Confidential and Proprietary - Internal Audit Consulting...

Confidential and Proprietary - Internal Audit Consulting Group Use Only

COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.

COBIT – Control Objectives for Information Technology e o

Cenário Regulatório-Tecnológico de TI

Visão GeralJorge Fernandes

Julho de 2004



Referências1. COBIT® 3rd Edition Control Objectives,

IT Governance Institute, 2000.2. COBIT® 3rd Edition Management

Guidelines, IT Governance Institute, 2000.

3. COBIT® 3rd Edition Implementation Toolset, IT Governance Institute, 2000.

4. COBIT® 3rd Edition Framework, IT Governance Institute, 2000.

5. COBIT® 3rd Edition Executive Summary, IT Governance Institute, 2000.

6. COBIT® 3rd Edition Audit Guidelines, IT Governance Institute, 2000.

7. IT Control Objectives for Sarbanes-Oxley, IT Governance Institute, 2004.

8. Board Briefing on IT Governance, 2nd Edition. IT Governance Institute, 2003.

9. COBIT ® MAPPING: Overview of International IT Guidance, IT Governance Institute, 2004.

10. Control Objectives for Enterprise Governance. IT Governance Institute, 1999.

11. Institute of Internal Auditors, COBIT Presentation, October 9, 2001.

12. Measuring and Improving Corporate IT Performance through the Balanced Scorecard, Wim Van Grembergen, 2000.

13. The Balanced Scorecard and IT Governance, Wim Van Grembergen,2000.

14. IS AUDITING GUIDELINE, IT GOVERNANCE DOCUMENT # 060.020.050. 2002.

15. Maximizing the Success of Chief Information Officers: Learning From Leading Organizations. GAO UnitedStates General Accounting OfficeExecutive Guide, 2001.

16. OECD Principles of Corporate Governance. OECD. 2004.

17. ISACA Web Site. www.isaca.org



O Cenário Regulatório-Tecnológico de TI

OECD Corporate Governance

Sarbanes-Oxley Act

EnterpriseGovernance

COSO Framework for Internal Auditing

Control Objectives for Information Technology - COBIT

Information TechnologyInfrastructure Library - ITIL

Capability Maturity Models

Business Processes

IT Governance



Modelo de Gestão Baseado no Conhecimento [8]



Objetivos do COBIT• Guia abrangente para usuários, auditores, gestores e

donos de processos de negócios que permite a Governança de TI

• Um meta-método (framework) para alinhar– Riscos de negócio– Necessidades de controle– Necessidades técnicas

• Visando a– Maximizar benefícios da TI– Capitalizar em oportunidades de TI– Ganhar vantagem competitiva em TI



Framework paraGovernança de TI [8]



Os processos de negócios recebem dos recursos de TI as informação conforme suas necessidades? [1]



Requisitos dos Negócios sobre a TI= Information Criteria [1]

• Effectiveness – Informação deve ser relevante e pertinente aos processos de negócios bem como ser entregue com temporalidade, corretude, consistência, e usabilidade

• Efficiency – Informação deve ser provida com o uso de recursos da forma maisprodutiva e econômica

• Confidentiality – Informação sensível deve ser protegida de acesso não autorizado

• Integrity – Informação deve ser precisa e completa, bem como sua validade deve estar em concordância com o conjunto de valores e expectativas do negócio

• Availability – Informação deve ser disponível quando requerida pelo processo de negócio agora e no futuro, e deste modo deve ser salvaguardada enquanto recurso

• Compliance – Informação deve estar em conformidade com leis, regulamentos, e arranjos contratuais qos quais os processos de negócios estão sujeitos

• Reliability of Information - Informação deve ser provida de forma apropriada, permitindo seu uso na operação da organização, na publicação de relatórios financeiros para seus usuários e órgãos fiscalizadores, conforme leis e regulamentos.

Qua

lity

Secu

rity

Fidu

ciar

y



Recursos de TI [1]• Data: Objetos de dados, estruturados ou

não (texto, gráficos, som, etc)• Application Systems: a soma de todos os

procedimentos manuais e programados• Technology: hardware, sistema

operacional, SGBDs, redes, multimídia, etc• Facilities: Infra-estrutura física e de suporte

aos sistemas de informação• People: Habilidades dos empregados,

disponibilidade e produtividade no planejamento, organização, aquisição, entrega, suporte e monitoramento de TI



Domains

Processes

Activities

Domínios e Processos de TI [1]



O Cubo COBIT [1]



O COBIT Framework

Guias Gerenciais Objetivos de ControleDetalhados

Guias de Auditoria

Modelos de Maturidade

Fatores Críticos de Sucesso - CSF

Indicadores-Chave de Metas - KGI

Indicadores-Chave de Desempenho - KPI

Visão Executiva

COBIT Framework com Objetivos de Controle de Alto Nível

Ferramentas deImplementação



Framework COBIT

Objetivos de Controle de Alto Nível

• Definem 34 áreas de processos de TI• Agrupados em 4 domínios

– PO - Planejamento e Organização– AI - Aquisição e Implementação– DS - Entrega e Suporte– M - Monitoramento

• Garante a implementação de um sistema de controle adequado para o ambiente de TI



O C

ubo

CO

BIT

(D

etal

hes)

[1

]



318 Objetivos de Controle Detalhados



Framework COBIT

Management Guidelines [2]

• Link entre Controle de TI e Governança de TI• Responde às seguintes questões:

– Quão longe se deve ir no controle da TI?– O custo do controle justifica os benefícios?– Quais os fatores críticos de sucesso da

organização?– Quais os riscos de não alcance dos objetivos?– Quais as melhores práticas?– Como nos comparamos com outras

organizações?– Qual estratégia de melhoria adotar?



Management Guidelines: Elementos

• FCS – Fatores Críticos de Sucesso• KGI - Indicadores Chave de Metas• KPI - Indicadores Chave de

Desempenho• Modelo de Maturidade



Fatores Críticos de Sucesso

• O que é mais importante a fazer para garantir que os processos de TI atingirão suas metas

• Exemplos:– Processo definido e documentado– Políticas definidas e documentadas– Contabilização e rastreabilidade– Forte compromisso e apoio da administração– Comunicação apropriada a pessoas internas e

externas– Práticas de medição consistentes



Indicadores Chave de Metas (KGI) e Desempenho (KPI) no IT Balanced Score Card [12, 13]

Financial Perspective(Corporate Contribution)Objectives Measures

Internal Business Process Perspective

(Operational Excelence)Objectives Measures

Customer Perspective(User Perspective)Objectives Measures

Learning and Growth Perspective

(Future Orientation)Objectives Measures

How do we look to shareholders ?

How do customerssee us ?

What must weexcel at ?

Can we continue to improve and create value ?

Source: Robert S. Kaplan and David P. Norton, 1994

KGI

KGI

KPI

KPI



Modelo de Maturidade de Processos [2]



Modelo Genérico de Maturidade [2]

0 Non-Existent. Complete lack of any recognisable processes. The organisation has not even recognised that there is an issue to be addressed.1 Initial. There is evidence that the organisation has recognised that the issues exist and need to be addressed. There are however no standardised processes but instead there are ad hoc approaches that tend to be applied on an individual or case by case basis. The overall approach to management is disorganised.2 Repeatable. Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals and therefore errors are likely.3 Defined. Procedures have been standardised and documented, and communicated through training. It is however left to the individual to follow these processes, and it is unlikely that deviations will be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices.4 Managed. It is possible to monitor and measure compliance with procedures and to take action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way.5 Optimised. Processes have been refined to a level of best practice, based on the results of continuous improvement and maturity modelling with other organisations. IT is used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the enterprise quick to adapt.



Benchmarking [17]



Audit Guidelinese Controle Interno



Requisitos do Processo de Auditoria

• Definição do escopo– Processos de negócios envolvidos– Plataformas, sistemas e interconectividade– Papéis, responsabilidades e estrutura organizacional

• Identificar requisitos de informação relevantes para o processo de negócio

• Identificar riscos inerentes de TI e nível geral de controle

• Selecionar procesos e plataformas para auditar• Definir estratégia de auditoria



COBIT Generic Audit Guidelines

• Obtendo Compreensão dos Requisitos do Negócio, Riscos, Medidas de Controle declaradas– Entrevista e coleta de dados

• Avaliando adequabilidade dos controles declarados• Medindo Conformidade

– Testando se os controles declarados funcionam como descritos, de forma consistente e contínua

• Comprovando Riscos dos objetivos de controle não serem alcançados– Executando técnicas analíticas e alternativas



Processo Geral de Auditoria [6]



Princípios Gerais de Contabilidade Pública (US PCAOB) e o COBIT [7]



Um Framework

para Implantação de Controle Interno [7]



COBIT – Control Objectives for Information Technology e o

Cenário Regulatório-Tecnológico de TI

Visão GeralJorge Fernandes

Julho de 2004

Confidential and Proprietary - Internal Audit Consulting...

Documents

Transcript of Confidential and Proprietary - Internal Audit Consulting...