Abril de 2005
description
Transcript of Abril de 2005
![Page 1: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/1.jpg)
Lei Sarbanes Oxley – SOx - Lei Sarbanes Oxley – SOx - Abordagem para a auditoria de Abordagem para a auditoria de controles internos com enfoque em controles internos com enfoque em sistemassistemas
Abril de 2005
![Page 2: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/2.jpg)
2
Gerente de auditoria de sistemas, formado pela Universidade Federal da Bahia, mestrando em Ciência Forense Aplicada a Sistemas de Informação pela Escola Politécnica de São Paulo - Poli – USP;
Possui nove anos de experiência profissional na área de Auditoria Contábil e de Sistemas em empresas de grande porte, com forte atuação na área de segurança da informação com enfoque no mapeamento de processos, análise de riscos e implementação de controles.
Palestrante: Cristiano Silva Palestrante: Cristiano Silva BorgesBorges
![Page 3: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/3.jpg)
3
Agenda
• Objetivo• Objetivo
• Controles Internos• Controles Internos
• Sarbanes-Oxley• Sarbanes-Oxley
• Framework da Sox• Framework da Sox
• Framework de TI• Framework de TI
![Page 4: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/4.jpg)
4
Objetivo
Realizar uma breve apresentação sobre processos, riscos de processo, componentes de controles internos e ambiente de controles para contextualizar com os procedimentos adotados pela Sox e seu impacto no ambiente de Tecnologia da Informação – TI, bem como os modelos adotados para as analises de riscos e controles.
![Page 5: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/5.jpg)
5
O que é o Controle Interno?
É um processo sistematicamente executado pelo conselho de administração, diretoria e restante do pessoal do cliente, podendo ser informatizado ou manual.Deve ser projetado para dar uma garantia razoável de que serão atingidos os objetivos de uma ou mais das seguintes categorias: eficácia e eficiência de operações; confiabilidade de informações financeiras; cumprimento da legislação e regulamentos aplicáveis.
![Page 6: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/6.jpg)
6
Ciclo de processo para formação das DFs
Avaliação de Controles Internos
Processos
Transações
Registros Contábeis
DemonstraçõesFinanceiras
Classificado por Ciclos, como por exemplo: Vendas e Compras.
Classificadas como Rotineiras; Não
rotineiras;e Estimativas Contábeis
![Page 7: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/7.jpg)
7
Componentes do controle interno
avaliação de riscos; ambiente de controle; informações e comunicações; monitoração; atividades de controle.
![Page 8: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/8.jpg)
8
Tipos de controles
Preventivo – age para que não ocorra a falha.
Detectivo – evidencia a existência da falha.
![Page 9: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/9.jpg)
9
Categorias de Controles
Relatórios gerenciais e revisão da
gerência;
Sistemas de informação
Segregação de funções
Autorização
Configuração do Sistema
![Page 10: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/10.jpg)
10
O que é a Lei Sarbane Oxley?
Lei promulgada pelo Presidente americano Bush em 30/7/2002 tem por objetivo coibir a fraude, aumentar a responsabilidade corporativa e revelação de informações relevantes nas Demonstrações Financeiras;
Nesse mesmo ato foi criado o PCAOB – Public Company Accounting Oversight Board, para fiscalizar a atividade de auditoria.
![Page 11: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/11.jpg)
11
Quem deve se adequar aos padrões da Sox?
Todas as empresas americanas ou estrangeiras com capital aberto e ações negociadas na bolsa de valores norte americana.
![Page 12: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/12.jpg)
12
Qual o impacto da Sox sobre a área de TI?
A lei SOX em seu parágrafo 404, que trata da
avaliação dos controles internos, tem por objetivo
avaliar a efetividade dos controles internos de
uma Empresa que suportam os processos que
geram informações significativas para as
Demonstrações Financeiras;
![Page 13: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/13.jpg)
13
Qual o impacto da Sox sobre a área de TI? – Cont.
A premissa é que a confiabilidade nos relatórios
financeiros dependem significativamente de um
ambiente de TI com controles eficientes e efetivos
que suportem o ambiente de controle interno que
mitigam o risco sobre as operações da Empresa.
![Page 14: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/14.jpg)
14
Ciclo de processos para a elaboração das DF’s suportados por TI
Infra-estrutura
Aplica-ções
Proces-sos de
Negócios
Vendas;Compras;FOPAG
ERPs, Ex.: SAP, EMS
Servidores;Redes;Backup
Demons-trações
Financei-ras
BP; DRE; DOAR; DMPL;
NE
![Page 15: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/15.jpg)
15
A visão do auditor para elaboração do escopo de auditoria para a área de TI
A PCAOB aprovou o padrão de auditoria PCAOB no 2 em
março de 2004, que considera o mapeamento dos fluxos
das transações, atentando para como são:
Iniciados;
Autorizados;
Registrados;
Processados; e
Reportados.
![Page 16: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/16.jpg)
16
A visão do auditor para elaboração do escopo de auditoria para a área de TI – Cont.
A avaliação deve considerar que: Geralmente os fluxos de processos de negócios são
suportados por sistemas aplicativos que realizam o processamento de grande volume de informações;
Os controles internos operacionais derivam ou fazem parte do aplicativo;
Os controles do ambiente de TI que são compostos por: operações computacionais; acesso a programas e dados desenvolvimento de programas; e mudanças de programas.
![Page 17: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/17.jpg)
17
Aplicações
Processos
DFs
Infraestrutura
Controles de TIControles de TIOperações
computacionais;
Acesso a programas e dados;
Mudanças de programas;
Computação para usuário final
Desenvimento de programas.
Controles na Controles na AplicaçãoAplicação
IntegridadeExistênciaPrecisão
Valorização
Controles nas DFsApresentação
Obrigações & Direitos
Co
ntro
les
![Page 18: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/18.jpg)
18
Método para realização do trabalho
Adoção de um modelo de trabalho (“framework”) de controles internos
SOX COSO (Committee of the Sponsoring Organizations of the Treadway Comission). É um comitê independente, sem fins lucrativos, que estuda controles internos.
![Page 19: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/19.jpg)
19
COSO - Definições
O COSO faz definição de Controles Internos como “processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da Empresa, nas seguintes categorias:
– Eficiência e efetividade operacional (Objetivos de desempenho ou estratégia);
– Confiança nos registros contábeis/financeiros (objetivos de comunicação);
– Conformidade – com leis, políticas, normas aplicáveis à empresa e sua área de atuação.
![Page 20: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/20.jpg)
20
Método para realização do trabalho – Cont.
O COSO têm cinco componentes:
– Ambiente de Controle; – Avaliação e gerenciamento de riscos; – Atividade de Controle; – Informação e Comunicação; e – Monitoramento.
![Page 21: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/21.jpg)
21
Têm por objetivo dar parâmetro para análise de processos, implementação e monitoramento de controles internos aplicados a Empresa.
Esses parâmetros geralmente são fixados por meio de implementação de código de conduta e de procedimentos;
Disseminação da “cultura de controle”, pois o controle mais efetivo é realizado quando os funcionários conhecem suas responsabilidades.
COSO – Ambiente de Controle
![Page 22: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/22.jpg)
22
Estratégico:
−Analisar se a condução das atividades de TI objetivam suprir a necessidade das áreas operacionais e dão suporte para os controles internos mitigarem os riscos.
COSO – Avaliação e gerenciamento de riscos
Operacional:
−Avaliação dos riscos de operação de TI, como por exemplo, mudanças de programas e desenvolvimento de sistemas.
![Page 23: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/23.jpg)
23
Devem ser definidas considerando as categorias de controles para que possam ser adotadas políticas, normas e procedimentos a fim de garantir que as atividades sejam executadas de acordo com o seu desenho de processo original, ou seja, sem desvios;
Caso ocorram desvios, deve haver controles detectivos que possam identifica-los.
COSO – Atividade de controle
![Page 24: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/24.jpg)
24
COSO – Atividade de controle – Cont.
As principais atividades de controle são:– Alçadas (preventiva);– Autorização (Preventiva);– Conciliação (Detectiva);– Revisão de desempenho (Detectiva);– Segurança física (Preventiva e Detectiva);– Segregação de Funções (Preventiva);– Normatização Interna (Preventiva);– Sistemas Informatizados (Preventiva e Detectiva).
![Page 25: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/25.jpg)
25
Considera a disseminação da informação necessária ao bom andamento dos processos e controles em seus diversos níveis organizacionais.
A comunicação da informação deve ser realizada de forma prática e tempestiva.
COSO – Informação e Comunicação
![Page 26: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/26.jpg)
26
Tem por objetivo monitorar a eficiência dos controles internos ao longo do tempo;
É um indicador para avaliar se os controles internos são adequados e eficientes.
– Controles adequados são aqueles em que os cinco elementos de controles estão presentes;
– E os eficientes quando a administração tem uma razoável certeza que o objetivo do controle foi cumprido.
COSO – Monitoramento
![Page 27: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/27.jpg)
27
Utilização de “Framework” específico para TI
O COSO possui um modelo de controles internos e destaca a importância dos controles de TI, contudo, devido a sua abrangência, não trata de especificidades da área de TI;
Devido a isso, são utilizados outros modelos para avaliar processos e riscos, determinar atividades de controle e monitoramento destes.
![Page 28: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/28.jpg)
28
Utilização de “Framework” específico para TI – Cont.
Existem alguns guias de controles de TI , entre eles o ITIL – Information Technology Infrastructure Library, ISO 17799, e COBIT – Control Objectives for Information and related Technology
No Brasil, geralmente as Empresas utilizam o COBIT para organizar os processos de controles.
![Page 29: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/29.jpg)
29
COBIT
Contém 34 objetivos de controle de alto nível e 318
objetivos detalhados para os processos de TI;
Vem sendo utilizado no processo de Governança de
TI que prevê objetivos de controle de alto nível e
detalhados.
![Page 30: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/30.jpg)
30
COBIT
Está dividido em quatro domínios:– Planejamento e organização;– Aquisição e implementação;– Operação e suporte; e– Monitoramento.
![Page 31: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/31.jpg)
31 Monitoramento
Informação e Comunicação
Atividades de Controle
Avaliação de Riscos
COSO x COBIT
Ambiente de Controle
Co
mp
on
en
tes
do
CO
SO
Monito
ram
ento
Operaç
ão e
Suporte
Aquisi
ção
e
Impl
emen
taçã
o
Planej
amen
to e
Org
aniza
ção
Domínios do COBIT
![Page 32: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/32.jpg)
32
Infraestrutura
Controles de TIControles de TIOperações
computacionais;
Acesso a programas e dados;
Mudanças de programas;
Desenvolvimento de programas;
Computação para usuário final
Operações computacionaisDeterminar se há controles adequados para o backup e processo de salvaguarda e recuperação de dados operacionais, aplicações e sistemas operacionais.
![Page 33: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/33.jpg)
33
Infraestrutura
Controles de TIControles de TIOperações
computacionais;
Acesso a programas e dados;
Mudanças de programas;
Desenvolvimento de programas;
Computação para usuário final
Acesso a programas e dadosAnalisar se há gerência de segurança da informação implementada e se é seguida pelos usuários, bem como está o controle de acesso as informações.
![Page 34: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/34.jpg)
34
Infraestrutura
Controles de TIControles de TIOperações
computacionais;
Acesso a programas e dados;
Mudanças de programas;
Desenvolvimento de programas;
Computação para usuário final
Mudança de programasAnalisar se os processos de mudanças nos sistemas/aplicações possuem controles que minimizem o risco de alterações indevidas que possam causar impacto nas DF’s.
![Page 35: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/35.jpg)
35
Infraestrutura
Controles de TIControles de TIOperações
computacionais;
Acesso a programas e dados;
Mudanças de programas;
Desenvolvimento de programas;
Computação para usuário final
Desenvolvimento de programasVerificar se os processos de desenvolvimentos e aquisição possuem aprovação apropriada para colocar o sistema em produção.
![Page 36: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/36.jpg)
36
Infraestrutura
Controles de TIControles de TIOperações
computacionais;
Acesso a programas e dados;
Mudanças de programas;
Desenvolvimento de programas;
Computação para usuário final
Computação para o usuário finalVerificar se a administração implementou políticas e procedimentos para os usuários finais.
![Page 37: Abril de 2005](https://reader035.fdocumentos.com/reader035/viewer/2022070406/56814208550346895dadf1b0/html5/thumbnails/37.jpg)
37
Cristiano Silva Borges
Agradeço a atenção e coloco-me à disposição para tirar dúvidas.