4 Analyse og resultat
4.4 Lærerrollen
Tendo em vista que, dentre a totalidade de 77 controles, 30 são aplicativos ou manuais dependentes de TI, ou seja, tem relação intrínseca com TI, fez-se necessário o envolvimento de especialistas para identificação, teste e avaliação dos controles gerais de TI que suportam os aspectos automáticos dos referidos controles.
Depois de efetuado o mapeamento de todos os aplicativos que suportam os controles aplicativos e manuais dependentes de TI detalhados no tópico anterior, definiu-se o escopo da auditoria de sistemas de informação ou de TI, sendo este composto pelos sistemas detalhados no Quadro 9.
Quadro 9 – Sistemas definidos como escopo da auditoria de sistemas
Aplicativo Descrição
S035 (sistema integrado de crédito) Sistema de controle das informações cadastrais e avaliações de operações de crédito. S048 (sistema de conta corrente e de cheque especial) contabilização e cobrança de taxas dos depósitos à O sistema é utilizado no registro, controle,
vista.
S159 (sistema de poupança corrente) contabilização e valorização dos depósitos de O sistema é utilizado no registro, controle, poupança corrente.
S253 (sistema de risco de crédito) créditos de liquidação duvidosa e contabilização desta. É utilizado para processar o cálculo da provisão para S410 (sistema de poupança) contabilização e valorização dos depósitos de O sistema é utilizado no registro, controle,
poupança. S430 (sistema de operações de câmbio)
Utilizado no controle das operações de câmbio. As operações são valorizadas pelo sistema S430 mensalmente e os contratos de câmbio são registrados
neste sistema. S492 (sistema de controle patrimonial - FNE)
Utilizado no controle patrimonial do FNE. Gerenciamento das disponibilidades, carteira de
crédito, patrimônio líquido e cálculo da taxa de administração paga ao Banco.
S493 (sistema de controle de operações no mercado aberto)
Sistema Integrado de Operações Financeiras (SIOFI). É utilizado para controle do estoque de títulos e
valores mobiliários, relação de custódia, contabilização e cálculo da valorização dos títulos. S580 (sistema do CrediAmigo)
Sistema utilizado no gerenciamento das operações de crédito do programa de microcrédito CrediAmigo, na valorização das operações, contabilização e controle
operacional do programa.
S776 (sistema FPW) Sistema responsável pelo cálculo da folha de pagamento e provisões contábeis.
S849 (sistema integrado de pessoal ou SIP)
Mantém os dados cadastrais de todos os funcionários. O Sistema Integrado de Pessoal alimenta tanto o FPW como outros sistemas do Banco. É utilizado por todos os funcionários, com níveis de acesso diferentes. Os
funcionários podem alterar dados pessoais neste sistema, desde que não interfiram na folha de
pagamentos.
S950 (plataforma windows) SIAC, utilizado no controle do ativo de operações de crédito, realiza a valorização das operações e registro
contábil destas. S950 (plataforma mainframe)
S320 (sistema de contas a pagar) Sistema de suprimentos e pagamentos. Fonte: Elaborada pela autora.
Identificados os riscos do ambiente de TI da instituição em análise como um todo e aqueles específicos para cada aplicativo, foram definidos os controles gerais de TI a serem testados. Estes pertencem a três categorias principais:
a) gerenciamento de acessos: os controles dessa categoria, quando avaliados como eficazes, concedem razoável conforto quanto à inexistência de riscos de acessos e modificações indevidas de dados e informações constantes nos aplicativos ou na camada de infraestrutura que os suporta (bancos de dados);
b) gerenciamento de mudanças: os controles dessa categoria, quando avaliados como eficazes, concedem razoável segurança quanto à inexistência de modificações ou customizações indevidas de aplicativos;
c) gerenciamento de operações: englobam controles associados ao gerenciamento da continuidade das operações da empresa, como realização de backups periódicos, testes de continuidade de negócio, etc.
O detalhamento de controles gerais de TI, segregados por categoria, pode ser verificado no Quadro 10.
Quadro 10 - Controles gerais de TI testados
Identificação Controle Categoria
1 Mudanças são autorizadas. Gerenciamento de mudanças.
2 Mudanças são testadas. Gerenciamento de mudanças.
3 Mudanças são aprovadas. Gerenciamento de mudanças.
4 Mudanças são monitoradas. Gerenciamento de mudanças. 5 Existe uma devida segregação de funções conflitantes no fluxo do processo de gerenciamento de mudanças. Gerenciamento de mudanças. 6 Mudanças na camada de infraestrutura são autorizadas, testadas e aprovadas. Gerenciamento de mudanças. 7 Configurações gerais de segurança são apropriadas. Gerenciamento de acessos. 8 Parametrizações de senha são apropriadas. Gerenciamento de acessos. 9 Acesso a funções privilegiadas de TI é limitado aos usuários adequados. Gerenciamento de acessos. 10 Acesso privilegiado a ferramentas de suporte é restrito a usuários adequados. Gerenciamento de acessos. 11 Novos acessos são devidamente autorizados e concedidos adequadamente, conforme solicitação. Gerenciamento de acessos. 12 Acesso físico aos equipamentos de hardware é limitado aos usuários adequados. Gerenciamento de acessos. 13 Existem políticas adequadas e atualizadas que norteiam os processos de gerenciamento de acesso lógico. Gerenciamento de acessos. 14 Existe uma devida segregação de funções conflitantes no fluxo do processo Gerenciamento de
Identificação Controle Categoria de gerenciamento de acessos. acessos. 15 Acessos de colaboradores desligados são tempestivamente revogados. Gerenciamento de acessos. 16 Acessos de colaboradores transferidos são tempestivamente adaptados. Gerenciamento de acessos. 17 Existe um procedimento periódico de monitoramento de logs de acesso aos aplicativos e à camada de infraestrutura que os suporta. Gerenciamento de acessos. 18 São realizados backups periódicos de informações. Gerenciamento de operações. 19 Incidentes associados à execução de rotinas automatizadas são identificados e tratados tempestivamente. Gerenciamento de operações. Fonte: Elaborada pela autora.
Para fins de entendimento das informações que serão apresentadas nos tópicos a seguir, deve-se ressaltar que, ao término das análises, cada categoria de controles é avaliada como eficaz ou ineficaz para cada sistema. A avaliação eficaz fornece um conforto razoável quanto à inexistência de riscos de acessos, modificações ou customizações indevidas nos aplicativos, o que permite que a auditoria financeira utilize, para testes de seus controles aplicativos ou manuais dependentes de TI, amostragens reduzidas. Estratégias de teste dos referidos tipos de controle definidas em um ambiente de TI ineficaz consideram que não há conforto algum quanto à existência de acessos e alterações indevidas de informações, de modificações e customizações errôneas nos aplicativos ou quanto à capacidade de continuidade no negócio no que tange à TI, e devem, portanto, levar em consideração uma amostragem de testes maior.
4.4 Impactos das avaliações da auditoria de sistemas nas estratégias da auditoria