Upload
priscila-stuani
View
2.133
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
1
Curso 01Auditoria em Projetos de TI: Uma abordagem prática
Luiz Claudio Diogo Reis, CISA, MCSOCNASI/SP, 19 de Outubro 2010
Principais tópicos
� Melhores práticas e conceitos essenciais em gestão de projetos
� Estatísticas sobre falhas em projetos
� Fatores de riscos no gerenciamento de projetos de TI
� Fundamentos de auditoria de TI na gestão de projetos
� Framework de auditoria em projetos de TI
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
2
Breve currículoLuiz Claudio Diogo Reis
� Mestrando em Tecnologia – CEFET/RJ
� Pós-graduado em Auditoria Interna e de Sistemas Informatizados
� MBA em Gestão de TI e Negócios Virtuais
� Graduado em Matemática e Língua Inglesa
� MCSO - Modulo Certified Security Officer
� CISA - Certified Information System Auditor
� 12 anos de experiência em auditoria operacional, de processos e de TI
� Aplicação dos framework COBIT, ITIL, PMBOK e NBR ISO/IEC 27002
� Palestrante/instrutor do CNASI/RJ/DF/SP em 2009 e 2010
� Instrutor da Universidade Corporativa CAIXA
� Diretor Suplente ISACA – Capítulo Rio de Janeiro
� Pesquisas: Gestão de Riscos, Governança e TIC na Educação
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Conceitos essenciais em Gestão de Projetos
O que é um Projeto?
� Esforço empreendido para criar um produto, serviço ou resultado exclusivo.
� Empreendimento temporário com o objetivo de criar um produto ou serviço único.
� Processo
� Atividades
� Objetivo
O que é um Projeto de TI?
� Engloba uma solução de tecnologia.
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
3
Origem dos Projetos de TI
� Demanda do mercado
� Necessidade organizacional
� Solicitação do cliente
� Avanço tecnológico
� Exigência legal
� Necessidade social
� ...
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Projetos de TI e a Estratégia Organizacional
� Qual é a relação entre Projetos de TI e o Plano Est ratégico?
� Auxiliar a organização no atendimento da estratégia organizacional
� Qual é o papel principal da auditoria nesse process o?
� Análise de riscos RISCO ESTRATÉGICO
� Alinhamento às metas da organização
� Visa o atendimento dos resultados esperados
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
4
O que é Gerenciamento de Projetos
� Aplicação de conhecimentos, habilidades, ferramentas e técnicas às atividades do projeto a fim de atender aos seus requisitos.
� Engloba ações de planejamento, execução e acompanhamento do projeto.
Auditoria em Projetos de TI: Uma abordagem prática
Planejamento Execução Controle
SP, 19/10/2010
1
Restrições na Gestão de Projetos
Auditoria em Projetos de TI: Uma abordagem prática
Qualidade
Tempo
OBJETIVO
Incerteza
Contexto externo
Contexto interno
SP, 19/10/2010
1
5
Melhores Práticas em Gestão de Projetos
� PMBOK - Project Management Body of Knowledge
� OPM3 – Organizational Project Management Maturity Model
� PRINCE2 – Project in Controlled Environments
� P3M3 – Portfolio, Programme and Project Management Maturity Model
� CMMI – Capability Maturity Model Integration
� ISO 9001:2000 – Sistema de Gestão da Qualidade
� ISO/IEC 12207 – Processos do Ciclo de Vida do Software
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Melhores Práticas em Gestão de Projetos (Cont.)
� MR mps – Modelo Brasileiro para Melhoria do Processo de Software
� RUP – Rational Unified Process
� Gerenciamento Ágil com SCRUM
� IPMA Competence Baseline (ICB) – International Project Management Association
� Referencial Brasileiro de Competências (RBC) – Associação Brasileira de Gerenciamento de Projetos
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
6
Ciclo de Vida dos Projetos – Visão PMBOK
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
Iniciação
Planejamento
Execução
Controle
Encerramento
Planejamento
Execução
Controle
Planejamento
Execução
Controle
Encerramento
Iniciação
Planejamento
Controle
Execução
Controle
Entradas Saídas
1
Áreas de Conhecimento do PMBOK
Auditoria em Projetos de TI: Uma abordagem prática
INTEGRAÇÃO
Pessoas
Escopo
Comunicação
Tempo
Riscos
Custo
Aquisições
Qualidade
SP, 19/10/2010
1
7
Outras Considerações:
Prospectando Novos Cenários em Projetos
� Gestão da Governança
� Gestão da Ética
� Gestão da Cultura/Ambiente Organizacional
� Gestão da Sustentabilidade (Tripple Bottom Line)
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Riscos em Projetos
� Evento ou condição incerta que, se ocorrer, tem um efeito positivo ounegativo sobre ao menos um dos objetivos do projeto.
� Possibilidade de um projeto não se realizar de acordo com os objetivos(especificações, requisitos, tempo, custos, etc.) e com as condiçõesexternas. Caso ocorram desvios, estes podem ser de difícil aceitação ouaté mesmo inaceitáveis.
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
8
Principais riscos em Projetos de TI
� Estratégico, Imagem, Financeiro, Regulatório, Pessoas
�Perda de vantagem competitiva
� Atrasos na implantação de iniciativas estratégicas
� Perda de negócios estratégicos
� Impacto negativo na reputação da organização
� Rompimento de serviços aos clientes
� Perda de acionistas/investidores
� Perdas de receitas e de ROI
� Inconformidade regulamentar
� Perda de pessoal qualificado
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Riscos em Projetos
Auditoria em Projetos de TI: Uma abordagem prática
Fonte: Effective opportunity management for projects, David Hillson
SP, 19/10/2010
1
9
Sucesso e falhas em Projetos de TI
� Gartner Group
� Forrester Group
� Global IT Project Management Survey
� The Standish Group
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
SP, 19/10/2010
Falhas em Projetos de TI
Auditoria em Projetos de TI: Uma abordagem prática
1
10
Falhas em Projetos
Auditoria em Projetos de TI: Uma abordagem prática
Fonte: The CHAOS Report 2009SP, 19/10/2010
1
Avaliação de Impacto de Risco nos Principais Objeti vos do Projeto
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
Fonte: PMBOK
1
11
Falhas em Projetos de TI
Auditoria em Projetos de TI: Uma abordagem prática
020
406080
100120
Requir
emen
t s
Design
Code
Test
Mainte
nanc
e
$1 $5
$20
$50
$100
Phase when error is found and fixed
Cos
t to
Fix
($)
Fonte: Software Verification and Validation for Practitioners and Managers
SP, 19/10/2010
1
Principais fatores de sucesso em Projetos de TI
1 – Envolvimento do usuário
2 – Apoio da Alta Administração
3 – Objetivos de negócios bem definidos
4 – Maturidade emocional
5 – Otimização das entregas
6 – Processo ágil
7 – Expertise do gerente de projeto
8 – Habilidade em gerenciar recursos
9 – Execução (Metodologia de GP, Custos e Riscos)
10 – Ferramentas e infraestrutura
Auditoria em Projetos de TI: Uma abordagem prática
Fonte: The CHAOS Report 2009
AUDITORIA
SP, 19/10/2010
1
12
Gerência de Riscos de Projetos
Auditoria em Projetos de TI: Uma abordagem prática
Planejamento da gerência de riscos
Identificação dos riscos
Análise dos riscos (qualitativa e/ou quantitativa)
Planejamento de resposta a riscos
Controle e monitoração de riscos
SP, 19/10/2010
1
Auditoria e Melhores Práticas em Gestão de Projetos
� COBIT 4.1: PO10 Gerenciar Projetos
� Estabelecer um programa e uma estrutura de gestão de projeto para ogerenciamento dos projetos de TI, de forma a assegurar a priorização e acoordenação dos projetos.
Fonte: www.isaca.org
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
13
COBIT 4.1: PO10 - O Processo Gerenciar Projetos
PO10 Gerenciar Projetos� PO10.1 Estrutura de Gestão de Programas
� PO10.2 Estrutura de Gestão de Projetos
� PO10.3 Abordagem da Gestão de Projetos
� PO10.4 Comprometimento das Partes Interessadas
� PO10.5 Declaração do Escopo do Projeto
� PO10.6 Fase de Início do Projeto
� PO10.7 Plano Integrado de Projeto
� PO10.8 Recursos do Projeto
� PO10.9 Gestão de Risco do Projeto
� PO10.10 Plano de Qualidade de Projeto
� PO10.11 Controle de Mudança de Projeto
� PO10.12 Planejamento de Métodos de Validação
� PO10.13 Medição de Desempenho, Monitoramento e Reporte do Projeto
� PO10.14 Conclusão do Projeto
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
Fonte: www.isaca.org
1
Propósitos e benefícios do processo "Auditar Projet os"
� Identificação tempestiva dos riscos (fases preliminares)
� Avaliação independente acerca do atingimento do objetivo do projeto
� Agregar valor ao avaliar a efetividade da gestão do projeto (TI e Negócios)
� Aplicabilidade dos princípios de governança, gestão de riscos e controle (GRC em Projetos)
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
14
Por que auditar Projetos de TI?
� Atividades que envolvem ...
� Complexidade que impacta o negócio e TI
� Alto investimento financeiro
� Processo sistêmico de gestão de riscos, em especial o ESTRATÉGICO
� Realização de objetivos estratégicos da organização
� Automatização e melhoria de processos essenciais
� Adequação a requerimentos legais
� Realização de novos negócios
� ...
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Planejamento de auditoria em Projetos de TI
� Premissas ...
� Top down approach (Audit Charter)
� Derivado do planejamento global das atividades de auditoria
� Plano envolvendo aspectos organizacionais e de TI
� Foco: riscos dos projetos, controle interno e metodologia degerenciamento de projetos
� Trilogia: pessoas, processos e tecnologia
� Identificação dos projetos "auditáveis" e por quê (atributos)
� Tipo de abordagem de auditoria a ser utilizada
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
15
Etapas do Planejamento de Auditoria em Projetos de TI
Auditoria em Projetos de TI: Uma abordagem prática
Gestão de Projetos
Universo de Projetos de TI
Processo de Avaliação de
Risco
Formaliza o Plano de auditoria
Metodologia de Gerenciamento de Projetos
Estrutura de governança
Identificação dos projetos
Geração de lista
Identificação, análise e avaliação de fatores de riscos
Ranking de projetos por fatores de riscos
Plano estruturado de auditoria em riscos
Seleção dos projetos para auditagem
Utilização de uma abordagem de auditoria apropriada
SP, 19/10/2010
Cenário impactante/dificultador para a auditoria
� Indisponibilidade de um inventário completo e acurado
� Projetos dispersos pela organização
� Falta de implantação de um processo de governança em projetos
� Excesso de confiança da gerência de projeto
� Falta de conhecimento acerca do papel da auditoria na gestão de projetos
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
16
Princípios, práticas e guias de auditoria na Gestão de Proje tos
� Definição do papel: Assurance ou consultoria
� Atuação com independência e imparcialidade
� Momento de atuação considerando as etapas do GP e do SDLC
� ISACA - G17 Effect of non-audit roles on the IS Auditor`s independence
� ISACA - G23 System Development Life Cycle (SDLC) Review Reviews
� ISACA - G29 Post-implementation Review
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Do ponto de vista da auditoria externa ...
� Impacto nos projetos da organização
� Aspectos Financeiros
� Aspectos Regulamentares
� Aspectos Organizacionais
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
17
Tipos de Auditoria em Projetos de TI
� Avaliação dos riscos dos projetos
� Pontuais (Pré-lançamento ou "marcos" do projeto)
� Ao longo das fases do ciclo de vida do projeto
� Metodologia de Gerenciamento de Projetos
� Implantação
� Pós-implantação
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
SP, 19/10/2010
Auditoria em Projetos de TI: Uma abordagem prática
Pós
-impl
anta
ção
Impl
anta
ção
Met
odol
ogia
de
Ges
tão
de P
roje
tos
Des
envo
lvim
ento
daS
oluç
ãode
TI
Governança, Risco e Controle
Bus
ines
s C
ase
and
IT A
lignm
ent
Gestão da Capacidade Organizacional
Framework de Auditoria na Gestão de Projetos de TI
1
18
Visão Sistêmica dos Componentes do Framework
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
Gestão do Portfólio de Programas
Governança, Risco e Controle
Gestão da Capacidade Organizacional
Business Case and IT Alignment
Metodologia de Gerenciamento de
Projetos
Planejamento
Gerenciamento de Riscos
Estrutura e Gestão- Interna e de Terceiros
Indicadores de desempenho
Desenvolvimento da Solução técnica de TI
Requisitos
Segurança
Testes
Implantação Pós-implantação
1
Auditoria em Projetos de TI: Uma abordagem prática
Finanças Logística PessoalMarketing
Negócios, Processos e Atividades
Projetos de TI
Aplicações Infraestrutura Upgrade Inovação
Metodologia de Gerenciamento de Projetos
Contexto InternoPMO Stakeholders
Práticas de Gerenciamento de Projetos
SDLCRAD Estruturada OO
Alinhamento entre
Negócio e TI
Políticas
Estrutura
Controles:• Acesso Lógico• Processamento• BD• Transmissão
19
Principais objetivos do Framework
� Avaliar a adequação do processo de gestão de projetos da organizaçãoao longo do seu ciclo de vida, com ênfase para as atividades deaprovação, gerenciamento e o relacionamento com as diversas partesinteressadas, de forma determinar se os projetos incorporam oselementos essenciais para serem bem sucedidos.
� Determinar se os business cases identificam claramente os resultadosesperados dos projetos e como eles ajudam a satisfazer, a um custorazoável, as necessidades de negócios.
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Gestão do Portfólio de Programas
Aspectos relevantes:
� Representa o conjunto de projetos vigentes na organização
� Auxilia nas tarefas de gestão dos projetos
� Propicia o alinhamento dos projetos à estratégia
� Acompanha a utilização dos recursos nos projetos
� Constitui um mix de projetos para a gestão de riscos (Indicadores)
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
20
Governança, Risco e Controle
Aspecto relevante:
� Há processos e procedimentos estruturados para aprovare gerir os projetos de TI?
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Gestão da Capacidade Organizacional
Aspectos relevantes:
�Será que a área de TI tem pessoas com experiência e habilidadesnecessárias para gerenciar o projeto?
�Será que a organização (unidade de negócio) tem a capacidade deutilizar todos os recursos do sistema implementado pelo projeto paramelhorar a maneira que faz o negócio?
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
21
Gestão da Capacidade Organizacional
Outras considerações:
� Engloba as atividades de TI e Negócio
� Não pode ser subestimado desde o início do projeto
� Como o projeto irá mudar a forma como as pessoas trabalham
� Identificação do público alvo
� Treinamento dos colaboradores
� Como se dará o gerenciamento da mudança na organização
� Importância da comunicação entre as partes envolvidas no projeto
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Bussiness Case
O resultado de um "Bcase" de qualidade é uma decisão tomada pelagerência baseada em uma correta e completa análise do projeto denegócio proposto no atual ambiente da organização.
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
22
Bussiness Case
Aspectos relevantes:
�O "Bcase" fornece informações suficientes para tomada de decisão segura acercado investimento?
�A organização tem a capacidade de mudança, os recursos e as habilidades parater sucesso no projeto descrito no "Bcase"?
�Houve consulta e participação ativa dos stakeholders em termos de requisitos eresultados esperados do projeto para a construção do Bcase?
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Bussiness Case
Questões complementares:
� O Bcase está alinhado à estratégia organizacional
� Os benefícios do projeto compensam o investimento
� O resultado do projeto está definido
� Foi efetuada uma análise de risco
� Foi efetuado um estudo de viabilidade para o projeto
� O escopo do projeto está claramente definido
� Há definição de critérios de desempenho para o projeto
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
23
Bussiness Case
Questões complementares:
� Foram identificados os fatores determinantes para realização do Bcase
� Há expertise no desenvolvimento do projeto pelas pessoas envolvidas
� Qual é o impacto de não executar o projeto?
Alinhamento entre TI e Negócio:
� Há alinhamento entre as atividades de TI e a necessidade de Negócio. E mais...
� O alinhamento entre TI e Negócio é mantido ao longo do projeto
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Metodologia de Gerenciamento de Projetos
Considerações iniciais:
�É baseada nas melhores práticas
�Contempla métodos, padrões, políticas, estruturas, atribuições eresponsabilidades
�Permeia a gestão de portfólios de programas e funciona como um alicerce paracada projeto individual
�É ajustada ao porte do projeto (tamanho, tipo, necessidade).
�Contempla indicadores de desempenho para os projetos
�Suporta um repositório de lições aprendidas
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
24
Metodologia de Gerenciamento de Projetos
Aspectos relevantes:
�Será que a organização utilizada as melhores práticas de gestão deprojetos para as atividades de gerenciamento?
Principais norteadores:
� Planejamento do Projeto
� Gerenciamento de Riscos
� Estrutura e Gestão
� Indicadores de Desempenho
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Metodologia de Gerenciamento de Projetos:
Planejamento
Aspectos relevantes
�O processo de planejamento de projetos é capaz de identificar adequadamenteos riscos, as tarefas, as estimativas de tempo, os resultados, as metas e osrecursos/competências necessárias para concluir o projeto?
�O processo de planejamento do projeto considera se os participantes do projetosão adequadamente treinados no desenvolvimento de projetose na metodologia de gestão?
�A gestão previu treinamento oportuno para os usuários de negócios e de TI no desenvolvimento e na utilização do sistema?
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
25
Metodologia de Gerenciamento de Projetos:
Planejamento
Questões complementares:
� A falta de um planejamento adequado pode gerar falhas no projeto
� Há de se elaborar um plano completo, entendido e apoiado por todos osstakeholders, considerando as restriçoes do projeto e as entregas
� Previsão de treinamento das pessoas ao longo do ciclo de vida do projeto
� A equipe do projeto possui habilidades na metodologia utilizada
� Há uma infraestrutura apropriada para a gestão do projeto
� Há previsão de testes de aceitação dos usuários
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
Metodologia de Gerenciamento de Projetos:
Gerenciamento de Riscos
Aspectos relevantes
�Existe um processo eficaz capaz de permitir a identificação, o controle e acomunicação dos riscos do projeto para auxiliar a tomada de decisão dagerência?
�Há um processo efetivo implementado para lidar com mudanças previstas e paragerenciar as alterações de escopo?
�Há um processo efetivo implementado para identificar e resolver conflitos noprojeto que possam surgir durante ciclo de vida do projeto?
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
26
Metodologia de Gerenciamento de Projetos:
Gerenciamento de Riscos
Questões complementares:
� Parte integrante do processo de gerenciamento do projeto
� Processo de identificação e monitoramento de riscos (contexto interno e externo)
� Há identificação dos tipos de riscos (de negócios, de tecnologia, do produto, etc.)
� Há procedimentos de controle de mudança de escopo
� Há um processo de gestão de mudanças ao longo do projeto para avaliar oimpacto nos requisitos
� Há um processo para resolução de conflitos.
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
Metodologia de Gerenciamento de Projetos:
Estrutura e Gestão
Gestão Interna: Aspectos relevantes
�Existem processos para garantir que todas as funções, papéis eresponsabilidades do projeto estão definidas e foram identificadas, alémdisso, os papéis e as responsabilidades de todos participantes do projetotêm sido efetivamente atribuídos, comunicados e monitorados?
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
27
Metodologia de Gerenciamento de Projetos:
Estrutura e Gestão
Gestão Interna: Questões complementares:
� A estrutura de gestão do projeto está adequada ao porte do projeto
� Há identificação e participação das partes envolvidas com o projeto
� Há definição de atribuições e responsabilidades
� Há motivação da equipe do projeto pela gerência
� Há acompanhamento tempestivo do projeto
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
Metodologia de Gerenciamento de Projetos:
Estrutura e Gestão
Gestão de Terceiros: Aspectos relevantes
�Existem procedimentos para assegurar que a gestão de terceiros está alinhada àorganização?
�Há processos em andamento para garantir que a operacionalização dos serviçosterceirizados e controle interno de entregas são planejados, comunicados eacordados entre as partes?
�Há processos implantados para garantir a transferência de conhecimento?
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
28
Metodologia de Gerenciamento de Projetos:
Estrutura e Gestão
Gestão de Terceiros: Questões complementares
� Há um processo de qualificação do provedor de serviço
� A gerência de relacionamento funciona como um fator chave de sucessopara negociação das entregas e atendimento do cronograma
� Foi implementado um processo contínuo de transferência deconhecimento durante o ciclo de vida do projeto
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
Metodologia de Gerenciamento de Projetos:
Indicadores de Desempenho
Aspectos relevantes:
�Como é que a organização assegura que as competências necessárias,experiências, informações oportunas e ferramentas de gerenciamento de projetosestão em curso para controlar e medir a performance do projeto?
�Como é que a Alta Administração e o Conselho são comunicados, em tempohábil, acerca do progresso do projeto, mudanças no apetite de risco e demaisquestões emergentes?
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
29
Metodologia de Gerenciamento de Projetos:
Indicadores de Desempenho
Questões complementares:
� Comunicação oportuna do status do projeto
� "Red flags" devem ser acionados tempestivamente para tomada dedecisão
� Adoção do PMO – Project Manangement Officer
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
Desenvolvimento da Solução Técnica de TI
Aspectos relevantes em termos de SI:
� Elaboração de requisitos funcionais e não funcionais
� Assegurar que o desenho de solução que atenda aos requerimentos de negócio
� Assegurar o desenvolvimeto de solução segura
� Teste! Teste! Teste! – Plano estratégico de testes
� Assegurar um processo formal de aprovação do usuário
Auditoria em Projetos de TI: Uma abordagem prática
Requerimento Desenho Codificação Teste Implantação Manutenção
1SP, 19/10/2010
30
Implantação
Aspectos relevantes:
�Há uma gestão de marcos críticos identificados e desenvolvidos e um efetivoprocesso formal, incluindo critérios claros para fornecer decisões de implantaçãona conclusão de cada etapa do projeto?
�Que contingências e estratégias de "fall-back" têm sido desenvolvidas paramitigar o risco dos níveis de serviço a clientes, no caso de falha de umaimplementação?
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
Pós-implantação
Aspectos relevantes:
�Existe uma definição clara da conclusão do projeto para garantir que a equipe doprojeto seja dissolvida no momento certo?
�Há planos para realizar uma comparação final de reais custos e benefíciosalcançados com o caso original do negócio proposto?
�Existe um processo em vigor para a organização capturar significativa liçõesaprendidas durante a vida do projeto, a fim para atenuar os riscos para osprojetos futuros?
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
31
Pós-implantação
Questões complementares:
� Estabelecimento de um período de estabilidade (transição), de três a seis meses
� Identificação de indicadores até o período de normalidade
� Identificação dos riscos (resistência a mudanças, as pessoas efetivamenteentendem o sistema e suas funções)
� Como vai se dá a implementação de novos processos
� Identificação de serviços a desenvolver pela equipe do projeto
� Retenção do conhecimento do projeto – "Lessons learned" para serem utilizadasem projetos futuros
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Momentos cruciais de atuação da auditoria no proces so...
� Na fase final do processo de negócios e/ou análise do plano de projeto, ou nomínimo, antes que sejam investidos recursos significativos.
� Ao longo do ciclo de vida do projeto, a intervalos regulares, particularmente emmarcos do projeto, para garantir que o projeto irá atender os objetivos do negócio,mitigar os riscos e garantir o retorno sobre o investimento.
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
32
Possíveis achados de auditoria
� Falhas na definição de requisitos de negócio
� Falta de apoio da alta administração da organização, da gerência sênior e dos proprietários do projeto
� Falta de recursos experientes nas equipes de projeto
� Falta de envolvimento efetivo por parte dos usuários
� Falta de controle sobre as aprovações em cada etapa do SDLC
� Falta de um plano de testes estruturado
� ...
� ...
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
Considerações Finais:
�AchievingAchievingAchievingAchieving successsuccesssuccesssuccess isisisis aaaa significantsignificantsignificantsignificant challengechallengechallengechallenge forforforfor management,management,management,management, asasasaswellwellwellwell asasasas forforforfor thethethethe boardboardboardboard ofofofof directorsdirectorsdirectorsdirectors inininin theirtheirtheirtheir oversightoversightoversightoversight rolerolerolerole.... AndAndAndAndwhatwhatwhatwhat aboutaboutaboutabout (us)(us)(us)(us) auditors?auditors?auditors?auditors?
� Avaliar o gerenciamento de riscos, ROI e diretrizes estratégicas da organização
� Agregar esforços (independente) para atuar como parceiro na gestão de projetos
Auditoria em Projetos de TI: Uma abordagem prática
1SP, 19/10/2010
33
Conclusão/Reflexão:
� Quando devemos auditar os projetos?
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
020
406080
100120
Require
men
ts
Design
Code
Test
Mai
nten
ance
$1 $5
$20
$50
$100
Phase when error is found and fixed
Cos
t to
Fix
($)
1
Auditoria em Projetos de TI: Uma abordagem prática
SP, 19/10/2010
1
34
Obrigado!Luiz Claudio Diogo Reis, CISA, MCSO
[email protected], lcdreis (Skype)[email protected]
[email protected](21)9954-4789
SP, 19/10/2010