Vous êtes sur la page 1sur 37

Lei Sarbanes Oxley SOx Abordagem para a auditoria de controles internos com enfoque em sistemas

Abril de 2005

Palestrante: Cristiano Silva Borges


Gerente de auditoria de sistemas, formado pela Universidade Federal da Bahia, mestrando em Cincia Forense Aplicada a Sistemas de Informao pela Escola Politcnica de So Paulo - Poli USP; Possui nove anos de experincia profissional na rea de Auditoria Contbil e de Sistemas em empresas de grande porte, com forte atuao na rea de segurana da informao com enfoque no mapeamento de processos, anlise de riscos e implementao de controles.
2

Agenda
Objetivo Controles Internos

Sarbanes-Oxley Framework da Sox


Framework de TI

Objetivo
Realizar uma breve apresentao sobre processos, riscos de processo, componentes de controles internos e ambiente de controles para contextualizar com os procedimentos adotados pela Sox e seu impacto no ambiente de Tecnologia da Informao TI, bem como os modelos adotados para as analises de riscos e controles.

O que o Controle Interno?


um processo sistematicamente executado pelo conselho de administrao, diretoria e restante do pessoal do cliente, podendo ser informatizado ou manual. Deve ser projetado para dar uma garantia razovel de que sero atingidos os objetivos de uma ou mais das seguintes categorias: eficcia e eficincia de operaes; confiabilidade de informaes financeiras; cumprimento da legislao e regulamentos aplicveis.
5

Ciclo de processo para formao das DFs


Processos
Classificado por Ciclos, como por exemplo: Vendas e Compras. Classificadas como Rotineiras; No rotineiras;e Estimativas Contbeis

Transaes

Avaliao de Controles Internos

Registros Contbeis

Demonstraes Financeiras

Componentes do controle interno


avaliao

de riscos;

ambiente

de controle;
e comunicaes;

informaes

monitorao; atividades

de controle.

Tipos de controles
Preventivo

age para que no ocorra a falha.

Detectivo

evidencia a existncia da falha.

Categorias de Controles
Relatrios gerenciais e reviso da gerncia; Sistemas de informao Segregao de funes

Autorizao
Configurao do Sistema

O que a Lei Sarbane Oxley?


Lei promulgada pelo Presidente americano Bush em 30/7/2002 tem por objetivo coibir a fraude, aumentar a responsabilidade corporativa e revelao de informaes relevantes nas Demonstraes Financeiras; Nesse mesmo ato foi criado o PCAOB Public Company Accounting Oversight Board, para fiscalizar a atividade de auditoria.

10

Quem deve se adequar aos padres da Sox?


Todas as empresas americanas ou estrangeiras com capital aberto e aes negociadas na bolsa de valores norte americana.

11

Qual o impacto da Sox sobre a rea de TI?


A lei SOX em seu pargrafo 404, que trata da avaliao dos controles internos, tem por objetivo avaliar a efetividade dos controles internos de uma Empresa que suportam os processos que geram informaes significativas para as Demonstraes Financeiras;

12

Qual o impacto da Sox sobre a rea de TI? Cont.


A premissa que a confiabilidade nos relatrios financeiros dependem significativamente de um ambiente de TI com controles eficientes e efetivos que suportem o ambiente de controle interno que mitigam o risco sobre as operaes da Empresa.

13

Ciclo de processos para a elaborao das DFs suportados por TI

Infraestrutura

Aplicaes

Processos de Negcios

Demonstraes Financeiras

Servidores; Redes; Backup

ERPs, Ex.: SAP, EMS

Vendas; Compras; FOPAG

BP; DRE; DOAR; DMPL; NE

14

A viso do auditor para elaborao do escopo de auditoria para a rea de TI

A PCAOB aprovou o padro de auditoria PCAOB


no 2 em maro de 2004, que considera o mapeamento dos fluxos das transaes,

atentando para como so:


Iniciados; Autorizados; Registrados; Processados; e Reportados.
15

A viso do auditor para elaborao do escopo de auditoria para a rea de TI Cont.


A avaliao deve considerar que:

Geralmente os fluxos de processos de negcios so suportados por sistemas aplicativos que realizam o processamento de grande volume de informaes;
Os controles internos operacionais derivam ou fazem parte do aplicativo; Os controles do ambiente de TI que so compostos por: operaes computacionais; acesso a programas e dados desenvolvimento de programas; e mudanas de programas.
16

Controles nas DFs Apresentao Obrigaes & Direitos Controles de TI Operaes computacionai s; Acesso a programas e dados; Mudanas de programas; Computao para usurio final Desenvimento de programas.

DFs Processos Controles na Aplicao Integridade Existncia Preciso Valorizao

Aplicaes

Infraestrutura

Controles

17

Mtodo para realizao do trabalho

Adoo de um modelo de trabalho (framework) de controles internos

SOX

COSO (Committee of the Sponsoring Organizations of the Treadway Comission). um comit independente, sem fins lucrativos, que estuda controles internos.
18

COSO - Definies
O COSO faz definio de Controles Internos como processo desenvolvido para garantir, com razovel certeza, que sejam atingidos os objetivos da Empresa, nas seguintes categorias:

Eficincia e efetividade operacional (Objetivos de desempenho ou estratgia);


Confiana nos registros contbeis/financeiros (objetivos de comunicao); Conformidade com leis, polticas, normas aplicveis empresa e sua rea de atuao.
19

Mtodo para realizao do trabalho Cont.


O COSO tm cinco componentes: Ambiente de Controle; Avaliao e gerenciamento de riscos; Atividade de Controle; Informao e Comunicao; e Monitoramento.

20

COSO Ambiente de Controle

Tm por objetivo dar parmetro para anlise de processos, implementao e monitoramento de controles internos aplicados a Empresa. Esses parmetros geralmente so fixados por meio de implementao de cdigo de conduta e de procedimentos; Disseminao da cultura de controle, pois o controle mais efetivo realizado quando os funcionrios conhecem suas responsabilidades.
21

COSO Avaliao e gerenciamento de riscos

Estratgico:

Analisar se a conduo das atividades de TI objetivam


suprir a necessidade das reas operacionais e do suporte para os controles internos mitigarem os riscos.

Operacional:

Avaliao dos riscos de operao de TI, como por


exemplo, mudanas de programas e desenvolvimento de sistemas.

22

COSO Atividade de controle

Devem ser definidas considerando as categorias de controles para que possam ser adotadas polticas, normas e procedimentos a fim de garantir que as atividades sejam executadas de acordo com o seu desenho de processo original, ou seja, sem desvios; Caso ocorram desvios, deve haver controles detectivos que possam identifica-los.

23

COSO Atividade de controle Cont.


As principais atividades de controle so:

Aladas (preventiva);
Autorizao (Preventiva); Conciliao (Detectiva); Reviso de desempenho (Detectiva); Segurana fsica (Preventiva e Detectiva); Segregao de Funes (Preventiva); Normatizao Interna (Preventiva); Sistemas Informatizados (Preventiva e Detectiva).
24

COSO Informao e Comunicao

Considera a disseminao da informao necessria ao bom andamento dos processos e controles em seus diversos nveis organizacionais. A comunicao da informao deve ser realizada de forma prtica e tempestiva.

25

COSO Monitoramento

Tem por objetivo monitorar a eficincia dos controles internos ao longo do tempo; um indicador para avaliar se os controles internos so adequados e eficientes.
Controles adequados so aqueles em que os cinco elementos de controles esto presentes;
E os eficientes quando a administrao tem uma razovel certeza que o objetivo do controle foi cumprido.

26

Utilizao de Framework especfico para TI

O COSO possui um modelo de controles internos e destaca a importncia dos controles de TI, contudo, devido a sua abrangncia, no trata de especificidades da rea de TI; Devido a isso, so utilizados outros modelos para avaliar processos e riscos, determinar atividades de controle e monitoramento destes.

27

Utilizao de Framework especfico para TI Cont.


Existem alguns guias de controles de TI , entre eles o ITIL Information Technology Infrastructure Library, ISO 17799, e COBIT Control Objectives for Information and related Technology No Brasil, geralmente as Empresas utilizam o COBIT para organizar os processos de controles.

28

COBIT
Contm 34 objetivos de controle de alto nvel e 318 objetivos detalhados para os processos de TI;

Vem sendo utilizado no processo de Governana de TI que prev objetivos de controle de alto nvel e detalhados.

29

COBIT
Est dividido em quatro domnios:

Planejamento e organizao;
Aquisio e implementao; Operao e suporte; e Monitoramento.

30

COSO x COBIT
Domnios do COBIT

Ambiente de Controle

Avaliao de Riscos

Atividades de Controle

Informao e Comunicao

Monitoramento
31

Operaes computacionais
Controles de TI Operaes computacionai s; Acesso a programas e dados; Mudanas de programas; Desenvolviment o de programas; Computao para usurio final Determinar se h controles adequados para o backup e processo de salvaguarda e recuperao de dados operacionais, aplicaes e sistemas operacionais.

Infraestrutura

32

Acesso a programas e dados


Controles de TI Operaes computacionai s; Acesso a programas e dados; Mudanas de programas; Desenvolviment o de programas; Computao para usurio final Analisar se h gerncia de segurana da informao implementada e se seguida pelos usurios, bem como est o controle de acesso as informaes.

Infraestrutura

33

Mudana de programas
Analisar se os processos de mudanas nos sistemas/aplicaes possuem controles que minimizem o risco de alteraes indevidas que possam causar impacto nas DFs.

Controles de TI Operaes computacionai s; Acesso a programas e dados; Mudanas de programas; Desenvolviment o de programas; Computao para usurio final

Infraestrutura

34

Desenvolvimento de programas
Controles de TI Operaes computacionai s; Acesso a programas e dados; Mudanas de programas; Desenvolviment o de programas; Computao para usurio final Verificar se os processos de desenvolvimentos e aquisio possuem aprovao apropriada para colocar o sistema em produo.

Infraestrutura

35

Computao para o usurio final


Controles de TI Operaes computacionai s; Acesso a programas e dados; Mudanas de programas; Desenvolviment o de programas; Computao para usurio final Verificar se a administrao implementou polticas e procedimentos para os usurios finais.

Infraestrutura

36

Agradeo a ateno e colocome disposio para tirar dvidas. Cristiano Silva Borges

37