subitem 1.7.3, TC-TC-027.
516/2015-6,
devem ser claros quanto às
responsabilidades da equipe que
realiza a atividade de controle
enfrentar os riscos
realizar os objetivos, a níveis aceitáveis
estar implícitos nas ações e
decisões da administração
de forma verbal, inclusive
políticas e procedimentos não
escritos podem ser
contornados mais facilmente
alta rotatividade de pessoal
facilita em caso de ...
prestação de contas
os procedimentos consistem em ações
que implementam a política
política e procedimentos contribuem para ...
esses posicionamentos devem ...
ser comunicados
por pessoal competente
ser documentados
(formalmente)
administração
subunidade onde existe o risco
subitem 1.8.2, TC-029.787/2016-5,
Acórdão nº 9.810/2017-TCU-2ª Câmara
e das ações corretivas
decorrentes de "follow-up"
questões identificadas para "follow-up" devem ser investigadas
e, se apropriado, ações corretivas devem ser tomadas
competente
com autoridade
suficiente para
e de tomar uma ação corretiva
subitem 9.4.2, TC-038.146/2021-5,
Acórdão nº 1.507/2022-TCU-2ª Câmara
"princípio do formalismo moderado"
art. 14 do Decreto-lei nº
200, de 25/02/1967
controles que se evidenciam
como puramente formais
imobilismo
ainda que os riscos e objetivos da
entidade não tenham mudado
subitem 1.7.3, TC-027.516/2015-6,
Acódão nº 6.836/2019-TCU-1ª Câmara
a política sinaliza o que a administração espera para
que se realize o controle interno (nos processos de negócios
e nas atividades cotidianas dos funcionários)
política deve ser implementada de
tempestivos
realizados de forma
diligente e consistente
responsabilidade
uma política estabelece,
pretação de
contas da ...
subitem 1.7, TC-000.785/2017-2,
Acórdão nº 7.090/2017-TCU-1ª Câmara
momento da atividade de controle
intempestividades compremetem
por pessoal ...
executá-la
o nível de competência exigido para executar um
controle depende da complexidade da atividade e do
volume das transações subjacentes
COSO IC-IF 2013, p. 109
"um procedimento não será útil se realizado
de forma mecânica, sem um foco contínuo e
aguçado sobre os riscos aos quais a política
é direcionada"
p/ eficácia
permanente
atividades de controle
"mudanças de pessoas, processos e tecnologia podem
reduzir a eficácia das atividades de controle ou tornar
segurança física e ambiental
segurança lógica
gestão de mudanças
cópia e recuperação de dados
gestão de incidentes
segurança da informação
ambientes de negócios interconectados (internet)
subitem 9.1.2, TC-035.093/2020-0,
Acórdão nº 1.784/2021-TCU-Plenário
por meio de vírus, malwares, arquivos maliciosos, entre outros
executáveis (danos a sistemas, roubos ou sequestro de dados)
forma planejada e consciente
procedimentos devem ser ...
estabelecer responsabilidade e
prestação de contas pela execução
com clareza ...
procedimentos contemplam o
a utilidade do controle
a atividade de controle
deve ser realizada ....
assim como as
periodicamente
COSO IC-IF 2013, p. 109
algumas delas redundantes"
tecnologia desenvolvida
interna ou externamente
dependendo da complexidade da
tecnologia e do risco do processo de
negócio apoiado por ela
os ITGC contemplam ...
e na operação contínua
subitem 9.1.1.1.1.2, TC-030.236/2016-9,
Acórdão nº 2.569/2018-TCU-Plenário
adquisição do quantitativo de licenças estritamente necessário,
vedando-se o pagamento antecipado por licenças de software,
vinculando o pagamento dos serviços agregados às licenças
efetivamente utilizadas, principalmente em projetos considerados
de alto risco ou de longo prazo
COSO IC-IF 2013, p. 107
estabelecer políticas e procedimentos
para apoiar a implementação das
diretrizes da administração
COSO IC-IF 2013, p. 107
das políticas e procedimentos
COSO IC-IF 2013, p. 108
realizar tempestivamente
COSO IC-IF 2013, p. 108
tomar ações corretivas
COSO IC-IF 2013, p. 109
realizar recorrendo a
pessoal competente
COSO IC-IF 2013, p. 109
reavaliar políticas e
procedimentos
mitigação de riscos específicos dos
processos de tecnologia
relacionam-se à infraestrutura de TI da organização (políticas,
procedimentos e práticas de trabalho relacionados à TI) e se
aplicam a todos os sistemas, componentes, processos e dados
COSO IC-IF 2013, p. 104 *
ajudam a assegurar o funcionamento dos controles
automatizados (quando implementados pela 1ª vez)
colaboram para que os sistemas de informação continuem
a funcionar adequadamente após sua implementação
subitem 9.3.2, TC-031.044/2019-0,
Acórdão nº 1.613/2020-TCU-Plenário
ao sistema operacional
ambiente físico onde o
hardware (computadores e
servidores, p.e.) fica instalado
dificuldade do acesso de pessoas
que não são autorizadas, p.e.
fraudes
vandalismo
proteção da completude dos dados
terrorismo
ataques cibernéticos
(por criminosos virtuais)
erro
Acórdão nº 6.777/2022-TCU-1ª Câmara
alinhamento com o planejamento
exatidão e a validade das informações enviadas e
a organização precisa
acompanhá-las e avaliar e em face de acelerada mudança
responder aos novos riscos
aos dados
à rede acesso
a aplicativos
às camadas físicas
contra intenções maliciosas
uma alternativa ao
desenvolvimento interno é o
uso de pacotes de software
alínea "c.3", TC-009.405/2021-6,
estratégico da organização
controles adicionais sobre a completude, a
recebidas do prestador terceirizado
de um problema na tecnologia
por solicitação dos usuários
autorização prévia para a solicitação
de mudança tecnológica (P)
verificação do direito legal de
uso da tecnologia (P)
revisão, teste e homologação quando
de mudanças em produção (P)
COSO IC-IF 2013, p. 107
organização estabelece atividades de
controle por meio de políticas que
estabelecem o que é esperado e os
procedimentos que aplicam essas políticas
a confiança da tecnologia dentro dos processos de
esses controles negócios, e quanto aos controles automatizados,
gerais de TI ... depende de "controles gerais de tecnologia" (ITGC)
gerenciamento de
incidentes à distância (P)
atendimento na configuração e
instalação de softwares (P)
conexão segura-VPN (P)
configuração de permissões de
armazenamento em nuvem (google exemplos de controles
drive, dropbox, one drive ...) (P)
plano de continuidade de
negócios-PCN (P)
data center com
espelhamento ou site
backup (P)
subitem 1.7.2.7, TC-032.568/2017-7,
redes de comunicação
Acórdão nº 6.318/2018-TCU-1ª Câmara
para operar, a tecnologia
recursos computadorizados
para operar aplicativos necessita de uma infraestrutura
eletricidade
as complexidades da infraestrutura de
tecnologia apresentam riscos que precisam
no uso da tecnologia ser entendidos e enfrentados
ex-funcionários ou ameaças à segurança surgem de
funcionários insatisfeitos, p.e. fontes internas e externas
subprocessos e atividades de controle sobre
quem, e o que, tem acesso à tecnologia de
uma entidade, inclusive sobre quem pode
executar as transações
autorização de usuários às funções
atualizações de acesso quando condizentes com suas
funcionários mudam de função responsabilidades (segregação de
ou deixam a entidade
controle de autenticação
(token) (P)
autenticação de
dois fatores (P)
limitação de acesso remoto em
atividades essenciais (P)
troca periódica de senha de acesso (P)
metodologia de desenvolvimento de tecnologia,
detalhando requisitos de documentação, aprovações e
pontos de verificação sobre a aquisição, o
desenvolvimento e a manutenção da tecnologia
outra auternativa é a terceirização,
com seus riscos próprios
controles adequados sobre
mudanças surgem ... mudanças na tecnologia
exemplos de controles
Acórdão nº 6.836/2019-TCU-1ª Câmara
atividades de controle (estabelecidas por políticas e COSO IC-IF 2013, p. 93
procedimentos) ajudam a assegurar que as diretrizes da "elas não existem por si próprias ou
administração para mitigar riscos (à realização dos porque tê-las é a coisa certa ou
objetivos) sejam cumpridas apropriada a ser feita"
em todos os níveis da entidade
COSO IC-IF 2013, p. 92
atividades de controle são realizadas ... em vários estágios dos
processos internos
no ambiente de tecnologia
de natureza preventiva
podem ser ...
de detecção
ABNT NBR ISO/IEC 31010
de atenuação/recuperação
atividades manuais e automatizadas, como podem apoiar um ou mais objetivos
autorizações e aprovações, verificações, reconciliações, operacionais, de divulgação e de
Exemplos segregação de funções e revisões de desempenho dos negócios conformidade da entidade
atividades de controle ajudam a além de avaliar riscos, a administração
assegurar que as respostas que identifica e executa as ações necessárias para além de estabelecer normas de
mitigam riscos são executadas dar respostas específicas a eles conduta no ambiente de controle
subitem 1.8.3, TC-027.715/2015-9,
Acórdão nº 3.953/2017-TCU-2ª Câmara
COSO IC-IF 2013, p. 94 as 5 dimensões (componentes)
na mitigação, a
integrar-se com a a resposta ao risco depende do nível administração
avaliação de riscos os processos de negócios relevantes
desejado de mitigação do risco avaliado considera ...
a tecnologia da informação centros de dados
fora da unidade
exemplo de controle gestão de riscos adequada (P) os locais onde as atividades de operacional
controle são necessárias (eventualmente) serviços compartilhados
controles sobre a completude das informações
há pessoas diferentes, com diferentes processos/funções realizados por enviadas e recebidas entre a entidade e os
habilidades e com julgamentos pessoais na julgamentos estão sempre prestadores de serviços terceirizados prestadores de serviços terceirizados
condução do controle interno sujeitos a erro humano
COSO IC-IF 2013, p. 95 as atividades de controle diferem subitem 9.3.1, TC-031.124/2015-1, entidades altamente reguladas e entidades multinacionais
considerar fatores entre as entidades (ainda que com Acórdão nº 2.941/2017-TCU-2ª Câmara tendem a apresentar atividades de controle mais complexas
específicos à entidade estruturas e objetivos idênticos) o ambiente e o setor ao qual o
os controles refletem ... órgão/entidade público(a) opera subitem 1.7.1, TC-025.404/2016-4,
Acórdão nº 1.807/2017-TCU-Plenário
a complexidade da organização
exemplo de controle pesquisa de clima organizacional (P) entidades com sofisticados sistemas de
a história corporativa gestão empresarial (ERP) terão atividades
de controle diferenciadas
são atividades mais básicas de subitem 9.1.3, TC-035.093/2020-0,
para realizar os objetivos (e controle (respostas ao risco nos subitem 1.7.1, TC-029.479/2017-7, Acórdão nº 1.784/2021-TCU-Plenário.
subobjetivos) da administração processos de negócios) Acórdão nº 325/2018-TCU-Plenário a cultura
manuais (mais vulneráveis)
processos financeiros a natureza e o escopo
transações (na "controles de subitem 1.7.2, TC-026.335/2015-8, das operações em termos físicos como lógicos (inovação, p.e.)
estrutura COSO) transação" Acórdão nº 648/2017-TCU-1ª Câmara
processos operacionais os níveis de centralização
automatizados (eletrônicos)
ou autonomia local
processos de conformidade
comuns a todas as subitem 1.8.10, TC-029.002/2016-8,
na realização dos objetivos organizações (compras, Acórdão nº 7.868/2017-TCU-2ª Câmara
COSO IC-IF 2013, p. 96 organizacionais são estabelecidos podem contas a pagar ou vendas) todas as transações
completude devem ser registradas
determinar os processos de processos de negócios (transações), ser ... específicos a uma
COSO IC-IF 2013, ps. 94 a 102 negócios relevantes por toda a entidade determinada organização subitem 1.7.1, TC-031.095/2019-4,
Acórdão nº 1.926/2020-TCU-Plenário
organização seleciona e desenvolve atividades de as transações devem ser registradas pelo seu valor
rotinas/procedimentos de
controle que contribuem na redução, a níveis aceitáveis, correto na conta contábil (e em tempo hábil), em
verificação da completude
dos riscos à realização dos objetivos com os objetivos exatidão cada estágio do processamento
dos registros contábeis (D)
a estrutura COSO se refere ao processamento das transações de garantir (por
subitens 9.1.1.3 a 9.1.1.5, TC-011.609/2016-8,
(preocupando-se em reduzir equívocos em processos financeiros) verificações) ...
Acórdão nº 484/2017-TCU-Plenário
exemplos de controles as transações registradas devem representar
autorização segregada de transações (P) eventos econômicos que realmente ocorreram
e que foram realizadas de acordo com os
validade procedimentos definidos (política da entidade)
segregação de COSO IC-IF 2013, p. 97
funções (P) "sem a restrição adequada de acesso às
subitem 1.7.3.5, TC-030.921/2015-5,
transações em um processo de negócios
as atividades de controle na empresa Acórdão nº 9.943/2017-TCU-2ª Câmara
restrição de acesso (P) o processamento das transações deve
podem ser burladas" tempestividade dar-se dentro do prazo adequado
especialmente importante quando a tecnologia
COSO IC-IF 2013, p. 97
computadorizada está integrada aos processos de negócios
"quando existem atividades de controle adequadas e as
informações que a administração utiliza são, segundo seu
critério, exatas, completas e válidas, a probabilidade de se
representa um evento
tomar uma decisão melhor aumenta"
econômico real
uma autorização afirma que uma
transação é válida, ou seja ... está dentro da política
da entidade
é importante entender o subitem 9.2.3.4, TC-030.171/2014-8,
propósito de cada controle subitem 9.2.5.2, TC-017.107/2017-2, Acórdão nº 605/2017-TCU-Plenário.
CONTROLE EM 5D 3 princípios (conceitos (associado a um risco específico) Acórdão nº 1.032/2018-TCU-Plenário há aprovações automatizadas; caso seja extrapolado
subsunçores) uma aprovação dada por um nível o nível de tolerância preestabelecido (custo unitário
ATIVIDADES DE CONTROLE autorizações e aprovações
mais alto da administração de um item, p.e.), haverá investigação adicional à
3ª DIMENSÃO (COMPONENTE) normalmente a autorização
(estabelecimento de níveis de alçada) vista das referências (coeficientes) técnicas
assume a forma de ... uma verificação e determinação de
que a transação é válida
subitem 9.5, TC-TC 019.127/2021-9,
Acórdão nº 2.300/2022-TCU-Plenário
comparam dois ou mais itens na falta de correspondência dos itens ou
entre si, ou comparam um item quando o item não é consistente com a política
COSO IC-IF 2013, p. 98 há uma variedade de com uma política são feitas checagens adicionais (dupla checagem)
avaliar a combinação de tipos "atividades de controle de
de atividades de controle transações", a exemplo de .... verificações em geral, as verificações costumam abordar a
completude, a exatidão ou a validade do
processamento de transações
subitem 1.6.4, TC-025.999/2020-6,
alínea "f", subitem 1.6.4, TC-003.387/2018-6, Acórdão nº 2.355/2022-TCU-1ª Câmara
acesso físico restrito a
Acórdão nº 914/2018-TCU-Plenário pessoas autorizadas
equipamentos, estoques, valores
imobiliários, numerário e outros ativos são
atividades de subitem 1.8.2, TC-023.972/2016-5,
mantidos sob segurança física
controle físico Acórdão nº 7.973/2017-TCU-1ª Câmara
são periodicamente contados e
comparados com os registros de controle
subitem 9.6.1, TC-009.798/2019-6,
Acórdão nº 1.497/2020-TCU-Plenário
dados permanentes para apoiar o arquivo mestre de preços, p.e.
controles sobre processamento de transações em um (banco de preços oficiais)
dados permanentes processo de negócios
controle sobre os processos para incluir,
alínea "b.8", TC-033.860/2019-0,
Acórdão nº 4.676/2022-TCU-1ª Câmara atualizar e manter a completude, a
comparação de 2 ou mais elementos de exatidão e a validade dos dados
dados e, em caso de diferença, adoção de
medidas para fazer os acertos
reconciliações
(conciliações) as reconciliações abordam a
completude e a exatidão do
processamento das transações verificações
reconciliações
COSO IC-IF 2013, p. 98 * estão sendo realizadas de forma
avaliam se as "atividades de autorizações e completa, exata e conforme
controle de transações" ... aprovações políticas e procedimentos (válida)
controles de
supervisão controles sobre
utilizados sobre as transações
dados permanentes
de risco mais elevado
característicos das estruturas e funcionalidades atividades de
de 2ª linha (supervisão e monitoramento) controle físico
desenhadas para evitar um
evento não intencional, quando
preventivas ele começa a ocorrer
as atividades de desenhadas para descobrir um evento não
controle podem ser ... intencional após o processamento inicial ter ocorrido,
de detecção antes da conclusão do objetivo final software imita ações
humanas repetitivas
ABNT NBR ISO IEC 31010 subitem 9.2.7, TC-031.563/2016-3,
COSO IC-IF 2013, p. 104 subitem 9.1.1, TC-022.781/2018-8,
(ref. análise bow tie) Acórdão nº 2.153/2018-TCU-Plenário.
determinar a dependência entre o uso da de atenuação/recuperação plano de contingência, p.e. Acórdão nº 2.914/2020-TCU-Plenário
tecnologia nos processos de negócio e os de processos lida com mais dados do que um
humano conseguiria fazê-lo
controles gerais de tecnologia a diferença é o momento
em que elas ocorrem depende de regras claras
COSO IC-IF 2013, p. 99
entende formas de expressão humana,
"quanto menor a tolerância ao risco, mais precisas automação como sentenças de texto, p.e.
devem ser as ações para mitigar o risco e as
atividades de controle relacionadas" quanto mais trabalha, melhor
fica eu desempenho
cognitiva subitem 9.3.4, TC-024.000/2018-3,
Acórdão nº 1.032/2019-TCU-Plenário
robô captura dados em
vários sistemas, depois faz
cruzamentos e gera informações
subitem 1.7.1, TC-025.709/2017-8,
Acórdão nº 2.108/2018-TCU-Plenário baseada em probabilidades
tecnologia está inserida e sustenta predição (I.A. capacidade (modelos preditivos matemáticos)
os processos de negócios da entidade básica de aprendizagem)
aumenta a inteligência humana ao oferecer
COSO IC-IF 2013, p. 103 informações e análises preditivas
organização seleciona e desenvolve atividades sistemas simulam o comportamento
de controle gerais sobre a tecnologia para apoiar humano, emoções e interações
COSO IC-IF 2013, p. 105 a realização dos objetivos
sistemas têm capacidade de
estabelecer atividades de engajamento cognitivo (I.A.)
aprender sozinhos
controle sobre a infraestrutura
de tecnologia relevante tecnologia e 4ª revolução industrial (I.A.,
atividades de Big Data e Analytics)
controle
atividades de controle são necessárias para
mitigar o risco de que a tecnologia deixe de
operar adequadamente no apoio à realização
dos objetivos da organização
subitem 1.7.2.8, TC-030.889/2015-4,
Acórdão nº 2.313/2017-TCU-2ª Câmara controles computadorizados
tecnologia é usada para automatizar em processos operacionais ou
as atividades de controle de conformidade
(controles automatizados) controles automatizados de
COSO IC-IF 2013, p. 105
transação relacionados ao
estabelecer atividades de controle relatório processo financeiro, p.e.
sobre os processos relevantes de automatizado de
parte dos processos de
gerenciamento de segurança variações (D)
negócios combina controles
dupla checagem (D) manuais e automatizados
exemplos de controles
checagem tripla dentro
funções) do sistema ERP (D)
controles que operam no nível de
processamento de transações
COSO IC-IF 2013, p. 100 podem ser atividades de controle (D) e atividades de monitoramento
exemplos de resultados inesperados
considerar em quais níveis as abordagem "análises de desempenho de negócio" (a partir de séries
controles atividades são realizadas em camadas
atividades de controle que operam de de dados operacionais ou financeiros), em busca de ...
forma mais ampla (conduzidas nos níveis tendências não usuais
configuração de permissões de
mais altos da organização)
uso de mídias removíveis alta administração conduz análises de desempenho p/ avaliar até que ponto as metas
(pen drive e HD externo) (P) real versus orçamentos, previsões, períodos anteriores estão sendo realizadas abordando vários riscos
e resultados de concorrentes, p.e.
essas análises da administração (e
decorrente "follow-up") fazem parte continuidade
subitem 9.6, TC-034.380/2011-6, das atividades de controle dos negócios
subitem 1.8.2.2, TC-033.871/2018-3, Acórdão nº 686/2017-TCU-1ª Câmara
Acórdão nº 10.253/2019-TCU-2ª Câmara dividir as responsabilidades de registro,
a administração deve considerar se autorização e aprovação de transações, bem como
COSO IC-IF 2013, p. 106 de manuseio dos ativos relacionados
as funções estão segregadas entre
estabelecer atividades de controle sobre os pessoas diferentes COSO IC-IF 2013, p. 102 *
processos relevantes de aquisição, ambiente legal a fim de reduzir o risco de erros ou ações
desenvolvimento e manutenção de tecnologia inadequadas ou fraudulentas
deve-se
requisitos regulatórios
considerar ...
expectativas das
partes interessadas
mais de uma pessoa
COSO IC-IF 2013, p. 102 aumenta a chance de um erro ser realizando ou analisando as
abordar a segregação de funções percebido e reduz a sua ocorrência transações de um processo
COSO IC-IF 2013, p. 102
"a segregação de funções pode tratar riscos
importantes relacionados à possibilidade de a
administração burlar controles, um recurso usado
com frequência para cometer fraudes" COSO IC-IF 2013, p. 102
"quando as principais responsabilidades pelos
subitem 1.8.1, TC-031.030/2015-7, processos estão divididas entre, pelo menos, dois
Acórdão nº 1.092/2017-TCU-1ª Câmara funcionários, é preciso haver conluio entre as partes
fraudador(a) pode atuar sozinho(a) para realizar atividades fraudulentas"
nessa situação, utilizam-se
organizações de pequeno porte têm "atividades de controle alternativas",
dificuldade em adotá-la (custo) para mitigar o impacto dessa deficiência
estudo com vistas a quantificar as
exemplos de controles necessidades de pessoal (P)
segregação de funções (P)
segregação de ambientes e redes (P)