Relatrio de Auditoria de Gesto de TI Auditoria
- Slides: 16
Relatório de Auditoria de Gestão de TI Auditoria realizada no Tribunal Regional do Trabalho da 23ª Região - Cuiabá Aluna: Isabel Amaral
Tabela de Conteúdo • Introdução • Análise do Relatório • Metodologia • Principais Achados • Fatos Relevantes • Conclusão • Referências
Introdução § O Tribunal Regional do Trabalho da 23ª Região, Cuiabá, foi auditado pelo Conselho Superior da Justiça do Trabalho, se tratando de uma auditoria externa; § O foco da auditoria são todos os aspectos que envolvem a Gestão da Tecnologia da Informação como, por exemplo: § Existência de Plano de Estratégia de TI; § Existência de Plano de Segurança da Informação; § Existência de Política de Segurança da Informação; § É importante salientar que não foi só observado a existência ou não das informações, mas também a qualidade e efetividade das mesmas.
Análise do Relatório Metodologia § Se refere a metodologia adotada para a geração do relatório final: Foi criado, por meio da avaliação comparativa entre as recomendações da equipe de auditoria e as providências ou os esclarecimentos apresentados pela equipe de Gestão de TI do Tribunal Regional do Trabalho de 23ª Região.
Análise do Relatório Principais Achados § No relatório achados foram relatados com o nome de ocorrência; § A cada ocorrência foram criadas recomendações para orientar os próximos passos da instituição na busca por uma boa Gestão de TI; § Foram 47 ocorrências encontradas e NENHUM ponto positivo levantado;
Análise do Relatório § Principais problemas encontrados: § A instituição não realizou análise riscos para criar Plano de Continuidade de Negócios; § Também não analisou riscos que poderiam impedir a execução das estratégias de TIC do órgão; § Não existem procedimentos que sustentem um Plano de Contingência e de recuperação de desastres;
Análise do Relatório Principais Achados § Principais problemas encontrados: § Inexistência de Plano Diretor de Tecnologia da Informação e Comunicações (PDTIC) § Inexistência de Planos de Gerenciamento dos Projetos Estratégicos; § Inexistência de indicadores de desempenho voltados para medir e governar a Gestão da TI; § Possui apenas site backup;
Análise do Relatório Principais Achados § Principais problemas encontrados: § Inexistência de processo formal estabelecido e dedicado ao tratamento das questões de segurança, não existe um Plano Institucional de Segurança da Informação (PISI); § Política de Segurança da Informação existente, porém não baseada na norma NBR ISO/IEC 27002: 2005 ; § Não existe uma Política de Controle de Acesso (PCA) lógico;
Análise do Relatório Principais Achados § Principais problemas encontrados: § Inexistência de inventário completo de todos os programas de computador em uso no Tribunal. § Inexistência de testes para comprovar a eficácia do Plano de Continuidade do Negócio e NEM de treinamentos para capacitar os servidores responsáveis pela elaboração e execução do Plano de Continuidade;
Análise do Relatório Fatos Relevantes § Período da auditoria de 16 a 19 de novembro de 2010, porém relatório gerado em Maio de 2012; § Todas as recomendações estão citando a norma existente que visa o aprimoramento do ponto observado, como por exemplo: “Desenvolva e implante modelo de processo para continuidade da TI. Esse processo deve observar o disposto nos seguintes normativos: NBR ISO/IEC 17799: 2005 (itens 14. 1. 1, 14. 1. 2 e 14. 1. 3); e item 9. 1. 6 do Acórdão n. ° 1. 092/2007 do TCU; ”
Análise do Relatório Fatos Relevantes “Selecione e implemente controles apropriados para assegurar que os riscos sejam eliminados ou reduzidos a um nível aceitável. Os controles devem ser selecionados a partir da NBR ISO/IEC 27002: 2005 ou de outro conjunto de controles como o Cobit. A seleção de controles de segurança da informação depende das decisões da organização e é baseada nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização; ”
Análise do Relatório Fatos Relevantes § Todos os documentos e seus conteúdos foram analisados com base: § Na Control Objectives for Information and related Technology (COBIT), que é um guia de boas práticas para Gestão de TI; § Na norma NBR ISO/IEC 17799: 2005; § E nos Acórdões do TCU. § Relatório possui também os documentos criados em resposta as recomendações realizadas pelos auditores; § Esses documentos em resposta também foram analisados pelos auditores.
Conclusão § Para uma empresa de importância do setor público, possui uma fraca Estratégia de TI; § Não trabalhou os riscos do negócio, deixando sua documentação sem uma base forte; § Também tem falta de especialização de pessoal, já que não possui treinamento para lidar com o que foi descrito dos Planos de TI que possuem; § Passou a trabalhar nos pontos recomendados, apenas após a finalização do Relatório de Auditoria e o envio do mesmo para órgão superior;
Conclusão O relatório é completo, apresentando o que foi encontrado pelos auditores, o que fazer para solucionar e a resposta do Tribunal aos problemas encontrados. Lembrando que, todos os pontos destacados como problemáticos na Gestão de TI da instituição têm o respaldo das normas de auditoria de TI.
Dúvidas
Referências • Relatório Final da Auditoria de Gestão de Tecnologia da Informação - http: //www. csjt. jus. br/c/document_library/get_file? p_l_id=1272434&group. Id=95 5023&folder. Id=1333244&name=DLFE-17013. pdf • Auditoria Interna na Área de Tecnologia da Informação baseado no TCU - http: //portal 2. tcu. gov. br/portal/pls/portal/docs/2188952. PDF • VII Encontro de Auditoria e Unidades de Controle Interno do Sistema “S” (Auditoria Interna e Governança) - http: //www. sfiec. org. br/palestras/administracao/CGUSistema. S/Atuacaoda. Auditoria. Internana. Avaliacaoda. Gestaode. TI. pdf
- Gesto gustavo
- Gesto comercial
- Asseponto web
- Gesto comercial
- Gesto reguladores
- Protoimperativos y protodeclarativos que son
- Gesto comercial
- Gesto comercial
- Gesto comercial
- Gesto patografo
- Gesto comercial
- Filastrocca del piccolo gesto importante
- Gesto cultural
- Gesto comercial
- Derivados de gesto
- Gesto comercial
- Gesto laboral