| Segurança informática em auditoria |
|
|
6.2. COSO - Committee of Sponsoring Organizations of the Treadway Commission [26]
O comité COSO é uma organização privada americana, foi formada inicialmente em 1985 para apoiar a National Commission on Fraudulent Financial Reporting, uma iniciativa independente do sector privado que estudou as causas da publicação de relatórios financeiros fraudulentos e desenvolveu recomendações para as empresas privadas e seus auditores, para a SEC (Stock Exchange Comission) e outros reguladores e instituições de educação.
Esta Comissão Nacional Americana (COSO) foi patrocinada por cinco grandes associações profissionais dos Estados Unidos da América, American Accounting Association, American Institute of Certified Public Accountants, Financial Executives International, Institute of Internal Auditors e National Association of Accountants (hoje Institute of Management Accountants). A comissão funcionava independente dos patrocinadores e incluía representantes da indústria, da contabilidade pública, de empresas de investimento e da Bolsa de Nova York (New York Stock Exchange).
Trata-se de um modelo global de gestão de risco empresarial que embora não seja totalmente aplicado à segurança informática e auditoria, pode ser útil no desenho do enquadramento para a auditoria das tecnologias de informação e comunicação. A definição adoptada para gestão de risco é a seguinte:
No entendimento do COSO, as premissas subjacentes à gestão de risco empresarial são que qualquer entidade existe para fornecer valor aos seus donos (stakeholders). Todas as entidades enfrentam incerteza, o desafio de gestão é determinar quanta incerteza pretende aceitar para ampliar o valor da empresa. A incerteza é constituída em simultâneo por risco e oportunidade, com potencial para criar ou destruir valor.
A gestão de risco empresarial permite aos gestores lidar eficazmente com a incerteza e risco associado, melhorando a capacidade de criar valor.
A gestão de risco empresarial propõe:
|
|
|