Auditoria interna de ti 2

Específica TI

Auditoria de Tecnologia da Informação

1

TECNOLOGIA DA INFORMAÇÃO E ATIVIDADE DE FISCALIZAÇÃO

2

Auditoria de TI

• Abordagens

– Auditoria de Governança de TI

– Auditoria de Sistemas

– Auditoria de Segurança da Informação

– Auditoria de Dados

– Auditoria de Contratação de TI

3

Método de Auditoria de TI

• Fases

– Levantamento

– Planejamento

– Execução

– Elaboração do Relatório

– Monitoramento

4

Método de Auditoria de TI

• Matrizes

– Planejamento

– Achados

• Técnicas de Auditoria de Conformidade

• Técnicas de Auditoria Operacional

5

Levantamento

• Informações iniciais

– Objetivos institucionais

– Legislação aplicável

– Estrutura organizacional

• Avaliação dos Controles Internos

– O auditor, para determinar a extensão e o alcance da fiscalização, deve examinar e avaliar o grau de confiabilidade dos controles internos

(Normas de Auditoria da Intosai)

6

Avaliação dos Controles de TI

• Avaliação limitada: avaliação menos profunda dos controles gerais e de aplicativos, que pode ser realizada por equipes compostas somente por auditores que não detenham conhecimentos específicos de TI. Os controles pertinentes são examinados na extensão necessária para o atendimento dos objetivos da auditoria.

7

Avaliação dos Controles de TI

• Controles Gerais

• Controles de Aplicativos

• Análise de Dados

8

Controles Gerais

• Políticas e padrões organizacionais, especialmente relacionados à TI

• Organização e administração da TI

• Segregação de funções

• Procedimentos de Segurança

• Controles físicos (de acesso e de ambiente)

• Controles lógicos de acesso

9

Controles Gerais

• Desenvolvimento de sistema e alterações de programas

• Plano de Continuidade de Negócios

• Computação de usuário final

10

Controles de Aplicativos

• Controles e procedimentos que garantem que apenas as transações válidas são processadas e registradas

• Controle no(a):

– Entrada de Dados

– Processamento de Dados

– Saída de Dados

11

Controle de Aplicativos

• São específicos dos sistemas e são implementados para prevenir, detectar e corrigir erros e irregularidades em transações durante a entrada, processamento e saída de dados

• Possui como objetivo garantir um processamento confiável e exato, a partir de controles incorporados diretamente em programas aplicativos, nas três áreas de operação: entrada, processamento e saída de dados

12

Análise de Dados

• Segundo princípios geralmente aceitos de auditoria, quanto menor a confiabilidade dos controles gerais ou de aplicativo (ou se esses não forem avaliados), maior a extensão dos testes necessários para determinar a confiabilidade dos dados

• Papel da evidência: – Única evidência para fundamentar um achado

– Evidência auxiliar ou de ratificação

– Informação geral (histórico, descrições etc.)

13

Planejamento

• Nesta fase, deve ser definido:

– Objetivo da auditoria

– Objeto da auditoria

– Universo a ser auditado (escopo)

– Técnicas e procedimentos a serem utilizados

– Critérios de auditoria

– Etapas e cronogramas

– Recursos humanos e materiais

14

Etapas do Planejamento

• Visão geral

• Avaliação dos Controles Internos

• Elaboração da Matriz de Planejamento

– A Avaliação dos Controles Internos deve ser feita caso não tenha sido realizada a fase de Levantamento

15

Visão Geral

• Objetivos institucionais

• Estrutura Organizacional

• Legislação Aplicável

• Práticas Administrativas

• Planos Estratégicos

• Descrição do Objeto da Fiscalização

16

Conhecendo o auditado

• Compreender o negócio é essencial para identificar os riscos e controles

• Direcionar os esforços da auditoria de forma mais eficiente

• Entender o negócio

– Processos

– Pessoas

– Tecnologia

17


• Algumas questões a serem respondidas

– Existem problemas que o auditor deveria conhecer melhor?

– Há alguma previsão de mudança na organização?

– Quais são os principais sistemas e bases de dados?

– Quem o auditor deve entrevistar para obter as informações de que necessita?

18


• Fontes de informação: – Levantamento de auditorias anteriores – Relatórios de auditorias realizadas – Relatórios de auditoria interna – Discussão com a gerência e com outros auditores que

já realizaram trabalhos na unidade a ser auditada – Orçamento da unidade auditada – Documentos de estratégia de TI ou Plano Diretor de TI – Legislação e normas aplicáveis – Entrevistas – Internet

19

Matriz de Planejamento

• Instrumento para organizar as informações relevantes do planejamento de um auditoria

• Homogeneização do entendimento da equipe e demais envolvidos quanto a: – O objetivo do trabalho

– Os passos a serem seguidos

– A estratégia metodológica a ser adotada

• Orienta os integrantes da equipe nas fases de execução e de elaboração do relatório

20

Matriz de Planejamento

Questões de

Auditoria

Informações requeridas

Fontes de Informação

Detalhamento do

Procedimento

Objetos Membro responsável

Período Possíveis Achados

Apresentar, em forma de perguntas, os diferentes aspectos que compõem o escopo da fiscalização e que devem ser investigados com vistas à satisfação do objetivo

Identificar as informações necessárias para responder à questão de auditoria

Identificar as fontes de cada item de informação requerida da coluna anterior. Estas fontes estão relacionadas com as técnicas empregadas

Descrever as tarefas que serão realizadas, de forma clara, esclarecendo os aspectos a serem abordados (itens de verificação ou check list)

Indicar o documento, o projeto, o programa. O processo ou o sistema no qual o procedimento será aplicado. Exemplos: contrato, folha de pagamento, base de dados, ata, edital, ficha financeira, processo licitatório, orçamento.

Pessoa(s) da equipe encarregada(s) da execução de cada procedimento

Dia(s) em que o procedimento será executado

Esclarecer com precisão que conclusões ou resultados podem ser alcançados

21

Elaboração da Matriz de Planejamento

• Elaborar o objetivo da auditoria, após o diagnóstico da situação, e determinar a linha de investigação, mediante a formulação das questões de auditoria

• Determinar, para cada questão de auditoria, possíveis achados, ou seja, onde se deseja chegar com a investigação

• Identificar as informações requeridas e onde as obter (fontes de informação)

22

Elaboração da Matriz de Planejamento

• Elaborar procedimentos e descrevê-los passo a passo, para colher informações, analisá-las e obter as evidências com objetivo de responder às questões de auditoria

• Identificar o membro da equipe responsável pelo procedimento

• Especificar o período de realização do procedimento (cronograma)

• Identificar os objetos que foram analisados (fase de execução)

23

Execução da auditoria

• Etapas da fase de execução:

– Aplicação dos Procedimento definidos

– Acumulação de Evidências

– Desenvolvimento dos Achados

– Elaboração da Matriz de Achados

24

Desenvolvimento dos Achados

• Consiste no acúmulo organizado de informações (ou evidências) apropriadas e necessárias para esclarecê-los e sustentá-los

25

Atributos de uma achado

• Condição (Situação Encontrada)

• Critério (Situação Desejada)

• Causas

• Efeitos

26

Premissas dos Achados

• Os achados da auditoria devem levar em conta o nível de risco associado

• Bom senso em apresentar achados de baixo risco

• Deve-se ser realista, usar a empatia

• Cada falha apontada deve estar suportada por evidências e papéis de trabalho

27

Matriz de Achados

• Composta das seguintes informações:

– Achado

– Situação Encontrada

– Critério

– Evidência

– Causas

– Efeitos

– Encaminhamento (Proposta)

28

Matriz de Achados

Achado Situação Encontrada

Critério Evidência Causas Efeitos Encaminhamento

Correspondência com o Achado constante na Matriz de Planejamento

Situação existente, identificada e documentada durante a fase de execução da auditoria

Legislação, norma, jurisprudência, entendimento doutrinário ou padrão adotado

Informações obtidas durante a auditoria no intuito de documentar os achados e de respaldar as opiniões e conclusões da equipe

O que motivou a ocorrência do achado

Consequências do achado

Propostas da equipe de auditoria. Deve conter identificação do(s) responsável (is)

A1 ...

A2 ...

An ...

29

Elaboração do Relatório

• O Relatório de Auditoria é o instrumento formal e técnico por intermédio do qual a equipe de auditoria comunica:

– O objetivo do trabalho

– A metodologia (como foi executado)

– Os achados (resultado obtido)

– As conclusões (avaliações e opiniões)

– A proposta (recomendações e determinações)

30

Requisitos de um Relatório Efetivo

• Clareza

• Convicção

• Concisão

• Exatidão

• Relevância

• Tempestividade

• Objetividade

31

Monitoramento

• Etapas da fase de monitoramento

– Verificações das Ações Tomadas

– Aplicação dos Procedimentos

– Acumulação das Evidências

– Elaboração da Matriz de Achados

– Elaboração do Relatório

32

Controles Gerais de TI

• Objetivo dos Controles – Prevenir fraudes, erros, desperdícios, abusos – Proteger o ativo – Assegurar a obediência às diretrizes, planos, normas e

procedimentos – Assegurar a validade e integridade dos dados para

tomada de decisão – Caráter preventivo – Voltados para a correção de desvios – Instrumentos auxiliares de gestão em todos os níveis

hierárquicos

33


• Consistem na estrutura, políticas e procedimentos que se aplicam aos sistemas aplicativos e base de dados de uma organização

• Influem no ambiente em que os sistemas aplicativos e os controles irão operar

• Buscam garantir a integridade dos sistemas com um todo, incluindo todos os aplicativos, dados e arquivos.

34


• Durante uma auditoria em que seja necessário avaliar algum sistema ou base de dados em particular, é preciso inicialmente avaliar os controles gerais que atuam sobre a estrutura computacional da unidade auditada

• Um ambiente de controle estável e bem gerenciado reforça a efetividade dos controles de aplicativos

35


• Políticas e padrões organizacionais, especialmente relacionados à TI

• Organização e administração da TI

• Segregação de funções

• Procedimentos de Segurança

• Controles Físicos (de Acesso e Ambiente)

• Controles Lógicos de Acesso

36


• Desenvolvimento de sistema e alterações de programas

• Plano de Continuidade de Negócios (PCN)

• Computação de usuário final

37

Normas e Padrões em Auditoria de TI

• Constituição Federal

• Legislação Brasileira

• CobIT – Governança de TI

• NBR ISO/IEC 38500 – Governança de TI

• ITIL – Serviços de TI

• NBR ISO/IEC 20000 – Serviços de TI

• Série NBR ISO/IEC 27000 – Segurança da Informação

• Outros padrões

38

AUDITORIA DE SISTEMAS DE INFORMAÇÃO

39

Auditoria de Sistemas

• Aborda aspectos de integridade, disponibilidade, confidencialidade, aderência às normas (conformidade), controles internos, entrada, processamento e saída de dados, efetividade, satisfação e usabilidade de um sistema de informação em particular

• Sistemas ainda em desenvolvimento podem ser avaliados e acompanhados

40


• Principais enfoques

– Entendimento do negócio: compreender o negócio é essencial para identificar os riscos e avaliar os controles;

– Verificação da aderência dos aplicativos à logica e às regras de negócio;

– Análise do controles gerais aplicados aos sistemas;

– Análise dos controles internos dos aplicativos;

– Verificação da satisfação dos usuários.

41


• Características – Avaliação das funcionalidades do sistema – Diversidade de situações: cada sistema implementa

funcionalidades específicas do negócio para o qual foi desenvolvido

– Necessidade de conhecimento da legislação relacionada ao negócio suportado pelo sistema

– Necessidade de conhecimentos específicos de Tecnologia da Informação

– Avaliação de aspectos de conformidade e aspectos operacionais

– Em geral, são auditorias que demandam mais tempo que auditorias de contratações, por exemplo.

42


• Têm como objetivo garantir que o processamento seja confiável e exato (integridade das transações) a partir de controles incorporados diretamente em programas aplicativos nas três áreas de operação (entrada, processamento e saída de dados)

• Os controles são específicos para cada aplicativo pois estão relacionados com a lógica do negócio implementada

43


• Os controles de acesso podem variar entre diferentes aplicativos

• Os controles gerais oferecem alguma garantia de que os objetivos gerais de controle são satisfeitos, agindo como fundação, sobre a qual os controles de aplicativo específicos podem ser projetados

44


• Controles de Entrada de Dados

– São projetados para garantir que os dados são convertidos para um formato padrão e inseridos na aplicação de forma precisa, completa e tempestiva

– Eles devem detectar transações não autorizadas, incompletas, duplicadas ou errôneas, e assegurar que sejam controladas até serem corrigidas

– São também conhecidos como críticas de entrada de dados. Críticas de formatos (data, número), regras de negócio, regras de integridade

45


• Controles de Processamento – Devem assegurar que todos os dados sejam

processados e que o aplicativo seja executado com sucesso, usando os arquivos, as rotinas e a lógica de processamento corretos

– As rotinas de tratamento de erros devem ser capazes de identificar transações com erros, gerando mensagens claras e objetivas, e suspender seu processamento sem afetar a execução de outras transações válidas

46


• O controle deve ser capaz de registrar a ocorrência dos principais erros para que seja possível identificá-los tempestivamente e corrigi-los

47


• Controles de Saída de Dados – Devem garantir a integridade e a correta e tempestiva

distribuição dos dados de saída

– Permitem a revisão e confronto das contagens de registro de saída com totais de controle para garantir que os dados não foram inseridos ou omitidos indevidamente (ex.: totalizadores)

– Devem existir controles para classificar relatórios considerados confidenciais, críticos ou de acesso geral, além de restringir o acesso de dados confidenciais somente às pessoas autorizadas

48

Satisfação dos Usuários

• Busca levantar informações sobre a eficácia e a eficiência dos sistemas sob o ponto de vista de seus usuários

• Verificado por meio de questionários e entrevistas

• Pode revelar diversos aspectos, problemas, inconformidades, entre outros fatos que não seriam detectados apenas pela análise técnica dos sistemas e seus controles (ex.: deficiências de treinamento)

• Pode ser utilizado para obter indícios sobre a confiabilidade dos dados

49

Auditoria de Governança de TI

• Aborda aspectos gerenciais da área de TI e visa certificar-se de que a gestão dos serviços oferecidos, dos investimentos de TI, das pessoas integrantes, das políticas, do processo de controle e da própria estrutura organizacional concorrem para que a organização atinja seus objetivos de forma eficiente

• Governança pressupõe gestão contínua dos riscos tecnológicos

50

AUDITORIA DE GOVERNANÇA DE TI

51

Governança

• “É a maneira pela qual o poder é exercido na administração dos recursos sociais e econômicos de um país visando o desenvolvimento”

World Bank. 1992. Governance and development. Washington, DC : The World Bank.

http://documents.worldbank.org/curated/en/1992/04/440582/governance-development

52

Governança Corporativa

• Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade.

Site: http://www.ibgc.org.br/Secao.aspx?CodSecao=17, acessado em 21/01/2014.

53

http://www.ibgc.org.br/Secao.aspx?CodSecao=17

http://www.ibgc.org.br/Secao.aspx?CodSecao=17

Governança Corporativa

• Surgiu para superar o “conflito de agência” decorrente da separação entre a propriedade (acionistas) e a gestão empresarial (agentes especializados com poder de decisão sobre a propriedade). O conflito de agência ou conflito agente-principal ocorre quando os interesses do gestor não estão alinhados com os do proprietário.

IBIDEM, Origem da Boa Governança

54

Governança x Gestão

• Gestão – O sistema de controles e processos necessário para alcançar os objetivos estratégicos estabelecidos pela direção da organização (NBR ISO/IEC 38500, item 1.6.9)

• Gestão controla tarefas executivas, enquanto governança controla a gestão.

• Governança não controla diretamente tarefas executivas. Ela monitora os controles sobre as tarefas executivas e adota medidas corretivas sob certas condições de risco pré-definidas.

55


• Objetivos da Governança de TI

– Assegurar que as ações de TI estejam alinhadas com o negócio da organização, agregando-lhe valor

– Medir o desempenho da área de TI, alocar propriamente os recursos e mitigar os riscos inerentes

– Gerenciar e controlar as iniciativas de TI nas organizações para garantir o retorno de investimentos e a adoção de melhorias nos processos organizacionais

56


• Como o CobIT pode ser utilizado nas auditorias? – Seus objetivos de controle são utilizados como critérios de

auditoria – Ele é referenciado como um guia, uma referência de boas

práticas de Governança de TI – Não possui o mesmo peso de uma lei ou norma – Utilizado principalmente para propor recomendações a

órgãos e entidades – Contudo, ele pode ser utilizado para propor determinações

quando combinado com os normativos existentes (ex.: Acórdão 669/2008-TCU-Plenário) ou caso a equipe de auditoria considere que a sua não implementação ocasiona riscos muito elevados (Acórdão 10033/2009)

57

AUDITORIA DE BANCO DE DADOS

58

Auditoria de Dados

• Aborda os dados contidos em meios de armazenamento eletrônico a fim de se certificar que são íntegros, confiáveis e em conformidade com as leis que regem o negócio

• Possibilita a verificação de toda a base de dados auditada

• Permite o cruzamento de informações com outras bases de dados a fim de verificar a fidedignidade dos registros auditados

59

Auditoria de Dados

• Quando realizar? – Existência de um grande volume de dados para

analisar

– Possibilidade de se verificar até 100% dos dados armazenados

– Necessidade de se utilizar dados processados por computador para fundamentar achados de auditoria

– Necessidade de se determinar se os dados podem ser considerados completos e exatos

– Possibilidade de comparação de informações obtidas em diferentes fontes

60

Indícios de problemas na confiabilidade dos dados

• Documentação ausente ou precária

• Sistemas antigos, que exigem muita manutenção

• Estrutura de dados complexas e desorganizadas

• Alta rotatividade de pessoal e treinamento inadequado ou em escala insuficiente

• Falta de padrões para o processamento de dados, especialmente quanto à segurança, acesso e controle de mudança de programas

61

Auditoria de Dados

• Benefícios

– Auditorias mais eficientes, eficazes e abrangentes

– Pode produzir uma redução do tempo para execução de auditoria posterior

– Pareceres mais conclusivos

– Resultados mais expressivos

62

Auditoria de Dados

• Dificuldades – Heterogeneidade na forma de apresentação dos

dados

– Grande complexidade dos dados

– Complexidade da análise que se pretende fazer sobre os dados

– Disposição desordenada dos dados armazenados

– Qualidade precária dos dados

– Dificuldade de obtenção das bases de dados

– Ausência de chaves comuns entre os arquivos

63

Escopo e Planejamento

• Identificar os arquivos mais adequados

– Contato com a área de TI do órgão auditado

– Mapeamento dos principais arquivos

– Definição dos campos a serem obtidos

– A dificuldade de mapear arquivos ou a falta de tempo podem conduzir a uma abordagem com definição imediata das informações necessárias, sem o estudo prévio das bases de dados relacionadas

64


• Mapeamento dos principais arquivos

– Obter o Modelo de Dados, se houver

– Junto a área técnica, identificar qual o objetivo dos principais arquivos

– Identificar os arquivos que tenham relação com as questões de auditoria

65


• Definição dos campos a serem obtidos – Solicitar o layout dos arquivos selecionados

– Junto com a área técnica, identificar qual a chave primária dos arquivos

– Para cada arquivo, identificar os campos que tenham relação com as questões de auditoria formuladas

– Certificar-se de que os arquivos e campos selecionados responderão às questões de auditoria

66


• Observações na definição dos campos a serem obtidos – Verificar se estão faltando informações que seriam

úteis

– Chaves primárias sempre devem ser recuperadas

– Campos calculados devem ser evitados. Deve-se dar preferência aos campos atômicos

– Os dados não obrigatoriamente estão armazenados na forma que aparecem nas telas e relatórios de sistemas informatizados

67


• Definir a geração dos dados

– Definir o período e/ou situação a ser contemplada

– Definir de comum acordo o melhor formato dos arquivos e a data de geração

– Requisitar formalmente a geração dos arquivos

68


• Observações na definição da geração dos dados – O arquivo não deve ser um back-up

– Necessidade de fornecimento de layout dos arquivos junto aos dados

– Tipos de formatos (alguns) • Dados em formatos ASCII de comprimento fixo ou

• Formatos compatíveis com MS Excel, Access ou

• Formatos CSV

• Como última alternativa, relatório padrão ou elaborado

69


• Observações finais – O planejamento de uma auditoria de dados toma

mais tempo que os demais tipos de auditoria. Isso se deve à necessidade de se conhecer previamente as bases de dados e o negócio

– Contatos, negociação e pedido de geração de bases pertencentes a órgãos não abrangidos pela auditoria devem ser feitos nesta fase, quando for o caso

– Em virtude da necessidade de extração de dados, pode ser conveniente a interrupção da auditoria nessa fase, até que os arquivos sejam recebidos

70

Execução

• Tipos de testes – Testes de integridade de dados: determinam se o

universo contém todos os elementos de dados e registros relevantes para o objetivo da auditoria

– Testes de autenticidade de dados: verificam se os dados refletem sua fonte

– Testes de exatidão do processamento: informam se todos os registros relevantes foram processados de forma completa e se todos os processamentos atenderam aos objetivos

71

AUDITORIA DE CONTRATAÇÃO DE BENS E SERVIÇOS DE TI

72

Auditoria de Contratação de TI

• Certifica que os procedimentos adotados pela organização para aquisição de bens e serviços de TI e gestão dos respectivos contratos são eficazes, eficientes, atendem aos objetivos e necessidades do negócio e obedecem aos dispositivos legais

73

O Antigo Modelo de Contratação de TI

• Consiste na reunião de todos os serviços de informática da organização em um único e grande contrato, adjudicado a uma única empresa, com pagamentos realizados por hora trabalhada.

• Essas contratações equivalem a um CPD completo e terceirizado.

74

O Antigo Modelo de Contratação de TI

• Serviços normalmente incluídos – Planejamento

– Coordenação-geral de projetos

– Administração e suporte de redes

– Suporte a usuários

– Projeto e desenvolvimento de sistemas

– Administração de dados e serviços

– Documentação de projetos

– Processamento de imagens

– Serviços técnicos de processamento de dados

– Serviços de digitação, operação de microcomputadores

75

Desvantagem do Antigo Modelo de Contratação de TI

• Ausência de parcelamento do objeto – Potencial limitação à competição

– Risco de onerar indevidamente o contrato

– Risco estratégico (dependência)

– Risco na segurança da informação

• Pagamento por homem-hora (HH) – Risco exclusivo do contratante

– Antieconômico: “Paradoxo lucro-incompetência”

– Risco de remuneração de horas improdutivas

76


• Potencial limitação à competição nas licitações

– Requisitos de habilitação e de pontuação da proposta técnica estabelecidos no edital muito abrangentes;

– Restringe, em regra, a participação no certame às grandes empresas, afastando-se as empresas de menor porte, restringindo a competição

• Risco de onerar indevidamente o contrato

77


• Risco estratégico (dependência) – Monopolização do conhecimento do setor de TI pela

única empresa contratada

– Fragilização do controle da Administração sobre dados e sistemas institucionais

– Alta dependência da Administração em relação à empresa contratada

– Na eventual impossibilidade de a empresa continuar a executar o contrato (falência, extinção, dificuldades financeiras etc.), a Administração teria dificuldade na execução de todos os serviços de informática

78


• Risco na Segurança da Informação

– Uma única empresa contratada teria acesso a todos os sistemas e dados do órgão/entidade, inclusive os estratégicos e sigilosos, aliado ao fato de, em regra, não existir política de segurança definida e implementada.

79


• Risco exclusivo do contratante

• Antieconômico: o pagamento da contratada com base exclusivamente em horas trabalhadas possibilita a ocorrência do chamado lucro-incompetência: quanto menor a qualificação dos profissionais alocados na prestação de serviço, maior o número de horas necessárias para executá-lo, maior o lucro da empresa contratada e maior o custa para a Administração

80


• Remuneração de todas as horas de disponibilidade dos empregados da empresa, ainda que não produtivas, de modo que a empresa é, muitas vezes, remunerada sem que haja a contraprestação em serviços efetivamente realizados (hipótese de contratação por posto de serviço).

81

Maiores problemas do Antigo Modelo

• Ausência de mecanismos para gestão do contrato (devido à ausência de planejamento)

– Qual o “tamanho” do serviço?

– Qual a qualidade esperada do serviço?

– Quais os indicadores (objetivos) para mensuração?

– Quais os procedimentos para acompanhamento e fiscalização?

– Qual será o instrumento de controle utiliado?

82

Maiores problemas do Antigo Modelo

• Recursos Humanos

– “... Preparados para executar as atividades estratégicas de planejar, definir, espedcificar, supervisionar e controlar a operação de seus setores de informática de maneira independente das empresas prestadoras de serviço...”

Excerto do voto condutor do Acórdão nº 786/2006 TCU-Plenário

83

Planejamento de TI

• Conveniente é que se tenha o planejamento estratégico da organização e, a partir dele, retirem-se as informações necessárias ao planejamento de TI, pois são altamente interdependentes.

» IN nº 04, art. 4º, parágrafo único.

84

Novo Modelo de Contratação de TI

• O Novo Modelo de Contratação de TI se baseia: – No planejamento da contratação

– No parcelamento dos serviços de TI em tantos itens quantos sejam tecnicamente possíveis, convenientes ao órgão e economicamente viável • Em licitação independente

• No estabelecimento de exigências de habilitação e de avaliação da proposta técnica específicas para cada serviço

85

Planejamento de TI

• Plano Diretor de TI – PDTI

É o instrumento de diagnóstico, planejamento e gestão dos recursos e processos de Tecnologia da Informação que visa atender às necessidades tecnológicas e de informação de um órgão ou entidade para um determinado período.

» IN nº 04, art. 2º, inciso XXII.

86

Planejamento de TI

• “Inconcebível que se inicie processo de informatização sem se proceder ao levantamento prévio de necessidades, que seja realizado em harmonia como planejamento estratégico da instituição e seu plano diretor de informática”.

» Acórdão 1.521/2003-TCU-Plenário.

87

Planejamento de TI

• Jurisprudência do TCU

– Acórdão 1.521/2003-TCU-Plenário



– Acórdão 667/2005-TCU-Plenário




88

Parcelamento dos Serviços de TI

• Os serviços devem ser parcelados, na medida da viabilidade técnica e econômica, permitindo-se, assim, licitações distintas para cada parcela, ampliando-se a competitividade e proporcionando-se o melhor aproveitamento dos recursos disponíveis no mercado (Lei 8.666/93, art. 23, §§ 1º e 2º e IN nº 04/2010, art. 5º, I e II).

89


• Vantagens:

– Possibilita a participação de empresas especialistas, reduzindo-se preço e aumentando-se qualidade.

– A redução do risco estratégico e de segurança para a Administração, que não dependerá de uma única empresa para dar andamento às atividades do setor de informática (vide art. 2º, § único da IN nº 02/2008).

90


• Em observância ao princípio da segregação de funções, o órgão não poderá contratar o mesmo prestador para realizar serviços de execução e fiscalização relativos ao mesmo objeto (IN nº 02/2008, § 2º e 19, I e II)

• IN nº 04/2010 – “Art. 6 Nos casos em que a avaliação, mensuração ou fiscalização da Solução de Tecnologia da Informação seja objeto de contratação, a contratada que provê a Solução de Tecnologia da Informação não poderá ser a mesma que a avalia, mensura ou fiscaliza”.

91


• Jurisprudência do TCU

– Súmula 247/TCU

– Acórdão 1.521/2003-Plenário


– Acórdão 667/2005-Plenário




92

Pagamento por Resultados

• Instrução Normativa nº 04/2010

– Art. 15

• § 2º A aferição de esforço por meio da métrica homem-hora apenas poderá ser utilizada mediante justificativa e sempre vinculada à entrega de produtos de acordo com prazos e qualidade previamente definidos.

• § 3º É vedado contratar por posto de trabalho alocados, salvo os casos justificados mediante a comprovação obrigatória de resultados compatíveis com o posto previamente definido.

93

Pagamento por Resultados

• Acórdão 667/2005-TCU-Plenário

– “9.3.3 adote metodologias de mensuração de serviços prestados que privilegiem a remuneração das contratadas mediante a mensuração de resultados e que eliminem a possibilidade de remunerar as empresas com base na quantidade de horas trabalhadas ou nos postos de trabalho”.

94

Qualidade


– “Art. 15 A Estratégia da Contratação será elaborada a partir da Análise de Viabilidade da Contratação e do Plano de Sustentação, contendo no mínimo:

• III – indicação, pela equipe de Planejamento da Contratação, dos termos contratuais, observado o disposto nos §§ 1º e 2º deste artigo, sem prejuízo do estabelecido na Lei nº 8.666, de 1993, relativos a:

95

Qualidade


“Art. 15

III

(...) relativos a:

a) Fixação de procedimentos e de Critérios de Aceitação dos serviços prestados ou bens fornecidos, abrangendo métricas, indicadores e valores mínimos aceitáveis;

96

Qualidade

(...)

c) Definição de metodologia de avaliação da qualidade e da adequação da Solução de Tecnologia da Informação às especificações funcionais e tecnológicas;

97

Controle Efetivo sobre a Execução do Contrato


– “Art. 20 A fase de Gerenciamento do Contrato visa acompanhar e garantir a adequada prestação dos serviços e fornecimento dos bens que compõem a Solução de Tecnologia da Informação durante todo o período de execução do contrato...”

98



– “Art. 31 O acompanhamento e a fiscalização da execução do contrato consistem na verificação da conformidade da prestação dos serviços e da alocação dos recursos necessários, de forma a assegurar o perfeito cumprimento do contrato...”

99



– “Art. 32

(...)

Parágrafo único. O órgão ou entidade contratante deverá estabelecer ainda reuniões periódicas, de modo a garantir a qualidade da execução e o domínio dos resultados e processos já desenvolvidos por parte do corpo técnico do órgão contratante”.

100

Processo de Contratação de TI

• “Na contratação de bens e serviços de TI é essencial a adoção de processo de trabalho formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos para a organização. Esse processo melhora o relacionamento com os fornecedores e prestadores de serviços, maximiza a utilização dos recursos financeiros alocados à área de TI e contribui decisivamente para que os serviços de TI dêem o necessário suporte às ações da organização no alcance de seus objetivos e suas metas”

» Acórdão 1.603/2008-TCU-Plenário

101

Instruções Normativas

• A Secretaria de Logística e Tecnologia da Informação – SLTI do Ministério do Planejamento editou as Instruções Normativas 02/2008 e 04/2008, as quais contemplam a maior parte das recomendações do TCU quanto à implementação do novo modelo de contratação de serviços de TI (Acórdãos 786/2006-TCU-Plenário, item 9.4; 1.480/2007-TCU-Plenário, item 9.1.2.6; e 1.999/2007-TCU-Plenário, item 9.4.1.1)

102


• Acórdão 1.915/2010-Plenário: “9.1 considerar que a Instrução Normativa nº 04/2008, da Secretaria de Logística e Tecnologia da Informação – SLTI/MP, implementa, ainda que parcialmente, mas em sua maior parte, as recomendações monitoradas”.

103


• A IN/SLTI nº 04/2010 dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal.

• A IN/SLTI nº 02/2008, que substitui a IN/MARE nº 18/1997, dispõe sobre regras e diretrizes para a contratação de serviços, continuados ou não. Essa norma aplica-se subsidiariamente à IN/SLTI nº 04/2010.

104

Decreto nº 7.174/2010

• “Art. 2 A aquisição de bens e serviços de tecnologia da informação e automação deverá ser precedida da elaboração de planejamento da contratação, incluindo projeto básico ou termo de referência contendo as especificações do objeto a ser contratado...”

105

CobIT 4.1

• AI5.1 Controle sobre aquisições

– “desenvolver e seguir um conjunto de procedimento e padrões consistente com o processo de licitação e a estratégia de aquisição gerais da organização para adquirir infraestrutura, instalações, hardware, software e serviços de TI necessários ao negócio”.

106

Planejamento da Contratação

• O planejamento da contratação é:

– A forma pela qual se definem os bens e serviços de TI que se necessita adquirir e os produtos e resultados decorrentes;

– O instrumento por meio do qual se definem quantidades (dentro do limite de alteração de 25%), prazos e forma de entrega;

– Processo que conduz à elaboração de projeto básico ou termo de referência;

107


• O planejamento da contratação é (cont.):

– Processo no qual se demonstra, por meio do projeto básico, a conexão entre a contratação e o planejamento existente (IN/SLTI nº 02/2008, art. 15, I, c).

108


• Instrução Normativa nº 04/2010 “Art. 4 As contratações de que trata esta Instrução Normativa deverão ser precedidas de planejamento, elaborado em harmonia com o PDTI, alinhado à estratégia do órgão ou entidade.

Parágrafo único. Inexistindo o planejamento estratégico formalmente documentado, será utilizado o documento existente no órgão ou entidade, a exemplo do Plano Plurianual ou instrumento equivalente, registrando no PDTI a ausência do planejamento estratégico do órgão e indicando os documento utilizados.

109



– Art. 8 AS contratações de serviços de TI deverão seguir três fases:

• I – Planejamento da Contratação

• II – Seleção do Fornecedor; e

• III – Gerenciamento do Contrato

110



– Art. 18 É obrigatória a execução da fase de Planejamento da Contratação, independentemente do tipo de contratação, inclusive nos casos de:

• I – inexigibilidade;

• II – dispensa de licitação ou licitação dispensada;

• III – criação ou adesão à Ata de Registro de Preços; e

• IV – contratações com uso de verbas de organismos internacionais com Banco Mundial, BIRD e outros.

111



– Art. 9 A fase de Planejamento da Contratação terá início com o recebimento pela Área de Tecnologia da Informação do Documento de Oficialização da Demanda, a cargo da Área Requisitante da Solução, que conterá no mínimo:

• I – necessidade da contratação, considerando os objetivos estratégicos e as necessidades corporativas da instituição, bem como o seu alinhamento ao PDTI;

112


• Instrução Normativa nº 04/2010 • II – a explicitação da motivação e demonstrativo de

resultados a serem alcançados com a contratação da Solução de Tecnologia da Informação;

• III – indicação da fonte de recursos para a contratação;

• IV – indicação do Integrante Requisitante para composição da Equipe de Planejamento da Contratação.

113



– Art. 10 A fase de Planejamento da Contratação consiste nas seguintes etapas:

• I – Análise de Viabilidade da Contratação;

• II – Plano de Sustentação;

• III – Estratégia da Contratação;

• IV – Análise de Riscos; e

• V – Termo de Referência ou Projeto Básico.

114

Análise de Viabilidade da Contratação

• Art. 11 A Análise de Viabilidade da Contratação será realizada pelos integrantes Técnico e Requisitante, compreendendo as seguintes tarefas: I – definição e especificação dos requisitos (...)

II – identificação das diferentes soluções que atendam aos requisitos (...)

III – análise e comparação entre os custos totais de propriedade das soluções identificadas, levando-se em conta os valores de aquisição dos ativos, insumos, garantia e manutenção (...)

115


IV – escolha da Solução de Tecnologia da Informação e justificativa da solução escolhida (...)

V – avaliação das necessidades de adequação do ambiente do órgão ou entidade para viabilizar a execução contratual, que servirá de subsídio para o Plano de Inserção (...)

116


• A IN nº 04/2010 no parágrafo único do art. 11 estabelece que:

• “A Análise da Viabilidade da Contratação será aprovada e assinada pela Equipe de Planejamento da Contratação”.

117

Plano de Sustentação

• Art. 14 O Plano de Sustentação será elaborado pelos integrantes Técnico e Requisitante, contendo no mínimo:

I – recursos materiais e humanos necessários à continuidade do negócio;

II – continuidade do fornecimento da Solução de Tecnologia da Informação em eventual interrupção contratual;

118

Plano de Sustentação

III – atividades de transição contratual e encerramento do contrato (...)

IV – estratégia de independência do órgão ou entidade contratante com relação à contratada (...)

Parágrafo único. O Plano de Sustentação será aprovado e assinado pela Equipe de Planejamento da Contratação.

119

Estratégia da Contratação

• A IN nº 04/2010 estabelece:

– Art. 15 A Estratégia da Contratação será elaborada a partir da Análise de Viabilidade da Contratação e do Plano de Sustentação, contendo no mínimo:

• I – indicação, pelo Integrante Técnico da Solução de Tecnologia da Informação a ser contratada;

• II – definição, pelo Integrante Técnico, das responsabilidades da contratada que não poderá se eximir do cumprimento integral do contrato mesmo havendo subcontratação;

120


• III – indicação, pela Equipe de Planejamento da Contratação, dos termos contratuais (...)

• IV – elaboração, pelos Integrantes Administrativo e Técnico, do orçamento detalhado em preços unitários, fundamentado em pesquisa de mercado, a exemplo de contratações similares, valores oficiais de referência, pesquisa junto a fornecedores ou tarifas públicas.

» Acórdão 525/2008-TCU-2ªCâmara, item 9.1.9

121


• Art. 15 (...) – V – elaboração, pelo Integrante Requisitante, da

estimativa do impacto econômico-financeiro no orçamento do órgão ou entidade, com indicação das fontes de recurso;

– VI – elaboração, pela Equipe de Planejamento da Contratação, dos seguintes modelos de documentos: • A) termo de compromisso, contendo declaração de

manutenção de sigilo (...)

• B) termo de ciência da declaração de manutenção (...)

122

Termos Contratuais

• Art. 15 (...) – III – indicação, pela Equipe de Planejamento da

Contratação, dos termos contratuais, observado o disposto nos §§ 1º e 2º deste artigo, sem prejuízo do estabelecido na Lei nº 8.666/93 relativos a: • A) fixação de procedimentos e Critérios de Aceitação

dos serviços prestados ou bens fornecidos, abrangendo métricas, indicadores e valores mínimos aceitáveis;

• B) quantificação ou estimativa prévia do volume de serviços demandados ou quantidade de bens a serem fornecidos, para comparação e controle;

123

Termos Contratuais

c) definição de metodologia de avaliação da qualidade e da adequação da Solução de Tecnologia da Informação às especificações funcionais e tecnológicas;

d) garantia de inspeções e diligências, quando aplicáveis, e suas formas de exercício;

e) Forma de pagamento, que será efetuado em função dos resultados obtidos;

f) cronograma de execução física e financeira;

g) definição de mecanismos formais de comunicação a serem utilizados para troca de informações entre a contratada e a Administração; e

124

Termos Contratuais

– H) definição clara e detalhada das sanções administrativas, de acordo com os artigos 86, 87 e 88 da Lei nº 8.666/93, juntamente com o art. 7º da Lei nº 10.520/02, observando:

1. vinculação aos termos contratuais;

2. proporcionalidade das sanções previstas ao grau do prejuízo causado pelo descumprimento das respectivas obrigações;

3. as situações em que advertências ou multas serão aplicadas, com seus percentuais correspondentes, que obedecerão uma escala gradual para as sanções recorrentes;

125

Termos Contratuais

4. as situações em que o contrato será rescindido por parte da Administração devido ao não atendimento de termos contratuais, da recorrência de aplicação de multas e outros motivos;

5. As situações em que a contratada terá suspensa a participação em licitações e impedimento para contratar com a Administração; e

6. As situações em que a contratada será declarada inidônea para licitar ou contratar com a Administração, conforme previsto em lei (...)

126

Estabelecimento de Níveis de Serviço

A verificação da adequação da prestação do serviço (e da qualidade) poderá ser realizada com base no Acordo de Níveis de Serviço (SLA) previamente definido no ato convocatório e pactuado pelas partes.

127


• Um acordo de nível de serviço é um instrumento para a gestão das expectativas em relação ao contrato. Sua meta consiste em definir uma estrutura para a gestão da qualidade e quantidade dos serviços entregues e, por conseguinte, atender à demanda contratada a partir de um entendimento claro do conjunto de compromissos.

• É documento base para garantir que ambas as partes usarão os mesmos critérios para avaliar a qualidade do serviço, bem como para servir de parâmetro ao pagamento dos serviços e eventuais punições em decorrência de descumprimentos das metas acordadas.

128


• A IN nº 02/2008 estabelece no seu Anexo I:

• XXII – Acordo de Nível de Serviço – ANS, para os fins desta Instrução Normativa, é um ajuste escrito, anexo ao contrato, entre o provedor de serviços e o órgão contratante, que define, em bases compreensíveis, tangíveis, objetivamente observáveis e comprováveis, os níveis esperados de qualidade da prestação do serviço e respectivas adequações de pagamento (...)

129


• IN nº 02/2008, Art. 17: – Quando for adotado o Acordo de Níveis de Serviços, este

deverá ser elaborado com base nas seguintes diretrizes:

I – antes da contrução dos indicadores, os serviços e resultados esperados já deverão estar claramente definidos e identificados, diferenciando-se as atividades consideradas críticas das secundárias;

II – os indicadores e metas devem ser construídos de forma sistemática, de modo que possam contribuir cumulativamente para o resultado global do serviço e não interfiram negativamente uns nos outros;

130


• III – os indicadores devem refletir fatores que estão sob controle do prestador de serviço;

• IV – previsão de fatores, fora do controle do prestador, que possam interferir no atendimento das metas;

• V – os indicadores deverão ser objetivamente mensuráveis, de preferência facilmente coletáveis, relevantes e adequados à natureza e características do serviço e compreensíveis;

• VI – evitar indicadores complexos ou sobrepostos;

• VII – as metas deve ser realistas e definidas com base em uma comparação apropriada;

131


• VIII – os pagamentos deverão ser proporcionais ao atendimento das metas estabelecidas no ANS, observando-se o seguinte:

– a) as adequações nos pagamentos estarão limitadas a uma faixa específica de tolerância, abaixo da qual o fornecedor se sujeitará às sanções legais; e

– b) na determinação da faixa de tolerância de que trata a alínea anterior, considerar-se-á a relevância da atividade, com menor ou nenhuma margem de tolerância para as atividades consideradas críticas.

132


• IX – o não atendimento das metas, por ínfima ou pequena diferença, em indicadores não críticos, poderá ser objeto apenas de notificação nas primeiras ocorrências, de modo a não comprometer a continuidade da contratação.

133

Referências

• IN nº 02/2008 do SLTI/MPOG

• IN nº 04/2010 do SLTI/MPOG

• Acórdãos do Tribunal de Contas da União

• CobIT 4.1

• ITIL v3

• Manual de Auditoria de Sistemas do TCU

134

Auditoria interna de ti 2

Business

Transcript of Auditoria interna de ti 2