View
216
Download
0
Category
Preview:
Citation preview
TECNOLOGIA DA INFORMAÇÃO NO BNB2
O BANCO DO NORDESTE1
AUDITORIA NO BANCO DO NORDESTE3
AGENDA
SELEÇÃO DE PROCESSOS CRÍTICOS4
AUDITORIA DE PROCESSOS DE TI5
Atuação do Banco do Nordeste
Área de atuação: 1.775,4 mil Km2
Municípios atendidos: 1.990 (11 Estados)
Quantidade de agências: 187
Nº de funcionários: 6.066
¹ IBGE – CENSO 2010 e PNAD 2009
² BACEN - Estimativa
O Banco do Nordeste tem como área básica de atuação os nove Estados da Região Nordeste, o norte e os Vales do Mucuri e do Jequitinhonha do Estado de Minas Gerais e o norte do Estado do Espírito Santo.
Indicador NE BR NE/BR (%)
Nº de Estados 9 27 33,3
Área (Km²) 1.554.388 8.502.728 18,3
População – 2010¹ (milhões de habitantes) 53,1 190,7 27,8
PIB – 2008¹ (R$ bilhões correntes 397,5 3.031,9 13,1
PIB per capita – 2008¹ (R$ 1,00) 7.487,55 15.989,77 46,8
População em extrema pobreza – 2010¹ (%) 18,1 8,5
Índice de Desenvolvimento Humano (IDH) –2007²
0,749 0,816
Taxa (%) de analfabetismo – 2010¹ (pessoas de 15 anos ou mais)
19,1 9,6
Tecnologia da Informação no Banco do Nordeste
TECNOLOGIA
DA INFORMAÇÃO
DESENVOLVIMENTO
DE SOFTWARE
ARQUITETURA DE
SOFWARE
APOIO À DECISÃO E
GOVERNANÇA
INFRAESTRUTURA
DE TI
200 funcionários.
Processo centralizado de desenvolvimento de software (padrão RUP).
04 fábricas de software.
250 sistemas.
Gestão por projetos.
Uso de padrões ITIL.
Mainframe IBM Z9 (z/OS).
Servidores Windows 200x/Red Hat Linux ES 4/5.
Estações Windows XP/Windows 7.
Detalhes: documentos à parte.
Auditoria no Banco do Nordeste
CONSELHO DE ADMINISTRAÇÃO
ÁREA DE AUDITORIA
ASSEMBLÉIA GERAL
DIRETORIA DE GESTÃO DO
DESENVOLVIMENTO
DIRETORIA FINANCEIRA E DE
MERCADO DE CAPITAIS
DIRETORIA DE NEGÓCIOS
DIRETORIA DE CONTROLE E RISCO
DIRETORIA DE ADM. DE RECURSOS DE
TERCEIROS
DIRETORIA ADM. E DE TECNOLOGIA DA
INFORMAÇÃO
COMITÊ DE AUDITORIA
CONSELHO FISCAL
OUVIDORIA
DIRETORIA
PRESIDÊNCIA
CONTROLADORIA-GERAL DA UNIÃO
(CGU)
Auditoria do Banco do Nordeste
Responsabilidade Básica:
Assessorar a alta administração e colegiados estatutários(Conselho Fiscal, Conselho de Administração e Comitê deAuditoria) fornecendo informações sobre a adequação,integridade, aplicabilidade, conformidade, riscos e qualidadedos controles relativos aos processos da Instituição.
Coordenar as demandas oriundas de órgãos externos decontrole e fiscalização.
Instaurar procedimentos administrativos com vista à apuraçãode responsabilidades funcionais.
Quantitativo: 72 funcionários.
Contexto em que está inserida a Área de Auditoria
Riscos
identificados nos
Processos do
Banco
Área de Auditoria
Programa
Estratégico do
Banco do
Nordeste
Contexto em que está inserida a Área de Auditoria
Riscos
identificados nos
Processos do
Banco
Banco Central do
Brasil (BACEN)
Tribunal de Contas
da União (TCU)
Controladoria-
Geral da União
(CGU)
Auditoria Externa
Área de Auditoria
CVM
ANBIMA
Programa
Estratégico do
Banco do
Nordeste
Contexto em que está inserida a Área de Auditoria
Riscos
identificados nos
Processos do
Banco
Comitê de
Auditoria
Conselho de
AdministraçãoBanco Central do
Brasil (BACEN)
Tribunal de Contas
da União (TCU)
Controladoria-
Geral da União
(CGU)
Conselho Fiscal Auditoria Externa
Área de Auditoria
CVM
ANBIMA
Programa
Estratégico do
Banco do
Nordeste
Determinação Legal
Instrução Normativa Nº 07, de 29/12/2006 da Controladoria-Geral da
União (CGU)
“O planejamento das atividades de auditoria interna das entidades da
administração indireta do Poder Executivo Federal será consignado
no Plano Anual de Atividades de Auditoria Interna – PAINT, que
conterá a programação dos trabalhos da unidade de auditoria interna
da entidade para um determinado exercício.”
Planejamento da Área de Auditoria
Conformidade com as Normas Internacionais para a
Prática Profissional de Auditoria Interna
Orientação Prática 2010-1:
Vínculo do Planejamento de Auditoria com Risco e Exposições
“O executivo chefe de auditoria deve estabelecer um planejamento baseado em
riscos para determinar as prioridades da atividade de auditoria interna, de forma
consistente com as metas da organização.”
Interpretação:
“O executivo chefe de auditoria é o responsável pelo desenvolvimento de um
planejamento baseado em riscos. O executivo chefe de auditoria leva em
consideração a estrutura de gerenciamento de riscos da organização, incluindo o
uso dos níveis de apetite de risco estabelecidos pela administração para as
diferentes atividades ou partes da organização. Se não houver uma estrutura, o
executivo chefe de auditoria utiliza seu próprio julgamento quanto aos riscos após
consultar a alta administração e o conselho.”
Planejamento da Área de Auditoria
Princípios da Metodologia ‘Auditoria de
Processos com Foco em Riscos’
VISÃO SISTÊMICA
VISÃO ESTRATÉGICA
VISÃO DE RISCO
FOCO NO FUTURO
AVALIAÇÃO DA GESTÃO DE
RISCOS
Matriz de Riscos
Critérios para Priorização dos Processos Críticos
• Escassez de auditorias nos últimos 3 anos.
• Vinculação aos Programas Temáticos do PPA 2012–2015
Banco do Nordeste.
• Objeto de Recomendações da Alta Administração.
• Sensibilidade a Fraudes.
•Riscos expostos (recomendações da Auditoria Interna ainda
não implementadas).
• Objeto de Recomendação dos Órgãos de Controle e
Fiscalização.
• Diretrizes Estabelecidas pela Secretaria Federal de
Controle Interno (IN 01/2001).
• Impacto na Prestação de Contas do Banco.
• Exposição Financeira do Processo.
• Complexidade do Processo.
Critérios
Objetivos
Critérios
Subjetivos
Critérios para Priorização dos Processos Críticos
Primeira Análise
Aplicação dos critérios - baseada em documentos e informações de sistemas do
Banco.
Pontuação dos critérios - de 1 ‘um’ (menor impacto) a 3 ‘três’ (maior impacto).
Pontuação dos Processos – depois de aplicados todos os critérios, é gerado um
ranking.
Segunda Análise
Aplicação de critérios subjetivos:
Exposição financeira.
Complexidade do processo.
Final
Processos classificados quanto à criticidade (alta, média ou baixa).
18/49/(34)
COBIT - Um Modelo de Apoio
Guia de boas práticas criado pela ISACA (Information Systems Audit and ControlAssociation), apresentado como um framework dirigido para a gestão daTecnologia da Informação (TI). Inclui recursos tais como objetivos de controle paraprocessos de TI, mapas de auditoria, um conjunto de ferramentas deimplementação e um guia com técnicas de gerenciamento.
+2
20/49/(34)
Processos de TI conforme COBIT
Domínio Planejar e Organizar (PO)PO1 Define o plano estratégico de TI;PO2 Define a arquitetura da informação;PO3 Determina a direção tecnológica;PO4 Define os processos, a organização e seus
relacionamentos de TI;PO5 Gerencia os investimento de TI;PO6 Comunica diretrizes e expectativas...;PO7 Gerencia os recursos humanos de TI;PO8 Gerencia a qualidade;PO9 Avalia e gerencia os riscos de TI;PO10 Gerencia os projetos de TI.
Domínio Adquirir e Implementar (AI)AI1 Identifica as soluções automatizadas;AI2 Adquire e mantém softwares aplicativos;AI3 Adquire e mantém a infraestr. de tecnologia;AI4 Habilita operação e uso;AI5 Adquire recursos de TI;AI6 Gerencia as mudanças;AI7 Instalar e homologar soluções e mudanças.
Domínio Entrega e Suportar (DS)DS1 Define e gerencia acordos de nível de serviço;DS2 Gerencia os serviços de terceiros;DS3 Gerencia a capacidade e desempenho;DS4 Assegura a continuidade dos serviços;DS5 Assegura a segurança dos serviços;DS6 Identifica e aloca custos;DS7 Treina os usuários;DS8 Gerencia central de serviços e incidentes;DS9 Gerencia a configuração;DS10 Gerencia os problemas;DS11 Gerencia os dados;DS12 Gerencia o ambiente físico;DS13 Gerencia as operações.
Domínio Monitorar e Avaliar (ME)ME1 Monitora e avalia o desempenho;ME2 Monitora e avalia os controles internos;ME3 Assegurar a conformidade com req. Externos;ME4 Provê a governança de TI.
+3
21/49/(34)
Diretrizes para Auditorias de TI
• Auditorias em processos de TI (Visões de processos do COBIT) –Objetos de auditoria são estruturados em processos de TI, alinhados à metodologia de auditoria interna em processos corporativos com foco em riscos utilizada.
• Auditoria baseada em risco – Base nos objetivos x riscos x controles do COBIT, estendida após o estudo de cada processo avaliado.
• Escopos e Focos – Os escopos de auditoria serão desenvolvidos baseados nos objetivos dos processos COBIT. Sistemas aplicativos específicos poderão ser focos do trabalho e ou comporão amostras de avaliação dos processos.
• Correlações - Utilização de mapeamento entre o arcabouço COBIT e as metodologias e boas práticas de uso comum na área de TI e segurança da informação, tal quais ITIL, ISO 27001/27002 e RUP.
+12
22/49/(34)
Metodologia para os Trabalhos
• Etapas Planejamento
• Estratégico: Planejamento Anual de Auditoria Interna.
Definição de Escopos (Mapeamentos & Correlações)
• Tático: definição de escopos Planos operacionais.
Execução de Testes
• Operacional: aplicação de testes de controles.
• Comunicação de resultados.
+11
23/49/(34)
Roteiro de Avaliação
Plan
ejam
ento
táticoe esco
po
Execução
aplicação
testesP
lanejam
ento
estratégico
Plan
ejame
nto
An
ual d
e Au
dito
riasd
e TI
Escop
o e
ob
jetivos d
etalhad
os:
Plan
o O
perac. revis.
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.• Selecionar um arcabouço de controle de TI.• Realizar planejamento da avaliação de TI baseada em risco.• Realizar avaliação de alto nível nos processos em foco.• Definir os objetivos e escopos de alto nível.
Objetivos de negóciosMetas de TI
Principais processos de TI e os principais recursos de TIPrincipais objetivos de controle
Principais objetivos de controle customizados
Detalhar acompreen-
ção sobreo objeto
de TI emavaliação
Detalhar oescopo dos
objetivosde controledo objeto avaliado
Testar aEfetividadedos controles
para os objetivoschaves
Testar, senecessário,
resultadosdos objetivoschaves doscontroles
Documentaro impacto
dasfraquezas
dos controles
Elaborar e comunicar
todas asconclusões
e recomen-dações.
Relató
rios:
Co
nclu
são d
asA
valiações d
a aud
it.
+10
24/49/(34)
Plan
ejam
ento
tático e esco
po
Execução
aplicação
testesP
lanejam
ento
estratégico
Plan
ejame
nto
An
ual d
e Au
dito
riasd
e TI
Escop
o e
ob
jetivos d
etalhad
os:
Plan
o O
perac. revis.
Detalhar acompreen-
ção sobreo objeto
de TI emavaliação
Detalhar oescopo dos
objetivosde controledo objeto avaliado
Testar aEfetividadedos controles
para os objetivoschaves
Testar, senecessário,
resultadosdos objetivoschaves doscontroles
Documentaro impacto
dasfraquezas
dos controles
Elaborar e comunicar
todas asconclusões
e recomen-dações.
Relató
rios:
Co
nclu
são d
asA
valiações d
a aud
it.• Estabelecer universo da avaliação da TI -> seleção de processos objetos.• Selecionar um arcabouço de controle de TI.• Realizar planejamento da avaliação de TI baseada em risco.• Realizar avaliação de alto nível nos processos em foco.• Definir os objetivos e escopos de alto nível.
Objetivos de negóciosMetas de TI
Principais processos de TI e os principais recursos de TIPrincipais objetivos de controle
Principais objetivos de controle customizados
+9
Roteiro de Avaliação
25/49/(34)
Planejamento estratégico
• Seleção dos processos de TI a serem auditados (visão COBIT):objetivos de controle de alto nível se relacionando compossíveis objetos de auditoria que comporão o PAINT.
• Definição do conjunto de trabalhos a serem realizados em cadaperíodo do ciclo anual de auditorias.
• Priorização dos processos de TI será feita levando emconsideração sua importância no suporte dos processos denegócios priorizados.
• Produtos:– Planejamento Anual de Auditoria Interna: onde os processos de TI
selecionados farão parte, juntamente com os demais processoscorporativos mapeados pela Auditoria para os trabalhos.
+8
26/49/(34)
Plan
ejam
ento
tático e esco
po
Plan
ejamen
toestratégico
Plan
ejame
nto
An
ual d
e Au
dito
riasd
e TI
Escop
o e
ob
jetivos d
etalhad
os:
Plan
o O
perac. revis.
• Estabelecer universo da avaliação da TI -> seleção de processos objetos.• Selecionar um arcabouço de controle de TI.• Realizar planejamento da avaliação de TI baseada em risco.• Realizar avaliação de alto nível nos processos em foco.• Definir os objetivos e escopos de alto nível.
Objetivos de negóciosMetas de TI
Principais processos de TI e os principais recursos de TIPrincipais objetivos de controle
Principais objetivos de controle customizados
Execução
aplicação
testes
Detalhar acompreen-
ção sobreo objeto
de TI emavaliação
Detalhar oescopo dos
objetivosde controledo objeto avaliado
Testar aEfetividadedos controles
para os objetivoschaves
Testar, senecessário,
resultadosdos objetivoschaves doscontroles
Documentaro impacto
dasfraquezas
dos controles
Elaborar e comunicar
todas asconclusões
e recomen-dações.
Relató
rios:
Co
nclu
são d
asA
valiações d
a aud
it.
+7
Roteiro de Avaliação
27/49/(34)
Planejamento tático e escopos• Definição dos escopos dos trabalhos a partir do estudo
detalhado dos objetivos de cada atividade a ser avaliada.
• Refinamento do escopo preliminar da fase anterior.
• Identificação dos controles e testes relacionados com os riscosdas atividades.
• Documentação da avaliação dos controles relacionado com osriscos.
• Produtos:
– Plano Operacional revisado.
– Mapeamento do processo objeto do trabalho de auditoria.
– Matriz de criticidade das atividades do processo.
– Programas de Testes.
– Versões prévias de relatórios.
+6
28/49/(34)
Plan
ejam
ento
tático e esco
po
Execução
aplicação
testesP
lanejam
ento
estratégico
Detalhar acompreen-
ção sobreo objeto
de TI emavaliação
Detalhar oescopo dos
objetivosde controledo objeto avaliado
Testar aEfetividadedos controles
para os objetivoschaves
Testar, senecessário,
resultadosdos objetivoschaves doscontroles
Documentaro impacto
dasfraquezas
dos controles
Elaborar e comunicar
todas asconclusões
e recomen-dações.
Plan
ejame
nto
An
ual d
e Au
dito
riasd
e TI
Escop
o e
ob
jetivos d
etalhad
os:
Plan
o O
perac. revis.
Relató
rios:
Co
nclu
são d
asA
valiações d
a aud
it.• Estabelecer universo da avaliação da TI -> seleção de processos objetos.• Selecionar um arcabouço de controle de TI.• Realizar planejamento da avaliação de TI baseada em risco.• Realizar avaliação de alto nível nos processos em foco.• Definir os objetivos e escopos de alto nível.
Objetivos de negóciosMetas de TI
Principais processos de TI e os principais recursos de TIPrincipais objetivos de controle
Principais objetivos de controle customizados
+5
Aplicação de testes
29/49/(34)
Correlações
• Utilização de modelos ou metodologias diversos naoperacionalização dos processos de TI:
– Gestão de serviços de infraestrutura de TI: ITIL.
– Sistema de Gerenciamento da Segurança da Informação: normas ISO 27001 / ISO 27002.
– Metodologia/Modelos de Desenvolvimento de Software: RUP.
• Correlação entre metodologias / modelos utilizados e avisão de processos de TI utilizado pela auditoria(COBIT).
+6
31/49/(34)
• Objetivos de controle da ISO 27001.
• Mapeamento entre Processos COBIT e objetivos de controle da27001. Exemplo:
• Testes dos controles da ISO levarão em conta também os riscosdocumentados nos processos do COBIT mapeados.
Correlação com ISO 27001
+2
Processo COBIT Objetivo de controle ISO 27001
DS4 (Garantia da Continuidade dos
Serviços)03 itens: A6.1, A10.5 e A14.1
DS5 (Garantia da Segurança dos
Sistemas)
33 itens: A5.1, A6.1, A6.2, A8.1 a A8.3, A9.1, A9.2, A10.1,
A10.4, A10.6 a A10.10, A11.1 a A11.7, A12.2 a A12.4,
A12.6, A13.1, A13.2, A15.1 a A15.3.
DS11 (Gerenciar Dados) 06 itens: A9.2, A10.5, A10.7, A10.8, A12.4 e A15.1.
DS12 (Gerenciar o Ambiente Físico) 03 itens: A6.2, A9.1 e A9.2.
Aspecto que trata do conjunto de “produtos” gerados a cada fase (atividades,artefatos, fluxos de trabalho etc.), tomando-os como os possíveis controles, masnão somente estes, sendo a sua observância matéria de análise do auditor doprocesso de TI advindo da visão de processos COBIT.
32/49/(34)
Correlação com RUP
aspecto dinâmico, relacionado com
os marcos das fases do processo.
• Visão do processo (COBIT) AI2 - Aquisição e Manutenção deSoftware Aplicativo.
• Fase Definição de Escopos & Mapeamentos: avaliação de riscosinerentes aos aspectos do eixo vertical do RUP.
• Fase Execução (Aplicação de testes): focada no eixo horizontal doRUP, onde serão testados os controles requeridos entre as fasesdo Processo, quanto a sua observância e eficácia.
33/49/(34)
Correlação com RUP
Eixo horizontal (Aspecto dinâmico)
Eix
o v
ertic
al (P
rod
uto
s g
era
do
s)
+1
34/49/(34)
Resultados de auditoria
+1
• Plano Anual de Auditoria Interna (PAINT).
• Planos Operacionais dos trabalhos.
• Registros de Constatação:
• Pontos de auditoria: fraquezas do processo objeto.
• Relatório de Auditoria.
35/49/(34)
Conclusão
• A qualidade das informações produzidas pela Auditoria pode serpercebida a partir da utilização de uma metodologia de execução dosprocedimentos dos trabalhos utilizada.
• A utilização da visão de processos utilizando metodologias baseadasem boas práticas disseminadas promove a padronização dasestruturas de trabalho, o que faz com que as equipes de auditoria deTI falem e entendam uma linguagem comum.
+1
Recommended