NBC-TA-315 - RISCOS DE DISTORÇÃO RELEVANTE - APÊNDICE 6 - CONTROLES GERAIS DE TI

NBC - NORMAS BRASILEIRAS DE CONTABILIDADE

NBC-T - NORMAS TÉCNICAS

NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE

NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE POR MEIO DO ENTENDIMENTO DA ENTIDADE E DO SEU AMBIENTE

APÊNDICE 6 (ver item 25(c)(ii) e itens A173 e A174)

Considerações para entendimento dos controles gerais de TI

Este Apêndice fornece assuntos adicionais que o auditor pode considerar para entender os controles gerais de TI.

1. A natureza dos controles gerais de TI normalmente implementados para cada um dos aspectos do ambiente de TI:

(a) Aplicativos
- Os controles gerais de TI no nível de aplicativos de TI estão relacionados com a natureza e a extensão da funcionalidade do aplicativo e com as rotas de acesso permitidas pela tecnologia. Por exemplo, mais controles são relevantes para aplicativos de TI altamente integrados com opções de segurança complexas do que para aplicativo de TI legado que suporta uma quantidade pequena de saldos contábeis com métodos de acesso somente por meio de transações.
(b) Base de dados
- Os controles gerais no nível de base de dados normalmente tratam dos riscos decorrentes do uso de TI relacionados com atualizações não autorizadas para informações de relatórios financeiros na base de dados por meio de acesso direto à base de dados ou execução de script ou programa.
(c) Sistema operacional
- Os controles gerais de TI no nível do sistema operacional normalmente tratam dos riscos decorrentes do uso de TI relacionados com acesso administrativo, que podem facilitar a transgressão de outros controles. Isso inclui ações como comprometer as credenciais de outros usuários, adicionar usuários novos não autorizados, carregar malware, executar scripts ou outros programas não autorizados.
(d) Rede
- Os controles gerais de TI no nível de rede normalmente tratam dos riscos decorrentes do uso de TI relacionados com segmentação, acesso remoto e autenticação de rede. Os controles de rede podem ser relevantes quando a entidade tem aplicativos baseados na internet utilizados em relatórios financeiros. Os controles de rede também podem ser relevantes quando a entidade tem relações com parceiros de negócios ou terceirizações significativas, que podem aumentar as transmissões de dados e a necessidade de acesso remoto.

2. Exemplos de controles gerais de TI que podem existir, organizados por processo de TI, incluem:

(a) Processo para gerenciamento de acesso:
- Autenticação
  Controles que asseguram que o usuário que está acessando o aplicativo de TI ou outro aspecto do ambiente de TI está usando suas próprias credenciais de login (isto é, o usuário não está usando as credenciais de outro usuário).
- Autorização
  Controles que permitem que os usuários acessem as informações necessárias para as responsabilidades do seu trabalho e nada além, que facilitam a apropriada segregação de funções.
- Provisionamento
  Controles para autorizar novos usuários e modificações em privilégios de acesso a usuários existentes.
- Desprovisionamento
  Controles para remover o acesso de usuários no final ou transferência.
- Acesso privilegiado
  Controles de acesso administrativo ou de usuários com amplo acesso.
- Revisões de acesso ao usuário
  Controles para recertificar ou avaliar o acesso a usuário para autorização contínua ao longo do tempo.
- Controles de configuração de segurança
  Cada tecnologia geralmente tem definições de configuração-chave que auxiliam a restringir o acesso ao ambiente.
- Acesso físico
  Controles do acesso físico ao centro de dados e hardware, uma vez que esse acesso pode ser usado para transgredir outros controles.
(b) Processo para gerenciamento de programa ou outras alterações no ambiente de TI:
- Processo de gerenciamento de alterações
  Controles do processo de planejamento, programação, teste e migração de alterações para ambiente de produção (isto é, usuário final).
- Segregação de funções durante migração de alterações
  Controles que segregam o acesso para fazer e migrar alterações para ambiente de produção.
- Desenvolvimento, aquisição ou implementação de sistemas
  Controles do desenvolvimento ou da implementação de aplicativo de TI inicial (ou em relação a outros aspectos do ambiente de TI).
- Conversão de dados
  Controles da conversão de dados durante o desenvolvimento, a implementação ou atualizações do ambiente de TI.
(c) Processo de gerenciamento de operações de TI
- Programação de tarefas
  Controles do acesso a programação e iniciação de tarefas ou programas que podem afetar os relatórios financeiros.
- Monitoramento de tarefas
  Controles para monitorar tarefas ou programas relacionados com relatórios financeiros para uma execução bem sucedida.
- Backup e recuperação
  Controles para assegurar que os backups de dados de relatórios financeiros ocorram conforme planejado, que esses dados estejam disponíveis e que possam ser acessados para a recuperação tempestiva no caso de interrupção ou ataque.
- Detecção de intrusão
  Controles para monitorar vulnerabilidades e/ou intrusões no ambiente de TI.

A tabela a seguir apresenta exemplos de controles gerais de TI para tratar de exemplos de riscos decorrentes do uso de TI, incluindo para diferentes aplicativos de TI com base em sua natureza.

Processo	Riscos	Controles	aplicativos de TI de médio porte e moderadamente complexos – aplicável (sim / não)Aplicativos de TI
Processo de TI	Exemplos de riscos decorrentes do uso de TI	Exemplos de controles gerais de TI	Software comercial não complexo – aplicável (sim / não)	Software comercial ou aplicativos de TI de médio porte e moderadamente complexos – aplicável (sim / não)	Aplicativo de TI de grande porte complexo (por exemplo sistemas ERP) aplicável (sim / não
Gerenciamento de acesso	Privilégios de acesso a usuários: usuários têm privilégios de acesso além do necessário para executar as funções a eles designadas, que pode criar uma segregação de funções inadequada.	A administração aprova a natureza e a extensão de privilégios de acesso a usuários para acessos a usuários novos e modificados, incluindo perfis/funções de aplicativos padrão, transações de informações financeiras críticas, e segregação de funções	Sim – em vez das revisões de acesso ao usuário observadas abaixo	Sim.	Sim.
		O acesso a usuários desligados ou transferidos é removido ou modificado tempestivamente.	Sim – em vez das revisões de acesso ao usuário abaixo.	Sim.	Sim.
		O acesso a usuários é revisado periodicamente	Sim – em vez dos controles de aprovisionamento / desaprovisionamento acima	Sim ‒ para certos aplicativos.	Sim.
		A segregação de funções é monitorada e acessos conflitantes são removidos ou mapeados para controles atenuantes, que são documentados e testados	N/A – nenhum sistema habilitou a segregação	Sim ‒ para certos aplicativos	Sim.
		Acesso de nível privilegiado (por exemplo, administradores de configuração, de dados e de segurança) é autorizado e devidamente.	Sim – provavelmente somente na camada de aplicativos de TI.	Sim – na camada de aplicativos de TI e em certas camadas do ambiente de TI para plataforma.	Sim – todos níveis de ambiente de TI para plataforma
Gerenciamento de acesso	Acesso direto a dados: alterações inadequadas são feitas diretamente em dados financeiros por meios que não transações de aplicativos.	O acesso a arquivos de dados de aplicativos ou a objetos/tabelas/dados de bases de dados é limitado a pessoal autorizado, com base nas responsabilidades do seu trabalho e funções designadas e esse acesso é aprovado pela administração.	N/A.	Sim ‒ para certos aplicativos e bases de dados.	Sim.
Gerenciamento de acesso	Configurações de sistemas: os sistemas não são configurados ou atualizados adequadamente para restringir o acesso ao sistema a usuários adequados e devidamente autorizados.	O acesso é autenticado por meio de identificações (IDs) de usuários exclusivas e senhas ou outros métodos como mecanismo para validar que os usuários estão autorizados a terem acesso ao sistema. Os parâmetros de senha estão de acordo com as normas da companhia ou do setor (por exemplo, tamanho mínimo da senha e complexidade, expiração, bloqueio da conta).	Sim – somente autenticação de senha.	Sim – combinação de autenticação de senha e de múltiplos fatores	Sim.
Gerenciamento de acesso		Os atributos-chave da configuração de segurança estão devidamente implementados	N/A – não existem configurações de segurança técnica.	Sim ‒ para certos aplicativos e bases de dados.	Sim.
Gerenciamento de alterações	Alterações de aplicativos: alterações inadequadas são feitas em sistemas ou programas de aplicativos que contêm controles automatizados (isto é, configurações configuráveis, algoritmos automatizados, cálculos automatizados e extração de dados automatizada) ou lógica de relatório.	As alterações de aplicativos são devidamente testadas e aprovadas antes de passarem para o amb	N/A ‒ nenhum código-fonte instalado verificado	Sim ‒ para software comercial.	Sim.
Gerenciamento de alterações		O acesso às alterações implementadas no ambiente de produção de aplicativos é devidamente restringido e segregado do ambiente de desenvolvimento.	N/A.	Sim ‒ para software não comercial.	Sim.
Gerenciamento de alterações	Alterações de bases de dados: alterações inadequadas são feitas na estrutura da base de dados e nos relacionamentos entre os dados	As alterações de bases de dados são devidamente testadas e aprovadas antes de passarem para o ambiente de produção.	N/A – não foram feitas alterações de bases de dados na entidade.	Sim ‒ para software não comercia	Sim.
Gerenciamento de alterações	Alterações de software de sistemas: Alterações inadequadas são feitas no software de sistemas (por exemplo, sistema operacional, rede, software de gerenciamento de alterações, software de controle de acesso).	As alterações no software de sistemas são devidamente testadas e aprovadas antes de passarem para o ambiente de produção	N/A – não foram feitas alterações em softwares na entidade.	Sim.	Sim.
Gerenciamento de alterações	Conversão de dados: os dados convertidos de sistemas legados ou versões anteriores introduzem erros de dados se a conversão transferir dados incompletos, redundantes, obsoletos ou imprecisos.	A administração aprova os resultados da conversão de dados (por exemplo, atividades de balanceamento e conciliação) do sistema de aplicativo antigo ou da estrutura de dados antiga para o novo sistema de aplicativo ou nova estrutura de dados e monitora se a conversão é realizada de acordo com as políticas e procedimentos de conversão estabelecidos.	N/A – enderaçadas por meio de controles manuais.	Sim.	Sim.
Operações de TI	Rede: a rede não evita adequadamente o acesso inadequado de usuários não autorizados a sistemas de informações.	O acesso é autenticado por meio de identificações (IDs), senhas de usuários exclusivas ou outros métodos como mecanismo para validar que os usuários estão autorizados a terem acesso ao sistema. Os parâmetros de senha estão de acordo com as políticas e normas profissionais ou da companhia (por exemplo, tamanho mínimo da senha e complexidade, expiração, bloqueio de conta).	N/A – não existe nenhum método de autenticação de rede separado.	Sim.	Sim.
		A rede está arquitetada para segmentar aplicativos baseados na internet a partir da rede interna, onde aplicativos de controles internos de relatórios financeiros (ICFR) relevantes são acessados.	N/A – nenhuma segmentação de rede é empregada.	Sim ‒ com julgamento.	Sim ‒ com julgamento.
		São realizadas periodicamente varreduras de vulnerabilidades do perímetro da rede pela equipe de gerenciamento de rede, que também investiga potenciais vulnerabilidades	N/A.	Sim ‒ com julgamento.	Sim ‒ com julgamento.
		São gerados periodicamente alertas de notificação de ameaças identificadas pelos sistemas de detecção de intrusão. Essas ameaças são investigadas pela equipe de gerenciamento de rede.	N/A.	Sim ‒ com julgamento.	Sim ‒ com julgamento.
		São implementados controles para restringir o acesso a Rede Privada Virtual (VPN - Virtual Private Network) a usuários autorizados e adequados.	N/A – nenhuma Rede Privada Virtual (VPN).	Sim ‒ com julgamento.	Sim ‒ com julgamento.
Operações de TI	Backup e recuperação de dados: os dados financeiros não podem ser recuperados ou acessados tempestivamente quando ocorre perda de dados.	É feito regularmente backup dos dados financeiros, de acordo com a programação e a frequência definidas.	N/A – confiança nos backups manuais da equipe de finanças.	Sim.	Sim.
Operações de TI	Programação de tarefas: os sistemas, programas ou tarefas relacionadas com produção resultam em processamento de dados impreciso, incompleto ou não autorizado.	Somente usuários autorizados têm acesso a atualização de tarefas em lote (incluindo tarefas de interface) no software de programação de tarefas.	N/A – sem tarefas em lote.	Sim ‒ para certos aplicativos.	Sim.
Operações de TI		Sistemas, programas ou tarefas críticas são monitoradas e os erros de processamento são corrigidos para assegurar uma conclusão bem sucedida.	N/A – não há monitoramento de tarefas.	Sim ‒ para certos aplicativos.	Sim.

(...)

Quer ver mais? Assine o Cosif Digital!

Cosif-e