Controles de tecnologia da informação - Information technology controls

Em negócios e contabilidade , os controles de tecnologia da informação (ou controles de TI ) são atividades específicas realizadas por pessoas ou sistemas projetados para garantir que os objetivos de negócios sejam atendidos. Eles são um subconjunto do controle interno de uma empresa . Os objetivos de controle de TI estão relacionados à confidencialidade, integridade e disponibilidade de dados e ao gerenciamento geral da função de TI da empresa. Os controles de TI são frequentemente descritos em duas categorias: controles gerais de TI ( ITGC ) e controles de aplicativos de TI. O ITGC inclui controles sobre o ambiente de Tecnologia da Informação (TI), operações de computador, acesso a programas e dados, desenvolvimento de programas e alterações de programas. Os controles de aplicativos de TI referem-se aos controles de processamento de transações, às vezes chamados de controles de "entrada-processamento-saída". Os controles de tecnologia da informação ganharam maior destaque nas empresas listadas nos Estados Unidos pela Lei Sarbanes-Oxley . O COBIT Framework (Objetivos de Controle para Tecnologia da Informação) é um framework amplamente utilizado e promulgado pelo IT Governance Institute, que define uma variedade de ITGC e objetivos de controle de aplicativos e abordagens de avaliação recomendadas. Os departamentos de TI nas organizações geralmente são liderados por um diretor de informações (CIO), que é responsável por garantir a utilização de controles eficazes de tecnologia da informação.

Controles gerais de TI (ITGC)

O ITGC representa a base da estrutura de controle de TI. Eles ajudam a garantir a confiabilidade dos dados gerados pelos sistemas de TI e apoiam a afirmação de que os sistemas operam conforme o esperado e que a saída é confiável. O ITGC geralmente inclui os seguintes tipos de controles:

Controles de aplicativos de TI

Os controles de aplicativos ou programas de TI são totalmente automatizados (ou seja, executados automaticamente pelos sistemas) projetados para garantir o processamento completo e preciso dos dados, desde a entrada até a saída. Esses controles variam de acordo com o objetivo comercial do aplicativo específico. Esses controles também podem ajudar a garantir a privacidade e a segurança dos dados transmitidos entre os aplicativos. As categorias de controles de aplicativos de TI podem incluir:

  • Verificações de integridade - controles que garantem que todos os registros foram processados ​​desde o início até a conclusão.
  • Verificações de validade - controles que garantem que apenas dados válidos sejam inseridos ou processados.
  • Identificação - controles que garantem que todos os usuários sejam identificados de forma única e irrefutável.
  • Autenticação - controles que fornecem um mecanismo de autenticação no sistema de aplicativo.
  • Autorização - controles que garantem que apenas usuários de negócios aprovados tenham acesso ao sistema de aplicativo.
  • Controles de entrada - controles que garantem a integridade dos dados alimentados de fontes upstream no sistema do aplicativo.
  • Controles forenses - controle que garante que os dados sejam cientificamente corretos e matematicamente corretos com base nas entradas e saídas

Controles de TI e o CIO / CISO

O Chief Information Officer (CIO) ou Chief Information Security Officer (CISO) da organização é normalmente responsável pela segurança , precisão e confiabilidade dos sistemas que gerenciam e relatam os dados da empresa, incluindo dados financeiros. Os sistemas de contabilidade financeira e planejamento de recursos empresariais são integrados na iniciação, autorização, processamento e relatório de dados financeiros e podem estar envolvidos na conformidade com a Sarbanes-Oxley, na medida em que mitigam riscos financeiros específicos.

Estruturas de controle interno

COBIT (Objetivos de Controle para Tecnologia da Informação)

COBIT é um framework amplamente utilizado que contém as melhores práticas para a governança e gestão da informação e tecnologia, voltado para toda a empresa. Consiste em domínios e processos. A estrutura básica indica que os processos de TI atendem aos requisitos de negócios, que são habilitados por atividades de TI específicas. O COBIT define os fatores de design que devem ser considerados pela empresa para construir um sistema de governança mais adequado. O COBIT aborda questões de governança agrupando componentes de governança relevantes em objetivos de governança e gerenciamento que podem ser gerenciados para os níveis de capacidade exigidos.

COSO

O Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) identifica cinco componentes de controle interno: ambiente de controle , avaliação de risco , atividades de controle , informação e comunicação e monitoramento , que precisam estar em vigor para atingir os objetivos de relatórios financeiros e divulgação; O COBIT fornece uma orientação detalhada semelhante para TI, enquanto o Val IT inter-relacionado se concentra em governança de TI de nível superior e questões de valor pelo dinheiro. Os cinco componentes do COSO podem ser visualizados como as camadas horizontais de um cubo tridimensional, com os domínios do objetivo COBIT aplicando-se a cada um individualmente e em conjunto. Os quatro domínios principais do COBIT são: planejar e organizar, adquirir e implementar, entregar e apoiar e monitorar e avaliar.

Controles de TI e Lei Sarbanes-Oxley (SOX)

A SOX (parte da lei federal dos Estados Unidos ) exige que o CEO e os diretores financeiros das empresas públicas atestem a exatidão dos relatórios financeiros (Seção 302) e exige que as empresas públicas estabeleçam controles internos adequados sobre os relatórios financeiros (Seção 404). A aprovação da SOX resultou em um foco maior nos controles de TI, uma vez que estes suportam o processamento financeiro e, portanto, se enquadram no escopo da avaliação de controle interno da administração de acordo com a Seção 404 da SOX.

A estrutura COBIT pode ser usada para auxiliar na conformidade com a SOX, embora o COBIT seja consideravelmente mais amplo em escopo. A orientação SOX de 2007 do PCAOB e da SEC afirma que os controles de TI só devem fazer parte da avaliação SOX 404 na medida em que riscos financeiros específicos são tratados, o que reduz significativamente o escopo dos controles de TI exigidos na avaliação. Esta decisão de escopo faz parte da avaliação de risco de cima para baixo SOX 404 da entidade . Além disso, as Declarações sobre Normas de Auditoria nº 109 (SAS109) discute os riscos de TI e objetivos de controle pertinentes a uma auditoria financeira e é referenciada pela orientação SOX.

Os controles de TI que normalmente se enquadram no escopo de uma avaliação SOX 404 podem incluir:

  • Procedimentos de controle de aplicativos específicos (processamento de transações) que mitigam diretamente os riscos de relatórios financeiros identificados. Normalmente existem alguns desses controles nos principais aplicativos de cada processo financeiro, como contas a pagar, folha de pagamento, contabilidade, etc. O foco está nos controles "principais" (aqueles que tratam especificamente de riscos), não em todo o aplicativo.
  • Controles gerais de TI que apóiam as afirmações de que os programas funcionam conforme planejado e que os principais relatórios financeiros são confiáveis, principalmente controle de alterações e controles de segurança;
  • Controles de operações de TI, que garantem que os problemas de processamento sejam identificados e corrigidos.

As atividades específicas que podem ocorrer para apoiar a avaliação dos principais controles acima incluem:

  • Compreender o programa de controle interno da organização e seus processos de relatórios financeiros .
  • Identificar os sistemas de TI envolvidos na iniciação, autorização, processamento, sumarização e comunicação de dados financeiros;
  • Identificar os principais controles que tratam de riscos financeiros específicos;
  • Desenhar e implementar controles projetados para mitigar os riscos identificados e monitorá-los para eficácia contínua;
  • Documentar e testar controles de TI;
  • Garantir que os controles de TI sejam atualizados e alterados, conforme necessário, para corresponder às mudanças nos controles internos ou processos de relatórios financeiros; e
  • Monitorar os controles de TI para uma operação eficaz ao longo do tempo.

Para cumprir a Sarbanes-Oxley, as organizações devem entender como funciona o processo de relatório financeiro e devem ser capazes de identificar as áreas onde a tecnologia desempenha um papel crítico. Ao considerar quais controles incluir no programa, as organizações devem reconhecer que os controles de TI podem ter um impacto direto ou indireto no processo de relatório financeiro. Por exemplo, os controles de aplicativos de TI que garantem a integridade das transações podem estar diretamente relacionados às afirmações financeiras. Os controles de acesso, por outro lado, existem nesses aplicativos ou em seus sistemas de suporte, como bancos de dados , redes e sistemas operacionais , são igualmente importantes, mas não se alinham diretamente a uma afirmação financeira. Os controles de aplicativos geralmente estão alinhados a um processo de negócios que dá origem a relatórios financeiros. Embora existam muitos sistemas de TI operando em uma organização, a conformidade com a Sarbanes-Oxley se concentra apenas naqueles que estão associados a uma conta significativa ou processo de negócios relacionado e mitiga riscos financeiros materiais específicos. Esse foco no risco permite que o gerenciamento reduza significativamente o escopo dos testes de controle geral de TI em 2007 em relação aos anos anteriores.

Seção
Título
Descrição
302 Responsabilidade Corporativa por Relatórios Financeiros Certifica que a exatidão das demonstrações financeiras e as atividades operacionais foram documentadas e fornecidas ao CEO e CFO para certificação
404 Avaliação de gerenciamento de controles internos Os processos operacionais são documentados e praticados demonstrando as origens dos dados no balanço patrimonial. A seção 404 da SOX (Lei Sarbanes-Oxley, seção 404) determina que todas as empresas de capital aberto devem estabelecer controles e procedimentos internos para relatórios financeiros e documentar, testar e manter esses controles e procedimentos para garantir sua eficácia.
409 Divulgações do emissor em tempo real As empresas públicas devem divulgar as mudanças em sua condição financeira ou operações em tempo real para proteger os investidores de atrasos na divulgação de eventos relevantes
802 Penalidades criminais por alteração de documentos Exige que as empresas públicas e suas firmas de contabilidade pública mantenham registros, incluindo registros eletrônicos que afetam os ativos ou o desempenho da empresa.

Multas e prisão para aqueles que intencionalmente e intencionalmente violarem esta seção com relação a (1) destruição, alteração ou falsificação de registros em investigações federais e falência e (2) destruição de registros de auditoria corporativa.

Divulgação em tempo real

A seção 409 exige que as empresas públicas divulguem informações sobre mudanças materiais em suas condições financeiras ou operações rapidamente. As empresas precisam determinar se seus sistemas financeiros existentes, como aplicativos de gerenciamento de recursos corporativos, são capazes de fornecer dados em tempo real ou se a organização precisará adicionar esses recursos ou usar software especializado para acessar os dados. As empresas também devem levar em conta as mudanças que ocorrem externamente, como mudanças por clientes ou parceiros de negócios que podem impactar materialmente sua própria posição financeira (por exemplo, falência e inadimplência de clientes / fornecedores importantes).

Para cumprir a Seção 409, as organizações devem avaliar suas capacidades tecnológicas nas seguintes categorias:

  • Disponibilidade de portais internos e externos - os portais ajudam a encaminhar e identificar questões e requisitos de relatórios para investidores e outras partes relevantes. Esses recursos atendem à necessidade de divulgação rápida.
  • Amplitude e adequação dos gatilhos financeiros e alerta - A organização define os cabos de disparo que darão início a um evento de divulgação da Seção 409.
  • Adequação dos repositórios de documentos - os repositórios desempenham um papel crítico para o monitoramento de eventos para avaliar as necessidades de divulgação e fornecer mecanismo para auditar a adequação da divulgação.
  • Capacidade de ser um dos primeiros a adotar o Extensible Business Reporting Language (XBRL) - o XBRL será uma ferramenta chave para integrar e fazer interface com sistemas transacionais, relatórios e ferramentas analíticas, portais e repositórios.

Seção 802 e retenção de registros

A seção 802 da Sarbanes-Oxley exige que as empresas públicas e suas firmas de contabilidade pública mantenham todos os papéis de trabalho de auditoria ou revisão por um período de cinco anos a partir do final do exercício fiscal em que a auditoria ou revisão foi concluída. Isso inclui registros eletrônicos que são criados, enviados ou recebidos em conexão com uma auditoria ou revisão. Como os auditores externos dependem, até certo ponto, do trabalho da auditoria interna, isso implicaria que os registros da auditoria interna também devem estar em conformidade com a Seção 802.

Em conjunto com a retenção de documentos, outra questão é a segurança da mídia de armazenamento e como os documentos eletrônicos são protegidos para uso atual e futuro. O requisito de retenção de registros de cinco anos significa que a tecnologia atual deve ser capaz de suportar o que foi armazenado há cinco anos. Devido às rápidas mudanças na tecnologia, algumas das mídias de hoje podem ficar desatualizadas nos próximos três ou cinco anos. Os dados de auditoria retidos hoje podem não ser recuperáveis, não por causa da degradação dos dados, mas por causa de equipamentos e mídias de armazenamento obsoletos.

A Seção 802 espera que as organizações respondam a perguntas sobre o gerenciamento de conteúdo SOX. As questões relacionadas a TI incluem políticas e padrões sobre retenção, proteção e destruição de registros, armazenamento online, trilhas de auditoria, integração com um repositório corporativo, tecnologia de mercado, software SOX e muito mais. Além disso, as organizações devem estar preparadas para defender a qualidade de seu programa de gerenciamento de registros (MR); abrangência do RM (ou seja, comunicações em papel, eletrônicas e transacionais, que incluem e-mails , mensagens instantâneas e planilhas usadas para analisar os resultados financeiros), adequação do ciclo de vida de retenção, imutabilidade das práticas de RM, trilhas de auditoria e acessibilidade e controle de RM contente.

Aplicativos do usuário final / controles de planilha

Planilhas ou bancos de dados baseados em PC são freqüentemente usados ​​para fornecer dados ou cálculos críticos relacionados a áreas de risco financeiro dentro do escopo de uma avaliação SOX 404. As planilhas financeiras são frequentemente categorizadas como ferramentas de computação do usuário final (EUC) que historicamente não têm os controles de TI tradicionais. Eles podem suportar cálculos complexos e fornecer flexibilidade significativa. No entanto, com flexibilidade e poder vem o risco de erros, um potencial aumentado de fraude e uso indevido de planilhas críticas que não seguem o ciclo de vida de desenvolvimento de software (por exemplo, projetar, desenvolver, testar, validar, implantar). Para corrigir e controlar planilhas, as organizações públicas podem implementar controles como:

  • Planilhas de inventário e classificação de risco relacionadas a riscos financeiros críticos identificados como no escopo da avaliação SOX 404. Normalmente se relacionam com as principais estimativas e julgamentos da empresa, onde cálculos e premissas sofisticados estão envolvidos. As planilhas usadas apenas para fazer download e upload são menos preocupantes.
  • Execute uma análise baseada em risco para identificar erros de lógica da planilha. Existem ferramentas automatizadas para este propósito.
  • Certifique-se de que os cálculos da planilha estejam funcionando como pretendido (ou seja, "linha de base" deles).
  • Certifique-se de que as alterações nos cálculos principais sejam aprovadas de maneira adequada.

A responsabilidade pelo controle das planilhas é uma responsabilidade compartilhada com os usuários de negócios e TI. A organização de TI normalmente se preocupa em fornecer uma unidade compartilhada segura para armazenamento de planilhas e backup de dados. O restante é da responsabilidade do pessoal de negócios.

Veja também

Referências

  1. ^ COBIT 2019, objetivos de governança e gestão, p.9
  2. ^ Padrão de auditoria PCAOB No 5
  3. ^ Orientação interpretativa SEC
  4. ^ "Declaração AICPA sobre Normas de Auditoria No. 109" (PDF) . Arquivo do original (PDF) em 07-04-2008 . Página visitada em 01-09-2007 .
  • Coe, Martin J. "Serviços de confiança: uma maneira melhor de avaliar os controles de TI: cumprindo os requisitos da seção 404." Journal of Accountancy 199.3 (2005): 69 (7).
  • Chan, Sally e Stan Lepeak. "TI e Sarbanes-Oxley." CMA Management 78.4 (2004): 33 (4).
  • Goodwin, Bill. "A TI deve liderar a Sarbanes-Oxley." Computer Weekly 27 de abril de 2004: p5.
  • Gomolski, Barbara. "Os cinco principais problemas para os CIOs." Computerworld janeiro de 2004: 42 (1).
  • Hagerty, John. "Sarbanes-Oxley agora é um fato da vida dos negócios - A pesquisa indica que os gastos com conformidade de TI da SOX aumentarão até 2005." VARbusiness, 15 de novembro de 2004: 88.
  • Altiris.com
  • "Objetivos de controle de TI para a Lei Sarbanes Oxley: a importância da TI no projeto, implementação e sustentabilidade do controle interno sobre divulgações e relatórios financeiros." itgi.org . Abril de 2004. IT Governance Institute. 12 de maio de 2005
  • Johnston, Michelle. "Executando uma auditoria de TI para conformidade com a Sarbanes-Oxley." informit.com . 17 de setembro de 2004
  • Lurie, Barry N. "Tecnologia da informação e conformidade com a Sarbanes-Oxley: o que o CFO deve entender." Bank Accounting and Finance 17.6 (2004): 9 (5).
  • McCollum, Tim. "IIA Seminar Explores Sarbanes-Oxley IT Impact." Auditoria de TI 6 (2003).
  • McConnell Jr., Donald K e George Y. Banks. "Como a Sarbanes-Oxley mudará o processo de auditoria." aicpa.org (2003).
  • Munter, Paul. "Avaliando Controles Internos e Independência do Auditor sob Sarbanes-Oxley." Financial Executive 19,7 (2003): 26 (2).
  • “Perspectives on Internal Control Reporting: A Resource for Financial Market Participants." Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP. Dezembro de 2004.
  • Piazza, Peter. "Requisitos de segurança de TI da Sarbanes-Oxley." Security Management, junho de 2004: 40 (1).
  • "Sarbanes-Oxley Seção 404: Uma visão geral dos requisitos do PCAOB." KPMG. Abril de 2004.
  • "Gastos com a Sarbanes-Oxley em 2004 mais do que o esperado: os gastos com conformidade com a seção 404 foram em média de US $ 4,4 milhões em 2004, segundo uma pesquisa." InformationWeek, 22 de março de 2005.
  • "O impacto da lei Sarbanes-Oxley na TI e na governança corporativa." serena.com 12 de maio. 2005
  • Cinco etapas para o sucesso para a conformidade com a planilha . Semana de conformidade, julho de 2006.
  • Pcaobus.org , o novo padrão de auditoria do PCAOB para controle interno sobre relatórios financeiros é aprovado pela SEC.