Workshop Auditoria Interna - ipai.pt · Para informações, contacte Deloitte ... preparação e...

Governação de SI no contexto

da Auditoria Interna

Pedro Peralta 19 de novembro de 2015

Desafios e oportunidades

IntroduçãoA crescente relevância dos Sistemas de Informação no contexto empresarial

A perspetiva do Auditor InternoInfluência do “sistema de informação” na Auditoria Interna e enquadramento IIA

Governação de Sistemas de InformaçãoA urgência do governo societário de SI e a evolução recente a nível nacional

Abordagem prática de Auditoria InternaPor onde começar?

Agenda

2© 2015. Para informações, contacte Deloitte & Associados SROC, S.A.

O mundo está a mudar…

Introdução

© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 3

Vídeo “Human Exclusion Zone – Quiet Logistics”

http://youtu.be/8gy5tYVR-28

http://youtu.be/8gy5tYVR-28

Lei de Moore

Introdução

Em 1965 o fundador da Intel formulou a seguinte conjectura, designada por lei de Moore:


“O número de

transístores num

chip duplicará a

cada 2 anos”

Gordon Moore

A evolução dos computadores é exponencial

A lei de Moore no mundo real…

Introdução


Fonte: http://makematics.com/drafts/more_pixels_law.html


Introdução


Fonte: http://www.ericsson.com/res/docs/2013/ericsson-mobility-report-november-2013.pdf


Introdução


Fonte: http://www.genome.gov/sequencingcosts/

… e o reflexo nas Empresas

Introdução


Fonte: http://www.zdnet.com/article/weird-but-inevitable-algorithm-now-serves-on-a-corporate-board/





Agenda


Novos desafios, novas abordagens

A perspetiva do Auditor Interno

As utilização de tecnologias de informação, as quais são parte integrante do sistema de

informação, concede vantagens significativas às organizações, como sejam:

• Automatização de processos (cálculos, validações, workflows);

• Partilha de informação entre processos;

• Desmaterialização de documentos e transacções;

• Execução de transacções electrónicas (e-commerce);

• Acesso electrónico (“em qualquer lugar”) à informação;

• Rapidez, acessibilidade e eficácia no acesso à informação; e

• Melhoria do nível de controlo sobre os processos e sobre a informação.


Novos desafios, novas abordagens


…representando riscos que as organizações não podem ignorar:

• Dependência de automatismos “invisíveis”;

• Cíber-segurança;

• Tratamento massificado de informação, de forma indiferenciada;

• Falhas na partilha de informação entre processos;

• Vulnerabilidade da informação electrónica (desmaterializada);

• Acesso indevido (consultas, modificações) à informação, de forma massificada;

• Elevada velocidade de propagação de eventos de risco; ou

• Confiança excessiva sobre o alcance da tecnologia (“pensava que…”).

…mutas vezes ignorados ou ofuscados pelas vantagens concedidas.


Reconhecimento de valor na governação de SI


De acordo com um estudo realizado pelo ISACA em 2014, “ISACA Global COBIT 5

Governance Study” os principais benefícios resultantes de uma eficaz governação de

SI, foram:

Integração entre o negócio e os Sistemas de Informação (75% das respostas)

Melhoria na gestão de risco (56% das respostas); e

Maior visibilidade dos SI ao nível do órgão de administração (35% das respostas)

No mesmo estudo, mais de 78% dos participantes concordou que o panorama global da

empresa e de SI resultaram valorizados por existir uma eficaz governação de SI. 17% não

referiu qualquer alteração e 5% afirmaram ter desvalorizado.


As orientações do IIA


2110. Governança (norma de desempenho)

A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para a

melhoria do processo de governança no seu cumprimento dos seguintes objetivos:

• Promover a ética e os valores apropriados dentro da organização;

• Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de contas;

• Comunicar as informações relacionadas aos riscos e aos controles às áreas apropriadas da

organização; e

• Coordenar as atividades e a comunicação das informações entre o conselho, os auditores

externos e internos e a administração.

2110.A1 – A atividade de auditoria interna deve avaliar o desenho, implantação e a

eficácia dos objetivos, programas e atividades da organização relacionados à ética.

2110.A2 – A atividade de auditoria interna deve avaliar se a governação de SI da

organização dá suporte às estratégias e objetivos da organização.






Agenda


Motivação para a governação de SI

Governação de Sistemas de Informação

Para além dos aspetos já referidos, a motivação para uma boa governação de SI resulta

da necessidade de

• alinhamento e integração entre o governo das sociedades e o governo de SI;

• alinhamento e integração dos objetivos e estratégias do SI com o negócio;

• definição de responsabilidades transversais no contexto do SI, designadamente dos

órgãos de Governo, Gestão e Operação da sociedade;

• promover a consciencialização para as novas ameaças das novas TIC (ex. Cloud, Big

Data, Mobilidade, Ciber-riscos, Redes Sociais);

• garantir a conformidade do SI com os requisitos legais, normativos e contratuais;

• adaptação das organizações a novos modelos de exploração e crescente importância

do governo e gestão de entidades externas (ex. outsourcing);

• valorização do fator humano nos SI, nomeadamente na qualificação, requalificação ou

atualização de competências para alinhamento com as necessidades; e

• promover uma cultura, conduta profissional e ética, também no contexto do SI.


Papel dinamizador do IPCG


Atento à relevância do tema “IT Governance”, o Instituto Português de Corporate

Governance criou um grupo de trabalho para preparação e discussão de uma proposta de

“Princípios e recomendações para o bom governo societário de Sistemas de

Informação”.

O grupo de trabalho integrou especialistas em vários domínios com vasta experiência

profissional:

• Estratégia e governação de Sistemas de Informação;

• Auditoria de Sistemas de Informação;

• Consultoria estratégica de Sistemas de Informação

• Direito (de privacidade da Informação e proteção de dados);

• Ensino superior de Sistemas de Informação;


Bom governo societário de Sistemas de Informação


Neste trabalho foram identificados 6 princípios para o bom governo societário de SI. Estes

princípios determinam que o órgão de administração é responsável:

1. Pelo governo do Sistema de Informação

2. Pelo alinhamento e integração da estratégia do Sistema de Informação com a

estratégia e objetivos do negócio

3. Por delegar na gestão executiva a responsabilidade pela implementação de uma

estrutura de suporte ao governo do Sistema de Informação

4. Por controlar e avaliar os investimentos e custos relevantes relacionados com o

Sistema de Informação

5. Por garantir que as oportunidades e ameaças relacionadas com o Sistema de

Informação são parte integrante da gestão de risco da sociedade

6. Por garantir a gestão eficaz do ativo Informação






Agenda


Avaliação de maturidade da governação de SI

Abordagem prática de Auditoria Interna

Princípio 1 - O órgão de administração é responsável pelo governo do Sistema de

Informação

Questões a considerar

• Existem estruturas de SI (Comités, DSI, CIO) para alinhar os objetivos da organização com os objetivos de SI?

• Os comportamentos éticos relativamente à utilização da informação e dos SI encontram-se refletidos nos códigos

de conduta / ética?

• São fornecidas orientações aos colaboradores relativamente a comportamentos não éticos e às consequências

que tais comportamentos poderão significar?

• As estruturas de SI existentes possibilitam uma comunicação fluída com o órgão de administração?

• O resultado da supervisão efetuada sobre o Sistema de Informação (e.g. conclusões do Auditor Externo) é

acompanhado de modo a melhorar a sua eficácia e desempenho?




Princípio 2 - O órgão de administração é responsável pelo alinhamento e integração da

estratégia do Sistema de Informação com a estratégia e objetivos do negócio


• A estratégia de SI é definida tendo em consideração a estratégia da organização sendo possível reconhecer esta

última nos objetivos definidos para os SI?

• Existem mecanismos de inventivo à inovação em SI que contribuam para responder a novos desafios,

oportunidades, para a melhoria dos processos ou para o desenvolvimento do negócio?

• É elaborado e aprovado um orçamento de SI enquadrado com as prioridades definidas (estratégia de SI) e os

constrangimentos orçamentais existentes?

• Os recursos afetos aos Sistemas de Informação são proporcionais à dimensão e características da organização?




Princípio 3 - O órgão de administração é responsável por delegar na gestão executiva a

responsabilidade pela implementação de uma estrutura de suporte ao governo do

Sistema de Informação


• As funções e responsabilidades da Direção de Sistemas de Informação (ou equiv.) e das suas subdivisões

encontram-se claramente definidas e comunicadas na organização?

• As decisões mais relevantes de SI são tomadas em sede de estrutura de apoio ao órgão de administração,

própria para o efeito (e.g. comité de estratégico de SI)?

• Encontram-se definidas políticas e processos para articulação (e.g. pedidos, incidências) da área de Sistemas de

Informação com as restantes estruturas da organização?

• O “gestor do Sistema de Informação” possui as competências necessárias, técnicas não técnicas, e a experiência

adequada para a função?




Princípio 4. O órgão de administração é responsável por controlar e avaliar os

investimentos e custos relevantes relacionados com o Sistema de Informação


• Existem indicadores de performance específicos para o Sistema de Informação?

• Os investimentos de SI são avaliados quanto ao valor que contribuem (financeiro e não financeiro), quanto aos

riscos associados e a quanto à eficácia (usabilidade, disponibilidade) e eficiência (custos)?

• O Sistema de Informação encontra-se documentado, do ponto de vista técnico e funcional, de modo a garantir a

proteção do conhecimento e do valor?

• Existem mecanismos de controlo e monitorização da prestação de serviços externos relacionados com o SI?

Esses mecanismos são periodicamente avaliados de forma independente?




Princípio 5. O órgão de administração é responsável por garantir que as oportunidades e

ameaças relacionadas com o Sistema de Informação são parte integrante da gestão

de risco da sociedade


• Existem planos de continuidade de negócio e de recuperação em caso de desastre para o Sistema de

Informação ou para os seus componentes mais críticos para a organização?

• A conformidade do Sistema de Informação é avaliada formalmente, principalmente em relação a requisitos legais

e contratuais (e.g. licenciamentos), sendo os resultados comunicados ao órgão de administração?

• Existe algum canal para comunicação e tratamento de ameaças, oportunidades, preocupações, incidentes ou

problemas relacionados com o Sistema de Informação?

• O controlo interno de SI encontra-se formalmente implementado, sendo a sua eficácia testada periodicamente?

• Os principais riscos de SI, com impacto ao nível das operações do negócio, conformidade e relato de informação

financeira são capturados e tratados no contexto global de gestão de risco da organização?




Princípio 6. O órgão de administração é responsável por garantir a gestão eficaz do ativo

Informação


• Encontram-se atribuídas responsabilidades formais relativamente à informação, a qual se encontra classificada

em termos de sensibilidade (e.g. confidencialidade, criticidade para o negócio) sendo protegida contra acessos

indevidos e salvaguardada quanto a eventuais perdas?

• Os dados pessoais encontram-se identificados (sistemas, processos) e encontram-se atribuídas

responsabilidades formais sobre os mesmos?

• Existem políticas de segurança da informação formais, as quais são refletidas em procedimentos de segurança

em áreas específicas?



“Deloitte” refere-se a Deloitte Touche Tohmatsu Limited, uma sociedade privada de responsabilidade limitada do Reino Unido (DTTL), ou a uma ou mais

entidades da sua rede de firmas membro e suas entidades relacionadas. A DTTL e cada uma das firmas membro da sua rede são entidades legais

separadas e independentes. A DTTL (também referida como "Deloitte Global") não presta serviços a clientes. Para aceder à descrição detalhada da estrutura

legal da DTTL e suas firmas membro consulte http://www.deloitte.com/about

A Deloitte presta serviços de auditoria, consultoria fiscal, consultoria de negócios e de gestão e corporate finance a clientes nos mais diversos setores de

atividade. Com uma rede globalmente ligada de firmas membro em mais de 150 países e territórios, a Deloitte combina competências de elevado nível com

oferta de serviços qualificados conferindo aos clientes o conhecimento que lhes permite abordar os desafios mais complexos dos seus negócios. Os mais de

200.000 profissionais da Deloitte empenham-se continuamente para serem o padrão de excelência.

Esta comunicação apenas contém informação de caráter geral, pelo que não constitui aconselhamento ou prestação de serviços profissionais pela Deloitte

Touche Tohmatsu Limited, pelas suas firmas membro ou pelas suas entidades relacionadas (a “Rede Deloitte”). Nenhuma entidade da Rede Deloitte é

responsável por quaisquer danos ou perdas sofridos pelos resultados que advenham da tomada de decisões baseada nesta comunicação.

http://www.deloitte.com/about

Workshop Auditoria Interna - ipai.pt · Para informações, contacte Deloitte ... preparação e...

Documents

Transcript of Workshop Auditoria Interna - ipai.pt · Para informações, contacte Deloitte ... preparação e...