ENTENDA SEU AMBIENTE DE

TI
FINALIDADE Versão: 2021-08

O objetivo deste formulário é documentar o sistema de informação (SI) da entidade e comunicação

relevante para a elaboração de demonstrações contábeis. A equipe de trabalho pode fornecer este
modelo para ser preenchido pela entidade. Alternativamente, a equipe de trabalho pode preencher este
documento por meio de questionamentos aos funcionários relevantes da entidade e registro de suas
respostas abaixo.

1. VISÃO GERAL DA ORGANIZAÇÃO E SISTEMAS

Nome da Entidade:

Data de encerramento do período:

1.1. Contatos principais do cliente

Indique o(s) contato(s) principal(is) para este trabalho (Contabilidade e TI):

Nome do
Indivíduo Título E-mail Telefone Comentários

Gildasio Supervisor de Gildasio.oliveira@triunfoconcebra.com.br 62 96474282

Francisco de TI
Oliveira Infraestrutura

Thiago de Coordenador de thiago.gallicchio@triunfoconcebra.com.br 62 98056334

Souza TI
Gallicchio

Arleu Luiz Triunfo arleu.campos@triunfoconcebra.com.br 062 981380517

Campos Concebra

Carlos Henrique Analista carlos.mata@triunfoconcebra.com.br 062 92063818

da Mata Negócios TI

1.2. Funções do TI e funções de Segurança do SI

Descreva brevemente a estrutura de organização do departamento de TI ou anexe o organograma de
funções do TI.

Dependendo do tamanho / complexidade da entidade, as funções de TI podem incluir as seguintes

unidades:
 Unidade de Desenvolvimento de Sistemas – responsável pelo desenvolvimento e alteração de
aplicativos
 Unidade de Suporte de Serviço – responsável por interrupção de serviços e prestação de suporte
service desk
 Unidade de Suporte de Sistemas – responsável pela manutenção de bancos de dados, redes,
servidores, firewalls e outros sistemas

2
 Outras unidades especializadas em arquitetura de serviços, gerenciamento operacional, treinamento,
etc.

Dependendo do tamanho / complexidade da entidade, uma função de Segurança do SI separada,

responsável pela segurança da confidencialidade, integridade e disponibilidade de informação da
entidade, pode existir. Responsabilidades da função de Segurança do SI pode incluir:
 Desenvolvimento e implementação de um programa de segurança para proteger comunicações,
sistemas e ativos da empresa de ameaças internas e externas
 Realização de treinamento de conscientização de segurança de TI para funcionários
 Desenvolvimento de práticas seguras de negócios e comunicação
 Identificação de objetivos e métricas de segurança
 Seleção e aquisição de produtos de segurança de fornecedores
 Asseguração do cumprimento de regulamentações pela entidade

Preencha a tabela a seguir, ou forneça um organograma, se a entidade tiver um dos seguintes:

 Um departamento dedicado de TI com processos de TI estruturados apoiados por pessoal que possua
habilidades em desenvolvimento de software e manutenção de ambiente de TI, ou
 Uso de provedores de serviço internos (ex.: recursos partilhados) para administrar processos de TI
dentro do ambiente de TI da entidade (ex.: hospedagem terceirizada).

Nomes do pessoal- Cargo/função Grupo / departamento dentro Função de TI

chave de TI do Departamento de TI

Cloud2Go SaaS – Gerenciamento Terceiro SaaS – Gerenciamento de

de Backup Backup

Newsystems Terceirização de Terceiro Terceirização de pessoal de

pessoal de TI – Service TI – Service desk , Field
desk , Field Service Service

NGXIT Gerenciamento de Terceiro Gerenciamento de

Servidores, Software e Servidores, Software e
Banco de Dados, Banco de Dados,
Terceirização de Terceirização de pessoal de
pessoal de TI TI

SDREDES SaaS – Gerenciamento Terceiro SaaS – Gerenciamento de

de nuvem nuvem

GODADOS Desenvolvimento e Terceiro Desenvolvimento e

manutenção de manutenção de software
software

3
 Nomes do pessoal- Cargo/função Grupo / departamento dentro Função de TI
chave de TI do Departamento de TI

OKDADOS Banco de dados Terceiro Bancos de dados

Meta System Desenvolvimento e Terceiro Desenvolvimento e

manutenção de manutenção de software
software

LEEF Desenvolvimento e Terceiro Desenvolvimento e

manutenção de manutenção de software
software

Algar Telecon Gerenciamento de Terceiro Gerenciamento de

Servidores, Software e Servidores, Software e
Terceirização de Terceirização de pessoal de
pessoal de TI / Firewall TI / Firewall

1.3. Fornecedores de TI relevantes ou provedores de serviço externos

Consideramos fornecedores de TI relevantes onde a entidade está terceirizando a hospedagem de seu
ambiente de TI para terceiros ou utilizando um centro de serviço partilhado para administração central
de processos de TI.
Os serviços comuns que podem ser terceirizados incluem:
 Desenvolvimento e manutenção de software
 Manutenção de infraestrutura (sistemas operacionais, redes e ferramentas de segurança)
 Terceirização de pessoal de TI
 Aquisição e manutenção de hardware
 Serviços de nuvem como:
o Infraestrutura como serviço (IaaS) – Este é um tipo de serviço de computação em nuvem em que o
provedor de serviço oferece recursos de servidor e rede sob demanda enquanto a entidade
administra o sistema operacional e aplicativos
o Plataforma como serviço (PaaS) – Este é um tipo de serviço de computação em nuvem em que o
provedor de serviço oferece recursos de rede, servidor e sistema operacional enquanto a
entidade administra somente os aplicativos.
o Software como serviço (SaaS) – Este é um tipo de serviço de computação em nuvem em que o
provedor de serviço oferece recursos de rede, servidor, sistema operacional e aplicativos sob
demanda. Ele permite que a entidade se conecte e use aplicativos baseadas em nuvem através da
Internet.
o

Nome do provedor de Descrição do serviço – (também indica se eles seguem os processos da entidade
serviço OU seus próprios processos e se um relatório SOC1 está disponível)

Cloud2Go SaaS – Gerenciamento de Backup

Newsystems Terceirização de pessoal de TI

1
Apresentação dos Controles de Sistema e Organização (SOC)

4
 Nome do provedor de Descrição do serviço – (também indica se eles seguem os processos da entidade
serviço OU seus próprios processos e se um relatório SOC está disponível)

NGXIT Gerenciamento de Servidores, Software e Banco de Dados, Terceirização de pessoal

de TI

SDREDES SaaS – Gerenciamento de nuvem

GODADOS Desenvolvimento e manutenção de software

OKDADOS Desenvolvimento e manutenção de software

Meta System Desenvolvimento e manutenção de software

LEEF Desenvolvimento e manutenção de software

Algar Telecon Gerenciamento de Servidores, Software e Banco de Dados, Terceirização de pessoal

de TI

1.4. Infraestrutura e segurança de rede

Descreva brevemente a infraestrutura de rede de TI da entidade, ou anexe um diagrama de
infraestrutura.

A descrição e/ou diagrama inclui elementos como:

 Uso de nuvem, aplicação de contato com a rede de um centro de serviço partilhado
 Local do centro de dados
 Acesso remoto, incluindo:
- Se ativos chave do TI (ex.: aplicativos, bancos de dados, arquivos ou relatórios) estão disponíveis
por acesso remoto e para quem estão disponíveis (ex.: usuários internos, clientes, sócios ou
todos).
- O nome do software remoto em uso
 Uso de sistemas de gerenciamento de redes (ex.: Microsoft Active Directory, firewalls, Sistema de
Detecção de Intrusões (IDS), Sistemas de Prevenção de Intrusões (IPS) e/ou outras medidas de
proteção em vigor para proteger o ambiente de TI da entidade)

Microsoft Active Directory

Firewall – Fortinet
Antivirus – Trend Micro
WLC – Controladora de Access point (WIFI)
Microsoft office 365

5
1.5. Alterações significativas ao ambiente de TI
Mudanças significativas durante o Breve descrição das mudanças
período auditado (ou N/A)

Implantação de novos aplicativos Carlos

financeiros/contábeis

(Se mudanças significativas ocorreram no

período, completar 3.2.4)

Fim de vida do aplicativo (isto é, fim Carlos

planejado de suporte ao aplicativo,
remoção de uso pela entidade)

Principal(is) versão(ões) ou Carlos

atualização(ões)

Migração de dados para um novo sistema Carlos

durante o período

Projetos de TI significativos realizados Carlos

pela administração que possam afetar as
demonstrações contábeis

Adoção de novas tecnologias que possam Carlos

afetar as demonstrações contábeis

Mudanças de provedores de serviços Carlos

[Insira quaisquer outras mudanças Carlos

significativas aqui]

6
Aplicativos usados pela entidade
1.6. Lista de aplicativos/ sistemas / armazenamento de dados relevantes para processamento e registro de informações
contábeis
Para cada processo / ciclo de negócios, liste na tabela abaixo o(s) aplicativo(s) usado(s) para processamento e registro de informações contábeis.

Processo Aplicativo Versão: Implementado Como o aplicativo Sistema Banco de Login Tipo de software do Ajustes
/ ciclo/ /atualizado está hospedado? operacion dados único aplicativo configuráveis
(nome do módulo
função durante o (servidor da al (incluindo ?
específico, se
de exercício? entidade, a versão)
aplicável/ Sistema/
negócios terceiro, ou
nome do
centro de serviço
armazenamento de
partilhado em um
dados/ nome do
grupo)
fornecedor

Carlos Choose Choose an

an item. item.

Carlos

Carlos Choose Choose an

an item. item.

Carlos Choose Choose an

an item. item.

7
Processo Aplicativo Versão: Implementado Como o aplicativo Sistema Banco de Login Tipo de software do Ajustes
/ ciclo/ /atualizado está hospedado? operacion dados único aplicativo configuráveis
(nome do módulo
função durante o (servidor da al (incluindo ?
específico, se
de exercício? entidade, a versão)
aplicável/ Sistema/
negócios terceiro, ou
nome do
centro de serviço
armazenamento de
partilhado em um
dados/ nome do
grupo)
fornecedor

Carlos Choose Choose an

an item. item.

8
2. AUTOMAÇÃO E USO DE DADOS
Esta seção nos auxilia a entender como os dados são inseridos no(s) sistema(s), a natureza dos relatórios
produzidos e se dados financeiros são transferidos entre aplicativos.

2.1. Diagrama de Fluxo de Dados de aplicativos de elaboração de relatórios

financeiros
Se disponível, por favor anexe uma descrição dos sistemas (aplicativos) da organização, interfaces
relevantes, entradas, saídas, e o fluxo de dados [substituir o exemplo abaixo]:

Se não houver um diagrama de fluxo de dados, registre os detalhes a respeito de fluxos de dados,
entradas, saídas, relatórios etc., na caixa abaixo.

Carlos

2.2. Principais interfaces entre aplicativos de suporte aos processos / ciclos de

negócios (opcional se o item 2.1 estiver preenchido)
 Liste todas as principais interfaces entre aplicativos (isto é, aquelas com impacto
significativo nos processos de negócios e na elaboração de relatórios financeiros da
entidade). Isto inclui tanto interfaces dentro da entidade quanto interfaces com partes
externas (ex.: Intercâmbio Eletrônico de Dados (EDI), etc.).

 Forneça detalhes de cada interface, como os seguintes:

1) Totalmente automatizados, semiautomatizados ou interface manual

2) natureza dos dados sendo transferidos

3) se não totalmente automatizado, passos estabelecidos para executar a transferência de

dados

9
 4) Controles para garantir uma transferência de dados rápida, precisa e completa (ex.:
revisão de log, relatórios de exceção, reconciliações manuais, monitoramento em lotes,
etc.).

Aplicativos de interface Detalhes na interface Frequência (Lote, Tempo real)

[Aplicativo 1] para [Aplicativo 2]

Carlos

Carlos

2.3. Descreva o uso de componentes de tecnologia complexa (por exemplo:

blockchain, automação de processos robóticos (RPA), inteligência artificial,
etc.), se houver.

3. DESCRIÇÃO DOS PROCESSOS DE TI

3.1. Gerenciamento de Acesso

3.1.1. Processo de gerenciamento de acesso

Descreva brevemente o processo de gerenciamento de acesso, e as unidades da organização envolvidos

em relação a:
 Software de sistema operacional
 Acesso à rede
 Acesso aos aplicativos de TI e
 Acesso ao banco de dados
Mencione os procedimentos internos existentes, se disponíveis, ou anexe uma cópia do procedimento
relevante, ou adicione uma referência abaixo.

Gildasio

10
3.1.2. Administração de contas de usuários

 Descreva as contas de Administradores para aplicativos identificados no formulário que estejam

acessíveis por indivíduos
 Descreva se funções de Administrador foram definidas
 Descreva como os direitos do usuário estão configurados (se são atribuídos individualmente, com base
em funções, etc.)
 Descreva a segregação de funções implementada pela entidade por meio de direitos do usuário
 Descreva o método pelo qual as contas de usuário são autenticadas para os aplicativos / sistemas
relevantes.

 Descreva as contas de Administradores para aplicativos identificados no formulário que estejam

acessíveis por indivíduos
R: Não tem conta administradores acessíveis a usuários.
 Descreva se funções de Administrador foram definidas
R: Usuário não tem acesso administrador
 Descreva como os direitos do usuário estão configurados (se são atribuídos individualmente, com
base em funções, etc.)
R: Acessos dos usuários são definidos de acordo com a função podendo ter vários usuários com a
mesma permissão.
 Descreva a segregação de funções implementada pela entidade por meio de direitos do usuário
R: São designada para cada função somente acessos necessários para desenvolver as atividades.
 Descreva o método pelo qual as contas de usuário são autenticadas para os aplicativos / sistemas
relevantes.
R: Os usuários são vinculados com o AD integração essa via LDAP

3.1.3 Método de autenticação para acesso aos recursos de TI

Descreva os métodos de autenticação e política de senhas conforme aplicável nos aplicativos, sistemas
operacionais e bancos de dados.

Aplicativo / Pontos fortes da senha (documente os Autenticação de Descreva a

sistema parâmetros ou forneça uma captura de tela dois fatores (ou autenticação de dois
operacional / das configurações) seja, token, SMS, fatores (se aplicável)
bancos de dados outros) (S/N)

Windows Senha de no mínimo 12 Caracteres e não No

pode repetir as 5 última senha usada

Banco de dados Autenticação via usuário do AD No

No

11
 Aplicativo / Pontos fortes da senha (documente os Autenticação de Descreva a
sistema parâmetros ou forneça uma captura de tela dois fatores (ou autenticação de dois
operacional / das configurações) seja, token, SMS, fatores (se aplicável)
bancos de dados outros) (S/N)

No

3.2. Gerenciamento de Mudanças

Descreva como a entidade gerencia mudanças em seus aplicativos de TI, bancos de dados e sistema
operacional, se aplicável. Tais mudanças podem ser programadas internamente, executadas por um
consultor de TI / parte externa, ou processadas por um fornecedor de software.

3.2.1 Descreva como solicitações de mudanças nos aplicativos de TI, bancos de dados e sistema
operacional são submetidas, evidenciadas, aprovadas pelo pessoal responsável, e testadas antes da
implementação. Descreva também a segregação de funções dentro do processo de Gerenciamento de
Mudanças.

Gildasio/Arleu

3.2.2 Descreva o uso de ambientes de TI separados para desenvolvimento, testagem e produção

Carlos

3.2.3 Mudanças regulamentares ou contábeis com impacto nos sistemas de TI

Descreva as mudanças que ocorreram durante o período sendo auditado com relação a mudanças
regulamentares ou contábeis.

Carlos

3.2.4 Implementação de um novo sistema relevante para a elaboração de demonstrações contábeis (vide
section 1.5 acima)

Descreva mudanças que ocorreram durante o período sendo auditado para a implementação de novos
sistemas relevantes para a elaboração de demonstrações contábeis. Descreva as fases do projeto e sua
situação atual, a data em que a entidade iniciou o uso de novos aplicativos e o processo de migração de
dados.

12
 Carlos

3.3. Operações de TI (Processamento de dados)

Descreva como os dados financeiros são gerenciados e processados pelo Departamento de TI através de
processamento em lotes / agendamento de tarefas, incluindo a segregação de funções no processo de
operações de TI (ex.: relatórios de precisão e integridade, controles de tratamento de erros, etc.).

Carlos

3.4. Outros processos de TI relevantes

Descreva outros processos de TI, incluindo backup de dados, procedimentos de continuidade e segurança
física do centro de dados.

3.4.1 Backup de dados e continuidade de TI

Descreva o processo de criação de cópia dos dados financeiros para proteger contra exclusão acidental ou
maliciosa, corrupção, falha de hardware, ataques de ransomware, e outros tipos de perda de dados.

Carlos /gildasio/arleu

3.4.2 Processos de segurança física de centros de dados

Descreva os processos de segurança física aplicados para proteger os recursos de TI (ex.: hardware,
software, rede e dados) de desastres naturais, roubos, furtos, terrorismo, e outros eventos que poderiam
causar danos ou perda dos dados financeiros da entidade.

Carlos /gildasio/arleu

3.5. Eventos e Processos de Segurança

3.5.1 Processo de Gerenciamento de Vulnerabilidade na Segurança

Descreva seu processo de gerenciamento de vulnerabilidade utilizando partes internas ou externas (ex.:
inventário de ativos, verificação de vulnerabilidade, classificação de vulnerabilidade, reparos e outras
ações corretivas).

13
 Carlos /gildasio/arleu

3.5.2 Ataques cibernéticos / incidentes

Identifique e liste ataques cibernéticos ou incidentes que podem ter comprometido dados e transações,
ou gerado perdas para a entidade.

Descreva brevemente a causa principal do incidente / problema e a resposta da entidade.

Incidentes / problemas Aplicável? Descrição, causa principal e impacto

Ataque cibernético No

Interrupção do sistema No

Perda de dados No

Atraso no processamento de dados / elaboração de No

relatório automatizada

Gerenciamento de mudança de aplicativos lentos No

Problemas durante migração de dados de No

aplicativo

Lacunas de funcionalidade conhecidas nos No

aplicativos – solução alternativa manual necessária

Outros No

14