03AS_doc02

Prévia do material em texto

Controles Internos 
 
Podem ser considerados controles internos: 
 
C01 – Integridade de Dados /Processos/Dados e Processos 
 Acuidade dos dados 
 Completude dos dados 
 Prontidão dos dados 
 Autorização de dados 
 Confidencialidade dos dados 
 Detecção-Correção de erros de telecomunicações 
 Controle de mudança de sistema/programa 
 Controles de arquivos/tabelas de dados 
 Reconciliação 
 Comparação de dados no sistema 
 Reporte / comunicação 
 Renovações 
 
C02 – Segurança do Sistema 
 Segurança de acesso ao sistema 
 Segurança da rede 
 Segurança das telecomunicações 
 Segurança do banco de dados 
 Segurança física 
 Encriptação de dados 
Assinatura digital 
 Controles de bibliotecas de sistemas/aplicações 
 Controle de bibliotecas de produção, de desenvolvimento e teste 
 Supervisão de rede 
 
C03 – Legibilidade operacional 
 Restart/recovery 
 Backup 
 Plano de contingência 
 Procedimentos dos usuários 
 Instruções operacionais 
 Treinamento 
 
 
 Documentação 
 Considerações de desempenho/capacitação 
 
C04 – Conformidade 
 Legal 
 Políticas empresariais 
 Padrões e normas empresariais 
 Decretos e emissões de agencias regulatórias 
 Contratual 
 Seguro 
 
C05 – Guarda de registros (rastreamento) 
 Trilha gerencial/de evento 
 Retenção de dados/arquivos 
 Trilha de auditoria (trilha de auditoria: conjunto de rotinas e arquivos de controle que 
permitem a reconstrução de dados ou procedimentos) 
 
C06 – Guarda de ativos 
 Custódia 
 
C07 – Programas de sistemas 
 Monitoramento de teleprocessamento 
 Sistemas Operacionais 
 Sistema de gerenciamento de banco de dados 
 Utilitários, etc 
 
C08 – Organização / Administração 
 Segregação de funções (para evitar conflito de interesses. São pessoas distintas dando 
 continuidade a um procedimento. Por exemplo, quem testa é alguém diferente de quem 
 codifica um programa) 
 Organização do projeto 
 
C09 – Processo de desenvolvimento 
 Definição do projeto 
 Análise de requisitos 
 Controle de projeto 
 Participação do usuário 
 
 
 Requisição de proposta 
 Seleção de vendedores 
 Desenho do sistema 
 Programação/ código 
 Teste de unidade e/ou sistema 
 Conversão 
 Treinamento 
 Teste de aceitação 
 Execução do projeto piloto ou paralelo 
 
C10 – CPD / Data center 
 Segurança física 
 Segurança no geral 
 Procedimentos das bibliotecas 
 Suprimento sensível 
 Controle de mudança de sistema/programa 
 Bibliotecas externas 
 Hot-sites, instalações externas 
 
C11 – Contrato de serviços de sistemas/ ordens de serviço 
 
C12 – Procedimentos e padrões (se a empresa tiver) 
 
 
Processos 
 
Identificar se os processos existem e se estão coerentes com os padrões da empresa. 
 
P.01 - Plano do Negócio 
P.02 - Aprovação do Projeto 
P.03 - Definição / viabilidade 
P.04 - Plano de implementação 
P.05 - Analise detalhada - desenho do sistema 
P.06 - Requisição de aprovação 
P.07 - Seleção de parcerias/fornecedores 
P.08 - Desenho do sistema 
P.09 - Plano de teste de desenvolvimento 
 
 
P.10 - Plano de conversão/instalação 
P.11 - Plano de teste 
P.12 - Programação/teste 
P.13 - Teste de aceitação 
P.14 - Manual do usuário 
P.15 - Manual de operação 
P.16 - Relatório de aceitação de teste 
P.17 - Conversão 
P.18 - Aceite do usuário