AUDITORIA DE TI NA PRÁTICA – CASO DO BANCO CENTRAL DO BRASIL

12.616 visualizações

Publicada em

Apresentação de Cosme Leandro do Patrocínio no 5 Encontro de Governança Aplicada do ISACA Brasília

Publicada em: Tecnologia
0 comentários
8 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
12.616
No SlideShare
0
A partir de incorporações
0
Número de incorporações
68
Ações
Compartilhamentos
0
Downloads
518
Comentários
0
Gostaram
8
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

AUDITORIA DE TI NA PRÁTICA – CASO DO BANCO CENTRAL DO BRASIL

  1. 1. AUDITORIA DE TI NA PRÁTICA – CASO DOBANCO CENTRAL DO BRASILAuditoria Interna do Banco Central do Brasil (Audit) 1
  2. 2. Palestrante – Chefe da Divisão de Auditoria de TI do Bacen; – Formado em Administração de Empresas;Cosme Leandrodo Patrocínio – Pós graduado em Contabilidade e Auditoria e em Gestão de TI; – Auditor de TI desde 1998; – Nascido no Rio de Janeiro (1966); – Torcedor do Flamengo (não praticante).
  3. 3. Agenda• O Banco Central do Brasil (Bacen) e seu contexto;• Sistemas de Informação do Bacen e seus riscos;• Missão da Auditoria Interna e a responsabilidade de auditar TI;• A importância do CobiT para a Auditoria Interna do Banco Central;• O processo de Auditoria Interna de TI; e• Considerações Finais. 3
  4. 4. • Autarquia Federal vinculada ao Ministério da Fazenda;• Criado, em 31.12.1964, com a promulgação da lei 4.595;• Tem por finalidade: a) a formulação, a execução, o acompanhamento e o controle das políticas monetária, cambial, de crédito e de relações financeiras com o exterior; b) a organização, a disciplina e a fiscalização do Sistema Financeiro Nacional; e c) a gestão do Sistema de Pagamentos Brasileiro e dos serviços do meio circulante. 4
  5. 5. Edifício-Sede doBanco Central doBrasil em Brasília 5
  6. 6. ESTRUTURAORGANIZACIONAL 6
  7. 7. PLANEJAMENTO ESTRATÉGICO: 2010-2014• MISSÃO INSTITUCIONAL – Assegurar a estabilidade do poder de compra da moeda e um sistema financeiro sólido e eficiente.• VISÃO DE FUTURO 2014 – O Banco Central, por sua atuação autônoma, pela qualidade dos seus produtos e serviços, assegurada pelos seus processos de gestão, pela competência dos seus servidores, será reconhecido cada vez mais como instituição essencial à estabilidade econômica e financeira, indispensável ao desenvolvimento sustentável do Brasil. 7
  8. 8. PLANEJAMENTO ESTRATÉGICO: 2010-2014• OBJETIVOS ESTRATÉGICOS 2010- 2014 1. Assegurar o cumprimento das metas de inflação estabelecidas pelo Conselho Monetário Nacional. 2. Assegurar a solidez e o regular funcionamento do Sistema Financeiro Nacional. 3. Promover a eficiência do Sistema Financeiro Nacional e a inclusão financeira da população. 4. Assegurar o suprimento de numerário adequado às necessidades da sociedade. 5. Aprimorar o marco regulatório para o cumprimento da missão institucional. 6. Promover melhorias na comunicação e no relacionamento com os públicos interno e externo. 7. Aprimorar a governança, a estrutura e a gestão da Instituição. 8. Fortalecer a inserção internacional da Instituição. 8
  9. 9. Exemplos de Sistemas do Bacen• Sistema de Pagamentos Brasileiro – Sistema de Transferência de Reservas (STR); – Sistema Especial de Liquidação e Custódia (Selic); – Sistema de Redesconto (RDC); – Sistema de Lançamentos do Banco Central (SLB).• Política Cambial – Sistema de Registro Centralizado de Operações de Câmbio (Câmbio). 9
  10. 10. Exemplos de Sistemas do Bacen• Relações Financeiras com o Exterior – Sistema de Gerenciamento das Reservas Internacionais (Geinter); – Sistema Benchmark – Gestão de Riscos das Operações Internacionais; – Sistema de Administração das Reservas (SAR); – Sistema Integrado de Comércio Exterior (Siscomex). 10
  11. 11. Exemplos de Sistemas do Bacen• Serviços do Meio Circulante – Sistema de Administração do Meio Circulante (SISMECIR).• Sistema Financeiro Nacional – Fiscalização e Supervisão do Sistema Financeiro Nacional (SUPER); – Sistema de Informações de Crédito do Banco Central (SRC); – Sistema Integrado de Monitoramento (SIM). 11
  12. 12. Exemplos de Sistemas do Bacen• Política Monetária – Date Warehouse; – Ferramentas de Business Intelligence (BI); – Sistemas Econométricos. 12
  13. 13. Auditoria Interna (IIA)• A auditoria interna é uma atividade independente e objetiva que presta serviços de avaliação e de consultoria com o objetivo de adicionar valor e de melhorar as operações de uma organização.• A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e a melhoria da eficácia dos processos de gerenciamento de risco, do controle e da governança corporativa. 13
  14. 14. Processo de Gestão das Atividades da Auditoria Interna
  15. 15. Processo de Planejamento Tático
  16. 16. Processo de Realização de Auditoria Interna
  17. 17. Processo deAcompanhamentodasRecomendaçõesde Auditoria
  18. 18. Objetos deAuditoria de TI 1998-2001 2002-2003 2004-2005 2006-2008 2009-20111998 - 2001 – Auditorias Operacional de Sistemas Gestão de TI Áreas de Governançafocadas no operacional da TI Informatizados conhecimento de TIárea de TI; de TI Baseado em 312002 - 2003 – Os •Microinformática; •Sistemas •Administração da •Administração de Processos •Segurança Física; Informatizados de Infraestrutura de Genéricos de TI,sistemas de informação Departamentos; Redes; •Segurança Lógica; TI; do CobiT 4.1passam a ser os objetos de • Administração do •Gerência e •Administração de •Redes Locais. Banco de Dados; •Viabilização daauditoria; Centro de Serviço Desenvolvimento Governança de de Informática; •Administração de2004 - 2005 – A gestão Organizacional de Dados; TI; •Estrutura TI;de TI ganha destaque, Normativa da Área •Gestão de TI; •Garantia da •Segurança da Segurança demas ainda foca de Informática. Informação; •Gestão do Ciclo de Sistemasprincipalmente os aspectos •Administração de Vida de Sistemas Informatizados; de Informação;operacionais; Banco de Dados; •Gestão de •Gerência de2006 - 2008 – Os objetos •Administração de Mudanças. Investimentos Sítios. de TI;de auditoria são definidos •Identificação ecom base nas áreas de Alocação deconhecimento de TI; Custos de TI.2009 - 2011 – Auditoriabaseada em processos,conforme orientam asnormas internacionais deauditoria, do IIA. << 18
  19. 19. Uso do CobiT 4.1 pelaAuditoria Interna doBacen• CobiT é um modelo de referência de Governança para a área de TI, que apresenta os processos e os objetivos de controle que podem ser aplicados na área;• Bacen o utiliza como um guia para avaliação de instituições financeiras bancárias e não bancárias;• TCU também utiliza o modelo como base de seus programas de auditoria para avaliação de diversas entidades nacionais; e• CNJ recomenda, indiretamente, o seu uso para o controle e a governança de TI dos Tribunais de Justiça de todo o país, conforme a Resolução 90, de 29.9.2009. << 19
  20. 20. Fronteiras de Negócios, Controles Gerais e AplicativosDefinição deprocesso e deobjetivo de controledo CobiT 4.1• “O CobiT define asatividades de TI em ummodelo de processosgenéricos com quatrodomínios. Esses domínios sãoPlanejar e Organizar,Adquirir e Implementar,Entregar e Suportar eMonitorar e Avaliar.”• “Controle é definido comopolíticas, procedimentos, Modelo de Controlepráticas e estruturasorganizacionais criadas paraprover uma razoável garantiade que os objetivos denegócios serão atingidos eque eventos indesejáveisserão evitados ou detectadose corrigidos.” << 20
  21. 21. Processo de Auditoria Interna de TI • Planejamento das Atividades da Auditoria Paint Interna. • Processo da Auditoria.Auditoria • Acompanhamento das Recomendações.Follow-up 21
  22. 22. Plano Anual de Atividades da Auditoria Interna (Paint)• Planejamento anual das Matriz de risco para elaboração do Paint auditorias a serem realizadas durante o exercício, conforme M A definido nas normas vigentes I u l m i (IN/CGU 1 e 7). Utiliza como p t t a base os processos o o auditáveis integrantes do r A cadastro da Audit; t â l t• Baseado em processo de n a c trabalho da Audit, que utiliza i M uma matriz de risco, que a é relaciona o grau de d importância do processo para d i a o a organização (avaliação dos gestores dos processos) e o B P a compara com o grau de r i confiança da auditoria nos o x a c controles desses processos; e MB s• Encaminhado previamente à u a s i i Controladoria-Geral da União o t x (CGU) para avaliação e o a sugestão e aprovado pela Muito Alta Alta Média Baixa Muito Baixa Diretoria Colegiada. Confiabilidade no Controle Interno << 22
  23. 23. Etapas do Processo de Auditoria Interna PLANEJAMENTO DA AUDITORIA• Planejamento da Auditoria:  Realiza o levantamento das informações sobre o processo a ser PROCEDI- QACI NACI MORC MENTOS avaliado;  Utiliza como referência básica os preceitos do CobiT 4.1;  As informações levantadas são registradas em papéis de trabalhos específicos e padronizados.• Execução da Auditoria: EXECUÇÃO DA AUDITORIA Inicia os trabalhos de campo, buscando as evidências que demonstrem a adequação ou a Aplicação dos Apresentação dos necessidade de melhoria de controle; Procedimentos Pontos de Auditoria As tarefas são definidas previamente, na fase de planejamento; Os pontos são apresentados de antemão aos representantes da unidade auditada.• Relatório de Auditoria:  Elabora o Relatório de Auditoria. RELATÓRIO DA AUDITORIA  A unidade auditada e/ou recomendada tem a oportunidade de Elaboração da Encaminhamento da Encaminhamento apresentar sugestões e críticas sobre Minuta do Relatório Minuta para do Relatório às os resultados apresentados. Avaliação partes interessadas 23
  24. 24. Questão Avaliação Comentário Questão ( 1 ) Inexistente Descrição do controle ouQuestionário de de ( 2 ) Inicial/Ad hoc justificativa para a sua nãoAvaliação do Controle controle? ( 3 ) Repetível aplicação.Interno de TI ( 4 ) Definido ( 5 ) Gerenciado• O QACI é o conjunto de questões (na) Não aplicável objetivas que visa auxiliar a avaliação dos controles instituídos para mitigar os riscos inerentes ao processo auditado; Escala Descrição• Conforme definido no escopo do Controle inexistente e os gestores reconhecem a 1 - Inexistente trabalho, estabelecido no Paint, a necessidade do mesmo. equipe de auditoria de TI elabora Controle desestruturado, sem padronização e gerido ao questões objetivas para identificar 2 – Inicial/Ad hoc nível individual. a existência, a inexistência ou a necessidade ou não de Controle padronizado localmente, no entanto, o 3 – Repetível determinados controles; treinamento e a comunicação não são formalizados.• Essas questões devem ser Controle padronizado para todo o processo, com alinhadas com o escopo do Paint, 4 – Definido documentação, treinamento e comunicação formais. que por sua vez foi baseado nos Contudo, a probabilidade de detecção de desvios é baixa. objetivos de controle do CobiT;• As questões são classificadas com Controle institucionalizado, com ações detectivas e base nos 5 componentes do COSO: 5 – Gerenciado corretivas para não conformidades. Melhoria contínua, Ambiente de controle; boas práticas e automação são utilizadas Gerenciamento de riscos; Atividade Controle Inexistente e os gestores não reconhecem a de controle; Comunicação e na – Não aplicável necessidade dos mesmos. informação; e Monitoramento. 24
  25. 25. Método para responder as questões do QACIItem Descrição Identificar a descrição da competência e das atribuições A do responsável pela atividade de controle. Identificar a descrição da atividade de controle no MPR B da Unidade ou em outro instrumento institucional. Descrever o fluxo da atividade de controle, indicando a(s) C entrada(s), o processamento e a(s) saída(s). Identificar o(s) artefato(s) onde fica(m) registrado(s) e D evidenciado(s) o funcionamento do controle. Identificar o(s) sistema(s) de informação que suporta(m) E a atividade de controle. <<
  26. 26. Fluxograma da Atividade de Controle Analisada <<
  27. 27. Nota de Avaliação sobre o Controle Interno• Ao final da aplicação do QACI, o auditor deverá concluir sobre a adequação do controle interno para a atividade sob exame, com base na NACI. O controle interno pode ser considerado: Ótimo; Bom; Regular; Deficiente; ou Precário. << 27
  28. 28. Objetivos x Riscos x Controles• Objetivos: resultados quantitativos e/ou qualitativos que o processo precisa alcançar;• Riscos: evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre um objetivo; e• Controles: mitigam, evitam ou transferem os riscos inerentes aos objetivos do processo. << 28
  29. 29. MORC• O Mapa de Objetivos, Riscos e Controle é o papel de trabalho onde serão registrados os objetivos, os riscos e os controles do processo de TI em análise.  Recebe as informações do QACI, que é a base para a descrição do risco e das atividades de controle;  Possibilita a priorização dos riscos relacionados com o processo; e  Apóia a decisão sobre os objetivos e o escopo do trabalho de auditoria. PROCESSO AUDITÁVEL: <Nome do Processo> Objetiv o do <Descrição do Objetivo do Processo> Process o de TI Importância do risco Avaliação do Impacto na controle Auditoria Descrição do Risco Nível de Eficácia Código do Risco Atividade procedimentos Probabilidade Comentários s de Indicação de Ref. (prioridade) Resultado Controle Hiato de controle Impacto << 29
  30. 30. Importância do Risco QUADRO DE DISTRIBUIÇÃO DE RISCOS DA ATIVIDADE• A equipe de auditoria deve avaliar os riscos identificados, Muito alto Risco alto Risco alto Risco muito alto Risco muito alto Risco muito alto com base na probabilidade e no impacto de sua concretização, utilizando Alto Risco Risco Risco Risco Risco parâmetros de 1 a 5, médio médio alto alto muito alto conforme o “Quadro de IMPACTO distribuição de riscos da Risco Risco Risco Risco Risco atividade”; Médio baixo médio médio alto alto• Impacto é a magnitude de um efeito negativo, no caso Risco Risco Risco Risco Risco de o risco se materializar, ou Baixo muito baixo baixo baixo médio médio seja, se um evento negativo efetivamente ocorrer;• Probabilidade de o risco se Risco Risco Risco Risco Risco Nulo muito baixo muito baixo muito baixo muito baixo muito baixo materializar, considerando a ausência de uma ação administrativa no sentido de Improvável Baixa Média Alta Muito alta mitigá-lo. A equipe pode considerar a existência de controles compensatórios . PROBABILIDADE << 30
  31. 31. Impacto na Auditoria QUADRO DE HIATO DE CONTROLE• O Hiato de Controle é a Prioridade Prioridade Prioridade Prioridade Prioridade matriz resultante da relação Muito alto alta alta muito alta muito alta muito alta entre a importância do risco e a avaliação do controle; Prioridade Prioridade Prioridade Prioridade Prioridade• Com base nos resultados Alto média média alta alta muito alta obtidos na matriz, a equipe define os objetivos dos RISCO procedimentos que serão Médio Prioridade baixa Prioridade média Prioridade média Prioridade alta Prioridade alta executados durante o trabalho de campo da auditoria; e• Concluída a fase de Baixo Prioridade Prioridade Prioridade Prioridade Prioridade muito baixa baixa baixa média média elaboração e de levantamento das informações gerais sobre o processo auditável, a Prioridade Prioridade Prioridade Prioridade Prioridade Muito baixo avaliação do controle interno muito baixa muito baixa muito baixa muito baixa muito baixa e dos riscos relacionados, o auditor deve avaliar a Insatis- adequação dos objetivos e do Forte Satisfatório fatório Fraco Inexistente escopo da auditoria, previstos inicialmente no Paint. CONTROLE << 31
  32. 32. Procedimentos da Auditoria• O procedimento de auditoria é Questões o roteiro que deve identificar o que deve ser feito, como deve ser feito e como os dados e as informações poderão ser obtidos para o alcance dos objetivos do trabalho, considerando, inclusive, o escopo aprovado;• Para reduzir a subjetividade, geralmente os procedimentos são descritos com base em Objetos padrões e/ou normas técnicas Testar publicadas por instituições de Teste competentes. << 32
  33. 33. Aplicação dos Procedimentos de Auditoria•A equipe de auditoria, conforme determinado em portaria publicada pela Audit, inicia os trabalhos de campo, aplicando os procedimentos de auditoria definidos na fase de planejamento;•Os procedimentos elaborados previamente, de forma estruturada, possibilita a otimização na execução dos trabalhos e reduz o volume de demandas de informações, elevando a objetividade dos trabalhos.•Concluída a aplicação do Programa de Auditoria, a equipe deve reavaliar as informações constantes do QACI e do MORC, além da nota do NACI, quando deve propor os ajustes, se julgar necessários. << 33
  34. 34. Apresentação dos Pontos de Auditoria• Ao final dos trabalhos de campo, a equipe de auditoria realiza reunião com o auditado para tratar dos pontos da auditoria. Nesse momento:  Informa à unidade auditada o resultado do trabalho de auditoria, apresentando os pontos fortes e fracos identificados;  Indica os pontos que serão abordados no relatório, apresentando as evidências ou entendimentos obtidos;  Busca debater as possíveis discordâncias com os pontos apresentados. << 34
  35. 35. Elaboração da Minuta do Relatório• O relatório tem um padrão e utiliza informações produzidas no planejamento e na execução da auditoria: Preâmbulo do relatório; Objetivos da auditoria; Escopo do trabalho da auditoria; Estrutura do controle interno existente para o processo auditável; Conclusão sobre o controle interno e o trabalho de auditoria; Assunto: Número e Título do Assunto; Evidência identificada: Critério; Condição; Causa; e Conseqüência; Recomendação; Prazos acordados com a unidade recomendada para o atendimento das recomendações ou a apresentação do plano de ação. << 35
  36. 36. Encaminhamento da Minuta do Relatórioda Auditoria para Avaliação• A minuta do relatório da auditoria é encaminhada à unidade auditada para avaliação e apresentação de prazos;• A unidade pode apresentar sugestões e críticas, que podem ser oferecidas por escrito ou em reuniões específicas;• Cabe à equipe de auditoria buscar a melhor solução para os possíveis questionamentos apresentados, observando os princípios éticos que norteiam a profissão de auditor. << 36
  37. 37. Encaminhamento dorelatório às partesinteressadas• O resultado da auditoria registrado em relatórios é encaminhado: à unidade auditada, para conhecimento e providências; ao Diretor da área responsável pela unidade recomendada, para conhecimento; à unidade recomendada, para conhecimento e providências; à Controladoria-Geral da União, para conhecimento, conforme determinação normativa. << 37
  38. 38. Acompanhamento das •Elabora o relatório da auditoria; •Acorda prazo com a unidade recomendada para a apresentação do plano de ação ou a conclusão dasrecomendações de Audit providências; •Encaminha relatório da auditoria à unidade recomendada, na situação “pendente de resposta”;auditoria•Cada recomendação de •Recebe o relatório da auditoria, com as recomendações pendentes; •Descreve o plano de ação, detalhando as principais etapas, com os respectivos prazos; auditoria é acompanhada pela Unidade •Encaminha o plano de ação à Auditoria, no prazo acordado. Caso o prazo não tenha sido suficiente, informa o motivo Recomendada do atraso e solicita novo prazo; Audit;•As recomendações são •Recebe o plano de ação, com o detalhamento das etapas e dos prazos; agregadas por relatório; •Avalia se o controle descrito no plano de ação mitigará o risco observado; •Altera a situação da recomendação; Audit•Os prazos para a conclusão das •Encaminha as conclusões da Auditoria à unidade recomendada; providências são acordados com a unidade recomendada; •Recebe as conclusões da auditoria sobre o plano de ação apresentado; •Executa as ações planejadas;•No vencimento dos prazos, a Unidade Recomendada •Informa à Auditoria o andamento das etapas ou a conclusão do plano de ação; unidade recomendada deve informar à Audit sobre a •Recebe as informações da unidade recomendada sobre o andamento das providências adotadas; conclusão, o andamento ou a •Avalia as informações apresentadas sobre a recomendação da auditoria; •Altera a situação da recomendação, se necessário; motivação do atraso da Audit •Informa as conclusões da Auditoria sobre as providências adotadas; conclusão do plano de ação;•Quadrimestralmente, •Avalia as informações apresentadas pela Auditoria; •Executa o plano de ação e conclui a implantação do controle; conforme voto, o Auditor- Unidade •Informa a conclusão do plano de ação à Auditoria; Recomendada Chefe deverá prestar informações à Diretoria Colegiada, sobre o •Recebe a informação sobre a conclusão do plano de ação; •Avalia as informações apresentadas pela Unidade Recomendada; cumprimento das Audit •Altera a situação da recomendação para “assunto encerrado”. recomendações.
  39. 39. Considerações Finais•A TI é um fator-chave para o alcance dos objetivos do Banco Central, uma vez que suporta os processos críticos de negócio, agregando riscos às operações;•O CobiT 4.1 ampliou a visão da Auditoria Interna e possibilitou uma melhor identificação dos riscos relacionados com a TI e a apresentação de resultados consistentes, com baixo grau de refutação por parte dos auditados;•Os resultados das auditorias estão provocando discussões internas e a identificação da necessidade de evolução da maturidade dos processos e do modelo de governança de TI, que deve estar sustentada pela governança corporativa;•Com a implementação e a evolução da maturidade do processo de auditoria interna de TI, percebemos que, para passar para outro patamar de qualidade dos trabalhos, teremos que investir na certificação de nossos auditores. 39
  40. 40. OBRIGADO PELAATENÇÃO! DÚVIDAS, OBSERVAÇÕES E SUGESTÕES!Contato:cosme.leandro@bcb.gov.br 40

×