visão geral dos controles do cobit aplicáveis para ... · pdf file2005 –...
TRANSCRIPT
Módulo 4Visão geral dos controles do
COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e
exercícios
Estruturas e Metodologias de controle adotadas na SarbanesCOBIT
� A conformidade com a SOX (Sarbanes Oxley) irá impactarsignificativamente as organizações de TI na maioria dasempresas de capital aberto. Entretanto, existe um grandeproblema: não existe nenhuma menção específica nasseções da SOX voltada para a TI, e mais importante ainda,não existe nenhuma especificação de quais controlesprecisam ser estabelecidos dentro da TI para estar emconformidade com a SOX.
� Para resolver este problema muitas empresas acabamadotando o COBIT®, pelo fato dele definir quais os objetivosde controle que precisam ser implementados na TI. Alémdisto, o COBIT® é um modelo independente de plataforma,independe de tecnologia, podendo ser adotado em qualquerorganização de TI.
� O COBIT® está sintonizado com os requisitos legais destasleis. O COBIT é o único modelo de controle que écompatível com o COSO, cobre todas as atividades de TI eé aceito geralmente pela comunidade de auditores.
� Assegurar que a TI está em conformidade com o COBIT farácom que a maioria dos requisitos de conformidades játenham sido implementados. Usar o COBIT fará com que aorganização esteja atendendo a maioria dos requisitos dasleis da SOX.
Estruturas e Metodologias de controle adotadas na SarbanesCOBIT
1. Guia para gestão de TI recomendado pelo ISACF ( Information Systems Audit and ControlFoundation);
2. O COBIT inclui: sumário executivo, framework, controle de objetivos, indicadores de desempenho, indicadores de metas, um conjunto de ferramentas de implementação e um guia com técnicas de implementação;
3. As práticas de gestão do COBIT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos em TI e fornecem métricas para avaliação dos resultados;
4. O COBIT independe das plataformas de TI adotadas pelas empresas;
5. O COBIT foi criado para atender a necessidade de um framework de controle de TI voltado para o negócio, compreensivo para gerência e auditores de TI:
1996 – primeira versão: ISACA lança um conjunto de objetivos de controle para as aplicações de negócio.
1998 – segunda versão: é incluída uma ferramenta de suporte à implementação e a especificação dos objetivos.
2000 – terceira versão: são incluídas normas e guias associadas a gestão.
2005 – quarta versão: melhoria dos controles para assegurar a segurança e a disponibilidade dos ativos de TI na organização.
Premissas do COBIT®
� O Framework do COBIT® é baseado na premissa que a TI precisa entregar a informação que a empresa necessita para alcançar os seus objetivos.
� O Framework do COBIT® ajuda alinhar a TI com o negócio focando nos requisitos de informação do negócio e organizando os recursos de TI. O Framework do COBIT® fornece uma guia de apoio para implementar a Governança de TI.
i
Recursos de TI e Processos
Informação
Processos doNegócio
Objetivos doNegócio
fornecem
para
Para alcançar
Qual é o Princípio da estrutura do COBIT®?
� O princípio do framework COBIT® é o de prover um link entre as expectativas do negócio e as responsabilidades na gestão de TI.
� O objetivo é facilitar a Governança de TI e agregar valor a TI, na gestão de Riscos em TI.
� O princípio da estrutura é derivado de um modelo que mostra a informação com qualidade sendo produzida por eventos através de recursos de TI.
Processos da Organização
Recursos de TI
Requisitos de Negócio
Fonte: ITGI 2000a
Critérios de Informação
� Para satisfazer os objetivos de negócio, as informações precisam estar em conformidade com os critérios chamados requisitos de negócio.
� Requisitos de Qualidade
� Qualidade� Custo
� Entrega
� Requisitos Fiduciários (Relatório do COSO)
� Eficácia e eficiência das Operações
� Confiabilidade das Informações
� Conformidade com Leis e Regulamentos
� Requisitos de Segurança
� Confidencialidade
� Integridade
� Disponibilidade
Critérios de Informação
Requisitos de negócio = Critérios de Informação
Recursos de TI
Os recursos de TI são gerenciados pelos processos de TI para fornecer informação que a organização precisa para alcançar seus objetivos.
� Aplicações: sistemas automatizados e procedimentos manuais para processar informações
� Informação: os dados de todos os formulários de entrada, processados e exibidos pelos sistemas de informação, podendo ser qualquer formulário que éusado pelo negócio.
� Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimídia, etc. É tudo que é necessário para o funcionamento das aplicações.
� Pessoas: pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos ou terceirizados.
Rec
ursos
TI
Estruturas e Metodologias de controle adotadas na SarbanesCOBIT
O COBIT® possui processos que auxiliam a manter a conformidade com a Sarbanes:
� Adquirir e manter software aplicativo;
� Adquirir e manter arquitetura tecnológica;
� Desenvolver e manter procedimentos de TI;
� Instalar e certificar soluções e mudanças;
� Gerenciar mudanças;
� Definir e gerenciar níveis de serviço;
� Gerenciar serviços de terceiros;
� Assegurar a segurança dos sistemas;
� Gerenciar as configurações;
� Gerenciar problemas;
� Gerenciar dados;
� Gerenciar operações.
Em 2002 a aprovação da Sarbanes impulsionou a utilização do COBIT nas empresas americanas e em suas filiais em outros paises
Benefícios do COBIT
Vamos tentar resumir os principais benefícios do COBIT:
� O COBIT lida com todos os aspectos dos problemas relacionados com a Governança de TI;
� O COBIT foi criado por um grande número de especialistas;
� O ITGI ajudou com os seus 35 anos de experiência em segurança em TI no desenvolvimento do COBIT;
� O COBIT está em manutenção contínua. Periodicamente uma nova versão é publicada;
� Os patrocinadores do COBIT são organizações sem fins lucrativos, sua missão é ajudar seus clientes a alcançar seus objetivos principais;
� O COBIT pode ser aplicado em empresas de pequeno e grande porte;
� Usar o COBIT pode introduzir ordem e qualidade nos processos de TI;� O COBIT é compatível com outros padrões e pode ser utilizado para gerenciar todos os
processos de TI;
� O COBIT está em conformidade com os regulamentos como Sarbanes, Basiléia, entre outros.
O COSO declara que o controle interno é um processo estabelecido pelo conselho, gerentes e outros, desenhado para fornecer uma segurança razoável relacionada a realização dos objetivos declarados. É uma estrutura aplicada para auditar processos em grandes empresas e em qualquer atividade.
O COBIT apresenta controles de TI se preocupando com a informação em geral - não apenas informação financeira – que é necessária para suportar os requisitos de negócio e os recursos e processos associados com TI.
Da mesma forma que o COSO identifica 8 componentes de controle para alcançar os objetivos de finanças e controladoria, o COBIT® proporciona um guia detalhado para TI.
A diferença maior é que o COSO é genérico, pode ser utilizado em qualquer atividade da empresa, enquanto que o COBIT é voltado somente para a área de TI.
Relação do COBIT com o COSO
Objetivos atendidos pelo COBIT®
Exercício
Indique se é Verdadeiro ou falso:
( ) O COBIT® foi criado para ser empregado apenas pelos provedores de serviço de TI, usuários e auditores.
( ) São recursos de TI: aplicações, informações, infra-estrutura e pessoas.
( ) Os 4 domínios possuem 34 processos, estes processos especificam o que o negócio precisa para alcançar seus objetivos. A entrega de informação é controlada por 68
objetivos de controle de alto nível, dois para cada processo.
( ) O princípio da estrutura do COBIT® é vincular as expectativas dos gestores de TI com as
responsabilidades dos gestores de TI. O objetivo é facilitar para a Governança de TI gerar valor em TI enquanto gerencia os riscos de TI.
( ) O COBIT® é uma lista de verificação, passos, técnicas e procedimentos para auditoria.
( ) COBIT® significa Control Objectives for Information and related Technology.( ) Fazem parte da família de produtos do COBIT®: COBIT Framework, Control Objectives, IT
Governance Implementation Guide e Board briefing on IT Governance.
( ) O COBIT® possui 4 domínios: Planejamento e Organização, Aquisição, Implementação, Entrega e Monitoração.
Resposta do exercício
Indique se é Verdadeiro ou falso:
( F ) O COBIT® foi criado para ser empregado apenas pelos provedores de serviço de TI,
usuários e auditores. (também pelas partes interessadas)
( V ) São recursos de TI: aplicações, informações, infra-estrutura e pessoas.
( F ) Os 4 domínios possuem 34 processos, estes processos especificam o que o negócio
precisa para alcançar seus objetivos. A entrega de informação é controlada por 68 objetivos de controle de alto nível, dois para cada processo. (34 objetivos de controle)
( V ) O princípio da estrutura do COBIT® é vincular as expectativas dos gestores de TI com as
responsabilidades dos gestores de TI. O objetivo é facilitar para a Governança de TI gerar
valor em TI enquanto gerencia os riscos de TI.( F ) O COBIT® é uma lista de verificação, passos, técnicas e procedimentos para auditoria.
(O COBIT® é um framework de governança e controle, que foca no que precisa ser
alcançado ao invés de se preocupar em como alcançar)
( V ) COBIT® significa Control Objectives for Information and Related Technology.
( V ) Fazem parte da família de produtos do COBIT®: COBIT Framework, Control Objectives,
IT Governance Implementation Guide e Board briefing on IT Governance.
( F ) O COBIT® possui 4 domínios: Planejamento e Organização, Aquisição, Implementação, Entrega e Monitoração. ( é entrega e suporte e monitoração e avaliação)
Gestão de Sistemas da Informação Financeiros
Descrevendo um Sistema de Gestão Financeira
� O termo “sistema de gestão financeira” significa um sistema de informação, composto de uma ou mais aplicações que são usadas para:
� Coleta, processamento, manutenção, transmissão e relato de dados sobre eventos financeiros;
� Dar suporte a planejamento financeiro ou a atividades orçamentárias;
� Acumular e reportar informações de custo;� Dar suporte para a preparação de declarações financeiras;
� Um sistema financeiro pode incluir aplicações múltiplas que são integradas através de uma base comum de dados ou eletronicamente interligadas conforme necessário, para atender os requisitos de dados e processamentos definidos;
� Sistemas Financeiros Informatizados são criados para automatizar processos financeiros e para adicionar transparência na administração de finanças;
� Sistemas de gestão financeira modernos são dirigidos por TI;� A chave para conseguir a transparência adequada é criar sistemas com uma base
de controles internos compreensível;� TI exige considerações especiais para implementar e reforçar controles internos.
Contribuição de TI para Controle Interno
� TI proporciona benefícios potenciais de eficácia e eficiência para uma entidade de controle interno, uma vez que permite a uma entidade: � Consistentemente aplicar as regras de
negócio previamente definidas e executar cálculos complexos no processamento de grandes volumes de transações e dados,
� Reforçar a atualidade, disponibilidade e precisão das informações,
� Facilitar a análise adicional de informações de várias fontes sobre uma base, conforme necessário;
� Reforçar a capacidade de acompanhar o desempenho das atividades da entidade, regulamentos e procedimentos;
� Reduzir o risco de que os controles serão desobedecidos;
� Aumentar a capacidade para atingir uma efetiva separação de funções por implementar controles de segurança em aplicações de bases de dados e sistemas operacionais.
TI como uma Fonte de Risco
� Dependência de sistemas ou programas que processam dados de forma imprecisa, processa dados inexatos, ou ambos;
� Acesso não autorizado aos dados, o que pode resultar na destruição de dados ou apropriação indevida de ativos através de alterações de dados indevidas, incluindo a gravação de transações não autorizadas ou inexistentes, ou registros inexatos das transações;
� Potencial perda de dados;
� Alterações não autorizadas dos dados em arquivos mestre;� Mudanças não autorizadas de sistemas ou programas;
� Incapacidade de fazer as mudanças necessárias para sistemas ou programas;
� Intervenção manual inapropriada.
Automação de Controles Internos e da Gestão de Riscos
Por que automatizar os controles de processo?
� Dada a complexidade de TI e de relatórios financeiros, softwares de controle automatizado podem fornecer fantásticos benefícios para um programa de controle interno.
� Soluções automatizadas podem detectar, monitorar, e reportar a grande variedade de questões de controle, áreas de risco e indicadores de performance.
� Softwares permitem ao negócio construir regras dentro do sistema, para garantir o atendimento a regulamentações e relatórios de processos automatizados.
� Fornece estrutura para o programa de controle interno.� Melhora o monitoramento do controle de deficiências e planos de ações corretivas
em todos os níveis de gestão dentro da organização.� Fornece uma documentação que pode ser disponibilizada para auditores ou
detentores de interesse.
� Permite que a gestão sênior adquira consciência das áreas que necessitam de mudanças ou recursos extras.
Benefícios da Automação
Disciplina no Programa de Controle Interno
� Software pode ajudar uma organização a manter a disciplina sobre seu programa de controle interno, por fornecer uma estrutura para controle de documentação e avaliação, testando controles internos ou controlando o fluxo de trabalho para garantir que os controles estão sendo cumpridos;
� Software pode tornar mais fácil a demonstração dos seus controles internos para seus auditores e pode diminuir a quantidade de testes que os auditores precisam realizar.
Usos de softwares de controle interno automatizado
� Os tipos de software disponíveis no mercado incluem:
� Testes e relatórios;� Gestão de documentos e registros;
� Modelagem de processo de negócio;
� Política de gestão; � Gestão e avaliação de risco;
� Suporte para múltiplas estruturas de controle;
� Suporte para múltiplas regulamentações entre unidades múltiplas de negócio;
� Automação de controles e monitoramento.
Software de Reposição� Fornece uma central de reposição para a documentação de controles internos por toda a
organização;� Permite a documentação do fluxo de trabalho e processos chave, controle de objetivos,
atividades e riscos para cada função principal na organização;
� Pode ser preparado como uma ferramenta baseada em rede que permite usuários múltiplos para inserir dados;
� Permite à organização uma administração centralizada da documentação de controles internos e colher informações sobre os resultados dos testes;
� Pode estar fora dos modelos de padrões para controle de objetivos, atividades e riscos.
Software de Teste
� Permite à organização testar controles internos de um sistema através de uma interface direta;
� Pode testar a segregação de tarefas e a violações de autorização;
� Permite às organizações identificarem onde as violações podem ocorrer ou tenham ocorrido, e então fazerem mudanças nos processos do negócio ou papéis, se necessário;
� Pode estar fora dos modelos de padrões para controle de objetivos e atividades e podem ser modificados conforme apropriado.
Software de Gestão de Processos do Negócio
� Permite a uma organização desenhar e ditar o fluxo de trabalho para um dado processo.
� Permite a documentação do fluxo de trabalho do processo.
� Ajuda a garantir que o processo de trabalho é realizado como designado, não permitindo que o processo continue até que cada passo tenha sido realizado.
� Pode incluir características como notificação por e-mail quando um passo tiver sido completado.
Capacidades do sistema
� As capacidades devem permitir àadministração um panorama sobre um ou mais dos seguintes temas:
� Documentação ou teste de controles;
� Violações potenciais que tenham sido identificadas;
� Onde um documento está no processo.
� Podem também permitir relatórios de gestão customizados para cada usuário.
Passos Básicos para implementar uma solução de software
� Seleção
� Produtos devem ser selecionados com base nas necessidades de um programa de controles internos definido;
� Uma análise de requisitos deve ser realizada para identificar áreas que o programa pode melhorar, ou melhor atender as metas;
� As análises formam a base para seleção do produto.
� Implementação
� Uma vez que um produto é selecionado, um plano de implementação deve ser desenvolvido;
� O plano deve incorporar os passos requeridos para implementar a solução e como as funções serão usadas nas áreas correspondentes do programa de controle interno.
� Utilização
� Depois que a solução está totalmente implementada, a funcionalidade completa da solução pode ser utilizada;
� Indicadores chave de desempenho (KPIs), devem ser estabelecidos para medir quão bem a solução está melhorando a gestão de riscos e a observância dos esforços para se atingir os objetivos propostos.
Conclusões
� A execução, manutenção e elaboração de relatórios de conformidade e controles internos de gestão dos riscos é o caminho do futuro para a gestão financeira e contábil global;
� Relatórios financeiros se tornarão cada vez mais exigentes, demandando uma maior transparência e validade das informações financeiras;
� Ferramentas automatizadas e processos podem ser de benefício na gestão do crescente nível de esforço para satisfazer os pedidos de informação financeira, gestão do risco e fornecimento de uma garantia razoável de controles internos e detecção de fraudes.
Fim do módulo 4