Last updated on 16 de jul. de 2024

Como você usa o COSO para avaliar a eficácia e a eficiência dos controles internos em TI?

Alimentado por IA e pela comunidade do LinkedIn

O COSO, ou Comitê de Organizações Patrocinadoras da Comissão Treadway, é uma estrutura amplamente reconhecida para controle interno que pode ajudar os auditores de TI a avaliar a eficácia e a eficiência dos processos e sistemas de TI. Neste artigo, você aprenderá a usar o COSO para avaliar os cinco componentes do controle interno em TI: ambiente de controle, avaliação de risco, atividades de controle, informação e comunicação e atividades de monitoramento.

Principais especialistas neste artigo

Selecionados pela comunidade a partir de 8 contribuições. Saiba mais

1 Ambiente de controle

O ambiente de controle define o tom e a cultura da organização e influencia como os riscos e controles de TI são percebidos e gerenciados. Assim, os auditores de TI devem avaliar certos elementos do ambiente de controle em TI usando COSO. Esses elementos incluem o comprometimento e a competência da gerência e da equipe de TI, o alinhamento dos objetivos de TI à missão e aos valores da organização, os padrões éticos e profissionais do pessoal, a atribuição de autoridade para as atividades de TI e a supervisão e governança de TI pelos membros do conselho e pela alta administração.

Adicione sua opinião

Shara Strawder

Experienced in pricing, business intelligence, insight and data analytics manager opportunities.
(editado)
Denunciar contribuição
Thank you for putting this together! So many folks don’t understand COSO. What if you titled this Culture? My perception is that folks outside of audit will resonate with Culture more than control environment and culture is the crux of what you are communicating. Lastly, I recommend adding a link to COSO.org for additional information for your readers - perhaps at the end of article.

Traduzido

Gostei

Irrelevante
Yousef Dawood

Director of Internal Audit and Inspection @Central Bank Of Yemen | M.Acc. | Leadership | Internal Control | Internal Auditing | IT Audit | Governance | Sustainability | Risk Assessment | Risk Management | Chinese HSK5.
Denunciar contribuição
To effectively evaluate the control environment, IT auditors should also consider the organization's risk appetite and tolerance. Understanding these parameters helps in assessing whether the IT controls are appropriately designed and implemented to mitigate risks to an acceptable level. Additionally, IT auditors should review the organization's incident response and recovery plans to ensure they are robust and well-practiced, reflecting a proactive approach to managing IT risks. Regular training and awareness programs for staff can further strengthen the control environment by promoting a culture of security and compliance.

Traduzido

Gostei

Irrelevante

2 Avaliação do risco

A avaliação de riscos é o processo de identificar, analisar e priorizar os riscos de TI que podem afetar o alcance dos objetivos da organização. Os auditores de TI devem usar o COSO para avaliar como o gerenciamento de riscos de TI está integrado ao gerenciamento de riscos gerais da organização e considerar os riscos potenciais de TI de fontes internas e externas. O COSO também deve ser usado para avaliar o apetite e os níveis de tolerância ao risco de TI, formular respostas ao risco de TI e estratégias de mitigação e documentar e comunicar informações sobre riscos de TI.

Adicione sua opinião

Leonardo T.

Head de Auditoria e Compliance | Conselheiro de Administração | Governança | Especialista em Gestão de Riscos e Controles Internos | Prevenção à Fraude | PLD | Segurança da Informação | Privacidade e Proteção de Dados
Denunciar contribuição
COSO can certainly be used as a reference, as can COBIT. I have used both to analyze processes that, in the end, using a pre-programmed spreadsheet, generated a risk score for the process. It was possible to compare process maturity, create rankings, matrices and leverage the search for improvements together with the company's departments.

Traduzido

Gostei

Irrelevante
Yousef Dawood

Director of Internal Audit and Inspection @Central Bank Of Yemen | M.Acc. | Leadership | Internal Control | Internal Auditing | IT Audit | Governance | Sustainability | Risk Assessment | Risk Management | Chinese HSK5.
Denunciar contribuição
In addition to the COSO framework, IT auditors should employ automated risk assessment tools and data analytics to identify and analyze risks more efficiently and accurately. These tools can help in continuously monitoring IT environments for emerging threats and vulnerabilities. Furthermore, engaging stakeholders from various departments can provide a holistic view of IT risks and ensure that risk management strategies align with the organization's strategic goals. Regularly updating the risk assessment to reflect changes in technology, business processes, and the threat landscape is crucial for maintaining an effective IT risk management program.

Traduzido

Gostei

Irrelevante

3 Atividades de controle

As atividades de controle são as políticas, procedimentos e práticas projetados e implementados para mitigar os riscos de TI e garantir a confiabilidade, a segurança e a conformidade dos processos e sistemas de TI. Os auditores de TI devem usar o COSO para avaliar a seleção e o desenvolvimento de atividades de controle de TI quanto à sua adequação, eficácia e eficiência. Além disso, devem avaliar a implementação e execução dessas atividades por pessoal qualificado e autorizado, bem como a segregação de funções e controles de acesso para funções e recursos de TI. Além disso, eles devem examinar o uso de controles de TI preventivos, detectivos e corretivos, juntamente com a documentação e os testes das atividades de controle de TI.

Adicione sua opinião

Mamdouh El Samary - CIA®, CISA®, CRISC™, CGEIT®, PMP®

𝕀𝕟𝕥𝕖𝕣𝕟𝕒𝕝 𝔸𝕦𝕕𝕚𝕥 & 𝔾ℝℂ ℂ𝕠𝕟𝕤𝕦𝕝𝕥𝕒𝕟𝕥 LinkedIn Top Voice | Internal Audit | IT Audit | Control | GRC - Governance, Risk & Compliance | Assurance | Cybersecurity | Data Analysis | COSO Framework.
Denunciar contribuição
Evaluating the effectiveness and efficiency of internal controls in IT using the COSO framework involves several steps. Let’s break it down: Control Activities: Identify and document specific control activities related to IT processes. Assess whether these controls are designed effectively to prevent or detect errors, fraud, or security breaches. Consider segregation of duties, access controls, change management, and other relevant controls.

Traduzido

Gostei

Irrelevante

4 Informação e comunicação

Informação e comunicação são os processos e sistemas que permitem a geração, coleta, processamento, distribuição e uso de informações de TI relevantes e confiáveis para a tomada de decisões e relatórios. Portanto, os auditores de TI devem usar o COSO para avaliar a qualidade, pontualidade, integridade, precisão, segurança, confidencialidade, conformidade com padrões, políticas e regulamentos de sistemas e redes de informação de TI. Além disso, é importante avaliar a eficácia do compartilhamento de informações de TI e da colaboração entre as partes interessadas internas e externas, bem como os mecanismos de feedback e relatórios para o desempenho, problemas e melhorias de TI.

Adicione sua opinião

Mamdouh El Samary - CIA®, CISA®, CRISC™, CGEIT®, PMP®

𝕀𝕟𝕥𝕖𝕣𝕟𝕒𝕝 𝔸𝕦𝕕𝕚𝕥 & 𝔾ℝℂ ℂ𝕠𝕟𝕤𝕦𝕝𝕥𝕒𝕟𝕥 LinkedIn Top Voice | Internal Audit | IT Audit | Control | GRC - Governance, Risk & Compliance | Assurance | Cybersecurity | Data Analysis | COSO Framework.
Denunciar contribuição
Evaluating the effectiveness and efficiency of internal controls in IT using the COSO framework involves several steps. Let’s break it down: Information and Communication: Evaluate how information flows within the organization’s IT systems. Assess communication channels for sharing control-related information. Ensure that relevant stakeholders (management, IT personnel, etc.) receive timely and accurate information.

Traduzido

Gostei

Irrelevante

5 Atividades de monitoramento

As atividades de monitoramento são os processos e sistemas que possibilitam a avaliação e a melhoria contínua do sistema de controles internos de TI. Os auditores de TI devem usar o COSO para avaliar vários aspectos das atividades de monitoramento em TI, como estabelecer e implementar objetivos, planos e procedimentos de monitoramento; utilização de fontes internas e externas de monitoramento de informações e feedback; identificar e analisar deficiências e desvios de controle; relatar e escalar as descobertas e recomendações de controle; e remediar e acompanhar as ações e mudanças de controle.

Adicione sua opinião

Mamdouh El Samary - CIA®, CISA®, CRISC™, CGEIT®, PMP®

𝕀𝕟𝕥𝕖𝕣𝕟𝕒𝕝 𝔸𝕦𝕕𝕚𝕥 & 𝔾ℝℂ ℂ𝕠𝕟𝕤𝕦𝕝𝕥𝕒𝕟𝕥 LinkedIn Top Voice | Internal Audit | IT Audit | Control | GRC - Governance, Risk & Compliance | Assurance | Cybersecurity | Data Analysis | COSO Framework.
Denunciar contribuição
Evaluating the effectiveness and efficiency of internal controls in IT using the COSO framework involves several steps. Let’s break it down: Monitoring Activities: Review the ongoing monitoring processes for IT controls. Verify that monitoring activities are effective in detecting control deficiencies. Consider automated monitoring tools, periodic reviews, and exception reporting. Remember, COSO’s Principle 11 provides guidelines for assessing IT controls. You can use a control matrix and maturity model to assign scores and determine overall effectiveness. Judgment is essential in interpreting the assessment results

Traduzido

Gostei

Irrelevante

6 Veja o que mais considerar

Este é um espaço para compartilhar exemplos, histórias ou insights que não se encaixam em nenhuma das seções anteriores. O que mais gostaria de acrescentar?

Adicione sua opinião

Dr Reji Kurien Thomas

I Empower Sectors as a Global Tech & Business Transformation Leader| Stephen Hawking Award| Harvard Leader | UK House of Lord's Awardee | Fellow Royal Society | CyberSec I 169x LinkedIn Top Voice | CCISO CISM
Denunciar contribuição
Identify & prioritise risks based on their likelihood and potential impact, ensuring that the most critical risks are addressed first. In a cybersecurity audit, we used COSO's risk assessment component to identify and prioritise risks such as phishing attacks and unauthorised access. By categorising risks into high, medium, and low impact, we were able to focus our efforts on enhancing controls for the highest risks first. Assess control activities in detail, including policies, procedures, and mechanisms, to ensure they are effectively mitigating identified risks. We conducted an in-depth evaluation of access control mechanisms in a cloud-based application. This included reviewing user access logs and authentication protocols.

Traduzido

Gostei

Irrelevante

Auditoria de TI

+ Siga

Classificar este artigo

Criamos este artigo com a ajuda da IA. O que você achou?

É ótimo Não é muito bom

Denunciar este artigo

Ver todos

Como você usa o COSO para avaliar a eficácia e a eficiência dos controles internos em TI?

1

2

3

4

5

6

1 Ambiente de controle

2 Avaliação do risco

3 Atividades de controle

4 Informação e comunicação

5 Atividades de monitoramento

6 Veja o que mais considerar

Auditoria de TI

Classificar este artigo

Agradecemos seu feedback

Outros artigos sobre Auditoria de TI

Leitura mais relevante