos;
ME4 Provê a governança de TI.
 Diretrizes para Auditorias de TI
• Auditorias em processos de TI (Visões de processos do COBIT) –
Objetos de auditoria são estruturados em processos de TI, alinhados
à metodologia de auditoria interna em processos corporativos com
foco em riscos utilizada.

• Auditoria baseada em risco – Base nos objetivos x riscos x controles

do COBIT, estendida após o estudo de cada processo avaliado.

• Escopos e Focos – Os escopos de auditoria serão desenvolvidos

baseados nos objetivos dos processos COBIT. Sistemas aplicativos
específicos poderão ser focos do trabalho e ou comporão amostras de
avaliação dos processos.

• Correlações - Utilização de mapeamento entre o arcabouço COBIT e

as metodologias e boas práticas de uso comum na área de TI e
segurança da informação, tal quais ITIL, ISO 27001/27002 e RUP.

21/49/(34)
+12
 Metodologia para os Trabalhos

• Etapas
 Planejamento
• Estratégico: Planejamento Anual de Auditoria Interna.

 Definição de Escopos (Mapeamentos & Correlações)

• Tático: definição de escopos  Planos operacionais.

 Execução de Testes
• Operacional: aplicação de testes de controles.
• Comunicação de resultados.

22/49/(34)
+11
 Roteiro de Avaliação
Planejamento

Anual de Auditorias
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.
estratégico

Planejamento
• Selecionar um arcabouço de controle de TI.

de TI
• Realizar planejamento da avaliação de TI baseada em risco.
• Realizar avaliação de alto nível nos processos em foco.
• Definir os objetivos e escopos de alto nível.
tático e escopo

objetivos detalhados:
Planejamento

Plano Operac. revis.

Objetivos de negócios
Metas de TI

Escopo e
Principais processos de TI e os principais recursos de TI
Principais objetivos de controle
Principais objetivos de controle customizados
aplicação testes

Avaliações da audit.
Testar a Testar, se
Execução

Detalhar a Detalhar o Documentar Elaborar e

Conclusão das
Efetividade necessário,
o impacto comunicar

Relatórios:
compreen- escopo dos
dos controles resultados
ção sobre objetivos das todas as
para os dos objetivos
o objeto de controle fraquezas conclusões
objetivos chaves dos
de TI em do objeto dos e recomen-
chaves controles
avaliação avaliado controles dações.

23/49/(34)
+10
 Roteiro de Avaliação
Planejamento

Anual de Auditorias
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.
estratégico

Planejamento
• Selecionar um arcabouço de controle de TI.

de TI
• Realizar planejamento da avaliação de TI baseada em risco.
• Realizar avaliação de alto nível nos processos em foco.
• Definir os objetivos e escopos de alto nível.
tático e escopo

objetivos detalhados:
Planejamento

Plano Operac. revis.

Objetivos de negócios
Metas de TI

Escopo e
Principais processos de TI e os principais recursos de TI
Principais objetivos de controle
Principais objetivos de controle customizados
aplicação testes

Avaliações da audit.
Testar a Testar, se
Execução

Detalhar a Detalhar o Documentar Elaborar e

Conclusão das
Efetividade necessário,
o impacto comunicar

Relatórios:
compreen- escopo dos
dos controles resultados
ção sobre objetivos das todas as
para os dos objetivos
o objeto de controle fraquezas conclusões
objetivos chaves dos
de TI em do objeto dos e recomen-
chaves controles
avaliação avaliado controles dações.

24/49/(34)
+9
 Planejamento estratégico
• Seleção dos processos de TI a serem auditados (visão COBIT):
objetivos de controle de alto nível se relacionando com
possíveis objetos de auditoria que comporão o PAINT.

• Definição do conjunto de trabalhos a serem realizados em cada

período do ciclo anual de auditorias.

• Priorização dos processos de TI será feita levando em

consideração sua importância no suporte dos processos de
negócios priorizados.

• Produtos:
– Planejamento Anual de Auditoria Interna: onde os processos de TI
selecionados farão parte, juntamente com os demais processos
corporativos mapeados pela Auditoria para os trabalhos.

25/49/(34)
+8
 Roteiro de Avaliação
Planejamento

Anual de Auditorias
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.
estratégico

Planejamento
• Selecionar um arcabouço de controle de TI.

de TI
• Realizar planejamento da avaliação de TI baseada em risco.
• Realizar avaliação de alto nível nos processos em foco.
• Definir os objetivos e escopos de alto nível.
tático e escopo

objetivos detalhados:
Planejamento

Plano Operac. revis.

Objetivos de negócios
Metas de TI

Escopo e
Principais processos de TI e os principais recursos de TI
Principais objetivos de controle
Principais objetivos de controle customizados
aplicação testes

Avaliações da audit.
Testar a Testar, se
Execução

Detalhar a Detalhar o Documentar Elaborar e

Conclusão das
Efetividade necessário,
o impacto comunicar

Relatórios:
compreen- escopo dos
dos controles resultados
ção sobre objetivos das todas as
para os dos objetivos
o objeto de controle fraquezas conclusões
objetivos chaves dos
de TI em do objeto dos e recomen-
chaves controles
avaliação avaliado controles dações.

26/49/(34)
+7
 Planejamento tático e escopos
• Definição dos escopos dos trabalhos a partir do estudo
detalhado dos objetivos de cada atividade a ser avaliada.
• Refinamento do escopo preliminar da fase anterior.
• Identificação dos controles e testes relacionados com os riscos
das atividades.
• Documentação da avaliação dos controles relacionado com os
riscos.
• Produtos:
– Plano Operacional revisado.
– Mapeamento do processo objeto do trabalho de auditoria.
– Matriz de criticidade das atividades do processo.
– Programas de Testes.
– Versões prévias de relatórios.

27/49/(34)
+6
 Aplicação de testes
Planejamento

Anual de Auditorias
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.
estratégico

Planejamento
• Selecionar um arcabouço de controle de TI.

de TI
• Realizar planejamento da avaliação de TI baseada em risco.
• Realizar avaliação de alto nível nos processos em foco.
• Definir os objetivos e escopos de alto nível.
tático e escopo

objetivos detalhados:
Planejamento

Plano Operac. revis.

Objetivos de negócios
Metas de TI

Escopo e
Principais processos de TI e os principais recursos de TI
Principais objetivos de controle
Principais objetivos de controle customizados
aplicação testes

Avaliações da audit.
Testar a Testar, se
Execução

Detalhar a Detalhar o Documentar Elaborar e

Conclusão das
Efetividade necessário,
compreen- escopo dos o impacto comunicar

Relatórios:
dos controles resultados
ção sobre objetivos das todas as
para os dos objetivos
o objeto de controle fraquezas conclusões
objetivos chaves dos
de TI em do objeto dos e recomen-
chaves controles
avaliação avaliado controles dações.

28/49/(34)
+5
 Correlações
• Utilização de modelos ou metodologias diversos na
operacionalização dos processos de TI:

– Gestão de serviços de infraestrutura de TI: ITIL.

– Sistema de Gerenciamento da Segurança da Informação: normas
ISO 27001 / ISO 27002.
– Metodologia/Modelos de Desenvolvimento de Software: RUP.

• Correlação entre metodologias / modelos utilizados e a

visão de processos de TI utilizado pela auditoria
(COBIT).

29/49/(34)
+6
 Correlação com ITIL

30/49/(34)
+5
 Correlação com ISO 27001
• Objetivos de controle da ISO 27001.

• Mapeamento entre Processos COBIT e objetivos de controle da

27001. Exemplo:
Processo COBIT Objetivo de controle ISO 27001

DS4 (Garantia da Continuidade dos

03 itens: A6.1, A10.5 e A14.1
Serviços)

33 itens: A5.1, A6.1, A6.2, A8.1 a A8.3, A9.1, A9.2, A10.1,

DS5 (Garantia da Segurança dos
A10.4, A10.6 a A10.10, A11.1 a A11.7, A12.2 a A12.4,
Sistemas)
A12.6, A13.1, A13.2, A15.1 a A15.3.

DS11 (Gerenciar Dados) 06 itens: A9.2, A10.5, A10.7, A10.8, A12.4 e A15.1.

DS12 (Gerenciar o Ambiente Físico) 03 itens: A6.2, A9.1 e A9.2.

• Testes dos controles da ISO levarão em conta também os riscos

documentados nos processos do COBIT mapeados.

31/49/(34)
+2
 Correlação com RUP
• Visão do processo (COBIT) AI2 - Aquisição e Manutenção de
Software Aplicativo.

• Fase Definição de Escopos & Mapeamentos: avaliação de riscos

inerentes aos aspectos do eixo vertical do RUP.
Aspecto que trata do conjunto de “produtos” gerados a cada fase (atividades,
artefatos, fluxos de trabalho etc.), tomando-os como os possíveis controles, mas
não somente estes, sendo a sua observância matéria de análise do auditor do
processo de TI advindo da visão de processos COBIT.

• Fase Execução (Aplicação de testes): focada no eixo horizontal do

RUP, onde serão testados os controles requeridos entre as fases
do Processo, quanto a sua observância e eficácia.
aspecto dinâmico, relacionado com
os marcos das fases do processo.

32/49/(34)
 Correlação com RUP

Eixo vertical (Produtos gerados)

Eixo horizontal (Aspecto dinâmico)

33/49/(34)
+1
 Resultados de auditoria
• Plano Anual de Auditoria Interna (PAINT).

• Planos Operacionais dos trabalhos.

• Registros de Constatação:
• Pontos de auditoria: fraquezas do processo objeto.

• Relatório de Auditoria.

34/49/(34)
+1
 Conclusão
• A qualidade das informações produzidas pela Auditoria pode ser
percebida a partir da utilização de uma metodologia de execução dos
procedimentos dos trabalhos utilizada.

• A utilização da visão de processos utilizando metodologias baseadas

em boas práticas disseminadas promove a padronização das
estruturas de trabalho, o que faz com que as equipes de auditoria de
TI falem e entendam uma linguagem comum.

35/49/(34)
+1
 Obrigado!

AUDITORIA DE PROCESSOS
BASEADA EM RISCOS
Diorgens Miguel Meira
diorgens@bnb.gov.br