Vous êtes sur la page 1sur 37

Lei Sarbanes Oxley SOx Abordagem para a auditoria de

controles internos com enfoque em


sistemas

Abril de 2005

Palestrante: Cristiano Silva


Borges
Gerente de auditoria de
sistemas, formado pela
Universidade Federal da
Bahia, mestrando em
Cincia Forense Aplicada a
Sistemas de Informao
pela Escola Politcnica de
So Paulo - Poli USP;
Possui nove anos de
experincia profissional na
rea de Auditoria Contbil e
de Sistemas em empresas
de grande porte, com forte
atuao na rea de
segurana da informao
com enfoque no
mapeamento de processos,
anlise de riscos e
2
implementao de

Agenda
Objetivo
Objetivo
Controles
Controles Internos
Internos
Sarbanes-Oxley
Sarbanes-Oxley
Framework
Framework da
da Sox
Sox
Framework
Framework de
de TI
TI
3

Objetivo
Realizar uma breve apresentao sobre processos,
riscos de processo, componentes de controles
internos e ambiente de controles para contextualizar
com os procedimentos adotados pela Sox e seu
impacto no ambiente de Tecnologia da Informao
TI, bem como os modelos adotados para as
analises de riscos e controles.

O que o Controle Interno?


um processo sistematicamente executado pelo
conselho de administrao, diretoria e restante do
pessoal do cliente, podendo ser informatizado ou
manual.
Deve ser projetado para dar uma garantia razovel de
que sero atingidos os objetivos de uma ou mais das
seguintes categorias:

eficcia e eficincia de operaes;

confiabilidade de informaes financeiras;

cumprimento da legislao e regulamentos


aplicveis.
5

Ciclo de processo para formao das DFs


Processos

Transaes

Classificado por Ciclos,


como por exemplo:
Vendas e Compras.
Classificadas como
Rotineiras; No
rotineiras;e Estimativas
Contbeis

Avaliao
de
Controles
Internos

Registros
Contbeis
Demonstraes
Financeiras

Componentes do controle interno


avaliao

de riscos;

ambiente

de controle;

informaes

e comunicaes;

monitorao;
atividades

de controle.

Tipos de controles
Preventivo

Detectivo

age para que no ocorra a falha.

evidencia a existncia da falha.

Categorias de Controles
Relatrios

gerenciais e reviso da

gerncia;
Sistemas

de informao

Segregao

de funes

Autorizao

Configurao do Sistema

O que a Lei Sarbane Oxley?

Lei promulgada pelo Presidente americano Bush


em 30/7/2002 tem por objetivo coibir a fraude,
aumentar a responsabilidade corporativa e
revelao de informaes relevantes nas
Demonstraes Financeiras;

Nesse mesmo ato foi criado o PCAOB Public


Company Accounting Oversight Board, para
fiscalizar a atividade de auditoria.

10

Quem deve se adequar aos padres da Sox?

Todas as empresas americanas ou estrangeiras


com capital aberto e aes negociadas na bolsa
de valores norte americana.

11

Qual o impacto da Sox sobre a rea de TI?

A lei SOX em seu pargrafo 404, que trata da


avaliao dos controles internos, tem por objetivo
avaliar a efetividade dos controles internos de
uma Empresa que suportam os processos que
geram informaes significativas para as
Demonstraes Financeiras;

12

Qual o impacto da Sox sobre a rea de TI?


Cont.

A premissa que a confiabilidade nos relatrios


financeiros dependem significativamente de um
ambiente de TI com controles eficientes e efetivos
que suportem o ambiente de controle interno que
mitigam o risco sobre as operaes da Empresa.

13

Ciclo de processos para a elaborao das


DFs suportados por TI

Infraestrutura

Servidores;
Redes;
Backup

Aplicaes

ERPs, Ex.:
SAP, EMS

Processos de
Negcios

Demonstraes
Financeiras

Vendas;
Compras;
FOPAG

BP; DRE;
DOAR;
DMPL;
NE

14

A viso do auditor para elaborao do


escopo de auditoria para a rea de TI

A PCAOB aprovou o padro de auditoria PCAOB n o 2 em


maro de 2004, que considera o mapeamento dos fluxos
das transaes, atentando para como so:
Iniciados;
Autorizados;
Registrados;
Processados; e
Reportados.

15

A viso do auditor para elaborao do


escopo de auditoria para a rea de TI Cont.
A avaliao deve considerar que:

Geralmente os fluxos de processos de negcios so


suportados por sistemas aplicativos que realizam o
processamento de grande volume de informaes;

Os controles internos operacionais derivam ou fazem parte


do aplicativo;

Os controles do ambiente de TI que so compostos por:


operaes computacionais; acesso a programas e dados
desenvolvimento de programas; e mudanas de
programas.
16

Controles nas DFs


Apresentao
Obrigaes & Direitos

Processos

Controles

Controles de TI
Operaes
computacionai
s;
Acesso a
programas e
dados;
Mudanas de
programas;
Computao
para usurio
final
Desenvimento de
programas.

DFs
Controles na
Aplicao
Integridade
Existncia
Preciso
Valorizao

Aplicaes

Infraestrutura

17

Mtodo para realizao do trabalho

Adoo de um modelo de trabalho (framework) de


controles internos

SOX

COSO (Committee of the Sponsoring


Organizations of the Treadway
Comission). um comit
independente, sem fins
lucrativos, que estuda
controles internos.
18

COSO - Definies
O COSO faz definio de Controles Internos como
processo desenvolvido para garantir, com razovel
certeza, que sejam atingidos os objetivos da
Empresa, nas seguintes categorias:

Eficincia e efetividade operacional (Objetivos de


desempenho ou estratgia);

Confiana nos registros contbeis/financeiros


(objetivos de comunicao);

Conformidade com leis, polticas, normas


aplicveis empresa e sua rea de atuao.
19

Mtodo para realizao do trabalho Cont.


O COSO tm cinco componentes:

Ambiente de Controle;
Avaliao e gerenciamento de riscos;
Atividade de Controle;
Informao e Comunicao; e
Monitoramento.

20

COSO Ambiente de Controle

Tm por objetivo dar parmetro para anlise de


processos, implementao e monitoramento de
controles internos aplicados a Empresa.

Esses parmetros geralmente so fixados por


meio de implementao de cdigo de conduta e
de procedimentos;

Disseminao da cultura de controle, pois o


controle mais efetivo realizado quando os
funcionrios conhecem suas responsabilidades.
21

COSO Avaliao e gerenciamento de riscos

Estratgico:

Analisar se a conduo das atividades de TI objetivam


suprir a necessidade das reas operacionais e do
suporte para os controles internos mitigarem os riscos.

Operacional:

Avaliao dos riscos de operao de TI, como por


exemplo, mudanas de programas e
desenvolvimento de sistemas.
22

COSO Atividade de controle

Devem ser definidas considerando as categorias


de controles para que possam ser adotadas
polticas, normas e procedimentos a fim de
garantir que as atividades sejam executadas de
acordo com o seu desenho de processo original,
ou seja, sem desvios;

Caso ocorram desvios, deve haver controles


detectivos que possam identifica-los.

23

COSO Atividade de controle Cont.


As principais atividades de controle so:

Aladas (preventiva);

Autorizao (Preventiva);

Conciliao (Detectiva);

Reviso de desempenho (Detectiva);

Segurana fsica (Preventiva e Detectiva);

Segregao de Funes (Preventiva);

Normatizao Interna (Preventiva);

Sistemas Informatizados (Preventiva e Detectiva).


24

COSO Informao e Comunicao

Considera a disseminao da informao


necessria ao bom andamento dos processos e
controles em seus diversos nveis
organizacionais.

A comunicao da informao deve ser realizada


de forma prtica e tempestiva.

25

COSO Monitoramento

Tem por objetivo monitorar a eficincia dos


controles internos ao longo do tempo;

um indicador para avaliar se os controles


internos so adequados e eficientes.

Controles adequados so aqueles em que os cinco


elementos de controles esto presentes;

E os eficientes quando a administrao tem uma razovel


certeza que o objetivo do controle foi cumprido.

26

Utilizao de Framework especfico para TI

O COSO possui um modelo de controles internos e


destaca a importncia dos controles de TI, contudo,
devido a sua abrangncia, no trata de
especificidades da rea de TI;

Devido a isso, so utilizados outros modelos para


avaliar processos e riscos, determinar atividades
de controle e monitoramento destes.

27

Utilizao de Framework especfico para TI


Cont.
Existem alguns guias de controles de TI , entre
eles o ITIL Information Technology Infrastructure
Library, ISO 17799, e COBIT Control Objectives
for Information and related Technology
No Brasil, geralmente as Empresas utilizam o
COBIT para organizar os processos de controles.

28

COBIT
Contm 34 objetivos de controle de alto nvel e 318
objetivos detalhados para os processos de TI;
Vem sendo utilizado no processo de Governana de
TI que prev objetivos de controle de alto nvel e
detalhados.

29

COBIT
Est dividido em quatro domnios:

Planejamento e organizao;

Aquisio e implementao;

Operao e suporte; e

Monitoramento.

30

COSO x COBIT

P
O lan
rg ej
an am
iz e
a n
Aq to
Im ui o e
pl si
em
en o e
t
O
p e a
Su r
o
po a
rte o
e
M
on
ito
ra
m
en
to

Domnios do COBIT

Componentes do COSO

Ambiente de Controle
Avaliao de Riscos
Atividades de Controle

Informao e Comunicao
Monitoramento

31

Operaes computacionais
Controles de TI
Operaes
computacionai
s;
Acesso a
programas e
dados;
Mudanas de
programas;
Desenvolvimento
de programas;
Computao
para usurio
final

Determinar se h controles adequados para o


backup e processo de salvaguarda e
recuperao de dados operacionais,
aplicaes e sistemas operacionais.

Infraestrutura

32

Acesso a programas e dados


Controles de TI
Operaes
computacionai
s;
Acesso a
programas e
dados;
Mudanas de
programas;
Desenvolvimento
de programas;
Computao
para usurio
final

Analisar se h gerncia de segurana da


informao implementada e se seguida
pelos usurios, bem como est o controle de
acesso as informaes.

Infraestrutura

33

Mudana de programas

Controles de TI
Operaes
computacionai
s;
Acesso a
programas e
dados;
Mudanas de
programas;
Desenvolvimento
de programas;
Computao
para usurio
final

Analisar se os processos de mudanas nos


sistemas/aplicaes possuem controles que
minimizem o risco de alteraes indevidas
que possam causar impacto nas DFs.

Infraestrutura

34

Desenvolvimento de programas
Controles de TI
Operaes
computacionai
s;
Acesso a
programas e
dados;
Mudanas de
programas;
Desenvolvimento
de programas;
Computao
para usurio
final

Verificar se os processos de
desenvolvimentos e aquisio possuem
aprovao apropriada para colocar o sistema
em produo.

Infraestrutura

35

Computao para o usurio final


Controles de TI
Operaes
computacionai
s;
Acesso a
programas e
dados;
Mudanas de
programas;
Desenvolvimento
de programas;
Computao
para usurio
final

Verificar se a administrao implementou


polticas e procedimentos para os usurios
finais.

Infraestrutura

36

Agradeo a
ateno e colocome disposio
para tirar dvidas.
Cristiano Silva Borges

37