Os auditores se depararam com os mesmos problemas repetidamente. Aqui estão eles, em ordem de freqüência.
1. Falha em segregar tarefas dentro de aplicações e falha em configurar contas novas e encerrar contas antigas de maneira oportuna. Este foi o maior. A maioria das empresas não tinha processos implantados para garantir que, quando as pessoas mudassem de divisão, seu acesso a aplicações mudaria para refletir suas novas responsabilidades. Todos os CIOs entrevistados para este artigo revelaram que fizeram controles manuais para abordar este problema na primeira auditoria. Inclusive a Microsoft.
2. Falta de supervisão apropriada para fazer mudanças em uma aplicação. Na maior parte das organizações, um administrador de sistemas era responsável por todas as mudanças em uma aplicação. Mas, para serem aprovados na auditoria de TI, os CIOs tiveram que designar uma pessoa para fazer mudanças e outra para promover garantia de qualidade. E era preciso demonstrar que este procedimento estava sendo adotado.
3. Análise inadequada de registros de auditoria. A maioria dos CIOs designou alguém para analisar registros de auditoria de aplicação de modo a garantir que estes sistemas estejam funcionando bem. Mas, com Sarbanes-Oxley, apenas fazer a verificação não resolve mais; é preciso provar que ela foi feita. Em outras palavras, você tem que fazer um registro de auditoria do seu registro de auditoria.
4. Incapacidade de identificar transações anormais de maneira oportuna. É um problema de TI clássico que, com freqüência, pode ser resolvido através de mudanças na aplicação para que ela notifique você quando há uma transação que não segue regras preestabelecidas.
5. Falta de entendimento de configurações de sistema essenciais. No fim das contas, muitos departamentos de TI não eram tão espertos quanto pensavam. A solução para este ponto fraco é simples: treinamento melhor.
Matérias relacionadas:
Processo contínuo
Atitudes para o segundo ano de Sarbox
E quanto ao terceiro ano?
Balanço da primeira rodada de auditoria
