A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Lei Sarbanes Oxley – SOx - Abordagem para a auditoria de controles internos com enfoque em sistemas Abril de 2005.

PublicouMarina Gularte Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Lei Sarbanes Oxley – SOx - Abordagem para a auditoria de controles internos com enfoque em sistemas Abril de 2005."— Transcrição da apresentação:

1 Lei Sarbanes Oxley – SOx - Abordagem para a auditoria de controles internos com enfoque em sistemas
Abril de 2005

2 Palestrante: Cristiano Silva Borges
Gerente de auditoria de sistemas, formado pela Universidade Federal da Bahia, mestrando em Ciência Forense Aplicada a Sistemas de Informação pela Escola Politécnica de São Paulo - Poli – USP; Possui nove anos de experiência profissional na área de Auditoria Contábil e de Sistemas em empresas de grande porte, com forte atuação na área de segurança da informação com enfoque no mapeamento de processos, análise de riscos e implementação de controles.

3 Agenda Objetivo Controles Internos Sarbanes-Oxley Framework da Sox
Framework de TI

4 Objetivo Realizar uma breve apresentação sobre processos, riscos de processo, componentes de controles internos e ambiente de controles para contextualizar com os procedimentos adotados pela Sox e seu impacto no ambiente de Tecnologia da Informação – TI, bem como os modelos adotados para as analises de riscos e controles.

5 O que é o Controle Interno?
É um processo sistematicamente executado pelo conselho de administração, diretoria e restante do pessoal do cliente, podendo ser informatizado ou manual. Deve ser projetado para dar uma garantia razoável de que serão atingidos os objetivos de uma ou mais das seguintes categorias: eficácia e eficiência de operações; confiabilidade de informações financeiras; cumprimento da legislação e regulamentos aplicáveis.

6 Ciclo de processo para formação das DFs
Processos Classificado por Ciclos, como por exemplo: Vendas e Compras. Avaliação de Controles Internos Transações Classificadas como Rotineiras; Não rotineiras;e Estimativas Contábeis Registros Contábeis Demonstrações Financeiras

7 Componentes do controle interno
avaliação de riscos; ambiente de controle; informações e comunicações; monitoração; atividades de controle.

8 Tipos de controles Preventivo – age para que não ocorra a falha.
Detectivo – evidencia a existência da falha.

9 Categorias de Controles
Relatórios gerenciais e revisão da gerência; Sistemas de informação Segregação de funções Autorização Configuração do Sistema Instructor Notes

10 O que é a Lei Sarbane Oxley?
Lei promulgada pelo Presidente americano Bush em 30/7/2002 tem por objetivo coibir a fraude, aumentar a responsabilidade corporativa e revelação de informações relevantes nas Demonstrações Financeiras; Nesse mesmo ato foi criado o PCAOB – Public Company Accounting Oversight Board, para fiscalizar a atividade de auditoria. PCAOB – Public Company Accounting Oversight Board – Companhia publica para vigilância contábil da administração executiva da Empresa

11 Quem deve se adequar aos padrões da Sox?
Todas as empresas americanas ou estrangeiras com capital aberto e ações negociadas na bolsa de valores norte americana.

12 Qual o impacto da Sox sobre a área de TI?
A lei SOX em seu parágrafo 404, que trata da avaliação dos controles internos, tem por objetivo avaliar a efetividade dos controles internos de uma Empresa que suportam os processos que geram informações significativas para as Demonstrações Financeiras;

13 Qual o impacto da Sox sobre a área de TI? – Cont.
A premissa é que a confiabilidade nos relatórios financeiros dependem significativamente de um ambiente de TI com controles eficientes e efetivos que suportem o ambiente de controle interno que mitigam o risco sobre as operações da Empresa.

14 Ciclo de processos para a elaboração das DF’s suportados por TI
Infra-estrutura Aplica-ções Proces-sos de Negócios Demons-trações Financei-ras Servidores; Redes; Backup ERPs, Ex.: SAP, EMS Vendas; Compras; FOPAG BP; DRE; DOAR; DMPL; NE ERP – Enterprise Resource Planning (Recurso de planejamento/Gestão da operação) Enterprise – Negócio, operação

15 A visão do auditor para elaboração do escopo de auditoria para a área de TI
A PCAOB aprovou o padrão de auditoria PCAOB no 2 em março de 2004, que considera o mapeamento dos fluxos das transações, atentando para como são: Iniciados; Autorizados; Registrados; Processados; e Reportados. PCAOB n2 - “An Audit of Internal Control Over Financial Report in Conjunction with an Audit of Financial Statements”

16 A visão do auditor para elaboração do escopo de auditoria para a área de TI – Cont.
A avaliação deve considerar que: Geralmente os fluxos de processos de negócios são suportados por sistemas aplicativos que realizam o processamento de grande volume de informações; Os controles internos operacionais derivam ou fazem parte do aplicativo; Os controles do ambiente de TI que são compostos por: operações computacionais; acesso a programas e dados desenvolvimento de programas; e mudanças de programas.

17 Controles na Aplicação
Controles nas DFs Apresentação Obrigações & Direitos DFs Controles na Aplicação Integridade Existência Precisão Valorização Controles de TI Operações computacionais; Acesso a programas e dados; Mudanças de programas; Computação para usuário final Desenvimento de programas. Processos Aplicações Infraestrutura

18 Método para realização do trabalho
Adoção de um modelo de trabalho (“framework”) de controles internos SOX COSO (Committee of the Sponsoring Organizations of the Treadway Comission). É um comitê independente, sem fins lucrativos, que estuda controles internos.

19 COSO - Definições O COSO faz definição de Controles Internos como “processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da Empresa, nas seguintes categorias: Eficiência e efetividade operacional (Objetivos de desempenho ou estratégia); Confiança nos registros contábeis/financeiros (objetivos de comunicação); Conformidade – com leis, políticas, normas aplicáveis à empresa e sua área de atuação.

20 Método para realização do trabalho – Cont.
O COSO têm cinco componentes: Ambiente de Controle; Avaliação e gerenciamento de riscos; Atividade de Controle; Informação e Comunicação; e Monitoramento.

21 COSO – Ambiente de Controle
Têm por objetivo dar parâmetro para análise de processos, implementação e monitoramento de controles internos aplicados a Empresa. Esses parâmetros geralmente são fixados por meio de implementação de código de conduta e de procedimentos; Disseminação da “cultura de controle”, pois o controle mais efetivo é realizado quando os funcionários conhecem suas responsabilidades.

22 COSO – Avaliação e gerenciamento de riscos
Estratégico: Analisar se a condução das atividades de TI objetivam suprir a necessidade das áreas operacionais e dão suporte para os controles internos mitigarem os riscos. Operacional: Avaliação dos riscos de operação de TI, como por exemplo, mudanças de programas e desenvolvimento de sistemas.

23 COSO – Atividade de controle
Devem ser definidas considerando as categorias de controles para que possam ser adotadas políticas, normas e procedimentos a fim de garantir que as atividades sejam executadas de acordo com o seu desenho de processo original, ou seja, sem desvios; Caso ocorram desvios, deve haver controles detectivos que possam identifica-los. Vide slide 9

24 COSO – Atividade de controle – Cont.
As principais atividades de controle são: Alçadas (preventiva); Autorização (Preventiva); Conciliação (Detectiva); Revisão de desempenho (Detectiva); Segurança física (Preventiva e Detectiva); Segregação de Funções (Preventiva); Normatização Interna (Preventiva); Sistemas Informatizados (Preventiva e Detectiva).

25 COSO – Informação e Comunicação
Considera a disseminação da informação necessária ao bom andamento dos processos e controles em seus diversos níveis organizacionais. A comunicação da informação deve ser realizada de forma prática e tempestiva.

26 COSO – Monitoramento Tem por objetivo monitorar a eficiência dos controles internos ao longo do tempo; É um indicador para avaliar se os controles internos são adequados e eficientes. Controles adequados são aqueles em que os cinco elementos de controles estão presentes; E os eficientes quando a administração tem uma razoável certeza que o objetivo do controle foi cumprido.

27 Utilização de “Framework” específico para TI
O COSO possui um modelo de controles internos e destaca a importância dos controles de TI, contudo, devido a sua abrangência, não trata de especificidades da área de TI; Devido a isso, são utilizados outros modelos para avaliar processos e riscos, determinar atividades de controle e monitoramento destes.

28 Utilização de “Framework” específico para TI – Cont.
Existem alguns guias de controles de TI , entre eles o ITIL – Information Technology Infrastructure Library, ISO 17799, e COBIT – Control Objectives for Information and related Technology No Brasil, geralmente as Empresas utilizam o COBIT para organizar os processos de controles.

29 COBIT Contém 34 objetivos de controle de alto nível e 318 objetivos detalhados para os processos de TI; Vem sendo utilizado no processo de Governança de TI que prevê objetivos de controle de alto nível e detalhados.

30 COBIT Está dividido em quatro domínios: Planejamento e organização;
Aquisição e implementação; Operação e suporte; e Monitoramento.

31 Atividades de Controle Informação e Comunicação
COSO x COBIT Domínios do COBIT Aquisição e Implementação Planejamento e Organização Operação e Suporte Monitoramento Ambiente de Controle Avaliação de Riscos Atividades de Controle Componentes do COSO Informação e Comunicação Monitoramento

32 Operações computacionais
Determinar se há controles adequados para o backup e processo de salvaguarda e recuperação de dados operacionais, aplicações e sistemas operacionais. Controles de TI Operações computacionais; Acesso a programas e dados; Mudanças de programas; Desenvolvimento de programas; Computação para usuário final Infraestrutura

33 Acesso a programas e dados
Analisar se há gerência de segurança da informação implementada e se é seguida pelos usuários, bem como está o controle de acesso as informações. Controles de TI Operações computacionais; Acesso a programas e dados; Mudanças de programas; Desenvolvimento de programas; Computação para usuário final Infraestrutura

34 Mudança de programas Analisar se os processos de mudanças nos sistemas/aplicações possuem controles que minimizem o risco de alterações indevidas que possam causar impacto nas DF’s. Controles de TI Operações computacionais; Acesso a programas e dados; Mudanças de programas; Desenvolvimento de programas; Computação para usuário final Infraestrutura

35 Desenvolvimento de programas
Verificar se os processos de desenvolvimentos e aquisição possuem aprovação apropriada para colocar o sistema em produção. Controles de TI Operações computacionais; Acesso a programas e dados; Mudanças de programas; Desenvolvimento de programas; Computação para usuário final Infraestrutura

36 Computação para o usuário final
Verificar se a administração implementou políticas e procedimentos para os usuários finais. Controles de TI Operações computacionais; Acesso a programas e dados; Mudanças de programas; Desenvolvimento de programas; Computação para usuário final Infraestrutura

37 Agradeço a atenção e coloco-me à disposição para tirar dúvidas.
Cristiano Silva Borges

Carregar ppt "Lei Sarbanes Oxley – SOx - Abordagem para a auditoria de controles internos com enfoque em sistemas Abril de 2005."

Apresentações semelhantes

Missão e Estrutura da Controladoria e o Papel do Controller

Missão e Estrutura da Controladoria e o Papel do Controller
GESTÃO DE PROJETOS DE SISTEMAS DE INFORMAÇÃO

GESTÃO DE PROJETOS DE SISTEMAS DE INFORMAÇÃO
Sistemas de Informações Gerenciais

Sistemas de Informações Gerenciais
Professor: Eduardo Teles Análise e Desenvolvimento de Sistemas

Professor: Eduardo Teles Análise e Desenvolvimento de Sistemas
Administração e segurança de redes

Administração e segurança de redes
Professor Roberto Petry

Professor Roberto Petry
Custos ... afinal, o que é isto?

Custos ... afinal, o que é isto?
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
Administração Financeira III

Administração Financeira III
O padrão de gerenciamento de projetos de um projeto

O padrão de gerenciamento de projetos de um projeto
Gerenciamento do escopo do projeto

Gerenciamento do escopo do projeto
Sistema de controle interno e Bom Governo: Luis Humberto Ramírez Barrios A&C Consultoría y Auditoría Empresarial www.aycempresarial.com Luis Humberto.

Sistema de controle interno e Bom Governo: Luis Humberto Ramírez Barrios A&C Consultoría y Auditoría Empresarial Luis Humberto.
Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia

Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia
Implementação de Sistemas

Implementação de Sistemas
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias marcely.dias@unibratec.edu.br.

Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias
Gerenciamento do Escopo

Gerenciamento do Escopo
Fundamentos de Administração

Fundamentos de Administração
Infraestrutura de tecnologia da informação

Infraestrutura de tecnologia da informação
Código de Ética – Auditoria de Sistemas

Código de Ética – Auditoria de Sistemas

Apresentações semelhantes

Anúncios Google