AUDITORIA DE PROCESSOS

BASEADA EM RISCOS

Diorgens Miguel Meira

TECNOLOGIA DA INFORMAÇÃO NO BNB2

O BANCO DO NORDESTE1

AUDITORIA NO BANCO DO NORDESTE3

AGENDA

SELEÇÃO DE PROCESSOS CRÍTICOS4

AUDITORIA DE PROCESSOS DE TI5

Atuação do Banco do Nordeste

Área de atuação: 1.775,4 mil Km2

Municípios atendidos: 1.990 (11 Estados)

Quantidade de agências: 187

Nº de funcionários: 6.066

¹ IBGE – CENSO 2010 e PNAD 2009

² BACEN - Estimativa

O Banco do Nordeste tem como área básica de atuação os nove Estados da Região Nordeste, o norte e os Vales do Mucuri e do Jequitinhonha do Estado de Minas Gerais e o norte do Estado do Espírito Santo.

Indicador NE BR NE/BR (%)

Nº de Estados 9 27 33,3

Área (Km²) 1.554.388 8.502.728 18,3

População – 2010¹ (milhões de habitantes) 53,1 190,7 27,8

PIB – 2008¹ (R$ bilhões correntes 397,5 3.031,9 13,1

PIB per capita – 2008¹ (R$ 1,00) 7.487,55 15.989,77 46,8

População em extrema pobreza – 2010¹ (%) 18,1 8,5

Índice de Desenvolvimento Humano (IDH) –2007²

0,749 0,816

Taxa (%) de analfabetismo – 2010¹ (pessoas de 15 anos ou mais)

19,1 9,6

Tecnologia da Informação no Banco do Nordeste

TECNOLOGIA

DA INFORMAÇÃO

DESENVOLVIMENTO

DE SOFTWARE

ARQUITETURA DE

SOFWARE

APOIO À DECISÃO E

GOVERNANÇA

INFRAESTRUTURA

DE TI

200 funcionários.

Processo centralizado de desenvolvimento de software (padrão RUP).

04 fábricas de software.

250 sistemas.

Gestão por projetos.

Uso de padrões ITIL.

Mainframe IBM Z9 (z/OS).

Servidores Windows 200x/Red Hat Linux ES 4/5.

Estações Windows XP/Windows 7.

Detalhes: documentos à parte.

Auditoria no Banco do Nordeste

CONSELHO DE ADMINISTRAÇÃO

ÁREA DE AUDITORIA

ASSEMBLÉIA GERAL

DIRETORIA DE GESTÃO DO

DESENVOLVIMENTO

DIRETORIA FINANCEIRA E DE

MERCADO DE CAPITAIS

DIRETORIA DE NEGÓCIOS

DIRETORIA DE CONTROLE E RISCO

DIRETORIA DE ADM. DE RECURSOS DE

TERCEIROS

DIRETORIA ADM. E DE TECNOLOGIA DA

INFORMAÇÃO

COMITÊ DE AUDITORIA

CONSELHO FISCAL

OUVIDORIA

DIRETORIA

PRESIDÊNCIA

CONTROLADORIA-GERAL DA UNIÃO

(CGU)

Auditoria do Banco do Nordeste

Responsabilidade Básica:

Assessorar a alta administração e colegiados estatutários(Conselho Fiscal, Conselho de Administração e Comitê deAuditoria) fornecendo informações sobre a adequação,integridade, aplicabilidade, conformidade, riscos e qualidadedos controles relativos aos processos da Instituição.

Coordenar as demandas oriundas de órgãos externos decontrole e fiscalização.

Instaurar procedimentos administrativos com vista à apuraçãode responsabilidades funcionais.

Quantitativo: 72 funcionários.

Contexto em que está inserida a Área de Auditoria

Área de Auditoria

Contexto em que está inserida a Área de Auditoria

Riscos

identificados nos

Processos do

Banco

Área de Auditoria

Programa

Estratégico do

Banco do

Nordeste

Contexto em que está inserida a Área de Auditoria

Riscos

identificados nos

Processos do

Banco

Banco Central do

Brasil (BACEN)

Tribunal de Contas

da União (TCU)

Controladoria-

Geral da União

(CGU)

Auditoria Externa

Área de Auditoria

CVM

ANBIMA

Programa

Estratégico do

Banco do

Nordeste

Contexto em que está inserida a Área de Auditoria

Riscos

identificados nos

Processos do

Banco

Comitê de

Auditoria

Conselho de

AdministraçãoBanco Central do

Brasil (BACEN)

Tribunal de Contas

da União (TCU)

Controladoria-

Geral da União

(CGU)

Conselho Fiscal Auditoria Externa

Área de Auditoria

CVM

ANBIMA

Programa

Estratégico do

Banco do

Nordeste

SELEÇÃO DE PROCESSOS CRÍTICOS

Determinação Legal

Instrução Normativa Nº 07, de 29/12/2006 da Controladoria-Geral da

União (CGU)

“O planejamento das atividades de auditoria interna das entidades da

administração indireta do Poder Executivo Federal será consignado

no Plano Anual de Atividades de Auditoria Interna – PAINT, que

conterá a programação dos trabalhos da unidade de auditoria interna

da entidade para um determinado exercício.”

Planejamento da Área de Auditoria

Conformidade com as Normas Internacionais para a

Prática Profissional de Auditoria Interna

Orientação Prática 2010-1:

Vínculo do Planejamento de Auditoria com Risco e Exposições

“O executivo chefe de auditoria deve estabelecer um planejamento baseado em

riscos para determinar as prioridades da atividade de auditoria interna, de forma

consistente com as metas da organização.”

Interpretação:

“O executivo chefe de auditoria é o responsável pelo desenvolvimento de um

planejamento baseado em riscos. O executivo chefe de auditoria leva em

consideração a estrutura de gerenciamento de riscos da organização, incluindo o

uso dos níveis de apetite de risco estabelecidos pela administração para as

diferentes atividades ou partes da organização. Se não houver uma estrutura, o

executivo chefe de auditoria utiliza seu próprio julgamento quanto aos riscos após

consultar a alta administração e o conselho.”

Planejamento da Área de Auditoria

Princípios da Metodologia ‘Auditoria de

Processos com Foco em Riscos’

VISÃO SISTÊMICA

VISÃO ESTRATÉGICA

VISÃO DE RISCO

FOCO NO FUTURO

AVALIAÇÃO DA GESTÃO DE

RISCOS

Matriz de Riscos

Critérios para Priorização dos Processos Críticos

• Escassez de auditorias nos últimos 3 anos.

• Vinculação aos Programas Temáticos do PPA 2012–2015

Banco do Nordeste.

• Objeto de Recomendações da Alta Administração.

• Sensibilidade a Fraudes.

•Riscos expostos (recomendações da Auditoria Interna ainda

não implementadas).

• Objeto de Recomendação dos Órgãos de Controle e

Fiscalização.

• Diretrizes Estabelecidas pela Secretaria Federal de

Controle Interno (IN 01/2001).

• Impacto na Prestação de Contas do Banco.

• Exposição Financeira do Processo.

• Complexidade do Processo.

Critérios

Objetivos

Critérios

Subjetivos

Critérios para Priorização dos Processos Críticos

Primeira Análise

Aplicação dos critérios - baseada em documentos e informações de sistemas do

Banco.

Pontuação dos critérios - de 1 ‘um’ (menor impacto) a 3 ‘três’ (maior impacto).

Pontuação dos Processos – depois de aplicados todos os critérios, é gerado um

ranking.

Segunda Análise

Aplicação de critérios subjetivos:

Exposição financeira.

Complexidade do processo.

Final

Processos classificados quanto à criticidade (alta, média ou baixa).

AUDITORIA DE PROCESSOS DE

TECNOLOGIA DA INFORMAÇÃO

18/49/(34)

COBIT - Um Modelo de Apoio

Guia de boas práticas criado pela ISACA (Information Systems Audit and ControlAssociation), apresentado como um framework dirigido para a gestão daTecnologia da Informação (TI). Inclui recursos tais como objetivos de controle paraprocessos de TI, mapas de auditoria, um conjunto de ferramentas deimplementação e um guia com técnicas de gerenciamento.

+2

19/49/(34)

Domínios dos processos de TI - COBIT

+4

20/49/(34)

Processos de TI conforme COBIT

Domínio Planejar e Organizar (PO)PO1 Define o plano estratégico de TI;PO2 Define a arquitetura da informação;PO3 Determina a direção tecnológica;PO4 Define os processos, a organização e seus

relacionamentos de TI;PO5 Gerencia os investimento de TI;PO6 Comunica diretrizes e expectativas...;PO7 Gerencia os recursos humanos de TI;PO8 Gerencia a qualidade;PO9 Avalia e gerencia os riscos de TI;PO10 Gerencia os projetos de TI.

Domínio Adquirir e Implementar (AI)AI1 Identifica as soluções automatizadas;AI2 Adquire e mantém softwares aplicativos;AI3 Adquire e mantém a infraestr. de tecnologia;AI4 Habilita operação e uso;AI5 Adquire recursos de TI;AI6 Gerencia as mudanças;AI7 Instalar e homologar soluções e mudanças.

Domínio Entrega e Suportar (DS)DS1 Define e gerencia acordos de nível de serviço;DS2 Gerencia os serviços de terceiros;DS3 Gerencia a capacidade e desempenho;DS4 Assegura a continuidade dos serviços;DS5 Assegura a segurança dos serviços;DS6 Identifica e aloca custos;DS7 Treina os usuários;DS8 Gerencia central de serviços e incidentes;DS9 Gerencia a configuração;DS10 Gerencia os problemas;DS11 Gerencia os dados;DS12 Gerencia o ambiente físico;DS13 Gerencia as operações.

Domínio Monitorar e Avaliar (ME)ME1 Monitora e avalia o desempenho;ME2 Monitora e avalia os controles internos;ME3 Assegurar a conformidade com req. Externos;ME4 Provê a governança de TI.

+3

21/49/(34)

Diretrizes para Auditorias de TI

• Auditorias em processos de TI (Visões de processos do COBIT) –Objetos de auditoria são estruturados em processos de TI, alinhados à metodologia de auditoria interna em processos corporativos com foco em riscos utilizada.

• Auditoria baseada em risco – Base nos objetivos x riscos x controles do COBIT, estendida após o estudo de cada processo avaliado.

• Escopos e Focos – Os escopos de auditoria serão desenvolvidos baseados nos objetivos dos processos COBIT. Sistemas aplicativos específicos poderão ser focos do trabalho e ou comporão amostras de avaliação dos processos.

• Correlações - Utilização de mapeamento entre o arcabouço COBIT e as metodologias e boas práticas de uso comum na área de TI e segurança da informação, tal quais ITIL, ISO 27001/27002 e RUP.

+12

22/49/(34)

Metodologia para os Trabalhos

• Etapas Planejamento

• Estratégico: Planejamento Anual de Auditoria Interna.

Definição de Escopos (Mapeamentos & Correlações)

• Tático: definição de escopos Planos operacionais.

Execução de Testes

• Operacional: aplicação de testes de controles.

• Comunicação de resultados.

+11

23/49/(34)

Roteiro de Avaliação

Plan

ejam

ento

táticoe esco

po

Execução

aplicação

testesP

lanejam

ento

estratégico

Plan

ejame

nto

An

ual d

e Au

dito

riasd

e TI

Escop

o e

ob

jetivos d

etalhad

os:

Plan

o O

perac. revis.

• Estabelecer universo da avaliação da TI -> seleção de processos objetos.• Selecionar um arcabouço de controle de TI.• Realizar planejamento da avaliação de TI baseada em risco.• Realizar avaliação de alto nível nos processos em foco.• Definir os objetivos e escopos de alto nível.

Objetivos de negóciosMetas de TI

Principais processos de TI e os principais recursos de TIPrincipais objetivos de controle

Principais objetivos de controle customizados

Detalhar acompreen-

ção sobreo objeto

de TI emavaliação

Detalhar oescopo dos

objetivosde controledo objeto avaliado

Testar aEfetividadedos controles

para os objetivoschaves

Testar, senecessário,

resultadosdos objetivoschaves doscontroles

Documentaro impacto

dasfraquezas

dos controles

Elaborar e comunicar

todas asconclusões

e recomen-dações.

Relató

rios:

Co

nclu

são d

asA

valiações d

a aud

it.

+10

24/49/(34)

Plan

ejam

ento

tático e esco

po

Execução

aplicação

testesP

lanejam

ento

estratégico

Plan

ejame

nto

An

ual d

e Au

dito

riasd

e TI

Escop

o e

ob

jetivos d

etalhad

os:

Plan

o O

perac. revis.

Detalhar acompreen-

ção sobreo objeto

de TI emavaliação

Detalhar oescopo dos

objetivosde controledo objeto avaliado

Testar aEfetividadedos controles

para os objetivoschaves

Testar, senecessário,

resultadosdos objetivoschaves doscontroles

Documentaro impacto

dasfraquezas

dos controles

Elaborar e comunicar

todas asconclusões

e recomen-dações.

Relató

rios:

Co

nclu

são d

asA

valiações d

a aud

it.• Estabelecer universo da avaliação da TI -> seleção de processos objetos.• Selecionar um arcabouço de controle de TI.• Realizar planejamento da avaliação de TI baseada em risco.• Realizar avaliação de alto nível nos processos em foco.• Definir os objetivos e escopos de alto nível.

Objetivos de negóciosMetas de TI

Principais processos de TI e os principais recursos de TIPrincipais objetivos de controle

Principais objetivos de controle customizados

+9

Roteiro de Avaliação

25/49/(34)

Planejamento estratégico

• Seleção dos processos de TI a serem auditados (visão COBIT):objetivos de controle de alto nível se relacionando compossíveis objetos de auditoria que comporão o PAINT.

• Definição do conjunto de trabalhos a serem realizados em cadaperíodo do ciclo anual de auditorias.

• Priorização dos processos de TI será feita levando emconsideração sua importância no suporte dos processos denegócios priorizados.

• Produtos:– Planejamento Anual de Auditoria Interna: onde os processos de TI

selecionados farão parte, juntamente com os demais processoscorporativos mapeados pela Auditoria para os trabalhos.

+8

26/49/(34)

Plan

ejam

ento

tático e esco

po

Plan

ejamen

toestratégico

Plan

ejame

nto

An

ual d

e Au

dito

riasd

e TI

Escop

o e

ob

jetivos d

etalhad

os:

Plan

o O

perac. revis.

• Estabelecer universo da avaliação da TI -> seleção de processos objetos.• Selecionar um arcabouço de controle de TI.• Realizar planejamento da avaliação de TI baseada em risco.• Realizar avaliação de alto nível nos processos em foco.• Definir os objetivos e escopos de alto nível.

Objetivos de negóciosMetas de TI

Principais processos de TI e os principais recursos de TIPrincipais objetivos de controle

Principais objetivos de controle customizados

Execução

aplicação

testes

Detalhar acompreen-

ção sobreo objeto

de TI emavaliação

Detalhar oescopo dos

objetivosde controledo objeto avaliado

Testar aEfetividadedos controles

para os objetivoschaves

Testar, senecessário,

resultadosdos objetivoschaves doscontroles

Documentaro impacto

dasfraquezas

dos controles

Elaborar e comunicar

todas asconclusões

e recomen-dações.

Relató

rios:

Co

nclu

são d

asA

valiações d

a aud

it.

+7

Roteiro de Avaliação

27/49/(34)

Planejamento tático e escopos• Definição dos escopos dos trabalhos a partir do estudo

detalhado dos objetivos de cada atividade a ser avaliada.

• Refinamento do escopo preliminar da fase anterior.

• Identificação dos controles e testes relacionados com os riscosdas atividades.

• Documentação da avaliação dos controles relacionado com osriscos.

• Produtos:

– Plano Operacional revisado.

– Mapeamento do processo objeto do trabalho de auditoria.

– Matriz de criticidade das atividades do processo.

– Programas de Testes.

– Versões prévias de relatórios.

+6

28/49/(34)

Plan

ejam

ento

tático e esco

po

Execução

aplicação

testesP

lanejam

ento

estratégico

Detalhar acompreen-

ção sobreo objeto

de TI emavaliação

Detalhar oescopo dos

objetivosde controledo objeto avaliado

Testar aEfetividadedos controles

para os objetivoschaves

Testar, senecessário,

resultadosdos objetivoschaves doscontroles

Documentaro impacto

dasfraquezas

dos controles

Elaborar e comunicar

todas asconclusões

e recomen-dações.

Plan

ejame

nto

An

ual d

e Au

dito

riasd

e TI

Escop

o e

ob

jetivos d

etalhad

os:

Plan

o O

perac. revis.

Relató

rios:

Co

nclu

são d

asA

valiações d

a aud

it.• Estabelecer universo da avaliação da TI -> seleção de processos objetos.• Selecionar um arcabouço de controle de TI.• Realizar planejamento da avaliação de TI baseada em risco.• Realizar avaliação de alto nível nos processos em foco.• Definir os objetivos e escopos de alto nível.

Objetivos de negóciosMetas de TI

Principais processos de TI e os principais recursos de TIPrincipais objetivos de controle

Principais objetivos de controle customizados

+5

Aplicação de testes

29/49/(34)

Correlações

• Utilização de modelos ou metodologias diversos naoperacionalização dos processos de TI:

– Gestão de serviços de infraestrutura de TI: ITIL.

– Sistema de Gerenciamento da Segurança da Informação: normas ISO 27001 / ISO 27002.

– Metodologia/Modelos de Desenvolvimento de Software: RUP.

• Correlação entre metodologias / modelos utilizados e avisão de processos de TI utilizado pela auditoria(COBIT).

+6

30/49/(34)

Correlação com ITIL

+5

31/49/(34)

• Objetivos de controle da ISO 27001.

• Mapeamento entre Processos COBIT e objetivos de controle da27001. Exemplo:

• Testes dos controles da ISO levarão em conta também os riscosdocumentados nos processos do COBIT mapeados.

Correlação com ISO 27001

+2

Processo COBIT Objetivo de controle ISO 27001

DS4 (Garantia da Continuidade dos

Serviços)03 itens: A6.1, A10.5 e A14.1

DS5 (Garantia da Segurança dos

Sistemas)

33 itens: A5.1, A6.1, A6.2, A8.1 a A8.3, A9.1, A9.2, A10.1,

A10.4, A10.6 a A10.10, A11.1 a A11.7, A12.2 a A12.4,

A12.6, A13.1, A13.2, A15.1 a A15.3.

DS11 (Gerenciar Dados) 06 itens: A9.2, A10.5, A10.7, A10.8, A12.4 e A15.1.

DS12 (Gerenciar o Ambiente Físico) 03 itens: A6.2, A9.1 e A9.2.

Aspecto que trata do conjunto de “produtos” gerados a cada fase (atividades,artefatos, fluxos de trabalho etc.), tomando-os como os possíveis controles, masnão somente estes, sendo a sua observância matéria de análise do auditor doprocesso de TI advindo da visão de processos COBIT.

32/49/(34)

Correlação com RUP

aspecto dinâmico, relacionado com

os marcos das fases do processo.

• Visão do processo (COBIT) AI2 - Aquisição e Manutenção deSoftware Aplicativo.

• Fase Definição de Escopos & Mapeamentos: avaliação de riscosinerentes aos aspectos do eixo vertical do RUP.

• Fase Execução (Aplicação de testes): focada no eixo horizontal doRUP, onde serão testados os controles requeridos entre as fasesdo Processo, quanto a sua observância e eficácia.

33/49/(34)

Correlação com RUP

Eixo horizontal (Aspecto dinâmico)

Eix

o v

ertic

al (P

rod

uto

s g

era

do

s)

+1

34/49/(34)

Resultados de auditoria

+1

• Plano Anual de Auditoria Interna (PAINT).

• Planos Operacionais dos trabalhos.

• Registros de Constatação:

• Pontos de auditoria: fraquezas do processo objeto.

• Relatório de Auditoria.

35/49/(34)

Conclusão

• A qualidade das informações produzidas pela Auditoria pode serpercebida a partir da utilização de uma metodologia de execução dosprocedimentos dos trabalhos utilizada.

• A utilização da visão de processos utilizando metodologias baseadasem boas práticas disseminadas promove a padronização dasestruturas de trabalho, o que faz com que as equipes de auditoria deTI falem e entendam uma linguagem comum.

+1

AUDITORIA DE PROCESSOS

BASEADA EM RISCOS

Diorgens Miguel Meira

diorgens@bnb.gov.br

Obrigado!