Lei Sarbanes Oxley – SOx - Lei Sarbanes Oxley – SOx - Abordagem para a auditoria de Abordagem para a auditoria de controles internos com enfoque em controles internos com enfoque em sistemassistemas

Abril de 2005

2

Gerente de auditoria de sistemas, formado pela Universidade Federal da Bahia, mestrando em Ciência Forense Aplicada a Sistemas de Informação pela Escola Politécnica de São Paulo - Poli – USP;

Possui nove anos de experiência profissional na área de Auditoria Contábil e de Sistemas em empresas de grande porte, com forte atuação na área de segurança da informação com enfoque no mapeamento de processos, análise de riscos e implementação de controles.

Palestrante: Cristiano Silva Palestrante: Cristiano Silva BorgesBorges

3

Agenda

• Objetivo• Objetivo

• Controles Internos• Controles Internos

• Sarbanes-Oxley• Sarbanes-Oxley

• Framework da Sox• Framework da Sox

• Framework de TI• Framework de TI

4

Objetivo

Realizar uma breve apresentação sobre processos, riscos de processo, componentes de controles internos e ambiente de controles para contextualizar com os procedimentos adotados pela Sox e seu impacto no ambiente de Tecnologia da Informação – TI, bem como os modelos adotados para as analises de riscos e controles.

5

O que é o Controle Interno?

É um processo sistematicamente executado pelo conselho de administração, diretoria e restante do pessoal do cliente, podendo ser informatizado ou manual.Deve ser projetado para dar uma garantia razoável de que serão atingidos os objetivos de uma ou mais das seguintes categorias: eficácia e eficiência de operações; confiabilidade de informações financeiras; cumprimento da legislação e regulamentos aplicáveis.

6

Ciclo de processo para formação das DFs

Avaliação de Controles Internos

Processos

Transações

Registros Contábeis

DemonstraçõesFinanceiras

Classificado por Ciclos, como por exemplo: Vendas e Compras.

Classificadas como Rotineiras; Não

rotineiras;e Estimativas Contábeis

7

Componentes do controle interno

avaliação de riscos; ambiente de controle; informações e comunicações; monitoração; atividades de controle.

8

Tipos de controles

Preventivo – age para que não ocorra a falha.

Detectivo – evidencia a existência da falha.

9

Categorias de Controles

Relatórios gerenciais e revisão da

gerência;

Sistemas de informação

Segregação de funções

Autorização

Configuração do Sistema

10

O que é a Lei Sarbane Oxley?

Lei promulgada pelo Presidente americano Bush em 30/7/2002 tem por objetivo coibir a fraude, aumentar a responsabilidade corporativa e revelação de informações relevantes nas Demonstrações Financeiras;

Nesse mesmo ato foi criado o PCAOB – Public Company Accounting Oversight Board, para fiscalizar a atividade de auditoria.

11

Quem deve se adequar aos padrões da Sox?

Todas as empresas americanas ou estrangeiras com capital aberto e ações negociadas na bolsa de valores norte americana.

12

Qual o impacto da Sox sobre a área de TI?

A lei SOX em seu parágrafo 404, que trata da

avaliação dos controles internos, tem por objetivo

avaliar a efetividade dos controles internos de

uma Empresa que suportam os processos que

geram informações significativas para as

Demonstrações Financeiras;

13

Qual o impacto da Sox sobre a área de TI? – Cont.

A premissa é que a confiabilidade nos relatórios

financeiros dependem significativamente de um

ambiente de TI com controles eficientes e efetivos

que suportem o ambiente de controle interno que

mitigam o risco sobre as operações da Empresa.

14

Ciclo de processos para a elaboração das DF’s suportados por TI

Infra-estrutura

Aplica-ções

Proces-sos de

Negócios

Vendas;Compras;FOPAG

ERPs, Ex.: SAP, EMS

Servidores;Redes;Backup

Demons-trações

Financei-ras

BP; DRE; DOAR; DMPL;

NE

15

A visão do auditor para elaboração do escopo de auditoria para a área de TI

A PCAOB aprovou o padrão de auditoria PCAOB no 2 em

março de 2004, que considera o mapeamento dos fluxos

das transações, atentando para como são:

Iniciados;

Autorizados;

Registrados;

Processados; e

Reportados.

16

A visão do auditor para elaboração do escopo de auditoria para a área de TI – Cont.

A avaliação deve considerar que: Geralmente os fluxos de processos de negócios são

suportados por sistemas aplicativos que realizam o processamento de grande volume de informações;

Os controles internos operacionais derivam ou fazem parte do aplicativo;

Os controles do ambiente de TI que são compostos por: operações computacionais; acesso a programas e dados desenvolvimento de programas; e mudanças de programas.

17

Aplicações

Processos

DFs

Infraestrutura

Controles de TIControles de TIOperações

computacionais;

Acesso a programas e dados;

Mudanças de programas;

Computação para usuário final

Desenvimento de programas.

Controles na Controles na AplicaçãoAplicação

IntegridadeExistênciaPrecisão

Valorização

Controles nas DFsApresentação

Obrigações & Direitos

Co

ntro

les

18

Método para realização do trabalho

Adoção de um modelo de trabalho (“framework”) de controles internos

SOX COSO (Committee of the Sponsoring Organizations of the Treadway Comission). É um comitê independente, sem fins lucrativos, que estuda controles internos.

19

COSO - Definições

O COSO faz definição de Controles Internos como “processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da Empresa, nas seguintes categorias:

– Eficiência e efetividade operacional (Objetivos de desempenho ou estratégia);

– Confiança nos registros contábeis/financeiros (objetivos de comunicação);

– Conformidade – com leis, políticas, normas aplicáveis à empresa e sua área de atuação.

20

Método para realização do trabalho – Cont.

O COSO têm cinco componentes:

– Ambiente de Controle; – Avaliação e gerenciamento de riscos; – Atividade de Controle; – Informação e Comunicação; e – Monitoramento.

21

Têm por objetivo dar parâmetro para análise de processos, implementação e monitoramento de controles internos aplicados a Empresa.

Esses parâmetros geralmente são fixados por meio de implementação de código de conduta e de procedimentos;

Disseminação da “cultura de controle”, pois o controle mais efetivo é realizado quando os funcionários conhecem suas responsabilidades.

COSO – Ambiente de Controle

22

Estratégico:

−Analisar se a condução das atividades de TI objetivam suprir a necessidade das áreas operacionais e dão suporte para os controles internos mitigarem os riscos.

COSO – Avaliação e gerenciamento de riscos

Operacional:

−Avaliação dos riscos de operação de TI, como por exemplo, mudanças de programas e desenvolvimento de sistemas.

23

Devem ser definidas considerando as categorias de controles para que possam ser adotadas políticas, normas e procedimentos a fim de garantir que as atividades sejam executadas de acordo com o seu desenho de processo original, ou seja, sem desvios;

Caso ocorram desvios, deve haver controles detectivos que possam identifica-los.

COSO – Atividade de controle

24

COSO – Atividade de controle – Cont.

As principais atividades de controle são:– Alçadas (preventiva);– Autorização (Preventiva);– Conciliação (Detectiva);– Revisão de desempenho (Detectiva);– Segurança física (Preventiva e Detectiva);– Segregação de Funções (Preventiva);– Normatização Interna (Preventiva);– Sistemas Informatizados (Preventiva e Detectiva).

25

Considera a disseminação da informação necessária ao bom andamento dos processos e controles em seus diversos níveis organizacionais.

A comunicação da informação deve ser realizada de forma prática e tempestiva.

COSO – Informação e Comunicação

26

Tem por objetivo monitorar a eficiência dos controles internos ao longo do tempo;

É um indicador para avaliar se os controles internos são adequados e eficientes.

– Controles adequados são aqueles em que os cinco elementos de controles estão presentes;

– E os eficientes quando a administração tem uma razoável certeza que o objetivo do controle foi cumprido.

COSO – Monitoramento

27

Utilização de “Framework” específico para TI

O COSO possui um modelo de controles internos e destaca a importância dos controles de TI, contudo, devido a sua abrangência, não trata de especificidades da área de TI;

Devido a isso, são utilizados outros modelos para avaliar processos e riscos, determinar atividades de controle e monitoramento destes.

28

Utilização de “Framework” específico para TI – Cont.

Existem alguns guias de controles de TI , entre eles o ITIL – Information Technology Infrastructure Library, ISO 17799, e COBIT – Control Objectives for Information and related Technology

No Brasil, geralmente as Empresas utilizam o COBIT para organizar os processos de controles.

29

COBIT

Contém 34 objetivos de controle de alto nível e 318

objetivos detalhados para os processos de TI;

Vem sendo utilizado no processo de Governança de

TI que prevê objetivos de controle de alto nível e

detalhados.

30

COBIT

Está dividido em quatro domínios:– Planejamento e organização;– Aquisição e implementação;– Operação e suporte; e– Monitoramento.

31 Monitoramento

Informação e Comunicação

Atividades de Controle

Avaliação de Riscos

COSO x COBIT

Ambiente de Controle

Co

mp

on

en

tes

do

CO

SO

Monito

ram

ento

Operaç

ão e

Suporte

Aquisi

ção

e

Impl

emen

taçã

o

Planej

amen

to e

Org

aniza

ção

Domínios do COBIT

32

Infraestrutura

Controles de TIControles de TIOperações

computacionais;

Acesso a programas e dados;

Mudanças de programas;

Desenvolvimento de programas;

Computação para usuário final

Operações computacionaisDeterminar se há controles adequados para o backup e processo de salvaguarda e recuperação de dados operacionais, aplicações e sistemas operacionais.

33

Infraestrutura

Controles de TIControles de TIOperações

computacionais;

Acesso a programas e dados;

Mudanças de programas;

Desenvolvimento de programas;

Computação para usuário final

Acesso a programas e dadosAnalisar se há gerência de segurança da informação implementada e se é seguida pelos usuários, bem como está o controle de acesso as informações.

34

Infraestrutura

Controles de TIControles de TIOperações

computacionais;

Acesso a programas e dados;

Mudanças de programas;

Desenvolvimento de programas;

Computação para usuário final

Mudança de programasAnalisar se os processos de mudanças nos sistemas/aplicações possuem controles que minimizem o risco de alterações indevidas que possam causar impacto nas DF’s.

35

Infraestrutura

Controles de TIControles de TIOperações

computacionais;

Acesso a programas e dados;

Mudanças de programas;

Desenvolvimento de programas;

Computação para usuário final

Desenvolvimento de programasVerificar se os processos de desenvolvimentos e aquisição possuem aprovação apropriada para colocar o sistema em produção.

36

Infraestrutura

Controles de TIControles de TIOperações

computacionais;

Acesso a programas e dados;

Mudanças de programas;

Desenvolvimento de programas;

Computação para usuário final

Computação para o usuário finalVerificar se a administração implementou políticas e procedimentos para os usuários finais.

37

Cristiano Silva Borges

Agradeço a atenção e coloco-me à disposição para tirar dúvidas.