Professional Documents
Culture Documents
Somos uma consultoria de TI e Negcios. A onze anos no mercado, temos forte atuao em Servios de Consultoria, Desenvolvimento de Software e Treinamento.
ITIL | Cobit & SOX | Gesto de Projetos | BSC | Gesto de Processos Networking | Gesto de Pessoas com BSC | Engenharia de Software
Principais clientes: Dentre seus clientes esto Honda, Banco Socit Gnrale, Petrobras, Tok & Stok, FASP, Fisconsult, Focus Txtil, Serasa, Equipav Usina de Acar e lcool, Rigesa Papel e Celulose, Baro Brinquedos, A2Works Locao de Equipamentos, Dix Amico (Grupo Amil), Divicom, Nera, Gtech, Probank, Stefanini, Procwork, Univeler, Trevisan Auditoria e Consultores, Baro Brinquedos e outros.
CompanyWeb
Consultor de Negcios e TI Administrador de Empresas e Mestrando em Engenharia de Software* Consultor independente de Processos, BI, BSC, Gesto de Projetos, Governana de TI e Engenharia de Software. Prestou servios para diversas empresas entre elas: Vivo, Bradesco, Comgas, Secretria da Fazenda SP, Abril, Certagy, Porto Seguro, Novabase do Brasil, IBTA, Sun Microsystems...
rildo.santos@companyweb.com.br
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 2
motivao
Escndalos, fraudes, falncias....
Kit de implantao do SOX com Cobit
motivao
Viso Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Neste milnio os investidores perderam 37 bilhes dlares Kit de implantao do SOX com Cobit
Em 30 julho de 2002, presidente George W. Bush assinou de O Ato Sarbanes-Oxley, que muda de forma radical as leis aplicadas a empresas que tem aes negociadas na bolsa americana. Em 2001 e 2002 empresas gigantes como Enron e o Worldcom foram foradas a declarar a falncia. E fraudes contbeis e outras irregularidades foram reveladas em outras empresas, tais como Adelphia e Global Crossing. Aps estes escndalos, o governo americano,implementou uma legislao que ampliou os poderes da SEC (Securities and Exchange Commission, rgo regulador do mercado financeiro americano), aumentou consideravelmente a responsabilidade da administrao das empresas. A regulamentao das novas normas e a superviso do seu cumprimento, pelos vrios elementos do mercado de capitais, passam a ser de responsabilidade do PCAOB (Conselho de Superviso de Assuntos Contbeis das Companhias Abertas -Public Company Accounting Oversight Board0)
2001 Enron 7a. Maior empresa dos EUA. A Enron, gigante americana do setor de energia, pediu concordata em dezembro de 2001, aps ter sido alvo de uma srie denncias de fraudes contbeis e fiscais. Com uma dvida de US$ 13 bilhes, o grupo arrastou consigo a Arthur Andersen, que fazia a sua auditoria. 2001 WorldCom 20.000 demitidos O ocorreu fraude porque a empresa registrou como investimentos (ativo em seu balano patrimonial) o que era despesa (demonstrativo de resultados), distorcendo totalmente os dados de suas contas.
motivao
Viso Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act) Quem sofre os efeitos? Esta lei abrange tanto as empresas norte-americanas com aes em bolsas de valores nos Estados Unidos, quanto as empresas estrangeiras com recibos de aes (American Depositary Receipt ADR) negociados em bolsas norte-americanas. Quais so os efeitos prticos para as empresas brasileiras com registro na SEC? Atualmente, existem mais de 30 empresas brasileiras com registro na SEC, com suas aes cotadas em Bolsa norte-americana, e vrias outras planejam o registro para os prximos anos. Apesar de a regulamentao da lei no estar completa e tambm, por isso, muitas das regras ainda no serem claras fica evidente que mudanas profundas sero necessrias nas prticas da governana corporativa dessas empresas, incluindo: responsabilidade do presidente (CEO) e do diretor-financeiro (CFO) na certificao das demonstraes financeiras; transferncia para um comit de auditoria, composto de membros no executivos do Conselho da Administrao, de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos; e maior transparncia na divulgao das informaes financeiras e dos atos da
motivao
Viso Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Principais Sesses:
Seo 201, 202 e 301 Abrangem o Comit de Auditoria, a independncia dos auditores e proibio da prestao de certos servios (especialmente escriturao contbil, implementao de sistemas de informaes financeiras e consultoria financeira) pelas firmas de auditoria. Seo 302 e 906 Tratam de certificaes dos relatrios anuais contendo as demonstraes financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de responsabilidade civil e criminal. Seo 304 Estabelece penalidades a conselheiros e administradores e diretoria por violao do dever de conduta, e trata da devoluo de bnus e lucros em caso de republicao de demonstraes financeiras. Seo 404, 407, 408e 409 Tratam sobre os aspectos de controle interno, fiscalizao da SEC sobre informao pblica, cdigo de tica para diretores financeiros e publicao de alteraes operacionais e/ou financeiras. Determina a emisso de relatrio especial, com parecer, entregue SEC, que ateste a realizao anual de avaliao e de controles e processos internos que so a base de relatrios financeiros. Seo 802 - Penalidades Criminais pela alterao de documentos. Seo 906 Responsabilidade corporativa pelos relatrios financeiros.
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 7
motivao
Desafio:
Kit de implantao do SOX com Cobit
Introduo
Desafio: Entender qual o impacto do SOX na TI
Unidade de Negcio
Seo 404: Controle Internos A Gesto deve ter responsabilidade em estabelecer, manter e analisar a estrutura dos controle internos e fazer avaliao de eficincia dos processos
Controles:
Para atender o SOX, a TI dever atuar da seguinte forma: Estabelecer controle para o ambiente geral de TI que abrangem: - Desenvolvimento; - Mudanas; - Operaes e - Controle de Acesso.
TI
Introduo
Desafio: Entender qual o impacto do SOX na TI Kit de implantao do SOX com Cobit
Para atender o SOX, a TI dever atuar da seguinte forma: (continuao...) Processos financeiros e contbeis: - Mapear as aplicaes que suportam as informaes financeiras e respectivos controles - Identificar os riscos de TI relacionados as aplicaes - Implantar e monitorar controles que mitiguem os riscos - Documentar e testar os controles de TI - Assegurar que os controles de TI sejam atualizados e adequados para suportar as mudanas nos controles internos.
CEO e CFO
Auditoria Externa
Emitir certificao anual Sobre a eficcia dos controles internos da empresa sobre os relatrios financeiros
Emitir opinio sobre a adequao dos controles internos sobre os relatrios financeiros baseados na declarao da diretoria
10
motivao
Desafio:
Kit de implantao do SOX com Cobit
Desafio
Como implantar o SOX ?
A Governana Corporativa requisito para o sucesso da implantao do SOX.
Governana Corporativa o sistema pelo qual as sociedades so dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administrao, Diretoria, Auditoria Independente e Conselho Fiscal. As boas prticas de governana corporativa tm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade1. Exigncias
Governana Corporativa
Transparncia Equidade Prestao de Conta Compliance2 tica
ferramentas
Facilitadores
Governana de TI
Voc pagaria a mais pelas aes de quem adota prticas de governana 76% disseram que sim e destas a maioria afirmou que pagaria 24% a mais pelas aes.
Fonte: McKinsey comempresas da Amrica Latina 1 - Fonte: Instituto Brasileiro de Governana Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 12
Desafio
Como implantar o SOX. Sobre Governana de TI Kit de implantao do SOX com Cobit
Segundo IT Governance Institute (www.itgi.org), que define a Governana de TI como: uma estrutura de relacionamentos e processos para dirigir e controlar a organizao no atingimento dos objetivos corporativos, adicionando valor, ao mesmo tempo que equilibra os riscos em relao ao retorno da TI e seus processos1
Exigncias Leis Regulamentos Normas Controles Governana Corporativa Transparncia Equidade Prestao de Conta Compliance2 tica Facilitadores
Governana de TI
ferramentas
Conceitos: Estruturas e processos visando a garantir que a TI suporte e maximize os objetivos e estratgias da organizao. Permite controlar medir, auditar a execuo e a qualidade dos servios Viabiliza o acompanhamento de contratos internos e externos. Define condies para o exerccio eficaz da gesto com base em conceitos consolidados de qualidade. Vantagens: Alinha a estratgia de TI com as do negcio Mais capacidade e agilidade para novos modelos de negcios ou ajustes nos modelos atuais. Explicita a relao entre aumento nos custos de TI e aumento no valor da informao. Mantm os riscos do negcio sob controle Explicita a importncia da TI na continuidade dos negcios. Mede e melhora continuamente a performance de TI.
Desafio
As ferramentas de suporte que facilitam a implantao da Governana de TI
Kit de implantao do SOX com Cobit Existem diversas ferramentas (leia-se framework, melhores prticas, guias, padres e metodologias) para facilitar a gesto de TI (Governana de TI). Os frameworks, melhores prticas, padres, guias e metodologias so frutos de anos de experincia, lies aprendidas, estudos de diversas pessoas, organizaes e institutos de pesquisa. Eles representam (at o momento) as principais ferramentas de apoio para a gesto de TI.
14
Introduo
Desafio:
Kit de implantao do SOX com Cobit Por onde devemos comear ??
16
As Melhores Prticas
Frameworks, Guias, Padres e Metodologias
Kit de implantao do SOX com Cobit
Objetivo desta segunda parte: apresentar as melhores prticas para obteno do compliance SOX.
COSO
Cobit
ISO 27001
ITIL
17
COSO
Comittee Comittee of of Sponsoring Sponsoring Organizations Organizations of of the the Treadway Treadway Comission Comission
18
COSO
Comittee Comittee of of Sponsoring Sponsoring Organizations Organizations of of the the Treadway Treadway Comission Comission
COSO
Comittee Comittee of of Sponsoring Sponsoring Organizations Organizations of of the the Treadway Treadway Comission Comission
Elementos de Regulamentao Norte-Americanas sobre Controle Interno Kit de implantao do SOX com Cobit
- Eficcia e eficincia de operaes; - confiabilidade dos relatrios financeiros - cumprimento das leis e regulamentos pertinentes. O COSO 1 sugere tambm que a avaliao do processo de controle interno deva ser pontual ao longo do tempo (exemplo: trimestral, anual...). O modelo define ainda que um sistema de controle interno deve ter 5 componentes relacionados: 1 Ambiente de controle (com foco na estrutura organizacional e as relaes com o ambiente externo); 2 Avaliao de risco; 3 Atividade de controle (polticas e procedimentos); 4 informaes e comunicaes 5 Monitoramento Aps o COSO , o AICPA emitiu o SAS (Statement of Auditing Stardard Declarao Padro de Auditoria) 78 que adere ao COSO 1, tornou um padro para as firmas de Auditorias. A Fundao de Auditoria e Controle de Sistemas de Informaes (ISAF) criou um padro chamado COBIT (Objetivo de Controle de Informaes e Tecnologias Relacionadas), publicado em 1995 (primeira verso). O COBIT partiu do modelo COSO 1.
20
COSO
Comittee Comittee of of Sponsoring Sponsoring Organizations Organizations of of the the Treadway Treadway Comission Comission
Elementos de Regulamentao Norte-Americanas sobre Controle Interno Kit de implantao do SOX com Cobit
O COBIT focado nos processos de tecnologia de informao e seus relacionamentos com o controle interno. Esses documentos, COSO 1, SAS 78 e COBIT enfatizam que a administrao responsvel por estabelecer, manter e monitorar o sistema de controle interno de uma empresa. O COSO propem uma reviso tcnica, chamada de ERM (Enterprise Risk Management Framework) conhecida como COSO 2. Esse documento est estruturado em oito componentes chaves: 1 Ambiente interno; 2 Estabelecimento de objetivos; 3 Identificao de eventos; 4 Avaliao de risco; 5 Resposta ao risco; 6 Avaliao de controle; 7 Informao e comunicao e 8 Monitoramento.
21
Cobit
22
Cobit
Cobit 4 (2005)
ITGI www.itgi.org ISACA Information Systems Audit and Control Association www.isaca.org
O que significa Cobit ? Control Objectives for Information and related Technology > Objetivos de Controle relacionados ao uso da Tecnologia da Informao. Cobit framework que tem um conjunto de componentes que representam as melhores praticas para Governana de TI, Controle, Auditoria de TI e Compliance com regulamentao (SOX).
ltimas Edies do Cobit: - 2005 Quarta edio (Vigente) - 2000 Terceira edio A quarta edio ou Cobi t 4 apresenta diversas melhorias e ajustes em relao a terceira edio.
Cobit 3 (2000)
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 23
Cobit
O Cobit um guia, estruturado como framework, possui uma serie de componentes que podem servir como um modelo de referncia para gesto da TI, incluindo um sumrio executivo, um "framework", controle de objetivos, mapas de auditoria, ferramentas para a sua implementao e principalmente, um guia com tcnicas de gerenciamento.
ITGI www.itgi.org ISACA Information Systems Audit and Control Association www.isaca.org
Especialistas em gesto e institutos independentes recomendam o uso do Cobit como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento ROI percebido, fornecendo mtricas para avaliao de performance (KPI) , de resultados (KGI) e nvel do maturidade (modelo de maturidade). O CobiT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negcio e do valor e participao que a tecnologia da informao tem na cadeia produtiva da empresa. Principais caractersticas do Cobit: - Orientado a Negcio - Orientado a Processos - Baseado em Controles - Dirigido pelas mensuraes
24
Cobit
Aplicao
Governana de TI
Cobit
Fornece um guia de como garantir a conformidade (compliance) para rea de TI baseado nos Objetivos de Controle Fornece uma abordagem de auditoria e um guia que d suporte a auditoria dos processos Cobit
Outras
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados
Cobit
Informao Informao
Eficincia Eficcia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade
7- Critrios da Informao
4 - Domnios
Monitorar e Avaliar
Planejar e Organizar
Recursos de TI
Aplicaes Informao Infra-estrutura Pessoas
4- Recursos
Entregar e Suporte
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados
Adquirir e Implementar
26
Cobit
Informao Informao
Eficincia Eficcia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade
7 Critrio da Informao
4 Domnios
O Cobit est estruturado em: - 4 domnios - 34 processos - 34 objetivos de controle de alto nvel (um para cada processo)
Cada processo em coberto por quatro sesses, elas so: 1 Contm objetivo de controle de alto nvel, mapeamento entre o processo e os critrios de informao, os recursos utilizados e as reas da governana de TI relacionada com o processo. 2 Contm objetivos de controle detalhados (prticas de controle) 3 Guia de Gerenciamento: Contm os processos de entradas e sada. Matriz RACI, Metas e Mtricas. 4 Contm o Modelo de Maturidade do processo
27
Monitorar e Avaliar
Planejar e Organizar
4 recursos
Entregar e Suporte
Adquirir e Implementar
Processos
Atividades
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados
Cobit
Cobit Detalhes do Framework Domnio e Processos: So 34 processos agrupados em 4 domnios. 10 - Planejar e Organizar (PO), 7- Adquirir e Implementar (AI), 13 - Entregar e Suporte e 4 - Monitorar e Avaliar (ME). Veja uma breve lista deles:
28
Cobit
Cobit Detalhes do Framework Domnio e Processos: So 34 processos agrupados em 4 domnios. 10 - Planejar e Organizar (PO), 7- Adquirir e Implementar (AI), 13 - Entregar e Suporte e 4 - Monitorar e Avaliar (ME). Veja uma breve lista deles:
29
Cobit
Objetivo de controle de alto nvel
Cobit Detalhes do Framework Objetivo de Controle, Critrio da Informao, Processo, Requisitos, Recursos e etc
1 1
Domnios
Cobit
Cobit Detalhes do Framework Critrios da Informao: Para satisfazer os objetivos de negcios as informaes devem estar em conformidade com os seguintes critrios: 1 1
Requisitos de Negcios
requer
Requisitos de Governana
influncia
entrega executa
Informao Aplicaes
Servios de Informao
implica
Processos Processos de de TI TI
QoS
necessita necessita
Pessoas Infraestrutura
Arquitetura de TI
Qualidade: Effectiveness (Eficcia) A informao deve ser relevante e pertinente aos processos de negcios bem como ser entregue com temporalidade, corretude, consistncia e usabilidade. Efficiency (Eficincia) Informao deve ser fornecida com o uso de recursos da forma mais produtiva e econmica
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 31
Cobit
Cobit Detalhes do Framework Critrios da Informao: Para satisfazer os objetivos de negcios as informaes devem estar em conformidade com os seguintes critrios: 1 1
Segurana: Confidentiality (Confidencialidade) A informao suscetvel deve ser protegida de acesso no autorizado Integrity (Integridade) Informao deve ser precisa e completa, bem como sua validade deve estar em concordncia com o conjunto de valores e expectativas do negcio Availability (Disponibilidade) Informao deve ser disponvel quando requerida pelo processo de negcio agora e no futuro, e deste modo deve ser salvaguardada enquanto Recurso Fiducirio: Compliance (Conformidade) Informao deve estar em conformidade com leis, regulamentos, e arranjos contratuais dos quais os processos de negcios esto sujeitos Reliability (Confiabilidade) - Informao deve ser provida de forma apropriada, permitindo seu uso na operao da organizao, na publicao de relatrios financeiros para seus usurios e rgos fiscalizadores, conforme leis e regulamentos
32
Cobit
Cobit Detalhes do Framework Recursos: Para atender os requisitos de negcio, a empresa deve ter recursos suficientes e capacitados. 1 1
Recursos Pessoa
Descrio As pessoas requeridas para planejar, organizar, adquirir, entregar, d suporte e monitor os aplicativos, processos e servios de TI. As pessoas podem ser funcionrios ou terceirizadas So os procedimentos manuais e os automatizados. a tecnologia e facilidades com Hardware, software (Sistema Operacional, Banco de Dados, Linguagens, Compiladores, redes) Informao so os dados em todas as formas (entradas, processados e sada) pelas aplicaes (sistemas de informao)
33
Cobit
2 2
Objetivos de Controle: O objetivo de controle uma declarao do resultado desejado ou da finalidade a ser atingida pela implementao de procedimentos de controle para uma atividade de TI especfica. Quando desenvolver e documentar seus controles, voc vai querer lembrar das caractersticas para torn-las to efetivas possvel. O Cobit fornece um conjunto de 34 objetivos de controles de alto nvel, um para cada processo em seus respectivos domnios. Esta estrutura cobre todos os aspectos da informao e tecnologia. Esses objetivos de controles, os donos dos processos de negcio pode garantir que um controle adequado ser fornecido para o ambiente de TI. Praticas de Controle: As prticas do Controle expandem as potencialidades de COBIT fornecendo um nvel adicional do detalhe. Os processos de TI, Requisitos de Negcio e os Objetivos Detalhados de Controle definem o que precisa ser feito para implementar uma estrutura eficaz de controle. As prticas de controle fornecem o como e porque da necessidade do gerenciamento,servios fornecidos, os usurios finais e controle profissionais para implementar os controles especficos baseados em uma anlise de operacional e de riscos de TI.
34
Cobit
3 3 3 3
Fornece um link entre controle de TI e Governana de TI. Eles so orientados a ao e genricos e eles fornece guia de gerenciamento especifico e direcionado para as informaes corporativas e processos relacionados sob controle, monitorando as metas da empresa e monitorando e melhorando a performance dentro de cada processo de TI. Este guia ajuda a responder as questes tpicas de gesto, tais como: O custo do controle de TI justificado pelo benefcio? Quais so as metas e as mtricas ? Quem responsvel pela prestao de contas ? O que so os riscos de no alcanar nossos objetivos? Como ns medimos e comparamos a maturidade da organizao ? Qual a estratgia da organizao para a melhoria?
35
Cobit
4 4
O modelo de maturidade uma forma de medir quo bem esto desenvolvidos os processos. O quo bem desenvolvidos, os processos, dependem das necessidades de cada negcio
Legenda: Valor
Nvel de Maturidade
Otimizado (valor)
Gerenciado (servio) Definido (pro-ativo) Repetvel (reativo) No existe Inicial (catico)
O - Inexistente: Gerenciamento de processos no so aplicados 1 - Inicial: Processos so ad hoc e desorganizados, o sucesso depende de esforos pessoais (heri) 2 - Repetitivo Os processos seguem um padro regular 3 - Definido- Os processos so documentados e comunicados 4 - Gerencivel Processos so monitorados e medidos 5 - Otimizado Melhores prticas so seguidas e automatizadas
< pior
Tempo
Melhor >
36
Cobit
Entendendo o Cobit: Todos os componentes so inter-relacionados fornecendo suporte a Governana de TI, Gerenciamento, Controle e Auditoria.
Negcio Negcio
Requisitos
or p o ad r su n e
Processos Processos de de TI TI
Controlados por
dit Au
or op ad
37
Cobit
DS1
38
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
DS1
Definio de SLA/OLA segundo Glossrio Cobit: SLA Acordo de Nvel de Servio, uma acordo entre o fornecedor do servio e o cliente e/ou usurio que documenta o nvel do servio concordado. OLA - Acordo Nvel Operacional. Um acordo interno que cobre . a entrega dos servios que a suportam TI em sua entrega dos servios
39
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
Objetivos de Controle de Alto Nvel:
DS1
Uma comunicao eficaz entre a gesto de TI e os clientes de negcio considerando os servios requeridos habilitado por uma definio documentada e o pelo acordo dos servio de TI e os nveis de servio. Este processo inclui tambm monitorando e relatrios para que os stakeholders (pessoas interessadas) na realizao de nveis de servio. Este processo permite o alinhamento entre o servios de TI e os requisitos de negcio. Critrios de Avaliao da informao:
Primrio: Eficcia e Eficincia Secundrio: Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade
40
Processos Processos TI TI
Legenda: P - Primrio | S - Secundrio
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
Controle sobre o processo de TI: Definio e Gesto de Nveis de Servio Que satisfaz os requisitos de negcio: Assegurando o alinhamento dos servios de TI com a estratgia de negcio focalizando em identificar os requisitos dos servio, acordando os nveis de servio e monitorao da execuo dos nveis de servio Alcanado por: - Formalizao dos acordos internos e externos em alinhados com requisitos e capacidade de entrega - Relatar em realizaes do nvel de servio (relatrios e reunies) - Identificando e comunicando os novos requisitos de servio e atualizando o planejamento estratgico E mensurado por: - % de Stakeholders satisfeitos com a entrega dos servios com nveis acima do concordado - Nmero de servios entregue que no esto presentes no catalogo - Nmero de reunies formais de reviso do SLA (por o ano)
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 41
DS1
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
DS1
Recursos:
Informao Infraestrutura
Governana de TI:
a b
d c
a - Alinhamento estratgico b Entrega de Valor c Gerenciamento de Recurso d Gerenciamento de Performance
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 42
Aplicaes Pessoas
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
Objetivos de Controle Detalhados: DS1.1 Framework Acordo de Nvel de Servio (Service Level Management Framework) Definir um framework que fornea um processo formalizado de gesto do nvel de servio entre o cliente e o fornecedor de servio. O framework mantm o alinhamento contnuo com os requisitos e prioridades do negcio e facilita o entendimento comum entre o cliente e os fornecedores. O framework inclui processos para criar os requisitos do servio, definies do servio, Acordo de Nvel de servio (SLAs), Acordos de Nvel Operacional (OLA) e fontes de recursos (fundos). Estes atributos so organizados em um catlogo do servio. A estrutura define a estrutura organizacional para a gerncia do nvel de servio, cobrindo os papis, as tarefas e as responsabilidades de fornecedores (internos e externos) e os clientes. DS1.2 Definio dos Servios (Definition of Services) Base para as definies dos servios de TI nas caractersticas e nos requisitos do negcio, organizadas e armazenadas de forma centralizada atravs da implementao de uma abordagem do catlogo (portflio) de servio.
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 43
DS1
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
Objetivos de Controle Detalhados: DS1.3 Acordo de Nvel de Servio (Service Level Agreements) Definir e concordar aos Acordos de Nvel de Servio para todos os servios crticos de TI baseado nos requisitos dos clientes e capacidade de TI. Ele cobre os compromissos do cliente, os requisitos de sustentao do servio, as mtricas quantitativa e qualitativa para medir o servio concordados pelas partes interessadas, fundos e arranjos de negcios (se aplicveis), papis e responsabilidades. Considerar os itens: disponibilidade, confiabilidade, desempenho, capacidade de crescimento, dos nveis de suporte, planejamento de continuidade, de segurana e as restries da demanda DS1.4 Acordo de Nvel Operacional (Operating Level Agreements) Garantir a operao dos nveis concordados e explicando como os servios sero tecnicamente entregues para suporte ao SLA de maneira tima. O OLA especifica os processos tcnicos nos termos significativos para fornecedor e pode suportar diversos SLAs
DS1
44
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
Objetivos de Controle Detalhados: DS1.5 Monitorando e Relatando o Atingimento de Nvel de Servio (Monitoring and Reporting of Service Level Achievements) Monitorar continuamente os critrios desempenho especificados do nvel de servio. Os relatrios so fornecidos em um formato significativo a todos interessadas (stakeholders) na realizao de nveis de servio. As estatsticas de monitorao so analisadas para identificar tendncias negativas e positivas para servios individuais bem como os para servios globalmente. DS1.6 Reviso do Acordos de Nveis de Servios e Contratos (Review of Service Level Agreements and Contracts) Rever regularmente os Acordos de Nvel de Servio e os Contratos de Apoio com os fornecedores de servio internos e externos assegurar-se de que sejam eficazes, atualizados, e que as mudanas nos requisitos so contempladas.
DS1
45
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios Guia de Gerenciamento Relacionamento entre os Processos:
DS1
Entrada
Sada
46
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios Guia de Gerenciamento Matriz RACI:
Funes
DS1
Atividades
Criar um framework para definio do servios de TI Construir um catalogo (portflio) de servios de TI Definir o (SLA) para servios crticos Definir o OLA para os SLAs Monitorar e relatar a performance dos servios Rever os SLAs e contratos de apoio Rever e atualizar o catalogo de servios de TI Criar plano melhoria dos servios
Matriz RACI identifica que Responsvel, Presta Contas(Accountable), Consultado e/ou Informado
47
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios Guia de Gerenciamento
DS1
Metas de TI Garantir a satisfao dos usurios finais com servios oferecidos e nveis de servios Responder os requisitos de negcio alinhados com a estratgia de negcio Assegurar a transparncia e entendimento dos custos de TI, benefcios, estratgia, polticas e nveis de servio
Metas das Atividades Definio dos servios Formalizao de acordos internos e externos alinhados com requisitos e com capacidade de entrega Relatar sobre os nveis de servios alcanados (relatrios e reunies) Garantir que os relatrios so adaptados a audincia (publico) Realimentar e atualizar os novos requisitos de servios para o plano estratgico So medidas por Indicadores Chave de Performance Nmero formal de revises do SLA por ano % de Nveis de Servios relatados % de Nveis de Servio relatados (report) de forma automtica Nmero de dias de trabalho decorridos para ajustar o nvel de servio aps o acordo com cliente
Metas dos Processos Estabelecer um entendimento comum dos nveis de servios requeridos. Formalizar e monitora os nveis de servios concordados e critrios de performance Alinhar o servio entregue com nveis de servios concordados Criar um catalogo de servios atualizvel com as metas de negcio So medidas por Indicadores Chave de Meta do Processo Nmero de servios entregue que no esto presente no catalogo % de servios que encontra-se com o nvel de servios % de nvel de servios que so mensurados
Indicadores Chave de Meta de TI % stakeholders satisfeitos com servios entregues com nveis acima do concordado % de usurios satisfeitos com a entrega de servios com nveis acima do concordado
48
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
DS1
Modelo de Maturidade: O gerenciamento do processo de definio e gesto dos nveis de servios que satisfazem os requisitos de negcios de TI garantindo o alinhamento entre TI e a estratgia de negcio:
0 Inexistente quando (Non-existent when) A Gesto no foi reconhecida como uma necessidade para processo para definio de nveis de servios. A prestao de contas e responsabilidade para monitoramento no foram atribudas. 1 Inicial/Ad Hoc quando (Initial/Ad Hoc when) H uma conscincia da necessidade controlar os nveis de servio, mas o processo informal e reativo. A responsabilidade e a prestao de contas (accountability) para definio e gesto dos servios no so definidos. Se as medidas de desempenho existem, elas so qualitativa somente com metas imprecisas. Relatrio informal, ocasional e inconsistente. 2 Repetitivo mas intuitivo quando (Repeatable but Intuitive when) Existem servios com nveis acima do concordado, mas eles so informais e no so revistos. O relatrio do nvel de servio est incompleto e pode ser irrelevante para clientes. O relatrio do nvel de servio dependente das habilidades e da iniciativa de individuais dos gerentes. Um coordenador de nvel de servio apontado com responsabilidades definidas, mas autoridade limitada. Se um processo para a conformidade aos acordos do nvel de servio existir, voluntrio e no reforado.
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 49
Cobit
DS1
As responsabilidades so bem definidas, porm com autoridade discreta. O processo de desenvolvimento do acordo de nvel de servio est no lugar com os pontos de verificao para razes do nveis de servio e satisfao de cliente. Os servios e os nveis de servio so definidos, documentados e nvel acima do concordado so usando um processo padro. As armadilhas do nvel de servio so identificadas, mas os procedimentos de como resolver so informais. H um link claro entre a realizao prevista do nvel de servio e os recursos fornecidos (fundos). Os nveis de servio so concordados, mas no podem enderea-los as necessidades do negcio.
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
Modelo de Maturidade:
5 Otimizado quando (Optimised when) Os nveis de servios so reavaliados continuamente para assegurar o alinhamento de TI e dos objetivos do negcio, ao fazer anlise da vantagem da tecnologia incluindo a relao custo beneficio. Todos os processos da gerncia do nvel de servio so sujeitos melhoria contnua. Os nveis da satisfao de cliente continuamente so monitorados e controlados. Os nveis de servio previstos refletem objetivos estratgicos das unidades de negcios e so avaliado de encontro os padres de mercado. Gerncia tem os recursos e a prestao de contas (accountability) necessitado encontrar-se com metas e a compensao do nvel de servio estruturado para fornecer incentivos para encontrarse com estas metas. A gerncia snior monitora KPIs e KGIs como parte de um processo contnuo da melhoria.
DS1
51
Cobit
Exemplo de Aplicao do SLA Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
DS1
DS8-Gerenciar Service Desk e Incidentes Objetivos de Controle Detalhados: DS8.3 Incidentes e Escalao (Incident Escalation) Estabelecer procedimentos para Service Desk, assim os incidentes que no podem imediatamente ser resolvidos so escalados apropriadamente de acordo com os limites definidos no SLA e, se apropriado, os workarounds so fornecidos. Assegurar-se de que a posse do incidente e a monitorao do ciclo de vida remanesam com a Servide Desk para os incidentes baseado em usurios, considerando que grupo est trabalhando na resoluo.
52
ISO 27001
53
ISO 27001
ISO/IEC 27001: Especifica os requisitos para estabelecimento, implementao, operao, monitoria, reviso e manuteno e melhoria do processo de ISMS (Information Security Management System)
A ISO 27001:2005 a evoluo natural da BS7799-2:2002 um padro britnico que trata da definio de requisitos para um Sistema Gesto de Segurana da Informao. A revisada trouxe as seguintes, melhorias e adaptaes, contemplando o ciclo PDCA de melhorias e a viso de processos que as normas de sistemas de gesto j incorporaram As mudanas mais relevantes na migrao para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de gesto de segurana da informao), quando so destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gesto de segurana e no Anexo A que passou a ter na ISO/IEC 27001 11 sees, pois foi includa a seo Gesto de Incidentes de Segurana da Informao: 5.Poltica de Segurana da Informao 6. Organizando a Segurana da Informao 7. Gesto de Ativos 8. Segurana em Recursos Humanos 9. Segurana Fsica e do Ambiente 10. Gerenciamento das Operaes e Comunicaes 11. Controle de Acessos 12. Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao 13. Gesto de Incidentes de Segurana da Informao 14. Gesto da Continuidade do Negcio 15. Conformidade
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 54
ISO 27001
International Organization for Standardization (ISO) uma organizao internacional que aglomera os grupos de padronizao/normalizao de 148 pases. O ISO aprova normas internacionais em quase todos os campos tcnicos. Exemplos de normas: - ISO 9001/2000:Gesto da Qualidade - ISO/IEC 20000:2005 IT Service Management System (based on BS15000) - ISO/IEC 17799 Tecnologia da informao: cdigo de conduta para a gesto da segurana da informao - ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements ISO/IEC 27001: Especifica os requisitos para estabelecimento, implementao, operao, monitoria, reviso e manuteno e melhoria do processo de ISMS (Information Security Management System)
55
ITIL
56
ITIL
OCG Office of Government Commerce (antigo CCTA) : - Proprietrio do ITIL - Comit Gestor TSO The Stationery Office - Publicaes da ITIL itSMF IT Service Mngt Forum Gerenciamento de Servios de TI www.itsmf.com.br
O governo da Inglaterra buscava fazer reduo de custos e de risco relacionados com rea de TI. Pesquisas mostravam, porm, que mais de 80% do custo dos Servios de TI estava ligado ao dia-a-dia de sua operao e apenas 20% ao processo de desenvolvimento de software. Por esse motivo, foi criada a Biblioteca de Infraestrutura de TI pelo CCTA (atual OGC). Esta biblioteca representa as melhores prticas para a Gesto Servio de TI.
ITIL ITIL
Conjunto de melhores prticas Padro Aberto que tornou padro de fato BS 15000 ISO 20000
ITIL uma marca registrada em nome do OGC
57
ITIL
Macro viso dos Processos ITIL Kit de implantao do SOX com Cobit
Os livros
58
ITIL
59
SOX+Cobit
60
SOX+Cobit
Alinhamento PCAOB e COBIT: Mapeamento dos controles do PCAOB e Cobit, atrelados aos processos de TI.
61
Sobre Cobit: Adapte o Cobit as necessidades do negcios, a cultura da empresa e as regulamentaes Controles Internos: Cada empresa deve cuidadosamente considerar controle de objetivos apropriados para TI. Recomendamos que a empresa no inclua objetivos de controle alm da sua capacidade de controle
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 62
63
Kit de Implantao
Kit de implantao do SOX com Cobit
Apresentar as melhores prticas, tcnicas e metodologias para obteno do compliance com SOX referente a seo 404.
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 64
SOX+Cobit
Alinhamento PCAOB e COBIT: Mapeamento dos controles do PCAOB e Cobit, atrelados aos processos de TI.
Nosso exemplo
65
Kit de Implantao
Case ABC Framework de Implantao: Viso Macro Kit de implantao do SOX com Cobit
Entrada
Fases
Sada
Avaliar Planejar
Fluxo
Implementar Auditar
Pessoas
(Todos os interessados e envolvidos no Projeto)
Entregar
Processos compliance ao SOX
66
Kit de Implantao
Framework de Implantao: Fase Avaliar
Avaliar Planejar Implementar Auditar Entregar
Entrada
Avaliar
Sada
Coletar Informaes
Documentos e Politicas existentes
Fluxo
67
Kit de Implantao
Case ABC
Avaliar Planejar Implementar Auditar Entregar
AI7
AI7
AI6 DS1 DS2 DS5 DS9 DS8 DS10 DS11 DS12 DS13
3
3 3 3 3 3 3 3 3 3 3
2
3 3 3 3 3 4 4 3 3 3
-1
0 0 0 0 0 0 0 0 0 0 68
Kit de Implantao
Domnio: Adquirir e Implementar AI Kit de implantao do SOX com Cobit Adquirir e Implementar Instalar e Homologar Solues e Mudanas
Nvel de Maturidade:
AI7
2 Repetitivo, mas intuitivo quando H uma certa consistncia entre os enfoques adotados para testes e homologao, mas normalmente no seguem nenhuma metodologia. Cada equipe de desenvolvimento decide o enfoque que ser adotado para os testes e geralmente no so realizados testes de integrao. H um processo informal de aprovao. 3 Processo definido quando Existe uma metodologia formal no que se refere instalao, migrao, converso e aceitao. Os processos de instalao e homologao de TI integram-se ao ciclo de vida do sistema e alguns so automatizados. Os mtodos de treinamento, de realizao dos testes, de transio para a produo e homologao variam, de acordo com cada equipe. A qualidade dos sistemas enviados para a produo inconsistente e os novos sistemas geralmente apresentam problemas ps-implementao.
69
Kit de Implantao
Avaliao de Risco: Kit de implantao do SOX com Cobit Adquirir e Implementar Instalar e Homologar Solues e Mudanas
AI7
Risco Atualizaes em programas dos sistema podem causar: - Alterao pode gerar instvel na operao do sistema que pode resultar em perda de dados; - Alterao na configuraes de segurana e permite acesso no autorizado a informaes protegidas; Objetivo de Controle: A gerncia de TI assegurar que a configurao e implementao de softwares no prejudiquem o nvel de qualidade das operaes e nem a segurana dos dados e programa que estiverem armazenados no sistema.
70
Kit de Implantao
Case ABC
Avaliar Planejar Implementar Auditar Entregar
Comentrios
GAP
AI7
-1
Recomendao: -Desenvolver uma Metodologia (formal) para execuo de testes e homologao de sistemas. Quem deve desenvolver esta metodologia unidade de negcio que ser dona deste processo (ou seja TI). - Os elaboradores sero os Analista de Processos - Quem dever aprovar este documento ser o Gerente de TI. (Fase de Implementao) - Todos os interessados devem ser cientificados sobre a metodologia e os seus usurios devem receber treinamento adequada para usa-la de forma eficiente. - Esta metodologia deve ser incorporada ao Processo de Desenvolvimento de Software
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 71
Kit de Implantao
Framework de Implantao: Fase Planejar
Avaliar Planejar Implementar Auditar Entregar
Entrada
Atividades
Sada
Plano de Implantao
Fluxo
Cronograma de Implantao
72
Kit de Implantao
Framework de Implantao: Fase Implementar
Avaliar Planejar Implementar Auditar Entregar
Entrada
Atividades
Sada
Desenvolver/Elaborar a metodologia
Cronograma de Implantao
Fluxo
Fazer Reviso
Fazer testes
Plano de Implantao
Fazer Aprovao
73
Kit de Implantao
Framework de Implantao: Fase Implementar
Avaliar Planejar Implementar Auditar Entregar
Entrada
Atividades
Sada
Fluxo
74
Kit de Implantao
Framework de Implantao: Camada de Implementao
Avaliar Planejar Implementar Auditar Entregar
Entrada
Metodologia de Teste e Homologao de Sistemas Aprovada pela auditoria interna
Atividades
Sada
Fazer testes
Relatrio de conformidade
Fluxo
Fazer Treinamento
Usurios Treinadas Clientes cientes
Publicar a metodologia
75