1
Curso 01
Auditoria em Projetos de TI: Uma
abordagem prática
Luiz Claudio Diogo Reis, CISA, MCSO
CNASI/SP, 19 de Outubro ...
2
Breve currículo
Luiz Claudio Diogo Reis
Mestrando em Tecnologia – CEFET/RJ
Pós-graduado em Auditoria Interna e de Sistem...
3
Origem dos Projetos de TI
Demanda do mercado
Necessidade organizacional
Solicitação do cliente
Avanço tecnológico
Exigên...
4
O que é Gerenciamento de Projetos
Aplicação de conhecimentos, habilidades, ferramentas e técnicas às
atividades do proje...
5
Melhores Práticas em Gestão de Projetos
PMBOK - Project Management Body of Knowledge
OPM3 – Organizational Project Manag...
6
Ciclo de Vida dos Projetos – Visão PMBOK
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
Iniciação
Pla...
7
Outras Considerações:
Prospectando Novos Cenários em Projetos
Gestão da Governança
Gestão da Ética
Gestão da Cultura/Amb...
8
Principais riscos em Projetos de TI
Estratégico, Imagem, Financeiro, Regulatório, Pessoas
Perda de vantagem competitiva
...
9
Sucesso e falhas em Projetos de TI
Gartner Group
Forrester Group
Global IT Project Management Survey
The Standish Group
...
10
Falhas em Projetos
Auditoria em Projetos de TI: Uma abordagem prática
Fonte: The CHAOS Report 2009
SP, 19/10/2010
1
Ava...
11
Falhas em Projetos de TI
Auditoria em Projetos de TI: Uma abordagem prática
0
20
40
60
80
100
120
Requirem
ents
Design
...
12
Gerência de Riscos de Projetos
Auditoria em Projetos de TI: Uma abordagem prática
Planejamento da gerência de
riscos
Id...
13
COBIT 4.1: PO10 - O Processo Gerenciar Projetos
PO10 Gerenciar Projetos
PO10.1 Estrutura de Gestão de Programas
PO10.2 ...
14
Por que auditar Projetos de TI?
Atividades que envolvem ...
Complexidade que impacta o negócio e TI
Alto investimento f...
15
Etapas do Planejamento de Auditoria em Projetos de TI
Auditoria em Projetos de TI: Uma abordagem prática
Gestão de
Proj...
16
Princípios, práticas e guias de auditoria na Gestão de Projetos
Definição do papel: Assurance ou consultoria
Atuação co...
17
Tipos de Auditoria em Projetos de TI
Avaliação dos riscos dos projetos
Pontuais (Pré-lançamento ou "marcos" do projeto)...
18
Visão Sistêmica dos Componentes do Framework
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
Gestão d...
19
Principais objetivos do Framework
Avaliar a adequação do processo de gestão de projetos da organização
ao longo do seu ...
20
Governança, Risco e Controle
Aspecto relevante:
Há processos e procedimentos estruturados para aprovar
e gerir os proje...
21
Gestão da Capacidade Organizacional
Outras considerações:
Engloba as atividades de TI e Negócio
Não pode ser subestimad...
22
Bussiness Case
Aspectos relevantes:
O "Bcase" fornece informações suficientes para tomada de decisão segura acerca
do i...
23
Bussiness Case
Questões complementares:
Foram identificados os fatores determinantes para realização do Bcase
Há expert...
24
Metodologia de Gerenciamento de Projetos
Aspectos relevantes:
Será que a organização utilizada as melhores práticas de ...
25
Metodologia de Gerenciamento de Projetos:
Planejamento
Questões complementares:
A falta de um planejamento adequado pod...
26
Metodologia de Gerenciamento de Projetos:
Gerenciamento de Riscos
Questões complementares:
Parte integrante do processo...
27
Metodologia de Gerenciamento de Projetos:
Estrutura e Gestão
Gestão Interna: Questões complementares:
A estrutura de ge...
28
Metodologia de Gerenciamento de Projetos:
Estrutura e Gestão
Gestão de Terceiros: Questões complementares
Há um process...
29
Metodologia de Gerenciamento de Projetos:
Indicadores de Desempenho
Questões complementares:
Comunicação oportuna do st...
30
Implantação
Aspectos relevantes:
Há uma gestão de marcos críticos identificados e desenvolvidos e um efetivo
processo f...
31
Pós-implantação
Questões complementares:
Estabelecimento de um período de estabilidade (transição), de três a seis mese...
32
Possíveis achados de auditoria
Falhas na definição de requisitos de negócio
Falta de apoio da alta administração da org...
33
Conclusão/Reflexão:
Quando devemos auditar os projetos?
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/20...
34
Obrigado!
Luiz Claudio Diogo Reis, CISA, MCSO
lcdreis@terra.com.br, lcdreis (Skype)
lcdreis@audicaixa.org.br
luiz.reis@...
Próximos SlideShares
Carregando em…5
×

C 01 auditoria_projetos_uma_abord_pratica_luiz_diogo_reis_cef_19_10_cnsp_2010

2.466 visualizações

Publicada em

  • Seja o primeiro a comentar

C 01 auditoria_projetos_uma_abord_pratica_luiz_diogo_reis_cef_19_10_cnsp_2010

  1. 1. 1 Curso 01 Auditoria em Projetos de TI: Uma abordagem prática Luiz Claudio Diogo Reis, CISA, MCSO CNASI/SP, 19 de Outubro 2010 Principais tópicos Melhores práticas e conceitos essenciais em gestão de projetos Estatísticas sobre falhas em projetos Fatores de riscos no gerenciamento de projetos de TI Fundamentos de auditoria de TI na gestão de projetos Framework de auditoria em projetos de TI Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  2. 2. 2 Breve currículo Luiz Claudio Diogo Reis Mestrando em Tecnologia – CEFET/RJ Pós-graduado em Auditoria Interna e de Sistemas Informatizados MBA em Gestão de TI e Negócios Virtuais Graduado em Matemática e Língua Inglesa MCSO - Modulo Certified Security Officer CISA - Certified Information System Auditor 12 anos de experiência em auditoria operacional, de processos e de TI Aplicação dos framework COBIT, ITIL, PMBOK e NBR ISO/IEC 27002 Palestrante/instrutor do CNASI/RJ/DF/SP em 2009 e 2010 Instrutor da Universidade Corporativa CAIXA Diretor Suplente ISACA – Capítulo Rio de Janeiro Pesquisas: Gestão de Riscos, Governança e TIC na Educação Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Conceitos essenciais em Gestão de Projetos O que é um Projeto? Esforço empreendido para criar um produto, serviço ou resultado exclusivo. Empreendimento temporário com o objetivo de criar um produto ou serviço único. Processo Atividades Objetivo O que é um Projeto de TI? Engloba uma solução de tecnologia. Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  3. 3. 3 Origem dos Projetos de TI Demanda do mercado Necessidade organizacional Solicitação do cliente Avanço tecnológico Exigência legal Necessidade social ... Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Projetos de TI e a Estratégia Organizacional Qual é a relação entre Projetos de TI e o Plano Estratégico? Auxiliar a organização no atendimento da estratégia organizacional Qual é o papel principal da auditoria nesse processo? Análise de riscos RISCO ESTRATÉGICO Alinhamento às metas da organização Visa o atendimento dos resultados esperados Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  4. 4. 4 O que é Gerenciamento de Projetos Aplicação de conhecimentos, habilidades, ferramentas e técnicas às atividades do projeto a fim de atender aos seus requisitos. Engloba ações de planejamento, execução e acompanhamento do projeto. Auditoria em Projetos de TI: Uma abordagem prática Planejamento Execução Controle SP, 19/10/2010 1 Restrições na Gestão de Projetos Auditoria em Projetos de TI: Uma abordagem prática Qualidade Tempo OBJETIVO Incerteza Contexto externo Contexto interno SP, 19/10/2010 1
  5. 5. 5 Melhores Práticas em Gestão de Projetos PMBOK - Project Management Body of Knowledge OPM3 – Organizational Project Management Maturity Model PRINCE2 – Project in Controlled Environments P3M3 – Portfolio, Programme and Project Management Maturity Model CMMI – Capability Maturity Model Integration ISO 9001:2000 – Sistema de Gestão da Qualidade ISO/IEC 12207 – Processos do Ciclo de Vida do Software Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Melhores Práticas em Gestão de Projetos (Cont.) MR mps – Modelo Brasileiro para Melhoria do Processo de Software RUP – Rational Unified Process Gerenciamento Ágil com SCRUM IPMA Competence Baseline (ICB) – International Project Management Association Referencial Brasileiro de Competências (RBC) – Associação Brasileira de Gerenciamento de Projetos Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  6. 6. 6 Ciclo de Vida dos Projetos – Visão PMBOK Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 Iniciação Planejamento Execução Controle Encerramento Planejamento Execução Controle Planejamento Execução Controle Encerramento Iniciação Planejamento Controle Execução Controle Entradas Saídas 1 Áreas de Conhecimento do PMBOK Auditoria em Projetos de TI: Uma abordagem prática INTEGRAÇÃO Pessoas Escopo Comunicação Tempo Riscos Custo Aquisições Qualidade SP, 19/10/2010 1
  7. 7. 7 Outras Considerações: Prospectando Novos Cenários em Projetos Gestão da Governança Gestão da Ética Gestão da Cultura/Ambiente Organizacional Gestão da Sustentabilidade (Tripple Bottom Line) Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Riscos em Projetos Evento ou condição incerta que, se ocorrer, tem um efeito positivo ou negativo sobre ao menos um dos objetivos do projeto. Possibilidade de um projeto não se realizar de acordo com os objetivos (especificações, requisitos, tempo, custos, etc.) e com as condições externas. Caso ocorram desvios, estes podem ser de difícil aceitação ou até mesmo inaceitáveis. Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  8. 8. 8 Principais riscos em Projetos de TI Estratégico, Imagem, Financeiro, Regulatório, Pessoas Perda de vantagem competitiva Atrasos na implantação de iniciativas estratégicas Perda de negócios estratégicos Impacto negativo na reputação da organização Rompimento de serviços aos clientes Perda de acionistas/investidores Perdas de receitas e de ROI Inconformidade regulamentar Perda de pessoal qualificado Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Riscos em Projetos Auditoria em Projetos de TI: Uma abordagem prática Fonte: Effective opportunity management for projects, David Hillson SP, 19/10/2010 1
  9. 9. 9 Sucesso e falhas em Projetos de TI Gartner Group Forrester Group Global IT Project Management Survey The Standish Group Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 SP, 19/10/2010 Falhas em Projetos de TI Auditoria em Projetos de TI: Uma abordagem prática 1
  10. 10. 10 Falhas em Projetos Auditoria em Projetos de TI: Uma abordagem prática Fonte: The CHAOS Report 2009 SP, 19/10/2010 1 Avaliação de Impacto de Risco nos Principais Objetivos do Projeto Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 Fonte: PMBOK 1
  11. 11. 11 Falhas em Projetos de TI Auditoria em Projetos de TI: Uma abordagem prática 0 20 40 60 80 100 120 Requirem ents Design C ode TestM aintenance $1 $5 $20 $50 $100 Phase when error is found and fixed CosttoFix($) Fonte: Software Verification and Validation for Practitioners and Managers SP, 19/10/2010 1 Principais fatores de sucesso em Projetos de TI 1 – Envolvimento do usuário 2 – Apoio da Alta Administração 3 – Objetivos de negócios bem definidos 4 – Maturidade emocional 5 – Otimização das entregas 6 – Processo ágil 7 – Expertise do gerente de projeto 8 – Habilidade em gerenciar recursos 9 – Execução (Metodologia de GP, Custos e Riscos) 10 – Ferramentas e infraestrutura Auditoria em Projetos de TI: Uma abordagem prática Fonte: The CHAOS Report 2009 AUDITORIA SP, 19/10/2010 1
  12. 12. 12 Gerência de Riscos de Projetos Auditoria em Projetos de TI: Uma abordagem prática Planejamento da gerência de riscos Identificação dos riscos Análise dos riscos (qualitativa e/ou quantitativa) Planejamento de resposta a riscos Controle e monitoração de riscos SP, 19/10/2010 1 Auditoria e Melhores Práticas em Gestão de Projetos COBIT 4.1: PO10 Gerenciar Projetos Estabelecer um programa e uma estrutura de gestão de projeto para o gerenciamento dos projetos de TI, de forma a assegurar a priorização e a coordenação dos projetos. Fonte: www.isaca.org Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  13. 13. 13 COBIT 4.1: PO10 - O Processo Gerenciar Projetos PO10 Gerenciar Projetos PO10.1 Estrutura de Gestão de Programas PO10.2 Estrutura de Gestão de Projetos PO10.3 Abordagem da Gestão de Projetos PO10.4 Comprometimento das Partes Interessadas PO10.5 Declaração do Escopo do Projeto PO10.6 Fase de Início do Projeto PO10.7 Plano Integrado de Projeto PO10.8 Recursos do Projeto PO10.9 Gestão de Risco do Projeto PO10.10 Plano de Qualidade de Projeto PO10.11 Controle de Mudança de Projeto PO10.12 Planejamento de Métodos de Validação PO10.13 Medição de Desempenho, Monitoramento e Reporte do Projeto PO10.14 Conclusão do Projeto Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 Fonte: www.isaca.org 1 Propósitos e benefícios do processo "Auditar Projetos" Identificação tempestiva dos riscos (fases preliminares) Avaliação independente acerca do atingimento do objetivo do projeto Agregar valor ao avaliar a efetividade da gestão do projeto (TI e Negócios) Aplicabilidade dos princípios de governança, gestão de riscos e controle (GRC em Projetos) Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  14. 14. 14 Por que auditar Projetos de TI? Atividades que envolvem ... Complexidade que impacta o negócio e TI Alto investimento financeiro Processo sistêmico de gestão de riscos, em especial o ESTRATÉGICO Realização de objetivos estratégicos da organização Automatização e melhoria de processos essenciais Adequação a requerimentos legais Realização de novos negócios ... Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Planejamento de auditoria em Projetos de TI Premissas ... Top down approach (Audit Charter) Derivado do planejamento global das atividades de auditoria Plano envolvendo aspectos organizacionais e de TI Foco: riscos dos projetos, controle interno e metodologia de gerenciamento de projetos Trilogia: pessoas, processos e tecnologia Identificação dos projetos "auditáveis" e por quê (atributos) Tipo de abordagem de auditoria a ser utilizada Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  15. 15. 15 Etapas do Planejamento de Auditoria em Projetos de TI Auditoria em Projetos de TI: Uma abordagem prática Gestão de Projetos Universo de Projetos de TI Processo de Avaliação de Risco Formaliza o Plano de auditoria Metodologia de Gerenciamento de Projetos Estrutura de governança Identificação dos projetos Geração de lista Identificação, análise e avaliação de fatores de riscos Ranking de projetos por fatores de riscos Plano estruturado de auditoria em riscos Seleção dos projetos para auditagem Utilização de uma abordagem de auditoria apropriada SP, 19/10/2010 Cenário impactante/dificultador para a auditoria Indisponibilidade de um inventário completo e acurado Projetos dispersos pela organização Falta de implantação de um processo de governança em projetos Excesso de confiança da gerência de projeto Falta de conhecimento acerca do papel da auditoria na gestão de projetos Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  16. 16. 16 Princípios, práticas e guias de auditoria na Gestão de Projetos Definição do papel: Assurance ou consultoria Atuação com independência e imparcialidade Momento de atuação considerando as etapas do GP e do SDLC ISACA - G17 Effect of non-audit roles on the IS Auditor`s independence ISACA - G23 System Development Life Cycle (SDLC) Review Reviews ISACA - G29 Post-implementation Review Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Do ponto de vista da auditoria externa ... Impacto nos projetos da organização Aspectos Financeiros Aspectos Regulamentares Aspectos Organizacionais Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  17. 17. 17 Tipos de Auditoria em Projetos de TI Avaliação dos riscos dos projetos Pontuais (Pré-lançamento ou "marcos" do projeto) Ao longo das fases do ciclo de vida do projeto Metodologia de Gerenciamento de Projetos Implantação Pós-implantação Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 SP, 19/10/2010 Auditoria em Projetos de TI: Uma abordagem prática Pós-implantação Implantação Metodologiade GestãodeProjetos Desenvolvimento daSoluçãodeTI Governança, Risco e Controle BusinessCase andITAlignment Gestão da Capacidade Organizacional Framework de Auditoria na Gestão de Projetos de TI 1
  18. 18. 18 Visão Sistêmica dos Componentes do Framework Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 Gestão do Portfólio de Programas Governança, Risco e Controle Gestão da Capacidade Organizacional Business Case and IT Alignment Metodologia de Gerenciamento de Projetos Planejamento Gerenciamento de Riscos Estrutura e Gestão - Interna e de Terceiros Indicadores de desempenho Desenvolvimento da Solução técnica de TI Requisitos Segurança Testes Implantação Pós-implantação 1 Auditoria em Projetos de TI: Uma abordagem prática Finanças Logística PessoalMarketing Negócios, Processos e Atividades Projetos de TI Aplicações Infraestrutura Upgrade Inovação Metodologia de Gerenciamento de Projetos Contexto InternoPMO Stakeholders Práticas de Gerenciamento de Projetos SDLC RAD Estruturada OO Alinhamento entre Negócio e TI Políticas Estrutura Controles: • Acesso Lógico • Processamento • BD • Transmissão
  19. 19. 19 Principais objetivos do Framework Avaliar a adequação do processo de gestão de projetos da organização ao longo do seu ciclo de vida, com ênfase para as atividades de aprovação, gerenciamento e o relacionamento com as diversas partes interessadas, de forma determinar se os projetos incorporam os elementos essenciais para serem bem sucedidos. Determinar se os business cases identificam claramente os resultados esperados dos projetos e como eles ajudam a satisfazer, a um custo razoável, as necessidades de negócios. Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Gestão do Portfólio de Programas Aspectos relevantes: Representa o conjunto de projetos vigentes na organização Auxilia nas tarefas de gestão dos projetos Propicia o alinhamento dos projetos à estratégia Acompanha a utilização dos recursos nos projetos Constitui um mix de projetos para a gestão de riscos (Indicadores) Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  20. 20. 20 Governança, Risco e Controle Aspecto relevante: Há processos e procedimentos estruturados para aprovar e gerir os projetos de TI? Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Gestão da Capacidade Organizacional Aspectos relevantes: Será que a área de TI tem pessoas com experiência e habilidades necessárias para gerenciar o projeto? Será que a organização (unidade de negócio) tem a capacidade de utilizar todos os recursos do sistema implementado pelo projeto para melhorar a maneira que faz o negócio? Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  21. 21. 21 Gestão da Capacidade Organizacional Outras considerações: Engloba as atividades de TI e Negócio Não pode ser subestimado desde o início do projeto Como o projeto irá mudar a forma como as pessoas trabalham Identificação do público alvo Treinamento dos colaboradores Como se dará o gerenciamento da mudança na organização Importância da comunicação entre as partes envolvidas no projeto Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Bussiness Case O resultado de um "Bcase" de qualidade é uma decisão tomada pela gerência baseada em uma correta e completa análise do projeto de negócio proposto no atual ambiente da organização. Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  22. 22. 22 Bussiness Case Aspectos relevantes: O "Bcase" fornece informações suficientes para tomada de decisão segura acerca do investimento? A organização tem a capacidade de mudança, os recursos e as habilidades para ter sucesso no projeto descrito no "Bcase"? Houve consulta e participação ativa dos stakeholders em termos de requisitos e resultados esperados do projeto para a construção do Bcase? Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Bussiness Case Questões complementares: O Bcase está alinhado à estratégia organizacional Os benefícios do projeto compensam o investimento O resultado do projeto está definido Foi efetuada uma análise de risco Foi efetuado um estudo de viabilidade para o projeto O escopo do projeto está claramente definido Há definição de critérios de desempenho para o projeto Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  23. 23. 23 Bussiness Case Questões complementares: Foram identificados os fatores determinantes para realização do Bcase Há expertise no desenvolvimento do projeto pelas pessoas envolvidas Qual é o impacto de não executar o projeto? Alinhamento entre TI e Negócio: Há alinhamento entre as atividades de TI e a necessidade de Negócio. E mais... O alinhamento entre TI e Negócio é mantido ao longo do projeto Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Metodologia de Gerenciamento de Projetos Considerações iniciais: É baseada nas melhores práticas Contempla métodos, padrões, políticas, estruturas, atribuições e responsabilidades Permeia a gestão de portfólios de programas e funciona como um alicerce para cada projeto individual É ajustada ao porte do projeto (tamanho, tipo, necessidade). Contempla indicadores de desempenho para os projetos Suporta um repositório de lições aprendidas Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  24. 24. 24 Metodologia de Gerenciamento de Projetos Aspectos relevantes: Será que a organização utilizada as melhores práticas de gestão de projetos para as atividades de gerenciamento? Principais norteadores: Planejamento do Projeto Gerenciamento de Riscos Estrutura e Gestão Indicadores de Desempenho Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Metodologia de Gerenciamento de Projetos: Planejamento Aspectos relevantes O processo de planejamento de projetos é capaz de identificar adequadamente os riscos, as tarefas, as estimativas de tempo, os resultados, as metas e os recursos/competências necessárias para concluir o projeto? O processo de planejamento do projeto considera se os participantes do projeto são adequadamente treinados no desenvolvimento de projetos e na metodologia de gestão? A gestão previu treinamento oportuno para os usuários de negócios e de TI no desenvolvimento e na utilização do sistema? Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010
  25. 25. 25 Metodologia de Gerenciamento de Projetos: Planejamento Questões complementares: A falta de um planejamento adequado pode gerar falhas no projeto Há de se elaborar um plano completo, entendido e apoiado por todos os stakeholders, considerando as restriçoes do projeto e as entregas Previsão de treinamento das pessoas ao longo do ciclo de vida do projeto A equipe do projeto possui habilidades na metodologia utilizada Há uma infraestrutura apropriada para a gestão do projeto Há previsão de testes de aceitação dos usuários Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010 Metodologia de Gerenciamento de Projetos: Gerenciamento de Riscos Aspectos relevantes Existe um processo eficaz capaz de permitir a identificação, o controle e a comunicação dos riscos do projeto para auxiliar a tomada de decisão da gerência? Há um processo efetivo implementado para lidar com mudanças previstas e para gerenciar as alterações de escopo? Há um processo efetivo implementado para identificar e resolver conflitos no projeto que possam surgir durante ciclo de vida do projeto? Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010
  26. 26. 26 Metodologia de Gerenciamento de Projetos: Gerenciamento de Riscos Questões complementares: Parte integrante do processo de gerenciamento do projeto Processo de identificação e monitoramento de riscos (contexto interno e externo) Há identificação dos tipos de riscos (de negócios, de tecnologia, do produto, etc.) Há procedimentos de controle de mudança de escopo Há um processo de gestão de mudanças ao longo do projeto para avaliar o impacto nos requisitos Há um processo para resolução de conflitos. Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010 Metodologia de Gerenciamento de Projetos: Estrutura e Gestão Gestão Interna: Aspectos relevantes Existem processos para garantir que todas as funções, papéis e responsabilidades do projeto estão definidas e foram identificadas, além disso, os papéis e as responsabilidades de todos participantes do projeto têm sido efetivamente atribuídos, comunicados e monitorados? Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010
  27. 27. 27 Metodologia de Gerenciamento de Projetos: Estrutura e Gestão Gestão Interna: Questões complementares: A estrutura de gestão do projeto está adequada ao porte do projeto Há identificação e participação das partes envolvidas com o projeto Há definição de atribuições e responsabilidades Há motivação da equipe do projeto pela gerência Há acompanhamento tempestivo do projeto Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010 Metodologia de Gerenciamento de Projetos: Estrutura e Gestão Gestão de Terceiros: Aspectos relevantes Existem procedimentos para assegurar que a gestão de terceiros está alinhada à organização? Há processos em andamento para garantir que a operacionalização dos serviços terceirizados e controle interno de entregas são planejados, comunicados e acordados entre as partes? Há processos implantados para garantir a transferência de conhecimento? Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010
  28. 28. 28 Metodologia de Gerenciamento de Projetos: Estrutura e Gestão Gestão de Terceiros: Questões complementares Há um processo de qualificação do provedor de serviço A gerência de relacionamento funciona como um fator chave de sucesso para negociação das entregas e atendimento do cronograma Foi implementado um processo contínuo de transferência de conhecimento durante o ciclo de vida do projeto Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010 Metodologia de Gerenciamento de Projetos: Indicadores de Desempenho Aspectos relevantes: Como é que a organização assegura que as competências necessárias, experiências, informações oportunas e ferramentas de gerenciamento de projetos estão em curso para controlar e medir a performance do projeto? Como é que a Alta Administração e o Conselho são comunicados, em tempo hábil, acerca do progresso do projeto, mudanças no apetite de risco e demais questões emergentes? Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010
  29. 29. 29 Metodologia de Gerenciamento de Projetos: Indicadores de Desempenho Questões complementares: Comunicação oportuna do status do projeto "Red flags" devem ser acionados tempestivamente para tomada de decisão Adoção do PMO – Project Manangement Officer Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010 Desenvolvimento da Solução Técnica de TI Aspectos relevantes em termos de SI: Elaboração de requisitos funcionais e não funcionais Assegurar que o desenho de solução que atenda aos requerimentos de negócio Assegurar o desenvolvimeto de solução segura Teste! Teste! Teste! – Plano estratégico de testes Assegurar um processo formal de aprovação do usuário Auditoria em Projetos de TI: Uma abordagem prática Requerimento Desenho Codificação Teste Implantação Manutenção 1 SP, 19/10/2010
  30. 30. 30 Implantação Aspectos relevantes: Há uma gestão de marcos críticos identificados e desenvolvidos e um efetivo processo formal, incluindo critérios claros para fornecer decisões de implantação na conclusão de cada etapa do projeto? Que contingências e estratégias de "fall-back" têm sido desenvolvidas para mitigar o risco dos níveis de serviço a clientes, no caso de falha de uma implementação? Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010 Pós-implantação Aspectos relevantes: Existe uma definição clara da conclusão do projeto para garantir que a equipe do projeto seja dissolvida no momento certo? Há planos para realizar uma comparação final de reais custos e benefícios alcançados com o caso original do negócio proposto? Existe um processo em vigor para a organização capturar significativa lições aprendidas durante a vida do projeto, a fim para atenuar os riscos para os projetos futuros? Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  31. 31. 31 Pós-implantação Questões complementares: Estabelecimento de um período de estabilidade (transição), de três a seis meses Identificação de indicadores até o período de normalidade Identificação dos riscos (resistência a mudanças, as pessoas efetivamente entendem o sistema e suas funções) Como vai se dá a implementação de novos processos Identificação de serviços a desenvolver pela equipe do projeto Retenção do conhecimento do projeto – "Lessons learned" para serem utilizadas em projetos futuros Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Momentos cruciais de atuação da auditoria no processo... Na fase final do processo de negócios e/ou análise do plano de projeto, ou no mínimo, antes que sejam investidos recursos significativos. Ao longo do ciclo de vida do projeto, a intervalos regulares, particularmente em marcos do projeto, para garantir que o projeto irá atender os objetivos do negócio, mitigar os riscos e garantir o retorno sobre o investimento. Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  32. 32. 32 Possíveis achados de auditoria Falhas na definição de requisitos de negócio Falta de apoio da alta administração da organização, da gerência sênior e dos proprietários do projeto Falta de recursos experientes nas equipes de projeto Falta de envolvimento efetivo por parte dos usuários Falta de controle sobre as aprovações em cada etapa do SDLC Falta de um plano de testes estruturado ... ... Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1 Considerações Finais: AchievingAchievingAchievingAchieving successsuccesssuccesssuccess isisisis aaaa significantsignificantsignificantsignificant challengechallengechallengechallenge forforforfor management,management,management,management, asasasas wellwellwellwell asasasas forforforfor thethethethe boardboardboardboard ofofofof directorsdirectorsdirectorsdirectors inininin theirtheirtheirtheir oversightoversightoversightoversight rolerolerolerole.... AndAndAndAnd whatwhatwhatwhat aboutaboutaboutabout (us)(us)(us)(us) auditors?auditors?auditors?auditors? Avaliar o gerenciamento de riscos, ROI e diretrizes estratégicas da organização Agregar esforços (independente) para atuar como parceiro na gestão de projetos Auditoria em Projetos de TI: Uma abordagem prática 1 SP, 19/10/2010
  33. 33. 33 Conclusão/Reflexão: Quando devemos auditar os projetos? Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 0 20 40 60 80 100 120 R equirem ents D esign C ode TestM aintenance $1 $5 $20 $50 $100 Phase when error is found and fixed CosttoFix($) 1 Auditoria em Projetos de TI: Uma abordagem prática SP, 19/10/2010 1
  34. 34. 34 Obrigado! Luiz Claudio Diogo Reis, CISA, MCSO lcdreis@terra.com.br, lcdreis (Skype) lcdreis@audicaixa.org.br luiz.reis@caixa.gov.br (21)9954-4789 SP, 19/10/2010

×