Governança de TI

Governança de TIParte 2 – MarcosParte 2 – Marcos

RegulatóriosRegulatórios

Prof. Luís Fernando GarciaProf. Luís Fernando [email protected]@GARCIA.PRO.BR

Governança de TI - Marcos RegulatóriosGovernança de TI - Marcos Regulatórios

• Regulamentações de Compliance

• TI alinhado a necessidade do negócio• TI alinhado a Marcos Regulatórios Externos

• Marcos Regulatórios – Dependem negócio:

• Telecomunicações = ANATEL• Bancos = Banco Central do Brasil



• Mais conhecidos/fortes:

• Sarbanes-Oxley Act– Empresas de capital aberto com ações nas bolsas

norte-americanas• Acordo da Basiléia II

– Instituições financeiras em geral– “Banco Central dos Bancos Centrais” - Suiça



• Pq tem impacto em TI?

• Pq devem ser contempladas no alinhamento estratégico ...

• Pq vai constar do portfolio de TI ...• Pq vai criar restrições as operações de

serviços de TI ...


• SOX – Sarbanes Oxley Act – Agosto/2002

• Motivada por escândalos financeiros em companhias abertas EUA (Enron e etc), que minaram a confiança dos investidores no mercado de capitais ...

• Bolsa é o principal investimento da “família” americana ...


• SOX – Sarbanes Oxley Act

• Objetivos:

• Proteger investidores de fraudes contábeis e financeiras de companhias abertas

• Instituir penalidades contra crimes relacionados


• SOX – Sarbanes Oxley Act • Foco em Controles Internos sobre

Relatórios Financeiros (AUDITORIA)

• Processo projetado por, ou sob supervisão do principal executivo e do responsável por finanças, ou pessoas com funções similares, efetivados por comitê de diretores, para prover garantia razoável relacionada a confiabilidade de emissão de relatórios financeiros, para propósitos externos, de acordo com princípios de contabilidade geralmente aceitos” ... Ramos2004


• SOX – Sarbanes Oxley Act • Foco em Controles Internos sobre

Relatórios Financeiros

• Manutenção de registros, com detalhes, com exatidão, com forma correta, das transações e ativos;

• Garantia de registro de transações;• Garantia de somente ações autorizadas pela alta direção;• Garantia de prevenção/detecção de uso não autorizado


• SOX – Sarbanes Oxley Act • Envolvendo diretamente TI:

• Seção 302• CEO/CFO devem revisar relatórios financeiros• Com essa revisão, documentos não podem conter

nenhuma declaração falsa/omissão • Com essa revisão, as informações representam

corretamente e fielmente a condição financeira, resultados e fluxos de caixa da companhia no período

• CEO/CFO são responsáveis por manter e estabelecer controles e procedimentos sobre emissão de dados



• Seção 302• Sistemas devem ser projetados sob supervisão do

CEO/CFO• Controles devem ser projetados sob supervisão do

CEO/CFO• Deve ser avaliada a efetividade dos controles • Comunicadas mudanças nos controles internos• Comunidades deficiências dos sistemas de controle

interno



• Seção 302• Comunicada qualquer fraude que envolva a gerência ou

outros empregados que tenham papel significativo nos registros de controle interno sobre relatórios financeiros



• Seção 404• A administração tem a responsabilidade de estabelecer e

manter uma estrutura adequada de controle interno e procedimentos para relatórios financeiros

• A administração deve avaliar a efetividade do sistema de controle interno

• Deve ser realizada uma AUDITORIA EXTERNA específica sobre a avaliação interna


• SOX – Sarbanes Oxley Act • Envolvendo diretamente TI – na PRÁTICA:

• Afeta TODOS sistemas transacionais da empresa:

• Folha da pagamento• Compras, contas a pagar e receber, fornecedores• Vendas• Logística


• SOX – Sarbanes Oxley Act • Envolvendo diretamente TI – na PRÁTICA:

• Conteúdo da informação deve ser apropriado• A disposição deve estar disponível no momento que for

necessária• A informação é atual • Os dados e informações estão corretos• A informação é disponível aos usuários interessados• Há um sistema de controle que garante itens acima


• SOX – Sarbanes Oxley Act • Envolvendo diretamente Governança TI:

• Questões relativas do SOX devem estar no Plano de TI• Novos controles devem ser implantados em Legados• Novas aplicações devem ser implantadas• Processos de TI devem ser ajustados e melhorados para

reduzir riscos• Novos processos de TI devem ser projetados/implantados• Prováveis mudanças na estrutura de TI devido ao acima• Definir/ implantar novos indicadores desempenho• Monitorar riscos de TI constantemente


• Basiléia II

• Estipula requisitos de capital mínimo para as instituições financeiras, em função dos seus riscos de crédito e operacionais

• Pilar 1 – regras/procedimentos para cálculo dos requisitos de capital

• Pilar 2 – regras para Bancos Centrais auditem bancos em cada país

• Pilar 3 – regras para comunicação com o mercado


• Basiléia II – envolvendo TI

• Brasil – auditoria, por parte do Banco Central, usando COBIT

• Bancos no Brasil – avançados em relação a TI • Levando a auditoria de “risco operacional” :

• TI• Pessoas• Processos de negócios


• Basiléia II – envolvendo TI

• Capacidade de armazenamento de dados• Integridadade das transações• Integridade de informações sobre clientes/operações• Segurança• Contingência na operação• Planejamento da capacidade• Planejamento de recuperação de desastres• Integridade do processo de emissão de relatórios


• Resolução 3380 do Banco Central

• Define que todas instituições implementem sua própria estrutura de gerenciamento do risco operacional

• Envolvendo TI:

• Identificar, monitorar e mitigar riscos operacionais• Implementar plano de continuidade• Gerenciar riscos de fornecedores

Governança de TI

Documents

Transcript of Governança de TI