O objetivo principal deste artigo é identificar e comparar o conjunto de normas e padrões CobiT, ITIL e norma ISO 17799, emitidos por organismos internacionais, de natureza compulsória ou não, dos quais os auditores de se utilizam, para estudar e avaliar os sistemas, infraestrutura e controles internos automatizados no processo de auditoria dos sistemas que suportam as demonstrações contábeis das entidades contratantes de tais serviços.
Para que serve:
A Governança da Tecnologia da Informação, do termo inglês IT Governance, se procura o alinhamento da TI com os objetivos da organização. Governança da Tecnologia da Informação define que a TI é um fator essencial para a gestão financeira e estratégica de uma organização e não apenas um suporte aos mesmos.
Em que situação o tema útil:
Um grande desafio atual das instituições é a busca da solução ideal para o processo de gestão de riscos e gestão operacional, cada organização deverá definir como irá tratar a questão de TI, Segurança e, principalmente, Auditoria e balancear como deverá usar cada uma delas, de forma que esta solução seja um pilar valioso para o processo maior de Governança Corporativa. Essa nova necessidade de gestão tem impacto direto no trabalho do auditor de sistemas.
Autores: Anderson Carlos Santos Ramires, Rodrigo Oliveira Spínola e Marcos Kalinowski
A atividade de auditoria independente de demonstrações contábeis tem como principal produto formal um parecer, expressando a opinião do auditor sobre a adequação, ou não, com que as demonstrações contábeis representam a posição patrimonial e financeira da entidade auditada, o resultado de suas operações, as movimentações ocorridas no seu patrimônio líquido e as origens e aplicações dos seus recursos, tomando como base de comparação os princípios fundamentais, ou geralmente aceitos, de contabilidade. Para suportar sua opinião, o auditor independente deve coletar evidências suficientes e apropriadas de auditoria, através de um conjunto de procedimentos técnicos.
Assim, considerando o alto grau de automação das organizações, o estudo e o processo de avaliação dos sistemas informatizados e controles internos automatizados da entidade auditada são fatores relevantes no planejamento dos trabalhos desse tipo de auditoria e, principalmente, na análise do risco de emissão de opinião tecnicamente incorreta sobre demonstrações contábeis elaboradas e processos de gestão.
Consequentemente, deveriam ser objeto de uma gama de normas formais que possam oferecer ao auditor de sistemas as ferramentas necessárias para executar a contento suas atividades, bem como para consubstanciar adequadamente seu processo de julgamento e expressão de opinião sobre os sistemas e controles internos automatizados que suportam as demonstrações contábeis.
Algumas inquietações surgem diante da magnitude da responsabilidade e da complexidade das tarefas que a atividade do auditor de sistemas assume cada vez mais, quando se propõe a opinar sobre os sistemas que suportam as demonstrações contábeis de uma entidade. Principalmente, considerando que é cada vez mais importante para o sucesso e sobrevivência de uma organização, o gerenciamento efetivo da informação e da respectiva Tecnologia de Informação (TI), considerando:
· A crescente dependência de informações e dos sistemas que proveem essas informações;
· As crescentes vulnerabilidades e um amplo espectro de ameaças à segurança da informação e dos sistemas de informação;
· A escala e o custo dos investimentos atuais e futuros em informações e sistemas de informação;
· O potencial das tecnologias em mudar dramaticamente as organizações e as práticas de negócios, criando novos riscos e ameaças aos controles internos.
Para muitas organizações, a informação e a tecnologia que suportam o negócio representa o seu mais valioso recurso. Além disso, num ambiente de negócio altamente competitivo e dinâmico é requerida uma excelente habilidade gerencial, onde a TI deve suportar as tomadas de decisões de forma rápida, constante e com custos cada vez mais baixos. Muitas organizações reconhecem os benefícios potenciais que a tecnologia pode propiciar. Entretanto, somente as organizações de sucesso compreendem e administram os riscos associados à implementação de novas tecnologias.
A Tecnologia da Informação também está ganhando uma importância cada vez maior para as instituições financeiras do mundo todo. Com o desenvolvimento dos negócios globalizados, a informação tornou-se cada vez mais disponível a partir de novos pontos de acesso em qualquer parte do planeta, ao preço de ficar mais exposta, trazendo assim novos riscos a essas instituições.
Essa globalização favoreceu a ocorrência de diversos problemas de segurança, que contribuíram para essa crescente preocupação com o controle efetivo de suas operações e com o acesso a essas informações, tais como:
· Aumento do número de fraudes;
· Aumento de operações de lavagem de dinheiro;
· Aumento de erros nessas instituições;
· Perda ou roubo de informações financeiras.
Paralelamente, com o aumento destes problemas – resultantes da ineficiência dos sistemas de qualidade e segurança – além da possibilidade de descontinuidade das operações com impactos alarmantes que afetam toda uma cadeia de fornecimento de bens e serviços, muitas corporações passaram a ser fortemente regulamentadas por leis e regulamentações cada vez mais rigorosas. As recentes mudanças no ambiente regulamentar, como o surgimento da Lei Sarbanes-Oxley, lei federal americana editada em 2002 pelo Congresso e Governo dos EUA, entre outros, afetarão todos os segmentos do mercado por exigirem que as organizações que participam do sistema financeiro adotem melhores práticas de gestão de riscos e gestão operacional.
A gestão de riscos proporciona as condições necessárias para a instituição identificar os fatores de risco inerentes às suas posições e seu respectivo dimensionamento, de modo a estimar o tamanho das perdas potenciais e determinar a necessidade de capital econômico para sua cobertura. O processo de gestão operacional consiste na identificação dos riscos de segurança a que o negócio está exposto. Através de uma avaliação sistemática que visa o mapeamento das ameaças e vulnerabilidades operacionais, a empresa conhece os riscos a que está exposta e pode preparar-se para evitá-los.
O mundo corporativo tem visto que estas mudanças não impactam somente as áreas de contabilidade e finanças das instituições, mas na empresa como um todo. A alta administração dessas organizações está continuamente em busca de modelos mais eficientes e na eficácia de sua Governança Corporativa. A expressão “Governança Corporativa” é definida pelo Instituto Brasileiro de Governança Corporativa (IBGC) como um sistema pelo qual as empresas são dirigidas e monitoradas, envolvendo os relacionamentos entre acionistas e cotistas, conselho de administração, diretoria, auditoria independente e conselho fiscal. Uma boa Governança Corporativa deve se basear numa análise criteriosa da adequação dos processos, da cultura e da disciplina organizacional, recursos humanos e tecnologia, e na aplicação de controles rigorosos, preventivos e detectivos no gerenciamento dos riscos.
Porém, para uma Governança Corporativa adequada, a área de TI da empresa deve estar com os processos de TI devidamente alinhados aos negócios da corporação, para garantir o retorno de investimentos e adição de melhorias nos processos empresariais. A Governança de TI tem a mesma filosofia da Governança Corporativa, no entanto, voltada exclusivamente à área de tecnologia. Conforme destacado no documento Board Briefing on IT Governance, publicado pelo IT Governance Institute [7], a Governança de TI trata basicamente de:
· Alinhamento e entrega de valor por parte da área de TI para o negócio;
· Correta alocação e medição dos recursos envolvidos;
· A mitigação dos riscos em TI.
De forma cada vez mais crescente, torna-se necessário definir, para a TI, objetivos para atender aos requisitos próprios do negócio e também aos da segurança das informações processadas, armazenadas e transmitidas. A área de TI das instituições deverá aumentar a necessidade de foco no planejamento estratégico, garantindo que os processos de TI estejam devidamente alinhados às estratégias de negócios, fornecendo desempenho, disponibilidade, integridade e segurança da informação à organização.
...
