CONTROLES GERAIS DE TI E CONTROLES DE APLICATIVOS
Os controles gerais são controles inseridos nos processos de TI e serviços. Como exemplo citamos:
· Desenvolvimento de sistemas
· Gerenciamento de mudanças
· Segurança
· Operação de computadores
Os controles inseridos nos aplicativos de processos de negócios são comumente chamados de controles de aplicativos. Exemplos:
· Totalidade
· Veracidade
· Validade
· Autorização
· Segregação de funções
O CobiT assume que o projeto e a implementação dos controles automatizados em aplicativos é de responsabilidade da área de TI,
cobertos no domínio Aquisição e Implementação, com base nos requisitos de negócios definidos a partir dos critérios de informação
do CobiT, como demonstrado na Figura 10. A responsabilidade pelo controle e o gerenciamento operacional dos controles de
aplicativos não é da área de TI, mas do proprietário do processo de negócio.
Assim, a responsabilidade pelos controles de aplicativos é compartilhada entre as áreas de negócios e de TI, mas a natureza das
responsabilidades muda, como segue:
A área de negócios é responsável por:
· Definir os requisitos funcionais e de controles
· Utilizar os serviços automatizados
A área de TI é responsável por:
· Automatizar e implementar os requisitos funcionais e de controles
· Estabelecer controles para manter a integridade dos controles de aplicativos
Portanto os processos de TI do CobiT cobrem os controles gerais de TI, mas somente os aspectos do desenvolvimento dos controles
de aplicativos; a responsabilidade pela definição e o uso operacional é da área de negócio.
Fonte: Manual COBIT.
CONTROLES DE NEGÓCIOS E DE TI
Os sistemas de controles internos das organizações afetam a área de TI em três níveis:
· No nível da Alta Direção, os objetivos de negócios e as políticas são definidos e decisões são tomadas em relação a como entregar e
gerenciar os recursos da organização para executar a estratégia. O enfoque geral para a governança e o controle é definido pela Alta
Direção e comunicado para toda a organização. O ambiente de controle de TI é direcionado por estes objetivos e políticas de alto nível.
· No nível dos processos de negócios, os controles são aplicados às atividades específicas dos negócios. A maioria dos processos de
negócios
é automatizada e integrada aos sistemas aplicativos de TI. No entanto, alguns controles existentes no processo de negócios
permanecem como procedimentos manuais, tais como a autorização para transações, a segregação de funções e as reconciliações manuais.
Portanto, os controles no nível dos processos de negócios são uma combinação de controles manuais conduzidos pela área de negócios e
controles de negócios e de aplicativos automatizados. Ambos são de responsabilidade da área de negócios no que se refere a definição e
gerenciamento, embora os controles dos aplicativos exijam a participação da área de TI no seu projeto e desenvolvimento.
· Para suportar os processos de negócios, a área de TI fornece serviços de TI, usualmente de maneira compartilhada para diversos
processos de negócios, uma vez que muitos processos de desenvolvimento e operacionais de TI são supridos para toda a organização
e boa parte da infra-estrutura de TI é provida como um serviço comum (por exemplo, redes, bases de dados, sistemas
operacionais e armazenamento). Os controles aplicados a todas as atividades de serviços de TI chamados de controles gerais
de TI. A operação confiável desses controles é necessária para que se possa confiar nos controles existentes nos aplicativos. Por
exemplo, um gerenciamento de mudanças insatisfatório poderia prejudicar (acidental ou deliberadamente) a confiança depositada
em testes de integridade automáticos.
MANUAL COBIT 4.1 - PAGINA 17