Workshop Auditoria Interna - ipai.pt · Para informações, contacte Deloitte ... preparação e...
Transcript of Workshop Auditoria Interna - ipai.pt · Para informações, contacte Deloitte ... preparação e...
Governação de SI no contexto
da Auditoria Interna
Pedro Peralta 19 de novembro de 2015
Desafios e oportunidades
IntroduçãoA crescente relevância dos Sistemas de Informação no contexto empresarial
A perspetiva do Auditor InternoInfluência do “sistema de informação” na Auditoria Interna e enquadramento IIA
Governação de Sistemas de InformaçãoA urgência do governo societário de SI e a evolução recente a nível nacional
Abordagem prática de Auditoria InternaPor onde começar?
Agenda
2© 2015. Para informações, contacte Deloitte & Associados SROC, S.A.
O mundo está a mudar…
Introdução
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 3
Vídeo “Human Exclusion Zone – Quiet Logistics”
http://youtu.be/8gy5tYVR-28
Lei de Moore
Introdução
Em 1965 o fundador da Intel formulou a seguinte conjectura, designada por lei de Moore:
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 4
“O número de
transístores num
chip duplicará a
cada 2 anos”
Gordon Moore
A evolução dos computadores é exponencial
A lei de Moore no mundo real…
Introdução
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 5
Fonte: http://makematics.com/drafts/more_pixels_law.html
A lei de Moore no mundo real…
Introdução
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 6
Fonte: http://www.ericsson.com/res/docs/2013/ericsson-mobility-report-november-2013.pdf
A lei de Moore no mundo real…
Introdução
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 7
Fonte: http://www.genome.gov/sequencingcosts/
… e o reflexo nas Empresas
Introdução
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 8
Fonte: http://www.zdnet.com/article/weird-but-inevitable-algorithm-now-serves-on-a-corporate-board/
IntroduçãoA crescente relevância dos Sistemas de Informação no contexto empresarial
A perspetiva do Auditor InternoInfluência do “sistema de informação” na Auditoria Interna e enquadramento IIA
Governação de Sistemas de InformaçãoA urgência do governo societário de SI e a evolução recente a nível nacional
Abordagem prática de Auditoria InternaPor onde começar?
Agenda
9© 2015. Para informações, contacte Deloitte & Associados SROC, S.A.
Novos desafios, novas abordagens
A perspetiva do Auditor Interno
As utilização de tecnologias de informação, as quais são parte integrante do sistema de
informação, concede vantagens significativas às organizações, como sejam:
• Automatização de processos (cálculos, validações, workflows);
• Partilha de informação entre processos;
• Desmaterialização de documentos e transacções;
• Execução de transacções electrónicas (e-commerce);
• Acesso electrónico (“em qualquer lugar”) à informação;
• Rapidez, acessibilidade e eficácia no acesso à informação; e
• Melhoria do nível de controlo sobre os processos e sobre a informação.
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 10
Novos desafios, novas abordagens
A perspetiva do Auditor Interno
…representando riscos que as organizações não podem ignorar:
• Dependência de automatismos “invisíveis”;
• Cíber-segurança;
• Tratamento massificado de informação, de forma indiferenciada;
• Falhas na partilha de informação entre processos;
• Vulnerabilidade da informação electrónica (desmaterializada);
• Acesso indevido (consultas, modificações) à informação, de forma massificada;
• Elevada velocidade de propagação de eventos de risco; ou
• Confiança excessiva sobre o alcance da tecnologia (“pensava que…”).
…mutas vezes ignorados ou ofuscados pelas vantagens concedidas.
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 11
Reconhecimento de valor na governação de SI
A perspetiva do Auditor Interno
De acordo com um estudo realizado pelo ISACA em 2014, “ISACA Global COBIT 5
Governance Study” os principais benefícios resultantes de uma eficaz governação de
SI, foram:
Integração entre o negócio e os Sistemas de Informação (75% das respostas)
Melhoria na gestão de risco (56% das respostas); e
Maior visibilidade dos SI ao nível do órgão de administração (35% das respostas)
No mesmo estudo, mais de 78% dos participantes concordou que o panorama global da
empresa e de SI resultaram valorizados por existir uma eficaz governação de SI. 17% não
referiu qualquer alteração e 5% afirmaram ter desvalorizado.
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 12
As orientações do IIA
A perspetiva do Auditor Interno
2110. Governança (norma de desempenho)
A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para a
melhoria do processo de governança no seu cumprimento dos seguintes objetivos:
• Promover a ética e os valores apropriados dentro da organização;
• Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de contas;
• Comunicar as informações relacionadas aos riscos e aos controles às áreas apropriadas da
organização; e
• Coordenar as atividades e a comunicação das informações entre o conselho, os auditores
externos e internos e a administração.
2110.A1 – A atividade de auditoria interna deve avaliar o desenho, implantação e a
eficácia dos objetivos, programas e atividades da organização relacionados à ética.
2110.A2 – A atividade de auditoria interna deve avaliar se a governação de SI da
organização dá suporte às estratégias e objetivos da organização.
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 13
IntroduçãoA crescente relevância dos Sistemas de Informação no contexto empresarial
A perspetiva do Auditor InternoInfluência do “sistema de informação” na Auditoria Interna e enquadramento IIA
Governação de Sistemas de InformaçãoA urgência do governo societário de SI e a evolução recente a nível nacional
Abordagem prática de Auditoria InternaPor onde começar?
Agenda
14© 2015. Para informações, contacte Deloitte & Associados SROC, S.A.
Motivação para a governação de SI
Governação de Sistemas de Informação
Para além dos aspetos já referidos, a motivação para uma boa governação de SI resulta
da necessidade de
• alinhamento e integração entre o governo das sociedades e o governo de SI;
• alinhamento e integração dos objetivos e estratégias do SI com o negócio;
• definição de responsabilidades transversais no contexto do SI, designadamente dos
órgãos de Governo, Gestão e Operação da sociedade;
• promover a consciencialização para as novas ameaças das novas TIC (ex. Cloud, Big
Data, Mobilidade, Ciber-riscos, Redes Sociais);
• garantir a conformidade do SI com os requisitos legais, normativos e contratuais;
• adaptação das organizações a novos modelos de exploração e crescente importância
do governo e gestão de entidades externas (ex. outsourcing);
• valorização do fator humano nos SI, nomeadamente na qualificação, requalificação ou
atualização de competências para alinhamento com as necessidades; e
• promover uma cultura, conduta profissional e ética, também no contexto do SI.
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 15
Papel dinamizador do IPCG
Governação de Sistemas de Informação
Atento à relevância do tema “IT Governance”, o Instituto Português de Corporate
Governance criou um grupo de trabalho para preparação e discussão de uma proposta de
“Princípios e recomendações para o bom governo societário de Sistemas de
Informação”.
O grupo de trabalho integrou especialistas em vários domínios com vasta experiência
profissional:
• Estratégia e governação de Sistemas de Informação;
• Auditoria de Sistemas de Informação;
• Consultoria estratégica de Sistemas de Informação
• Direito (de privacidade da Informação e proteção de dados);
• Ensino superior de Sistemas de Informação;
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 16
Bom governo societário de Sistemas de Informação
Governação de Sistemas de Informação
Neste trabalho foram identificados 6 princípios para o bom governo societário de SI. Estes
princípios determinam que o órgão de administração é responsável:
1. Pelo governo do Sistema de Informação
2. Pelo alinhamento e integração da estratégia do Sistema de Informação com a
estratégia e objetivos do negócio
3. Por delegar na gestão executiva a responsabilidade pela implementação de uma
estrutura de suporte ao governo do Sistema de Informação
4. Por controlar e avaliar os investimentos e custos relevantes relacionados com o
Sistema de Informação
5. Por garantir que as oportunidades e ameaças relacionadas com o Sistema de
Informação são parte integrante da gestão de risco da sociedade
6. Por garantir a gestão eficaz do ativo Informação
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 17
IntroduçãoA crescente relevância dos Sistemas de Informação no contexto empresarial
A perspetiva do Auditor InternoInfluência do “sistema de informação” na Auditoria Interna e enquadramento IIA
Governação de Sistemas de InformaçãoA urgência do governo societário de SI e a evolução recente a nível nacional
Abordagem prática de Auditoria InternaPor onde começar?
Agenda
18© 2015. Para informações, contacte Deloitte & Associados SROC, S.A.
Avaliação de maturidade da governação de SI
Abordagem prática de Auditoria Interna
Princípio 1 - O órgão de administração é responsável pelo governo do Sistema de
Informação
Questões a considerar
• Existem estruturas de SI (Comités, DSI, CIO) para alinhar os objetivos da organização com os objetivos de SI?
• Os comportamentos éticos relativamente à utilização da informação e dos SI encontram-se refletidos nos códigos
de conduta / ética?
• São fornecidas orientações aos colaboradores relativamente a comportamentos não éticos e às consequências
que tais comportamentos poderão significar?
• As estruturas de SI existentes possibilitam uma comunicação fluída com o órgão de administração?
• O resultado da supervisão efetuada sobre o Sistema de Informação (e.g. conclusões do Auditor Externo) é
acompanhado de modo a melhorar a sua eficácia e desempenho?
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 19
Avaliação de maturidade da governação de SI
Abordagem prática de Auditoria Interna
Princípio 2 - O órgão de administração é responsável pelo alinhamento e integração da
estratégia do Sistema de Informação com a estratégia e objetivos do negócio
Questões a considerar
• A estratégia de SI é definida tendo em consideração a estratégia da organização sendo possível reconhecer esta
última nos objetivos definidos para os SI?
• Existem mecanismos de inventivo à inovação em SI que contribuam para responder a novos desafios,
oportunidades, para a melhoria dos processos ou para o desenvolvimento do negócio?
• É elaborado e aprovado um orçamento de SI enquadrado com as prioridades definidas (estratégia de SI) e os
constrangimentos orçamentais existentes?
• Os recursos afetos aos Sistemas de Informação são proporcionais à dimensão e características da organização?
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 20
Avaliação de maturidade da governação de SI
Abordagem prática de Auditoria Interna
Princípio 3 - O órgão de administração é responsável por delegar na gestão executiva a
responsabilidade pela implementação de uma estrutura de suporte ao governo do
Sistema de Informação
Questões a considerar
• As funções e responsabilidades da Direção de Sistemas de Informação (ou equiv.) e das suas subdivisões
encontram-se claramente definidas e comunicadas na organização?
• As decisões mais relevantes de SI são tomadas em sede de estrutura de apoio ao órgão de administração,
própria para o efeito (e.g. comité de estratégico de SI)?
• Encontram-se definidas políticas e processos para articulação (e.g. pedidos, incidências) da área de Sistemas de
Informação com as restantes estruturas da organização?
• O “gestor do Sistema de Informação” possui as competências necessárias, técnicas não técnicas, e a experiência
adequada para a função?
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 21
Avaliação de maturidade da governação de SI
Abordagem prática de Auditoria Interna
Princípio 4. O órgão de administração é responsável por controlar e avaliar os
investimentos e custos relevantes relacionados com o Sistema de Informação
Questões a considerar
• Existem indicadores de performance específicos para o Sistema de Informação?
• Os investimentos de SI são avaliados quanto ao valor que contribuem (financeiro e não financeiro), quanto aos
riscos associados e a quanto à eficácia (usabilidade, disponibilidade) e eficiência (custos)?
• O Sistema de Informação encontra-se documentado, do ponto de vista técnico e funcional, de modo a garantir a
proteção do conhecimento e do valor?
• Existem mecanismos de controlo e monitorização da prestação de serviços externos relacionados com o SI?
Esses mecanismos são periodicamente avaliados de forma independente?
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 22
Avaliação de maturidade da governação de SI
Abordagem prática de Auditoria Interna
Princípio 5. O órgão de administração é responsável por garantir que as oportunidades e
ameaças relacionadas com o Sistema de Informação são parte integrante da gestão
de risco da sociedade
Questões a considerar
• Existem planos de continuidade de negócio e de recuperação em caso de desastre para o Sistema de
Informação ou para os seus componentes mais críticos para a organização?
• A conformidade do Sistema de Informação é avaliada formalmente, principalmente em relação a requisitos legais
e contratuais (e.g. licenciamentos), sendo os resultados comunicados ao órgão de administração?
• Existe algum canal para comunicação e tratamento de ameaças, oportunidades, preocupações, incidentes ou
problemas relacionados com o Sistema de Informação?
• O controlo interno de SI encontra-se formalmente implementado, sendo a sua eficácia testada periodicamente?
• Os principais riscos de SI, com impacto ao nível das operações do negócio, conformidade e relato de informação
financeira são capturados e tratados no contexto global de gestão de risco da organização?
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 23
Avaliação de maturidade da governação de SI
Abordagem prática de Auditoria Interna
Princípio 6. O órgão de administração é responsável por garantir a gestão eficaz do ativo
Informação
Questões a considerar
• Encontram-se atribuídas responsabilidades formais relativamente à informação, a qual se encontra classificada
em termos de sensibilidade (e.g. confidencialidade, criticidade para o negócio) sendo protegida contra acessos
indevidos e salvaguardada quanto a eventuais perdas?
• Os dados pessoais encontram-se identificados (sistemas, processos) e encontram-se atribuídas
responsabilidades formais sobre os mesmos?
• Existem políticas de segurança da informação formais, as quais são refletidas em procedimentos de segurança
em áreas específicas?
© 2015. Para informações, contacte Deloitte & Associados SROC, S.A. 24
25© 2015. Para informações, contacte Deloitte & Associados SROC, S.A.
“Deloitte” refere-se a Deloitte Touche Tohmatsu Limited, uma sociedade privada de responsabilidade limitada do Reino Unido (DTTL), ou a uma ou mais
entidades da sua rede de firmas membro e suas entidades relacionadas. A DTTL e cada uma das firmas membro da sua rede são entidades legais
separadas e independentes. A DTTL (também referida como "Deloitte Global") não presta serviços a clientes. Para aceder à descrição detalhada da estrutura
legal da DTTL e suas firmas membro consulte http://www.deloitte.com/about
A Deloitte presta serviços de auditoria, consultoria fiscal, consultoria de negócios e de gestão e corporate finance a clientes nos mais diversos setores de
atividade. Com uma rede globalmente ligada de firmas membro em mais de 150 países e territórios, a Deloitte combina competências de elevado nível com
oferta de serviços qualificados conferindo aos clientes o conhecimento que lhes permite abordar os desafios mais complexos dos seus negócios. Os mais de
200.000 profissionais da Deloitte empenham-se continuamente para serem o padrão de excelência.
Esta comunicação apenas contém informação de caráter geral, pelo que não constitui aconselhamento ou prestação de serviços profissionais pela Deloitte
Touche Tohmatsu Limited, pelas suas firmas membro ou pelas suas entidades relacionadas (a “Rede Deloitte”). Nenhuma entidade da Rede Deloitte é
responsável por quaisquer danos ou perdas sofridos pelos resultados que advenham da tomada de decisões baseada nesta comunicação.