Kit Implantacao SOX Cobit v1

Kit de implantao do SOX com Cobit
SOX - Kit de implantao com Cobit

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 1
Somos uma consultoria de TI e Negcios. A onze anos no mercado, temos forte atuao em Servios de Consultoria, Desenvolvimento de Software e Treinamento.
ITIL | Cobit & SOX | Gesto de Projetos | BSC | Gesto de Processos Networking | Gesto de Pessoas com BSC | Engenharia de Software
Principais clientes: Dentre seus clientes esto Honda, Banco Socit Gnrale, Petrobras, Tok & Stok, FASP, Fisconsult, Focus Txtil, Serasa, Equipav Usina de Acar e lcool, Rigesa Papel e Celulose, Baro Brinquedos, A2Works Locao de Equipamentos, Dix Amico (Grupo Amil), Divicom, Nera, Gtech, Probank, Stefanini, Procwork, Univeler, Trevisan Auditoria e Consultores, Baro Brinquedos e outros.
CompanyWeb
Consultor de Negcios e TI Administrador de Empresas e Mestrando em Engenharia de Software* Consultor independente de Processos, BI, BSC, Gesto de Projetos, Governana de TI e Engenharia de Software. Prestou servios para diversas empresas entre elas: Vivo, Bradesco, Comgas, Secretria da Fazenda SP, Abril, Certagy, Porto Seguro, Novabase do Brasil, IBTA, Sun Microsystems...
rildo.santos@companyweb.com.br
Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados
motivao
Escndalos, fraudes, falncias....
motivao
Viso Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Neste milnio os investidores perderam 37 bilhes dlares Kit de implantao do SOX com Cobit
Em 30 julho de 2002, presidente George W. Bush assinou de O Ato Sarbanes-Oxley, que muda de forma radical as leis aplicadas a empresas que tem aes negociadas na bolsa americana. Em 2001 e 2002 empresas gigantes como Enron e o Worldcom foram foradas a declarar a falncia. E fraudes contbeis e outras irregularidades foram reveladas em outras empresas, tais como Adelphia e Global Crossing. Aps estes escndalos, o governo americano,implementou uma legislao que ampliou os poderes da SEC (Securities and Exchange Commission, rgo regulador do mercado financeiro americano), aumentou consideravelmente a responsabilidade da administrao das empresas. A regulamentao das novas normas e a superviso do seu cumprimento, pelos vrios elementos do mercado de capitais, passam a ser de responsabilidade do PCAOB (Conselho de Superviso de Assuntos Contbeis das Companhias Abertas -Public Company Accounting Oversight Board0)
2001 Enron 7a. Maior empresa dos EUA. A Enron, gigante americana do setor de energia, pediu concordata em dezembro de 2001, aps ter sido alvo de uma srie denncias de fraudes contbeis e fiscais. Com uma dvida de US$ 13 bilhes, o grupo arrastou consigo a Arthur Andersen, que fazia a sua auditoria. 2001 WorldCom 20.000 demitidos O ocorreu fraude porque a empresa registrou como investimentos (ativo em seu balano patrimonial) o que era despesa (demonstrativo de resultados), distorcendo totalmente os dados de suas contas.
Objetivo Principal do SOX: dar proteo aos investimentos

motivao
Viso Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act) Quem sofre os efeitos? Esta lei abrange tanto as empresas norte-americanas com aes em bolsas de valores nos Estados Unidos, quanto as empresas estrangeiras com recibos de aes (American Depositary Receipt ADR) negociados em bolsas norte-americanas. Quais so os efeitos prticos para as empresas brasileiras com registro na SEC? Atualmente, existem mais de 30 empresas brasileiras com registro na SEC, com suas aes cotadas em Bolsa norte-americana, e vrias outras planejam o registro para os prximos anos. Apesar de a regulamentao da lei no estar completa e tambm, por isso, muitas das regras ainda no serem claras fica evidente que mudanas profundas sero necessrias nas prticas da governana corporativa dessas empresas, incluindo: responsabilidade do presidente (CEO) e do diretor-financeiro (CFO) na certificao das demonstraes financeiras; transferncia para um comit de auditoria, composto de membros no executivos do Conselho da Administrao, de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos; e maior transparncia na divulgao das informaes financeiras e dos atos da
motivao
Viso Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Principais Sesses:
Seo 201, 202 e 301 Abrangem o Comit de Auditoria, a independncia dos auditores e proibio da prestao de certos servios (especialmente escriturao contbil, implementao de sistemas de informaes financeiras e consultoria financeira) pelas firmas de auditoria. Seo 302 e 906 Tratam de certificaes dos relatrios anuais contendo as demonstraes financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de responsabilidade civil e criminal. Seo 304 Estabelece penalidades a conselheiros e administradores e diretoria por violao do dever de conduta, e trata da devoluo de bnus e lucros em caso de republicao de demonstraes financeiras. Seo 404, 407, 408e 409 Tratam sobre os aspectos de controle interno, fiscalizao da SEC sobre informao pblica, cdigo de tica para diretores financeiros e publicao de alteraes operacionais e/ou financeiras. Determina a emisso de relatrio especial, com parecer, entregue SEC, que ateste a realizao anual de avaliao e de controles e processos internos que so a base de relatrios financeiros. Seo 802 - Penalidades Criminais pela alterao de documentos. Seo 906 Responsabilidade corporativa pelos relatrios financeiros.
motivao
Desafio:
Entender qual o impacto do SOX na TI

Introduo
Desafio: Entender qual o impacto do SOX na TI
Unidade de Negcio
Declaraes Financeiras Balano

Demonstrativo de resultado Demonstrativo do Fluxo de Caixa
Seo 404: Controle Internos A Gesto deve ter responsabilidade em estabelecer, manter e analisar a estrutura dos controle internos e fazer avaliao de eficincia dos processos
Processos Processo A Processo B Processo C
Controles:
Para atender o SOX, a TI dever atuar da seguinte forma: Estabelecer controle para o ambiente geral de TI que abrangem: - Desenvolvimento; - Mudanas; - Operaes e - Controle de Acesso.
Aplicaes ERP Billing BI
TI
Servios de TI Banco de Dados Sistema Operacional Rede
Introduo
Desafio: Entender qual o impacto do SOX na TI Kit de implantao do SOX com Cobit
Para atender o SOX, a TI dever atuar da seguinte forma: (continuao...) Processos financeiros e contbeis: - Mapear as aplicaes que suportam as informaes financeiras e respectivos controles - Identificar os riscos de TI relacionados as aplicaes - Implantar e monitorar controles que mitiguem os riscos - Documentar e testar os controles de TI - Assegurar que os controles de TI sejam atualizados e adequados para suportar as mudanas nos controles internos.
Responsabilidades dos Envolvidos:

Administrao
Implementar e manter metodologia de avaliao E monitoramento dos controles internos sobre relatrios financeiros Manter a documentao dos controles internos atualizados e efetuar a avaliao em base anuais
CEO e CFO
Auditoria Externa
Emitir certificao anual Sobre a eficcia dos controles internos da empresa sobre os relatrios financeiros
Emitir opinio sobre a adequao dos controles internos sobre os relatrios financeiros baseados na declarao da diretoria
10
motivao
Desafio:
Como obter sucesso na implantao do SOX ?

Desafio
Como implantar o SOX ?
A Governana Corporativa requisito para o sucesso da implantao do SOX.
Governana Corporativa o sistema pelo qual as sociedades so dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administrao, Diretoria, Auditoria Independente e Conselho Fiscal. As boas prticas de governana corporativa tm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade1. Exigncias
Leis Regulamentos Normas Controles
Governana Corporativa
Transparncia Equidade Prestao de Conta Compliance2 tica
ferramentas
Facilitadores
Governana de TI
Cobit ITIL BSC PMBok
Voc pagaria a mais pelas aes de quem adota prticas de governana 76% disseram que sim e destas a maioria afirmou que pagaria 24% a mais pelas aes.
Fonte: McKinsey comempresas da Amrica Latina 1 - Fonte: Instituto Brasileiro de Governana Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados 12
Desafio
Como implantar o SOX. Sobre Governana de TI Kit de implantao do SOX com Cobit
Segundo IT Governance Institute (www.itgi.org), que define a Governana de TI como: uma estrutura de relacionamentos e processos para dirigir e controlar a organizao no atingimento dos objetivos corporativos, adicionando valor, ao mesmo tempo que equilibra os riscos em relao ao retorno da TI e seus processos1
Exigncias Leis Regulamentos Normas Controles Governana Corporativa Transparncia Equidade Prestao de Conta Compliance2 tica Facilitadores
Governana de TI
Cobit ITIL BSC PMBok
ferramentas
Conceitos: Estruturas e processos visando a garantir que a TI suporte e maximize os objetivos e estratgias da organizao. Permite controlar medir, auditar a execuo e a qualidade dos servios Viabiliza o acompanhamento de contratos internos e externos. Define condies para o exerccio eficaz da gesto com base em conceitos consolidados de qualidade. Vantagens: Alinha a estratgia de TI com as do negcio Mais capacidade e agilidade para novos modelos de negcios ou ajustes nos modelos atuais. Explicita a relao entre aumento nos custos de TI e aumento no valor da informao. Mantm os riscos do negcio sob controle Explicita a importncia da TI na continuidade dos negcios. Mede e melhora continuamente a performance de TI.
1 - Esta definio vem com a terceira edio do Sumrio Executivo do Cobit

Desafio
As ferramentas de suporte que facilitam a implantao da Governana de TI
Kit de implantao do SOX com Cobit Existem diversas ferramentas (leia-se framework, melhores prticas, guias, padres e metodologias) para facilitar a gesto de TI (Governana de TI). Os frameworks, melhores prticas, padres, guias e metodologias so frutos de anos de experincia, lies aprendidas, estudos de diversas pessoas, organizaes e institutos de pesquisa. Eles representam (at o momento) as principais ferramentas de apoio para a gesto de TI.
Governana de TI Cobit ISO27001 SOX Compliance COSO ITIL
14
Introduo
Desafio:
Kit de implantao do SOX com Cobit Por onde devemos comear ??
Como obter sucesso na implantao do SOX ?

Recomendaes: > Seguir as melhores prticas > Escolher a ferramenta adequada > Envolver e motivar as pessoas
16
As Melhores Prticas
Frameworks, Guias, Padres e Metodologias
Objetivo desta segunda parte: apresentar as melhores prticas para obteno do compliance SOX.
COSO
Cobit
ISO 27001
ITIL
17
COSO
Comittee Comittee of of Sponsoring Sponsoring Organizations Organizations of of the the Treadway Treadway Comission Comission
18
COSO
Elementos de Regulamentao Norte-Americanas sobre Controle Interno

O processo regulatrio referente a controle internos tem um marco importante nos Estados Unidos por ocasio da lei aprovada pelo Congresso Americano, em dezembro de 1987, chamada de Foreign Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades annimas por aes. As empresas sob FCPA, so obrigadas a criar e implementar e manter sistemas de controle que ofeream garantias de que as transaes sero registradas de conformidade com os princpios contbeis. Os Auditores Independentes atravs do AICPA, em SAS 55, pregam que a administrao deve estabelecer uma estrutura de controle interna composta por 3 elementos: Ambiente de controle; sistema contbil e procedimento de controle. Um estudo neste sentido foi feito pela Treadway Commission. A recomendao do Treadway Commission, no sentido de desenvolver-se uma definio comum de controle interno com diretrizes processuais, criou-se o COSO, Comit das Organizaes Patrocinadoras. O modelo apresentado pelo COSO em 1992 e atualizado em 1994 (Internal Control Integrated Framework), atualmente conhecido como COSO 1, definiu o controle interno e elaborou critrios para a avaliao de sistemas. O COSO 1 responsabiliza pelo processo de controle interno o Conselho Diretor (Board), a Administrao (Directors) e os funcionrios da entidade. Ele estabelece o processo como garantidor para a realizao de objetivos das seguintes categorias:
COSO
Elementos de Regulamentao Norte-Americanas sobre Controle Interno Kit de implantao do SOX com Cobit
- Eficcia e eficincia de operaes; - confiabilidade dos relatrios financeiros - cumprimento das leis e regulamentos pertinentes. O COSO 1 sugere tambm que a avaliao do processo de controle interno deva ser pontual ao longo do tempo (exemplo: trimestral, anual...). O modelo define ainda que um sistema de controle interno deve ter 5 componentes relacionados: 1 Ambiente de controle (com foco na estrutura organizacional e as relaes com o ambiente externo); 2 Avaliao de risco; 3 Atividade de controle (polticas e procedimentos); 4 informaes e comunicaes 5 Monitoramento Aps o COSO , o AICPA emitiu o SAS (Statement of Auditing Stardard Declarao Padro de Auditoria) 78 que adere ao COSO 1, tornou um padro para as firmas de Auditorias. A Fundao de Auditoria e Controle de Sistemas de Informaes (ISAF) criou um padro chamado COBIT (Objetivo de Controle de Informaes e Tecnologias Relacionadas), publicado em 1995 (primeira verso). O COBIT partiu do modelo COSO 1.
20
COSO
Elementos de Regulamentao Norte-Americanas sobre Controle Interno Kit de implantao do SOX com Cobit
O COBIT focado nos processos de tecnologia de informao e seus relacionamentos com o controle interno. Esses documentos, COSO 1, SAS 78 e COBIT enfatizam que a administrao responsvel por estabelecer, manter e monitorar o sistema de controle interno de uma empresa. O COSO propem uma reviso tcnica, chamada de ERM (Enterprise Risk Management Framework) conhecida como COSO 2. Esse documento est estruturado em oito componentes chaves: 1 Ambiente interno; 2 Estabelecimento de objetivos; 3 Identificao de eventos; 4 Avaliao de risco; 5 Resposta ao risco; 6 Avaliao de controle; 7 Informao e comunicao e 8 Monitoramento.
21
Cobit
Objetivos Objetivos de de Controle Controle relacionados relacionados ao ao uso uso de de TI TI
22
Cobit

Introduo ao Framework Cobit:
Cobit 4 (2005)
ITGI www.itgi.org ISACA Information Systems Audit and Control Association www.isaca.org
O que significa Cobit ? Control Objectives for Information and related Technology > Objetivos de Controle relacionados ao uso da Tecnologia da Informao. Cobit framework que tem um conjunto de componentes que representam as melhores praticas para Governana de TI, Controle, Auditoria de TI e Compliance com regulamentao (SOX).
ltimas Edies do Cobit: - 2005 Quarta edio (Vigente) - 2000 Terceira edio A quarta edio ou Cobi t 4 apresenta diversas melhorias e ajustes em relao a terceira edio.
Cobit 3 (2000)
Cobit

Introduo ao Framework Cobit:
O Cobit um guia, estruturado como framework, possui uma serie de componentes que podem servir como um modelo de referncia para gesto da TI, incluindo um sumrio executivo, um "framework", controle de objetivos, mapas de auditoria, ferramentas para a sua implementao e principalmente, um guia com tcnicas de gerenciamento.
ITGI www.itgi.org ISACA Information Systems Audit and Control Association www.isaca.org
Especialistas em gesto e institutos independentes recomendam o uso do Cobit como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento ROI percebido, fornecendo mtricas para avaliao de performance (KPI) , de resultados (KGI) e nvel do maturidade (modelo de maturidade). O CobiT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negcio e do valor e participao que a tecnologia da informao tem na cadeia produtiva da empresa. Principais caractersticas do Cobit: - Orientado a Negcio - Orientado a Processos - Baseado em Controles - Dirigido pelas mensuraes
24
Cobit
Aplicao

Cobit tem suporte a Governana de TI e fornece um framework que garante: - Alinhamento de TI com negcios - Maximizao os beneficios de TI - Uso adequado dos recursos de TI - Os riscos de TI so gerenciados de forma apropriada
Governana de TI
Controle Cobit fornece um framework de controle que

contribui para: - Oferecendo um link entre o negcio e TI - Organizando as atividades em processos - Identificando os recursos de TI - Definindo o gerenciamento dos objetivos de controle
Cobit
Compliance SOX IT Control Objectives fo SOX
Fornece um guia de como garantir a conformidade (compliance) para rea de TI baseado nos Objetivos de Controle Fornece uma abordagem de auditoria e um guia que d suporte a auditoria dos processos Cobit
Auditoria de TI IT Asserance Guide
Outras
Cobit QuickStart, Cobit Security Baseline...

25
Cobit
Cobit Detalhes do Framework

Objetivos de negcios e Objetivos de Governana de TI
Informao Informao
Eficincia Eficcia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade
7- Critrios da Informao
4 - Domnios
Monitorar e Avaliar
Planejar e Organizar
Recursos de TI
Aplicaes Informao Infra-estrutura Pessoas
4- Recursos
Entregar e Suporte
Adquirir e Implementar
26
Cobit
Cobit Detalhes do Framework

Objetivos de negcios e Objetivos de Governana de TI
Informao Informao
Eficincia Eficcia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade
7 Critrio da Informao
4 Domnios
O Cobit est estruturado em: - 4 domnios - 34 processos - 34 objetivos de controle de alto nvel (um para cada processo)
Cada processo em coberto por quatro sesses, elas so: 1 Contm objetivo de controle de alto nvel, mapeamento entre o processo e os critrios de informao, os recursos utilizados e as reas da governana de TI relacionada com o processo. 2 Contm objetivos de controle detalhados (prticas de controle) 3 Guia de Gerenciamento: Contm os processos de entradas e sada. Matriz RACI, Metas e Mtricas. 4 Contm o Modelo de Maturidade do processo
27
Monitorar e Avaliar
Recursos de TI Aplicaes Informao Infra-estrutura Pessoas
Planejar e Organizar
4 recursos
Entregar e Suporte
Adquirir e Implementar
Abordagem Top-Down Domnios
Processos
Atividades
Cobit
Cobit Detalhes do Framework Domnio e Processos: So 34 processos agrupados em 4 domnios. 10 - Planejar e Organizar (PO), 7- Adquirir e Implementar (AI), 13 - Entregar e Suporte e 4 - Monitorar e Avaliar (ME). Veja uma breve lista deles:
Planejar e Organizar (PO)

P01 - Definio plano estratgico TI P02 - Definio arquitetura de informao P03 - Determinao do direcionamento tecnolgico P04 Definio da organizao de TI e relacionamentos P05 Gerenciamento do Investimento de TI P06 Comunicao de objetivos e direcionamento P07 Gerenciamento de recursos humanos de TI P08 Gerenciar Qualidade P09 Avaliar e Gerenciar riscos de TI P10 Gerenciamento de Projetos
Adquirir e Implementar (AI)

AI01 Identificar solues automatizadas AI02 - Aquisio e manuteno de sistemas aplicativos (software) AI03 Aquisio e manuteno de tecnologia de infra-estrutura AI04 Habilitar a operao e uso AI05 Obter recursos de TI AI06 Gerenciar mudanas AI07 Instalao e homologao de solues e mudanas
28
Cobit
Cobit Detalhes do Framework Domnio e Processos: So 34 processos agrupados em 4 domnios. 10 - Planejar e Organizar (PO), 7- Adquirir e Implementar (AI), 13 - Entregar e Suporte e 4 - Monitorar e Avaliar (ME). Veja uma breve lista deles:
Entregar e Suporte (DS)

DS01 Definio de nveis de servio DS02 - Gerenciamento de servios de terceiros DS03 Gerenciamento de performance e capacidade DS04 Assegurar a continuidade dos servios DS05 Assegurar a segurana dos sistemas DS06 Identificar e alocar custos DS07 - Educar e treinar usurios DS08 Gerenciar Service Desk e incidentes DS09 Gerenciar configuraes DS10 - Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar ambiente fsico DS13 Gerenciar operaes
Monitorar e Avaliar (ME)

ME01 Monitorar e avaliar o desempenho de TI ME02 Monitorar e avaliar os controles internos ME03 Assegurar a conformidade (compliance) com as regulamentaes ME04 Prover Governana de TI
29
Cobit
Objetivo de controle de alto nvel
Cobit Detalhes do Framework Objetivo de Controle, Critrio da Informao, Processo, Requisitos, Recursos e etc
1 1
Critrios de informao Processo de TI Requisitos de negcios
Domnios
Mtricas Governana TI Recursos de TI

30
Cobit
Cobit Detalhes do Framework Critrios da Informao: Para satisfazer os objetivos de negcios as informaes devem estar em conformidade com os seguintes critrios: 1 1
Requisitos de Negcios
requer
Requisitos de Governana
influncia
entrega executa
Informao Aplicaes
Servios de Informao
implica
Processos Processos de de TI TI
QoS
necessita necessita
Pessoas Infraestrutura
Critrio Critrio da da Informao Informao
Metas de Negcios para TI
Arquitetura de TI
Qualidade: Effectiveness (Eficcia) A informao deve ser relevante e pertinente aos processos de negcios bem como ser entregue com temporalidade, corretude, consistncia e usabilidade. Efficiency (Eficincia) Informao deve ser fornecida com o uso de recursos da forma mais produtiva e econmica
Cobit
Cobit Detalhes do Framework Critrios da Informao: Para satisfazer os objetivos de negcios as informaes devem estar em conformidade com os seguintes critrios: 1 1
Segurana: Confidentiality (Confidencialidade) A informao suscetvel deve ser protegida de acesso no autorizado Integrity (Integridade) Informao deve ser precisa e completa, bem como sua validade deve estar em concordncia com o conjunto de valores e expectativas do negcio Availability (Disponibilidade) Informao deve ser disponvel quando requerida pelo processo de negcio agora e no futuro, e deste modo deve ser salvaguardada enquanto Recurso Fiducirio: Compliance (Conformidade) Informao deve estar em conformidade com leis, regulamentos, e arranjos contratuais dos quais os processos de negcios esto sujeitos Reliability (Confiabilidade) - Informao deve ser provida de forma apropriada, permitindo seu uso na operao da organizao, na publicao de relatrios financeiros para seus usurios e rgos fiscalizadores, conforme leis e regulamentos
32
Cobit
Cobit Detalhes do Framework Recursos: Para atender os requisitos de negcio, a empresa deve ter recursos suficientes e capacitados. 1 1
Recursos Pessoa
Descrio As pessoas requeridas para planejar, organizar, adquirir, entregar, d suporte e monitor os aplicativos, processos e servios de TI. As pessoas podem ser funcionrios ou terceirizadas So os procedimentos manuais e os automatizados. a tecnologia e facilidades com Hardware, software (Sistema Operacional, Banco de Dados, Linguagens, Compiladores, redes) Informao so os dados em todas as formas (entradas, processados e sada) pelas aplicaes (sistemas de informao)
Aplicativos Infra-estrutura (instalaes) Informao
33
Cobit
Cobit Detalhes do Framework Objetivos de Controle e Prticas de Controle
2 2
Objetivos de Controle: O objetivo de controle uma declarao do resultado desejado ou da finalidade a ser atingida pela implementao de procedimentos de controle para uma atividade de TI especfica. Quando desenvolver e documentar seus controles, voc vai querer lembrar das caractersticas para torn-las to efetivas possvel. O Cobit fornece um conjunto de 34 objetivos de controles de alto nvel, um para cada processo em seus respectivos domnios. Esta estrutura cobre todos os aspectos da informao e tecnologia. Esses objetivos de controles, os donos dos processos de negcio pode garantir que um controle adequado ser fornecido para o ambiente de TI. Praticas de Controle: As prticas do Controle expandem as potencialidades de COBIT fornecendo um nvel adicional do detalhe. Os processos de TI, Requisitos de Negcio e os Objetivos Detalhados de Controle definem o que precisa ser feito para implementar uma estrutura eficaz de controle. As prticas de controle fornecem o como e porque da necessidade do gerenciamento,servios fornecidos, os usurios finais e controle profissionais para implementar os controles especficos baseados em uma anlise de operacional e de riscos de TI.
34
Cobit
3 3 3 3
Cobit Detalhes do Framework Guia de Gerenciamento
Fornece um link entre controle de TI e Governana de TI. Eles so orientados a ao e genricos e eles fornece guia de gerenciamento especifico e direcionado para as informaes corporativas e processos relacionados sob controle, monitorando as metas da empresa e monitorando e melhorando a performance dentro de cada processo de TI. Este guia ajuda a responder as questes tpicas de gesto, tais como: O custo do controle de TI justificado pelo benefcio? Quais so as metas e as mtricas ? Quem responsvel pela prestao de contas ? O que so os riscos de no alcanar nossos objetivos? Como ns medimos e comparamos a maturidade da organizao ? Qual a estratgia da organizao para a melhoria?
35
Cobit
Cobit Detalhes do Framework Modelo de Maturidade:
4 4
O modelo de maturidade uma forma de medir quo bem esto desenvolvidos os processos. O quo bem desenvolvidos, os processos, dependem das necessidades de cada negcio
Legenda: Valor
Nvel de Maturidade
Otimizado (valor)
Gerenciado (servio) Definido (pro-ativo) Repetvel (reativo) No existe Inicial (catico)
O - Inexistente: Gerenciamento de processos no so aplicados 1 - Inicial: Processos so ad hoc e desorganizados, o sucesso depende de esforos pessoais (heri) 2 - Repetitivo Os processos seguem um padro regular 3 - Definido- Os processos so documentados e comunicados 4 - Gerencivel Processos so monitorados e medidos 5 - Otimizado Melhores prticas so seguidas e automatizadas
< pior
Tempo
Melhor >
36
Cobit
Entendendo o Cobit: Todos os componentes so inter-relacionados fornecendo suporte a Governana de TI, Gerenciamento, Controle e Auditoria.
Negcio Negcio
Requisitos
Realizado com eficcia e eficincia
or p o ad r su n e
Processos Processos de de TI TI
Controlados por
Objetivos Objetivos de de Controle Controle

Traduzindo em Implementados por
dit Au
Nvel de Maturidade Indicador de Performance Indicador de Resultados
Modelo Modelo Maturidade Maturidade KPI KPI KGI KGI
or op ad
Metas Metas das das Atividades Atividades
Guia Guia de de Auditoria Auditoria
Prticas Prticas de de Controle Controle
37
Cobit
Domnio: DS - Entregar e Suporte Entregar e Suporte Definir e Gerenciar Nveis de Servios
DS1
38
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
DS1
Definio de SLA/OLA segundo Glossrio Cobit: SLA Acordo de Nvel de Servio, uma acordo entre o fornecedor do servio e o cliente e/ou usurio que documenta o nvel do servio concordado. OLA - Acordo Nvel Operacional. Um acordo interno que cobre . a entrega dos servios que a suportam TI em sua entrega dos servios
39
Cobit
Objetivos de Controle de Alto Nvel:
DS1
Uma comunicao eficaz entre a gesto de TI e os clientes de negcio considerando os servios requeridos habilitado por uma definio documentada e o pelo acordo dos servio de TI e os nveis de servio. Este processo inclui tambm monitorando e relatrios para que os stakeholders (pessoas interessadas) na realizao de nveis de servio. Este processo permite o alinhamento entre o servios de TI e os requisitos de negcio. Critrios de Avaliao da informao:
Primrio: Eficcia e Eficincia Secundrio: Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade
40
Requisitos Requisitos de de Negcio Negcio
Processos Processos TI TI
Legenda: P - Primrio | S - Secundrio
Cobit
Controle sobre o processo de TI: Definio e Gesto de Nveis de Servio Que satisfaz os requisitos de negcio: Assegurando o alinhamento dos servios de TI com a estratgia de negcio focalizando em identificar os requisitos dos servio, acordando os nveis de servio e monitorao da execuo dos nveis de servio Alcanado por: - Formalizao dos acordos internos e externos em alinhados com requisitos e capacidade de entrega - Relatar em realizaes do nvel de servio (relatrios e reunies) - Identificando e comunicando os novos requisitos de servio e atualizando o planejamento estratgico E mensurado por: - % de Stakeholders satisfeitos com a entrega dos servios com nveis acima do concordado - Nmero de servios entregue que no esto presentes no catalogo - Nmero de reunies formais de reviso do SLA (por o ano)
DS1
Cobit
DS1
Recursos:
Informao Infraestrutura
Governana de TI:
a b
d c
a - Alinhamento estratgico b Entrega de Valor c Gerenciamento de Recurso d Gerenciamento de Performance
Aplicaes Pessoas
Cobit
Objetivos de Controle Detalhados: DS1.1 Framework Acordo de Nvel de Servio (Service Level Management Framework) Definir um framework que fornea um processo formalizado de gesto do nvel de servio entre o cliente e o fornecedor de servio. O framework mantm o alinhamento contnuo com os requisitos e prioridades do negcio e facilita o entendimento comum entre o cliente e os fornecedores. O framework inclui processos para criar os requisitos do servio, definies do servio, Acordo de Nvel de servio (SLAs), Acordos de Nvel Operacional (OLA) e fontes de recursos (fundos). Estes atributos so organizados em um catlogo do servio. A estrutura define a estrutura organizacional para a gerncia do nvel de servio, cobrindo os papis, as tarefas e as responsabilidades de fornecedores (internos e externos) e os clientes. DS1.2 Definio dos Servios (Definition of Services) Base para as definies dos servios de TI nas caractersticas e nos requisitos do negcio, organizadas e armazenadas de forma centralizada atravs da implementao de uma abordagem do catlogo (portflio) de servio.
DS1
Cobit
Objetivos de Controle Detalhados: DS1.3 Acordo de Nvel de Servio (Service Level Agreements) Definir e concordar aos Acordos de Nvel de Servio para todos os servios crticos de TI baseado nos requisitos dos clientes e capacidade de TI. Ele cobre os compromissos do cliente, os requisitos de sustentao do servio, as mtricas quantitativa e qualitativa para medir o servio concordados pelas partes interessadas, fundos e arranjos de negcios (se aplicveis), papis e responsabilidades. Considerar os itens: disponibilidade, confiabilidade, desempenho, capacidade de crescimento, dos nveis de suporte, planejamento de continuidade, de segurana e as restries da demanda DS1.4 Acordo de Nvel Operacional (Operating Level Agreements) Garantir a operao dos nveis concordados e explicando como os servios sero tecnicamente entregues para suporte ao SLA de maneira tima. O OLA especifica os processos tcnicos nos termos significativos para fornecedor e pode suportar diversos SLAs
DS1
44
Cobit
Objetivos de Controle Detalhados: DS1.5 Monitorando e Relatando o Atingimento de Nvel de Servio (Monitoring and Reporting of Service Level Achievements) Monitorar continuamente os critrios desempenho especificados do nvel de servio. Os relatrios so fornecidos em um formato significativo a todos interessadas (stakeholders) na realizao de nveis de servio. As estatsticas de monitorao so analisadas para identificar tendncias negativas e positivas para servios individuais bem como os para servios globalmente. DS1.6 Reviso do Acordos de Nveis de Servios e Contratos (Review of Service Level Agreements and Contracts) Rever regularmente os Acordos de Nvel de Servio e os Contratos de Apoio com os fornecedores de servio internos e externos assegurar-se de que sejam eficazes, atualizados, e que as mudanas nos requisitos so contempladas.
DS1
45
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios Guia de Gerenciamento Relacionamento entre os Processos:
DS1
Entrada
Sada
46
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios Guia de Gerenciamento Matriz RACI:
Funes
DS1
Atividades
Criar um framework para definio do servios de TI Construir um catalogo (portflio) de servios de TI Definir o (SLA) para servios crticos Definir o OLA para os SLAs Monitorar e relatar a performance dos servios Rever os SLAs e contratos de apoio Rever e atualizar o catalogo de servios de TI Criar plano melhoria dos servios
Matriz RACI identifica que Responsvel, Presta Contas(Accountable), Consultado e/ou Informado
47
Cobit
Domnio: DS - Entregar e Suporte Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios Guia de Gerenciamento
DS1
Metas de TI Garantir a satisfao dos usurios finais com servios oferecidos e nveis de servios Responder os requisitos de negcio alinhados com a estratgia de negcio Assegurar a transparncia e entendimento dos custos de TI, benefcios, estratgia, polticas e nveis de servio
Metas e Mtricas (KPI e KGI)
Metas das Atividades Definio dos servios Formalizao de acordos internos e externos alinhados com requisitos e com capacidade de entrega Relatar sobre os nveis de servios alcanados (relatrios e reunies) Garantir que os relatrios so adaptados a audincia (publico) Realimentar e atualizar os novos requisitos de servios para o plano estratgico So medidas por Indicadores Chave de Performance Nmero formal de revises do SLA por ano % de Nveis de Servios relatados % de Nveis de Servio relatados (report) de forma automtica Nmero de dias de trabalho decorridos para ajustar o nvel de servio aps o acordo com cliente
Metas dos Processos Estabelecer um entendimento comum dos nveis de servios requeridos. Formalizar e monitora os nveis de servios concordados e critrios de performance Alinhar o servio entregue com nveis de servios concordados Criar um catalogo de servios atualizvel com as metas de negcio So medidas por Indicadores Chave de Meta do Processo Nmero de servios entregue que no esto presente no catalogo % de servios que encontra-se com o nvel de servios % de nvel de servios que so mensurados
Indicadores Chave de Meta de TI % stakeholders satisfeitos com servios entregues com nveis acima do concordado % de usurios satisfeitos com a entrega de servios com nveis acima do concordado
48
Cobit
DS1
Modelo de Maturidade: O gerenciamento do processo de definio e gesto dos nveis de servios que satisfazem os requisitos de negcios de TI garantindo o alinhamento entre TI e a estratgia de negcio:
0 Inexistente quando (Non-existent when) A Gesto no foi reconhecida como uma necessidade para processo para definio de nveis de servios. A prestao de contas e responsabilidade para monitoramento no foram atribudas. 1 Inicial/Ad Hoc quando (Initial/Ad Hoc when) H uma conscincia da necessidade controlar os nveis de servio, mas o processo informal e reativo. A responsabilidade e a prestao de contas (accountability) para definio e gesto dos servios no so definidos. Se as medidas de desempenho existem, elas so qualitativa somente com metas imprecisas. Relatrio informal, ocasional e inconsistente. 2 Repetitivo mas intuitivo quando (Repeatable but Intuitive when) Existem servios com nveis acima do concordado, mas eles so informais e no so revistos. O relatrio do nvel de servio est incompleto e pode ser irrelevante para clientes. O relatrio do nvel de servio dependente das habilidades e da iniciativa de individuais dos gerentes. Um coordenador de nvel de servio apontado com responsabilidades definidas, mas autoridade limitada. Se um processo para a conformidade aos acordos do nvel de servio existir, voluntrio e no reforado.
Cobit
Domnio: DS - Entregar e Suporte Entregar e Suporte Definir e Gerenciar Nveis de Servios

Modelo de Maturidade:
3 Processo Definido quando (Defined Process when)
DS1
As responsabilidades so bem definidas, porm com autoridade discreta. O processo de desenvolvimento do acordo de nvel de servio est no lugar com os pontos de verificao para razes do nveis de servio e satisfao de cliente. Os servios e os nveis de servio so definidos, documentados e nvel acima do concordado so usando um processo padro. As armadilhas do nvel de servio so identificadas, mas os procedimentos de como resolver so informais. H um link claro entre a realizao prevista do nvel de servio e os recursos fornecidos (fundos). Os nveis de servio so concordados, mas no podem enderea-los as necessidades do negcio.
4 Gerenciado e Mensurado quando (Managed and Measurable when)

Os nveis de servio so deliberados cada vez mais na fase da definio dos requisitos do sistema e incorporados no projeto da aplicao e dos ambientes operacionais. A satisfao de cliente rotineiramente medida e avaliada. As medidas de desempenho refletem-na necessidades de cliente, melhor que metas. As medidas para avaliar nveis de servio so padres de mercado e refletem as melhores prticas. Os critrios para definir nveis de servios so baseados na criticidade do negcio e incluem a disponibilidade, a confiabilidade, o desempenho, a capacidade de crescimento, e suporte ao usurio, o planejamento da continuidade e consideraes de segurana. A anlise da causa da raiz executada rotineiramente quando os nveis de servios no so alcanados. O processo de relatrio para monitorar nveis de servio est tornandose automatizado cada vez mais. Os riscos operacional e financeiros associados com os nveis de servio so definidos e compreendidos claramente. Um sistema formal dos indicadores KPIs e de KGIs institudo e mantido.
Cobit
Modelo de Maturidade:
5 Otimizado quando (Optimised when) Os nveis de servios so reavaliados continuamente para assegurar o alinhamento de TI e dos objetivos do negcio, ao fazer anlise da vantagem da tecnologia incluindo a relao custo beneficio. Todos os processos da gerncia do nvel de servio so sujeitos melhoria contnua. Os nveis da satisfao de cliente continuamente so monitorados e controlados. Os nveis de servio previstos refletem objetivos estratgicos das unidades de negcios e so avaliado de encontro os padres de mercado. Gerncia tem os recursos e a prestao de contas (accountability) necessitado encontrar-se com metas e a compensao do nvel de servio estruturado para fornecer incentivos para encontrarse com estas metas. A gerncia snior monitora KPIs e KGIs como parte de um processo contnuo da melhoria.
DS1
51
Cobit
Exemplo de Aplicao do SLA Kit de implantao do SOX com Cobit Entregar e Suporte Definir e Gerenciar Nveis de Servios
DS1
DS8-Gerenciar Service Desk e Incidentes Objetivos de Controle Detalhados: DS8.3 Incidentes e Escalao (Incident Escalation) Estabelecer procedimentos para Service Desk, assim os incidentes que no podem imediatamente ser resolvidos so escalados apropriadamente de acordo com os limites definidos no SLA e, se apropriado, os workarounds so fornecidos. Assegurar-se de que a posse do incidente e a monitorao do ciclo de vida remanesam com a Servide Desk para os incidentes baseado em usurios, considerando que grupo est trabalhando na resoluo.
52
ISO 27001
Sistema Sistema Gesto Gesto de de Segurana Segurana da da Informao Informao
53
ISO 27001
Sistema Sistema Gesto Gesto de de Segurana Segurana da da Informao Informao
ISO/IEC 27001: Especifica os requisitos para estabelecimento, implementao, operao, monitoria, reviso e manuteno e melhoria do processo de ISMS (Information Security Management System)
A ISO 27001:2005 a evoluo natural da BS7799-2:2002 um padro britnico que trata da definio de requisitos para um Sistema Gesto de Segurana da Informao. A revisada trouxe as seguintes, melhorias e adaptaes, contemplando o ciclo PDCA de melhorias e a viso de processos que as normas de sistemas de gesto j incorporaram As mudanas mais relevantes na migrao para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de gesto de segurana da informao), quando so destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gesto de segurana e no Anexo A que passou a ter na ISO/IEC 27001 11 sees, pois foi includa a seo Gesto de Incidentes de Segurana da Informao: 5.Poltica de Segurana da Informao 6. Organizando a Segurana da Informao 7. Gesto de Ativos 8. Segurana em Recursos Humanos 9. Segurana Fsica e do Ambiente 10. Gerenciamento das Operaes e Comunicaes 11. Controle de Acessos 12. Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao 13. Gesto de Incidentes de Segurana da Informao 14. Gesto da Continuidade do Negcio 15. Conformidade
ISO 27001
International Organization for Standardization (ISO) uma organizao internacional que aglomera os grupos de padronizao/normalizao de 148 pases. O ISO aprova normas internacionais em quase todos os campos tcnicos. Exemplos de normas: - ISO 9001/2000:Gesto da Qualidade - ISO/IEC 20000:2005 IT Service Management System (based on BS15000) - ISO/IEC 17799 Tecnologia da informao: cdigo de conduta para a gesto da segurana da informao - ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements ISO/IEC 27001: Especifica os requisitos para estabelecimento, implementao, operao, monitoria, reviso e manuteno e melhoria do processo de ISMS (Information Security Management System)
55
ITIL
Melhores Melhores Prticas Prticas e e Gesto Gesto de de Servios Servios de de TI TI
56
ITIL
Melhores Melhores Prticas Prticas e e Gesto Gesto de de Servios Servios de de TI TI

Introduo ao modelo ITIL:
OCG Office of Government Commerce (antigo CCTA) : - Proprietrio do ITIL - Comit Gestor TSO The Stationery Office - Publicaes da ITIL itSMF IT Service Mngt Forum Gerenciamento de Servios de TI www.itsmf.com.br
O governo da Inglaterra buscava fazer reduo de custos e de risco relacionados com rea de TI. Pesquisas mostravam, porm, que mais de 80% do custo dos Servios de TI estava ligado ao dia-a-dia de sua operao e apenas 20% ao processo de desenvolvimento de software. Por esse motivo, foi criada a Biblioteca de Infraestrutura de TI pelo CCTA (atual OGC). Esta biblioteca representa as melhores prticas para a Gesto Servio de TI.
Biblioteca composta por sete livros
Abordagem para Gesto de Servios TI (ITSM) Modelo de gesto baseado em processos
EXIN e ISEB - Certificaes
ITIL ITIL
Conjunto de melhores prticas Padro Aberto que tornou padro de fato BS 15000 ISO 20000
ITIL uma marca registrada em nome do OGC
57
ITIL
Macro viso dos Processos ITIL Kit de implantao do SOX com Cobit
Gerenciamento Gerenciamento de de Servios Servios de de TI TI
Os livros
58
ITIL
Gerenciamento Gerenciamento de de Servios Servios de de TI TI
Service Support e Service Delivery Kit de implantao do SOX com Cobit
59
SOX+Cobit
Mapeamento Mapeamento SOX SOX e e Cobit Cobit
60
SOX+Cobit
Alinhamento PCAOB e COBIT: Mapeamento dos controles do PCAOB e Cobit, atrelados aos processos de TI.
61
Dicas SOX & Cobit

Sobre Cobit: Adapte o Cobit as necessidades do negcios, a cultura da empresa e as regulamentaes Controles Internos: Cada empresa deve cuidadosamente considerar controle de objetivos apropriados para TI. Recomendamos que a empresa no inclua objetivos de controle alm da sua capacidade de controle
63
Kit de Implantao
Apresentar as melhores prticas, tcnicas e metodologias para obteno do compliance com SOX referente a seo 404.
SOX+Cobit
Alinhamento PCAOB e COBIT: Mapeamento dos controles do PCAOB e Cobit, atrelados aos processos de TI.
Nosso exemplo
65
Kit de Implantao
Case ABC Framework de Implantao: Viso Macro Kit de implantao do SOX com Cobit
Entrada
Fases
Sada
Avaliar Planejar
Fluxo
Documentos (Polticas, Procedimentos e Manuais)
Implementar Auditar
Pessoas
(Todos os interessados e envolvidos no Projeto)
Entregar
Processos compliance ao SOX
66
Kit de Implantao
Framework de Implantao: Fase Avaliar
Avaliar Planejar Implementar Auditar Entregar
Entrada
Avaliar
Sada
Coletar Informaes
Documentos e Politicas existentes
Coleta e Tabulao das informaes
Identificao dos Processos, Procedimentos e Polticas
Fluxo
Stakeholders (entrevistas e workshops)
Elaborar documento de Avaliao
Documento de Avaliao (Gap Analyses)
Elaborar documento de Plano de Ao
Plano de Ao Road Map
67
Kit de Implantao
Case ABC
Relatrio de Gap Analyses:

Processo TI / Objetivo de Controle para SOX Aquisio e manuteno de sistemas aplicativos (software) Aquisio e manuteno de tecnologia de infraestrutura Definio da organizao de TI e relacionamentos Processo Cobit AI2 AI3 P04 Nvel de Maturidade (Exigido SOX 3) 3 3 3 Nvel de Maturidade (Real) 4 3 3 GAP 0 0 0
DS13 DS12 DS11 DS10 DS8 DS9 DS5 DS2 AI2 4 3 2 1 0 AI6 DS1 AI3 P04
AI7
Instalao e homologao de solues e mudanas

Gerenciar Mudanas Definir e Gerenciar Nveis de Servio Gerenciar serviso de terceiros Garantir a Segurana dos Sistemas Gerenciar a Configurao Gerenciar Service Desk e Indicentes Gerenciar Problemas Gerenciar Dados Gerenciar ambiente fsico Gerenciar operaes
AI7
AI6 DS1 DS2 DS5 DS9 DS8 DS10 DS11 DS12 DS13
3
3 3 3 3 3 3 3 3 3 3
2
3 3 3 3 3 4 4 3 3 3
-1
0 0 0 0 0 0 0 0 0 0 68
Falta de metodologia formal para execuo de testes e homologao de sistemas.
Kit de Implantao
Domnio: Adquirir e Implementar AI Kit de implantao do SOX com Cobit Adquirir e Implementar Instalar e Homologar Solues e Mudanas
Nvel de Maturidade:
AI7
2 Repetitivo, mas intuitivo quando H uma certa consistncia entre os enfoques adotados para testes e homologao, mas normalmente no seguem nenhuma metodologia. Cada equipe de desenvolvimento decide o enfoque que ser adotado para os testes e geralmente no so realizados testes de integrao. H um processo informal de aprovao. 3 Processo definido quando Existe uma metodologia formal no que se refere instalao, migrao, converso e aceitao. Os processos de instalao e homologao de TI integram-se ao ciclo de vida do sistema e alguns so automatizados. Os mtodos de treinamento, de realizao dos testes, de transio para a produo e homologao variam, de acordo com cada equipe. A qualidade dos sistemas enviados para a produo inconsistente e os novos sistemas geralmente apresentam problemas ps-implementao.
69
Kit de Implantao
Avaliao de Risco: Kit de implantao do SOX com Cobit Adquirir e Implementar Instalar e Homologar Solues e Mudanas
AI7
Risco Atualizaes em programas dos sistema podem causar: - Alterao pode gerar instvel na operao do sistema que pode resultar em perda de dados; - Alterao na configuraes de segurana e permite acesso no autorizado a informaes protegidas; Objetivo de Controle: A gerncia de TI assegurar que a configurao e implementao de softwares no prejudiquem o nvel de qualidade das operaes e nem a segurana dos dados e programa que estiverem armazenados no sistema.
70
Kit de Implantao
Case ABC
Relatrio de Recomendao / Plano de Ao (Road Map) GAP Identificado

Processo TI / Objetivo de Controle para SOX Processo Cobit Nvel de Maturidade (Exigido SOX 3) Nvel de Maturidade (Real)
Comentrios
GAP
Instalao e homologao de solues e mudanas
AI7
-1
Falta de metodologia formal para execuo de testes e homologao de sistemas.
Recomendao: -Desenvolver uma Metodologia (formal) para execuo de testes e homologao de sistemas. Quem deve desenvolver esta metodologia unidade de negcio que ser dona deste processo (ou seja TI). - Os elaboradores sero os Analista de Processos - Quem dever aprovar este documento ser o Gerente de TI. (Fase de Implementao) - Todos os interessados devem ser cientificados sobre a metodologia e os seus usurios devem receber treinamento adequada para usa-la de forma eficiente. - Esta metodologia deve ser incorporada ao Processo de Desenvolvimento de Software
Kit de Implantao
Framework de Implantao: Fase Planejar
Entrada
Atividades
Sada
Elaborar Plano de Implantao
Plano de Implantao
Fluxo
Relatrios de Recomendaes e Plano de Ao (Roadmap).
Elaborar Cronograma de Implantao
Cronograma de Implantao
72
Kit de Implantao
Framework de Implantao: Fase Implementar
Entrada
Atividades
Sada
Desenvolver/Elaborar a metodologia
Cronograma de Implantao
Metodologia de Teste e Homologao de Sistemas
Fluxo
Fazer Reviso
Fazer testes
Plano de Implantao
Fazer Aprovao
Metodologia de Teste e Homologao de Sistemas Aprovada
73
Kit de Implantao
Framework de Implantao: Fase Implementar
Entrada
Atividades
Sada
Metodologia de Teste e Homologao de Sistemas Aprovada
Verificar a aderncia ao processo AI7 e os objetivos de controle
Fluxo
Verificar conformidade com SOX
Metodologia de Teste e Homologao de Sistemas Aprovada pela auditoria interna
74
Kit de Implantao
Framework de Implantao: Camada de Implementao
Entrada
Metodologia de Teste e Homologao de Sistemas Aprovada pela auditoria interna
Atividades
Sada
Fazer testes
Relatrio de conformidade
Fluxo
Fazer Treinamento
Usurios Treinadas Clientes cientes
Pessoas (Clientes e Usurios)
Publicar a metodologia
75

Kit Implantacao SOX Cobit v1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Kit Implantacao SOX Cobit v1

Uploaded by

Copyright:

Available Formats

Kit de implantao do SOX com Cobit

SOX - Kit de implantao com Cobit

Kit de implantao do SOX com Cobit

Kit de implantao do SOX com Cobit

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Objetivo Principal do SOX: dar proteo aos investimentos

Kit de implantao do SOX com Cobit

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Kit de implantao do SOX com Cobit

Entender qual o impacto do SOX na TI

Kit de implantao do SOX com Cobit

Declaraes Financeiras Balano

Processos Processo A Processo B Processo C

Aplicaes ERP Billing BI

Servios de TI Banco de Dados Sistema Operacional Rede

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Responsabilidades dos Envolvidos:

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Como obter sucesso na implantao do SOX ?

Kit de implantao do SOX com Cobit

Leis Regulamentos Normas Controles

Cobit ITIL BSC PMBok

Cobit ITIL BSC PMBok

1 - Esta definio vem com a terceira edio do Sumrio Executivo do Cobit

Governana de TI Cobit ISO27001 SOX Compliance COSO ITIL

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Como obter sucesso na implantao do SOX ?

Kit de implantao do SOX com Cobit

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Kit de implantao do SOX com Cobit

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Elementos de Regulamentao Norte-Americanas sobre Controle Interno

Kit de implantao do SOX com Cobit

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Objetivos Objetivos de de Controle Controle relacionados relacionados ao ao uso uso de de TI TI

Kit de implantao do SOX com Cobit

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Objetivos Objetivos de de Controle Controle relacionados relacionados ao ao uso uso de de TI TI

Kit de implantao do SOX com Cobit

Objetivos Objetivos de de Controle Controle relacionados relacionados ao ao uso uso de de TI TI

Kit de implantao do SOX com Cobit

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados

Objetivos Objetivos de de Controle Controle relacionados relacionados ao ao uso uso de de TI TI

Kit de implantao do SOX com Cobit

Controle Cobit fornece um framework de controle que

Compliance SOX IT Control Objectives fo SOX

Auditoria de TI IT Asserance Guide

Cobit QuickStart, Cobit Security Baseline...

Objetivos Objetivos de de Controle Controle relacionados relacionados ao ao uso uso de de TI TI

Cobit Detalhes do Framework

Kit de implantao do SOX com Cobit

Objetivos Objetivos de de Controle Controle relacionados relacionados ao ao uso uso de de TI TI

Cobit Detalhes do Framework

Kit de implantao do SOX com Cobit

Recursos de TI Aplicaes Informao Infra-estrutura Pessoas

Abordagem Top-Down Domnios

Objetivos Objetivos de de Controle Controle relacionados relacionados ao ao uso uso de de TI TI

Kit de implantao do SOX com Cobit

Planejar e Organizar (PO)

Adquirir e Implementar (AI)

Verso 1.0 | Rildo F Santos | 2006 Direitos Reservados