Da Framework CEO Auditoria de Sistemas de Informao

Carlos Santos
ISCA-UA/CEO-INESC, Aveiro, Portugal carlos.santos@isca.ua.pt

Andr Vasconcelos
CEO-INESC, Lisboa, Portugal andre.vasconcelos@ceo.inesc.pt

Jos Tribolet
CEO-INESC, Lisboa, Portugal jose.tribolet@ceo.inesc.pt

Resumo
Neste trabalho debruamo-nos sobre a problemtica do controlo interno dos processos de negcio com recurso a mecanismos de controlo externos aos processos. Estes mecanismos tm como objectivo assegurar a auditabilidade dos processos de negcio, garantindo que os seus objectivos so atingidos com razovel certeza. A ateno crescente que tem vindo a ser dada ao controlo interno motivada por vrios factores internos e externos s organizaes devido principalmente aos escndalos financeiros que tm surgido, um pouco por todo o mundo, e proliferao das novas tecnologias de informao como suporte aos sistemas de informao. A evoluo que se tem vindo a verificar no controlo interno, designadamente a alterao no seu comportamento organizacional, de estrutura para processo, tem-no tornado mais abrangente e dinmico. Esta tendncia evolutiva, em nossa opinio, permite-nos propor que a engenharia organizacional se comece a preocupar com o estudo do controlo interno numa perspectiva cientfica, com recurso a modelos consistentes e coerentes. Neste trabalho fazemos inicialmente uma breve exposio sobre o controlo interno e a sua evoluo, propondo de seguida a extenso da framework CEO com recurso ao modelo COSO para que possa suportar a modelao de mecanismos de controlo interno. Palavras-chave: Framework CEO; COSO; Processos de negcio; Sistema de controlo interno; Auditoria de sistemas de informao.

1 INTRODUO
De acordo com a teoria de auditoria, uma organizao no s precisa de um sistema de informao, mas tambm de um sistema de controlo interno para assegurar a credibilidade da informao registada e para controlo de potenciais erros. Face ao exposto podemos concluir que uma organizao, em simultneo com os objectivos estratgicos e operacionais, precisa de cumprir objectivos de controlo suportados por processos de controlo. Com este trabalho pretende-se contribuir para promoo da auditabilidade dos sistemas de informao numa perspectiva holstica do negcio utilizando a framework CEO [FCEO]. Embora o metamodelo da FCEO proposto por [Sinogas 2002] especifique uma associao controls, necessrio proceder a ligeiras alteraes, no sentido da evoluo da referida framework, para que a mesma possa passar a suportar a modelao de mecanismos de controlo interno. A utilizao da FCEO acontece na sequncia do trabalho realizado por diversos investigadores [Castela 2001; Mendes 2001; Vasconcelos 2001; Aveiro 2002; Sinogas 2002] em que demonstrado que a FCEO suficientemente consistente e coerente, satisfazendo um requisito fundamental para poder suportar um sistema de controlo interno. O presente artigo est assim estruturado: na seco seguinte fazemos uma breve exposio sobre o controlo interno e a sua evoluo; na seco 3 fazemos uma reviso do estado da arte da modelao do controlo interno; na seco 4 apresentado o modelo COSO; a relao entre a framework CEO e o controlo interno de processos de negcio mostrada na seco 5;

finalmente, na seco 6 so apresentadas as concluses a que chegaram os autores e so estabelecidas linhas orientadoras que podero ser teis em futuros trabalhos de investigao relacionados com esta problemtica.

2 TEORIA DO CONTROLO INTERNO

comum designar por sistema de controlo interno o conjunto de regras, polticas e procedimentos [mecanismos de controlo], envolvidos na gesto do risco empresarial [Pathak 2003]. Um mecanismo de controlo ajuda a atingir o objectivo de um processo sem ser necessariamente parte do processo, figura 1 [O'Connel 1999]. Estes mecanismos so recursos que tm por objectivo, quando utilizados pelos processos, eliminar ou minimizar os riscos. Um controlo designado interno quando um mecanismo interno de uma entidade. O controlo interno pode ser uma excelente ferramenta para que os objectivos de uma organizao sejam atingidos. Contudo, a sua implementao necessita de uma framework coerente [Curtis and Wu 2000].
Mecanismos de Controlo

<<Process>>

Processo de Negcio

Objectivo Operacional

Mecanismos de Controlo

Figura 1 Os processos de negcio que permitem atingir um objectivo operacional necessitam de ser controlados atravs de mecanismos de controlo externos ao processo.

Embora o princpio da conservao da energia e da matria ...nada se cria, nada se perde, tudo se transforma... tenha directo significado nas organizaes e consequentemente nos seus sistemas de informao, o mesmo no tem sido completamente entendido, muito menos aplicado, no controlo dos sistemas de informao. Se tivermos presente este princpio fundamental da fsica e se fizermos a sua transposio para os sistemas de informao deveremos considerar que a uma transaco directa corresponder sempre uma transaco indirecta para garantir o equilbrio do sistema de informao figura 2.
compensado por:

Mecanismo de controlo Sistema X

Mecanismo de controlo Sistema Y

Compensa:

Figura 2 O processo de controlo para produzir um recurso de controlo recebe informao de duas transaces a transaco directa e a transaco indirecta.

Como exemplo consideremos o procedimento de delegao de competncias frequentemente usado nas organizaes e gerador de desequilbrios. O acto de delegar configura uma transaco directa que deve ser compensada por um acto de controlo sobre os agentes que passam a ter a responsabilidade da execuo da tarefa. O acto de controlo configura uma transaco indirecta. Se o acto de delegar no for acompanhado do acto de controlo, no existe compensao e o sistema deixa de estar em equilbrio.

3 MODELOS DE CONTROLO INTERNO

Existem vrios modelos de controlo interno [Champlain 1998], normalmente desenvolvidos por organizaes profissionais. A seguir so apresentados seis importantes documentos sobre controlo interno [Colbert and Bowen 2002]: COBIT Control Objectives for Information and Related Technology, editado por Information Systems Audit and Control Foundation, em terceira edio datada de 2000. uma framework que proporciona uma ferramenta para que os titulares dos processos de negcio possam cumprir eficiente e efectivamente as suas responsabilidades de controlo sobre os sistemas de informao; SAC Systems Auditability and Control, editado em 1991 por Internal Auditors research Foundation e revisto em 1994. D suporte aos auditores internos no controlo e na auditoria de sistemas de informao e tecnologia; COSO Internal Control Integrated Framework, editado em 1992 pelo Committee of Sponsoring Organizations of the Treadway Commission. Faz recomendaes para a gesto de como avaliar, relatar e melhorar os sistemas de controlo; SAS 55 e 78 Statements on Auditing Standards, editados respectivamente em 1988 e 1995 por American Institute of Certified Public Accountants. Proporcionam um guia para os auditores externos relativamente ao impacto do controlo interno no planeamento e execuo de auditoria das demonstraes financeiras; CoCo Criteria of Control Board Guidance on Assessing Control The CoCo Principles, editado em Junho de 1997 por The Canadian Institute of Chartered Accountants. Para alm dos seis documentos anteriormente indicados, oportuno fazer-se referncia a um outro documento: ISO 17799 Code of Practice for Information Management, editado em 2000 por International Organization for Standardization. Qualquer um dos modelos referidos pode ser utilizado no desenho e implementao de um sistema de controlo interno, no havendo obrigatoriedade de aplicao de qualquer um deles em particular. No entanto, o modelo COSO para alm de ser o nico dos modelos referenciados que tem como foco toda a organizao, tem vrias referncias sua universalidade e tambm o facto de ter sido introduzido pela Comisso Europeia como modelo de suporte ao seu sistema de controlo interno [Moran 2001]. ainda aceite por grande parte dos profissionais de auditoria que uma estrutura de controlo efectiva sob o modelo COSO aumentar as possibilidades de um sistema de informao fivel, para ser usado pela gesto e pelo conselho de directores, em particular se for adoptada a sua definio de controlo [Hermanson 2003].

4 O MODELO COSO
O modelo COSO Internal Control Integrated Framework editado por Committee of Sponsoring Organizations of the Treadway Commission estabelece uma sequncia de eventos para a gesto de processos de negcio em ambiente de controlo [Namee 1997]:

 Definio dos objectivos da organizao; Avaliao do risco; Determinao dos controlos necessrios. Um modelo de controlo interno quando aplicado com cuidado, discernimento e viso pode ser a base de um sistema de controlo interno que suporte directamente o sucesso da organizao. Se aplicado mecanicamente, o sistema de controlo interno resultante pode suportar um bom controlo, mas no suportar necessariamente o sucesso organizacional [Galloway 1994]. O modelo COSO define o controlo interno como sendo um processo, constitudo por cinco subprocessos, figura 3, desenvolvido para garantir, com razovel certeza, que sejam atingidos os objectivos perseguidos por uma organizao, nas seguintes categorias: eficincia e efectividade operacional; confiana nos registos contabilsticos/financeiros e conformidade. Entre Julho e Outubro de 2003 foi submetido discusso pblica o documento Enterprise Risk Management Framework, pelo Committee of Sponsoring Organizations of the Treadway Commission.
COSO Internal Control: Integrated Framework
1 1..* Ambiente de Controlo 1..* Avaliao e Gesto do Risco 1..* Actividades de Controlo 1..* Comunicao e Informao 1..*

Monitorizao

Figura 3 O modelo de controlo interno Integrated Control: Integrated Framework, proposto por the Comitee of Sponsoring Organizations, um processo constitudo por cinco elementos.

5 A FRAMEWORK CEO E O CONTROLO INTERNO DE PROCESSOS DE NEGCIO

A FCEO, dotada com esteretipos adequados poder suportar a modelao do controlo interno, simultaneamente com a modelao do negcio, garantindo a modelao de sistemas de controlo interno alinhados com o negcio. Um mecanismo de controlo de um processo de negcio um recurso consumido, usado, produzido ou refinado por um processo de controlo [modelo COSO, por exemplo]. Estes recursos devidamente relacionados com os processos de negcio, principais ou de suporte, do garantia ao gestor da organizao de atingir com razovel certeza os seus objectivos de negcio.

5.1 Extenso da framework CEO

Para que a FCEO possa suportar no seu metamodelo o modelo COSO de controlo interno, necessrio estender a sua notao. No existir qualquer alterao aos objectos de negcio propostos na notao estudada por [Sinogas 2002], que continuaro a ser os objectivos, os processos, os recursos e os sistemas de informao. Prope-se que as classes predefinidas dos objectivos, processos e recursos sejam revistas e proposta a sua extenso, conforme se apresenta seguidamente, para poderem suportar a modelao do sistema de controlo interno.

1.5.1 Objectivos Semntica Os objectivos determinam e controlam o comportamento do negcio e revelam os estados desejveis de alguns recursos do negcio. Restries Cada objectivo deve corresponder no mnimo a um processo. Notao Grfica A notao grfica de objectivo usa o cone descrito na figura 4 para representar o esteretipo objectivo <<goal>>.
<<Goal>>

Objectivo

Figura 4 Notao grfica de objectivo.

Classes Predefinidas Um objectivo estratgico deve ser composto por objectivos operacionais e objectivos de controlo [Weigand and Moor 2001]. Os objectivos operacionais podem por sua vez ser especializados em objectivos quantitativos e objectivos qualitativos. Os objectivos de controlo podem ser especializados em objectivos especficos, figura 5.
Objectivo Estratgico
1

Extenso

Objectivo Operacional

Objectivo de Controlo

1..*

Quantitativo

Qualitativo

Objectivo especfico A

...

Objectivo especfico N

Figura 5 Classes de objectivos predefinidas. Este modelo evoluiu relativamente ao proposto originalmente com a agregao e composio de um objectivo de controlo.

1.5.2 Processos Semntica Um processo representa uma unidade de trabalho, podendo a sua execuo estar relacionada com a execuo de outros processos atravs de fluxos de recursos. Um desses processos ser certamente um processo de controlo. Restries Um processo deve corresponder a um ou mais objectivos. Notao Grfica A notao grfica de processo usa o cone descrito na figura 6 para representar o esteretipo de processo <<process>>.

<<Process>>

Processo

Figura 6 Notao grfica de processo.

Classes Predefinidas As actividades de um negcio podem ser classificadas como actividades principais core, actividades de suporte support e actividades de controlo control. As actividades principais e de suporte dependem do tipo de negcio que est a ser modelado podendo obviamente variar de organizao para organizao. As actividades de controlo so as actividades necessrias para garantir que os processos principais ou de suporte so executados de acordo com as boas prticas. Estas actividades devem ter presente o suporte necessrio boa execuo do processo de negcio, figura 7.
<<Process>>

Processo de Negcio

Extenso

<<Process>>

<<Process>>

Processo Operacional

Processo de Controlo

<<Process>>

<<Process>>

Processo Quantitativo

Processo Qualitativo

Figura 7 Classes de processos predefinidas. Propomos que um processo de negcio seja especializado em processo operacional e processo de controlo, sendo este, sujeito simultaneamente a uma composio.

1.5.3 Recursos Semntica Os recursos so objectos do negcio que so manipulados atravs dos processos. Os recursos podem ser ordenados ou estruturados e ter relaes entre eles. Os recursos podem ser produzidos, consumidos, usados ou refinados pelos processos. Restries Um recurso tem de ser produzido, consumido, usado ou refinado em pelo menos um processo. Notao Grfica A notao grfica para recurso usa o cone mostrado na figura 8 para representar o esteretipo recurso <<resource>>.
<<Resource>>

Recurso
Figura 8 Notao grfica de recurso.

Classes Predefinidas Os recursos de negcio de uma organizao podem ser operacionais e de controlo. Os operacionais podem ser coisas ou informao e dividem-se em abstractos e fsicos. Uma classe particular de recurso fsico pessoa ou entidade, figura 9. Os recursos de controlo so definidos em funo da anlise de risco feita aos processos de negcio operacionais e aos sistemas que os suportam.
<<Resource>>

Recurso de Negcio

Extenso
1..*

<<Resource>>

<<Resource>>

Recurso Operacional

Recurso de Controlo

<<Resource>>

<<Resource>>

<<Resource>>

Information

Thing

Agente Digital
<<Resource>>

<<Resource>>

Abstract

Physical
<<Resource>>

People

Figura 9 Classes predefinidas de recursos.

1.5.4 Sistemas de Informao No que respeita aos sistemas de informao no h qualquer proposta de extenso relativamente ao proposto por [Sinogas 2002].

5.2 Metamodelo da Evoluo da FCEO

A figura 10 representa o metamodelo da evoluo da FCEO. Pode verificar-se que a nica alterao, relativamente ao metamodelo da FCEO original consiste na introduo da associao controls entre recurso e sistema.
<<Contradictory>>

<<Goal>>
Achieves

Goal
<<Resource>> Controls, Executes

<<Process>>

Process

Produces, Consumes, Uses, Refines

Resource

Extenso

<<System>>
Suports

Controls Sendes, Receives

System

Figura 10 Metamodelo da evoluo da framework CEO. Verifica-se que o recurso pode passar a controlar os sistemas.

A tabela 1 apresenta de forma sistemtica as restries impostas pelo metamodelo acima s subclasses e objectos com os esteretipos definidos na framework CEO.
Goal Contradicts Achieves Process Resource Produces, Consumes, Uses, Refines Controls, Executes Supports Sends, Receives System Extenso Controls

Goal Process Resource System

Tabela 1 Associaes do metamodelo da evoluo da framework CEO. Conforme se pode ver a evoluo reside na generalizao da associao controls entre recurso e sistema.

5.3 Modelao de um Processo de Negcio com o Controlo Associado

No contexto do presente trabalho consideramos o controlo como um recurso que consumido pelos processos de negcio e sistemas de informao e que produzido por um processo de controlo figura 11.

Tarefa X Sistema X Processo de Negcio Processo de Controlo

Sistema Y Tarefa Y

Recurso de Controlo

Figura 11 Relao entre um processo de negcio e o processo de controlo associado.

Conforme referido na seco 5.1.1, associado aos objectivos operacionais de qualquer organizao h sempre um objectivo de controlo [Weigand and Moor 2001]. Este objectivo deve garantir com razovel certeza que todos os objectivos operacionais so atingidos satisfatoriamente. Por outro lado, para que se atinjam os objectivos de controlo especficos deve ser garantido que os processos que os suportam utilizam adequados recursos de controlo. Estes recursos so identificados em funo do risco que se pretende minimizar ou mesmo eliminar figura 12.

Objectivo Especfico de Controlo

COSO

Recurso de controlo A

...

Recurso de Controlo N

Figura 12 Processo de controlo que consome ou produz recursos de controlo para todos os outros processos. Se se garantir que todas as actividades esto controladas os processos que as referidas actividades suportam esto igualmente controladas.

Para controlar este processo devero ser seleccionados um ou mais pontos de controlo. Um ponto de controlo qualquer pessoa, coisa, ou evento que em funo das vulnerabilidades que apresenta deve ser sujeito a mecanismos de controlo para minimizar ou, se possvel, anular o risco da eventual concretizao da ameaa. Relativamente aos pontos de controlo seleccionados podemos identificar algumas vulnerabilidades que podem ser exploradas por ameaas, a que possam estar sujeitos, podendo transformar-se em risco que necessrio, obviamente, minimizar, ou se possvel anular. As ameaas referidas potenciam um risco permanente que pode, na ausncia de mecanismos de controlo, manifestar-se com efeitos perniciosos. Assim, necessrio minimizar a permanncia desta ameaa, implementando adequados mecanismos de controlo. Isto conseguido definindo um objectivo especfico de controlo e identificando os adequados mecanismos de controlo, em funo do referido objectivo, que minimizam a ameaa.

6 CONCLUSES
Confirmada a coerncia da FCEO, requisito mnimo para poder suportar a modelao de mecanismos de controlo interno, estudmo-la na perspectiva do controlo interno. Este estudo deu indicaes favorveis utilizao da FCEO na modelao de mecanismos de controlo interno. Para o efeito verificou-se ser necessrio propor ligeiras alteraes ao seu metamodelo. Com recurso teoria do controlo interno e ao modelo COSO Internal Control Integrated Framework editado pelo Committee of Sponsoring Organizations of the Treadway Commission, propomos a evoluo da FCEO para que em qualquer processo de modelao de um negcio eventuais mecanismos de controlo sejam identificados, ou sejam possveis as suas implementaes. O metamodelo da FCEO estendida traduz-se em alteraes mnimas ao metamodelo original da FCEO. Finalmente, com a conscincia de que o que aqui fica proposto um modesto contributo, ainda havendo um longo caminho a percorrer para a modelao efectiva e coerente do controlo interno numa organizao, propomos como trabalho futuro a utilizao do metamodelo da FCEO estendida modelao de processos de negcio, principais e de suporte, em situao real. Fica ainda como proposta de trabalho futuro a investigao relacionada com a implementao ao nvel dos sistemas de mecanismos de controlo que garantam o equilbrio dos sistemas organizacionais.

7 REFERNCIAS
Aveiro, D. (2002). Organizao da Funo Informtica. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Castela, N. (2001). Recolha, Anlise e Validao de Informao para Modelao de Processos de Negcio. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Champlain, J. J. (1998). Auditing Information Systems: a comprehensive reference guide. New York, John Wiley & Sons, Inc. Colbert, J. L. and P. L. Bowen, Eds. (2002). A Comparison of Internal Controls: COBIT, SAC, COSO and SAS 55/78, Information Systems Audit and Control Association. Curtis, M. B. and F. H. Wu (2000). "The Components of a Comprehensive Framework of Internal Control." CPA Journal. Galloway, D. J. (1994). Control Models in Perspective. The Internal Auditor. 51: pp. 46-52. Hermanson, H. M. (2003). "COSO: More Relevante Now Than Ever." Internal Auditing 18(4): pp. 3-6. Mendes, R. (2001). Modelao de Estratgia de Negcio: Representao, Alinhamento e Operacionalizao. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Moran, J. (2001). "Applying Best Practice Internal Control in the European Commission." Accountancy Ireland. Namee, D. M. (1997). Risk-Based Auditing. Internal Auditor. 54: pp. 22-27. O'Connel, P. (1999). Internal Control Standards. Pathak, J. (2003). "Internal Audit E-Commerce Controls." Internal Auditing. Sinogas, P. (2002). Modelao de Processos de Negcio. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Vasconcelos, A. (2001). Arquitectura de Sistemas de Informao no Contexto do Negcio. Instituto Superior Tcnico. Lisboa, Universidade Tcnica de Lisboa. Weigand, H. and A. d. Moor (2001). A Framework for the Normative Analysis of Workflow Loops. Sixth International Workshop on the Language-Action Perspective on Communication Modelling (LAP 2001), Montreal - Canada.