sox - cmmi

22
Governança de Tecnologia da Informação Profª Gislaine Stachissini 1 SOX SOX

description

Aula de Governança de TI

Transcript of sox - cmmi

Page 1: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 1

SOXSOX

Page 2: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 2

Lei SarbanesLei Sarbanes--OxleyOxley

Governança Corporativa

Resultados Financeiros

Controles

Auditoria

Mercado

EMPRESA

EMPRESA

EMPRESA

EMPRESA

EMPRESA

MERCADOMERCADO

USAUSA

MERCADOMERCADO

OUTROSOUTROS

PAÍSESPAÍSES

Page 3: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 3

Fraudes e Crimes FinanceirosFraudes e Crimes Financeiros

Grande Stress no país

Grande presença da mídia

Auditorias governamentais

Processo na Justiça (envolvidos)

Sérios problemas com as empresas envolvidas

Perdas para os acionistas

Desemprego

Descrédito geral do mercado (Bolsa e instituições)

Lei SarbanesLei Sarbanes--OxleyOxley

Page 4: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 4

Sarbanes e Oxley – Senadores americanos

Desenvolveram e aprovaram uma lei no Senado (2002)

Define regras de governança corporativa

Define controles a serem implementados

Define responsabilidades nas empresas

Define critérios para auditorias

Define tipos e formas de punições

Abrangência da Lei – USA e suas filiais no mundo

Lei SarbanesLei Sarbanes--OxleyOxley

Page 5: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 5

Seção 302Seção 302 - Diretores Executivos e Diretores financeiros são

explicitamente responsáveis por estabelecer, avaliar

e monitorar a eficácia dos controles internos sobre

os relatórios e divulgações financeiras.

Seção 404Seção 404 – Avaliação anual dos controles e procedimentos

internos para a emissão dos relatórios

financeiros (empresa). Um auditor independente

emitirá um relatório distinto que ateste a asserção

da administração sobre a eficácia dos controles e

procedimentos.

Seção 906Seção 906 – .... Multas de até US$ 5 Milhões e até 20 anos de

prisão.

Lei SarbanesLei Sarbanes--OxleyOxley

Page 6: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 6

Committee of Sponsoring

Organizations of the

Treadway Commission

Tem um padrão para controles que tem sido

recomendado.

Definiu o conceito de controles

5 componentes do COSO :

1. Ambiente de Controle

2. Avaliação de Risco

3. Atividades de Controle

4. Informações e Comunicações

5. Monitoramento

Ambiente de ControleAmbiente de Controle Integridade e Valores Éticos

Compromisso com Competência

Filosofia e Estilo Operacional

Estrutura Organizacional

Alocação de Autoridade e Responsabilidades

Diretrizes e Práticas de Recursos Humanos

Avaliação de RiscoAvaliação de Risco Objetivos de toda a Entidade e de Atividades

Sistemas de Informática (Sistemas de Gestão)

Gestão de Mudanças

Atividades de ControleAtividades de Controle Diretrizes, Procedimentos, Práticas

Bens de Capital

Informações e ComunicaçõesInformações e Comunicações Qualidade das Informações

Formas de Comunicações

MonitoramentoMonitoramento Monitoramento Contínuo

Avaliações Individuais

Lei SarbanesLei Sarbanes--OxleyOxley

Page 7: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 7

Enterprise Risk Management Enterprise Risk Management —— Integrated Framework Integrated Framework

Lei SarbanesLei Sarbanes--OxleyOxley

Page 8: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 8

Enterprise Risk Management Enterprise Risk Management —— Integrated Framework Integrated Framework

Control It

Share or

Transfer It

Diversify or

Avoid It

Risk

Management

Process

Level

Activity

Level

Entity Level

Risk

Monitoring

Identification

Measurement

Prioritization

Risk

Assessment

Risk Analysis

Lei SarbanesLei Sarbanes--OxleyOxley

Page 9: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 9

Roteiro para implementação da SOX:Roteiro para implementação da SOX:

Mapeamento dos processos chaves que impactam as Demonstrações

Financeiras.

Verificação dos controles existentes nos processos.

Verificação da suficiência dos controles.

Testes dos controles.

Documentação das evidencias dos testes.

Planos de ação de correção de deficiências.

Responsáveis pelas ações corretivas.

Lei SarbanesLei Sarbanes--OxleyOxley

Page 10: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 10

CMMICMMI

Page 11: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 11

CMMI CMMI -- CapabilityCapability MaturityMaturity ModelModel IntegrationIntegration

SWSW--CMM (CMM (Software Software CapabilityCapability MaturityMaturity ModelModel):): este modelo provia informações

para o aprimoramento de processos de desenvolvimento de software,

apresentando as práticas chave para que as empresas pudessem atingir um maior

nível de maturidade.

SESE--CMM (CMM (Systems Systems EngineeringEngineering CapabilityCapability MaturityMaturity ModelModel):): este modelo provia

informações sobre os elementos necessários para a implantação de um adequado

processo de engenharia de sistemas nas empresas.

IPDIPD--CMM (CMM (IntegratedIntegrated ProductProduct DevelopmentDevelopment CapabilityCapability MaturityMaturity ModelModel):): este

modelo provia informações para o aprimoramento de processos de

desenvolvimento que exigem a integração de múltiplas disciplinas ao longo do

ciclo de vida do produto, de forma a atender as necessidades do cliente.

Page 12: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 12

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration No ano de 2001, estes três modelos de maturidade descritos anteriormente

foram integrados em um modelo mais abrangente, denominado CMMI

(Capability Maturity Model Integration). A partir desta integração, os três

modelos deixaram de ser mantidos pelo SEI. (Software Engineering Institute)

5. Otimizado

4. Gerenciável

3. Definido

2. Repetível

1. Inicial

Controle Básico

de

Gerenciamento

Definição do

Processo

Medição do

Processo

Controle do

Processo

Níveis de

Maturidade

de Processo

Page 13: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 13

CMMICMMI

Page 14: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 14

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration

Nível 1: Inicial

Organizações que se encontram no nível 1 do CMMI, estão no estágio Inicial,

onde os processos são caóticos e definidos como ad hoc [1].

O ambiente de desenvolvimento é instável e apesar de geralmente obterem

o produto final desejado, parâmetros como prazo e custo do projeto são

freqüentemente maiores do que o esperado.

[1] Processos classificados como “ad hoc” são aqueles realizados sem planejamento

prévio, sem preparação.

Page 15: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 15

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration

Nível 2: Repetível ou Gerenciado

Para prosseguir do nível 1 para o nível 2, Repetível, a organização deve

passar a utilizar processos básicos de gerência de projetos no sentido de

controlar basicamente os custos, prazos e funcionalidades do software

durante o processo de desenvolvimento ao longo do projeto.

As atividades a serem desenvolvidas no projeto são devidamente planejadas

e documentadas com o acompanhamento da execução e das métricas de

controle. O objetivo de se manter um processo controlado está em executar

as práticas planejadas inclusive nos momentos mais críticos do projeto. Além

disso, os procedimentos planejados podem ser repetidos em outros projetos.

Page 16: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 16

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration

Nível 2: Repetível

Gerência de Requisitos

Planejamento de Projeto

Controle e Monitoramento de Projeto

Gerência de Contrato de Fornecedores

Medição e Análise

Garantia de Qualidade do Processo e do Produto

Gerência de Configuração

Page 17: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 17

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration

Nível 3: Definido

Uma organização classifica-se no nível 3 de maturidade quando, além de

desenvolver todas as atividades de gerência, planejamento,

desenvolvimento, medição e controle contidos no nível 2, os processos

passam a ser desenvolvidos com base em padrões, procedimentos,

ferramentas e métodos. Além disso, no nível Definido os processos são

estruturados de forma mais detalhada do que no nível Repetível anterior.

Os padrões de processos estabelecidos neste nível de maturidade são tanto

aplicáveis para um determinado projeto de software, quanto para diferentes

projetos desenvolvidos em toda a organização. O mesmo não ocorre em

organizações no nível Repetível, onde os padrões de processo estabelecidos

são geralmente particulares a um projeto.

Page 18: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 18

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration

Nível 3: Definido

Desenvolvimento de Requisitos

Solução Técnica

Integração do Produto

Verificação

Validação

Foco do Processo Organizacional

Definição do Processo Organizacional

Treinamento Organizacional

Gerência Integrada de Projeto

Gerência de Riscos

Análise de Decisão e Resolução

Page 19: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 19

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration

Nível 4: Gerenciável ou gerenciado quantitativamente

Uma organização classifica-se no nível 4 de maturidade quando, além de

desenvolver todas as atividades de padronizações contidas no nível 3, são

realizados controle quantitativos de qualidade e desempenho do processo.

Aplica-se uma gerência mais detalhada de métricas e estatísticas, de forma

que se estabeleça uma base de controle quantitativo de todo o processo de

desenvolvimento de software.

Page 20: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 20

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration

Nível 4: Gerenciável

Desempenho do Processo Organizacional

Gerência Quantitativa de Projeto

Page 21: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 21

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration

Nível 5: Otimizado

Uma organização classifica-se no nível 5 de maturidade quando, além de

desenvolver controles quantitativos de qualidade e desempenho contidos no

nível 4, promove o aperfeiçoamento do processo de desenvolvimento de

software a partir dos planos de qualidade e das métricas obtidas em

avaliações dos processos. As atividades desenvolvidas ao longo dos processos

são avaliadas de forma a prover dados significativos passíveis de serem

analisados. A partir destas análises identificam-se os pontos do processo que

podem ser aprimorados com base na experiência, nas “lições aprendidas”.

Diferentemente do nível Gerenciável, onde a análise quantitativa é aplicada

para o aprimoramento de projetos individuais, no nível Otimizado analisam-

se os resultados de diversos projetos e identificam-se melhorias a serem

introduzidas no processo geral da organização, de forma que possam ser

aplicadas em qualquer projeto e não somente em um projeto específico.

Page 22: sox - cmmi

Governança de Tecnologia da Informação

Profª Gislaine Stachissini 22

CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration

Nível 5: Otimizado

Inovação Organizacional e Implantação

Análise Causal e Resolução