![Page 1: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/1.jpg)
COSO
COBIT
ISO 17799
![Page 2: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/2.jpg)
Objetivos
Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas das Definições de Controles Internos Discutir sobre ética e cultura de controle Convivência com fraudes e usos indevidos de informações Compreender os objetivos do controle Modelo de controle – Coso, Cobit e NBR 17999 Estrutura de controle
![Page 3: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/3.jpg)
Várias visões do controle
Manter um automóvel na direção certa ? Não reagir a uma agressão Regular a temperatura de um termostáto ? Verificar seu batimento cardíaco ? Voce tem planos para sua vida ? Manter seus comprovantes do Imposto de Renda ? Não sair num dia chuvoso ? Experimentar molho para ver como está o sal ?
O QUE ESTAS ATIVIDADES TEM EM COMUM ?
![Page 4: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/4.jpg)
COSO
![Page 5: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/5.jpg)
Treadway Commission & COSO
– Treadway Commission 1985 Iniciativa independente do setor privado Baseado em estudo de casos de relatórios de fraudes James Treadway (chair), former SEC commissioner &
EVP/Gen. Counsel Paine Webber 1992 – Publicada a Internal Control Integrated
Framework
– Committee of Sponsoring Organizations
![Page 6: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/6.jpg)
Commitee of Sposoring Organization
American Institute of Certifield Public Accountants
Institute of Internal Auditors American Accouting Asociation Institute of Management Accountants Financial Executives Institute
![Page 7: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/7.jpg)
Conceito de controle - coso
Controle é definido como um processo, efetuado pelos membros de uma instituição, (dirigentes, gerentes e outros níveis), desenvolvido para dar razoável garantia de cumprimento dos objetivos das seguintes categorias:
1) Efetividade e eficiência das operações 2) Confiabilidade dos relatórios financeiros 3) Em consonância com as normas e leis
![Page 8: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/8.jpg)
Razões para se ter controle ?
Assegurar o alcance de objetivosMinimizar os riscos não previstosConscientização em relação a imagemÊnfase a governança corporativaResponsabilidade legal dos gestoresEvitar fraudes
![Page 9: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/9.jpg)
Conceitos do Coso
É um processo, significa que é um meio para atingir um determinado fim e não um fim em si mesmo,
É influenciado por pessoas, não por normas, políticas, manuais.
Espera dar razoável segurança, não segurança absoluta para o gestor,
É criado para atingir um ou mais objetivos separados mas se sobrepõe a áreas
![Page 10: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/10.jpg)
COMPONENTES DO COSO
Ambiente de controle Avaliação de risco Atividades de controle Informação e comunicação, Monitoramento
![Page 11: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/11.jpg)
Pirâmide coso
• Monitoração
Atividades de controles
Avaliação do risco
• Informação e comunicação
• Meio ambiente
![Page 12: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/12.jpg)
AMBIENTE DO COSO
Integridade e valores éticos Filosofia da gerência Compromisso com a competência Ação da alta administração Estrutura organizacional Definição das responsabilidades Políticas de RH Conscientização
![Page 13: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/13.jpg)
Avaliação do risco
Abrangência dos objetivos da organização
Nível dos objetivos das atividade
Riscos
Gerenciamento dos riscos
![Page 14: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/14.jpg)
Avaliação do risco
Avaliação de Riscos– O controle interno deve ser capaz de identificar
os riscos a que a organização está exposta tanto riscos internos quanto externos
– identificação deve ser conjugada com uma avaliação da severidade do risco e de seu impacto nas atividades da instituição
![Page 15: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/15.jpg)
Atividades de controle
Revisão pela alta administração do plano de controle
Gestores funcionais ou Gerentes operacionais,
Sistema de informações Controles físicos Indicadores de performance
![Page 16: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/16.jpg)
Atividades de controle
Atividade de controle– As atividades de controle devem ser realizadas
diariamente– Não pode prescindir de um sistema de verificação do
cumprimento das normas internas e externas (ComplianceCompliance)
– A estrutura deve garantir a segregação de funções entre áreas que possa haver conflito de interesse
![Page 17: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/17.jpg)
Informações e comunicações
Deve haver um sistema de informações que assegure que a mesma chegue à pessoa certa, na hora certa com a qualidade necessária para execução da tarefa ou da tomada de decisão.
Informações válidas Completas Exatas Na hora certa para a pessoa adequada.
![Page 18: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/18.jpg)
Monitoramento
Um processo contínuo de monitoramento, Avaliações separadas, Sistema de relatórios das deficiências Tomadas de decisões no final do processo
É o mecanismos para constatar se o controle está sendo efetivo.
![Page 19: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/19.jpg)
COBIT
![Page 20: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/20.jpg)
COBIT
Control Objectives for information and Related Tecnology
Desenvolvido e mantido pela IT Governance Institute (ITGI) que faz parte do ISACA –Information Systems Audit and Control Association,
publicada a 1.a edição em 1996 e foi baseado num documento chamado Objetivos de Controle do Isaca.
![Page 21: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/21.jpg)
COBIT - Visão Geral
Controles voltados para os negócios Controles voltado para área de tecnologia
O Cobit busca fazer esta integração visando a TI com os objetivos dos negócios.
Tem como característica a incorporação do conceito de controle interno do Coso, aplicando-se na área de tecnologia.
![Page 22: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/22.jpg)
Princípios da estruturaPrincípios da estrutura
Requerimentos de Negócio
Processos de TIRecursos de TI
![Page 23: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/23.jpg)
Estrutura do Cobit
Domínios – 4 Processo ou níveis de objetivos de controle
– 34 Controles detalhados - 318
![Page 24: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/24.jpg)
Domínios
Planejamento e organização Aquisição e implementação Entrega e suporte Monitoramento
![Page 25: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/25.jpg)
Planejamento e Organização
PO1 Definição plano estratégico TI PO2 Definição arquitetura de informação PO3 Determinação direcionamento tecnológico PO4 Definição organização TI e relacionamentos PO5 Gerenciamento do investimento de TI PO6 Comunicação de objetivos e direcionamento PO7 Gerenciamento de recursos humanos PO8 Assegurar compliance com órgãos externos PO9 Avaliação de riscos PO10 Gerenciamento de Projetos PO11 Gerenciamento da Qualidade
![Page 26: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/26.jpg)
Aquisição e Implementação
AI1 Identificar soluções AI2 Aquisição e manutenção sistemas aplicativos AI3 Aquisição e manutenção da arquitetura
tecnológica AI4 Desenvolvimento e manutenção procedimentos
de TI AI5 Instalação e homologação de sistemas AI6 Gerenciamento de mudanças
![Page 27: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/27.jpg)
Entrega e suporte
DS1 Definição de níveis de serviço DS2 Gerenciamento de serviços de terceiros DS3 Gerenciamento de performance e capacidade DS4 Assegurar continuidade dos serviços DS5 Assegurar segurança dos sistemas DS6 Identificar e atribuir custos DS7 Treinamento de usuários DS8 Assessorar os clientes internos de TI DS9 Gerenciamento das configurações DS10 Gerenciamento de problemas e incidentes DS11 Gerenciamento de dados DS12 Gerenciamento das localidades (físicas) DS13 Gerenciamento de operações
![Page 28: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/28.jpg)
Monitoramento
* M1 Monitoramento do Processo* M2 Avaliação da adequação dos controles internos* M3 Obtenção avaliação independente* M4 Disponibilização para auditoria independente
![Page 29: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/29.jpg)
Monitoramento
M1 Monitoramento do Processo M2 Avaliação da adequação dos controles
internos M3 Obtenção avaliação independente M4 Disponibilização para auditoria
independente
![Page 30: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/30.jpg)
Recurs
os de
TI
Qualidade
Credibilidade
Segurança
Critério da InformaçãoP
rocessos d
e T
I
Pe
ss
oa
sS
iste
ma
s A
pli
ca
tiv
os
Da
do
s
Te
cn
olo
gia
Ins
tala
çõ
esDomínios
Processos
Atividades
Cubo COBIT
![Page 31: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/31.jpg)
Princípios do modelo -Cobit
Exigência de qualidade- qualidade, custo, condições de entrega,
Exigências fiduciárias –( Coso report) – Eficácia e eficiência das operações, veracidade das informações, compliance com regulamentos e legislaçao,
Exigências de segurança: confiabilidade, integridade, disponibilidades.
![Page 32: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/32.jpg)
Exposição de riscos mais comuns
Erros de registros Rejeição de registros Interrupção de operações Tomadas de decisões inadequadas Fraudes e vandalismo Sanções legais Desperdicio Utilização inadequada de recursos Imagem Perdas de competividade
![Page 33: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/33.jpg)
Critérios de avaliação do Cobit
Eficácia Eficiência, Confidencialidade, Integridade, Disponibilidade, Compliance Veracidade das informações
![Page 34: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/34.jpg)
Iso 17799
1995 – O BSI – British Standard Institute publicou a BS 7799 – abrangendo assuntos de segurança do e.commerce
Em 1999 – publicou uma nova versão Em 2000 o ISO International Stantard
Organization publicou uma parte da BS 7799 como seu próprio padrão chamando de ISO.
![Page 35: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/35.jpg)
Abrange 10 áreas de controle
Política de segurança Organização da segurança Classificação e controle do patrimônio Segurança dos funcionários Segurança física e ambiental Gerenciamento de operações e comunicações Controle de acesso Manutenção e desenvolvimento de sistemas Gerenciamento e continuidade dos negócios Compatibilidade
![Page 36: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/36.jpg)
O que é a Iso 17799
É uma compilação de recomendação de melhores práticas que pode ser aplicada a qualquer empresa,
Foi criada para ser um padrão flexível, São neutras em relação a tecnologia, Não ajuda na avaliação ou entendimento das
medidas de segurança já existentes, É muito dificil criar um padrão para todos os
variados ambientes de teconologia.
![Page 37: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/37.jpg)
Objetivos
Requisitos de segurança dos sistemas Segurança dos sistemas de aplicação Criptografia Segurança dos arquivos dos sistemas Continuidade das operações Conformidade com as normas
![Page 38: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/38.jpg)
Escopo
Política de segurança da informação Infra estrutura da segurança da informação Segurança de acesso dos prestadores de serviço Terceirização Registro dos ativos Segurança na definição dos recursos de trabalho Treinamento dos usuários Respostas aos incidentes e desvios Áreas de segurança Acesso aos equipamentos Monitoração dos riscos Procedimentos e responsabilidades operacionais Planejamento e aceitação dos sistemas Housekeeping – manter integridade disponibilidade dos seviços
![Page 39: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/39.jpg)
Escopo
Gerenciamento da rede Segurança e tratamento das mídias Troca de informação e softwares Requisitos da operação para controle de acesso, Gerenciamento de acesso dos usuários Responsabilidade dos usuários Controle de acesso a rede Controle de acesso aos sistemas operacionais Controle de acesso às aplicações Monitoração do uso dos sistemas
![Page 40: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/40.jpg)
O QUE FAZER
Definição de uma política de segurança de informação,
Análise de riscos, os controles devem ser apresentados de forma detalhada,
Declaração de aplicação Criação de uma frente gestora para
manutenção do nível de segurança Certificação – é um processo contínuo
![Page 41: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/41.jpg)
O que fazer ?
Plano de gestão do sistema de informação, Criação de uma coordenação pela segurança da informação Administração e controle dos processos incluindo: - Revisão do plano de gestão - Formulários da revisão, - Modo para administração da documentação - Modo para administração das gravações digitais, - Base de controle existente, com formulários de reporte de
ocorrências e análises, -
![Page 42: COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas](https://reader035.vdocuments.pub/reader035/viewer/2022062623/552fc113497959413d8c748f/html5/thumbnails/42.jpg)
BENEFÍCIOS
Imagem da organização Evidencia o uso das melhores políticas de gestão Poderá alavancar negócios Terá maior segurança nas informações Planejamento e gerenciamento mais efetivo Auditoria de segurança mais precisa Redução dos riscos legais É uma diretriz de segurança