Relatrio de Auditoria de Gesto de TI Auditoria

  • Slides: 16
Download presentation
Relatório de Auditoria de Gestão de TI Auditoria realizada no Tribunal Regional do Trabalho

Relatório de Auditoria de Gestão de TI Auditoria realizada no Tribunal Regional do Trabalho da 23ª Região - Cuiabá Aluna: Isabel Amaral

Tabela de Conteúdo • Introdução • Análise do Relatório • Metodologia • Principais Achados

Tabela de Conteúdo • Introdução • Análise do Relatório • Metodologia • Principais Achados • Fatos Relevantes • Conclusão • Referências

Introdução § O Tribunal Regional do Trabalho da 23ª Região, Cuiabá, foi auditado pelo

Introdução § O Tribunal Regional do Trabalho da 23ª Região, Cuiabá, foi auditado pelo Conselho Superior da Justiça do Trabalho, se tratando de uma auditoria externa; § O foco da auditoria são todos os aspectos que envolvem a Gestão da Tecnologia da Informação como, por exemplo: § Existência de Plano de Estratégia de TI; § Existência de Plano de Segurança da Informação; § Existência de Política de Segurança da Informação; § É importante salientar que não foi só observado a existência ou não das informações, mas também a qualidade e efetividade das mesmas.

Análise do Relatório Metodologia § Se refere a metodologia adotada para a geração do

Análise do Relatório Metodologia § Se refere a metodologia adotada para a geração do relatório final: Foi criado, por meio da avaliação comparativa entre as recomendações da equipe de auditoria e as providências ou os esclarecimentos apresentados pela equipe de Gestão de TI do Tribunal Regional do Trabalho de 23ª Região.

Análise do Relatório Principais Achados § No relatório achados foram relatados com o nome

Análise do Relatório Principais Achados § No relatório achados foram relatados com o nome de ocorrência; § A cada ocorrência foram criadas recomendações para orientar os próximos passos da instituição na busca por uma boa Gestão de TI; § Foram 47 ocorrências encontradas e NENHUM ponto positivo levantado;

Análise do Relatório § Principais problemas encontrados: § A instituição não realizou análise riscos

Análise do Relatório § Principais problemas encontrados: § A instituição não realizou análise riscos para criar Plano de Continuidade de Negócios; § Também não analisou riscos que poderiam impedir a execução das estratégias de TIC do órgão; § Não existem procedimentos que sustentem um Plano de Contingência e de recuperação de desastres;

Análise do Relatório Principais Achados § Principais problemas encontrados: § Inexistência de Plano Diretor

Análise do Relatório Principais Achados § Principais problemas encontrados: § Inexistência de Plano Diretor de Tecnologia da Informação e Comunicações (PDTIC) § Inexistência de Planos de Gerenciamento dos Projetos Estratégicos; § Inexistência de indicadores de desempenho voltados para medir e governar a Gestão da TI; § Possui apenas site backup;

Análise do Relatório Principais Achados § Principais problemas encontrados: § Inexistência de processo formal

Análise do Relatório Principais Achados § Principais problemas encontrados: § Inexistência de processo formal estabelecido e dedicado ao tratamento das questões de segurança, não existe um Plano Institucional de Segurança da Informação (PISI); § Política de Segurança da Informação existente, porém não baseada na norma NBR ISO/IEC 27002: 2005 ; § Não existe uma Política de Controle de Acesso (PCA) lógico;

Análise do Relatório Principais Achados § Principais problemas encontrados: § Inexistência de inventário completo

Análise do Relatório Principais Achados § Principais problemas encontrados: § Inexistência de inventário completo de todos os programas de computador em uso no Tribunal. § Inexistência de testes para comprovar a eficácia do Plano de Continuidade do Negócio e NEM de treinamentos para capacitar os servidores responsáveis pela elaboração e execução do Plano de Continuidade;

Análise do Relatório Fatos Relevantes § Período da auditoria de 16 a 19 de

Análise do Relatório Fatos Relevantes § Período da auditoria de 16 a 19 de novembro de 2010, porém relatório gerado em Maio de 2012; § Todas as recomendações estão citando a norma existente que visa o aprimoramento do ponto observado, como por exemplo: “Desenvolva e implante modelo de processo para continuidade da TI. Esse processo deve observar o disposto nos seguintes normativos: NBR ISO/IEC 17799: 2005 (itens 14. 1. 1, 14. 1. 2 e 14. 1. 3); e item 9. 1. 6 do Acórdão n. ° 1. 092/2007 do TCU; ”

Análise do Relatório Fatos Relevantes “Selecione e implemente controles apropriados para assegurar que os

Análise do Relatório Fatos Relevantes “Selecione e implemente controles apropriados para assegurar que os riscos sejam eliminados ou reduzidos a um nível aceitável. Os controles devem ser selecionados a partir da NBR ISO/IEC 27002: 2005 ou de outro conjunto de controles como o Cobit. A seleção de controles de segurança da informação depende das decisões da organização e é baseada nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização; ”

Análise do Relatório Fatos Relevantes § Todos os documentos e seus conteúdos foram analisados

Análise do Relatório Fatos Relevantes § Todos os documentos e seus conteúdos foram analisados com base: § Na Control Objectives for Information and related Technology (COBIT), que é um guia de boas práticas para Gestão de TI; § Na norma NBR ISO/IEC 17799: 2005; § E nos Acórdões do TCU. § Relatório possui também os documentos criados em resposta as recomendações realizadas pelos auditores; § Esses documentos em resposta também foram analisados pelos auditores.

Conclusão § Para uma empresa de importância do setor público, possui uma fraca Estratégia

Conclusão § Para uma empresa de importância do setor público, possui uma fraca Estratégia de TI; § Não trabalhou os riscos do negócio, deixando sua documentação sem uma base forte; § Também tem falta de especialização de pessoal, já que não possui treinamento para lidar com o que foi descrito dos Planos de TI que possuem; § Passou a trabalhar nos pontos recomendados, apenas após a finalização do Relatório de Auditoria e o envio do mesmo para órgão superior;

Conclusão O relatório é completo, apresentando o que foi encontrado pelos auditores, o que

Conclusão O relatório é completo, apresentando o que foi encontrado pelos auditores, o que fazer para solucionar e a resposta do Tribunal aos problemas encontrados. Lembrando que, todos os pontos destacados como problemáticos na Gestão de TI da instituição têm o respaldo das normas de auditoria de TI.

Dúvidas

Dúvidas

Referências • Relatório Final da Auditoria de Gestão de Tecnologia da Informação - http:

Referências • Relatório Final da Auditoria de Gestão de Tecnologia da Informação - http: //www. csjt. jus. br/c/document_library/get_file? p_l_id=1272434&group. Id=95 5023&folder. Id=1333244&name=DLFE-17013. pdf • Auditoria Interna na Área de Tecnologia da Informação baseado no TCU - http: //portal 2. tcu. gov. br/portal/pls/portal/docs/2188952. PDF • VII Encontro de Auditoria e Unidades de Controle Interno do Sistema “S” (Auditoria Interna e Governança) - http: //www. sfiec. org. br/palestras/administracao/CGUSistema. S/Atuacaoda. Auditoria. Internana. Avaliacaoda. Gestaode. TI. pdf