controles internos e auditoria de ti
DESCRIPTION
Apresentação de Renato Braga no 5º Governança Aplicada do ISACA BrasíliaTRANSCRIPT
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
5º Governança Aplicada
Controles Internos e
Auditoria de TI
Renato Braga, CISA, CIA, CGAP
Diretor de Educação
Isaca Capítulo Brasília
Brasília, 16 de setembro de 2011
1
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
“Um homem que trabalha com suas mãos
é um operário; o que trabalha com suas
mãos e o seu cérebro é um artesão, e o
que trabalha com suas mãos, seu cérebro
e seu coração é um artista”.
Louis Nizer, Advogado Norte-
Americano nascido na Inglaterra.
2
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Objetivo proposto
Diferenciar controles internos e auditoria de TI
até o ponto de identificar os responsáveis por
cada uma das atividades.
3
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Agenda
Controles? Por quê? Para quê?
Marcos de controle
Controle interno x Auditoria Interna
Tipos de controle
Tipos de auditoria
Papel do gestor
Papel do auditor
4
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Risco
Efeito da incerteza nos objetivos (ISO 31.000)
Combinação da probabilidade de um evento e
suas consequências (ISO 27.002)
5
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Tratamento do risco
Evitar
Mitigar
Diminuindo a probabilidade
Diminuindo as consequências (impacto)
Transferir
Aceitar
O tratamento de riscos pode criar novos riscos ou
modificar riscos existentes (ISO 31000).
6
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Por que...
... implantar controles?
Risco inerente
...auditar controles?
Risco de controle
7
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Acrescentando ...
Risco inerente
Risco de controle
Risco de detecção
Risco de auditoria
8
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Por que implantar controles de TI?
Vamos refletir sobre alguns casos:
O que pode ocorrer se há segregação de funções em um
processo, mas há deficiências no gerenciamento de
usuários?
O que pode ocorrer em se há controle de autorização de
uma operação, mas há compartilhamento de senhas na
organização?
Como ter razoável certeza de que a aplicação que está em
produção é a que foi homologada pelo gestor do sistema?
Como ter razoável certeza de que ao processar todas as
declarações do IRPF, nenhuma deixou de ser processada?
9
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Agenda
Controles? Por quê? Para quê?
Marcos de controle
Controle interno x Auditoria interna
Tipos de controle
Tipos de auditoria
Papel do gestor
Papel do auditor
10
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
COSO
Committe Of Sponsoring Organizations of the
Treadway Commission (Comitê das Organizações
Patrocinadoras).
1992 - Internal Control – Integrated Framework
(COSO I)
AICPA, IFAC, IIA, Intosai, BID, Banco Mundial e
outros reconhecem e adotam o COSO
2004 - Enterprise Risk Management – Integrated
Framework (COSO ERM ou COSO II)
11
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Introdução de novos paradigmas...
COSO I:
Introduziu a noção de que controles internos devem ser
ferramentas de gestão e monitoração de riscos em
relação ao alcance de objetivos da organização e não
mais devem ser dirigidos apenas para riscos de origem
financeira ou vinculados a resultados escriturais.
COSO II:
Introduziu a noção de que se deve prever e prevenir os
riscos inerentes ao conjunto de processos da
organização que possam impedir ou dificultar o alcance
de seus objetivos.
12
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Coso I
Ambiente de controle
Avaliação de riscos
Atividades de controle
Informação e
comunicação
Monitoramento
13
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
COSO II
14
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Mais específicos ...
Cobit
NBR ABNT ISO/IEC 27.002:2005
15
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Principais elementos...
Controles
Processos
Objetivos de controle
Maturidade
Entradas e saídas
RACI Chart
Domínios
PO, AI, DS, ME
16
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
“Popularização” do Cobit
Lei americana Sarbanes-Oxley
Section 404: Assessment of internal control
Comitê da Basiléia
Resolução-Bacen 2.554/1998
Circular-Susep 249/2004
17
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Os dois lados da mesma moeda...
18
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Integração de frameworks
19
COBIT
ISO 9000ISO 27002
ITIL
COSO
O quê Como
Escopo
Fonte: Apresentação de André Luiz Furtado Pacheco
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Agenda
Controles? Por quê? Para quê?
Marcos de controle
Controle interno x Auditoria interna
Tipos de controle
Tipos de auditoria
Papel do gestor
Papel do auditor
20
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Controle
2.2 Forma de gerenciar o risco, incluindo políticas,
procedimentos, diretrizes, práticas, ou estruturas
organizacionais, que podem ser de natureza
administrativa, técnica, de gestão ou legal.
Fonte: ABNT NBR ISO/IEC 27002:2005
21
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Definição de Auditoria Interna
A auditoria interna é uma atividade independente
e objetiva de avaliação (assurance) e de
consultoria, desenhada para adicionar valor e
melhorar as operações de uma organização.
Ela auxilia uma organização a realizar seus
objetivos a partir da aplicação de uma abordagem
sistemática e disciplinada para avaliar e melhorar
a eficácia dos processos de gerenciamento de
riscos, controle e governança.
Fonte: International Professional Practices Framework - IPPF
22
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
IN-TCU 63/2010
Art.1º [...]
XV - Controles internos: conjunto de atividades, planos,
métodos, indicadores e procedimentos interligados
utilizados com vistas a assegurar a conformidade dos
atos de gestão e a concorrer para que os objetivos e
metas estabelecidos para as unidades jurisdicionadas
sejam alcançados;
23
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
IN-TCU 63/2010
Art.1º [...]
XVI - Órgãos de controle interno: unidades
administrativas integrantes dos sistemas de controle
interno da administração pública federal, incumbidos,
dentre outras funções, da verificação da consistência e
qualidade dos controles internos, bem como do apoio
às atividades de controle externo exercidas pelo
Tribunal.
24
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
IN-SFCI 01/2001
“6. Quanto maior for o grau de adequação dos
controles internos administrativos, menor será a
vulnerabilidade dos riscos inerentes à gestão
propriamente dita” (p. 69)
25
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Controles, auditoria e análise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
análise de riscos.
26
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Agenda
Controles? Por quê? Para quê?
Marcos de controle
Controle interno x Auditoria interna
Tipos de controle
Tipos de auditoria
Papel do gestor
Papel do auditor
27
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Tipos de controle
Preventivos
Detectivos
Corretivos
28
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Tipos de controles de TI
Controles gerais de TI
Controles de aplicação
29
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Controles gerais de TI
Aplicam-se a todos os componentes do sistema,
dos processos, e dos dados de uma organização
ou ambiente. Controles gerais incluem, mas não
estão limitados à políticas de segurança da
informação, de administração, de acesso e de
autenticação, de segregação de funções chaves
de TI, de gestão de aquisição e implementação
de sistemas, de gestão de mudanças, de cópias
de segurança e de continuidade do negócio.
Fonte: GTAG Information Technology Controls Auditing (tradução livre)
30
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Controles de aplicação
São os que estão no escopo de processos de
negócio ou sistemas de aplicação. Eles incluem
controles como edição de dados, separação de
funções de negócio (e.g., solicitações e
autorizações), totalizações, registros de acesso, e
relatos de erros de processamento.
Fonte: GTAG Information Technology Controls Auditing (tradução livre)
31
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Agenda
Controles? Por quê? Para quê?
Marcos de controle
Controle interno x Auditoria interna
Tipos de controle
Tipos de auditoria
Papel do gestor
Papel do auditor
32
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Tipos de auditoria
Interna x Externa
Conformidade x Operacional (NAT)
Avaliação da gestão x Acompanhamento da gestão x
Contábil x Operacional x Especial (IN-SFCI 1/2001)
Financeira x Processos x Sistemas x Ambiental x ...
33
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Tendência
34
Fonte: PWC
(http://www.pwchk.com/webmedia/doc/633304575145839063_ia2012_ap_sup.pdf)
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Agenda
Controles? Por quê? Para quê?
Marcos de controle
Controle interno x Auditoria Interna
Tipos de controle
Tipos de auditoria
Papel do gestor
Papel do auditor
35
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
O IIA preconiza ...
“O gestor e a alta administração são responsáveis
pelos processos de gestão de risco e controles da
organização.” (IIA, IPPF 2120-1, tradução livre)
36
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
A Intosai preconiza ...
“Os gestores são responsáveis pelo
estabelecimento de um efetivo ambiente de
controle na sua organização.”(Intosai, Controle Interno: Fundamentos para Prestação de Contas no
Governo, tradução livre)
“Controle interno é uma ferramenta do gestor
usada para prover razoável certeza de que os
objetivos da administração estão sendo
alcançados.”(Intosai, Orientações para Padrões de Controle Interno, tradução livre)
37
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Decreto 3.591/2000
Art. 17. A sistematização do controle interno, na
forma estabelecida neste Decreto, não elimina ou
prejudica os controles próprios dos sistemas e
subsistemas criados no âmbito da APF, nem o
controle administrativo inerente a cada chefia, que
deve ser exercido em todos os níveis e órgãos,
compreendendo:
[...]
III – instrumentos de controle [...]
38
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
PO9 – Avaliar e gerenciar os riscos de TI
39
Fonte: Cobit 4.1
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Agenda
Controles? Por quê? Para quê?
Marcos de controle
Controle interno x Auditoria Interna
Tipos de controle
Tipos de auditoria
Papel do gestor
Papel do auditor
40
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
O IIA preconiza ...
“A auditoria interna é uma atividade independente
e objetiva de avaliação (assurance) e de
consultoria, desenhada para adicionar valor e
melhorar as operações de uma organização.
Ela auxilia uma organização a realizar seus
objetivos a partir da aplicação de uma abordagem
sistemática e disciplinada para avaliar e melhorar
a eficácia dos processos de gerenciamento de
riscos, controle e governança.”(IIA, IPPF, definição de auditoria interna)
41
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
A Intosai preconiza ...
“Auditores são parte do modelo governamental de
controle interno, mas eles não são responsáveis
pela implementação dos procedimentos de
controle numa organização. Este trabalho é
específico do gestor.”(Intosai, Padrões de Controle Interno, tradução livre, sublinhei)
42
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
O IIA preconiza ...
“Os auditores internos devem possuir
conhecimento suficiente sobre os principais riscos
e controles de tecnologia da informação e sobre
as técnicas de auditoria baseadas em tecnologia
disponíveis para a execução dos trabalhos a eles
designados.
Entretanto, não se espera que todos os auditores
internos possuam a especialização de um auditor
interno cuja principal responsabilidade seja
auditoria de tecnologia da informação.”(IIA, IPPF, 1210.A3)
43
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
O IIA preconiza ...
“A atividade de auditoria interna deve avaliar se a
governança de tecnologia da informação da
organização dá suporte às estratégias e objetivos
da organização.”(IIA, IPPF, 2110.A2, sublinhei)
44
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
O IIA preconiza ...
“A atividade de auditoria interna deve avaliar a
adequação e a eficácia dos controles em resposta
aos riscos, abrangendo a governança, as operações
e os sistemas de informação da organização, com
relação a:
Confiabilidade e integridade das informações
financeiras e operacionais;
Eficácia e eficiência das operações e programas;
Salvaguarda dos ativos; e
Conformidade com leis, regulamentos, políticas e
procedimentos e contratos.”
(IIA, IPPF, 2130.A1, sublinhei)
45
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Resumo
Controles? Por quê? Para quê?
Marcos de controle
Controle interno x Auditoria interna
Tipos de controle
Tipos de auditoria
Papel do gestor
Papel do auditor
46
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Atingimos o objetivo proposto?
Diferenciar controles internos e auditoria de TI
até o ponto de identificar os responsáveis por
cada uma das atividades.
47
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
“A única coisa necessária
para o triunfo do mal é que os
homens bons não façam
nada”
Edmund Burke,
estadista e filósofo britânico.
48
Renato Braga, CISARenato Braga, CISA, CIA, CGAP
Grato pela atenção.
http://www.isaca-brasilia.org
49