início | contabilidade

NBC-TA-315 - RISCOS DE DISTORÇÃO RELEVANTE - APÊNDICE 5 - TECNOLOGIA DA INFORMAÇÃO (TI)

NBC - NORMAS BRASILEIRAS DE CONTABILIDADE

NBC-T - NORMAS TÉCNICAS

NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE

NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE POR MEIO DO ENTENDIMENTO DA ENTIDADE E DO SEU AMBIENTE

APÊNDICE 5 (ver item 25(a), item 26(b) e (c), item A94 e itens de A166 a A172)

Considerações para entendimento da TECNOLOGIA DA INFORMAÇÃO (TI)

Este Apêndice fornece considerações adicionais que o auditor pode considerar para entender o uso de TI pela entidade em seu sistema de controles internos.

Entendimento do uso pela entidade da tecnologia da informação nos componentes do sistema de controles internos da entidade
Entendimento do uso pela entidade da tecnologia da informação no sistema de informações
Tecnologias emergentes
Escalabilidade
Identificação de aplicativos de TI sujeitos a riscos decorrentes do uso de TI
Computação de usuário final
Escalabilidade
Outros aspectos do ambiente de TI sujeitos a riscos decorrentes do uso de TI
Identificação de riscos decorrentes do uso de TI e controles gerais de TI

Coletânea por Américo G Parada Fº - Contador - Coordenador do COSIFE

Entendimento do uso pela entidade da tecnologia da informação nos componentes do sistema de controles internos da entidade

1. O sistema de controles internos da entidade contém elementos manuais e elementos automatizados (isto é, controles manuais e automatizados e outros recursos utilizados no sistema de controles internos da entidade).
A combinação de elementos manuais e automatizados varia conforme a natureza e a complexidade do uso de TI pela entidade.
O uso de TI pela entidade afeta a maneira como as informações relevantes para a elaboração das demonstrações contábeis de acordo com a estrutura de relatório financeiro aplicável são processadas, armazenadas e comunicadas e afeta, portanto, a maneira como o sistema de controles internos da entidade é planejado e implementado.
Cada componente do sistema de controles internos da entidade pode usar TI em alguma extensão. De modo geral, a TI beneficia o sistema de controles internos da entidade, permitindo à entidade:

aplicar consistentemente regras de negócio pré-definidas e realizar cálculos complexos no processamento de grandes volumes de transações ou dados;
aprimorar a tempestividade, a disponibilidade e a exatidão das informações;
facilitar a análise adicional das informações;
aprimorar a capacidade de monitorar o desempenho das atividades da entidade e de suas políticas e procedimentos; • reduzir o risco de que os controles sejam transgredidos; e
aprimorar a capacidade de conseguir segregação eficaz de funções por meio da implementação de controles de segurança em aplicativos de TI, bases de dados e sistemas operacionais.

2. As características dos elementos manuais e automatizados são relevantes para a identificação e a avaliação de riscos de distorção relevante pelo auditor e para os procedimentos adicionais de auditoria baseados nos mesmos.
Controles automatizados podem ser mais confiáveis do que controles manuais porque não podem ser facilmente contornados, ignorados ou transgredidos e também são menos propensos a erros simples.
Controles automatizados podem ser mais efetivos que os manuais nas seguintes circunstâncias:

grande volume de transações recorrentes ou situações em que erros que possam ser previstos ou antecipados possam ser evitados ou detectados e corrigidos, por meio de automação;
atividades de controle em que maneiras específicas de realizar o controle possam ser adequadamente planejadas e automatizadas.

Entendimento do uso pela entidade da tecnologia da informação no sistema de informações (ver item 25(a))

3. O sistema de informações da entidade pode incluir o uso de elementos manuais e automatizados, que também afetam o modo como as transações são iniciadas, registradas, processadas e comunicadas.
Em particular, os procedimentos para iniciar, registrar, processar e comunicar transações podem ser realizados por meio de aplicativos de TI usados pela entidade da forma em que ela configurou esses aplicativos.
Além disso, registros no formato de informações digitais podem substituir ou complementar registros em papel.

4. Ao obter entendimento do ambiente de TI relevante para os fluxos de transações e o processamento de informações no sistema de informações, o auditor coleta informações sobre a natureza e as características dos aplicativos de TI usados, bem como da infraestrutura de suporte para TI e do TI.
A tabela a seguir inclui exemplos de assuntos que o auditor pode considerar ao obter entendimento do ambiente de TI, além de exemplos de características típicas de ambientes de TI com base na complexidade dos aplicativos de TI usados no sistema de informações da entidade.
Entretanto, essas características são direcionais e podem diferir dependendo da natureza das aplicações de TI específicas em uso pela entidade.

Exemplos de características típicas de:
	Software comercial não complexo	Software comercial ou aplicativos de TI de médio porte e moderadamente complexos	Aplicativos de TI de grande porte ou complexos (por exemplo, sistemas ERP)
Assuntos relacionados com a extensão de automação e uso de dados:
A extensão de procedimentos automatizados para processamento e a complexidade desses procedimentos, incluindo se existe processamento altamente automatizado e sem papel.	N/A	N/A	Procedimentos automatizados extensos e frequentemente complexos.• A extensão da confiança da entidade em relatórios gerados por sistema no processamento de informações
A extensão da confiança da entidade em relatórios gerados por sistema no processamento de informações.	Lógica de relatório automatizado simples.	Lógica de relatório automatizado relevante simples.	Lógica de relatório automatizado complexa; software gerador de relatório.
O modo como os dados são inseridos (isto é, inserção manual, inserção de cliente ou fornecedor ou carregamento de arquivo).	Inserção manual de dados.	Pequena quantidade de dados inseridos ou interfaces simples.	Grande quantidade de dados inseridos ou interfaces complexas.
Como a TI facilita a comunicação entre aplicativos, bases de dados ou outros aspectos do ambiente de TI, interna e externamente, conforme apropriado, por meio de interfaces de sistemas.	Nenhuma interface automatizada (somente inserções manuais).	Pequena quantidade de dados inseridos ou interfaces simples.	Grande quantidade de dados inseridos ou interfaces complexas.
O volume e a complexidade dos dados em formato digital sendo processados pelo sistema de informações, incluindo se os registros contábeis ou outras informações são armazenados em formato digital e o local em que os dados estão armazenados.	Baixo volume de dados ou dados simples que podem ser verificados manualmente; dados disponíveis no local.	Baixo volume de dados ou dados simples.	Grande volume de dados ou dados complexos; armazéns de dados; uso de provedores de serviço de TI internos ou externos (por exemplo, armazenamento ou hospedagem de dados terceirizada).
Assuntos relacionados com aplicativos de TI e infraestrutura de TI:
O tipo de aplicativo (por exemplo, aplicativo comercial com pouca ou nenhuma personalização, aplicativo altamente personalizado ou altamente integrado que pode ter sido comprado e personalizado ou desenvolvido internamente).	Aplicativo comprado com pouca ou nenhuma personalização.	Aplicativo comprado ou aplicativo legado simples ou aplicativo ERP de pequena capacidade com pouca ou nenhuma personalização.	Aplicativos desenvolvidos de forma personalizada ou sistemas ERP mais complexos altamente personalizados.
A complexidade e a natureza dos aplicativos de TI e a infraestrutura de TI subjacente.	Solução simples de laptop ou baseada em cliente-servidor.	Mainframe maduro e estável, servidor pequeno ou simples de cliente, software como serviço para computação em nuvem.	Mainframe complexo, servidor grande ou complexo de cliente, infraestrutura baseada na internet como serviço para computação em nuvem.
Se existe hospedagem terceirizada ou terceirização de TI.	Se terceirizado, provedor comprovadamente competente e maduro (por exemplo, provedor de nuvem).	Se terceirizado, provedor comprovadamente competente e maduro (por exemplo, provedor de nuvem).	Provedor comprovadamente competente e maduro para certos aplicativos, provedor novo ou recémlançado para outros.
Se a entidade está usando tecnologias emergentes que afetam seus relatórios financeiros.	Não usa tecnologias emergentes.	Uso limitado de tecnologias emergentes em alguns aplicativos.	Uso combinado de tecnologias emergentes nas plataformas.
O pessoal envolvido na manutenção do ambiente de TI (quantidade e nível de qualificação dos profissionais de suporte de TI que gerenciam a segurança e as mudanças no ambiente de TI)	Pouco pessoal com conhecimento limitado de TI para processar atualizações de fornecedores e gerenciar o acesso.	Pouco pessoal com qualificação em TI ou dedicadas a TI.	Departamentos de TI dedicados com pessoal qualificado, incluindo habilidades de programação
A complexidade dos processos para gerenciar os direitos de acesso.	Um único indivíduo com acesso administrativo gerencia os direitos de acesso.	Alguns indivíduos com acesso administrativo gerenciam os direitos de acesso.	Processos complexos gerenciados pelo departamento de TI para direitos de acesso.
A complexidade da segurança do ambiente de TI, incluindo a vulnerabilidade dos aplicativos de TI, das bases de dados e de outros aspectos do ambiente de TI em relação a riscos cibernéticos, particularmente quando existem transações baseadas na internet ou transações envolvendo interfaces externas.	Acesso simples no local sem elementos externos baseados na internet.	Alguns aplicativos baseados na internet com segurança simples primariamente baseada em função.	Múltiplas plataformas com acesso baseado na internet e modelos de segurança complexos.
Se as alterações de programa foram feitas de maneira que as informações sejam processadas, e a extensão dessas alterações durante o período.	Software comercial sem código-fonte instalado.	Alguns aplicativos comerciais sem código-fonte instalado e outros aplicativos maduros com poucas alterações ou alterações simples, ciclo de vida de desenvolvimento de sistemas tradicional.	Alterações novas, em grande quantidade ou complexas, vários ciclos de desenvolvimento por ano.
A extensão das mudanças no ambiente de TI (por exemplo, novos aspectos do ambiente de TI, alterações significativas nos aplicativos de TI ou na infraestrutura de TI subjacente).	Mudanças limitadas às atualizações de versões de software comercial.	Mudanças consistem em atualizações de software comercial, atualizações de versão ERP ou aprimoramentos de sistemas legados.	Alterações novas, em grande quantidade ou complexas, vários ciclos de desenvolvimento por ano, ERP altamente personalizado.
Se houve conversão de dados importante durante o período e, em caso afirmativo, a natureza e importância das alterações feitas e o modo como a conversão foi realizada	Atualizações de software fornecidas pelo fornecedor; nenhum recurso de conversão de dados para atualização.	Pequenas atualizações de versão de aplicativos de software comercial com dados limitados sendo convertidos.	Grandes atualizações de versão, nova versão, mudança de plataforma.

Tecnologias emergentes

5. As entidades podem usar tecnologias emergentes (por exemplo, blockchain (protocolo de confiança), robótica ou inteligência artificial) porque essas tecnologias podem apresentar oportunidades específicas para aumentar as eficiências operacionais ou aprimorar a apresentação de relatórios financeiros.
Quando as tecnologias emergentes são usadas no sistema de informações da entidade que são relevantes para a elaboração das demonstrações contábeis, o auditor pode incluir essas tecnologias na identificação de aplicativos de TI e de outros aspectos do ambiente de TI que estão sujeitos a riscos decorrentes do uso de TI.
Embora as tecnologias emergentes pareçam ser mais sofisticadas ou complexas em comparação com as tecnologias existentes, as responsabilidades do auditor em relação a aplicativos de TI e controles gerais de TI identificados, de acordo com o item 26(b) e (c), permanecem inalteradas.

Escalabilidade

6. O entendimento do ambiente de TI da entidade pode ser mais facilmente obtido para entidade menos complexa que usa software comercial e quando a entidade não tem acesso ao código-fonte para fazer alterações nos programas.
Essas entidades podem não ter profissionais de TI dedicados, mas podem ter uma pessoa designada na função de administrador para fins de conceder acesso aos empregados ou instalar atualizações das aplicações de TI fornecidas pelo fornecedor.
Assuntos específicos que o auditor pode considerar para entender a natureza de um pacote comercial de software de contabilidade, que pode ser um único aplicativo de TI usado por entidade menos complexa em seu sistema de informações, podem incluir:

a extensão em que o software é bem estabelecido e tem boa reputação em termos de confiabilidade;
a extensão em que é possível para a entidade modificar o código-fonte do software para incluir módulos adicionais (isto é, suplementos) no software de base ou para fazer alterações diretas nos dados;
a natureza e a extensão das modificações que foram feitas no software. Embora a entidade possa não conseguir modificar o código-fonte do software, muitos pacotes de software permitem configurar (por exemplo, determinar ou alterar parâmetros de reporte). Geralmente isso não envolve modificações no código-fonte. Contudo, o auditor pode considerar a extensão em que a entidade consegue configurar o software ao considerar a integridade e a precisão das informações produzidas pelo software que são usadas como evidência de auditoria; e
a extensão em que os dados relacionados com a elaboração das demonstrações contábeis podem ser diretamente acessados (isto é, acesso direto à base de dados sem usar o aplicativo de TI) e o volume de dados que é processado. Quanto maior o volume de dados, maior a probabilidade de a entidade precisar de controles que tratem da manutenção da integridade dos dados, que podem incluir controles gerais de TI de acesso não autorizado e alterações nos dados.

7. Ambientes de TI complexos podem incluir aplicativos de TI altamente personalizados ou altamente integrados e podem, portanto, requerer mais esforço para entender os processos de apresentação de relatórios financeiros ou os aplicativos de TI podem estar integrados a outros aplicativos de TI.
Essa integração pode envolver aplicativos de TI que são usados nas operações comerciais da entidade e que fornecem informações para os aplicativos de TI relevantes para os fluxos de transações e o processamento de informações no sistema de informações da entidade.
Nessas circunstâncias, certos aplicativos de TI usados nas operações comerciais da entidade também podem ser relevantes para a elaboração das demonstrações contábeis.
Ambientes de TI complexos também podem requerer departamentos de TI dedicados com processos de TI estruturados suportados por pessoal com habilidades em desenvolvimento de software e manutenção de ambiente de TI.
Em outros casos, a entidade pode usar prestadores de serviço internos ou externos para gerenciar certos aspectos do ambiente de TI ou de processos no ambiente de TI (por exemplo, hospedagem terceirizada).

Identificação de aplicativos de TI sujeitos a riscos decorrentes do uso de TI

8. Por meio do entendimento da natureza e da complexidade do ambiente de TI da entidade, incluindo a natureza e a extensão dos controles de processamento de informações, o auditor pode determinar em quais aplicativos de TI a entidade confia para processar e manter de maneira precisa a integridade das informações financeiras.
A identificação dos aplicativos de TI nos quais a entidade confia pode afetar a decisão do auditor de testar os controles automatizados nesses aplicativos, assumindo que esses controles automatizados tratam dos riscos identificados de distorção relevante.
Por outro lado, se a entidade não confia no aplicativo de TI, provavelmente os controles automatizados nesse aplicativo não são apropriados ou suficientemente precisos para fins de testes de efetividade operacional.
Os controles automatizados que podem ser identificados, de acordo com o item 26(b), incluem, por exemplo, cálculos ou inserções automatizados, controles de processamento e saídas, tais como uma correlação tripla envolvendo pedido de compra, documento de embarque do fornecedor e fatura do fornecedor.
Quando o auditor identifica controles automatizados e determina, por meio do entendimento do ambiente de TI, que a entidade confia no aplicativo de TI que inclui esses controles automatizados, pode ser mais provável que ele identifique o aplicativo de TI como estando sujeito a riscos decorrentes do uso de TI.

9. Ao considerar se os aplicativos de TI para os quais o auditor identificou controles automatizados estão sujeitos a riscos decorrentes do uso de TI, é provável que o auditor considere se e em que extensão a entidade pode ter acesso ao código-fonte que possibilita à administração fazer alterações no programa desses controles ou dos aplicativos de TI.
A extensão em que a entidade faz alterações em programas ou configurações e a extensão em que os processos de TI sobre essas alterações são formalizados também podem ser considerações relevantes.
É provável, também, que o auditor considere o risco de acesso indevido ou alterações de dados.

10. Os relatórios gerados por sistema que o auditor pode pretender usar como evidência de auditoria podem incluir, por exemplo, relatório de vencimentos de contas a receber ou relatório de avaliação de estoque.
Para esses relatórios, o auditor pode obter evidência de auditoria sobre a integridade e a precisão dos relatórios, testando de forma substancial as entradas e saídas do relatório.
Em outros casos, o auditor pode planejar testar a efetividade operacional dos controles em relação à elaboração e à manutenção do relatório, caso em que o aplicativo de TI pelo qual ele é produzido está provavelmente sujeito a riscos decorrentes do uso de TI.
Além de testar a integridade e precisão do relatório, o auditor pode planejar testar a efetividade operacional dos controles gerais de TI que tratam dos riscos relacionados com alterações inadequadas ou não autorizadas de programas ou de dados referentes ao relatório.

11. Alguns aplicativos de TI podem incluir uma funcionalidade de geração de relatório enquanto algumas entidades também podem utilizar aplicativos separados para geração de relatórios (isto é, geradores de relatório).
Nesses casos, o auditor pode precisar determinar as fontes dos relatórios gerados por sistema (isto é, o aplicativo que elabora o relatório e as fontes de dados usadas pelo relatório) para determinar os aplicativos de TI sujeitos a riscos decorrentes do uso de TI.

12. As fontes de dados usadas pelos aplicativos de TI podem ser bases de dados que, por exemplo, podem ser acessadas somente por meio do aplicativo de TI ou pelo pessoal de TI com privilégios de gerenciamento de base de dados.
Em outros casos, a fonte de dados pode ser um armazém de dados que pode inclusive ser considerado um aplicativo de TI sujeito a riscos decorrentes do uso de TI.

13. O auditor pode ter identificado um risco para o qual apenas procedimentos substantivos não são suficientes devido ao uso pela entidade de processamento de transações altamente automatizado e sem papel, que pode envolver múltiplos aplicativos de TI integrados.
Nessas circunstâncias, os controles identificados pelo auditor provavelmente incluem controles automatizados.
Ainda, a entidade pode confiar em controles gerais de TI para manter a integridade das transações processadas e de outras informações usadas no processamento.
Nesses casos, os aplicativos de TI envolvidos no processamento e no armazenamento das informações são provavelmente sujeitos a riscos decorrentes do uso de TI.

Computação de usuário final

14. Embora a evidência de auditoria também possa vir na forma de resultado gerado por sistema que é usado em cálculo realizado em uma ferramenta relacionada com computação de usuário final (por exemplo, software de planilha ou bases de dados simples), essas ferramentas normalmente não são identificadas como aplicativos de TI no contexto do item 26(b).
O planejamento e a implementação de controles de acesso e alterações às ferramentas relacionadas com computação de usuário final podem ser um desafio, e esses controles raramente são equivalentes aos controles gerais de TI ou tão efetivos quanto eles.
Em vez disso, o auditor pode considerar uma combinação de controles de processamento de informações, levando em consideração o propósito e a complexidade da computação do usuário final envolvidos, tais como:

controles de processamento de informações sobre a iniciação e o processamento dos dados fonte, incluindo controles automatizados ou de interface relevantes no ponto em que os dados são extraídos (isto é, armazém de dados);
controles para verificar se a lógica está funcionando conforme pretendido, por exemplo, controles que “comprovem” a extração de dados, tais como conciliação do relatório com os dados dos quais é derivado, comparando os dados individuais do relatório com a fonte e vice versa, e controles que verificam as fórmulas ou macros; ou
uso de ferramentas de software de validação, que verifica sistematicamente as fórmulas ou macros, tais como ferramentas de integridade de planilhas.

Escalabilidade

15. A capacidade da entidade de manter a integridade das informações armazenadas e processadas no sistema de informações pode variar com base na complexidade e no volume das transações relacionadas e de outras informações.
Quanto maior a complexidade e o volume de dados que suportam uma classe de transações, saldo contábil ou divulgação significativa, menor a probabilidade de a entidade manter a integridade dessas informações somente por meio de controles de processamento de informações (por exemplo, controles de entrada e saída ou controles de revisão).
Também é menos provável que o auditor seja capaz de obter evidência de auditoria sobre a integridade e a precisão dessas informações somente testando de forma substancial quando essas informações são usadas como evidência de auditoria.
Em algumas circunstâncias, quando o volume e a complexidade das transações são menores, a administração pode ter um controle de processamento de informações que é suficiente para verificar a precisão e a integridade dos dados (por exemplo, pedidos de venda individuais processados e faturados podem ser conciliados com as vias impressas originalmente inseridas no aplicativo de TI).
Quando a entidade confia em controles gerais de TI para manter a integridade de certas informações usadas pelos aplicativos de TI, o auditor pode determinar que os aplicativos de TI que mantêm essas informações estão sujeitos a riscos decorrentes do uso de TI.

Exemplos de características de aplicativo de TI que, provavelmente, não está sujeito a riscos decorrentes:	Exemplos de características de aplicativo de TI que, provavelmente, está sujeito a riscos decorrentes:
- de aplicativos independentes; - do volume de dados (transações) não ser significativo; - da funcionalidade do aplicativo não ser complexa; - de cada transação ser suportada por documentação impressa original.	- dos aplicativos terem interfaces; - do volume de dados (transações) ser significativo; - da funcionalidade do aplicativo ser complexa, como: - - o aplicativo inicia as transações automaticamente; e - - existem vários cálculos complexos subjacentes às entradas automatizadas.
O aplicativo de TI, provavelmente, não está sujeito a riscos decorrentes de TI porque: - o volume de dados não é significativo e, portanto, a administração não confia em controles gerais de TI para processar ou manter os dados; - a administração não confia em controles automatizados ou em outra funcionalidade automatizada; o auditor não identificou controles automatizados de acordo com o item 26(a); - embora a administração use relatórios gerados por sistema em seus controles, ela não confia nesses relatórios. Em vez disso, ela concilia os relatórios com a documentação impressa e verifica os cálculos nos relatórios; - o auditor deve testar diretamente as informações produzidas pela entidade como evidência de auditoria.	O aplicativo de TI, provavelmente, está sujeito a riscos decorrentes de TI porque: - a administração confia em sistema de aplicativo para processar ou manter os dados uma vez que o volume de dados é significativo; - a administração confia em sistema de aplicativo para realizar certos controles automatizados que o auditor também identificou.

Outros aspectos do ambiente de TI sujeitos a riscos decorrentes do uso de TI

16. Quando o auditor identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI, outros aspectos do ambiente de TI normalmente também estão sujeitos a riscos decorrentes do uso de TI.
A infraestrutura de TI inclui as bases de dados, o sistema operacional e a rede. As bases de dados armazenam os dados usados pelos aplicativos de TI e podem consistir em diversas tabelas de dados inter-relacionadas.
Os dados nas bases de dados também podem ser acessados diretamente por meio de sistemas de gerenciamento da base de dados por TI ou por outro pessoal com privilégios de gerenciamento de base de dados.
O sistema operacional é responsável por gerenciar as comunicações entre hardware, aplicativos de TI e outros softwares usados na rede.
Dessa forma, os aplicativos de TI e as bases de dados podem ser acessados diretamente por meio do sistema operacional.
A rede é usada na infraestrutura de TI para transmitir dados e compartilhar informações, recursos e serviços por meio de ligação de comunicações comum.
Normalmente, a rede também estabelece uma camada de segurança lógica (habilitada pelo do sistema operacional) para acessar os recursos subjacentes.

17. Quando os aplicativos de TI são identificados pelo auditor como estando sujeitos a riscos decorrentes do uso de TI, as bases de dados que armazenam os dados processados pelo aplicativo de TI identificado também são normalmente identificadas.
Da mesma forma, pelo fato de a capacidade do aplicativo de TI operar ser muitas vezes dependente do sistema operacional e de aplicativos de TI e as bases de dados poderem ser diretamente acessadas no sistema operacional, o sistema operacional normalmente está sujeito a riscos decorrentes do uso de TI.
A rede pode ser identificada quando ela é um ponto central de acesso aos aplicativos de TI identificados e às bases de dados relacionadas, ou quando o aplicativo de TI interage com fornecedores ou partes externas pela internet, ou quando aplicativos de TI baseados na internet são identificados pelo auditor.

Identificação de riscos decorrentes do uso de TI e controles gerais de TI

18. Exemplos de riscos decorrentes do uso de TI incluem riscos relacionados com confiança inadequada em aplicativos de TI que processam dados de maneira imprecisa ou processam dados imprecisos, ou os dois, tais como:

acesso não autorizado a dados, que pode resultar em destruição de dados ou modificações inadequadas de dados, incluindo o registro de transações não autorizadas, inexistentes ou o registro incorreto de transações.
Podem surgir riscos específicos quando múltiplos usuários têm acesso à base de dados comum;
a possibilidade de que o pessoal de TI consiga acesso privilegiado além do necessário para realizar os deveres a ele atribuído, rompendo assim a segregação de funções;
modificações não autorizadas de dados nos arquivos-mestres;
modificações não autorizadas em aplicativos de TI ou outros aspectos do ambiente de TI;
falha na realização de modificações necessárias em aplicativos de TI ou outros aspectos do ambiente de TI; • intervenção manual inadequada;
perda potencial de dados ou incapacidade de acessar dados como exigido.

19. A consideração do auditor sobre acesso não autorizado pode incluir riscos relacionados com acesso não autorizado por partes internas ou externas (muitas vezes referidos como riscos de segurança cibernética).
Esses riscos podem não necessariamente afetar os relatórios financeiros, uma vez que o ambiente de TI da entidade também pode incluir aplicativos de TI e dados relacionados que tratam das necessidades operacionais ou de conformidade.
É importante notar que incidentes cibernéticos geralmente ocorrem primeiro por meio do perímetro e das camadas internas da rede, que tendem a ser removidos do aplicativo de TI, da base de dados e dos sistemas operacionais que afetam a elaboração das demonstrações contábeis.
Consequentemente, se as informações sobre uma violação de segurança foram identificadas, o auditor, normalmente, considera até que ponto essa violação tem o potencial de afetar os relatórios financeiros.
Se os relatórios financeiros podem ser afetados, o auditor pode decidir entender e testar os controles relacionados para determinar o possível impacto, o escopo de potenciais distorções nas demonstrações contábeis ou pode determinar que a entidade forneceu divulgações adequadas em relação a essa violação de segurança.

20. Além disso, leis e regulamentos, que podem ter efeito direto ou indireto sobre as demonstrações contábeis da entidade, podem incluir legislação de proteção de dados.
Considerar a conformidade da entidade com essas leis e esses regulamentos, de acordo com a NBC-TA-250, pode envolver o entendimento dos processos de TI dessa entidade e dos controles gerais de TI implementados pela entidade para tratar das leis e dos regulamentos relevantes.

21. São implementados controles gerais de TI para tratar dos riscos decorrentes do uso de TI.
Consequentemente, o auditor usa o entendimento obtido sobre os aplicativos de TI identificados e sobre outros aspectos do ambiente de TI e os riscos decorrentes do uso de TI para determinar os controles gerais de TI a serem identificados.
Em alguns casos, a entidade pode usar processos de TI comuns em todo o seu ambiente de TI ou em certos aplicativos de TI, caso em que os riscos comuns decorrentes do uso de TI e os controles gerais comuns podem ser identificados.

22. Em geral, é provável que seja identificada uma quantidade maior de controles gerais de TI relacionados com aplicativos de TI e bases de dados do que com outros aspectos do ambiente de TI. Isso ocorre porque esses aspectos são os mais ligados com o processamento de informações e o armazenamento das informações no sistema de informações da entidade.
Ao identificar controles gerais de TI, o auditor pode considerar controles tanto de ações dos usuários finais quanto do pessoal de TI da entidade ou de provedores de serviços de TI.

23. O Apêndice 6 fornece explicações adicionais sobre a natureza dos controles gerais de TI normalmente implementados para diferentes aspectos do ambiente de TI.
Além disso, são fornecidos exemplos de controles gerais de TI para diferentes processos de TI.

(...)

Quer ver mais? Assine o Cosif Digital!

NOTA BIBLIOGRÁFICA

PARADA FILHO, Américo Garcia. "NBC-TA-315 - RISCOS DE DISTORÇÃO RELEVANTE - APÊNDICE 5 - TECNOLOGIA DA INFORMAÇÃO (TI)". COSIF Eletrônico - Portal de Contabilidade. São Paulo, 12/02/2022. CONTABILIDADE. Disponível em https://www.cosif.com.br/mostra.asp?arquivo=nbcta315ap5. Acessado domingo, 7 de dezembro de 2025.

QR CODE - MOBILE LINK

Esta obra está licenciada pelas regras da Creative Commons Atribuição-NãoComercial-CompartilhaIgual 4.0 Internacional.

Cosif-e