Retomando a série de Gerenciamento de Conformidades vamos começar a explorar os diversos tipos de controles que compõem esse processo de gestão.

Controles Administrativos

Embora todos os controles sejam utilizados para lidar com riscos para a empresa, controles administrativos e técnicos diferem em como são implementados. Controles administrativos regulam e orientam os processos de negócios de uma organização. Pro exemplo, o requisito de aprovação pela gerência de pedidos de compras é um controle de negócios projetado para exigir autorização específica, evitar despesas desnecessárias e outros requisitos relacionados aos negócios. Controles administrativos podem existir para quase todos os processos em uma organização, da contratação a compras, vendas ou relatórios financeiros.

Controles Técnicos

Controles técnicos regulam e orientam a operação do TI na organização, incluindo todos os processos e sistemas dentro dela. Esses controles enfocam processos que dizem respeito a gerentes de TI, inclusive disponibilidade, aprovisionamento de usuários, segurança e outros. Existem duas categorias de controles de TI amplas: controles gerais e controles de aplicação.

Controles Gerais

Controles gerais aplicam-se a toda a infra-estrutura de TI da organização. Organizações devem ter controles gerais razoáveis em vigor antes que possam confiar em seus controles de aplicação. A razoabilidade é geralmente determinada pelos auditores e especialistas em GRC da organização.

Controles gerais enfocam muitas áreas de responsabilidade para gerentes e equipe de TI, inclusive:

  • Organização do TI
  • Criação e comunicação de diretivas
  • Segurança do sistema
  • Operações
  • Gerenciamento de alterações
  • Manipulação de incidentes
  • Monitoramento
  • Desempenho de serviço, sistema e aplicativo
Controles de Aplicação

Controles de aplicação são exclusivos de cada aplicação que a organização usa para administrar seus negócios. Nesse sentido, estes controles são os componentes de TI que dão suporte aos controles administrativos. Os controles de aplicação ajudam a minimizar erros e a impedir ou detectar ações não-autorizadas ou impróprias, como fraudes potenciais. Como os controles de aplicação são tão intimamente ligados aos processos de negócios que seus aplicativos suportam, freqüentemente são considerados controles administrativos implementados pelo TI.

Controles de aplicação se concentram em:

  • Procedimentos de preparação de dados. Esses procedimentos ajudam a minimizar erros e omissões. Por exemplo, durante a geração de dados, procedimentos de tratamento de erros ajudam a detectar, relatar e corrigir legitimamente erros específicos dos dados ao mesmo tempo em que registram quaisquer descobertas e providências.
  • Verificações de exatidão, inteireza e autorização. Essas verificações ajudam a assegurar o controle de alterações e validação para dados inseridos tão perto de seu ponto de origem quanto possível. O processamento de dados de transação está sujeito a uma variedade de controles de procedimento para impor essas verificações.
  • Integridade do processamento de dados. Essa integridade ajuda a assegurar a separação de deveres, o que fortalece a integridade de dados. Um nível mais alto de validade de dados é alcançável pela inclusão de verificações e balanceamento automatizados e registrados que separam deveres e exigem que ações de um indivíduo sejam verificadas por outro.
  • Distribuição de saída. Essa distribuição é habilitada para assegurar a qualidade e consistência nos dados que saem dos sistemas de TI. Por exemplo, os controles afetados incluem aqueles que definem ou comunicam diretivas de gerenciamento e descrevem os procedimentos e formato apropriados para a distribuição de dados.
  • Proteção à transmissão de Informações sigilosas. Esses procedimentos ajudam a assegurar que medidas de proteção adequadas estejam em vigor para impedir acesso não-autorizado e violação de informações sigilosas durante transmissão e transporte eletrônicos.

Um abraço,

Rodrigo Dias