auditoria em ti alternativas de implementacao no processo de auditoria do tce-rs
TRANSCRIPT
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 1/107
ESTADO DO RIO GRANDE DO SUL
TRIBUNAL DE CONTAS DO ESTADO
ESCOLA SUPERIOR DE GESTÃO E CONTROLE FRANCISCO JURUENA
Credenciamento MEC – Portaria nº 1965/06
CURSO DE ESPECIALIZAÇÃO EM GESTÃO PÚBLICA ECONTROLE EXTERNO
Auditoria em TI:Alternativas de Implementação no Processo de Auditoria do TCE-RS
Frederico Henrique Goldschmidt Neto
PORTO ALEGRE
2008
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 2/107
RESUMO
A utilização de recursos de informática tem facilitado de sobremaneira o desempenho das
instituições em suas áreas de atuação. Dados antes armazenados em papel e procedimentos
realizados de forma manual hoje são todos feitos por computador. Como reflexo desta mudança,
o controle externo, que antes era exercido através da auditoria dos dados em papel também teve
que mudar. A informatização crescente reclama especial atenção das organizações, uma vez que a
utilização da tecnologia da informação para manipulação e armazenamento de dados introduz
novos riscos e aumenta a fragilidade de algumas atividades. Assim, torna-se essencial a atuação
do controle externo em questões relacionadas à segurança da tecnologia da informação e à
qualidade dos sistemas informatizados das instituições. Neste trabalho serão abordados conceitos
relacionados com a área de informática e temas relevantes dentro do contexto de auditoria em
tecnologia da informação, estendendo o escopo de auditoria de sistemas informatizados.
Palavras-chave: Auditoria em TI; Gestão de Riscos; Metodologia de Auditoria.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 3/107
ABSTRACT
The use of the computer resources has facilitated the performance of the institutions in
their areas of expertise. Before data stored on paper and manual procedures carried out today are
all done by computer. As a reflection of this change, the external control, which was previously
exercised by the audit data on paper also had to change. The growing computerization of
organizations demanding special attention, since the use of information technology for handling
and storage of data introduces new risks and increases the fragility of some activities. Thus, it is
essential to the performance of external control on security issues in information technology and
the quality of systems of institutions. This work will be addressed concepts related to the area of
IT and relevant issues within the context of auditing in information technology, extending the
scope of the audit systems.
Keywords: IT Auditing; Risk Management; Auditing Methodology.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 4/107
Índice
Lista de Figuras ............................................................................................................................... 91 INTRODUÇÃO.......................................................................................................................... 10
1.1 Motivação ............................................................................................................................ 101.2 Objetivos.............................................................................................................................. 111.3 Organização deste documento ............................................................................................. 11
2 TEMAS RELEVANTES RELACIONADOS À AUDITORIA EM TI..................................... 132.1 Gestão de Riscos.................................................................................................................. 132.2 Auditoria de Compliance..................................................................................................... 142.3 Business Intelligence ........................................................................................................... 162.4 Malha Fina – Receita Federal.............................................................................................. 17
2.5 Forense Computacional ....................................................................................................... 182.6 Auditoria de Softwares Aplicativos..................................................................................... 192.7 Mineração de Dados ............................................................................................................ 202.8 Controle Interno................................................................................................................... 212.8.1 Ambiente de Controle ....................................................................................................... 222.8.2 Avaliação e Gerenciamento dos Riscos............................................................................ 222.8.3 Atividade de Controle ....................................................................................................... 232.8.4 Informação e Comunicação ............................................................................................. 232.8.5 Monitoramento ................................................................................................................. 242.9 Educação à Distância (EAD)............................................................................................... 25
3 AUDITORIA EM TI, NECESSIDADES E EXPERIÊNCIAS.................................................. 27
3.1 Reunião realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidores envolvidoscom o SIAPC............................................................................................................................. 273.2 Reunião realizada em 07/07/2006 entre o grupo de pesquisa em TI e servidores do SAM 293.3 Apresentação realizada em 28/08/2006 sobre Business Intelligence (BI)........................... 303.4 Reunião realizada em 22/09/2006 entre o grupo de pesquisa em TI e representante daMódulo ...................................................................................................................................... 313.5 Apresentação realizada em 02/10/2006 sobre Audit Control Language (ACL) ................. 313.6 Reunião realizada em 13/11/2006 entre o grupo de pesquisa em TI e representantes deáreas com ações no PET e PROMOEX na área de auditoria em TI.......................................... 323.7 Proposta de aperfeiçoamento do sistema de auditorias da área municipal no âmbito doTCE-RS ..................................................................................................................................... 33
3.8 Auditoria em TI em outros TCs........................................................................................... 343.8.1 Experiência do Tribunal de Contas do Estado de Pernambuco ...................................... 353.8.2 Experiência do Tribunal de Contas da União.................................................................. 393.8.3 Experiência do Tribunal de Contas do Estado do Paraná............................................... 45
4 AUDITORIA EM TI – PROPOSTAS DE IMPLEMENTAÇÃO NO TCE-RS........................ 465 CONCLUSÃO............................................................................................................................ 506 BIBLIOGRAFIA........................................................................................................................ 51
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 5/107
Lista de Figuras
Figura 1: Auditoria de Compliance ............................................................................................... 15Figura 2: Business Intelligence...................................................................................................... 17Figura 3: Forense Computacional ................................................................................................. 19Figura 4: Mineração de Dados ...................................................................................................... 20Figura 5: Educação à Distância no TCU ....................................................................................... 26Figura 6: Exemplo de checklist utilizado no TCE-PE................................................................... 35Figura 7: Escopo de atuação de TI no controle externo ................................................................ 38Figura 8: Importância do gerenciamento de risco nos TCEs......................................................... 38Figura 9: Histórico de Auditoria em TI no TCU........................................................................... 39Figura 10: Estrutura organizacional da SEFTI.............................................................................. 40
Figura 11: Normas e padrões utilizados pelo TCU ....................................................................... 41Figura 12: Método de auditoria em TI utilizado pelo TCU........................................................... 42Figura 13: Exemplo de matriz de planejamento. ........................................................................... 43Figura 14: Exemplo de matriz de procedimentos.......................................................................... 44Figura 15: Exemplo de matriz de achados..................................................................................... 44Figura 16: Portal de controle social (http://www.controlesocial.pr.gov.br/)................................. 45
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 6/107
10
1 INTRODUÇÃO
1.1 Motivação
Não se deve partir do princípio de que os dados extraídos de computadores são confiáveis.
Embora ofereçam vantagens para as organizações, os sistemas informatizados podem também
apresentar grandes riscos. É possível que erros e fraudes não sejam detectados por causa da
enorme quantidade de dados controlados pelos sistemas, da possível discrepância entre o que está
armazenado e o que é efetivamente apresentado em relatórios de saída, e da mínima necessidade
de intervenção humana nos processos. 1
Quase que a totalidade dos órgãos e entidades da Administração Pública faz uso maciço
de sistemas informatizados para processamento e armazenamento de dados.
Este fato torna imprescindível a preparação das entidades de fiscalização para enfrentar odesafio de auditar uma Administração Pública cada vez mais informatizada, visto que as equipes
de auditoria terão que usar como evidência, dados provenientes de sistemas informatizados.
O cenário apresentado relata com precisão o contexto das auditorias que estão sendo
realizadas pelas equipes de auditores do Tribunal de Contas do Estado do Rio Grande do Sul
(TCE-RS), que de certa forma carecem de conhecimento e metodologia para a realização de
auditoria de sistemas informatizados, visto serem formadas por profissionais da área de
economia, direito, contabilidade, administração e engenharia.
Aliado a este fato, o elevado número de municípios a serem auditados, além das auditorias
extraordinárias, faz com que o auditor dependa cada vez mais do uso dos sistemas informatizados
e dos dados que dele extrai, exigindo um ambiente confiável e seguro tanto no TCE-RS quanto
nos auditados.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 7/107
11
1.2 Objetivos
Esta monografia tem como objetivo contextualizar o uso de auditoria em tecnologia da
informação (TI) no ambiente do TCE-RS, sugerindo alternativas para implantação deste
procedimento no processo de auditoria tradicional hoje adotado.
Para atingir este objetivo, serão abordados conceitos relacionados com a área de TI e
temas relevantes dentro do contexto de auditoria em tecnologia da informação, estendendo o
escopo de auditoria de sistemas informatizados. Resultados de entrevistas e demonstrações de
fornecedores de ferramentas de suporte à auditoria de TI, bem como experiências de outros
Tribunais de Contas também serão utilizados para o atingimento deste objetivo.
1.3 Organização deste documento
Esta monografia está estruturada em cinco partes, conforme segue:
• 1 – Introdução
• 2 – Temas Relevantes Relacionados à Auditoria em TI apresenta de forma breve
conceitos que servirão de base para o entendimento do que será proposto na conclusão
deste trabalho.
• 3 – Auditoria em TI, necessidades e experiências aborda entrevistas realizadas com
áreas diretamente relacionadas com o processo de auditoria tradicional realizada pelo
TCE-RS, bem como experiências em auditoria em TI de outros Tribunais de Contas
(TCs).
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 8/107
12
• 4 – Auditoria em TI – Propostas de implementação no TCE-RS relaciona os
conceitos abordados nos capítulos 2 e 3, trazendo como resultado sugestão de formade implementação de auditoria em TI no processo de auditoria do TCE-RS.
• 5 - Conclusão encerra o trabalho com as considerações finais.
• 6 – Bibliografia
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 9/107
13
2 TEMAS RELEVANTES RELACIONADOS À AUDITORIA EM TI
A auditoria em ambiente de tecnologia da informação não muda a formação exigida para
a profissão de auditor, apenas percebe que as informações até então disponíveis em forma de
papel são agora guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar para
se assegurar de que essas informações em forma eletrônica sejam confiáveis antes de emitir sua
opinião.2
Para que as informações sejam confiáveis, o auditor passa a ter que se preocupar não só
com o sistema que gerou a informação, mas também com o ambiente onde este sistema está
inserido. Aspectos como a segurança do ambiente físico, segurança do ambiente lógico, controle
de acessos, políticas de backup, planos de contingência, gerenciamento de riscos e outros tantos
também devem ser levados em conta no processo de auditoria.
Para tornar claro este novo cenário que deve ser considerado em um processo de auditoria
em TI, serão abordados de forma breve temas que com ele se relacionam.
2.1 Gestão de Riscos
Em geral definimos segurança como um estado no qual estamos livres de perigos e
incertezas. Dentro de uma organização, esta segurança costuma se aplicar a tudo aquilo que
possui valor e, conseqüentemente, demanda proteção. São os chamados ativos.
Como exemplo de ativos podemos ter as seguintes categorias:
1. Tangíveis: Informações impressas ou digitais, impressoras, móveis de escritório;
2. Intangíveis: Imagem de uma empresa, confiabilidade de um órgão estadual;
3. Lógicos: Dados armazenados em um servidor, sistema contábil;
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 10/107
14
4. Físicos: Estação de trabalho, sistema de ar-condicionado;
5. Humanos: Empregados, prestadores de serviço. 3
O objetivo da gestão de riscos é gerenciar uma série de atividades relacionadas à forma
com a qual uma instituição lida com os riscos que seus ativos podem sofrer. Entre estas
atividades, podemos elencar: a identificação do ativo, o risco que este ativo está sujeito, o
impacto que a instituição sofrerá caso o risco ocorra, o tratamento dos riscos e a comunicação da
ocorrência do risco.
Importante ressaltar a existência de duas normas da Associação Brasileira de Normas
Técnicas (ABNT) que demonstram a preocupação com a segurança da informação, e que são
amplamente utilizadas na gestão de riscos, são elas:
1. ABNT NBR ISO/IEC 27001:2005 – define os requisitos para um Sistema de Gestão
de Segurança da Informação (SGSI), sendo estes os requisitos verificados em um
processo de certificação de um SGSI. A NBR 27001 junto com a NBR 17799 formam
a base para a construção da série de normas ISO 27000.
2. ABNT NBR ISO/IEC 17799:2005 - é um código de prática de gestão de segurança da
informação. Ela se aplica à segurança da informação em sentido amplo. Fornece os
melhores procedimentos, diretrizes e princípios gerais de implementação, manutenção
e gestão da segurança de dados em qualquer organização, produzindo e utilizando
informação em qualquer formato.
2.2 Auditoria de Compliance
Visa obter evidências a cerca de determinadas atividades da entidade, para verificar a
obediência às regras ou regulamentos a elas aplicáveis. Estas regras ou regulamentos podem ser
imposições da própria entidade ou de terceiros. Na figura 1 podemos verificar fases de um
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 11/107
15
processo de auditoria de compliance em TI, onde em um primeiro momento, durante a auditoria,
são coletados dados através de logs do sistema, utilizando-se contas especiais para os executoresda auditoria, passando-se a seguir a verificar qual a padronização será adotada para a verificação
da compliance.
Após a coleta dos dados e definição da padronização as evidências são coletadas nos
diversos repositórios de informação, gerando relatórios de conformidade e recomendações para
correção de itens não atendidos.
Figura 1: Auditoria de Compliance
Como exemplo de compliance podemos citar:
1. Lei Sarbanes-Oxley: é uma lei estadunidense assinada em 30 de julho de 2002 pelo
senador Paul Sarbanes e pelo deputado Michael Oxley. A lei Sarbanes-Oxley, ou
ainda SOX, busca garantir a criação de mecanismos de auditoria e segurança
confiáveis nas empresas. Incluindo também regras para a criação de comitês e
comissões encarregados de supervisionar suas atividades e operações de modo a
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 12/107
16
mitigar riscos aos negócios, evitar a ocorrência de fraudes ou ter meios de identificar
quando elas ocorrem, garantindo a transparência na gestão das empresas.
2. ISO 9000: é uma concentração de normas que formam um modelo de gestão da
qualidade para organizações que podem, se desejarem, certificar seus sistemas de
gestão através de organismos de certificação.
2.3 Business Intelligence
A Inteligência Empresarial, ou Business Intelligence (BI), é um termo do Gartner Group.
O conceito surgiu na década de 80 e descreve as habilidades das corporações para acessar dados e
explorar as informações (normalmente contidas em um banco de dados), analisando-as e
desenvolvendo percepções e entendimentos a seu respeito, o que as permite incrementar e tornar
a tomada de decisão mais pautada em informações.
As organizações tipicamente recolhem informações com a finalidade de avaliar o
ambiente empresarial, complementando estas informações com pesquisas de marketing,
industriais e de mercado, além de análises competitivas. Organizações competitivas acumulam
"inteligência" à medida que ganham sustentação na sua vantagem competitiva, podendo
considerar tal inteligência como o aspecto central para competir em alguns mercados.
Na figura 2, podemos verificar o processo de geração de informação para ser utilizada emum sistema de BI. Através da extração de dados das bases corporativas, dados são transformados
e carregados em um grande banco de dados, de onde são feitas correlações que serão
transformadas em relatórios de dados gerenciais, que servirão de subsídio em processos de
decisão.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 13/107
17
Figura 2: Business Intelligence
Geralmente, os coletores de BI obtêm as primeiras fontes de informação dentro das suas
empresas. Cada fonte ajuda quem tem que decidir a entender como o poderá fazer da forma mais
correta possível. As segundas fontes de informações incluem as necessidades do consumidor,
processo de decisão do cliente, pressões competitivas, condições industriais relevantes, aspectos
econômicos e tecnológicos e tendências culturais. Cada sistema de BI determina uma metaespecífica, tendo por base o objetivo organizacional ou a visão da empresa, existindo em ambos
objetivos, sejam eles de longo ou curto prazo.4
2.4 Malha Fina – Receita Federal
A análise fiscal da declaração de ajuste anual da pessoa física, popularmente conhecida
como "malha fina", é a revisão de todas as declarações, modelos completo e simplificado, de
forma eletrônica, no qual são efetuadas verificações nos dados declarados pelo contribuinte, e
realizados os cruzamentos destas informações com outros elementos disponíveis nos sistemas da
Secretaria da Receita Federal (SRF).
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 14/107
18
Após a entrega das declarações, inicia-se a fase de processamento eletrônico das mesmas.
Nesta fase são realizadas seqüências de verificações para identificar erros de preenchimento einconsistência das informações apresentadas que podem caracterizar infração à legislação
tributária.
A incidência da declaração em parâmetros de malha, em situações específicas, interrompe
o processamento até a solução dos problemas detectados, o que pode ser feito internamente pela
SRF ou, nos casos em que é necessária a participação do contribuinte, mediante intimação para
apresentação de informações e documentos.
A não apresentação das informações e documentos solicitados, ou o não atendimento às
intimações expedidas pelos Auditores-Fiscais da Receita Federal, implica na constituição do
crédito tributário sobre as divergências constatadas, mediante a emissão de auto de infração.
2.5 Forense Computacional
A Forense Computacional foi criada com o objetivo de suprir as necessidades das
instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. Ela
é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em
formato eletrônico e armazenados em algum tipo de mídia computacional.5
A não obediência de regras estabelecidas pela forense computacional pode por em risco
todo o processo de auditoria em TI, pois os dados e evidências obtidos em campo podem vir a seranulados e não considerados para subsídio aos pareceres emitidos pelo auditor. Observa-se direto
relacionamento aos procedimentos hoje tão difundidos em seriados de televisão sobre forense
criminal, onde a não observação dos procedimentos acarreta a liberação ou redução de pena do
criminoso. Na figura 3 podemos verificar fases de um modelo de investigação computacional, no
qual são empregadas técnicas de forense computacional.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 15/107
19
Figura 3: Forense Computacional
2.6 Auditoria de Softwares Aplicativos
Softwares aplicativos são aqueles desenvolvidos para executar automatização de
processos de uma empresa, a exemplo de uma folha de pagamento ou controle de estoque.
A auditoria de softwares aplicativos é feita através de controles implementados nas três
áreas de operação deste software: entrada, processamento e saída. Sem um controle de aplicativo
apropriado o risco de que características de segurança sejam omitidas ou contornadas, seja de
forma intencional ou não, ou ainda que o processamento de dados seja feito de forma errônea ou
fraudulenta é bastante grande.
O contorno destes controles e a não existência de auditoria abre possibilidades para
fraudes e desvios, o que muitas vezes inviabiliza uma empresa ou coloca por terra a imagem e
confiabilidade de uma instituição.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 16/107
20
2.7 Mineração de Dados
Mineração de dados (também conhecida pelo termo inglês data mining) é o processo de
explorar grandes quantidades de dados à procura de padrões consistentes, como regras de
associação ou seqüências temporais, para detectar relacionamentos sistemáticos entre variáveis,
detectando assim novos subconjuntos de dados.
Esta tecnologia é formada por um conjunto de ferramentas que através do uso de
algoritmos de aprendizagem ou baseados em redes neurais e estatística, são capazes de explorar
um grande conjunto de dados, extraindo destes conhecimento na forma de hipóteses e de regras.
Diariamente as empresas acumulam diversos dados nas suas bases de dados, inclusive com dados
e hábitos de seus clientes. Todos estes dados podem contribuir com a empresa, sugerindo
tendências e particularidades pertinentes a ela e seu meio ambiente interno e externo, visando
uma rápida ação de seus gestores. Na figura 4 podemos verificar como funciona o processo de
mineração de dados.
Figura 4: Mineração de Dados
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 17/107
21
Com a geração de informações e conhecimentos úteis para as empresas, os seus negócios
podem ser alavancados, tornando-se mais lucrativos. Os recursos da tecnologia da informação,mais precisamente a capacidade do hardware e software disponíveis, podem efetuar atividades
em horas, o que tradicionalmente as pessoas levariam meses. Efetivamente a mineração de dados
cumpre o papel de descoberta de conhecimentos. 6
2.8 Controle Interno
Controle Interno é um processo, desenvolvido para garantir, com razoável certeza, que
sejam atingidos os objetivos da empresa, nas seguintes categorias:
• Eficiência e efetividade operacional (objetivos de desempenho ou estratégia): esta
categoria está relacionada com os objetivos básicos da entidade, inclusive com os
objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade
dos ativos;
• Confiança nos registros contábeis/financeiros (objetivos de informação): todas as
transações devem ser registradas, todos os registros devem refletir transações reais,
consignadas pelos valores e enquadramentos corretos;
• Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à
entidade e sua área de atuação. 7
De acordo com a definição acima, o objetivo principal do controle interno é auxiliar a
entidade atingir seus objetivos, sendo um elemento que compõe o processo de gestão e que deve
ser responsabilidade de todos.
O processo Controle Interno é constituído de cinco elementos, que estão relacionados
entre si. São eles:
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 18/107
22
•
Ambiente de Controle;
• Avaliação e Gerenciamento dos Riscos;
• Atividade de Controle;
• Informação e Comunicação;
• Monitoramento.
2.8.1 Ambiente de Controle
O ambiente de controle define o “tom” de uma organização. Ele é a base para todos os
outros componentes internos de controle, proporcionando disciplina e estrutura. Fatores de
controle incluem o meio ambiente, integridade, valores éticos e competência dos membros da
entidade.
A postura da alta administração desempenha papel determinante neste componente. Ela
deve deixar claro para seus comandados quais são as políticas, procedimentos, código de ética e
código de conduta a serem adotados. Estas definições podem ser feitas de maneira formal ou
informal, o importante é que sejam claras aos funcionários da organização.
2.8.2 Avaliação e Gerenciamento dos Riscos
O objetivo da gestão de riscos é gerenciar uma série de atividades relacionadas à forma
pela qual uma instituição lida com os riscos que seus ativos podem sofrer. Entre estas atividades,
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 19/107
23
podemos elencar: a identificação do ativo, o risco que este ativo está sujeito, o impacto que a
instituição sofrerá caso o risco ocorra, o tratamento dos riscos e a comunicação da ocorrência dorisco.
2.8.3 Atividade de Controle
São aquelas atividades que, quando executadas a tempo e maneira adequados, permitem a
redução ou administração dos riscos. Podem ser de duas naturezas: atividades de prevenção ou
de detecção.
2.8.4 Informação e Comunicação
A comunicação é o fluxo de informações dentro de uma organização, entendendo que este
fluxo ocorre em todas as direções, dos níveis hierárquicos superiores aos níveis hierárquicos
inferiores, dos níveis inferiores aos superiores, e comunicação horizontal, entre níveis
hierárquicos equivalentes.
A comunicação é essencial para o bom funcionamento dos controles. Informações sobre
planos, ambiente de controle, riscos, atividades de controle e desempenho devem ser transmitidasà toda entidade. Por outro lado, as informações recebidas, de maneira formal ou informal, de
fontes externas ou internas, devem ser identificadas, capturadas, verificadas quanto à sua
confiabilidade e relevância, processadas e comunicadas às pessoas que as necessitam,
tempestivamente e de maneira adequada.
O processo de comunicação pode ser formal ou informal. O processo formal acontece
através dos sistemas internos de comunicação, que podem variar desde complexos sistemas
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 20/107
24
computacionais a simples reuniões de equipes de trabalho e são importantes para obtenção das
informações necessárias ao acompanhamento dos objetivos operacionais, de informação e deconformidade. O processo informal, que ocorre em conversas e encontros com clientes,
fornecedores, autoridades e empregados é importante para obtenção das informações necessárias
à identificação de riscos e oportunidades.
2.8.5 Monitoramento
O monitoramento é a avaliação dos controles internos ao longo do tempo. Ele é o melhor
indicador para saber se os controles internos estão sendo efetivos ou não.
O monitoramento é feito tanto através do acompanhamento contínuo das atividades
quanto por avaliações pontuais, tais como auto-avaliação, revisões eventuais e auditoria interna.
A função do monitoramento é verificar se os controles internos são adequados e efetivos.
Controles adequados são aqueles em que os cinco elementos do controle (ambiente, avaliação de
riscos, atividade de controle, informação e comunicação e monitoramento) estão presentes e
funcionando conforme planejado. Controles são eficientes quando a alta administração tem uma
razoável certeza a cerca dos seguintes itens
• Do grau de atingimento dos objetivos operacionais propostos;
• De que as informações fornecidas pelos relatórios e sistemas corporativos são
confiáveis;
• Leis, regulamentos e normas pertinentes estão sendo cumpridos.8
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 21/107
25
2.9 Educação à Distância (EAD)
Educação à distância é o processo de ensino-aprendizagem, mediado por tecnologias,
onde professores e alunos estão separados espacial e/ou temporalmente.
É ensino/aprendizagem onde professores e alunos não estão normalmente juntos,
fisicamente, mas podem estar conectados, interligados por tecnologias, principalmente as
telemáticas, como a Internet. Mas também podem ser utilizados o correio, o rádio, a televisão, o
vídeo, o CD-ROM, o telefone, o fax e tecnologias semelhantes.
Hoje temos a educação presencial, semi-presencial (parte presencial/parte virtual ou à
distância) e educação à distância (ou virtual). A presencial é a dos cursos regulares, em qualquer
nível, onde professores e alunos se encontram sempre num local físico, chamado sala de aula. É o
ensino convencional. A semi-presencial acontece em parte na sala de aula e outra parte à
distância, através de tecnologias. A educação à distância pode ter ou não momentos presenciais,
mas acontece fundamentalmente com professores e alunos separados fisicamente no espaço e ouno tempo, mas podendo estar juntos através de tecnologias de comunicação.
A educação à distância pode ser feita nos mesmos níveis que o ensino regular. No ensino
fundamental, médio, superior e na pós-graduação. É mais adequado para a educação de adultos,
principalmente para aqueles que já têm experiência consolidada de aprendizagem individual e de
pesquisa, como acontece no ensino de pós-graduação e também no de graduação.
As tecnologias interativas, sobretudo, vêm evidenciando, na educação à distância, o que
deveria ser o cerne de qualquer processo de educação: a interação e a interlocução entre todos os
que estão envolvidos nesse processo.
Na medida em que avançam as tecnologias de comunicação virtual (que conectam pessoas
que estão distantes fisicamente como a Internet, telecomunicações, videoconferência, redes de
alta velocidade) o conceito de presencialidade também se altera. Poderemos ter professores
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 22/107
26
externos compartilhando determinadas aulas, um professor de fora "entrando" com sua imagem e
voz, na aula de outro professor. Haverá assim, um intercâmbio maior de saberes, possibilitandoque cada professor colabore, com seus conhecimentos específicos, no processo de construção do
conhecimento, muitas vezes à distância. 9
Na figura 5 podemos visualizar a interface de educação à distancia utilizada pelo Tribunal
de Contas da União (TCU).
Figura 5: Educação à Distância no TCU
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 23/107
27
3 AUDITORIA EM TI, NECESSIDADES E EXPERIÊNCIAS
Tendo como objetivo fundamentar a necessidade da auditoria em TI dentro do escopo de
atuação do TCE-RS, foram realizadas diversas reuniões entre os integrantes do grupo de pesquisa
em auditoria de TI da Escola Superior de Gestão e Controle Francisco Juruena e servidores do
TCE envolvidos no processo de auditoria tradicional, bem como fornecedores de soluções
relacionadas com auditoria em TI. O resultado destas reuniões é relatado neste capítulo.
A proposta de aperfeiçoamento do sistema de auditoria da área estadual, resultado de açãocorretiva encaminhada para atender o considerável número de auditorias especiais e
extraordinárias que estão sendo demandadas para os setores responsáveis no TCE-RS, também é
mencionada neste capítulo, tendo em vista prever o uso intensivo de recursos de informática, e
por conseqüência a necessidade de auditoria destes recursos.
Além de definir o escopo de atuação da auditoria em TI no TCE-RS, buscou-se contato
com outras instituições que atuam na área de controle externo para verificar se havia
implementação deste tipo de auditoria, bem como de que forma estava estruturada.
A troca de conhecimentos entre auditores destas instituições também proporcionou acesso
à pesquisa realizada pelo Sr. Luiz Carlos de Oliveira, auditor do TCE-PE, na área de Governança
de TI, das quais foram retirados dados relevantes para este trabalho.
3.1 Reunião realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidoresenvolvidos com o SIAPC
O Sistema Informatizado para Auditoria e Prestação de Contas (SIAPC) é um sistema que
recebe informações contábeis e financeiras coletadas pelo Programa Autenticador de Dados
(PAD) nos entes jurisdicionados, possibilitando análises de desempenho dos indicativos da Lei de
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 24/107
28
Responsabilidade Fiscal (LRF) e da Gestão Fiscal, geração de vários relatórios para auditoria
externa e acompanhamento das Prestações de Contas.
O SIAPC é a maior fonte de informações sobre os entes auditados. Suas informações são
a principal fonte de material para o preparo das auditorias em campo. Levando este fato em
consideração, o grupo de pesquisa sobre auditoria em TI reuniu-se com os integrantes da equipe
responsável pelo acompanhamento e desenvolvimento de melhorias neste sistema para investigar
o que seria esperado de um processo de auditoria em TI no TCE-RS. A seguir os principais
elementos obtidos desta reunião:
• Comprovar se o arquivo TXT gerado pelas auditadas corresponde à realidade dos
sistemas informatizados ou se são alterados manualmente ou via sistema;
• Possibilidade de confrontação de TXT recebido pelo TCE com TXT gerado na
auditada quando em processo de auditoria para verificação de validade;
• Verificar como os sistemas informatizados das prefeituras geram os TXTs,
possibilidade de fornecimento de opções via programa para ajustes no TXT gerado;
• Existência nos sistemas da prefeitura de plano de contas diferente do padronizado.
Verificar programas de “conversão” de planos de contas;
• Confronto dos empenhos informados via TXT com empenhos existentes nos sistemas
informatizados das auditadas;
• Verificar informações divergentes nas remessas bimestrais (verificar fevereiro da
primeira remessa com fevereiro das demais remessa, por exemplo);
• Auxílio no desenvolvimento de ferramentas para cruzamento de informações hoje
existentes no banco de dados do TCE, cruzamento este que poderia servir de subsídio
para o processo de auditoria de campo;
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 25/107
29
• Auxílio na parte técnica no processo de troca/obtenção de informações com bancos
(BB e Banrisul).
3.2 Reunião realizada em 07/07/2006 entre o grupo de pesquisa em TI e servidores do SAM
O Serviço de Auditoria Municipal (SAM), é responsável pela realização e emissão de
relatórios de auditoria de órgãos da esfera municipal do estado do RS. Levando em consideração
o volume de órgãos que este serviço audita, o grupo de pesquisa sobre auditoria em TI reuniu-se
com o Supervisor da SAM e servidores do Serviço de Apoio e Suporte Operacional e Técnico
(SASOT), para investigar o que seria esperado de um processo de auditoria em TI no TCE-RS. A
seguir os principais elementos obtidos desta reunião:
• Auxílio na análise de processos licitatórios de produtos de informática
(software/hardware/serviços);
• Análise de sistemas informatizados de prestadores de serviços e auditadas, em busca
de trancas ou alternativas para burlar a auditoria do TCE;
• Elaboração de roteiro básico de auditoria em TI que torne possível auditor que não
seja da área avaliar dados na auditoria na área de informática, solicitando a presença
de auditor da área em casos de necessidade;
• Tomar cuidado no processo de criação de auditoria em TI para simplesmente não criar
mais um item a ser auditado. A auditoria deverá estar bem focada e definida, sob pena
de cair em descrédito em virtude da grande carga de tarefas do auditor de campo;
• Montar piloto para validação do processo de auditoria em TI a exemplo do acontecido
com relação à auditoria operacional;
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 26/107
30
• Auditoria de TI como auxílio para redução de auditoria in-loco;
• Verificar a legalidade do processo de auditoria em TI;
• Auditoria em TI dividida em camadas:
o Cruzamento de informações existentes nos bancos de dados do TCE;
o Roteiro básico para auditoria em TI;
o Auditoria em TI por auditores da área.
3.3 Apresentação realizada em 28/08/2006 sobre Business Intelligence (BI)
Em busca de ferramentas auxiliares no processo de auditoria em TI, o grupo de pesquisa
em TI reuniu-se com o Sr. Carlos Busch, gerente de soluções da Processor, para avaliar a solução
daquela empresa na área de BI. Um breve resumo do que foi apresentado:
O Processor Business Intelligence é uma solução voltada para alavancar os investimentos
já feitos pela maioria das organizações em sistemas legados, permitindo que os usuários façam
uma transição efetiva de acesso tradicional para um acesso informativo aos dados corporativos.
Recursos oferecidos:
• Apoio à tomada de decisão, obtido através do acesso preciso às informações
relevantes do negócio;
• Consolidação da informação, de forma a torná-la acessível para os tomadores de
decisão do negócio;
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 27/107
31
• Identificação de tendências através do processo de análise e contextualização das
informações, permitindo assim antecipar mudanças no mercado e até mesmo açõesdos concorrentes.
3.4 Reunião realizada em 22/09/2006 entre o grupo de pesquisa em TI e representante da
Módulo
Aproveitando a visita do Sr. Rodrigo Agia, da empresa Módulo Security, para
apresentação de palestra no Workshop de Informática, o grupo de pesquisa sobre auditoria em TI
convidou-o para uma breve reunião para que compartilhasse sua experiência na área de auditoria
em TI e gestão de segurança em TI.
A reunião foi proveitosa, no sentido da absorção do conhecimento de que a certificação
ISO 27001 poderia vir a trazer grandes avanços com relação à gestão de segurança em TI no
TCE.
Com relação ao processo de auditoria em TI, o que foi possível aproveitar com relação
aos conhecimentos do Sr. Rodrigo, foi à possibilidade de foco específico de auditoria nesta área,
tanto interna como externamente. O uso das normas ISO 27001 e ISO 17799 serviria como
espinha dorsal para a implementação deste processo.
3.5 Apresentação realizada em 02/10/2006 sobre Audit Control Language (ACL)
Visando avaliar ferramentas para auxílio no processo de auditoria em TI, foi convidada a
empresa Tech Supply para que apresentasse a ferramenta ACL. A apresentação foi feita pelo Sr.
Valdomiro Dalberto Junior. Um breve resumo do que foi apresentado:
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 28/107
32
Ao fornecer uma combinação única e poderosa de acesso aos dados, análise e relatórios
integrados, a solução ACL lê e compara dados empresariais, quaisquer dados, bancos de dadossimples ou relacionais, planilhas eletrônicas, arquivos de relatórios, em computadores ou
servidores, permitindo que os dados de origem permaneçam intactos para que se mantenha a sua
total qualidade e integridade.
Usada como um aplicativo autônomo de computador e/ou como o cliente com o software
de Edição do Servidor, a solução ACL utiliza uma única e consistente interface de cliente e
fornece acesso fácil e imediato aos dados. Por exemplo, com somente alguns cliques, é possível
passar da análise de dados do servidor para informações armazenadas em mainframes, para dados
de sistemas contábeis ou para computadores conectados em rede. Isso assegura um desempenho
otimizado e uma flexibilidade ótima no acesso de novas fontes de dados.
Os comandos oferecem uma variedade completa de ferramentas de análise, desde simples
classificações até testes complexos, já estando pré-programados na ferramenta.
A ferramenta ACL é utilizada pelas mais conhecidas empresas de auditoria independentesem mais de 100 países.
3.6 Reunião realizada em 13/11/2006 entre o grupo de pesquisa em TI e representantes de
áreas com ações no PET e PROMOEX na área de auditoria em TI.
Tendo como objetivo discutir o uso de auditoria em TI no TCE-RS, reuniram-se as áreas
com ações no Planejamento Estratégico do TCE-RS (PET) e no Programa de Modernização do
Sistema de Controle Externo dos Estados, Distrito Federal e Municípios Brasileiros
(PROMOEX) contemplando esta área.
Inicialmente procurou-se identificar o conceito de auditoria em TI entre os integrantes da
reunião. Uma das visões que se obteve foi o uso da auditoria em TI na área específica de
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 29/107
33
auditoria de sistemas informatizados, visando identificar possíveis fraudes através de erros nos
sistemas ou má fé do auditado, ou ainda, na confrontação dos dados enviados para o TCE (viasistema SIAPC) com dados obtidos diretamente nos sistemas dos auditados.
Outra visão surgida foi o uso da auditoria em TI com atuação específica na parte de
verificação de procedimentos de segurança da informação (controles de acesso, backup,
segurança da rede de computadores, etc.) que poderia reverter para o TCE no aspecto da
qualidade e integridade das informações fornecidas.
No transcorrer da reunião vários aspectos foram discutidos, chegando-se à conclusão que
a auditoria em TI deve ser conduzida como um projeto multidisciplinar, agregando os vários
setores da casa, pois a SINF detém o conhecimento das ferramentas e aspectos diretamente
relacionados com a informática, mas carece do conhecimento do “negócio”, ou seja, como
confrontar informações e obter indícios de falhas a serem apontadas.
Foi sugerido como escopo inicial de implantação de uma metodologia de auditoria em TI
um projeto piloto, envolvendo um órgão representativo da esfera estadual e outro da esferamunicipal.
Também se sugeriu a adoção de uma metodologia de avaliação de riscos, para identificar
os órgãos passíveis de auditoria na área de TI.
3.7 Proposta de aperfeiçoamento do sistema de auditorias da área municipal no âmbito doTCE-RS
Visando superar a capacidade de realização de auditorias in loco em todos os municípios
do RS, levando em consideração as condições quantitativas do quadro de pessoal, tempo hábil
para avaliação das matérias das auditorias e um nível adequado de qualidade, foi apresentada pela
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 30/107
34
Direção de Controle e Fiscalização (DCF) do TCE-RS, em julho de 2008, uma proposta de
aperfeiçoamento do sistema de auditorias no âmbito municipal.
Referida proposta faz uso de uma matriz de risco no âmbito do Serviço de Auditoria da
Área Administrativa e Social (SAAS) e Serviço de Auditoria da Área de Economia, Finanças e
Infra-estrutura (SAEFI), capaz de introduzir, através de critérios baseados em aspectos de
materialidade, relevância e criticidade, mecanismo de mensuração do grau de risco de ocorrência
de irregularidades associado a cada jurisdicionado, podendo assim, de forma criteriosa,
identificar, a cada exercício, os jurisdicionados que apresentam grau de risco mais elevado e os
de risco mais baixo.
Também é levado em consideração que muitos dos jurisdicionados já estão submetidos,
além do controle externo exercido pelo TCE, a controles efetuados pela Contadoria e Auditoria
Geral do Estado, Banco Central, Comissão de Valores Mobiliários e/ou Auditorias
Independentes, os quais configuram mecanismos de controle interno superiores aos existentes no
âmbito municipal.
Para que seja possível a implementação desta proposta, o uso de sistemas informatizadosdo TCE-RS, bem como dados obtidos dos sistemas informatizados dos auditados serão utilizados
de forma intensiva para emissão do relatório de auditoria.
3.8 Auditoria em TI em outros TCs
Através de levantamento feito via contatos com integrantes do grupo de TI doPROMOEX, solicitando informações a respeito de existência de processo de auditoria em TI, foi
possível verificar que esta prática ainda não está consolidada. A exceção do TCU, TCE-PE e
TCE-PR, nenhum outro TC enviou resposta, ou possui em seu site documentação ou referência à
auditoria na área de TI.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 31/107
35
3.8.1 Experiência do Tribunal de Contas do Estado de Pernambuco
O Tribunal de Contas do Estado de Pernambuco (TCE-PE) possui área responsável pela
auditoria de TI. A Gerência de Auditoria de Tecnologia da Informação (GATI), subordinada a
Coordenadoria de Tecnologia da Informação (CTI).
Segundo material enviado pelo TCE-PE (Anexo 1), em resposta a pesquisa realizada pelo
TCU em 2007, o GATI possui quatro pessoas alocadas na área de auditoria em TI, atuando
especificamente nas áreas de aquisição e contratação de bens e serviços de TI (30 auditorias
como média anual), segurança, sistemas de TI e/ou auditoria de dados (duas auditorias como
média anual) e acompanhamento da execução contratual de bens e serviços de informática (duas
auditorias como média anual).
A área de atuação mais efetiva do GATI é a de fiscalização e controle preventivo de
licitações, possuindo inclusive um roteiro específico para esta área.
Na parte de segurança em sistemas de informação, o TCE-PE possui checklists baseadosna norma ISO/IEC 17799 (Anexo 2), conforme figura 6.
Figura 6: Exemplo de checklist utilizado no TCE-PE
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 32/107
36
Através de contato via e-mail (Anexo 3) com o Sr. Eury Pacheco Motta Júnior, integrante
do GATI, solicitou-se que fossem respondidas questões a respeito da atuação do GATI para ummelhor entendimento do papel daquela gerência no processo de auditoria tradicional.
Transcrevemos abaixo as perguntas e respostas:
Pergunta: Para que eu possa entender melhor o funcionamento do GATI e do próprio
processo de autoria, poderias me dar uma visão de como funciona a auditoria de TI dentro do
plano operativo de vocês?
Resposta: A partir deste ano começamos a trabalhar da seguinte forma, elaboramos um
estudo para identificar as auditorias de TI de maior relevância, o trabalho foi feito junto com a
CCE (Coordenadoria de Controle Externo) que é a área responsável por toda a parte de controle
externo. Com base nas auditorias sugeridas pelo estudo priorizamos 3 para o ano de 2008 e outras
4 estão planejadas para 2009. O modelo que pretendemos alcançar prevê ainda que as equipes de
auditoria “tradicionais” (auditores de contas públicas) atuem sugerindo auditorias de TI a partir
das situações (sistemas e ambientes) identificadas no trabalho de campo. Estas sugestões serão
priorizadas de acordo com a relevância.
Pergunta: A auditoria de compliance (checklists) é feita pelo GATI ou pelos auditores de
campo tradicionais (contadores, advogados)?
Resposta: As auditorias de TI são feitas pelos analistas de sistemas da GATI.
Dependendo do escopo da auditoria pode ser necessário montar uma equipe multidisciplinar. Por
exemplo: uma auditoria de sistema de informação onde seja necessário avaliar a aderência das
regras de negócio do sistema às legislações aplicáveis. Neste caso seria indispensável o
conhecimento da legislação aplicável, se for muito específica e complexa seria necessária a
participação de um auditor com conhecimento sobre a mesma.
Pergunta: A auditoria de compliance é feita em todos os auditados ou por amostragem?
Resposta: Os trabalhos de auditoria são planejados em conjunto com a área responsável
pelo controle externo (CCE – Coordenadoria de Controle Externo) sendo escolhidos os sistemas e
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 33/107
37
ambientes considerados mais relevantes (folha de pagamento do estado, bases de dados de
aposentados e pensionista do estado, sistema de distribuição de medicamentos, sistema de pregãoeletrônico, etc.). Nossa equipe ainda é pequena (a área possui apenas 4 pessoas), então a nossa
capacidade operativa não é muito grande, e além de auditorias, fazemos acompanhamento de
processos licitatórios e de contratos de TI.
Pergunta: As entrevistas são feitas pessoalmente ou as informações são impostadas via
sistema?
Resposta: As entrevistas são sempre necessárias. Algumas vezes, quando o escopo da
auditoria envolve sistemas pode ser necessário fazer testes no mesmo, remotamente ou in loco, a
depender do sistema. Algumas vezes recebemos informações em formato eletrônico,
normalmente bases de dados, sempre enviadas em alguma mídia (CD ou DVD) pelo
jurisdicionado.
Pergunta: O não cumprimento de itens do checklist gera algum tipo de falha?
Resposta: As deficiências que encontramos muitas vezes estão relacionadas à não
utilização de boas práticas sugeridas por padrões (referências) como COBIT, ITIL, Normas ISO,
dentre outros, o que não implica em uma irregularidades do ponto de vista legal. Mas as
recomendações apontadas pela equipe podem virar determinações se assim entender o pleno do
TCE no julgamento.
Importante mencionar alguns resultados obtidos através de pesquisa sobre Governança deTI realizada pelo Sr. Luiz Carlos de Oliveira, auditor do TCE-PE (Anexo 4), para sua dissertação
de mestrado. A pesquisa de campo contou com respostas de grande parte dos TCEs do Brasil
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 34/107
38
Figura 7: Escopo de atuação de TI no controle externo
Podemos constatar através de observação da figura 7, que a grande maioria das respostas
(57.1%) aponta para um uso mínimo da estrutura de TI no controle externo, não existindo setor
específico para auditoria em TI nos TCEs. Dos poucos TCEs que realizam auditoria em TI, seja
sob demanda ou através de planejamento, somente 9.5% possui setor destinado para este fim
específico.
Figura 8: Importância do gerenciamento de risco nos TCEs
Outra estatística interessante obtida na pesquisa realizada pelo Sr. Luiz Carlos de Oliveira,
vide figura 8, foi que os TCEs consideram importante o uso de gerenciamento de risco como
ferramenta para governança de TI (76,2%).
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 35/107
39
3.8.2 Experiência do Tribunal de Contas da União
O Tribunal de Contas da União (TCU) é órgão de referência na área de controle externo,
atuando na área de auditoria em TI desde 1994, quando realizou sua primeira auditoria
especificamente nesta área. Na figura 9, retirada de apresentação (Anexo 5) feita pelo Sr. André
Luiz Furtado Pacheco, auditor de TI do TCU, no Congresso Nacional de Auditoria de Sistemas e
Segurança da Informação (CNASI) em 2007, podemos visualizar histórico do TCU na atuação
em auditoria em TI.
Figura 9: Histórico de Auditoria em TI no TCU
Preocupado com a crescente utilização da Informática pela administração pública e a faltade fiscalização adequada nesta área, o TCU criou a Secretaria de Fiscalização de TI (SEFTI) em
2006, conforme podemos ver através de trecho retirado da página do TCU sobre a história da
SEFTI, a criação de área especializada em auditoria de TI é de suma importância na execução do
controle externo.
Dada a importância estratégica da área de Tecnologia da Informação - TI, aexpressiva materialidade tanto das aquisições relacionadas à tecnologia da informaçãoquanto dos recursos geridos por meio de sistemas informatizados no Governo Federal, e
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 36/107
40
o uso cada vez mais crescente da tecnologia da informação para manipulação earmazenamento de dados da Administração Pública Federal, introduzindo novos riscos e
aumentando a fragilidade de algumas atividades, o Tribunal de Contas da União contacom a Secretaria de Fiscalização de Tecnologia da Informação - Sefti, como unidadeespecializada na área.
Essa secretaria especializada, criada em agosto de 2006 para fiscalizar a gestão eo uso de recursos de TI na Administração Pública Federal, conduz trabalhos específicosem Fiscalização de Tecnologia da Informação e serve de suporte às demais Secretariasdo Tribunal, atuando, sempre que solicitada, em uma estrutura matricial de fiscalização.Além disso, elabora e dissemina metodologias, manuais e procedimentos paraplanejamento e execução de fiscalizações de tecnologia da informação, visando maiorqualidade dos trabalhos de fiscalização nessa área.
Sua Diretoria de Auditoria de Tecnologia da Informação tem a atribuiçãoprecípua de coordenação e realização de fiscalizações da governança de Tecnologia daInformação, nos sistemas informatizados da Administração Pública, nas iniciativas degoverno eletrônico e na gestão dos recursos de tecnologia da informação, enquanto que aDiretoria de Aquisições em Tecnologia da Informação tem a missão de coordenação erealização de fiscalizações em editais de licitação, em contratos e em processos deaquisições diretas, todos afetos à tecnologia da informação.
Na figura 10 podemos verificar a estrutura organizacional da SEFTI.
Figura 10: Estrutura organizacional da SEFTI
Outro dado relevante retirado da apresentação realizada pelo Sr. André Luiz Pacheco
Furtado foram as principais normas e padrões utilizados para auditoria em TI. Conforme
podemos verificar na figura 11.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 37/107
41
Figura 11: Normas e padrões utilizados pelo TCU
A auditoria em TI no TCU é realizada através da atuação dos auditores em três níveis:
Auditores Generalistas, Auditores da TI e Especialistas em TI. As auditorias seguem a seguinte
abordagem:
• Auditoria de sistemas: Auditoria de conformidade e/ou operacional em sistemas
informatizados de uma organização;
• Auditoria de gestão de tecnologia da informação: Auditoria para avaliação da
gestão dos recursos de TI de uma organização;
• Auditoria de dados: Auditoria em bases de dados com a utilização de ferramentas e
técnicas de tratamento de dados;
• Auditoria em aquisições de TI: Auditoria em processos de aquisição e
acompanhamento de contratos de TI;
• Auditoria em política de governo na área de TI: Auditoria em políticas ou
programas de governo na área de TI, considerando sua eficácia, eficiência,
economicidade e efetividade.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 38/107
42
O método de auditoria de TI utilizado pelo TCU é composto por fases (levantamento,
planejamento, execução, elaboração do relatório e monitoramento), utilizando-se de montagemde matrizes de planejamento, procedimentos e achados, além de técnicas de auditoria de
conformidade e auditoria operacional. Este método é ilustrado na figura 12.
Figura 12: Método de auditoria em TI utilizado pelo TCU
A matriz de planejamento é o instrumento utilizado para se organizar as informações
relevantes do planejamento de uma auditoria. Permite homogeneizar o entendimento da equipe e
demais envolvidos quanto ao objetivo do trabalho, passos a serem seguidos e estratégia
metodológica a ser adotada, orientando os integrantes da equipe nas fases de execução e deelaboração do relatório. O principal objetivo da matriz de planejamento é enunciar de forma clara
e resumida o aspecto a ser enfocado pela auditoria, de acordo com o levantamento de auditoria
previamente realizado. Passos para a elaboração da matriz de planejamento:
• Elaborar o objetivo da auditoria, após o diagnóstico da situação, e determinar a linha
de investigação, mediante a formulação das questões de auditoria;
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 39/107
43
• Determinar, para cada questão de auditoria, possíveis achados, ou seja, onde se deseja
chegar com a investigação;
• Identificar as informações requeridas e onde as obter;
• Escolher as estratégias metodológicas para responder as questões de auditoria;
• Escolher os métodos de coleta e análise de dados que serão empregados;
• Identificar fatores que possam representar obstáculos (limitações) ao trabalho.
Figura 13: Exemplo de matriz de planejamento.
Através da matriz de procedimentos será detalhado passo a passo o processo de
fiscalização na forma de itens a serem executados, contendo questões de auditoria,
procedimentos, objeto e achado. O principal objetivo da matriz de procedimentos e enunciar de
forma clara e resumida o objetivo da auditoria. Na figura 14 um exemplo de matriz de
procedimentos.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 40/107
44
Figura 14: Exemplo de matriz de procedimentos.
A matriz de achados encaminhará o fechamento da auditoria. Através dela será
evidenciada a situação encontrada, o achado, o critério, a evidência, a causa, o efeito e o
encaminhamento (recomendações) com relação à auditoria efetuada. O principal objetivo da
matriz de achados é evidenciar os resultados da auditoria e as recomendações para corrigir
eventuais irregularidades.
Figura 15: Exemplo de matriz de achados.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 41/107
45
3.8.3 Experiência do Tribunal de Contas do Estado do Paraná
Através de contato mantido com a Dra. Tatianna Cruz Bove, auditora, foi possível saber
que existe atuação na área de auditoria em TI no TCE-PR.
Apesar de acenar com a possibilidade de envio de material para este trabalho, este fato
não se concretizou, mas de qualquer forma é importante o registro que o TCE-PR atua na área de
auditoria em TI e pode vir a ser fonte de consulta para aumento de experiência na forma de
auditar esta área.
Cabe mencionar importante iniciativa daquele Tribunal de Contas no sentido de tentar
tornar mais acessível as informações referentes aos resultados das auditorias através da criação de
um portal de controle social, conforme pode-se verificar na figura 16.
Figura 16: Portal de controle social (http://www.controlesocial.pr.gov.br/)
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 42/107
46
4 AUDITORIA EM TI – PROPOSTAS DE IMPLEMENTAÇÃO NO TCE-RS
Percebe-se, através dos relatos obtidos em reuniões realizadas com servidores do TCE
diretamente relacionados com o processo de auditoria tradicional, que a necessidade de
implementação de auditoria em TI no ambiente do TCE-RS é uma necessidade premente.
Apesar do acesso obtido às informações enviadas pelos entes auditados através do
programa SIAPC, resta desconfiança sobre como estes dados são gerados. Como o objeto final de
envio são arquivos texto, estes podem sofrer algum tipo de manipulação, seja através deprogramas conversores de planos de contas ou outros programas de adequação, ou mesmo edição
manual destes arquivos.
Outra preocupação existente é a de que a auditoria em TI seja mais um entre tantos itens
hoje trabalhados pelos auditores de campo. A auditoria em TI deverá servir como auxílio para
redução de auditoria in-loco. Um roteiro básico para auditores que não são da área de TI deverá
ser elaborado para utilização das equipes de auditoria tradicional.
Através do relato de experiências de outros Tribunais de Contas é possível verificar que a
auditoria em TI, devido a sua complexidade e amplo foco de abordagem exige a montagem de
estrutura própria para este fim. Auditores formados na área e com cursos de especialização e
atualização precisam “pensar” o processo de auditoria, montando matrizes que auxiliarão neste
processo, a exemplo do que hoje acontece no TCU.
O atendimento a este item é de suma importância para o sucesso da auditoria em TI noTCE-RS, pois não se pode esperar que os auditores das equipes de desenvolvimento e suporte à
rede adicionem mais esta tarefa as que hoje já executam e consigam atender a todas as demandas
de forma satisfatória.
Partindo-se da premissa que os dados obtidos dos sistemas informatizados dos
jurisdicionados é base fundamental para a realização do processo de auditoria, e que o ambiente
informatizado existente nestes órgãos deve ser confiável e controlado, podemos vislumbrar a
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 43/107
47
necessidade de um controle interno atuante e com conhecimentos necessários para a garantia
destes quesitos.
Para que o controle interno dos auditados possa ter atuação efetiva, é necessário que
conhecimentos nesta área sejam fornecidos, visando padronizar uma forma de atuação e de
controle. Neste aspecto a utilização de estrutura de EAD por parte do TCE-RS para fornecer estes
conhecimentos é essencial, pois a atuação de forma proativa e educativa refletirá no processo de
controle externo, facilitado por um controle interno atuante.
O uso de técnicas de gerenciamento de riscos, que estão diretamente relacionadas com a
área de controle interno, também poderia ser matéria a ser desenvolvida através do uso de EAD
contribuindo para garantir um ambiente confiável nos órgãos auditados.
A partir de um controle interno atuante, com conhecimentos necessários para a execução
de seu serviço, haveria um cenário propício para o uso de auditoria de compliance.
A utilização das normas ABNT NBR ISSO/IEC 27001 e 17799, a exemplo dos checklistsdo TCE-PE, além de outros requisitos exigidos pelo TCE-RS através de legislação, serviriam
para a formação de quesitos de atendimento obrigatório e passíveis de auditoria, formando a base
para o checklist a ser aplicado.
A coleta das informações dos quesitos a serem atendidos seria feita através de sistema
informatizado, a exemplo do que hoje é feito via o sistema de Manifestação do Controle Interno
(MCI), e a coleta de evidências seria feita in-loco no processo de auditoria tradicional. A emissãode documento comprovando a aderência ao “compliance do TCE-RS” seria uma das certificações
a ser buscada pelo auditado e um primeiro nível de auditoria em TI a ser realizado pelo TCE-RS,
não exigindo neste primeiro momento a atuação de auditores especialistas nesta área.
A análise de contratos e processos licitatórios na área de TI seria uma outra área onde
auditores de TI poderiam atuar, a exemplo do que hoje acontece no TCE-PE, que inclusive possui
manual criado exclusivamente para esta finalidade e do TCU, que também atua de forma efetiva
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 44/107
48
neste processo através de sua Diretoria de Fiscalização de Aquisições em Tecnologia da
Informação (DEFTI).
Ferramentas de BI e data mining poderiam ser utilizadas para cruzamento de informações
em cima dos dados fornecidos pelos auditados, seja através do SIAPC ou requisições, e acesso à
base de dados de outras instituições, tais como Bancos e Junta Comercial, entre outras, para
montagem das matrizes de planejamento, procedimentos e achados de auditoria, levantando
indícios que seriam comprovados in-loco pelas equipes de auditoria em campo. Seria a
implementação da “Malha Fina” do TCE-RS.
A necessidade de atuação em auditorias que envolvam análise de dados ou de sistemas
utilizados pelos auditados seria feita por auditores especialistas, que devido ao seu perfil técnico
não fariam parte de equipes de auditoria tradicional e teriam seu trabalho requisitado quando
preciso. Estes auditores além da formação técnica em TI também deveriam possuir certificações
na área de auditoria e conhecimentos em forense computacional.
Poderíamos resumir a auditoria em TI em fases, que poderiam ocorrer de formaconcomitante com o processo de auditoria tradicional. A metodologia a ser utilizada seria a de
criação de matrizes de planejamento, procedimentos e achados, utilizada pelo TCU. Estas fases
seriam:
1. Planejamento da Auditoria: Seriam utilizados dados obtidos através da “Malha
Fina” do TCE-RS, dados retirados do sistema MCI, denúncias recebidas pela
ouvidoria e matriz de risco elaborada pelos setores de auditoria municipal para amontagem das matrizes de planejamento e procedimentos;
2. Execução: As evidências relativas aos dados obtidos para o processo de auditoria
seriam verificadas durante o processo de auditoria in-loco, não necessariamente por
auditores especialistas em TI, que seriam solicitados se necessário, e serviriam para a
montagem da matriz de achados.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 45/107
49
3. Relatório: Nesta fase os dados retirados da matriz de achados seriam relatados e as
recomendações para sanar possíveis falhas seriam efetuadas.
Além destas fases, que ocorreriam dentro do plano operativo de auditoria, ainda haveria a
necessidade de atuação nas áreas de aquisições em TI, analisando e acompanhando os contratos
que forem feitos nesta área e também do atendimento de auditorias específicas e pontuais que
envolvam análise de dados obtidos em sistemas dos auditados.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 46/107
50
5 CONCLUSÃO
Neste trabalho foram abordados aspectos relevantes referentes à auditoria em TI,
trazendo-se conceitos necessários ao entendimento da proposta de implementação no processo de
auditoria do TCE-RS.
Resultados de entrevistas realizadas com auditores do TCE-RS e com fornecedores de
ferramentas passíveis de utilização em auditoria de TI foram relatadas, bem como experiências de
outros Tribunais que hoje já atuam nesta área.
Em capitulo específico, os conceitos abordados e os relatos de experiências e entrevistas
foram transformados em sugestões de como se implementar auditoria em TI no processo de
auditoria do TCE-RS.
Espera-se que as informações aqui contidas auxiliem na implementação e implantação da
auditoria em TI nas ações já existentes no Planejamento Estratégico do TCE-RS e no
PROMOEX, servindo talvez como documento inicial para aprimoramento de uma solução
institucional.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 47/107
51
6 BIBLIOGRAFIA
1 BRASIL, Tribunal de Contas da União. Manual de Auditoria de Sistemas. Brasília: TCU,Secretaria de Auditoria e Inspeções, 1998.
2 IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005
3 RAMOS, Anderson (org.). Security Officer 1 - Guia Oficial para Formação de Gestores emSegurança da Informação. Rio Grande do Sul: Zouk, 2006
4 WIKIPÉDIA. Business Intelligence. Disponível em: <http://pt.wikipedia.org/wiki/Business_intelligence >. Acesso em 6 abr. 2008
5 NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A. Recovering andExamining Computer Forensic Evidence. Forense Science Communications. 2000
6 WIKIPÉDIA. Mineração de Dados. Disponível em: <http://pt.wikipedia.org/wiki/Data_mining>. Acesso em 7 abr. 2008
7 PORTELA, Alexandre. Controle Interno Nas Organizações Públicas. Disponível em:<http://www.artigos.com/artigos/sociais/administracao/controle-interno-nas-organizacoes-publicas-2007/artigo/>. Acesso em 16 jul. 2008
8 COSO. Guidance on Monitoring Internal Control Systems. Volume III – ApplicationTechniques. Disponível em: <http://www.coso.org/documents/VolumeIII-ApplicationTechniques.pdf>. Acesso em 14 set. 2008
9 MORAN, José Manuel. O que é educação à distância. Disponível em:<http://www.eca.usp.br/prof/moran/dist.htm>. Acesso em 6 set. 2008
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 48/107
ANEXO 1
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 49/107
Tribunal de Contas da União FORMULÁRIO
OBJETIVO DA PESQUISA
Levantar informações para a Secretaria de Fiscalização de Tecnologia da Informação – Sefti.
ENTIDADETribunal de Contas do Estado de Pernambuco
DATA07/06/2007
RESPONSÁVEL (Favor indicar uma pessoa que possa esclarecer possíveis dúvidas sobre o assunto, indicando nome, função,telefone e correio eletrônico)Regina Claudia de Alencar Ximenes – Chefe da Gerência de Auditoria de TI – (81)3413-7878 –[email protected]
Item 1) A entidade executa fiscalizações de TI?
( x ) sim;( ) não.
Se sim, informe quantos servidores se dedicam a essa atividade e quantas fiscalizações de TI,em média, são realizadas pela entidade por ano:
Quantidade de servidores alocados: 4Média de fiscalizações de TI / ano:
Áreas MédiaAnual
Aquisição e contração de bens e serviços de TI 30
Segurança, Sistemas de TI e/ou auditoria de dados 2Acompanhamento da execução contratual de bens eserviços de TI
2
Marque as áreas de atuação em fiscalização de TI da sua entidade:( x ) aquisição e contratação de bens e serviços de TI;( ) governança de TI;( x ) segurança da informação;( x ) análise e verificação de consistência de dados;( ) avaliação do desempenho de sistemas de TI (eficiência, eficácia e efetividade);( x ) outras. Citar quais: avaliação de conformidade de sistemas; acompanhamento daexecução contratual de bens e serviços de TI.
Favor apontar os trabalhos de fiscalização de TI mais relevantes e enviar cópias por meioeletrônico dos relatórios ou extratos dos trabalhos executados pela entidade.
Até a presente data, já foram realizadas cerca de 190 fiscalizações, concernentes aocontrole preventivo das licitações, envolvendo um montante da ordem de R$ 311.000.000,00 (trezentos e onze milhões de reais) com despesas referentes à aquisição de bens e serviços de
TI. Também já foi realizado o acompanhamento de 6 (seis) contratos de TI, vigentes em trêsórgãos públicos estaduais, que totalizam uma despesa da ordem de R$ 28.000.000,00 (vinte eoito milhões reais) e foram realizadas 8 (oito) auditorias de sistemas, sendo 4 (quatro) emsistemas de Folha de Pagamento (entre eles o SAD-RH -Folha de Pagamento do Estado), 3
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 50/107
(três) em sistemas de compras eletrônicas (Pregão Eletrônico), dentre estes os sistemas do Banco Real e o do Banco do Brasil, utilizados pela Administração Direta e Indireta do Estado,respectivamente (http://www.redecompras.pe.gov.br/), e uma auditoria no sistema SIAGEM -Sistema Integrado de Administração de Materiais e Serviços para Estados e Municípios. Aseguir destacamos os trabalhos mais recentes em cada área.
Nome do trabalho Descrição do trabalho com os resultados alcançados
Auditoria do Sistema dePregão Eletrônico daPref. Ipojuca
Auditoria de TI visando inspecionar as rotinas e os mecanismos decontrole de execução inerentes ao sistema Pregão On-line (sitewww.pregaoonline.com.br) utilizado pela Prefeitura Municipal deIpojuca, em decorrência de contrato firmado para este fim com aempresa Amplo Comércio e Serviços Ltda., desenvolvedora emantenedora do referido sistema.
Auditoria deAcompanhamento de
Contratos - UPE
Auditoria de acompanhamento da execução de contratos de TI.Ref.: Contrato nº. 038/2005, celebrado pelo Hospital Universitário
Oswaldo Cruz – HOUC. Período auditado: 06/09/2006 a 29/09/2006.Auditoria deAcompanhamentoContratos - ATI
Auditoria de acompanhamento da execução de contratos de TI.Ref.: Contrato nº. 006/2004 , da Agência Estadual de Tecnologia daInformação – ATI. Período auditado: 22/02/2007 a 19/03/2007.
Auditoria deAcompanhamento –Edital de licitação daPref. Ipojuca
Análise prévia do Edital de Concorrência nº 010/2006, que temcomo objeto a contratação da licença de uso, implantação,estruturação das bases de dados, capacitação, manutenção eprestação de garantia de um conjunto de sistemas aplicativoscontemplando a gestão orçamentária e contábil, receitas municipais,
recursos humanos, patrimônio, almoxarifado, compras e licitações,frota, saúde, educação, ouvidoria, banco de leis do município,tramitação de processos, ação social, um sistema de emissão derelatórios gerenciais para o Gabinete do Prefeito e o serviço degerenciamento da infra-estrutura de processamento da PrefeituraMunicipal de Ipojuca/PE afeita ao conjunto de sistemas acima. Oprazo previsto para a contratação é de 12 meses e o valor estimado éde R$ R$ 2.334.803,50.
Auditoria deAcompanhamento –Edital de licitação da
Secretaria de Saúde
Análise prévia do processo licitatório nº. 068.2006.IV.CC.005.SES,(Concorrência nº. 005/2006), do tipo técnica e preço, promovido pelaSecretaria de Administração e Reforma do Estado para a Secretaria
Estadual de Saúde,
que tem como objeto a “contratação de empresaespecializada para o fornecimento de serviços técnicosespecializados em informática e gestão”. Valor estimado: R$9.432.000,00.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 51/107
Item 2) A entidade possui unidade técnica especializada para execução de fiscalizações de TI?( x ) sim;( ) não.
Se sim, favor informar o nome da unidade e os normativos que definem sua competência legal,
encaminhando cópias desses documentos por meio eletrônico.
Gerência de Auditoria de Tecnologia da Informação – GATI, subordinada à Coordenadoria de Tecnologia da Informação - CTI
Competências (constantes do Manual de Organização pendente de aprovação pelo Pleno)
Cabe à Gerência de Auditoria de Tecnologia da Informação:
I- planejar, em conjunto com a Coordenadoria de Controle Externo, coordenar e executar oacompanhamento técnico-financeiro da aplicação de recursos públicos na área de tecnologia dainformação por parte dos órgãos jurisdicionados;
II- planejar, em conjunto com a Coordenadoria de Controle Externo, coordenar e executar auditoria deambientes e sistemas computacionais dos jurisdicionados;
III- planejar, em conjunto com a Coordenadoria de Tecnologia da Informação, coordenar e executarauditoria de ambiente e sistemas computacionais internos;
IV- analisar e emitir laudos técnicos nos processos de matéria de tecnologia da informação encaminhados pelos Gabinetes de Conselheiros, Órgãos Especiais ou pela Coordenadoria de Controle Externo;,
V- desenvolver produtos e atividades com a finalidade de orientar os órgãos fiscalizados pelo Tribunalsobre a contratação e execução de contratos de bens e serviços de tecnologia da informação;
VI- emitir parecer técnico para subsidiar o processo interno de contratação de bens e serviços deinformática.
• Atribuições:
Compete ao Gerente de Auditoria de Tecnologia da Informação:
I- gerenciar as atividades e os recursos disponíveis, de forma a atender as competências da Gerência eoutras compatíveis com sua área de atuação, observando o cumprimento da legislação específica;
II- elaborar, com a participação dos servidores da Gerência, o Plano Operativo Anual de sua unidadeorganizacional, em conformidade com os Planos Estratégico e de Gestão, monitorando ocumprimento das metas estabelecidas, propondo ajustes e avaliando resultados por meio deindicadores de desempenho;
III- desenvolver e executar, junto à sua equipe, projetos voltados ao aperfeiçoamento de procedimentos erotinas de sua área de atuação;
IV- assistir os processos de criação e implementação dos sistemas informatizados da Gerência;V- identificar necessidades e propor condições para um melhor desempenho e integração da equipe,
com ênfase no processo de capacitação dos servidores lotados na Gerência;
VI- realizar as avaliações de desempenho funcional de sua responsabilidade;VII- supervisionar a freqüência e a escala de férias dos servidores lotados na Gerência;supervisionar o controle dos materiais e bens patrimoniais sob sua responsabilidadeVIII- supervisionar o controle dos materiais e bens patrimoniais sob sua responsabilidade;
IX- elaborar e remeter ao Coordenador relatórios trimestrais e anual de atividades da Gerência nos prazos e modelo estabelecidos;
X- observar o cumprimento dos provimentos da Corregedoria Geral e das recomendações do Controle Interno, referentes à sua unidade organizacional.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 52/107
Item 3) A entidade utiliza documentos para orientar as fiscalizações de TI?( x ) sim;( ) não.
Se sim, favor marcar os tipos utilizados, citando os documentos e enviando cópias por meio
eletrônico, se possível:
( x ) Coletânea de normas ou boas práticas aplicadas a fiscalizações de TI; (COBIT, Normas ISO 17799; ISO 15408 (PA em elaboração))( ) Portfólio de ferramentas automatizadas de assistência a auditorias;( x ) Procedimentos, manuais ou modelos de relatório que norteiam as fiscalizações de TI;(Roteiro para auditoria de TI; Roteiro para auditoria de contratos; PA-Segurança Física e
Ambiental;PA-Segurança em sistemas;PA-Backup; PA-Vírus; PA-Licitação de TI- Geral; PA- Licitação de serviços de desenvolvimento; PA-Pregão ePA-Contrato.( ) Modelo de controle de qualidade dos produtos de fiscalização de TI;( x ) Outros. Citar quais: até o momento, as auditorias de dados foram realizadas utilizando a
ferramenta MS-Access
Item 4) A instituição adota modelos de mapeamento e desenvolvimento de competências paraprofissionais que atuam em fiscalizações de TI (plano de capacitação, cursos, treinamentos,certificações e outros)?( x ) sim; ( ) não.
Se sim, favor informar quais, encaminhando cópias desses modelos por meio eletrônico.
Treinograma de Azoubel.
Item 5) A instituição tem interesse de atuar em futuras fiscalizações de TI em conjunto com oTCU?( x ) sim;( ) não.Comentários:
O TCE-PE já trabalhou em conjunto com o TCU na auditoria do sistema SIPIA e teminteresse em realizar outras auditorias, no sentido de aprimorar o seu modelo de fiscalizaçãode TI.
Auditorias de TI conjuntas em objetos para os quais haja ou tenha havido o repasse deverbas federais através de convênios, por exemplo, seriam de interesse comum tanto para oTCU como para o TCE-PE.
Se sim, favor apontar possíveis trabalhos conjuntos de fiscalização de TI, caso essasinformações não sejam sigilosas: Tema/área(governança,
segurança dainformação etc.)
Entidade a ser
auditada
Período
provávelComentários sobre o trabalho
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 53/107
Item 6) Favor utilizar este espaço caso queira oferecer sugestões, opiniões ou outras
informações que considere relevantes.
• Sugere-se que as respostas e os documentos recebidos pelo TCU, como resultado desta pesquisa, sejam divulgados e disponibilizados para todas as entidades colaboradoras(uma opção seria a disponibilização de todo o material, para fins de download, no
próprio site do TCU). Importante, inclusive, que o próprio TCU também preencha o formulário e compartilhe suas informações e o material de que dispõe (Programas deauditoria, manuais, plano de capacitação, etc.) com os demais TCEs e TCMs.
• Sugere-se também a criação de uma lista de discussão ou fórum do qual poderiam participar servidores dos TCs que realizam auditorias de TI ou que tenham interesse no
assunto.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 54/107
ANEXO 2
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 55/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 56/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 57/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 58/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 59/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 60/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 61/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 62/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 63/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 64/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 65/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 66/107
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 67/107
ANEXO 3
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 68/107
Frederico Henrique Goldschmidt Neto
De: Eury Pacheco Motta Júnior [[email protected]]
Enviado em: terça-feira, 2 de setembro de 2008 08:13
Para: Frederico Henrique Goldschmidt Neto
Cc: Nelson Barreto C. B. de Menezes; Maria Teresa Silva de MouraAssunto: RES: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas
29/10/2008
Prezado Frederico,
Desculpe a demora na resposta, o ritmo de trabalho aqui está bem acelerado. Caso seja necessário maisalguma informações acho melhor você ligar para mim, desta forma terá as respostas mais rapidamente.
Como vocês estão começando, sugiro que vocês estudem e se planejem para que as pessoas que fazemauditoria de TI tirem certificação CISA (Certified Information System Auditor), nós estamos iniciando osestudos para isto. Exige muito estudo e conhecimento em TI para tirar esta certificação, boa parte da equipedo TCU (que audita TI) possui.
Seguem abaixo as respostas às suas perguntas. Estou a disposição caso as respostas não sejam suficientespara esclarecer os pontos levantados.
[]s Eury Motta, Gerência de Auditoria de TI (GATI) 3181-7855 ou 3181-7878.
Para que eu possa entender melhor o funcionamento do GATI e do próprio processo de autoria, poderias medar uma visão de como funciona a auditoria de TI dentro do plano operativo de vocês?
A partir deste ano começamos a trabalhar da seguinte forma, elaboramos um estudo para identificaras auditorias de TI de maior relevância, o trabalho foi feito junto com a CCE (Coordenadoria de
Controle Externo) que é a área responsável por toda a parte de controle externo. Com base nasauditorias sugeridas pelo estudo priorizamos 3 para o ano de 2008 e outras 4 estão planejadas para2009. O modelo que pretendemos alcançar prevê ainda que as equipes de auditoria“tradicionais” (auditores de contas públicas) atuem sugerindo auditorias de TI a partir das situações(sistemas e ambientes) identificadas no trabalho de campo. Estas sugestões serão priorizadas deacordo com a relevância.
- A auditoria de compliance (checklists) é feita pelo GATI ou pelos auditores de campo tradicionais(contadores, advogados ..)?
As auditorias de TI são feitas pelos analistas de sistemas da GATI. Dependendo do escopo daauditoria pode ser necessário montar uma equipe multidisciplinar. Por exemplo: uma auditoria desistema de informação onde seja necessário avaliar a aderência das regras de negócio do sistema àslegislações aplicáveis. Neste caso seria indispensável o conhecimento da legislação aplicável, se formuito específica e complexa seria necessária a participação de um auditor com conhecimento sobre amesma.
- A auditoria de compliance é feita em todos os auditados ou por amostragem?
Os trabalhos de auditoria são planejados em conjunto com a área responsável pelo controle externo(CCE – Coordenadoria de Controle Externo) sendo escolhidos os sistemas e ambientes consideradosmais relevantes (folha de pagamento do estado, bases de dados de aposentados e pensionista doestado, sistema de distribuição de medicamentos, sistema de pregão eletrônico, etc.). Nossa equipe
ainda é pequena (a área possui apenas 4 pessoas), então a nossa capacidade operativa não é muitogrande, e além de auditorias, fazemos acompanhamento de processos licitatórios e de contratos deTI.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 69/107
- As entrevistas são feitas pessoalmente ou as informações são impostadas via sistema?
As entrevistas são sempre necessárias. Algumas vezes, quando o escopo da auditoria envolvesistemas pode ser necessário fazer testes no mesmo, remotamente ou in loco, a depender do sistema.Algumas vezes recebemos informações em formato eletrônico, normalmente bases de dados, sempreenviadas em alguma mídia (CD ou DVD) pelo jurisdicionado.
- O não cumprimento de itens do checklist gera algum tipo de falha?
As deficiências que encontramos muitas vezes estão relacionadas a não utilização de boas práticassugeridas por padrões (referências) como COBIT, ITIL, Normas ISO, dentre outros, o que nãoimplica em uma irregularidades do ponto de vista legal. Mas as recomendações apontadas pelaequipe podem virar determinações se assim entender o pleno do TCE no julgamento.
De: Regina XimenesEnviada em: quarta-feira, 13 de agosto de 2008 10:38Para: Eury Pacheco Motta Júnior Assunto: ENC: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas
De: Nelson Barreto C. B. de MenezesEnviada em: segunda-feira, 28 de julho de 2008 09:47Para: Regina Ximenes Assunto: ENC: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas
Oi Regina,
Tu respondeste ao questionamento do pessoal do TCE-RS agora ele tem mais perguntas, você poderiaresponder e entrar em contato direto com ele?
Abraços,
Nelson Barreto C B de Menezes Núcleo de Planejamento, Controle Interno eDesenvolvimento Organizacional - NPC Tribunal de Contas de Pernambuco 81-3181.7760
De: Frederico Henrique Goldschmidt Neto [mailto:[email protected]]Enviada em: quarta-feira, 9 de julho de 2008 16:10Para: Nelson Barreto C. B. de Menezes Assunto: RES: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas
Olá Nelson,
Dei uma olhada na documentação que me enviaste e verifiquei que vocês possuem vários checklistsbaseados na 17799, além do manual para análise de contratos de TI.
Para que eu possa entender melhor o funcionamento do GATI e do próprio processo de autoria, poderiasme dar uma visão de como funciona a auditoria de TI dentro do plano operativo de vocês?
- A auditoria de compliance (checklists) é feita pelo GATI ou pelos auditores de campo tradicionais(contadores, advogados ..)?
- A auditoria de compliance é feita em todos os auditados ou por amostragem?- As entrevistas são feitas pessoalmente ou as informações são impostadas via sistema? - O não cumprimento de itens do checklist gera algum tipo de falha?
29/10/2008
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 70/107
Estas seriam algumas perguntas, mas se tivesses um tempo (ou a Regina Ximenes) para gastarescomigo poderias descrever de forma resumida como funciona o processo ai no TCE-PE?
Agradeço mais uma vez a boa vontade em atender este colega do Sul!
[]s Frederico Henrique Goldschmidt Neto Auditor Público Externo - TCE/RS Coordenador - DA-SINF-SRI Fone: 51-32149832
-----Mensagem original-----De: Nelson Barreto C. B. de Menezes [mailto:[email protected]]Enviada em: segunda-feira, 7 de julho de 2008 12:12Para: Frederico Henrique Goldschmidt NetoCc: Programa de Modernização do Controle Externo Assunto: ENC: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas
Prezado Fred,
Envio a resposta do TCE-PE, ao mesmo tempo solicito, se possível a consolidação dessa pesquisaque você está fazendo com todos os TCs.
Abraços,
Nelson Barreto C B de Menezes Coordenador Geral Adjunto - Promoex Tribunal de Contas de Pernambuco – TCE/PE Fone: 81-3181.7760 Fax: 81-3181.7697 [email protected]
De: Regina XimenesEnviada em: segunda-feira, 7 de julho de 2008 11:38Para: Maria Teresa Silva de Moura Assunto:
RES: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas
Teresa,
Em meados de 2007, o TCU realizou pesquisa junto aos TCs para levantamento deinformações acerca da prática/procedimentos de auditoria de TI. O formulário de pesquisarespondido pela nossa Gerência de Auditoria de TI e todo o material solicitado foiencaminhado para TCU, via e-mail. Acredito que o TCU deve dispor de muitas outrasinformações da situação da auditoria de TI nos demais Tribunais de Contas. Seria muito bomque todo esse material fosse divulgado, para conhecimento de todos os interessados!
Em anexo, seguem as nossas respostas ao formulário bem como os arquivos encaminhados.
_________________________________ Regina C. Alencar Ximenes Analista de Sistemas - CTI/GATI Tribunal de Contas de Pernambuco - TCE/PE
----- Original Message -----From: [email protected] To: [email protected] Sent: Tuesday, July 01, 2008 3:10 PM Subject: [promoex] Metodologia/Documentação para Auditoria em TI/Sistemas
Prezados Colegas dos TCs,
Nós do TCE-RS estamos iniciando o processo de auditoria em TI/Sistemas. Já realizamos algumas auditorias pontuais, mas ainda carecemos de uma metodologia mais
aprofundada para evoluir nesta matéria, a exemplo do que temos feito em auditoria operacional e
29/10/2008
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 71/107
ambiental. Aproveitando uma das finalidades do PROMOEX, que é o compartilhamento de recursos,
gostariamos de saber se algum TC já possui metodologia/manuais de auditoria em TI/Sistemas e sehaveria possibilidade de compartilhar este conhecimento.
Agradecemos antecipadamente!
[]s
Frederico Henrique Goldschmidt Neto Auditor Público Externo - TCE/RS Coordenador - DA-SINF-SRI Fone: 51-32149832
29/10/2008
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 72/107
ANEXO 4
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 73/107
Page: Importância e Benefícios da Tecnologia da Informação (TI)
1. Do ponto de vista da estratégia corporativa do TCE, quão importante você considera que a TI seja para que as metas dessa estratégia seja
alcançadas?
Nenhuma
importância
Pouca
importância
Não
tenho
certeza
ImportanteMuito
importanteNão sei
Rating
Average
Respon
Count
Grau de importância 0.0% (0) 0.0% (0) 0.0% (0) 9.5% (2) 90.5% (19) 0.0% (0) 4.90
Comente se achar necessário
answered question
skipped question
2. Com que freqüência a TI é incluída na agenda das decisões sobre o negócio do TCE?
Nunca
Às vezes.
Depende do
projeto
Regularmente Sempre Não seiRating
Average
Respon
Count
Freqüência 0.0% (0) 47.6% (10) 33.3% (7) 19.0% (4) 0.0% (0) 2.71
Comente se achar necessário
answered question
skipped question
3. Com que freqüência a Tecnologia da Informação no TCE informa sobre oportunidades de negócio proporcionadas por novas tecnologias?
Nunca
Às vezes.
Depende do
projeto
Regularmente Sempre Não seiRating
Average
Respon
Count
Freqüência 4.8% (1) 14.3% (3) 66.7% (14) 14.3% (3) 0.0% (0) 2.90
Comente se achar necessário
answered question
skipped question
4. Como você descreve o alinhamento entre a estratégia de TI e a estratégia de negócio do TCE?
Muito
pobrePobre Médio Bom Muito bom Não sei
Rating
Average
Respon
Count
Grau de alinhamento 0.0% (0) 28.6% (6) 38.1% (8) 14.3% (3) 19.0% (4) 0.0% (0) 3.24
Comente se achar necessário
answered question
skipped question
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 74/107
Page: Problemas de TI e soluções potenciais
5. Qual o escopo de atuação da TI no controle externo?
Response
Percent
Respon
Count
Atuação restrita ao apoio nas
atividades do controle externo. O
TCE não dispõe de um setor
destinado a auditoria de TI.
57.1% 1
Além do apoio nas atividades do
controle externo, O TCE realiza
autitoria de TI sob demanda, porém
não dispõe de um setor destinado a
auditoria de TI.
23.8%
O TCE dispõe de um setor destinado
a auditoria de TI, mas não existe um
Plano de Auditoria de TI nos
jurisdicionados.
9.5%
O TCE dispõe de um setor destinadoà auditoria de TI e existe um Plano
de Auditoria de TI nos
jurisdicionados.
9.5%
Não sei 0.0%
Comente se achar necessário.
answered question
skipped question
6. Qual o grau de severidade de problemas relativos a TI que você enfrentou nos últimos 12 meses?
Muito sério Pouco sérioSem grau de
severidade
Não Houve
problemaNão sei
Rating
Average
Respon
Count
Alto custo da TI e/ou baixo retorno
de investimento14.3% (3) 19.0% (4) 42.9% (9) 19.0% (4) 4.8% (1) 2.70
Problemas na entrega de serviços de
TI (solução de incidentes e
problemas)
9.5% (2) 57.1% (12) 14.3% (3) 19.0% (4) 0.0% (0) 2.43
Incidentes sérios de operação da TI 14.3% (3) 23.8% (5) 23.8% (5) 38.1% (8) 0.0% (0) 2.86
Incidentes relativos a segurança e
privacidade (pessoas, intrusos, etc.)9.5% (2) 14.3% (3) 19.0% (4) 57.1% (12) 0.0% (0) 3.24
Falta de conexão entre a estratégia
de TI e a estratégia do TCE33.3% (7) 14.3% (3) 38.1% (8) 14.3% (3) 0.0% (0) 2.33
Problemas de terceirização 19.0% (4) 28.6% (6) 14.3% (3) 38.1% (8) 0.0% (0) 2.71
Insuficiência de pessoal 61.9% (13) 23.8% (5) 14.3% (3) 0.0% (0) 0.0% (0) 1.52
Medidas inadequadas para o Plano
de Recuperação de Desastres e para
23.8% (5) 19.0% (4) 23.8% (5) 33.3% (7) 0.0% (0) 2.67
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 75/107
o Plano de Continuidade do Negócio
Pessoal com perfil inadequado 28.6% (6) 33.3% (7) 9.5% (2) 28.6% (6) 0.0% (0) 2.38
Problemas no arquivamento
eletrônico de informações14.3% (3) 33.3% (7) 4.8% (1) 47.6% (10) 0.0% (0) 2.86
Problemas com gerenciamento de
documentos, de conteúdo e com a
gestão do conhecimento
28.6% (6) 28.6% (6) 14.3% (3) 28.6% (6) 0.0% (0) 2.43
A TI não atende nem suporta os
requisitos do negócio do TCE4.8% (1) 23.8% (5) 28.6% (6) 42.9% (9) 0.0% (0) 3.10
Falta de agilidade na solução de
problemas10.0% (2) 25.0% (5) 55.0% (11) 10.0% (2) 0.0% (0) 2.65
Outros (favor especificar) 0.0% (0) 0.0% (0) 0.0% (0) 85.7% (6) 14.3% (1) 4.00
Comente se achar necessário
answered question
skipped question
7. Você pode informar as três métricas mais importantes que você usa para avaliar o sucesso da organização da TI? (Exemplos de métricas:
Tempo de resposta a quedas dos sitemas; Disponipilidade dos sistemas; Tempo médio de resposta a incidentes, outras métricas sugeridas
pelo COBIT, etc.)
Response
Percent
Respon
Count
1. 100.0% 1
2. 94.7% 1
3. 84.2% 1
answered question 1
skipped question
8. As práticas de governança de TI no TCE incluem algumas das práticas relacionadas abaixo?
Sim Não
Não são práticas
da governança
de TI
Não seiRating
Average
Respon
Count
Criar as estruturas organizacionais
corretas para direcionar e
supervisionar os recursos de TI
55.0% (11) 25.0% (5) 15.0% (3) 5.0% (1) 1.58
A alta direção revisa os orçamentos
e planejamentos de TI regularmente57.1% (12) 38.1% (8) 4.8% (1) 0.0% (0) 1.48
Os departamentos do TCE
gerenciam o portfólio de projetos deTI apoiados pela Coordenadoria de
Tecnologia da Informação
42.9% (9) 47.6% (10) 9.5% (2) 0.0% (0) 1.67
Os requisitos de recursos de TI são
identificados com base nas90.0% (18) 10.0% (2) 0.0% (0) 0.0% (0) 1.10
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 76/107
Page: Uso de Frameworks de Governança de TI
prioridades do negócio do TCE
Existe um comitê para a estratégia
global de TI23.8% (5) 71.4% (15) 4.8% (1) 0.0% (0) 1.81
Existe um procedimento padrão para
determinar o valor (financeiro e não
financeiro) bem como os riscos para
investimentos em TI
4.8% (1) 90.5% (19) 4.8% (1) 0.0% (0) 2.00
O Diretor Geral informa
pessoalmente sobre os maiores
riscos relacionados a TI e cobra as
ações apropriadas
19.0% (4) 76.2% (16) 4.8% (1) 0.0% (0) 1.86
Existe scorecard para a TI, é
conhecido por todo o TCE e
contempla criação de valor pela TI
14.3% (3) 85.7% (18) 0.0% (0) 0.0% (0) 1.86
Comente se achar necessário
answered question
skipped question
9. Você já implementou, está implementando ou considerando a possibilidade de implementar melhores práticas de governança de TI?
Response
Percent
Respon
Count
Não estou considerando a
implementação4.8%
Estou considerando a
implementação57.1% 1
Estou implementando 38.1%
Já implementei 0.0%
Não sei 0.0%
Comente se achar necessário
answered question
skipped question
10. Se você não está considerando a implementação de melhores práticas de governança de TI, por favor selecione os motivos
Response
Percent
Respon
Count
Não me parece que a governança deTI seja a solução para os meus
problemas relacionados a TI
0.0%
Não tenho problemas relacionados a
TI 0.0%
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 77/107
Frameworks de governança de TI
são muito difíceis de implementar 0.0%
Falta de informações sobre soluções 0.0%
Falta de especialização para
executar 0.0%
O TCE é muito pequeno 0.0%
Não é uma prioridade no TCE 0.0%
Não existe orçamento previsto 0.0%
Outros (favor especificar) 100.0%
Não sei 0.0%
Comente se acha necessário
answered question
skipped question
11. Quais as soluções/frameworks você usa ou está considerando usar?
Não conheço
Não estou
considerando
usar
Estou
considerando
usar
Estou
usandoNão sei
Rating
Average
Respon
Count
ISO 38500 73.3% (11) 6.7% (1) 13.3% (2) 0.0% (0) 6.7% (1) 1.36 1
Normas do grupo ISO 27000 ou
padrão equivalente para segurança23.5% (4) 11.8% (2) 35.3% (6) 23.5% (4) 5.9% (1) 2.63 1
COBIT 5.9% (1) 11.8% (2) 64.7% (11) 11.8% (2) 5.9% (1) 2.88 1
ITIL/ISO 20000 6.3% (1) 6.3% (1) 62.5% (10) 18.8% (3) 6.3% (1) 3.00 1
IT Balanced Scorecard (BSC) 11.1% (2) 27.8% (5) 44.4% (8) 16.7% (3) 0.0% (0) 2.67 1
Software Engineering Institute
Maturity Model (CMM and CMMI)13.3% (2) 20.0% (3) 40.0% (6) 20.0% (3) 6.7% (1) 2.71 1
PMI, PMBOK 0.0% (0) 22.2% (4) 50.0% (9) 22.2% (4) 5.6% (1) 3.00 1
Outras soluções locais ( favorespecificar)
25.0% (2) 12.5% (1) 0.0% (0) 25.0% (2) 37.5% (3) 2.40
Outras soluções internacionais (favor
especificar)28.6% (2) 14.3% (1) 0.0% (0) 28.6% (2) 28.6% (2) 2.40
Framework desenvolvido
internamente0.0% (0) 10.0% (1) 20.0% (2) 60.0% (6) 10.0% (1) 3.56 1
Comente se achar necessário
answered question
skipped question
12. Qual o grau de medição do progresso/desempenho da sua governança de TI?
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 78/107
Page: Perfil Geral da TI
Nenhum grau Algum grau Alto grau Não seiRating
Average
Respon
Count
Grau de medição 25.0% (5) 60.0% (12) 5.0% (1) 10.0% (2) 1.78
Comente se achar necessário
answered question
skipped question
13. Qual a importância do gerenciamento de risco para o TCE?
Nenhuma
importância
Pouca
importância
Não
tenho
certeza
ImportanteMuito
importanteNão sei
Rating
Average
Respon
Count
Grau de importância 4.8% (1) 9.5% (2) 9.5% (2) 42.9% (9) 33.3% (7) 0.0% (0) 3.90
Comente se achar necessário
answered question
skipped question
14. Quanto de valor você acha que o TCE extrai da TI (ex. melhor relacionamentos com usuários e clientes, melhor gerenciamento de risco,
menor custo)?
Nenhum
valor
Pouco
valor
Não tenho
certeza
Algum
valor
Muito
valorNão sei
Rating
Average
Respon
Count
Valor 0.0% (0) 0.0% (0) 0.0% (0) 47.4% (9) 52.6% (10) 0.0% (0) 4.53 1
Comente se achar necessário
answered question 1
skipped question
15. Como você descreve a filosofia d TI no TCE? Ela é …
Response
Percent
Respon
Count
Inovadora (a TI é usada como uma
arma competitiva)19.0%
Funcional (Investe em tecnologias de
líderes de mercado)38.1%
Conservadora (focada em
tecnologias maduras e provadas)42.9%
Não sei 0.0%
Comente se achar necessário
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 79/107
Page: Perfil do respondente
answered question
skipped question
16. Quem é o patrocinador da governança de TI dentro do TCE?
Response
Percent
Respon
Count
Presidente do TCE 14.3%
Diretor Geral 14.3%
Coordenador/Diretor de TI 57.1% 1
Coordenador/Diretor Administrativo 9.5%
Coordenador/Diretor do Controle
Externo 0.0%
Ninguém 4.8%
Outros (favor especificar) 0.0%
Não sei 0.0%
Comente se achar necessário
answered question
skipped question
17. Como você descreve o nível de envolvimento da Diretoria Geral nas iniciativas de governança de TI?
Baixo
envolvimento
Informada
mas
pouco
envolvida
Participa
das
tomadas
de
decisão
Lidera as
tomadas
de
decisão
Totalmente
responsávelNão sei
Rating
Average
Respon
Count
Grau de envolvimento 23.8% (5) 28.6% (6) 33.3% (7) 4.8% (1) 9.5% (2) 0.0% (0) 2.48
answered question
skipped question
18. Por favor, confirme qual o seu cargo e área de responsabilidade
Respon
Count
1
answered question 1
skipped question
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 80/107
19. Quantos funcionários existem no TCE?
Response
Percent
Respon
Count
Menos que 100 0.0%
101-500 19.0%
501-1.000 61.9% 1
Mais de 1.000 19.0%
Não sei 0.0%
answered question
skipped question
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 81/107
ANEXO 5
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 82/107
Secretaria de Fiscalização de Tecnologia da Informação 1
Auditoria de Tecnologia daInformação
Método para auditar organizações
de qualquer porte
André Luiz Furtado Pacheco, CISA
Secretaria de Fiscalização de Tecnologia da Informação 2
Graduado em Processamento de Dados pela Universidade
Católica de Brasília; Especializado em Controle Externo pela FGV; Certified Information Systems Auditor – CISA, Auditor de TI, há mais de 14 anos, está lotado na Secretaria de
Fiscalização de Tecnologia da Informação do TCU; Realizou a supervisão e a revisão do Manual de Auditoria de
Sistemas e da Cartilha de Boas Práticas de Segurança da Informaçãodo TCU;
Instrutor de Auditoria de TI nos cursos da Organização Latino-Americana e do Caribe das Entidades de Fiscalização Superior –
OLACEFS e do TCU; Possui larga experiência nas áreas de auditoria, instrução e TI.
André Luiz Furtado Pacheco, CISA
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 83/107
Secretaria de Fiscalização de Tecnologia da Informação 3
Sumário1. Atuação do TCU
2. Definição de Auditoria de TI
3. Forma de Atuação dos Auditores
4. Principais Normas e Padrões Utilizados
5. Método de ATI do TCU6. Exemplos de Utilização do Método
Secretaria de Fiscalização de Tecnologia da Informação 4
1.1 Papel do TCU
O Tribunal de Contas da União tem jurisdiçãoprópria e privativa, em todo o território nacional.Julga as contas dos administradores e demaisresponsáveis por dinheiros, bens e valorespúblicos federais, bem como de qualquerpessoa física ou jurídica, pública ou privada,que der causa a perda, extravio ou outrairregularidade de que resulte prejuízo ao Erário.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 84/107
Secretaria de Fiscalização de Tecnologia da Informação 5
1.2 Dados do TCU em 2006
Cerca de 3.000 órgãos ou entidades da AdministraçãoPública Federal jurisdicionados; Recebeu 1.546 prestação de contas anuais; Adotou 116 medidas cautelares; Apreciou 127.754 atos de registro de pessoal; Aplicou sanções no valor de R$ 502,6 milhões; Realizou 895 fiscalizações; Gerou benefícios no valor de R$ 2,7 bilhões; Para cada R$ 1,00 gasto, o TCU proporcionou uma
economia de R$ 5,33.
Secretaria de Fiscalização de Tecnologia da Informação 6
1.3 Histórico da ATI no TCU Curso de Introdução à Auditoria de Sistemas (1992)
Elaboração da 1ª versão do PA (1993) Execução da 1ª Auditoria da TI (1994) Especialização de Divisão Técnica - DIPEA (1996)
Projeto de Desenvolvimento da Auditoria de TI - PDTI -Manual de Auditoria de Sistemas e curso regular de ATI(1997/1998)
Projeto de Auditoria da TI (2001)
Criação da Diretoria de Auditoria da TI - Dati/Adfis (2003) Criação da Secretaria de Fiscalização de TI - Sefti (2006)
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 85/107
Secretaria de Fiscalização de Tecnologia da Informação 7
1.4 Criação da Sefti
Resolução nº 193 (agosto 2006) realizar fiscalizações que requeiram conhecimento
especializado na área de TI realizar trabalhos de fiscalização e de avaliação de
programas de governo na área de TI fiscalizar a gestão e o uso de recursos de TI pela APF
realizar pesquisas, desenvolver e disseminar métodosem ATI elaborar e aplicar cursos e treinamentos
Secretaria de Fiscalização de Tecnologia da Informação 8
1.5 Papel da Sefti
Negócio: Controle externo da governança de
tecnologia da informação na Administração PúblicaFederal. Missão: Assegurar que a tecnologia da informação
agregue valor ao negócio da Administração PúblicaFederal em beneficio da sociedade.
Visão: Ser unidade de excelência no controle e no
aperfeiçoamento da governança de tecnologia dainformação.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 86/107
Secretaria de Fiscalização de Tecnologia da Informação 9
2. Definição de Auditoria de TI
fiscalização cujo objeto sejaalgum recurso de TI de umaorganização com o objetivo dese verificar sua conformidade àlegislação e às normas aplicadas
e/ou sua eficácia, eficiência,economicidade e efetividade
Secretaria de Fiscalização de Tecnologia da Informação 10
3. Forma de Atuação dosAuditores
3.1 Três níveis:
Auditores Generalistas
Auditores da TI
Especialistas em TI
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 87/107
Secretaria de Fiscalização de Tecnologia da Informação 11
3.2 Abordagens• Auditoria de sistemas• Auditoria de gestão de TI• Auditoria de dados• Auditoria em aquisições de TI• Auditoria em política ou programa
de governo na área de TI
Secretaria de Fiscalização de Tecnologia da Informação 12
Auditoria de Sistemas
auditoria de conformidade e/ouoperacional em sistemasinformatizados de umaorganização
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 88/107
Secretaria de Fiscalização de Tecnologia da Informação 13
Auditoria de gestão detecnologia da informação
auditoria para avaliação dagestão dos recursos de TI de
uma organização
Secretaria de Fiscalização de Tecnologia da Informação 14
Auditoria de Dados
auditoria em bases de dadoscom a utilização deferramentas e técnicas detratamento de dados
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 89/107
Secretaria de Fiscalização de Tecnologia da Informação 15
Auditoria em Aquisições de TI
auditoria em processos deaquisição e acompanhamento de
contratos de TI
Secretaria de Fiscalização de Tecnologia da Informação 16
Auditoria em Política deGoverno na Área de TI
auditoria em políticas ouprogramas de governo naárea de TI, considerandosua eficácia, eficiência,economicidade e efetividade
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 90/107
Secretaria de Fiscalização de Tecnologia da Informação 17
4. Principais Normas e
Padrões Utilizados Constituição Federal
Legislação Brasileira
NBR ISO/IEC 17799:2005 –Segurança da Informação
Cobit – Control Objectives forInformation and related Technology
Secretaria de Fiscalização de Tecnologia da Informação 18
4.1 Constituição Federal
Direitos e Deveres Individuais e Coletivos (Art. 5°) Liberdade de expressão, de crenças Direito de resposta Intimidade, vida privada, honra e imagem Sigilo correspondência, comunicação de dados
Princípios da Administração Pública (Art. 37)
Legalidade, impessoalidade, moralidade,publicidade e eficiência
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 91/107
Secretaria de Fiscalização de Tecnologia da Informação 19
4.2 Legislação Brasileira Lei 8.112 de 1990 – Regime Jurídico dos Servidores
Públicos Civis da União Lei 8.666 de 1993 – Licitações e Contratos da
Administração Pública Federal Lei 9.100 de 1995 – Crimes Eleitorais Lei 9.609 de 1998 – Proteção da propriedade intelectual
de software
Lei 9.983 de 2000 – Crimes contra a Previdência (alterao Código Penal) Lei 10.520 de 2002 – Institui a modalidade de licitação
Pregão
Secretaria de Fiscalização de Tecnologia da Informação 20
Decreto-Lei 2.848 de 1940 – Código Penal Decreto-Lei 3.688 de 1941 – Lei das Contravenções
Penais Lei 7.716 de 1989 – Define Crimes Resultantes de
Preconceito de Raça e Cor Lei 8.069 de 1990 – Estatuto da Criança e do
Adolescente
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 92/107
Secretaria de Fiscalização de Tecnologia da Informação 21
Decreto 1.070 (1994) – Regulamenta a
Contratação de Bens e Serviços de Informáticapela Administração Federal
Decreto 3.505 (2000) – PSI da AdministraçãoPública Federal
Decretos 4.553 (2002) e 5.301 (2004) –Segurança das Informações e DocumentosSigilosos da Administração Pública Federal
Decreto 5.450 (2005) – Regulamenta o pregão,na forma eletrônica, para aquisição de bens eserviços comuns
Secretaria de Fiscalização de Tecnologia da Informação 22
4.3 Lacunas na LegislaçãoBrasileira
Acesso não autorizado aos sistemas Interceptação não autorizada de informações Uso não autorizado de sistemas de
informática Alteração de dado ou programa de
computador Difusão de vírus eletrônico Quebra de privacidade de banco de dados
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 93/107
Secretaria de Fiscalização de Tecnologia da Informação 23
4.4 Projeto de Lei no Congresso
NacionalPLS-76/2000 (que incorporou os projetos de lei
PLC-84/1999 e PLS-137/2000)• Dispõe sobre crimes cometidos na área de
informática• Tipifica condutas realizadas mediante uso de rede de
computadores ou Internet, ou que sejam praticadascontra sistemas de informatizados e similares
• Aprovado na Câmara dos Deputados e na Comissãode Educação do Senado Federal (junho de 2006)• Na Comissão de Constituição e Justiça (abril de
2007)
Secretaria de Fiscalização de Tecnologia da Informação 24
4.5 NBR ISO/IEC 17799:2005
Origem : British Standard Institution (BSI)
BS-7799 – 1ª versão : 1995 Padrão mais completo para o gerenciamento
da segurança de informação Aprovada em 2000 como padrão internacional
pela ISO: ISO/IEC 17799 Em 2001 a ABNT decidiu adotá-la como
norma brasileira (NBR ISO/IEC 17799)
A 2ª versão foi lançada em 2005 Passará a ser a ISO/IEC 27002
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 94/107
Secretaria de Fiscalização de Tecnologia da Informação 25
4.6 CobitCobit (Control Objectives for Information and
related Technology) é um processo estruturadocom objetivo de possibilitar a governança em TI,ou seja: gerenciar e controlar as iniciativas de TI nas
organizações; garantir o retorno de investimentos; garantir a adoção de melhorias nos processos
empresariais; e minimizar riscos.
Secretaria de Fiscalização de Tecnologia da Informação 26
5. Método de Auditoria de TI
Fases (Levantamento, Planejamento,Execução, Elaboração do Relatório eMonitoramento)
Matrizes (Planejamento, Procedimentos eAchados)
Técnicas de Auditoria de Conformidade Técnicas de Auditoria Operacional
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 95/107
Secretaria de Fiscalização de Tecnologia da Informação 27
PLANEJAMENTO DA AUDITORIA
EXECUÇÃO
RELATÓRIO
Visão GeralAvaliação dos
ControlesInternos
ElaboraçãoMatriz de
Planejamento
ElaboraçãoMatriz de
Procedimentos
Elaboração
Acumulação deEvidências
Desenvolvimentodos Achados
(Matriz de Achados)
Aplicaçãodos
Procedimentos
Revisão
Secretaria de Fiscalização de Tecnologia da Informação 28
5.1 Matriz de Planejamento Instrumento para se organizar as informações
relevantes do planejamento de uma auditoria homogeneização do entendimento da equipe, e
demais envolvidos, quanto: ao objetivo do trabalho; aos passos a serem seguidos; a estratégia metodológica a ser adotada.
Orienta os integrantes da equipe nas fases deexecução e de elaboração do relatório
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 96/107
Secretaria de Fiscalização de Tecnologia da Informação 29
Questões deAuditoria
Informaçõesrequeridas
Fontes deInformação
Técnicasde
Auditoria
Limitações PossíveisAchados
Especificaros termos-chave e oescopo daquestão.
Período deabrangência,população
alvo, áreageográfica.
Identificar asinformaçõesnecessáriaspararesponder aquestão deauditoria.
Identificar asfontes decada item deinformação.
Especificar• técnicasa seremutilizadas• estratégiasmetodológi-cas• métodosp/obtençãode dados• métodosde análisede dados
Especificar aslimitaçõesrelativas:• À qualidadedasinformações;• À estratégiametodológica;• Às condições
operacionaisde realizaçãodo trabalhos.
Esclarecerprecisamentequeconclusões ouresultadospodem seralcançados apartir daestratégia
metodológicaadotada.
Objetivo: Enunciar de forma clara e resumida o aspecto a serenfocado pela auditoria, de acordo com o levantamento deauditoria previamente realizado.
Secretaria de Fiscalização de Tecnologia da Informação 30
Elaboração daMatriz de Planejamento
elaborar o objetivo da auditoria, após o diagnóstico da situação, e
determinar a linha de investigação, mediante a formulação das questõesde auditoria determinar, para cada questão de auditoria, possíveis achados, ou seja,
onde se deseja chegar com a investigação identificar as informações requeridas e onde as obter escolher as estratégicas metodológicas para responder as questões de
auditoria escolher os métodos de coleta e análise de dados que serão
empregados Identificar fatores que possam representar obstáculos (limitações) ao
trabalho
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 97/107
Secretaria de Fiscalização de Tecnologia da Informação 31
5.2 Matriz de Procedimentos
detalhamento, passo a passo, dafiscalização na forma de itens deverificação a serem executados,contendo:
Questão de Auditoria
Procedimentos Objeto Achado
Secretaria de Fiscalização de Tecnologia da Informação 32
Matriz de Procedimentos Objetivo: Enunciar de forma clara e resumida o objetivo da auditoria.
Questões deAuditoria
Procedimentos Objetos Achados
Correspondência
com a Questão deAuditoria (Qn)
constante daMatriz dePlanejamento
Descrição dos Itens
de verificação oucheck-list
Onde serão
efetuados osprocedimentos (ex:Contrato XX/2005,Programa XX-250,etc)
Usar a notação A1,
A2,..., An (para
possibilitar acorrespondência coma matriz de achados)ou Ñ quando nãohouver achado
P11
P12
Q1
P1n
P21
P22
Q2
P2n
P31P32
Qn
P3n
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 98/107
Secretaria de Fiscalização de Tecnologia da Informação 33
5.3 Matriz de Achados
Situação Encontrada Achado Critério Evidência Causa Efeito Encaminhamento (recomendação)
Secretaria de Fiscalização de Tecnologia da Informação 34
Matriz de Achados
Objetivo: Enunciar de forma clara e resumida o objetivo da auditoria
Achado Situação
Encontrada
Critério Evidência Causas Efeitos Encaminha-
mentoCorres-pondênciacom oAchado(An)constanteda MatrizdeProcedi-mentos
Situaçãoexistente,identificada edocumentada
durante afase deexecução daauditoria
Legislação,norma, jurisprudência,
entendimento
doutrinárioou padrãoadotado
Informaçõesobtidasdurante aauditoria nointuito dedocumentaros achadose derespaldar asopiniões econclusõesda equipe
O quemotivou aocorrênciado achado
Conse-qüênciasdoachado
Propostas daequipe deauditoria.Deve conteridentificaçãodo(s)responsável(is)
A1
A2
An
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 99/107
Secretaria de Fiscalização de Tecnologia da Informação 35
6. Exemplos deUtilização do Método
Auditoria de Sistemas – Módulo de Consignaçõesdo Siape – Acórdão 1505/2007 - Plenário
Auditoria de Gestão de TI – MTE – Acórdão2023/2005 - Plenário
Auditoria de Dados – Benefícios da Previdência –Acórdão 1921/2003 - Plenário
Auditoria em Aquisições de TI – Acórdão
2094/2004 - Plenário Auditoria em Política de Governo na Área de TI –
e-Gov – Acórdão 1386/2006 - Plenário
Secretaria de Fiscalização de Tecnologia da Informação 36
6.1 Auditoria de Sistemas – Siape – Acórdão 1505/2007-Plenário
aperfeiçoe o sistema para que a autorização do consignado
seja registrada no Siape antes da efetivação daconsignação, de acordo com o art. 45 da Lei 8.112/1990;
implemente rotina para que as ações dos servidores queincluem, alteram ou excluem consignações no Siape sejammonitoradas mensalmente pelos respectivos responsáveis esejam mantidos registros eletrônicos desses procedimentos,à disposição dos órgãos de controle, conforme previsto no
Inciso 12.3 da Norma de Execução nº 1, do Dasis, aprovadapela IN nº 4, de 11.07.2006, da SRH/MP.
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 100/107
Secretaria de Fiscalização de Tecnologia da Informação 37
6.2 Auditoria de Gestão de TI –MTE – Acórdão 2023/2005-Plenário
estabeleça institucionalmente as atribuiçõesrelativas à segurança da informação;
defina uma Política de Segurança da Informação; defina uma Política de Controle de Acesso aos
ativos de informação;
crie critérios de classificação das informações; estabeleça e divulgue uma metodologia para
desenvolvimento de sistemas
Secretaria de Fiscalização de Tecnologia da Informação 38
Auditoria de Gestãode TI – MTE (cont.)
crie mecanismos para que as políticas e normas se
tornem conhecidas; informe seus usuários quanto à necessidade de
bloquearem seus computadores durante as ausências; informe seus usuários quanto à necessidade de
criarem senhas que satisfaçam aos requisitos mínimosdefinidos na Política de Controle de Acesso;
defina um Plano Estratégico para a área deTecnologia da Informação – TI;
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 101/107
Secretaria de Fiscalização de Tecnologia da Informação 39
Auditoria de Gestãode TI – MTE (cont.)
não interfira na gestão de recursos humanos deempresas contratadas, abstendo-se departicipar da seleção de pessoal terceirizado;
inclua requisitos de segurança em contratos deprestação de serviços (PSI e SLA);
o acesso ao ambiente de produção seja feito de
forma controlada; aprimore os controles de acesso físico aos
computadores e equipamentos.
Secretaria de Fiscalização de Tecnologia da Informação 40
6.3 Auditoria de Dados –Benefícios da Previdência –Acórdão 1921/2003-Plenário
promova o batimento on-line de CPF com aSRF em todas as operações de concessão eatualização de benefícios, confrontando osdemais dados cadastrais
estude e defina a quantidade ideal máxima debenefícios para um mesmo representantelegal, não sendo este representante deentidade
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 102/107
Secretaria de Fiscalização de Tecnologia da Informação 41
Auditoria de Dados –Benefícios daPrevidência
proceda a modificações nos sistemas de benefíciospara: inibir a vinculação de benefícios a representantes
legais que já tenham atingido a quantidademáxima;
exigir homologação superior quando essaquantidade tiver que ser comprovadamente
ultrapassada; garantir o cadastramento efetivo de entidades e
respectivos representantes
Secretaria de Fiscalização de Tecnologia da Informação 42
Auditoria de Dados –Benefícios daPrevidência
averigúe os casos relacionados a fim de verificar aregularidade dos representantes e corrigir os dadosnecessários no sistema, promovendo, se for o caso,a cessação e a cobrança de pagamentos indevidos,além da responsabilização por atos praticadosindevidamente
inclua, no convênio com a Febraban, aobrigatoriedade de encaminhamento ao INSS,pelos bancos, das informações cadastrais nãoprotegidas pelo sigilo bancário e a situação da
conta (ativa, inativa etc), para que seja estabelecidarotina periódica de confrontação com a base debenefícios
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 103/107
Secretaria de Fiscalização de Tecnologia da Informação 43
Auditoria de Dados –Benefícios daPrevidência
encaminhe à sua Auditoria-Geral a relação dosbenefícios com titulares de conta bancária divergentedo recebedor do benefício a fim de que sejam tomadasas medidas pertinentes
estabeleça procedimentos documentados parapagamentos de benefícios por meio de depósitos emconta bancária, exigindo comprovação, pelo
beneficiário, da titularidade da conta por ele informada,a fim de dar o devido cumprimento ao art. 166, doDecreto nº 3.048/1999, com redação alterada peloDecreto nº 4.729/2003
Secretaria de Fiscalização de Tecnologia da Informação 44
Auditoria de Dados –Benefícios daPrevidência
averigúe os casos apontados no item 3.17.1, a fimde identificar se houve emissão irregular de PAB,promovendo, quando for o caso, a cobrança depagamentos indevidos, além da responsabilizaçãopor atos praticados indevidamente
investigue as emissões de PAB sem quaisquerinformações da sentença judicial, discriminadasno CD anexo
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 104/107
Secretaria de Fiscalização de Tecnologia da Informação 45
Auditoria de Dados –Benefícios daPrevidência
averigúe os casos listados relativos a benefícios cujoCPF do titular pertence a servidores do INSS,providenciando ações para ressarcimento ao Eráriodas importâncias indevidamente pagas eresponsabilização dos servidores, quando for o caso
faça estudo para aprimoramento dos controles depagamentos de benefícios via cartão magnético, com
vistas a aperfeiçoar o processo de identificação dorecebedor do benefício na rede bancária. Nesseestudo, considere as sugestões da Força-Tarefa/RJ
Secretaria de Fiscalização de Tecnologia da Informação 46
6.4 Auditoria em Aquisições deTI – Acórdão 2094/2004-Plenário
No tocante à aquisição de bens e serviços de
informática pelos entes da administração públicafederal, firmar entendimento no seguinte sentido: todas as aquisições devem ser realizadas em
harmonia com o planejamento estratégico dainstituição e com seu plano diretor deinformática, quando houver, devendo o projetobásico guardar compatibilidade com essas duas
peças, situação que deve estar demonstradanos autos referentes às aquisições
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 105/107
Secretaria de Fiscalização de Tecnologia da Informação 47
Auditoria em Aquisições de TI
as justificativas para a inexigibilidade de licitação devemestar circunstancialmente motivadas, com a clarademonstração de ser a opção escolhida, em termos técnicose econômicos, a mais vantajosa para a administração
a inexigibilidade de licitação para a prestação de serviços deinformática somente é admitida quando guardar relação comos serviços relacionados no art. 13 da Lei 8.666/1993 ouquando se referir à manutenção de sistema ou software em
que o prestador do serviço detenha os direitos depropriedade intelectual, situação esta que deve estardevidamente comprovada nos termos do inciso I do art. 25da referida norma legal
Secretaria de Fiscalização de Tecnologia da Informação 48
Auditoria em Aquisições de TI
a licitação na modalidade pregão é admitida para
a aquisição de softwares desde que estespossam ser nitidamente classificados como “bemcomum”, nos termos da definição contida noparágrafo único do art. 1º da Lei 10.520/2002
as aquisições do gênero em modalidadesdiferentes de Pregão devem ser obrigatoriamente
do tipo técnica e preço, conforme determina o§ 4º do art. 45 da Lei n. 8.666/1993
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 106/107
Secretaria de Fiscalização de Tecnologia da Informação 49
6.5 Auditoria no e-Gov –Acórdão 1386/2006-Plenário
Recomendar à Casa Civil da Presidência daRepública que: institua portal único de governo eletrônico, cujas
alterações de conteúdo, relativas aos serviços,estejam sob a responsabilidade de uma únicaunidade governamental, órgão ou setor
defina, formalmente, os responsáveis pelodesenvolvimento, gerência e manutenção doportal indicado no item anterior
Secretaria de Fiscalização de Tecnologia da Informação 50
Auditoria no e-Gov
reveja o modelo institucional do Programa Governo
Eletrônico, especialmente no que diz respeito aosseguintes aspectos: periodicidade das reuniões da(s) instância(s) de
formulação da política que compõe(m) o modeloadotado
instância(s) capaz(es) de emitir normas sobre o
tema governo eletrônico, com força normativa paraos órgãos da Administração Pública Federal
7/23/2019 Auditoria Em TI Alternativas de Implementacao No Processo de Auditoria Do TCE-RS
http://slidepdf.com/reader/full/auditoria-em-ti-alternativas-de-implementacao-no-processo-de-auditoria-do-tce-rs 107/107
Secretaria de Fiscalização de Tecnologia da Informação 51
Auditoria no e-Gov
papel da Secom da Presidência da República naformulação e implementação da política de governoeletrônico, tendo em vista as atribuições da SLTI/MPcomo Secretaria-Executiva do Comitê Executivo doGoverno Eletrônico (CEGE) e órgão de gerência doprograma orçamentário Governo Eletrônico (8002)
após a definição do modelo institucional a ser
adotado, observe a necessidade de emitir,formalmente, normas para a política de governoeletrônico, sempre que haja necessidade de suaobservância pelos órgãos da APF
‘
Contatos