Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Auditoria em TI:
Alternativas de Implementao no Processo de Auditoria do TCE-RS
PORTO ALEGRE
2008
RESUMO
ABSTRACT
The use of the computer resources has facilitated the performance of the institutions in
their areas of expertise. Before data stored on paper and manual procedures carried out today are
all done by computer. As a reflection of this change, the external control, which was previously
exercised by the audit data on paper also had to change. The growing computerization of
organizations demanding special attention, since the use of information technology for handling
and storage of data introduces new risks and increases the fragility of some activities. Thus, it is
essential to the performance of external control on security issues in information technology and
the quality of systems of institutions. This work will be addressed concepts related to the area of
IT and relevant issues within the context of auditing in information technology, extending the
scope of the audit systems.
Keywords: IT Auditing; Risk Management; Auditing Methodology.
ndice
Lista de Figuras ............................................................................................................................... 9
1 INTRODUO.......................................................................................................................... 10
1.1 Motivao ............................................................................................................................ 10
1.2 Objetivos.............................................................................................................................. 11
1.3 Organizao deste documento ............................................................................................. 11
2 TEMAS RELEVANTES RELACIONADOS AUDITORIA EM TI..................................... 13
2.1 Gesto de Riscos.................................................................................................................. 13
2.2 Auditoria de Compliance..................................................................................................... 14
2.3 Business Intelligence ........................................................................................................... 16
2.4 Malha Fina Receita Federal.............................................................................................. 17
2.5 Forense Computacional ....................................................................................................... 18
2.6 Auditoria de Softwares Aplicativos..................................................................................... 19
2.7 Minerao de Dados ............................................................................................................ 20
2.8 Controle Interno................................................................................................................... 21
2.8.1 Ambiente de Controle ....................................................................................................... 22
2.8.2 Avaliao e Gerenciamento dos Riscos............................................................................ 22
2.8.3 Atividade de Controle....................................................................................................... 23
2.8.4 Informao e Comunicao ............................................................................................. 23
2.8.5 Monitoramento ................................................................................................................. 24
2.9 Educao Distncia (EAD)............................................................................................... 25
3 AUDITORIA EM TI, NECESSIDADES E EXPERINCIAS.................................................. 27
3.1 Reunio realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidores envolvidos
com o SIAPC ............................................................................................................................. 27
3.2 Reunio realizada em 07/07/2006 entre o grupo de pesquisa em TI e servidores do SAM 29
3.3 Apresentao realizada em 28/08/2006 sobre Business Intelligence (BI)........................... 30
3.4 Reunio realizada em 22/09/2006 entre o grupo de pesquisa em TI e representante da
Mdulo ...................................................................................................................................... 31
3.5 Apresentao realizada em 02/10/2006 sobre Audit Control Language (ACL) ................. 31
3.6 Reunio realizada em 13/11/2006 entre o grupo de pesquisa em TI e representantes de
reas com aes no PET e PROMOEX na rea de auditoria em TI.......................................... 32
3.7 Proposta de aperfeioamento do sistema de auditorias da rea municipal no mbito do
TCE-RS ..................................................................................................................................... 33
3.8 Auditoria em TI em outros TCs........................................................................................... 34
3.8.1 Experincia do Tribunal de Contas do Estado de Pernambuco ...................................... 35
3.8.2 Experincia do Tribunal de Contas da Unio.................................................................. 39
3.8.3 Experincia do Tribunal de Contas do Estado do Paran............................................... 45
4 AUDITORIA EM TI PROPOSTAS DE IMPLEMENTAO NO TCE-RS ........................ 46
5 CONCLUSO............................................................................................................................ 50
6 BIBLIOGRAFIA ........................................................................................................................ 51
Lista de Figuras
Figura 1: Auditoria de Compliance ............................................................................................... 15
Figura 2: Business Intelligence...................................................................................................... 17
Figura 3: Forense Computacional ................................................................................................. 19
Figura 4: Minerao de Dados ...................................................................................................... 20
Figura 5: Educao Distncia no TCU ....................................................................................... 26
Figura 6: Exemplo de checklist utilizado no TCE-PE................................................................... 35
Figura 7: Escopo de atuao de TI no controle externo ................................................................ 38
Figura 8: Importncia do gerenciamento de risco nos TCEs......................................................... 38
Figura 9: Histrico de Auditoria em TI no TCU ........................................................................... 39
Figura 10: Estrutura organizacional da SEFTI .............................................................................. 40
Figura 11: Normas e padres utilizados pelo TCU ....................................................................... 41
Figura 12: Mtodo de auditoria em TI utilizado pelo TCU........................................................... 42
Figura 13: Exemplo de matriz de planejamento............................................................................ 43
Figura 14: Exemplo de matriz de procedimentos.......................................................................... 44
Figura 15: Exemplo de matriz de achados..................................................................................... 44
Figura 16: Portal de controle social (http://www.controlesocial.pr.gov.br/)................................. 45
10
1 INTRODUO
1.1 Motivao
11
1.2 Objetivos
1 Introduo
12
6 Bibliografia
13
14
15
16
mitigar riscos aos negcios, evitar a ocorrncia de fraudes ou ter meios de identificar
quando elas ocorrem, garantindo a transparncia na gesto das empresas.
2. ISO 9000: uma concentrao de normas que formam um modelo de gesto da
qualidade para organizaes que podem, se desejarem, certificar seus sistemas de
gesto atravs de organismos de certificao.
17
18
Aps a entrega das declaraes, inicia-se a fase de processamento eletrnico das mesmas.
Nesta fase so realizadas seqncias de verificaes para identificar erros de preenchimento e
inconsistncia das informaes apresentadas que podem caracterizar infrao legislao
tributria.
A incidncia da declarao em parmetros de malha, em situaes especficas, interrompe
o processamento at a soluo dos problemas detectados, o que pode ser feito internamente pela
SRF ou, nos casos em que necessria a participao do contribuinte, mediante intimao para
apresentao de informaes e documentos.
A no apresentao das informaes e documentos solicitados, ou o no atendimento s
intimaes expedidas pelos Auditores-Fiscais da Receita Federal, implica na constituio do
crdito tributrio sobre as divergncias constatadas, mediante a emisso de auto de infrao.
19
20
Minerao de dados (tambm conhecida pelo termo ingls data mining) o processo de
explorar grandes quantidades de dados procura de padres consistentes, como regras de
associao ou seqncias temporais, para detectar relacionamentos sistemticos entre variveis,
detectando assim novos subconjuntos de dados.
Esta tecnologia formada por um conjunto de ferramentas que atravs do uso de
algoritmos de aprendizagem ou baseados em redes neurais e estatstica, so capazes de explorar
um grande conjunto de dados, extraindo destes conhecimento na forma de hipteses e de regras.
Diariamente as empresas acumulam diversos dados nas suas bases de dados, inclusive com dados
e hbitos de seus clientes. Todos estes dados podem contribuir com a empresa, sugerindo
tendncias e particularidades pertinentes a ela e seu meio ambiente interno e externo, visando
uma rpida ao de seus gestores. Na figura 4 podemos verificar como funciona o processo de
minerao de dados.
21
Controle Interno um processo, desenvolvido para garantir, com razovel certeza, que
sejam atingidos os objetivos da empresa, nas seguintes categorias:
22
Ambiente de Controle;
Atividade de Controle;
Informao e Comunicao;
Monitoramento.
O ambiente de controle define o tom de uma organizao. Ele a base para todos os
outros componentes internos de controle, proporcionando disciplina e estrutura. Fatores de
controle incluem o meio ambiente, integridade, valores ticos e competncia dos membros da
entidade.
A postura da alta administrao desempenha papel determinante neste componente. Ela
deve deixar claro para seus comandados quais so as polticas, procedimentos, cdigo de tica e
cdigo de conduta a serem adotados. Estas definies podem ser feitas de maneira formal ou
informal, o importante que sejam claras aos funcionrios da organizao.
23
podemos elencar: a identificao do ativo, o risco que este ativo est sujeito, o impacto que a
instituio sofrer caso o risco ocorra, o tratamento dos riscos e a comunicao da ocorrncia do
risco.
24
2.8.5 Monitoramento
25
26
externos compartilhando determinadas aulas, um professor de fora "entrando" com sua imagem e
voz, na aula de outro professor. Haver assim, um intercmbio maior de saberes, possibilitando
que cada professor colabore, com seus conhecimentos especficos, no processo de construo do
conhecimento, muitas vezes distncia. 9
Na figura 5 podemos visualizar a interface de educao distancia utilizada pelo Tribunal
de Contas da Unio (TCU).
27
28
Responsabilidade Fiscal (LRF) e da Gesto Fiscal, gerao de vrios relatrios para auditoria
externa e acompanhamento das Prestaes de Contas.
O SIAPC a maior fonte de informaes sobre os entes auditados. Suas informaes so
a principal fonte de material para o preparo das auditorias em campo. Levando este fato em
considerao, o grupo de pesquisa sobre auditoria em TI reuniu-se com os integrantes da equipe
responsvel pelo acompanhamento e desenvolvimento de melhorias neste sistema para investigar
o que seria esperado de um processo de auditoria em TI no TCE-RS. A seguir os principais
elementos obtidos desta reunio:
Confronto dos empenhos informados via TXT com empenhos existentes nos sistemas
informatizados das auditadas;
29
30
31
Visando avaliar ferramentas para auxlio no processo de auditoria em TI, foi convidada a
empresa Tech Supply para que apresentasse a ferramenta ACL. A apresentao foi feita pelo Sr.
Valdomiro Dalberto Junior. Um breve resumo do que foi apresentado:
32
Ao fornecer uma combinao nica e poderosa de acesso aos dados, anlise e relatrios
integrados, a soluo ACL l e compara dados empresariais, quaisquer dados, bancos de dados
simples ou relacionais, planilhas eletrnicas, arquivos de relatrios, em computadores ou
servidores, permitindo que os dados de origem permaneam intactos para que se mantenha a sua
total qualidade e integridade.
Usada como um aplicativo autnomo de computador e/ou como o cliente com o software
de Edio do Servidor, a soluo ACL utiliza uma nica e consistente interface de cliente e
fornece acesso fcil e imediato aos dados. Por exemplo, com somente alguns cliques, possvel
passar da anlise de dados do servidor para informaes armazenadas em mainframes, para dados
de sistemas contbeis ou para computadores conectados em rede. Isso assegura um desempenho
otimizado e uma flexibilidade tima no acesso de novas fontes de dados.
Os comandos oferecem uma variedade completa de ferramentas de anlise, desde simples
classificaes at testes complexos, j estando pr-programados na ferramenta.
A ferramenta ACL utilizada pelas mais conhecidas empresas de auditoria independentes
em mais de 100 pases.
33
auditoria de sistemas informatizados, visando identificar possveis fraudes atravs de erros nos
sistemas ou m f do auditado, ou ainda, na confrontao dos dados enviados para o TCE (via
sistema SIAPC) com dados obtidos diretamente nos sistemas dos auditados.
Outra viso surgida foi o uso da auditoria em TI com atuao especfica na parte de
verificao de procedimentos de segurana da informao (controles de acesso, backup,
segurana da rede de computadores, etc.) que poderia reverter para o TCE no aspecto da
qualidade e integridade das informaes fornecidas.
No transcorrer da reunio vrios aspectos foram discutidos, chegando-se concluso que
a auditoria em TI deve ser conduzida como um projeto multidisciplinar, agregando os vrios
setores da casa, pois a SINF detm o conhecimento das ferramentas e aspectos diretamente
relacionados com a informtica, mas carece do conhecimento do negcio, ou seja, como
confrontar informaes e obter indcios de falhas a serem apontadas.
Foi sugerido como escopo inicial de implantao de uma metodologia de auditoria em TI
um projeto piloto, envolvendo um rgo representativo da esfera estadual e outro da esfera
municipal.
Tambm se sugeriu a adoo de uma metodologia de avaliao de riscos, para identificar
os rgos passveis de auditoria na rea de TI.
34
35
36
Atravs de contato via e-mail (Anexo 3) com o Sr. Eury Pacheco Motta Jnior, integrante
do GATI, solicitou-se que fossem respondidas questes a respeito da atuao do GATI para um
melhor entendimento do papel daquela gerncia no processo de auditoria tradicional.
Transcrevemos abaixo as perguntas e respostas:
Pergunta: Para que eu possa entender melhor o funcionamento do GATI e do prprio
processo de autoria, poderias me dar uma viso de como funciona a auditoria de TI dentro do
plano operativo de vocs?
Resposta: A partir deste ano comeamos a trabalhar da seguinte forma, elaboramos um
estudo para identificar as auditorias de TI de maior relevncia, o trabalho foi feito junto com a
CCE (Coordenadoria de Controle Externo) que a rea responsvel por toda a parte de controle
externo. Com base nas auditorias sugeridas pelo estudo priorizamos 3 para o ano de 2008 e outras
4 esto planejadas para 2009. O modelo que pretendemos alcanar prev ainda que as equipes de
auditoria tradicionais (auditores de contas pblicas) atuem sugerindo auditorias de TI a partir
das situaes (sistemas e ambientes) identificadas no trabalho de campo. Estas sugestes sero
priorizadas de acordo com a relevncia.
Pergunta: A auditoria de compliance (checklists) feita pelo GATI ou pelos auditores de
campo tradicionais (contadores, advogados)?
Resposta: As auditorias de TI so feitas pelos analistas de sistemas da GATI.
Dependendo do escopo da auditoria pode ser necessrio montar uma equipe multidisciplinar. Por
exemplo: uma auditoria de sistema de informao onde seja necessrio avaliar a aderncia das
regras de negcio do sistema s legislaes aplicveis. Neste caso seria indispensvel o
conhecimento da legislao aplicvel, se for muito especfica e complexa seria necessria a
participao de um auditor com conhecimento sobre a mesma.
Pergunta: A auditoria de compliance feita em todos os auditados ou por amostragem?
Resposta: Os trabalhos de auditoria so planejados em conjunto com a rea responsvel
pelo controle externo (CCE Coordenadoria de Controle Externo) sendo escolhidos os sistemas e
37
38
39
40
41
42
43
Determinar, para cada questo de auditoria, possveis achados, ou seja, onde se deseja
chegar com a investigao;
44
45
46
47
48
49
50
5 CONCLUSO
Neste trabalho foram abordados aspectos relevantes referentes auditoria em TI,
trazendo-se conceitos necessrios ao entendimento da proposta de implementao no processo de
auditoria do TCE-RS.
Resultados de entrevistas realizadas com auditores do TCE-RS e com fornecedores de
ferramentas passveis de utilizao em auditoria de TI foram relatadas, bem como experincias de
outros Tribunais que hoje j atuam nesta rea.
Em capitulo especfico, os conceitos abordados e os relatos de experincias e entrevistas
foram transformados em sugestes de como se implementar auditoria em TI no processo de
auditoria do TCE-RS.
Espera-se que as informaes aqui contidas auxiliem na implementao e implantao da
auditoria em TI nas aes j existentes no Planejamento Estratgico do TCE-RS e no
PROMOEX, servindo talvez como documento inicial para aprimoramento de uma soluo
institucional.
51
6 BIBLIOGRAFIA
1 BRASIL, Tribunal de Contas da Unio. Manual de Auditoria de Sistemas. Braslia: TCU,
Secretaria de Auditoria e Inspees, 1998.
2 IMONIANA, Joshua Onome. Auditoria de Sistemas de Informao. So Paulo: Atlas, 2005
3 RAMOS, Anderson (org.). Security Officer 1 - Guia Oficial para Formao de Gestores em
Segurana da Informao. Rio Grande do Sul: Zouk, 2006
4 WIKIPDIA. Business Intelligence. Disponvel em: <
http://pt.wikipedia.org/wiki/Business_intelligence >. Acesso em 6 abr. 2008
5 NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A. Recovering and
Examining Computer Forensic Evidence. Forense Science Communications. 2000
6 WIKIPDIA. Minerao de Dados. Disponvel em: <
http://pt.wikipedia.org/wiki/Data_mining>. Acesso em 7 abr. 2008
7 PORTELA, Alexandre. Controle Interno Nas Organizaes Pblicas. Disponvel em:
<http://www.artigos.com/artigos/sociais/administracao/controle-interno-nas-organizacoespublicas-2007/artigo/>. Acesso em 16 jul. 2008
8 COSO. Guidance on Monitoring Internal Control Systems. Volume III Application
Techniques. Disponvel em: <http://www.coso.org/documents/VolumeIIIApplicationTechniques.pdf>. Acesso em 14 set. 2008
9 MORAN, Jos Manuel. O que educao distncia. Disponvel em:
<http://www.eca.usp.br/prof/moran/dist.htm>. Acesso em 6 set. 2008
ANEXO 1
FORMULRIO
OBJETIVO DA PESQUISA
DATA
07/06/2007
RESPONSVEL (Favor indicar uma pessoa que possa esclarecer possveis dvidas sobre o assunto, indicando nome, funo,
telefone e correio eletrnico)
Regina Claudia de Alencar Ximenes Chefe da Gerncia de Auditoria de TI (81)3413-7878
regina@tce.pe.gov.br
Mdia
Anual
30
2
2
Favor apontar os trabalhos de fiscalizao de TI mais relevantes e enviar cpias por meio
eletrnico dos relatrios ou extratos dos trabalhos executados pela entidade.
At a presente data, j foram realizadas cerca de 190 fiscalizaes, concernentes ao
controle preventivo das licitaes, envolvendo um montante da ordem de R$ 311.000.000,00
(trezentos e onze milhes de reais) com despesas referentes aquisio de bens e servios de
TI. Tambm j foi realizado o acompanhamento de 6 (seis) contratos de TI, vigentes em trs
rgos pblicos estaduais, que totalizam uma despesa da ordem de R$ 28.000.000,00 (vinte e
oito milhes reais) e foram realizadas 8 (oito) auditorias de sistemas, sendo 4 (quatro) em
sistemas de Folha de Pagamento (entre eles o SAD-RH -Folha de Pagamento do Estado), 3
Auditoria de
Acompanhamento
Edital de licitao da
Secretaria de Sade
Item 2)
IIIIIIVVVI-
I-
ser Perodo
provvel
Item 6) Favor utilizar este espao caso queira oferecer sugestes, opinies ou outras
informaes que considere relevantes.
Sugere-se que as respostas e os documentos recebidos pelo TCU, como resultado desta
pesquisa, sejam divulgados e disponibilizados para todas as entidades colaboradoras
(uma opo seria a disponibilizao de todo o material, para fins de download, no
prprio site do TCU). Importante, inclusive, que o prprio TCU tambm preencha o
formulrio e compartilhe suas informaes e o material de que dispe (Programas de
auditoria, manuais, plano de capacitao, etc.) com os demais TCEs e TCMs.
Sugere-se tambm a criao de uma lista de discusso ou frum do qual poderiam
participar servidores dos TCs que realizam auditorias de TI ou que tenham interesse no
assunto.
ANEXO 2
ANEXO 3
Cc:
Assunto:
Prezado Frederico,
Desculpe a demora na resposta, o ritmo de trabalho aqui est bem acelerado. Caso seja necessrio mais
alguma informaes acho melhor voc ligar para mim, desta forma ter as respostas mais rapidamente.
Como vocs esto comeando, sugiro que vocs estudem e se planejem para que as pessoas que fazem
auditoria de TI tirem certificao CISA (Certified Information System Auditor), ns estamos iniciando os
estudos para isto. Exige muito estudo e conhecimento em TI para tirar esta certificao, boa parte da equipe
do TCU (que audita TI) possui.
Seguem abaixo as respostas s suas perguntas. Estou a disposio caso as respostas no sejam suficientes
para esclarecer os pontos levantados.
[]s Eury Motta,
Gerncia de Auditoria de TI (GATI)
3181-7855 ou 3181-7878.
Para que eu possa entender melhor o funcionamento do GATI e do prprio processo de autoria, poderias me
dar uma viso de como funciona a auditoria de TI dentro do plano operativo de vocs?
A partir deste ano comeamos a trabalhar da seguinte forma, elaboramos um estudo para identificar
as auditorias de TI de maior relevncia, o trabalho foi feito junto com a CCE (Coordenadoria de
Controle Externo) que a rea responsvel por toda a parte de controle externo. Com base nas
auditorias sugeridas pelo estudo priorizamos 3 para o ano de 2008 e outras 4 esto planejadas para
2009. O modelo que pretendemos alcanar prev ainda que as equipes de auditoria
tradicionais (auditores de contas pblicas) atuem sugerindo auditorias de TI a partir das situaes
(sistemas e ambientes) identificadas no trabalho de campo. Estas sugestes sero priorizadas de
acordo com a relevncia.
- A auditoria de compliance (checklists) feita pelo GATI ou pelos auditores de campo tradicionais
(contadores, advogados ..)?
Os trabalhos de auditoria so planejados em conjunto com a rea responsvel pelo controle externo
(CCE Coordenadoria de Controle Externo) sendo escolhidos os sistemas e ambientes considerados
mais relevantes (folha de pagamento do estado, bases de dados de aposentados e pensionista do
estado, sistema de distribuio de medicamentos, sistema de prego eletrnico, etc.). Nossa equipe
ainda pequena (a rea possui apenas 4 pessoas), ento a nossa capacidade operativa no muito
grande, e alm de auditorias, fazemos acompanhamento de processos licitatrios e de contratos de
TI.
29/10/2008
As deficincias que encontramos muitas vezes esto relacionadas a no utilizao de boas prticas
sugeridas por padres (referncias) como COBIT, ITIL, Normas ISO, dentre outros, o que no
implica em uma irregularidades do ponto de vista legal. Mas as recomendaes apontadas pela
equipe podem virar determinaes se assim entender o pleno do TCE no julgamento.
Dei uma olhada na documentao que me enviaste e verifiquei que vocs possuem vrios checklists
baseados na 17799, alm do manual para anlise de contratos de TI.
Para que eu possa entender melhor o funcionamento do GATI e do prprio processo de autoria, poderias
me dar uma viso de como funciona a auditoria de TI dentro do plano operativo de vocs?
- A auditoria de compliance (checklists) feita pelo GATI ou pelos auditores de campo tradicionais
(contadores, advogados ..)?
- A auditoria de compliance feita em todos os auditados ou por amostragem?
- As entrevistas so feitas pessoalmente ou as informaes so impostadas via sistema?
- O no cumprimento de itens do checklist gera algum tipo de falha?
29/10/2008
Estas seriam algumas perguntas, mas se tivesses um tempo (ou a Regina Ximenes) para gastares
comigo poderias descrever de forma resumida como funciona o processo ai no TCE-PE?
Agradeo mais uma vez a boa vontade em atender este colega do Sul!
[]s
Frederico Henrique Goldschmidt Neto
Auditor Pblico Externo - TCE/RS
Coordenador - DA-SINF-SRI
Fone: 51-32149832
-----Mensagem original----De: Nelson Barreto C. B. de Menezes [mailto:nelson@tce.pe.gov.br]
Enviada em: segunda-feira, 7 de julho de 2008 12:12
Para: Frederico Henrique Goldschmidt Neto
Cc: Programa de Modernizao do Controle Externo
Assunto: ENC: [promoex] Metodologia/Documentao para Auditoria em TI/Sistemas
Prezado Fred,
Envio a resposta do TCE-PE, ao mesmo tempo solicito, se possvel a consolidao dessa pesquisa
que voc est fazendo com todos os TCs.
Abraos,
Nelson Barreto C B de Menezes
Coordenador Geral Adjunto - Promoex
Tribunal de Contas de Pernambuco TCE/PE
Fone: 81-3181.7760 Fax: 81-3181.7697
nelson@tce.pe.gov.br
29/10/2008
ambiental.
Aproveitando uma das finalidades do PROMOEX, que o compartilhamento de recursos,
gostariamos de saber se algum TC j possui metodologia/manuais de auditoria em TI/Sistemas e se
haveria possibilidade de compartilhar este conhecimento.
Agradecemos antecipadamente!
[]s
29/10/2008
ANEXO 4
1. Do ponto de vista da estratgia corporativa do TCE, quo importante voc considera que a TI seja para que as metas dessa estratgia sejam
alcanadas?
Grau de importncia
Nenhuma
Pouca
importncia
importncia
0.0% (0)
0.0% (0)
No
tenho
Importante
certeza
0.0% (0)
9.5% (2)
Muito
importante
90.5% (19)
No sei
0.0% (0)
Rating
Response
Average
Count
4.90
21
answered question
21
skipped question
2. Com que freqncia a TI includa na agenda das decises sobre o negcio do TCE?
s vezes.
Nunca
Depende do
Regularmente
Sempre
No sei
33.3% (7)
19.0% (4)
0.0% (0)
projeto
Freqncia
0.0% (0)
47.6% (10)
Rating
Response
Average
Count
2.71
21
answered question
21
skipped question
3. Com que freqncia a Tecnologia da Informao no TCE informa sobre oportunidades de negcio proporcionadas por novas tecnologias?
s vezes.
Nunca
Depende do
Regularmente
Sempre
No sei
66.7% (14)
14.3% (3)
0.0% (0)
projeto
Freqncia
4.8% (1)
14.3% (3)
Rating
Response
Average
Count
2.90
21
answered question
21
skipped question
Grau de alinhamento
Muito
pobre
Pobre
Mdio
Bom
Muito bom
No sei
Rating
Average
Response
Count
0.0% (0)
28.6% (6)
38.1% (8)
14.3% (3)
19.0% (4)
0.0% (0)
3.24
21
answered question
21
skipped question
Response
Percent
Count
57.1%
12
9.5%
9.5%
de Auditoria de TI nos
jurisdicionados.
No sei
0.0%
Comente se achar necessrio.
answered question
21
skipped question
6. Qual o grau de severidade de problemas relativos a TI que voc enfrentou nos ltimos 12 meses?
Rating
Response
Average
Count
Sem grau de
No Houve
severidade
problema
19.0% (4)
42.9% (9)
19.0% (4)
4.8% (1)
2.70
21
9.5% (2)
57.1% (12)
14.3% (3)
19.0% (4)
0.0% (0)
2.43
21
14.3% (3)
23.8% (5)
23.8% (5)
38.1% (8)
0.0% (0)
2.86
21
9.5% (2)
14.3% (3)
19.0% (4)
57.1% (12)
0.0% (0)
3.24
21
33.3% (7)
14.3% (3)
38.1% (8)
14.3% (3)
0.0% (0)
2.33
21
Problemas de terceirizao
19.0% (4)
28.6% (6)
14.3% (3)
38.1% (8)
0.0% (0)
2.71
21
Insuficincia de pessoal
61.9% (13)
23.8% (5)
14.3% (3)
0.0% (0)
0.0% (0)
1.52
21
23.8% (5)
19.0% (4)
23.8% (5)
33.3% (7)
0.0% (0)
2.67
21
Muito srio
Pouco srio
14.3% (3)
TI (soluo de incidentes e
problemas)
No sei
28.6% (6)
33.3% (7)
9.5% (2)
28.6% (6)
0.0% (0)
2.38
21
Problemas no arquivamento
eletrnico de informaes
14.3% (3)
33.3% (7)
4.8% (1)
47.6% (10)
0.0% (0)
2.86
21
28.6% (6)
28.6% (6)
14.3% (3)
28.6% (6)
0.0% (0)
2.43
21
4.8% (1)
23.8% (5)
28.6% (6)
42.9% (9)
0.0% (0)
3.10
21
10.0% (2)
25.0% (5)
55.0% (11)
10.0% (2)
0.0% (0)
2.65
20
0.0% (0)
0.0% (0)
0.0% (0)
85.7% (6)
14.3% (1)
4.00
answered question
skipped question
7. Voc pode informar as trs mtricas mais importantes que voc usa para avaliar o sucesso da organizao da TI? (Exemplos de mtricas:
Tempo de resposta a quedas dos sitemas; Disponipilidade dos sistemas; Tempo mdio de resposta a incidentes, outras mtricas sugeridas
pelo COBIT, etc.)
Response
Response
Percent
Count
1.
100.0%
19
2.
94.7%
18
3.
84.2%
16
answered question
19
skipped question
No
da governana
No sei
de TI
Criar as estruturas organizacionais
corretas para direcionar e
Rating
Response
Average
Count
55.0% (11)
25.0% (5)
15.0% (3)
5.0% (1)
1.58
20
57.1% (12)
38.1% (8)
4.8% (1)
0.0% (0)
1.48
21
42.9% (9)
47.6% (10)
9.5% (2)
0.0% (0)
1.67
21
90.0% (18)
10.0% (2)
0.0% (0)
0.0% (0)
1.10
20
supervisionar os recursos de TI
A alta direo revisa os oramentos
e planejamentos de TI regularmente
Os departamentos do TCE
gerenciam o portflio de projetos de
TI apoiados pela Coordenadoria de
Tecnologia da Informao
Os requisitos de recursos de TI so
identificados com base nas
23.8% (5)
71.4% (15)
4.8% (1)
0.0% (0)
1.81
21
4.8% (1)
90.5% (19)
4.8% (1)
0.0% (0)
2.00
21
19.0% (4)
76.2% (16)
4.8% (1)
0.0% (0)
1.86
21
14.3% (3)
85.7% (18)
0.0% (0)
0.0% (0)
1.86
21
answered question
21
skipped question
9. Voc j implementou, est implementando ou considerando a possibilidade de implementar melhores prticas de governana de TI?
No estou considerando a
Response
Response
Percent
Count
4.8%
implementao
Estou considerando a
57.1%
implementao
Estou implementando
38.1%
J implementei
0.0%
No sei
0.0%
12
answered question
21
skipped question
10. Se voc no est considerando a implementao de melhores prticas de governana de TI, por favor selecione os motivos
Response
Response
Percent
Count
0.0%
0.0%
Frameworks de governana de TI
0.0%
0.0%
0.0%
executar
O TCE muito pequeno
0.0%
0.0%
0.0%
100.0%
No sei
0.0%
Comente se acha necessrio
answered question
skipped question
20
Rating
Response
Average
Count
Estou
considerando
usar
usar
73.3% (11)
6.7% (1)
13.3% (2)
0.0% (0)
6.7% (1)
1.36
15
23.5% (4)
11.8% (2)
35.3% (6)
23.5% (4)
5.9% (1)
2.63
17
COBIT
5.9% (1)
11.8% (2)
64.7% (11)
11.8% (2)
5.9% (1)
2.88
17
ITIL/ISO 20000
6.3% (1)
6.3% (1)
62.5% (10)
18.8% (3)
6.3% (1)
3.00
16
11.1% (2)
27.8% (5)
44.4% (8)
16.7% (3)
0.0% (0)
2.67
18
13.3% (2)
20.0% (3)
40.0% (6)
20.0% (3)
6.7% (1)
2.71
15
PMI, PMBOK
0.0% (0)
22.2% (4)
50.0% (9)
22.2% (4)
5.6% (1)
3.00
18
25.0% (2)
12.5% (1)
0.0% (0)
25.0% (2)
37.5% (3)
2.40
28.6% (2)
14.3% (1)
0.0% (0)
28.6% (2)
28.6% (2)
2.40
0.0% (0)
10.0% (1)
20.0% (2)
60.0% (6)
10.0% (1)
3.56
10
answered question
21
No conheo
ISO 38500
Normas do grupo ISO 27000 ou
padro equivalente para segurana
Estou
usando
No sei
skipped question
Grau de medio
Nenhum grau
Algum grau
Alto grau
No sei
25.0% (5)
60.0% (12)
5.0% (1)
10.0% (2)
Rating
Response
Average
Count
1.78
20
answered question
20
skipped question
Grau de importncia
Nenhuma
Pouca
importncia
importncia
4.8% (1)
9.5% (2)
No
tenho
Importante
certeza
9.5% (2)
42.9% (9)
Muito
importante
33.3% (7)
No sei
0.0% (0)
Rating
Response
Average
Count
21
3.90
answered question
skipped question
14. Quanto de valor voc acha que o TCE extrai da TI (ex. melhor relacionamentos com usurios e clientes, melhor gerenciamento de risco,
menor custo)?
Valor
Nenhum
Pouco
No tenho
Algum
Muito
valor
valor
certeza
valor
valor
0.0% (0)
0.0% (0)
0.0% (0)
47.4% (9)
52.6% (10)
No sei
Rating
Response
Average
Count
4.53
19
answered question
19
0.0% (0)
skipped question
Response
Response
Percent
Count
19.0%
38.1%
Conservadora (focada em
tecnologias maduras e provadas)
42.9%
No sei
0.0%
Comente se achar necessrio
answered question
21
skipped question
Response
Percent
Count
Presidente do TCE
14.3%
Diretor Geral
14.3%
Coordenador/Diretor de TI
57.1%
Coordenador/Diretor Administrativo
9.5%
Coordenador/Diretor do Controle
12
0.0%
Externo
Ningum
4.8%
0.0%
No sei
0.0%
Comente se achar necessrio
answered question
21
skipped question
17. Como voc descreve o nvel de envolvimento da Diretoria Geral nas iniciativas de governana de TI?
Informada
Baixo
envolvimento
mas
pouco
envolvida
Grau de envolvimento
23.8% (5)
28.6% (6)
Participa
das
tomadas
de
deciso
33.3% (7)
Lidera as
tomadas
de
Totalmente
responsvel
No sei
Rating
Average
Response
Count
9.5% (2)
0.0% (0)
2.48
21
answered question
21
deciso
4.8% (1)
skipped question
16
Response
Percent
Count
0.0%
101-500
19.0%
501-1.000
61.9%
Mais de 1.000
19.0%
No sei
0.0%
answered question
skipped question
13
21
ANEXO 5
Auditoria de Tecnologia da
Informao
Mtodo para auditar organizaes
de qualquer porte
Andr Luiz Furtado Pacheco, CISA
Secretaria de Fiscalizao de Tecnologia da Informao
Sumrio
1. Atuao do TCU
2. Definio de Auditoria de TI
3. Forma de Atuao dos Auditores
4. Principais Normas e Padres Utilizados
5. Mtodo de ATI do TCU
6. Exemplos de Utilizao do Mtodo
Secretaria de Fiscalizao de Tecnologia da Informao
2. Definio de Auditoria de TI
Auditores Generalistas
Auditores da TI
Especialistas em TI
10
3.2 Abordagens
Auditoria de sistemas
Auditoria de gesto de TI
Auditoria de dados
Auditoria em aquisies de TI
Auditoria em poltica ou programa
de governo na rea de TI
Secretaria de Fiscalizao de Tecnologia da Informao
11
Auditoria de Sistemas
auditoria de conformidade e/ou
operacional em sistemas
informatizados de uma
organizao
12
Auditoria de gesto de
tecnologia da informao
auditoria para avaliao da
gesto dos recursos de TI de
uma organizao
Secretaria de Fiscalizao de Tecnologia da Informao
13
Auditoria de Dados
auditoria em bases de dados
com a utilizao de
ferramentas e tcnicas de
tratamento de dados
Secretaria de Fiscalizao de Tecnologia da Informao
14
Auditoria em Aquisies de TI
auditoria em processos de
aquisio e acompanhamento de
contratos de TI
Secretaria de Fiscalizao de Tecnologia da Informao
15
Auditoria em Poltica de
Governo na rea de TI
auditoria em polticas ou
programas de governo na
rea de TI, considerando
sua eficcia, eficincia,
economicidade e efetividade
Secretaria de Fiscalizao de Tecnologia da Informao
16
4. Principais Normas e
Padres Utilizados
Constituio Federal
Legislao Brasileira
17
18
19
20
21
22
PLC-84/1999 e PLS-137/2000)
Dispe sobre crimes cometidos na rea de
informtica
Tipifica condutas realizadas mediante uso de rede de
computadores ou Internet, ou que sejam praticadas
contra sistemas de informatizados e similares
Aprovado na Cmara dos Deputados e na Comisso
de Educao do Senado Federal (junho de 2006)
Na Comisso de Constituio e Justia (abril de
2007)
Secretaria de Fiscalizao de Tecnologia da Informao
23
24
4.6 Cobit
Cobit (Control Objectives for Information and
related Technology) um processo estruturado
com objetivo de possibilitar a governana em TI,
ou seja:
gerenciar e controlar as iniciativas de TI nas
organizaes;
garantir o retorno de investimentos;
garantir a adoo de melhorias nos processos
empresariais; e
minimizar riscos.
Secretaria de Fiscalizao de Tecnologia da Informao
25
5. Mtodo de Auditoria de TI
26
PLANEJAMENTO DA AUDITORIA
Avaliao dos
Controles
Internos
Viso Geral
Elaborao
Matriz de
Planejamento
Elaborao
Matriz de
Procedimentos
EXECUO
Aplicao
dos
Procedimentos
Desenvolvimento
dos Achados
(Matriz de Achados)
Acumulao de
Evidncias
RELATRIO
Elaborao
Reviso
27
ao objetivo do trabalho;
aos passos a serem seguidos;
a estratgia metodolgica a ser adotada.
28
Informaes
requeridas
Fontes de
Informao
Tcnicas
de
Auditoria
Identificar as
informaes
necessrias
para
responder a
questo de
auditoria.
Identificar as
fontes de
cada item de
informao.
Especificar
tcnicas
a serem
utilizadas
estratgias
metodolgicas
mtodos
p/obteno
de dados
mtodos
de anlise
de dados
Limitaes
Possveis
Achados
Especificar as
limitaes
relativas:
qualidade
das
informaes;
estratgia
metodolgica;
s condies
operacionais
de realizao
do trabalhos.
Esclarecer
precisamente
que
concluses ou
resultados
podem ser
alcanados a
partir da
estratgia
metodolgica
adotada.
29
Elaborao da
Matriz de Planejamento
30
31
Matriz de Procedimentos
Objetivo: Enunciar de forma clara e resumida o objetivo da auditoria.
Questes de
Procedimentos
Auditoria
Correspondncia Descrio dos Itens
com a Questo de de verificao ou
check-list
Auditoria (Qn)
constante da
Matriz de
Planejamento
Q1
Objetos
Onde sero
efetuados os
procedimentos (ex:
Contrato XX/2005,
Programa XX-250,
etc)
Achados
Usar a notao A1,
A2,..., An (para
possibilitar a
correspondncia com
a matriz de achados)
ou quando no
houver achado
P11
P12
P1n
Q2
P21
P22
P2n
Qn
P31
P32
P3n
32
Situao Encontrada
Achado
Critrio
Evidncia
Causa
Efeito
Encaminhamento (recomendao)
Secretaria de Fiscalizao de Tecnologia da Informao
33
Matriz de Achados
Objetivo: Enunciar de forma clara e resumida o objetivo da auditoria
Achado
Situao
Critrio
Encontrada
Legislao,
Situao
Corresnorma,
pondncia existente,
identificada e jurisprudncia,
com o
documentada entendimento
Achado
doutrinrio
durante a
(An)
ou padro
constante fase de
da Matriz execuo da adotado
auditoria
de
Procedimentos
Evidncia
Informaes
obtidas
durante a
auditoria no
intuito de
documentar
os achados
e de
respaldar as
opinies e
concluses
da equipe
Causas
Efeitos
Encaminhamento
O que
ConsePropostas da
motivou a qncias equipe de
ocorrncia do
auditoria.
do achado achado Deve conter
identificao
do(s)
responsvel
(is)
A1
A2
An
34
6. Exemplos de
Utilizao do Mtodo
35
36
37
Auditoria de Gesto
de TI MTE (cont.)
38
Auditoria de Gesto
de TI MTE (cont.)
39
40
Auditoria de Dados
Benefcios da
Previdncia
41
Auditoria de Dados
Benefcios da
Previdncia
42
Auditoria de Dados
Benefcios da
Previdncia
43
Auditoria de Dados
Benefcios da
Previdncia
44
Auditoria de Dados
Benefcios da
Previdncia
45
46
Auditoria em Aquisies de TI
47
Auditoria em Aquisies de TI
48
49
Auditoria no e-Gov
50
Auditoria no e-Gov
51
Contatos
e-mail: andrefp@tcu.gov.br
Secretaria de Fiscalizao de TI
SEFTI telefone: (61) 3316 7388
site TCU: http://www.tcu.gov.br
Secretaria de Fiscalizao de Tecnologia da Informao
52