Gestao Risco em TI

Gesto de Risco em TI
2.0 | (rildo.santos@CompanyWeb.com.br)
Rildo F Santos
(rildo.santos@companyweb.com.br)
Rildo FVerso
Santos
2006 Direitos Reservados
Introduo
Gesto de Risco de TI
As melhores prticas em Gesto de Risco de TI
Com passar do tempo muitas empresas se tornaram dependentes de seus sistemas de

informao. A rea de TI fornece suporte as operaes destas empresas, fazendo parte da
estratgia de negcio ou como uma vantagem competitiva.
Para estas empresas, o ambiente de TI no pode ficar instvel ou vulnervel, pois isto traria
risco a sua operao.
Muitos negcios seriam perdidos e muitos clientes ficaram insatisfeitos, isto acarretaria um
enorme prejuzo para a empresa.
O ltimo relatrio sobre a Gesto de Risco de TI - The Economist, - Assimilando os riscos
da Tecnologia da Informao (Coming to grips with IT risk), conclui que as maioria das
grandes empresas no gerncia eficientemente os riscos associados TI. Este relatrio foi
elaborado com base em pesquisa realizada com 145 altos executivos de corporaes ao
redor do mundo.
Se voc precisa proteger os ativos de TI, seja para tornar o ambiente de TI mais estvel e
menos vulnervel, mais eficiente, ou para manter a conformidade com lei ou
regulamentaes (ANS, Susep ou Bacen), este curso abordar a Gesto de Risco de TI, de
forma objetivo e clara com a finalidade dar orientao de como utilizar as melhores prticas,
frameworks (COSO) e guias de gesto para mitigar o risco operacional de TI.
Verso 2.0 | Rildo F Santos
Contedo
1 Introduo
Motivadores da onda de Gesto de Risco
Governana Corporativa
Governana de TI
Evoluo (da Gesto de Segurana da Informao
para Gesto de Risco)
Principais Guias, Normas e Frameworks
2 Viso geral sobre Risco

- Definio
- Natureza do Risco
- Componentes
3 Gesto de Risco de TI:
- Identificando os riscos
- Analisando de Severidade do Risco (Impacto vs
Probabilidade)
- Respostas ao Risco
- Monitoramento
44 As
As Melhores
Melhores Prticas
Prticas (Guias,
(Guias, Normas
Normas ee
Frameworks)
Frameworks)
-- Gesto
Gesto de
de Risco
Risco Operacional:
Operacional: COSO
COSO
-- Governana
de
TI
&
Gesto
Estratgica
Governana de TI & Gesto Estratgica de
de TI:
TI:
COBIT
COBIT
-- Gesto
Gesto de
de Servios
Servios de
de TI:
TI: ITIL
ITIL
-- Gesto
de
Segurana
da
Informao:
Gesto de Segurana da Informao: ISO
ISO 17799
17799
-- Desenvolvimento
de
Software:
Prticas
PMBok
Desenvolvimento de Software: Prticas PMBok ee
Processo
Processo Unificado
Unificado
-Gesto
-Gesto de
de Fornecedores:
Fornecedores: e-SCM.
e-SCM.
55 Controle
Controle Internos:
Internos:
-- Definio
Definio
-- Compliance
Compliance com
com regulamentao
regulamentao
-- Controle
Eficientes
Controle Eficientes
-- Auditoria
Auditoria Interna
Interna
66 Estudo
Estudo de
de Caso
Caso
Elaborao
Elaborao de
de Estratgia
Estratgia de
de Gesto
Gesto de
de Risco
Risco
em
em Ambiente
Ambiente de
de TI
TI
Introduo
Origem da palavra:
A origem da palavra risco controvertida. Alguns autores afirmam que ela deriva de resecare (cortar), empregada
para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios. Como a navegao
sempre foi uma atividade importante para o desenvolvimento humano, era aconselhvel evitar o risco de perder
as embarcaes e suas cargas. Outra possvel origem indicada por Peter Bernstein no livro Desafio aos Deuses.
Segundo o autor, risco vem do italiano risicare, que significa ousar. No sentido de incerteza, derivada do
latim risicu e riscu.
As primeiras tcnicas de gesto de risco foram implantadas pelas seguradoras justamente com as aplices para
navios. No sculo 20, entre as dcadas de 60 e 80, o setor financeiro se dedicou ao aperfeioamento das
ferramentas de controle de risco, entusiasmados pela possibilidade de prever o futuro e evitar perdas previsveis
no presente. Em 1994, o JP Morgan lanou o Value at Risk (VaR), clculo amplamente utilizado pelas instituies
financeiras para medir o risco probabilstico de um portflio de aplicaes financeiras. muito mais complexo,
porm, dimensionar e avaliar riscos quando a rgua no pode ser simplesmente numrica, como no caso dos
bancos.
Em 2002, depois de escndalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox) tm
obrigado as empresas a investir no controle de riscos. A obrigao estende a todas as empresas listadas na
Bolsa de New York, inclusive as brasileiras, so obrigadas pela Sox a informar anualmente a quais riscos esto
expostas e quais so as ferramentas de controle e gerenciamento utilizadas.
O Acordo de Basilia II, que tambm resultante de escndalos financeiros, no Brasil -resoluo 3380 do Bacen,
obriga a implementao da Gesto de Risco Operacional a todos os bancos brasileiros, com objetivo de atender o
acordo.
Por obrigao, ou no, o fato que o gerenciamento de risco se difunde entre as empresas de todo o mundo.
Baseado no artigo da Revista Amanh - http://amanha.terra.com.br/edicoes/229/capa04.asp
Eu no me preocupo com as coisas que sei que no sei. Eu s

me preocupo com as coisas que no sei que no sei. Porque as
coisas que sei que no, fcil s procurar que vou saber.
Porm, as coisas que no sei que sei, no tenho nem por onde
comear!
(Einstein , circa 1940)
Motivadores da onda de Gesto de Risco

Governana de TI
Evoluo (da Gesto de Segurana da Informao
para Gesto de Risco)
Principais Guias, Normas e Frameworks
Nova viso
Introduo
Principais motivadores da Gesto de Risco
> Gesto da Segurana da Informao
> Controle Interno
Aumentar Eficincia
Operacional
2001 Enron 7a. Maior empresa dos

EUA, gigante americana do setor de
energia, pediu concordata em dezembro
de 2001, aps ter sido alvo de uma srie
denncias de fraudes contbeis e fiscais.
Com uma dvida de US$ 13 bilhes, o
grupo arrastou consigo a Arthur Andersen,
que fazia a sua auditoria.
2001 WorldCom. A fraude ocorreu
porque a empresa registrou como
investimentos (ativo em seu balano
patrimonial) o que era despesa
(demonstrativo de resultados), distorcendo
totalmente os dados de suas contas.
Em 30 julho de 2002, George W. Bush
assinou de O Ato Sarbanes-Oxley, com
objetivo de garantir a integridade das
informaes financeiras (dar proteo aos
investidores)
Fraudes Contbeis
e Financeiras
Requisitos legais e
regulatrios
Estratgia do
Negcio
1975 quebra dos bancos Herstatt, da

Alemanha e Franklin National, de Nova
York.
> 1975 - Comit da Basilia
Gesto de Risco
SOX
Basel II
Segurana da
Informao
Ataque de
Hackers, Span,
Virus..
1993 Bank of Credit and Commerce

International faliu em meio a escndalos
de fraude e lavagem de dinheiro
1995 Barings faliu depois de 233
anos de existncia
> 1997 Comit Basilia edita os 25
Princpios Instituio de Controles
Internos
1995-98 Askin Capital, Orange County,
Chemical Bank entre outros
> 1998 Comit Basilia edita mais 13
Princpios Gesto de Riscos
(5 componentes)
> 1998 Res.Bacen 2.554 Controles
Internos
> 2001 Novo Acordo da Basilia
Escndalos
Financeiros
Governana Corporativa, definio:

Governana Corporativa o sistema pelo qual as sociedades so
dirigidas e monitoradas, envolvendo os relacionamentos entre
Acionistas/Cotistas, Conselho de Administrao, Diretoria, Auditoria
Independente e Conselho Fiscal. As boas prticas de governana
corporativa tm a finalidade de aumentar o valor da sociedade, facilitar
seu acesso ao capital e contribuir para a sua perenidade1.
Benefcios:
Exigncias:
Leis
Regulamentos
Governana
Corporativa
Transparncia
Equidade
Normas
Controles
Prestao de Conta
Voc
Voc pagaria
pagaria aa mais
mais pelas
pelas aes
aes de
de
quem
quem adota
adota prticas
prticas de
de governana
governana ??
-- 76%
76% disseram
disseram que
que sim
sim ee destas
destas aa
maioria
maioria afirmou
afirmou que
que pagaria
pagaria 24%
24% aa
mais
mais pelas
pelas aes.
aes.
Fonte:
Fonte: McKinsey
McKinsey com
com empresas
empresas da
da Amrica
Amrica Latina
Latina
Compliance2
tica
Transparncia = Credibilidade
Notas: 1 - Fonte: Instituto Brasileiro de Governana Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis
Modelo de Governana
Governana de Compliance
Governana de Negcio
Compulsria
Planejamento Estratgico (BSC)
Agncias
Reguladoras
Espontnea
NYSE BACEN
SOX
Basel II
Bovespa/CVM
N1
N2
Resultado & Desempenho
Direcionadores Estratgicos
Gesto de Risco e Controles Internos
Operaes
Operaes
A transio para o capitalismo sustentvel ser uma das mais complexas revolues
que a nossa espcie j vivenciou. Estamos embarcando em uma revoluo cultural
global, que tem como epicentro a sustentabilidade. Ela tem a ver com valores, mercados,
transparncia, ciclos de vida de tecnologias e produtos e tenses entre o longo e o curto
prazo. E as empresas, mais que governos ou outras organizaes, estaro no comando
destas revolues. Um comando que se exercer pelos princpios da governana
corporativa. - John Elkington
Fonte: Governana Corporativa Fundamentos, Desenvolvimento e Tendncias Adriana Andrade e Jos Paschoal
Governana de TI
Segundo IT Governance Institute (www.itgi.org), a definio da

Governana de TI:
uma estrutura de relacionamentos e processos para dirigir e controlar
a organizao para atingir os objetivos corporativos, adicionando valor,
ao mesmo tempo que equilibra os riscos em relao ao retorno da TI e
seus processos
Exigncias
Leis
Regulamentos
Normas
Controles
Governana
Corporativa
Transparncia
Equidade
Prestao de Conta
Compliance
tica
Guias
Governana
de TI
Cobit
ITIL
BSC
PMBok
Guia: COSO
www.itgovernance.org
COBIT - Control Objectives for Information and Related Technology www.isaca.org
Modelo de Governana Corporativa e Governana de TI:

Governana de Compliance
Governana de Negcio
Compulsria
Planejamento Estratgico (BSC)
Agncias
Reguladoras
Espontnea
NYSE BACEN
SOX
Basel II
Bovespa/CVM
N1
N2
Resultado & Desempenho

Gesto de Risco e Controles Internos
Direcionadores Estratgicos
Governana de TI
COBIT
Servios de TI
ITIL/ISO 20k
Projetos
PMI/PMBok
Fbrica SW
CMMi/RUP
OutSourcing
e-SCM/SAS70
Segurana
ISO 27001
Melhores Prticas,Padres, Normas e rea de Conhecimento

10
Modelo de Governana
Modelo de Governana (Corporativa e TI):
Governana de
Conformidade
Governana do
Negcios
TI - Melhores Prticas
Padres e Frameworks
Melhores Prticas
Padres e Frameworks
Fornecedores
Qualidade
Reg
ula
me
nta
TI
e
s
Segurana da
Informao
Risco &
Compliance
Governana de
COSO
Fbrica de
de Software
Processos
e Projetos
Cobit
Lei
se
Servios de TI
q
Re
itos
s
i
u
cio
g
e
oN
Gesto Estratgica
de TI
BSC
BSC-TI
ITIL /
ISO20000
CMMi
ISO17799/
ISO27001
SAS70 /
e-SCM
PMBok/PMI
COSO
ISO9001 /
Seis Sigma
Arquitetura de TI
Recursos
11
Governana de TI:
Objetivos:
- Simplificar/Democratizar as decises de TI
- Simplificar as operaes e/ou servios de TI

- Melhorar o nvel de qualidade dos servios de TI
- Estabelecer e manter relacionamento com clientes e fornecedores
- Maximizar uso de recursos
- Otimizar custos
- Gesto de Riscos (Identificar, analisar e mitigar)
- Estabelecer e manter a conformidade com as leis e regulamentos
- Promover a integrao entre o Negcio e a TI
- Gerar valor para empresa
12
Introduo
Mudana de Viso
Ontem: Gesto de Segurana da Informao
Hoje: Gesto de Risco (Segurana da Informao + Controle Interno)
COSO
COBIT
Gesto de Risco Corporativo (ERM)
Governana
Corporativa
Gesto da Segurana
da Informao
Controle Internos
Confidencialidade
Processos
Integridade
Evidncias
Disponibilidade
Guia de Auditoria
ISO 17799 /
ISO 27001
Governana
de TI
Cobit, ITIL, ISO 17799...
13
"O sbio antev o perigo e proteg-se, mas os

imprudentes passam e sofrem as conseqncias."
Provrbio 22:3
Introduo
Viso geral sobre Risco
- Definio
- Natureza do Risco
- Componentes
14
Introduo
Gesto de Riscos
Anlise/Avaliao
do Risco
Resposta
ao Risco
Risco
Mitigado
No Identificao
do Risco
Exposio
ao Risco
Ocorrncia
do evento
Materializao
do Risco
Identificao
do Risco
15
Gesto de Risco
Definio de Risco:
Risco qualquer evento que pode afetar a habilidade de empresa a alcanar seus objetivos.
Definio segundo ISO/IEC Guide 73:

O risco pode ser definido como a combinao da probabilidade de um acontecimento e das suas conseqncias.
Evento: Riscos e Oportunidades
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo
representam riscos que podem impedir a criao de valor ou mesmo destruir o valor existente. Os de impacto positivo
podem contrabalanar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a
possibilidade de um evento ocorrer e influenciar favoravelmente a realizao dos objetivos, apoiando a criao ou a
preservao de valor. A direo da organizao canaliza as oportunidades para seus processos de elaborao de
estratgias ou objetivos, formulando planos que visam ao aproveitamento destes.
Infra-estrutura:
Disponibilidade de bens
Capacidade dos bens
Acesso ao capital
Complexidade
Pessoal:
Capacidade dos empregados
Atividade fraudulenta
Sade e segurana
Processo:
Capacidade
Design
Execuo
Dependncias / fornecedores
Tecnologia:
Integridade de dados
Disponibilidade de dados
Disponibilidade de sistemas
Seleo de sistemas
Desenvolvimento
Alocao
Manuteno
Eventos Externos
Categorias dos Eventos:
Eventos Internos
Abrangendo (agentes de riscos):

Perigo: Coisas ruins que acontecem
Incerteza: Coisas que no ocorrem como esperado
Oportunidade: Coisas boas que acontecem
Econmicos:
Disponibilidade de capital
Emisses de crdito,
inadimplncia
Concentrao
Liquidez
Mercados financeiros
Desemprego
Concorrncia
Fuses / aquisies
Meio Ambiente:
Emisses e dejetos
Energia
Desastres naturais
Desenvolvimento sustentvel
Polticos:
Mudanas de governo
Legislao
Poltica pblica
Regulamentos
Sociais:
Caractersticas demogrficas
Comportamento do consumidor
Privacidade
Terrorismo
Tecnolgicos:
Interrupes
Comrcio eletrnico
Dados externos
Tecnologias emergentes
16
Gesto de Risco
Natureza do Risco:
Risco de Legal/Compliance2: Risco decorrente da ausncia de cumprimento s leis,

regulamentaes e normas emitidas por rgos reguladores ou polticas corporativas.
Risco de Crdito1: Que uma das partes no honre seus compromissos financeiros
Risco de Mercado: Relacionado ao retorno esperado de ativos e passivos, em
decorrncia de variaes em fatores como taxas de juros, de cmbio, ndices de inflao
e cotao de aes.
Risco Operacional: Relacionado manifestao de eventos que ocasionem a
interrupo dos negcios, erros, falhas, fraudes e omisses com impacto para os clientes
e instituies.
Risco de Subscrio: Risco oriundo de uma situao econmica adversa que contraria
tanto as expectativas da sociedade seguradora no momento da elaborao de sua poltica
de subscrio quanto as incertezas existentes na estimao das provises.
Risco Aturial: Relaciona-se s incertezas existentes tanto na definio da tbua
biomtrica e da taxa de juros, quanto na constituio das provises tcnicas (situao
econmica adversa diferente da expectativa da entidade
1 - O tema "risco operacional" evoluiu consideravelmente nos ltimos cinco anos. O termo "risco operacional" foi provavelmente mencionado
pela primeira vez depois do caso de falncia do Barings. Foi a partir da que o mercado financeiro se conscientizou de que esses riscos, at
ento ignorados, tinham o potencial de afetar consideravelmente os resultados das operaes e no podiam ser classificados como riscos de
mercado nem riscos de crdito
2 Conformidade com leis e regulamentaes
17
Gesto de Risco
Gesto de Risco um processo sistemtico que tem como objetivo
identificao, avaliao / analise, resposta (ao), comunicao e
monitoramento de riscos.
Comunicao
Identificao
Valor
Valor dos
dos Ativos
Ativos
(Assets)
(Assets)
Ameaas
Ameaas
(Threats)
(Threats)
Vulnerabilidades
Vulnerabilidades
(Vulnerabilities)
(Vulnerabilities)
Riscos
Riscos
Avaliao/Anlise
Contramedidas
(Countermeasures)
Resposta ao Risco
Monitoramento
18
Gesto de Riscos Corporativos
A ERM (Enterprise Risk Management) Gesto de Risco Corporativos um processo

conduzido em uma organizao pelo Conselho de Administrao(CA), diretoria e demais
empregados, aplicado no estabelecimento de estratgias, formuladas para identificar em
toda a organizao eventos em potencial, capazes de afet-la, e administrar os riscos de
modo a mant-los compatvel com o apetite a risco da organizao e possibilitar garantia
razovel do cumprimento dos seus objetivos.
Componentes
A premissa inerente a gesto de riscos corporativos que toda

organizao existe para gerar valor s partes interessadas. Todas
as organizaes enfrentam incertezas, e o desafio de seus
administradores determinar at que ponto aceitar essa incerteza,
assim como definir como essa incerteza pode interferir no esforo
para gerar valor s partes interessadas. Incertezas representam
riscos e oportunidades, com potencial para destruir ou agregar
valor.
A gesto de riscos corporativos possibilita aos administradores
tratar com eficcia as incertezas, bem como os riscos e as
oportunidades a elas associadas, a fim de melhorar a capacidade
de gerar valor.
O valor maximizado quando a organizao estabelece
estratgias e objetivos para alcanar o equilbrio ideal entre as
metas de crescimento e de retorno de investimentos e os riscos a
elas associados, e para explorar os seus recursos com eficcia e
eficincia na busca dos objetivos da organizao.
O gerenciamento de riscos corporativos tem por finalidade:
19
Gesto de Riscos Corporativos

Alinhar o apetite a risco com a estratgia adotada os administradores
avaliam o apetite a risco da organizao ao analisar as estratgias, definindo
os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar
esses riscos.
Fortalecer as decises em resposta aos riscos o gerenciamento de

riscos corporativos possibilita o rigor na identificao e na seleo de
alternativas de respostas aos riscos como evitar, reduzir, compartilhar e
aceitar os riscos.
Reduzir as surpresas e prejuzos operacionais as organizaes
adquirem melhor capacidade para identificar eventos em potencial e
estabelecer respostas a estes, reduzindo surpresas e custos ou prejuzos
associados.
Identificar e administrar riscos mltiplos e entre empreendimentos
toda organizao enfrenta uma gama de riscos que podem afetar diferentes
reas da organizao. A gesto de riscos corporativos possibilita uma
resposta eficaz a impactos inter-relacionados e, tambm,respostas integradas
aos diversos riscos.
Componentes
Aproveitar oportunidades pelo fato de considerar todos os eventos em

potencial, a organizao posiciona-se para identificar e
aproveitar as oportunidades de forma proativa.
Otimizar o capital a obteno de informaes adequadas a respeito de
riscos possibilita administrao conduzir uma avaliao eficaz das
necessidades de capital como um todo e aprimorar a alocao desse capital.
20
Motivao: Gesto de Risco
> Reduo de Custos
> Requisitos legal e/ou

de regulamentao
> Vantagem Competitiva
> Controle de recursos

(preveno a perdas)
> Aumentar a satisfao

do cliente
> Aumentar a eficincia

operacional
21
Fatores Crticos de Sucesso:

Integrao e Comunicao:
Pessoas:
Capacitao
e Motivao
Produtos:
Uso de ferramentas
de produtividade
Processos:
Gesto por
Processos
A Integrao das Pessoas, dos Processos e dos Produtos(Tecnologias & ferramentas) e
bom Plano de Comunicao aumentam a chance de sucesso da Gesto de Risco.
22
"A vida ou uma aventura audaciosa, ou no nada. A

segurana geralmente uma superstio. Ela no existe na
natureza."
Helen Keller
Gesto de Risco de TI:

- Identificando os riscos
- Analisando de Severidade do Risco (Impacto vs Probabilidade)
- Respostas ao Risco
- Monitoramento
23
Vrus
Erros & Falhas
Sistemas
reas de Risco de TI Solues:

Gesto de Segurana da Informao:
- Segurana Fsica e Lgica
- Gerenciamento de Identidade
- Plano de Continuidade de Servios de TI
- GRC (Governance, Risk and Compliance)
- Gesto de Projetos (Desenvolvimento de
Software)
- Gesto de Fornecedores / Outsourcing
24
Modelo de Governana de TI:

Modelo de Governana de TI (Foco na Gesto de Risco):
Governana de
Conformidade
Governana do
Negcios
q
Re
itos
s
i
u
cio
g
e
oN
Cobit
Lei
se
Governana de
COSO
Reg
ula
me
nta
TI
e
s
Segurana da Informao
Fornecedores
Qualidade
Fbrica de
de Software
Gesto de
Projetos
ISO17799/ ISO27001
Servios de TI
Gesto por
Processos
Gesto Estratgica
de TI
BSC
BSC-TI
ITIL /
ISO20000
CMMi
SAS70 /
e-SCM
BPM
PMBok/PMI
ISO9001 /
Seis Sigma
Arquitetura de TI
Recursos (Pessoas, Informao, Infra-estrutura, Aplicaes)
25
Gesto de Risco
Gesto de Risco um processo sistemtico que tem como objetivo
identificao, avaliao / analise, resposta (ao) comunicao,
monitoramento de riscos.
Comunicao
Identificao
Valor
Valor dos
dos Ativos
Ativos
(Assets)
(Assets)
Ameaas
Ameaas
(Threats)
(Threats)
Vulnerabilidades
Vulnerabilidades
(Vulnerabilities)
(Vulnerabilities)
Riscos
Riscos
Avaliao/Anlise
Contramedidas
(Countermeasures)
Resposta ao Risco
Monitoramento
26
Impacto & Probabilidade:
Impacto
Nvel
Impacto Financeiro
3-Alto
Danos e/ou perda do valor da marca
3-Alto
Danos a reputao e a imagem da empresa
3-Alto
Interrupo nas operaes
3-Alto
Perda de ativos
2-Mdio
Multas e Penalidades
2-Mdio
Atraso o processo de tomada de deciso
1-Baixo
Advertncia/Notificao
1-Baixo
> Qual impacto nos negcios ?
Probabilidade
Nvel
Alta
3-Alto
Mdia
2-Mdio
Baixa
1-Baixo
> Qual a probabilidade de ocorrer o evento ?
27
Probabilidade:
A teoria da probabilidade permite que se calcule a chance de ocorrncia de um

nmero em um experimento aleatrio.
O acaso:
provvel que o meu tipo ganhe a partida de hoje, pode resultar:
a) Que apesar do favoritismo, perca;
b) que, como pensamos, ganhe;
c) que empate.
Conceito de probabilidade:
Se em um fenmeno aleatrio as possibilidades so igualmente provveis,
ento a probabilidade de ocorrer um evento A :
Exemplo:
No lanamento de um dado, um nmero par pode ocorrer
de 3 maneiras diferentes dentre 6 igualmente provveis,
portanto, P = 3/6 50%
28
Gesto de Risco
Impacto x Probabilidade (Severidade do Risco)
Alto
I
M
P
A
C
T
O
Compartilhar / Transferir
Evitar, Mitigar & Controlar
Aceitar
Controlar
Baixo
Probabilidade
Alto
29
Gesto de Risco
Mapa de Risco:
Alto
3
B1
I
M
P
A 2
C
T
O
C1
A4
B2
A2
Compartilhar / Transferir
Evitar, Mitigar & Controlar

A3
A1
B1
A1
Aceitar
Baixo 0
C2
Controlar
2
Probabilidade
Alto
30
"No confunda movimento com ao."
Ernest Hemingway
Guias, Padres, Normas, Metodologia e Frameworks

- Gesto de Risco Operacional: COSO
- Governana de TI & Gesto Estratgica de TI: COBIT
- Gesto de Servios de TI: ITIL
- Gesto de Segurana da Informao: ISO 17799
- Desenvolvimento de Software: Prticas PMBok e Processo Unificado
- Gesto de Fornecedores: e-SCM.
31
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Cobit um framework (guia) que tem um conjunto de componentes que

representam as melhores praticas para Governana de TI, Controle,
Auditoria de TI e Compliance com regulamentao (SOX).
Principais caractersticas do Cobit:
- Orientado a Negcio
- Orientado a Processos
- Baseado em Controles
- Dirigido pelas mensuraes
A Evoluo do Cobit: A Governana
Modelo de Governana de TI
32
Cobit
Aplicao
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Governana de TI
Implantao PME1
Metodologia de
Implantao
Controle
Cobit
Compliance SOX
Auditoria de TI
1 Pequenas e Mdias Empresas

Comparaes
e Atualizaes
Cobit tem suporte a Governana de TI e fornece um

framework que garante:
- Alinhamento de TI com negcios
- Maximizao os benefcios de TI
- Uso adequado dos recursos de TI
- Gerenciamento de Riscos de TI
Cobit Quick Start
Implementaion Guideline
Cobit fornece um framework de controle que contribui para:

- Oferecendo um link entre o negcio e TI
- Organizando as atividades em processos
- Identificando os recursos de TI
- Definindo o gerenciamento dos objetivos de
controle
IT Control Objectives fo SOX
Fornece um guia de como garantir a
conformidade (compliance) para rea
de TI baseado nos Objetivos de Controle
IT Assurance Guide
Fornece uma abordagem de auditoria e um guia que
d suporte a auditoria dos processos Cobit
Cobit On-line (Benchmarking)
33
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Modelo de Governana de TI:
Garantia da ligao entre o negcio e planos de TI,

manuteno e validao da proposio de valor da
TI, Alinhada com as operaes da empresa
Alinhamento Estratgico
Execuo da Proposio de valor atravs do

Tempo, assegurando que TI entregue os
benefcios prometidos de acordo com estratgia,
concentrando-se em otimizar custos e em
comprovar o valor intrnseco de TI
Entrega de Valor
Gerenciamento de Risco
Medio de Performance
Conhecimento dos riscos,

entendimento claro dos
requisitos de compliance e das
tendncias da empresa para
os riscos, transparncia
acerca dos riscos significantes
para empresa e incorporao
de responsabilidade para o
gerenciamento dos riscos
Acompanhamento e
monitoramento da
implantao da estratgia,
do andamento dos projetos,
da utilizao de recursos, do
desempenho dos processos
e da entrega dos servios,
utilizando medies,
indicadores de desempenho.
Gerenciamento de Recursos
Otimizao do investimentos e da gesto adequada de

recursos (aplicaes, pessoas, informaes e infra-estrutura),
essenciais para prover os subsdios de que a empresa
necessita para cumprir os seus objetivos
34
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Cobit Detalhes do Framework
Objetivos de negcios e
Objetivos de Governana de TI
Informao
Informao
Eficincia
Eficcia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Monitorar e
Avaliar
7- Critrios da
Informao
4 - Domnios
Planejar e
Organizar
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Entregar e
Suporte
4- Recursos
Adquirir e
Implementar
35
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Entendendo o Cobit:
Todos os componentes so inter-relacionados fornecendo suporte a Governana de TI,
Gerenciamento de Servios , Controle e Auditoria.
Negcio
Negcio
Requisitos
KPI
KPI
Indicador de
Resultados
KGI
KGI
Metas
Metas das
das
Atividades
Atividades
Traduzindo
em
Implementados
por
or
Indicador de
Performance
Objetivos
Objetivos de
de
Controle
Controle
p
do
Modelo
Modelo
Maturidade
Maturidade
Controlados por
a
dit
Au
Nvel de
Maturidade
Realizado com
eficcia e eficincia
su
n
me
or
p
do
ra
Processos
de TI
Guia
Guia de
de
Auditoria
Auditoria
Prticas
Prticas de
de
Controle
Controle
36
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology

4 - Domnios e 34 - Processos :
Planejamento e Organizao (PO)
Adquisio e Implementao (AI)
P01 - Definio plano estratgico TI

P02 - Definio arquitetura de informao
P03 - Determinao do direcionamento
tecnolgico
P04 - Definio da organizao de TI e
relacionamentos
P05 - Gerenciamento do Investimento de TI
P06 - Comunicao de objetivos e direcionamento
P07 - Gerenciamento de recursos humanos de TI
P08 - Gerenciar Qualidade
P09 - Avaliar e Gerenciar riscos de TI
P10 - Gerenciamento de Projetos
AI01 Identificar solues automatizadas

AI02 - Aquisio e manuteno de sistemas
aplicativos
AI03 Aquisio e manuteno de tecnologia
de infra-estrutura
AI04 Habilitar a operao e uso
AI05 Obter recursos de TI
AI06 Gerenciar mudanas
AI07 Instalao, homologao de solues e mudanas
Monitoramento e Avaliao (ME)
DS01 Definio de nveis de servio

DS02 - Gerenciamento de servios de terceiros
DS03 Gerenciamento de performance ecapacidade
DS04 Assegurar a continuidade dos servios
DS05 Assegurar a segurana dos sistemas
DS06 Identificar e alocar custos
DS07 - Educar e treinar usurios
DS08 Gerenciar Service Desk e incidentes
DS09 Gerenciar configuraes
DS10 - Gerenciar problemas
DS11 Gerenciar dados
DS12 Gerenciar ambiente fsico
DS13 Gerenciar operaes
ME01 Monitorar e avaliar o desempenho

de TI
ME02 Monitorar e avaliar os controles
internos
ME03 Assegurar a (compliance) com as
regulamentaes
ME04 Prover Governana de TI
Entrega e Suporte (DS)
37
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Critrios da Informao:
Para satisfazer os objetivos de negcios as informaes devem estar em conformidade com
os seguintes critrios:
Requisitos de
Negcios
Requisitos de
Governana
requer
influncia
Processos
Processos
de
de TI
TI
Servios de
Informao
entrega
Informao
executa
Aplicaes
necessita
Pessoas
necessita
Infraestrutura
QoS
implica
Critrio
Critrio da
da
Informao
Informao
Metas de Negcios para TI
Arquitetura de TI
Qualidade:
Effectiveness (Eficcia) A informao deve ser relevante e pertinente aos processos
de negcios bem como ser entregue com temporalidade, corretude, consistncia e
usabilidade.
Efficiency (Eficincia) Informao deve ser fornecida com o uso de recursos da forma
mais produtiva e econmica
38
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Critrios da Informao:
Para satisfazer os objetivos de negcios as informaes devem estar em conformidade com
os seguintes critrios:
Segurana:
Confidentiality (Confidencialidade) A informao suscetvel deve ser protegida de
acesso no autorizado
Integrity (Integridade) Informao deve ser precisa e completa, bem como sua validade
deve estar em concordncia com o conjunto de valores e expectativas do negcio
Availability (Disponibilidade) Informao deve ser disponvel quando requerida pelo
processo de negcio agora e no futuro, e deste modo deve ser salvaguardada enquanto
Recurso
Fiducirio:
Compliance (Conformidade) Informao deve estar em conformidade com leis,
regulamentos, e arranjos contratuais dos quais os processos de negcios esto sujeitos
Reliability (Confiabilidade) - Informao deve ser provida de forma apropriada,
permitindo seu uso na operao da organizao, na publicao de relatrios
financeiros para seus usurios e rgos fiscalizadores, conforme leis e regulamentos
39
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Recursos:
Para atender os requisitos de negcio, a empresa deve ter recursos suficientes e
capacitados.
Recursos
Descrio
Pessoa
As pessoas requeridas para planejar, organizar, adquirir, entregar,

d suporte e monitor os aplicativos, processos e servios de TI.
As pessoas podem ser funcionrios ou terceirizadas
Aplicativos
So os procedimentos manuais e os automatizados.
Infra-estrutura
(instalaes)
Informao
a tecnologia e facilidades com Hardware, software (Sistema

Operacional, Banco de Dados, Linguagens, Compiladores, redes)
Informao so os dados em todas as formas (entradas,
processados e sada) pelas aplicaes (sistemas de informao)
40
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology

Modelo de Maturidade:
O modelo de maturidade uma forma de medir quo bem esto desenvolvidos
os processos. O desenvolvimento dos processos, dependem das necessidades
do negcio.
Legenda:
Valor
Nvel de Maturidade
No existe
Inicial
(catico)
< pior
O - Inexistente:
Otimizado Gerenciamento de processos
no so aplicados
(valor)
1 - Inicial: Processos so
Gerenciado
informais e desorganizados
(servio)
2 - Repetitivo Os processos
Definido
(pro-ativo)
so intuitivo e seguem um
Repetitivo
padro
(reativo)
3 Definido - Os processos
so formais, documentados e
comunicados e aplicados
4 - Gerenciado Processos
so monitorados e medidos
5 - Otimizado Melhores
prticas so seguidas e os
Tempo
Melhor > processos so automatizadas
aplicado o ciclo de melhoria
continua.
41
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
O Cubo Cobit 3D
Processos de TI
Requisitos de Negcio
s
so
r
cu
e
R
Recursos de TI so gerenciados pelos processos de TI para alcanar as metas de TI que

responde aos requisitos de negcios. Este principio bsico do Framework Cobit.
42
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
PO9
Descrio do Processo:
Uma framework (estrutura) da gerncia de risco criada e mantida. A framework documenta
um comum nvel acordado de Risco de TI, Estratgias do mitigao e Riscos Residuais. Todo
o impacto potencial nos objetivos da organizao causada por um evento no planejado
identificado, analisado e avaliado. As estratgias do mitigao do risco so adotadas para
minimizar o risco residual a um nvel aceitvel. O resultado da avaliao compreensvel s
partes interessadas e expressada em termos financeiros, para permitir que as partes
interessadas (stakeholders) de alinhe o risco ao nvel aceitvel de tolerncia.
reas da Governana de TI
Recursos
Critrios de Informao
Critrios
Critrios de
de
Informao
Informao
Processos
Processos TI
TI
Secundrio:
Eficcia e
Eficincia
Conformidade
Confiabilidade
Primrio:
Confidencialidade
Integridade
Disponibilidade
43
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
PO9
Descrio do Processo:
Controle sobre o processo de TI:
Avaliar e Gerenciar os Risco de TI
Que satisfaz os requisitos de negcio para TI de:
Analisando e comunicando os risco de TI e seus potenciais impactos sobre os processos de
negcios e metas
Focando sobre:
Desenvolvimento de um Framework Gesto de Risco que integrado com negcio e
framework de gerenciamento de risco operacional, avaliao de risco, mitigao e
comunicao de risco residual
alcanado pela:
- Garantia que a gesto de risco completamente embutida na Gesto de Processos,
internamente e externamente e consistentemente aplicada
- Fazendo a avaliao de Risco
-Recomendando e comunicando planos de aes para remediar o risco
mensurado por:
% de Objetivos crticos cobertos pela avaliao de risco
% de Risco de TI identificado crticos com plano de ao desenvolvido
% de Plano de Ao da Gesto de Risco aprovado para implementao
44
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
PO9
Objetivos de Controle:
PO9.1 IT Framework Gesto de Risco:

Estabelecer um framework para Gesto de Risco de TI, que ser alinhado com framework
Gesto de Risco da organizao
PO9.2 Estabelecimento de Contexto do Risco:

Estabelecer o contexto em que framework de avaliao de risco aplicado para garantir
resultados apropriados. Isto deve incluir determinado contexto interno e externo de cada avaliao de
risco, o objetivo da avaliao e critrio contra quais os riscos so avaliados
PO9.3 Identificao do Evento:

Identificar eventos (uma ameaa realstica importante que explore uma vulnerabilidade aplicvel
significativo) com um impacto negativo potencial nos objetivos ou nas operaes da empresa, incluindo o
negcio, regulamentaes, legal, a tecnologia, parceiros de negcios, recursos humanos e aspectos
operacionais. Determinar a natureza do impacto e manter esta informao. Registrar e manter riscos
relevantes em um registro do risco.
PO9.4 Avaliao de Risco:

Avaliar em uma base recorrente a probabilidade e o impacto de todos os riscos identificados, usando
mtodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e
residual devem ser determinados individualmente, pela categoria e em uma base do portfolio.
45
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
PO9
Objetivos de Controle:
PO9.5 Resposta ao Risco:

Desenvolver e manter um processo de resposta do risco projetado para assegurar que custo efetivo do
controle mitiga a exposio aos riscos em uma base continuada. O processo de resposta do risco deve
identificar estratgias de resposta ao risco tais como evitar, reduzir, compartilhar ou a aceitar; determinar
responsabilidades associadas; e considerar nveis de tolerncia do risco.
PO9.6 Manuteno e Monitoramento do Plano de Ao do Risco:

Dar prioridade e planejar s atividades de controle em todos os nveis e executar as respostas do risco
identificado quando necessrio, incluindo a identificao dos custos, benefcios e responsabilidade para
a execuo. Obter a aprovao para aes e a aceitao das recomendadas de todos os riscos residuais
e assegurar-se de que as aes realizadas sejam conhecidas pelos proprietrios dos processos
afetados. Monitorar a execuo dos planos e do relatrio sobre qualquer desvios gerncia snior.
46
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
PO9
Guia de Gerenciamento:
Sadas
Entradas
47
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
PO9
Guia de Gerenciamento:
48
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
PO9
0 Inexistente, quando:
Avaliao de risco para processos e decises de negcios no ocorre. A empresa no considera os
impactos do negcio associados com vulnerabilidade de segurana e as incertezas de projeto de
desenvolvimento. Gesto de Risco no identificada como relevante para aquisio de solues de
TI e para entregar de servios de TI.
1 Inicia/Ad Hoc quando:
Os riscos de TI so considerado em uma maneira ad hoc. As avaliaes informais do risco do projeto
ocorrem como determinado por cada projeto. As avaliaes de risco so identificadas s vezes em uma
plano de projeto mas raramente atribudas aos gerentes especficos. Os riscos especficos relacionados,
tais como a segurana, a integridade e a disponibilidade (SID), so considerados ocasionalmente em uma
base de projeto-por-projeto. Os risco relacionado com TI afetam as operaes do dia-a-dia e so
raramente discutidos em reunies de gerncia. Onde os riscos foram considerados, o mitigao
inconsistente. H um entendimento emergente que os risco de TI importante e a necessidade para
considera-los.
2 Repetivivo, mas intuitivo, quando:
Um desenvolvimento de uma abordagem de avaliao de risco existe e implementada com discrio
pelo gerente de projeto. A gerncia de risco est geralmente em em nvel elevado e aplicada
tipicamente somente aos projetos principais ou em resposta aos problemas. Os processos do mitigao
do risco esto comeando ser executados onde os riscos so identificados
49
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
PO9
3 Definido, quando:
Uma poltica de gerncia do risco da organizao define quando e como conduzir as avaliaes de risco.
A gesto de risco segue um processo definido que seja documentado. O treinamento de gesto de risco
est disponvel a todos os colaboradores. As decises para seguir o processo de gesto de risco e para
receber o treinamento so deixadas discrio individual. A metodologia para a avaliao do risco est
convencendo e assegura que os riscos chaves do negcio estejam identificados. Um processo para
mitigar os riscos chaves institudo uma vez que os riscos so identificados. As descries de trabalho
consideram responsabilidades da gesto de risco.
4 Controlado, mensurando quando:
A avaliao e a gesto do risco so procedimentos padres. As excees ao processo de gesto de risco
so relatadas pela gesto. Gerncia de risco uma responsabilidade snior do gerncia-nvel. O risco
avaliado e mitigado no nvel do projeto individual e tambm regularmente no que diz respeito todas as
operaes de TI. A gesto recomendada a todas as mudanas no negcio e no ambiente de TI, que
poderia afetar significativamente os cenrios-relacionados ao risco. A gesto pode monitorar a posio do
risco e informar as decises a respeito da exposio que disposto aceitar. Todos os riscos identificados
tm um proprietrio nomeado, e a gerncia snior e gesto determinam os nveis do risco que a
organizao tolerar. Gerncia desenvolve medidas padro para avaliar o risco e definir o risco/taxa de
retorno. Os oramentos da gesto para uma gerncia de risco operacional projetam-se em uma base
regular. Uma base de conhecimento da gesto de risco estabelecida e a parte dos processos da
gerncia de risco est comeando a ser automatizada. Gerncia considera estratgias do mitigao de
risco
50
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
PO9
5 Otimizado, quando
A gesto de risco torna-se ao estgio onde estruturado, processo do organizao reforado e bem
controlado. As melhores prticas so aplicadas por toda a organizao. A captura, a anlise e o relatrio
de dados da gerncia de risco so automatizados. A orientao extrada dos lderes de campo, e
organizao faz avaliao para saber se existe experincias da troca nos grupos. A gesto de risco
integrada verdadeiramente com o negcio e as operaes de TI, ela bem aceita e envolve
extensivamente os usurios de servios de TI
A gesto identifica e age quando so tomadas decises de investimento sem considerao do plano de
gesto de risco. A gerncia avalia continuamente estratgias do mitigao de risco.
51
Comittee
Comittee of
of Sponsoring
Sponsoring Organizations
Organizations of
of the
the Treadway
Treadway Comission
Comission
COSO
52
COSO
Committee
Committee of
of Sponsoring
Organizations of
of the
the Treadway
Treadway Comission
Comission
Elementos de Regulamentao Norte-Americanas sobre Controle Interno

O processo regulatrio referente a controle internos tem um marco importante nos
Estados Unidos por ocasio da lei aprovada pelo Congresso Americano, em dezembro
de 1987, chamada de Foreign Corrupt Practices Act (FCPA). Essa lei restringe-se a
sociedades annimas por aes.
As empresas sob FCPA, so obrigadas a criar e implementar e manter sistemas de
controle que ofeream garantias de que as transaes sero registradas de
conformidade com os princpios contbeis.
Os Auditores Independentes atravs do AICPA, em SAS 55, pregam que a
administrao deve estabelecer uma estrutura de controle interna composta por 3
elementos: Ambiente de controle; sistema contbil e procedimento de controle.
Um estudo neste sentido foi feito pela Treadway Commission.
A recomendao do Treadway Commission, no sentido de desenvolver-se uma
definio comum de controle interno com diretrizes processuais, criou-se o COSO,
Comit das Organizaes Patrocinadoras.
O modelo apresentado pelo COSO em 1992 e atualizado em 1994 (Internal Control
Integrated Framework), atualmente conhecido como COSO 1, definiu o controle interno
e elaborou critrios para a avaliao de sistemas.
O COSO 1 responsabiliza pelo processo de controle interno o Conselho Diretor (Board),
a Administrao (Directors) e os funcionrios da entidade.
Ele estabelece o processo como garantidor para a realizao de objetivos das
seguintes categorias:
53
COSO
Committee
Committee of
of Sponsoring
Organizations of
of the
the Treadway
Treadway Comission
Comission
- Eficcia e eficincia de operaes;

- confiabilidade dos relatrios financeiros
- cumprimento das leis e regulamentos pertinentes.
O COSO 1 sugere tambm que a avaliao do
processo de controle interno deva ser pontual ao
longo do tempo (exemplo: trimestral, anual...).
O modelo define ainda que um sistema de controle
interno deve ter 5 componentes relacionados:
1 Ambiente de controle (com foco na estrutura
organizacional e as relaes com o ambiente
externo);
2 Avaliao de risco;
3 Atividade de controle (polticas e procedimentos);
4 informaes e comunicaes
5 Monitoramento
54
COSO
Committee
Committee of
of Sponsoring
Organizations of
of the
the Treadway
Treadway Comission
Comission

Aps o COSO , o AICPA emitiu o SAS (Statement of Auditing Stardard Declarao
Padro de Auditoria) 78 que adere ao COSO 1, tornou um padro para as firmas de
Auditorias.
A Fundao de Auditoria e Controle de Sistemas de Informaes (ISAF) criou um padro
chamado COBIT (Objetivo de Controle de Informaes e Tecnologias Relacionadas),
publicado em 1995 (primeira verso). O COBIT partiu do modelo COSO 1.
O COBIT focado nos processos de tecnologia de informao e seus relacionamentos
com o controle interno.
Esses documentos, COSO 1, SAS 78 e COBIT enfatizam que a administrao
responsvel por estabelecer, manter e monitorar o sistema de controle interno de
uma empresa.
55
COSO
Committee
Committee of
of Sponsoring
Organizations of
of the
the Treadway
Treadway Comission
Comission
O COSO propem uma reviso tcnica, chamada de ERM (Enterprise Risk Management Framework)
conhecida como COSO 2.
Existe um relacionamento direto entre os objetivos, que
uma organizao empenha-se em alcanar, e os
componentes do gerenciamento de riscos corporativos, que
representam aquilo que necessrio para o seu alcance.
Esse relacionamento apresentado em uma matriz
tridimensional em forma de cubo.
As quatro categorias de objetivos (estratgicos,
operacionais, de comunicao e conformidade) esto
representadas nas colunas verticais.
Os oito componentes nas linhas horizontais
e as unidades de uma organizao na terceira dimenso.
Cubo Coso
Essa representao ilustra a capacidade de manter o

enfoque na totalidade do gerenciamento de riscos de uma
organizao, ou na categoria de objetivos, componentes,
unidade da organizao ou qualquer um dos subconjuntos.
56
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Sobre a ITIL:
OCG Office of Government

Commerce (antigo CCTA) :
- Proprietrio do ITIL
- Comit Gestor
O governo da Inglaterra buscava fazer reduo de custos e de risco

relacionados com rea de TI. Pesquisas mostravam, porm, que mais de
80% do custo dos Servios de TI estava ligado ao dia-a-dia de sua
operao e apenas 20% ao processo de desenvolvimento de software.
Por esse motivo, foi criada a Biblioteca de Infra-estrutura de TI pelo
CCTA (atual OGC). Esta biblioteca representa as melhores prticas para
a Gesto Servio de TI.
TSO The Stationery Office

- Publicaes da ITIL
Biblioteca composta
por 5 livros
itSMF IT Service Mngt

Forum
Gerenciamento de Servios
de TI
www.itsmf.com.br
EXIN e ISEB
- Certificaes
Conjunto de melhores
prticas para Gesto
de Servios de TI
Abordagem para Gesto

de Servios TI (ITSM)
ITIL
ITIL
Foco: Ciclo de vida dos Servios

Padro Aberto que tornou
padro de fato
ISO 20000
ITIL uma marca registrada em nome do OGC
57
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
ITIL
Adaptado do original de David Pultorak
58
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto do Nvel de Servio

Gesto de
Capacidade
Gesto de
Disponibilidade
Gesto
Financeira de
Servios de TI
Gesto de
Continuidade
de Servios de TI
Usurios
Gerenciamento de Mudana
Central de
Servios
Gesto de
Incidentes
Gesto de
Problemas
(porta)
Gesto
de Liberao
Gerenciamento de Segurana
Entrega de Servios
Suporte aos Servios
Relacionamento com Negcio
Gesto de Configurao
59
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto do Nvel de Servio

Gesto de
Capacidade
Gesto de
Disponibilidade
Gesto
Financeira de
Servios de TI
Gesto de
Continuidade
de Servios de TI
Usurios
Gerenciamento de Mudana
Central de
Servios
Gesto de
Incidentes
Gesto de
Problemas
(porta)
Gesto
de Liberao
Gerenciamento de Segurana
Entrega de Servios
Suporte aos Servios
Relacionamento com Negcio
Gesto de Configurao
60
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
As melhores prticas para o Gerenciamento de Servios de TI

Registro do
Incidente
Suporte aos Servios
Gesto de
Incidentes
Adotar e
Adaptar
Gesto de
Configurao
Service
Desk
Usurios
Ciclo PDCA
Planejar Executar
Plan
DO
Agir
Act
Entrega dos Servios
Verificar
Check
Gesto de
Problema
SLA Monitoramento
RFC
Gesto SLM/SLA
Clientes
(negcios)
Gesto
Gesto de
de
Continuidade
Continuidade
Gesto
Gesto de
de
Disponibilidade
Disponibilidade
Gesto
Gesto de
de
Financeira
Financeira
Gesto
Gesto de
de
Capacidade
Capacidade
Gesto de
Mudana
Gesto de
Liberao
Base
Base de
de
Conhecimento
Conhecimento
61
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Configurao (Configuration Management)
Gerenciar o banco de dados de todos os

componentes necessrios para fornecer servios
62
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Itens de Configurao
63
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Tipos de Item de Configurao (IC):
Hardware
Software
IC
Documentao
Processos e procedimentos
Documentao tcnica
Diagramas/grficos
Contratos (SLA)
necessrio para
fornecer um servio
64
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Objetivo
65
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Justificativas
66
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Atividades
67
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Terminologia
68
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
ITIL
69
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Benefcios
70
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Problema (Problem Management)
Incidentes X Problemas
Problema difere de incidente no objetivo, ou seja, enquanto a gerncia de incidente tem
como objetivo restaurar de forma mais rpida possvel os servios para os clientes, a
gerncia de problema tem que buscar a causa raiz do incidente, e sua conseqente
soluo e preveno.
71
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Problemas:
Um Problema um erro de causa desconhecida que pode

causar um ou mais incidentes.
incidentes
Um Problema poder ser um Erro Conhecido (Known Error) quando a causa raiz
(root cause) tornar conhecida e uma Soluo de Contorno (work-around) ou
permanente for identificada e aplicada.
um ajuste temporrio para evitar que o negcio do cliente no fique parado ou com
baixa qualidade. No uma soluo permanente e sim uma soluo paliativa.
Uma RDM (RFC) prope uma mudana (change), para eliminar

um Erro Conhecido (Known Error)
72
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
ITIL
73
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Infra-estrutura do Erro
Incidente
Problema
Erro conhecido (Known Error)
Infra-estrutura
do Erro
RDM (RFC)
Estrutura da
Resoluo
74
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Atividades
Suporte do
incidente
Problem
Control
Gerncia de
Problemas
Gerenciamento
Reativo
Error
Control
Gerenciamento
Pr-ativo
75
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Controle do Problema (Problem Control)
O processo de Controle de Problema (Problem Control) est preocupado em agrupar os

problemas de um modo eficiente e efetivo.
Tem como alvo controlar os problemas e identificar a causa Raiz (root cause), como
por exemplo qual o Item de Configurao que causou a falha e prover a informao ao
service desk com o possvel work-around, quando disponvel.
76
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Problem Control
Gerao de informaes para:

Rastreamento (tracking),
monitoramento e relatrio
Identificao e registro
Classificao
Investigao e diagnstico
Determinar o Erro Conhecido (know error)

e Soluo de Contorno (Work-around)
77
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Anlise de Kepner e Tregoe
Mtodo desenvolvido por Charles Kepner e Benjamin Tregoe.

Sistemtica para resolver problemas e usar o mximo de vantagem do conhecimento e experincias:
1. Definir o Problema
2. Descrever o Problema relacionando identidade, localizao, tempo e tamanho
3. Estabilizar possveis causas
4. Testar a causa mais provvel
5. Verificar a verdadeira causa
Diagrama de Ishikawa /causa e efeito ou Espinha de Peixe:
78
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Um diagrama de Pareto um tipo especfico de

histograma, ordenado por freqncia de ocorrncia,
que mostra quantos defeitos foram gerados por tipo
ou categoria de causa identificada. Os diagramas de
Pareto esto conceitualmente relacionados Lei de
Pareto, que afirma que um nmero relativamente
pequeno de causas normalmente produzir a grande
maioria dos problemas ou defeitos. Isso geralmente
chamado de princpio 80/20, em que 80% dos
problemas se devem a 20% das causas.
Ocorrncias
Diagrama de Pareto
40
35
30
25
20
15
10
5
0
Diagrama de Pareto
Client Memria
Client - SO
Servidor Banco de Rede - ColisoServidor - No. Banco de

Design Espao em Dados - Falta de pacote
Usurios Dados - Query Usabilidade
disco
de ndice
concorrente
Causas
79
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Controle do Erro (Error Control)
Identificao e
registro
Gerao de informaes para:

Rastreamento (tracking),
monitoramento e relatrio
O processo de Controle do Erro, cobre o gerenciamento de erros conhecidos (know errors) at que
estes possam ser eliminados definitivamente, atravs de um processo de mudana acompanhado
pela gerncia de mudana.
Avaliao do Erro
Registro da Soluo
do Erro
Mudana implementada com sucesso
Fechamento
80
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto pr-ativa dos problemas
O processo de gerenciamento pr-ativo dos problemas cobre as atividades focadas em

identificar e resolver os problemas antes mesmo que um incidente ocorra.
Preveno de problemas
Monitorar a Gerncia de Mudanas
Disparar mudanas para combater:
Ocorrncia de incidentes
Repetio de incidentes
Identificao de possveis problemas:
Relatrios (anlise de tendncia)
Ferramentas de gerenciamento
Identificao e diagnstico de problemas.

Fornecer suporte de segundo/terceiro nvel a incidentes.
81
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Relacionamento
Incident
Management
Configuration
Management
Capacity
Management
Availability
Management
Service Level
Management
informao
Problem
Management
Problem Control
Error Control
Pr-atividade
Informaes, Work-arounds
Registro
Banco de Dados
Problema
informao
RFC
RPI - Reviso de Ps-Implementao
(PIR - Post Implementation Review)
Change
Management
82
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
ITIL
83
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
ITIL
84
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Mudana (Change Management)
85
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Justificativas
86
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Terminologia
87
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Atividades
88
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
O que deve ser considerado
89
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Atividades
Recusa
Recusa
Monitoramento e
planejamento
Registro e
classifica
classificao
Aprova
Aprovao
Autoriza
Autorizao e
implementa
implementao
Avalia
Avaliao
RPI-Reviso de
Ps-Implementao *
Change Management
RFC
Constru
Construo
Testes
Implementa
Implementao
Gesto do
Projetos
Change
Management
Backout
90
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Comite de Controle Mudana
Change Advisory Board (CAB)

Comit de Controle de Mudanas (CCM)
O CAB o comit que aprova mudana e ajuda o gerente de
mudana avaliar e a priorizar as mudanas
) As reunies tm uma base regular.
Por exemplo: quinzenal.
CAB / Emergency Committee (CAB/EC)
Comit de Controle de Mudanas/Comit de Emergncia (CCM/CE)
Tem a responsabilidade de fazer avaliao de mudana urgente.
) As reunies no tm base regular,
regular acontecem quando solicitadas.
91
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Modelos de Requisies de Mudanas
92
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Modelo conforme o impacto nos negcios

Gerente de Mudana
Gerente de Mudana
Gerente de Mudana
Incio
maior
Gerente de Mudana
significativo
menor
Gerente de Mudana
Gerente de Mudana
Circular a RFC
para a diretoria da
empresa
Circular a RFC
para o CAB
Gestor Snior / nvel

do conselho
Gestor Snior / nvel do

conselho
Aprovar/rejeitar a
mudana
(Financeiro / Tcnico /
Negcios)
Aprovar/rejeitar a
mudana
(Financeiro / Tcnico /
Negcios)
Gerente de Mudana
Fecha
Rever a mudana
Decidi o modelo e
a categoria
Defini a prioridade
inicial
Filtrar solicitao
Implementa a
mudana
usando o
modelo
apropriado
Aprovar/rejeitar e
agendar mudana;
Relatrio do plano
de ao para o
CAB
Construo Mudana
Construir a
mudana, plano de
Backout & plano de
testes
Gerente de Mudana
Coordenar a
implementao da
mudana
Testador
independente
Testa a mudana
93
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Mudana Urgente
Gerente de Mudana
Gerente de Mudana
Filtrar solicitaes
Definir a prioridade
inicial
Gerente de Mudana
Incio
Gerente de Mudana
Coordenar a
implementao da
mudana
Testador
independente
Testes urgentes
Gerente de Mudana
Garantir que os
registros esto
atualizados
Construo Mudana
Construir a mudana,
plano de Backout
& plano de testes
Gerente de Mudana
Chama o
CAB / EC
CAB / EC
Rapidamente faz
anlise de
impacto e a
urgncia
Fecha
Rever a mudana
94
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Relacionamentos
Gesto de Liberao (Release)
Relat
Relatrios &
audit
auditria
Configura
Configurao
Requisio de
Mudana
Avaliao
(assess)
Partes impactadas
Aprovao
Mudana
Implementao
Gesto de Configurao
Atualizao
Liberao (Release) &

distribuio
Baseline,
Baseline, Libera
Liberao
RPIRPI-Reviso de
Ps-Implementa
Implementao*
Checar todos
registros
Atualizados
Fecha
Mudana
Fim
CMDB
Gesto de Mudana
* PIR - Post-Implementation Review
95
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Indicadores
96
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Benefcios
97
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Liberao (Release Management)
Liberao, distribuio de uma Requisio de Mudana

autorizada/aprovada.
98
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Liberao (Release Management)
99
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
ITIL
100
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
ITIL
101
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Terminologia
102
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Change Management Release Management
Requisio de Mudana Aprovada
Roll-out
103
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
DSL Definitive Software Library (Biblioteca de Software Definitiva)
Armazenamento
Lgico
Depsitos
Fsicos
Distribuio
DSL
Proteo (BKP)
das Verses
autorizadas
Base para
Liberaes
Ligao
com o
CMDB
104
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
DHS - Definitive Hardware Store (Depsito de Hardware Definitivo)
IC
sobressalentes
(spares)
Detalhes de
construo e
componentes
DHS
rea segura
Para hardware
Especificaes
105
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Poltica de Liberaes (Releases)
No. da verso e
Liberao
(Release)
Freqncia da
Liberao
(Release)
Plano de back-out
Poltica de
Liberaes
(Releases)
Liberao
(Release)
de
Emergncia
Papis e
responsabilidade
Tipo de Liberao
(Release)
(ex: Delta)
106
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Atividades:
Ambiente
Ambiente Controlado
de teste
Desenvolvimento
Ambiente de
Produo
RELEASE MANAGEMENT
Poltica
Release
Planejamento
Release
Desenvol
-vimento
interno
ou
compra
software
Construo /
configura
-o
release
Testes
Aceite
Release
Distribuio
Roll-out Comunicao &
&
treinamento
plano
instalao
Configuration Management Database (CMDB)

e
Definitive Software Library (DSL)
107
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
CMDB
DSL
Ambiente
Ambientede
de
Desenvolvimento
Desenvolvimento
VV1.1a
1.1a
Fluxo
Ambientes
Processo de Liberao (Release) e Distribuio
V 1.0
Registro
Release
RFC
Autorizada?
Gerenciamento
Gerenciamentoda
da
Construo
Construo
VV1.1
1.1dd
V 1.1
Construir
e
Testar o
Ambiente
Ambientede
deTeste
Teste
Software
Liberao
Liberao
de
de
Teste
Teste
Ambiente
Ambientede
deProduo
Produo
Autorizada?
Implantar
Implantar
..VV1.0
1.0operacional
operacionalna
naDSL.
DSL.
..Construo
autorizada.
Construo autorizada.
..VV1.1a
1.1a(baseada
(baseadana
naVV1.0)
1.0)
..No
confivel
em
No confivel emdesenvolvimento.
desenvolvimento.
..VV1.0
1.0operacional
operacionalna
naDSL.
DSL.
..VV1.1d
1.1dno
noconfivel
confivelem
emteste.
teste.
..VV1.0
1.0operacional
operacionalna
naDSL.
DSL.
..Liberada
Liberadaatravs
atravsda
daDSL
DSLpara
parateste
teste
da
daliberao
liberao(release)
(release)
..VV1.0
1.0operacional
operacionalna
naDSL
DSL
(atualizao
(atualizaoagendada).
agendada).
..VV1.1
1.1Confivel
Confivelconstruda
construdana
naDSL
DSL
..Autorizao
Autorizaopara
paraLiberao
Liberao
(Release).
(Release).
..VV1.1
1.1operacional
operacionaleetambm
tambmna
na
DSL
DSL
..VV1.0
1.0arquivada
arquivadana
naDSL
DSL
108
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Indicadores
109
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Benefcios
110
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Projetos:
PMBOK - A Guide to Project Management Body of Knowledge, publicado pela
PMI - Project Management Institute (SEI) .
O PMBok guia das melhores prticas e o conhecimento e da rea de
gerncia de projetos.
O que um projeto ?
Um projeto um esforo temporrio
empreendido para criar um produto, servio ou
resultado exclusivo.
Grupo de Processos
Iniciao
O que gerenciamento de projeto ?

A aplicao de conhecimento, habilidades,
ferramentas e tcnicas s atividades do projeto
a fim de atender aos requisitos. O
gerenciamento de projetos realizado atravs
da aplicao e da integrao dos seguintes
processos de gerenciamento: iniciao,
planejamento, execuo, monitoramento,
controle e encerramento.
Planejamento
Controle
Execuo
Encerramento
111
PMBok
Gesto
Gesto de
de Projetos
Projetos
Grupo de Processos da Gesto de Projetos:

Grupo de Processo
Descrio
Iniciao
So os processos que autorizam o projeto ou diversas fases dele.
Planejamento
A definio de objetivos e seleo das melhores opes se encaixam nessa categoria. Esses processos
so demorados mas no muito significativos para o sucesso do projeto
Execuo
Esse processo juno do planejamento e aprimoramento do escopo, objetivos e entregaveis

(deliverables) aparecem durante a implementao desse processo.
Controle
Esse grupo envolve gerenciamento de escopo e utilizao de processos para manter o projeto alinhado
com os objetivos originais. Esse processo abrangem vrios acompanhamentos para garantir-se de que
tudo esteja dentro das restries definidas no inicio do projeto e no documento de autorizao (Project
Charter).
Encerramento
O processo de encerramento a concluso formal do projeto. Esse processo est ligado determinao
pelas partes interessadas de que o projeto cumpriu suas obrigaes como definido na declarao de
escopo.
O Ciclo de Vida do Projeto:

Na prtica, as fases constituem um conjunto dinmico de
processos que podem se sobrepor
112
PMBok
Gesto
Gesto de
de Projetos
Projetos
reas de Conhecimento Gesto de Projetos:

rea de Conhecimento
Descrio
Gerenciamento integrado de
projeto
Essa rea inclui desenvolvimento, execuo e controle de alteraes integrado do

plano.
Isso envolve informaes para desenvolver o plano e os processos para mant-lo
sob controle.
Gerenciamento do escopo do
projeto
Essa rea composta pelo iniciao, planejamento do escopo, definio,

verificao e controle de alteraes do projeto. A iniciao onde comea o projeto
com o esboo do que se deseja executar e os processos que sero necessrios
para fazer qualquer alteraes no escopo.
Gerenciamento de tempo do
projeto
Essa rea abrange a definio, prosseguimento, estimativa de durao,

desenvolvimento de cronograma e controle de atividades.
Importante lembrar que tempo elemento essencial ao projeto e ao seu sucesso.
Gerenciamento dos custos do

projeto
Essa rea incorpora o planejamento, estimativa de custos, oramento e controle de

qualidade.
Gerenciamento de qualidade
Essa rea envolve o planejamento, do projeto garantia e controle de qualidade.
Gerenciamento de recursos
humanos do projeto
Essa rea relaciona-se com o planejamento empresarial, obteno pessoal e

desenvolvimento de equipe
Gerenciamento de comunicao
do projeto
Essa rea envolve o planejamento de comunicaes, distribuio de informaes,

relatrios de desempenho e concluso administrativa
Gerenciamento de risco do
projeto
Essa rea descreve planejamento do gerenciamento de risco, identificao,

anlise qualitativa do risco, planejamento de resposta, monitorao e
controle.
Gerenciamento de aquisio do
projeto
Essa rea se concentra no planejamento de aquisies, planejamento de

solicitaes, solicitao, seleo de fonte, administrao de contrato e liquidao.
113
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto dos Riscos
114
PMBok
Gesto
Gesto de
de Projetos
Projetos
Riscos por rea de Conhecimento:
Escopo
Qualidade
Tempo
Custo
Problema
Risco
Aquisies
RH
Comunicao Integrao
115
PMBok
Gesto
Gesto de
de Projetos
Projetos
Riscos por rea de Conhecimento:
116
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Risco
Anlise quantitativa de riscos e tcnicas de modelagem
As tcnicas comumente usadas na anlise quantitativa de riscos incluem:

Anlise do valor monetrio esperado:
A anlise do Valor Monetrio Esperado (VME) um conceito estatstico que calcula o resultado
mdio quando o futuro inclui cenrios que podem ou no acontecer (por exemplo, a anlise em
condies de incerteza). A VME das oportunidades ser normalmente expressa em valores positivos,
enquanto a dos riscos ser expressa em valores negativos.
A VME calculada multiplicando o valor de cada resultado possvel por sua probabilidade de
ocorrncia e adicionando os dois. Uma utilizao comum deste tipo de anlise est na anlise da
rvore de deciso. recomendvel usar modelagem e simulao para a anlise de risco de custo e
cronograma, pois so mais poderosas e menos sujeitas a uso inadequado que a anlise do valor
monetrio esperado.
Anlise da rvore de deciso:
Em geral, a anlise da rvore de deciso estruturada usando um diagrama da rvore de deciso
que descreve uma situao que est sendo considerada e as implicaes de cada uma das escolhas
disponveis e cenrios possveis. Ela incorpora o custo de cada escolha disponvel, as probabilidades
de cada cenrio possvel e o retorno de cada caminho lgico alternativo. A resoluo da rvore de
deciso fornece a VME (ou outra medida de
interesse da organizao) para cada alternativa, quando todas as premiaes e decises subseqentes
estiverem quantificadas.
117
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto dos Riscos - Anlise da rvore de deciso e VME
118
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Informao (contexto 17799):
"A informao um bem que, como outros, importantes bens de negciio, tem
valor para a organizao e conseqentemente necessita de ser sustentavelmente
protegida"
"A informao pode existir em diversas formas. Pode ser impressa ou escrita em
papel, guardada eletronicamente, transmitida por correio eletrnico,mostrada em
filme ou transmitida em conversas"
"Qualquer que senha a forma que a informao possua, o meio na qual
partilhada ou guardada, dever sempre ser apropriadamente protegida"
A importncia da informao:
> Bancos (valor patrimonial de clientes)
> Estado (defesa nacional)
> Produtos/Servios (segredos)
> Sade (registro mdicos - pronturio eletrnico)
> Modelo Financeiros (estratgia de negcios)
> Negcios na Bolsa de Valores (Vazamento de Informao)
...
119
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Principais Componentes:
Disponibilidade Acesso contnuo e ininterrupto. A informao deve estar disponvel para a pessoa
certa e no momento em que ela precisar.
Integridade Proteger a informao contra qualquer tipo de alterao sem a autorizao explcita do
autor da mesma
Confidencialidade Visa manter o sigilo, o segredo ou a privacidade das informaes, evitando que
pessoas, entidades ou programas no autorizados tenham acesso s mesmas.
Autenticidade - garante ao receptor da informao a origem informada. Assegura que o acesso
informao no possa ser realizado por terceiros em nome do receptor ou que se utilizem do nome do
originador para enviar informaes.
Objetivos:
Reduzir a probabilidade de ocorrncia de incidentes.
Minimizar os danos / perdas causados Organizao.
Recuperao dos danos em caso de incidente.
120
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Atitude de Segurana
Reativa
Resposta a incidentes;
Investigaes;
Aplicao de sanes.
z
Preventiva
z
z
z
z
Planejamento;
Normalizao;
Infra-estrutura segura;
Educao e
Treinamento;
Auditoria.
121
ISO 17999
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Medidas de Segurana:
Poltica
Poltica de
de Segurana;
Segurana;
Poltica
Poltica de
de utilizao
utilizao da
da Internet
Internet ee
Correio
Correio Eletrnico;
Eletrnico;
Poltica
Poltica de
de instalao
instalao ee utilizao
utilizao de
de
softwares;
softwares;
Plano
Plano de
de Classificao
Classificao das
das
Informaes;
Informaes;
Auditoria;
Auditoria;
Anlise
Anlise de
de Riscos;
Riscos;
Anlise
Anlise de
de Vulnerabilidades;
Vulnerabilidades;
Anlise
Anlise da
da Poltica
Poltica de
de Backup
Backup //
Restore;
Restore;
Plano
Plano de
de Ao
Ao Operacional;
Operacional;
Plano
Plano de
de Contingncia;
Contingncia;
Capacitao
Capacitao Tcnica;
Tcnica;
Processo
Processo de
de Conscientizao
Conscientizao dos
dos
Usurios.
Usurios.
Medidas de Segurana:
Backups;
Backups;
Antivrus;
Antivrus;
Firewall;
Firewall;
Deteco
Deteco de
de Intruso
Intruso (IDS);
(IDS);
Servidor
Servidor Proxy;
Proxy;
Filtros
Filtros de
de Contedo;
Contedo;
Sistema
Sistema de
de Backup;
Backup;
Monitorao;
Monitorao;
Sistema
Sistema de
de Controle
Controle de
de Acesso;
Acesso;
Criptografia
Criptografia Forte;
Forte;
Certificao
Certificao Digital;
Digital;
Teste
Teste de
de Invaso;
Invaso;
Segurana
Segurana do
do acesso
acesso fsico
fsico aos
aos locais
locais
crticos
crticos
122
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Surgimento de Normas:
Em outubro de 1967 foi criado um documento chamado Security

Control for Computer System que marcou o passo inicial para
criao de conjunto de regras para segurana de computadores.
DoD tambm no ficou fora disto e teve grande participao na

elaborao de regras.
Em 1978 foi escrito Orange Book, conhecido tambm como

Trusted Computer Evaluation Criteria por DoD. A verso final
deste documento foi impresso em dezembro de 1985.
O Orange Book considerado como marco inicial de um

processo mundial de busca de medidas que permitem a um
ambiente computacional ser qualificado como seguro.
O "Orange Book" permite especificar o que deve ser

implementado e fornecido por um software, para que ele seja
classificado em um dos nveis de "segurana" pr-estipulados.
123
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Modelo de Implementao:
Definir
escopo
Compliance e
Certificao
Reviso
Documentao
Gap
Analyses
Monitorar
Compliance
Implantao da
ISO 17799
Treinamento
Avaliao de
Risco
Desenvolver
Procedimento
Desenvolver
Poltica
Inventrio
de Ativos
Objetivo de
Controle
Gesto de
Risco
124
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Surgimento de Normas:
Este esforo foi liderado pela "International Organization for Standardization (ISO). No
final do ano de 2000, o primeiro resultado desse esforo foi apresentado, que a norma
internacional de Segurana da Informao "ISO/IEC-17799:2000", a qual j possui uma
verso aplicada aos pases de lngua portuguesa, denominada "NBR ISO/IEC-17799 .
NBR/ISO IEC 17799

A ISO 17799 um conjunto de recomendaes para Gesto da Segurana da
Informao;
Providencia uma base comum para o desenvolvimento de normas de segurana
organizacional e das prticas efetivas de gesto da segurana;
Leva em considerao tecnologia, processos e pessoas. Esta norma publicada no
Brasil pela ABNT com o cdigo NBR ISO 17799.
Histrico:
A Associao Britnica de Normas tinha 2 normas referentes segurana de sistemas
de informao: a BS 7799-1 e a BS 7799-2.
A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO
17799.
125
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Componentes do ISO 17799
1. Objetivo da norma
2. Termos e definies
3. Poltica de segurana
4. Segurana organizacional
5. Classificao e controle dos ativos
de informao
6. Segurana de pessoas
7. Segurana fsica e do ambiente

8. Gerenciamento de operaes e
comunicaes
9. Controle de acesso
10. Desenvolvimento de sistemas.
11. Gesto de continuidade de negcios
12. Conformidade
ISO 17799 Segurana Organizacional

Infra estrutura de segurana: indica que uma estrutura organizacional deve
ser criada para iniciar e implementar as medidas de segurana.
Segurana no acesso de prestadores de servio: garantir a segurana dos
ativos acessados por prestadores de servios.
Segurana envolvendo servios terceirizados: deve-se incluir nos contratos
de terceirizao de servios computacionais clusulas para segurana
126
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
ISO 17799 Segurana de Pessoas
Segurana na definio e Recursos de Trabalho: Devem ser includas as preocupaes de

segurana no momento da contratao de pessoas. Verificar os critrios de segurana no
processo de seleo. Funcionrios devem assinar o acordo de confidencialidade.
Treinamento dos usurios: educao, conscientizao e treinamento referentes a segurana.
Mecanismos de Incidente de Segurana: Deve existir mecanismos para funcionrios poderem

reportar possveis falhas.
Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionrios que
violaram os procedimentos de segurana.
ISO 17799 Segurana de Fsica e de Ambiente
reas de segurana: prevenir acesso no autorizado, dano e interferncia nas instalaes fsicas.
Isso inclui: definir um permetro de segurana, controles de entrada fsica, etc
Segurana de equipamento: convm proteger equipamentos fisicamente de ameaas e perigos
ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteo contra falta de energia,
segurana do cabeamento, definio de poltica de manuteno, proteo a equipamentos fora das
instalaes.
Controles gerais: Por exemplo proteo de tela com senha para evitar que informao fique
visvel em tela, deve-se ter uma poltica quanto a deixar papis na impressora por muito tempo,
etc.
127
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
ISO 17799 Controle de Acesso
reas de segurana: prevenir acesso no autorizado, dano e interferncia nas instalaes fsicas.
Isso inclui: definir um permetro de segurana, controles de entrada fsica, etc
Segurana de equipamento: convm proteger equipamentos fisicamente de ameaas e perigos

ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteo contra falta de energia,
segurana do cabeamento, definio de poltica de manuteno, proteo a equipamentos fora das
instalaes.
Controles gerais: Por exemplo proteo de tela com senha para evitar que informao fique
visvel em tela, deve-se ter uma poltica quanto a deixar papis na impressora por muito tempo,
etc.
Gerenciamento de acesso dos usurios:
Registro do usurio: ID nica para cada usurio, pedir assinatura em termo de
responsabilidade,
remover usurio assim que o funcionrio sair da empresa .
Gerenciamento de privilgios: Basicamente, se recomenda que usurios
tenham apenas os privilgios necessrios para fazer seu trabalho.
Gerenciamento de senhas: termo de responsabilidade deve afirmar que
senha secreta e no deve ser divulgada, senhas temporrias devem
funcionar apenas uma vez.
Anlise crtica dos direitos de acesso do usurio: deve-se analisar os direitos de acesso dos
usurios com freqncia de 6 meses ou menos.
128
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Responsabilidades dos usurios:

Senhas: segundo norma, usurio deve zelar pela sua senha e criar uma senha considerada
aceitvel (mnimo de 6 caracteres).
Equipamentos sem monitorao: Usurios deve tomar os cuidados necessrios ao deixar um
equipamento sem monitoramento, com sees abertas.
Controle de Acesso ao SO:

Controle de acesso ao sistema operacional: Identificao automtica de terminal: nos
casos onde deve-se conhecer onde um usurio efetua logon.
Procedimentos de entrada no sistema (log-on). Sugestes como: limitar o nmero de

tentativas erradas para o log-on e no fornecer ajuda no processo de log-on, entre outros.
Identificao de usurios: a no ser em casos excepcionais cada usurio deve ter apenas
um ID. Considerar outras tecnologias de identificao e autenticao: smart cards,
autenticao biomtrica.
Sistema de Gerenciamento de Senhas: Contm os atributos desejveis para sistema que

l, armazena e verifica senhas.
129
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
ISO 17799 Controle de Acesso s Aplicaes
Controle de Acesso s aplicaes:

Registro de Eventos: Trilha de auditoria registrando excees e outros eventos
de segurana devem ser armazenados por um tempo adequado.
Monitorao do Uso do Sistema: Os procedimentos do monitorao do uso do
sistema devem ser estabelecidos. Uma anlise crtica dos logs deve ser feita de
forma peridica.
Sincronizao dos Relgios: Para garantir a exatido dos registros de
auditoria.
ISO 17799 Continuidade de Negcio

Deve-se desenvolver planos de contingncia para caso de falhas de segurana,
desastres, perda de servio, etc.
Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de
contingncia devem ser testados regularmente, pois tais planos quando concebidos
teoricamente, podem apresentar falhas devido a pressupostos incorretos, omisses ou
mudana de equipamento ou pessoal.
130
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
ISO 17799 Componentes do Plano de Continuidade de Negcio
Condies para a ativao do plano;

Procedimentos de emergncia a serem tomados;
Procedimentos de recuperao para transferir atividades essenciais para
outras localidades, equipamentos, programas, entre outros;
Procedimentos de recuperao quando do estabelecimento das
operaes;
Programao de manuteno que especifique quando e como o plano
dever ser testado;
Desenvolvimento de atividades de treinamento e conscientizao do
pessoal envolvido;
Atribuio de responsabilidades.
ISO 17799 Conformidade
Conformidade com Requisitos Legais: Para evitar a violao de qualquer lei,

estatuto, regulamentao ou obrigaes contratuais. Evitar a violao de Direitos
Autorais dos aplicativos.
Anlise Crtica da Poltica de Segurana e da Conformidade Tcnica.
Consideraes referentes Auditoria de Sistemas.
131
ISO 27001
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Este conjunto de normas ISO/IEC so o mais importante referencial de Segurana da Informao. Estas
normas substituram a normas BS 7799-2 (referente Gesto de Segurana da informao) e ISO 17799
Cdigo de Boas Prticas da Gesto de Segurana da Informao). No Brasil, algumas empresas j
conseguiram obter o certificado ISO27001: Serasa, Banco Matone, Samarco, Mdulo Security, Unisys, Prodesp
e SERPRO.
Como resultado destas novas normas, a listagem das normas ISO de Segurana da Informao ser a
seguinte:
ISO 27000 - Vocabulrio de Gesto da Segurana da Informao (sem data de publicao).
ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para Certificao
de sistema de gesto de segurana da informao.
ISO 27002 - Este standard ir substituir em 2006/2007 o ISO 17799:2005 (Cdigo de Boas Prticas).
ISO 27003 - Este novo standard abordar a gesto de risco, contendo recomendaes para a definio e
implementao de um sistema de gesto de segurana da informao. Dever ser publicada em 2006.
ISO 27004 - Incidir sobre os mecanismos de mediao e de relatrio de um sistema de gesto de segurana
da informao. A sua publicao dever ocorrer em 2007.
ISO 27005 - Ser constituda por indicaes para implementao, monitorizao e melhoria contnua do
sistema de controles. O seu contedo dever ser idntico ao da norma BS 7799-3:2005 Information Security
Management Systems - Guidelines for Information Security Risk Management, a publicar em finais de 2005. A
publicada da norma como ISO est prevista para meados de 2007.
ISO 27006 - Dentro da srie 27000 a ltima norma ser referente recuperao e continuidade de negcio.
Este documento tem o ttulo provisrio de Guidelines for information and communications technology disaster
recovery services, no estando calendarizado a sua edio.
132
ISO 27001
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
As mudanas mais relevantes na migrao para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de
gesto de segurana da informao), quando so destacados aspectos de auditoria interna e indicadores de desempenho
do sistema de gesto de segurana e no Anexo A que passou a ter na ISO/IEC 27001 11 sees, pois foi includa a seo
Gesto de Incidentes de Segurana da Informao:
5.Poltica de Segurana da Informao
6. Organizando a Segurana da Informao
7. Gesto de Ativos
8. Segurana em Recursos Humanos
9. Segurana Fsica e do Ambiente
10. Gerenciamento das Operaes e Comunicaes
11. Controle de Acessos

12. Aquisio, Desenvolvimento e Manuteno deSistemas de Informao
13. Gesto de Incidentes de Segurana da Informao
14. Gesto da Continuidade do Negcio
15. Conformidade
De acordo com rgos certificadores ser concedido um tempo para as empresas certificadas em BS7799-2:2002 se
adequarem a nova norma ISO/IEC 27001. A mdia de 1 ano e meio, ento todas as empresa certificadas, se quiserem
manter o seu certificado, devero se revisar seus sistemas e passar por uma auditoria de recertificao migrando para a
norma ISO/IEC 27001. A tendncia natural que as empresas passem a buscar a nova norma e aumente o nmero de
certificaes no mundo, devido a maior aceitao do padro ISO com referncia universal.
133
SAS70
Objetivo desta parte:

apresentar a declarao SAS 70
134
SAS70
Statement
Statement on
on Audit
Audit Standard
Standard 70
70
SAS 70, Statement on Audit Standard, Declarao Padro de Auditoria
Para estarem compliance (conformidade) com os requisitos da SOX, as empresas tem

que garantir que os servios de terceiros sejam desenvolvidos em um ambiente
controlado cujo risco gerido de forma continuamente.
Empresa
Fornecedor A
Fornecedor B
uma norma editada pelo American Institute of Certified Public Accountants para a auditoria de
Service Organizations
Ela fornece um guia para auditores envolvidos no processo de auditoria dos controles da empresa de
servio que podem ser parte do sistema de informao da empresa auditada, no contexto de uma
auditoria de resultados e relatrios financeiros
135
5 Controle Internos:
- Definio
- Compliance com regulamentao
- Controle Eficientes
- Auditoria Interna
136
Controle Interno
O Que os Executivos Deveriam Questionar?
Quais as melhores prticas de controle e gesto de riscos? Existem sistemas de

controle e gesto que indiquem eventuais falhas de controle (exemplos: fraudes,
irregularidades, m-conduta...)?
Nossos processos e controles para divulgao nos asseguram que todas as

informaes relevantes foram identificadas, quantificadas e reportadas?
Nossa estrutura de Governana Corporativa est compatvel s necessidades?

Cdigo de tica (Cdigo de Conduta);
Conselho de Administrao;
Comit de Auditoria;
Comit Fiscal; e
Parmetros de razoabilidade para bnus e lucros.
Definio de Controle:
Polticas, procedimentos, atividades e mecanismos, desenvolvidos para
assegurar que os objetivos de negcios sejam atingidos e que eventos
indesejveis sejam prevenidos ou detectados e corrigidos.
137
Controle Interno. Abordagem:

Abordagem: Preveno, Deteco e Resposta
Uma abordagem efetiva, direcionada fraude em negcios e gerenciamento de

risco e m-conduta, uma abordagem que focada em trs objetivos: Preveno,
Deteco e Reposta
Controles:
PREVENTIVO - Previnem o acontecimento de erros, fraudes, m-conduta ou irregularidades
e minimizam os riscos na fonte. (Pr-ativo). (Maior eficcia)
DETECTIVO - Detectam erros, fraudes, m-conduta e irregularidades quando eles ocorrem,

geralmente so difceis de definir ou prever. (Reativo).
RESPOSTA - Controles elaborados para tomar ao corretiva e remediar os danos

causados por erros, fraudes, m-conduta e irregularidades. (Reativo)
Tipos de Controles:
AUTOMATIZADO - Controles executados por sistemas automatizados, no dependendo de
julgamentos pessoais. Para garantir sua consistncia, preciso e tempestividade, preciso
ter um sistema seguro e confivel. (Maior eficcia)
MANUAL - Controles manuais executados por pessoas.
Periodicidade:
COM PERIODICIDADE DIVERSIFICADA (a cada evento, dirio, semanal, quinzenal, mensal,
trimestral, semestral, anual). (a periodicidade do controle deve ser compatvel com a
frequncia do incidncia dos eventos de risco cobertos pelo controle).
138
Controle Interno
Benefcios de uma Estrutura de Controles Internos Consistente:

Controle Interno Consistente:
9 Reduz potencial para fraudes
9 Conquista (ou reconquista) a
confiana dos investidores
9 Observa leis e regulamentaes
9 Reduz o risco de perda de
recursos
9 Otimiza decises de negcio com
maior qualidade
9 Identifica operaes ineficientes
9 Minimiza denncias
Controle Interno Inconsistente:

9 Aumenta a exposio a fraudes
9 Informaes financeiras imprecisas
9 Publicidade desfavorvel
9 Impacto negativo nos valores das
aes
9 Sanes de rgos de controle
9 Processos ou outras aes legais
9 Perda de ativos
9 Decises de negcio subotimizadas
139
Controle Interno. Auditoria Interna

O Papel da Auditoria Interna:
O papel da auditoria interna um elemento chave em

atividades de controle, suportando a abordagem da
administrao para prevenir, detectar e responder
fraude, erros, irregularidades e m-conduta.
Um das funes da Auditoria Interna o de examinar a
efetividade dos controles (realizao de testes
substantivos), Gesto de Risco, Sistemas, Salvaguarda
de Ativos, Contabilidade e Governana.
No geral, a auditoria interna deve ser responsvel por:
- Planejar e conduzir a avaliao do desenho e efetividade dos controles;
- Ajudar a organizao na avaliao das fraquezas dos controle e ajudar a encontrar
concluses quanto a estratgias apropriadas para mitigar estes riscos;
- Comunicar o comit de auditoria sobre a avaliao dos controles internos e das
auditorias, investigaes e atividades relacionadas.
140
Controle Interno. SOX:

A SOX, tem duas sees sobre certificao: 302 e 906.
A seo 302 determina um conjunto de procedimentos internos desenhados para garantir

a evidenciao financeira.
A seo 906 exige uma certificao pelo Presidente (CEO) e Diretor Financeiro (CFO)
acompanhe cada relatrio peridico que inclui as demonstraes financeiras
> A SEC adotou a regra exigindo que a certificao seja fornecida como parte de cada
relatrio anual e trimestral as correspondentes alteraes.
> O Presidente e Diretor Financeiro devero certificar que avaliaram a eficcia dos
controles internos e dos procedimentos de divulgao da empresa dentro de 90 dias da
data do relatrio.
> As regras exigem que a certificao seja includa em relatrios anuis nos formulrios:
10-K, 10-KSB, 20-F e 40-F, relatrios trimestrais nos formulrios: 10-Q e 10-QSB e
alteraes em quaisquer dos relatrios acima mencionados.
141
A seo 404, exige que administrao da empresa produza o Internal Control Report
Financial (ICRF) como parte do informe anual.
O informe deve afirmar a responsabilidade da administrao em estabelecer e manter
procedimentos e uma estrutura adequada de controle interno para o informe financeiro.
O informe ainda precisa conter uma avaliao, na data do final do ano fiscal mais recente
da empresa, da efetividade dos procedimentos e da estrutura de controle interno do
emitente do informe financeiro
A firma de auditoria, auditoria externa, precisa atestar a avaliao de controle interno da
administrao.
A recomendao da SEC, utilizar o COSO como guia para implementar o Sistema de
Controle Interno (SCI)
142

Lies Aprendidas:
Fraquezas Materiais nos Controles Internos
Questo:
Para quais dos itens abaixo h o
maior risco de serem reportadas
esperado o maior volume de
fraquezas materiais
nos controles internos?
a) Tecnologia da Informao
b) Reconhecimento de receita
c) Gerenciamento do Imobilizado
d) Compras e contas a pagar
e) Impostos
f) Recursos Humanos
g) Tesouraria
h) Encerramento e apresentao das
demonstraes financeiras
i) Outros
a) Tecnologia da
Informao
b) Reconhecimento de
receita
7; 7%
4; 4%
0; 0%
c) Gerenciamento do
Imobilizado
7; 7%
d) Compras e contas a
pagar
2; 2%
4; 4%
e) Impostos
7; 7%
4; 4%
f) Recursos Humanos
65; 65%
g) Tesouraria
h) Encerramento e
apresentao das
demonstraes
financeiras
i) Outros
Nota:
Para 65%, h uma percepo de que a tecnologia da informao a que poder gerar um maior
volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A ttulo de
comparao, pesquisa similar realizada em 2005 teve como resultado uma votao de 57% para TI, o
que indica que esta preocupao no recente e se manteve no mesmo patamar.
Fonte: Sntese e Resultado da 9 mesa de debates - Sox Update e Avaliao do Ambiente de Controle (COSO) KPMG 2006/2007
143
Estudo de Caso: Melhores Prticas de Governana Corporativa
144
Aracruz, que produz 3 milhes de toneladas de celulose por ano, intensificou

sua poltica de preveno de acidentes com a estruturao da Gesto de
Riscos Corporativos (GRC).
Com 279 mil hectares de plantio de eucalipto no Esprito Santo, Bahia, Minas
Gerais e Rio Grande do Sul, o programa de gesto de risco da companhia se
baseia nos conceitos de ERM. um trabalho de flego, mas d resultados:
introduz cultura de gesto de risco, cria metodologia e faz compliance,
assegura Isac Zagury, diretor financeiro.
A Aracruz tem um elenco de riscos classificados como Top 10 e depois mais
30 riscos operacionais que se capilarizam por todas as atividades. Entre os
dez riscos de maior impacto esto as questes ambientais e os resultados
financeiros. O passivo ambiental mais difcil de mensurar porque traz
conqncias tangveis e intangveis, observa Zagury. H, afinal, uma forte
correlao entre preservao ambiental e formao de imagem de uma
empresa, especialmente quando atua na rea florestal.
Fonte: http://amanha.terra.com.br/edicoes/229/capa03.asp
145
A Brasil Telecom (BrT), tem aes negociadas na Bolsa de New

York, (NYSE) a partir da lei Sarbanes-Oxley (SOX), a BrT deu incio a
seu programa de gesto de risco h quatro anos.
Hoje, a companhia tem 2.750 possveis causas de prejuzos sob
diferentes nveis de controle. Diariamente, por exemplo, os gestores
da BrT acompanham 220 riscos, que so considerados vitais. Para
cada um desses riscos, existem quatro certificaes por ano que so
apresentadas nos relatrios trimestrais aos acionistas.
Dois desses riscos vitais esto ligados diretamente aos resultados
financeiros e foram totalmente automatizados: o setor de faturamento
e o de cadastro de clientes.
O sistema de cobrana acompanha todas as chamadas telefnicas
feitas pelos usurios e envia automaticamente para a rea de
cadastro que emite mensalmente as contas. Dar pane em uma
dessas reas inconcebvel. Imagina, ficar cinco minutos sem
faturar, calcula diretor de governana corporativa.
Fonte: http://amanha.terra.com.br/edicoes/229/capa03.asp
146
Apndice: AS/NZS 4360:2004

AS/NZS 4360:2004 Australian Standard for Risk Management
18/01/2006
Geraldo Ferreira - Especialista em Segurana da Informao do Mdulo Security Lab
Publicada em 1995 e revisada em 1999, a AS/NZS 4360 uma norma Australiana / Neozelandesa
para gerenciamento de riscos que foi elaborada pela Standards Austrlia e Standards New Zealand
atravs do Comit de gesto de riscos (OB-007). uma norma genrica que fornece orientaes para
gerenciamento de riscos de qualquer natureza.
Ao contrrio dos padres de segurana existentes no mercado, que consideram risco como perigo ou
impacto negativo para as organizaes, a AS/NZS 4360 parte do princpio que a gesto de riscos tem
como finalidade o equilbrio entre as oportunidades de ganhos e a reduo de perdas. Considera risco
como "a exposio s conseqncias da incerteza ou como potenciais desvios do que foi planejado ou
do que esperado" e sua principal caracterstica avaliar considerando tanto os riscos com
resultados positivos (ganhos potencias) quanto os riscos com resultados negativos (perdas
potenciais), fornecendo uma viso nica no gerenciamento de riscos.
Para a AS/NZS 4360, a gesto de riscos envolve o estabelecimento de uma infra-estrutura e cultura
apropriadas e a aplicao de um mtodo lgico e sistemtico para estabelecer contextos, bem como
para identificar, analisar, avaliar, tratar, monitorar e comunicar os riscos associados a qualquer
atividade, funo ou processo, de modo a minimizar perdas e maximizar ganhos para as
organizaes.
As principais etapas do processo de gesto de riscos so:
Ilustrao 1: AS/NZS 4360:2004 - principais etapas
Fonte: http://www.modulo.com.br/checkuptool/artigo_14.htm
147
Apndice: AS/NZS 4360:2004

AS/NZS 4360:2004 Australian Standard for Risk Management
Comunicao e consulta: comunicar e consultar as partes

envolvidas internas e externas, conforme apropriado, em cada
etapa do processo de gesto de riscos e em relao ao
processo como um todo.
Estabelecimento dos contextos: estabelecer os contextos
externo, interno e da gesto de riscos nos quais se
desenvolver o restante do processo. Devem ser
estabelecidos os critrios em relao aos quais os riscos
sero avaliados e deve ser definida a estrutura da anlise.
Identificao de riscos: identificar onde, quando, por que e
como os eventos podem impedir, atrapalhar, atrasar ou
melhorar a consecuo dos objetivos.
Anlise de riscos: identificar a avaliar os controles
existentes. Determinar as conseqncias e a probabilidade e,
por conseguinte, o nvel de risco. Tal anlise deve considerar
as diversas conseqncias potenciais e como elas podem
ocorrer.
Avaliao de riscos: comparar os nveis de risco estimados
com os critrios estabelecidos previamente e considerar o
balano entre os benefcios potenciais e os resultados
adversos. Isso possibilita que sejam tomadas decises quanto
extenso e natureza dos tratamentos necessrios e
quanto s prioridades.
Tratamento de riscos: desenvolver e implementar
estratgias e planos de ao especficos e econmicos, para
aumentar os benefcios potenciais e reduzir os custos
potenciais.
Monitoramento e anlise crtica: necessrio monitorar a
eficcia de todas as etapas do processo de gesto de riscos.
Isso importante para a melhoria contnua.
Fonte: http://www.modulo.com.br/checkuptool/artigo_14.htm
148
Apndice: ABNT ISO/IEC Guia 73
A ABNT ISO/IEC Guia 73 define 29 termos da Gesto de Riscos, que foram agrupados nas seguintes
categorias:
a) Termos bsicos;
b) Termos relacionados a pessoas e organizaes afetadas pelos riscos;
c) Termos relacionados anlise/avaliao de riscos; d) Termos relacionados ao tratamento e controle
de riscos.
Entretanto, as definies no foram elaboradas para cada rea de aplicao da Gesto de Riscos. Cada
uma delas procura ser genrica e a mais abrangente possvel. O contedo do guia muito mais que um
simples vocabulrio, pois permite aos usurios ter uma boa idia do que a Gesto de Riscos.
A expectativa do grupo de trabalho que elaborou o ISO Guide 73 de que profissionais e especialistas
das mais diversas reas, como, por exemplo, finanas, segurana, sade, e meio ambiente, consigam
se entender falando a mesma linguagem
149

Gestao Risco em TI

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Gestao Risco em TI

Transféré par

Droits d'auteur :

Formats disponibles

Gesto de Risco em TI

2006 Direitos Reservados

Com passar do tempo muitas empresas se tornaram dependentes de seus sistemas de

2006 Direitos Reservados

2 Viso geral sobre Risco

Verso 2.0 | Rildo F Santos

2006 Direitos Reservados

Baseado no artigo da Revista Amanh - http://amanha.terra.com.br/edicoes/229/capa04.asp

Verso 2.0 | Rildo F Santos

2006 Direitos Reservados

Eu no me preocupo com as coisas que sei que no sei. Eu s

Motivadores da onda de Gesto de Risco

2006 Direitos Reservados

2001 Enron 7a. Maior empresa dos

1975 quebra dos bancos Herstatt, da

1993 Bank of Credit and Commerce

Governana Corporativa, definio:

2006 Direitos Reservados

Planejamento Estratgico (BSC)

Resultado & Desempenho

Gesto de Risco e Controles Internos

Verso 2.0 | Rildo F Santos

2006 Direitos Reservados

Segundo IT Governance Institute (www.itgi.org), a definio da

2006 Direitos Reservados

Modelo de Governana Corporativa e Governana de TI:

Planejamento Estratgico (BSC)

Resultado & Desempenho

Melhores Prticas,Padres, Normas e rea de Conhecimento

2006 Direitos Reservados

Verso 2.0 | Rildo F Santos

2006 Direitos Reservados

- Simplificar as operaes e/ou servios de TI

2006 Direitos Reservados

Gesto de Risco Corporativo (ERM)

Verso 2.0 | Rildo F Santos

Cobit, ITIL, ISO 17799...

2006 Direitos Reservados

"O sbio antev o perigo e proteg-se, mas os

Verso 2.0 | Rildo F Santos

2006 Direitos Reservados

Verso 2.0 | Rildo F Santos

2006 Direitos Reservados

Definio segundo ISO/IEC Guide 73:

Verso 2.0 | Rildo F Santos

Categorias dos Eventos:

Abrangendo (agentes de riscos):

Risco de Legal/Compliance2: Risco decorrente da ausncia de cumprimento s leis,

Verso 2.0 | Rildo F Santos

2006 Direitos Reservados

2006 Direitos Reservados

Gesto de Riscos Corporativos

A ERM (Enterprise Risk Management) Gesto de Risco Corporativos um processo

A premissa inerente a gesto de riscos corporativos que toda

2006 Direitos Reservados

Gesto de Riscos Corporativos

Fortalecer as decises em resposta aos riscos o gerenciamento de

Aproveitar oportunidades pelo fato de considerar todos os eventos em

Verso 2.0 | Rildo F Santos

2006 Direitos Reservados

Motivao: Gesto de Risco

> Reduo de Custos

> Requisitos legal e/ou