Rettelser, suppleringer eller endringer av konkurransegrunnlaget

O GAO (2014) identifica dois tipos de atividades de controle para sistemas de informação: controles gerais e controles de aplicação. Os controles gerais são as políticas e procedimentos que se aplicam a todos ou a grande parte dos sistemas de informação de uma entidade, como o gerenciamento da segurança, acesso físico e lógico, o gerenciamento da configuração, a segregação de funções e o planejamento de contingência; os controles de aplicação (ou controles de processos de negócios) são incorporados nas aplicações de computador para obter a validade, completude, precisão e confidencialidade das transações e dados durante o processamento, como os controles sobre a entrada, processamento, saída, arquivo mestre, interface e sistema de gerenciamento de dados.

Para esta subdimensão foram propostas três variáveis: Uso da Computação de Usuário Final; Políticas de Segurança de TI; e Processos de Aquisição, Desenvolvimento e Manutenção de TI. Essas variáveis são descritas nos itens a seguir.

3.3.10.1 Variável 3.3.1: Uso da Computação de Usuário Final

Segundo o COSO (2013b), a gerência da entidade deve compreender o uso da computação do usuário final (inclusive planilhas) no suporte a processos significativos e

respectivas atividades de controle, avaliar os riscos decorrentes e elaborar atividades de controle adicionais ou converter para uma aplicação de TI.

O objetivo da variável é identificar o tratamento dado à computação do usuário final nos processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade e nas atividades de controle associadas. Os critérios para o estabelecimento do nível de maturidade da variável foram definidos nos seguintes termos:

(0) Inexistente - Ausência de documentação do uso de computação do usuário final nos processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade e nas atividades de controle associadas;

(1) Inicial - O uso de computação do usuário final nos processos, políticas e procedimentos relevantes os objetivos e riscos da entidade e nas atividades de controle associadas é mapeado e documentado;

(2) Em Formação - Gerência avalia os riscos decorrentes do uso de computação do usuário final nos processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade e nas atividades de controle associadas e elabora controles adicionais conforme necessário;

(3) Estabelecido - As atividades de controle dos processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade não dependem de computação do usuário final.

3.3.10.2 Variável 3.3.2: Políticas de Segurança de TI

Segundo o GAO (2014), a gerência projeta o gerenciamento da segurança para proteger o sistema de informação da entidade do acesso não autorizado e inadequado por parte de ameaças externas e internas, mantendo a confidencialidade, integridade e disponibilidade do sistema.

O objetivo da variável é verificar a existência e a formalização de políticas de segurança e controle de acesso à informação e aos recursos de TI, e a existência de plano de continuidade de serviços e recuperação de desastres para a infraestrutura de TI da entidade. Os critérios para o estabelecimento do nível de maturidade da variável foram definidos nos seguintes termos:

(0) Inexistente - Ausência de políticas de segurança de TI;

(2) Em Formação - A entidade possui política de controle de acesso à informação e aos recursos de TI formalmente estabelecida, consistente com as funções do trabalho e com a segregação de funções;

(3) Estabelecido - A infraestrutura de TI que suporta os processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade possui plano de continuidade de serviços e recuperação de desastres.

3.3.10.3 Variável 3.3.3: Processos de Aquisição, Desenvolvimento e Manutenção da TI

O GAO (2014) afirma que a gerência da entidade deve projetar atividades de controle sobre a aquisição, desenvolvimento e manutenção da TI, o que pode incluir a adoção de um ciclo de vida de desenvolvimento de sistemas (SDLC) para as aplicações desenvolvidas internamente (inclusive por terceiros contratados) e pacotes de software adquiridos. O COSO (2013) descreve o SDLC como “uma metodologia de desenvolvimento de tecnologia” que provê “uma estrutura para projeto e implementação de sistemas, delineando fases específicas, requisitos de documentação, aprovações e pontos de verificação com controles sobre a aquisição, desenvolvimento e manutenção da tecnologia”69.

O objetivo da variável é identificar a existência de processos para a aquisição, desenvolvimento e manutenção da infraestrutura de TI da entidade, incluindo o gerenciamento de configuração e mudança para a infraestrutura de TI que suporta os processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade e o ciclo de vida de desenvolvimento para os sistemas e suas características. Os critérios para o estabelecimento do nível de maturidade da variável foram definidos nos seguintes termos:

(0) Inexistente - Ausência de processos de gerenciamento de configuração e mudança para a infraestrutura de TI da entidade;

(1) Inicial - Processos formalmente estabelecidos para o gerenciamento de configuração e mudança da infraestrutura de TI que suporta os processos, políticas e procedimentos relevantes para os objetivos e riscos da entidade;

(2) Em Formação - Entidade adota um SDLC completo, tanto para o software desenvolvido internamente quanto para os pacotes adquiridos;

69 _{For example, a technology development methodology provides a structure for system design and}

implementation, outlining specific phases, documentation requirements, approvals, and checkpoints with controls over the acquisition, development, and maintenance of technology.

(3) Estabelecido - Fases e controles previstos no SDLC da entidade são definidos em função de uma classificação de riscos da mudança, definida conforme o tamanho, esforço, complexidade e impactos em processos e controles relevantes para os objetivos e riscos da entidade.

A quarta dimensão do modelo de maturidade proposto é Informação e Comunicação. O COSO (2013) afirma que “a administração obtém ou produz e utiliza informações relevantes e de qualidade, a partir de fontes internas e externas, para apoiar o funcionamento do controle interno. A comunicação é o processo contínuo e interativo de fornecer, compartilhar e obter as informações necessárias”.70

A subdimensão definida para a dimensão Informação e Comunicação é: Sistema de Informação da Entidade. Essa subdimensão e suas variáveis são apresentadas nos itens a seguir.