unianchieta govseg ti 2013.pdf

7/28/2019 UniAnchieta GovSeg TI 2013.pdf

1/177

Prof. Andre Pitkowski, 2013

Governana:Implementao Prtica de

CobiT 4.1Prof. Andre Pitkowski

1


2/177


Agenda:

Governana Corporativa A crise de 1929

Criao da SEC em 1934 Sarbanes Oxley Controles Internos

COSO Governana de TI

CobiTProcessosAtividades

MaturidadeMtricas e Indicadores

Proposta de trabalho em grupo

2


3/177


Frequencia e NOTA

Frequencia: apontada no comeo decada aula.Nota:

Solicitaes em sala de aula: 20%Individuais ou em grupoResenhas de livrosInterpretaes de notcias

Prova individual: 20%Projeto: 60%

3


4/177


Depois da 1 Grande Guerra Mundial

(1914-1918), a indstria dos EUA era responsvel por quase 50% da produomundial;

AMERICAN WAY OF LIFE. Esse estilo de vida caracterizou-se pelo grandeaumento na aquisio de automveis, eletrodomsticos e toda sorte deprodutos industrializados.

EUROPA, (Inglaterra, Frana e Alemanha) foi atualizando rapidamente seusmodelos industriais. Reduziram as importaes de produtos americanos. Aproduo industrial e agrcola dos Estados Unidos continuava a cresceraceleradamente.

superproduo capitalista.

E ento, os EUA sofreram um grande abalo econmico em 1929, quandomergulharam numa terrvel crise, de repercusso mundial.

4


5/177


Antes da crise de 1929

Antes da grande quebra de 1929 havia pouco apoio regulamentao federaldo mercado de valores mobilirios americano.

Isso era particularmente verdadeiro durante o ps guerra, com a intensificaodo mercado de valores mobilirios. As propostas do governo para as empresasfornecerem informaes financeiras ao mercado e prevenisse a vendafraudulenta de aes nunca foram levadas a srio.

Motivados pela perspectivas da fortuna fcil, a maior parte dos investidores eacionistas deu pouca ateno aos perigos inerentes s operaes de ummercado sem controle.

Durante os anos 20, aproximadamente 20 milhes de grandes e pequenosacionistas tiraram vantagem da prosperidade americana do ps-guerra e fizeram

fortuna no mercado de aes. Estima-se que, dos cerca USD 50 Bilhes emnovas aes oferecidas nesse perodo metade perdeu completamente o seuvalor.

5


6/177


24 de outubro de 1929

quinta-feira negra

Crise na Bolsa de Nova York.

Muitas empresas simplesmente deixaram de existirde uma hora para outra.

Seus acionistas foram surpreendidos, perdendo todoo capital investido.

6


7/177


As empresas americanas foramforadas a reduzir o ritmo de

sua produo. Em funodisso, promoveram a

demisso em massa de seusfuncionrios.

Terminava o sonhoAMERICAN WAY OF LIFE.

Durante a crise, 15 milhesde americanos ficaram

desempregados.

7

A crise de 1929

a quebra da bolsa de Nova York


8/177

Prof. Andre Pitkowski, 2013 8


9/177


A quebra da Bolsa de Valores de Nova York abalou o mundo inteiro. OsEstados Unidos, no podendo vender, tambm deixaram de comprar, e isso

afetou tambm o Brasil, que dependia das exportaes de caf para osEstados Unidos.

Com a crise, parte do volumoso estoque de caf produzido no Brasil ficou semmercado consumidor. O Brasil no conseguiu conter o desastre econmico queabalou a classe cafeicultora e, por consequncia, abalou as prpriasestruturas polticas da Repblica Velha, abrindo caminho para a Revoluo de1930, que levaria Getlio Vargas ao poder. 9


10/177


Av. Paulista

10


11/177


Os bancos...

Quando o mercado de aesquebrou em Outubro de 1929 asfortunas de um nmero incontvelde investidores foram totalmenteperdidas.

Os bancos tambm perderamgrandes somas de dinheiro no

crash porque eles tambminvestiram pesadamente nomercado de aes. Quando oscorrentistas perceberam que seusbancos no seriam capazes dehonrar seus depsitos iniciou-seuma corrida aos bancos abalandofortemente o sistema financeiro

Americano.

11


12/177


New Deal: A reao crise de 1929

Aps a crise, nos primeiros anos do governo do presidente Franklin DelanoRoosevelt, os Estados Unidos adotaram o New Deal, que era um conjunto demedidas destinadas superao da crise.

Dentre as principais medidas adotadas pela poltica econmica do New Deal,destacam-se:

12

Controle governamental dos preos de diversosprodutos industriais e agrcolas;

Concesso de emprstimos aos proprietrios agrcolas;

Realizao de um grande programa de obras pblicas;

Criao de um seguro-desemprego;

Plano de recuperao industrial.


13/177


CINCO anos depois...

Com o crash e a depresso econmica, a confiana pblica no mercado mobiliriocaiu drasticamente;

Criou-se um consenso de que a confiana pblica nos mercados deveria serrestaurada para que houvesse a recuperao econmica;

Os congressistas americanos mantiveram diversas audincias para identificar os

problemas e buscar solues;

Como resultado, o congresso americano aprovou ento o Securities Act of 1933 eo Securities Exchange Act of 1934;

Securities and Exchange Comission ocorreu em um perodo propcio para grandesreformas;

Essas leis foram criadas para restaurar a confiana dos investidores provendomais estrutura e poder de superviso para o governo.

13


14/177


A criao da SEC em 1934

14

Os principais pontos das novas leis foram:

As empresas que fizessem ofertas pblicas de aesdeveriam dizer ao pblico a verdade sobre seusnegcios, sobre os papis que estavam vendendo e osriscos envolvidos naquele investimento;

As pessoas e empresas que comercializarem os papisdeveriam tratar os investidores de forma justa ehonesta colocando os interesses deles em primeirolugar.

Ento, monitorar o mercado de valores mobiliriospassou a requerer um grande e coordenado esforo.

Da, o congresso americano estabeleceu a SEC Securities and Exchange Commission em 1934 paraassegurar o cumprimento das novas leis, promover a

estabilidade dos mercados e o mais importante:proteger os investidores.

O Presidente Franklin Delano Roosevelt indicou Joseph P.Kennedy (pai do Presidente John F. Kennedy), para ser o 1Chairman da SEC.


15/177


A quebra (1929), a SEC (1934) e a

Governana Corporativa

Aps os anos 30, a Governana Corporativa permaneceuignorada por muito tempo como assunto de potencialimportncia para o desenvolvimento econmico das naes.

A intensificao do comrcio mundial e do fluxointernacional de capitais (globalizao) acentuou suaImportncia como importante proteo para investidores.

A crise financeira ocorrida no leste asitico no perodo 1997-1998 seguida dascrises na Rssia e no Brasil chamou a ateno para as deficincias das prticasde Governana Corporativa em vrias economias emergentes, evidenciandoriscos para o mercado financeiro globalizado.

Mais recentemente, os escndalos financeiros ocorridos na Europa (Ex.: caso

Parmalat) e em mercados considerados maduros e seguros como os EUA(Enron, WorldCom, Tyco, Vivendi, Marconi, Arthur Andersen etc.) evidenciaramainda mais a importncia do assunto, contribuindo para um significativoaprimoramento das prticas e regulamentaes.

15


16/177


Cronologia das Crises

1929: A quebra de 29

1971: O fim do sistema padro-ouro

1973: O embargo do petrleo no conflito rabe-israelense

1979: A Revoluo Iraniana

1980: Iraque invade Ir1987: A Segunda-feira Negra

1994: A crise do peso mexicano

1997: A crise dos Gigantes Asiticos

1998: A crise do rublo

2000: A crise das pontocom (eBay e AMAZON)

16


17/177



Os escndalos

Mercado altamente pulverizado;

DONO = CEO;

Muitos conselheiros internos;

Presso por resultados de curto

prazo;

Stock Options generosos paraexecutivos e conselheiros;

Informaes privilegiadas e

conflitos de interesse;

Interpretaes contbeis

criativas; Analistas remunerados por

negcios de underwriting.

17


18/177


Sarbanes Oxley (SOX) Act de 2002

1. Protege os investidores e acionistas contracrimes contbeis;

2. Impe maiores penalidades e impedimentospara os dirigentes (Multa de at USD5MM edeteno de at 20 anos);

3. CEO e CFO so obrigados a certificar as

demonstraes contbeis da Empresa, bem comoseus Controles Internos, Processos e Sistemasutilizados na sua preparao;

4. Os dirigentes so obrigados a divulgar para omercado qualquer transao com aes daEmpresa;

5. As Stock Options devem ser aprovadas pelosacionistas;

6. Os Dirigentes e Administradores devem aderir(assinar) um Cdigo de tica especifico.

18


19/177


SOX

As reformas da Lei

As principais reformas contidas na Lei Sarbanes-Oxley podem ser resumidas emTRS itens:

PRIMEIRO:

A lei inclui reformas visando a melhoria operacional e a recuperao da

credibilidade da profisso contbil. Ela no mais permite a autorregulamentao da profisso de cinciascontbeis no que se refere auditoria dos demonstrativos financeiros deempresas de capital aberto.

Em seu lugar foi criado o

Conselho de Fiscalizao de Auditoria de Companhias Abertas (PCAOB),organismo independente, com representao no setor privado, mas sobsuperviso da SEC.

19


20/177


SOX As reformas da Lei

SEGUNDO:

A reforma fornece novas ferramentas para sefazer cumprir as Leis de Valores Mobilirios. AComisso tem usado estas ferramentas paraampliar o alcance do seu programa defiscalizao.

Nos DOIS ltimos anos fiscais, a Comisso deuentrada em mais de 1300 aes de fiscalizao,dos quais cerca de 370 envolviam relatriosfinanceiros criativos e fraudes contbeis.

Conseguimos ordens judiciais para opagamento de multas e devoluo dos ganhosobtidos ilegalmente no total de quase USD 5Bilhes. Alm disso, conseguimos impedir quemais de 330 executivos voltassem a atuar comodiretores ou conselheiros em empresas de capitalaberto.

20


21/177


SOX As reformas da Lei

TERCEIRO:

A reforma da Lei traz novas exigncias relacionadas ao aperfeioamento daspraticas de divulgao dos relatrios e demonstrativos financeiros:

As clusulas referentes certificao dos relatrios e demonstrativosfinanceiros pelos Diretores Executivo e Financeiro, tem o objetivo de no

deixar nenhuma dvida quanto responsabilidade da Alta Administraosobre as informaes publicadas pela empresa.

Tambm se encontram neste item, as clusulas que recebem mais ateno dasempresas e dos auditores:

Exigncia do Relatrio Anual da Administrao da empresa e

Relatrio da Auditoria de Controles Internos atestando a veracidade sobreas informaes publicadas nos referidos relatrios e demonstrativos financeiros.

21


22/177


Foi o fim de Detroit?

Revista EXAME: Novembro 2008 220 mil funcionrios Valor: US$ 2,7 bilhes

O mesmo valor que em 1929 O mesmo valor que a motores WEG e Fosfrtil

22

230 mil funcionrios Valor: US$4,4 bilhes

O mesmo valor que a Natura


23/177


Escndalo do Sub Prime setembro 2008

O que foi (ainda ?) Efeito domin: outras verticais alm da financeira:

Area, entretenimento, sade, varejo, automobilstica...

Escndalo Madoff (pirmide) Empresa de software da ndia, mentindo sobre os lucros 33 vezes o

real.

Brasil: Vale, Sadia, Votorantin, Parmalat (de novo),

Como esta crise afeta a rea de TI daVW por exemplo?Vo assistir e esperar?

Existe algo que podem fazer?Por onde entra o $$$ na VW?

23


24/177


25/03/2009 - 13h26Governo da Alemanha aprova projeto que aumentasuperviso bancria

Efe, em Berlim

O governo da Alemanha aprovou nesta quarta-feira umprojeto de lei destinado a melhorar a superviso bancria,

em meio crise que teve um forte impacto sobre o setorfinanceiro alemo. O projeto inclui a concesso de maiores competncias

BaFin (Autoridade de Superviso Financeira Federal, na siglaem alemo).

No futuro, o rgo poder exigir aos bancos, por exemplo,que tenham mais recursos prprios e maior liquidez, o que,na Alemanha, foi um dos principais problemas durante acrise bancria.

24


25/177



26/177


Interpretaes da Crise de 2008

26


27/177


Mais da Cronologia das crises

2001: As Torres Gmeas

2001-2002: A crise argentina

2008-2009: A Grande Recesso

2009-2010: A crise da dvida na Europa

27


28/177


CVM multa acionista da Sadia por informao privilegiada

A CVM (Comisso de Valores Mobilirios) condenou nesta tera-feira o acionista daSadia, Flvio Fontana Mincaroni, pelo uso de informao privilegiada na compra deaes em julho de 2006, quando a companhia fez uma oferta pela Perdigo.

Ele foi condenado a pagar uma multa de R$ 500 mil. Segundo a CVM, o acusado, representando o pai Jorge Alberto Mincaroni, comprou8.000 aes ordinrias de emisso da Perdigo S/A nos dias 12, 13 e 14 de julho e as

vendeu nos dias 18 e 21 do mesmo ms, obtendo lucro bruto de R$ 42.773.A Comisso de Inqurito da CVM obteve declarao de Mincaroni em depoimento de quesabia da oferta da Perdigo em torno de uma semana a dez dias antes da oferta setornar pblica, quando participou de uma reunio em So Paulo em que foi explicada aoferta.

De acordo com um conselheiro da Sadia, ele e a sua me, Maria Aparecida FontanaMincaroni, teriam sido informados com antecedncia sobre a referida oferta porque"como membros do acordo de acionistas, eles teriam que manifestar seu voto com

relao a oferta pblica, apoiando ou recusando na reunio do acordo".Outros dois acusados no processo, Christiane Assis e Osrio Henrique Furlan Junior,foram absolvidos pela falta de provas. O acusado poder apresentar recurso, com efeitosuspensivo, ao Conselho de Recursos do Sistema Financeiro Nacional.

28


29/177



Conjunto de Prticas que tem a finalidade de

otimizar o desempenho de uma Empresa aoproteger todas as partes interessadas,

tais como Investidores, Colaboradores e

Parceiros, facilitando oacesso ao Capital.

E a Governana nisso tudo?

29


30/177


Pontos positivos dese adotar a lei SOX

Melhores decises operacionais eobteno informaes maispontuais, granulares, detalhadas;

Conquistar ou reconquistar aconfiana dos Investidores;

Evitar a evaso de recursos;

Cumprir as leis e normas;

Obter vantagem competitiva atravsde operaes mais dinmicas;

Pontos relevantes dano adoo da lei SOX

Maior exposio a fraude;

Penalidades impostas pela SEC; (Security

Exchange Comission)

Queixas ou outras aes judiciaisimpetradas por Acionistas;

Impacto negativo sobre o valor das aespara os Acionistas;

Publicidade desfavorvel.

Sarbanes-Oxley

30


31/177


Sarbanes-Oxley


e suas prticas ticas de

negcio no so mais apenasrequisitos.

... LEI !!!

31


32/177


Sarbanes-Oxley

A lei Sarbanes-Oxley (SOXA) foi criada para aumentar aresponsabilidade do Executivo sobre os controles da Empresa.

Um bom Controle Interno pode impulsionar os negcios daEmpresa em trs categorias:

32

1. Eficcia e Eficincia das Operaes;

2. Confiabilidade nos Relatrios Financeiros;

3. Cumprimento das Leis e Regulamentaes.


33/177


Para atender aos requisitos da lei SOX, a Empresa deve escolherum frameworkque permita atender a quatro critrios

Controles Internos

Integridade (completa, exata)

Objetividade (alinhada ao negcio)

Mensurao (mtricas, indicadores, desempenho)

Pertinncia (propsito, relevncia)

33


34/177


..um processo estruturado, efetuado pelo Conselho de Administrao, pelaprpria Administrao ou por outras pessoas da Empresa, que visa fornecer umasegurana razovel quanto possibilidade de se atingir os Objetivos de Negcionas seguintes categorias:

1.Eficcia e Eficincia das operaes;

2. Confiabilidade dos relatrios financeiros;3. Cumprimento de leis e regulamentos aplicveis.

Definio baseada no COSO

(Committee of Sponsoring

Organizations of the Treadway

Commission)

Controles Internos

34


35/177


E a Governana de TI ??

Estrutura de relacionamento e de processospara dirigir e controlar a empresa,

de forma a atingir suas metas,adicionando valor, enquanto balanceia

riscos x retorno dos investimentos em TI.

atividades processos informao

Governana de TI

baseada em processosorientada ao Negcio

35


36/177


Viso Geral do Mercado

Ameaas Sobrevivncia e

ao Sucesso de uma empresa no mercado

Aumento da dependncia da informao e dos sistemas que asprocessam.

Custo da informao e seus sistemas. Aumento das vulnerabilidades e ameaas. Tecnologia interfere na estratgia da empresa e prticas de

negcio, criando novas oportunidades e reduzindo custos

Gerenciamento da Informao e da TI

36


37/177


INFORMAO

tornou-se o bem mais valioso!Pelo menos o que dizem, certo?

Conhecimento

Informao

Dados

37


38/177


Quais so as atuais Demandas de TI

Melhoria da qualidade Mais funcionalidades

Facilidades de uso Menor tempo de entrega SLAs Custos mais baixos

38


39/177


Quais so os atuais Desafios de TI

Manter a operao de TI Entregar valor ao cliente Custos de TI

Dominar a complexidade de TI Segurana da Informao Conformidade legal Alinhar TI ao Negcio

39


40/177


Quais so as atuais angstias de TI

H falhas de comunicao entre TI e o Negcio Percebe-se que os custos de TI esto fora de controle ROI e produtividade no existem Ambiente de TI est cada vez mais complexo Nveis de servio insatisfatrios Infra-estrutura de TI dispersa e fragmentada

Demanda por especialistas maior que a oferta Usurio desapontado criando soluo prpria Equipe de TI = brigada de incndio

40


41/177


Antes de falarmos em GovernanaO que Tecnologia da Informao?

TecnologiaConjunto de processos pelos quais aempresa transforma recursos emprodutos e servios de grande valor

InovaoMudana na Tecnologia

41



42/177


Estrutura de relacionamento e de processospara dirigir e controlar a empresa,

de forma a atingir suas metas,adicionando valor, enquanto balanceia

riscos x retorno dos investimentos em TI.

atividades PROCESSOS informao

Governana de TI

baseada em processosorientada ao Negcio

42



43/177


Princpios da Governana de TI

Direcionamento e Controle Responsabilidade Prestao de contas (transparncia) Atividades (execuo e reportes)

43


44/177


Funes e responsabilidades daGovernana de TI

Definir objetivos de TI alinhar estratgias de TI com as estratgias da empresa; definir expectativas e medidas de desempenho; viabilizar recursos; definir prioridades.

Gerenciar as atividades de TI

Monitorar desempenho de TI Gerenciar o risco da TI (Representar e legitimar a funo TI)

44


45/177


Estas empresasestabelecem modelos de

Governana de TI

Todas as empresas reconhecem osbenefcios de TI.

Empresas de sucesso entendem e gerenciam os riscosassociados aos seus Objetivos de Controle quando

implementam novas tecnologias

45


46/177


Governana de TI

A Governana de TI tem um papel fundamental naadequao das empresas lei SOX, na medida em que

tem que assegurar a integridade e a segurana de todaa informao processada atravs dos seus sistemas.

46


47/177


Governana de TI

Profissionais de TI

em posio executivatem os seguintes desafios:

Melhorar seus conhecimentos sobre controles internos (COSO);

Entender o Plano Geral da Estratgia da empresa ao mercado;

Desenvolver um plano de adequao para resolverespecificamente os controles de TI;

Integrar o plano de adequao de TI ao Plano Geral daempresa.

47


48/177


Governana de TI

Aspectos CRTICOS

a serem considerados:

Projetos de introduo de novos sistemas & tecnologias;

Integrao de sistemas;

Manuteno de sistemas;

Operao de sistemas (usurios, infraestrutura etc.);

Segurana dos sistemas e registros de acessos.

48


49/177


Que prticas so estas ???

Governana de TI e o CobiTControl Objetives for Information and Related Tecnology

CobiT Conjunto de prticas de Governana de TI, estruturadas de

forma lgica (framework) atravs de Domnios deConhecimento, Processos de TI e Atividades.

Representa o consenso de especialistas da rea de TI, focados

em Controle Internos e execuo (praticas).

As prticas ajudamOtimizar os investimentos em TI

Garantia de entrega de servios e

Aes mitigatrias quando erros acontecerem

49


50/177


Melhores PrticasCOSO

Committee of Sponsoring Organizations of theTreadway Commssion

Organizao privada dedicada melhoria da qualidade dosreportes financeiros atravs da tica, Controles Internos eGovernana Corporativa.

Modelo publicado em 1992 para gesto e avaliao de Controles Internos. Padro aceito globalmente.

50


51/177


COSOCommittee of Sponsoring Organizations of the Treadway Commission

Organizao criada em 1985 com o objetivo de aprimorar:

... no sentido de garantir a continuidade das empresas (perenidade) e o retorno

sobre o investimento realizado.

a qualidade dos relatrios e demonstrativos financeiros

a tica nos negcios

a efetividade dos controles

e a governana corporativa

51


52/177


COSO www.coso.org

Definio de CONTROLE INTERNO:Controle Interno um PROCESSO, exercido pela Presidncia, Superintendncias, Gerencias e

por todos os Colaboradores, projetado para fornecer uma garantia razovel de realizaodos objetivos da empresa nas seguintes categorias:

1.Eficcia e Eficincia das operaes;2.Confiabilidade nos relatrios financeiros;

3.Aderncia s leis e regulamentos locais e globais;Conceitos Chave: Controle Interno um Processo: um meio para se chegar a um fim, no um fim

em si;

Controle Interno efetuado por PESSOAS. No so meramente manuais e formulriosda Poltica, mas pessoas, em todos os nveis de uma organizao;

O Controle Interno fornece apenas uma garantia razovel, nunca absoluta de que os

objetivos sero alcanados; O Controle Interno focado realizao dos OBJETIVOS das categorias, mas sempre

de forma conjunta, nunca isoladamente.

52


53/177


COSOCommittee of Sponsoring Organizations of the

Treadway Commission (COSO)

Entidade sem fins lucrativos composta por representantesde empresas cujo trabalho suportar e patrocinar aComisso Nacional do Governo Americano parainvestigar Reportes Financeiros Fraudulentos.

A misso da Comisso Nacional do Governo Americano

estudar e relatar os fatores que podem culminar com aemisso de um relatrio financeiro fraudulento.

53


54/177


A evoluo do COSO ao longo do tempo

1977: FCPA - Foreign Corrupt Practices Act1985: National Commission on Fraudulent FinancialReporting (Treadway Commission)1987: Committee of Sponsoring Organisations (COSO)

Primeiro relatrio COSO com concluses sobre origens ecausas de fraudes corporativas

Ambiente de controle fraco Ausncia de cdigos de conduta No eficcia dos comits de auditoria No eficcia da auditoria interna Literatura existente omissa em controles

54


55/177


1992 Coopers & Lybrand publicou o documento"Internal Control - Integrated Framework

Definio comum de Controle Interno, e umframework para se avaliar e melhorarsistemas e processos

Este relatrio de uso padro nas empresas

dos EUA para avaliar a conformidade comFCPA(Foreign Corrupt Practices Act)

A evoluo do COSO ao longo do tempo

55


56/177


COSO -Internal Control - Integrated Framework

O documento (de quatro volumes) um modelo para a implantao de ControlesInternos com os objetivos de: Tratar a eficincia dos processos de Negcio Minimizar riscos de Negcio Ajudar a assegurar a confiabilidade nos balanos financeiros em conformidadecom as leis e regulamentos

EXECUTIVE SUMMARYViso geral do modelo de Controle Interno. O Executive Summary esta tambmincludo no Framework.

FRAMEWORKDefine o modelo de controle interno, seus componentes e contm os atributos

para avaliar o sistema de Controles Internos da empresa.

REPORTING TO EXTERNAL PARTIESGuias para elaborao de relatrios de uma forma padronizada e adequada. Ele endereado s empresas que publicam seus balanos financeiros e para asentidades que recebem estes balanos.

EVALUATION TOOLSComposto de material til para a avaliao de sistemas de ControlesInternos.

56


57/177


COSO Controle Interno

CONTROLE INTERNO um processo, no um fim em si mesmo.

mais que Polticas, Procedimentos, Guias, Manuais ou Formulrios, porqueenvolve (responsabiliza) PESSOAS em todos os nveis hierrquicos da empresa.

Em se tratando de PESSOAS, espera-se SEGURANA (dados, TI, processosnegcio) em nvel razovel, no absoluto.

Estes processos (Controles Internos) so implementados na empresa para trataruma ou mais categorias (consideradas em separado) mas todas (pertinentes em

conjunto) ao negcio.

57


58/177


Controle do Ambiente

Avaliao de Riscos

Atividades de Controle

Informao e Comunicao

Monitoramento

Operaes

Repo

rtes

fin

anceiros

Compliance

Atividade2

Unid

ade1

Un

idade2

Atividade1

COSO Controle Interno: Componentes

Categorias

Lo c a i

s e

Ati vi d a d e s

Componentes

Efetivid

ade

Efici

ncia

Confide

ncialid

ade

Inte

grid

ade

Dis

ponibilid

ade

Com

plia

nce

Confiabili

dade

Aplic

ae

s

Inform

a

o

Infra

estrutura

Pessoal

DOMNIOS

PROCESSOS

ATIVIDADES

CobiT

Recur

sosde

TI

Critrios da Informao

58

COSO


59/177


COSO Controle Interno: Desc. dos Componentes

Monitoramento Todos os Processos devem serpermanentemente monitorados. As necessidades demodificaes (ou mudanas) devem ser esclarecidas eimplementadas de maneira correta (consciente,controlada, oportuna).

Informao e Comunicao - Meios de informao ecomunicao devem ser usados para gerenciar osProcessos. Estes meios permitem s pessoasreconhecerem suas responsabilidades, desempenhando as

Atividades de Controle.

Atividades de Controle - Polticas e Procedimentos devemser implementados para evidenciar o Gerenciamento dosRiscos e alcanar os Objetivos de Negcio definidos pelaempresa. As Polticas e Procedimentos especificam asatividades que devem ser executadas.

Avaliao de Riscos - A conscientizao sobre os riscos um fator crucial para a empresa alcanar seus Objetivos

de Negcio. Os riscos devem ser identificados, analisadose gerenciados de modo apropriado.

Controle do Ambiente - O ambiente no qual as pessoastrabalham. Pessoas so vistas como o centro de qualquernegcio, e tem perfis individuais tais como valores ticose competncias.

Componentes59


Avaliao de Riscos



Monitoramento

Operaes

Repo

rtes

fin

anceiros

Compliance

Atividade2

Unid

ade1

Un

idade2

Atividade1


60/177



Controle do Ambiente - Oambiente no qual as pessoasoperam. Pessoas so vistascomo o centro de qualquernegcio e tem atributosindividuais tais como valoresticos e competncias.

1. INTEGRIDADE E VALORES TICOS. Integridade e valoresticos, particularmente no primeiro escalo da empresa, soestabelecidos e entendidos, e caracterizaro o padro deconduta para emisso dos relatrios financeiros.

2. BOARD DE DIRETORES. O primeiro escalo da diretoria daempresa entende e exercita as responsabilidades quanto aobalanceamento de autoridade correcional entre as gerenciasquanto aos relatrios financeiros e aos Controles Internosrelacionados.

3. ESTILO DE OPERAAO E FILOSOFIA DE GERENCIAMENTO. A

filosofia de gerenciamento e o estilo de operao suportam orealizao de Controles Internos efetivos sobre os relatriosfinanceiros.

4. ESTRUTURA ORGANIZACIONAL. A estrutura organizacional daempresa tambm suportam a realizao de ControlesInternos efetivos sobre os relatrios financeiros.

5. COMPETENCIAS PARA RELATORIOS FINANCEIROS. A empresaretm indivduos competentes: em reportes financeiros e paraatuao no balanceamento de autoridade correcional entre asgerencias da empresa.

6. AUTORIDADE E RESPONSABILIDADE. Aos gerentes ecoordenadores so designados nveis apropriados deautoridade e responsabilidade para facilitar os ControlesInternos efetivos sobre relatrios financeiros.

7. RECURSOS HUMANOS. Polticas e Prticas de recursoshumanos so desenvolvidas e implementadas para facilitar osControles Internos e efetivos sobre relatrios financeiros. 60


Avaliao de Riscos



Monitoramento

Operaes

Repo

rtes

fin

anceiros

Compliance

Atividade2

Unid

ade1

Un

idade2

Atividade1


61/177



Avaliao de Riscos - Aconscientizao sobre os riscos um fator crucial para aempresa alcanar seusobjetivos. Os riscos devem seridentificados, analisados egerenciados de modoapropriado.

8. OBJETIVOS DOS RELATORIOS FINANCEIROS.Os Gerentes especificam os Objetivos dosrelatrios financeiros com suficiente clareza ecritrio para permitir a identificao de riscosbem como a criticidade dos mesmos.

9. RISCOS DOS RELATORIOS FINANCEIROS. Aempresa identifica e analisa os riscos nos

processos, para o atendimento dos objetivosdos relatrios financeiros como base paradeterminar como os estes riscos devem sergerenciados.

10. RISCO DE FRAUDE. O potencial para erros dedeclarao materiais devido fraude explicitamente considerado nas avaliaes derisco para o atendimento dos objetivos dos

relatrios financeiros.

61


Avaliao de Riscos



Monitoramento

Operaes

Repo

rtes

fin

anceiros

Compliance

Atividade2

Unid

ade1

Un

idade2

Atividade1


62/177



Atividades de Controle - Polticas eProcedimentos devem serimplementados para evidenciar ogerenciamento dos riscos ealcanar os objetivos definidos

pela empresa. As Polticas eProcedimentos definem asatividades que devem serexecutadas.

11. INTEGRAO COM AVALIAO DE RISCOS.Aes devem executadas para enderearriscos de no atingir os objetivos dosrelatrios financeiros.

12. SELEO E DESENVOLVIMENTO DEATIVIDADES DE CONTROLE. Atividades decontrole so selecionadas e implementadasconsiderando seu custo e seu potencial efeitona mitigao dos riscos para o atendimentodos objetivos dos relatrios financeiros.

13. POLITICAS E PROCEDIMENTOS. Polticasrelacionadas credibilidade dos relatriosfinanceiros so estabelecidas e comunicadasatravs da empresa, com os correspondentesprocedimentos, resultando em diretivas

gerenciais a serem executadas.

14. TECNOLOGIA DA INFORMAO. Controlessobre a rea de TI, onde aplicvel, soespecificados e implementados para suportaro atendimento dos objetivos dos relatriosfinanceiros. 62


Avaliao de Riscos



Monitoramento

Operaes

Repo

rtes

fin

anceiros

Compliance

Atividade2

Unid

ade1

Un

idade2

Atividade1


63/177



Informao e Comunicao - Meiosde informao e comunicaodevem ser usados para gerenciar os

processos. Estes meios permitem spessoas reconhecerem suasresponsabilidades, desempenhandoas atividades de controle.

15. INFORMAO DOS RELATRIOS FINANCEIROS.Informao pertinente e identificada,capturada, usada em todos os nveis daempresa e distribuda em um formato e prazoque suportam o atendimento dos objetivos dosrelatrios financeiros.

16. INFORMAO SOBRE CONTROLES INTERNOS.A informao usada para executar outroscomponentes de controles identificada,capturada e distribuda em formato e prazo quepermita a ao de indivduos em funo desuas responsabilidades nos controles internos.

17. COMUNICAO INTERNA. Comunicaespermitem e suportam o entendimento eexecuo de objetivos dos Controles Internos,

bem como responsabilidades individuais emtodos os nveis hierrquicos da empresa.

18. COMUNICAO EXTERNA. Questes afetando oatendimento dos objetivos dos relatriosfinanceiros so comunicadas aos parceirosexternos da em resa.


Avaliao de Riscos



Monitoramento

Operaes

Repo

rtes

fin

anceiros

Compliance

Atividade2

Unid

ade1

Unidade2

Atividade1

63


64/177



Monitoramento Todos osprocessos deve serpermanentemente monitorados.As possibilidades de modificaes(ou mudanas) devem seresclarecidas e implementadas demaneira correta (consciente,controlada, oportuna).

19.AVALIAO EM CONJUNTO E SEPARADA.Avaliaes em conjunto e/ou separadaspermitem aos gerentes determinar quando(qualitativamente) os controles internossobre relatrios financeiros esto presentes efuncionando.

20. DEFICINCIAS NOS RELATRIOS. ControlesInternos deficientes so identificados ecomunicados num prazo tal que as partesresponsveis por tomar aes de correo(gerentes e o primeiro escalo) as faamapropriadamente.


Avaliao de Riscos



Monitoramento

Operaes

Repo

rtes

fin

anceiros

Compliance

Atividade2

Unid

ade1

Unidade2

Atividade1

64


65/177


COSO PRINCPIOS E COMPONENTES

COSO tem 20 PRINCPIOS

fundamentais associadosaos 5 COMPONENTES

Os princpios associados a cada um destescomponentes so sistematicamentedefinidos ao se implementar o Framework

Integrado do COSO na empresa.

Os atributos dos componentes soexecutados luz de polticas e leis.

As deficincias so apontadas e as

possibilidades de soluo so listadas.

Exemplos do mundo real podem serincludos como forma de evidncia dofuncionamento do COSO.

DOMNIOS

PROCESSOS

ATIVIDADES

CobiT


Avaliao de Riscos



Monitoramento

Operae

s

Repo

rtes

fin

anceiro

s

Complianc

e

Atividade2

Unidad

e1

Unid

ade2

Atividade1

65


66/177


67/177


ISACA nasceu em 1967, quando umpequeno grupo de indivduos comfunes similares:

Examinar controles em sistemascomputadorizados que estavam setornando cada vez mais crticos para asoperaes de suas organizaes reuniam-se para discutir a necessidade

de uma fonte centralizada deinformao e de orientao quando emcampo.Em 1969, o grupo formalizou a EDP

Auditors Association.

Em 1976 a associao cria umaeducation fundation para empreender

esforos em pesquisa e expanso doconhecimento de auditoria e o valor daGovernana de TI para o trabalho daauditoria de TI em campo.

COSO foi fundado em 1985 por cincoprofissionais oriundos de institutos eassociaes de contabilidade.

AICPA - American Institute ofCertified Public AccountantsAAA - American Accounting

AssociationFEI - Financial Executives InstituteIIA - The Institute of Internal

AuditorsIMA - The Institute of Management

Accountants

O objetivo identificar os fatores quecausam as fraudes em balanos financeirose fazer recomendaes para reduzir osincidentes.

COSO baseado numa definio deControles Internos comuns, mais padres ecritrios que as empresas podem usar paraavaliar seus processos de negocio.

COSO e ISACA

67


68/177


A importncia da estrutura de Controles Internossegundo a lei Sarbanes-Oxley

Sem uma estrutura apropriada de Controles Internos,(por exemplo o CobiT),

provavelmente no ser possvel atender

s exigncias determinadas pela seo 404.

Segundo esta seo, o Auditor Independente dever elaborar um relatriogarantindo a eficcia dos controles e procedimentos internos para a emisso de

relatrios financeiros.

Sem uma estrutura de Controles Internos,

no haver critrios com os quais a prpria Empresa ou oAuditor Independente possam avaliar aeficcia da emisso destes relatrios financeiros.

Controles Internos

68


69/177


Melhores PrticasITIL

Information Technology Infrastructure Library Conjunto de livros Diretrizes uniformes de servios de TI suportar os processos

de negcio. Orientado ao uso efetivo dos:

Processos

Pessoas Tecnologia

69

?


70/177


ITILViso Geral

70


71/177


Mtodo de aprimoramento da qualidade, em busca dodefeito zero, baseado em processo estatstico quereleva a qualidade do produto sob o ponto de vista docliente ou do usurio.

Define nveis de servio e mede variaes em relao a

estes nveis.

Projetos: Definio Medio Anlise Aprimoramento Controle

Desenvolvido pela Motorola e adotado pela GE

Melhores PrticasSix Sigma

71


72/177


Melhores PrticasEFQM

European Foundation of Quality Management

Modelo de qualidade focado na excelncia atravs de umprograma de melhoria contnua.

Avalia a Maturidade da empresa:

Orientao a produto foco no resultado

Orientao a processo repetio e planejamento

Orientao sistmica cooperao entre reas

Orientao cadeia parceria externa

Qualidade total o cu na terra

72


73/177


Melhores PrticasEFQM- modelo grfico

73


74/177


Melhores Prticassrie ISO9000

Padres de sistemas de gerenciamento de qualidade,auditveis, voltados ao cliente: ISO9000, 9001 e 9004.

Garantir controle, repetibilidade e boa documentao deprocessos (no de produtos)

74

lh i


75/177


Melhores PrticasCMMi

Capability Maturity Model integration

Coleo de melhoras prticas para desenvolvimento e manutenode software.

Permite que as empresas avaliem suas prticas e as comparem comas de outras.

Mede maturidade de processo:1. Inicial 2. Gerenciado3. Definido4. Previsvel 5. Otimizado

CMMi estende e combina: Capability Maturity Model for Software (CMM-SW) Systems Engineering Capability Model Integrated Product Development Capability Maturity Model

75


76/177


Melhores PrticasASL Application Services Library

Framework de domnio pblico Manuteno Melhoria Renovao da aplicao

Abordagem As aplicaes nem sempre esto alinhadas com o negocio As aplicaes tem custos altos para documentao que no podem ser explicados A baixa qualidade das aplicaes impacta no dia-a-dia do negcio

Contedo, oferta e benefcios Terminologia clara Processos uniformes Alinhamento com processos de negocio

76

M lh P ti


77/177


Melhores PrticasASL modelo grfico

Planejamento eControle

Gesto decustos

Gesto dequalidade

Gesto de nvelde servios

Gesto de

Mudanas

Controle e

distribuiode software

77


78/177


Melhores PrticasPMI

Project Management Institute

Maior associao do mundo voltada a gesto de Projetos 150000 + associados 3300 + Amrica latina 2200 + Brasil 105000+ PMPs (~750 Brasil)

Equivalentes:

Association of Project Manager

http://www.apm.org.uk http://www.ipma.ch/asp/

Australian Institute of Project Managementhttp://www.aipm.com.au/html/default.cfm

78

lh i


79/177


Melhores PrticasPMBoK

Project Management Body of Knowledge

GUIA descritivo do conhecimento e melhores prticas paraGerenciamento de Projetos.

Publicado pelo PMI: Project Management Institute.

o mais utilizado no mundo.

Certificao: PMP Project Management Professional

79

M lh P i


80/177


Melhores PrticasPMBoK: reas de conhecimento

Inicializao

Planejamento

Execuo

Controle

Finalizao

Processos

80

M lh P ti


81/177


Melhores PrticasPrince2

Projects in Control Environments

Mtodo de gerenciamento de Projetos orientado para aorganizao.

Principal publicao: PRINCE2 (Management Sucessful Projects)

Certificaes: Foundation Practioner

http://www.projectperformance.co.uk/prince2_tour.htm

81

Melhores Praticas


82/177


Melhores PraticasISO17799 / 27001

Padro internacional em Gesto de Segurana da Informao

Oferece um modelo para estabelecer Implementar Operar

Monitorar Revisar Melhorar

ISMS Information Security Management System

82

M lh P ti


83/177


Melhores PrticasISO17799 PDCA modelo grfico

Act

CheckPlan

Do

As coisas

aconteceramconforme

planejado?

Faa o quefoi planejado

O que fazer?Como fazer?

Como melhorar naprxima vez?

entradas sadas

83

M lh P ti


84/177


Melhores PrticasOCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation OCTAVE foi desenvolvido pelo (SEI) Software Engineering Institute e

o CERT da CMU - Carnegie Mellon University

Originalmente desenvolvido para o Department of Defense (DoD) paraconformidade com o HIPAA (Health Insurance Portability and

Accountability Act)

OCTAVE uma metodologia baseada na avaliao de riscos de forma agarantir a continuidade de operao dos ativos crticos do negcio

Considera o conhecimento das pessoas relativamente s prticas denegcio da empresa e de processos de segurana relacionados aonegcio.

As ameaas aos ativos mais crticos so priorizadas para alinhar aestratgia de segurana da informao com a estratgia do negocio

84


85/177


Melhor opo de investimento

Eficaz

85


86/177


Estratgico Operacional Suporte

Monitoramento Compras Tributrio

Expanso eInvestimentos

Qualidade AuditoriaInterna

Financeiro Logstica Segurana

PatrimonialComunicaoexterna

Vendas RecursosHumanos

Real State Contabilidade

CustosAdministrativos

Onde entra TI ????


86


87/177


EficazAuditoriainterna

AuditoriaExternaSOX

GAPanalise

- Oportunidadesde melhoria

- Problemas

Planosde

Ao

TI

87


88/177


Negcio TI

Adm, RH,MKT, Vendas,Jurdico, RP,BackOffice,

etc.

Telecom, Infra, DBA,Desenvolvimento, Service Desk,

Contingncia, SLA,Identidade, Mudanas, etc.

Comunicao, link, Manuteno, AV, FW,Sistemas, Verses, Patches, HotFixs, Acesso, login,

Senhas, laboratrio, Backup, Treinamento, etc.

ISO

17799 RISCOSPMO ITIL PMI CMMI ISO14000

Prticas de GestoC O B I T Estrutura de Governana

POLTICAS

PROCEDIMENTOS

ATIVIDADES

Seguran

adaInformao

NEGCIO

PROCESSOS

ATIVOS

Estratgico

Operacional

Suporte

CIO

Board

Gesto

Execuo

Governana TI

Gesto de TI

Po de Acar aposta na mobilidade para


89/177


A necessidade de tomar decises em tempo real muitas vezes esbarra na tecnologia que aempresa tem disponvel para compartilhar as informaes com executivos que, na maiorparte do dia, no esto sentados em frente a um computador. O Grupo Po de Acarconvivia com essa realidade at pouco tempo atrs, quando utilizava um sistema deSMS para informar aos principais executivos da corporao metas e resultados devendas. A virada veio com um aplicativo desenvolvido para a plataforma BlackBerry quetem conexo com o banco de dados da empresa.

A soluo chamada de "Painel de Vendas" e desenvolvida pela MobilePeople tirou do dia-a-dia dos executivos a necessidade de receber, em dois momentos do dia, cerca de 22mensagens de SMS (com a posio das vendas por segmento) e facilitou e ampliou oacesso s informaes. "Sempre utilizamos a mobilidade na companhia para oacompanhamento das vendas, mas o formato era inadequado e a disponibilidadeinsuficiente", confessou Clio Guedes, coordenador de TI do Grupo.

Com a necessidade da evoluo, a exigncia era ter a posio das vendas a qualquermomento sem haver limitao de formato, a empresa - que possui em torno de 600lojas em todo Pas - foi ao mercado e conversou com quatro fornecedores em agosto de2008. O desafio proposto era desenvolver um prottipo, sem qualquer custo para oGrupo, que pudesse proporcionar essas informaes de forma "amigvel e online". Aremunerao viria, ao aprovado, com a distribuio do software.

p p

acompanhar as vendas

Executivos acessam desempenho das lojas pelo

BalckBerry e podem tomar decises em tempo real

89

Po de Acar aposta na mobilidade para


90/177


p p

acompanhar as vendas

Executivos acessam desempenho das lojas pelo

BalckBerry e podem tomar decises em tempo real

"A MobilePeople levou pelo diferencial da tecnologia push". Voc no pode receber um contedosem solicitar a no ser pelo SMS", lembra Joaquim Dias Garcia, diretor de TI do Po deAcar. Essa tecnologia uma forma de atualizar o contedo sem que o executivo recebaqualquer aviso. como entrar em um site e a informao estar disponvel, mas a diferena que seria atravs de um aplicativo ligado ao banco de dados abastecido pelos PDVs daempresa. A aplicao acessa o banco, formata as informaes e disponibiliza no celular.

O aplicativo est disponvel desde dezembro ltimo e, atualmente, so 180 executivos utilizandoo programa, entre presidente, vice-presidentes, diretores e gerentes. Garcia acredita queesse nmero ser dobrado at julho deste ano pela grande demanda e boa aceitao doproduto. Os usurios conseguem acessar via BlackBerry as metas de venda e os valoresvendidos no momento da consulta.

possvel acessar as informaes por formato (que so as bandeiras do Grupo, como Extra,CompreBem e Po de Acar), regio (podendo ver desempenho de loja especfica) e porcategoria de produto (bazar, padaria, peixaria). " a mesma informao s que segmentada",diz Guedes. "Ele (o executivo) pode reposicionar a venda da loja se entender que odesempenho no ideal. A atuao online", complementa Garcia.

Garcia e Guedes informaram ainda que o aplicativo deve receber atualizaes em breve. Jexistem demandas para, por exemplo, incluir controle de estoque. Como eles mesmosdisseram, parte da evoluo.

90

Porque TI precisa de uma


91/177


Porque TI precisa de umaEstrutura de Controle ??

Informao dependente de tecnologia Vulnerabilidades, ameaas, fraudes Custos considerveis x tempo Dinmica da tecnologia criando oportunidades

inditas de negcio

Porque as empresas reconhecem mas no percebem

o potencial de TI para o seu negcio

91


92/177



mais do que gerenciar os riscos de TI

Poltica

Economia

Aspectos legais

Continuidade

Desastres92

Q t k h ld t ?


93/177


Quem so os stakeholders externos?

Parceiros nas cadeias de valor (clientescorporativos, fornecedores,integradores)

GovernoAssociaes, sindicatos Sociedade organizada: consumidores,

defensores da cidadania, Procon, etc.

Algum tem mais ideias ???

93

Q t k h ld i t ?


94/177


Quem so os stakeholders internos?

Responsveis pelas atividades outransaes

Usurios e operadores de sistemas Responsveis por processos e unidades de

negcioAlta administraoAuditoria interna

Algum conhece outros?

94


95/177


Momento de Reflexo

a. Requerimentos legais 1. Alinhar TI com o Negcio

b. Aceitao geral2. Deve existir um Sistema quegaranta atividades eresponsabilidades.

c. Foco no Negcio 3. Captura de experincias eboas prticas

d. Orientao e processo 4. Colocar todos na mesmadireo

e. Linguagem comum 5. Atender a legislao

95

CobiT


96/177


CobiT

Suportando aGovernana de TI

TI alinhado com o negcio TI viabiliza o negcio e maximiza os benefcios Recursos de TI usados com responsabilidade Riscos de TI gerenciados apropriadamente

CobiT ?

96


97/177


O que o CobiT?


98/177


O que o CobiT?

Control Objetives for Information and Related Tecnology

Conjunto de boas PRTICAS de Governana de TI,estruturadas de forma lgica (framework, plataforma)atravs de Domnios de Conhecimento, Processos de TI e

Atividades inter-relacionadas.

Representa o consenso de especialistas da rea de TI,focados em controle e execuo.

Estas prticas ajudam otimizar investimentos em TI,garantia de entrega de servios e aes mitigatrias

quando erros acontecem.

98

Misso do CobiT


99/177


Pesquisar, desenvolver, publicar e promover um guia completo,atualizado e globalizado, aceito como os

Objetivos de Controle para Tecnologia da Informao, para serusado no dia-a-dia dos

gerentes de negcios e dos auditores.

Misso do CobiT

99

Caractersticas do CobiT


100/177


Caractersticas do CobiT

Aceito internacionalmente, baseado nas experincias profissionais e prticas deexperts no assunto de Governana de TI;

100% compliance com a ISO17799, COSO e ITIL, bem como se relaciona comdiversos outros padres e guias de melhores praticas do mercado;

Ponte de comunicao entre as funes de TI, de Negcio e de Auditoria,oferecendo uma linguagem comum, entendida por todos;

orientado ao Negcio;

Oferece suporte para Auditoria de TI, reduzindo os custos de uma Analise deRiscos e permitindo melhora da qualidade do processo de auditoria;

No reinventa a roda: apenas diminui o tempo de implementao de prticasefetivas de Governana de TI;

flexvel e adaptvel para atender a qualquer tipo, cultura e tamanho de

empresa;

completo, objetivo, continuamente atualizado e mantido por uma organizaosem fins lucrativos denominada ISACA

100


101/177


Entidade de profissionais em controle, auditoria esegurana da informao.

Incio USA em 1969; Possui mais de 95.000 associados em mais de 170

pases;

Captulo So Paulo fundado em novembro/2001; Captulos RJ e BSB (2008). Em formao o Captulo BH e RS (2010); 550+ associados no Brasil.

101

www.isaca.org

www.isaca.org.br


102/177

Contexto do CobiT


103/177


Contexto do CobiT

1996Fornecer aos Gestores de TI um framework (estrutura deprocessos agrupados de forma lgica) aplicvel aoNegocio e aceito como Governana de TI;

PropsitoOferecer uma estrutura clara de melhores prticas deGovernana de TI para qualquer empresa no mundo.

PremissaOferecer as informaes necessrias para uma empresaatingir seus objetivos de negcio atravs de conjunto deProcessos de TI agrupados em Domnios deConhecimento.

103

Evoluo do CobiT no tempo


104/177


Evoluo do CobiT no tempo

104

Governana Corporativa de TI

COBIT 5

Governana de TI

COBIT4.0/4.1

Gerenciamento

COBIT3

Controle

COBIT2

Auditoria

COBIT1

2005/720001998

Evoluo

do

Escopo

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

PTbr

Dezem

bro

2009

C t d C biT


105/177


Componentes do CobiT

Critrios da Informao

Recursos de TI

Planejar eOrganizar

Adquirir e

Implementar

Entregar e

Suportar

Monitorar eAvaliar

Governana de TI

Objetivos de Negcios

P i i d F k C biT


106/177


Princpios do Framework CobiT

Controle em TI obtido

pela informao necessria para suportar os

Objetivos do Negcio (ou Requerimentos do Negcio)

mais a informao resultante

da combinao aplicada de Recursos e Processos de TI

Exigncias doNegcio

Processosde TI

Recursosde TI

106



107/177


p

Sete Critrios da Informao

1 EFICCIAdiz respeito proviso da informao com (omais produtivo e econmico) o uso timo dosrecursos;

2 EFICINCIAaponta a informao relevante e pertinentepara o processo de negcio ser entregue noprazo, correta, consistente e usvel;

107



108/177



3CONFIDENCIA-

LIDADEdiz respeito divulgao no autorizada deinformao sensvel para o negcio;

4 INTEGRIDADErelaciona-se a exatido e integralidade dainformao bem como a seu valor de acordocom os valores e expectativas do negcio;

5DISPONIBILI-

DADE

relaciona-se informao estar disponvelquando requerido pelo processo do negcioagora e no futuro;

108



109/177



6 COMPLIANCE

relaciona-se com leis, regulamentos e arranjoscontratuais a que o processo do negcio assunto, isto , critrios externamente impostosdo negcio;

7CONFIABILI-

DADE

relaciona-se proviso da informaoapropriada para o gestor (CEO) operar aempresa e para a gerncia (CFO) exercitar ofinanceiro e o compliance que apontam para asresponsabilidades contbeis. (SOX).

109

CobiT


110/177


1 Eficcia

2 Eficincia

3 Confidencialidade

4 Integridade5 Disponibilidade

6 Compliance

7 Confiabilidade

Sete Critrios de Informao

Qualidade

Segurana

Legal

110



111/177


Informao

Recursos de TI

Planejar eOrganizar

Adquirir e

Implementar

Entregar e

Suportar

Monitorar eAvaliar

Governana de TI

Efetividade Eficincia Confidencialidade

Integridade Disponibilidade Compliance Confiabilidade


Q t R d TI


112/177


Quatro Recursos de TI

1 APLICAEScompreendidos como a soma de procedimentosmanuais e automatizados;

2 INFORMAOso os objetos em seu sentido mais amplo (isto ,externo e interno), estruturado e no estruturado,grficos, som, etc;

3INFRAESTRU-

TURA

hardware, router, switch, appliances, sistemasoperacionais, banco de dados, rede, telecom,multimdia, telefonia, ar condicionado, energiaeltrica, aquecimento, cabeamento, acesso fsico etc;

4 PESSOAS

inclui habilidades, conscincia e produtividade daequipe de funcionrios para planejar, organizar,

adquirir, entregar, suportar e monitorar os sistemas deinformao e servios. (os 3 itens acima).

112

CobiT


113/177


Quatro Recursos de TI

1 Aplicaes

2 Informaes

3 Infraestrutura4 Pessoas

113



114/177


Informao

Recursos de TI

Planejar eOrganizar

Adquirir e

Implementar

Entregar e

Suportar

Monitorar eAvaliar

Governana de TI

Efetividade Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiabilidade

Aplicaes Informao

Infra-estrutura Pessoas


115/177

CobiT Grau de Maturidade - SOX


116/177


CobiT Grau de Maturidade SOX

.20 dos 34 Processos de TI do CobiT atendem ao SOX; .A ferramenta de auditoria do SOX o CobiT; .O resultado da auditoria fornece o atual estado de Compliance da empresa; .SOX exige Grau de maturidade = 3; os processos esto documentados e so comunicados

EficazAuditoriainterna

AuditoriaExternaSOX

GAP

analise

- Oportunidadesde melhoria

- Problemas

Planosde

Ao

TI

116

Como o Negcio entende TI ?O que os

stakeholders


117/177


Domnios deconhecimento

Recursosde TI

Requisitosde Negcio

Aplicaes Informao Infra-estrutura Pessoas

Planejar e Organizar Adquirir e Implementar Entregar e Suportar

Monitorar e Avaliar

Eficcia Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiana na

Informao

Que recursosso colocados

disposio deTI?

o o o egc o e e de

117

Como TI estorganizada

pararesponder aos

requisitos?

esperam deTI?

Como TI est orientado ao Negcio


118/177


g

Domnios de TI Planejar e Organizar Adquirir e

Implementar Entregar e Suportar Monitorar e Avaliar

Processos de TI Estratgia de TI Operao da Infraestrutura Tratamento de Incidentes Testes de Aceitao Gerenciamento de

Mudanas Plano de Contingncia Gerenciamento de Problemas

Agrupamento natural

de Processos de TI,normalmente unidospelo Domnio deConhecimento naempresa

Uma srie deProcessos de TI

inter-relacionados

Aes necessrias paraatingir resultados

mensurveis. Atividadespossuem um ciclo de vidaao qual os Processos de TIesto circunscritos

118

Atividades Registrar problema novo Analisar Propor soluo Monitorar soluo Registrar problemas conhecidos Etc.

Planejar e Organizar


119/177



Descrio Este domnio cobre estratgia e ttica, e concerne a identificao de

como TI pode melhor contribuir para atingir os objetivos de negcio.Alm disso, a identificao das necessidades para a viso estratgicaplanejada; comunicao e gerenciamento para diferentes perspectivas.Finalmente, a organizao assim como a infraestrutura apropriadas.

Tpicos Estratgia e tticas

Viso planejada Organizao e infraestrutura

Questes TI e negcios esto alinhados? A organizao est fazendo o uso timo de seus recursos? Todos na organizao entendem quais so os objetivos de TI?

Os riscos de TI esto entendidos e sendo gerenciados? A qualidade dos sistemas de TI apropriada s necessidades donegcio?

119



120/177



PO1 Definir um Plano Estratgico de TI

PO2 Definir a Arquitetura da Informao

PO3 Determinar a Direo Tecnolgica

PO4 Definir os Processos, Organizao e Relacionamentos de TI

PO5 Gerenciar o Investimento em TI

PO6 Comunicar Metas e Diretrizes Gerenciais

PO7 Gerenciar Recursos Humanos de TI

PO8 Gerenciar Qualidade

PO9 Avaliar e Gerenciar Riscos em TI

PO10 Gerenciar Projetos

120

Adquirir e Implementar


121/177



Descrio Para conceber a estratgia de TI, solues de TI precisam ser

identificadas, desenvolvidas ou adquiridas, assim comoimplementadas e integradas aos processos de negcio.

Adicionalmente, mudanas e manutenes nos sistemas existentesso cobertas por este domnio para assegurar que o ciclo de vida mantido para estes sistemas.

Tpicos

Solues de TI Mudanas e manutenes

Questes Os novos projetos so apropriados para entregar solues que

atendam as necessidades de negcio? Os novos projetos so apropriados para entregar solues no prazo e

dentro do oramento?

Os novos sistemas iro funcionar corretamente aps aimplementao?

As mudanas sero feitas sem perturbar as operaes atuais donegcio?

121



122/177



AI1 Identificar solues automatizadas

AI2 Adquirir e manter aplicativos

AI3 Adquirir e manter infraestrutura de tecnologia

AI4 Desenvolver e manter procedimentos de TI

AI5 Obter recursos de TI

AI6 Gerenciar mudanas

AI7 Instalar e homologar solues e mudanas

122

Entregar e Suportar


123/177


Entregar e Suportar

Descrio Este domnio preocupa-se com o que realmente entregue pelos

servios requeridos, que vai desde a operao tradicional atsegurana, aspectos de continuidade e treinamento. Para efetuar aentrega dos servios, os processos de suporte precisam estarestabelecidos. Este domnio inclu o processamento de dados pelasaplicaes, normalmente classificados em controles de aplicaes.

Tpicos

Entrega dos servios requeridos Estabelecimento de processos de suporte Processamento por sistemas de aplicao

Questes Os servios de TI esto sendo entregues alinhados com as prioridades

do negcio? Os custos de TI esto otimizados?

A organizao est apta a utilizar os sistemas de TI de forma produtivae com segurana?

Os aspectos de segurana, integridade e disponibilidade estoadequados?

123

Entregar e Suportar


124/177


Entregar e Suportar

DS1 Definir e gerenciar nveis de servioDS2 Gerenciar o servio de terceiros

DS3 Gerenciar desempenho e capacidade

DS4 Assegurar a continuidade dos servios

DS5 Assegurar segurana dos sistemas

DS6 Identificar e alocar custos

DS7 Educar e treinar usurios

DS8 Gerenciar Service Desk e Incidentes

DS9 Gerenciar a configurao

DS10 Gerenciar problemas

DS11 Gerenciar os dados

DS12 Gerenciar a instalao (ambiente fsico)DS13 Gerenciar a operao

124

Monitorar e Avaliar


125/177


Monitorar e Avaliar

Descrio Todos os processos de TI precisam ser regularmente avaliados quanto

a sua qualidade e atendimento aos requisitos de controle. Este domnioportanto enderea os descuidos gerenciais quanto aos processos decontrole da organizaes e a garantia proporcionada por auditoresinternos e externos ou obtidas atravs de fontes alternativas.

Tpicos Avaliaes peridicas, entregando com garantia Descuidos gerenciais quanto ao sistema de controle Medies de desempenho

Questes O desempenho de TI pode ser medido? Os problemas podem ser detectados antes que seja tarde demais? Que garantias so necessrias para assegurar que as reas crticas

esto operando de forma adequada?

125

Monitorar e Avaliar


126/177


Monitorar e Avaliar

ME1 Monitorar e avaliar a Performance de TI

ME2 Avaliar a adequao dos controles internos

ME3 Obter garantia independente (compliance)

ME4 Prover a Governana de TI

126

CobiT & ITIL


127/177


CobiT & ITIL

127

CobiT & ITIL


128/177


CobiT & ITIL


129/177


CobiT & ITIL


130/177


CobiT & ITIL


131/177


CobiT & ITIL


132/177


CobiT & ITIL


133/177


CobiT & ITIL


134/177


CobiT & ITIL


135/177


CobiT & ITIL


136/177


CobiT & ITIL


137/177


PO3Deternina oDireciona-

mentoTecnolgico

PO4Define os

Processos,Organizao eRelacionamen-

tos de TI

PO5Gerencia

Investimentosde TI

PO6ComunicaObjetivos

Gerenciais eDireciona-

mentos

PO7GerenciaRecursosHumanos

de TI

PO8Gerencia

Qualidade

PO10GerenciaProjetos

PO9Avalia eGerenciaRiscos de

TI

PO1Define o

PlanoEstratgico

de TI

PO2Define a

Arquiteturada

Informao


138/177



Informao

Planejare Organizar

Adquirire Implementar

Entregare Suportar

Monitorare Avaliar

Recursos de TI

tos de TI mentos

AI1IdentificaSolues

Automatizadas

AI2Obtm e Mantm

Aplicativos

AI3Obtm e MantmInfra-estrutura

Tecnolgica

AI4Capacita paraOperao eUtilizao

AI5Adquire

Recursos de TI

AI6GerenciaMudanas

AI7Aprova e Instala

Solues eMudanas

DS1Define eGerencia

SLAs

DS2GerenciaServios

Prestadospor

Terceiros

DS3Gerencia

Performan-ce e

Capacidade

DS4Garantir

Continuida-de dos

Servios

DS6Identifica

e Alocaos

Custos

DS5Garantir

Seguranados

Sistemas

DS7Educa e

Treina osUsurios

DS8GerenciaService

Deske

Incidentes

DS9Gerencia

asConfigu-raes

DS10Gerencia

osProblemas

DS11Gerencia

osDados

ME1Monitora e

Avalia aPerformance

em TI

ME2Monitora eAvalia osControlesInternos

ME3Assegura

ComplianceRegulatrio

ME4

ProvGovernana

de TI

DS12Gerencia

asInstala-

es

DS13Gerencia

asOperaes

Exemplo de Processo de TI


139/177


Momento de Reflexo


140/177


a. Oferecer Servios de Qualidadeb. Atender requerimentos de CVM, Banco Central c. Manter confidencialidade e acesso a dados d. Reportar semanalmente situao de processos e. Definir SLA entre Clientes e fornecedoresf. Servidores, redes e sistemas computacionaisg. Equipe de Projeto

140

Board Briefing

on IT GOV


141/177


on IT GOV

ManagementGuidelines

CobiTFramework

ControlObjetives

ControlPractices

IT AssuranceGuide

IT ControlObjetives

for Sarbanes-Oxley

IT GOVImplementation Guide

CobiT

Quickstart

CobiTSecurity Baseline

141

Board e Executivos

Gerenciamento de Tecnologiae Negcio

Governana, Garantia, Controle e

profissionais de Segurana

Interesse Primrio:Board e Executivos


142/177


Board e Executivos

Entender porque Governana de TI importante

Onde se aplica

Quais so as suas responsabilidades

142

Interesse Primrio:Gerenciamento de Tecnologia e Negcio


143/177


Gerenciamento de Tecnologia e Negcio

Management Guidelines

Ferramentas para apontar responsabilidades, medirperformance, execuo e GAPs.

Respostas para questes tpicas da gerencia: At onde ir para controlar TI? Qual a relao custo/benefcio? Quais os indicadores de boa performance? Quais so as melhores prticas de gerenciamento? O que os outros esto fazendo? Como medir e comparar?

143

Modelo de MaturidadeO que ?


144/177


q

Uma medida relativa de onde seencontra a empresa em relao aomercado.

Um meio para decidir de forma eficiente

que caminho tomar. Uma ferramenta para medir o progressocontra a meta determinada.

Baseado no Framework do CobiT enos Objetivos de Controle,

possvel responder a estas trsnecessidades

144

Modelo de Maturidade


145/177


O que nossos pares esto fazendo e como estamosposicionados em relao a eles?

O que aceitvel como boas prticas no mercado e como omercado est posicionado em relao s boas prticas?

Baseado nestas comparaes, podemos dizer que estamos

indo bem? Fazendo o suficiente?

Como saberemos o que necessrio fazer para alcanar onvel adequado de gerenciamento e controle sobre nossosPROCESSOS de TI?

145



146/177


A atual performance da empresa Onde a empresa se encontrahoje

O status atual da industria A comparao

A meta da empresa em melhoria Onde a empresa quer estar

O que se identifica na empresa:

146

Melhores PrticasO Modelo de Maturidade do CobiT


147/177


O Modelo de Maturidade do CobiT

Escalas reconhecidas como padres empresariais relativos Governana e ao Controle de TI.

Auxiliam na determinao da situao atual (as-is) e adesejada (to-be) em relao maturidade da empresa emcada Objetivo de Controle do CobiT

A caracterstica ou vertical de mercado determina o Graude Maturidade apropriado.

147

CobiT Grau de Maturidade


148/177


Representao Grfica dos Modelos de Maturidade

0 1 2 3 4 5

LEGENDA PARA SMBOLOS USADOS

Inexistente

0 1 2 3 4 5Inicial

Repetvel

Definido

Administrado

Otimizado

LEGENDA PARA POSIES OCUPADAS

Mdia de empresas similares

Status atual da empresa

Alvo da empresa148



149/177


0 - inexistente: completa falta de

processos reconhecidos. A empresaainda no reconheceu de que tem um

problema a ser resolvido

1- inicial: Existem evidencias de que aempresa tem problemas e que estes

precisam ser resolvidos. Por outrolado no existem procedimentos nem

padres. Processos so atacados

caso-a-caso e o gerenciamento desorganizado.

2- repetitivo: Processos foramdesenvolvidos ao estgio onde

procedimentos similares so seguidospor pessoas com as mesmas tarefas.No h treinamento nem comunicaoe somente desvios so detectados.Existe grande dependncia noconhecimento das pessoas eerros so normais.

3 definido: procedimentos tornaram-se

padro e foram documentados bem comocomunicados atravs de treinamento. Foideixado ao indivduo seguir os processose somente os desvios so detectados. Os

procedimentos so apenas aformalizao de prticas existentes.

4 gerenciado: possvel medir e monitoraraderncia com procedimentos e agironde processos no funcionam de forma

efetiva.Processos esto sob constanteevoluo e provem as boas prticas. Jexistem ferramentas e processosautomatizados.

5 otimizado: processos foram refinados aonvel de boas prticas baseados emresultados de continua evoluo emodelos de maturidade com outrasempresas. usado para integrar eautomatizar o workflow, provendo

ferramentas para melhorar a qualidade ea eficincia, tornando a empresa o maisdinmica possvel no mercado(capacidade de adaptao)

149

Modelos de Maturidade do Cobit 4.1


150/177


Vamos conectar este conceito

150



151/177


o case:

empresa em franco crescimento; setor financeiro;

capital fechado; existe um security officer na rea deInfraestrutura de TI; h politicas e procedimentos implantados

apenas para a Infraestrutura de TI

Exemplo na planilha Excel (DS5)

151



152/177


O que eu faocom isso ?

necessriotransformaruma anlisequalitativa emresultados

quantitativosxi nveis fi %0 101 232 443 404 245 6

Ex.:

Ajuste pela Distribuio Normal (Gauss)


153/177


0

17,5

35,0

52,5

70,0

0 1 2 3 4 5



154/177


O que a aproximao pela Normal vainos proporcionar ?

clculo da nota de Maturidade para oprocesso; confeco de grficos de colunas e radar; construo do plano de ao objetivandoo to-be

154



155/177


Clculo da nota de Maturidade:

155

Nmat = SUM (xi.fi)

SUM (fi)

Modelo de Maturidade do Cobit 4.1


156/177


Planos de ao para melhoria da maturidade

Focar na eliminao dos graus mais baixos (0,1 e 2); Dada a conexo entre os itens no modelo de Maturidade, o

processo ir melhorar como um todo;

A melhora de um processo acarreta a melhora de outros(ex. DS8 e DS10, AI6 e AI7 etc)

156

Performance e Mtricas


157/177


O CobiT define mtricas em 3 nveis:

O que o negcio espera de TIO que o negocio vai usar paramedir TI

O que os processos de TIprecisam entregar para

suportar os objetivos de TI

Como o dono do processo de TI

vai ser medido

Mtricas de performance deprocessos

Medir quo bem um processoest sendo executado paraindicar se as metas vo seralcanadas

157



158/177


O CobiT usa 2 tipos de mtricas:

KGI Key Goal Indicator

Define os indicadores que informam ao gerente depois do fatoocorrido se um processo de TI atingiu os objetivos donegcio, normalmente expressos na forma de critrios deinformao.

Disponibilidade da informao necessria para suportar as necessidades donegcio

Ausncia de riscos associados integridade e confidencialidade da informao

Eficincia de custos nos processos e operao

Confirmao de confiana, eficincia e aderncia

158



159/177


O CobiT usa 2 tipos de mtricas:KPI Key Performance Indicator

Define as medidas que determinam como o processo de TI estsendo executado para permitir o objetivo de ser alcanado.

So tambm indicadores para se saber se um objetivo de

negocio ser alcanado ou no, e so bons indicadores daspotencialidades, das prticas e das habilidades daqueles queexecutam os processos.

Medem os objetivos da atividade, que so as aes que o donodo processo deve executar para conseguir o desempenhoeficaz daquele processo.

159



160/177


Mtricas efetivas possuem asseguintes caractersticas

160

Define metas

DS5


161/177


Mtricas de negcio: KGI

mtricas de TI: KPI

mtricas de processo: KPIperformance

M

elhorarealinhar

Medidaderealizao

atividade processo TI negcio

Entender

requerimentosde segurana,vulnerabilidadese ameaas

Detectar e

resolver acessosno autorizados informao,aplicaes einfraestrutura

Garantir

servios de TIque possamresistir erecuperar-se deataques

Manter a

reputao e aliderana daempresa nomercado

medido por medido por medido por medido por

Frequencia da

reviso do tipo eincidente desegurana a sermonitorado

Numero de

violaes eacessos noautorizados

Numero de

incidentes de TIcom impacto nonegcio

Numero de

incidentes quecausaramembaraopublico

161

Melhores Prticasboas prticas


162/177


Modelos de trabalho identificados em situaes reais,considerando empresas na mesma vertical de mercado.

Um modelo de trabalho implementado, aps a comprovaode sua relevncia para o negcio, torna-se a Melhor Prtica.

Adotar a melhor prtica significa: no reinventar a roda Implementar modelos e experincias que j se mostraram

eficientes em outras empresas.

Implemen

unianchieta govseg ti 2013.pdf

Documents