Cdigos de conduta da entidade

Um dos mais comuns controlos nesta rea a implementao dum Cdigo

de Conduta da Empresa. Tais cdigos so controlos diretivos e no
obrigam a um comportamento tico. Estes so combinados com controlos
de deteo designados para identificar falhas no cdigo, e com controlos de
correo para tomar aes efetivas sobre essas falhas, assim como servir
como forma de retirar membros no conformados duma populao.
Cdigos de conduta devem ser postos em prtica em todas as entidades
(recomendado em 1987 pelo Treadway Comission e confirmado pelo King II
(NOTA: Mervyn King foi um antigo juiz da frica do Sul que em 1993
publicou cdigos de governao das sociedades. O King II foi emitido em
2002 https://en.wikipedia.org/wiki/King_Report_on_Corporate_Governance))
e devem ser obrigatrios. Eles ajudam a implementar um ambiente tico no
topo da organizao e devem ser aplicados a todos os nveis desde o topo
at base. Abrem canais de comunicao entre os gestores e os
empregados, e ajudam na preveno de, por exemplo, fraudes nos reportes.
Cdigos de Conduta so baseados numa partilha de conhecimento dos
valores que incluem, mas no s:
a) Honestidade: Sem segundas intenes;
b) Integridade: 1 regra de conduta para todos;
c) Moralidade: Atuar em conformidade com as normas socialmente aceites;
d) Equidade: Atuar duma maneira justa com tratamento igual par todos;
e) Igualdade: Fornecer oportunidades iguais para competir e colaborar nas
atividades de negcio;
f) Responsabilidade (NOTA: Aqui o termo usado Accountability que
mais a ideia de ser-se responsvel por algo, responder pelas coisas que
fazemos): Registar com fiabilidade as aes de um individuo e passar a
responsabilidade das suas aes para os stakeholders;
g) Lealdade: Dedicao confivel com todos aqueles que um individuo tem
negcios;
h) Respeito: Reconhecimento do valor dos superiores, subordinados,
fornecedores e clientes;

Estes valores so normalmente alinhados com as afirmaes de valor para

formar a base dum bom cdigo de conduta.
Os cdigos de conduta podem assumir 1 de duas formas:
1) Afirmaes positivas das nossas intenes (engloba tudo mas mais
difcil de controlar);
2) Lista de comportamentos errados (mais fcil ao auditor mas mais difcil
de manter compreensvel).
Cdigos que so tidos como mais eficazes contm um misto de afirmaes
positivas e de proibies especficas. Estes incluem as regras bsicas para o
que aceite e no aceite e englobam as posies da entidade e regras que
se prendem com:
a) aceitao de subornos;
b) Confidencialidade;
c) Conflito de interesse;
d) Normas para prticas organizacionais.

inevitvel que numa conduta tica de negcio, dilemas surjam que seja
necessrio resolver por fora de conflito de valores entre vrios
stakeholders. Muitas vezes no h forma de dizer (NOTA: No tenho mais
nada daqui para a frente :P)

A palavra governao vem do latim gubernare que significava o

manuseamento dum navio, e a palavra governador de gubenator, o
capito de um navio. Governao de Negcios e de empresas coloca os
objetivos do sucesso empresarial num contexto de comportamentos de
negcio honestos e relaes saudveis com os stakeholders. O propsito de
boa governao o de aliar comportamento de negcios e conduta de
gesto com as intenes, misses e objetivos de negcio.
Seguindo uma variedade de publicaes sobre as boas prticas de
governao das sociedades, era inevitvel que surgisse a governao dos
Sistemas de Informao (SI) como um dos pontos mais crticos no que toca
aos SI. Nas empresas bem geridas, a governao de SI fora implementada
para garantir que os princpios de boa gesto eram conseguidos. Noutras
entidades tornou-se apenas mais um conjunto de regras a seguir. As
responsabilidades da governao incluem definir a estratgia, gerir os
riscos, criar valor e medir a performance conseguida.
Estas responsabilidades, no seu todo, tm sido levadas a cabo pela
necessidade de demonstrar a transparncia dos riscos para a empresa, mas
o impacto dos SI e da organizao como um todo criou uma dependncia
tal, com nfase na governao dos SI. Gesto do risco nestas reas inclui a
gesto dos impactos dos SI e da continuidade de negcio, bem como riscos
de reputao que resultam de falhas dentro dos prprios SI. Geralmente
nessas situaes, a governao de SI permite facilitar a sustentao das
operaes organizacionais direcionadas implementao de estratgias de
negcio quer no presente quer no futuro.
Governao dos SI foi definida como:
Governao de IT da responsabilidade da Administrao e dos seus
gestores. uma parte integrante da governao empresarial e consiste nas
estruturas de liderana e organizacionais e nos processos que asseguram
que os SI organizacionais suportam e alargam as estratgias e objetivos
empresariais.
Isto demonstra uma clara diferena entre governao de SI e Gesto de SI.
Governao preocupa-se com o facto de os SI satisfazerem as necessidades
correntes e futuras de informao para a organizao duma forma
estruturada. A gesto centra-se em garantir um constante fornecimento de
produtos e servios de qualidade por um preo adequado.
Dum ponto de vista Governacional, a maior responsabilidade est na
Administrao ou entidade governadora duma dada organizao. Uma parte
crtica da execuo desta responsabilidade prende-se em garantir que os
vrios nveis de gesto entendam que fazem parte dum todo para atingir
uma boa governao e que seja implementado as estruturas de controlo
apropriadas para atingir isso. No fundo, a principal responsabilidade
implementar um plano estratgico e politicas duma organizao tal como
foram delineadas pela Administrao.
Dado o papel dos SI na prossecuo dos objetivos organizacionais, o gestor
de SI tem um papel fundamental em atingir boa governao. O gestor de SI
define os objetivos operacionais para uma dada funo dos SI, que esteja
alinhado com os objetivos estratgicos organizacionais, de forma a que
satisfaa o objetivo inicial duma qualquer funo de SI. O controlo de gesto
atingido criando um constante mecanismo de feedback para medir a
performance, comparando-o com os objetivos, para melhorar os processos
sempre que necessrio e reajustar os objetivos se preciso.
Um elemento principal no processo de governao a colocao de cargos
de deciso para os SI dentro duma organizao. Centralizado vs
Descentralizado eram as escolhas tradicionais., mas uma verso moderna
a estrutural Federal que combina a eficincia duma estrutura centralizada
com a flexibilidade duma descentralizada.
Porque a governao de IT possui vrias camadas dentro da organizao,
o Control Objetives for Information and Related Technology (COBIT) trata
essas questes da governao via KGI (Key Goal Indicators = Indicadores
chave de objetivos) e KPI (Key Performance Indicators = Indicadores chave
de performance). O Board Briefing on IT Governance inclui checklists de
Governao de SI, um toolkit para a Governao de Si (um toolkit,se for o
que estou a pensar, um conjunto de programinhas de computador para
ajudar ao controlo da governao de SI), um toolkit para a Gesto de
Governao dos SI, e uma lista extensiva e detalhada de papeis e
responsabilidades para atingir uma boa governao de SI. E porque quer os
auditores internos quer os externos fazem parte da funo de conformidade
duma governao das sociedades, imperativo que os Auditores de SI
estejam familiarizados com os papeis e responsabilidades descritos nesse
documento.

Lei Sarbanes-Oxley
A lei Sarbanes-Oxley(2002) redigida nos Estados Unidos fornece requisitos
legais restritos para a criao de governao de sociedades saudveis em
todas as entidades americanas pertencentes ao Securities and Exchange
Commission(SEC. NOTA: a verso americana do nosso CMVM ) assim
como as suas subsidirias e associadas, onde quer que estejam a operar no
mundo inteiro. Todas contm referencias ao importante papel da Comisso
de Auditores e aos Auditores Internos em ajudar a gesto na efetivao dos
processos de governao das sociedades.
A lei em si d nfase aos reportes financeiros que so considerados
fundamentais; no entanto, o framework de controlo interno sugerido
(Committe of Sponsoring Organizations [COSO]) para ser usado como forma
de compliance com a Lei Sarb-Ox, tal como recomendado pelo SEC,
aborda o tpico dos controlos de SI mas no refere quais os requerimentos
para os objetivos de controlo e restante controlo da atividade, deixando
essas decises a cargo de cada organizao. Seco 404 da Lei informa que
o gestor duma empresa pblica especificada na prpria lei deve comunicar
sobre a efetivao do controlo interno do reporte financeiro e reportar
anualmente sobre os resultados desse reporte. Dado que um reporte
financeiro nessas sociedades est diretamente ligado ao estabelecimento
dum ambiente de SI bem controlado, os registados no SEC devem fornecer
reportes sobre se os controlos do seu SI so efetivos para com o contexto do
reporte financeiro.
No documento IT Control Objetives for Sarbanes Oxley, o IT Governance
Institute argumenta sobre os objetivos do controlo de SI que possam ser
considerados pela organizao no reporte dos controlos internos, tal como
requerido pela Lei.

Housekeeping (no intendo o contexto aqui. Housekeeping ser-se

domstica, aquilo de tratar da casa nas tarefas dirias e assim).
Processos de housekeeping so usados para reduzir o risco de perda ou
destruio de software e informao, e para assegurar que os outputs mais
sensveis no vo parar s mos erradas. Tais processos tipicamente se
relacionam com o uso de programas de armazenamento, tratamento de
ficheiros atravs de backups, distribuio desses outputs, ou at mesmo no
cuidado e tratamento do prprio hardware.
Num estabelecimento com processo informtico centralizado, os controlos
de housekeeping e os seus processos so normalmente bem estabelecidos
para permitir a minimizao dos riscos. Num ambiente disperso e controlado
pelo utilizador no entanto, tais controlos podem no ser obviamente
necessrios, levando contaminao do hardware por comida ou bebidas,
riscos de incncia causados pelo uso de vrios adaptadores eltricos, dados
e ficheiros de backup perdidos, roubados ou extraviados, e informao
confidencial dispersa ou enviada para um recipiente errado.
O auditor deve assegurar que os controlos bsicos da organizao esto em
prtica e so efetivos de forma a minimizar estes riscos.
Captulo 15 Tcnicas de Governao:
Este captulo trata da necessidade de haver, e do uso de, tcnicas como as
revises de controlo de mudana, reviso operacional e as revises ISO
9000.
Controlo de mudana
Periodicamente surge a necessidade de modificar um hardware existente
e/ou uma configurao de software, resultante de :
a) Mudanas de Harware que resultem de melhoramento de performance ou
reconfigurao causada por mudanas para outros sistemas;
b) Falhas no hardware durante operaes de rotina;
c) Deteo de erros no software durante operaes de rotina;
d) Mudana na legislao que afete os sistemas organizacionais de negcio;
e) Mudana na operao do negcio duma empresa que requer alteraes
no seu sistema informtico.

Como resultado destas mudanas no ambiente, a durao das mudanas

necessrias dentro das configuraes do sistema devem ser determinadas e
a mudana feita duma forma controlada para evitar quaisquer interrupes
nos processos dirios. importante que durante os perodos de mudana, a
verso de produo do programa deve ser protegida para impedir
mudanas no autorizadas, mudanas no testadas ou at mesmo
mudanas maliciosas.
Os objetivos do controlo das mudanas so para permitir que os riscos
sejam controlados, e no introduzidos, durante a mudana. Isto significa
garantir que:
a) Todas as alteraes so autorizadas;
b) Todas as alteraes autorizadas so feitas;
c) S alteraes autorizadas podem ser feitas;
d) Todas as alteraes so especificadas;
e) Todas as alteraes so efetivadas em termos do custo.
Este controlo requer um esforo coordenado envolvendo gestores,
utilizadores, pessoal dos SI, e Auditores de SI. Uma metodologia efetiva para
autorizar, testar e implementar as alteraes atravs de uma forma
controlada um pr-requisito. Em muitas organizaes isto envolve o uso
dum Comit de Controlo de Alteraes que envolve membros de todas as
anteriormente referidas disciplinas. Este comit -lhe normalmente pedido
para avaliar pedidos de mudanas para implicaes da empresa ou do
controlo, autorizaes para esses pedidos, garantindo que os testes e
documentao dessas alteraes so levadas a cabo, e finalmente,
autorizando a implementao das alteraes no ambiente da empresa.
Todos os pedidos para modificaes em programas de produo devem ser
feitos a escrito e inclui a justificao de negcio para as alteraes do
pedido. Um completo levantamento de todos os impactos, justificaes e
alternativas consideradas deve ser levado a cabo, onde as mudanas mais
significativas sejam objeto de um maior escrutnio, Se a mudana de uma
grande natureza, necessrio um estudo mais pormenorizado e fivel.
Mal as alteraes sejam aprovadas pelo comit, o trabalho pode prosseguir
utilizando recursos aprovados pelo comit (normalmente os SI, com alguma
envolvncia dos utilizadores) e, mal o programador d o aval de como o
software est como pretendido, testes independentes devem ser feitos com
a participao de utilizadores antes de ser implementado na empresa.
Utilizadores, staff dos SI, e auditores devem assinar em como as suas
necessidades individuais foram satisfeitas. Deve ser referido que quando
um auditores de SI assina uma alterao, est a indicar que os requisitos do
auditor para o controlo do mesmo foram satisfeitos com o controlo das
alteraes. No a indicao de qualidade no sistema porque isso da
responsabilidade dos utilizadores e do gestor de SI.
Todas as alteraes aos sistemas, seja de hardware, software ou ambos,
devem ser completamente documentas com os efeitos de todas as
modificaes nas manutenes para que trabalho futuro nestes sistemas
possa ser percebido mais facilmente. Com todo o cuidado possvel, pode ser
possvel que uma das alteraes resulte numa falha no sistema de
produo. Caso tal acontea, os processos de recuperao devem ser
postos em prtica. Isto tipicamente envolveria proteger as condies de
acesso ao sistema e data antes das alteraes serem implementadas para
que uma alterao m sucedida possa ser facilmente restaurada.
Dentro dum ambiente informtico natural se separar as verses de
programas de produo e desenvolvimento, usando bases de dados de
software diferentes. Mal as implementaes sejam autorizadas, o
controlador da mudana ir normalmente copiar o cdigo fonte alterado
para a base de dados da produo. Para que isto seja eficiente, o acesso
BD da produo deve ser restrito e apenas acedvel ao controlador da
mudana. Este controlo para impedir quer alteraes acidentais ou
maliciosas ao software de produo caso sejam feitas sem autorizao.
Atualizar software num computador pessoal e numa rede local muito mais
direto do que isto porque apenas envolve instalao de programas
comprados. Infelizmente, nem todos os programas comprados funcionam
corretamente como deviam. Num ambiente mais pequeno como o caso do
PC pessoal comum no ser feitos backups antes da sua instalao e a
introduo duma nova verso do software ou at mesmo dum novo software
pode resultar num dano significativo para o ambiente de produo.
Computadores pessoais e rede local tambm requerem um controlo atento
nas alteraes. Os processos de controlo de alteraes podem ser diferentes
para aqueles computadores de maior rede; no obstante, um correto
procedimento de controlo de mudana deve ser implementado