UniAnchieta GovSeg TI 2013 PDF

Governana: Implementao Prtica de CobiT 4.
1
Prof. Andre Pitkowski
Prof. Andre Pitkowski, 2013
Agenda:
Governana Corporativa A crise de 1929 Criao da SEC em 1934 Sarbanes Oxley Controles Internos COSO Governana de TI CobiT Processos Atividades Maturidade Mtricas e Indicadores
Proposta de trabalho em grupo

Frequencia e NOTA
Frequencia: apontada no comeo de cada aula. Nota:
Solicitaes em sala de aula: 20%
Individuais ou em grupo Resenhas de livros Interpretaes de notcias
Prova individual: 20% Projeto: 60%

Depois da 1 Grande Guerra Mundial

(1914-1918), a indstria dos EUA era responsvel por quase 50% da produo mundial; AMERICAN WAY OF LIFE. Esse estilo de vida caracterizou-se pelo grande aumento na aquisio de automveis, eletrodomsticos e toda sorte de produtos industrializados. EUROPA, (Inglaterra, Frana e Alemanha) foi atualizando rapidamente seus modelos industriais. Reduziram as importaes de produtos americanos. A produo industrial e agrcola dos Estados Unidos continuava a crescer aceleradamente. superproduo capitalista. E ento, os EUA sofreram um grande abalo econmico em 1929, quando mergulharam numa terrvel crise, de repercusso mundial.
Antes da crise de 1929

Antes da grande quebra de 1929 havia pouco apoio regulamentao federal do mercado de valores mobilirios americano. Isso era particularmente verdadeiro durante o ps guerra, com a intensificao do mercado de valores mobilirios. As propostas do governo para as empresas fornecerem informaes financeiras ao mercado e prevenisse a venda fraudulenta de aes nunca foram levadas a srio. Motivados pela perspectivas da fortuna fcil, a maior parte dos investidores e acionistas deu pouca ateno aos perigos inerentes s operaes de um mercado sem controle. Durante os anos 20, aproximadamente 20 milhes de grandes e pequenos acionistas tiraram vantagem da prosperidade americana do ps-guerra e fizeram fortuna no mercado de aes. Estima-se que, dos cerca USD 50 Bilhes em novas aes oferecidas nesse perodo metade perdeu completamente o seu valor.
24 de outubro de 1929
quinta-feira negra Crise na Bolsa de Nova York. Muitas empresas simplesmente deixaram de existir de uma hora para outra. Seus acionistas foram surpreendidos, perdendo todo o capital investido.
A crise de 1929 a quebra da bolsa de Nova York

As empresas americanas foram foradas a reduzir o ritmo de sua produo. Em funo disso, promoveram a demisso em massa de seus funcionrios.
Terminava o sonho AMERICAN WAY OF LIFE.
Durante a crise, 15 milhes de americanos ficaram desempregados.
A quebra da Bolsa de Valores de Nova York abalou o mundo inteiro. Os Estados Unidos, no podendo vender, tambm deixaram de comprar, e isso afetou tambm o Brasil, que dependia das exportaes de caf para os Estados Unidos. Com a crise, parte do volumoso estoque de caf produzido no Brasil ficou sem mercado consumidor. O Brasil no conseguiu conter o desastre econmico que abalou a classe cafeicultora e, por consequncia, abalou as prprias estruturas polticas da Repblica Velha, abrindo caminho para a Revoluo de Prof. Andre Pitkowski, 2013 9 1930, que levaria Getlio Vargas ao poder.
Av. Paulista
10
Os bancos...

Quando o mercado de aes quebrou em Outubro de 1929 as fortunas de um nmero incontvel de investidores foram totalmente perdidas. Os bancos tambm perderam grandes somas de dinheiro no crash porque eles tambm investiram pesadamente no mercado de aes. Quando os correntistas perceberam que seus bancos no seriam capazes de honrar seus depsitos iniciou-se uma corrida aos bancos abalando fortemente o sistema financeiro Americano.
11
New Deal: A reao crise de 1929
Aps a crise, nos primeiros anos do governo do presidente Franklin Delano Roosevelt, os Estados Unidos adotaram o New Deal, que era um conjunto de medidas destinadas superao da crise.
Dentre as principais medidas adotadas pela poltica econmica do New Deal, destacam-se: Controle governamental dos preos de diversos produtos industriais e agrcolas; Concesso de emprstimos aos proprietrios agrcolas; Realizao de um grande programa de obras pblicas; Criao de um seguro-desemprego; Plano de recuperao industrial.
12
CINCO anos depois...

Com o crash e a depresso econmica, a confiana pblica no mercado mobilirio caiu drasticamente; Criou-se um consenso de que a confiana pblica nos mercados deveria ser restaurada para que houvesse a recuperao econmica; Os congressistas americanos mantiveram diversas audincias para identificar os problemas e buscar solues; Como resultado, o congresso americano aprovou ento o Securities Act of 1933 e o Securities Exchange Act of 1934; Securities and Exchange Comission ocorreu em um perodo propcio para grandes reformas; Essas leis foram criadas para restaurar a confiana dos investidores provendo mais estrutura e poder de superviso para o governo.
13
A criao da SEC em 1934

Os principais pontos das novas leis foram: As empresas que fizessem ofertas pblicas de aes deveriam dizer ao pblico a verdade sobre seus negcios, sobre os papis que estavam vendendo e os riscos envolvidos naquele investimento; As pessoas e empresas que comercializarem os papis deveriam tratar os investidores de forma justa e honesta colocando os interesses deles em primeiro lugar.
Ento, monitorar o mercado de valores mobilirios passou a requerer um grande e coordenado esforo. Da, o congresso americano estabeleceu a SEC Securities and Exchange Commission em 1934 para assegurar o cumprimento das novas leis, promover a estabilidade dos mercados e o mais importante: proteger os investidores.
O Presidente Franklin Delano Roosevelt indicou Joseph P. Kennedy (pai do Presidente John F. Kennedy), para ser o 1 Chairman da SEC.
14
A quebra (1929), a SEC (1934) e a Governana Corporativa

Aps os anos 30, a Governana Corporativa permaneceu ignorada por muito tempo como assunto de potencial importncia para o desenvolvimento econmico das naes. A intensificao do comrcio mundial e do fluxo internacional de capitais (globalizao) acentuou sua Importncia como importante proteo para investidores.
A crise financeira ocorrida no leste asitico no perodo 1997-1998 seguida das crises na Rssia e no Brasil chamou a ateno para as deficincias das prticas de Governana Corporativa em vrias economias emergentes, evidenciando riscos para o mercado financeiro globalizado. Mais recentemente, os escndalos financeiros ocorridos na Europa (Ex.: caso Parmalat) e em mercados considerados maduros e seguros como os EUA (Enron, WorldCom, Tyco, Vivendi, Marconi, Arthur Andersen etc.) evidenciaram ainda mais a importncia do assunto, contribuindo para um significativo aprimoramento das prticas e regulamentaes.
15
Cronologia das Crises
1929: A quebra de 29 1971: O fim do sistema padro-ouro 1973: O embargo do petrleo no conflito rabe-israelense 1979: A Revoluo Iraniana 1980: Iraque invade Ir 1987: A Segunda-feira Negra 1994: A crise do peso mexicano 1997: A crise dos Gigantes Asiticos 1998: A crise do rublo 2000: A crise das pontocom (eBay e AMAZON)
16
Governana Corporativa Os escndalos

Mercado altamente pulverizado; DONO = CEO; Muitos conselheiros internos; Presso por resultados de curto prazo; Stock Options generosos para executivos e conselheiros; Informaes privilegiadas e conflitos de interesse; Interpretaes contbeis criativas; Analistas remunerados por negcios de underwriting.
17
Sarbanes Oxley (SOX) Act de 2002

1. Protege os investidores e acionistas contra crimes contbeis; 2. Impe maiores penalidades e impedimentos para os dirigentes (Multa de at USD5MM e deteno de at 20 anos); 3. CEO e CFO so obrigados a certificar as demonstraes contbeis da Empresa, bem como seus Controles Internos, Processos e Sistemas utilizados na sua preparao; 4. Os dirigentes so obrigados a divulgar para o mercado qualquer transao com aes da Empresa; 5. As Stock Options devem ser aprovadas pelos acionistas; 6. Os Dirigentes e Administradores devem aderir (assinar) um Cdigo de tica especifico.
18
SOX As reformas da Lei

As principais reformas contidas na Lei Sarbanes-Oxley podem ser resumidas em TRS itens: PRIMEIRO: A lei inclui reformas visando a melhoria operacional e a recuperao da credibilidade da profisso contbil. Ela no mais permite a autorregulamentao da profisso de cincias contbeis no que se refere auditoria dos demonstrativos financeiros de empresas de capital aberto.
Em seu lugar foi criado o Conselho de Fiscalizao de Auditoria de Companhias Abertas (PCAOB), organismo independente, com representao no setor privado, mas sob superviso da SEC.
19
SEGUNDO: A reforma fornece novas ferramentas para se fazer cumprir as Leis de Valores Mobilirios. A Comisso tem usado estas ferramentas para ampliar o alcance do seu programa de fiscalizao. Nos DOIS ltimos anos fiscais, a Comisso deu entrada em mais de 1300 aes de fiscalizao, dos quais cerca de 370 envolviam relatrios financeiros criativos e fraudes contbeis. Conseguimos ordens judiciais para o pagamento de multas e devoluo dos ganhos obtidos ilegalmente no total de quase USD 5 Bilhes. Alm disso, conseguimos impedir que mais de 330 executivos voltassem a atuar como diretores ou conselheiros em empresas de capital aberto.
20

TERCEIRO: A reforma da Lei traz novas exigncias relacionadas ao aperfeioamento das praticas de divulgao dos relatrios e demonstrativos financeiros: As clusulas referentes certificao dos relatrios e demonstrativos financeiros pelos Diretores Executivo e Financeiro, tem o objetivo de no deixar nenhuma dvida quanto responsabilidade da Alta Administrao sobre as informaes publicadas pela empresa. Tambm se encontram neste item, as clusulas que recebem mais ateno das empresas e dos auditores:
Exigncia do Relatrio Anual da Administrao da empresa e Relatrio da Auditoria de Controles Internos atestando a veracidade sobre as informaes publicadas nos referidos relatrios e demonstrativos financeiros.
21
Foi o fim de Detroit?
Revista EXAME: Novembro 2008

220 mil funcionrios Valor: US$ 2,7 bilhes O mesmo valor que em 1929 O mesmo valor que a motores WEG e Fosfrtil
230 mil funcionrios Valor: US$4,4 bilhes O mesmo valor que a Natura
22
Escndalo do Sub Prime setembro 2008

O que foi (ainda ?) Efeito domin: outras verticais alm da financeira:
Area, entretenimento, sade, varejo, automobilstica...
Escndalo Madoff (pirmide) Empresa de software da ndia, mentindo sobre os lucros 33 vezes o real. Brasil: Vale, Sadia, Votorantin, Parmalat (de novo),
Como esta crise afeta a rea de TI da VW por exemplo?

Vo assistir e esperar? Existe algo que podem fazer? Por onde entra o $$$ na VW?
23
25/03/2009 - 13h26 Governo da Alemanha aprova projeto que aumenta superviso bancria
Efe, em Berlim
O governo da Alemanha aprovou nesta quarta-feira um projeto de lei destinado a melhorar a superviso bancria, em meio crise que teve um forte impacto sobre o setor financeiro alemo. O projeto inclui a concesso de maiores competncias BaFin (Autoridade de Superviso Financeira Federal, na sigla em alemo). No futuro, o rgo poder exigir aos bancos, por exemplo, que tenham mais recursos prprios e maior liquidez, o que, na Alemanha, foi um dos principais problemas durante a crise bancria.
24
25
Interpretaes da Crise de 2008
26
Mais da Cronologia das crises
2001: As Torres Gmeas 2001-2002: A crise argentina 2008-2009: A Grande Recesso 2009-2010: A crise da dvida na Europa
27
CVM multa acionista da Sadia por informao privilegiada
A CVM (Comisso de Valores Mobilirios) condenou nesta tera-feira o acionista da Sadia, Flvio Fontana Mincaroni, pelo uso de informao privilegiada na compra de aes em julho de 2006, quando a companhia fez uma oferta pela Perdigo. Ele foi condenado a pagar uma multa de R$ 500 mil. Segundo a CVM, o acusado, representando o pai Jorge Alberto Mincaroni, comprou 8.000 aes ordinrias de emisso da Perdigo S/A nos dias 12, 13 e 14 de julho e as vendeu nos dias 18 e 21 do mesmo ms, obtendo lucro bruto de R$ 42.773. A Comisso de Inqurito da CVM obteve declarao de Mincaroni em depoimento de que sabia da oferta da Perdigo em torno de uma semana a dez dias antes da oferta se tornar pblica, quando participou de uma reunio em So Paulo em que foi explicada a oferta. De acordo com um conselheiro da Sadia, ele e a sua me, Maria Aparecida Fontana Mincaroni, teriam sido informados com antecedncia sobre a referida oferta porque "como membros do acordo de acionistas, eles teriam que manifestar seu voto com relao a oferta pblica, apoiando ou recusando na reunio do acordo". Outros dois acusados no processo, Christiane Assis e Osrio Henrique Furlan Junior, foram absolvidos pela falta de provas. O acusado poder apresentar recurso, com efeito suspensivo, ao Conselho de Recursos do Sistema Financeiro Nacional.
28
E a Governana nisso tudo?
Governana Corporativa Conjunto de Prticas que tem a finalidade de otimizar o desempenho de uma Empresa ao proteger todas as partes interessadas, tais como Investidores, Colaboradores e Parceiros, facilitando o acesso ao Capital.
29
Sarbanes-Oxley
Pontos positivos de se adotar a lei SOX Melhores decises operacionais e obteno informaes mais pontuais, granulares, detalhadas; Conquistar ou reconquistar a confiana dos Investidores; Evitar a evaso de recursos; Cumprir as leis e normas;
Pontos relevantes da no adoo da lei SOX Maior exposio a fraude; Penalidades impostas pela SEC; (Security Exchange Comission) Queixas ou outras aes judiciais impetradas por Acionistas; Impacto negativo sobre o valor das aes para os Acionistas;
Obter vantagem competitiva atravs Publicidade desfavorvel. de operaes mais dinmicas;
30
Sarbanes-Oxley
Governana Corporativa e suas prticas ticas de negcio no so mais apenas requisitos.
... LEI !!!

31
Sarbanes-Oxley
A lei Sarbanes-Oxley (SOXA) foi criada para aumentar a responsabilidade do Executivo sobre os controles da Empresa. Um bom Controle Interno pode impulsionar os negcios da Empresa em trs categorias:
1. Eficcia e Eficincia das Operaes; 2. Confiabilidade nos Relatrios Financeiros; 3. Cumprimento das Leis e Regulamentaes.
32
Controles Internos
Para atender aos requisitos da lei SOX, a Empresa deve escolher um framework que permita atender a quatro critrios
Integridade Objetividade Mensurao Pertinncia
(completa, exata) (alinhada ao negcio) (mtricas, indicadores, desempenho) (propsito, relevncia)
33
Controles Internos
..um processo estruturado, efetuado pelo Conselho de Administrao, pela prpria Administrao ou por outras pessoas da Empresa, que visa fornecer uma segurana razovel quanto possibilidade de se atingir os Objetivos de Negcio nas seguintes categorias:
1. Eficcia e Eficincia das operaes; 2. Confiabilidade dos relatrios financeiros; 3. Cumprimento de leis e regulamentos aplicveis.
Definio baseada no COSO
(Committee of Sponsoring Organizations of the Treadway Commission)
34
E a Governana de TI ??
Estrutura de relacionamento e de processos para dirigir e controlar a empresa, de forma a atingir suas metas, adicionando valor, enquanto balanceia riscos x retorno dos investimentos em TI.
atividades
processos
informao
Governana de TI
baseada em processos orientada ao Negcio
35
Viso Geral do Mercado

Ameaas Sobrevivncia e ao Sucesso de uma empresa no mercado
Aumento da dependncia da informao e dos sistemas que as processam. Custo da informao e seus sistemas. Aumento das vulnerabilidades e ameaas. Tecnologia interfere na estratgia da empresa e prticas de negcio, criando novas oportunidades e reduzindo custos
Gerenciamento da Informao e da TI
36
INFORMAO tornou-se o bem mais valioso!

Pelo menos o que dizem, certo?
Conhecimento Informao Dados

37
Quais so as atuais Demandas de TI
Melhoria da qualidade Mais funcionalidades Facilidades de uso Menor tempo de entrega SLAs Custos mais baixos
38
Quais so os atuais Desafios de TI
Manter a operao de TI Entregar valor ao cliente Custos de TI Dominar a complexidade de TI Segurana da Informao Conformidade legal Alinhar TI ao Negcio
39
Quais so as atuais angstias de TI

H falhas de comunicao entre TI e o Negcio Percebe-se que os custos de TI esto fora de controle ROI e produtividade no existem Ambiente de TI est cada vez mais complexo Nveis de servio insatisfatrios Infra-estrutura de TI dispersa e fragmentada Demanda por especialistas maior que a oferta Usurio desapontado criando soluo prpria Equipe de TI = brigada de incndio
40
Antes de falarmos em Governana O que Tecnologia da Informao? Tecnologia Conjunto de processos pelos quais a empresa transforma recursos em produtos e servios de grande valor Inovao Mudana na Tecnologia
41
Estrutura de relacionamento e de processos para dirigir e controlar a empresa, de forma a atingir suas metas, adicionando valor, enquanto balanceia riscos x retorno dos investimentos em TI.
atividades
PROCESSOS
informao
Governana de TI baseada em processos orientada ao Negcio

42
Princpios da Governana de TI
Direcionamento e Controle Responsabilidade Prestao de contas (transparncia) Atividades (execuo e reportes)
43
Funes e responsabilidades da Governana de TI

Definir objetivos de TI alinhar estratgias de TI com as estratgias da empresa; definir expectativas e medidas de desempenho; viabilizar recursos; definir prioridades. Gerenciar as atividades de TI Monitorar desempenho de TI Gerenciar o risco da TI (Representar e legitimar a funo TI)
44
Todas as empresas reconhecem os benefcios de TI.
Empresas de sucesso entendem e gerenciam os riscos associados aos seus Objetivos de Controle quando implementam novas tecnologias
Estas empresas estabelecem modelos de Governana de TI

45
Governana de TI
A Governana de TI tem um papel fundamental na adequao das empresas lei SOX, na medida em que tem que assegurar a integridade e a segurana de toda a informao processada atravs dos seus sistemas.
46
Governana de TI
Profissionais de TI em posio executiva tem os seguintes desafios:

Melhorar seus conhecimentos sobre controles internos (COSO); Entender o Plano Geral da Estratgia da empresa ao mercado; Desenvolver um plano de adequao para resolver especificamente os controles de TI; Integrar o plano de adequao de TI ao Plano Geral da empresa.
47
Governana de TI
Aspectos CRTICOS a serem considerados:

Projetos de introduo de novos sistemas & tecnologias; Integrao de sistemas; Manuteno de sistemas; Operao de sistemas (usurios, infraestrutura etc.); Segurana dos sistemas e registros de acessos.
48
Control Objetives for Information and Related Tecnology
Governana de TI e o CobiT
CobiT
Conjunto de prticas de Governana de TI, estruturadas de forma lgica (framework) atravs de Domnios de Conhecimento, Processos de TI e Atividades. Representa o consenso de especialistas da rea de TI, focados em Controle Internos e execuo (praticas).
As prticas ajudam
Otimizar os investimentos em TI Garantia de entrega de servios e Aes mitigatrias quando erros acontecerem
Que prticas so estas ???

49
Melhores Prticas COSO

Committee of Sponsoring Organizations of the Treadway Commssion
Organizao privada dedicada melhoria da qualidade dos reportes financeiros atravs da tica, Controles Internos e Governana Corporativa. Modelo publicado em 1992 para gesto e avaliao de Controles Internos. Padro aceito globalmente.
50
COSO
Committee of Sponsoring Organizations of the Treadway Commission
Organizao criada em 1985 com o objetivo de aprimorar:
a qualidade dos relatrios e demonstrativos financeiros a tica nos negcios a efetividade dos controles e a governana corporativa
... no sentido de garantir a continuidade das empresas (perenidade) e o retorno sobre o investimento realizado.
51
COSO www.coso.org
Definio de CONTROLE INTERNO:
Controle Interno um PROCESSO, exercido pela Presidncia, Superintendncias, Gerencias e por todos os Colaboradores, projetado para fornecer uma garantia razovel de realizao dos objetivos da empresa nas seguintes categorias:
1.Eficcia e Eficincia das operaes; 2.Confiabilidade nos relatrios financeiros; 3.Aderncia s leis e regulamentos locais e globais;
Conceitos Chave: Controle Interno um Processo: um meio para se chegar a um fim, no um fim em si; Controle Interno efetuado por PESSOAS. No so meramente manuais e formulrios da Poltica, mas pessoas, em todos os nveis de uma organizao; O Controle Interno fornece apenas uma garantia razovel, nunca absoluta de que os objetivos sero alcanados; O Controle Interno focado realizao dos OBJETIVOS das categorias, mas sempre de forma conjunta, nunca isoladamente.
52
Committee of Sponsoring Organizations of the Treadway Commission (COSO)

Entidade sem fins lucrativos composta por representantes de empresas cujo trabalho suportar e patrocinar a Comisso Nacional do Governo Americano para investigar Reportes Financeiros Fraudulentos. A misso da Comisso Nacional do Governo Americano estudar e relatar os fatores que podem culminar com a emisso de um relatrio financeiro fraudulento.
COSO
53
A evoluo do COSO ao longo do tempo
1977: FCPA - Foreign Corrupt Practices Act 1985: National Commission on Fraudulent Financial Reporting (Treadway Commission) 1987: Committee of Sponsoring Organisations (COSO) Primeiro relatrio COSO com concluses sobre origens e causas de fraudes corporativas
Ambiente de controle fraco Ausncia de cdigos de conduta No eficcia dos comits de auditoria No eficcia da auditoria interna Literatura existente omissa em controles
54
A evoluo do COSO ao longo do tempo
1992 Coopers & Lybrand publicou o documento "Internal Control - Integrated Framework Definio comum de Controle Interno, e um framework para se avaliar e melhorar sistemas e processos Este relatrio de uso padro nas empresas dos EUA para avaliar a conformidade com FCPA
(Foreign Corrupt Practices Act) Prof. Andre Pitkowski, 2013
55
COSO - Internal Control - Integrated Framework
O documento (de quatro volumes) um modelo para a implantao de Controles Internos com os objetivos de: Tratar a eficincia dos processos de Negcio Minimizar riscos de Negcio Ajudar a assegurar a confiabilidade nos balanos financeiros em conformidade com as leis e regulamentos
EXECUTIVE SUMMARY Viso geral do modelo de Controle Interno. O Executive Summary esta tambm includo no Framework. FRAMEWORK Define o modelo de controle interno, seus componentes e contm os atributos para avaliar o sistema de Controles Internos da empresa. REPORTING TO EXTERNAL PARTIES Guias para elaborao de relatrios de uma forma padronizada e adequada. Ele endereado s empresas que publicam seus balanos financeiros e para as entidades que recebem estes balanos. EVALUATION TOOLS Composto de material til para a avaliao de sistemas de Controles Internos.
56
COSO Controle Interno
CONTROLE INTERNO um processo, no um fim em si mesmo. mais que Polticas, Procedimentos, Guias, Manuais ou Formulrios, porque envolve (responsabiliza) PESSOAS em todos os nveis hierrquicos da empresa.
Em se tratando de PESSOAS, espera-se SEGURANA (dados, TI, processos negcio) em nvel razovel, no absoluto.
Estes processos (Controles Internos) so implementados na empresa para tratar uma ou mais categorias (consideradas em separado) mas todas (pertinentes em conjunto) ao negcio.
57
COSO Controle Interno: Componentes
Critrios da Informao
COSO
Categorias
Locais e Atividades
Atividade 2
Informao e Comunicao Atividades de Controle Avaliao de Riscos Controle do Ambiente

Unidade 1 Unidade 2
Atividade 1
ATIVIDADES
CobiT
58
Componentes
Monitoramento
de
s ce es n es iro t lia a or nce p r p e m pe R fina O Co
DOMNIOS
et iv i ici dad Co nc e n f ia id e In te ncia Di grid lid sp ad a e C o on d e m ibi Co plia lida n f n c de ia A I Pe I n bi e nf pl lid ic r ss fo Re ad oa rm aes a e l cu a tru es o tu rs ra o Ef
Ef
PROCESSOS
TI
COSO Controle Interno: Desc. dos Componentes
Monitoramento Todos os Processos devem ser permanentemente monitorados. As necessidades de modificaes (ou mudanas) devem ser esclarecidas e implementadas de maneira correta (consciente, controlada, oportuna). Informao e Comunicao - Meios de informao e comunicao devem ser usados para gerenciar os Processos. Estes meios permitem s pessoas reconhecerem suas responsabilidades, desempenhando as Atividades de Controle. Atividades de Controle - Polticas e Procedimentos devem ser implementados para evidenciar o Gerenciamento dos Riscos e alcanar os Objetivos de Negcio definidos pela empresa. As Polticas e Procedimentos especificam as atividades que devem ser executadas. Avaliao de Riscos - A conscientizao sobre os riscos um fator crucial para a empresa alcanar seus Objetivos de Negcio. Os riscos devem ser identificados, analisados e gerenciados de modo apropriado. Controle do Ambiente - O ambiente no qual as pessoas trabalham. Pessoas so vistas como o centro de qualquer negcio, e tem perfis individuais tais como valores ticos e competncias.

Atividade 1 Atividade 2
Monitoramento Informao e Comunicao Atividades de Controle Avaliao de Riscos Controle do Ambiente

Unidade 1 Unidade 2
Componentes
59
Controle do Ambiente - O ambiente no qual as pessoas operam. Pessoas so vistas como o centro de qualquer negcio e tem atributos individuais tais como valores ticos e competncias.
1.


Unidade 1 Unidade 2
INTEGRIDADE E VALORES TICOS. Integridade e valores ticos, particularmente no primeiro escalo da empresa, so estabelecidos e entendidos, e caracterizaro o padro de conduta para emisso dos relatrios financeiros. 2. BOARD DE DIRETORES. O primeiro escalo da diretoria da empresa entende e exercita as responsabilidades quanto ao balanceamento de autoridade correcional entre as gerencias quanto aos relatrios financeiros e aos Controles Internos relacionados. 3. ESTILO DE OPERAAO E FILOSOFIA DE GERENCIAMENTO. A filosofia de gerenciamento e o estilo de operao suportam o realizao de Controles Internos efetivos sobre os relatrios financeiros. 4. ESTRUTURA ORGANIZACIONAL. A estrutura organizacional da empresa tambm suportam a realizao de Controles Internos efetivos sobre os relatrios financeiros. 5. COMPETENCIAS PARA RELATORIOS FINANCEIROS. A empresa retm indivduos competentes: em reportes financeiros e para atuao no balanceamento de autoridade correcional entre as gerencias da empresa. 6. AUTORIDADE E RESPONSABILIDADE. Aos gerentes e coordenadores so designados nveis apropriados de autoridade e responsabilidade para facilitar os Controles Internos efetivos sobre relatrios financeiros. 7. RECURSOS HUMANOS. Polticas e Prticas de recursos humanos so desenvolvidas e implementadas para facilitar os Controles Internos e efetivos sobre relatrios financeiros. 60 Prof. Andre Pitkowski, 2013

Avaliao de Riscos - A conscientizao sobre os riscos um fator crucial para a empresa alcanar seus objetivos. Os riscos devem ser identificados, analisados e gerenciados de modo apropriado.
Atividade 2
8. OBJETIVOS DOS RELATORIOS FINANCEIROS. Os Gerentes especificam os Objetivos dos relatrios financeiros com suficiente clareza e critrio para permitir a identificao de riscos bem como a criticidade dos mesmos. 9. RISCOS DOS RELATORIOS FINANCEIROS. A empresa identifica e analisa os riscos nos processos, para o atendimento dos objetivos dos relatrios financeiros como base para determinar como os estes riscos devem ser gerenciados. 10. RISCO DE FRAUDE. O potencial para erros de declarao materiais devido fraude explicitamente considerado nas avaliaes de risco para o atendimento dos objetivos dos relatrios financeiros.

Unidade 1 Unidade 2 Atividade 1
61

Atividades de Controle - Polticas e Procedimentos devem ser implementados para evidenciar o gerenciamento dos riscos e alcanar os objetivos definidos pela empresa. As Polticas e Procedimentos definem as atividades que devem ser executadas.
11. INTEGRAO COM AVALIAO DE RISCOS. Aes devem executadas para enderear riscos de no atingir os objetivos dos relatrios financeiros. 12. SELEO E DESENVOLVIMENTO DE ATIVIDADES DE CONTROLE. Atividades de controle so selecionadas e implementadas considerando seu custo e seu potencial efeito na mitigao dos riscos para o atendimento dos objetivos dos relatrios financeiros. 13. POLITICAS E PROCEDIMENTOS. Polticas relacionadas credibilidade dos relatrios financeiros so estabelecidas e comunicadas atravs da empresa, com os correspondentes procedimentos, resultando em diretivas gerenciais a serem executadas.

Unidade 1 Unidade 2
14. TECNOLOGIA DA INFORMAO. Controles sobre a rea de TI, onde aplicvel, so especificados e implementados para suportar o atendimento dos objetivos dos relatrios Prof. Andre Pitkowski, 2013 62 financeiros.
Informao e Comunicao - Meios 15. INFORMAO DOS RELATRIOS FINANCEIROS. Informao pertinente e identificada, de informao e comunicao capturada, usada em todos os nveis da devem ser usados para gerenciar os empresa e distribuda em um formato e prazo processos. Estes meios permitem s que suportam o atendimento dos objetivos dos pessoas reconhecerem suas relatrios financeiros. responsabilidades, desempenhando as atividades de controle.

Unidade 1 Unidade 2
16. INFORMAO SOBRE CONTROLES INTERNOS. A informao usada para executar outros componentes de controles identificada, capturada e distribuda em formato e prazo que permita a ao de indivduos em funo de suas responsabilidades nos controles internos. 17. COMUNICAO INTERNA. Comunicaes permitem e suportam o entendimento e execuo de objetivos dos Controles Internos, bem como responsabilidades individuais em todos os nveis hierrquicos da empresa. 18. COMUNICAO EXTERNA. Questes afetando o atendimento dos objetivos dos relatrios financeiros so comunicadas aos parceiros Prof. Andre Pitkowski, 2013 63 externos da empresa.
Monitoramento Todos os processos deve ser permanentemente monitorados. As possibilidades de modificaes (ou mudanas) devem ser esclarecidas e implementadas de maneira correta (consciente, controlada, oportuna).
19. AVALIAO EM CONJUNTO E SEPARADA. Avaliaes em conjunto e/ou separadas permitem aos gerentes determinar quando (qualitativamente) os controles internos sobre relatrios financeiros esto presentes e funcionando. 20. DEFICINCIAS NOS RELATRIOS. Controles Internos deficientes so identificados e comunicados num prazo tal que as partes responsveis por tomar aes de correo (gerentes e o primeiro escalo) as faam apropriadamente.

Unidade 1 Unidade 2
64
COSO PRINCPIOS E COMPONENTES
e s es nc es iro t a i or nce pl ra p e e m p R fina O Co

Atividade 2
Os princpios associados a cada um destes componentes so sistematicamente definidos ao se implementar o Framework Integrado do COSO na empresa.
Atividade 1
Monitoramento Informao e Comunicao

Unidade 2
Os atributos dos componentes so executados luz de polticas e leis. As deficincias so apontadas e as possibilidades de soluo so listadas. Exemplos do mundo real podem ser includos como forma de evidncia do funcionamento do COSO.
Atividades de Controle Avaliao de Riscos Controle do Ambiente
COSO tem 20 PRINCPIOS fundamentais associados aos 5 COMPONENTES
Unidade 1
DOMNIOS PROCESSOS ATIVIDADES CobiT
65
SOX
COSO
ISACA
- Sarbanes-Oxlay Act (SOX) Assinada em 2002 Inteno: melhorar a exatido e a confiabilidade das informaes financeiras corporativas - Committee of Sponsoring Organizations (COSO) Formado em 1985 como resultado do National Commission on Fraudulent Financial Reporting Recomenda prticas para preveno contra emisso de relatrios contbeis fraudulentos por empresas publicas e contra a ao de seus auditores. - Misso do comit: Relatrios financeiros melhores e mais padronizados. - SOX requer que as empresas adotem um estrutura de controle (control framework) - COSO define esta estrutura (framework)
66
COSO e ISACA
COSO foi fundado em 1985 por cinco profissionais oriundos de institutos e associaes de contabilidade. AICPA - American Institute of Certified Public Accountants AAA - American Accounting Association FEI - Financial Executives Institute IIA - The Institute of Internal Auditors IMA - The Institute of Management Accountants O objetivo identificar os fatores que causam as fraudes em balanos financeiros e fazer recomendaes para reduzir os incidentes. COSO baseado numa definio de Controles Internos comuns, mais padres e critrios que as empresas podem usar para avaliar seus processos de negocio.
ISACA nasceu em 1967, quando um pequeno grupo de indivduos com funes similares:
Examinar controles em sistemas
computadorizados que estavam se tornando cada vez mais crticos para as operaes de suas organizaes reuniam-se para discutir a necessidade de uma fonte centralizada de informao e de orientao quando em campo. Em 1969, o grupo formalizou a EDP Auditors Association. Em 1976 a associao cria uma education fundation para empreender esforos em pesquisa e expanso do conhecimento de auditoria e o valor da Governana de TI para o trabalho da auditoria de TI em campo.
67
Controles Internos
A importncia da estrutura de Controles Internos segundo a lei Sarbanes-Oxley Sem uma estrutura apropriada de Controles Internos, (por exemplo o CobiT), provavelmente no ser possvel atender s exigncias determinadas pela seo 404. Segundo esta seo, o Auditor Independente dever elaborar um relatrio garantindo a eficcia dos controles e procedimentos internos para a emisso de relatrios financeiros. Sem uma estrutura de Controles Internos, no haver critrios com os quais a prpria Empresa ou o Auditor Independente possam avaliar a eficcia da emisso destes relatrios financeiros.
68
Melhores Prticas ITIL

Information Technology Infrastructure Library
Conjunto de livros Diretrizes uniformes de servios de TI suportar os processos de negcio. Orientado ao uso efetivo dos:
Processos Pessoas Tecnologia
69
Viso Geral
ITIL
70
Melhores Prticas
Six Sigma
Mtodo de aprimoramento da qualidade, em busca do defeito zero, baseado em processo estatstico que releva a qualidade do produto sob o ponto de vista do cliente ou do usurio. Define nveis de servio e mede variaes em relao a estes nveis. Projetos:
Definio Medio Anlise Aprimoramento Controle
Desenvolvido pela Motorola e adotado pela GE

71
Melhores Prticas
EFQM
European Foundation of Quality Management

Modelo de qualidade focado na excelncia atravs de um programa de melhoria contnua. Avalia a Maturidade da empresa: Orientao a produto Orientao a processo Orientao sistmica Orientao cadeia Qualidade total foco no resultado repetio e planejamento cooperao entre reas parceria externa o cu na terra
72
EFQM-
Melhores Prticas
modelo grfico
73
srie ISO9000
Padres de sistemas de gerenciamento de qualidade, auditveis, voltados ao cliente: ISO9000, 9001 e 9004. Garantir controle, repetibilidade e boa documentao de processos (no de produtos)
Melhores Prticas
74
Melhores Prticas
CMMi
Capability Maturity Model integration

Coleo de melhoras prticas para desenvolvimento e manuteno de software. Permite que as empresas avaliem suas prticas e as comparem com as de outras. Mede maturidade de processo: 1. Inicial 2. Gerenciado 3. Definido 4. Previsvel 5. Otimizado CMMi estende e combina:
Capability Maturity Model for Software (CMM-SW) Systems Engineering Capability Model Integrated Product Development Capability Maturity Model
75
Melhores Prticas ASL Application Services Library

Framework de domnio pblico
Manuteno Melhoria Renovao da aplicao
Abordagem
As aplicaes nem sempre esto alinhadas com o negocio As aplicaes tem custos altos para documentao que no podem ser explicados A baixa qualidade das aplicaes impacta no dia-a-dia do negcio
Contedo, oferta e benefcios

Terminologia clara Processos uniformes Alinhamento com processos de negocio
76
Melhores Prticas
ASL
modelo grfico
Planejamento e Gesto de Controle custos
Gesto de Gesto de nvel qualidade de servios
Controle e distribuio de software
Gesto de Mudanas
77
Melhores Prticas PMI

Project Management Institute
Maior associao do mundo voltada a gesto de Projetos 150000 + associados 3300 + Amrica latina 2200 + Brasil 105000+ PMPs (~750 Brasil)
Equivalentes:
Association of Project Manager http://www.apm.org.uk
http://www.ipma.ch/asp/ Australian Institute of Project Management http://www.aipm.com.au/html/default.cfm

78
Melhores Prticas PMBoK

Project Management Body of Knowledge
GUIA descritivo do conhecimento e melhores prticas para Gerenciamento de Projetos. Publicado pelo PMI: Project Management Institute. o mais utilizado no mundo. Certificao:
PMP Project Management Professional
79
Melhores Prticas PMBoK: reas de conhecimento

Processos
Inicializao Planejamento Execuo Controle Finalizao
80
Melhores Prticas
Prince2
Projects in Control Environments

Mtodo de gerenciamento de Projetos orientado para a organizao. Principal publicao:
PRINCE2 (Management Sucessful Projects)
Certificaes:
Foundation Practioner
http://www.projectperformance.co.uk/prince2_tour.htm
81
ISO17799 / 27001
Padro internacional em Gesto de Segurana da Informao Oferece um modelo para
estabelecer Implementar Operar Monitorar Revisar Melhorar
Melhores Praticas
ISMS Information Security Management System
82
Melhores Prticas ISO17799 PDCA modelo grfico

Act
Como melhorar na prxima vez?

Plan Check
O que fazer? Como fazer?
As coisas aconteceram conforme planejado?

Do
entradas
Faa o que foi planejado
sadas
83
Melhores Prticas OCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation
OCTAVE foi desenvolvido pelo (SEI) Software Engineering Institute e o CERT da CMU - Carnegie Mellon University Originalmente desenvolvido para o Department of Defense (DoD) para conformidade com o HIPAA (Health Insurance Portability and Accountability Act) OCTAVE uma metodologia baseada na avaliao de riscos de forma a garantir a continuidade de operao dos ativos crticos do negcio Considera o conhecimento das pessoas relativamente s prticas de negcio da empresa e de processos de segurana relacionados ao negcio. As ameaas aos ativos mais crticos so priorizadas para alinhar a estratgia de segurana da informao com a estratgia do negocio
84
Eficaz
Melhor opo de investimento

85
Governana Corporativa
Estratgico Monitoramento Expanso e Investimentos Financeiro Comunicao externa
Operacional Compras Qualidade Logstica Vendas Real State
Suporte Tributrio Auditoria Interna Segurana Patrimonial Recursos Humanos Contabilidade Custos Administrativos
Onde entra TI ????

86
SOX
Auditoria Externa
GAP analise
TI
Auditoria Eficaz interna
- Oportunidades de melhoria - Problemas
Planos de Ao
87
POLTICAS
NEGCIO O
Board Governana TI Gesto Gesto de TI TI

Telecom, Infra, DBA, Desenvolvimento, Service Desk, Contingncia, SLA, Identidade, Mudanas, etc.
Estratgico Operacional
Segurana da Informao
PROCEDIMENTOS
PROCESSOS
CI
Negcio
Adm, RH, MKT, Vendas, Jurdico, RP, BackOffice, etc.
ATIVIDADES
Execuo
ATIVOS
Suporte
Comunicao, link, Manuteno, AV, FW, Sistemas, Verses, Patches, HotFixs, Acesso, login, Senhas, laboratrio, Backup, Treinamento, etc.
ISO 17799
RISCOS
PMO ITIL PMI CMMI ISO14000 COBIT
Prticas de Gesto Estrutura de Governana
Po de Acar aposta na mobilidade para acompanhar as vendas Executivos acessam desempenho das lojas pelo BalckBerry e podem tomar decises em tempo real A necessidade de tomar decises em tempo real muitas vezes esbarra na tecnologia que a empresa tem disponvel para compartilhar as informaes com executivos que, na maior parte do dia, no esto sentados em frente a um computador. O Grupo Po de Acar convivia com essa realidade at pouco tempo atrs, quando utilizava um sistema de SMS para informar aos principais executivos da corporao metas e resultados de vendas. A virada veio com um aplicativo desenvolvido para a plataforma BlackBerry que tem conexo com o banco de dados da empresa. A soluo chamada de "Painel de Vendas" e desenvolvida pela MobilePeople tirou do dia-adia dos executivos a necessidade de receber, em dois momentos do dia, cerca de 22 mensagens de SMS (com a posio das vendas por segmento) e facilitou e ampliou o acesso s informaes. "Sempre utilizamos a mobilidade na companhia para o acompanhamento das vendas, mas o formato era inadequado e a disponibilidade insuficiente", confessou Clio Guedes, coordenador de TI do Grupo. Com a necessidade da evoluo, a exigncia era ter a posio das vendas a qualquer momento sem haver limitao de formato, a empresa - que possui em torno de 600 lojas em todo Pas - foi ao mercado e conversou com quatro fornecedores em agosto de 2008. O desafio proposto era desenvolver um prottipo, sem qualquer custo para o Grupo, que pudesse proporcionar essas informaes de forma "amigvel e online". A remunerao viria, ao aprovado, com a distribuio do software.
89
Po de Acar aposta na mobilidade para acompanhar as vendas Executivos acessam desempenho das lojas pelo BalckBerry e podem tomar decises em tempo real "A MobilePeople levou pelo diferencial da tecnologia push". Voc no pode receber um contedo sem solicitar a no ser pelo SMS", lembra Joaquim Dias Garcia, diretor de TI do Po de Acar. Essa tecnologia uma forma de atualizar o contedo sem que o executivo receba qualquer aviso. como entrar em um site e a informao estar disponvel, mas a diferena que seria atravs de um aplicativo ligado ao banco de dados abastecido pelos PDVs da empresa. A aplicao acessa o banco, formata as informaes e disponibiliza no celular. O aplicativo est disponvel desde dezembro ltimo e, atualmente, so 180 executivos utilizando o programa, entre presidente, vice-presidentes, diretores e gerentes. Garcia acredita que esse nmero ser dobrado at julho deste ano pela grande demanda e boa aceitao do produto. Os usurios conseguem acessar via BlackBerry as metas de venda e os valores vendidos no momento da consulta. possvel acessar as informaes por formato (que so as bandeiras do Grupo, como Extra, CompreBem e Po de Acar), regio (podendo ver desempenho de loja especfica) e por categoria de produto (bazar, padaria, peixaria). " a mesma informao s que segmentada", diz Guedes. "Ele (o executivo) pode reposicionar a venda da loja se entender que o desempenho no ideal. A atuao online", complementa Garcia. Garcia e Guedes informaram ainda que o aplicativo deve receber atualizaes em breve. J existem demandas para, por exemplo, incluir controle de estoque. Como eles mesmos disseram, parte da evoluo.
90
Porque TI precisa de uma Estrutura de Controle ??

Informao dependente de tecnologia Vulnerabilidades, ameaas, fraudes Custos considerveis x tempo Dinmica da tecnologia criando oportunidades inditas de negcio
Porque as empresas reconhecem mas no percebem o potencial de TI para o seu negcio
91
Governana Corporativa
mais do que gerenciar os riscos de TI Poltica Economia Aspectos legais Continuidade Desastres
92
Quem so os stakeholders externos?
Parceiros nas cadeias de valor (clientes corporativos, fornecedores, integradores) Governo Associaes, sindicatos Sociedade organizada: consumidores, defensores da cidadania, Procon, etc.
Algum tem mais ideias ???
93
Quem so os stakeholders internos?
Responsveis pelas atividades ou transaes Usurios e operadores de sistemas Responsveis por processos e unidades de negcio Alta administrao Auditoria interna
Algum conhece outros?
94
Momento de Reflexo
a.
Requerimentos legais
1.
Alinhar TI com o Negcio
b.
Aceitao geral
2. Deve existir um Sistema que garanta atividades e responsabilidades. 3. Captura de experincias e boas prticas 4. Colocar todos na mesma direo
c.
Foco no Negcio
d.
Orientao e processo
e.
Linguagem comum
5.
Atender a legislao
95
CobiT Suportando a Governana de TI

TI alinhado com o negcio TI viabiliza o negcio e maximiza os benefcios Recursos de TI usados com responsabilidade Riscos de TI gerenciados apropriadamente
CobiT
96
97
O que o CobiT?
Control Objetives for Information and Related Tecnology
Conjunto de boas PRTICAS de Governana de TI, estruturadas de forma lgica (framework, plataforma) atravs de Domnios de Conhecimento, Processos de TI e Atividades inter-relacionadas. Representa o consenso de especialistas da rea de TI, focados em controle e execuo. Estas prticas ajudam otimizar investimentos em TI, garantia de entrega de servios e aes mitigatrias quando erros acontecem.
98
Misso do CobiT
Pesquisar, desenvolver, publicar e promover um guia completo, atualizado e globalizado, aceito como os Objetivos de Controle para Tecnologia da Informao, para ser usado no dia-a-dia dos gerentes de negcios e dos auditores.
99
Caractersticas do CobiT Aceito internacionalmente, baseado nas experincias profissionais e prticas de

experts no assunto de Governana de TI;
100% compliance com a ISO17799, COSO e ITIL, bem como se relaciona com
diversos outros padres e guias de melhores praticas do mercado;
Ponte de comunicao entre as funes de TI, de Negcio e de Auditoria,

oferecendo uma linguagem comum, entendida por todos;
orientado ao Negcio; Oferece suporte para Auditoria de TI, reduzindo os custos de uma Analise de
Riscos e permitindo melhora da qualidade do processo de auditoria;
No reinventa a roda: apenas diminui o tempo de implementao de prticas

efetivas de Governana de TI; empresa;
flexvel e adaptvel para atender a qualquer tipo, cultura e tamanho de completo, objetivo, continuamente atualizado e mantido por uma organizao
sem fins lucrativos denominada ISACA
100
www.isaca.org www.isaca.org.br Entidade de profissionais em controle, auditoria e segurana da informao. Incio USA em 1969; Possui mais de 95.000 associados em mais de 170 pases; Captulo So Paulo fundado em novembro/2001; Captulos RJ e BSB (2008). Em formao o Captulo BH e RS (2010); 550+ associados no Brasil.
101
Viso do CobiT
Exigncias do Negcio
Recursos de TI
Processos de TI
102
Contexto do CobiT
1996
Fornecer aos Gestores de TI um framework (estrutura de processos agrupados de forma lgica) aplicvel ao Negocio e aceito como Governana de TI;
Premissa
Oferecer as informaes necessrias para uma empresa atingir seus objetivos de negcio atravs de conjunto de Processos de TI agrupados em Domnios de Conhecimento.
Propsito
Oferecer uma estrutura clara de melhores prticas de Governana de TI para qualquer empresa no mundo.
103
Evoluo do CobiT no tempo
Governana Corporativa de TI
Evoluo do Escopo
Governana de TI Gerenciamento Controle Auditoria

COBIT1 COBIT2 COBIT3
Val IT 2.0
(2008)
(2009)
COBIT4.0/4.1 COBIT 5
1996
1998
2000
2005/7
D PT ez 20 em br 09 br o
Risk IT
2012
104
Componentes do CobiT
Objetivos de Negcios Governana de TI
Monitorar e Avaliar
Critrios da Informao
Planejar e Organizar
Recursos de TI Entregar e Suportar

Adquirir e Implementar
Princpios do Framework CobiT
Controle em TI obtido pela informao necessria para suportar os Objetivos do Negcio (ou Requerimentos do Negcio) mais a informao resultante da combinao aplicada de Recursos e Processos de TI
Exigncias do Negcio
Recursos de TI
Processos de TI
106
Princpios do Framework CobiT Sete Critrios da Informao
EFICCIA
diz respeito proviso da informao com (o mais produtivo e econmico) o uso timo dos recursos; aponta a informao relevante e pertinente para o processo de negcio ser entregue no prazo, correta, consistente e usvel;
EFICINCIA
107
CONFIDENCIALIDADE
diz respeito divulgao no autorizada de informao sensvel para o negcio; relaciona-se a exatido e integralidade da informao bem como a seu valor de acordo com os valores e expectativas do negcio; relaciona-se informao estar disponvel quando requerido pelo processo do negcio agora e no futuro;
INTEGRIDADE
DISPONIBILIDADE
108
COMPLIANCE
relaciona-se com leis, regulamentos e arranjos contratuais a que o processo do negcio assunto, isto , critrios externamente impostos do negcio; relaciona-se proviso da informao apropriada para o gestor (CEO) operar a empresa e para a gerncia (CFO) exercitar o financeiro e o compliance que apontam para as responsabilidades contbeis. (SOX).
CONFIABILIDADE
109
CobiT Sete Critrios de Informao 1 2 3 4 5 6 7
Eficcia Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiabilidade
Qualidade Segurana
Legal
110
Objetivos de Negcios
Governana de TI
Monitorar e Avaliar
Informao
Efetividade Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiabilidade
Recursos de TI Entregar e Suportar Adquirir e Implementar
Princpios do Framework CobiT Quatro Recursos de TI
APLICAES
compreendidos como a soma de procedimentos manuais e automatizados; so os objetos em seu sentido mais amplo (isto , externo e interno), estruturado e no estruturado, grficos, som, etc; hardware, router, switch, appliances, sistemas operacionais, banco de dados, rede, telecom, multimdia, telefonia, ar condicionado, energia eltrica, aquecimento, cabeamento, acesso fsico etc; inclui habilidades, conscincia e produtividade da equipe de funcionrios para planejar, organizar, adquirir, entregar, suportar e monitorar os sistemas de informao e servios. (os 3 itens acima).
INFORMAO
INFRAESTRUTURA
PESSOAS
112
CobiT Quatro Recursos de TI
1 Aplicaes 2 Informaes 3 Infraestrutura 4 Pessoas
113
Governana de TI
Monitorar e Avaliar
Informao
Efetividade Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiabilidade
Recursos de TI
Entregar e Suportar
Aplicaes Informao Infra-estrutura Pessoas
Framework CobiT Estrutura
Agrupamento natural de Processos de TI, normalmente unidos por Domnios de Conhecimento na organizao
Uma srie de Processos de TI inter-relacionados Aes necessrias para atingir resultados mensurveis. Atividades que possuem um ciclo de vida ao qual os Processos de TI esto circunscritos.
115
CobiT Grau de Maturidade - SOX

.20 dos 34 Processos de TI do CobiT atendem ao SOX; .A ferramenta de auditoria do SOX o CobiT; .O resultado da auditoria fornece o atual estado de Compliance da empresa; .SOX exige Grau de maturidade = 3; os processos esto documentados e so comunicados
SOX
Auditoria Externa
GAP analise
TI
Auditoria Eficaz interna
- Oportunidades de melhoria - Problemas

Planos de Ao
116
Como o Negcio entende TI ?
O que os stakeholders esperam de TI?
Que recursos so colocados disposio de TI?
Como TI est organizada para responder aos requisitos?
Requisitos de Negcio
Domnios de conhecimento Recursos de TI Planejar e Organizar Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar
Eficcia Eficincia Confidencialidade Integridade Disponibilidade Compliance Confiana na Informao
Aplicaes Informao Infra-estrutura Pessoas
117
Como TI est orientado ao Negcio

Atividades Registrar problema novo Analisar Propor soluo Monitorar soluo Processos de TI Registrar problemas Estratgia de TI conhecidos Operao da Infraestrutura Etc. Tratamento de Incidentes Testes de Aceitao Aes necessrias para Gerenciamento de atingir resultados Mudanas mensurveis. Atividades Plano de Contingncia possuem um ciclo de vida Gerenciamento de ao qual os Processos de TI Problemas esto circunscritos Uma srie de Processos de TI inter-relacionados
Domnios de TI Planejar e Organizar Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar Agrupamento natural de Processos de TI, normalmente unidos pelo Domnio de Conhecimento na empresa
118
Descrio
Este domnio cobre estratgia e ttica, e concerne a identificao de como TI pode melhor contribuir para atingir os objetivos de negcio. Alm disso, a identificao das necessidades para a viso estratgica planejada; comunicao e gerenciamento para diferentes perspectivas. Finalmente, a organizao assim como a infraestrutura apropriadas.
Tpicos
Estratgia e tticas Viso planejada Organizao e infraestrutura
Questes
TI e negcios esto alinhados? A organizao est fazendo o uso timo de seus recursos? Todos na organizao entendem quais so os objetivos de TI? Os riscos de TI esto entendidos e sendo gerenciados? A qualidade dos sistemas de TI apropriada s necessidades do negcio?
119
PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 Definir um Plano Estratgico de TI Definir a Arquitetura da Informao Determinar a Direo Tecnolgica Definir os Processos, Organizao e Relacionamentos de TI Gerenciar o Investimento em TI Comunicar Metas e Diretrizes Gerenciais Gerenciar Recursos Humanos de TI Gerenciar Qualidade Avaliar e Gerenciar Riscos em TI Gerenciar Projetos
120
Descrio
Para conceber a estratgia de TI, solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, assim como implementadas e integradas aos processos de negcio. Adicionalmente, mudanas e manutenes nos sistemas existentes so cobertas por este domnio para assegurar que o ciclo de vida mantido para estes sistemas.
Tpicos
Solues de TI Mudanas e manutenes
Questes
Os novos projetos so apropriados para entregar solues que atendam as necessidades de negcio? Os novos projetos so apropriados para entregar solues no prazo e dentro do oramento? Os novos sistemas iro funcionar corretamente aps a implementao? As mudanas sero feitas sem perturbar as operaes atuais do negcio?
121
AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identificar solues automatizadas Adquirir e manter aplicativos Adquirir e manter infraestrutura de tecnologia Desenvolver e manter procedimentos de TI Obter recursos de TI Gerenciar mudanas Instalar e homologar solues e mudanas
122
Entregar e Suportar
Descrio
Este domnio preocupa-se com o que realmente entregue pelos servios requeridos, que vai desde a operao tradicional at segurana, aspectos de continuidade e treinamento. Para efetuar a entrega dos servios, os processos de suporte precisam estar estabelecidos. Este domnio inclu o processamento de dados pelas aplicaes, normalmente classificados em controles de aplicaes.
Tpicos
Entrega dos servios requeridos Estabelecimento de processos de suporte Processamento por sistemas de aplicao
Questes
Os servios de TI esto sendo entregues alinhados com as prioridades do negcio? Os custos de TI esto otimizados? A organizao est apta a utilizar os sistemas de TI de forma produtiva e com segurana? Os aspectos de segurana, integridade e disponibilidade esto adequados?
123
Entregar e Suportar
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Definir e gerenciar nveis de servio Gerenciar o servio de terceiros Gerenciar desempenho e capacidade Assegurar a continuidade dos servios Assegurar segurana dos sistemas Identificar e alocar custos Educar e treinar usurios Gerenciar Service Desk e Incidentes Gerenciar a configurao Gerenciar problemas Gerenciar os dados Gerenciar a instalao (ambiente fsico) Gerenciar a operao
124
Monitorar e Avaliar
Descrio
Todos os processos de TI precisam ser regularmente avaliados quanto a sua qualidade e atendimento aos requisitos de controle. Este domnio portanto enderea os descuidos gerenciais quanto aos processos de controle da organizaes e a garantia proporcionada por auditores internos e externos ou obtidas atravs de fontes alternativas.
Tpicos
Avaliaes peridicas, entregando com garantia Descuidos gerenciais quanto ao sistema de controle Medies de desempenho
Questes
O desempenho de TI pode ser medido? Os problemas podem ser detectados antes que seja tarde demais? Que garantias so necessrias para assegurar que as reas crticas esto operando de forma adequada?
125
Monitorar e Avaliar
ME1 ME2 ME3 ME4 Monitorar e avaliar a Performance de TI Avaliar a adequao dos controles internos Obter garantia independente (compliance) Prover a Governana de TI
126
CobiT & ITIL
127
CobiT & ITIL
128
CobiT & ITIL
129
CobiT & ITIL
130
CobiT & ITIL
131
CobiT & ITIL
132
CobiT & ITIL
133
CobiT & ITIL
134
CobiT & ITIL
135
CobiT & ITIL
136
CobiT & ITIL
137
Define o Plano Estratgico de TI
PO1
Define a Arquitetura da Informao
PO2
Deternina o Direcionamento Tecnolgico
PO3
Define os Gerencia Processos, Investimentos Organizao e de TI Relacionamentos de TI
PO4
PO5
Comunica Objetivos Gerenciais e Direcionamentos
PO6
Gerencia Recursos Humanos de TI
PO7
Gerencia Qualidade
PO8
Avalia e Gerencia Riscos de TI
PO9
Gerencia Projetos
PO10
Prov Governana de TI
AI1 Identifica Solues Automatizadas
ME4
Obtm e Mantm Aplicativos
AI2
Assegura Compliance Regulatrio
ME3
Obtm e Mantm Infra-estrutura Tecnolgica
AI3
Informao
Capacita para Operao e Utilizao
AI4
Monitora e Avalia os Controles Internos
ME2
Monitorar e Avaliar Entregar e Suportar

DS11 DS10 DS9
Recursos de TI
Adquire Recursos de TI
AI5
Monitora e Avalia a Performance em TI

Gerencia as Operaes
ME1
DS7 DS6 DS5 DS4 DS3
Gerencia Mudanas
AI6
Aprova e Instala Solues e Mudanas
AI7
DS13
Gerencia as Instalaes
DS12
Gerencia Gerencia os os Dados Problemas
Gerencia as Configuraes
Gerencia Educa e Service Treina os Desk Usurios e Incidentes
DS8
Identifica e Aloca os Custos
Garantir Segurana dos Sistemas
Garantir Continuidade dos Servios
Gerencia Performance e Capacidade
Gerencia Servios Prestados por Terceiros
DS2
Define e Gerencia SLAs
DS1
Exemplo de Processo de TI
139
Momento de Reflexo
a. Oferecer Servios de Qualidade b. c. d. e. f. g. Atender requerimentos de CVM, Banco Central Manter confidencialidade e acesso a dados Reportar semanalmente situao de processos Definir SLA entre Clientes e fornecedores Servidores, redes e sistemas computacionais Equipe de Projeto
140
Board Briefing on IT GOV
Board e Executivos
Management Guidelines
Gerenciamento de Tecnologia e Negcio
Governana, Garantia, Controle e profissionais de Segurana CobiT Framework Control Objetives Control Practices
IT Assurance Guide IT Control Objetives for SarbanesOxley
IT GOV Implementation Guide CobiT Quickstart CobiT Security Baseline
141
Board e Executivos
Entender porque Governana de TI importante Onde se aplica Quais so as suas responsabilidades
Interesse Primrio:
142
Interesse Primrio: Gerenciamento de Tecnologia e Negcio Management Guidelines

Ferramentas para apontar responsabilidades, medir performance, execuo e GAPs. Respostas para questes tpicas da gerencia:
At onde ir para controlar TI? Qual a relao custo/benefcio? Quais os indicadores de boa performance? Quais so as melhores prticas de gerenciamento? O que os outros esto fazendo? Como medir e comparar?
143
Modelo de Maturidade
O que ?
Uma medida relativa de onde se encontra a empresa em relao ao mercado. Um meio para decidir de forma eficiente que caminho tomar. Uma ferramenta para medir o progresso contra a meta determinada.
Baseado no Framework do CobiT e nos Objetivos de Controle, possvel responder a estas trs necessidades
144
O que nossos pares esto fazendo e como estamos posicionados em relao a eles? O que aceitvel como boas prticas no mercado e como o mercado est posicionado em relao s boas prticas? Baseado nestas comparaes, podemos dizer que estamos indo bem? Fazendo o suficiente? Como saberemos o que necessrio fazer para alcanar o nvel adequado de gerenciamento e controle sobre nossos PROCESSOS de TI?
145
O que se identifica na empresa: Onde a empresa se encontra hoje A comparao Onde a empresa quer estar
A atual performance da empresa O status atual da industria A meta da empresa em melhoria
146
Melhores Prticas O Modelo de Maturidade do CobiT

Escalas reconhecidas como padres empresariais relativos Governana e ao Controle de TI. Auxiliam na determinao da situao atual (as-is) e a desejada (to-be) em relao maturidade da empresa em cada Objetivo de Controle do CobiT A caracterstica ou vertical de mercado determina o Grau de Maturidade apropriado.
147
CobiT Grau de Maturidade

Representao Grfica dos Modelos de Maturidade Inexistente
0
Inicial
1
Repetvel
2
Administrado Definido Otimizado

3 4 5
LEGENDA PARA POSIES OCUPADAS
LEGENDA PARA SMBOLOS USADOS Status atual da empresa Mdia de empresas similares Alvo da empresa
148
0 - inexistente: completa falta de processos reconhecidos. A empresa ainda no reconheceu de que tem um problema a ser resolvido 1- inicial: Existem evidencias de que a empresa tem problemas e que estes precisam ser resolvidos. Por outro lado no existem procedimentos nem padres. Processos so atacados caso-a-caso e o gerenciamento desorganizado. 2- repetitivo: Processos foram desenvolvidos ao estgio onde procedimentos similares so seguidos por pessoas com as mesmas tarefas. No h treinamento nem comunicao e somente desvios so detectados. Existe grande dependncia no 3 definido: procedimentos tornaram-se padro e foram documentados bem como comunicados atravs de treinamento. Foi deixado ao indivduo seguir os processos e somente os desvios so detectados. Os procedimentos so apenas a formalizao de prticas existentes. 4 gerenciado: possvel medir e monitorar aderncia com procedimentos e agir onde processos no funcionam de forma efetiva.Processos esto sob constante evoluo e provem as boas prticas. J existem ferramentas e processos automatizados. 5 otimizado: processos foram refinados ao nvel de boas prticas baseados em resultados de continua evoluo e modelos de maturidade com outras empresas. usado para integrar e automatizar o workflow, provendo ferramentas para melhorar a qualidade e a eficincia, tornando a empresa o mais dinmica possvel no mercado (capacidade de adaptao)
149
conhecimento das pessoas e erros so normais.
Modelos de Maturidade do Cobit 4.1
Vamos conectar este conceito
150
o case:
empresa em franco crescimento; setor financeiro; capital fechado; existe um security officer na rea de Infraestrutura de TI; h politicas e procedimentos implantados apenas para a Infraestrutura de TI Exemplo na planilha Excel (DS5)
151
O que eu fao com isso ?

Ex.: xi (nveis) 0 1 2 3 4 5 fi (%) 10 23 44 40 24 6
necessrio transformar uma anlise qualitativa em resultados quantitativos
152
Ajuste pela Distribuio Normal (Gauss)
70,0 52,5 35,0 17,5 0 0 1 2 3 4 5

153
O que a aproximao pela Normal vai nos proporcionar ?

clculo da nota de Maturidade para o processo; confeco de grficos de colunas e radar; construo do plano de ao objetivando o to-be
154
Clculo da nota de Maturidade:

Nmat = SUM (xi.fi) SUM (fi)
155
Modelo de Maturidade do Cobit 4.1

Planos de ao para melhoria da maturidade
Focar na eliminao dos graus mais baixos (0,1 e 2);
Dada a conexo entre os itens no modelo de Maturidade, o processo ir melhorar como um todo; A melhora de um processo acarreta a melhora de outros (ex. DS8 e DS10, AI6 e AI7 etc)
156
Performance e Mtricas
O CobiT define mtricas em 3 nveis:
O que o negcio espera de TI O que o negocio vai usar para medir TI Como o dono do processo de TI vai ser medido
O que os processos de TI precisam entregar para suportar os objetivos de TI
Mtricas de performance de processos
Medir quo bem um processo est sendo executado para indicar se as metas vo ser alcanadas
157
O CobiT usa 2 tipos de mtricas: KGI Key Goal Indicator
Define os indicadores que informam ao gerente depois do fato ocorrido se um processo de TI atingiu os objetivos do negcio, normalmente expressos na forma de critrios de informao.
Disponibilidade da informao necessria para suportar as necessidades do negcio Ausncia de riscos associados integridade e confidencialidade da informao Eficincia de custos nos processos e operao Confirmao de confiana, eficincia e aderncia
158
O CobiT usa 2 tipos de mtricas: KPI Key Performance Indicator
Define as medidas que determinam como o processo de TI est
sendo executado para permitir o objetivo de ser alcanado.
So tambm indicadores para se saber se um objetivo de
negocio ser alcanado ou no, e so bons indicadores das potencialidades, das prticas e das habilidades daqueles que executam os processos.
Medem os objetivos da atividade, que so as aes que o dono

do processo deve executar para conseguir o desempenho eficaz daquele processo.
159
Performance e Mtricas Mtricas efetivas possuem as seguintes caractersticas
160
DS5
Define metas
atividade Entender requerimentos de segurana, vulnerabilidades e ameaas processo Detectar e resolver acessos no autorizados informao, aplicaes e infraestrutura medido por Numero de violaes e acessos no autorizados TI Garantir servios de TI que possam resistir e recuperar-se de ataques medido por Numero de incidentes de TI com impacto no negcio negcio Manter a reputao e a liderana da empresa no mercado
Medida de realizao
medido por Frequencia da reviso do tipo e incidente de segurana a ser monitorado
medido por Numero de incidentes que causaram embarao publico
Mtricas de negcio: KGI mtricas de TI: KPI mtricas de processo: KPI performance
Melhorar e alinhar
161
Melhores Prticas
boas prticas
Modelos de trabalho identificados em situaes reais, considerando empresas na mesma vertical de mercado. Um modelo de trabalho implementado, aps a comprovao de sua relevncia para o negcio, torna-se a Melhor Prtica. Adotar a melhor prtica significa:
no reinventar a roda Implementar modelos e experincias que j se mostraram eficientes em outras empresas.
Implementar a melhor prtica baseia-se no conceito de ciclo de vida.

Foco na busca pela excelncia. Aplicada a qualquer tempo e em qualquer circunstancia.
? Que tal usar a ISO27000 ?link

162
Board Briefing on IT GOV
Board e Executivos
Gerenciamento de Tecnologia e Negcio
Governana, Garantia, Controle e profissionais de Segurana CobiT Framework Control Objetives Control Practices
IT Assurance Guide IT Control Objetives for SarbanesOxley
IT GOV Implementation Guide CobiT Quickstart CobiT Security Baseline
163
Interesse primrio: Governana, Garantia, Controle e Profissionais de TI

Framework: explica como o CobiT organiza os objetivos de Gov. TI e as melhores prticas, atravs dos domnios e processos e liga aos requerimentos de negcio Control Objetives: Prov as melhores prticas de gerenciamento de objetivos para todas as atividades de TI. Control Practices: Guia onde quais controles agregam valor e como implement-los.
164

IT Assurance Guide: Guia genrico de auditoria e o bsico para auditores em todos os processos de TI. IT Control Objectives for Sarbanes-Oxley: Guia de como garantir aderncia no ambiente de TI baseado nos Processos de TI do CobiT.
165

IT Gov Implementation Guide: Road Map genrico para implementar Gov TI usando os recursos do CobiT e um Tool Kit (antigo: implementation Toolset) CobiT Quickstart: Controles bsicos para pequenas empresas e um possvel primeiro passo para as grandes CobiT Security Baseline: Passos essenciais para a empresa implementar segurana da informao de forma corporativa
166
Executive Summary
Estrutura do CobiT
Framework
Processos de TI
Implementation Tool Set

Road Map para implementao Ferramentas de planejamento Apresentaes Ferramentas de diagnstico
Critical Success Factors
Audit Guidelines
Detailed Control Objectives

Control Practices
Key Performance Indicators
Key Goal Indicators
Maturity Models
167
Entregar e Suportar Garantir Segurana dos Sistemas
DS5
PROCESSO DE TI A necessidade de se manter a integridade da informao e proteger os recursos de TI requer um processo de gerenciamento da segurana. Este processo inclui estabelecer e manter funes e responsabilidades da Segurana de TI, Polticas, normas e procedimentos. O gerenciamento da segurana inclui tambm executar monitorao e testes peridicos bem como implementar aes corretivas para identificar os pontos fracos da segurana ou incidentes. O gerenciamento eficaz da segurana protege todos os recursos de TI minimizando o impacto das vulnerabilidades no negcio e os incidentes de segurana.
168
DS5
Critrios da Informao Eficcia Eficincia P P S S S Confidencialidade Integridade Disponibilidade Compliance Confiabilidade

P: primrio S: secundrio
Recursos de TI
Aplicaes Informaes Infraestrutura Pessoas
169
DS5
ATIVIDADES DS5.1 DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 DS5.8 DS5.9 DS5.10 DS5.11 Gerenciamento da Segurana de TI Plano de Segurana da Informao Gerenciamento de Identidade Gerenciamento de contas de usurios Monitorao, fiscalizao e testes de segurana Definio de Incidente de Segurana Proteo da Tecnologia da Segurana Gerenciamento de chaves criptogrficas Preveno, deteco e correo de software malicioso Segurana de Rede Troca de dados sensveis
O que Como Prticas
170
DS5
Controle sobre o processo de TI que: Garanta a segurana dos sistemas
METAS DE TI Que satisfaa o requisito do negcio para TI manter a integridade da informao e infraestrutura de processo e minimizar o impacto das vulnerabilidades da segurana e incidentes
Focando em
METAS DO PROCESSO
definir polticas, procedimentos e padres de segurana de TI, e monitorar, detectar, relatar e resolver vulnerabilidades da segurana e incidentes
PRTICAS alcanado por Entender requisitos de segurana, vulnerabilidades e ameaas

Gerenciar identidades e autorizaes de usurio de modo padronizado Testar regularmente a segurana
MTRICAS e medido por Nmero de incidentes que prejudicam a reputao com o pblico
Nmero de sistemas onde os requisitos de segurana no so alcanados Nmero das violaes na segregao de deveres
171
DS5
Mtricas e Indicadores
Metas das Atividades Entender requisitos, vulnerabilidades e ameaas da segurana. Gerenciar identidades e autorizaes de usurio de modo padronizado. Definir incidentes da segurana. Testar regularmente a segurana. Metas dos Processos
Permitir acesso aos dados crticos e sensveis somente a usurios autorizados. Identificar, monitorar e relatar vulnerabilidade e incidentes de segurana. Detectar e resolver acesso desautorizado informao, aplicaes e infra-estrutura. Minimizar o impacto de vulnerabilidade e de incidentes de segurana.
Metas de TI
Garantir que a informao crtica e confidencial seja ocultada daqueles que no devem ter acesso a ela. Garantir que transaes de negcio automatizadas e as trocas de informao possam ser confiveis. Manter a integridade da informao e a infra-estrutura de processamento. Responsabilizar e proteger todos os recursos de TI. Assegurar que servios e infraestrutura de TI possam resistir e recuperar de falhas devido a erro, ataque deliberado ou desastre.
so medidos por
so medidos por
so medidos por
Indicadores de Desempenho
Freqncia e reviso do tipo de eventos de segurana a serem monitorados. Nmero e perfil de contas obsoletas. Nmero de endereos IP no autorizados, portas e tipos de trfego negados. % de chaves criptogrficas comprometidas e revogadas. Nmero de direitos de acesso autorizados, revogados, restaurados ou alterados.
Indicadores de Metas de Processo

Nmero e tipo de violaes de acesso suspeitadas e reais. Nmero das violaes na segregao de funes. % de usurios que no se enquadram aos padres da senha. Nmero e tipos de cdigos maliciosos evitado.
Indicadores de Metas de TI
Nmero de incidentes com impacto no negcio. Nmero de sistemas onde os requisitos de segurana no so alcanados. Tempo para conceder, alterar e revogar privilgios de acesso.
172
CobiT: Implementao na pratica

Publique o projeto... PDTI e atinja os resultados esperados auditorias
Escolha um framework COBIT Estratgia do Negcio CIO

Situao atual dos processos de TI Self Assessment Compliance
Grau de Maturidade
ISO17799 ITIL CMMI...
Processos relevantes
Avalia e mede resultados

Mtricas e Indicadores
Onde estamos -> Onde queremos chegar
MODELO DE GESTO
GAP Analise
Implementa processos
PMO
173
Referncias Gerais
BS7799-2:2002, Information Security Management Systems Specification With Guidance for Use,British Standards Institute, United Kingdom, 2005 ISO/IEC27001 (E), Information TechnologyCode of Practice for Information Security Management,International Organization for Standardization (ISO), Switzerland, 2005 Control Objectives for Information and related Technology (COBIT), Version 4.0, IT Governance Institute, USA, 2005
Paulk, M.C.; et al; Capability Maturity Modelsm for Software, CMU/ SEI-93-TR-24, Carnegie Mellon University, Software Engineering Institute, USA, 1993
174
Referncias CobiT (cont.)
COBIT Security Baseline (2004) www.isaca.org/bookstore IT Control Objectives for Sarbanes-Oxley (2004) www.isaca.org ou www.itgi.org Board Briefing on IT Governance, 2nd Edition (2006) www.itgi.org IT Governance Implementation Guide (2003) e Implementation Training e COBIT Quickstart (2003) www.isaca.org/bookstore Information Security Governance: Guidance for Boards of Directors and Executive Management (2003) www.itgi.org COBIT Online (2007) www.isaca.org/cobitonline
175
Obrigado!
Andre Pitkowski
andrepit@gmail.com
176
Proposta
Diagnstico de Maturidade
Baseado no framework do CobiT O trabalho dever ser entregue na secretaria, pelo grupo. 1. 2. 3. 4. 5. 6. 7. Nome da Faculdade, grupo, matria, professor. A noticia BSC: Metas de Negcio: Metas de TI: Processos de TI Avaliao do Grau (ou nvel de Maturidade) Proposta para elevao do Grau de Maturidade em UM ponto Planos de Ao Metricas e Indicadores
Prof. Andre Andre Pitkowski, Pitkowski, 2010 2013
172

UniAnchieta GovSeg TI 2013 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

UniAnchieta GovSeg TI 2013 PDF

Transféré par

Droits d'auteur :

Formats disponibles

Governana: Implementao Prtica de CobiT 4.

Prof. Andre Pitkowski, 2013

Proposta de trabalho em grupo

Prova individual: 20% Projeto: 60%

Depois da 1 Grande Guerra Mundial

Prof. Andre Pitkowski, 2013

Antes da crise de 1929

Prof. Andre Pitkowski, 2013

Prof. Andre Pitkowski, 2013

A crise de 1929 a quebra da bolsa de Nova York

Terminava o sonho AMERICAN WAY OF LIFE.

Durante a crise, 15 milhes de americanos ficaram desempregados.

Prof. Andre Pitkowski, 2013

Prof. Andre Pitkowski, 2013

Prof. Andre Pitkowski, 2013

Prof. Andre Pitkowski, 2013

New Deal: A reao crise de 1929

CINCO anos depois...

Prof. Andre Pitkowski, 2013

A criao da SEC em 1934

A quebra (1929), a SEC (1934) e a Governana Corporativa

Prof. Andre Pitkowski, 2013

Cronologia das Crises

Prof. Andre Pitkowski, 2013

Governana Corporativa Os escndalos

Sarbanes Oxley (SOX) Act de 2002

SOX As reformas da Lei

Prof. Andre Pitkowski, 2013

SOX As reformas da Lei

SOX As reformas da Lei

Prof. Andre Pitkowski, 2013

Foi o fim de Detroit?

Revista EXAME: Novembro 2008

Prof. Andre Pitkowski, 2013

Escndalo do Sub Prime setembro 2008

Como esta crise afeta a rea de TI da VW por exemplo?

Prof. Andre Pitkowski, 2013

Interpretaes da Crise de 2008

Prof. Andre Pitkowski, 2013

Mais da Cronologia das crises

Prof. Andre Pitkowski, 2013

CVM multa acionista da Sadia por informao privilegiada

E a Governana nisso tudo?

Obter vantagem competitiva atravs Publicidade desfavorvel. de operaes mais dinmicas;

Prof. Andre Pitkowski, 2013

Governana Corporativa e suas prticas ticas de negcio no so mais apenas requisitos.

... LEI !!!

Prof. Andre Pitkowski, 2013

Integridade Objetividade Mensurao Pertinncia

(completa, exata) (alinhada ao negcio) (mtricas, indicadores, desempenho) (propsito, relevncia)

Prof. Andre Pitkowski, 2013

Prof. Andre Pitkowski, 2013

Viso Geral do Mercado

Prof. Andre Pitkowski, 2013

INFORMAO tornou-se o bem mais valioso!

Conhecimento Informao Dados

Quais so as atuais Demandas de TI

Prof. Andre Pitkowski, 2013

Quais so os atuais Desafios de TI

Prof. Andre Pitkowski, 2013

Quais so as atuais angstias de TI

Prof. Andre Pitkowski, 2013

Governana de TI baseada em processos orientada ao Negcio