14
SENAC SC Disciplina: Governança de TI Professor: Claudio Compliance Sarbanees-Oxley Acordo da Basiléia II Resolução BACEN 3380 Decreto 3505-Segurança da Informação

Compliance

Embed Size (px)

DESCRIPTION

 

Citation preview

Page 1: Compliance

SENAC SC

Disciplina: Governança de TI

Professor: Claudio

Compliance

Sarbanees-Oxley

Acordo da Basiléia II

Resolução BACEN 3380

Decreto 3505-Segurança da Informação

Alunos: Jeferson, José, Willian, Luis, Thiago Jacques, Felipe Fontes

Florianópolis, 18 de março de 2011

Page 2: Compliance

Compliance, o que é? Relação com Governança de TI.

O termo Compliance define uma prática bastante difundida no âmbito

corporativo e institucional. O conceito de compliance consiste em um conjunto

de disciplinas para fazer cumprir todas as normas legais e regulamentações,

ou seja, tem como objetivo fazer cumprir todas as diretrizes, políticas que foram

previamente estabelecidas para o negócio e atividades desempenhadas pela

organização, assim como também tem a função preventiva de evitar, detectar e

corrigir todo e qualquer problema que caracterize uma inconformidade ou

desvio que eventualmente venha a ocorrer.

A origem da palavra vem do verbo em inglês “to comply”, que

significa “cumprir”, “satisfazer”, “executar”. O conceito surgiu do mercado

financeiro, tendo portanto se estendido para organizações privadas e

governamentais.

Segundo a Wikipédia (2011), compliance é:

Através das atividades de Compliance, qualquer

possível desvio em relação à política interna, é

identificado e evitado. Assim, por exemplo no caso de

sócios e investidores, estes têm a segurança de que suas

aplicações e orientações serão geridas segundo as

diretrizes por eles estabelecidas.

Não existe compliance se não houver segregação

de funções. Por exemplo, quem determina um

investimento, não pode ser a mesma pessoa a fiscalizá-lo.

Quem cria uma norma interna, não pode nomear a si

próprio como fiscalizador desta norma.

A partir de meados da década de 90, todas as

organizações públicas e privadas passaram a adotar o

Compliance como uma de suas regras mais primárias e

fundamentais para a transparência de suas atividades. O

oposto também é válido: As empresas ou órgãos públicos

que não possuem uma área forte de Compliance, perdem

Page 3: Compliance

em credibilidade perante as partes relacionadas

(stakeholders) e cada vez mais perdem oportunidades no

mercado, principalmente no financeiro.

As atividades de Compliance, para terem

credibilidade, não devem ter em seus quadros jovens

recém contratados, recém-formados ou estagiários. Só

devem ocupar cargos de Compliance pessoas com larga

e comprovada experiência não apenas no negócio em si,

mas com forte experiência em cargos de liderança em

empresas de médio ou grande porte.

Devido à enorme responsabilidade dos executivos

de Compliance, estes devem estar prontos para

responder aos stakeholders e perante a lei por suas

atividades.

A aplicação do conceito compliance na

governança de TI, se dá por meios de marcos de

regulação que externos. É de extrema importância para a

governança de TI pois alinhado junto a todos os princípios

de TI, esta estabelece “regras que todos devem seguir,

que subsidiam a tomada de decisão sobre aquisições, uso

de padrões etc...”

Sua aplicação é feita e relacionada com:

princípios de TI; necessidades de aplicações; arquitetura

de TI; infra-estrutura de TI e etc.

Sarbanes-Oxley, o que é? Implicações na governança de TI.

A Lei Sarbanes-Oxley é uma lei americana, assinada em 30 de julho de

2002 pelo senador Paul Sarbanes (Democrata de Maryland) e pelo deputado

Michael Oxley (Republicano de Ohio).

Page 4: Compliance

A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa

garantir a criação de mecanismos de auditoria e segurança confiáveis nas

empresas, incluindo ainda regras para a criação de comitês encarregados de

supervisionar suas atividades e operações, de modo a mitigar riscos aos

negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de

identificá-las quando ocorrem, garantindo a transparência na gestão das

empresas.

Atualmente grandes empresas com operações financeiras no exterior

seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas

brasileiras que mantém ADRs (American Depositary Receipts) negociadas na

NYSE (New York Stock Exchange), como a Petrobras, a GOL Linhas Aéreas, a

Sabesp,a TAM Linhas Aéreas, a Brasil Telecom, Ultragaz, o Grupo Pão de

Açúcar, Banco Itaú, TIM, Vale S.A., Vivo S.A., e a Natura Cosméticos S.A..

Como não é possível separar processos de negócios e tecnologia no

panorama corporativo atual, uma avaliação da infra-estrutura operacional e

pessoal de TI das empresas é igualmente requerida. A Seção 404 do Ato

Sarbanes-Oxley é o principal foco de atenção das empresas neste particular,

por trazer as determinações sobre os controles de processos internos e

sistemas contábeis da empresa. Esta seção determina uma avaliação anual

dos controles e processos internos para a realização de relatórios financeiros,

com a obrigação de emissão de relatório a ser encaminhado à SEC (Security

Exchange Comission - órgão regulador das empresas de capital aberto dos

EUA), uma instituição equivalente à Comissão de Valores Mobilários (CVM) no

Brasil, que ateste estes parâmetros. Com isso as empresas precisam ter uma

ótima governança de TI para poder seguir estes parâmetros exigidos pela lei.

O Acordo de Capital de Basiléia II, o que é? Relação com

Governança de TI.

O Acordo de Capital de Basiléia II, também conhecido como Basiléia II,

foi um acordo assinado no âmbito do Comitê da Basiléia em 2004 para

Page 5: Compliance

substituir o acordo de Basiléia I, que tinha como objetivo fortalecer o sistema

financeiro agindo como uma especie de manual de normas e relacionamento

bancario uzado em varios paises para de criar uma maior estabilidade no

sistema bancario internacional, com isso os bancos precisam respeitar

exigências mínimas de capital com o objetivo de evitar a falência de empresas

do ramo financeiro por causa da conseqüência que a falência destas empresas

pode causar.

Como o acordo basileia l ja não era auterado a mais de dez anos,

foram levantadas novas proprostas visando principalmente a area de riscos, e

em 2001 foi feito um novo acordo que foi chamado de Basiléia ll. O acordo de

Basiléia ll, apoia-se em 3 pilares, que são:

Capital minimo requerido: manteve sua definição do que é capital e o

requerimento mínimo de 8% para os ativos ponderados pelo risco, mas sofreu

alterações no método de analise e administração dos riscos

Revisão no processo de supervisão: esse também foi um sistema que

foi revisto, onde é descrita a importância dos administradores desenvolverem

um plano de gerenciamento de riscos eficiente.

Disciplina de mercado: estimula uma maior disciplina do mercado

através do aumento da transparência dos bancos

Se tratando da implicação desse acordo com a Governança de TI,

apesar desse acordo ser feito com as praticas para a área financeira, esse

acordo tem o mesmo objetivo da governança de TI que é criar diretrizes e

normas de como os processos devem ser feitos dentro da área ou organização,

para que os resultados sejam os melhores possíveis.

Definições de Governança de TI:

“A governança de TI é de responsabilidade da alta administração

(incluindo diretores e executivos), na liderança, mas estruturas organizacionais

Page 6: Compliance

e nos processos que garantem que a TI da empresa sustente e estenda as

estratégias e objetivos da organização.”

Outra definição é dada por Well & Ross (2004):

“Consiste em um ferramental para especificações dos direitos de

decisão e das responsabilidades, visando encorajar comportamento desejável

no uso de TI”.

Analisando essas duas definições, podemos facilmente concluir que

governança de TI busca o compartilhamento das decisões de TI com os

demais dirigentes da organização, assim como estabelece as regras, a

organização e os processos que nortearão o uso da tecnologia da Informação

pelos usuários, departamentos, divisões, negócios da organização,

fornecedores e clientes, determinando como a TI deve prover os serviços para

a empresa.

Portanto, a Governança de TI não é somente a implantação de

modelos de melhores práticas, tais como Cobit,ITIL, CMMI Etc.

Ainda dentro dessa ótica, a governança de TI deve :

Garantir o alinhamento da TI ao negocio (suas estratégias e objetivos),

tanto no que diz respeito à aplicação como a infra-estrutura de serviços de TI;

Garantir a continuidade do negocio contra interrupções e falhas

(manter e gerir as aplicações e infra-estrutura de serviços);

Garantir o alinhamento de TI a marcos de regulação externo como a

Sarbanes Oxley (para empresas que possuem ações, títulos ou papéis sendo

negociados em bolsa de valores norte americanas), Basiléia ll (no caso de

bancos) e outras normas e resoluções.

Entretanto, a visão de governança de TI que sugerimos vai além

dessas definições e pode ser representada pelo que chamamos de “Ciclo da

Governança de TI”, composto por 4 grandes etapas (1) alinhamento estratégico

Page 7: Compliance

e compliance,(2) decisão,(3) estrutura e processos,(4) medição do

desempenho da TI.

O alinhamento estratégico e compliance referem-se ao planejamento

estratégico da tecnologia da informação, que leva em consideração as

estratégias da empresa para seus vários produtos e segmentos de atuação,

assim como os requisitos de compliance externos, tais como o Sarbanes-Oxley

Act e o acordo Basiléia.

A etapa da decisão, compromisso, priorização e alocação de recursos

refere-se às responsabilidades pelas decisões relativas a TI, em termos de:

arquitetura de TI, serviços de infra-estrutura, investimentos necessários de

aplicações, etc, assim são realizadas essas decisões.

Adicionalmente, trata da obtenção do envolvimento dos tomadores de

decisão chaves da organização, assim como da definição de prioridades de

projetos e serviços e da alocação efetiva de recursos monetários no contexto

de um portfólio de TI.

A etapa de estrutura, processos, operação e gestão referem-se à

estrutura organizacional e funcional de TI, aos processos de gestão e operação

dos produtos e serviços de TI, alinhados com as necessidades estratégicas e

operacionais da empresa. Nesta fase são definidas ou redefinidas as

operações de sistemas, infra-estrutura, suporte técnico, segurança da

informação, o escritório do CIO, etc.

A etapa de medição do desempenho refere-se à determinação, coleta e

geração de indicadores de resultados dos processos, produtos e serviços de TI

e á sua contribuição para as estratégias e objetivos do negócio.

Resolução BACEN 3380, o que é? Relação com Governança de TI:

A Resolução BACEN 3380 é a versão tupiniquim do acordo Basiléia II,

que consiste em uma normatização dos serviços prestados pelos bancos, este

acordo consiste em uma padronização por três pilares, que são eles:

Page 8: Compliance

1- Capital (guardar)

2- Supervisão (fiscalizar)

3- Transparência e Disciplina de Mercado (divulgação dos dados)

A Resolução BACEN 3380 surgiu juntamente com a Basiléia II como

resposta ao back de 2007 gerado por Bernard Madoff. Justificando o ocorrido

em 2007 segue citação retirada do site:

http://dinheirama.com/blog/2008/12/30/bernard-madoff-as-piramides-

financeiras-e-seus-investimentos/

Bernard Madoff é acusado de ter formado uma gigantesca 'pirâmide'

especulativa por meio de um fundo de investimentos. O esquema é um clássico

da burla financeira: consiste em usar o dinheiro aplicado por novos investidores

para remunerar os antigos. Quando a entrada de novas aplicações sofre

diminuição brusca, o esquema vem abaixo.

A trajetória de retornos na faixa de 1% ao mês atraiu vários bancos,

fundos e investidores de diversos países, inclusive do Brasil. Muitos

aplicadores acreditavam que o sucesso da carteira de investimento de Madoff

estava atrelado ao segredo da estratégia de gestão. A 'caixa preta', na

verdade, escondia uma fraude. As perdas são estimadas em US$ 50 bilhões.

De acordo com esse ocorrido fez-se necessário a modificação das

normas para que possa existir maior segurança, segundo a referência do site

http://paulobeck.blogspot.com/2007/07/atendendo-resoluo-bacen-3380-em-

10.html não é só o BACEN 3380 que compõe as normas de melhores práticas

Organizações internacionais como British Standard (BS7799), ISO

(ISO17799 e ISO27000), ITIL (IT Infrastructure Library), e COBIT (Control

Objectives for Related Information Technology), entre outras, há muito tempo

vem motivando corporações a adequarem-se as normas e padrões de

mercado, no que chamamos “Melhores Práticas” e “Governança Corporativa e

de TI”, contemplando em suas seções as disciplinas de Segurança, Análise de

Riscos e Continuidade de Negócios.

Page 9: Compliance

Decreto 3505 – Segurança da Informação, o que é? Implicações na

governança de TI.

O Decreto 3505, de 13 de Junho de 2000, por meio do qual foi

instituída a Política de Segurança da Informação nos órgão da Administração

Pública Federal tendo como objetivos a destacar (art. 3º):

Eliminar a dependência externa em relação a sistemas,

equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas

de informação;

Promover a capacitação de recursos humanos para o

desenvolvimento de competência científico-tecnológica em segurança da

informação;

Estabelecer normas jurídicas necessárias à efetiva implementação

da segurança da informação;

Promover as ações necessárias à implementação e manutenção da

segurança da informação;

Assegurar a interoperabilidade entre os sistemas de segurança da

informação.

A publicação do Decreto 3.505 demonstra que assim como outros

países a preocupação do governo nacional é assegurar a Política de

Segurança de Informação nacional.

Com isso o governo precisa investir em novas tecnologias de

segurança para o país, e precisa ter uma boa equipe de governança de TI para

analisar e armazenar as informações.

Page 10: Compliance

Bibliografia

http://www.macmt.com.br/catolica/Sox%20na%20Governan%C3%A7a

%20de%20TI.pdf

http://www.webartigos.com/articles/52383/1/Leis-sobre-seguranca-da-

Informacao--O-Brasil-comparado-ao-Resto-do-Mundo/pagina1.html

http://pt.wikipedia.org/wiki/Compliance

http://www.garcia.pro.br/governanca/Governanca%20de%20TI%20-

%20parte%201%20-%20Introducao.pdf

http://br.answers.yahoo.com/question/index?

qid=20070816204910AAQYLc8

http://www.riskbank.com.br/anexo/basileia2.pdf

http://amarinhoti.blogspot.com/p/o-que-e-governanca-de-ti.html