Relatório de Auditoria de Gestão de TI

Auditoria realizada no Tribunal Regional do Trabalho da

23ª Região - Cuiabá

Aluna: Isabel Amaral

Tabela de
Conteúdo

• Introdução
• Análise do Relatório
• Metodologia
• Principais Achados
• Fatos Relevantes
• Conclusão
• Referências
 Introdução

 O Tribunal Regional do Trabalho da 23ª Região, Cuiabá, foi auditado pelo

Conselho Superior da Justiça do Trabalho, se tratando de uma auditoria externa;
 O foco da auditoria são todos os aspectos que envolvem a Gestão da Tecnologia
da Informação como, por exemplo:
 Existência de Plano de Estratégia de TI;
 Existência de Plano de Segurança da Informação;

 Existência de Política de Segurança da Informação;

 É importante salientar que não foi só observado a existência ou não das

informações, mas também a qualidade e efetividade das mesmas.
 Análise do
Relatório

Metodologia
 Se refere a metodologia adotada para a geração do relatório final:

Foi criado, por meio da avaliação comparativa entre as recomendações da

equipe de auditoria e as providências ou os esclarecimentos apresentados
pela equipe de Gestão de TI do Tribunal Regional do Trabalho de 23ª Região.
 Análise do
Relatório

Principais Achados
 No relatório achados foram relatados com o nome de ocorrência;

 A cada ocorrência foram criadas recomendações para orientar os

próximos passos da instituição na busca por uma boa Gestão de TI;

 Foram 47 ocorrências encontradas e NENHUM ponto positivo levantado;

 Análise do
Relatório

 Principais problemas encontrados:

 A instituição  não realizou análise riscos para  criar Plano de

Continuidade de Negócios;

 Também não analisou riscos que poderiam impedir a execução das

estratégias  de TIC do órgão;

 Não existem procedimentos que sustentem um Plano de Contingência

e de recuperação de desastres;
 Análise do
Relatório

Principais Achados
 Principais problemas encontrados:

 Inexistência de Plano Diretor de Tecnologia da Informação e

Comunicações (PDTIC)
 Inexistência de Planos de Gerenciamento dos Projetos Estratégicos;

 Inexistência de indicadores de desempenho voltados para medir e

governar a Gestão da TI;
 Possui apenas site backup;
 Análise do
Relatório

Principais Achados
 Principais problemas encontrados:

 Inexistência de processo formal estabelecido e dedicado ao tratamento

das questões de segurança, não existe um Plano Institucional de
Segurança da Informação (PISI);
 Política de Segurança da Informação existente, porém não baseada na
norma NBR ISO/IEC 27002:2005 ;
 Não existe uma Política de Controle de Acesso (PCA) lógico;
 Análise do
Relatório

Principais Achados
 Principais problemas encontrados:

 Inexistência de inventário completo de todos os programas de

computador em uso no Tribunal.
 Inexistência de testes para comprovar a eficácia do Plano de
Continuidade do Negócio e NEM de treinamentos para capacitar os
servidores responsáveis pela elaboração e execução do Plano de
Continuidade;
 Análise do
Relatório

Fatos Relevantes
 Período da auditoria de 16 a 19 de novembro de 2010, porém relatório gerado
em Maio de 2012;
 Todas as recomendações estão citando a norma existente que visa o
aprimoramento do ponto observado, como por exemplo:
“Desenvolva e implante modelo de processo para continuidade da TI. Esse
processo deve observar o disposto nos seguintes normativos: NBR ISO/IEC
17799:2005 (itens 14.1.1, 14.1.2 e 14.1.3); e item 9.1.6 do Acórdão
n.°1.092/2007 do TCU;”
 Análise do
Relatório

Fatos Relevantes

“Selecione e implemente controles apropriados para assegurar que os riscos

sejam eliminados ou reduzidos a um nível aceitável. Os controles devem ser
selecionados a partir da NBR ISO/IEC 27002:2005 ou de outro conjunto de
controles como o Cobit. A seleção de controles de segurança da informação
depende das decisões da organização e é baseada nos critérios para aceitação de
risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco
aplicado à organização;”
 Análise do
Relatório

Fatos Relevantes
 Todos os documentos e seus conteúdos foram analisados com base:
 Na Control Objectives for Information and related Technology (COBIT),
que é um guia de boas práticas para Gestão de TI;
 Na norma NBR ISO/IEC 17799:2005;
 E nos Acórdões do TCU.
 Relatório possui também os documentos criados em resposta as
recomendações realizadas pelos auditores;
 Esses documentos em resposta também foram analisados pelos auditores.
 Conclusão

 Para uma empresa de importância do setor público, possui uma fraca

Estratégia de TI;
 Não trabalhou os riscos do negócio, deixando sua documentação sem uma
base forte;
 Também tem falta de especialização de pessoal, já que não possui
treinamento para lidar com o que foi descrito dos Planos de TI que
possuem;
 Passou a trabalhar nos pontos recomendados, apenas após a finalização
do Relatório de Auditoria e o envio do mesmo para órgão superior;
 Conclusão

O relatório é completo, apresentando o que foi encontrado pelos auditores,

o que fazer para solucionar e a resposta do Tribunal aos problemas
encontrados. Lembrando que, todos os pontos destacados como
problemáticos na Gestão de TI da instituição têm o respaldo das normas de
auditoria de TI.
Dúvidas
Referências

• Relatório Final da Auditoria de Gestão de Tecnologia da Informação - http://

www.csjt.jus.br/c/document_library/get_file?p_l_id=1272434&groupId=955023&f
olderId=1333244&name=DLFE-17013.pdf
• Auditoria Interna na Área de Tecnologia da Informação baseado no TCU - http://
portal2.tcu.gov.br/portal/pls/portal/docs/2188952.PDF
• VII Encontro de Auditoria e Unidades de Controle Interno do Sistema “S” (Auditoria
Interna e Governança) - http://
www.sfiec.org.br/palestras/administracao/CGU-SistemaS/AtuacaodaAuditoriaInter
nanaAvaliacaodaGestaodeTI.pdf