Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 • UNIVERSIDADE JOAQUIM CHISSANO Introdução à Auditoria Informática (IAI) Sérgio Simbine sergio.simbine@gmail.com Outubro, 2023 Sérgio Simbine ✓ Mestre em Sistemas de Informação pela UEM; ✓Certified Information System Auditor (CISA) – pela ISACA; ✓ Certified COBIT 5 Foundation – pela ISACA; ✓ Certified COBIT 4.1 – pela ISACA; ✓ Certified ISO 22301 Lead Auditor – pela Continuity Link. ✓ Consultor de TI: IT Governance, Continuidade de Negócios, Gestão de Riscos de TI, Reengenharia de Processos e Segurança Cibernética ✓ Membro do ISACA – Information Systems Audit and Control Association (ISACA ID 748519); ✓ Auditor de TI com mais de 20 anos de experiência ✓ Docente Universitário com mais de 15 anos de experiência 2 Apresentação @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Objectivos Aplicar os conhecimentos e ferramentas para o exercício da auditoria informática em ambientes de gestão informatizados. No fim do curso o estudante deve ser capaz de: ✓ Fundamentar sobre os diferentes tipos de auditoria; ✓Utilizar as técnicas apropriadas para planear e desenvolver uma auditoria; ✓Dominar um conjunto de conceitos organizacionais e tecnológicos essenciais ao desenvolvimento da actividade de auditor; ✓Conhecer os conceitos gerais da metodologia COBIT; ✓Reconhecer a importância da qualidade no desenvolvimento da actividade de auditoria; ✓Utilizar CAAT’s (Computer Audit Auxiliary Techniques and Tools) como forma de reproduzir o comportamento de aplicações. 3 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 4 • UNIVERSIDADE JOAQUIM CHISSANO Tema 2: - CAAT’s - IT Governance Sérgio Simbine sergio.simbine@gmail.com Outubro, 2023 5 Neste Tema … • Vamos abordar : • Ferramentas CAAT´s • Análise de dados • Tipos de CAAT´S • TIpos de Software de Auditoria • IT Governance @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 6 • UNIVERSIDADE JOAQUIM CHISSANO Tema 2a: - CAAT’s Sérgio Simbine sergio.simbine@gmail.com Outubro, 2023 7 Introdução são palavras, números ou imagens resultantes duma experiência ou observação de outras informações dentro de um sistema (computadorizado ou não). Dados Análise de dados É o processo de descrever e interpretar dados referentes a uma pesquisa com a intenção de extrair informações úteis e desenvolver conclusões. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 8 Auditoria/ Análise de dados • Objecto: dados contidos em meios de armazenamento electrónico. • Objectivo: verificar se os dados são íntegros, confiáveis e em conformidade com as regras que regem o negócio. Introdução (cont.) @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 9 Que tipos de problemas podemos encontrar com os dados? • Formato (SAP, XML, ODBC, Excel, Notepad/ASCII, AS400, Lotus, dBase); • Podem não estar completos; • Podem não ser válidos e correctos; • Dimensão; • Falta de capacidade técnica para a extracção dos dados; e • Interpretação dos resultados. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 10 • 11 O que são ferramentas CAAT´s • Resumem-se na prática de usar computadores para automatizar ou simplificar o processo de auditoria. • CAAT´s - Computer Assisted Audit Techniques / Tools – Técnicas/Ferramentas de Auditoria Auxiliadas (Assistidas) por Computador (TAAC). • Ferramentas automatizadas de suporte ao trabalho de auditoria de dados. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 12 CAAT’S Esta representa uma das áreas emergentes na profissão de auditoria. CAAT´s tornou-se sinónimo de incorporaração de dados analíticos no processo de auditoria. Permitem manipulação dos dados de forma que se podem simular as regras de negócio sobre eles (dados), verificando a conformidade dos sistemas ou a ocorrência de fraude. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 13 Tipos de CAAT´s Tipos de CAATs Software de Auditoria Generalizado (GAS) Análise do Código do Programa Software Especializado Auditoria Software de Auditoria Personalizado (CAS) Simulação Paralela Dados de Teste Facilidade de Teste Integrado Análise de Dados 14 Tipos de CAAT´s (cont.) • Software de Auditoria Generalizado (GAS) – Apresenta variadas formas. Este tipo de software de auditoria pode ser usado para testes de controlo ou como procedimento substantivo. • Software de Auditoria Personalizado (CAS) –geralmente desenhado pelos auditores para tarefas específicas de auditoria. O CAS é necessário quando o sistema informático da organização não é compatível com o GAS usado pelo auditor ou quando o auditor pretende efectuar alguns testes que podem não ser realizados com o GAS. • Dados de Teste – o auditor utiliza esta ferramenta para testar os controlos da aplicação nos programas informáticos do cliente. O auditor inclui Dados de Teste simulados (válidos ou inválidos), usados para testar a precisão das operações do sistema informático. Esta técnica pode ser utilizada para verificar os controlos de validação de dados e as rotinas de detecção de erros, processar controlos lógicos e cálculos aritméticos, etc. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 15 Tipos de CAATs (cont.) • Simulação Paralela – o auditor deve construir uma simulação computarizada que imite os programas de produção do cliente. • Facilidade de Teste Integrado – o auditor introduz os dados de teste, com os dados reais numa execução normal da aplicação. • Análise do código do programa É a análise do código do programa do cliente que permite assegurar que as instruções dadas ao computador são as mesmas que o auditor identificou antes de rever a documentação dos sistemas. • Software especializado de auditoria É o software de auditoria desenhado para realizar tarefas específicas em circunstâncias específicas, tais como, comparação do código fonte e objecto; análise do código não-executado e a geração de Dados de Teste. É usado para recolher evidência quanto à eficiência do desenho do software do cliente. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 16 Exemplos: BÁSICOS INTERMEDIOS COMPLEXOS • Processadores de texto (MS Word) • Apresentações (MS Power Point, FlashMX) • Planilhas de cálculo (MS Excel) • Programas estatísticos (SPSS) • Software de produção pessoal • ACL (Audit Control Language) • IDEA (Interactive Data Extraction and Analysis) • Products Methodware: o Ranking Advisor o ProAudit Advisor o COBIT Advisor o Audit Builder • ORACLE • SQL Server • Informix • MySQL • MS Access • TOAD @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 17 Tipos de Software de Auditoria 1. PLANIFICAÇÃO DE AUDITORIA 1.1. Planning Advisor 2. Execução – SUPERVISÃO 2.1. CobiT Advisor 2.2. Pro Audit Advisor 3. ANÁLISE DE RISCO 3.1. RISK2K – Pilar - Chinchón 3.2. Enterprise Risk Assessor (ERA Lite) 3.3. Risk Assesment Program - RAP 3.4. Audicontrol @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 18 Tipos de Software de Auditoria (Cont) 4. ANÁLISE E AVALIAÇÃO DE BASE DE DADOS 4.1 ACL: (Audit Command/Control Language) 4.2 IDEA: (Interactive Data Extraction and Analisis) 5. FERRAMENTAS INTEGRADAS 5.1. Gestor F1 Audisis 5.2. Auditor 2000 5.2. Audit System 2 5.3. TeamMate6. PROGRAMAS PARA PROPÓSITOS ESPECÍFICOS 6.1. Sistema de Auditoria e Segurança – SAS 6.2. Statistical Techniques of Analytical Review 6.3. DATAS - Digital Analysis Tests And Statistics @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 19 Selecção da Ferramenta - Os Factores de Escolha Nr Critério de selecção Descrição 1 Objectivo da Auditoria O que é que se pretende atingir? Que aspecto da auditoria é que necessita ser assegurado no sistema ex.: segregação de funções; 2 Dimensão dos dados Qual a quantidade de dados que se está a procura? Será que a aplicação poderá acomodar a quantidade de dados necessária para a análise? 3 Complexidade dos dados Qual é a complexidade dos procedimentos de auditoria necessários para a analise de dados? Será que a aplicação escolhida é capaz de cobrir a complexidade das operações? 4 Resultados (Duração e Data limite) Será que a aplicação é fácil de se usar e permite uma utilização adequada e suficiente para obter os resultados esperados? @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 20 Selecção da Ferramenta - Os Factores de Escolha Nr Critério de selecção Descrição 5 Habilidades técnicas Existe treinamento específico para a aplicação? Temos pessoal suficiente com as habilidades técnicas necessárias para o uso da aplicação? 6 Disponibilidade de ferramentas adequadas Onde é que a aplicação pode ser encontrada? É fácil de se encontrar? Existe suporte disponível para a aplicação? 7 Eficiência e efectividade do uso de CAATs Vs. técnicas manuais Existe a necessidade de uso do CAATs? 8 Integridade dos Sistemas de Informação Qual é a importância da informação? 9 Nível do risco de auditoria Qual é o nível de risco que está a ser coberto? @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 21 Auditoria Tradicional vs CAATs Estas dificuldades encontradas com a auditoria tradicional são já abordadas pelas CAATs. CAATs podem analisar grandes volumes de dados em busca de anomalias. Uma auditoria bem concebida e que use CAATs não é considerada uma amostra, mas sim uma revisão completa de todas as transações. Usando CAATs o auditor poderá extrair todas as transações da unidade de negócio realizadas durante o período examinado e realizará os devidos testes a fim de identificar possíveis anomalias. Tradicionalmente, os auditores têm sido criticados pelo facto de tirarem conclusões baseadas em amostras limitadas. É comum um auditor servir-se de 30-50 transações como amostra e declarar um problema ou concluir que “ o sistema de controlo parece ser eficaz“ . A gestão tem conhecimento do volume de transacções efectuadas durante o período a auditar e sabe de antemão que o auditor apenas utilizará uma parte reduzida como amostra. O auditor irá declarar que seleccionou a amostra com base em normas de auditoria geralmente aceites, e que a mesma é estatisticamente válida. Então o auditor vê-se na necessidade de defender a sua metodologia. CAATsAuditoria Tradicional Estas dificuldades encontradas com a auditoria tradicional são já abordadas pelas CAATs. CAATs podem analisar grandes volumes de dados em busca de anomalias. Uma auditoria bem concebida e que use CAATs não é considerada uma amostra, mas sim uma revisão completa de todas as transações. Usando CAATs o auditor poderá extrair todas as transações da unidade de negócio realizadas durante o período examinado e realizará os devidos testes a fim de identificar possíveis anomalias. Tradicionalmente, os auditores têm sido criticados pelo facto de tirarem conclusões baseadas em amostras limitadas. É comum um auditor servir-se de 30-50 transações como amostra e declarar um problema ou concluir que “ o sistema de controlo parece ser eficaz“ . A gestão tem conhecimento do volume de transacções efectuadas durante o período a auditar e sabe de antemão que o auditor apenas utilizará uma parte reduzida como amostra. O auditor irá declarar que seleccionou a amostra com base em normas de auditoria geralmente aceites, e que a mesma é estatisticamente válida. Então o auditor vê-se na necessidade de defender a sua metodologia. CAATsAuditoria Tradicional Estas dificuldades encontradas com a auditoria tradicional são já abordadas pelas CAATs. CAATs podem analisar grandes volumes de dados em busca de anomalias. Uma auditoria bem concebida e que use CAATs não é considerada uma amostra, mas sim uma revisão completa de todas as transações. Usando CAATs o auditor poderá extrair todas as transações da unidade de negócio realizadas durante o período examinado e realizará os devidos testes a fim de identificar possíveis anomalias. Tradicionalmente, os auditores têm sido criticados pelo facto de tirarem conclusões baseadas em amostras limitadas. É comum um auditor servir-se de 30-50 transações como amostra e declarar um problema ou concluir que “ o sistema de controlo parece ser eficaz“ . A gestão tem conhecimento do volume de transacções efectuadas durante o período a auditar e sabe de antemão que o auditor apenas utilizará uma parte reduzida como amostra. O auditor irá declarar que seleccionou a amostra com base em normas de auditoria geralmente aceites, e que a mesma é estatisticamente válida. Então o auditor vê-se na necessidade de defender a sua metodologia. CAATsAuditoria Tradicional Estas dificuldades encontradas com a auditoria tradicional são já abordadas pelas CAATs. CAATs podem analisar grandes volumes de dados em busca de anomalias. Uma auditoria bem concebida e que use CAATs não é considerada uma amostra, mas sim uma revisão completa de todas as transações. Usando CAATs o auditor poderá extrair todas as transações da unidade de negócio realizadas durante o período examinado e realizará os devidos testes a fim de identificar possíveis anomalias. Tradicionalmente, os auditores têm sido criticados pelo facto de tirarem conclusões baseadas em amostras limitadas. É comum um auditor servir-se de 30-50 transações como amostra e declarar um problema ou concluir que “ o sistema de controlo parece ser eficaz“ . A gestão tem conhecimento do volume de transacções efectuadas durante o período a auditar e sabe de antemão que o auditor apenas utilizará uma parte reduzida como amostra. O auditor irá declarar que seleccionou a amostra com base em normas de auditoria geralmente aceites, e que a mesma é estatisticamente válida. Então o auditor vê-se na necessidade de defender a sua metodologia. CAATsAuditoria Tradicional @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 22 Auditoria Tradicional vs CAATs O que ficaria melhor num relatório de auditoria? “A auditoria analisou 50 transacções tendo detectado uma transacção processada de forma incorrecta”. Ou “A auditoria utilizou CAATs e testou todas as transacções realizadas ao longo do último ano. Verificamos XXX excepções em que a empresa pagou YYY Meticais em políticas de cessação de contratos”. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 23 Quando Usar CAATs? Dependendo do volume e complexidade dos dados, o auditor poderá usar as CAAT´s que melhor se ajustem às necessidades da auditoria. 24 Os Software especializados de Auditoria podem facilmente executar: • Consultas de dados; • Estratificação de dados; • Extracção de amostras; • Identificação de sequência omitida ; • Análise estatística; • Cálculos; • Identificação de duplicações; • Tabelas pivot; e • Tabelas de entrada múltipla. Software Especializado de Auditoria Análise Estatística Extracção de Amostras C on su lta d e D ad os E st ra ti fi ca çã od e D ad os C ál cu lo s Tabelas Pivot Id en tif ic aç ão d e D up lic aç õe s Tabelas de Entrada M últipla @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 25 Vantagens de software especializado de auditoria • Processamento de rotinas; • Manipulação Extensiva de Fórmula; • Importação e exportação de Dados ; • Importação de grandes volumes de dados; • Codificação avançada de Dados; • Operações de bases de dados apoiadas em SQL; • Geração de dados estatísticos; • Análise Funcional; • Critérios avançados de busca; • Gestão de arquivos; e • Ligação a bases de dados. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 26 Desvantagens no uso das CAATs Como em todos os sistemas as CAAT’s apresentam algumas desvantagens, como por exemplo: • Perca de informação no processo da extração; • Alocação de tempo adicional na organização dos dados;e • Limitação da informação. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 27 Análise de Dados e CAAT´s - Resumo • CAAT´s são aplicações de procedimentos de auditoria que usam as tecnologia de Informação como uma ferramenta. • CAAT´s são usadas para testar os controlos das aplicações, bem como para executar testes substantivos em itens de amostras. • CAAT´s podem aperfeiçoar o processo de auditoria, permitindo a execução de revisões rápidas e extensas. • CAAT´s são ferramentas que auxiliam aos auditores a seleccionar, recolher, analisar e elaborar relatórios sobre os dados. @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 28 • Exercícios de Concolidação 1. O que entende por CAAT´s? 2. Enuncie dois tipos de CAAT´s e explique. 3. Dê alguns exemplos de ferramentas CAATs 4. Na utilização de CAAT´s que tipo de problemas podemos encontrar com os Dados? 5. Diga quais as diferenças entre software generalista e software especializado. 6. Indique o objecto e objectivos da análise de dados em auditoria usando CAAT´s. 7. Indique quatro factores que podem determinar a escolha de uma ferramenta CAAT. 8. Indique as diferenças entre a auditoria Tradicional e a auditoria usando CAAT´s. 9. Indique cinco funcionalidades que podem ser executadas por um software especializado de auditoria. Explique cada uma delas 10. Fundamente (explique) a seguinte afirmação: “ A Limitação da informação é considerada como sendo uma das desvantagens da utilização de CATT´s “ 30 • UNIVERSIDADE JOAQUIM CHISSANO Tema 2b: - IT Governance Sérgio Simbine sergio.simbine@gmail.com Outubro, 2023 IT Governance ✓ Governance (Governação) ✓ Corporate Governance ✓ IT Governance 31 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Governanção - A União e harmonização das diversas práticas de gestão, apoiadas nas melhores práticas internacionais. Princípios de Governanção 1. Dirigir e Controlar – 2. Responsabilidade - Definir quem deve garantir a execução - Função delegável. 3. Accountability – Definir quem é o responsável final pelo projecto - Função não delegável. 4. Actividades – Executar o projecto/processo de maneira ordenada. 32 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Corporate Governance - O que é? ✓ “É o conjunto de processos, costumes, políticas, leis, regulamentos e instituições que regulam a maneira como uma organização é dirigida, administrada ou controlada. ✓ O termo inclui também o estudo sobre as relações entre os diversos actores envolvidos (os stakeholders) e os objectivos pelos quais a empresa se orienta“ ✓ “Descreve a forma ou modo no qual os direitos e responsabilidades são compartilhadas entre vários participantes da organização, especialmente administração e accionistas” 33@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Objectivos do Corporate Governance: ✓ “Criar um conjunto eficiente de mecanismos, tanto de incentivos quanto de monitorização, a fim de assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos accionistas”. ✓ A empresa que opta pelas boas práticas de corporate governance adopta como linhas mestras a transparência, a prestação de contas (accountability), a equidade e a responsabilidade corporativa. Para tanto, o Conselho de Administração, representante dos accionistas, deve exercer seu papel, estabelecendo estratégias para a empresa, elegendo e destituindo o principal executivo, fiscalizando e avaliando o desempenho da gestão e escolhendo a auditoria independente. 34 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Principais Actores: ▪ Accionistas, ▪ Conselho de Administração, ▪ Conselho de Gestão, Outros participantes: ▪ Funcionários, ▪ Fornecedores, ▪ Clientes, ▪ Bancos e outros credores ▪ Instituições reguladoras (como Banco Central) ▪ Meio-ambiente;e ▪ Comunidade em geral. 35 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 http://pt.wikipedia.org/wiki/Banco_Central Corporate Governance Pilares do Corporate Governance: 36@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Corporate Governance - Origem? ✓ Metade dos anos 90 - movimento iniciado principalmente nos Estados Unidos; ✓ Accionistas despertaram para a necessidade de novas regras que os protegessem dos abusos do conselho executivo das empresas ✓ Inércia de conselhos de administração inoperantes e das omissões das auditorias externas. ✓ Superar o "conflito de agência", decorrente da separação entre a propriedade e a gestão empresarial. Os interesses do gestor nem sempre estarão alinhados com os do proprietário, resultando em um conflito de agência ou conflito agente-principal 37 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Consequência da Falta de Sistema de Corporate Governance: A ausência de conselheiros qualificados e de bons sistemas de Corporate Governance tem levado empresas a fracassos decorrentes de: ▪ Abusos de poder (do accionista controlador sobre minoritários, da gestão sobre o accionista e dos administradores sobre terceiros); ▪ Erros estratégicos (resultado de muito poder concentrado no executivo principal); ▪ Fraudes (uso de informação privilegiada em benefício próprio, actuação em conflito de interesses). 38 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Posicionamento da Função de Auditoria SI - Estrutura Ideal 39 Conselho de Administração Conselho de Gestão Direcções / Departamentos/ Unidades Conselho Fiscal Comité de Auditoria/ Gestão de Risco Auditoria Interna (Processos de Negócio) (Auditoria de SI) @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Origem e Definição de Comité de Auditoria O Comité de Auditoria é estabelecido pelo Conselho de Administração para: ✓ Dar-lhe uma garantia adicional a respeito da qualidade e fiabilidade da informação financeira e das demonstrações financeiras emitidas pela empresa; ✓ Prestar-lhe apoio a respeito do perfil do risco e da gestão de risco da empresa; ✓ Prestar-lhe assistência na execução das suas responsabilidades: ▪ Salvaguarda dos activos; ▪ Manutenção de registos contabilísticos; ▪ Manutenção de um Sistema de Controlo Interno eficiente e eficaz.40 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Origem e Definição de Comité de Auditoria ✓ Surge na sequência da divulgação das ideias e princípios de Corporate Governance nas Empresas ✓ África do Sul - Recomendação do King Code of Corporate Practises and Conduct ✓ UK - Recomendação do Cadbury Committee ✓ USA – Recomendação de Sarbannes-Oxley 41 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Origem e Definição de Comité de Auditoria O Conselho Fiscal: ✓ é uma figura imposta pela Lei das Sociedades ✓ é uma imposição legal ✓ reporta aos Sócios ✓ é co-responsável pelo cumprimento da Lei e pela legalidade das acções da firma 42@Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Membros do Comité de Auditoria ✓ O Comité de Auditoria deve ser constituído de forma a assegurar a sua independência. ✓ O Comité de Auditoria deverá ser nomeado pelo Conselho de Administração e agirá de acordo com as seguintes directivas que orientam a sua composição: ✓ Comportará, no mínimo, três membros não-executivos, seleccionados de entre os accionistas e um presidente não-executivo ✓ O presidente não-executivo será eleito pelo Conselho de Administração. ✓ Todos os membros terão conhecimentos básicos na área financeira e de contabilidade, e um dos membros do comité deverá possuir especialização em Gestão, Contabilidade ou relacionada com a Área Financeira. ✓ Os membros podem melhorar a sua familiaridade com finanças e contabilidade, participando em programas educacionais realizados pela empresa ou por um consultor externo. 43 Corporate Governance Qualificações Necessárias do Comité de Auditoria ✓ O desempenho da missão depende do conhecimento dos seus membros e da competência em questões de negócio, controlos internos do relatório financeiro e auditoria. ✓ Todos os membros devem possuir experiência em algumas áreas relativas ao negócio, e pelo menos um dos membros deverá estar familiarizado com a indústria da empresa. ✓ Todos os membros devem ter formação básica em finanças - conhecimentos sobre balanço, demonstração de resultados e mapa de fluxo de caixa da empresa. ✓ Pelo menos um dos membros, normalmente o presidente, deverá ter um sólido conhecimento na área de finanças, contabilidade, ou auditoria. ✓ Boa capacidade de comunicação e relacionamento interpessoal. 44 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance Principais Responsabilidades e Deveres do C. A. - Gerais ✓ Estabelecer uma carta de Auditoria (audit charter) ▪ para orientar a abordagem de auditoria ▪ formular as normas que regulam a relação de auditoria; ✓ Avaliar os processos e os resultados respeitantes aos riscos da empresa e ambiente de controlo; ✓ Supervisar o processo de apresentação de relatórios financeiros; ✓ Avaliar e coordenar o processo de auditoria interna e externa; ✓ Promover e melhorar a comunicação e o contacto entre as partes interessadas pertinentes na empresa; ✓ Monitorar o cumprimento dos requisitos legais da empresa e o código de conduta da empresa. 45 Corporate Governance Principais Responsabilidades e Deveres do C. A. Específicas – Relacionamento com Auditoria Interna ✓ Rever e aprovar o Plano de Auditoria Interna, ✓ Concordar com a nomeação ou remoção do gerente geral de auditoria interna. ✓ Rever as actividades, estrutura organizacional e qualificações do departamento de auditoria interna. ✓ Rever os planos e orçamentos da auditoria interna. ✓ Rever os resultados de todos os trabalhos de auditoria interna executados. ✓ Rever e garantir a qualidade das revisões executadas sobre o trabalho do departamento de auditoria interna. ✓ Assegurar que a auditoria interna cumpre as normas e regulamentos pertinentes. ✓ Assegurar que o departamento de auditoria interna mantém a sua independência. ✓ Rever os relatórios de auditoria interna à gerência e a resposta da gerência aos mesmos. 46 Corporate Governance Principais Responsabilidades e Deveres do C. A. Específicas – Gestão do Risco do Negócio ✓ Facilitar as avaliações do risco, por forma a que se possam determinar os riscos materiais aos quais a empresa pode estar exposta e avaliar a estratégia para gerir esses riscos. ✓ Usar a estratégia de gestão de risco para priorizar e orientar o esforço de auditoria e determinar as qualificações e competências exigidas para gerir esses riscos. ✓ Rever e avaliar os relatórios emitidos pelo Comité de Gestão de Risco. ✓ Rever se as funções e responsabilidades do Comité de Gestão de Risco, como estabelecido no seu plano, foram atingidas com a devida eficácia e eficiência. 47 Corporate Governance Principais Responsabilidades e Deveres do C. A. Específicas – Auditoria Externa ✓ Rever os honorários e outras compensações a serem pagas; ✓ Rever e debater com o auditor externo todas as relações significativas que os auditores tenham com a empresa, por forma a determinar a independência do auditor; ✓ Periodicamente, consultar o auditor externo a respeito dos sistemas de controlo interno e da integridade e exactidão das demonstrações financeiras do grupo; ✓ Rever os relatórios de auditoria externa, de modo a assegurar que acções atempadas sejam tomadas pela gerência a respeito desses relatórios; ✓ Rever todos os desacordos significativos entre a gerência e o auditor externo com relação a qualquer relatório de auditoria externa. ✓ Avaliar o desempenho do auditor externo. 48 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 Corporate Governance O Papel do C. A. no Desenvolvimento das Organizações ✓ Melhor Avaliação do Risco ✓ Mais transparência ✓ Maior isenção e independência ✓ Melhor coordenação e organização ✓ Mais comunicação ✓ Mais responsabilização ✓ Maior integridade no processo de decisão ✓ Cumprimento das Leis e Directivas ✓ Opinião Imparcial e recomendações atempadas ✓ Mais desenvolvimento da organização!! 49 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance IT Governance ✓ Conjunto de Conceitos, estratégias, definições e objectivos que visam abordar os diversos aspectos e pontos de vista em relação ao “objecto” a ser controlado; ✓ Não é um conjunto de “ soluções”; ✓ Não é um “padrão”, no sentido de sua aplicação prática; ✓ Complementa-se e intercala-se com diversos “padrões” e “soluções” de mercado, que devem adaptar-se ao framework. 50 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Importância de um Framework ✓ Criar linguagem comum entre os diversos sectores envolvidos, tanto internamente às empresas quanto no mercado; ✓ Possibilitar a comparação (de alto nível) entre as soluções adoptadas em diferentes empresas, sectores, mercados etc.; ✓ Facilitar o compartilhamento de ferramentas, conhecimento e melhores práticas; ✓ Facilitar a comunicação e a definição de responsabilidades nos diversos níveis da empresa. 51 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Implantar um modelo de gestão é: ✓ Melhorar a cultura organizacional com relação aos serviços prestados por TI ✓ Consciencializar o pessoal de TI sobre a importância dos controlos; ✓ Delegar responsabilidades entre os participantes dos processos, tanto do lado de TI como do lado de negócios; ✓ Ressaltar que ter controlo não significa BUROCRATIZAR; ✓ Ser transparente. Todos devem saber os respectivos papéis e responsabilidades. 52 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI naUJC - 2023 IT Governance Pilares de Governança de TI: ✓ Os principais objectivos de um modelo de gestão só podem ser conseguidos por meio da melhor utilização dos seguintes recursos: ▪ Pessoas (Utilizadores, clientes, equipe de TI e Gestores) – comunicação, treinamento e definição clara de papéis e responsabilidades, para todas as partes envolvidas, são essenciais para a utilização deste valioso recurso. ▪ Processos – são o coração da organização de TI, pois concentra as actividades de operação do dia-a-dia, planeamento e melhoria dos serviços. ▪ Tecnologia – Deve ser considerado como recurso auxiliar na implantação de um modelo de gestão. A simples utilização não quer dizer que se está trabalhando adequadamente. 53 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Principais desafios da TI: ✓ Muitas empresas investem quantias significativas em recursos de TI. O desafio é adaptar a complexidade e riscos de TI às demandas dinâmicas do negócio. ▪ Manter a TI operacional ▪ Valor ▪ Custos ▪ Gerir a Complexidade ▪ Alinhar TI com os negócios ▪ Exigências legais ▪ Segurança 54 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Manter a TI Operacional: ✓ Organizações modernas dependem estrategicamente de TI. Quando os sistemas estão indisponíveis como resultado de uma falha técnica os impactos são geralmente significativos. Problemas Típicos: ▪ Ruptura em processos críticos do negócio ▪ Pessoal administrativo não pode executar tarefas diárias ▪ Clientes não podem contactar o call center ▪ Pode resultar em perda de negócios, redução de lucros e danos na imagem da empresa 55 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Valor: ✓ Dada a importância dos investimentos feitos em TI e sua importância estratégica, a organização necessita que a TI seja provedora de VALOR. Muitos projectos de TI excedem a previsão de custos e prazos. Organizações modernas dependem estrategicamente de TI. Quando os sistemas estão indisponíveis como resultado de uma falha técnica os impactos são geralmente significativos. Problemas Típicos: ▪ Má definição dos requisitos ▪ Sistemas muito complexos para implementação ▪ Deficiência de recursos com experiência ▪ Deficiente Gestão de projectos 56 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Custos: ✓ Apesar do Baixo custo de Hardware em TI, o custo total tem aumentado e os Gestores de topo o consideram fora de controlo. Problemas Típicos: ▪ Muitas organizações não entendem os custos associados aos seus activos ▪ O orçamento operacional aumenta a cada ano como resultado do complexo licenciamento, manutenção e contratos de terceirização. ▪ Défice recursos com experiência ▪ Projectos abandonados geram grandes perdas financeiras 57 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Gerir a Complexidade: ✓ O desenvolvimento tecnológico é rápido e numerosos fornecedores e soluções estão disponíveis. O domínio de TI se expandiu e envolve inúmeros provedores de serviço. Problemas Típicos: ▪ Manter a competência técnica ▪ Gerir diversas infra-estruturas tecnológicas ▪ Adaptar para mudanças rápidas e novos desenvolvimentos ▪ Gerir relacionamentos externos e provedores de serviços 58 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Alinhar TI com o Negócio: ✓ O desafio é assegurar que TI atenderá as necessidades de negócio. Em muitas organizações a distância entre a expectativa dos clientes e o que TI pode prover ainda existe. Problemas Típicos: ▪ Requerimentos de negócio pobremente definidos ▪ Falta de habilidade para determinar prioridades ▪ Complexidade dos projectos ▪ Falta de comprometimento da alta administração ▪ Falta de um claro direccionamento para soluções ▪ Problemas de comunicação entre Negócio e TI 59 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Exigências Legais: ✓ Leis e Regulamentos afectam os negócios e impactam a TI. A função de TI é estar atenta aos regulamentos tanto nacionais como internacionais. Problemas Típicos: ▪ Governança Corporativa e relatórios financeiros ▪ Privacidade e segurança ▪ Ex.: Sarbanes-Oxley, Avisos do Banco de Moçambique 60 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Segurança: ✓ O desejo de deixar a informação imediatamente disponível utilizando a tecnologia traz riscos de segurança. Os Riscos são aumentados por vários factores: ▪ A utilização de Internet e redes que expõem os sistemas internos ao mundo ▪ Ataques de Vírus e Hackers ▪ Complexidade técnica do ambiente de TI e os problemas associados de segurança ▪ Pouco conhecimento dos clientes sobre segurança da informação 61 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Áreas de Foco na Governança de TI ✓ Gestão de Recursos ✓ Gestão de Risco ✓ Mensuração de desempenho 62 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Áreas de Foco na Governança de TI ✓ Gestão de Recursos - Refere-se à melhor utilização possível dos investimentos e o apropriado gestão dos recursos críticos de TI: aplicativos, informações, infra-estrutura e pessoas. Questões relevantes referem-se à optimização do conhecimento e infra-estrutura. ✓ Gestão de Risco - Requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gestão de riscos nas actividades da companhia. 63 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Áreas de Foco na Governança de TI ✓ Mensuração de desempenho - Acompanha e monitora a implementação da estratégia, término do projecto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “Balanced Scorecards” que traduzem as estratégia em acções para atingir os objectivos, medidos através de processos contabilísticos convencionais. 64 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Áreas de Foco na Governança de TI ✓ Alinhamento Estratégico -Foca em garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização. ✓ Entrega de Valor - É a execução da proposta de valor de IT através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrando-se em optimizar custos e provendo o valor intrínseco de TI. 65 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 IT Governance Requisitos para a Governança de TI ✓ Redução de Custos ✓ Decisões de investimentos em TI ✓ Melhoria dos controlos internos ✓ Segurança e disponibilidade de serviços ✓ Equilíbrio entre investimentos, riscos e controlos ✓ Aumento da competitividade da organização ✓ Criação de uma linguagem comum entre TI e a área de negócio ✓ Comparações (Benchmarking) entre o ambiente de TI actual e futuro 66 @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 67 • Bibliografia 68 Bibliografia1. Cannon, David (2008), CISA – Certified Information Systems Auditor Study Guide, Sybex 2. Carneiro, Alberto (2002), Auditoria de sistemas de informação, FCA 3. Imoniana, Joshua Onome (2005), Auditoria de sistemas de informação, atlas 4. Livraria online www.isaca.org 5. www.amai.org.mz @Sérgio Simbine, Material produzido para os Estudantes do 2º ano do Curso de Engenharia de TSI na UJC - 2023 http://www.isaca.org/ http://www.amai.org.mz/ 69 Slide 1 Slide 2 Slide 3: Objectivos Slide 4 Slide 5: Neste Tema … Slide 6 Slide 7: Introdução Slide 8: Introdução (cont.) Slide 9: Que tipos de problemas podemos encontrar com os dados? Slide 10 Slide 11: O que são ferramentas CAAT´s Slide 12: CAAT’S Slide 13: Tipos de CAAT´s Slide 14: Tipos de CAAT´s (cont.) Slide 15: Tipos de CAATs (cont.) Slide 16: Exemplos: Slide 17: Tipos de Software de Auditoria Slide 18: Tipos de Software de Auditoria (Cont) Slide 19: Selecção da Ferramenta - Os Factores de Escolha Slide 20: Selecção da Ferramenta - Os Factores de Escolha Slide 21: Auditoria Tradicional vs CAATs Slide 22: Auditoria Tradicional vs CAATs Slide 23: Quando Usar CAATs? Slide 24: Os Software especializados de Auditoria podem facilmente executar: Slide 25: Vantagens de software especializado de auditoria Slide 26: Desvantagens no uso das CAATs Slide 27: Análise de Dados e CAAT´s - Resumo Slide 28 Slide 29: Exercícios de Concolidação Slide 30 Slide 31: IT Governance Slide 32: IT Governance Slide 33: IT Governance Slide 34: Corporate Governance Slide 35: Corporate Governance Slide 36: Corporate Governance Slide 37: Corporate Governance Slide 38: Corporate Governance Slide 39: Corporate Governance Slide 40: Corporate Governance Slide 41: Corporate Governance Slide 42: Corporate Governance Slide 43: Corporate Governance Slide 44: Corporate Governance Slide 45: Corporate Governance Slide 46: Corporate Governance Slide 47: Corporate Governance Slide 48: Corporate Governance Slide 49: Corporate Governance Slide 50: IT Governance Slide 51: IT Governance Slide 52: IT Governance Slide 53: IT Governance Slide 54: IT Governance Slide 55: IT Governance Slide 56: IT Governance Slide 57: IT Governance Slide 58: IT Governance Slide 59: IT Governance Slide 60: IT Governance Slide 61: IT Governance Slide 62: IT Governance Slide 63: IT Governance Slide 64: IT Governance Slide 65: IT Governance Slide 66: IT Governance Slide 67 Slide 68 Slide 69
Compartilhar