Relatório de Auditoria de Gestão de TI
Auditoria realizada no Tribunal Regional do Trabalho da
23ª Região - Cuiabá
Aluna: Isabel Amaral
Tabela de
Conteúdo
• Introdução
• Análise do Relatório
• Metodologia
• Principais Achados
• Fatos Relevantes
• Conclusão
• Referências
Introdução
 O Tribunal Regional do Trabalho da 23ª Região, Cuiabá, foi auditado pelo
Conselho Superior da Justiça do Trabalho, se tratando de uma auditoria
externa;
 O foco da auditoria são todos os aspectos que envolvem a Gestão da
Tecnologia da Informação como, por exemplo:
 Existência de Plano de Estratégia de TI;
 Existência de Plano de Segurança da Informação;
 Existência de Política de Segurança da Informação;
 É importante salientar que não foi só observado a existência ou não das
informações, mas também a qualidade e efetividade das mesmas.
Análisedo
Relatório
Metodologia
 Se refere a metodologia adotada para a geração do relatório final:
Foi criado, por meio da avaliação comparativa entre as recomendações da
equipe de auditoria e as providências ou os esclarecimentos apresentados
pela equipe de Gestão de TI do Tribunal Regional do Trabalho de 23ª Região.
Análisedo
Relatório
Principais Achados
 No relatório achados foram relatados com o nome de ocorrência;
 A cada ocorrência foram criadas recomendações
para orientar os
próximos passos da instituição na busca por uma boa Gestão de TI;
 Foram 47 ocorrências encontradas e NENHUM ponto positivo levantado;
Análisedo
Relatório
 Principais problemas encontrados:
 A instituição
não realizou análise riscos para
criar Plano de
Continuidade de Negócios;
 Também não analisou riscos que poderiam impedir a execução das
estratégias de TIC do órgão;
 Não existem procedimentos que sustentem um Plano de Contingência
e de recuperação de desastres;
Análisedo
Relatório
Principais Achados
 Principais problemas encontrados:
 Inexistência de Plano Diretor de Tecnologia da Informação e
Comunicações (PDTIC)
 Inexistência de Planos de Gerenciamento dos Projetos Estratégicos;
 Inexistência de indicadores de desempenho voltados para medir e
governar a Gestão da TI;
 Possui apenas site backup;
Análisedo
Relatório
Principais Achados
 Principais problemas encontrados:
 Inexistência de processo formal estabelecido e dedicado ao tratamento
das questões de segurança, não existe um Plano Institucional de
Segurança da Informação (PISI);
 Política de Segurança da Informação existente, porém não baseada na
norma NBR ISO/IEC 27002:2005 ;
 Não existe uma Política de Controle de Acesso (PCA) lógico;
Análisedo
Relatório
Principais Achados
 Principais problemas encontrados:
 Inexistência de inventário completo de todos os programas de
computador em uso no Tribunal.
 Inexistência de testes para comprovar a eficácia do Plano de
Continuidade do Negócio e NEM de treinamentos para capacitar os
servidores responsáveis pela elaboração e execução do Plano de
Continuidade;
Análisedo
Relatório
Fatos Relevantes
 Período da auditoria de 16 a 19 de novembro de 2010, porém relatório gerado
em Maio de 2012;
 Todas as recomendações estão citando a norma existente que visa o
aprimoramento do ponto observado, como por exemplo:
“Desenvolva e implante modelo de processo para continuidade da TI. Esse
processo deve observar o disposto nos seguintes normativos: NBR ISO/IEC
17799:2005
(itens 14.1.1, 14.1.2 e 14.1.3); e item 9.1.6 do Acórdão
n.°1.092/2007 do TCU;”
Análisedo
Relatório
Fatos Relevantes
“Selecione e implemente controles apropriados para assegurar que os riscos
sejam eliminados ou reduzidos a um nível aceitável. Os controles devem ser
selecionados a partir da NBR ISO/IEC 27002:2005 ou de outro conjunto de
controles como o Cobit. A seleção de controles de segurança da informação
depende das decisões da organização e é baseada nos critérios para aceitação de
risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco
aplicado à organização;”
Análisedo
Relatório
Fatos Relevantes
 Todos os documentos e seus conteúdos foram analisados com base:
 Na Control Objectives for Information and related Technology (COBIT),
que é um guia de boas práticas para Gestão de TI;
 Na norma NBR ISO/IEC 17799:2005;
 E nos Acórdões do TCU.
 Relatório possui também os documentos criados em resposta as
recomendações realizadas pelos auditores;
 Esses documentos em resposta também foram analisados pelos auditores.
Conclusão
 Para uma empresa de importância do setor público, possui uma fraca
Estratégia de TI;
 Não trabalhou os riscos do negócio, deixando sua documentação sem uma
base forte;
 Também tem falta de especialização de pessoal, já que não possui
treinamento para lidar com o que foi descrito dos Planos de TI que
possuem;
 Passou a trabalhar nos pontos recomendados, apenas após a finalização
do Relatório de Auditoria e o envio do mesmo para órgão superior;
Conclusão
O relatório é completo, apresentando o que foi encontrado pelos auditores,
o que fazer para solucionar e a resposta do Tribunal aos problemas
encontrados. Lembrando que, todos os pontos destacados como
problemáticos na Gestão de TI da instituição têm o respaldo das normas de
auditoria de TI.
Dúvidas
Referências
• Relatório Final da Auditoria de Gestão de Tecnologia da Informação -
http://www.csjt.jus.br/c/document_library/get_file?p_l_id=1272434&groupId=95
5023&folderId=1333244&name=DLFE-17013.pdf
• Auditoria Interna na Área de Tecnologia da Informação baseado no TCU http://portal2.tcu.gov.br/portal/pls/portal/docs/2188952.PDF
• VII Encontro de Auditoria e Unidades de Controle Interno do Sistema “S”
(Auditoria
Interna
e
Governança)
http://www.sfiec.org.br/palestras/administracao/CGU-
SistemaS/AtuacaodaAuditoriaInternanaAvaliacaodaGestaodeTI.pdf
-