Visão geral dos controles do COBIT aplicáveis para ... · PDF file2005 – quarta versão: melhoria dos controles para assegurar a segurança e a disponibilidade ... Aplicações:

Módulo 4Visão geral dos controles do

COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e

exercícios

Estruturas e Metodologias de controle adotadas na SarbanesCOBIT

� A conformidade com a SOX (Sarbanes Oxley) irá impactarsignificativamente as organizações de TI na maioria dasempresas de capital aberto. Entretanto, existe um grandeproblema: não existe nenhuma menção específica nasseções da SOX voltada para a TI, e mais importante ainda,não existe nenhuma especificação de quais controlesprecisam ser estabelecidos dentro da TI para estar emconformidade com a SOX.

� Para resolver este problema muitas empresas acabamadotando o COBIT®, pelo fato dele definir quais os objetivosde controle que precisam ser implementados na TI. Alémdisto, o COBIT® é um modelo independente de plataforma,independe de tecnologia, podendo ser adotado em qualquerorganização de TI.

� O COBIT® está sintonizado com os requisitos legais destasleis. O COBIT é o único modelo de controle que écompatível com o COSO, cobre todas as atividades de TI eé aceito geralmente pela comunidade de auditores.

� Assegurar que a TI está em conformidade com o COBIT farácom que a maioria dos requisitos de conformidades játenham sido implementados. Usar o COBIT fará com que aorganização esteja atendendo a maioria dos requisitos dasleis da SOX.


1. Guia para gestão de TI recomendado pelo ISACF ( Information Systems Audit and ControlFoundation);

2. O COBIT inclui: sumário executivo, framework, controle de objetivos, indicadores de desempenho, indicadores de metas, um conjunto de ferramentas de implementação e um guia com técnicas de implementação;

3. As práticas de gestão do COBIT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos em TI e fornecem métricas para avaliação dos resultados;

4. O COBIT independe das plataformas de TI adotadas pelas empresas;

5. O COBIT foi criado para atender a necessidade de um framework de controle de TI voltado para o negócio, compreensivo para gerência e auditores de TI:

1996 – primeira versão: ISACA lança um conjunto de objetivos de controle para as aplicações de negócio.

1998 – segunda versão: é incluída uma ferramenta de suporte à implementação e a especificação dos objetivos.

2000 – terceira versão: são incluídas normas e guias associadas a gestão.

2005 – quarta versão: melhoria dos controles para assegurar a segurança e a disponibilidade dos ativos de TI na organização.

Premissas do COBIT®

� O Framework do COBIT® é baseado na premissa que a TI precisa entregar a informação que a empresa necessita para alcançar os seus objetivos.

� O Framework do COBIT® ajuda alinhar a TI com o negócio focando nos requisitos de informação do negócio e organizando os recursos de TI. O Framework do COBIT® fornece uma guia de apoio para implementar a Governança de TI.

i

Recursos de TI e Processos

Informação

Processos doNegócio

Objetivos doNegócio

fornecem

para

Para alcançar

Qual é o Princípio da estrutura do COBIT®?

� O princípio do framework COBIT® é o de prover um link entre as expectativas do negócio e as responsabilidades na gestão de TI.

� O objetivo é facilitar a Governança de TI e agregar valor a TI, na gestão de Riscos em TI.

� O princípio da estrutura é derivado de um modelo que mostra a informação com qualidade sendo produzida por eventos através de recursos de TI.

Processos da Organização

Recursos de TI

Requisitos de Negócio

Fonte: ITGI 2000a

Critérios de Informação

� Para satisfazer os objetivos de negócio, as informações precisam estar em conformidade com os critérios chamados requisitos de negócio.

� Requisitos de Qualidade

� Qualidade� Custo

� Entrega

� Requisitos Fiduciários (Relatório do COSO)

� Eficácia e eficiência das Operações

� Confiabilidade das Informações

� Conformidade com Leis e Regulamentos

� Requisitos de Segurança

� Confidencialidade

� Integridade

� Disponibilidade

Critérios de Informação

Requisitos de negócio = Critérios de Informação

Recursos de TI

Os recursos de TI são gerenciados pelos processos de TI para fornecer informação que a organização precisa para alcançar seus objetivos.

� Aplicações: sistemas automatizados e procedimentos manuais para processar informações

� Informação: os dados de todos os formulários de entrada, processados e exibidos pelos sistemas de informação, podendo ser qualquer formulário que éusado pelo negócio.

� Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimídia, etc. É tudo que é necessário para o funcionamento das aplicações.

� Pessoas: pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos ou terceirizados.

Rec

ursos

TI


O COBIT® possui processos que auxiliam a manter a conformidade com a Sarbanes:

� Adquirir e manter software aplicativo;

� Adquirir e manter arquitetura tecnológica;

� Desenvolver e manter procedimentos de TI;

� Instalar e certificar soluções e mudanças;

� Gerenciar mudanças;

� Definir e gerenciar níveis de serviço;

� Gerenciar serviços de terceiros;

� Assegurar a segurança dos sistemas;

� Gerenciar as configurações;

� Gerenciar problemas;

� Gerenciar dados;

� Gerenciar operações.

Em 2002 a aprovação da Sarbanes impulsionou a utilização do COBIT nas empresas americanas e em suas filiais em outros paises

Benefícios do COBIT

Vamos tentar resumir os principais benefícios do COBIT:

� O COBIT lida com todos os aspectos dos problemas relacionados com a Governança de TI;

� O COBIT foi criado por um grande número de especialistas;

� O ITGI ajudou com os seus 35 anos de experiência em segurança em TI no desenvolvimento do COBIT;

� O COBIT está em manutenção contínua. Periodicamente uma nova versão é publicada;

� Os patrocinadores do COBIT são organizações sem fins lucrativos, sua missão é ajudar seus clientes a alcançar seus objetivos principais;

� O COBIT pode ser aplicado em empresas de pequeno e grande porte;

� Usar o COBIT pode introduzir ordem e qualidade nos processos de TI;� O COBIT é compatível com outros padrões e pode ser utilizado para gerenciar todos os

processos de TI;

� O COBIT está em conformidade com os regulamentos como Sarbanes, Basiléia, entre outros.

O COSO declara que o controle interno é um processo estabelecido pelo conselho, gerentes e outros, desenhado para fornecer uma segurança razoável relacionada a realização dos objetivos declarados. É uma estrutura aplicada para auditar processos em grandes empresas e em qualquer atividade.

O COBIT apresenta controles de TI se preocupando com a informação em geral - não apenas informação financeira – que é necessária para suportar os requisitos de negócio e os recursos e processos associados com TI.

Da mesma forma que o COSO identifica 8 componentes de controle para alcançar os objetivos de finanças e controladoria, o COBIT® proporciona um guia detalhado para TI.

A diferença maior é que o COSO é genérico, pode ser utilizado em qualquer atividade da empresa, enquanto que o COBIT é voltado somente para a área de TI.

Relação do COBIT com o COSO

Objetivos atendidos pelo COBIT®

Exercício

Indique se é Verdadeiro ou falso:

( ) O COBIT® foi criado para ser empregado apenas pelos provedores de serviço de TI, usuários e auditores.

( ) São recursos de TI: aplicações, informações, infra-estrutura e pessoas.

( ) Os 4 domínios possuem 34 processos, estes processos especificam o que o negócio precisa para alcançar seus objetivos. A entrega de informação é controlada por 68

objetivos de controle de alto nível, dois para cada processo.

( ) O princípio da estrutura do COBIT® é vincular as expectativas dos gestores de TI com as

responsabilidades dos gestores de TI. O objetivo é facilitar para a Governança de TI gerar valor em TI enquanto gerencia os riscos de TI.

( ) O COBIT® é uma lista de verificação, passos, técnicas e procedimentos para auditoria.

( ) COBIT® significa Control Objectives for Information and related Technology.( ) Fazem parte da família de produtos do COBIT®: COBIT Framework, Control Objectives, IT

Governance Implementation Guide e Board briefing on IT Governance.

( ) O COBIT® possui 4 domínios: Planejamento e Organização, Aquisição, Implementação, Entrega e Monitoração.

Resposta do exercício

Indique se é Verdadeiro ou falso:

( F ) O COBIT® foi criado para ser empregado apenas pelos provedores de serviço de TI,

usuários e auditores. (também pelas partes interessadas)

( V ) São recursos de TI: aplicações, informações, infra-estrutura e pessoas.

( F ) Os 4 domínios possuem 34 processos, estes processos especificam o que o negócio

precisa para alcançar seus objetivos. A entrega de informação é controlada por 68 objetivos de controle de alto nível, dois para cada processo. (34 objetivos de controle)

( V ) O princípio da estrutura do COBIT® é vincular as expectativas dos gestores de TI com as

responsabilidades dos gestores de TI. O objetivo é facilitar para a Governança de TI gerar

valor em TI enquanto gerencia os riscos de TI.( F ) O COBIT® é uma lista de verificação, passos, técnicas e procedimentos para auditoria.

(O COBIT® é um framework de governança e controle, que foca no que precisa ser

alcançado ao invés de se preocupar em como alcançar)

( V ) COBIT® significa Control Objectives for Information and Related Technology.

( V ) Fazem parte da família de produtos do COBIT®: COBIT Framework, Control Objectives,

IT Governance Implementation Guide e Board briefing on IT Governance.

( F ) O COBIT® possui 4 domínios: Planejamento e Organização, Aquisição, Implementação, Entrega e Monitoração. ( é entrega e suporte e monitoração e avaliação)

Gestão de Sistemas da Informação Financeiros

Descrevendo um Sistema de Gestão Financeira

� O termo “sistema de gestão financeira” significa um sistema de informação, composto de uma ou mais aplicações que são usadas para:

� Coleta, processamento, manutenção, transmissão e relato de dados sobre eventos financeiros;

� Dar suporte a planejamento financeiro ou a atividades orçamentárias;

� Acumular e reportar informações de custo;� Dar suporte para a preparação de declarações financeiras;

� Um sistema financeiro pode incluir aplicações múltiplas que são integradas através de uma base comum de dados ou eletronicamente interligadas conforme necessário, para atender os requisitos de dados e processamentos definidos;

� Sistemas Financeiros Informatizados são criados para automatizar processos financeiros e para adicionar transparência na administração de finanças;

� Sistemas de gestão financeira modernos são dirigidos por TI;� A chave para conseguir a transparência adequada é criar sistemas com uma base

de controles internos compreensível;� TI exige considerações especiais para implementar e reforçar controles internos.

Contribuição de TI para Controle Interno

� TI proporciona benefícios potenciais de eficácia e eficiência para uma entidade de controle interno, uma vez que permite a uma entidade: � Consistentemente aplicar as regras de

negócio previamente definidas e executar cálculos complexos no processamento de grandes volumes de transações e dados,

� Reforçar a atualidade, disponibilidade e precisão das informações,

� Facilitar a análise adicional de informações de várias fontes sobre uma base, conforme necessário;

� Reforçar a capacidade de acompanhar o desempenho das atividades da entidade, regulamentos e procedimentos;

� Reduzir o risco de que os controles serão desobedecidos;

� Aumentar a capacidade para atingir uma efetiva separação de funções por implementar controles de segurança em aplicações de bases de dados e sistemas operacionais.

TI como uma Fonte de Risco

� Dependência de sistemas ou programas que processam dados de forma imprecisa, processa dados inexatos, ou ambos;

� Acesso não autorizado aos dados, o que pode resultar na destruição de dados ou apropriação indevida de ativos através de alterações de dados indevidas, incluindo a gravação de transações não autorizadas ou inexistentes, ou registros inexatos das transações;

� Potencial perda de dados;

� Alterações não autorizadas dos dados em arquivos mestre;� Mudanças não autorizadas de sistemas ou programas;

� Incapacidade de fazer as mudanças necessárias para sistemas ou programas;

� Intervenção manual inapropriada.

Automação de Controles Internos e da Gestão de Riscos

Por que automatizar os controles de processo?

� Dada a complexidade de TI e de relatórios financeiros, softwares de controle automatizado podem fornecer fantásticos benefícios para um programa de controle interno.

� Soluções automatizadas podem detectar, monitorar, e reportar a grande variedade de questões de controle, áreas de risco e indicadores de performance.

� Softwares permitem ao negócio construir regras dentro do sistema, para garantir o atendimento a regulamentações e relatórios de processos automatizados.

� Fornece estrutura para o programa de controle interno.� Melhora o monitoramento do controle de deficiências e planos de ações corretivas

em todos os níveis de gestão dentro da organização.� Fornece uma documentação que pode ser disponibilizada para auditores ou

detentores de interesse.

� Permite que a gestão sênior adquira consciência das áreas que necessitam de mudanças ou recursos extras.

Benefícios da Automação

Disciplina no Programa de Controle Interno

� Software pode ajudar uma organização a manter a disciplina sobre seu programa de controle interno, por fornecer uma estrutura para controle de documentação e avaliação, testando controles internos ou controlando o fluxo de trabalho para garantir que os controles estão sendo cumpridos;

� Software pode tornar mais fácil a demonstração dos seus controles internos para seus auditores e pode diminuir a quantidade de testes que os auditores precisam realizar.

Usos de softwares de controle interno automatizado

� Os tipos de software disponíveis no mercado incluem:

� Testes e relatórios;� Gestão de documentos e registros;

� Modelagem de processo de negócio;

� Política de gestão; � Gestão e avaliação de risco;

� Suporte para múltiplas estruturas de controle;

� Suporte para múltiplas regulamentações entre unidades múltiplas de negócio;

� Automação de controles e monitoramento.

Software de Reposição� Fornece uma central de reposição para a documentação de controles internos por toda a

organização;� Permite a documentação do fluxo de trabalho e processos chave, controle de objetivos,

atividades e riscos para cada função principal na organização;

� Pode ser preparado como uma ferramenta baseada em rede que permite usuários múltiplos para inserir dados;

� Permite à organização uma administração centralizada da documentação de controles internos e colher informações sobre os resultados dos testes;

� Pode estar fora dos modelos de padrões para controle de objetivos, atividades e riscos.

Software de Teste

� Permite à organização testar controles internos de um sistema através de uma interface direta;

� Pode testar a segregação de tarefas e a violações de autorização;

� Permite às organizações identificarem onde as violações podem ocorrer ou tenham ocorrido, e então fazerem mudanças nos processos do negócio ou papéis, se necessário;

� Pode estar fora dos modelos de padrões para controle de objetivos e atividades e podem ser modificados conforme apropriado.

Software de Gestão de Processos do Negócio

� Permite a uma organização desenhar e ditar o fluxo de trabalho para um dado processo.

� Permite a documentação do fluxo de trabalho do processo.

� Ajuda a garantir que o processo de trabalho é realizado como designado, não permitindo que o processo continue até que cada passo tenha sido realizado.

� Pode incluir características como notificação por e-mail quando um passo tiver sido completado.

Capacidades do sistema

� As capacidades devem permitir àadministração um panorama sobre um ou mais dos seguintes temas:

� Documentação ou teste de controles;

� Violações potenciais que tenham sido identificadas;

� Onde um documento está no processo.

� Podem também permitir relatórios de gestão customizados para cada usuário.

Passos Básicos para implementar uma solução de software

� Seleção

� Produtos devem ser selecionados com base nas necessidades de um programa de controles internos definido;

� Uma análise de requisitos deve ser realizada para identificar áreas que o programa pode melhorar, ou melhor atender as metas;

� As análises formam a base para seleção do produto.

� Implementação

� Uma vez que um produto é selecionado, um plano de implementação deve ser desenvolvido;

� O plano deve incorporar os passos requeridos para implementar a solução e como as funções serão usadas nas áreas correspondentes do programa de controle interno.

� Utilização

� Depois que a solução está totalmente implementada, a funcionalidade completa da solução pode ser utilizada;

� Indicadores chave de desempenho (KPIs), devem ser estabelecidos para medir quão bem a solução está melhorando a gestão de riscos e a observância dos esforços para se atingir os objetivos propostos.

Conclusões

� A execução, manutenção e elaboração de relatórios de conformidade e controles internos de gestão dos riscos é o caminho do futuro para a gestão financeira e contábil global;

� Relatórios financeiros se tornarão cada vez mais exigentes, demandando uma maior transparência e validade das informações financeiras;

� Ferramentas automatizadas e processos podem ser de benefício na gestão do crescente nível de esforço para satisfazer os pedidos de informação financeira, gestão do risco e fornecimento de uma garantia razoável de controles internos e detecção de fraudes.

Fim do módulo 4

Documents

Visão geral dos controles do COBIT aplicáveis para ... · PDF file2005 – quarta versão: melhoria dos controles para assegurar a segurança e a disponibilidade ... Aplicações: