Buscar

preparacao controlo interno

ESEG

User badge image

Mariamo Arramate

Gostou desse material? Compartilhe! 🧡

Continue navegando

Prévia do material em texto

O controlo é um conjunto de procedimentos e métodos, cuja finalidade é vigiar as funções e atitudes das empresas, permitindo verificar se todas as operações são realizadas conforme os programas adoptados e as directrizes e princípios estabelecidos. O controlo interno é um instrumento de organização e integra todos os métodos e medidas, adoptados por uma empresa para proteger seu activo, confirmar a exactidão e a fidelidade de seus dados contabilísticos-financeiros, garantir e aumentar a eficiência operacional e conseguir uma obediência integrada de todas as áreas funcionais da empresa as políticas de gestão globais. O controlo interno informático verifica diariamente se todas as actividades dos SI estão a ser realizadas cumprindo os procedimentos, os padrões e as normas definidas pela gestão de topo e/ou pela direcção informática, assim como os requisitos legais. 
Um sistema de controlo interno é um conjunto de definições, normas e procedimentos que asseguram a qualidade de um SI, através de um processo de auto-controlo. Numa perspectiva de gestão empresarial, as finalidades do controlo interno são as seguintes: • Proteger os activos; • Obter a informação adequada, no sentido do rigor e da sua actualização, ou seja, pretende-se que a informação obtida (produto final) derive apenas dos dados (matéria-prima) introduzidos no sistema, sem haver perdas ou intromissão de outros dados; • Preservar a confidencialidade do SI informatizado, dos seus modos de processamento a das informações formuladas; • Garantir a segurança ambiental, o que é verificado pelas condições em que operam os recursos humanos, materiais e tecnológicos componentes da função informática; Manter a segurança lógica, isto é, avaliar a eventual ocorrência de modificações ou deficiências dos recursos tecnológicos que compõem o SI informatizada; • A possibilidade de se conseguir um dado nivel de eficiência operacional (optimização dos recursos humanos, materiais e tecnológicos, com a melhor relação custo/benefício) assente na segurança física desses recursos, porque garantem o funcionamento dos SI informatizados; • Conseguir elevados niveis de eficácia, considerando o nivel de satisfação do utilizador e a adequação da informação obtida em função dos objectivos necessários a sua utilidade; • Manter a coerência e a concordância das actividades com as orientações fornecidas pelas políticas da gestão de topo.
Classificação ou tipos de controlo: • Controlos preventivos- são aqueles que estabelecem as condições necessárias para que o erro não se produza e reduzem a frequência com que ocorrem as causas do risco. Exemplo: a) um sinal de ˝Não fumar˝ para salvaguardar as instalações; b) sistemas chaves de acesso; c) a segregação de funções; d) a padronização de procedimentos; e) autorizações; f) as passwords, • Controlos corretivos – ajudam a investigação e correção das causas do risco. A correção adequada pode resultar difícil e ineficiente, sendo necessário a implantação de controlos de detecção sobre os resultados corretivos, vistos que a correção de erros e, em si mesmo, uma actividade altamente propensa a erros. Exemplo: a) listas de erros ocorridos; b) estatísticas das causas de erros. • Controlos de detecção- sendo os mais importantes para o auditor, não evitam nem as causas do risco nem o erro, mas detectam-nos rapidamente. De certo modo, actuam como alarmes que permitem registar problema e as suas causas, servindo como verificação do funcionamento dos processos e dos controlos preventivos. Exemplo: a) arquivos e processos que sirvam como trilhos de auditoria (audit trail); b) procedimentos de validação dos dados de entrada. 
Dentre os controlos de detecção, é possível destacar os controlos de supervisão, que se agrupam em três tipos de controlos: Controlo de aplicações; Controlos de tecnologias da informação; Controlos de utilizadores. OS CONTROLOS DE SUPERVISÃO • São procedimentos utilizados pela direcção de topo para poder controlar a evolução empresarial e alcançar os objectivos do negócio. Este tipo de controlos proporcionam a direcçao e, portanto, aos auditores, segurança no que se refere a fiabilidade da informação financeira.
CONTROLO DAS APLICAÇÕES •São um conjunto de procedimentos programados e manuais elaborados especificamente para cada aplicação, a fim de atingir objectivos específicos, utilizando uma ou mais técnicas. Podem ser classificados do seguinte modo: •Controlo sobre a recolha de dados- incidem sobre modificações e movimentos de dados; •Controlos de processamento de dados- normalmente estão incluídos nos programas. Servem para detectar ou prevenir os seguintes tipos de erros: entrada de dados repetidos, processamento e actualização de ficheiros equivocados, entrada de dados lógicos, perda ou distorção de dados durante o processo; •Controlos de saída e distribuição- os controlos de saída são utilizados para garantir que o resultado do processamento é exacto e que os relatórios e outras saídas só são recebidos pelos utilizadores que estejam autorizados
No que respeita aos dados, interessa referir a necessidade de verificar a totalidade, a exatidão, a autorização e algumas técnicas e provas utilizadas. Totalidade das entradas As técnicas de controlo utilizadas para assegurar a totalidade das entradas são: • Reconciliação de totais • Verificação da sequência numérica - comprova que os documentos seguem a sequência numérica previamente estabelecida, de modo a que não falte nenhum documento; • Confrontação de ficheiros e sua verificação. Exatidão das entradas As técnicas de controlo utilizadas para assegurar a exatidão das entradas são: • Reconciliação de totais; • Confrontação e/ou verificação de ficheiros; • Controlos de avaliação. Autorização das entradas. • Com o objectivo de assegurar a autorização das entradas de dados, os respectivos controlos devem incluir o modo de actuação no que se refere as transações que decorrerem erradamente e que, por isso, foram impedidos pelos controlos preventivos. Totalidade e exatidão da actualização. No sentido de assegurar esses aspectos, são utilizadas, principalmente as seguintes técnicas de controlo: • Controlos de totalidade e exatidão das entradas; • Reconciliação manual dos totais; • Controlos de processo a processo que incluem os totais dos ficheiros e as transações geradas pela aplicação. Outros controlos-técnicas: Segregação de funções • Ligada a estrutura orgânica da própria área informática, tem como objectivo impossibilitar que um colaborador qualquer possa controlar as fases criticas de um processo, ou seja, impedir fraudes por parte dos utilizadores da empresa, de tal modo que, se um funcionário efectuar um desvio de activos, não lhe seja possível ocultar a fraude através de uma manobra contabilística. A ausência ou inadequação da segregação de funções aumenta o risco da ocorrência de transações erróneas, de alterações impróprias de os programas e de danos em recursos computacionais. • Prova de existência. • Verifica se a informação introduzida concorda com a informação semelhante ou de referência existente num ficheiro-mestre (exemplo: o ficheiro com os dados de todos clientes de uma empresa). Em qualquer aplicação informática, os dados que estão presentes nos ficheiros devem ser tratados por certos processos antes da emissão da informação de saída. Os mais frequentes são: • Cálculo – geração de informação utilizando dados de um ou mais ficheiros por base por base rotinas pré-determinadas; • Resumo – acumulação dos valores das transações de um ficheiro para gerar totais; • Classificação – acumulação dos totais de um ficheiro com base na análise de contas, códigos ou campos das transações .Controlo da Tecnologia de Informação São conjuntos de normas e procedimentos que devem existir em todo o centro de processamento de dados para assegurar a confidencialidade, integridade e a disponibilidade imediata dos dados informatizados. Tipos: Controlos de manutenção Controlos de desenvolvimento e implantação de aplicações Controlos de segurança informática Controlode operações informáticas
Diferenças: Controlo interno informático Apenas pessoal interno: Análise dos controlos do dia a dia: O alcance das suas funções é apenas no contexto do departamento de informática. Reporta à Direcção do Departamento de Informática Auditoria informática Pessoal interno e/ou externo: A análise é feita num dado momento: Cobre todos os componentes dos SI: Reporta à Direcção Geral da empresa.
Funções do Auditor informático• O auditor informático tem de cuidar da correta utilização de todos os recursos que a organização utiliza para poder dispor de um sistema de informação suficientemente eficiente e eficaz. • Tem como função muito importante emitir um juízo global ou parcial baseada em factos e situações interamente correctas, mas tem poder para modificar a situação por ele analisada; • Tem de verificar directamente o funcionamento dos sistemas; • Tem de elaborar questionários a sere respondidos pelos auditados.
Segurança lógica • Segurança da informação é uma área do conhecimento dedicada à proteção de activos de informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade, Segurança lógica diz respeito à modificação inadequada dos recursos tecnológicos, informações e softwares, e a confidencialidade à captação devida desses mesmos recursos tecnológicos • Para a manutenção da segurança lógica e da confidencialidade é necessário validar e avaliar controlos lógicos inseridos, bem como proteger informações e programas. Os princípios para o exercício da segurança lógica, organizacional e de confidencialidade, nos momentos do ciclo administrativo (planeamento, execução, controle, auditoria) e nível empresarial (operacional, tático, estratégico) são: • Estabelecer autoridade aos recursos humanos engajados com as plataformas de informática; • Assegurar lealdade e proporcionar confiabilidade aos profissionais e usuários de informática da organização; • Viabilizar meios para o reconhecimento de acções empresariais autorizadas; • Avaliar o grau de segurança que cada informação requer. As principais vulnerabilidades, em termos de segurança lógica são identificadas como: Impedimento de execução de serviço ou descontinuidade operacional; Perda, revelação e modificação não autorizada de informação e de software; Uso não autorizado de informações, softwares e plataformas de informática; Criação não autorizada de informações e relatórios negociais. As principais características/vulnerabilidades, em termos de segurança lógica são identificadas como: Impedimento de execução de serviço ou descontinuidade operacional; Perda, revelação e modificação não autorizada de informação e de software; Uso não autorizado de informações, softwares e plataformas de informática; Criação não autorizada de informações e relatórios negociais. As ameaças mais comuns a recursos tecnológicos de informática são: • Uso indevido e ações destinadas a prejudicar terceiros; • Acesso não autorizado a dados (penetração); • Execução/alteração não autorizada de programas na modalidade RJE (remote job entry – entrada remota de programas); • Distorções durante as transmissões de dados ou programas; • Consulta a dados não autorizados; • Perda de arquivos; • Erros na alimentação de dados; • Perda parcial/total de dados durante a transmissão; • Ambiente misto de testes versos produção; • Ausência de procedimentos de identificação e autenticação confiáveis; • Mudança nos controles e fracos procedimentos de segregação de funções; • Actualizações de arquivos e manutenção de programas. 
De um modo geral, o risco pode ser considerado como a possibilidade de perigo, incerto mais previsível, que ameaça de dano uma dada entidade. No que respeita a auditoria, pode-se falar de três tipos de riscos: Risco inerente Pode ser definido como a possibilidade de o sistema apresentar erros ou deficiências que, na ausência de controlos internos, podem por em perigo a credibilidade dos resultados informacionais. A análise deste tipo de risco deve ser relacionada com: • O ambiente em que a empresa opera; • Necessidade de fazer ajustamentos a auditorias anteriores; • A complexidade das aplicações e de todo o sistema; • O nível de competência profissional do pessoal informático; • A possibilidade de haver perdas de dados, de informação ou até de equipamento; • A informação que a direção da empresa tem em seu poder e a sua capacidade de decisão. Risco de controlo É devido a um deficiente funcionamento dos controlos internos do sistema ou inexistência de uma adequada interconexão, no que se refere a prevenção e detecção de erros. Risco de detecção Existe este risco se a auditoria tiver sido conduzida de modo a poder detectar erros ou deficiências no funcionamento do sistema
Auditoria informática e a segurança: Segurança Física • É importante a segurança física dos computadores. Deve-se avaliar o grau de segurança proporcionado aos recursos envolvidos no ambiente de sistemas em relação às ameaças externas existentes, como é o caso de um sinistro ou de um incêndio. Segurança de Redes • Quanto à segurança de redes as seguintes medidas de segurança devem ser tomadas: uso da criptografia no envio de dados, monitoramento do sistema, cuidados com a criação de novos usuários e uso de firewall, pois o firewall é um sistema desenvolvido para prevenir acessos não autorizados a uma rede local de computadores. Segurança do Banco de Dados • Especial atenção deve ser dada ao banco de dados para o qual devem existir dispositivos de segurança, procedimentos de autorização de acesso aos dados, atualização das novas versões e procedimentos de cópias para possíveis restaurações.

Materiais relacionados

9 pág.
Avaliação - Auditoria de Sistemas

User badge image

Adilson Codinhoto

6 pág.
Avaliação Auditoria de sistemas

User badge image

Edineia de Oliveira Ribeiro

50 pág.
Auditoria de Sistemas da informação - Livro-texto - Unidade III

UNIP

User badge image

Yuri Carlos

43 pág.
Segurança da informação - Texto - Unidade III

UAM

User badge image

Costa

Perguntas relacionadas

Question Icon

Objeto da contabilidade pública é: a) Preparação de relatórios exatos e precisos para subsidiar a administração, na tomada de decisão b) O patrimô...

User badge image

Questões para o Sucesso

Question Icon

14. A varfarina: a. É um fármaco nos novos anticoagulantes orais com necessidade de controlo laboratorial pelo INR, idealmente 24 horas antes dos...

User badge image

Estudando com Questões

Question Icon

Que estratégia de controlo de acesso é que permite que um proprietário de um objeto determine se deve permitir o acesso ao objeto? O controlo de a...

User badge image

Questões Para o Saber

Question Icon

7. Em qual alternativa a palavra composta está escrita de acordo com o Novo Acordo Ortográfico? a) Controle-remoto. b) Controle remoto. c) Controlo...

User badge image

Portuguesando