auditoria de ti na prÁtica – caso do banco central do brasil
TRANSCRIPT
AUDITORIA DE TI NA PRÁTICA – CASO DO BANCO CENTRAL DO BRASIL
Auditoria Interna do Banco Central do Brasil (Audit)
1
Palestrante
– Chefe da Divisão de Auditoria de TI do Bacen;
– Formado em Administração de Empresas;
– Pós graduado em Contabilidade e Auditoria e em Gestão de TI;
– Auditor de TI desde 1998;
– Nascido no Rio de Janeiro (1966);
– Torcedor do Flamengo (não praticante).
Cosme Leandro do Patrocínio
Agenda
• O Banco Central do Brasil (Bacen) e seu contexto;
• Sistemas de Informação do Bacen e seus riscos;
• Missão da Auditoria Interna e a responsabilidade de auditar TI;
• A importância do CobiT para a Auditoria Interna do Banco Central;
• O processo de Auditoria Interna de TI; e
• Considerações Finais.
3
• Autarquia Federal vinculada ao Ministério da Fazenda;
• Criado, em 31.12.1964, com a promulgação da lei4.595;
• Tem por finalidade:
a) a formulação, a execução, o acompanhamento eo controle das políticas monetária, cambial, decrédito e de relações financeiras com oexterior;
b) a organização, a disciplina e a fiscalização doSistema Financeiro Nacional; e
c) a gestão do Sistema de Pagamentos Brasileiroe dos serviços do meio circulante.
4
Edifício-Sede do Banco Central do Brasil em Brasília
5
ESTRUTURA
ORGANIZACIONAL
6
PLANEJAMENTO ESTRATÉGICO: 2010-2014
• MISSÃO INSTITUCIONAL
– Assegurar a estabilidade do poder de compra da moeda e um sistema financeiro sólido e eficiente.
• VISÃO DE FUTURO 2014
– O Banco Central, por sua atuação autônoma, pela qualidade dos seus produtos e serviços, assegurada pelos seus processos de gestão, pela competência dos seus servidores, será reconhecido cada vez mais como instituição essencial à estabilidade econômica e financeira, indispensável ao desenvolvimento sustentável do Brasil.
7
PLANEJAMENTO ESTRATÉGICO: 2010-2014• OBJETIVOS ESTRATÉGICOS 2010- 2014
1. Assegurar o cumprimento das metas de inflação estabelecidas pelo Conselho Monetário Nacional.
2. Assegurar a solidez e o regular funcionamento do Sistema Financeiro Nacional.
3. Promover a eficiência do Sistema Financeiro Nacional e a inclusão financeira da população.
4. Assegurar o suprimento de numerário adequado às necessidades da sociedade.
5. Aprimorar o marco regulatório para o cumprimento da missão institucional.
6. Promover melhorias na comunicação e no relacionamento com os públicos interno e externo.
7. Aprimorar a governança, a estrutura e a gestão da Instituição.
8. Fortalecer a inserção internacional da Instituição.
8
Exemplos de Sistemas do Bacen
• Sistema de Pagamentos Brasileiro
– Sistema de Transferência de Reservas (STR);
– Sistema Especial de Liquidação e Custódia (Selic);
– Sistema de Redesconto (RDC);
– Sistema de Lançamentos do Banco Central (SLB).
• Política Cambial
– Sistema de Registro Centralizado de Operações de
Câmbio (Câmbio).
9
Exemplos de Sistemas do Bacen
• Relações Financeiras com o Exterior
– Sistema de Gerenciamento das Reservas
Internacionais (Geinter);
– Sistema Benchmark – Gestão de Riscos das
Operações Internacionais;
– Sistema de Administração das Reservas (SAR);
– Sistema Integrado de Comércio Exterior
(Siscomex).
10
Exemplos de Sistemas do Bacen
• Serviços do Meio Circulante
– Sistema de Administração do Meio Circulante (SISMECIR).
• Sistema Financeiro Nacional
– Fiscalização e Supervisão do Sistema Financeiro Nacional (SUPER);
– Sistema de Informações de Crédito do Banco Central (SRC);
– Sistema Integrado de Monitoramento (SIM).
11
Exemplos de Sistemas do Bacen
• Política Monetária
– Date Warehouse;
– Ferramentas de Business Intelligence (BI);
– Sistemas Econométricos.
12
Auditoria Interna (IIA)
•A auditoria interna é uma atividade independente e objetiva que presta serviços de avaliação e de consultoria com o objetivo de adicionar valor e de melhorar as operações de uma organização.
•A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e a melhoria da eficácia dos processos de gerenciamento de risco, docontrole e da governança corporativa.
13
Processo de Gestão das Atividades da Auditoria Interna
Processo de Planejamento Tático
Processo de Realização de Auditoria Interna
Processo de Acompanhamento das Recomendações de Auditoria
Objetos de Auditoria de TI 1998-2001
Operacional de TI
•Microinformática;
•Segurança Física;
•Segurança Lógica;
•Redes Locais.
2002-2003
Sistemas Informatizados
•Sistemas Informatizados de Departamentos;
• Administração do Centro de Serviço de Informática;
•Estrutura Normativa da Área de Informática.
2004-2005
Gestão de TI
•Administração da Infraestrutura de TI;
•Gerência e Desenvolvimento Organizacional de TI;
•Segurança da Informação;
•Administração de Banco de Dados;
•Administração de Sítios.
2006-2008
Áreas de conhecimento
de TI
•Administração de Redes;
•Administração de Banco de Dados;
•Administração de Dados;
•Gestão de TI;
•Gestão do Ciclo de Vida de Sistemas de Informação;
•Gerência de Mudanças.
2009-2011
Governança de TI
Baseado em 31 Processos
Genéricos de TI, do CobiT 4.1
•Viabilização da Governança de TI;
•Garantia da Segurança de Sistemas Informatizados;
•Gestão de Investimentos de TI;
•Identificação e Alocação de Custos de TI.
1998 - 2001 – Auditorias focadas no operacional da área de TI;
2002 - 2003 – Os sistemas de informação passam a ser os objetos de auditoria;
2004 - 2005 – A gestão de TI ganha destaque, mas ainda foca principalmente os aspectos operacionais;
2006 - 2008 – Os objetos de auditoria são definidos com base nas áreas de conhecimento de TI;
2009 - 2011 – Auditoria baseada em processos, conforme orientam as normas internacionais de auditoria, do IIA.
<< 18
Uso do CobiT 4.1 pela Auditoria Interna do Bacen
• CobiT é um modelo de referência de Governança para a área de TI, que apresenta os processos e os objetivos de controle que podem ser aplicados na área;
• Bacen o utiliza como um guia para avaliação de instituições financeiras bancárias e não bancárias;
• TCU também utiliza o modelo como base de seus programas de auditoria para avaliação de diversas entidades nacionais; e
• CNJ recomenda, indiretamente, o seu uso para o controle e a governança de TI dos Tribunais de Justiça de todo o país, conforme a Resolução 90, de 29.9.2009.
<<19
Definição de processo e de objetivo de controle do CobiT 4.1
• “O CobiT define as atividades de TI em um modelo de processos genéricos com quatro domínios. Esses domínios são Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar e Monitorar e Avaliar.”
• “Controle é definido como políticas, procedimentos, práticas e estruturas organizacionais criadas para prover uma razoável garantia de que os objetivos de negócios serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos.”
Modelo de Controle
Fronteiras de Negócios, Controles Gerais e Aplicativos
<<
20
Processo de Auditoria Interna de TI
Paint
• Planejamento das Atividades da Auditoria Interna.
Auditoria• Processo da Auditoria.
Follow-up• Acompanhamento das Recomendações.
21
Plano Anual de Atividades da Auditoria Interna (Paint)
• Planejamento anual das auditorias a serem realizadas durante o exercício, conforme definido nas normas vigentes (IN/CGU 1 e 7). Utiliza como base os processos auditáveis integrantes do cadastro da Audit;
• Baseado em processo de trabalho da Audit, que utiliza uma matriz de risco, que relaciona o grau de importância do processo para a organização (avaliação dos gestores dos processos) e o compara com o grau de confiança da auditoria nos controles desses processos;
• Encaminhado previamente à Controladoria-Geral da União (CGU) para avaliação e sugestão e aprovado pela Diretoria Colegiada.
Muito Baixa
Confiabilidade no Controle Interno
Muito Alta Alta Média Baixa
M
u
i
t
o
A
l
t
a
I
m
p
o
r
t
â
n
c
i
a
d
o
P
r
o
c
e
s
s
o
A
l
t
a
M
é
d
i
a
B
a
i
x
a
M
u
i
t
o
B
a
i
x
a
Matriz de risco para elaboração do Paint
<<
22
Etapas do Processo de Auditoria Interna
RELATÓRIO DA AUDITORIA
Elaboração da Minuta do Relatório
Encaminhamento da Minuta para
Avaliação
Encaminhamento do Relatório às
partes interessadas
EXECUÇÃO DA AUDITORIA
Aplicação dos Procedimentos
Apresentação dos Pontos de Auditoria
PLANEJAMENTO DA AUDITORIA
QACI NACI MORCPROCEDI-MENTOS
• Planejamento da Auditoria:
Realiza o levantamento das informações sobre o processo a ser avaliado;
Utiliza como referência básica os preceitos do CobiT 4.1;
As informações levantadas são registradas em papéis de trabalhos específicos e padronizados.
• Execução da Auditoria:
Inicia os trabalhos de campo, buscando as evidências que demonstrem a adequação ou a necessidade de melhoria de controle;
As tarefas são definidas previamente, na fase de planejamento;
Os pontos são apresentados de antemão aos representantes da unidade auditada.
• Relatório de Auditoria:
Elabora o Relatório de Auditoria.
A unidade auditada e/ou recomendada tem a oportunidade de apresentar sugestões e críticas sobre os resultados apresentados.
23
Questionário de Avaliação do Controle Interno de TI
Questão Avaliação Comentário
Questão de controle?
( 1 ) Inexistente( 2 ) Inicial/Ad hoc( 3 ) Repetível ( 4 ) Definido ( 5 ) Gerenciado(na) Não aplicável
Descrição do controle ou justificativa para a sua não aplicação.
• O QACI é o conjunto de questões objetivas que visa auxiliar a avaliação dos controles instituídos para mitigar os riscos inerentes ao processo auditado;
• Conforme definido no escopo do trabalho, estabelecido no Paint, a equipe de auditoria de TI elabora questões objetivas para identificar a existência, a inexistência ou a necessidade ou não de determinados controles;
• Essas questões devem ser alinhadas com o escopo do Paint, que por sua vez foi baseado nos objetivos de controle do CobiT;
• As questões são classificadas com base nos 5 componentes do COSO: Ambiente de controle; Gerenciamento de riscos; Atividade de controle; Comunicação e informação; e Monitoramento.
Escala Descrição
1 - InexistenteControle inexistente e os gestores reconhecem a necessidade do mesmo.
2 – Inicial/Ad hocControle desestruturado, sem padronização e gerido ao nível individual.
3 – RepetívelControle padronizado localmente, no entanto, o treinamento e a comunicação não são formalizados.
4 – DefinidoControle padronizado para todo o processo, com documentação, treinamento e comunicação formais. Contudo, a probabilidade de detecção de desvios é baixa.
5 – GerenciadoControle institucionalizado, com ações detectivas e corretivas para não conformidades. Melhoria contínua, boas práticas e automação são utilizadas
na – Não aplicávelControle Inexistente e os gestores não reconhecem a necessidade dos mesmos.
24
Método para responder as questões do QACI
Item Descrição
AIdentificar a descrição da competência e das atribuições do responsável pela atividade de controle.
BIdentificar a descrição da atividade de controle no MPR da Unidade ou em outro instrumento institucional.
CDescrever o fluxo da atividade de controle, indicando a(s) entrada(s), o processamento e a(s) saída(s).
DIdentificar o(s) artefato(s) onde fica(m) registrado(s) e evidenciado(s) o funcionamento do controle.
EIdentificar o(s) sistema(s) de informação que suporta(m) a atividade de controle.
<<
Fluxograma da Atividade de Controle Analisada
<<
Nota de Avaliação sobre o Controle Interno
• Ao final da aplicação do QACI, o auditor deverá concluir sobre a adequação do controle interno para a atividade sob exame, com base na NACI. O controle interno pode ser considerado: Ótimo; Bom; Regular; Deficiente; ou Precário.
<<
27
Objetivos x Riscos x Controles
• Objetivos: resultados quantitativos e/ou qualitativos que o processo precisa alcançar;
• Riscos: evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre um objetivo; e
• Controles: mitigam, evitam ou transferem os riscos inerentes aos objetivos do processo.
28
<<
MORC
PROCESSO AUDITÁVEL: <Nome do Processo>
Objetivo do Processo de TI
<Descrição do Objetivo do Processo>
Có
dig
od
o R
isco
Des
criç
ão d
o R
isco
Importância do risco
Atividades de Controle
Avaliação do controle
Impacto na Auditoria
Ref.
Imp
acto
Pro
bab
ilid
ade
Res
ult
ado
Nív
el d
e Ef
icác
ia
Co
men
tári
os
Hia
to d
e co
ntr
ole
(p
rio
rid
ade)
Ind
icaç
ão d
e p
roce
dim
ento
s
• O Mapa de Objetivos, Riscos e Controle é o papel de trabalho onde serão registrados os objetivos, os riscos e os controles do processo de TI em análise.
Recebe as informações do QACI, que é a base para a descrição do risco e das atividades de controle;
Possibilita a priorização dos riscos relacionados com o processo; e
Apóia a decisão sobre os objetivos e o escopo do trabalho de auditoria.
<<
29
Importância do Risco
•A equipe de auditoria deve avaliar os riscos identificados, com base na probabilidade e no impacto de sua concretização, utilizando parâmetros de 1 a 5, conforme o “Quadro de distribuição de riscos da atividade”;
• Impacto é a magnitude de um efeito negativo, no caso de o risco se materializar, ou seja, se um evento negativo efetivamente ocorrer;
•Probabilidade de o risco se materializar, considerando a ausência de uma ação administrativa no sentido de mitigá-lo. A equipe pode considerar a existência de controles compensatórios .
<<
QUADRO DE DISTRIBUIÇÃO DE RISCOS DA ATIVIDADE
IMP
AC
TO
Muito altoRisco
alto
Risco
alto
Risco
muito alto
Risco
muito alto
Risco
muito alto
AltoRisco
médio
Risco
médio
Risco
alto
Risco
alto
Risco
muito alto
MédioRisco
baixo
Risco
médio
Risco
médio
Risco
alto
Risco
alto
BaixoRisco
muito baixo
Risco
baixo
Risco
baixo
Risco
médio
Risco
médio
NuloRisco
muito baixo
Risco
muito baixo
Risco
muito baixo
Risco
muito baixo
Risco
muito baixo
Improvável Baixa Média Alta Muito alta
PROBABILIDADE
30
Impacto na Auditoria
•O Hiato de Controle é a matriz resultante da relação entre a importância do risco e a avaliação do controle;
•Com base nos resultados obtidos na matriz, a equipe define os objetivos dos procedimentos que serão executados durante o trabalho de campo da auditoria; e
•Concluída a fase de elaboração e de levantamento das informações gerais sobre o processo auditável, a avaliação do controle interno e dos riscos relacionados, o auditor deve avaliar a adequação dos objetivos e do escopo da auditoria, previstos inicialmente no Paint.
QUADRO DE HIATO DE CONTROLE
RIS
CO
Muito altoPrioridade
alta
Prioridade
alta
Prioridade
muito alta
Prioridade
muito alta
Prioridade
muito alta
AltoPrioridade
média
Prioridade
média
Prioridade
alta
Prioridade
alta
Prioridade
muito alta
MédioPrioridade
baixa
Prioridade
média
Prioridade
média
Prioridade
alta
Prioridade
alta
BaixoPrioridade
muito baixa
Prioridade
baixa
Prioridade
baixa
Prioridade
média
Prioridade
média
Muito baixoPrioridade
muito baixa
Prioridade
muito baixa
Prioridade
muito baixa
Prioridade
muito baixa
Prioridade
muito baixa
Forte SatisfatórioInsatis-
fatórioFraco Inexistente
CONTROLE <<
31
Procedimentos da Auditoria
Questões
Objetos de Teste
Testar
•O procedimento de auditoria é o roteiro que deve identificar o que deve ser feito, como deve ser feito e como os dados e as informações poderão ser obtidos para o alcance dos objetivos do trabalho, considerando, inclusive, o escopo aprovado;
•Para reduzir a subjetividade, geralmente os procedimentos são descritos com base em padrões e/ou normas técnicas publicadas por instituições competentes.
<<
32
Aplicação dos Procedimentos de Auditoria
•A equipe de auditoria, conforme determinado em portaria publicada pela Audit, inicia os trabalhos de campo, aplicando os procedimentos de auditoria definidos na fase de planejamento;
•Os procedimentos elaborados previamente, de forma estruturada, possibilita a otimização na execução dos trabalhos e reduz o volume de demandas de informações, elevando a objetividade dos trabalhos.
•Concluída a aplicação do Programa de Auditoria, a equipe deve reavaliar as informações constantes do QACI e do MORC, além da nota do NACI, quando deve propor os ajustes, se julgar necessários.
<<
33
Apresentação dos Pontos de Auditoria
• Ao final dos trabalhos de campo, a equipe de auditoria realiza reunião com o auditado para tratar dos pontos da auditoria. Nesse momento:
Informa à unidade auditada o resultado do trabalho de auditoria, apresentando os pontos fortes e fracos identificados;
Indica os pontos que serão abordados no relatório, apresentando as evidências ou entendimentos obtidos;
Busca debater as possíveis discordâncias com os pontos apresentados.
<<
34
Elaboração da Minuta do Relatório
• O relatório tem um padrão e utiliza informações produzidas no planejamento e na execução da auditoria:
Preâmbulo do relatório;
Objetivos da auditoria;
Escopo do trabalho da auditoria;
Estrutura do controle interno existente para o processo auditável;
Conclusão sobre o controle interno e o trabalho de auditoria;
Assunto: Número e Título do Assunto;
Evidência identificada: Critério; Condição; Causa; e Conseqüência;
Recomendação;
Prazos acordados com a unidade recomendada para o atendimento das recomendações ou a apresentação do plano de ação.
<<
35
Encaminhamento da Minuta do Relatório da Auditoria para Avaliação
•A minuta do relatório da auditoria é encaminhada à unidade auditada para avaliação e apresentação de prazos;
•A unidade pode apresentar sugestões e críticas, que podem ser oferecidas por escrito ou em reuniões específicas;
•Cabe à equipe de auditoria buscar a melhor solução para os possíveis questionamentos apresentados, observando os princípios éticos que norteiam a profissão de auditor. <<
36
Encaminhamento do relatório às partes interessadas
•O resultado da auditoria registrado em relatórios é encaminhado:
à unidade auditada, para conhecimento e providências;
ao Diretor da área responsável pela unidade recomendada, para conhecimento;
à unidade recomendada, para conhecimento e providências;
à Controladoria-Geral da União, para conhecimento, conforme determinação normativa. <<
37
Acompanhamento das recomendações de auditoria
Audit
•Elabora o relatório da auditoria;
•Acorda prazo com a unidade recomendada para a apresentação do plano de ação ou a conclusão das providências;
•Encaminha relatório da auditoria à unidade recomendada, na situação “pendente de resposta”;
Unidade
Recomendada
•Recebe o relatório da auditoria, com as recomendações pendentes;
•Descreve o plano de ação, detalhando as principais etapas, com os respectivos prazos;
•Encaminha o plano de ação à Auditoria, no prazo acordado. Caso o prazo não tenha sido suficiente, informa o motivo do atraso e solicita novo prazo;
Audit
•Recebe o plano de ação, com o detalhamento das etapas e dos prazos;
•Avalia se o controle descrito no plano de ação mitigará o risco observado;
•Altera a situação da recomendação;
•Encaminha as conclusões da Auditoria à unidade recomendada;
UnidadeRecomendada
•Recebe as conclusões da auditoria sobre o plano de ação apresentado;
•Executa as ações planejadas;
•Informa à Auditoria o andamento das etapas ou a conclusão do plano de ação;
Audit
•Recebe as informações da unidade recomendada sobre o andamento das providências adotadas;
•Avalia as informações apresentadas sobre a recomendação da auditoria;
•Altera a situação da recomendação, se necessário;
•Informa as conclusões da Auditoria sobre as providências adotadas;
Unidade Recomendada
•Avalia as informações apresentadas pela Auditoria;
•Executa o plano de ação e conclui a implantação do controle;
•Informa a conclusão do plano de ação à Auditoria;
Audit
•Recebe a informação sobre a conclusão do plano de ação;
•Avalia as informações apresentadas pela Unidade Recomendada;
•Altera a situação da recomendação para “assunto encerrado”.
•Cada recomendação de auditoria é acompanhada pela Audit;
•As recomendações são agregadas por relatório;
•Os prazos para a conclusão das providências são acordados com a unidade recomendada;
•No vencimento dos prazos, a unidade recomendada deve informar à Audit sobre a conclusão, o andamento ou a motivação do atraso da conclusão do plano de ação;
•Quadrimestralmente, conforme voto, o Auditor-Chefe deverá prestar informações à Diretoria Colegiada, sobre o cumprimento das recomendações.
Considerações Finais
•A TI é um fator-chave para o alcance dos objetivos do Banco Central, uma vez que suporta os processos críticos de negócio, agregando riscos às operações;
•O CobiT 4.1 ampliou a visão da Auditoria Interna e possibilitou uma melhor identificação dos riscos relacionados com a TI e a apresentação de resultados consistentes, com baixo grau de refutação por parte dos auditados;
•Os resultados das auditorias estão provocando discussões internas e a identificação da necessidade de evolução da maturidade dos processos e do modelo de governança de TI, que deve estar sustentada pela governança corporativa;
•Com a implementação e a evolução da maturidade do processo de auditoria interna de TI, percebemos que, para passar para outro patamar de qualidade dos trabalhos, teremos que investir na certificação de nossos auditores.
39
OBRIGADO PELA ATENÇÃO!
DÚVIDAS, OBSERVAÇÕES E SUGESTÕES!
Contato:
40