Escolar Documentos
Profissional Documentos
Cultura Documentos
br
11 3532-1076
www.CompanyWeb.com.br
Contexto
• http://www.youtube.com/watch?v=S91uSAKFyvI&feature=share&list=PL15F1109F62DCFE5D
1. The Corporation;
2. Enron.
3
www.CompanyWeb.com.br
Primeiros comentários sobre
“exuberância irracional do mercado”
11 de setembro
S&P 500
Aprovação
SOX
Regulation
FD Desvalorização das
empresas de
Revelação do do
Revelação tecnologia
casocaso
Worldcom
Enron
Jul/2002
Out/2001 Preocupações comapelo por
Forte
disclosure seletivo
regulamentação
Fonte:
www.CompanyWeb.com.br
5 www.CompanyWeb.com.br
Em 30 julho de 2002, presidente George W. Bush assinou
de “O Ato Sarbanes-Oxley”, que muda de forma radical as 2001 – Enron – 7a. Maior
leis aplicadas a empresas que tem ações negociadas na empresa dos EUA.
A Enron, gigante americana do
bolsa americana. Em 2001 e 2002 empresas gigantes como setor de energia, pediu
Enron e o Worldcom foram forçadas a declarar a falência. E concordata em dezembro de
2001, após ter sido alvo de
fraudes contábeis e outras irregularidades foram reveladas uma série denúncias de
em outras empresas, tais como Adelphia e Global Crossing. fraudes contábeis e fiscais.
Após estes escândalos, o governo americano,implementou Com uma dívida de US$ 13
bilhões, o grupo arrastou
uma legislação que ampliou os poderes da SEC consigo a Arthur Andersen,
(Securities and Exchange Commission, órgão regulador do que fazia a sua auditoria.
mercado financeiro americano), aumentou
2001 – WorldCom – 20.000
consideravelmente a responsabilidade da administração demitidos
das empresas. O ocorreu fraude porque a
empresa registrou como
investimentos (ativo em seu
A regulamentação das novas normas e a supervisão do seu balanço patrimonial) o que era
cumprimento, pelos vários elementos do mercado de despesa (demonstrativo de
resultados), distorcendo
capitais, passam a ser de responsabilidade do PCAOB totalmente os dados de suas
(Conselho de Supervisão de Assuntos Contábeis das contas.
Companhias Abertas -Public Company Accounting Oversight
Board)
6 www.CompanyWeb.com.br
• A que se propõe a lei?
7 www.CompanyWeb.com.br
Lei Sarbanes-Oxley - Aplicação
• A lei se aplica às Companhias registradas na SEC, aumentando, dessa
forma, a sua abrangência a Empresas que não são de origem norte-
americana.
• Efeito no Brasil:
– Empresas brasileiras listadas na SEC: são aproximadamente 36 empresas, tais
como: Cia Vale do Rio Doce, Brasken, Pão de Açúcar, Bradesco, Banco Itaú
Unibanco.
8
www.CompanyWeb.com.br
Empresas Brasileiras
Visão Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Companhia Vale do Rio Doce (CVRD) União de Bancos Brasileiros S.A (Unibanco)
9
www.CompanyWeb.com.br
Estabelecendo um Roteiro para a Administração
10
www.CompanyWeb.com.br
Visão Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Penalidades:
Em caso de violação da SOX, os diretores, auditores e consultores dessas empresas
estarão sujeitos a pena dessa Lei, que vão de 10 a 20 anos de prisão e multa de até US$
5 milhões.
11 www.CompanyWeb.com.br
Maria Christina Carvalho
14/06/2006
R$ 15 milhões em despesas diretas, 206 mil horas de trabalho interno e 40 mil dos auditores externos garantiram
ao Banco Itaú Holding Financeira o recorde de primeiro banco estrangeiro com ações negociadas na Bolsa de Nova
York (NYSE) a cumprir as exigências da seção 404 da Lei Sarbanes-Oxley (SOX).
Uma das seções - equivalentes a artigos na legislação brasileira - mais complexas da SOX é exatamente a 404, que
determina a avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. A
administração da empresa precisa documentar, avaliar e certificar a eficiência dos controles internos e dos
processos de obtenção dos números registrados nos relatórios financeiros. Além disso, um auditor externo tem que
certificar a avaliação.
Desde o final de 2004, o Itaú está envolvido na tarefa, afirmou o vice-presidente sênior, Henri Penchas. A exigência
inicial da Securities and Exchange Commission SEC) - equivalente à comissão de valores mobiliário brasileira - era
que as empresas estrangeiras com ações negociadas na Bolsa de Nova York atendessem as exigências da SOX no
balanço de 31 de dezembro de 2005. Posteriormente, a SEC deu mais um ano de prazo.
Mas, o Itaú conseguiu atender a exigência no prazo original e acaba de arquivar na SEC o relatório anual 20-F,
referente ao exercício concluído em 31 de dezembro de 2005, com o relatório do auditor externo
PricewaterhouseCoopers certificando a avaliação da direção do banco a respeito da qualidade dos processos e
veracidade das informações contidas no balanço.
O objetivo é assegurar aos investidores e ao mercado que os processos de obtenção dos números estão corretos.
"É um trabalho extremamente burocrático, técnico e minucioso, que implicou o mapeamento de cerca de 1050
processos do banco", disse Penchas, desde conta corrente, cartão de crédito a empréstimos e custódia. Alguns
tiveram que ser alterados até que os auditores externos estivessem satisfeitos. o Itaú designou um diretor gerente,
João Costa, para tocar o projeto.
Penchas acredita que o trabalho será mais fácil no próximo balanço pois só será necessário desenvolver novos
testes para os novos produtos. Nos demais, só será preciso repetir os testes já elaborados.
Para acionistas e investidores, o resultado é a certeza da qualidade dos números; para os depositantes e clientes, a
veracidade nos balanços.
Costa lembrou que o trabalho do auditor externo também está sujeito à averiguação do órgão de supervisão da
atividade, o Public Company Accounting Oversight Board (PCAOB).
12 www.CompanyWeb.com.br
• A Lei Sarbanes-Oxley de 2002 reescreveu,
literalmente, as regras para a governança
corporativa, relativas à divulgação e à emissão de
relatórios financeiros. Contudo, sob a infinidade de
páginas da Lei, repletas de “legalismos”, reside uma
premissa simples: a boa governança corporativa e
as práticas éticas do negócio não são mais
requintes – são leis.
13 www.CompanyWeb.com.br
14 www.CompanyWeb.com.br
Objetivo SOX: Garantir a integridade das informações financeiras
· Responsabilidade do Presidente (CEO) e do Diretor Financeiro (CFO) na “certificação” das demonstrações
Em 30 julho de 2002, presidente George W. Bush assinou de “O Ato Sarbanes-Oxley”, que muda de
financeiras;
forma radical as
· Transferência leis
para umaplicadas
comitê deaauditoria,
empresas que temde
composto ações negociadas
membros na bolsa
não executivos do americana.
Conselho da Administração,
de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos;
· Maior transparência na divulgação das informações financeiras.
Seção 404, 407, 408 e 409 – Tratam sobre os aspectos de controle interno, fiscalização
da SEC sobre informação pública, código de ética para diretores financeiros e
publicação de alterações operacionais e/ou financeiras. Determina a emissão de
relatório especial, com parecer, entregue à SEC, que ateste a realização anual de
avaliação e de controles e processos internos que são a base de relatórios financeiros.
15 www.CompanyWeb.com.br
Lei Sarbanes-Oxley - Títulos
• O ato foi assinado em 30 de julho de 2002 e inclui onze seções tituladas
16
www.CompanyWeb.com.br
Lei Sarbanes-Oxley
• O ato foi assinado em 30 de julho de 2002 e inclui onze seções
tituladas
17
www.CompanyWeb.com.br
Conselho de Supervisão da Contabilidade das Companhias de
Capital Aberto (PCAOB)
18 www.CompanyWeb.com.br
COSO – Commitee of Sponsoring Organizations of the Tradeway Commission
Em 1985 foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting
(Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar
as causas da ocorrência de fraudes em relatórios financeiros/contábeis. Esta comissão era composta por
representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro
objeto de estudo foram os controles internos.
Em 1992, publicaram o trabalho "Internal Control - Integrated Framework”. Esta publicação tornou-se
referência mundial para o estudo e aplicação dos controles internos. Posteriormente a Comissão
transformou-se em Comitê, que passou a ser conhecido como COSO – The Comitee of Sponsoring
Organizations of the Tradeway Commission. O COSO é uma entidade sem fins lucrativos, dedicada à
melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança
corporativa. O Comitê trabalha com independência, em relação a suas entidades patrocinadoras. Seus
integrantes são representantes da industria, dos contadores, das empresas de investimento e da Bolsa de
Valores de Nova York. O primeiro presidente foi James C. Tradeway, de onde originou o nome “Tradeway
Commission”.
www.CompanyWeb.com.br
COSO I
Em 1992, o COSO desenvolveu o protocolo COSO I,
também denominado The COSO Report que relacionava
em sua estrutura tridimensional (chamado Cubo COSO)
uma maior observância para a identificação e análise dos
riscos internos e externos à organização, pelos que
conduzem à entidade num todo.
20 www.CompanyWeb.com.br
Controle Interno Conformidade
com as leis e
regulamentos
vigentes
É um processo efetuado
pelo conselho de
administração, executivos Confiabilidade
ou qualquer outro das
demonstrações
funcionário de uma financeiras
organização com a
finalidade de possibilitar Eficiência e eficácia das
o máximo de garantia operações
21 www.CompanyWeb.com.br
COSO I
• A estrutura do COSO divide os controles internos eficazes em cinco componentes inter-relacionados, com
o objetivo de simplificar a tarefa da administração para gerenciar e supervisionar todas as atividades que
fazem parte de uma estrutura de controles internos bem-sucedida.
22 www.CompanyWeb.com.br
LEGENDA
Requisitos de divulgação
Controles e
procedimentos de
divulgação
Controles Controles
contábeis internos sobre
relatório
internos financeiro
23 www.CompanyWeb.com.br
As limitações originam-se do fato de que o
julgamento humano, no processo decisório,
pode ser falho, as decisões de respostas a risco
e o estabelecimento de controle interno
necessitam levar em conta a relação custos x
benefícios.
24 www.CompanyWeb.com.br
Auditoria SOX404
25 www.CompanyWeb.com.br
Controles Internos
•A definição
De formadeainda mais notável,
controles a Leimais
internos Sarbanes-Oxley
amplamente privilegia
aceitao foi
papel crítico do “controle
desenvolvida pelo
interno”.
Committee of Sponsoring Organizations of the Treadway Commission – COSO:
“... um processo, efetuado pelo Conselho de Administração, pela administração ou por
outras pessoas da companhia, visa fornecer segurança razoável quanto à possibilidade
de atingir objetivos nas seguintes categorias:
26 www.CompanyWeb.com.br
Definição (P.N. Migliavacca):
27 www.CompanyWeb.com.br
Prevenção, Detecção e Resposta
DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem, geralmente são
difíceis de definir ou prever. (Reativo).
RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danos causados por erros,
fraudes, má-conduta e irregularidades. (Reativo)
Tipos de Controles:
AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de julgamentos
pessoais. Para garantir sua consistência, precisão e tempestividade, é preciso
ter um sistema seguro e confiável. (Maior eficácia)
Periodicidade:
Deve ser atrelado a ocorrência do evento, a cada evento, diário, semanal, quinzenal, mensal, trimestral,
semestral, anual. A periodicidade do controle deve ser compatível com a freqüência da incidência dos
eventos de risco cobertos pelo controle.
28 www.CompanyWeb.com.br
Lista de Controle Interno:
Alçadas:
Delimitação de atuação ou influência de gestor
Conciliação:
Comparação de informações de origens distintas, o foco identificar inconsistências
Normatização interna:
Estabelecimento formal de normas internas
Segregação de funções:
Separação de funções conflitantes ou funções que possam ter conflito de interesses
Validação:
Exame de procedimentos relacionados a algumas atividades com objetivo de validar as
informações
Controle de Acesso:
Controle na entrada e saída de pessoas, equipamentos e produtos
Autorização:
Autorização formal para execução de uma operação ou uma atividade
Monitoramento:
Acompanhamento de processo, operação ou atividade de modo avaliar sua correta
adequação com os objetivos
29 www.CompanyWeb.com.br
O peso dos controles:
Riscos
Riscos
Controles
+ Tolerância Controles +
Riscos à Riscos Tolerância
Controles +
à Riscos
Tolerância
à Riscos
30
www.CompanyWeb.com.br
SOX: Lições Aprendidas:
Nota:
Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior
volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de
comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o
que indica que esta preocupação não é recente e se manteve no mesmo patamar.
31
Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007 www.CompanyWeb.com.br
Identificação Análise/Avaliação Resposta Risco
do Risco do Risco ao Risco Mitigado
32 www.CompanyWeb.com.br
Exemplo: Seção 302
CERTIFICAÇÃO EM CONFORMIDADE COM ÀS REGRAS 13a-15 E 15d-15 CONFORME ADOTADO NA SEÇÃO 302 DA LEI SARBANES-OXLEY
1.Examinei o presente relatório anual que integra o documento Form 20-F, da Petróleo Brasileiro S.A - PETROBRAS.
2. Com base em meu conhecimento, este relatório anual não contém nenhuma declaração inverídica a respeito de fato importante nem
tampouco omite qualquer menção a fato relevante necessário às afirmações feitas no documento, considerando-se as circunstâncias em que tais
declarações foram efetuadas, sendo fiel em relação ao período coberto por este relatório anual;
3. Com base em meu conhecimento, as demonstrações financeiras e outras informações financeiras contidas neste relatório anual refletem
devidamente, no tocante aos aspectos relevantes, a condição financeira, os resultados das operações e os fluxos de caixa do requerente, a partir da
data especificada e durante todo o período que o presente relatório abrange;
4. O preposto da empresa no processo de certificação e eu somos responsáveis pela criação e manutenção de controles e procedimentos de
divulgação de informação (nos termos estabelecidos nas Regras 13a-14 e 15d-14 do Exchange Act) do requerente e:
(a) Elaboramos tais controles e procedimentos de divulgação de informação de modo a assegurar que informações importantes relativas ao
requerente, incluindo suas subsidiárias consolidadas, nos sejam transmitidas por outros integrantes dessas entidades, especialmente durante o
período no qual este relatório anual é preparado;
(b) Avaliamos a eficácia dos controles e procedimentos de divulgação de informação do requerente em data compreendida no período de 90
dias que antecedeu a data de arquivamento deste relatório anual (a "Data de Avaliação"); e
(c) Apresentamos neste relatório anual nossas conclusões sobre a eficácia dos controles e procedimentos de divulgação de informação, com base
em nossa avaliação a partir da Data de Avaliação;
5. O preposto da empresa no processo de certificação e eu, com base em nossa avaliação mais recente, procedemos à divulgação, junto aos
auditores e ao Conselho Fiscal do Conselho de Administração do requerente (ou junto aos indivíduos que desempenham as funções equivalentes)
dos seguintes aspectos:
(a) Todas as deficiências importantes no projeto ou na operação dos controles internos que poderiam prejudicar a capacidade do requerente de
registrar, processar, sintetizar e notificar dados financeiros, além de identificarmos e assinalarmos para os auditores do requerente todas as
deficiências importantes nos controles internos; e
(b) Qualquer fraude, importante ou não, que envolva a gerência ou outros empregados que desempenhem papel significativo nos controles internos
do requerente; e
6. O preposto da empresa no processo de certificação e eu indicamos neste relatório anual se houve alteração significativa nos controles internos ou
em outros fatores que pudessem afetar substancialmente os controles internos em períodos posteriores à data da nossa avaliação mais recente,
incluindo quaisquer ações corretivas relacionadas às deficiências significativas e deficiências relevantes.
34 www.CompanyWeb.com.br
Entender qual é o impacto do SOX na TI
Seção 404: Controle Internos
Declarações Financeiras A Gestão deve ter responsabilidade
Unidade de Negócio
em estabelecer, manter e analisar a
Demonstrativo Demonstrativo estrutura dos controle internos e
Balanço de resultado do Fluxo de Caixa fazer avaliação de eficiência dos
processos
Controles:
Processos
Para atender o SOX, a TI
Processo A Processo B Processo C deverá atuar da seguinte
forma:
Serviços de TI
- Controle de Acesso.
Banco de Dados
Sistema Operacional
Rede
35
www.CompanyWeb.com.br
Mapeamento dos controles do PCAOB e o Cobit, atrelados aos processos de TI.
36 36 www.CompanyWeb.com.br
SOX Seção 404
Processo Processo TI / Objetivo de Comentários
Cobit Controle para SOX
Aquisição e manutenção de
AI2 sistemas aplicativos (software) Prover funções automatizadas que efetivamente suportem o negócio
Aquisição e manutenção de
AI3 tecnologia de infra-estrutura Fornecer plataformas apropriadas para sustentar os aplicativos de negócios
P04 Definição da organização de TI
e relacionamentos A adequada entrega dos serviços de TI é permitida por uma empresa que tem papéis definidos
e comunicados, responsáveis identificados (em número e habilidades), e por estar alinhada
com o negócio, facilita a implementação das estratégias, e fornece controles adequados
AI7 Instalação e homologação de Os novos sistemas precisam entrar em operação depois de concluído o processo de
soluções e mudanças desenvolvimento. Isso exige os devidos testes em um ambiente apropriado com informações
relevantes sobre os testes, definição do processo de implementação e instruções específicas
sobre migração, planejamento de novas versões, encaminhamento para a produção e revisão
pós-implementação para garantir sistemas operacionais alinhados com as expectativas
acordadas e resultados desejados
AI6 Gerenciar Mudanças Tem por objetivo minimizar a probabilidade de ocorrência de erros decorrentes das alterações
efetuadas. Isto é habilitado pelo gerenciamento de sistemas que garantam a análise das
implementações, revisão de todas as mudanças solicitadas, e acompanhamento da operação
da infra-estrutura de TI
DS1 Definir e Gerenciar Níveis de Estabelecer entendimento comum sobre os níveis de serviços requeridos pelo negócio e
Serviço acordos específicos (Service Level Agreements - SLA´s) que formalizam os critérios de
desempenho e os níveis de qualidade de serviços
DS2 Gerenciar serviços de terceiros Assegurar que os papéis e responsabilidades dos prestadores de serviço estão definidos e
aderentes aos requisitos de satisfação estabelecidos pela empresa. Isto é habilitado por
procedimentos de controle direcionados a revisar e monitorar os acordos e procedimentos de
adequação às políticas empresariais
37 www.CompanyWeb.com.br
SOX Seção 404
Processo Processo TI / Objetivo de Comentários
Cobit Controle para SOX
DS5 Garantir a Segurança dos Garantir a salvaguarda das informações, divulgações, destruição, modificação, perda e uso não
Sistemas autorizado. A segurança é habilitada por controles para garantir que somente usuários
autorizados obtenham acesso aos sistemas, programas e as informações classificadas como
restritas
DS9 Gerenciar a Configuração Garantir o controle sobre os componentes de TI, prevenir alterações não autorizadas,
inventariar e fornecer base para a gestão de mudanças. Isto é habilitado por controles que
identificam e registram os ativos de TI, sua localização física e programas de verificação
regulares para confirmar a existência destes ativos
DS8 Gerenciar Service Desk e Assegurar que os problemas que afetam os usuários serão resolvidos adequadamente. Isto é
Incidentes habilitado pela existência de equipe e processo de Service Desk que suporta os usuários e
fornece recomendações de soluções
DS10 Gerenciar Problemas Garantir que os problemas e incidentes sejam resolvidos e que as causas investigadas sirvam
para prevenir novas ocorrências. O sistema de gerenciamento de problemas deve classificar,
registrar e avaliar todos os incidentes ocorridos
DS11 Gerenciar Dados Assegurar que os dados permaneçam completos, internos e validos após sua entrada,
armazenamento e processamento. Isto é permitido pela combinação eficácia entre os controles
das aplicações e os controles gerais do ambiente de TI
DS12 Gerenciar ambiente físico A área responsável pelo gerenciamento das instalações deve prover segurança para proteção
dos equipamentos e profissionais de TI contra fatores humanos e ambientais
DS13 Gerenciar operações Assegurar que as funções de suporte de TI são realizadas regularmente e de forma ordenada,
com base na programação das atividades que devem ser registradas e atualizadas
38 38 www.CompanyWeb.com.br
Componentes
Coso
Seções SOX
Cobit
39
www.CompanyWeb.com.br
COSO (Internal Control Cobit (Dominios e Processos)
Components)
Controle do Ambiente PO (Planejamento e Organização)
PO 4.2 Inserção Organizacional da função de TI
PO 6.1 Ambiente de Controle de informações positiva
PO 6.2 Responsabilidade do gerenciamento das politicas
Avaliação de Risco PO (Planejar e Organização)
PO 9.0 Avaliar Risco
Controle de Atividade AI - Aquisição e Implementação
AI - 1.4 Requisitos de serviços de terceiros
AI - 6.0-6.8 Gerenciar mudanças
DS (Entrega e Suporte)
DS 5.0-5.21 Garantir Segurança dos Sistemas
DS 11.0-11.30 Gerenciar Dados
Informação e Comunicação PO (Planejamento e Organização)
PO 6.0-6.11 Divulgue os objetivos e a orientação do gerencimento
Monitoramento ME - Monitoramento e Avaliação
ME 2.0-2.4 Avaliar Controle Interno
40
www.CompanyWeb.com.br
O gerenciamento de riscos corporativos diz respeito aos
riscos e às oportunidades de criar e preservar valor,
sendo definido como o processo conduzido em uma
organização pelo Conselho Administrativo, Diretoria
Executiva e seus próprios funcionários, no
estabelecimento de estratégias formuladas para
identificar, em toda a organização, eventos em potencial
capazes de afetar a organização e administrar os riscos
para mantê-los compatíveis com o seu apetite a risco e
possibilitar garantia razoável do cumprimento dos
objetivos da organização.
41 www.CompanyWeb.com.br
• O apetite a risco é a quantidade de riscos, no
sentido mais amplo, que uma organização está
disposta a aceitar em sua busca e realização de
sua missão/visão para agregar valor.
42 www.CompanyWeb.com.br
gerenciamento de riscos
aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de uma visão de
portfólio de todos os riscos a que ela está exposta;
formulado de modo que identifique eventos em potencial, cuja ocorrência poderá afetar a organização, e
que administre os riscos de acordo com o seu apetite a risco.
43 www.CompanyWeb.com.br
O gerenciamento de riscos corporativos requer:
www.CompanyWeb.com.br
Alinhamento COBIT® e COSO
O foco do COSO é controle internos para empresa, enquanto o COBIT tem foco de
controles interno para TI. O alinhamento entre o COBIT® e COSO é de alto nível.
*Segundo o COSO a definição de controle interno: “Controle interno é um processo desenvolvido para garantir, com razoável certeza, que
sejam atingidos os objetivos da empresa”, nas seguintes categorias:
- Eficácia e eficiência de operações
- Confiabilidade nos registros contábeis e financeiros
- Conformidade com as leis e regulamentos. 45 www.CompanyWeb.com.br
CONFORMIDADE
46 www.CompanyWeb.com.br
Estabelecendo a Conformidade com a Lei SARBANES-
OXLEY (SOX)
47 47 www.CompanyWeb.com.br
Estabelecendo a Conformidade com a Lei SARBANES-
OXLEY (SOX)
O COBIT® é um framework de Governança de TI e de Controle que fornece objetivos de nível
de empresa e atividade associados a controles. Usando o framework do COBIT® a empresa
poderá desenvolver um sistema de controles de TI para estar em conformidade com a Seção
404 da Sarbanes-Oxley.
Seção 404
O gerenciamento
deve fornecer um
Está em relatório anual
COBIT Conformidade sobre avaliação
com dos controles
internos sobre
relatórios
financeiros.
Objetivos e Objetivos e
Controles de Nível Controles de Nível Ato Sarbanes-Oxley
da Empresa de Atividade
48
48www.CompanyWeb.com.br
Riscos?
49 www.CompanyWeb.com.br
Análise de Risco CRAMM*
Análise do Risco
Riscos
Gerenciamento do Risco
Contramedidas
(Countermeasures)
► Performance:
► Conformidade:
57 www.CompanyWeb.com.br
Governança Corporativa e Governança de TI requerem um
balanço entre a conformidade e as metas de desempenho
definidas pelo conselho diretivo da organização.
A Governança Corporativa
endereça a Governança de TI.
58 www.CompanyWeb.com.br
A Governança de TI é definida como uma
estrutura de relacionamento e processos para
direcionar e controlar a empresa para que ela
possa alcançar suas metas agregando valor
enquanto balanceia os Riscos x Retorno sobre a
TI e seus processos.
59 www.CompanyWeb.com.br
A necessidade de avaliação do valor de TI, o gerenciamento dos riscos
relacionados à TI e as crescentes necessidades de controle sobre as
informações são agora entendidos como elementos chave da
governança corporativa. Valor, risco e controle constituem a
essência da governança de TI.
60
www.CompanyWeb.com.br
O Control Objectives for Information and related Technology (CobiT®) fornece boas
práticas através de um modelo de domínios e processos e apresenta atividades em
uma estrutura lógica e gerenciável. As boas práticas do CobiT representam o consenso
de especialistas. Elas
são fortemente focadas mais nos controles
e menos na execução. Essas práticas irão ajudar a otimizar os investimentos
em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas
saem erradas.
www.CompanyWeb.com.br
www.CompanyWeb.com.br
A Governança de TI é de responsabilidade dos executivos e
da alta direção, consistindo em aspectos de liderança, estrutura
organizacional e processos que garantam que a área de TI da
organização suporte e aprimore os objetivos e as estratégias da
organização.
• A orientação do ITGI se foca nos em conceitos chaves e princípios da
governança que precisam ser endereçados para a Governança de TI eficiente:
Direcionar e Controlar
Responsabilidade (Responsible)
Cobrado/Prestar contas
(Accountable)
Atividades
63 www.CompanyWeb.com.br
Direcionar Controlar
Definir
Compara
Compara
Direcionamento
Conselho
Definir objetivos
Relata
Relata
e Medidas Medidas
Realizar
Realizar
Relata
Relata
Atividades
Atividades
Medidas
Organização de TI
64 www.CompanyWeb.com.br
65 www.CompanyWeb.com.br
66 www.CompanyWeb.com.br
Governança de TI: ÁREAS FOCO
www.CompanyWeb.com.br
68 www.CompanyWeb.com.br
www.CompanyWeb.com.br
70 www.CompanyWeb.com.br
71 www.CompanyWeb.com.br
72 www.CompanyWeb.com.br
73 www.CompanyWeb.com.br
Princípios do COBIT®
O modelo CobiT é baseado nos seguintes princípios (figura 5):
74 www.CompanyWeb.com.br
Componentes do COBIT®
Como estrutura para governança e controle de TI, o COBIT® focará em 2 áreas:
Recursos de TI
75 www.CompanyWeb.com.br
Cubo COBIT®
Planejar e Organizar
Adquirir e Implementar
Entregar e Suportar
Monitorar e Avaliar Processos
Em resumo, para prover as informações de que a empresa necessita para atingir seus
objetivos, os recursos de TI precisam ser gerenciados por uma série de processos
naturalmente agrupados.
78 www.CompanyWeb.com.br
79 www.CompanyWeb.com.br
80 www.CompanyWeb.com.br
81 www.CompanyWeb.com.br
CRITÉRIOS DE INFORMAÇAO (Requisitos de Negócios ) DO CobiT
82 www.CompanyWeb.com.br
Recursos de TI
Para atender aos requisitos de negócios para TI, a organização precisa investir nos
recursos necessários para criar uma adequada capacidade técnica (ex. um sistema de
planejamento de recursos [ERP]) que atenda a uma necessidade de negócios (ex.
implementar um canal de suprimentos) resultando no desejado retorno (ex. aumento de
vendas e benefícios financeiros).
83 www.CompanyWeb.com.br
Recursos de TI
A Figura 7
mostra como os
objetivos de
negócios para TI
influenciam o
modo
como os
recursos de TI
precisam ser
gerenciados
pelos
processos de
TI para
entregar os
objetivos de
TI.
84 www.CompanyWeb.com.br
Valor e Limitações
É aceito como referência internacional de boas práticas para Governança de TI, e não como um produto de
prateleira, pois está mapeado e alinhado com outros padrões e frameworks direcionados à TI, e está livremente
disponível como um padrão aberto.
Desenvolvido e mantido por um instituto de pesquisa independente e sem fins lucrativos, permite o
compartilhamento e nivelamento do conhecimento de membros associados, especialistas e profissionais de
controle e segurança.
Seu conteúdo baseia-se em uma contínua pesquisa das boas práticas de TI e é atualizado continuamente, provendo
um recurso objetivo e prático para todos os tipos de usuários.
O COBIT® atua como um integrador de diferentes framework e também está relacionada aos requisitos de
governança e de negócios.
É focado no que é necessário para atingir um adequado controle e gerenciamento de TI e está posicionado em
elevado nível.
85 www.CompanyWeb.com.br
Valor e Limitações
Entrega de
valor
Perfil de
risco
Infra-
estrutura de
TI,
organização
e portfólio
de projetos.
86 www.CompanyWeb.com.br
Visão Geral dos Principais Componentes do CobiT
Navegação pelo Modelo CobiT
O modelo CobiT é formado pelos seguintes componentes principais, apresentados no
restante desta publicação e organizado por 34 processos de TI, mostrando uma visão
geral de como controlar, gerenciar e mensurar cada processo. Cada processo é coberto
por quatro seções e cada uma delas é apresentada em cerca de uma página, como
segue:
A seção 1 (Figura 25), contém uma descrição do processo que resume os objetivos do processo, apresentada no formato de cascata. Esta
página também demonstra o mapeamento dos critérios de informação, recursos de TI e áreas de foco de governança de TI.
87 www.CompanyWeb.com.br
A orientação aos negócios do CobiT consiste em
objetivos de negócios ligados a objetivos de TI,
provendo métricas e modelos de maturidade para
medir a sua eficácia e identificando as
responsabilidades relacionadas dos donos dos
processos de negócios e de TI.
88 www.CompanyWeb.com.br
Navegação pelo Modelo CobiT
Para cada um dos processos de TI do CobiT é apresentado uma descrição em conjunto com os principais objetivos e métricas no formato de cascata
(Figura 25).
89 www.CompanyWeb.com.br
Estrutura de Controle COBIT ®: Medidas de Controle
As medidas de controle para cada processo de TI não satisfaz todos os requisitos de negócios
no mesmo nível. O framework do COBIT® define três níveis:
3. Em branco: Isto poderia ser aplicável. Entretanto, os requisitos são satisfeitos mais
apropriadamente por outro critério neste processo.
Secundário
Primário Em Branco
90 www.CompanyWeb.com.br
91 www.CompanyWeb.com.br
Objetivos de Negócios e Objetivos de TI
Enquanto os critérios de informação fornecem um método genérico para definir os requisitos de negócios, definir um
conjunto genérico de objetivos de negócios e de TI fornece uma base mais refinada para o estabelecimento dos requisitos de
negócios e o desenvolvimento de métricas que permitam avaliar se esses objetivos foram atendidos. Toda organização usa TI para
fazer funcionar as iniciativas de negócios e essas podem ser representadas como objetivos de negócios para a área de TI. Esses
exemplos genéricos podem ser utilizados como um guia para determinar os requisitos de negócios específicos, as metas e as
métricas para a organização.
Para a área de TI entregar de maneira bem-sucedida os serviços que suportam as estratégias de negócios, deve existir uma clara
definição das responsabilidades e direcionamento dos requisitos pela área de negócios (o cliente) e um claro entendimento acerca
do que e como precisa ser entregue pela TI (o fornecedor). A Figura 6 ilustra como a estratégia da empresa deveria ser traduzida
pela área de negócios em objetivos relacionados às iniciativas de TI (objetivos de negócios para TI). Esses objetivos devem levar a
uma clara definição dos objetivos próprios da área de TI (os objetivos de TI), o que por sua vez irá definir os recursos e capacidades
de TI (a arquitetura de TI para a organização) necessários para executar de maneira bem-sucedida a parte que cabe à TI na
estratégia da empresa.
92 www.CompanyWeb.com.br
Objetivos de Controles
1. Como a empresa consegue implementar controles na área de TI de forma que ela
entregue as informações que a empresa precisa?
2. Como ela gerencia os riscos e garante a segurança dos recursos de TI dos quais é tão
dependente?
3. Como a empresa assegura que a área de TI atinge os seus objetivos e atende aos
negócios?
Cada um dos processos de TI do CobiT possui uma descrição do processo e um número do objetivo de
controle. No todo, eles formam as características de um processo bem gerenciado.
Os objetivos de controles são identificados por duas letras para identificar o domínio (PO, AI, DS e ME), um
número de processo e um número de objetivo de controle.
A organização precisa analisar quais os controles necessários para assegurar que os riscos sejam mitigados e
que valor é obtido em linha com o apetite de risco e objetivos de negócios. Esses controles são
guiados pelos Objetivos de Controle do CobiT.
93 www.CompanyWeb.com.br
Requisitos de Controle genéricos (PC(n)) para os processos do COBIT são:
Além dos objetivos de controle, cada processo do CobiT possui requisitos de controle
genéricos identificados por PC(n), que indica o número de controle do processo. Eles devem
ser considerados junto com os objetivos de controle dos processos para que se tenha uma
visão completa dos requisitos de controle.
95 www.CompanyWeb.com.br
Modelo de Maturidade
96 www.CompanyWeb.com.br
Modelo de Maturidade do COBIT®
Atributos Rankings
3 – Definido
Processos são documentados e
Habilidades e perícia
comunicados, aplicados.
Responsabilidade e 4 – Gerenciado
Processos são monitorados e
Cobrança medidos.
www.CompanyWeb.com.br
Benchmarking (Comparação)
A escala do modelo de
maturidade ajudará os
profissionais a explicar aos
gerentes onde existem
deficiências no gerenciamento
Do processo de TI e definir
metas de onde querem estar.
99 www.CompanyWeb.com.br
Medição de Performance
Objetivos e métricas de TI
101 www.CompanyWeb.com.br
Componentes das Diretrizes de Gerenciamento: KPIs e KGIs
Indicadores de resultado (Key Goal Indicators): Define medidas que informam aos
gestores – após o fato – que indicam se uma função, processo ou atividade alcançou suas
metas. Indicadores de resultado das funções de TI são freqüentemente expressas em
termos de critérios de informação relevantes, como:
(Q/KPIs)
Indicadores
Processos
Entradas (Atividades e Saídas
Sub-processos)
Recursos Papéis
www.CompanyWeb.com.br
Indicadores de Metas Chaves
www.CompanyWeb.com.br
Indicadores de Performance
105
www.CompanyWeb.com.br
106 www.CompanyWeb.com.br
107 www.CompanyWeb.com.br
Responsabilidades na tabela RACI
108 www.CompanyWeb.com.br
109 www.CompanyWeb.com.br
Inter-relacionamento dos Componentes do COBIT®
Metas de
Negócios
Requisitos Informação
Metas de TI
Processos de TI
Decomposto em
chave
Executado por
Pela performance
Pela maturidade
Pelo resultado
110 www.CompanyWeb.com.br
Estrutura de Controle COBIT ®: Práticas de Controle
As Práticas de Controle estende a capacidade do COBIT, fornecendo aos usuários um
nível adicional de detalhes. Os processos de TI do COBIT, requisitos de negócios e
Objetivos de Controle definem o que precisa ser feito para implementar uma
estrutura de controle efetiva.
Metas de
Negócios
Requisitos Informação
Metas de TI
Processos de TI
Decomposto em
Controlado por
Objetivos de
Medida por
Controle
Atividades
chave Implementado
com
Práticas de
Executado por
Pela performance
Controle
Pela maturidade
Pelo resultado
112 www.CompanyWeb.com.br
www.CompanyWeb.com.br
Diretrizes de Gerenciamento do COBIT®
Entrada e
Saída do
Atividades Chave Processo
e gráficos RACI
TI, Processo
e Metas de
Atividade Estrutura das Diretrizes de
Gerenciamento
Indicadores de
Meta Chaves
(KGIs)
Indicadores de
Performance
Chaves (KPIs) Modelos de
Maturidade
www.CompanyWeb.com.br
Diretrizes de Gerenciamento do COBIT®
Questões de Gerenciamento:
1. Como a organização alcança resultados que sejam satisfatórios para os
segmentos de maior importância para seus acionistas?
2. Como a organização se adapta às tendências e desenvolvimentos no seu
envolvimento de uma forma a tempo?
115
www.CompanyWeb.com.br
Diretrizes de Gerenciamento do COBIT®
www.CompanyWeb.com.br
Diretrizes de Gerenciamento do COBIT®
Processos
Clientes
BSC Internos
Para alcançarmos
nossa
visão, como
deveríamos
ser vistos pelos
Para alcançarmos nossa
nossos Aprendizagem
clientes ? e crescimento visão, como sustentaríamos
nossa capacidade de
mudar e melhorar?
www.CompanyWeb.com.br
Diretrizes de Gerenciamento do COBIT®
Metas de Negócios
Requisitos de Requisitos de
Negócios Governança
Implica Critérios de
Informação
Metas de TI
Processos de TI
Entrega
Informação
IT
executa
Processos Aplicações
de TI
Infra-estrutura
e pessoas
Precisa de
www.CompanyWeb.com.br
Mapeando as Metas de TI para as Metas de Negócios
Mapeando as
Metas de
Negócios para as
Metas de TI
Processos de TI
Mapeando as Metas
Entrega
de TI para os Informação
Processos do COBIT
Processos executa
Aplicações
de TI
Infra-estrutura
Precisa de e pessoas
www.CompanyWeb.com.br
www.CompanyWeb.com.br
www.CompanyWeb.com.br
Guia de Validação (Assurance Guide)
O objetivo do Guia de Validação de TI é:
1. Orientar como usar o COBIT® para suportar uma variedade de atividades validades de
TI;
2. Permitir os usuários utilizar o COBIT® quando planejarem e fazerem revisões de tal
forma que os negócios, a TI, e os auditores estejam bem alinhados ao redor de uma
estrutura e objetivos comuns;
3. Guiar no planejamento, definição de escopo e na execução de revisões, usando um
roadmap (guia) baseado em formas de validação aceitas, suportadas por testes
detalhados e baseados nos processos e objetivos de controle do COBIT®.
Roadmap
de Validação
Roadmap
de Execução
Teste e
Recomendação
Detalhada
124
www.CompanyWeb.com.br
Guia de Validação (Assurance Guide)
Consiste de três estágios:
Execução do Roadmap
de TI. controle
www.CompanyWeb.com.br
Guia de Validação (Assurance Guide)
Execução do Roadmap
1. Refinar o Entendimento
O primeiro estágio da fase de execução é refinar o entendimento do ambiente
nos quais os testes serão executados. Isto implica entender a organização para
selecionar o escopo e objetivo corretos de validação.
www.CompanyWeb.com.br
Guia de Validação (Assurance Guide)
Execução do Roadmap
3. Concepção de Teste:
www.CompanyWeb.com.br
Guia de Validação (Assurance Guide)
Execução do Roadmap
5. Documentar o Impacto:
• No quinto estágio, quando fraquezas de controle são encontradas, elas devem ser
corretamente documentadas baseada na severidade e no potencial impacto que possa haver
nos negócios.
• Testes são conduzidos organizadamente para prover validação (ou não) aos gestores da
realização dos processo de negócios e objetivos de controle relacionados.
6. Comunicar as Conclusões:
• Além disso, o profissional de validação pode prover informações comparativas, por exemplo,
benchmarks, para estabelecer uma estrutura de referência em que os testes resultantes
tenham sido avaliados.
www.CompanyWeb.com.br
Guia de Validação (Assurance Guide)
Declaração de
Objetivos de Controle Declaração de Risco
Valor
Metas de
Negócios
Requisitos Informação
Metas de TI
Processos de TI
Decomposto em
Controlado por
Auditada por Testes de
Controle de
Derivado de Objetivos de
Medida por
Resultados Controle
Atividades
chave Auditado Implementado
com com
Testes de
Praticas de
Executado por Concepção e
Pela performance Controle Controle
Pela maturidade Baseado em
Pelo resultado
www.CompanyWeb.com.br
Relacionamento com outros frameworks
O COBIT® está preparado para suportar padrões internacionais, sendo cada vez mais
reconhecido como o framework para a Governança de TI.
O COBIT® está focado em o que é necessário para alcançar esta governança e o controle em
um alto nível. Está alinhado com outras melhores práticas e pode ser usado como o
“integrador” de diferentes “guias” como a ISO 17799 e a ITIL.
Estratégia COBIT
ISO17799
Controle de
Processo
Execução de CMM
Processo ITIL
•Instrução de •Instrução de •Instrução de •Instrução de •Instrução de
Instrução de •Trabalho
•2
•Trabalho
•2
•Trabalho
•2
•Trabalho
•2
•Trabalho
•2
Trabalho •3
• 4,5,6….
•3
• 4,5,6….
•3
• 4,5,6….
•3
• 4,5,6….
•3
• 4,5,6….
www.CompanyWeb.com.br
Relacionamento com outros frameworks
A relevância de padrões e práticas depende da organização e suas prioridades e
expectativas. Uma empresa pode decidir por adotar todos, um, ou parte de um dos
padrões para melhorar a desempenho de um processo de negócio ou capacitar a
transformação de negócios.
Específico
TCO
Relevante para o TI
COBIT
Six Sigma
Geral
ISO 9000
Scorecards
Meta de Melhoria
PERFORMANCE CONFORMIDADE
Dirigentes
Metas de Negócios Basel II, Sarbanes-Oxley Act, etc.
Governança de TI COBIT
www.CompanyWeb.com.br
Recursos do COBIT
O diagrama de conteúdo
do CobiT descrito na
Figura 3 apresenta o
principal público-alvo,
suas dúvidas sobre
governança de TI e os
produtos aplicáveis que
podem lhes dar as
respostas. Também
existem produtos
derivados para
finalidades específicas,
domínios (como
segurança) ou
organizações específicas.
www.CompanyWeb.com.br
Recursos do COBIT
COBIT
COBIT Online
Quickstart
IT Governance
COBIT Security
Implementation
Baseline
Guide
137
www.CompanyWeb.com.br
Recursos do COBIT | Cobit OnLine
www.CompanyWeb.com.br
Recursos do COBIT | Cobit Quickstart
Vantagens do COBIT Quickstart:
Componentes:
www.CompanyWeb.com.br
Recursos do COBIT | IT Governance Implementation Guide
O IT Governance Implementation Guide (Guia de implementação de Governança de TI)
fornece uma metodologia, um “roadmap” detalhado e um conjunto de ferramentas para
implementar um ciclo de vida contínuo de Governança de TI usando o COBIT®.
Um conjunto de CDs contendo uma visão geral para dar suporte ao roadmap,
contendo templates, apresentações, documentos e ferramentas de avaliação.
www.CompanyWeb.com.br
Recursos do COBIT | Security Baseline
O COBIT Security Baseline ajuda a organização a focar nos passos
essenciais para extrair as informações mais importantes
relacionadas a segurança.
• A questão • A questão
Estratégica do Valor
Estamos
Estamos
fazendo as
obtendo os
coisas
benefícios?
certas?
Estamos Estamos
fazendo da fazendo de
forma um jeito
certa? bem feito?
• A questão • A questão
de da Entrega
Arquitetura
www.CompanyWeb.com.br
VAL IT | Processos e Práticas de Gerenciamento
GI –
Gerenciamento
de
Investimentos
GP –
Gerenciamento
de Portfolio
VG – Valor da
Governança
www.CompanyWeb.com.br
VAL IT | Processos e Práticas de Gerenciamento
1. Estratégias de TI e do Negócio;
2. Gerenciamento de Investimentos;
3. Portfólio programas e gerenciamento de projetos;
4. Monitorar e avaliar o valor da entrega.
www.CompanyWeb.com.br
DICAS PRÁTICAS: Implemetação Framework COBIT
153
www.CompanyWeb.com.br
Cultura & Comunicação
Problemas culturais e de comunicação, são extremamente relevantes numa
implementação de governança de TI:
11 3532-1076
www.CompanyWeb.com.br