Download - UniAnchieta GovSeg TI 2013.pdf
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
1/177
Prof. Andre Pitkowski, 2013
Governana:Implementao Prtica de
CobiT 4.1Prof. Andre Pitkowski
1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
2/177
Prof. Andre Pitkowski, 2013
Agenda:
Governana Corporativa A crise de 1929
Criao da SEC em 1934 Sarbanes Oxley Controles Internos
COSO Governana de TI
CobiTProcessosAtividades
MaturidadeMtricas e Indicadores
Proposta de trabalho em grupo
2
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
3/177
Prof. Andre Pitkowski, 2013
Frequencia e NOTA
Frequencia: apontada no comeo decada aula.Nota:
Solicitaes em sala de aula: 20%Individuais ou em grupoResenhas de livrosInterpretaes de notcias
Prova individual: 20%Projeto: 60%
3
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
4/177
Prof. Andre Pitkowski, 2013
Depois da 1 Grande Guerra Mundial
(1914-1918), a indstria dos EUA era responsvel por quase 50% da produomundial;
AMERICAN WAY OF LIFE. Esse estilo de vida caracterizou-se pelo grandeaumento na aquisio de automveis, eletrodomsticos e toda sorte deprodutos industrializados.
EUROPA, (Inglaterra, Frana e Alemanha) foi atualizando rapidamente seusmodelos industriais. Reduziram as importaes de produtos americanos. Aproduo industrial e agrcola dos Estados Unidos continuava a cresceraceleradamente.
superproduo capitalista.
E ento, os EUA sofreram um grande abalo econmico em 1929, quandomergulharam numa terrvel crise, de repercusso mundial.
4
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
5/177
Prof. Andre Pitkowski, 2013
Antes da crise de 1929
Antes da grande quebra de 1929 havia pouco apoio regulamentao federaldo mercado de valores mobilirios americano.
Isso era particularmente verdadeiro durante o ps guerra, com a intensificaodo mercado de valores mobilirios. As propostas do governo para as empresasfornecerem informaes financeiras ao mercado e prevenisse a vendafraudulenta de aes nunca foram levadas a srio.
Motivados pela perspectivas da fortuna fcil, a maior parte dos investidores eacionistas deu pouca ateno aos perigos inerentes s operaes de ummercado sem controle.
Durante os anos 20, aproximadamente 20 milhes de grandes e pequenosacionistas tiraram vantagem da prosperidade americana do ps-guerra e fizeram
fortuna no mercado de aes. Estima-se que, dos cerca USD 50 Bilhes emnovas aes oferecidas nesse perodo metade perdeu completamente o seuvalor.
5
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
6/177
Prof. Andre Pitkowski, 2013
24 de outubro de 1929
quinta-feira negra
Crise na Bolsa de Nova York.
Muitas empresas simplesmente deixaram de existirde uma hora para outra.
Seus acionistas foram surpreendidos, perdendo todoo capital investido.
6
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
7/177
Prof. Andre Pitkowski, 2013
As empresas americanas foramforadas a reduzir o ritmo de
sua produo. Em funodisso, promoveram a
demisso em massa de seusfuncionrios.
Terminava o sonhoAMERICAN WAY OF LIFE.
Durante a crise, 15 milhesde americanos ficaram
desempregados.
7
A crise de 1929
a quebra da bolsa de Nova York
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
8/177
Prof. Andre Pitkowski, 2013 8
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
9/177
Prof. Andre Pitkowski, 2013
A quebra da Bolsa de Valores de Nova York abalou o mundo inteiro. OsEstados Unidos, no podendo vender, tambm deixaram de comprar, e isso
afetou tambm o Brasil, que dependia das exportaes de caf para osEstados Unidos.
Com a crise, parte do volumoso estoque de caf produzido no Brasil ficou semmercado consumidor. O Brasil no conseguiu conter o desastre econmico queabalou a classe cafeicultora e, por consequncia, abalou as prpriasestruturas polticas da Repblica Velha, abrindo caminho para a Revoluo de1930, que levaria Getlio Vargas ao poder. 9
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
10/177
Prof. Andre Pitkowski, 2013
Av. Paulista
10
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
11/177
Prof. Andre Pitkowski, 2013
Os bancos...
Quando o mercado de aesquebrou em Outubro de 1929 asfortunas de um nmero incontvelde investidores foram totalmenteperdidas.
Os bancos tambm perderamgrandes somas de dinheiro no
crash porque eles tambminvestiram pesadamente nomercado de aes. Quando oscorrentistas perceberam que seusbancos no seriam capazes dehonrar seus depsitos iniciou-seuma corrida aos bancos abalandofortemente o sistema financeiro
Americano.
11
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
12/177
Prof. Andre Pitkowski, 2013
New Deal: A reao crise de 1929
Aps a crise, nos primeiros anos do governo do presidente Franklin DelanoRoosevelt, os Estados Unidos adotaram o New Deal, que era um conjunto demedidas destinadas superao da crise.
Dentre as principais medidas adotadas pela poltica econmica do New Deal,destacam-se:
12
Controle governamental dos preos de diversosprodutos industriais e agrcolas;
Concesso de emprstimos aos proprietrios agrcolas;
Realizao de um grande programa de obras pblicas;
Criao de um seguro-desemprego;
Plano de recuperao industrial.
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
13/177
Prof. Andre Pitkowski, 2013
CINCO anos depois...
Com o crash e a depresso econmica, a confiana pblica no mercado mobiliriocaiu drasticamente;
Criou-se um consenso de que a confiana pblica nos mercados deveria serrestaurada para que houvesse a recuperao econmica;
Os congressistas americanos mantiveram diversas audincias para identificar os
problemas e buscar solues;
Como resultado, o congresso americano aprovou ento o Securities Act of 1933 eo Securities Exchange Act of 1934;
Securities and Exchange Comission ocorreu em um perodo propcio para grandesreformas;
Essas leis foram criadas para restaurar a confiana dos investidores provendomais estrutura e poder de superviso para o governo.
13
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
14/177
Prof. Andre Pitkowski, 2013
A criao da SEC em 1934
14
Os principais pontos das novas leis foram:
As empresas que fizessem ofertas pblicas de aesdeveriam dizer ao pblico a verdade sobre seusnegcios, sobre os papis que estavam vendendo e osriscos envolvidos naquele investimento;
As pessoas e empresas que comercializarem os papisdeveriam tratar os investidores de forma justa ehonesta colocando os interesses deles em primeirolugar.
Ento, monitorar o mercado de valores mobiliriospassou a requerer um grande e coordenado esforo.
Da, o congresso americano estabeleceu a SEC Securities and Exchange Commission em 1934 paraassegurar o cumprimento das novas leis, promover a
estabilidade dos mercados e o mais importante:proteger os investidores.
O Presidente Franklin Delano Roosevelt indicou Joseph P.Kennedy (pai do Presidente John F. Kennedy), para ser o 1Chairman da SEC.
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
15/177
Prof. Andre Pitkowski, 2013
A quebra (1929), a SEC (1934) e a
Governana Corporativa
Aps os anos 30, a Governana Corporativa permaneceuignorada por muito tempo como assunto de potencialimportncia para o desenvolvimento econmico das naes.
A intensificao do comrcio mundial e do fluxointernacional de capitais (globalizao) acentuou suaImportncia como importante proteo para investidores.
A crise financeira ocorrida no leste asitico no perodo 1997-1998 seguida dascrises na Rssia e no Brasil chamou a ateno para as deficincias das prticasde Governana Corporativa em vrias economias emergentes, evidenciandoriscos para o mercado financeiro globalizado.
Mais recentemente, os escndalos financeiros ocorridos na Europa (Ex.: caso
Parmalat) e em mercados considerados maduros e seguros como os EUA(Enron, WorldCom, Tyco, Vivendi, Marconi, Arthur Andersen etc.) evidenciaramainda mais a importncia do assunto, contribuindo para um significativoaprimoramento das prticas e regulamentaes.
15
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
16/177
Prof. Andre Pitkowski, 2013
Cronologia das Crises
1929: A quebra de 29
1971: O fim do sistema padro-ouro
1973: O embargo do petrleo no conflito rabe-israelense
1979: A Revoluo Iraniana
1980: Iraque invade Ir1987: A Segunda-feira Negra
1994: A crise do peso mexicano
1997: A crise dos Gigantes Asiticos
1998: A crise do rublo
2000: A crise das pontocom (eBay e AMAZON)
16
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
17/177
Prof. Andre Pitkowski, 2013
Governana Corporativa
Os escndalos
Mercado altamente pulverizado;
DONO = CEO;
Muitos conselheiros internos;
Presso por resultados de curto
prazo;
Stock Options generosos paraexecutivos e conselheiros;
Informaes privilegiadas e
conflitos de interesse;
Interpretaes contbeis
criativas; Analistas remunerados por
negcios de underwriting.
17
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
18/177
Prof. Andre Pitkowski, 2013
Sarbanes Oxley (SOX) Act de 2002
1. Protege os investidores e acionistas contracrimes contbeis;
2. Impe maiores penalidades e impedimentospara os dirigentes (Multa de at USD5MM edeteno de at 20 anos);
3. CEO e CFO so obrigados a certificar as
demonstraes contbeis da Empresa, bem comoseus Controles Internos, Processos e Sistemasutilizados na sua preparao;
4. Os dirigentes so obrigados a divulgar para omercado qualquer transao com aes daEmpresa;
5. As Stock Options devem ser aprovadas pelosacionistas;
6. Os Dirigentes e Administradores devem aderir(assinar) um Cdigo de tica especifico.
18
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
19/177
Prof. Andre Pitkowski, 2013
SOX
As reformas da Lei
As principais reformas contidas na Lei Sarbanes-Oxley podem ser resumidas emTRS itens:
PRIMEIRO:
A lei inclui reformas visando a melhoria operacional e a recuperao da
credibilidade da profisso contbil. Ela no mais permite a autorregulamentao da profisso de cinciascontbeis no que se refere auditoria dos demonstrativos financeiros deempresas de capital aberto.
Em seu lugar foi criado o
Conselho de Fiscalizao de Auditoria de Companhias Abertas (PCAOB),organismo independente, com representao no setor privado, mas sobsuperviso da SEC.
19
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
20/177
Prof. Andre Pitkowski, 2013
SOX As reformas da Lei
SEGUNDO:
A reforma fornece novas ferramentas para sefazer cumprir as Leis de Valores Mobilirios. AComisso tem usado estas ferramentas paraampliar o alcance do seu programa defiscalizao.
Nos DOIS ltimos anos fiscais, a Comisso deuentrada em mais de 1300 aes de fiscalizao,dos quais cerca de 370 envolviam relatriosfinanceiros criativos e fraudes contbeis.
Conseguimos ordens judiciais para opagamento de multas e devoluo dos ganhosobtidos ilegalmente no total de quase USD 5Bilhes. Alm disso, conseguimos impedir quemais de 330 executivos voltassem a atuar comodiretores ou conselheiros em empresas de capitalaberto.
20
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
21/177
Prof. Andre Pitkowski, 2013
SOX As reformas da Lei
TERCEIRO:
A reforma da Lei traz novas exigncias relacionadas ao aperfeioamento daspraticas de divulgao dos relatrios e demonstrativos financeiros:
As clusulas referentes certificao dos relatrios e demonstrativosfinanceiros pelos Diretores Executivo e Financeiro, tem o objetivo de no
deixar nenhuma dvida quanto responsabilidade da Alta Administraosobre as informaes publicadas pela empresa.
Tambm se encontram neste item, as clusulas que recebem mais ateno dasempresas e dos auditores:
Exigncia do Relatrio Anual da Administrao da empresa e
Relatrio da Auditoria de Controles Internos atestando a veracidade sobreas informaes publicadas nos referidos relatrios e demonstrativos financeiros.
21
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
22/177
Prof. Andre Pitkowski, 2013
Foi o fim de Detroit?
Revista EXAME: Novembro 2008 220 mil funcionrios Valor: US$ 2,7 bilhes
O mesmo valor que em 1929 O mesmo valor que a motores WEG e Fosfrtil
22
230 mil funcionrios Valor: US$4,4 bilhes
O mesmo valor que a Natura
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
23/177
Prof. Andre Pitkowski, 2013
Escndalo do Sub Prime setembro 2008
O que foi (ainda ?) Efeito domin: outras verticais alm da financeira:
Area, entretenimento, sade, varejo, automobilstica...
Escndalo Madoff (pirmide) Empresa de software da ndia, mentindo sobre os lucros 33 vezes o
real.
Brasil: Vale, Sadia, Votorantin, Parmalat (de novo),
Como esta crise afeta a rea de TI daVW por exemplo?Vo assistir e esperar?
Existe algo que podem fazer?Por onde entra o $$$ na VW?
23
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
24/177
Prof. Andre Pitkowski, 2013
25/03/2009 - 13h26Governo da Alemanha aprova projeto que aumentasuperviso bancria
Efe, em Berlim
O governo da Alemanha aprovou nesta quarta-feira umprojeto de lei destinado a melhorar a superviso bancria,
em meio crise que teve um forte impacto sobre o setorfinanceiro alemo. O projeto inclui a concesso de maiores competncias
BaFin (Autoridade de Superviso Financeira Federal, na siglaem alemo).
No futuro, o rgo poder exigir aos bancos, por exemplo,que tenham mais recursos prprios e maior liquidez, o que,na Alemanha, foi um dos principais problemas durante acrise bancria.
24
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
25/177
Prof. Andre Pitkowski, 2013 25
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
26/177
Prof. Andre Pitkowski, 2013
Interpretaes da Crise de 2008
26
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
27/177
Prof. Andre Pitkowski, 2013
Mais da Cronologia das crises
2001: As Torres Gmeas
2001-2002: A crise argentina
2008-2009: A Grande Recesso
2009-2010: A crise da dvida na Europa
27
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
28/177
Prof. Andre Pitkowski, 2013
CVM multa acionista da Sadia por informao privilegiada
A CVM (Comisso de Valores Mobilirios) condenou nesta tera-feira o acionista daSadia, Flvio Fontana Mincaroni, pelo uso de informao privilegiada na compra deaes em julho de 2006, quando a companhia fez uma oferta pela Perdigo.
Ele foi condenado a pagar uma multa de R$ 500 mil. Segundo a CVM, o acusado, representando o pai Jorge Alberto Mincaroni, comprou8.000 aes ordinrias de emisso da Perdigo S/A nos dias 12, 13 e 14 de julho e as
vendeu nos dias 18 e 21 do mesmo ms, obtendo lucro bruto de R$ 42.773.A Comisso de Inqurito da CVM obteve declarao de Mincaroni em depoimento de quesabia da oferta da Perdigo em torno de uma semana a dez dias antes da oferta setornar pblica, quando participou de uma reunio em So Paulo em que foi explicada aoferta.
De acordo com um conselheiro da Sadia, ele e a sua me, Maria Aparecida FontanaMincaroni, teriam sido informados com antecedncia sobre a referida oferta porque"como membros do acordo de acionistas, eles teriam que manifestar seu voto com
relao a oferta pblica, apoiando ou recusando na reunio do acordo".Outros dois acusados no processo, Christiane Assis e Osrio Henrique Furlan Junior,foram absolvidos pela falta de provas. O acusado poder apresentar recurso, com efeitosuspensivo, ao Conselho de Recursos do Sistema Financeiro Nacional.
28
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
29/177
Prof. Andre Pitkowski, 2013
Governana Corporativa
Conjunto de Prticas que tem a finalidade de
otimizar o desempenho de uma Empresa aoproteger todas as partes interessadas,
tais como Investidores, Colaboradores e
Parceiros, facilitando oacesso ao Capital.
E a Governana nisso tudo?
29
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
30/177
Prof. Andre Pitkowski, 2013
Pontos positivos dese adotar a lei SOX
Melhores decises operacionais eobteno informaes maispontuais, granulares, detalhadas;
Conquistar ou reconquistar aconfiana dos Investidores;
Evitar a evaso de recursos;
Cumprir as leis e normas;
Obter vantagem competitiva atravsde operaes mais dinmicas;
Pontos relevantes dano adoo da lei SOX
Maior exposio a fraude;
Penalidades impostas pela SEC; (Security
Exchange Comission)
Queixas ou outras aes judiciaisimpetradas por Acionistas;
Impacto negativo sobre o valor das aespara os Acionistas;
Publicidade desfavorvel.
Sarbanes-Oxley
30
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
31/177
Prof. Andre Pitkowski, 2013
Sarbanes-Oxley
Governana Corporativa
e suas prticas ticas de
negcio no so mais apenasrequisitos.
... LEI !!!
31
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
32/177
Prof. Andre Pitkowski, 2013
Sarbanes-Oxley
A lei Sarbanes-Oxley (SOXA) foi criada para aumentar aresponsabilidade do Executivo sobre os controles da Empresa.
Um bom Controle Interno pode impulsionar os negcios daEmpresa em trs categorias:
32
1. Eficcia e Eficincia das Operaes;
2. Confiabilidade nos Relatrios Financeiros;
3. Cumprimento das Leis e Regulamentaes.
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
33/177
Prof. Andre Pitkowski, 2013
Para atender aos requisitos da lei SOX, a Empresa deve escolherum frameworkque permita atender a quatro critrios
Controles Internos
Integridade (completa, exata)
Objetividade (alinhada ao negcio)
Mensurao (mtricas, indicadores, desempenho)
Pertinncia (propsito, relevncia)
33
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
34/177
Prof. Andre Pitkowski, 2013
..um processo estruturado, efetuado pelo Conselho de Administrao, pelaprpria Administrao ou por outras pessoas da Empresa, que visa fornecer umasegurana razovel quanto possibilidade de se atingir os Objetivos de Negcionas seguintes categorias:
1.Eficcia e Eficincia das operaes;
2. Confiabilidade dos relatrios financeiros;3. Cumprimento de leis e regulamentos aplicveis.
Definio baseada no COSO
(Committee of Sponsoring
Organizations of the Treadway
Commission)
Controles Internos
34
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
35/177
Prof. Andre Pitkowski, 2013
E a Governana de TI ??
Estrutura de relacionamento e de processospara dirigir e controlar a empresa,
de forma a atingir suas metas,adicionando valor, enquanto balanceia
riscos x retorno dos investimentos em TI.
atividades processos informao
Governana de TI
baseada em processosorientada ao Negcio
35
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
36/177
Prof. Andre Pitkowski, 2013
Viso Geral do Mercado
Ameaas Sobrevivncia e
ao Sucesso de uma empresa no mercado
Aumento da dependncia da informao e dos sistemas que asprocessam.
Custo da informao e seus sistemas. Aumento das vulnerabilidades e ameaas. Tecnologia interfere na estratgia da empresa e prticas de
negcio, criando novas oportunidades e reduzindo custos
Gerenciamento da Informao e da TI
36
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
37/177
Prof. Andre Pitkowski, 2013
INFORMAO
tornou-se o bem mais valioso!Pelo menos o que dizem, certo?
Conhecimento
Informao
Dados
37
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
38/177
Prof. Andre Pitkowski, 2013
Quais so as atuais Demandas de TI
Melhoria da qualidade Mais funcionalidades
Facilidades de uso Menor tempo de entrega SLAs Custos mais baixos
38
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
39/177
Prof. Andre Pitkowski, 2013
Quais so os atuais Desafios de TI
Manter a operao de TI Entregar valor ao cliente Custos de TI
Dominar a complexidade de TI Segurana da Informao Conformidade legal Alinhar TI ao Negcio
39
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
40/177
Prof. Andre Pitkowski, 2013
Quais so as atuais angstias de TI
H falhas de comunicao entre TI e o Negcio Percebe-se que os custos de TI esto fora de controle ROI e produtividade no existem Ambiente de TI est cada vez mais complexo Nveis de servio insatisfatrios Infra-estrutura de TI dispersa e fragmentada
Demanda por especialistas maior que a oferta Usurio desapontado criando soluo prpria Equipe de TI = brigada de incndio
40
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
41/177
Prof. Andre Pitkowski, 2013
Antes de falarmos em GovernanaO que Tecnologia da Informao?
TecnologiaConjunto de processos pelos quais aempresa transforma recursos emprodutos e servios de grande valor
InovaoMudana na Tecnologia
41
E a Governana de TI ??
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
42/177
Prof. Andre Pitkowski, 2013
Estrutura de relacionamento e de processospara dirigir e controlar a empresa,
de forma a atingir suas metas,adicionando valor, enquanto balanceia
riscos x retorno dos investimentos em TI.
atividades PROCESSOS informao
Governana de TI
baseada em processosorientada ao Negcio
42
E a Governana de TI ??
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
43/177
Prof. Andre Pitkowski, 2013
Princpios da Governana de TI
Direcionamento e Controle Responsabilidade Prestao de contas (transparncia) Atividades (execuo e reportes)
43
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
44/177
Prof. Andre Pitkowski, 2013
Funes e responsabilidades daGovernana de TI
Definir objetivos de TI alinhar estratgias de TI com as estratgias da empresa; definir expectativas e medidas de desempenho; viabilizar recursos; definir prioridades.
Gerenciar as atividades de TI
Monitorar desempenho de TI Gerenciar o risco da TI (Representar e legitimar a funo TI)
44
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
45/177
Prof. Andre Pitkowski, 2013
Estas empresasestabelecem modelos de
Governana de TI
Todas as empresas reconhecem osbenefcios de TI.
Empresas de sucesso entendem e gerenciam os riscosassociados aos seus Objetivos de Controle quando
implementam novas tecnologias
45
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
46/177
Prof. Andre Pitkowski, 2013
Governana de TI
A Governana de TI tem um papel fundamental naadequao das empresas lei SOX, na medida em que
tem que assegurar a integridade e a segurana de todaa informao processada atravs dos seus sistemas.
46
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
47/177
Prof. Andre Pitkowski, 2013
Governana de TI
Profissionais de TI
em posio executivatem os seguintes desafios:
Melhorar seus conhecimentos sobre controles internos (COSO);
Entender o Plano Geral da Estratgia da empresa ao mercado;
Desenvolver um plano de adequao para resolverespecificamente os controles de TI;
Integrar o plano de adequao de TI ao Plano Geral daempresa.
47
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
48/177
Prof. Andre Pitkowski, 2013
Governana de TI
Aspectos CRTICOS
a serem considerados:
Projetos de introduo de novos sistemas & tecnologias;
Integrao de sistemas;
Manuteno de sistemas;
Operao de sistemas (usurios, infraestrutura etc.);
Segurana dos sistemas e registros de acessos.
48
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
49/177
Prof. Andre Pitkowski, 2013
Que prticas so estas ???
Governana de TI e o CobiTControl Objetives for Information and Related Tecnology
CobiT Conjunto de prticas de Governana de TI, estruturadas de
forma lgica (framework) atravs de Domnios deConhecimento, Processos de TI e Atividades.
Representa o consenso de especialistas da rea de TI, focados
em Controle Internos e execuo (praticas).
As prticas ajudamOtimizar os investimentos em TI
Garantia de entrega de servios e
Aes mitigatrias quando erros acontecerem
49
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
50/177
Prof. Andre Pitkowski, 2013
Melhores PrticasCOSO
Committee of Sponsoring Organizations of theTreadway Commssion
Organizao privada dedicada melhoria da qualidade dosreportes financeiros atravs da tica, Controles Internos eGovernana Corporativa.
Modelo publicado em 1992 para gesto e avaliao de Controles Internos. Padro aceito globalmente.
50
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
51/177
Prof. Andre Pitkowski, 2013
COSOCommittee of Sponsoring Organizations of the Treadway Commission
Organizao criada em 1985 com o objetivo de aprimorar:
... no sentido de garantir a continuidade das empresas (perenidade) e o retorno
sobre o investimento realizado.
a qualidade dos relatrios e demonstrativos financeiros
a tica nos negcios
a efetividade dos controles
e a governana corporativa
51
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
52/177
Prof. Andre Pitkowski, 2013
COSO www.coso.org
Definio de CONTROLE INTERNO:Controle Interno um PROCESSO, exercido pela Presidncia, Superintendncias, Gerencias e
por todos os Colaboradores, projetado para fornecer uma garantia razovel de realizaodos objetivos da empresa nas seguintes categorias:
1.Eficcia e Eficincia das operaes;2.Confiabilidade nos relatrios financeiros;
3.Aderncia s leis e regulamentos locais e globais;Conceitos Chave: Controle Interno um Processo: um meio para se chegar a um fim, no um fim
em si;
Controle Interno efetuado por PESSOAS. No so meramente manuais e formulriosda Poltica, mas pessoas, em todos os nveis de uma organizao;
O Controle Interno fornece apenas uma garantia razovel, nunca absoluta de que os
objetivos sero alcanados; O Controle Interno focado realizao dos OBJETIVOS das categorias, mas sempre
de forma conjunta, nunca isoladamente.
52
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
53/177
Prof. Andre Pitkowski, 2013
COSOCommittee of Sponsoring Organizations of the
Treadway Commission (COSO)
Entidade sem fins lucrativos composta por representantesde empresas cujo trabalho suportar e patrocinar aComisso Nacional do Governo Americano parainvestigar Reportes Financeiros Fraudulentos.
A misso da Comisso Nacional do Governo Americano
estudar e relatar os fatores que podem culminar com aemisso de um relatrio financeiro fraudulento.
53
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
54/177
Prof. Andre Pitkowski, 2013
A evoluo do COSO ao longo do tempo
1977: FCPA - Foreign Corrupt Practices Act1985: National Commission on Fraudulent FinancialReporting (Treadway Commission)1987: Committee of Sponsoring Organisations (COSO)
Primeiro relatrio COSO com concluses sobre origens ecausas de fraudes corporativas
Ambiente de controle fraco Ausncia de cdigos de conduta No eficcia dos comits de auditoria No eficcia da auditoria interna Literatura existente omissa em controles
54
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
55/177
Prof. Andre Pitkowski, 2013
1992 Coopers & Lybrand publicou o documento"Internal Control - Integrated Framework
Definio comum de Controle Interno, e umframework para se avaliar e melhorarsistemas e processos
Este relatrio de uso padro nas empresas
dos EUA para avaliar a conformidade comFCPA(Foreign Corrupt Practices Act)
A evoluo do COSO ao longo do tempo
55
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
56/177
Prof. Andre Pitkowski, 2013
COSO -Internal Control - Integrated Framework
O documento (de quatro volumes) um modelo para a implantao de ControlesInternos com os objetivos de: Tratar a eficincia dos processos de Negcio Minimizar riscos de Negcio Ajudar a assegurar a confiabilidade nos balanos financeiros em conformidadecom as leis e regulamentos
EXECUTIVE SUMMARYViso geral do modelo de Controle Interno. O Executive Summary esta tambmincludo no Framework.
FRAMEWORKDefine o modelo de controle interno, seus componentes e contm os atributos
para avaliar o sistema de Controles Internos da empresa.
REPORTING TO EXTERNAL PARTIESGuias para elaborao de relatrios de uma forma padronizada e adequada. Ele endereado s empresas que publicam seus balanos financeiros e para asentidades que recebem estes balanos.
EVALUATION TOOLSComposto de material til para a avaliao de sistemas de ControlesInternos.
56
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
57/177
Prof. Andre Pitkowski, 2013
COSO Controle Interno
CONTROLE INTERNO um processo, no um fim em si mesmo.
mais que Polticas, Procedimentos, Guias, Manuais ou Formulrios, porqueenvolve (responsabiliza) PESSOAS em todos os nveis hierrquicos da empresa.
Em se tratando de PESSOAS, espera-se SEGURANA (dados, TI, processosnegcio) em nvel razovel, no absoluto.
Estes processos (Controles Internos) so implementados na empresa para trataruma ou mais categorias (consideradas em separado) mas todas (pertinentes em
conjunto) ao negcio.
57
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
58/177
Prof. Andre Pitkowski, 2013
Controle do Ambiente
Avaliao de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento
Operaes
Repo
rtes
fin
anceiros
Compliance
Atividade2
Unid
ade1
Un
idade2
Atividade1
COSO Controle Interno: Componentes
Categorias
Lo c a i
s e
Ati vi d a d e s
Componentes
Efetivid
ade
Efici
ncia
Confide
ncialid
ade
Inte
grid
ade
Dis
ponibilid
ade
Com
plia
nce
Confiabili
dade
Aplic
ae
s
Inform
a
o
Infra
estrutura
Pessoal
DOMNIOS
PROCESSOS
ATIVIDADES
CobiT
Recur
sosde
TI
Critrios da Informao
58
COSO
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
59/177
Prof. Andre Pitkowski, 2013
COSO Controle Interno: Desc. dos Componentes
Monitoramento Todos os Processos devem serpermanentemente monitorados. As necessidades demodificaes (ou mudanas) devem ser esclarecidas eimplementadas de maneira correta (consciente,controlada, oportuna).
Informao e Comunicao - Meios de informao ecomunicao devem ser usados para gerenciar osProcessos. Estes meios permitem s pessoasreconhecerem suas responsabilidades, desempenhando as
Atividades de Controle.
Atividades de Controle - Polticas e Procedimentos devemser implementados para evidenciar o Gerenciamento dosRiscos e alcanar os Objetivos de Negcio definidos pelaempresa. As Polticas e Procedimentos especificam asatividades que devem ser executadas.
Avaliao de Riscos - A conscientizao sobre os riscos um fator crucial para a empresa alcanar seus Objetivos
de Negcio. Os riscos devem ser identificados, analisadose gerenciados de modo apropriado.
Controle do Ambiente - O ambiente no qual as pessoastrabalham. Pessoas so vistas como o centro de qualquernegcio, e tem perfis individuais tais como valores ticose competncias.
Componentes59
Controle do Ambiente
Avaliao de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento
Operaes
Repo
rtes
fin
anceiros
Compliance
Atividade2
Unid
ade1
Un
idade2
Atividade1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
60/177
Prof. Andre Pitkowski, 2013
COSO Controle Interno
Controle do Ambiente - Oambiente no qual as pessoasoperam. Pessoas so vistascomo o centro de qualquernegcio e tem atributosindividuais tais como valoresticos e competncias.
1. INTEGRIDADE E VALORES TICOS. Integridade e valoresticos, particularmente no primeiro escalo da empresa, soestabelecidos e entendidos, e caracterizaro o padro deconduta para emisso dos relatrios financeiros.
2. BOARD DE DIRETORES. O primeiro escalo da diretoria daempresa entende e exercita as responsabilidades quanto aobalanceamento de autoridade correcional entre as gerenciasquanto aos relatrios financeiros e aos Controles Internosrelacionados.
3. ESTILO DE OPERAAO E FILOSOFIA DE GERENCIAMENTO. A
filosofia de gerenciamento e o estilo de operao suportam orealizao de Controles Internos efetivos sobre os relatriosfinanceiros.
4. ESTRUTURA ORGANIZACIONAL. A estrutura organizacional daempresa tambm suportam a realizao de ControlesInternos efetivos sobre os relatrios financeiros.
5. COMPETENCIAS PARA RELATORIOS FINANCEIROS. A empresaretm indivduos competentes: em reportes financeiros e paraatuao no balanceamento de autoridade correcional entre asgerencias da empresa.
6. AUTORIDADE E RESPONSABILIDADE. Aos gerentes ecoordenadores so designados nveis apropriados deautoridade e responsabilidade para facilitar os ControlesInternos efetivos sobre relatrios financeiros.
7. RECURSOS HUMANOS. Polticas e Prticas de recursoshumanos so desenvolvidas e implementadas para facilitar osControles Internos e efetivos sobre relatrios financeiros. 60
Controle do Ambiente
Avaliao de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento
Operaes
Repo
rtes
fin
anceiros
Compliance
Atividade2
Unid
ade1
Un
idade2
Atividade1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
61/177
Prof. Andre Pitkowski, 2013
COSO Controle Interno
Avaliao de Riscos - Aconscientizao sobre os riscos um fator crucial para aempresa alcanar seusobjetivos. Os riscos devem seridentificados, analisados egerenciados de modoapropriado.
8. OBJETIVOS DOS RELATORIOS FINANCEIROS.Os Gerentes especificam os Objetivos dosrelatrios financeiros com suficiente clareza ecritrio para permitir a identificao de riscosbem como a criticidade dos mesmos.
9. RISCOS DOS RELATORIOS FINANCEIROS. Aempresa identifica e analisa os riscos nos
processos, para o atendimento dos objetivosdos relatrios financeiros como base paradeterminar como os estes riscos devem sergerenciados.
10. RISCO DE FRAUDE. O potencial para erros dedeclarao materiais devido fraude explicitamente considerado nas avaliaes derisco para o atendimento dos objetivos dos
relatrios financeiros.
61
Controle do Ambiente
Avaliao de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento
Operaes
Repo
rtes
fin
anceiros
Compliance
Atividade2
Unid
ade1
Un
idade2
Atividade1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
62/177
Prof. Andre Pitkowski, 2013
COSO Controle Interno
Atividades de Controle - Polticas eProcedimentos devem serimplementados para evidenciar ogerenciamento dos riscos ealcanar os objetivos definidos
pela empresa. As Polticas eProcedimentos definem asatividades que devem serexecutadas.
11. INTEGRAO COM AVALIAO DE RISCOS.Aes devem executadas para enderearriscos de no atingir os objetivos dosrelatrios financeiros.
12. SELEO E DESENVOLVIMENTO DEATIVIDADES DE CONTROLE. Atividades decontrole so selecionadas e implementadasconsiderando seu custo e seu potencial efeitona mitigao dos riscos para o atendimentodos objetivos dos relatrios financeiros.
13. POLITICAS E PROCEDIMENTOS. Polticasrelacionadas credibilidade dos relatriosfinanceiros so estabelecidas e comunicadasatravs da empresa, com os correspondentesprocedimentos, resultando em diretivas
gerenciais a serem executadas.
14. TECNOLOGIA DA INFORMAO. Controlessobre a rea de TI, onde aplicvel, soespecificados e implementados para suportaro atendimento dos objetivos dos relatriosfinanceiros. 62
Controle do Ambiente
Avaliao de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento
Operaes
Repo
rtes
fin
anceiros
Compliance
Atividade2
Unid
ade1
Un
idade2
Atividade1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
63/177
Prof. Andre Pitkowski, 2013
COSO Controle Interno
Informao e Comunicao - Meiosde informao e comunicaodevem ser usados para gerenciar os
processos. Estes meios permitem spessoas reconhecerem suasresponsabilidades, desempenhandoas atividades de controle.
15. INFORMAO DOS RELATRIOS FINANCEIROS.Informao pertinente e identificada,capturada, usada em todos os nveis daempresa e distribuda em um formato e prazoque suportam o atendimento dos objetivos dosrelatrios financeiros.
16. INFORMAO SOBRE CONTROLES INTERNOS.A informao usada para executar outroscomponentes de controles identificada,capturada e distribuda em formato e prazo quepermita a ao de indivduos em funo desuas responsabilidades nos controles internos.
17. COMUNICAO INTERNA. Comunicaespermitem e suportam o entendimento eexecuo de objetivos dos Controles Internos,
bem como responsabilidades individuais emtodos os nveis hierrquicos da empresa.
18. COMUNICAO EXTERNA. Questes afetando oatendimento dos objetivos dos relatriosfinanceiros so comunicadas aos parceirosexternos da em resa.
Controle do Ambiente
Avaliao de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento
Operaes
Repo
rtes
fin
anceiros
Compliance
Atividade2
Unid
ade1
Unidade2
Atividade1
63
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
64/177
Prof. Andre Pitkowski, 2013
COSO Controle Interno
Monitoramento Todos osprocessos deve serpermanentemente monitorados.As possibilidades de modificaes(ou mudanas) devem seresclarecidas e implementadas demaneira correta (consciente,controlada, oportuna).
19.AVALIAO EM CONJUNTO E SEPARADA.Avaliaes em conjunto e/ou separadaspermitem aos gerentes determinar quando(qualitativamente) os controles internossobre relatrios financeiros esto presentes efuncionando.
20. DEFICINCIAS NOS RELATRIOS. ControlesInternos deficientes so identificados ecomunicados num prazo tal que as partesresponsveis por tomar aes de correo(gerentes e o primeiro escalo) as faamapropriadamente.
Controle do Ambiente
Avaliao de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento
Operaes
Repo
rtes
fin
anceiros
Compliance
Atividade2
Unid
ade1
Unidade2
Atividade1
64
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
65/177
Prof. Andre Pitkowski, 2013
COSO PRINCPIOS E COMPONENTES
COSO tem 20 PRINCPIOS
fundamentais associadosaos 5 COMPONENTES
Os princpios associados a cada um destescomponentes so sistematicamentedefinidos ao se implementar o Framework
Integrado do COSO na empresa.
Os atributos dos componentes soexecutados luz de polticas e leis.
As deficincias so apontadas e as
possibilidades de soluo so listadas.
Exemplos do mundo real podem serincludos como forma de evidncia dofuncionamento do COSO.
DOMNIOS
PROCESSOS
ATIVIDADES
CobiT
Controle do Ambiente
Avaliao de Riscos
Atividades de Controle
Informao e Comunicao
Monitoramento
Operae
s
Repo
rtes
fin
anceiro
s
Complianc
e
Atividade2
Unidad
e1
Unid
ade2
Atividade1
65
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
66/177
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
67/177
Prof. Andre Pitkowski, 2013
ISACA nasceu em 1967, quando umpequeno grupo de indivduos comfunes similares:
Examinar controles em sistemascomputadorizados que estavam setornando cada vez mais crticos para asoperaes de suas organizaes reuniam-se para discutir a necessidade
de uma fonte centralizada deinformao e de orientao quando emcampo.Em 1969, o grupo formalizou a EDP
Auditors Association.
Em 1976 a associao cria umaeducation fundation para empreender
esforos em pesquisa e expanso doconhecimento de auditoria e o valor daGovernana de TI para o trabalho daauditoria de TI em campo.
COSO foi fundado em 1985 por cincoprofissionais oriundos de institutos eassociaes de contabilidade.
AICPA - American Institute ofCertified Public AccountantsAAA - American Accounting
AssociationFEI - Financial Executives InstituteIIA - The Institute of Internal
AuditorsIMA - The Institute of Management
Accountants
O objetivo identificar os fatores quecausam as fraudes em balanos financeirose fazer recomendaes para reduzir osincidentes.
COSO baseado numa definio deControles Internos comuns, mais padres ecritrios que as empresas podem usar paraavaliar seus processos de negocio.
COSO e ISACA
67
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
68/177
Prof. Andre Pitkowski, 2013
A importncia da estrutura de Controles Internossegundo a lei Sarbanes-Oxley
Sem uma estrutura apropriada de Controles Internos,(por exemplo o CobiT),
provavelmente no ser possvel atender
s exigncias determinadas pela seo 404.
Segundo esta seo, o Auditor Independente dever elaborar um relatriogarantindo a eficcia dos controles e procedimentos internos para a emisso de
relatrios financeiros.
Sem uma estrutura de Controles Internos,
no haver critrios com os quais a prpria Empresa ou oAuditor Independente possam avaliar aeficcia da emisso destes relatrios financeiros.
Controles Internos
68
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
69/177
Prof. Andre Pitkowski, 2013
Melhores PrticasITIL
Information Technology Infrastructure Library Conjunto de livros Diretrizes uniformes de servios de TI suportar os processos
de negcio. Orientado ao uso efetivo dos:
Processos
Pessoas Tecnologia
69
?
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
70/177
Prof. Andre Pitkowski, 2013
ITILViso Geral
70
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
71/177
Prof. Andre Pitkowski, 2013
Mtodo de aprimoramento da qualidade, em busca dodefeito zero, baseado em processo estatstico quereleva a qualidade do produto sob o ponto de vista docliente ou do usurio.
Define nveis de servio e mede variaes em relao a
estes nveis.
Projetos: Definio Medio Anlise Aprimoramento Controle
Desenvolvido pela Motorola e adotado pela GE
Melhores PrticasSix Sigma
71
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
72/177
Prof. Andre Pitkowski, 2013
Melhores PrticasEFQM
European Foundation of Quality Management
Modelo de qualidade focado na excelncia atravs de umprograma de melhoria contnua.
Avalia a Maturidade da empresa:
Orientao a produto foco no resultado
Orientao a processo repetio e planejamento
Orientao sistmica cooperao entre reas
Orientao cadeia parceria externa
Qualidade total o cu na terra
72
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
73/177
Prof. Andre Pitkowski, 2013
Melhores PrticasEFQM- modelo grfico
73
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
74/177
Prof. Andre Pitkowski, 2013
Melhores Prticassrie ISO9000
Padres de sistemas de gerenciamento de qualidade,auditveis, voltados ao cliente: ISO9000, 9001 e 9004.
Garantir controle, repetibilidade e boa documentao deprocessos (no de produtos)
74
lh i
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
75/177
Prof. Andre Pitkowski, 2013
Melhores PrticasCMMi
Capability Maturity Model integration
Coleo de melhoras prticas para desenvolvimento e manutenode software.
Permite que as empresas avaliem suas prticas e as comparem comas de outras.
Mede maturidade de processo:1. Inicial 2. Gerenciado3. Definido4. Previsvel 5. Otimizado
CMMi estende e combina: Capability Maturity Model for Software (CMM-SW) Systems Engineering Capability Model Integrated Product Development Capability Maturity Model
75
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
76/177
Prof. Andre Pitkowski, 2013
Melhores PrticasASL Application Services Library
Framework de domnio pblico Manuteno Melhoria Renovao da aplicao
Abordagem As aplicaes nem sempre esto alinhadas com o negocio As aplicaes tem custos altos para documentao que no podem ser explicados A baixa qualidade das aplicaes impacta no dia-a-dia do negcio
Contedo, oferta e benefcios Terminologia clara Processos uniformes Alinhamento com processos de negocio
76
M lh P ti
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
77/177
Prof. Andre Pitkowski, 2013
Melhores PrticasASL modelo grfico
Planejamento eControle
Gesto decustos
Gesto dequalidade
Gesto de nvelde servios
Gesto de
Mudanas
Controle e
distribuiode software
77
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
78/177
Prof. Andre Pitkowski, 2013
Melhores PrticasPMI
Project Management Institute
Maior associao do mundo voltada a gesto de Projetos 150000 + associados 3300 + Amrica latina 2200 + Brasil 105000+ PMPs (~750 Brasil)
Equivalentes:
Association of Project Manager
http://www.apm.org.uk http://www.ipma.ch/asp/
Australian Institute of Project Managementhttp://www.aipm.com.au/html/default.cfm
78
lh i
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
79/177
Prof. Andre Pitkowski, 2013
Melhores PrticasPMBoK
Project Management Body of Knowledge
GUIA descritivo do conhecimento e melhores prticas paraGerenciamento de Projetos.
Publicado pelo PMI: Project Management Institute.
o mais utilizado no mundo.
Certificao: PMP Project Management Professional
79
M lh P i
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
80/177
Prof. Andre Pitkowski, 2013
Melhores PrticasPMBoK: reas de conhecimento
Inicializao
Planejamento
Execuo
Controle
Finalizao
Processos
80
M lh P ti
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
81/177
Prof. Andre Pitkowski, 2013
Melhores PrticasPrince2
Projects in Control Environments
Mtodo de gerenciamento de Projetos orientado para aorganizao.
Principal publicao: PRINCE2 (Management Sucessful Projects)
Certificaes: Foundation Practioner
http://www.projectperformance.co.uk/prince2_tour.htm
81
Melhores Praticas
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
82/177
Prof. Andre Pitkowski, 2013
Melhores PraticasISO17799 / 27001
Padro internacional em Gesto de Segurana da Informao
Oferece um modelo para estabelecer Implementar Operar
Monitorar Revisar Melhorar
ISMS Information Security Management System
82
M lh P ti
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
83/177
Prof. Andre Pitkowski, 2013
Melhores PrticasISO17799 PDCA modelo grfico
Act
CheckPlan
Do
As coisas
aconteceramconforme
planejado?
Faa o quefoi planejado
O que fazer?Como fazer?
Como melhorar naprxima vez?
entradas sadas
83
M lh P ti
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
84/177
Prof. Andre Pitkowski, 2013
Melhores PrticasOCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation OCTAVE foi desenvolvido pelo (SEI) Software Engineering Institute e
o CERT da CMU - Carnegie Mellon University
Originalmente desenvolvido para o Department of Defense (DoD) paraconformidade com o HIPAA (Health Insurance Portability and
Accountability Act)
OCTAVE uma metodologia baseada na avaliao de riscos de forma agarantir a continuidade de operao dos ativos crticos do negcio
Considera o conhecimento das pessoas relativamente s prticas denegcio da empresa e de processos de segurana relacionados aonegcio.
As ameaas aos ativos mais crticos so priorizadas para alinhar aestratgia de segurana da informao com a estratgia do negocio
84
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
85/177
Prof. Andre Pitkowski, 2013
Melhor opo de investimento
Eficaz
85
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
86/177
Prof. Andre Pitkowski, 2013
Estratgico Operacional Suporte
Monitoramento Compras Tributrio
Expanso eInvestimentos
Qualidade AuditoriaInterna
Financeiro Logstica Segurana
PatrimonialComunicaoexterna
Vendas RecursosHumanos
Real State Contabilidade
CustosAdministrativos
Onde entra TI ????
Governana Corporativa
86
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
87/177
Prof. Andre Pitkowski, 2013
EficazAuditoriainterna
AuditoriaExternaSOX
GAPanalise
- Oportunidadesde melhoria
- Problemas
Planosde
Ao
TI
87
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
88/177
Prof. Andre Pitkowski, 2013
Negcio TI
Adm, RH,MKT, Vendas,Jurdico, RP,BackOffice,
etc.
Telecom, Infra, DBA,Desenvolvimento, Service Desk,
Contingncia, SLA,Identidade, Mudanas, etc.
Comunicao, link, Manuteno, AV, FW,Sistemas, Verses, Patches, HotFixs, Acesso, login,
Senhas, laboratrio, Backup, Treinamento, etc.
ISO
17799 RISCOSPMO ITIL PMI CMMI ISO14000
Prticas de GestoC O B I T Estrutura de Governana
POLTICAS
PROCEDIMENTOS
ATIVIDADES
Seguran
adaInformao
NEGCIO
PROCESSOS
ATIVOS
Estratgico
Operacional
Suporte
CIO
Board
Gesto
Execuo
Governana TI
Gesto de TI
Po de Acar aposta na mobilidade para
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
89/177
Prof. Andre Pitkowski, 2013
A necessidade de tomar decises em tempo real muitas vezes esbarra na tecnologia que aempresa tem disponvel para compartilhar as informaes com executivos que, na maiorparte do dia, no esto sentados em frente a um computador. O Grupo Po de Acarconvivia com essa realidade at pouco tempo atrs, quando utilizava um sistema deSMS para informar aos principais executivos da corporao metas e resultados devendas. A virada veio com um aplicativo desenvolvido para a plataforma BlackBerry quetem conexo com o banco de dados da empresa.
A soluo chamada de "Painel de Vendas" e desenvolvida pela MobilePeople tirou do dia-a-dia dos executivos a necessidade de receber, em dois momentos do dia, cerca de 22mensagens de SMS (com a posio das vendas por segmento) e facilitou e ampliou oacesso s informaes. "Sempre utilizamos a mobilidade na companhia para oacompanhamento das vendas, mas o formato era inadequado e a disponibilidadeinsuficiente", confessou Clio Guedes, coordenador de TI do Grupo.
Com a necessidade da evoluo, a exigncia era ter a posio das vendas a qualquermomento sem haver limitao de formato, a empresa - que possui em torno de 600lojas em todo Pas - foi ao mercado e conversou com quatro fornecedores em agosto de2008. O desafio proposto era desenvolver um prottipo, sem qualquer custo para oGrupo, que pudesse proporcionar essas informaes de forma "amigvel e online". Aremunerao viria, ao aprovado, com a distribuio do software.
p p
acompanhar as vendas
Executivos acessam desempenho das lojas pelo
BalckBerry e podem tomar decises em tempo real
89
Po de Acar aposta na mobilidade para
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
90/177
Prof. Andre Pitkowski, 2013
p p
acompanhar as vendas
Executivos acessam desempenho das lojas pelo
BalckBerry e podem tomar decises em tempo real
"A MobilePeople levou pelo diferencial da tecnologia push". Voc no pode receber um contedosem solicitar a no ser pelo SMS", lembra Joaquim Dias Garcia, diretor de TI do Po deAcar. Essa tecnologia uma forma de atualizar o contedo sem que o executivo recebaqualquer aviso. como entrar em um site e a informao estar disponvel, mas a diferena que seria atravs de um aplicativo ligado ao banco de dados abastecido pelos PDVs daempresa. A aplicao acessa o banco, formata as informaes e disponibiliza no celular.
O aplicativo est disponvel desde dezembro ltimo e, atualmente, so 180 executivos utilizandoo programa, entre presidente, vice-presidentes, diretores e gerentes. Garcia acredita queesse nmero ser dobrado at julho deste ano pela grande demanda e boa aceitao doproduto. Os usurios conseguem acessar via BlackBerry as metas de venda e os valoresvendidos no momento da consulta.
possvel acessar as informaes por formato (que so as bandeiras do Grupo, como Extra,CompreBem e Po de Acar), regio (podendo ver desempenho de loja especfica) e porcategoria de produto (bazar, padaria, peixaria). " a mesma informao s que segmentada",diz Guedes. "Ele (o executivo) pode reposicionar a venda da loja se entender que odesempenho no ideal. A atuao online", complementa Garcia.
Garcia e Guedes informaram ainda que o aplicativo deve receber atualizaes em breve. Jexistem demandas para, por exemplo, incluir controle de estoque. Como eles mesmosdisseram, parte da evoluo.
90
Porque TI precisa de uma
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
91/177
Prof. Andre Pitkowski, 2013
Porque TI precisa de umaEstrutura de Controle ??
Informao dependente de tecnologia Vulnerabilidades, ameaas, fraudes Custos considerveis x tempo Dinmica da tecnologia criando oportunidades
inditas de negcio
Porque as empresas reconhecem mas no percebem
o potencial de TI para o seu negcio
91
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
92/177
Prof. Andre Pitkowski, 2013
Governana Corporativa
mais do que gerenciar os riscos de TI
Poltica
Economia
Aspectos legais
Continuidade
Desastres92
Q t k h ld t ?
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
93/177
Prof. Andre Pitkowski, 2013
Quem so os stakeholders externos?
Parceiros nas cadeias de valor (clientescorporativos, fornecedores,integradores)
GovernoAssociaes, sindicatos Sociedade organizada: consumidores,
defensores da cidadania, Procon, etc.
Algum tem mais ideias ???
93
Q t k h ld i t ?
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
94/177
Prof. Andre Pitkowski, 2013
Quem so os stakeholders internos?
Responsveis pelas atividades outransaes
Usurios e operadores de sistemas Responsveis por processos e unidades de
negcioAlta administraoAuditoria interna
Algum conhece outros?
94
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
95/177
Prof. Andre Pitkowski, 2013
Momento de Reflexo
a. Requerimentos legais 1. Alinhar TI com o Negcio
b. Aceitao geral2. Deve existir um Sistema quegaranta atividades eresponsabilidades.
c. Foco no Negcio 3. Captura de experincias eboas prticas
d. Orientao e processo 4. Colocar todos na mesmadireo
e. Linguagem comum 5. Atender a legislao
95
CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
96/177
Prof. Andre Pitkowski, 2013
CobiT
Suportando aGovernana de TI
TI alinhado com o negcio TI viabiliza o negcio e maximiza os benefcios Recursos de TI usados com responsabilidade Riscos de TI gerenciados apropriadamente
CobiT ?
96
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
97/177
Prof. Andre Pitkowski, 2013 97
O que o CobiT?
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
98/177
Prof. Andre Pitkowski, 2013
O que o CobiT?
Control Objetives for Information and Related Tecnology
Conjunto de boas PRTICAS de Governana de TI,estruturadas de forma lgica (framework, plataforma)atravs de Domnios de Conhecimento, Processos de TI e
Atividades inter-relacionadas.
Representa o consenso de especialistas da rea de TI,focados em controle e execuo.
Estas prticas ajudam otimizar investimentos em TI,garantia de entrega de servios e aes mitigatrias
quando erros acontecem.
98
Misso do CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
99/177
Prof. Andre Pitkowski, 2013
Pesquisar, desenvolver, publicar e promover um guia completo,atualizado e globalizado, aceito como os
Objetivos de Controle para Tecnologia da Informao, para serusado no dia-a-dia dos
gerentes de negcios e dos auditores.
Misso do CobiT
99
Caractersticas do CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
100/177
Prof. Andre Pitkowski, 2013
Caractersticas do CobiT
Aceito internacionalmente, baseado nas experincias profissionais e prticas deexperts no assunto de Governana de TI;
100% compliance com a ISO17799, COSO e ITIL, bem como se relaciona comdiversos outros padres e guias de melhores praticas do mercado;
Ponte de comunicao entre as funes de TI, de Negcio e de Auditoria,oferecendo uma linguagem comum, entendida por todos;
orientado ao Negcio;
Oferece suporte para Auditoria de TI, reduzindo os custos de uma Analise deRiscos e permitindo melhora da qualidade do processo de auditoria;
No reinventa a roda: apenas diminui o tempo de implementao de prticasefetivas de Governana de TI;
flexvel e adaptvel para atender a qualquer tipo, cultura e tamanho de
empresa;
completo, objetivo, continuamente atualizado e mantido por uma organizaosem fins lucrativos denominada ISACA
100
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
101/177
Prof. Andre Pitkowski, 2013
Entidade de profissionais em controle, auditoria esegurana da informao.
Incio USA em 1969; Possui mais de 95.000 associados em mais de 170
pases;
Captulo So Paulo fundado em novembro/2001; Captulos RJ e BSB (2008). Em formao o Captulo BH e RS (2010); 550+ associados no Brasil.
101
www.isaca.org
www.isaca.org.br
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
102/177
Contexto do CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
103/177
Prof. Andre Pitkowski, 2013
Contexto do CobiT
1996Fornecer aos Gestores de TI um framework (estrutura deprocessos agrupados de forma lgica) aplicvel aoNegocio e aceito como Governana de TI;
PropsitoOferecer uma estrutura clara de melhores prticas deGovernana de TI para qualquer empresa no mundo.
PremissaOferecer as informaes necessrias para uma empresaatingir seus objetivos de negcio atravs de conjunto deProcessos de TI agrupados em Domnios deConhecimento.
103
Evoluo do CobiT no tempo
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
104/177
Prof. Andre Pitkowski, 2013
Evoluo do CobiT no tempo
104
Governana Corporativa de TI
COBIT 5
Governana de TI
COBIT4.0/4.1
Gerenciamento
COBIT3
Controle
COBIT2
Auditoria
COBIT1
2005/720001998
Evoluo
do
Escopo
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
PTbr
Dezem
bro
2009
C t d C biT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
105/177
Prof. Andre Pitkowski, 2013
Componentes do CobiT
Critrios da Informao
Recursos de TI
Planejar eOrganizar
Adquirir e
Implementar
Entregar e
Suportar
Monitorar eAvaliar
Governana de TI
Objetivos de Negcios
P i i d F k C biT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
106/177
Prof. Andre Pitkowski, 2013
Princpios do Framework CobiT
Controle em TI obtido
pela informao necessria para suportar os
Objetivos do Negcio (ou Requerimentos do Negcio)
mais a informao resultante
da combinao aplicada de Recursos e Processos de TI
Exigncias doNegcio
Processosde TI
Recursosde TI
106
Princpios do Framework CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
107/177
Prof. Andre Pitkowski, 2013
p
Sete Critrios da Informao
1 EFICCIAdiz respeito proviso da informao com (omais produtivo e econmico) o uso timo dosrecursos;
2 EFICINCIAaponta a informao relevante e pertinentepara o processo de negcio ser entregue noprazo, correta, consistente e usvel;
107
Princpios do Framework CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
108/177
Prof. Andre Pitkowski, 2013
Sete Critrios da Informao
3CONFIDENCIA-
LIDADEdiz respeito divulgao no autorizada deinformao sensvel para o negcio;
4 INTEGRIDADErelaciona-se a exatido e integralidade dainformao bem como a seu valor de acordocom os valores e expectativas do negcio;
5DISPONIBILI-
DADE
relaciona-se informao estar disponvelquando requerido pelo processo do negcioagora e no futuro;
108
Princpios do Framework CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
109/177
Prof. Andre Pitkowski, 2013
Sete Critrios da Informao
6 COMPLIANCE
relaciona-se com leis, regulamentos e arranjoscontratuais a que o processo do negcio assunto, isto , critrios externamente impostosdo negcio;
7CONFIABILI-
DADE
relaciona-se proviso da informaoapropriada para o gestor (CEO) operar aempresa e para a gerncia (CFO) exercitar ofinanceiro e o compliance que apontam para asresponsabilidades contbeis. (SOX).
109
CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
110/177
Prof. Andre Pitkowski, 2013
1 Eficcia
2 Eficincia
3 Confidencialidade
4 Integridade5 Disponibilidade
6 Compliance
7 Confiabilidade
Sete Critrios de Informao
Qualidade
Segurana
Legal
110
Objetivos de Negcios
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
111/177
Prof. Andre Pitkowski, 2013
Informao
Recursos de TI
Planejar eOrganizar
Adquirir e
Implementar
Entregar e
Suportar
Monitorar eAvaliar
Governana de TI
Efetividade Eficincia Confidencialidade
Integridade Disponibilidade Compliance Confiabilidade
Princpios do Framework CobiT
Q t R d TI
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
112/177
Prof. Andre Pitkowski, 2013
Quatro Recursos de TI
1 APLICAEScompreendidos como a soma de procedimentosmanuais e automatizados;
2 INFORMAOso os objetos em seu sentido mais amplo (isto ,externo e interno), estruturado e no estruturado,grficos, som, etc;
3INFRAESTRU-
TURA
hardware, router, switch, appliances, sistemasoperacionais, banco de dados, rede, telecom,multimdia, telefonia, ar condicionado, energiaeltrica, aquecimento, cabeamento, acesso fsico etc;
4 PESSOAS
inclui habilidades, conscincia e produtividade daequipe de funcionrios para planejar, organizar,
adquirir, entregar, suportar e monitorar os sistemas deinformao e servios. (os 3 itens acima).
112
CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
113/177
Prof. Andre Pitkowski, 2013
Quatro Recursos de TI
1 Aplicaes
2 Informaes
3 Infraestrutura4 Pessoas
113
Objetivos de Negcios
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
114/177
Prof. Andre Pitkowski, 2013
Informao
Recursos de TI
Planejar eOrganizar
Adquirir e
Implementar
Entregar e
Suportar
Monitorar eAvaliar
Governana de TI
Efetividade Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiabilidade
Aplicaes Informao
Infra-estrutura Pessoas
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
115/177
CobiT Grau de Maturidade - SOX
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
116/177
Prof. Andre Pitkowski, 2013
CobiT Grau de Maturidade SOX
.20 dos 34 Processos de TI do CobiT atendem ao SOX; .A ferramenta de auditoria do SOX o CobiT; .O resultado da auditoria fornece o atual estado de Compliance da empresa; .SOX exige Grau de maturidade = 3; os processos esto documentados e so comunicados
EficazAuditoriainterna
AuditoriaExternaSOX
GAP
analise
- Oportunidadesde melhoria
- Problemas
Planosde
Ao
TI
116
Como o Negcio entende TI ?O que os
stakeholders
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
117/177
Prof. Andre Pitkowski, 2013
Domnios deconhecimento
Recursosde TI
Requisitosde Negcio
Aplicaes Informao Infra-estrutura Pessoas
Planejar e Organizar Adquirir e Implementar Entregar e Suportar
Monitorar e Avaliar
Eficcia Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiana na
Informao
Que recursosso colocados
disposio deTI?
o o o egc o e e de
117
Como TI estorganizada
pararesponder aos
requisitos?
esperam deTI?
Como TI est orientado ao Negcio
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
118/177
Prof. Andre Pitkowski, 2013
g
Domnios de TI Planejar e Organizar Adquirir e
Implementar Entregar e Suportar Monitorar e Avaliar
Processos de TI Estratgia de TI Operao da Infraestrutura Tratamento de Incidentes Testes de Aceitao Gerenciamento de
Mudanas Plano de Contingncia Gerenciamento de Problemas
Agrupamento natural
de Processos de TI,normalmente unidospelo Domnio deConhecimento naempresa
Uma srie deProcessos de TI
inter-relacionados
Aes necessrias paraatingir resultados
mensurveis. Atividadespossuem um ciclo de vidaao qual os Processos de TIesto circunscritos
118
Atividades Registrar problema novo Analisar Propor soluo Monitorar soluo Registrar problemas conhecidos Etc.
Planejar e Organizar
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
119/177
Prof. Andre Pitkowski, 2013
Planejar e Organizar
Descrio Este domnio cobre estratgia e ttica, e concerne a identificao de
como TI pode melhor contribuir para atingir os objetivos de negcio.Alm disso, a identificao das necessidades para a viso estratgicaplanejada; comunicao e gerenciamento para diferentes perspectivas.Finalmente, a organizao assim como a infraestrutura apropriadas.
Tpicos Estratgia e tticas
Viso planejada Organizao e infraestrutura
Questes TI e negcios esto alinhados? A organizao est fazendo o uso timo de seus recursos? Todos na organizao entendem quais so os objetivos de TI?
Os riscos de TI esto entendidos e sendo gerenciados? A qualidade dos sistemas de TI apropriada s necessidades donegcio?
119
Planejar e Organizar
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
120/177
Prof. Andre Pitkowski, 2013
Planejar e Organizar
PO1 Definir um Plano Estratgico de TI
PO2 Definir a Arquitetura da Informao
PO3 Determinar a Direo Tecnolgica
PO4 Definir os Processos, Organizao e Relacionamentos de TI
PO5 Gerenciar o Investimento em TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar Recursos Humanos de TI
PO8 Gerenciar Qualidade
PO9 Avaliar e Gerenciar Riscos em TI
PO10 Gerenciar Projetos
120
Adquirir e Implementar
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
121/177
Prof. Andre Pitkowski, 2013
Adquirir e Implementar
Descrio Para conceber a estratgia de TI, solues de TI precisam ser
identificadas, desenvolvidas ou adquiridas, assim comoimplementadas e integradas aos processos de negcio.
Adicionalmente, mudanas e manutenes nos sistemas existentesso cobertas por este domnio para assegurar que o ciclo de vida mantido para estes sistemas.
Tpicos
Solues de TI Mudanas e manutenes
Questes Os novos projetos so apropriados para entregar solues que
atendam as necessidades de negcio? Os novos projetos so apropriados para entregar solues no prazo e
dentro do oramento?
Os novos sistemas iro funcionar corretamente aps aimplementao?
As mudanas sero feitas sem perturbar as operaes atuais donegcio?
121
Adquirir e Implementar
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
122/177
Prof. Andre Pitkowski, 2013
Adquirir e Implementar
AI1 Identificar solues automatizadas
AI2 Adquirir e manter aplicativos
AI3 Adquirir e manter infraestrutura de tecnologia
AI4 Desenvolver e manter procedimentos de TI
AI5 Obter recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e homologar solues e mudanas
122
Entregar e Suportar
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
123/177
Prof. Andre Pitkowski, 2013
Entregar e Suportar
Descrio Este domnio preocupa-se com o que realmente entregue pelos
servios requeridos, que vai desde a operao tradicional atsegurana, aspectos de continuidade e treinamento. Para efetuar aentrega dos servios, os processos de suporte precisam estarestabelecidos. Este domnio inclu o processamento de dados pelasaplicaes, normalmente classificados em controles de aplicaes.
Tpicos
Entrega dos servios requeridos Estabelecimento de processos de suporte Processamento por sistemas de aplicao
Questes Os servios de TI esto sendo entregues alinhados com as prioridades
do negcio? Os custos de TI esto otimizados?
A organizao est apta a utilizar os sistemas de TI de forma produtivae com segurana?
Os aspectos de segurana, integridade e disponibilidade estoadequados?
123
Entregar e Suportar
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
124/177
Prof. Andre Pitkowski, 2013
Entregar e Suportar
DS1 Definir e gerenciar nveis de servioDS2 Gerenciar o servio de terceiros
DS3 Gerenciar desempenho e capacidade
DS4 Assegurar a continuidade dos servios
DS5 Assegurar segurana dos sistemas
DS6 Identificar e alocar custos
DS7 Educar e treinar usurios
DS8 Gerenciar Service Desk e Incidentes
DS9 Gerenciar a configurao
DS10 Gerenciar problemas
DS11 Gerenciar os dados
DS12 Gerenciar a instalao (ambiente fsico)DS13 Gerenciar a operao
124
Monitorar e Avaliar
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
125/177
Prof. Andre Pitkowski, 2013
Monitorar e Avaliar
Descrio Todos os processos de TI precisam ser regularmente avaliados quanto
a sua qualidade e atendimento aos requisitos de controle. Este domnioportanto enderea os descuidos gerenciais quanto aos processos decontrole da organizaes e a garantia proporcionada por auditoresinternos e externos ou obtidas atravs de fontes alternativas.
Tpicos Avaliaes peridicas, entregando com garantia Descuidos gerenciais quanto ao sistema de controle Medies de desempenho
Questes O desempenho de TI pode ser medido? Os problemas podem ser detectados antes que seja tarde demais? Que garantias so necessrias para assegurar que as reas crticas
esto operando de forma adequada?
125
Monitorar e Avaliar
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
126/177
Prof. Andre Pitkowski, 2013
Monitorar e Avaliar
ME1 Monitorar e avaliar a Performance de TI
ME2 Avaliar a adequao dos controles internos
ME3 Obter garantia independente (compliance)
ME4 Prover a Governana de TI
126
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
127/177
Prof. Andre Pitkowski, 2013
CobiT & ITIL
127
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
128/177
Prof. Andre Pitkowski, 2013 128
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
129/177
Prof. Andre Pitkowski, 2013 129
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
130/177
Prof. Andre Pitkowski, 2013 130
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
131/177
Prof. Andre Pitkowski, 2013 131
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
132/177
Prof. Andre Pitkowski, 2013 132
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
133/177
Prof. Andre Pitkowski, 2013 133
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
134/177
Prof. Andre Pitkowski, 2013 134
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
135/177
Prof. Andre Pitkowski, 2013 135
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
136/177
Prof. Andre Pitkowski, 2013 136
CobiT & ITIL
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
137/177
Prof. Andre Pitkowski, 2013 137
PO3Deternina oDireciona-
mentoTecnolgico
PO4Define os
Processos,Organizao eRelacionamen-
tos de TI
PO5Gerencia
Investimentosde TI
PO6ComunicaObjetivos
Gerenciais eDireciona-
mentos
PO7GerenciaRecursosHumanos
de TI
PO8Gerencia
Qualidade
PO10GerenciaProjetos
PO9Avalia eGerenciaRiscos de
TI
PO1Define o
PlanoEstratgico
de TI
PO2Define a
Arquiteturada
Informao
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
138/177
Prof. Andre Pitkowski, 2013
Objetivos de Negcios
Informao
Planejare Organizar
Adquirire Implementar
Entregare Suportar
Monitorare Avaliar
Recursos de TI
tos de TI mentos
AI1IdentificaSolues
Automatizadas
AI2Obtm e Mantm
Aplicativos
AI3Obtm e MantmInfra-estrutura
Tecnolgica
AI4Capacita paraOperao eUtilizao
AI5Adquire
Recursos de TI
AI6GerenciaMudanas
AI7Aprova e Instala
Solues eMudanas
DS1Define eGerencia
SLAs
DS2GerenciaServios
Prestadospor
Terceiros
DS3Gerencia
Performan-ce e
Capacidade
DS4Garantir
Continuida-de dos
Servios
DS6Identifica
e Alocaos
Custos
DS5Garantir
Seguranados
Sistemas
DS7Educa e
Treina osUsurios
DS8GerenciaService
Deske
Incidentes
DS9Gerencia
asConfigu-raes
DS10Gerencia
osProblemas
DS11Gerencia
osDados
ME1Monitora e
Avalia aPerformance
em TI
ME2Monitora eAvalia osControlesInternos
ME3Assegura
ComplianceRegulatrio
ME4
ProvGovernana
de TI
DS12Gerencia
asInstala-
es
DS13Gerencia
asOperaes
Exemplo de Processo de TI
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
139/177
Prof. Andre Pitkowski, 2013 139
Momento de Reflexo
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
140/177
Prof. Andre Pitkowski, 2013
a. Oferecer Servios de Qualidadeb. Atender requerimentos de CVM, Banco Central c. Manter confidencialidade e acesso a dados d. Reportar semanalmente situao de processos e. Definir SLA entre Clientes e fornecedoresf. Servidores, redes e sistemas computacionaisg. Equipe de Projeto
140
Board Briefing
on IT GOV
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
141/177
Prof. Andre Pitkowski, 2013
on IT GOV
ManagementGuidelines
CobiTFramework
ControlObjetives
ControlPractices
IT AssuranceGuide
IT ControlObjetives
for Sarbanes-Oxley
IT GOVImplementation Guide
CobiT
Quickstart
CobiTSecurity Baseline
141
Board e Executivos
Gerenciamento de Tecnologiae Negcio
Governana, Garantia, Controle e
profissionais de Segurana
Interesse Primrio:Board e Executivos
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
142/177
Prof. Andre Pitkowski, 2013
Board e Executivos
Entender porque Governana de TI importante
Onde se aplica
Quais so as suas responsabilidades
142
Interesse Primrio:Gerenciamento de Tecnologia e Negcio
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
143/177
Prof. Andre Pitkowski, 2013
Gerenciamento de Tecnologia e Negcio
Management Guidelines
Ferramentas para apontar responsabilidades, medirperformance, execuo e GAPs.
Respostas para questes tpicas da gerencia: At onde ir para controlar TI? Qual a relao custo/benefcio? Quais os indicadores de boa performance? Quais so as melhores prticas de gerenciamento? O que os outros esto fazendo? Como medir e comparar?
143
Modelo de MaturidadeO que ?
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
144/177
Prof. Andre Pitkowski, 2013
q
Uma medida relativa de onde seencontra a empresa em relao aomercado.
Um meio para decidir de forma eficiente
que caminho tomar. Uma ferramenta para medir o progressocontra a meta determinada.
Baseado no Framework do CobiT enos Objetivos de Controle,
possvel responder a estas trsnecessidades
144
Modelo de Maturidade
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
145/177
Prof. Andre Pitkowski, 2013
O que nossos pares esto fazendo e como estamosposicionados em relao a eles?
O que aceitvel como boas prticas no mercado e como omercado est posicionado em relao s boas prticas?
Baseado nestas comparaes, podemos dizer que estamos
indo bem? Fazendo o suficiente?
Como saberemos o que necessrio fazer para alcanar onvel adequado de gerenciamento e controle sobre nossosPROCESSOS de TI?
145
Modelo de Maturidade
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
146/177
Prof. Andre Pitkowski, 2013
A atual performance da empresa Onde a empresa se encontrahoje
O status atual da industria A comparao
A meta da empresa em melhoria Onde a empresa quer estar
O que se identifica na empresa:
146
Melhores PrticasO Modelo de Maturidade do CobiT
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
147/177
Prof. Andre Pitkowski, 2013
O Modelo de Maturidade do CobiT
Escalas reconhecidas como padres empresariais relativos Governana e ao Controle de TI.
Auxiliam na determinao da situao atual (as-is) e adesejada (to-be) em relao maturidade da empresa emcada Objetivo de Controle do CobiT
A caracterstica ou vertical de mercado determina o Graude Maturidade apropriado.
147
CobiT Grau de Maturidade
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
148/177
Prof. Andre Pitkowski, 2013
Representao Grfica dos Modelos de Maturidade
0 1 2 3 4 5
LEGENDA PARA SMBOLOS USADOS
Inexistente
0 1 2 3 4 5Inicial
Repetvel
Definido
Administrado
Otimizado
LEGENDA PARA POSIES OCUPADAS
Mdia de empresas similares
Status atual da empresa
Alvo da empresa148
Modelo de Maturidade
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
149/177
Prof. Andre Pitkowski, 2013
0 - inexistente: completa falta de
processos reconhecidos. A empresaainda no reconheceu de que tem um
problema a ser resolvido
1- inicial: Existem evidencias de que aempresa tem problemas e que estes
precisam ser resolvidos. Por outrolado no existem procedimentos nem
padres. Processos so atacados
caso-a-caso e o gerenciamento desorganizado.
2- repetitivo: Processos foramdesenvolvidos ao estgio onde
procedimentos similares so seguidospor pessoas com as mesmas tarefas.No h treinamento nem comunicaoe somente desvios so detectados.Existe grande dependncia noconhecimento das pessoas eerros so normais.
3 definido: procedimentos tornaram-se
padro e foram documentados bem comocomunicados atravs de treinamento. Foideixado ao indivduo seguir os processose somente os desvios so detectados. Os
procedimentos so apenas aformalizao de prticas existentes.
4 gerenciado: possvel medir e monitoraraderncia com procedimentos e agironde processos no funcionam de forma
efetiva.Processos esto sob constanteevoluo e provem as boas prticas. Jexistem ferramentas e processosautomatizados.
5 otimizado: processos foram refinados aonvel de boas prticas baseados emresultados de continua evoluo emodelos de maturidade com outrasempresas. usado para integrar eautomatizar o workflow, provendo
ferramentas para melhorar a qualidade ea eficincia, tornando a empresa o maisdinmica possvel no mercado(capacidade de adaptao)
149
Modelos de Maturidade do Cobit 4.1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
150/177
Prof. Andre Pitkowski, 2013
Vamos conectar este conceito
150
Modelos de Maturidade do Cobit 4.1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
151/177
Prof. Andre Pitkowski, 2013
o case:
empresa em franco crescimento; setor financeiro;
capital fechado; existe um security officer na rea deInfraestrutura de TI; h politicas e procedimentos implantados
apenas para a Infraestrutura de TI
Exemplo na planilha Excel (DS5)
151
Modelos de Maturidade do Cobit 4.1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
152/177
Prof. Andre Pitkowski, 2013 152
O que eu faocom isso ?
necessriotransformaruma anlisequalitativa emresultados
quantitativosxi nveis fi %0 101 232 443 404 245 6
Ex.:
Ajuste pela Distribuio Normal (Gauss)
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
153/177
Prof. Andre Pitkowski, 2013 153
0
17,5
35,0
52,5
70,0
0 1 2 3 4 5
Modelos de Maturidade do Cobit 4.1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
154/177
Prof. Andre Pitkowski, 2013
O que a aproximao pela Normal vainos proporcionar ?
clculo da nota de Maturidade para oprocesso; confeco de grficos de colunas e radar; construo do plano de ao objetivandoo to-be
154
Modelos de Maturidade do Cobit 4.1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
155/177
Prof. Andre Pitkowski, 2013
Clculo da nota de Maturidade:
155
Nmat = SUM (xi.fi)
SUM (fi)
Modelo de Maturidade do Cobit 4.1
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
156/177
Prof. Andre Pitkowski, 2013
Planos de ao para melhoria da maturidade
Focar na eliminao dos graus mais baixos (0,1 e 2); Dada a conexo entre os itens no modelo de Maturidade, o
processo ir melhorar como um todo;
A melhora de um processo acarreta a melhora de outros(ex. DS8 e DS10, AI6 e AI7 etc)
156
Performance e Mtricas
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
157/177
Prof. Andre Pitkowski, 2013
O CobiT define mtricas em 3 nveis:
O que o negcio espera de TIO que o negocio vai usar paramedir TI
O que os processos de TIprecisam entregar para
suportar os objetivos de TI
Como o dono do processo de TI
vai ser medido
Mtricas de performance deprocessos
Medir quo bem um processoest sendo executado paraindicar se as metas vo seralcanadas
157
Performance e Mtricas
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
158/177
Prof. Andre Pitkowski, 2013
O CobiT usa 2 tipos de mtricas:
KGI Key Goal Indicator
Define os indicadores que informam ao gerente depois do fatoocorrido se um processo de TI atingiu os objetivos donegcio, normalmente expressos na forma de critrios deinformao.
Disponibilidade da informao necessria para suportar as necessidades donegcio
Ausncia de riscos associados integridade e confidencialidade da informao
Eficincia de custos nos processos e operao
Confirmao de confiana, eficincia e aderncia
158
Performance e Mtricas
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
159/177
Prof. Andre Pitkowski, 2013
O CobiT usa 2 tipos de mtricas:KPI Key Performance Indicator
Define as medidas que determinam como o processo de TI estsendo executado para permitir o objetivo de ser alcanado.
So tambm indicadores para se saber se um objetivo de
negocio ser alcanado ou no, e so bons indicadores daspotencialidades, das prticas e das habilidades daqueles queexecutam os processos.
Medem os objetivos da atividade, que so as aes que o donodo processo deve executar para conseguir o desempenhoeficaz daquele processo.
159
Performance e Mtricas
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
160/177
Prof. Andre Pitkowski, 2013
Mtricas efetivas possuem asseguintes caractersticas
160
Define metas
DS5
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
161/177
Prof. Andre Pitkowski, 2013
Mtricas de negcio: KGI
mtricas de TI: KPI
mtricas de processo: KPIperformance
M
elhorarealinhar
Medidaderealizao
atividade processo TI negcio
Entender
requerimentosde segurana,vulnerabilidadese ameaas
Detectar e
resolver acessosno autorizados informao,aplicaes einfraestrutura
Garantir
servios de TIque possamresistir erecuperar-se deataques
Manter a
reputao e aliderana daempresa nomercado
medido por medido por medido por medido por
Frequencia da
reviso do tipo eincidente desegurana a sermonitorado
Numero de
violaes eacessos noautorizados
Numero de
incidentes de TIcom impacto nonegcio
Numero de
incidentes quecausaramembaraopublico
161
Melhores Prticasboas prticas
-
7/28/2019 UniAnchieta GovSeg TI 2013.pdf
162/177
Prof. Andre Pitkowski, 2013
Modelos de trabalho identificados em situaes reais,considerando empresas na mesma vertical de mercado.
Um modelo de trabalho implementado, aps a comprovaode sua relevncia para o negcio, torna-se a Melhor Prtica.
Adotar a melhor prtica significa: no reinventar a roda Implementar modelos e experincias que j se mostraram
eficientes em outras empresas.
Implemen