É importante que atenção específica seja dada à implementação de novos sistemas de aplicação significativos. Isso inclui atualizações ou alterações expressivas da funcionalidade das aplicações. O impacto de Sarbox sobre estas implementações e atualizações é poder validar, através de documentação e teste, o impacto da aplicação sobre o projeto do controle e a eficácia do processo de negócio afetado.
No segundo ano e depois, o papel-chave do CIO será garantir a capacidade de a organização de TI viabilizar a operação e o crescimento do negócio e ao mesmo tempo proporcionar adequação ao requisito.
Com relação ao gerenciamento de mudança, as três áreas-chave de foco para o CIO são:
1) Testar controles e funcionalidade essenciais para garantir que os controles continuam intactos antes da implementação
2) Atualizar documentação da mudança – e em torno da mudança – para Sarbox
3) Expandir o teste do usuário para incluir o teste apropriado de controles manuais afetados pela mudança.
A interação da função de gerenciamento de programa com estas mudanças na aplicação e o compromisso do CIO de manter adequação a Sarbox vão garantir a disponibilidade de budget e tempo para executar estas atividades. Sem dúvida, TI tem que suportar e capacitar crescimento e aprimoramento do negócio ao mesmo tempo em que mantém a adequação.
É vital que os requisitos de adequação sejam abordados durante a implementação para reduzir o aumento potencial dos custos para executar estas atividades como parte do processo de auditoria de fim de ano.
Uma observação final sobre as mudanças no segundo ano: o CIO tem que ficar ligado nas atividades e na estrutura de liderança de adequação a Sarbox da organização. Isso inclui envolvimento contínuo em comitês diretores de divulgação e de Sarbox.
Existem muitos componentes deste requisito que vão muito além da documentação e do teste da Seção 404. A Seção 302 requer a divulgação externa de mudanças no ambiente de controle da empresa a cada trimestre. A integração do CIO nesta atividade e o diálogo aberto e a conscientização pró-ativa de controles e riscos no ambiente de TI são componentes vitais da adequação contínua.
Páginas anteriores ( 1 ) ( 2 ) ( 3 )
Matérias relacionadas:
Processo contínuo
E quanto ao terceiro ano?
Os principais pontos fracos do controle de TI
Balanço da primeira rodada de auditoria
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…
A evolução da inteligência artificial nos serviços financeiros ainda esbarra em desafios relacionados à experiência…
A Motorola Solutions anunciou a assinatura de um acordo definitivo para adquirir a D-Fend Solutions,…
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…