Metodologia e ferramentas de suporte à auditoria de de dados... · à importância do sistema,

  • View
    212

  • Download
    0

Embed Size (px)

Text of Metodologia e ferramentas de suporte à auditoria de de dados... · à importância do sistema,

  • Secretaria de Fiscalizao de Tecnologia da Informao 1

    Metodologia e

    ferramentas de suporte

    auditoria de dados

    Secretaria de Fiscalizao de Tecnologia da Informao

    Marcio Rodrigo Braz, Me

    Maio de 2012

  • Secretaria de Fiscalizao de Tecnologia da Informao 2

    Conhecer a atuao da Sefti em ATI

    Distinguir as diferentes abordagens em fiscalizaes de

    tecnologia da informao (TI)

    Introduzir o conceito de CAATTs

    Apresentar a metodologia de auditoria de dados

    Demonstrar aplicaes para uso da tcnica

    Objetivos do Minicurso

    2

  • Secretaria de Fiscalizao de Tecnologia da Informao 3

    Agenda

    Introduo Auditoria de TI

    Por que fiscalizao de TI e o papel do auditor

    Atuao da Sefti/TCU

    Abordagens de auditoria de TI

    Normas e Padres em ATI

    Introduo ao uso de CAATs

    Auditoria de Dados

    Padres de auditoria no TCU

    Metodologia de auditoria de dados

    3

  • Secretaria de Fiscalizao de Tecnologia da Informao 4

    Por que fiscalizao em

    tecnologia da informao?

    Materialidade: a Unio programou gastar R$ 18 bilhes em 2011 com TI

    Altos investimentos e grandes riscos.

    Criticidade: todas as reas crticas da administrao pblica dependem de TI

    + sistemas => +complexidade e +interconectividade.

    + interconectividade induz maior vulnerabilidade a ameaas externas.

    Pequenos erros podem produzir grandes danos.

    4

    Sefti_Infoseg_SBT.mpg

  • Secretaria de Fiscalizao de Tecnologia da Informao 5

    Os considerveis gastos investidos no processamento eletrnico de dados demandam por auditorias apropriadas. Tais auditorias devem ser baseadas em sistemas e abranger aspectos, tais como: planejamento; uso econmico dos equipamentos de processamento de dados; alocao de pessoal com habilidades apropriadas, preferencialmente dentro da administrao da organizao auditada; preveno ao mau uso; e utilidade da informao produzida

    (Intosai, Declarao de Lima que contm os princpios da Auditoria, 1977)

    Por que fiscalizao em

    tecnologia da informao?

    5

  • Secretaria de Fiscalizao de Tecnologia da Informao 6

    Necessria a incorporao de mecanismos de controle cada vez mais poderosos.

    Impactos na forma como os entes fiscalizadores exercem suas competncias.

    Preparao dos entes fiscalizadores para enfrentar o desafio de auditar uma Administrao Pblica cada vez mais informatizada, sujeita a maiores riscos e com um sistema de controle interno mais complexo.

    Necessidade do auditor de conviver com novos conceitos e metodologias de trabalho.

    Por que fiscalizao em

    tecnologia da informao?

    6

  • Secretaria de Fiscalizao de Tecnologia da Informao 7

    Grande parte dos controles internos de uma organizao est embutida em sistemas informatizados.

    O trabalho de auditoria baseia-se, na maior parte das vezes, em informaes oriundas de sistemas informatizados, as quais serviro de evidncias para os achados de auditoria.

    Uma auditoria de conformidade (financeira) ou operacional, frequentemente requer consideraes sobre os controles gerais de TI e, a depender dos objetivos almejados, uma avaliao dos dados.

    Por que fiscalizao em

    tecnologia da informao?

    7

  • Secretaria de Fiscalizao de Tecnologia da Informao 8

    Avaliao do ambiente de controle:

    o auditor, para determinar a extenso e o alcance da

    fiscalizao, deve examinar e avaliar o grau de confiabilidade dos controles internos (Normas de Auditoria da INTOSAI).

    O papel do auditor auditar as polticas, prticas e procedimentos de controle interno de uma organizao, a fim de assegurar que os controles so adequados para se alcanar a misso institucional. (Intosai, Controle Interno: estabelecendo uma base para prestao de contas no governo, 2001)

    8

    Papel do auditor

  • Secretaria de Fiscalizao de Tecnologia da Informao 9

    Auditores internos devem ter conhecimento

    suficiente dos principais riscos e controles de TI e

    das tcnicas de auditoria disponveis, baseadas

    em tecnologia, para realizar seus trabalhos.

    Porm, no esperado que todos auditores

    tenham as habilidades de um auditor interno com

    a responsabilidade primria de auditar TI.

    (Internal Auditor Institute / IPPF - Padro 1210.A3)

    9

    Papel do auditor

  • Secretaria de Fiscalizao de Tecnologia da Informao 10

    Se os auditores internos tero que confiar no sistema de processamento de dados como base para determinar a validade de sua sada, eles devem ser capazes de analisar o sistema e seus controles ou requisitar pessoas que o faam. Dada importncia do sistema, mudanas em seu ambiente de operao e na forma em que o dado processado so tambm crticas para o auditor.

    (Internal Auditor Institute, Global Technology Audit Guides-GTAG).

    10

    Papel do auditor

  • Secretaria de Fiscalizao de Tecnologia da Informao 11

    E a auditoria de TI?

    11

  • Secretaria de Fiscalizao de Tecnologia da Informao 12

    Auditoria de Tecnologia da Informao

    Processo que busca evidncias para certificar-se de que

    os recursos de tecnologia da informao:

    possibilitam que os objetivos de negcio sejam

    alcanados;

    so usados com eficincia e em conformidade com

    as leis e normas aplicveis; e

    so adequadamente protegidos para prover

    informao confivel sempre que requerida s

    pessoas autorizadas.

    12

  • Secretaria de Fiscalizao de Tecnologia da Informao 13

    Exemplos de atividades

    Verificar: a estrutura de governana de TI da organizao

    a confiabilidade das informaes processadas por sistemas.

    a segurana fsica e/ou lgica da rea de TI de uma organizao.

    o correto funcionamento de um sistema computadorizado.

    a adequao e o correto funcionamento da infraestrutura da rea de TI (banco de dados, redes de computadores etc).

    o desempenho da rea de TI com vistas ao atendimento dos objetivos de negcio.

    a qualidade dos produtos, dos sistemas e dos servios oferecidos pela rea de TI ao negcio.

    a correta contratao de bens e servios de TI

    13

  • Secretaria de Fiscalizao de Tecnologia da Informao 14

    Atuao dos Auditores

    Formao de equipes :

    Auditores (AUFCs)

    Auditores de TI (AUFCs - ATI): O currculo de habilidades e tcnicas da Intosai para o perfil de Auditor

    de TI baseia-se no universo de conhecimentos exigidos no programa de certificao CISA

    Certified Information Systems Auditor (CISA): Criada e mantida pela Isaca. referncia mundial na rea de Auditoria de TI, tendo mais de 85.000 profissionais certificados

    A Sefti possui 10 auditores certificados CISA e o TCU possui 15

    Especialistas em TI (AUFCs - TI)

    14

  • Secretaria de Fiscalizao de Tecnologia da Informao 15

    Agenda

    Introduo Auditoria de TI

    Por que fiscalizao de TI e o papel do auditor

    Atuao da Sefti/TCU

    Abordagens de auditoria de TI

    Normas e Padres em ATI

    Introduo ao uso de CAATs

    Auditoria de Dados

    Padres de auditoria no TCU

    Metodologia de auditoria de dados

    15

  • Secretaria de Fiscalizao de Tecnologia da Informao 16

    O que a Secretaria de

    Fiscalizao de TI (Sefti)

    do TCU?

    16

  • Secretaria de Fiscalizao de Tecnologia da Informao 17

    SEFTI Origem

    1992 2006

    Criao de grupos especficos para auditoria de TI

    Elaborao de padres, manuais, procedimentos

    de auditoria de sistemas

    Vrias auditorias na rea de TI

    Realizao de cursos e capacitao

    Agosto/2006

    Criao de uma secretaria especializada para o

    controle externo (Sefti) Res. TCU 193/2006.

    17

  • Secretaria de Fiscalizao de Tecnologia da Informao 18

    Negcio

    Controle externo da governana de tecnologia da informao

    na Administrao Pblica Federal.

    Misso

    Assegurar que a tecnologia da informao agregue valor ao

    negcio da Administrao Pblica Federal em benefcio da

    sociedade.

    Viso

    Ser unidade de excelncia no controle e no aperfeioamento da governana de tecnologia da informao.

    18

    Mapa estratgico

  • Secretaria de Fiscalizao de Tecnologia da Informao 19

    A SEFTI hoje

    Quantos somos

    28 servidores: 26 auditores e 2 tcnicos

    Formao em reas de TI e Direito

    12 CISA + 5 outras certificaes (CGEIT, CISSP etc)

    3 Mestres e 8 MBA

    Estrutura

    03 diretorias, 02 assessorias e 01 servio de

    administrao

    19

  • Secretaria de Fiscalizao de Tecnologia da Informao 20 20

    A SEFTI hoje

    Aes estruturantes

    Cartilhas e manuais

    Levantamento de governana de TI

    Cursos

    Notas tcnicas

    Orientaes

    Eventos na rea de controle e governana de TI

    Controle externo em ao

    Dilogos com gestores

    Eventos para a alta administrao

    Conversa com a iniciativa privada

  • Secretaria de Fiscalizao de Tecnologia da Informao 21

    Acessveis no portal:

    http://www.tcu.gov.br/fiscalizacaoti

    21

  • Secretaria de Fiscalizao de Tecnologia da Informao 22

    Agenda

    Introduo Auditoria de TI

    Por que fiscal