Comparing COBIT 4.1 and COBIT 5

Fundamentos deCOBIT 5

Instrutor:Roberto da Conceio Silva

1Objetivos do CursoInformar sobre a Lei SOX

Introduzir os conceitos de Governana e Governana de TI

Fundamentos de COBIT 5.0.22Sequncia do CursoExposio de assuntos

Discusso sobre os temas com a turma

Simulados ao longo do curso

3A Lei SOXProjeto de Lei para proteger os investidores aperfeioando a exatido e confiabilidade das Divulgaes Financeiras das firmas, de acordo com o propiciado pelas Leis de Valores Mobilirios e outros propsitos.Um dos destaques da nova Lei a sua aplicabilidade s empresas estrangeiras que possuem valores mobilirios registrados na Securities and Exchange Commission (SEC), o que estende de forma considervel o escopo de aplicao da legislao norte-americana de mercado de capitais.Se um diretor de empresa, mesmo involuntariamente, arquivar uma certificao inexata, estar sujeito a uma multa de at 1 milho e dlares e 10 anos de priso. Se arquivar intencionalmente, a multa pode chegar a 5 milhes e at 20 anos de priso.

44HistricoIniciado pelo Senador Paul S. Sarbanes, tendo forte oposio do partido republicano, liderado ironicamente pelo Deputado Michael G. Oxley, at que a confuso da WorldCom tornou imperativa uma reao do Governo Americano. A prpria Lei coloca no nome, lado a lado, o seu principal defensor e o seu mais renitente opositor de regulamentao governamental aprovada pelo Congresso e homologada pelo Pres. Bush em 2002..55Motivadores da SOXA SOX a resposta do governo dos EUA para os escndalos financeiros na Enron, WorldCom, Tyco e outras grandes companhias sob a responsabilidade da Comisso de Valores Mobilirios (Securities and Exchange Commission - SEC).A lei obriga requisitos rgidos para a contabilidade de companhias pblicas e transforma a indstria da contabilidade pblica. Reformando procedimentos de demonstrao e governana corporativa, os diversos ttulos e sees da SOX definem as responsabilidades de gerenciamento nos relatrios anuais e semestrais, o ambiente do controle, gerenciamento de risco e o monitoramento e a medio das atividades de controle.66Os 11 Ttulos da SOX7Contedo Ttulo do AssuntoTtulo IConselho de Fiscalizao das Normas Pblicas de Contabilidade das EmpresasTtulo IIAuditores IndependentesTtulo IIIResponsabilidades das EmpresasTtulo IVDivulgaes Financeiras Aditadas Ttulo V Conflitos de interesse dos analistasTtulo VIRecursos e Poderes das ComissesTtulo VIIEstudos e relatriosTtulo VIIIContabilidade das Pessoas Jurdicas e no caso de FraudeTtulo IXPenas para Crimes de Colarinho BrancoTtulo XRestituio de Impostos Pagos pelas EmpresasTtulo XIFraude Dentro do mbito Empresarial e na sua Contabilidade7SimplificandoA SOX determina que a administrao da companhia deva conhecer as informaes financeiras distribudas aos investidores e deve, tambm, responsabilizar-se pela probidade, profundidade e preciso destas informaes;Significa que os controles internos das empresas devem funcionar da forma como esto desenhados e seus resultados devem ser previsveis, no que tange a sua rvore de deciso quando da ocorrncia de problemas..88A SOX e a TIA Gerncia Executiva de uma empresa de Capital Aberto deve:Ttulo III: Responsabilidade Corporativa302: Responsabilidade das empresas pela emisso dos Demonstrativos Financeiros responsvel pelo estabelecimento e manuteno de controles internosTer de projetar controles internos para assegurar que as informaes relacionadas ao emitente e suas subsidiarias consolidadas sejam divulgadas para os executivos pelos responsveis por essas entidades, principalmente durante o tempo em que os relatrios peridicos estiverem sendo preparados;

99A SOX e a TITtulo IV: Divulgaes Financeiras Aditadas404: Avaliao gerencial de controle interno responsvel pelo estabelecimento de uma estrutura e de procedimentos de controle internos adequados gerao de relatrios financeiros;Deve relatar a eficcia da estrutura e dos procedimentos de controle interno.1010TI e SOX Na Seo 302, o CEO e o CFO de uma companhia pblica so encarregados de certificarem sua condio financeira em relatrios trimestrais e anuais. A Seo 404 exige que o CEO aceite a responsabilidade pela eficcia dos controles financeiros internos. .1111Sistemas de TISistema de TI. Os dados e procedimentos financeiros esto geralmente integrados ao sistema de TI de uma companhia. As regras para o gerenciamento de TI, que asseguram a conformidade com a SOX, so descritas nos objetivos de Controle de TI para Sarbanes-Oxley, um produto do Instituto de Administrao de TI. Portanto, o departamento de TI deve tambm estar em conformidade com a SOX..1212Custos da SOXA conformidade com SOX custou globalmente s empresas 2,5 bilhes de dlares em 2003, 5,5 bilhes de dlares em 2004 e nada menos do que 6,1 bilhes de dlares em 2005, de acordo com a AMR.A origem de muitas queixas o artigo 404, que exige que as empresas comprovem a efetividade dos controles internos usados para proteger sistemas e processos envolvendo relatrios financeiros..1313SOX no Brasil Resoluo 2554/98 que trata da obrigatoriedade das IF de implementar controles internoshttp://www5.bcb.gov.br/normativos/detalhamentocorreio.asp?N=098186548& C=2554& ASS=RESOLUCAO+2.554

Manual de Superviso - BACENhttps://www3.bcb.gov.br/msv/pesquisa/validateInternet.jspProcesso de Superviso Direta - Tecnologia da Informao .1414Oportunidades com SOXInvestimento em atualizao de sistemasControles efetivos alinhados com as necessidades da corporaoViso de TI dentro da CorporaoReviso e adequao de processos de TIReviso dos prprios processos da Organizao.1515Governana Corporativa16

16Governana CorporativaO conceito de governana corporativa surgiu nos Estados Unidos e na Inglaterra no final dos anos 90 e est relacionado forma como as empresas so dirigidas e controladas. a designao dos direitos de deciso em domnio de resolues relevantes. Isso significa que as empresas precisam saber quem toma as decises e quais os processos pelas quais essas decises so tomadas. No vale para qualquer atitude adotada numa companhia, deliberaes sem grande relevncia. Vale para decises importantes, de grande valor para as organizaes..1717Obrigatoriedade da GCToda companhia Brasileira definida pelo Nvel 1 das Prticas Diferenciadas de Governana Corporativa da Bolsa de Valores de So Paulo devem cumprir com os padres de governana corporativa definidas pela legislao societria brasileira, as regras da CVM.

Em 4 de Novembro de 2003, a SEC aprovou novas regras de Governana Corporativa, estabelecidas pela NYSE. De acordo com essas regras, os emissores privados fora dos Estados Unidos da Amrica, que esto listados na NYSE, devem divulgar quaisquer diferenas significativas entre as prticas de governana corporativa daquelas observadas pelas empresas nos Estados Unidos da Amrica de acordo com as regras de listagem da NYSE..1818Princpios bsicos da GCAlguns dos princpios fundamentais da boa governana comuns a diversos autores so: (i) transparncia; (ii) eqidade; (iii) prestao de contas; (iv) cumprimento das leis e; (v) tica.

A OECD apresenta os princpios de governana corporativa divididos em cinco grandes reas: (i) os direitos dos acionistas; (ii) o tratamento equnime dos acionistas, (iii) o papel das partes interessadas na governana corporativa,(iv) divulgao e transparncia e; (v) as responsabilidades do conselho.1919Entendimento da GCRecentes estudos sobre Governana Corporativa realizados pela consultoria Mc Kinsey nos Estados Unidos, mostram que 44% dos executivos participantes de Conselhos de Administrao no entendem claramente os indicadores de valor, e, ainda, 23% no entendem o desempenho da companhia frente aos seus objetivos. Quando perguntado a esses conselheiros o que lhes faltam, 23% disseram que deveria estabelecer um processo claro de gesto do desempenho..2020Governana de TIGovernana de TI so estruturas de relacionamentos e processos para dirigir e controlar a organizao no alcance de seus objetivos. Agregar valor a esses objetivos.Ao mesmo tempo, equilibrar os riscos em relao ao retorno da tecnologia de informao e a seus processos. So estruturas e processos que buscam garantir que a Tecnologia da Informao suporte e leve os objetivos e estratgias da organizao a assumirem o seu valor mximo. Permitem controlar a execuo e a qualidade dos servios. Viabilizam o acompanhamento de contratos internos e externos. Definem, enfim, as condies para o exerccio eficaz da gesto com base em conceitos consolidados de qualidade.2121SOX e Governana de TIA SOX no utiliza a palavra "governana" em si, mas as responsabilidades de gerenciamento listadas nos Ttulos III, IV, V, IX e XI se encaixam perfeitamente na definio da OECD de administrao. Eles se aplicam a todas as companhias.2222Princpios da Governana de TI23Alinhamento EstratgicoAlinhamento de TI com a OrganizaoEntrega de ValorEntrega da qualidade apropriada dentro do custo e prazo, atingindo os objetivos definidosGerenciamento de RiscosIdentificao de riscos de forma a proteger investimentos em ativos de TI preservar o valor dos investimentosGerenciamento de RecursosUtilizao otimizada dos recursos visando o atendimento da organizao.Monitorao de PerformanceMonitorar as aes observando se esto alinhadas com o escopo de TI e com a orientao da Organizao23Princpios da Governana de TI24

24Aes da Governana de TI25

25Estratgia de TI26

26BSC de TI27Aquisio e ImplementaoBSC daEmpresaMonitorarBSC Estratgia de TIPlanejamento e OrganizaoBSC DesenvolvimentoDe TIBSC Operacional De TIEntrega e Suporte27Alinhamento entre Governana de TI e Governana28

28Governana de TI x Gerenciamento de TI29

29PerspectivaAs necessidades de alinhamento com a SOX, alm das necessidades de adequao e apoio as iniciativas de Governana Corporativa podem contribuir para a aprovao de projetos de TI.303031Fundamentos deCOBIT 5 COBIT Conceitos Iniciais(Control Objectives for Information and Related Technology Objetivos de Controle para Informaes e Tecnologia Relacionada)

Misso: Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de gerentes de negcio e auditores.3232COBITCOBIT um framework e uma base de conhecimento para os processos de TI e seu gerenciamento. COBIT no um padro definitivo, tem que ser adaptado para cada empresa um framework de controle que tem o propsito de assegurar que os recursos de TI estaro alinhados com os objetivos da organizao. baseado na premissa que a TI precisa entregar informao que a empresa necessita para atingir seus objetivos.Princpio do framework do COBIT vincular as expectativas dos gestores de TI com as responsabilidades dos gestores de TI. Focado em controle e menos em execuo.3333O COBIT 5COBIT 5 um framework de negcios para governana e gesto de TI. Esta verso incorpora as ltimas novidades em governana corporativa e tcnicas de gerenciamento. Fornece princpios globalmente aceitos, prticas, ferramentas e modelos analticos para ajudar a aumentar a confiana e valor nos sistemas de informao..3434O COBIT 5O COBIT 5 foi lanado em 2012, consolida e integra o CobiT 4.1, Val IT 2.0 e frameworks de risco de TI. Alinha-se com estruturas e padres, como o Information Technology Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture Framework (TOGAF)..3535O COBIT 5O COBIT 5 ajuda as empresas a criar valor para TI, mantendo o equilbrio entre os investimentos em recursos e os riscos organizacionais. O Cobit 5 considera os negcios, as reas funcionais de TI da empresa e as partes interessadas, tanto internas como externas. Empresas de todos os tamanhos, seja comercial, sem fins lucrativos ou do setor pblico, podem se beneficiar do COBIT 5.3636O COBIT 5O COBIT 5 promete alguns benefcios, como:

Manter informaes de alta qualidade para apoiar decises de negciosAlcanar objetivos estratgicos e benefcios atravs da utilizao eficaz e inovadora de TIAlcanar a excelncia operacional atravs da aplicao confivel e eficiente da tecnologiaManter riscos relacionados a TI a um nvel aceitvelOtimizar o custo dos servios de TI e de tecnologiaSuporte conformidade com leis, regulamentos, acordos contratuais e polticas.3737A evoluo do Cobit38Governance of Enterprise ITCOBIT 5IT GovernanceCOBIT4.0/4.1ManagementCOBIT3ControlCOBIT2An business framework from ISACA, at www.isaca.org/cobitAuditCOBIT12005/720001998 Evolution of scope 19962012Val IT 2.0(2008)Risk IT(2009)38Princpios Bsicos 39

39Os Objetivos40

40Estrutura de Governana e Gesto 41

41Princpios do COBIT 542

42Famlia de Produtos43

43Arquitetura do CobIt 544

44Objetivos de Governana45

45Governana em COBIT 546

46As 5 metas do COBIT47

47Princpio 1: Reunir as necessidades dos stakeholders 48

48Governana Funo, Atividades e Relacionamentos49

49Princpio 2: Cobrir a empresa fim a fim50

50Princpio 3: Aplicar um framework nico e integrado51

5152COBIT 5 has clarified management level processes and integrated COBIT 4.1, Val IT and Risk IT content into one process reference model52COBIT 5COBIT 4.1Val IT 2.0Risk IT52Princpio 4: Aplicar uma abordagem holstica53

53Enablers-based54

54Descrio dos Enablers55

55Enterprise Enablers56

56O modelo de Process Enabler57

57Facilitadores58

58Princpio 5: Separar a Governana da Gesto59

59Diviso dos Processos60

60Processos de Governana e Gesto61

61Diferena entre COBIT 4.1 e 562

62COBIT 4.1 e 563

63Modelo de Referencia dos Processos64

64A diferena entre grficos RACI65

65Grfico RACI66Tabulao mostrando os processos com as funes, definindo nesta matriz as responsabilidades e atividades dentro de cada funo / processo:Responsible (Responsvel)Accountable (Deve prestar conta)Consulted (Deve ser consultado)Informed (Deve ser informado).66Grfico RACI67

67Estrutura de Processos68

68Exemplo Processo de Governana69

69Exemplo Processo de Gesto70

70Objetivos do Negcio e da TI71

71Categorias de Habilidades72

72Guia de Implementao73

73O novo processo do Cobit Capability Assessment74

74Avaliao de Capacidade75COBIT 4.1Nveis do Modelo de MaturidadeCOBIT 5Nveis de capacidade, baseados na ISO/IEC 15504Significado dos nveis de capacidade do COBIT 5, baseados na ISO/IEC 155045. Otimizado5. OtimizadoContinuamente melhorado para satisfazer objetivos empresariais relevantes, atuais e projetados.4. Gerenciado4. PrevisvelOpera dentro dos limites definidos para alcanar os seus resultados do processo.3. Definido3. EstabelecidoImplementado utilizando um processo definido que capaz de alcanar os seus resultados do processo.N/A2. GerenciadoProcessos implementados de uma forma gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho so adequadamente estabelecidos, controlados e mantidos.N/A1. InterpretadoProcessos atingem o que foi proposto2. Repetitvel1. Inicial/Adhoc0. Inexistente0. IncompletoNo implementado ou pouca ou nenhuma evidncia de qualquer realizao sistemtica da finalidade do processo.75Modelo de Capacidade do Processo Comparativo76

76Modelo de Capacidade do Processo77

77Comparativo entre a Tabela dos Atributos de Maturidade (COBIT 4.1) e os Atributos de Processos (COBIT 5)78

78Os produtos de apoio79

79