Controles Internos e Auditoria de TI

5,683 views
5,525 views

Published on

Apresentação de Renato Braga no 5º Governança Aplicada do ISACA Brasília

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,683
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
199
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Controles Internos e Auditoria de TI

  1. 1. 5º Governança Aplicada Controles Internos e Auditoria de TI Renato Braga, CISA, CIA, CGAP Diretor de Educação Isaca Capítulo Brasília Brasília, 16 de setembro de 2011Renato Braga, CISA CIA, CGAP CISA, 1
  2. 2. “Um homem que trabalha com suas mãos é um operário; o que trabalha com suas mãos e o seu cérebro é um artesão, e o que trabalha com suas mãos, seu cérebro e seu coração é um artista”. Louis Nizer, Advogado Norte- Americano nascido na Inglaterra.Renato Braga, CISA CIA, CGAP CISA, 2
  3. 3. Objetivo proposto  Diferenciar controles internos e auditoria de TI até o ponto de identificar os responsáveis por cada uma das atividades.Renato Braga, CISA CIA, CGAP CISA, 3
  4. 4. Agenda  Controles? Por quê? Para quê?  Marcos de controle  Controle interno x Auditoria Interna  Tipos de controle  Tipos de auditoria  Papel do gestor  Papel do auditorRenato Braga, CISA CIA, CGAP CISA, 4
  5. 5. Risco  Efeito da incerteza nos objetivos (ISO 31.000)  Combinação da probabilidade de um evento e suas consequências (ISO 27.002)Renato Braga, CISA CIA, CGAP CISA, 5
  6. 6. Tratamento do risco  Evitar  Mitigar  Diminuindo a probabilidade  Diminuindo as consequências (impacto)  Transferir  Aceitar  O tratamento de riscos pode criar novos riscos ou modificar riscos existentes (ISO 31000).Renato Braga, CISA CIA, CGAP CISA, 6
  7. 7. Por que...  ... implantar controles?  Risco inerente  ...auditar controles?  Risco de controleRenato Braga, CISA CIA, CGAP CISA, 7
  8. 8. Acrescentando ...  Risco inerente  Risco de controle  Risco de detecção  Risco de auditoriaRenato Braga, CISA CIA, CGAP CISA, 8
  9. 9. Por que implantar controles de TI? Vamos refletir sobre alguns casos:  O que pode ocorrer se há segregação de funções em um processo, mas há deficiências no gerenciamento de usuários?  O que pode ocorrer em se há controle de autorização de uma operação, mas há compartilhamento de senhas na organização?  Como ter razoável certeza de que a aplicação que está em produção é a que foi homologada pelo gestor do sistema?  Como ter razoável certeza de que ao processar todas as declarações do IRPF, nenhuma deixou de ser processada?Renato Braga, CISA CIA, CGAP CISA, 9
  10. 10. Agenda  Controles? Por quê? Para quê?  Marcos de controle  Controle interno x Auditoria interna  Tipos de controle  Tipos de auditoria  Papel do gestor  Papel do auditorRenato Braga, CISA CIA, CGAP CISA, 10
  11. 11. COSO  Committe Of Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras).  1992 - Internal Control – Integrated Framework (COSO I)  AICPA, IFAC, IIA, Intosai, BID, Banco Mundial e outros reconhecem e adotam o COSO  2004 - Enterprise Risk Management – Integrated Framework (COSO ERM ou COSO II)Renato Braga, CISA CIA, CGAP CISA, 11
  12. 12. Introdução de novos paradigmas...  COSO I:  Introduziu a noção de que controles internos devem ser ferramentas de gestão e monitoração de riscos em relação ao alcance de objetivos da organização e não mais devem ser dirigidos apenas para riscos de origem financeira ou vinculados a resultados escriturais.  COSO II:  Introduziu a noção de que se deve prever e prevenir os riscos inerentes ao conjunto de processos da organização que possam impedir ou dificultar o alcance de seus objetivos.Renato Braga, CISA CIA, CGAP CISA, 12
  13. 13. Coso I  Ambiente de controle  Avaliação de riscos  Atividades de controle  Informação e comunicação  MonitoramentoRenato Braga, CISA CIA, CGAP CISA, 13
  14. 14. COSO IIRenato Braga, CISA CIA, CGAP CISA, 14
  15. 15. Mais específicos ...  Cobit  NBR ABNT ISO/IEC 27.002:2005Renato Braga, CISA CIA, CGAP CISA, 15
  16. 16. Principais elementos...  Controles  Processos  Objetivos de controle  Maturidade  Entradas e saídas  RACI Chart  Domínios  PO, AI, DS, MERenato Braga, CISA CIA, CGAP CISA, 16
  17. 17. “Popularização” do Cobit  Lei americana Sarbanes-Oxley  Section 404: Assessment of internal control  Comitê da Basiléia  Resolução-Bacen 2.554/1998  Circular-Susep 249/2004Renato Braga, CISA CIA, CGAP CISA, 17
  18. 18. Os dois lados da mesma moeda...Renato Braga, CISA CIA, CGAP CISA, 18
  19. 19. Integração de frameworks COSO COBIT ISO 27002 ISO 9000 O quê ITIL Como Escopo Fonte: Apresentação de André Luiz Furtado PachecoRenato Braga, CISA CIA, CGAP CISA, 19
  20. 20. Agenda  Controles? Por quê? Para quê?  Marcos de controle  Controle interno x Auditoria interna  Tipos de controle  Tipos de auditoria  Papel do gestor  Papel do auditorRenato Braga, CISA CIA, CGAP CISA, 20
  21. 21. Controle  2.2 Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas, ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. Fonte: ABNT NBR ISO/IEC 27002:2005Renato Braga, CISA CIA, CGAP CISA, 21
  22. 22. Definição de Auditoria Interna  A auditoria interna é uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização.  Ela auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança. Fonte: International Professional Practices Framework - IPPFRenato Braga, CISA CIA, CGAP CISA, 22
  23. 23. IN-TCU 63/2010  Art.1º [...]  XV - Controles internos: conjunto de atividades, planos, métodos, indicadores e procedimentos interligados utilizados com vistas a assegurar a conformidade dos atos de gestão e a concorrer para que os objetivos e metas estabelecidos para as unidades jurisdicionadas sejam alcançados;Renato Braga, CISA CIA, CGAP CISA, 23
  24. 24. IN-TCU 63/2010  Art.1º [...]  XVI - Órgãos de controle interno: unidades administrativas integrantes dos sistemas de controle interno da administração pública federal, incumbidos, dentre outras funções, da verificação da consistência e qualidade dos controles internos, bem como do apoio às atividades de controle externo exercidas pelo Tribunal.Renato Braga, CISA CIA, CGAP CISA, 24
  25. 25. IN-SFCI 01/2001  “6. Quanto maior for o grau de adequação dos controles internos administrativos, menor será a vulnerabilidade dos riscos inerentes à gestão propriamente dita” (p. 69)Renato Braga, CISA CIA, CGAP CISA, 25
  26. 26. Controles, auditoria e análise de riscos A escolha de quais controles devem ser implantados bem como do que deve ser auditado decorre de análise de riscos.Renato Braga, CISA CIA, CGAP CISA, 26
  27. 27. Agenda  Controles? Por quê? Para quê?  Marcos de controle  Controle interno x Auditoria interna  Tipos de controle  Tipos de auditoria  Papel do gestor  Papel do auditorRenato Braga, CISA CIA, CGAP CISA, 27
  28. 28. Tipos de controle  Preventivos  Detectivos  CorretivosRenato Braga, CISA CIA, CGAP CISA, 28
  29. 29. Tipos de controles de TI  Controles gerais de TI  Controles de aplicaçãoRenato Braga, CISA CIA, CGAP CISA, 29
  30. 30. Controles gerais de TI  Aplicam-se a todos os componentes do sistema, dos processos, e dos dados de uma organização ou ambiente. Controles gerais incluem, mas não estão limitados à políticas de segurança da informação, de administração, de acesso e de autenticação, de segregação de funções chaves de TI, de gestão de aquisição e implementação de sistemas, de gestão de mudanças, de cópias de segurança e de continuidade do negócio. Fonte: GTAG Information Technology Controls Auditing (tradução livre)Renato Braga, CISA CIA, CGAP CISA, 30
  31. 31. Controles de aplicação  São os que estão no escopo de processos de negócio ou sistemas de aplicação. Eles incluem controles como edição de dados, separação de funções de negócio (e.g., solicitações e autorizações), totalizações, registros de acesso, e relatos de erros de processamento. Fonte: GTAG Information Technology Controls Auditing (tradução livre)Renato Braga, CISA CIA, CGAP CISA, 31
  32. 32. Agenda  Controles? Por quê? Para quê?  Marcos de controle  Controle interno x Auditoria interna  Tipos de controle  Tipos de auditoria  Papel do gestor  Papel do auditorRenato Braga, CISA CIA, CGAP CISA, 32
  33. 33. Tipos de auditoria  Interna x Externa  Conformidade x Operacional (NAT)  Avaliação da gestão x Acompanhamento da gestão x Contábil x Operacional x Especial (IN-SFCI 1/2001)  Financeira x Processos x Sistemas x Ambiental x ...Renato Braga, CISA CIA, CGAP CISA, 33
  34. 34. Tendência Fonte: PWC (http://www.pwchk.com/webmedia/doc/633304575145839063_ia2012_ap_sup.pdf)Renato Braga, CISA CIA, CGAP CISA, 34
  35. 35. Agenda  Controles? Por quê? Para quê?  Marcos de controle  Controle interno x Auditoria Interna  Tipos de controle  Tipos de auditoria  Papel do gestor  Papel do auditorRenato Braga, CISA CIA, CGAP CISA, 35
  36. 36. O IIA preconiza ...  “O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização.” (IIA, IPPF 2120-1, tradução livre)Renato Braga, CISA CIA, CGAP CISA, 36
  37. 37. A Intosai preconiza ...  “Os gestores são responsáveis pelo estabelecimento de um efetivo ambiente de controle na sua organização.” (Intosai, Controle Interno: Fundamentos para Prestação de Contas no Governo, tradução livre)  “Controle interno é uma ferramenta do gestor usada para prover razoável certeza de que os objetivos da administração estão sendo alcançados.” (Intosai, Orientações para Padrões de Controle Interno, tradução livre)Renato Braga, CISA CIA, CGAP CISA, 37
  38. 38. Decreto 3.591/2000  Art. 17. A sistematização do controle interno, na forma estabelecida neste Decreto, não elimina ou prejudica os controles próprios dos sistemas e subsistemas criados no âmbito da APF, nem o controle administrativo inerente a cada chefia, que deve ser exercido em todos os níveis e órgãos, compreendendo:  [...]  III – instrumentos de controle [...]Renato Braga, CISA CIA, CGAP CISA, 38
  39. 39. PO9 – Avaliar e gerenciar os riscos de TI Fonte: Cobit 4.1Renato Braga, CISA CIA, CGAP CISA, 39
  40. 40. Agenda  Controles? Por quê? Para quê?  Marcos de controle  Controle interno x Auditoria Interna  Tipos de controle  Tipos de auditoria  Papel do gestor  Papel do auditorRenato Braga, CISA CIA, CGAP CISA, 40
  41. 41. O IIA preconiza ...  “A auditoria interna é uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização.  Ela auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança.” (IIA, IPPF, definição de auditoria interna)Renato Braga, CISA CIA, CGAP CISA, 41
  42. 42. A Intosai preconiza ...  “Auditores são parte do modelo governamental de controle interno, mas eles não são responsáveis pela implementação dos procedimentos de controle numa organização. Este trabalho é específico do gestor.” (Intosai, Padrões de Controle Interno, tradução livre, sublinhei)Renato Braga, CISA CIA, CGAP CISA, 42
  43. 43. O IIA preconiza ...  “Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informação e sobre as técnicas de auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a eles designados.  Entretanto, não se espera que todos os auditores internos possuam a especialização de um auditor interno cuja principal responsabilidade seja auditoria de tecnologia da informação.” (IIA, IPPF, 1210.A3)Renato Braga, CISA CIA, CGAP CISA, 43
  44. 44. O IIA preconiza ...  “A atividade de auditoria interna deve avaliar se a governança de tecnologia da informação da organização dá suporte às estratégias e objetivos da organização.” (IIA, IPPF, 2110.A2, sublinhei)Renato Braga, CISA CIA, CGAP CISA, 44
  45. 45. O IIA preconiza ...  “A atividade de auditoria interna deve avaliar a adequação e a eficácia dos controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas de informação da organização, com relação a:  Confiabilidade e integridade das informações financeiras e operacionais;  Eficácia e eficiência das operações e programas;  Salvaguarda dos ativos; e  Conformidade com leis, regulamentos, políticas e procedimentos e contratos.” (IIA, IPPF, 2130.A1, sublinhei)Renato Braga, CISA CIA, CGAP CISA, 45
  46. 46. Resumo  Controles? Por quê? Para quê?  Marcos de controle  Controle interno x Auditoria interna  Tipos de controle  Tipos de auditoria  Papel do gestor  Papel do auditorRenato Braga, CISA CIA, CGAP CISA, 46
  47. 47. Atingimos o objetivo proposto?  Diferenciar controles internos e auditoria de TI até o ponto de identificar os responsáveis por cada uma das atividades.Renato Braga, CISA CIA, CGAP CISA, 47
  48. 48. “A única coisa necessária para o triunfo do mal é que os homens bons não façam nada” Edmund Burke, estadista e filósofo britânico.Renato Braga, CISA CIA, CGAP CISA, 48
  49. 49. Grato pela atenção. http://www.isaca-brasilia.org diretor.educacao@isaca-brasilia.org falecomigo@renatobraga.netRenato Braga, CISA CIA, CGAP CISA, 49

×