Controles Internos e Auditoria de TI

Renato Braga, CISARenato Braga, CISA, CIA, CGAP

5º Governança Aplicada

Controles Internos e

Auditoria de TI

Renato Braga, CISA, CIA, CGAP

Diretor de Educação

Isaca Capítulo Brasília

Brasília, 16 de setembro de 2011

1


“Um homem que trabalha com suas mãos

é um operário; o que trabalha com suas

mãos e o seu cérebro é um artesão, e o

que trabalha com suas mãos, seu cérebro

e seu coração é um artista”.

Louis Nizer, Advogado Norte-

Americano nascido na Inglaterra.

2


Objetivo proposto

Diferenciar controles internos e auditoria de TI

até o ponto de identificar os responsáveis por

cada uma das atividades.

3


Agenda

Controles? Por quê? Para quê?

Marcos de controle

Controle interno x Auditoria Interna

Tipos de controle

Tipos de auditoria

Papel do gestor

Papel do auditor

4


Risco

Efeito da incerteza nos objetivos (ISO 31.000)

Combinação da probabilidade de um evento e

suas consequências (ISO 27.002)

5


Tratamento do risco

Evitar

Mitigar

Diminuindo a probabilidade

Diminuindo as consequências (impacto)

Transferir

Aceitar

O tratamento de riscos pode criar novos riscos ou

modificar riscos existentes (ISO 31000).

6


Por que...

... implantar controles?

Risco inerente

...auditar controles?

Risco de controle

7


Acrescentando ...

Risco inerente

Risco de controle

Risco de detecção

Risco de auditoria

8


Por que implantar controles de TI?

Vamos refletir sobre alguns casos:

O que pode ocorrer se há segregação de funções em um

processo, mas há deficiências no gerenciamento de

usuários?

O que pode ocorrer em se há controle de autorização de

uma operação, mas há compartilhamento de senhas na

organização?

Como ter razoável certeza de que a aplicação que está em

produção é a que foi homologada pelo gestor do sistema?

Como ter razoável certeza de que ao processar todas as

declarações do IRPF, nenhuma deixou de ser processada?

9


Agenda


Marcos de controle

Controle interno x Auditoria interna

Tipos de controle

Tipos de auditoria

Papel do gestor

Papel do auditor

10


COSO

Committe Of Sponsoring Organizations of the

Treadway Commission (Comitê das Organizações

Patrocinadoras).

1992 - Internal Control – Integrated Framework

(COSO I)

AICPA, IFAC, IIA, Intosai, BID, Banco Mundial e

outros reconhecem e adotam o COSO

2004 - Enterprise Risk Management – Integrated

Framework (COSO ERM ou COSO II)

11


Introdução de novos paradigmas...

COSO I:

Introduziu a noção de que controles internos devem ser

ferramentas de gestão e monitoração de riscos em

relação ao alcance de objetivos da organização e não

mais devem ser dirigidos apenas para riscos de origem

financeira ou vinculados a resultados escriturais.

COSO II:

Introduziu a noção de que se deve prever e prevenir os

riscos inerentes ao conjunto de processos da

organização que possam impedir ou dificultar o alcance

de seus objetivos.

12


Coso I

Ambiente de controle

Avaliação de riscos

Atividades de controle

Informação e

comunicação

Monitoramento

13


COSO II

14


Mais específicos ...

Cobit

NBR ABNT ISO/IEC 27.002:2005

15


Principais elementos...

Controles

Processos

Objetivos de controle

Maturidade

Entradas e saídas

RACI Chart

Domínios

PO, AI, DS, ME

16


“Popularização” do Cobit

Lei americana Sarbanes-Oxley

Section 404: Assessment of internal control

Comitê da Basiléia

Resolução-Bacen 2.554/1998

Circular-Susep 249/2004

17


Os dois lados da mesma moeda...

18


Integração de frameworks

19

COBIT

ISO 9000ISO 27002

ITIL

COSO

O quê Como

Escopo

Fonte: Apresentação de André Luiz Furtado Pacheco


Agenda


Marcos de controle


Tipos de controle

Tipos de auditoria

Papel do gestor

Papel do auditor

20


Controle

2.2 Forma de gerenciar o risco, incluindo políticas,

procedimentos, diretrizes, práticas, ou estruturas

organizacionais, que podem ser de natureza

administrativa, técnica, de gestão ou legal.

Fonte: ABNT NBR ISO/IEC 27002:2005

21


Definição de Auditoria Interna

A auditoria interna é uma atividade independente

e objetiva de avaliação (assurance) e de

consultoria, desenhada para adicionar valor e

melhorar as operações de uma organização.

Ela auxilia uma organização a realizar seus

objetivos a partir da aplicação de uma abordagem

sistemática e disciplinada para avaliar e melhorar

a eficácia dos processos de gerenciamento de

riscos, controle e governança.

Fonte: International Professional Practices Framework - IPPF

22

http://www.theiia.org/bookstore/product/international-professional-practices-framework-ippf-1368.cfm


IN-TCU 63/2010

Art.1º [...]

XV - Controles internos: conjunto de atividades, planos,

métodos, indicadores e procedimentos interligados

utilizados com vistas a assegurar a conformidade dos

atos de gestão e a concorrer para que os objetivos e

metas estabelecidos para as unidades jurisdicionadas

sejam alcançados;

23


IN-TCU 63/2010

Art.1º [...]

XVI - Órgãos de controle interno: unidades

administrativas integrantes dos sistemas de controle

interno da administração pública federal, incumbidos,

dentre outras funções, da verificação da consistência e

qualidade dos controles internos, bem como do apoio

às atividades de controle externo exercidas pelo

Tribunal.

24


IN-SFCI 01/2001

“6. Quanto maior for o grau de adequação dos

controles internos administrativos, menor será a

vulnerabilidade dos riscos inerentes à gestão

propriamente dita” (p. 69)

25

http://www.cgu.gov.br/Legislacao/Arquivos/InstrucoesNormativas/IN01_06abr2001.pdf




Controles, auditoria e análise de riscos

A escolha de quais

controles devem ser

implantados bem como

do que deve ser

auditado decorre de

análise de riscos.

26


Agenda


Marcos de controle


Tipos de controle

Tipos de auditoria

Papel do gestor

Papel do auditor

27


Tipos de controle

Preventivos

Detectivos

Corretivos

28


Tipos de controles de TI

Controles gerais de TI

Controles de aplicação

29


Controles gerais de TI

Aplicam-se a todos os componentes do sistema,

dos processos, e dos dados de uma organização

ou ambiente. Controles gerais incluem, mas não

estão limitados à políticas de segurança da

informação, de administração, de acesso e de

autenticação, de segregação de funções chaves

de TI, de gestão de aquisição e implementação

de sistemas, de gestão de mudanças, de cópias

de segurança e de continuidade do negócio.

Fonte: GTAG Information Technology Controls Auditing (tradução livre)

30


Controles de aplicação

São os que estão no escopo de processos de

negócio ou sistemas de aplicação. Eles incluem

controles como edição de dados, separação de

funções de negócio (e.g., solicitações e

autorizações), totalizações, registros de acesso, e

relatos de erros de processamento.

Fonte: GTAG Information Technology Controls Auditing (tradução livre)

31


Agenda


Marcos de controle


Tipos de controle

Tipos de auditoria

Papel do gestor

Papel do auditor

32


Tipos de auditoria

Interna x Externa

Conformidade x Operacional (NAT)

Avaliação da gestão x Acompanhamento da gestão x

Contábil x Operacional x Especial (IN-SFCI 1/2001)

Financeira x Processos x Sistemas x Ambiental x ...

33


Tendência

34

Fonte: PWC

(http://www.pwchk.com/webmedia/doc/633304575145839063_ia2012_ap_sup.pdf)


Agenda


Marcos de controle


Tipos de controle

Tipos de auditoria

Papel do gestor

Papel do auditor

35


O IIA preconiza ...

“O gestor e a alta administração são responsáveis

pelos processos de gestão de risco e controles da

organização.” (IIA, IPPF 2120-1, tradução livre)

36


A Intosai preconiza ...

“Os gestores são responsáveis pelo

estabelecimento de um efetivo ambiente de

controle na sua organização.”(Intosai, Controle Interno: Fundamentos para Prestação de Contas no

Governo, tradução livre)

“Controle interno é uma ferramenta do gestor

usada para prover razoável certeza de que os

objetivos da administração estão sendo

alcançados.”(Intosai, Orientações para Padrões de Controle Interno, tradução livre)

37


Decreto 3.591/2000

Art. 17. A sistematização do controle interno, na

forma estabelecida neste Decreto, não elimina ou

prejudica os controles próprios dos sistemas e

subsistemas criados no âmbito da APF, nem o

controle administrativo inerente a cada chefia, que

deve ser exercido em todos os níveis e órgãos,

compreendendo:

[...]

III – instrumentos de controle [...]

38


PO9 – Avaliar e gerenciar os riscos de TI

39

Fonte: Cobit 4.1


Agenda


Marcos de controle


Tipos de controle

Tipos de auditoria

Papel do gestor

Papel do auditor

40


O IIA preconiza ...

“A auditoria interna é uma atividade independente

e objetiva de avaliação (assurance) e de

consultoria, desenhada para adicionar valor e

melhorar as operações de uma organização.

Ela auxilia uma organização a realizar seus

objetivos a partir da aplicação de uma abordagem

sistemática e disciplinada para avaliar e melhorar

a eficácia dos processos de gerenciamento de

riscos, controle e governança.”(IIA, IPPF, definição de auditoria interna)

41


A Intosai preconiza ...

“Auditores são parte do modelo governamental de

controle interno, mas eles não são responsáveis

pela implementação dos procedimentos de

controle numa organização. Este trabalho é

específico do gestor.”(Intosai, Padrões de Controle Interno, tradução livre, sublinhei)

42


O IIA preconiza ...

“Os auditores internos devem possuir

conhecimento suficiente sobre os principais riscos

e controles de tecnologia da informação e sobre

as técnicas de auditoria baseadas em tecnologia

disponíveis para a execução dos trabalhos a eles

designados.

Entretanto, não se espera que todos os auditores

internos possuam a especialização de um auditor

interno cuja principal responsabilidade seja

auditoria de tecnologia da informação.”(IIA, IPPF, 1210.A3)

43


O IIA preconiza ...

“A atividade de auditoria interna deve avaliar se a

governança de tecnologia da informação da

organização dá suporte às estratégias e objetivos

da organização.”(IIA, IPPF, 2110.A2, sublinhei)

44


O IIA preconiza ...

“A atividade de auditoria interna deve avaliar a

adequação e a eficácia dos controles em resposta

aos riscos, abrangendo a governança, as operações

e os sistemas de informação da organização, com

relação a:

Confiabilidade e integridade das informações

financeiras e operacionais;

Eficácia e eficiência das operações e programas;

Salvaguarda dos ativos; e

Conformidade com leis, regulamentos, políticas e

procedimentos e contratos.”

(IIA, IPPF, 2130.A1, sublinhei)

45


Resumo


Marcos de controle


Tipos de controle

Tipos de auditoria

Papel do gestor

Papel do auditor

46


Atingimos o objetivo proposto?

Diferenciar controles internos e auditoria de TI

até o ponto de identificar os responsáveis por

cada uma das atividades.

47


“A única coisa necessária

para o triunfo do mal é que os

homens bons não façam

nada”

Edmund Burke,

estadista e filósofo britânico.

48


Grato pela atenção.

http://www.isaca-brasilia.org

[email protected]

[email protected]

49

http://www.isaca-brasilia.org/



mailto:[email protected]


